601 548 550

olivier@szkoleniabankowe.com

 

Identyfikacja i ocena ryzyka prania pieniędzy i finansowania terroryzmu w instytucji obowiązanej cz. II

Identyfikacja i ocena ryzyka prania pieniędzy i finansowania terroryzmu w instytucji obowiązanej cz. II

METODOLOGIA IDENTYFIKACJI I OCENY POZIOMU RYZYKA INHERENTNEGO I REZYDUALNEGO W DZIAŁALNOŚCI INSTYTUCJI OBOWIĄZANEJ

Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu z dnia 1 marca 2018 r., nałożyła na instytucje obowiązane nowy obowiązek w postaci identyfikacji i oceny ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu odnoszącego się do działalności danej instytucji. Obowiązek ten instytucje winny zrealizować po raz pierwszy w terminie 6 miesięcy od dnia wejścia w życie ustawy, czyli w ciągu 6 miesięcy licząc od 13 lipca 2018 r., kiedy to ustawa weszła w życie. W kolejnych okresach w sytuacjach wskazanych w ustawie identyfikację i oceny ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu odnoszącego się do działalności danej instytucji należy aktualizować.

Jak właściwie ten obowiązek zrealizować?

W artykule „IDENTYFIKACJA I OCENA RYZYKA PRANIA PIENIĘDZY I FINANSOWANIA TERRORYZMU W INSTYTUCJI OBOWIAZANEJ cz. I” przedstawiłem ogólne zasady realizacji tego obowiązku. Teraz postaram się przedstawić bardziej szczegółowo sposób jego wykonania. Przedstawione tu zasady mogą mieć zastosowanie zarówno do niewielkich podmiotów, jak i do dużych instytucji zobowiązanych. Różnica polegać będzie głównie na ilości elementów składowych czynników ryzyka podlegających identyfikacji i ocenie oraz, w zależności od preferencji instytucji obowiązanej, szczegółowości oceny ryzyka.

Ilustrując krok po kroku działania podejmowane w celu identyfikacji i oceny poziomu ryzyka inherentnego i rezydualnego w działalności instytucji obowiązanej należy wskazać następujące możliwe elementy tego procesu.

Ustalamy poziom ryzyka inherentnego.

  1. W pierwszej kolejności tworzymy arkusz oceny ryzyka AML/CFT, który pozwoli nam przejść przez proces identyfikacji i oceny ryzyka ML/TF w sposób systemowy, uporządkowany. Wpisujemy w nim szczegółowo zidentyfikowane ryzyka inherentne z uwzględnieniem przyjętych do analizy czynników ryzyka. Minimalny zakres czynników ryzyka podlegających analizie w polskich warunkach dotyczy klientów, obszarów geograficznych, produktów, usług, transakcji oraz kanałów ich dostaw. To jest zakres minimalny. Jeśli charakter działalności instytucji obowiązanej wskazuje na występowania jeszcze innych czynników ryzyka odnoszących się do jej działalności, należy również poddać je ocenie.
  2. W kolejnym kroku należy zidentyfikować elementy składowe analizowanego czynnika ryzyka, charakterystyczne i zależne od rodzaju instytucji obowiązanej. Dla przykładu, elementami czynnika ryzyka Klient dla danej instytucji obowiązanej może być rodzaj klienta: Osoba fizyczna, Jednostka sektora finansów publicznych, Klient segmentu private banking, czy Klient prowadzący aktywną działalność w branży podwyższonego ryzyka.
  3. Następnie określamy poziomy ryzyka przypisując im właściwy rating, ocenę stosowanie do zidentyfikowanej wagi ryzyka analizowanych elementów składowych danego czynnika ryzyka. Dokonujemy pomiaru wagi oceny ryzyka – w zależności od wielkości, złożoności prowadzonej działalności gospodarczej danej instytucji -. według przyjętej skali. Przykładowa skala może obejmować:
    • Niskie ryzyko związane ze składową analizowanego czynnika ryzyka;
    • Umiarkowane (normalne) ryzyko;
    • Wysokie (podwyższone) ryzyko.

