Od dłuższego czasu zewsząd słychać wieści o procedurze AML, którą powinna posiadać każda instytucja obowiązana. Co to właściwie oznacza? Kto powinien zaopatrzyć swoją instytucje w takie rozwiązanie i dlaczego? Postaramy się przybliżyć i wyjasnić ten temat.
Podstawą prawną omawianej materii jest Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, natomiast dla podmiotów zarejestrowanych w Polsce szczególne znaczenie w tym zakresie ma Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ustawa AML) wraz z jej nowelizacjami. Nowele mają za zadanie dostosować polskie ustawodawstwo do zapisów wskazanej wyżej Dyrektywy.
Ostatnia nowelizacja miała miejsce niedawno i weszła w życie 31 października 2021 r.
Najistotniejszą zmianą w ustawie AML jest rozszerzenie katalogu podmiotów obowiązanych, czyli takich, które powinny wprowadzić zasady opisane w niniejszej ustawie.
Od sierpnia na postawie art. 2 ustawy zaliczamy do tego zbioru m.in.:
Ustawa AML nakazuje wprowadzenie szeregu działań. Do jednego z nich, tuż po wyznaczeniu kadry kierowniczej wyższego szczebla odpowiedzialnej za wykonywanie postanowień ustawy AML, należy powołanie Koordynatora AML. Jest to osoba wyznaczona i odpowiedzialna za wdrożenie całej procedury związanej z ustawą AML oraz przekazywanie zawiadomień do Generalnego Inspektora. Następnie do jej zadań należeć będzie stały nadzór nad przestrzeganiem obowiązków spoczywających na instytucji obowiązanej oraz jej pracownikach i osobach współpracujących.
Koordynatora można wskazać np. poprzez uchwałę zarządu. Jego umiejscowienie w organizacji powinno zagwarantować bezpośredni kontakt z osobami zarządzającymi instytucją obowiązaną. Np. bezpośredni kontakt z właścicielem działałności gospodarczej lub zarządem spółki oraz radą nadzorczą. W dużych organizacjach można wyznaczyć Zespół ds. AML. Brak wyznaczenia pracownika lub pracowników do realizacji zadań Koordynatora AML stanowi podstawę do nałożenia na instytucję obowiązaną kary administracyjnej.
Co w przypadku małej firmy, bez złożonej struktury zatrudniającej często kilku pracowników? Rozwiązanie zostało wskazane jasno w przepisach – koordynatorem w takiej sytuacji jest sam właściciel lub outsourcing procesów AML.
Ustawa narzuca na podmioty obowiązane sporządzanie analizy ryzyka związanego z praniem pieniędzy oraz finansowaniem terroryzmu. Służy ona identyfikacji ryzyka w odniesieniu do działalności danego podmiotu jak i jego Klientów. Celem analizy jest sprawdzenie czy w przestrzeni gospodarczej podmiotu obowiązanego występują czynniki, które podnoszą ryzyko.
Co ważne, jej przeprowadzenie powinno opierać się na danych historycznych. Jest to odmienne działanie niż w ogólnym rozporządzeniu o ochronie danych osobowych tzw. RODO. Opieramy się bowiem na danych sprzed ostatnich 12-stu miesięcy.
Ustawodawca w art. 27 ustawy wskazał jakie czynniki powinny być brane pod uwagę przy przeprowadzaniu oceny ryzyka. Zaznaczyć należy, że jest to minimalny katalog czynników ryzyka, a ich wskazanie jest obligatoryjne. Należą do nich czynniki ryzyka dotyczące:
Urząd Komisji Nadzoru Finansowego (UKNF) wskazuje, że biorąc pod uwagę wielkość i złożoność organizacji, a także jej charakter, można wziąć pod uwagę także dodatkowe czynniki. [2]
Analiza powinna zostać wykonana z dużą starannością. Ocena ryzyka wykonana przez podmioty obowiązane jest jednym z kluczowych obowiązków wprowadzonych przez ustawę. Pamiętajmy, że w procesie oceny ryzyka powinniśmy posiłkować się Krajową Oceną Ryzyka Prania Pieniędzy oraz Finansowania Terroryzmu[3], którą można znaleźć w publikacjach i opracowaniach Ministerstwa Finansów, a o której mowa w art. 29 ustawy, a także Ponadnarodową Oceną Ryzyka, która jest sprawozdaniem Komisji Europejskiej[4].
Pamiętać należy, że ocenę ryzyka powinno się aktualizować wedle potrzeb, nie rzadziej jednak niż co 2 lata.
Artykuł 50 ustawy wskazuje na obowiązek posiadania wewnętrznej procedury AML. Powinna ona zawierać m.in. zasady:
Procedura AML spełnia de facto dwa zadania. Po pierwsze – wskazuje sposób postępowania naszym pracownikom i współpracownikom, a po drugie jest dowodem wprowadzenia opisanych w ustawie regulacji, co w przypadku kontroli jest kluczowe dla rozliczalności podmiotu.
