WYTYCZNE EBA DOT. AML/CFT – CZĘŚĆ III

Niniejszy artykuł stanowi kontynuację publikacji dotyczącej Wytycznych Europejskiego Urzędu Nadzoru Bankowego („EBA”) z dnia 14 czerwca 2022 roku dotyczących m.in. roli i obowiązków AML Officera.

W trzeciej i ostatniej części opisano wytyczne kierowane do AML Officera (opisujące jego zadania i odpowiedzialności w instytucji kredytowej lub instytucji finansowej – „instytucji obowiązanej”), które nie zostały przybliżone w drugiej części cyklu.

ZADANIA, ROLE I ODPOWIEDZIALNOŚCI AML OFFICERA – CIĄG DALSZY

SKŁADANIE SPRAWOZDAŃ ZARZĄDOWI INSTYTUCJI OBOWIĄZANEJ

Jak wynika z wytycznych EBA, AML Officer powinien doradzać Zarządowi instytucji obowiązanej w kwestii środków, które należy podjąć w celu zapewnienia zgodności z obowiązującymi przepisami, zasadami, regulacjami i normami z zakresu AML/CFT, a także powinien przedstawić swoją ocenę możliwego wpływu wszelkich zmian w środowisku prawnym lub regulacyjnym na działalność instytucji obowiązanej.      

Ponadto AML Officer powinien zwracać uwagę Członka Zarządu ds. AML lub kadry kierowniczej wyższego szczebla odpowiedzialnej za AML/CFT m.in. na obszary, w których kontrola procesów AML/CFT powinna zostać wdrożona lub wzmożona, wskazać zalecane metody prowadzania takiej kontroli oraz czy zasoby ludzkie i techniczne przydzielone jednostce organizacyjnej ds. AML/CFT (jeżeli została utworzona w celu wspierania AML Officera) są wystarczające lub czy powinny zostać zwiększone.

Jak już wspomniano, AML Officer powinien sporządzać sprawozdanie z swojej działalności co najmniej raz w roku i przekazywać je Zarządowi. Sprawozdanie z działalności AML Officera powinno być proporcjonalne do skali i charakteru działalności instytucji obowiązanej. Co ważne, właściwy organ nadzoru będzie mógł zwrócić się do instytucji obowiązanej z żądaniem przekazania kopii sprawozdania z działalności AML Officera.

Wytyczne EBA zawierają wskazówki co do treści sprawozdania z działalności AML Officera, które powinno zawierać co najmniej następujące informacje:

• w sprawie oceny ryzyka ML/TF:

1. 1. streszczenie głównych wniosków z oceny ryzyka instytucji obowiązanej w przypadku gdy w danym roku sprawozdawczym dokonano jej aktualizacji;
   2. opis wszelkich zmian w metodologii stosowanej przez instytucję obowiązaną w procesie oceny ryzyka generowanego przez klienta (indywidualna ocena ryzyka) wraz z wskazaniem sposobu dostosowania takiej zmiany do ogólnej oceny ryzyka instytucji obowiązanej;
   3. podział klientów instytucji obowiązanej według przypisanej im kategorii/poziomu ryzyka, w tym liczbę klientów, w stosunku do których nie dokonano przeglądu stosowanych środków bezpieczeństwa finansowego i ich aktualizacji;
   4. informacje i dane statystyczne dotyczące liczby:
      • wykrytych nietypowych transakcji;
      • przeanalizowanych nietypowych transakcji;

• złożonych zgłoszeń podejrzanych transakcji lub kontaktów z jednostką analityki finansowej (z podziałem na kraje działalności);

1. 1. relacji z klientami, które instytucja obowiązana „zerwała” z powodu podejrzeń dotyczących ML/TF,
   2. wniosków o udzielenie informacji otrzymanych od jednostki analityki finansowej, sądów i organów ścigania.

• w sprawie zasobów (osobowych i technicznych):
• 1. krótki opis struktury organizacyjnej, w ramach które realizowane są procesy AML/CFT oraz, w stosownych przypadkach, wszelkich istotnych zmian dokonanych w minionym roku oraz ich uzasadnienie;
  2. krótki opis zasobów ludzkich i technicznych przydzielonych AML Officerowi czy jednostce organizacyjnej ds. AML/CFT (jeżeli została utworzona w ramach struktury organizacyjnej);
  3. w stosownych przypadkach, wykaz procesów AML/CFT zleconych na zewnątrz w ramach outsourcingu wraz z opisem nadzoru sprawowanego przez instytucję obowiązaną nad tymi działaniami.
• w zakresie polityk i procedur z zakresu AML/CFT:

