Nowa Krajowa Ocena Ryzyka – czas na ruch instytucji obowiązanych

Generalny Inspektor Informacji Finansowej zauważa, że nie jest już wystarczające ograniczenie się do zachowania formalnej zgodności z przepisami i pasywne egzekwowanie wymogów i standardów regulacyjnych. Konieczne są działania proaktywne, które pozwolą poprawnie zarządzić ryzykiem. Opublikowana w grudniu ubiegłego roku druga edycja Krajowej Oceny Ryzyka wskazuje, że w dziesięciu analizowanych obszarach zagrożenie praniem pieniędzy jest bardzo wysokie, tę samą ocenę w obszarze finansowania terroryzmu GIIF wskazał dla pięciu rodzajów usług i produktów finansowych. Spostrzeżenia Generalnego Inspektora powinny się teraz stać podstawą do aktualizacji wewnętrznych ocen ryzyka instytucji obowiązanych.

Podczas opracowania Krajowej Oceny Ryzyka Prania Pieniędzy i Finansowania Terroryzmu zarówno podatność, jak i zagrożenie szacowane jest przez GIIF z użyciem czterostopniowej skali. O ile w wypadku analizy podatności różnica w porównaniu z poprzednią oceną nie jest duża, to zwłaszcza w obszarze ryzyka finansowania terroryzmu zauważalny jest znaczy wzrost produktów i usług, których zagrożenie oceniono jako bardzo wysokie. W 2019 roku zauważano je tylko w wypadku rachunków bankowych, tymczasem ostatnia aktualizacja oceny przypisuje najwyższy, czwarty stopień także transferom i przekazom środków pieniężnych, internetowym usługom płatniczym oraz działalności transgranicznych kurierów pieniędzy.

Nieco lepiej sytuacja wygląda w odniesieniu do uśrednionego poziomu ryzyka analizowanego dla całych obszarów gospodarki. Wysokie ryzyko prania pieniędzy wskazano co prawda dla dziesięciu z czternastu analizowanych sektorów, ale żaden z nich nie został przyporządkowany do poziomu bardzo wysokiego. W wypadku finansowania terroryzmu sytuacja jest nawet lepsza, gdyż tylko dwa z obszarów trafiły do tej kategorii, podczas gdy pozostałe określono jako średnie lub nawet niskie.

Aktualizacja Krajowej Oceny Ryzyka do najbardziej ryzykownych zalicza obszary bankowości, pozabankowych usług płatniczych, wymianę walut, waluty wirtualne, fizyczny przewóz wartości majątkowych przez granicę, usługi telekomunikacyjne powiązane z płatnościami mobilnymi, finansowanie społecznościowe (crowdfunding), a także handel dobrami o wysokiej wartości, organizacje typu non-profit jak również ogólnie inną działalność gospodarczą. Ogólne ryzyka dla prania pieniędzy i finansowania terroryzmu dla całej gospodarki oszacowano natomiast na poziomie średnim.

Reperkusje wojny

Opublikowanie Krajowej Oceny Ryzyka było tłumaczone oczekiwaniem na sprawozdanie Komisji Europejskiej oraz wybuchem pandemii, a także rosyjską inwazją na Ukrainę. Zwłaszcza ostatni z czynników dość często powraca w przedstawionym dokumencie. GIIF odnotowuje zwiększone ryzyko wynikające z trudności poprawnej identyfikacji i weryfikacji klienta w odniesieniu do uchodźców lub osób, które się za nich podają.

Dostrzeżono trudności w pozyskaniu odpowiednich dokumentów potwierdzających tożsamość i wiarygodność klienta. Część z nich przygotowana została w cyrylicy, inne są niemożliwe do pozyskania z uwagi na trwającą wojnę. W KOR odnotowuje się ponadto reperkusje związane z barierą językową i kulturową. Może ona utrudniać prawidłową identyfikację czynników behawioralnych świadczących o zwiększonym ryzyku i podejrzanej aktywności. Stąd też GIIF wzywa instytucje obowiązane do wzmocnienia mechanizmów obrony przed posłużeniem się kradzionym lub podrobionym dokumentem w procesie identyfikacji i weryfikacji klienta. Nacisk powinien być położony na szkolenia dostarczające pracownikom kompetencji w zakresie identyfikacji takich dokumentów, co jest szczególnie istotne w sytuacji zdalnego nawiązywania relacji.