Środki bezpieczeństwa finansowego są to czynności jakie stosować należy bezpośrednio względem klientów. Środki te mają nam bezpośrednio pomóc w rozpoznaniu ryzyka prania pieniędzy oraz finansowaniu terroryzmu. Należą do nich:
Wskazuje ona na konieczność zidentyfikowania podmiotu przed rozpoczęciem współpracy. Powinniśmy zebrać i zweryfikować poprawność przedstawionych nam danych. Ustawa wskazuje, że weryfikacja tożsamości klienta może zostać zakończona podczas nawiązywania stosunków gospodarczych, natomiast jest to możliwe tylko w przypadku skumulowania dwóch warunków: wystąpienia niskiego ryzyka prania pieniędzy oraz jeżeli zapewni to ciągłość prowadzenia działalności gospodarczej.
Beneficjent rzeczywisty to najprościej mówiąc, osoba fizyczna sprawująca kontrolę nad danym przedsiębiorstwem lub czerpiąca korzyści z takiej działalności.
Weryfikacja beneficjentów może nastąpić poprzez wywiad z klientem. Teoretycznie z pomocą przychodzi nam również Centralny Rejestr Beneficjentów Rzeczywistych (CRBR), z którego powinniśmy uzyskać odpis dotyczący weryfikowanego klienta. Od 31 października nałożono na instytucje obowiązane kolejny obowiązek (Art. 61a ustawy AML) polegający na weryfikacji danych w CRBR i zgłaszaniu potwierdzonych nieprawidłowości do GIIF. Z tego powodu CRBR nie może służyć do weryfikacji uzyskanych danych. Weryfikację prowadzimy na podstawie przedstawianych dokumentów tożsamości oraz innych właściwych rejestrów, takich jak KRS czy CEIDG.
Jest to kolejny obowiązek nałożony na przedsiębiorców będących instytucjami obowiązanymi, któergo celem jest wychwycenie rozbieżności pomiędzy tym, co zostało zebrane podczas identyfikacji podmiotu, a informacjami zebranymi w rejestrze. W przypadku zaistnienia sprzeczności kluczowym będzie zebranie wyjaśnień od klienta.
Po naszej stronie jako podmiotu obowiązanego leży stworzenie odpowiedniej metody postępowania w przypadku identyfikacji PEP-ów. Ustawa nie wskazuje jednego właściwego rozwiązania, które może być różne w zależności od kategorii instytucji obowiązanej, natury i rodzaju stosunków gospodarczych tej instytucji oraz obsługiwanych klientów. Pomoc w tej kwesti nastąpiła z wprowadzeniem Rozporządzenia Ministra Finansów, Funduszy i Polityki Regionalnej z dnia 27 lipca 2021 r. w sprawie wykazu krajowych stanowisk i funkcji publicznych będących eksponowanymi stanowiskami politycznymi (Dz.U. 2021 poz. 1381), które reguluje kwestie dotyczące tego, które polskie stanowiska uznaje się za PEP. W przypadku identyfikacji PEPa należy pamiętać o zebrać odpowiedniego oświadczenia od tej osoby.
Środki bezpieczeństwa finansowego stosujemy, gdy zaczynamy z jakimś podmiotem (klientem, nie dotyczy dostawców) współpracę, a także gdy nastąpi zmiana charakteru tej współpracy. Zamianę charakteru stosunków gospodarczych łatwo zauważyć świadcząc usługi biura rachunkowego. Współpraca z klientami jest zazwyczaj długoterminowa. Nie ma co prawda możliwości odmowy przeprowadzenia transakcji, ponieważ dowiadujemy się o tym post factum. Natomiast posiadając historyczne dane o poprzednich transakcjach jesteśmy w stanie w porę wychwycić niecodzienne ruchy.
Artykuł 35 ustawy AML wskazuje także na takie sytuacje jak zmiana danych dotyczących klienta, przeprowadzanie transakcji okazjonalnej powyżej 15 000 euro, przeprowadzenie transakcji gotówkowej powyżej 10 000 euro, a także okazjonalny charakter środków powyżej 1000 euro.
Zdążają się oczywiście sytuacje uniemożliwiające zastosowania jednego ze środków bezpieczeństwa finansowego. W takim przypadku ustawodawca wskazuje kilka rozwiązań. Możemy nie nawiązywać stosunków gospodarczych lub zaistniałe już rozwiązać, możemy także odmówić przeprowadzenia transakcji okazjonalnej lub transakcji za pośrednictwem rachunku bankowego.
