Niniejszy artykuł stanowi kontynuację publikacji[1] dotyczącej Wytycznych Europejskiego Urzędu Nadzoru Bankowego („EBA”) z dnia 14 czerwca 2022 roku dotyczących m.in. roli i obowiązków AML Officera[2].
Druga część skupia się na wytycznych kierowanych do AML Officera (w pierwszej części skupiliśmy się na wymaganiach stawianych organowi zarządzającemu, członkowi zarządu ds. AML oraz kadrze kierowniczej wyższego szczebla). Biorąc pod uwagę dużą ilość wymagań adresowanych do AML Officera, tematyka niniejszego tekstu została podzielona, a reszta wytycznych zostanie przybliżona w części trzeciej.
ROLA I OBOWIĄZKI AML OFFICERA
Wyznaczenie AML Officera
Podejmując decyzję o wyznaczeniu AML Officera, Zarząd powinien wziąć pod uwagę skalę i złożoność działalności instytucji kredytowej lub finansowej (dalej: „instytucja obowiązana”) oraz jej ekspozycję na ryzyko ML/TF, zgodnie z kryteriami opisanymi w części 2 poniżej.
AML Officer powinien być osobą na szczeblu kierowniczym (co wprost wynika z ustawy AML). Aby AML Officer mógł w sposób efektywny pełnić swoją funkcję w organizacji, powinien posiadać uprawnienie do proponowania Zarządowi, z własnej inicjatywy, wdrożenia wszelkich niezbędnych lub właściwych środków zapewniających zgodność i skuteczność stosowanych w danej instytucji obowiązanej procesów AML/CFT.
W akcie wyznaczającym AML Officera Zarząd powinien określić, czy rola ta będzie pełniona w pełnym wymiarze czasu pracy, czy też może będzie stanowiła jedynie część obowiązków danego pracownika (wymiar czasu pracy powinien być skorelowany z czynnikami wskazanymi w części 2 poniżej). W przypadku, gdy funkcja AML Officera ma zostać powierzona pracownikowi, który wypełnia inne obowiązki w ramach danej instytucji obowiązanej, Zarząd powinien zidentyfikować i rozważyć możliwe konflikty interesów oraz podjąć niezbędne kroki celem uniknięcia ich wystąpienia lub, gdy nie jest to możliwe, właściwego zarządzania tym ryzykiem. Ponadto Zarząd powinien zapewnić, by osoba ta mogła przeznaczyć wystarczającą (proporcjonalną) ilość czasu na pełnienie funkcji AML Officera.
Co ważne, AML Officer powinien być dostępny na żądanie GIIF czy KNF (np. w celu udzielenia określonych wyjaśnień), dlatego powinien być zatrudniony i pracować w kraju siedziby instytucji obowiązanej. Nie jest to jednak bezwzględny wymóg stawiany przez EBA. Jeżeli jest to współmierne do ryzyka ML/TF, na które narażona jest dana instytucja obowiązana, oraz w zakresie, w jakim zezwala na to prawo krajowe, AML Officerowi można zlecić pracę w innej jurysdykcji. W takich przypadkach instytucja obowiązana powinna posiadać niezbędne systemy i środki kontrolne zapewniające, aby AML Officer miał dostęp do wszystkich niezbędnych informacji i systemów wymaganych do wykonywania swoich zadań był dostępny w celu niezwłocznego spotkania z lokalną jednostką analityki finansowej i właściwym organem. Instytucja obowiązana powinna być również w stanie wykazać przed właściwym organem, że środki, które wprowadziła w tym zakresie, są odpowiednie i skuteczne.
W zależności od potrzeb, AML Officer może delegować swoje zadania innym osobom działającym pod jego kierownictwem i nadzorem (np. zlecić raportowanie transakcji do jednostki analityki finansowej określonej osobie). Delegacja zadań nie zwalnia jedna AML Officera z odpowiedzialności za skuteczne wypełnienie swoich zadań.
