Podejście oparte na ocenie ryzyka ( Przeciwdziałanie praniu pieniędzy cz. 3 )
PODEJŚCIE OPARTE NA OCENIE RYZYKA – JAK GO WDROŻYĆ
Zajmijmy się teraz jednym z trudniejszych dla wielu instytucji obowiązanych zagadnień – implementacją podejścia opartego na ocenie ryzyka.
Przeprowadzanie oceny ryzyka – nadanie Klientowi właściwej kategorii ryzyka – jest podstawą podejścia opartego na ocenie ryzyka. Celem oceny ryzyka jest identyfikacja produktów, usług, kanałów dystrybucji, lokalizacji geograficznej i elementów relacji instytucji obowiązanej z Klientem, które są najbardziej podatne na działania związane z praniem pieniędzy i finansowaniem terroryzmu. W przyjmowanym przez instytucję obowiązaną modelu oceny i szacowania ryzyka brak obowiązkowych elementów wynikający z przepisów prawa. Pewne istotne elementy mogą być jednak podyktowane zasadami dobrej praktyki i właściwym jest ich wykorzystanie przez instytucję obowiązaną. Istnieją różne metody oceny ryzyka stosowane przez instytucje obowiązane: od systemów scoringowych przypisujących wagi istotności określonym kryteriom analitycznym i oceny punktowe w ramach tych kryteriów (np. sektor, w którym działa klient, produkty), do swobodnej oceny Klienta przez pracownika instytucji obowiązanej, bez wskazania zamkniętej listy kryteriów i przypisywania im wag. Decyzja o wyboru rodzaju modelu należy do instytucji obowiązanej. Rodzaj podejścia opartego na ocenie ryzyka na który zdecyduje się instytucja obowiązana, powinien być jednak dobrany w zależności od rodzaju działalności danego podmiotu, w tym wielkości, oferowanych produktów i usług, czy zasięgu geograficznego operacji.
Jeśli chodzi o podmioty świadczące usługi w zakresie przekazów pieniężnych jest to grupa składająca się z bardzo różnych instytucji. Mogą to być małe podmioty oferujące usługi przyjmowania płatności za rachunki, połączone z inną działalnością świadczoną przez ich właścicieli np. z punktami takimi jak sklep spożywczy, apteka, sklep chemiczny lub naprawa sprzętu AGD. Grupa ta może również obejmować sieci podmiotów oferujących usługi przekazywania płatności do beneficjentów lub banki, czy inne podmioty, które mogą być oddziałami instytucji finansowych lub pośrednikami. Wdrażanie podejścia opartego na ocenie ryzyka oznacza oczywiście, iż należy wziąć pod uwagę uproszczoną wersję stosowanego podejścia dla mniejszych i mniej złożonych instytucji obowiązanych.
KRYTERIA ANALIZY I OCENY RYZYKA
Ryzyko prania pieniędzy i finansowania terroryzmu może być mierzone przy użyciu różnych kryteriów. Stosowanie kryteriów oceny ryzyka umożliwia zarządzanie potencjalnymi zagrożeniami poprzez umożliwienie instytucjom obowiązanym klasyfikację klientów do odpowiednich grup ryzyka, a poprzez to poddanie ich właściwej kontroli i monitoringowi w zakresie zależnym od zidentyfikowanego poziomu ryzyka związanego z danym Klientem, czy jego transakcjami.
Waga przyznana poszczególnym kryteriom oceny ryzyka (pojedynczo lub w połączeniach z innymi kryteriami) przy ocenie całościowego ryzyka potencjalnego prania pieniędzy i finansowania terroryzmu może różnić się między poszczególnymi instytucjami, w zależności od ich rodzaju klientów, czy profilu prowadzonej działalności. Ostatecznie to instytucje obowiązane będą musiały podejmować decyzje dotyczące wag poszczególnych rodzajów ryzyka, czy kryteriów jego oceny dla danej instytucji.
