1. Rola i znaczenie Procedury AML/CFT
• Procedura AML/CFT jako kluczowy element systemu zarządzania ryzykiem ML/TF
• Funkcja dokumentu: operacyjna (dla zespołów AML), instrukcyjna (dla pracowników biznesowych), dowodowa (dla regulatora)
• Konieczność zapewnienia: zgodności z przepisami krajowymi i UE i spójności z wytycznymi (EBA, AMLA, GIIF, UKNF)
2. Governance i odpowiedzialność w AML, obowiązek formalnego wyznaczenia:
o kadry kierowniczej wyższego szczebla (art. 6),
o członka zarządu odpowiedzialnego za AML (art. 7),
o AMLRO (art. 8)
• Rozdzielenie roli AMLRO (wymóg niezależności), wymogi wobec AMLRO: wiedza ekspercka, doświadczenie, niezależność operacyjna
• Konieczność zapewnienia w organizacji:
o zastępowalności funkcji,
o formalnego umocowania w dokumentach wewnętrznych
3. Procedura AML/CFT – wymogi formalne
• Obowiązek zatwierdzenia przez kadrę kierowniczą oraz dokumentowania procesu zatwierdzenia
• Konsekwencja braku czyli naruszenie art. 50 ustawy AML
• Wymogi w zakresie ciągłej aktualizacji procedury oraz dostosowania do zmian regulacyjnych i biznesowych
4. Procedura grupowa AML/CFT,
Kiedy jest obowiązkowa? Jaki jest jej cel? (min. bezpieczna i efektywna wymiana informacji AML w grupie)
Kluczowe zasady procedury:
• obowiązek inicjatywy także po stronie jednostki zależnej
• zasada „wyższego standardu” (stosowanie surowszych regulacji)
Podstawowe elementy obowiązkowe:
• zakres podmiotowy wymiany informacji
• zakres danych (z uwzględnieniem tajemnicy AML)
• kanały i odpowiedzialności
• mechanizmy ochrony informacji
• zasady ochrony danych osobowych
• procedury na wypadek wycieku danych
• tryb działania przy zakazie ujawnienia (GIIF)
5. Ocena ryzyka ML/TF
Kluczowe wymogi formalne:
• obowiązek sporządzenia i aktualizacji (min. co 2 lata)
• uwzględnienie: klientów, geografii, produktów/usług, kanałów dystrybucji
• rozszerzenie analizy o: systemy IT, outsourcing, strukturę organizacyjną, efektywność kontroli, szkolenia
• obowiązek uwzględnienia:
o krajowej oceny ryzyka,
o raportów KE
• konieczność: dokumentowania metodologii oraz formalnego zatwierdzania przez zarząd
Podstawowe etapy oceny:
1. Ryzyko inherentne (bez kontroli)
2. Identyfikacja mitygantów
3. Ocena efektywności kontroli
4. Ryzyko rezydualne
6. Ocena ryzyka klienta (CDD – poziom operacyjny)
• Klasyfikacja klientów na grupy ryzyka: niskie, normalne, wysokie, nieakceptowalne
• Kluczowe czynniki ryzyka: klient, geografia, produkt/usługa, kanał dystrybucji, wartość transakcji, cel relacji
• Nowe wymogi UKNF: opis matrycy ryzyka w procedurze i transparentna metodologia scoringu
7. Dynamiczne zarządzanie ryzykiem klienta
• obowiązek bieżącej aktualizacji danych oraz okresowych przeglądów
• obowiązkowa aktualizacja w przypadku: zmiany modelu biznesowego, oferowania nowych produktów, zmian geopolitycznych
• obowiązek dokumentowania historii zmian
8. Środki bezpieczeństwa finansowego (CDD/EDD/SDD)
• intensywność środków zależna od ryzyka (podejście disk base approach)
• brak oceny czynników ryzyka w oparciu o automatyczne decyzje
• obowiązek zdefiniowania katalogów działań dla każdej kategorii ryzyk (uproszczone środki (SDD), standardowe środki (CDD), wzmożone środki (EDD)
• Obowiązek stosowania wzmożonych środków dla okoliczności PEP / RCA, relacje korespondenckie, kraje wysokiego ryzyka, transakcje nietypowe
• Integracja oceny ryzyka AML ze środkami ograniczającymi – obowiązek przeprowadzania oceny ryzyka sankcyjnego
9. PEP – podejście regulacyjne i ryzyko (instytucje obowiązane muszą aktywnie ustalać ryzyko PEP)
• Metody weryfikacji: oświadczenia klienta, open source intelligence (OSINT), komercyjne bazy danych (screening PEP) – kluczowa jest niezależna weryfikacja
• Wzmożone środki bezpieczeństwa przed nawiązaniem relacji: decyzja zarządu, decyzje oparte o indywidualne czynniki (case-by-case), należycie dokumentowane
• Konieczność ustalenia: źródła majątku (wealth), źródła środków (funds) oraz prowadzenia wzmożonego nadzóru nad transakcjami
• minimum 12 miesięcy po zakończeniu funkcji PEP