AML Officer powinien stanowić w danej instytucji obowiązanej II linię obrony (obok pracowników operacyjnych i jednostki organizacyjnej odpowiedzialnej za audyt). W powyższym celu powinny zostać wdrożone następujące rozwiązania:
- AML Officer powinien być niezależny od kontrolowanych przez siebie jednostek organizacyjnych i nie może podlegać osobie, która odpowiada za zarządzanie którąkolwiek z tych jednostek;
- instytucja obowiązana powinna opracować i wdrożyć wewnętrzne procedury zapewniające, że AML Officer posiada w każdej chwili nieograniczony i bezpośredni dostęp do wszystkich informacji, które są niezbędne do pełnienia swojej funkcji. Decyzja o tym, do jakich informacji musi mieć dostęp w tym zakresie, powinna należeć wyłącznie do AML Officera.
- w przypadku wystąpienia znaczącego incydentu związanego z AML/CFT, AML Officer powinien mieć możliwość złożenia raportu i uzyskania bezpośredniego dostępu do Zarządu.
Kryteria proporcjonalności przy wyznaczaniu AML Officera
Co do zasady instytucja obowiązana powinna powołać w ramach swojej struktury organizacyjnej AML Officera, chyba że:
- jest to podmiot prowadzący jednoosobową działalność gospodarczą (zgodnie z art. 9 ustawy AML, w przypadku instytucji obowiązanych prowadzących działalność jednoosobowo zadania kadry kierowniczej wyższego szczebla oraz pracownika, o których mowa w art. 6 i art. 8, wykonuje osoba prowadząca tę działalność),
- instytucja obowiązana zatrudnia bardzo ograniczoną liczbę pracowników lub
- czynniki określone w akapicie poniżej uzasadniają decyzję o niepowołaniu AML Officera.
Decyzja o niepowoływaniu AML Officera powinna być udokumentowana oraz uzasadniona w oparciu o następujące kryteria:
- charakter działalności instytucji obowiązanej oraz związane z nim ryzyko ML/TF, z uwzględnieniem ekspozycji geograficznej, bazy klientów, kanałów dystrybucji oraz oferty produktów i usług;
- skala działalności instytucji obowiązanej w danej jurysdykcji, liczba klientów, liczba i wielkość transakcji oraz liczba pracowników w przeliczeniu na pełne etaty;
- forma organizacyjna prowadzonej działalności,
- przynależność do grupy (w rozumieniu ustawy AML).
W przypadku niepowołania AML Officera, instytucja obowiązana może powierzyć wykonywanie zadań AML Officera Członkowi Zarządu ds. AML lub osobie zaliczanej do kadry kierowniczej wyższego szczebla (np. danemu dyrektorowi). EBA dopuszcza, aby instytucja obowiązana mogła outsourcować funkcję AML Officera (z uwzględnieniem Wytycznych EBA dot. outsourcingu). Instytucja obowiązana może także stosować mieszane rozwiązania (np. część obowiązków powierzyć Członkowi Zarządu ds. AML, a część powierzyć podmiotowi trzeciemu w ramach outsourcingu).
Na marginesie wskazać należy, że polska ustawa AML wskazuje, że AML Officer powinien być pracownikiem (w rozumieniu Kodeksu pracy). W tym kontekście ustawa nie posługuje się pojęciem „innej osoby wykonującej czynności na rzecz instytucji obowiązanej”. Brzmienie ustawy AML stoi zatem w sprzeczności w podejściu nadzorcy europejskiego do pełnienia funkcji AML Officera.
W przypadku, gdy AML Officer pełni swoją funkcję w kilku podmiotach w ramach grupy lub gdy powierzono mu inne zadania poza pełnieniem funkcji AML Officera, instytucja obowiązana powinna zapewnić, aby AML Officer mógł skutecznie wypełniać swoje obowiązki (m.in. poprzez posiadanie odpowiedniej ilości czasu). AML Officer powinien pełnić swoją rolę w więcej niż jednym podmiocie tylko wtedy, gdy podmioty te są częścią tej samej grupy.
