Stanowisko dotyczące oceny ryzyka instytucji obowiązanej

W związku z prowadzonymi czynnościami analityczno-kontrolnymi, Urząd Komisji Nadzoru Finansowego (UKNF) wskazuje na szczególne znaczenie dokonania przez instytucje obowiązane podlegające nadzorowi KNF (zwane dalej: instytucjami obowiązanymi) prawidłowej oceny ryzyka związanego z praniem pieniędzy oraz finansowaniem terroryzmu odnoszącego się do działalności instytucji.

Obowiązek związany z dokonaniem oceny ryzyka instytucji uregulowany został w art. 27 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2019 r. poz. 1115 z późn. zm., zwanej dalej: ustawą) i jest konsekwencją zapisów zawartych w art. 8 ust. 1 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylająca dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE (zwanej dalej: IV dyrektywą). Niniejszy dokument przedstawia dobre praktyki w zakresie wypełnienia wskazanego powyżej obowiązku, które powinny znaleźć zastosowanie w procesie identyfikacji i oceny ryzyka instytucji obowiązanych.

1. Istota oceny ryzyka.

UKNF podkreśla, że wymóg przeprowadzenia oceny ryzyka instytucji obowiązanej, o której mowa w art. 27 ust. 1 ustawy (zwanej dalej: oceną ryzyka), jest jednym z kluczowych obowiązków wprowadzonych przez ustawę. Ocena ryzyka stanowi bowiem najważniejszy dokument determinujący działania podejmowane przez instytucję obowiązaną w celu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (AML/CFT) będący punktem wyjścia do budowy wewnętrznych procesów związanych z AML/CFT. Ponadto ocena ryzyka ma istotny wpływ na:

- świadomość ekspozycji na ryzyko, a w konsekwencji apetytu na ryzyko instytucji obowiązanej,

- kształt wewnętrznych dokumentów regulujących obszar AML/CFT w instytucji obowiązanej,

- zakres i sposób stosowania środków bezpieczeństwa finansowego wobec klientów instytucji obowiązanej,

- praktyczne podejście do realizacji obowiązków dotyczących przeciwdziałania praniu pieniędzy i finansowania terroryzmu w instytucji obowiązanej,

- działania podejmowane przez instytucję obowiązaną w celu mitygacji ryzyka w obszarach jej działalności, szczególnie narażonych na ryzyko związane z praniem pieniędzy i finansowaniem terroryzmu (ML/FT).

2. Sposób przeprowadzenia oceny ryzyka.

2.1. Czynniki ryzyka podlegające ocenie.

Zgodnie z art. 27 ust. 1 ustawy minimalny katalog czynników ryzyka, które należy wziąć pod uwagę przy przeprowadzaniu oceny ryzyka obejmuje czynniki ryzyka dotyczące: klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw. Wszystkie wymienione czynniki muszą być w sposób bezpośredni każdorazowo uwzględnione w ocenie ryzyka przez instytucję obowiązaną. Powyższe czynniki powinny zostać poddane analizie, której zakres i stopień skomplikowania powinien być zależny od charakteru działalności instytucji oraz skali prowadzonej przez nią działalności. Analiza powinna uwzględniać występowanie elementów wskazanych w art. 43 ust. 2 ustawy, które mogą świadczyć o wyższym ryzyku prania pieniędzy oraz finansowania terroryzmu. Przykłady obszarów powiązanych z poszczególnymi czynnikami ryzyka wskazanymi w art. 27 ust. 1 ustawy, które powinny być uwzględnione w procesie oceny ryzyka są zamieszczone w Załączniku nr 1 do niniejszego stanowiska.

