Ocena ryzyka to jeden z kluczowych obowiązków instytucji obowiązanych wynikający z ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2023 r., poz. 1124, ze zm.), inaczej zwana ustawą AML/CFT. Jej celem jest identyfikacja i monitorowanie zagrożeń związanych z praniem pieniędzy oraz finansowaniem terroryzmu.
Kiedy Należy Sporządzić Ocenę Ryzyka i jak często ją aktualizować?
Zgodnie z art. 27 ust. 3 ustawy AML/CFT, instytucje obowiązane sporządzają ocenę ryzyka w szczególności w związku ze zmianami czynników ryzyka dotyczących:
- klientów,
- państw lub obszarów geograficznych,
- produktów,
- usług,
- transakcji
- kanałów dostaw
- albo dokumentów, o których mowa w art. 27 ust. 2 w/w ustawy, czyli Krajowej Oceny Ryzyka, jak również sprawozdania Komisji Europejskiej, o którym mowa w art. 6 ust. 1-3 dyrektywy 2015/849.
Jest to katalog obowiązkowy, niezależnie od wielkości instytucji obowiązanej dokonującej oceny, ale jednocześnie należy pamiętać o tym, że nie jest to katalog zamknięty.
Zgodnie z art. 27 ust. 3 ustawy AML, instytucje obowiązane sporządzają ocenę ryzyka w postaci papierowej lub elektronicznej i w razie potrzeby, nie rzadziej jednak niż co 2 lata, ją aktualizują.
Podczas przeglądu oceny ryzyka instytucji obowiązanej należy pamiętać o zapisie art. 193 ustawy AML/CFT, zgodnie z którym instytucje obowiązane powinny sporządzić pierwszą ocenę ryzyka w terminie 6 miesięcy od dnia wejścia w życie ustawy, tj. do 13.01.2019 r.
Uwzględniając w/w zapisy należy wziąć pod uwagę, iż wszystkie instytucje obowiązane powinny sporządzić aktualizację pierwszej oceny ryzyka, nie później niż, do dnia 13.01.2021 r., kolejną do dnia 13.01.2023 r., a kolejną do 13.01.2025 r.
Szkolenie AML/CFT dla biur rachunkowych.
Zainteresowany wzięciem udziału w kursie?
O jaką metodykę instytucja obowiązana ma oprzeć Ocenę Ryzyka?
W prawdzie ustawa AML/CFT nie wskazuje konkretnych metod, ale dokładne zasady znajdziemy w stanowisku Urzędu Komisji Nadzoru Finansowego dotyczącego oceny ryzyka instytucji obowiązanej z dnia 15.04.2020 r.
UKNF oczekuje, że minimalny standard metodyczny, który należy uwzględnić w toku opracowania oceny ryzyka (przy uwzględnieniu pewnej dowolności w odniesieniu do zastosowanej metodyki) będzie obejmował 4 elementy:
- ocenę ryzyka inherentnego, czyli ryzyka występującego w sytuacji braku działań podjętych w celu zmniejszenia prawdopodobieństwa wystąpienia ryzyka i/lub ograniczenia jego efektów, w odniesieniu do każdego czynnika ryzyka wymienionego w art. 27 ust. 1 ustawy,
- wskazanie mitygantów ryzyka oraz poddanie ocenie ich efektywności,
- ocenę ryzyka rezydualnego, czyli ryzyka pozostającego po wprowadzeniu procedur kontroli ryzyka, mitygantów oraz po dokonaniu oceny ich efektywności,
- zdefiniowanie planowanych przez instytucję obowiązaną działań w celu zarządzania ryzykiem rezydualnym (o ile są planowane).
Instytucje obowiązane, po dokonaniu oceny ryzyka inherentnego i rezydualnego związanego z poszczególnymi czynnikami ryzyka, o których mowa powyżej, powinny określić finalną podatność instytucji na ryzyko związane z praniem pieniędzy oraz finansowaniem terroryzmu.
Należy przy tym pamiętać, że przyjęte założenia i wnioski muszą być racjonalne i powinny rzetelnie określać ekspozycję na ryzyko instytucji. Jest to szczególnie istotne w przypadku instytucji działających na dużą skalę, których finalna podatność na ryzyko co do zasady nie powinna być oceniona na poziomie niskim, ze względu na szeroką gamę oferowanych produktów.
Kto odpowiada za przygotowanie i zatwierdzenie ocenę ryzyka?
Ocenę ryzyka powinien przygotowywać AMLRO, czyli osoba wyznaczona z art. 8 Ustawy AML/CFT, w skład której zadań wchodzi zapewnienie zgodności działalności instytucji obowiązanej.
Ustawa AML/CFT nie przewiduje trybu zatwierdzania przygotowanej oceny ryzyka, jednakże analizując wagę i rolę, jaka została przypisana ocenie ryzyka, wskazane jest, aby była ona zatwierdzana, wraz z planem działania, przez osobę, o której mowa w art. 7 ustawy AML, albo przez Zarząd instytucji obowiązanej. Także Urząd Komisji Nadzoru Finansowego, w swoim stanowisku z dnia 15 kwietnia 2020 r., dotyczącym oceny ryzyka instytucji obowiązanej przychylił się do powyższych założeń i oczekuje, że ocena ryzyka oraz jej aktualizacje będą każdorazowo zatwierdzane przez osobę odpowiedzialną za wdrażanie obowiązków określonych w ustawie, o której mowa w art. 7 ustawy, lub przez zarząd instytucji obowiązanej. Należy również pamiętać, że ocena ryzyka powinna być przedstawiana zarządowi oraz radzie nadzorczej instytucji obowiązanej, jako dokument zawierający aktualne informacje o stopniu ekspozycji na ryzyko instytucji, zidentyfikowanych zagrożeniach i lukach w procesie AML/CFT oraz planowanych działaniach w celu zarządzania ryzykiem rezydualnym.
UKNF oczekuje także, że w przypadku, gdy:
- poziom ryzyka instytucji obowiązanej zostanie określony, jako wysoki,
- poziom ryzyka odbiega od apetytu na ryzyko instytucji,
- planowane są działania na dużą skalę w celu skutecznego zarządzania ryzykiem rezydualnym,
ocena ryzyka oraz jej aktualizacje będą zatwierdzane przez zarząd oraz radę nadzorczą instytucji obowiązanej.
Podsumowanie
Ocena ryzyka to nie tylko obowiązek regulacyjny, ale także kluczowe narzędzie w skutecznym zarządzaniu zagrożeniami ML/FT. Regularne aktualizacje, racjonalna analiza ryzyka oraz zatwierdzanie oceny przez zarząd i radę nadzorczą pozwalają instytucjom obowiązanym minimalizować ryzyko związane z przestępczością finansową.
Stanowisko UKNF dotyczące oceny ryzyka instytucji obowiązanej, z dnia 15 kwietnia 2020 r.