Znowelizowana ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu stosowane w celu oceny ryzyka kryteria analityczne podaje w dwóch miejscach:
- powoływanym już art. 8b ust.1 wskazując jako kryteria rodzaj Klienta, stosunki gospodarcze, produkty lub transakcje.
- art. 10a ust. 3 stanowiącym, iż:
„Przy dokonywaniu analizy w celu określenia wysokości ryzyka instytucja obowiązana powinna uwzględnić w szczególności następujące kryteria:
- ekonomiczne – polegające na ocenie transakcji Klienta pod względem celu prowadzonej przez niego działalności gospodarczej;
- geograficzne – polegające na dokonywaniu transakcji nieuzasadnionych charakterem działalności gospodarczej zawieranych z podmiotami z państw, w których występuje wysokie zagrożenie prania pieniędzy i finansowania terroryzmu;
- przedmiotowe – polegające na prowadzeniu przez Klienta działalności gospodarczej wysokiego ryzyka z punktu widzenia podatności na pranie pieniędzy i finansowanie terroryzmu;
- behawioralne – polegające na nietypowym, w danej sytuacji, zachowaniu Klienta.”
Abstrahując w tym momencie od wzajemnej koherencji tych przepisów, czy zasadności pojawienia się określonych zapisów w ustawie (mam tu na myśli przede wszystkim art. 10a ust.3), spróbujmy zastanowić się jak w praktyce instytucja obowiązana może podejść do stosowania przykładowych kryteriów, z listy kryteriów wskazanych w powyższych przepisach.
Na pierwszy ogień weźmy zatem…
Ryzyko związane z klientem
Określanie potencjalnego ryzyka prania pieniędzy i finansowania terroryzmu w oparciu o rodzaj obsługiwanych klientów, ma zasadnicze znaczenie dla stworzenie całościowego systemu oceny ryzyka. W oparciu o własne kryteria instytucja obowiązana powinna określić czy dany klient/segment klientów stwarza wyższe ryzyko. Może tego dokonać dla przykładu w oparciu o rodzaj obsługiwanych Klientów (np. osoba fizyczna, czy podmiot gospodarczy), czy formę prawną prowadzonej działalności (np. fundacja, stowarzyszenie), z którymi może wiązać się wyższy poziom ryzyka prania pieniędzy. Instytucja obowiązana może określić również poziom akceptowalnego odchylenia od przyjętego sposobu zarządzania ryzykiem. Jest to tak zwana tolerancja na ryzyko i zapewnia elastyczność operacyjną podczas stosowania obowiązującego modelu oceny ryzyka. Dla przykładu, w ramach świadczenia usług przekazów pieniężnych zdecydowano w instytucji obowiązanej, że transfer wysokich kwot przez podmioty prowadzące aktywną działalność w branży związanej z pośrednictwem w handlu złomem wiążą się z nie akceptowalnym poziomem ryzyka dla tej instytucji. Niemniej jednak, instytucja ta jako podmiot wysyłający transakcję może wykazać pewną tolerancję na ryzyko. Instytucja obowiązana może zadecydować, iż w związku z stosowaniem mechanizmów kontroli (redukcji) ryzyka dla tej grupy klientów (np. wprowadzeniem dodatkowych mechanizmów weryfikacji wiarygodności Klienta), dokona przekazu, zapewniając, że jest to transakcja dokonywana przez Klienta w stosunku do którego przeprowadzono pozytywną weryfikację, transakcja przystaje do ustalonego i udokumentowanego przez instytucję obowiązaną jego profilu transakcyjnego, a dodatkowo transakcja zostaje zatwierdzona przez kierownika jednostki w tej instytucji. W ten sposób instytucja obowiązana pokazuje, że rozumie, akceptuje konsekwencje ryzyka prania pieniędzy, a co najważniejsze potrafi nim zarządzać.
