XAI w systemie sankcyjnym

Sankcje stanowią integralne i ważne narzędzie wykorzystywane przez rządy i globalne instytucje, takie jak Organizacja Narodów Zjednoczonych, USA czy Unia Europejska, w walce z przestępczością finansową. Na podstawie globalnej sytuacji społecznej, politycznej, gospodarczej i bezpieczeństwa, te organizacje wprowadzają sankcje i ograniczenia skierowane do państw, jednostek, grup o wysokim ryzyku lub podmiotów prawnych podejrzewanych o udział w nielegalnej działalności.

Postępy w zakresie kontrolowania sankcji, zwłaszcza w ostatnich latach, zmuszają banki do przyspieszenia modernizacji swojego podejścia do egzekwowania sankcji, a coraz więcej banków szuka rozwiązania w sztucznej inteligencji (AI) jako przełomowej i innowacyjnej drogi w radzeniu sobie z tymi szybkimi zmianami i ryzykami.

Niniejsza publikacja koncentruje się na wysiłkach banków, jako szczególnych instytucji w systemie sankcyjnym, w zakresie modernizacji kontroli sankcji oraz na skutecznych zastosowaniach AI w tych działaniach modernizacyjnych, a także na zrozumieniu wynikających korzyści finansowych i biznesowych.

AMLRO

Znaczenie rosnącej kontroli sankcji w AML

W wyniku globalnych wysiłków w walce z przestępczością i zgodnie z wymogami swoich banków centralnych i rządów (w większości jurysdykcji niezastosowanie się do sankcji jest przestępstwem), głównym celem banków korzystających z kontroli sankcji jest zapobieganie transakcjom do i od podmiotów/osób/krajów znajdujących się na listach sankcyjnych.

Kontrola przestrzegania sankcji jest częścią programu zapobiegania przestępczości finansowej, która pomaga zidentyfikować osoby i organizacje objęte sankcjami oraz nielegalne działania. Pomaga w identyfikacji obszarów podlegających karom i formułowaniu polityk zarządzania ryzykiem zgodności. W wyniku ryzyka poniesienia znaczących kosztów finansowych i strat reputacyjnych oraz ich konsekwencji większość banków zintensyfikowała działania w celu poprawy kontroli sankcji i określiła je jako jedne z najważniejszych inicjatyw.

Innym aspektem, który jest rezultatem wojny w Ukrainie, a która spowodował dodanie dużej liczby podmiotów i osób do list sankcji, jest wzrost kontroli sankcji do niespotykanych wcześniej poziomów we większości banków na całym świecie.

 

Rosnąca lista sankcji, złożoność i koszt kontroli sankcji w banku

Bankowość doświadczyła niespotykanego wzrostu cyfryzacji, który został dodatkowo przyspieszony przez ostatnie lockdowny spowodowane pandemią. Spowodowało to zwiększenie aktywności i transakcji bankowych we wszystkich regionach, segmentach biznesowych i niestety, w niezliczonych nowych kanałach wykorzystywanych przez przestępców. Regulatorzy stają się coraz bardziej surowi i nakładają coraz większe kary na banki za uchybienia w zgodności, podczas gdy przestępcy stają się bardziej wyrafinowani w swoich taktykach atakowania i szkodzenia reputacji banków.

Dodatkowo, w obliczu obecnej sytuacji politycznej, tempo wzrostu list sankcji przyspieszyło, a niedawne sankcje wobec Rosji są tego przykładem.

Jeśli chodzi o koszty związane z przestrzeganiem sankcji, to na podstawie moich prywatnych danych zebranych w branży bankowej, pełnoetatowy AMLRO, który może wykonywać działania związane z kontrolą sankcji, może kosztować od 240 do 360 tys. PLN rocznie (mowa tu o samych wynagrodzeniach, bez uwzględnienia kosztu dostępu do baz, sprzętu, szkoleń). Jednak ten koszt stale rośnie i nasila się z powodu inflacji i ogólnego niedoboru wykwalifikowanych AMLRO na rynku. W połączeniu z oszacowaniem, że zespół ds. zgodności w banku obejmuje zazwyczaj od 60 do 100 pracowników, roczny koszt może wynosić od 14 do 36 milionów PLN. Szersze implikacje dla większych banków polegają na konieczności optymalizacji kosztów i rozwiązywania problemów kompromisowych, podczas gdy dla mniejszych banków, bez ekonomii skali, może to prowadzić do wyzwań związanych z opłacalnością działalności.

Ponieważ wszystkie transakcje płatnicze podlegają kontroli sankcji, która tradycyjnie była procesem manualnym opartym na statycznych regułach, z ograniczoną zdolnością wspomagania pracowników ds. zgodności w przetwarzaniu rosnącej liczby fałszywych alarmów oraz obciążonych kontrolami wewnętrznymi, takimi jak “druga para oczu”, banki pilnie poszukują rozwiązań, które zapewnią, że nie będą źle przygotowane, gdy w niedalekiej przyszłości koszty operacyjne związane z zgodnością co najmniej podwoją się.

Ostatnim istotnym aspektem jest to, że każdy system AI stosowany w kontroli sankcji AML powinien być wytłumaczalny, aby mógł być łatwo analizowany, zrozumiany i rozszerzany przez regulatorów i interesariuszy biznesowych. Inny ważny aspekt dotyczy satysfakcji klientów i szybkości realizacji płatności od klientów do beneficjentów, co może być utrudnione przez manualne sprawdzanie kontroli sankcji.