Odpowiedniość, umiejętności i wiedza specjalistyczna AML Officera
EBA wymaga, aby osoba pełniąca funkcję AML Officera przeszła najpierw odpowiedni „screening”. W procesie rekrutacji AML Officera instytucja obowiązana powinna wziąć pod uwagę następujące kryteria:
- reputacja, uczciwość i rzetelność kandydata;
- odpowiednie umiejętności i wiedza specjalistyczna w zakresie AML/CFT, w tym wiedza na temat obowiązujących ram prawnych i regulacyjnych z zakresu AML/CFT, wdrażania procedur AML/CFT czy kontroli procesów AML/CFT;
- wystarczająca wiedza i zrozumienie ryzyka ML/TF związanego z modelem biznesowym danej instytucji obowiązanej;
- odpowiednie doświadczenie w zakresie identyfikacji, oceny i zarządzania ryzykiem ML/TF;
- wystarczający czas i staż pracy.
Instytucje obowiązane powinny zapewnić, aby AML Officera pełnił swoją funkcję w sposób ciągły (również jako element składowy procesów związanych z ciągłością działania instytucji obowiązanej). Przyjęte przez instytucje obowiązania rozwiązania powinny uwzględniać możliwość zaprzestania pełnienia funkcji przez AML Officera i w związku z tym przewidywać zastępstwo na wypadek czasowej nieobecności AML Officera (np. z powodu choroby) czy konieczności natychmiastowego zerwania współpracy z AML Officerem (np. ze względu na dopuszczenie się poważnych naruszeń).
Zadania i rola AML Officera
Przede wszystkim rola i obowiązki AML Officera powinny być jasno określone i udokumentowane (w praktyce powinno się określić zadania AML Officera m.in. w zawieranej z nim umowie, uchwale Zarządu wyznaczającej daną osobę jako AML Officera, regulaminie organizacyjnym czy wewnętrznej procedurze AML/CFT).
Do zadań AML Officera EBA zalicza w szczególności następujące zadania (w części 3 niniejszego cyklu zaprezentowane zostaną pozostałe zadania AML Officera):
- Opracowanie ram oceny ryzyka instytucji obowiązanej,
- Opracowanie polityki i procedur z zakresu AML/CFT,
- Oddziaływanie na relacje z klientami wysokiego ryzyka,
- Monitorowanie zgodności (AML/CFT compliance).
- Opracowanie ram oceny ryzyka instytucji obowiązanej
AML Officer powinien być odpowiedzialny za opracowanie oceny ryzyka instytucji obowiązanej (ocena ryzyka, o której mowa w art. 27 ust. 1 ustawy AML). W tym zakresie EBA wskazuje na opracowanie ram (metodyki) tego procesu. Sama analiza i ocena ryzyka nie musi zatem ograniczać się do pracy wyłącznie AML Officera (w proces oceny ryzyka mogą być zaangażowane jednostki organizacyjne funkcjonujące w instytucji obowiązanej m.in. na potrzeby zbierania danych jakościowych czy ilościowych o zidentyfikowanych ryzykach). Wyniki oceny ryzyka instytucji obowiązanej AML Officer powinien przekazywać Zarządowi za pośrednictwem Członka Zarządu ds. AML lub kierownika wyższego szczebla odpowiedzialnego za AML/CFT lub bezpośrednio, jeśli uzna to za konieczne. W ramach oceny ryzyka instytucji obowiązanej AML Officer powinien zaproponować Zarządowi środki, które należy podjąć w celu ograniczenia ryzyka ML/TF (tzw. mityganty). Wprowadzanie nowego produktu lub usługi czy dokonanie znaczących zmian w dotychczasowej ofercie instytucji obowiązanej powinna poprzedzać aktualizacja oceny ryzyka instytucji obowiązanej, w tym poprzez wskazanie i wdrożenie odpowiednich rozwiązań mających na celu ograniczenie i odpowiednie zarządzanie ryzykiem ML/FT.
Opracowanie polityki i procedur AML/CFT
AML Officer powinien zapewnić, aby polityki i procedury z zakresu AML/CFT był wprowadzone, aktualizowane i skutecznie wdrażane w ramach danej instytucji obwiązanej. Jest to zadanie, które powinno być wykonywane na bieżąco. Przyjęte do stosowania polityki i procedury AML/CFT powinny być współmierne do ryzyka ML/TF, na które instytucja obowiązana jest narażona (i które zidentyfikowała w procesie oceny ryzyka, o którym mowa w sekcji A powyżej). W związku z powyższym, AML Officer powinien:
- określić polityki i procedury AML/CFT, które mają zostać przyjęte przez instytucję obowiązaną, w tym w zakresie kontroli i zarządzania ryzykiem ML/FT;
- zapewniać, aby polityki i procedury AML/CFT były skutecznie wdrażane przez instytucję obowiązaną (w ramach monitorowania zgodności);
- zapewniać, że polityki i procedury AML/CFT są poddawane regularnym przeglądom i w razie potrzeby są zmieniane lub aktualizowane;
- zalecać, w jaki sposób odnieść się do wszelkich zmian w otoczeniu prawnym lub w poziomie ryzyka ML/TF, a także w jaki sposób najlepiej zaradzić brakom lub niedociągnięciom zidentyfikowanym w toku monitorowania zgodności lub działań nadzorczych.
