Ocena ryzyka instytucji obowiązanej

Monitor Prawa Bankowego 2022/01 Styczeń

W związku z prowadzonymi czynnościami analityczno-kontrolnymi, Urząd Komisji Nadzoru Finansowego (UKNF) wskazuje na szczególne znaczenie dokonania przez instytucje obowiązane podlegające nadzorowi KNF (zwane dalej: „instytucjami obowiązanymi”) prawidłowej oceny ryzyka związanego z praniem pieniędzy oraz finansowaniem terroryzmu odnoszącego się do działalności instytucji.

Obowiązek związany z dokonaniem oceny ryzyka instytucji uregulowany został w art. 27 ustawy z 1.03.2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu(Dz.U. z 2019 r., poz. 1115, ze zm., zwanej dalej: „ustawą”)i jest konsekwencją zapisów zawartych w art. 8 ust. 1 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/849 z 20.05.2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniającej rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylającej dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE (zwanej dalej: „IV dyrektywą”).Niniejszy dokument przedstawia dobre praktyki w zakresie wypełnienia wskazanego powyżej obowiązku, które powinny znaleźć zastosowanie w procesie identyfikacji i oceny ryzyka instytucji obowiązanych.

1. Istota oceny ryzyka.

UKNF podkreśla, że wymóg przeprowadzenia oceny ryzyka instytucji obowiązanej, o której mowa w art. 27 ust. 1 ustawy(zwanej dalej: „oceną ryzyka”),jest jednym z kluczowych obowiązków wprowadzonych przez ustawę. Ocena ryzyka stanowi bowiem najważniejszy dokument determinujący działania podejmowane przez instytucję obowiązaną w celu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (AML/CFT)będący punktem wyjścia do budowy wewnętrznych procesów związanych z AML/CFT. Ponadto ocena ryzyka ma istotny wpływ na:

- świadomość ekspozycji na ryzyko, a w konsekwencji apetytu na ryzyko instytucji obowiązanej,

- kształt wewnętrznych dokumentów regulujących obszar AML/CFTw instytucji obowiązanej,

- zakres i sposób stosowania środków bezpieczeństwa finansowego wobec klientów instytucji obowiązanej,

- praktyczne podejście do realizacji obowiązków dotyczących przeciwdziałania praniu pieniędzy i finansowania terroryzmu w instytucji obowiązanej,

- działania podejmowane przez instytucję obowiązaną w celu mitygacji ryzyka w obszarach jej działalności, szczególnie narażonych na ryzyko związane z praniem pieniędzy i finansowaniem terroryzmu (ML/FT).

2. Sposób przeprowadzenia oceny ryzyka.

2.1. Czynniki ryzyka podlegające ocenie.

Zgodnie z art. 27 ust. 1 ustawyminimalny katalog czynników ryzyka, które należy wziąć pod uwagę przy przeprowadzaniu oceny ryzyka obejmuje czynniki ryzyka dotyczące: klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw. Wszystkie wymienione czynniki muszą być w sposób bezpośredni każdorazowo uwzględnione w ocenie ryzyka przez instytucję obowiązaną. Powyższe czynniki powinny zostać poddane analizie, której zakres i stopień skomplikowania powinien być zależny od charakteru działalności instytucji oraz skali prowadzonej przez nią działalności. Analiza powinna uwzględniać występowanie elementów wskazanych w art. 43 ust. 2 ustawy, które mogą świadczyć o wyższym ryzyku prania pieniędzy oraz finansowania terroryzmu. Przykłady obszarów powiązanych z poszczególnymi czynnikami ryzyka wskazanymi w art. 27 ust. 1 ustawy, które powinny być uwzględnione w procesie oceny ryzyka są zamieszczone w Załączniku nr 1 do niniejszego stanowiska.

UKNF podkreśla, że wskazany w art. 27 ust. 1 ustawykatalog czynników ryzyka nie jest katalogiem zamkniętym i działania podejmowane przez instytucje obowiązane, przy uwzględnieniu skali i charakteru prowadzonej działalności, mogą obejmować identyfikację i analizę dodatkowych czynników ryzyka, np.:

- narzędzia i systemy informatyczne wykorzystywane przez instytucję obowiązaną (np. systemy wspomagające proces analizy transakcji, systemy do weryfikacji klientów względem list sankcyjnych itp.),

- stopień uzależnienia instytucji obowiązanej w obszarze związanym z AML/CFTod dostawców zewnętrznych,

- outsourcing procesów związanych (...)