Te czynniki w kontroli sankcji stanowią kluczowe siły napędowe stojące za pilną potrzebą modernizacji kontroli sankcji przez banki przy użyciu innowacyjnych metod opartych na rozwiązaniach AI.

 

Trendy w przechodzeniu przez banki od statycznego algorytmu filtrującego do AI

Coraz więcej banków przyjmuje rozwiązania „inteligentnej kontroli”, które wykorzystuje połączenie tradycyjnych, statycznych podejść opartych na algorytmach postępowania z zaawansowanym uczeniem maszynowym i analizą AI. To podejście jest naturalnym procesem rozwoju, który większość banków podejmuje w kierunku AI. Pomimo że może to rozwiązać wcześniej wspomniane problemy, pomagając w ocenie i odróżnieniu prawdziwych dopasowań od fałszywych w przypadku nazw i transakcji (co umożliwi podział na różne etapy kontroli), to takie podejście nie nadąża za trendami w zakresie sankcji opisanymi wcześniej. Banki dopiero zaczynają zdawać sobie sprawę, że w przeciwieństwie do oceny zdolności kredytowej modele AI stosowane w kontroli sankcji mogą wymagać perfekcyjnej dokładności w wykrywaniu prawdziwych pozytywów, ponieważ tylko to przekłada się na wiarygodny busieness case. Zrezygnowanie z pracy manualnej daje bankom elastyczność w zaangażowaniu AMRO w inne obszary wykrywania przestępczości finansowej, które są zgodne z rozwojem rynkowym, prawnym i politycznym. Ponadto, liczba błędów ludzkich w procesie kontroli, spowodowanych zmęczeniem wynikającym z wysokiej intensywności manualnego przetwarzania, jest w takiej sytuacji znacznie zmniejszona. Pozwala to bankom na posiadanie rozwiązań, które łatwo się dopasowują do rosnącego poziomu kontroli sankcji. Dodatkowo, poprawi to satysfakcję klientów, ponieważ zgodne z prawem płatności są dzięki temu szybko realizowane.

Innym aspektem, na który banki zaczynają zwracać uwagę, jest konieczność kontekstowej „wyjaśnialności” modelu AI (XAI) na poziomie akceptowalnym przez regulatora. Globalnie istnieje wiele przypadków odrzucenia nieprzejrzystych modeli AI przez regulatorów, co wynika z obaw regulatorów związanych z powszechnym wykorzystaniem AI w instytucjach finansowych oraz w instytucjach niefinansowych, które pośrednio wpływają na system finansowy. Regulatorzy wymagają, aby sposób, w jaki dane są mapowane na wyniki i decyzje, był w 100% wyjaśnialny, a podstawowe modele AI mogły być łatwo zrozumiane, analizowane i rozbudowywane przez organy regulacyjne i interesariuszy biznesowych.

 

XAI skutecznie pokonuje wyzwania stojące przed istniejącymi rozwiązaniami AI

Podstawowym problemem decyzyjnym dla rozwiązania AI jest badanie alertów kontroli sankcji dotyczących płatności i klasyfikacja dopasowań zarówno nazw, jak i jednostek jako “prawdziwe” lub “fałszywe” na podstawie ich oceny. Wyniki dopasowania z obu potoków danych są następnie oceniane przez bank, aby zdecydować o zwolnieniu lub wstrzymaniu płatności. Ogólnie rzecz biorąc, dopasowanie nazwy, jak sama nazwa wskazuje, dotyczy tego, jak bardzo nazwa odbiorcy i płatnika pasuje do nazwy na listach sankcji, na przykład Jacek Malinowski czy Jarek Malanowski, podczas gdy dopasowanie jednostki ocenia inne informacje o odbiorcy lub płatniku, takie jak ich adresy i firmy.

Duża liczba płatności oznacza konieczność zatrudnienia coraz większej liczby pracowników do rozdzielania prawdziwych i fałszywych alarmów generowanych przez algorytmy dopasowujące wzorce. Ogromna liczba fałszywych alarmów stanowi główną przeszkodę dla udanego i zrównoważonego business case wykorzystania z AI do kontroli zgodności z sankcjami. Dlatego nowe rozwiązania XAI muszą przyjąć bardziej nowatorskie podejście do radzenia sobie z alertami kontroli sankcji.

W udanych rozwiązaniach XAI, które pokonują to wyzwanie, problem kontroli sankcji został podzielony na dwa problemy klasyfikacji: “dopasowanie nazwy” i “dopasowanie jednostki”. Pierwsze oblicza prawdopodobieństwo, że dany podmiot, który wywołał alert, ma takie samo imię jak podmiot faktycznie objęty sankcjami, podczas gdy drugie oblicza prawdopodobieństwo, że dany podmiot, który wywołał alert, ma ten sam rodzaj jednostki (osoba fizyczna, organizacja itp.) jak jak podmiot faktycznie objęty sankcjami. Dzięki zaawansowanym i wyjaśnialnym algorytmom AI te dwa wyniki klasyfikacji okazały się bardzo skuteczne w wyodrębnianiu fałszywych alarmów generowanych przez algorytmy dopasowujące wzorce. Kolejnym powodem sukcesu tych rozwiązań AI jest innowacja polegająca na ochronie danych identyfikujących osobę (PII) w całym przepływie pracy, co w wielu wcześniejszych próbach uniemożliwiało wdrożenie rozwiązań AI. Te udane rozwiązania XAI zostały zaprojektowane w taki sposób, żeby w gruncie rzeczy nie wymagały żadnych danych PII do pracy. Najpierw na miejscu w banku został opracowany silnik obliczający cechy, który konwertuje osobiste dane nieustrukturyzowane na anonimowe dane, które następnie były przesyłane do modeli AI obliczających wyniki. Bardzo ważne dla sukcesu jest również pełne wyjaśnianie modeli AI, ponieważ ich wdrożenie zależy od zrozumienia przez regulatora finansowego, jak modele te działają, i ich zatwierdzenia do użytku. Te udane modele AI są nie tylko w pełni wyjaśnialne, ale także generują wyjaśnialne wyniki na trzech poziomach: dla całej populacji (reguły modelu), dla grup podpopulacji wykazujących podobne zachowanie (reguły dotyczące poszczególnych koszyków ryzyka) oraz dla pojedynczych transakcji (czytelne reguły/wyniki oparte na treiberach dla każdej transakcji), co dodatkowo poprawia ich zgodność z przepisami oraz wartość dla użytkowników biznesowych.