UKNF podkreśla, że wskazany w art. 27 ust. 1 ustawy katalog czynników ryzyka nie jest katalogiem zamkniętym i działania podejmowane przez instytucje obowiązane, przy uwzględnieniu skali i charakteru prowadzonej działalności, mogą obejmować identyfikację i analizę dodatkowych czynników ryzyka, np.:

- narzędzia i systemy informatyczne wykorzystywane przez instytucję obowiązaną (np. systemy wspomagające proces analizy transakcji, systemy do weryfikacji klientów względem list sankcyjnych, itp.),

- stopień uzależnienia instytucji obowiązanej w obszarze związanym z AML/CFT od dostawców zewnętrznych,

- outsourcing procesów związanych z AML/CFT,

- adekwatność struktury organizacyjnej oraz liczby pracowników odpowiedzialnych za wykonywanie obowiązków AML/CFT w stosunku do zidentyfikowanego ryzyka,

- skala rotacji pracowników oraz kierownictwa jednostek odpowiedzialnych za procesy AML/CFT,

- efektywność systemu kontroli wewnętrznej i jego adekwatność w stosunku do wielkości instytucji obowiązanej,

- efektywność systemu szkoleń w zakresie AML/CFT,

- planowane przez instytucję obowiązaną zmiany w działalności biznesowej, w szczególności jeśli dotyczą czynników ryzyka wskazanych w art. 27 ust. 1 ustawy,

- spodziewane zmiany struktury i liczby klientów, przychodów, wolumenów przeprowadzanych transakcji, itp.,

- planowane zmiany w strukturze organizacyjnej instytucji obowiązanej,

- planowane działania wynikające ze strategii instytucji obowiązanej, w szczególności planowane fuzje i przejęcia lub zmiany w strukturze własnościowej instytucji obowiązanej,

- możliwość zapewnienia ciągłości działania procesów AML/CFT w przypadku wystąpienia sytuacji kryzysowych niezależnych od instytucji obowiązanej,

- istotne zmiany w otoczeniu prawnym związane z przeciwdziałaniem praniu pieniędzy i finansowaniem terroryzmu.

Wskazana w Załączniku nr 1 lista obszarów, które mogą być wzięte pod uwagę w procesie oceny ryzyka oraz lista dodatkowych czynników ryzyka są listami otwartymi i UKNF oczekuje od instytucji obowiązanych uwzględnienia innych, nie wskazanych w niniejszym dokumencie, czynników lub obszarów ryzyka, jeżeli mają one wpływ na ryzyko instytucji.

2.2. Źródła informacji.

Artykuł 27 ust. 2 ustawy wskazuje na dwa źródła, które mogą być wykorzystane przez instytucje obowiązane w procesie oceny ryzyka - Krajową Ocenę Ryzyka, o której mowa w art. 29 ustawy oraz sprawozdanie Komisji Europejskiej w sprawie oceny ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu, które ma wpływ na rynek wewnętrzny i dotyczy działalności transgranicznej (zwane dalej: Ponadnarodową Oceną Ryzyka). Zapis art. 27 ust. 2 ustawy został dodatkowo wzmocniony Komunikatem UKNF z dnia 24 lipca 2019 r. w sprawie publikacji Krajowej Oceny Ryzyka Prania Pieniędzy oraz Finansowania Terroryzmu, który wprost wskazuje, że instytucje obowiązane powinny uwzględnić Krajową Ocenę Ryzyka przy przeprowadzaniu oceny ryzyka instytucji.

Niezależnie od powyższego, w celu uzyskania pełniejszej wiedzy dotyczącej ekspozycji na ryzyko oraz poszczególnych czynników ryzyka, instytucje obowiązane powinny wykorzystywać dodatkowe źródła informacji, takie jak:

- wyniki audytów, zarówno wewnętrznych, jak i zewnętrznych, - dokumenty wewnętrzne instytucji obowiązanej,

- procedury i dokumenty opracowane przez inne instytucje działające w ramach tej samej grupy,

- szeroko rozumiana wiedza ekspercka,

- stanowiska lub komunikaty odpowiednich organów, takich jak UKNF, Generalny Inspektor Informacji Finansowej (GIIF), Narodowy Bank Polski,

- opracowania Europejskich Urzędów Nadzoru, takich jak Europejski Urząd Nadzoru Bankowego (EUNB), Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA), Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA),

- opracowania instytucji branżowych, funkcjonujących w ramach obszarów nadzorowanych przez KNF,

- opracowania instytucji międzynarodowych zajmujących się przeciwdziałaniem praniu pieniędzy, w szczególności Financial Action Task Force (FATF), Moneyval, Organizacji Narodów Zjednoczonych.