1. 1. podsumowanie najważniejszych działań i procedur, które zostały odpowiednio podjęte i przyjęte do stosowania w ciągu roku sprawozdawczego, w tym krótki opis zaleceń, problemów i nieprawidłowości zidentyfikowanych w danym roku sprawozdawczym;
   2. opis działań podjętych w zakresie monitorowania zgodności, jak również adekwatności wszelkich narzędzi monitorowania stosowanych przez instytucję obowiązaną do celów AML/CFT;
   3. opis przeprowadzonych szkoleń z tematyki AML/CFT oraz plan szkoleń na rok następny;
   4. plan działań jednostki organizacyjnej ds. AML/CFT na kolejny rok;
   5. ustalenia audytów wewnętrznych i zewnętrznych dotyczących procesów AML/CFT oraz wszelkie postępy poczynione przez instytucję obowiązaną w celu usunięcia zidentyfikowanych nieprawidłowości;
   6. wykaz podjętych w stosunku do instytucji obowiązanej (przez właściwe organy) czynności nadzorczych, przedłożonych sprawozdań, stwierdzonych naruszeń i nałożonych kar wraz z informacją, w jaki sposób instytucja obowiązana zobowiązuje się do usunięcia stwierdzonych naruszeń oraz na jakim etapie znajdują się podjęte działania naprawcze.

ZGŁASZANIE PODEJRZANYCH ZACHOWAŃ I TRANSAKCJI

Jednym z kluczowych zadań AML Officera jest informowanie jednostki analityki finansowej (w Polsce zadanie te realizuje Generalny Inspektor Informacji Finansowej) o podejrzeniu popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu czy podejrzanych transakcjach. W tym celu AML Officer powinien upewnić się, czy pracownicy lub współpracownicy instytucji obowiązanej, którzy wspierają go w realizacji tego obowiązku, posiadają odpowiednie umiejętności, wiedzę i predyspozycje do pomocy w realizacji tego zadania. W tym zakresie należy odpowiednio uwzględnić wrażliwość i poufność informacji, które mogą zostać ujawnione, oraz zobowiązanie do zachowania poufności (patrz art. 54 ustawy z dnia 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu).

AML Officer powinien zapewnić, aby informacje adresowane do jednostki analityki finansowej były przekazywane przez instytucję obowiązaną w odpowiednim formacie i za pomocą środków komunikacji zgodnych z wytycznymi wydanymi przez jednostkę analityki finansowej oraz w sposób skuteczny.

Aby właściwie realizować swoją funkcję raportową, według EBA AML Officer powinien m.in.:

• • znać i rozumieć zasady funkcjonowania oraz konstrukcję wewnętrznego systemu monitorowania transakcji, w tym scenariusze ML/TF, na jakie narażona jest instytucja obowiązana, oraz wewnętrzne procedury obsługi alertów generowanych przez system;
  • otrzymywać z systemu służącego do monitorowania transakcji oraz od pracowników lub współpracowników instytucji obowiązanej zgłoszenia dotyczące podejrzenia popełniania przestępstwa ML/TF lub wskazujące, że dana osoba (np. klient) mogła być, jest lub może być związana z ML/TF;
  • zapewniać niezwłoczne rozpatrywanie powyższych zgłoszeń. W tym celu AML Officer powinien określić, udokumentować i wdrożyć proces ustalania priorytetów dla otrzymywanych zgłoszeń wewnętrznych, tak aby zgłoszenia dotyczące sytuacji szczególnie wysokiego ryzyka były traktowane priorytetowo;
  • prowadzić rejestr wszystkich przeprowadzonych ocen otrzymanych zgłoszeń, jak również wszelkich informacji zwrotnych otrzymanych następczo od jednostki analityki finansowej w celu usprawnienia procesów wykrywania przyszłych podejrzanych transakcji;
  • zapewniać, aby stwierdzone podejrzenia były niezwłocznie zgłaszane jednostce analityki finansowej, przedkładając wraz ze zgłoszeniem takie fakty, zdarzenia lub informacje i dokumentację, jakie są niezbędne do uzasadnienia podejrzenia popełnienia przestępstwa ML/TF;
  • zapewniać szybką i wyczerpującą odpowiedź na wszelkie wnioski o udzielenie informacji składane przez jednostkę analityki finansowej.

Co ważne, instytucja obowiązana powinna informować swoich pracowników i współpracowników o obowiązku przestrzegania zakazu informowania klienta lub osób trzecich, że trwa lub może zostać rozpoczęta analiza dotycząca ML/TF oraz ograniczania dostępu do tych informacji wyłącznie do grona osób, którym są one niezbędne do wykonywania swoich zadań. 

SZKOLENIA I BUDOWANIE ŚWIADOMOŚCI

AML Officer powinien należycie informować pracowników i współpracowników instytucji obowiązanej o ryzyku ML/TF, na które narażona jest ta instytucja, w tym o metodach, tendencjach i typologiach ML/TF, a także o podejściu opartym na ryzyku wdrożonym przez instytucję obowiązaną w celu ograniczenia tego ryzyka. Informacje te mogą przyjmować różne formy, takie jak pisma, intranet, spotkania.