Ostatecznie rozwiązania te zostały zaprojektowane w celu łatwej implementacji, zgodnie z pilną potrzebą banków w zakresie modernizacji kontroli sankcji, oraz z możliwościami monitorowania wydajności modeli w czasie rzeczywistym, zgodnie z wymogiem szybkiego reagowania na żądania płatności.

 

Korzyści i zwrot z inwestycji w XAI w kontroli sankcji

Jak większość inicjatyw opartych na AI, oczekiwania i szacunki zwrotu z inwestycji (ROI) mogą być skomplikowane. Szeroko można je przypisać niepewnościom związanym z szacowaniem ilościowych wartości biznesowych, takich jak zysk produktywności, oszczędności kosztów i zyski, a także jakościowych wartości, takich jak zatrzymanie pracowników o wysokich kwalifikacjach, poprawa elastyczności ich kompetencji i lepsze doświadczenia związane z przepływem pracy.

Strukturalne podejście, zgodne choćby z zasadą Pareto) polega na skoncentrowaniu się najpierw na pozycji, która ma największy wpływ, a następnie na jej dostosowaniu. W przypadku kontroli sankcji, główną podstawą analizy business case jest potrzeba przygotowania i uporządkowania najbardziej pracochłonnych działań w obecnym przepływie pracy. Pomaga to opracować oszacowanie zwrotu z inwestycji na podstawie tego, ilu pełnoetatowych AMLRO może być zastąpionych przez AI, aby mogli być przeniesieni do innych kluczowych obszarów działalności związanych z walką z przestępczością finansową.

Konieczność spełnienia przez modele AI kluczowych KPI narzuconych przez banki, takich jak wymaganie 100% prawdziwych pozytywów, pomogła w opracowaniu struktury kalibracji modeli AI, co pozwoliło na bardziej precyzyjne i wyjaśnialne oszacowanie liczby fałszywych alarmów, które można następnie przesłać do recenzji manualnej. Po rozwiązaniu tych problemów związanych z oszacowaniem liczby fałszywych alarmów, pozostała część procesu jest prosta i polega na alokacji danych liczbowych, takich jak koszt personelu, wielkość klienta, dzienna liczba alarmów i liczba obsługiwanych alarmów na pracownika dziennie, aby oszacować zakres oszczędności wynikających z zastosowania modeli XAI. Pozostałe wartości biznesowe (ilościowe oraz jakościowe) bank może rozważyć w dalszej kolejności, aby móc podjąć decyzję dotyczącą inwestycji w AI.

 

Odniesienie do sytuacji na polskim rynku finansowym i instytucji objętych sankcjami międzynarodowymi

Na polskim rynku finansowym i w instytucjach objętych sankcjami międzynarodowymi, takich jak banki, istnieje również pilna potrzeba modernizacji systemu kontroli sankcji. Wraz z rosnącymi wymaganiami regulacyjnymi oraz złożonością i kosztami związanymi z tradycyjnymi manualnymi metodami kontroli, wykorzystanie rozwiązań opartych na wyjaśnialnej sztucznej inteligencji (XAI) może przynieść wiele korzyści. Poprawa wydajności, redukcja liczby fałszywych alarmów, zmniejszenie błędów ludzkich i zwiększenie skuteczności w identyfikacji osoby lub jednostki objętej sankcjami to tylko niektóre z potencjalnych korzyści. Dodatkowo, wykorzystanie wyjaśnialnej AI może pomóc w spełnieniu wymogów regulacyjnych i umożliwić łatwiejszą analizę i zrozumienie działania modeli AI przez organy regulacyjne i interesariuszy biznesowych.

Ważne jest, aby polskie instytucje finansowe i inne podmioty objęte sankcjami międzynarodowymi zrozumiały korzyści i znaczenie wprowadzenia nowoczesnych technologii, takich jak wyjaśnialna AI, w kontroli sankcji. Wprowadzenie takiego rozwiązania może pomóc w skuteczniejszej i efektywniejszej ochronie przed przestępczością finansową oraz w spełnianiu wymagań regulacyjnych, co przyczyni się do wzrostu zaufania i reputacji instytucji finansowych na polskim rynku.

KPI (Kluczowe Wskaźniki Efektywności) w compliance

Współczesne organizacje wykorzystują kluczowe wskaźniki efektywności (KPI) do oceny swojej skuteczności w różnych obszarach działalności. KPI są miarami, które pozwalają monitorować i mierzyć stopień realizacji celów organizacji oraz ocenić jej postępy. W obszarze compliance również istnieje wiele sprawdzonych metod opracowywania tych wskaźników i zasad skutecznego zarządzania przez cele.