2.3. Metodyka i struktura oceny ryzyka

Ustawa nie narzuca konkretnej metodyki, jaką należy zastosować w toku przygotowania oceny ryzyka. Instytucje obowiązane mogą zastosować zarówno metody ilościowe, polegające na określeniu wartości skutku i prawdopodobieństwa materializacji danego ryzyka, jakościowe szacowanie ryzyka, które jest indywidualną oceną opartą m.in. na dobrych praktykach i doświadczeniu, jak również metody mieszane, wykorzystujące elementy metody jakościowej i ilościowej. Niezależnie od przyjętej przez instytucję obowiązaną metodyki, jej opis powinien być jednym z elementów oceny ryzyka.

UKNF oczekuje, że minimalny standard metodyczny, który należy uwzględnić w toku opracowania oceny ryzyka (przy uwzględnieniu pewnej dowolności w odniesieniu do zastosowanej metodyki) będzie obejmował 4 elementy:

- ocenę ryzyka inherentnego, czyli ryzyka występującego w sytuacji braku działań podjętych w celu zmniejszenia prawdopodobieństwa wystąpienia ryzyka i/lub ograniczenia jego efektów, w odniesieniu do każdego czynnika ryzyka wymienionego w art. 27 ust. 1 ustawy,

- wskazanie mitygantów ryzyka oraz poddanie ocenie ich efektywności,

- ocenę ryzyka rezydualnego, czyli ryzyka pozostającego po wprowadzeniu procedur kontroli ryzyka, mitygantów oraz po dokonaniu oceny ich efektywności,

- zdefiniowanie planowanych przez instytucję obowiązaną działań w celu zarządzania ryzykiem rezydualnym (o ile są planowane).

Instytucje obowiązane, po dokonaniu oceny ryzyka inherentnego i rezydualnego związanego z poszczególnymi czynnikami ryzyka, o których mowa powyżej, powinny określić finalną podatność instytucji na ryzyko związane z praniem pieniędzy oraz finansowaniem terroryzmu. Należy przy tym pamiętać, że przyjęte założenia i wnioski muszą być racjonalne i powinny rzetelnie określać ekspozycję na ryzyko instytucji. Jest to szczególnie istotne w przypadku instytucji działających na dużą skalę, których finalna podatność na ryzyko co do zasady nie powinna być oceniona na poziomie niskim, ze względu na szeroką gamę oferowanych produktów. Należy przy tym zaznaczyć, że nawet wysoki poziom podatności na ryzyko nie musi świadczyć o nieefektywności mitygantów ryzyka lub procesów funkcjonujących w instytucji obowiązanej. Wysoki poziom ekspozycji na ryzyko może wskazywać na dużą świadomość zagrożeń związanych z praniem pieniędzy i finansowaniem terroryzmu na jakie narażona jest instytucja obowiązana, a w konsekwencji na istotność procesów związanych z AML/CFT. Jest to nad wyraz ważne w kontekście instytucji działających na dużą skalę, o których mowa powyżej, ponieważ prawidłowo oceniony poziom ryzyka i nadanie odpowiedniej rangi procesom AML/CFT pozwalają na efektywne zarządzanie ryzykiem, którego najczęściej nie można całkowicie wyeliminować.

W przypadku banków, należy również wziąć pod uwagę implikacje wynikające z zapisów ustawy - Prawo bankowe oraz Rekomendacji M Komisji Nadzoru Finansowego dotyczącej zarządzania ryzykiem operacyjnym w bankach. Zgodnie z art. 22a ust. 6 pkt 2 ustawy - Prawo bankowe, prezesowi zarządu banku nie może być powierzony nadzór nad obszarem działalności banku stwarzającym ryzyko istotne w działalności banku. Rekomendacja M istotny obszar działalności banku definiuje jako wskazaną przez bank, dającą się wyodrębnić przedmiotowo, podmiotowo, terytorialnie lub organizacyjnie część działalności banku, wywierającą istotny wpływ na jego sytuację, a w szczególności stanowiącą istotne źródło finansowania lub istotne źródło przychodów, lub związaną z istotnym ryzykiem. Biorąc pod uwagę powyższe, w przypadku gdy w wyniku oceny ryzyka bank działający w formie spółki akcyjnej oszacuje finalną podatność instytucji na ryzyko związane z praniem pieniędzy i finansowaniem terroryzmu na poziomie wysokim, należy rozważyć czy osobą, o której mowa w art. 7 ustawy, odpowiedzialną za wdrażanie obowiązków określonych w ustawie (czyli de facto odpowiedzialną za nadzór nad obszarem AML/CFT) może być prezes zarządu banku. Powyższa implikacja nie ma zastosowania do banków spółdzielczych, ze względu na przepis art. 20a ust. 1 pkt 1 ustawy - Prawo bankowe, zgodnie z którym w banku spółdzielczym członkiem zarządu nadzorującym ryzyko istotne w działalności banku jest prezes zarządu.