    Skale mogą być mniej lub bardziej rozbudowane zależnie i proporcjonalnie do skali działalności instytucji obowiązanej.

  4. Po wprowadzeniu zidentyfikowanych składowych czynników ryzyka dotyczących klienta, obszaru geograficznego, produktów oraz kanałów dostaw lub innych czynników ryzyka zidentyfikowanych w działalności instytucji obowiązanej i przypisaniu im ratingu, wylicza się średnią wartość dla każdego czynnika ryzyka. Wartość ta obliczona jest poprzez określenie średniej oceny poziomu ryzyka dla wszystkich elementów wchodzących w skład analizowanego czynnika ryzyka. Każdy czynnik ryzyka ma swoją własną średnią. Pozycja „Poziom ryzyka inherentnego” przy danym czynniku ryzyka jest obliczana zgodnie z przyjętymi w metodologii danej instytucji obowiązanej przedziałami liczbowymi. Całość procesu można uprościć, zautomatyzować przy użyciu prostych narzędzi analitycznych, pozwalających nie tylko na określenie właściwych poziomów ryzyka, ale również wyliczenie jego wartości w postaci numerycznej, liczbowej.
  5. Pozycja „Łączny poziom ryzyka inherentnego” obliczana jest jako łączna średnia z ocen czynników ryzyka dotyczących klienta, obszaru geograficznego, produktów, usług i transakcji oraz kanałów dostaw. Pozycja „Łączny poziom ryzyka inherentnego” jest obliczana i definiowana w sposób i według tej samej skali, co wyliczenia dla pozycji „Poziom ryzyka inherentnego”.

 

Ustalamy poziom ryzyka rezydualnego.

  1. W tej części procesu oceny poziomu ryzyka w działalności instytucji obowiązanej obliczamy poziom ryzyka po zastosowaniu środków ograniczających ryzyko i kontroli. Instytucja obowiązana mityguje bowiem zidentyfikowane ryzyka inherentne poprzez wdrażanie środków ograniczających i kontroli proporcjonalnych i dostosowanych do zidentyfikowanych zagrożeń. Dlatego w tym miejscu należy zidentyfikować kluczowe środki ograniczające i kontrole funkcjonujące w instytucji. Przykładowym środkiem ograniczającym może być w instytucji proces aktualizacji danych, informacji i dokumentów o kliencie.
  2. Po wylistowaniu w arkuszu oceny ryzyka środków ograniczających stosowanych w instytucji obowiązanej należy ocenić ich skuteczność, efektywność, wpływ na zidentyfikowany wcześniej poziom ryzyka rezydualnego. Ocena ta pozwoli podjąć decyzje kierownictwu instytucji obowiązanej, co do dalszego stosowania środków ograniczających, potrzeby ich zmiany, modyfikacji, czy też konieczności doboru i zastosowania zupełnie innych środków ograniczających.
  3. Wynikiem tej oceny będzie następnie określenie „Poziomu ryzyka po ograniczeniu”. Identyfikacja i przypisanie wag, poziomów ryzyka w arkuszu oceny ryzyka opiera się na wiedzy i doświadczeniu osób sporządzających analizę w zarządzaniu ryzykiem ML/TF. Przede wszystkim opiera się jednak na danych historycznych wskazujących poziom ryzyka generowany przez poszczególne elementy składowe czynników ryzyka podlegających analizie, trendy w tym zakresie. Przykładem realizacji takiego podejścia jest ocena kryteriów typowania podejrzanych transakcji i okoliczności mających zastosowania w instytucji obowiązanej w ciągu ostatnich trzech lat. Pomocne są także raporty i audyty wewnętrzne zewnętrzne kontrolujące prawidłowość funkcjonowania w instytucji obowiązanej obszaru przeciwdziałania praniu pieniędzy i finansowania terroryzmu. Dane te pozwalają na ocenę i przypisanie prawidłowych poziomów ryzyka dla każdego z elementów składowych czynnika ryzyka podlegającego ocenie.
  4. Ocena poziom ryzyka po ograniczeniu uruchamia odpowiedź numeryczną w arkuszu oceny ryzyka w pozycji „Rating po ograniczeniu” i jest skalowana zgodnie z metodologią przyjętą w danej instytucji obowiązanej (przyjętą ilością punktów przypisanych danemu poziomowi ryzyka). Dzięki temu w naturalny sposób otrzymujemy poziom ryzyka po zastosowaniu środków ograniczających w formie numerycznej, liczbowej.
  5. W przeprowadzanej analizie każdy czynnik ryzyka (klienci, obszar geograficzny, produkty i usługi, kanały dostaw) ma swój własny „Poziom ryzyka po ograniczeniu”, który jest średnią z poziomów ryzyka po ograniczeniu dla każdej pozycji, np. rodzaju klienta, czy produktu.
  6. W arkuszu oceny ryzyka znajduje się również pozycja „Łączny poziom ryzyka po ograniczeniu” dla wszystkich czynników ryzyka branych pod uwagę przy ocenie. Łączny poziom ryzyka po ograniczeniu jest średnią z poziomu ryzyka po ograniczeniu dla każdego z analizowanych czynników ryzyka.