Kluczowe wskaźniki efektywności, są istotne dla oceny organizacji, ponieważ umożliwiają jasne rozstrzygnięcie, czy cele są osiągane i na jakim etapie się znajdują. W przypadku compliance, KPI pozwalają śledzić skuteczność działań związanych z przestrzeganiem przepisów i minimalizować ryzyko naruszeń.

Zarządzanie przez cele jest kluczowym podejściem, które wiąże się z wyznaczaniem celów strategicznych i operacyjnych, a następnie monitorowaniem ich realizacji za pomocą odpowiednio dobranych KPI. Działania podejmowane w obszarze compliance, takie jak szkolenia czy audyty, wymagają innych nakładów środków i zasobów niż cele długoterminowe. Skuteczne zarządzanie przez cele i wykorzystanie odpowiednich KPI pozwala na monitorowanie postępów w realizacji celów compliance oraz identyfikację czynników ryzyka.

Kluczowe wskaźniki efektywności w obszarze compliance obejmują między innymi liczbę otwartych przypadków naruszeń, średni czas odkrycia i rozwiązania problemów, całkowite wydatki związane z przestrzeganiem regulacji, koszt przestrzegania regulacji na jeden przypadek, średni koszt postępowań prawnych związanych z przestrzeganiem regulacji, liczba nierozwiązanych problemów po audycie, kompozytowy wskaźnik ryzyka, różnica w powadze ryzyka oraz retencję pracowników.

Przyjrzyjmy się tym wskaźnikom.

compliance KPI

#1 Liczba otwartych przypadków naruszeń compliance

Liczba otwartych przypadków naruszeń compliance oznacza po prostu całkowitą liczbę przypadków, w których organizacja naruszyła wymogi regulacyjne lub nie przestrzegała odpowiednich praw, polityk lub standardów. Te naruszenia mogą różnić się pod względem wielkości i nasilenia, dlatego ważne jest śledzenie tej liczby wraz z kosztami compliance i postępowań sądowych, aby uzyskać pełne zrozumienie swoich problemów związanych z przestrzeganiem przepisów.

Jak śledzić liczbę otwartych przypadków naruszeń compliance?

Aby śledzić to KPI, wystarczy zidentyfikować wszystkie przypadki naruszeń przez określony okres (rok daje pełniejszy obraz) i zsumować je. Jest to kolejny wskaźnik, który warto monitorować przed i po wdrożeniu szkoleń compliance lub podjęciu większej inicjatywy związanej z compliance.

#2 Średni czas odkrycia przypadków naruszeń

Średni czas odkrycia przypadków naruszeń, znany również jako średni czas wykrycia (MTTD), oznacza po prostu czas, jaki upływa od wystąpienia problemu lub zdarzenia do jego odkrycia. Krótszy średni czas odkrycia oznacza, że problemy są wykrywane szybciej (co jest korzystne), a dłuższy średni czas odkrycia oznacza, że problemy są wykrywane wolniej (co jest niekorzystne). Średni czas odkrycia może dotyczyć różnych potencjalnych problemów, takich jak:

  • Błędy oprogramowania
  • Naruszenia w zakresie zdrowia i bezpieczeństwa
  • Problemy związane z urządzeniami
  • Ograniczenia obsługi klienta
  • Wąskie gardła w przechowywaniu informacji

Jak śledzić średni czas odkrycia przypadków naruszeń?

To bardzo łatwy KPI do śledzenia, wystarczy skorzystać z prostego obliczenia: średni czas odkrycia przypadku = ogólny czas między pojawieniem się problemu a jego wykryciem dla wszystkich przypadków / liczba wystąpień problemów. Pozwoli to uzyskać średni czas, jaki organizacja potrzebuje na wykrycie problemów, co jest pierwszym krokiem do ich naprawienia.

 

#3 Średni czas rozwiązania przypadków naruszeń

Średni czas rozwiązania przypadków naruszeń często jest używany razem z średnim czasem odkrycia. Średni czas rozwiązania przypadków oblicza się jako średni czas między zgłoszeniem problemu a całkowitym jego rozwiązaniem. Podobnie jak w przypadku średniego czasu odkrycia, krótszy średni czas rozwiązania jest korzystny, a dłuższy – niekorzystny.

Jak śledzić średni czas rozwiązania przypadków naruszeń?

Podobne obliczenie można zastosować do średniego czasu rozwiązania przypadków naruszeń: średni czas rozwiązania przypadku = ogólny czas między pierwszym zgłoszeniem problemu a całkowitym jego rozwiązaniem dla wszystkich przypadków / liczba przypadków. Ważne jest, aby zauważyć, że “całkowite rozwiązanie” oznacza, że problem już nie występuje w żadnej formie, a nie tylko to, że opracowano i testujemy rozwiązanie.

 

#4 Całkowite wydatki związane z przestrzeganiem regulacji

Całkowite wydatki związane z przestrzeganiem regulacji (znane również jako koszty przestrzegania regulacji) obejmują wszystkie koszty, jakie firma lub organizacja ponosi, aby utrzymać zgodność z przepisami. Obejmuje to wynagrodzenia pracowników pracujących w dziale compliance, koszty oprogramowania, koszty raportowania, koszty audytów oraz koszt szkoleń z zakresu compliance, które są wymagane dla uzyskania statusu zgodności. Średnie całkowite wydatki związane z przestrzeganiem regulacji różnią się w zależności od branży. Im bardziej regulowana jest branża, tym wyższe są przewidywane koszty przestrzegania regulacji przez organizację.

