Wytyczne EBA dotyczące AML/CFT – część I

W dniu 14 czerwca 2022 roku Europejski Urząd Nadzoru Bankowego (“EBA”) opublikował „Wytyczne określające role i obowiązki inspektorów ds. zgodności z przepisami AML/CFT”[1]. Wytyczne są kierowane do instytucji kredytowych i instytucji finansowych w rozumieniu przepisów IV dyrektywy AML/CFT. Inne instytucje obowiązane powinny wykorzystać dobre praktyki, które wynikają z Wytyczne EBA, i zweryfikować wewnętrzne procesy AML/CFT.

Wytyczne EBA zaczną obowiązywać od 1 grudnia 2022 roku, a trwający okres przejściowy powinien zostać dobrze wykorzystany przez polskie instytucje kredytowe i instytucje finansowej (dalej: „instytucje obowiązane”) celem weryfikacji zgodności prowadzonej działalności z oczekiwaniami europejskiego nadzorcy.

Przypomnijmy, iż zgodnie ustawą z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, instytucje obowiązane mają obowiązek wyznaczyć:

1. kadrę kierowniczą wyższego szczebla odpowiedzialną za wykonywanie obowiązków określonych w ustawie;
2. członka zarządu odpowiedzialnego za wdrażanie obowiązków określonych w ustawie – Członek Zarządu ds. AML/CFT;
3. pracownika zajmującego kierownicze stanowisko, odpowiedzialnego za zapewnienie zgodności działalności instytucji obowiązanej oraz jej pracowników i współpracowników z przepisami o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu  – AML Officer.

Co więcej, łączenie funkcji Członka Zarządu ds. AML czy osoby zaliczanej do kadry kierowniczej wyższego szczebla z funkcją AML Officera nie jest dobrze postrzegane przez organy nadzoru.

Wytyczne EBA dotyczą następujących obszarów:

1. role i obowiązki organu zarządzającego oraz kadry kierowniczej wyższego szczebla,
2. rola i obowiązki AML Officera,
3. funkcjonowanie procesów AML/CFT na poziomie grupowym.

W niniejszym artykule omówione zostaną wytyczne kierowane do organu zarządzającego oraz kadry kierowniczej wyższego szczebla (Wytyczna 4.1).

Zarząd instytucji obowiązanej (organ zarządzający)

Zgodnie z Wytycznymi EBA, organ zarządzający (dalej “zarząd”) powinien być odpowiedzialny za zatwierdzanie ogólnej strategii instytucji obowiązanej w zakresie AML/CFT (przez którą można rozumieć ogół polityk, procedur oraz rozwiązań wdrożonych w celu przeciwdziałania ryzyku ML/TF) oraz za nadzorowanie jej wdrażania. W powyższym celu członkowie zarządu powinni posiadać odpowiednią wiedzę, umiejętności i doświadczenie, aby być w stanie zrozumieć ryzyko ML/TF związane z działalnością i modelem biznesowym danej instytucji obowiązanej, w tym znajomość krajowych ram prawnych i regulacyjnych dotyczących AML/CFT.

Ponadto zarząd, w ramach swojej funkcji nadzorczej, powinien być odpowiedzialny za nadzorowanie i monitorowanie wdrażania ram zarządzania wewnętrznego (internal governance) i kontroli wewnętrznej w celu zapewnienia zgodności z obowiązującymi wymogami w kontekście zapobiegania praniu pieniędzy i finansowaniu terroryzmu.

Biorąc pod uwagę oczekiwania nadzorcy oraz dobre praktyki dotyczące ładu korporacyjnego, zarząd instytucji obowiązanej, w ramach swojej funkcji nadzorczej, powinien:

1. być informowany o wynikach oceny ryzyka ML/TF dotyczącej działalności instytucji obowiązanej (przeprowadzanej np. przez AML Officera);
2. nadzorować i monitorować stopień adekwatności i skuteczności polityk i procedur wewnętrznych z zakresu AML/CFT oraz podejmować odpowiednie kroki w celu zapewnienia, że w razie potrzeby podjęte zostaną środki zaradcze (na wypadek materializacji ryzyka ML/TF);
3. co najmniej raz w roku zapoznawać się z sprawozdaniem z działalności AML Officera, a w przypadku działań, które narażają instytucję obowiązaną na wyższe ryzyko ML/TF (np. określona usługa) – uzyskiwać okresowe informacje dotyczące zarządzania ryzykiem ML/TF z większą częstotliwością;
4. co najmniej raz w roku oceniać skuteczność działalności AML Officera, w tym poprzez uwzględnienie wniosków wynikających z wszelkich wewnętrznych lub zewnętrznych audytów dotyczących procesów AML/CFT. W tym kontekście zarząd instytucji obowiązanej powinien również dokonać oceny, czy zasoby ludzkie i techniczne przydzielone AML Officerowi są adekwatne.