Określając ryzyko związane z Klientem, należy także zwrócić uwagę na działania Klienta mogące wskazywać na podwyższone ryzyko. Katalog takich działań powinien być dostosowany do charakteru instytucji obowiązanej i realizowanych przez nią transakcji. Do działań Klienta mogących wskazywać na podwyższone ryzyko można zaliczyć:
- Klientów, którzy prowadzą swoje przedsięwzięcia lub transakcje w nietypowych okolicznościach, np.:
- Klient, który otwiera rachunek (dokonuje transakcji) odmiejscowiony – dokonuje tego w miejscu w którym nie ma miejsca zamieszkania, miejsca pracy, czy siedziby prowadzonej działalności gospodarczej.
- Klient zleca wykonanie przekazu pieniężnego bez widocznego celu biznesowego lub w sposób nie uzasadniony ekonomicznie.
- Nietypowa dla Klienta działalność, transakcja, realizowana pojedynczo lub w ciągu krótkiego okresu czasu, np. kliku dni.
- Większa skala lub częstotliwość transakcji wysłanych lub otrzymanych bez żadnego logicznego lub widocznego uzasadnienia.
- Zdefiniowanych klientów powiązanych, np. personalnie, prowadzących transakcje pomiędzy sobą bez logicznego, racjonalnego wytłumaczenia.
- Klientów, będących osobami na eksponowanym stanowisku politycznym – mających miejsce zamieszkania poza terytorium Rzeczypospolitej Polskiej.
- Klientów, którzy nie są obecni do celów identyfikacji – pragną nawiązać relację z instytucją obowiązaną i realizować transakcje bez fizycznego udziału Klienta.
- Klientów, którzy dzielą swoje transakcje na operacje o mniejszej wartości z zamiarem uniknięcia obowiązku rejestracji (klient celowo dzieli kwoty, aby uniknąć rejestrowania).
- Klientów przesyłających pieniądze do jurysdykcji wysokiego ryzyka.
- Klientów, który wykorzystują osoby trzecie – pośredników, wspólników, kiedy charakter przedsięwzięcia lub transakcji utrudnia identyfikację beneficjenta rzeczywistego wartości majątkowych.
- Klientów, którzy niewiele wiedzą o odbiorcy transakcji lub niechętnie ujawniają szczegóły dotyczące beneficjenta (adres, informacje kontaktowe itd.).
- Klientów w sytuacji gdy ona sam lub osoba zaangażowana w transakcje nie ma widocznych powiązań z krajem przeznaczenia.
- Sytuacji wystąpienia podejrzenia, że klient działa w imieniu osoby trzeciej, ale nie ujawnia takiej informacji.
- Transakcji związanych z organizacjami charytatywnymi i innymi organizacjami typu non-profit, zwłaszcza w sytuacji gdy organizacje te działają w sposób transgraniczny.
- Klientów co do których instytucja obowiązana posiada uzasadnione podejrzenie wprowadzania do obrotu wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł.
- Klientów, który przedstawiają nieprawdziwe dane identyfikacyjne, co jest widoczne na podstawie dokumentów lub innych informacji posiadanych przez instytucję obowiązaną.
- Klientów, którzy przedstawiają w formie oświadczenia różne dane identyfikacyjne lub różne dane potwierdzające tożsamości (takie jak numer telefonu lub adres) w różnych okolicznościach lub przy różnych transakcjach.
- Klientów dokonujących transakcji gotówkowych na wysokie kwoty lub z częstotliwością nie przystającą do ich statusu (osoba młoda, bezrobotna).
Kolejne działania Klienta mogące wskazywać na podwyższone ryzyko możemy rozpatrywać w kontekście sposobu wykorzystania przez niego produktów i usług oferowanych przez instytucje obowiązaną.
Ryzyko związane z produktem, czy usługą instytucji obowiązanej…
to już jedno z przykładowych zagadnień, jakie zostanie omówione w kolejnym artykule.
Źródło: opracowanie własne autora; materiały FATF.