Jak śledzić całkowite wydatki związane z przestrzeganiem regulacji?

Aby śledzić całkowite wydatki związane z przestrzeganiem regulacji, ważne jest, aby przeprowadzić szeroko zakrojony audyt wydatków, nie zapominając o wynagrodzeniach i abonamentach na oprogramowanie. Warto skorzystać z pomocy zespołu finansowego w celu kompleksowej analizy wydatków. Całkowite wydatki związane z przestrzeganiem regulacji oblicza się jako suma wszystkich kosztów związanych z przestrzeganiem przepisów.

 

#5 Koszt przestrzegania regulacji na jeden przypadek

Koszt przestrzegania regulacji na jeden przypadek to wskaźnik mierzący efektywność budżetu na przestrzeganie przepisów. Można obliczyć koszt przestrzegania regulacji na jeden przypadek na poziomie organizacji jako całości, jak również dla różnych podsekcji szkoleń z zakresu compliance, na przykład:

  • Koszt przestrzegania regulacji związanych z RODO na jeden przypadek
  • Koszt przestrzegania regulacji związanych z bezpieczeństwem i higieną pracy na jeden przypadek
  • Koszt przestrzegania regulacji związanych z cyberbezpieczeństwem na jeden przypadek

W ten sposób można śledzić, jakie naruszenia compliance kosztują najwięcej i gdzie może być konieczne większe inwestowanie w rozwiązania.

Jak śledzić koszt przestrzegania regulacji na jeden przypadek?

Koszt przestrzegania regulacji na jeden przypadek można śledzić za pomocą poniższego wzoru: koszt przestrzegania regulacji na jeden przypadek = budżet na compliance / liczba przypadków, na które ten budżet jest przeznaczony. Jak wspomniano wcześniej, można to obliczyć dla organizacji jako całości lub dla mniejszych podsekcji szkoleń z zakresu compliance, aby uzyskać bardziej szczegółowy obraz.

 

#6 Średni koszt postępowań prawnych związanych z przestrzeganiem regulacji

Średni koszt postępowań prawnych związanych z przestrzeganiem regulacji to metryka mierząca średnią wartość kosztów postępowań prawnych związanych z przestrzeganiem regulacji. Pozwala to śledzić zmiany w tej metryce po wdrożeniu szkoleń z zakresu compliance. Jeśli średni koszt postępowań prawnych związanych z przestrzeganiem regulacji maleje po inwestycji w szkolenia z zakresu compliance, można przypuszczać, że podjęto odpowiednie działania.

Jak śledzić średni koszt postępowań prawnych związanych z przestrzeganiem regulacji?

Średni koszt postępowań prawnych związanych z przestrzeganiem regulacji można obliczyć za pomocą poniższego wzoru: średni koszt postępowań prawnych związanych z przestrzeganiem regulacji = ogólne koszty prawne związane z problemami compliance / liczba postępowań prawnych związanych z przestrzeganiem regulacji. Ten wskaźnik najlepiej śledzić w dłuższym okresie, ponieważ istotne jest zmniejszanie go z roku na rok.

 

#7 Liczba nierozwiązanych problemów po audycie

Liczba nierozwiązanych problemów po audycie oznacza procent problemów, które nie zostały rozwiązane podczas audytu, co podkreśla skuteczność audytów związanych z compliance. Im niższy procent nierozwiązanych problemów po audycie, tym lepiej, co świadczy o tym, że audyty są skuteczne w wykrywaniu problemów związanych z przestrzeganiem przepisów.

Jak śledzić liczbę nierozwiązanych problemów po audycie?

Liczba nierozwiązanych problemów po audycie można śledzić za pomocą poniższego wzoru: liczba nierozwiązanych problemów po audycie = (liczba nierozwiązanych problemów po zakończeniu audytu / ogólna liczba zidentyfikowanych problemów) * 100. Ten wskaźnik wyraża się jako procent i doskonale nadaje się do śledzenia wyników wielu audytów w celu poprawy efektywności.

 

#8 Ważony wskaźnik ryzyka

Ważony wskaźnik ryzyka jest liczbową metodą oceny stopnia ryzyka i prawdopodobieństwa jego wystąpienia. Daje to organizacji listę priorytetów dotyczących ryzyka, na które należy się przygotować.

Jak śledzić ważony wskaźnik ryzyka?

Zacznij od spisania wszystkich potencjalnych ryzyk związanych z przestrzeganiem przepisów, z którymi organizacja może się zmierzyć w nadchodzącym roku. Następnie przypisz każdemu ryzyku wynik od 1 do 5 dla prawdopodobieństwa wystąpienia i wynik od 1 do 5 dla powagi dla firmy, jeśli ryzyko wystąpiło. To pozwoli zmapować wszystkie ryzyka compliance na siatce, z jedną osią skupiającą się na wadze, a drugą na prawdopodobieństwie. Ryzyko o wysokiej wadze i wysokim prawdopodobieństwie wymaga większej uwagi i większego budżetu niż ryzyko niskie na ważonym wskaźniku ryzyka z niskim prawdopodobieństwem i powagą.

 

#9 Różnica w powadze ryzyka

Różnica w powadze ryzyka to jeden z bardziej zaawansowanych wskaźników KPI na tej liście, ale jest stosunkowo prosty do zrozumienia, jeśli wyjaśni się go w prostych słowach. Różnica w powadze ryzyka odnosi się do różnicy między przewidywanym narażeniem na ryzyko a faktycznym narażeniem na ryzyko, co oznacza, że jest to doskonały wskaźnik do mierzenia, czy jesteś zbyt ostrożny czy też potencjalnie niewystarczająco ostrożny.