Pod kątem ładu korporacyjnego, zarząd instytucji obowiązanej powinien zapewnić, aby Członek zarządu ds. AML oraz kadra kierownicza wyższego szczebla:

1. posiadali wiedzę, umiejętności i doświadczenie niezbędne do identyfikacji, oceny i zarządzania ryzykiem ML/TF, na które narażona jest instytucja obowiązana oraz wdrażania polityk, kontroli i procedur AML/CFT;
2. posiadali dobre zrozumienie modelu biznesowego instytucji obowiązanej oraz sektora, w którym działa, a także zakresu, w jakim ten model biznesowy naraża daną instytucję obowiązaną na ryzyko ML/TF;
3. byli informowani w odpowiednim czasie o decyzjach, które mogą mieć wpływ na ryzyko ML/TF, na które narażona jest instytucja obowiązana

Aby skutecznie pełnić swoją funkcję w zakresie przeciwdziałania praniu pieniędzy/finansowaniu terroryzmu, zarząd instytucji obowiązanej powinien mieć dostęp do odpowiednich danych i informacji. W ramach tego wymogu zarząd instytucji obowiązanej powinien mieć dostęp co najmniej do:

1. sprawozdania z działalności AML Officera,
2. sprawozdania z działalności komórki audytu wewnętrznego,
3. ustaleń i spostrzeżeń audytorów zewnętrznych (jeżeli były przeprowadzane),
4. zaleceń właściwego organu (np. KNF),
5. korespondencji oraz komunikacji z GIIF czy
6. zastosowanych środków nadzorczych lub nałożonych sankcji.

Do zarządów instytucji obowiązanych kierowane są również określone wymagania dotyczące wewnętrznych polityk i procedur AML/CFT. W tym zakresie zarząd powinien:

1. wdrożyć odpowiednią i skuteczną strukturę organizacyjną i operacyjną niezbędną do przestrzegania procedur AML/CFT, przyjętych przez zarząd (w drodze uchwały), zwracając szczególną uwagę na wystarczające uprawnienia i adekwatność zasobów ludzkich i technicznych przydzielonych AML Officerowi, w tym potrzebę istnienia specjalnej jednostki organizacyjnej ds. AML/CFT, wspierającej działalność AML Officera;
2. zapewniać wdrożenie wewnętrznych polityk i procedur AML/CFT;
3. dokonywać, co najmniej raz w roku, przeglądu sprawozdania z działalności AML Officera;
4. zapewniać odpowiednią, terminową i wystarczająco szczegółową sprawozdawczość w zakresie AML/CFT dla właściwego organu.

W przypadku gdy funkcja AML Officera jest outsourcowna, zarząd instytucji obowiązanej powinien zapewnić, iż w tym zakresie instytucja obowiązana przestrzega wytycznych dotyczących outsourcingu oraz otrzymywać od insourcera regularne sprawozdania.

Członek Zarządu ds. AML oraz kadra kierownicza wyższego szczebla

Członek Zarządu ds. AML/CFT powinien posiadać wiedzę, umiejętności i doświadczenie dotyczące ryzyka ML/TF oraz wdrażania polityk, kontroli i procedur AML/CFT. Ponadto Członek Zarządu ds. AML/CFT powinien dobrze rozumieć model biznesowy danej instytucji obowiązanej oraz sektor, w którym działa (np. sektor bankowy, płatniczy, maklerski czy ubezpieczeniowy).

Członek Zarządu ds. AML/CFT powinien poświęcać wystarczająco dużo czasu i dysponować wystarczającymi zasobami, aby skutecznie wykonywać swoje obowiązki w zakresie AML/CFT. Powinien on składać zarządowi instytucji obowiązanej wyczerpujące sprawozdania dotyczące swoich zadań oraz regularnie informować o swojej działalności.