Proces oceny ryzyka może skutkować identyfikacją obszarów wymagających naprawy, bądź też poziom ryzyka rezydualnego może przekraczać apetyt na ryzyko instytucji. W takim przypadku, konsekwencją powinno być wskazanie działań, które zostaną podjęte przez instytucję obowiązaną w celu zaadresowania zidentyfikowanych nieprawidłowości lub w celu obniżenia ryzyka do akceptowalnego poziomu. Opracowanie harmonogramu oraz wskazanie jednostki odpowiedzialnej za realizację planowanych działań powinno być uwzględnione w ocenie ryzyka. UKNF oczekuje, że wskazane w harmonogramie terminy realizacji działań, o których mowa powyżej, będą racjonalne i będą uwzględniały zarówno konieczność niezwłocznego podjęcia niezbędnych działań, jak i faktyczne możliwości ich realizacji.

Zgodnie z art. 27 ust. 3 ustawy, ocena ryzyka powinna zostać sporządzona w postaci papierowej lub elektronicznej i powinna podlegać aktualizacji nie rzadziej niż co 2 lata. Wskazany powyżej artykuł ustawy obliguje instytucje obowiązane do aktualizacji oceny ryzyka, w przypadku wystąpienia zmian czynników ryzyka dotyczących klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw albo dokumentów, o których mowa w art. 27 ust. 2 ustawy (tj. Krajowej Oceny Ryzyka lub Ponadnarodowej Oceny Ryzyka). UKNF oczekuje, że oprócz wystąpienia wskazanych w art. 27 ust. 3 ustawy przypadków, obligujących do aktualizacji oceny ryzyka, instytucje obowiązane rozważą przeprowadzenie aktualizacji oceny ryzyka w sytuacji zaistnienia istotnych i długotrwałych zmian w otoczeniu gospodarczym, które mogą mieć znaczący wpływ na działalność operacyjną instytucji obowiązanej oraz sposób wykorzystania produktów i usług przez nią oferowanych. Należy przy tym zaznaczyć, że okresowy przegląd powinien obejmować również ocenę aktualności i adekwatności metodyki przyjętej do opracowania oceny ryzyka oraz realizację działań, które zostały podjęte przez instytucję obowiązaną w celu zarządzania ryzykiem rezydualnym, wskazanych w ocenie ryzyka.

3. Zatwierdzenie oceny ryzyka.

UKNF oczekuje, że ocena ryzyka oraz jej aktualizacje będą każdorazowo zatwierdzane przez osobę odpowiedzialną za wdrażanie obowiązków określonych w ustawie, o której mowa w art. 7 ustawy, lub przez zarząd instytucji obowiązanej. Należy również pamiętać, że ocena ryzyka powinna być przedstawiana zarządowi oraz radzie nadzorczej instytucji obowiązanej, jako dokument zawierający aktualne informacje o stopniu ekspozycji na ryzyko instytucji, zidentyfikowanych zagrożeniach i lukach w procesie AML/CFT oraz planowanych działaniach w celu zarządzania ryzykiem rezydualnym. UKNF oczekuje, że w przypadku, gdy:

- poziom ryzyka instytucji obowiązanej zostanie określony, jako wysoki,

- poziom ryzyka odbiega od apetytu na ryzyko instytucji,

- planowane są działania na dużą skalę w celu skutecznego zarządzania ryzykiem rezydualnym,

ocena ryzyka oraz jej aktualizacje będą zatwierdzana przez zarząd oraz radę nadzorczą instytucji obowiązanej.