Jak śledzić różnicę w powadze ryzyka?

Ten wskaźnik wymaga pewnego planowania i przemyślenia. Najpierw musisz przeprowadzić tzw. analizę ryzyka compliance, aby ocenić przyszłe ryzyka biznesowe związane z przestrzeganiem przepisów, na przykład prawodawstwo dotyczące firmy w przypadku niewłaściwego przestrzegania przepisów. Następnie ryzyka te będą oceniane pod kątem prawdopodobieństwa wystąpienia ryzyka, zazwyczaj w skali od 1 do 5. Możesz wtedy zobaczyć obraz potencjalnych ryzyk na dany rok. Po zakończeniu roku można ocenić różnicę w powadze ryzyka, analizując najnowszą Analizę Ryzyka Compliance i sprawdzić, gdzie przeszacowano lub niedoszacowano ryzyko na dany rok, co umożliwia przekierowanie zasobów i budżetu.

 

#10 Retencja pracowników

Retencja pracowników odnosi się do tego, ile pracowników pozostaje w firmie przez okres roku. Wyższa retencja pracowników oznacza, że pracownicy zostają w firmie dłużej i zazwyczaj jest to oznaka satysfakcji z ich stanowiska i silnej kultury organizacyjnej. Retencja pracowników jest również wpływana przez compliance, ponieważ pracownicy, którzy czują się bezpieczni, docenieni i nie martwią się o problemy z przestrzeganiem przepisów, są bardziej skłonni pozostać na tym samym stanowisku przez dłuższy czas. Oznacza to również, że organizacja ma niższe koszty regulacyjne, co oznacza większy budżet na inicjatywy pracownicze i podwyżki płac, co z kolei zwiększa retencję pracowników.

Jak śledzić wskaźnik retencji pracowników?

Wskaźnik retencji pracowników można śledzić za pomocą poniższego wzoru: wskaźnik retencji pracowników = 100 – wskaźnik rotacji. Wskaźnik rotacji można śledzić za pomocą poniższego wzoru: wskaźnik rotacji = liczba zwolnień pracowników / całkowita liczba pracowników * 100.

Poprzez wykorzystanie tych kluczowych wskaźników efektywności, organizacje mogą ocenić skuteczność swoich działań compliance, identyfikować obszary wymagające poprawy i dostosowywać swoje strategie w celu minimalizacji ryzyka naruszeń przepisów. Efektywne wykorzystanie KPI wpływa również na kulturę organizacyjną, zwiększa jasność oczekiwań wobec pracowników i umożliwia podejmowanie szybkich decyzji na podstawie istotnych informacji.

W obszarze compliance istnieje wiele kluczowych wskaźników, które mogą pomóc w monitorowaniu i ocenie skuteczności procesów przestrzegania przepisów. Przytoczone powyżej przykłady to jedynie kilka z najczęściej występujących: liczba otwartych przypadków naruszeń, średni czas odkrycia i rozwiązania problemów, całkowite wydatki związane z przestrzeganiem regulacji, koszt przestrzegania regulacji na jeden przypadek, średni koszt postępowań prawnych związanych z przestrzeganiem regulacji, liczba nierozwiązanych problemów po audycie, złożony wskaźnik ryzyka, różnica w powadze ryzyka, retencja pracowników – to wszystko są wskaźniki, które warto monitorować i analizować w celu doskonalenia procesów compliance i minimalizowania ryzyka. Świadomość tych wskaźników i skuteczne ich wykorzystanie mogą przyczynić się do budowania silnej kultury przestrzegania przepisów i osiągnięcia sukcesu organizacyjnego.

Wiedza na temat kluczowych wskaźników efektywności w obszarze compliance jest istotna dla specjalistów ds. compliance, compliance officerów oraz AMLRO (odpowiedzialnych za przeciwdziałanie praniu pieniędzy). Pozwala to na skuteczne monitorowanie procesów przestrzegania przepisów, minimalizację ryzyka i zapewnienie, że organizacja działa zgodnie z obowiązującymi regulacjami.

KYC Officer

KYC Officer to profesjonalista odpowiedzialny za przestrzeganie procedur identyfikacji klientów w firmach finansowych. Odpowiedzialności KYC Officera obejmują: przeprowadzanie weryfikacji tożsamości klientów, analizę dokumentów i informacji, monitorowanie transakcji pod kątem podejrzanych działań oraz raportowanie wszelkich nieprawidłowości.

Ponadto, KYC Officer musi być świadomy i przestrzegać przepisów prawa, zasad regulacji oraz wewnętrznych polityk firmy. Jego zadaniem jest również prowadzenie bieżących szkoleń dla pracowników dotyczących procedur KYC i współpraca z organami regulacyjnymi.

Posiadanie certyfikatu KYC Officer zapewnia wiele korzyści. KYC Officer to specjalista w zakresie identyfikacji i weryfikacji tożsamości klientów. Dzięki temu certyfikatowi można rozpoznawać i minimalizować ryzyko prania brudnych pieniędzy, oszustw i finansowania terroryzmu. KYC Officer pomaga w utrzymaniu zgodności z przepisami prawnymi oraz w budowaniu zaufania klientów poprzez właściwe zarządzanie informacjami i danymi. To także zwiększa skuteczność działań antykorupcyjnych i chroni przed reputacyjnymi szkodami. Posiadanie certyfikatu KYC Officer jest więc ważnym atutem dla profesjonalistów działających w branży finansowej i biznesowej.