AML Officer powinien nadzorować przygotowanie i wdrożenie stałego programu szkoleń z zakresu AML/CFT. We współpracy z działem kadr instytucji obowiązanej należy udokumentować roczny plan szkoleń i edukacji pracowników i współpracowników instytucji obowiązanej.

Ponadto AML Officer powinien zapewnić, aby wewnętrzne procedury sprawozdawcze przyjęte przez instytucję obowiązaną zostały podane do wiadomości wszystkich pracowników i współpracowników danej instytucji.

AML Officer powinien oceniać szczególne potrzeby szkoleniowe w ramach instytucji obowiązanej i zapewniać, aby odpowiednie szkolenie teoretyczne i praktyczne zostało zapewnione osobom narażonym na różny poziom ryzyka ML/FT, takim jak:

• • osoby pracujące w jednostce organizacyjnej ds. AML, za które odpowiada AML Officer;
  • osoby mające kontakt z klientami lub mające za zadanie przeprowadzanie ich transakcji (pracownicy czy agenci);
  • osoby odpowiedzialne za opracowanie procedur lub narzędzi wewnętrznych mających zastosowanie do działań, które mogą być wrażliwe na ryzyko ML/TF.

Co ważne, AML Officer powinien określić wskaźniki oceny w celu sprawdzenia skuteczności przeprowadzonego szkolenia z zakresu AML/CFT (przykładowo poprzez przeprowadzenie testu wiedzy).

W przypadku, gdy przeprowadzenie szkolenia z zakresu AML/CFT jest zlecane podmiotowi spoza instytucji obowiązanej (w ramach outsourcingu), AML Officer powinien zweryfikować czy:

• • dostawca usługi posiada wymaganą wiedzę z zakresu AML/CFT;
  • instytucja obowiązana przestrzega zasad dotyczących outsourcingu;
  • program szkolenia jest dostosowany do specyfiki działalności danej instytucji obowiązanej.

RELACJE MIĘDZY FUNKCJĄ DS. ZGODNOŚCI Z PRZEPISAMI AML/CFT A INNYMI FUNKCJAMI

W omawianych Wytycznych EBA wraca uwagę na relacje pomiędzy „funkcją ds. zgodności z przepisami AML/CFT” a innymi funkcjami w ramach instytucji obowiązanej (np. zarządzania ryzykiem czy kontroli wewnętrznej).  W tym miejscu warto przypomnieć treść art. 8 polskiej ustawy AML/CFT, zgodnie z którym: „Instytucje obowiązane wyznaczają pracownika zajmującego kierownicze stanowisko odpowiedzialnego za zapewnienie zgodności działalności instytucji obowiązanej oraz jej pracowników i innych osób wykonujących czynności na rzecz tej instytucji obowiązanej z przepisami o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Wyznaczony pracownik jest również odpowiedzialny za przekazywanie w imieniu instytucji obowiązanej zawiadomień, o których mowa w art. 74 ust. 1, art. 86 ust. 1, art. 89 ust. 1 i art. 90”. Nic nie stoi na przeszkodzie, aby powyższe zadania (funkcje) zostały rozdzielone pomiędzy dwie lub więcej osób.

Zgodnie z Wytycznymi, funkcja ds. ogólnego compliance, jak i niezależna funkcja ds. zgodności z przepisami AML/CFT powinny znajdować się w drugiej linii obrony instytucji obowiązanej (co do zasady I linia obrony to pracownicy i współpracownicy, a III linia to funkcja audytu wewnętrznego). Ponadto funkcja audytu wewnętrznego nie powinna być łączona z funkcją ds. zgodności z przepisami AML/CFT.

Funkcja zarządzania ryzykiem, w zakresie, w jakim instytucja obowiązana posiada funkcję zarządzania ryzykiem, oraz, w przypadku gdy został ustanowiony, komitet ds. ryzyka, powinny mieć dostęp do odpowiednich informacji i danych niezbędnych do pełnienia swojej roli, w tym informacji i danych pochodzących od odpowiednich funkcji korporacyjnych i kontroli wewnętrznej, takich jak funkcja zgodności z przepisami AML/CFT. Co więcej, osoba odpowiedzialna w danej instytucji obowiązanej za zarządzanie ryzykiem oraz osoba pełniąca funkcję ds. zgodności z przepisami AML/CFT powinni ściśle ze sobą współpracować oraz wymieniać się wszelkimi niezbędnymi informacjami dotyczącymi ryzyka ML/TF. Obie funkcje powinien ze sobą współpracować również w celu ustalenia metodyk AML/CFT spójnych ze strategią zarządzania ryzykiem instytucji obowiązanej.