10. Kraje wysokiego ryzyka – podejście regulacyjne
• Zapewnienie zgodności min z rozporządzeniem Komisji UE poprzez zautomatyzowane stosowanie
• Kluczowe obowiązki to monitoring zmian listy, systematyczna aktualizacja bazy klientów, własna ocena ryzyka krajów
• “Związek z krajem trzecim wysokiego ryzyka” – szeroka interpretacja EBA: obywatelstwo, miejsce urodzenia, działalność gospodarcza, relacje biznesowe, powiązania osobiste
• Dodatkowe obowiązki instytucji obowiązanych: przeprowadzić analizę powiązań z krajem, wyjaśnić stosowanie wzmożonych vs standardowe środki
• Dodatkowe działania ograniczające: rozszerzony monitoring, zwiększone raportowanie, ograniczenie relacji lub transakcji
11. Transakcje – czynniki ryzyka, raportowanie
• Elementy określające transakcje nietypowe w praktyce: skomplikowane, wysokokwotowe bez uzasadnienia, nietypowe operacyjnie, bez uzasadnienia ekonomicznego
• Dodatkowe obowiązki w związku z transakcjami nietypowymi: wyjaśnienie transakcji, zastosowanie przykładowych wzmożonych środków: dodatkowe dokumenty (np. podatkowe, umowy), analiza historii transakcji, częstszy KYC refresh, drugi dokument tożsamości, zgoda senior management
• Monitoring relacji kluczowe elementy: zgodność transakcji z profilem klienta: wartość, częstotliwość, kierunki geograficzne, typ operacji
• Monitoring relacji w systemach: alerty transakcyjne, reguły oparte na typologiach (np. FATF, GIIF)
• Raportowanie transakcji i okoliczności podejrzanych (min. okres na przekazanie danych, dane dostosowane do ryzyka usługi / produktu, zakaz ujawniani faktu zgłoszenia)
12. Dokumentacja – należyta staranność i ścieżka audytu a podejście oparte o ryzyko
• Podstawowa zasada każda czynność musi być udokumentowana, a decyzje muszą być uzasadnione i możliwe do audytu (min. analizy transakcji, postępowania wyjaśniające)
• Obowiązek i okresy przechowywania dokumentacji: dokumenty KYC / CDD (identyfikacja klienta i beneficjenta rzeczywistego), dane transakcyjne i dowody transakcji, wyniki analiz AML (monitoring transakcji).
• Częste błędy: brak rozróżnienia okresów dla różnych typów danych, brak spójnej polityki archiwizacji, brak możliwości szybkiego odtworzenia historii klienta.
13. System szkoleń AML/CFT
• Cel to budowa realnych kompetencji AML w organizacji (nie zadanie „tick-the-box”)
• Szkoleniom podlegają: wszyscy pracownicy AML, kadra zarządzająca, agenci, outsourcing, współpracownicy.
• Obowiązkowe elementy programu wewnętrznego: szkolenie przed rozpoczęciem pracy, szkolenia cykliczne (min. co 2 lata), szkolenia ad hoc (zmiany prawa, incydenty).
• Obowiązkowe elementy w przypadku outsourcingu: obowiązek szkoleniowy w umowie, prawo do kontroli procesu szkoleniowego, dostęp do dowodów szkoleń.
• Należyte dokumentowanie: kto, kiedy, zakres, prowadzący (brak dokumentacji = brak szkolenia.
14. Beneficjent rzeczywisty – rozbieżności w CRBR
• Zapewnienie rzetelności danych o beneficjentach rzeczywistych poprzez min.: porównanie danych klienta z CRBR, identyfikacja rozbieżności, wyjaśnienie przyczyn.
• Procedura wyjaśniani rozbieżności musi określać: działania wyjaśniające (kontakt z klientem, analiza struktury), dokumentowanie procesu, moment zakończenia (zgodność danych).
• Obowiązkowe po potwierdzeniu rozbieżności – zgłoszenie do organu właściwego ds. CRBR.
• Problemy z ustaleniem beneficjenta rzeczywistego min.: dokumentowanie wszystkich prób identyfikacji, dokumentowanie utrudnień, uzasadnienie zastosowania „senior managing official”.
15. Informacja zarządcza i raportowanie AML
• rola wsparcie decyzji strategicznych oraz nadzór nad efektywnością systemu AML
• obowiązek prowadzenia pełnej dokumentacji: decyzji, ocen ryzyka, działań AML pod kątem możliwości odtworzenia procesu decyzyjnego
16. Najczęstsze błędy identyfikowane przez nadzorcę
• brak aktualizacji procedury AML
• formalne, a nie faktyczne podejście do risk-based approach
• niewystarczająca dokumentacja decyzji
• brak spójności między ORI a praktyką operacyjną
• niedoszacowanie ryzyka sektorowego
• brak realnej niezależności AMLRO