Zatrudnianie Certyfikowanego KYC Officer niesie wiele korzyści instytucjom obowiązanym do realizacji procedur AML. Przede wszystkim pomaga w zapobieganiu oszustwom i praniu pieniędzy, chroniąc reputację i wiarygodność instytucji. Dodatkowo, KYC Officer poprawia procesy identyfikacji klientów, co skraca czas potrzebny na otwarcie konta czy udzielenie pożyczki. Dzięki temu wzrasta efektywność operacyjna. Również ryzyko nałożenia kar przez organy regulacyjne zostaje ograniczone. Wreszcie, obecność certyfikowanego KYC Officera wzmacnia zaufanie klientów i zwiększa ich poczucie bezpieczeństwa.

AML & Compliance

Jak zdobyć certyfikat KYC Officer?

Certyfikat KYC Officer można zdobyć poprzez ukończenie specjalistycznego certyfikowanego szkolenia oferowanego przez Langas oraz zdanie egzaminu przygotowanego przez Stowarzyszenie Compliance Polska. Niezbędne są wiedza i umiejętności związane z obszarem Know Your Customer (KYC), czyli zidentyfikowaniem klienta, zarządzaniem ryzykiem i przeciwdziałaniem praniu pieniędzy. Szkolenie i egzamin obejmuje zagadnienia prawne, regulacyjne i procedury związane z KYC.

Jakie są wymagania do uzyskania certyfikatu KYC Officer?

W celu uzyskania certyfikatu KYC Officer, wymagane są konkretne kwalifikacje: kandydat musi posiadać wiedzę na temat procedur KYC (Know Your Customer) oraz zagadnień związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu. Ponadto, wymaga się doświadczenia w obszarze compliance oraz znajomości aktualnych regulacji i przepisów związanych z KYC. Osoba starająca się o certyfikat KYC Oficer powinna być również w stanie skutecznie identyfikować i oceniać ryzyko związane z klientami. Kwalifikacje należy potwierdzić egzaminem certyfikowanym przez Stowarzyszenie Compliance Polska składającym się z ok 50 pytań, uzyskując co najmniej 70% punktów. Egzamin można zdać na stronie https://langas.pl/egzaminy.

Gdzie można znaleźć szkolenia i kursy związane z certyfikacją KYC Officer?

Informacje na temat szkoleń i kursów związanych z certyfikacją KYC Officer w Polsce można znaleźć m.in. na tej stronie oraz stronie Stowarzyszenia Compliance Polska.

Langas jest organizacją specjalizującą się w szkoleniach z obszaru compliance, w tym również w zakresie KYC. Oferta szkoleniowa obejmuje kursy i szkolenia dotyczące procedur KYC, przeciwdziałania praniu pieniędzy oraz zagadnień związanych z bezpieczeństwem finansowym. Stowarzyszenie Compliance Polska jest instytucją certyfikującą, organizująca egzaminy i wydającej certyfikaty KYC Officer. Na stronach tych instytucji można znaleźć informacje o terminach i lokalizacjach szkoleń, a także o treści programów i wymaganiach certyfikacyjnych.

Jakie są podstawowe zasady i procedury KYC?

Podstawowe zasady i procedury KYC to procesy stosowane przez instytucje finansowe w celu identyfikacji, weryfikacji i oceny klientów w celu zapobiegania praniu pieniędzy i finansowaniu terroryzmu. KYC ma na celu gromadzenie i sprawdzanie informacji o tożsamości klientów oraz ocenę ryzyka związanych z ich transakcjami. Procedury KYC obejmują: identyfikację klienta na podstawie dokumentów tożsamości, weryfikację źródła pochodzenia funduszy, ocenę ryzyka, monitorowanie i raportowanie podejrzanych transakcji. Celem KYC jest zapewnienie uczciwości, bezpieczeństwa i zgodności instytucji finansowej z przepisami prawnymi.

Zostały ono szczegółowo opisane w tym artykule.

Jakie dokumenty są wymagane do weryfikacji tożsamości klienta?

W celu weryfikacji tożsamości konieczne może być przedstawienie następujących dokumentów: dowodu osobistego, paszportu lub prawa jazdy, wraz z aktualnym adresem zamieszkania, np. poprzez przedstawienie rachunku za media lub wyciągu bankowego. Organizacje muszą również zbierać informacje o działalności gospodarczej klienta, takie jak dokumenty rejestracyjne firmy, umowy partnerskie czy dokumenty potwierdzające pełnomocnictwa. Ważne jest, aby każdy dokument był aktualny, ważny i niepodrobiony.

Więcej na ten temat znajdziesz w tym artykule.

Jakie są ryzyka związane z nieprzestrzeganiem zasad KYC?

Ryzyka związane z nieprzestrzeganiem zasad KYC (Know Your Customer) to:

  1. Naruszenie przepisów prawa – brak weryfikacji tożsamości klientów może prowadzić do niezgodności z przepisami AML i przepisami sankcyjnymi.
  2. Wprowadzenie do firmy nieuczciwych klientów – brak weryfikacji tożsamości zwiększa ryzyko pozyskania klientów związanych z praniem pieniędzy, oszustwami czy finansowaniem terroryzmu.
  3. Szkody finansowe i reputacyjne – niewłaściwie przeprowadzone procesy KYC mogą prowadzić do strat finansowych, utraty klientów i uszczerbku dla reputacji firmy.
  4. Poważne sankcje prawne – nieprzestrzeganie zasad KYC może skutkować nakładaniem kar i sankcji ze strony organów regulacyjnych, co wpływa negatywnie na działalność firmy.
  5. Utrudnienia w raportowaniu – brak kompletnych danych i dokumentacji utrudnia raportowanie transakcji, co prowadzi do problemów z audytem wewnętrznym i zewnętrznym.