Napływ obywateli z krajów Europy Wschodniej jest także odczytywany w kontekście potencjalnego zwiększonego zagrożenia terrorystycznego oraz związanego ze zorganizowaną przestępczością. W opinii GIIF osoby związane z takim procederem mogą wykorzystywać okazje, by podszywać się pod uchodźców i w ten sposób uzyskiwać dostęp do polskiego rynku.

Ponadto konieczność zarządzenia zwiększonym ryzykiem sankcyjnym spowodowała oddelegowanie do tych zadań części personelu zajmującego się wcześniej m.in. monitoringiem transakcji. Generalny Inspektor konstatuje, że w niektórych przypadkach liczba zaangażowanych osób może się okazać niewystarczająca. To ważna uwaga, zwłaszcza jeśli zestawimy ją z zapowiedziami większego skupienia się organów nadzoru na efektywności struktur niż na formalnej zgodności z przepisami.

Przepisy do poprawy

W Krajowej Ocenie Ryzyka wskazano ponadto szereg obszarów, w których konieczne jest uszczelnienie przepisów, częściowo powielając wnioski z przyjętej przez Radę Ministrów dwa lata temu Strategii przeciwdziałania praniu pieniędzy oraz finansowania terroryzmu, a także raportu z misji ewaluacyjnej Moneyval.

GIIF zauważa konieczność uzupełnienia katalogu instytucji obowiązanych o podmioty działające w zakresie finansowania społecznościowego. Za taką decyzją przemawia trudność w identyfikacji pochodzenia przekazywanych środków. Wskazane byłoby także bieżące monitorowanie transakcji pod względem nietypowych okoliczności, wśród których wymieniane są duża liczba wpłat w krótkim czasie, wpłaty o znacznej jednostkowej wartości lub nadreprezentację nierezydentów wśród wpłacających.

Ponadto aktualizacji wymagają przepisy odnoszące się do firm zajmujących się obrotem walutami wirtualnymi. Obecnie bowiem nadzór nad nimi pozostaje nieuregulowany w wystarczającym stopniu, a bariery wejścia na rynek są bardzo niskie. Istotnym elementem służącym mitygacji ryzyka w tym obszarze jest co prawda Rozporządzenie w sprawie rynku kryptoaktywów (MiCA) nakładające na ten sektor obowiązek identyfikacji klientów oraz wprowadzające ogólnoeuropejski system licencyjny zezwalający na prowadzenie działalności w charakterze dostawcy usług w zakresie kryptoaktywów. Generalny Inspektor zauważa jednak istotny wzrost liczy osób fizycznych dokonujących wymiany kryptowalut będących partnerami w procesie P2P, także w transakcjach o charakterze międzynarodowym. Ponadto w zakresie tych usług stosunkowo łatwe jest ukrycie stron transakcji, a dodatkowo istnieją narzędzia służące ukryciu rzeczywistych przepływów.

Krajowa Ocena Ryzyka odnotowuje ponadto zwiększone ryzyko związane z działalnością kantorów internetowych, w szczególności takich, które nie przewidują wejścia w posiadanie pieniędzy klienta, przez co nie są objęte nadzorem. Co więcej, niska liczba zawiadomień o podejrzanej aktywności, każe Generalnemu Inspektorowi powątpiewać w rzetelność realizacji obowiązków ustawowych przez kantory internetowe. Stąd nadzór nad działalnością kantorową powinien zostać dostosowany do poziomu innych podmiotów sektora finansowego.

W kontekście wspomnianego wyżej ryzyka związanego z fizycznym przewozem gotówki przez granicę, KOR przywołuje obserwację Moneyval na temat braku odpowiednich sankcji dla podmiotów świadczących usługi przewozu pieniędzy, która to aktywność nie wymaga nawet zezwolenia. Ponadto w opinii GIIF powinno się wprowadzić realną karę za niezgłoszenie przewozu gotówki przez granicę i usprawnić mechanizm zatrzymania i konfiskaty takich środków.