Ocena ryzyka powinna stanowić punkt wyjścia przy podejmowaniu strategicznych decyzji biznesowych na poziomie zarządu instytucji dotyczących AML/CFT oraz do zdefiniowania apetytu na ryzyko AML/CFT określającego akceptowalny poziom ryzyka. Ocena ryzyka powinna również stanowić materiał pomocniczy dla kierownictwa instytucji przy zapewnieniu, że zasoby i priorytety są dostosowane odpowiednio do ryzyka.

Zgodnie z art. 27 ust. 4 ustawy, ocena ryzyka może być udostępniona organom samorządów zawodowych lub stowarzyszeń skupiających te instytucje obowiązane. Należy przy tym pamiętać, że ocena ryzyka zawiera kluczowe informacje dotyczące procesu AML/CFT funkcjonującego w instytucji obowiązanej, wraz z informacjami o ewentualnych lukach i niedoskonałościach tego procesu. W związku z powyższym, instytucje obowiązane powinny traktować ocenę ryzyka, jako dokument zawierający informacje wrażliwe i powinny zachować ostrożność przy jego udostępnianiu, zarówno pracownikom instytucji obowiązanej niezaangażowanym w procesy AML/CFT, jak i osobom/podmiotom trzecim. Instytucje obowiązane powinny rozważyć przygotowanie oddzielnego dokumentu stanowiącego podsumowanie oceny ryzyka, zawierającego podstawowe informacje o ekspozycji na ryzyko instytucji obowiązanej, ale nieobejmującego szczegółowych informacji dotyczących procesów AML/CFT funkcjonujących w instytucji obowiązanej, ani ewentualnych luk w systemie AML/CFT. Ewentualne udostępnienie osobom/podmiotom trzecim wskazanego powyżej podsumowania oceny ryzyka wiązałoby się z mniejszym ryzykiem wykorzystania informacji zawartych w dokumencie do prania pieniędzy lub finansowania terroryzmu.

4. Najczęstsze błędy.

UKNF w toku przeprowadzanych czynności kontrolnych poddaje szczegółowemu badaniu oceny ryzyka opracowane przez instytucje obowiązane, jako kluczowe dokumenty wskazujące zidentyfikowane ryzyka związane z praniem pieniędzy i finansowaniem terroryzmu oraz definiujące działania podjęte przez instytucję w celu ich mitygacji.

Doświadczenia z inspekcji przeprowadzonych przez UKNF wskazują, że wśród najczęstszych błędów popełnianych przez instytucje obowiązane były:

- pominięcie niektórych czynników ryzyka wskazanych w art. 27 ust. 1 ustawy,

- niewskazanie finalnych wniosków wynikających z oceny ryzyka,

- brak harmonogramu planowanych działań instytucji obowiązanej w celu mitygacji ryzyka lub nieracjonalne terminy zawarte w harmonogramie działań,

- niezrozumienie różnic pomiędzy ryzykiem inherentnym a rezydualnym,

- nieodpowiedni dobór metodyki, nie uwzględniający istotnych z punktu widzenia instytucji obowiązanej czynników ryzyka lub określający podatność na ryzyko w sposób nieadekwatny do skali i rodzaju działalności.

Powyższe dobre praktyki powinny być stosowane przy przeprowadzeniu lub aktualizacji oceny ryzyka przez instytucje nadzorowane, a ich stosowanie będzie podlegało ocenie w toku czynności kontrolnych prowadzonych przez UKNF.

Ponadto należy zwrócić uwagę, że niesporządzenie oceny ryzyka lub niedokonanie jej aktualizacji w przypadkach określonych w punkcie 2.3 niniejszego stanowiska zagrożone jest odpowiedzialnością administracyjną, określoną w art. 147 pkt 2 ustawy.

Załącznik nr 1 - Przykłady obszarów powiązanych z poszczególnymi czynnikami ryzyka wskazanymi w art. 27 ust. 1 ustawy, które powinny być uwzględnione w procesie oceny ryzyka.