Brak możliwości spełnienia ŚBF nie oznacza wcale konieczności zgłoszenia zaistniałej sytuacji do GIIF. W art. 41 ustawy AML wskazano, że instytucja obowiązana powinna ocenić, czy zachodzą podstawy do złożenia zawiadomienia o okolicznościach, które mogą wskazywać na podejrzenie popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu, lub o przypadku powzięcia uzasadnionego podejrzenia, że określona transakcja lub określone wartości majątkowe mogą mieć związek z praniem pieniędzy lub finansowaniem terroryzmu.
Oprócz procedury przeciwdziałania praniu pieniędzy oraz finansowania terroryzmu, należy także zwrócić uwagę na obowiązek stworzenia przez podmioty obowiązane procedury anonimowego zgłaszania naruszeń. Procedura ta często nazywana whistleblowing czy też procedurą ochrony sygnalistów. Jest powszechnie znana wśród uczestników rynków kapitałowych czy finansowych, natomiast w odniesieniu do omawianej tematyki, obowiązek ten conajmniej w zakresie utworzenia kanału anonimowych zgłoszeń, zacznie obowiązywać od 17 grudnia 2021 r. Polska ustawa dot. ochrony sygnalistów wprowadzi dodatkowe wymagania wynikające z dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii.
Dla zainteresowanych status ustawu dot. ochronie sygnalistów: ciągle w fazie projektu, z doniesień medialnych wiemy, że prace nad nią mają zakończyć sie na przełomie I i II kwartału 2022 r.. Do projektu w ramach konsultacji społecznych zgłoszono ponad 800 stron popawek – w tym dotyczących zgodności z RODO zgłoszonych przez nasze Stowarzyszenie Praktyków Ochrony Danych.
Procedura powinna przede wszystkim wskazywać osobę odpowiedzialną za odbieranie zgłoszeń. Niezbędnym jest tu wyznaczenie, już wcześniej wspomnianego koordynatora. Na instytucji obowiązanej ciąży także obowiązek określenia sposobu odbierania zgłoszeń przy jednoczesnym zapewnieniu anonimowości osobom zgłaszającym. Po wejściu ustawy dot. sygnalistów warto zrewidować w tym zakreisie stosowane procedury AML.
Obowiązkiem instytucji obowiązanej jest ocena stosunków gospodarczych. Powinna ona opierać się w pierwszej fazie na ocenie ŚBF, a następnie na monitorowaniu transakcji w kontekście prania pieniędzy czy finansowania terroryzmu. Ustawa wskazuje na obowiązek przekazywania do GIIF m.in. informacji o dokonanej wpłacie środków pieniężnych czy transferze takich środków. Szczególny zakres informacji został opisany w art. 72 ustawy.
Instytucja obowiązana na żądanie GIIF powinna przekazać dokumentacje zawierającą w szczególności: dane identyfikacyjne, rodzaj i wielkość wartości majątkowych oraz numer rachunku.
Obowiązkowe szkolenie z zakresu AML ma na celu upowszechnić wiedzę o przepisach o przeciwdziałaniu prania pieniędzy oraz finansowaniu terroryzmu wśród osób wykonujących obowiązki związane z tą tematyką. W programach szkoleniowych powinna zostać uwzględniona specyfika podmiotu, a także informacje, które nakierują pracowników na prawidłową realizację jej obowiązków związanych z raportowaniem.
Mając na względzie zakres zmian wprowadzanych ustawą, przedsiębiorcy, którzy stali się instytucjami obowiązanymi powinni przystąpić do wprowadzenia zmian i procedur wskazanych ustawą. Dla podmiotów nowych, które nie podlegały wcześniej obowiązkom wynikającym z ustawy z pewnością jest to skomplikowany proces. Warto zatem skorzystać ze specjalistycznej wiedzy w tym zakresie. Pamiętać należy, że procedura powinna być dopasowana do zakresu i charakteru działalności. Takie właśnie rozwiązania szyte na miarę oferuje Pure Quality.
Zapraszamy do współpracy pośredników ubezpieczeniowych, pośredników w obrocie nieruchomościami oraz biura rachunkowe. Chętnie pomożemy wdrożyć odpowiednią procedurę AML oraz Regulamin dot. sygnalistów jeżeli Twoja organizacja zostnie do tego zobowiązana ustawą!
Więcej informacji o możliwej współrapcy z nami znajdziesz tutaj.
[1] Cały katalog znajduje się w art. 2 ustawy ALM; wyliczenia stanowią jedynie przykłady.
[2] Stanowisko_UKNF_dot_oceny_ryzyka_instytucji_obowiazanej.pdf
[3] Krajowa Ocena Ryzyka Prania Pieniędzy oraz Finansowania Terroryzmu – Ministerstwo Finansów – Portal Gov.pl (www.gov.pl)
[4] https://eur-lex.europa.eu/legal-content/AUTO/?uri=CELEX:52019DC0370&qid=1637147349700&rid=1