Jak wynika z Wytycznych EBA, rozwiązania, o których mowa w pkt. 1 powyżej, powinny obejmować co najmniej:
- metodykę oceny ryzyka instytucji obowiązanej (w tym zakresie warto wziąć pod uwagę Stanowisko UKNF z 15 kwietnia 2020 roku dotyczące oceny ryzyka instytucji obowiązanej[3]);
- stosowanie środków bezpieczeństwa finansowego wobec klientów, z uwzględnieniem wytycznych EBA dotyczących czynników ryzyka ML/TF[4], oraz proces udzielenia zgody na nawiązanie lub kontynuację stosunków gospodarczych z klientami wysokiego ryzyka (zgodnie z sekcją C poniżej);
- sprawozdawczość wewnętrzną (m.in. analizę transakcji podejrzanych) oraz przekazywanie informacji jednostce analityki finansowej;
- prowadzenie rejestrów (m.in. transakcji); oraz
- metody monitorowania zgodności z przepisami AML/CFT, zgodnie z sekcją D poniżej.
Oddziaływanie na relacje z klientami wysokiego ryzyka
EBA wymaga, aby decyzję kierownictwa wyższego szczebla o nawiązaniu lub kontynuacji stosunków gospodarczych z klientami wysokiego ryzyka konsultować z AML Officerem, a w szczególności w sytuacjach, w których zgoda kierownictwa wyższego szczebla jest wyraźnie wymagana na podstawie przepisów AML/CFT (np. w przypadku stosunków gospodarczych z klientem będącym PEP). Jeżeli kierownictwo wyższego szczebla nie uwzględni opinii AML Officera, powinno należycie odnotować swoją decyzję i odnieść się do tego, w jaki sposób proponuje ograniczyć ryzyko podniesione przez AML Officera.
Monitorowanie zgodności
Jako II linia obrony, AML Officer powinien być odpowiedzialny za monitorowanie, czy środki, polityki, czynności kontrolne i procedury wdrożone przez instytucję obowiązaną są zgodne z obowiązkami wynikającymi z przepisów AML/CFT (compliance). AML Officer powinien również nadzorować skuteczność działań poszczególnych jednostek organizacyjnych funkcjonujących w instytucji obowiązanej i uczestniczących w procesach AML/CFT (będących I linią obrony). AML Officer powinien zapewniać, że procedury i procesy AML/CFT są aktualizowane w razie potrzeby, jednak zawsze w przypadku wykrycia braków, pojawienia się nowych ryzyk lub wystąpienia w otoczeniu prawnym (np. w związku z nowelizacją przepisów AML/CFT czy wydaniem stanowiska przez organ nadzoru). AML Officer powinien przedstawiać Zarządowi zalecenia, które należy podjąć w celu wyeliminowania zidentyfikowanych słabości instytucji obowiązanej w ramach procesów AML/CTF, w tym słabości zidentyfikowanych przez właściwe organy lub przez audytorów wewnętrznych lub zewnętrznych.
[1] https://rsplegal.pl/wytyczne-eba-dotyczace-aml-cft-czesc-i/
[2] https://www.eba.europa.eu/eba-publishes-guidelines-role-and-responsibilities-amlcft-compliance-officer
[3]https://www.knf.gov.pl/knf/pl/komponenty/img/Stanowisko_UKNF_dot_oceny_ryzyka_instytucji_obowiazanej.pdf
[4] https://www.eba.europa.eu/regulation-and-policy/anti-money-laundering-and-e-money/revised-guidelines-on-ml-tf-risk-factors