W wyniku oceny skuteczności stosowanych środków ograniczających i kontroli oceniliśmy zatem poziomy ryzyka rezydualnego każdego z analizowanych czynników ryzyka, jak również łączny poziom ryzyka rezydualnego instytucji obowiązanej. Z oceny poziomu ryzyka rezydualnego należy następnie wyciągnąć wnioski. Wnioski te mogą być odpowiedzią na pytania:

  • Jak oceniamy poziom ryzyka rezydualnego w stosunku do stwierdzonych wcześniej poziomów ryzyka inherentnego dla poszczególnych elementów składowych czynników ryzyka podlegających analizie?
  • Jakie zasadnicze czynniki miały wpływ na ukształtowanie się poziomu ryzyka rezydualnego w wyliczonej wartości?
  • O czym to świadczy?
  • Czy wyliczony poziom ryzyka rezydualnego mieści się w granicach ustalonej wcześniej tolerancji na ryzyko?
  • Czy instytucja posiada mechanizmy reakcji na zmieniające się poziom ryzyka ML/TF związane z poszczególnymi czynnikami ryzyka?
  • Czy zidentyfikowano luki w procesie i jak instytucja na luki takowe zareagowała?
  • Jak instytucja obowiązana ocenia stosowane podejście do ryzyka, stosowane środki ograniczające i kontrole?
  • Czy instytucja akceptuje zidentyfikowany poziom ryzyka rezydualnego?
  • Jakie działania instytucja obowiązana zamierza podjąć w stosunku do zidentyfikowanych ryzyk i ich poziomu?

Instytucja obowiązana winna być świadoma, iż przeprowadzona identyfikacja i ocena ryzyka prania pieniędzy i finansowania terroryzmu, jego kontrola i stosowanie środków ograniczających nie są działaniem jednorazowym. Ryzyko, które zostało zidentyfikowane zmienia się w miarę pojawiania się nowych produktów lub w związku z kolejnymi transakcjami w ramach stosunków gospodarczych z klientami, czy przy przeprowadzaniu transakcji okazjonalnych przez klienta. Stąd konieczność aktualizacji procesu, który tutaj opisaliśmy.

Proces ten nie powinien być również postrzegany wyłącznie przez pryzmat realizacji przykrego obowiązku nałożonego przez ustawodawcę na instytucje obowiązane. Właściwie przeprowadzany proces identyfikacji i oceny ryzyka jest cenną informacją zwrotną dla kierownictwa, jak wygląda w praktyce efektywność zarzadzania ryzykiem w instytucji. Pozwala opracować i wdrożyć odpowiednie plany korygujące w celu zwiększenia sprawności stosowanych środków ograniczających ryzyko ML/TF, pozwala na lepszą alokacje zasobów, umożliwia stworzenie właściwego systemu zarządzania ryzykiem w instytucji. Dostosowany do potrzeb instytucji obowiązanej system zarządzania ryzykiem z kolei umożliwi optymalizację kosztów realizacji obowiązków wynikających z ustawy.