Podejście oparte na ryzyku w procesach AML

We współczesnym świecie firmy i instytucje z różnych rynków i branż są narażone na bardzo wiele zagrożeń związanych z praniem pieniędzy i finansowaniem terroryzmu. Grupy przestępcze sięgają po coraz bardziej zaawansowane techniki i rozwiązania, aby ominąć środki bezpieczeństwa stosowane w ramach procesów AML (Anti-Money Laundering).

Rządy nakładają więc na instytucje obowiązane coraz to nowe zadania związane z przeciwdziałaniem tego rodzaju przestępczym procederom, obarczając te podmioty odpowiedzialnością za skuteczne reagowanie na zagrożenia. Ustawodawca europejski, a w ślad za nim ustawodawca polski, przyjęli podejście oparte na ryzyku (ang. risk-based approach).

Czym w procesach AML jest podejście oparte na ryzyku?

Podejście oparte na ryzyku w procesach AML oznacza, że regulacje prawne nie narzucają gotowych rozwiązań identycznych dla wszystkich podmiotów, ale wskazują potencjalne obszary zagrożeń oraz wachlarz działań możliwych do zastosowania w celu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.

W pewnym uproszczeniu można zatem powiedzieć, że zgodnie z podejściem opartym na ryzyku instytucje obowiązane powinny najpierw ocenić ryzyko AML związane z prowadzoną działalnością, konkretnym klientem czy indywidualną transakcją, a następnie dostosowywać swoje działania do zidentyfikowanego poziomu ryzyka.

Przy zastosowaniu modelu risk-based approach każda instytucja obowiązana może dostosować procedury i wzmożone środki bezpieczeństwa finansowego do swojej indywidualnej sytuacji, branży, wielkości firmy, zasięgu geograficznego, skali i rodzaju prowadzonej działalności. W praktyce oznacza to, że im wyższe jest ryzyko, tym bardziej rygorystyczne powinny być środki zaradcze.

Po raz pierwszy wytyczne dotyczące risk-based approach opublikowała Grupa Specjalna ds. Przeciwdziałania Praniu Pieniędzy (FATF, Financial Action Task Force) w 2007 roku, a następnie ustrukturyzowała te zalecenia, publikując w 2012 roku międzynarodowe standardy przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu w formie 40 rekomendacji FATF.

Co składa się na proces AML zgodny z risk-based approach?

Wdrożenie w instytucji obowiązanej procesów AML według podejścia opartego na ryzyku wymaga zrealizowania kilku następujących po sobie kroków:

1. Identyfikacja ryzyka AML, czyli ocena szeroko pojętej działalności, między innymi produktów, usług, kanałów dystrybucji, klientów, partnerów biznesowych, transakcji, a także obsługiwanych branż i obszarów geograficznych.

2. Ocena ryzyka AML, czyli ustalenie kryteriów, które powinny być brane pod uwagę przy ocenie, a także sklasyfikowanie na ich podstawie między innymi klientów, produktów i transakcji na różne poziomy ryzyka (np. niskie, średnie, wysokie).

3. Zarządzanie ryzykiem AML, czyli między innymi monitorowanie podmiotów i transakcji, stosowanie odpowiednich środków bezpieczeństwa finansowego zależnych od poziomu ryzyka oraz raportowanie do odpowiednich organów.

4. Przegląd i aktualizacja, czyli regularna ocena efektywności procedur i działań AML oraz dostosowywanie ich do zmieniającego się ryzyka, a także okresowe szkolenia pracowników w zakresie realizowanych procesów AML.

Na co zwrócić szczególną uwagę przy podejściu opartym na ryzyku?

Aby zbudować solidne fundamenty dla procesów AML realizowanych zgodnie z podejściem opartym na ryzyku, warto mieć na uwadze między innymi kilka kluczowych aspektów opisanych poniżej:

• Szkolenie AML – bardzo ważne jest, aby pracownicy instytucji obowiązanej rozumieli prawo w zakresie AML, znali obowiązujące w danej organizacji procedury AML i potrafili je w praktyce zastosować.
• Procedura AML – to niezbędny element przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, który tworzy ramy do identyfikacji i oceny ryzyka oraz stosowania środków bezpieczeństwa finansowego.
• Monitoring transakcji i podmiotów – między innymi pod kątem wykrywania podejrzanych działań i niestandardowych zachowań, ale też w zakresie weryfikacji m. in. na listach sankcyjnych, na listach PEP i RCA, na liście ostrzeżeń KNF, na liście PKD podwyższonego ryzyka, na liście krajów wysokiego ryzyka oraz w rejestrze beneficjentów rzeczywistych.
• Ewidencjonowanie i raportowanie – obejmuje to archiwizowanie dokumentów i informacji uzyskanych w wyniku stosowania środków bezpieczeństwa finansowego oraz dowodów potwierdzających przeprowadzone transakcje i ewidencje transakcji, a także gromadzenie i przekazywanie danych do odpowiednich organów.
• Wsparcie technologiczne – narzędzia informatyczne, takie jak system analityczno-raportujący iAML czy listy restrykcyjne iAML do weryfikacji podmiotów i osób, pomagają zapewnić zgodność z przepisami AML, zwiększają skuteczność działań, ale również przyspieszają pracę, optymalizują koszty i zwiększają bezpieczeństwo finansowe.

Co w risk-based approach zmienia nowy pakiet unijny AML6?