Podobnie jak zarząd instytucji obowiązanej oraz Członek Zarządu ds. AML/CFT, osoba wchodząca w skład kadry kierowniczej wyższego szczebla (np. wyznaczony dyrektor) powinien posiadać odpowiednią wiedzę, umiejętności i doświadczenie w zakresie ryzyka ML/TF oraz wdrażania polityk, kontroli i procedur AML/CFT, przy dobrym zrozumieniu modelu biznesowego instytucji obowiązanej oraz sektora, w którym działa. Członek kadry kierowniczej wyższego szczebla powinien mieć zapewniony wystarczający czas, zasoby i uprawnienia do skutecznego wykonywania swoich obowiązków.

Ważne, aby przed powołaniem Członka Zarządu ds. AML/CFT lub kadry kierowniczej wyższego szczebla należy dokonać analizy czy nie dojdzie do konfliktu interesów oraz podjąć odpowiednie kroki w celu uniknięcia  lub minimalizacji możliwości powstania takiego konfliktu.

Członek Zarządu ds. AML/CFT oraz osoby zaliczane do kadry kierowniczej wyższego szczebla w powinni zapewnić, aby zarząd instytucji obowiązanej był świadomy wpływu ryzyka ML/TF na ogólny profil ryzyka instytucji obowiązanej. W tym celu obowiązki Członka Zarządu ds. AML/CFT oraz kardy kierowniczej wyższego szczebla powinny obejmować co najmniej:

1. zapewnienie, że stosowane polityki, procedury i środki kontroli wewnętrznej w zakresie AML/CFT są odpowiednie i proporcjonalne, z uwzględnieniem cech instytucji obowiązanej oraz ryzyka ML/TF, na które jest ona narażona;
2. przeprowadzenie wraz z zarządem oceny, czy należy powołać AML Officera (można tego nie robić np. gdy instytucją obowiązaną jest osoba fizyczna prowadząca jednoosobową działalność gospodarczą lub gdy instytucja obowiązana zatrudnia bardzo ograniczoną liczbę pracowników);
3. wspierać zarząd w ocenie potrzeby utworzenia jednostki organizacyjnej ds. AML/CFT, wspierającej AML Officera. Personel w tej jednostce powinien posiadać niezbędne doświadczenie, umiejętności i wiedzę, aby należycie wspierać AML Officera, który powinien być zaangażowany w proces rekrutacji;
4. zapewnienie, aby zarządowi były składane okresowe sprawozdania z działań AML Officera oraz aby zarząd otrzymywał w odpowiednim czasie wyczerpujące informacje i dane dotyczące ryzyka ML/TF oraz zgodności z przepisami AML/CFT;
5. informowanie zarządu o wszelkich poważnych naruszeniach procedur lub przepisów z zakresu AML/CFT oraz zalecanie dalszych działań mających na celu ich usunięcie;
6. zapewnienie, że AML Officer:
   1. ma bezpośredni dostęp do wszystkich informacji niezbędnych do wykonywania swoich zadań,
   2. dysponuje wystarczającymi zasobami ludzkimi i technicznymi oraz narzędziami, aby móc odpowiednio wykonywać powierzone mu zadania,
   3. jest dobrze poinformowany o incydentach i niedociągnięciach związanych z AML/CFT, zidentyfikowanych w ramach audytu wewnętrznego oraz przez organy nadzoru.

Członek Zarządu ds. AML lub osoba zaliczana do kadry kierowniczej wyższego szczebla powinni być głównym punktem kontaktowym dla AML Officera. Ponadto osoby te powinny zapewnić, aby wszelkie wątpliwości dotyczące procesów AML/CFT, jakie ma AML Officer, zostały należycie rozpatrzone, a w przypadku gdy nie jest to możliwe – aby zostały należycie rozpatrzone przez zarząd instytucji obowiązanej. Jeżeli zarząd instytucji obowiązanej lub kadra kierownicza wyższego szczebla postanowią nie stosować się do zaleceń AML Officera, powinni należycie uzasadnić i odnotować swoją decyzję w świetle zagrożeń i ryzyk, na które wskazuje AML Officera.

Poza tym, w przypadku wystąpienia poważnego incydentu z zakresu AML/CFT, AML Officer powinien mieć zapewniony bezpośredni dostęp do zarządu instytucji obowiązanej.

[1] Guidelines on role and responsibilities of the AML/CFT compliance officer – https://www.eba.europa.eu/eba-publishes-guidelines-role-and-responsibilities-amlcft-compliance-officer