Wszystkie instytucje obowiązane w rozumieniu ustawy o przeciwdziałaniu praniu brudnych pieniędzy oraz finansowaniu terroryzmu (w tym ASI oraz ZASI), które powstały przed 13 stycznia 2019 roku, miały obowiązek przygotowania pierwszej oceny ryzyka w terminie 6 miesięcy od daty wejścia w życie ustawy (czyli w terminie 6 miesięcy od 13 lipca 2018 roku). Zatem na dzień 13 stycznia 2021 roku przypada ostateczny termin aktualizacji stworzonej pierwszej oceny ryzyka w związku z obowiązkiem jej aktualizacji co 2 lata, (art. 27 ust. 3 ustawy) uwzględniając zmiany czynników ryzyka dotyczących klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw.
Poniżej przedstawiamy najważniejsze obowiązki instytucji obowiązanych (w tym ASI oraz ZASI) wynikające z ustawy o przeciwdziałaniu praniu brudnych pieniędzy oraz finansowania terroryzmu (dalej jako „ustawa”):
- sporządzenie oceny ryzyka, (art. 27 ust. 3 ustawy),
- stosowania i dokumentowania zastosowanych środków bezpieczeństwa finansowego, (art. 33 ust. 1 w związku z art. 34 ust. 1 pkt 2, 3 i 4 ustawy),
- wprowadzenia wewnętrznej procedury instytucji obowiązanej, (art. 50 ustawy),
- wdrożenia wewnętrznej procedury anonimowego zgłaszania naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, (art. 53 ustawy),
- zapewnienia udziału osób wykonujących obowiązki związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu w programach szkoleniowych, (art. 52 ustawy).
Szczególną uwagę chcielibyśmy zwrócić na kwestię sporządzenie przez ZASI i ASI oceny ryzyka.
Art. 27 ust. 2 ustawy wskazuje na dwa źródła, które mogą być wykorzystane przez instytucje obowiązane w procesie tworzenia oceny ryzyka tzn. Krajową Ocenę Ryzyka oraz sprawozdanie Komisji Europejskiej w sprawie oceny ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu.
Ustawa nie określa czy ocena ryzyka ma stanowić dokument opisowy, analizę czynników ryzyka wraz z wagami sporządzonymi w arkuszu kalkulacyjnym, czy też szczegółową prezentację odnosząca się do poszczególnych czynników ryzyka.
Minimalny standard metodyczny, który należy uwzględnić w toku opracowywania oceny ryzyka powinien obejmować co najmniej 4 elementy:
- ocenę ryzyka inherentnego, czyli ryzyka występującego w sytuacji braku działań podjętych w celu zmniejszenia prawdopodobieństwa wystąpienia ryzyka i/lub ograniczenia jego efektów, w odniesieniu do każdego czynnika ryzyka wymienionego w art. 27 ust. 1 ustawy,
- wskazanie mitygantów ryzyka oraz poddanie ocenie ich efektywności,
- ocenę ryzyka rezydualnego, czyli ryzyka pozostającego po wprowadzeniu procedur kontroli ryzyka, mitygantów oraz po dokonaniu oceny ich efektywności,
- zdefiniowanie planowanych przez instytucję obowiązaną działań w celu zarządzania ryzykiem rezydualnym (o ile są planowane).
W związku z tym, że wszystkie instytucje obowiązane które powstały przed 13 stycznia 2019 roku, miały obowiązek przygotowania pierwszej oceny ryzyka w terminie 6 miesięcy od daty wejścia w życie ustawy ( czyli w terminie 6 miesięcy od 13 lipca 2018 roku) na dzień 13 stycznia 2021 roku przypada ostateczny termin aktualizacji stworzonej pierwszej oceny ryzyka w związku z obowiązkiem jej aktualizacji co 2 lata, ( art. 27 ust. 3 ustawy ) biorąc pod uwagę zmiany czynników ryzyka dotyczących klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw.
Wszystkie instytucje obowiązane które powstały po 13 stycznia 2019 roku również mają obowiązek przygotowania oceny ryzyka i jej co 2 letniej aktualizacji i warto o tym obowiązku pamiętać.
Na szczególne znaczenie przygotowania oceny ryzyka przez instytucję obowiązane zwracał uwagę KNF w swoim stanowisku z dnia 15 kwietnia 2020 roku. KNF podkreślił, że ocena ryzyka jest jednym z kluczowych obowiązków instytucji obowiązanej wynikających z ustawy. Ocena ryzyka stanowi bowiem najważniejszy dokument determinujący działania podejmowane przez instytucję obowiązaną w celu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (AML/CFT) będący punktem wyjścia do budowy wewnętrznych procesów związanych z AML/CFT.
Ponadto ocena ryzyka ma istotny wpływ na:
- świadomość ekspozycji na ryzyko, a w konsekwencji apetytu na ryzyko instytucji obowiązanej,
- kształt wewnętrznych dokumentów regulujących obszar AML/CFT w instytucji obowiązanej,
- zakres i sposób stosowania środków bezpieczeństwa finansowego wobec klientów instytucji obowiązanej,
- praktyczne podejście do realizacji obowiązków dotyczących przeciwdziałania praniu pieniędzy i finansowania terroryzmu w instytucji obowiązanej,
- działania podejmowane przez instytucję obowiązaną w celu mitygacji ryzyka w obszarach jej działalności, szczególnie narażonych na ryzyko związane z praniem pieniędzy i finansowaniem terroryzmu (ML/FT).
Warto wskazać iż instytucje obowiązane są już kontrolowane pod kątem wykonywania obowiązków wynikających z ustawy. Między innymi Ministerstwo Finansów poinformowało w dniu 14 października 2020 roku o decyzji dotyczącej nałożenia kary finansowej w kwocie 500 tyś zł na spółkę Home Broker S.A. za nieprzestrzeganie obowiązków wynikających z ustawy.
Adam Buczel, Radca prawny
Radca Prawny specjalizujący się w regulacjach dystrybucji produktów finansowych. Posiada 10-letnie doświadczenie w obsłudze prawnej spółek z branży pośrednictwa finansowego. W toku swojej kariery zawodowej wielokrotnie prowadził transakcje fuzji i przejęć, w szczególności takie jak łączenie, podział i przekształcenia spółek osobowych i kapitałowych oraz transakcje sprzedaży zorganizowanej części przedsiębiorstwa. Odpowiadał także za obsługę prawną spółki notowanej na GPW.