W 2024 roku Unia Europejska opublikowała ostateczną wersję pakietu regulacji prawnych odnoszących się do AML, na który składają się trzy dokumenty:

• Dyrektywa Parlamentu Europejskiego i Rady (UE) 2024/1640 z dnia 31 maja 2024 roku w sprawie mechanizmów, które państwa członkowskie powinny wprowadzić w celu zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca dyrektywę (UE) 2019/1937 oraz zmieniająca i uchylająca dyrektywę (UE) 2015/849;
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1624 z dnia 31 maja 2024 roku w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu;
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1620 z dnia 31 maja 2024 roku w sprawie ustanowienia Urzędu ds. Przeciwdziałania Praniu Pieniędzy i Finansowaniu Terroryzmu oraz zmiany rozporządzeń (UE) nr 1093/2010, (UE) nr 1094/2010 i (UE) nr 1095/2010.

Nowy pakiet unijny wprowadza wiele zmian z punktu widzenia instytucji obowiązanych. Będzie wdrażany w poszczególnych krajach członkowskich Unii Europejskiej sukcesywnie w kolejnych latach. Instytucje obowiązane mają zatem jeszcze czas na dostosowanie swoich procedur i polityk do nowych wytycznych.

Oto trzy istotne kwestie odnoszące się do podejścia opartego na ryzyku, które wynikają z powyższych dokumentów:

• Podejście oparte na ryzyku staje się instytucjonalną zasadą na wszystkich poziomach – od AMLA (tj. Anti Money Laundering Authority, czyli nowy unijny organ nadzoru AML), poprzez jednostki analityki finansowej (czyli minister uprawniony do prowadzenia spraw dotyczących instytucji finansowych i Generalny Inspektor Informacji Finansowej) oraz organy nadzoru (takie jak Komisja Nadzoru Finansowego), aż po instytucje obowiązane (a w przypadku outsourcingu AML również podmioty nie objęte reżimem ustawy AML).
• Podejście oparte na ryzyku wyewoluowało ze zwykłej analizy ryzyka do kompleksowego zarządzania ryzykiem – ważnymi elementami tego procesu są między innymi ciągłe samodoskonalenie w obszarze AML, cykliczna ocena ryzyka podmiotu pod kątem zasobów ludzkich wykorzystywanych w procesie AML oraz stosowanie wieloetapowego podejścia, na które składają się identyfikacja, ocena, aktualizacja i zarządzanie ryzykiem, a w części sytuacji do powyższego zakresu działań należy również dodać niezależny audyt AML.
• Podejście oparte na ryzyku powinno być stosowane na każdym etapie i w każdym aspekcie procesu AML – od identyfikacji i oceny ryzyka, przez tworzenie i aktualizowanie dokumentacji AML, po stosowanie zasad należytej staranności oraz weryfikację zgodności i nadzoru w celu aktualizacji dokumentów i podejścia instytucji obowiązanych do ryzyka AML.

Dlaczego w AML stosuje się podejście oparte na ryzyku?

Podejście oparte na ryzyku w procesach AML wymaga proaktywnego udziału instytucji obowiązanych, które muszą nieustannie angażować się w identyfikowanie i rozumienie zagrożeń, a także projektowanie i wdrażanie odpowiednich środków zarządzania ryzykiem AML.

Wysiłki te są jednak uzasadnione, gdyż risk-based approach przynosi wiele korzyści – zarówno na poziomie globalnej i krajowej walki z przestępczością, jak również z perspektywy optymalizacji działań pojedynczej instytucji obowiązanej.

Zastosowanie tego podejścia pozwala skoncentrować się na obszarach o najwyższym ryzyku, co zwiększa efektywność działań AML oraz poprawia elastyczność w reagowaniu na nowe zagrożenia. Skupienie się na obszarach wysokiego ryzyka pozwala instytucjom obowiązanym zoptymalizować czas i koszty związane z implementacją i stosowaniem programów AML. A poza tym, działania podejmowane przez instytucje obowiązane w obszarze AML zgodnie z podejściem opartym na ryzyku są w pełni zgodne z obowiązującym prawem polskim i unijnym.

Jakie wyzwania wiążą się z risk-based approach?

Stosowanie podejścia opartego na ryzyku wymaga od instytucji obowiązanych sporego zaangażowania, ciągłego poszerzania wiedzy i dużej świadomości tematów związanych z AML. Dotyczy to bardzo wielu szczegółowych obszarów, aby zapewnić kompleksowość i rzetelność oceny ryzyka oraz zagwarantować właściwe stosowanie środków bezpieczeństwa finansowego.

Potrzebne są między innymi wiarygodne źródła bazowe, dokładne analizy wielu zmiennych, stałe aktualizacje używanych danych, znajomość wciąż zmieniających się przepisów prawnych czy regularne dostosowywanie procedur do zmieniającej się sytuacji. Brak specjalistycznej wiedzy, brak wolnego czasu, brak sprawdzonych metodologii, brak dużego budżetu – z tym wszystkim muszą radzić sobie instytucje obowiązane.

Rozwiązaniem odpowiadającym na powyższe wyzwania są zaawansowane systemy AML – takie jak narzędzia iAML, które automatyzują procesy, umożliwiają szybką analizę dużych ilości danych i pomagają w efektywnym zarządzaniu ryzykiem, co znacząco zwiększa skuteczność działań w obszarze przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.

Chcesz w swojej firmie usprawnić procesy AML?
Skontaktuj się z nami, aby poznać narzędzia iAML – kompleksowe, aktualne, rzetelne, w pełni zgodne z prawem i dostępne finansowo nawet dla najmniejszych instytucji obowiązanych!