Zgodność już nie wystarczy

Krajowa Ocena Ryzyka wyraźnie akcentuje wymóg proaktywności w działaniach związanych z przeciwdziałaniem praniu pieniędzy. W ocenie GIIF nie jest już wystarczające ograniczenie się do zachowania formalnej zgodności z przepisami i pasywne egzekwowanie wymogów i standardów regulacyjnych. Można się zatem spodziewać, że organy nadzoru będą tym silniej egzekwować od instytucji obowiązanych poprawnie i kompleksowo przeprowadzonej oceny ryzyka prania pieniędzy i finansowania terroryzmu oraz zastosowania wszystkich dostępnych metod zarządzania i mitygowania tym ryzykiem.

Dokument KOR wskazuje ponadto, że podwyższone ryzyko wiąże się z outsourcingiem przeprowadzania środków bezpieczeństwa finansowego do podmiotów nieprzygotowanym merytorycznie oraz z wysoką fluktuacją pracowników operacyjnych. Konieczne jest więc także zadbanie o wystarczający poziom wiedzy technologicznej i dostępność adekwatnych narzędzi, a także rozwiązań systemowych w szczególności w obszarze monitoringu aktywności.

Obszarem, który nie powinien umknąć uwadze instytucji obowiązanej jest ryzyko nawiązania relacji z osobami, które występują w charakterze tzw. „słupów”. W tym kontekście GIIF alarmuje, że osoby te mogą unikać odpowiedzialności, gdyż kodeks karny przewiduje sankcje wyłącznie za umyślne przestępstwo prania pieniędzy. Analogiczne ryzyko może się wiązać z relacjami z klientami posiadającymi adres rejestrowy w jednym z wirtualnych biur. Zalecane jest więc sprawdzenie czy podmiot ponosi koszty mogące świadczyć o prowadzeniu rzeczywistej działalności, takiej jak dokonywanie przelewów wynagrodzeń lub opłat za media.

Generalny Inspektor wskazuje na konieczność zwracania szczególnej uwagi na transfery pieniężne do krajów podwyższonego ryzyka oraz rajów podatkowych. Powtarzające się przelewy tego typu powinny iść w parze z pozyskaniem dokumentów stanowiących uzasadnienie takiej transakcji oraz informację o źródle pochodzenia zaangażowanych w nią funduszy. Niezależnie od tego, wszelkie działania związane z transferem wartości powinny się wiązać z wdrożeniem przez instytucje środków adekwatnych do poziomu ryzyka kraju pochodzenia lub przeznaczenia.

Aktualizacja ocen ryzyka

Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu nakazuje instytucjom obowiązanym dokonanie cyklicznej aktualizacji oceny ryzyka własnej działalności, w szczególności w związku ze zmianami KOR. Stąd też zwłaszcza podmioty działające w obszarach, które GIIF zaklasyfikował jako doświadczające istotnych zmian w profilu ryzyka powinny przeanalizować, czy nie byłoby konieczne dokonanie ponownej indywidulnej oceny ryzyka. Warto ponadto rozważyć powierzenie niezależnemu podmiotowi weryfikacji poprawności przygotowania tego dokumentu.

Wymóg aktualizacji indywidualnej oceny ryzyka jest szczególnie istotny w kontekście przytoczonych w KOR obserwacji Moneyval, który wytknął Polsce brak zobowiązania instytucji do uwzględnienia podwyższonego ryzyka zidentyfikowanego w KOR oraz zapewnienia zgodności ewaluacji krajowej i indywidualnych ocen ryzyka. Choć ten aspekt wciąż nie został uwzględniony w nowelizacjach ustawy, to odnotowanie go przez Generalnego Inspektora może świadczyć o spodziewanej optyce tego organu w wypadku działań kontrolnych.

Wojciech Sitarz – senior consultant z zespołu Financial Crime, Deloitte