Zostały ono szczegółowo opisane w tym artykule.

Jakie są obowiązujące przepisy i regulacje dotyczące KYC?

KYC (Know Your Customer) to procedura, której celem jest identyfikacja i weryfikacja tożsamości klienta w sektorze finansowym. W Polsce obowiązujące przepisy dotyczące KYC są głównie określone w ustawach takich jak: Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu oraz Ustawa o działalności instytucji pieniądza elektronicznego. W Unii Europejskiej regulacje dotyczące KYC obejmują przede wszystkim Dyrektywę AML (Anti-Money Laundering) IV oraz V, a także Rozporządzenie o ochronie danych osobowych (RODO). Wymagania KYC obejmują zbieranie i weryfikację danych osobowych, sprawdzanie listy sankcji, weryfikację źródeł dochodów i celów transakcji. Przedsiębiorstwa finansowe są zobowiązane do prowadzenia skrupulatnej analizy ryzyka i monitorowania transakcji klientów. Celem tych przepisów jest zapobieganie praniu pieniędzy, finansowaniu terroryzmu oraz oszustwom finansowym.

Jakie są najnowsze trendy i wyzwania w obszarze KYC?

Najnowsze trendy i wyzwania w obszarze KYC (Know Your Customer) to procesy i regulacje mające na celu identyfikację klientów w celu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. W ostatnich latach rozwinięcie technologii, takich jak biometria i sztuczna inteligencja, wpływa na rozwój narzędzi KYC. Ponadto, wprowadzenie Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) stawia większy nacisk na ochronę danych klientów. Wyzwaniem jest zatem dostosowanie się do nowych przepisów i zachowanie zgodności, jednocześnie zapewniając wygodę i skuteczność w procesach KYC.

AMLA – nowy organ nadzoru UE i jego kompetencje

​​Jedną z najistotniejszych zmian, jakie wprowadza Pakiet AML, jest utworzenie nowego Urzędu ds. Przeciwdziałania Praniu Pieniędzy i Finansowaniu Terroryzmu (“AMLA”).

Organ ten będzie centralnie koordynował działania organów krajowych, przyczyniając się do rozwoju spójnej i jednolitej praktyki rynkowej. Ponadto będzie on pomagał poszczególnym organom krajowym w przeprowadzaniu analiz, przyczyniając się do usprawnienia gromadzenia danych wywiadu finansowego – kluczowego materiału dla organów ścigania.

AML Officer szkolenie

AMLA będzie koncentrować się na następujących obszarach:

  • wprowadzeniu zintegrowanego systemu nadzoru AML/CFT w całej UE opartego na ujednoliconych metodologiach i standardach nadzorczych;
  • bezpośredni nadzór nad najbardziej ryzykownymi instytucjami finansowymi, które działają w dużej liczbie państw członkowskich lub w odniesieniu do tych, w których może być wymagane natychmiastowe działanie w celu ograniczenia ryzyka AML/CFT
  • monitorowanie i koordynowanie działań krajowych organów nadzorczych odpowiedzialnych zarówno za podmioty finansowe, jak i niefinansowe
  • promowanie współpracy między krajowymi FIU oraz ułatwianie koordynacji ich pracy, jak również wspólnych analiz w celu poprawy wykrywania nielegalnych transgranicznych przepływów finansowych.

AMLA ma działać jako koordynator działań organów nadzoru krajowych oraz instytucji UE w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Jego głównym celem będzie zapewnienie jednolitych standardów i zasad działania w UE w zakresie AML/CTF.

AMLA będzie posiadał szerokie uprawnienia nadzorcze, w tym możliwość przeprowadzania inspekcji w firmach z sektorów ryzykownych, takich jak sektor bankowy czy sektor kryptowalut. Urząd będzie miał również możliwość nakładania sankcji na firmy, które nie spełnią wymogów dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.

AMLA będzie działał we współpracy z organami nadzoru krajowych oraz innymi instytucjami UE, takimi jak Europol czy Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF). Ma to zapewnić lepszą koordynację działań oraz wymianę informacji w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Urząd ma zostać utworzony do 2024 roku, a jego wdrożenie będzie wymagało współpracy państw członkowskich UE.

 

Pakiet AML obejmuje przepisy:

  • Rozporządzenie UE („jednolity zbiór przepisów”, „single rulebook”)

  • VI Dyrektywa AML

  • Rozporządzenie ustanawiające nowy unijny organ ds. przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu – AMLA ( z ang. Anti-Money Laundering Authority)

Role i obowiązki członków zarządów i rad nadzorczych oraz pracowników compliance/AML

Ustawa z 1 marca 2018 o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu nałożyła na instytucje obowiązek wyznaczenia osób odpowiedzialnych za należyte wykonanie przepisów ustawy.

Zgodnie z art.6 instytucje obowiązane wyznaczają kadrę kierowniczą wyższego szczebla odpowiedzialną za wykonywanie obowiązków określonych w ustawie, w tym m.in. za czynności związane z akceptacja nawiązania albo kontynuacji relacji z klientami wysokiego ryzyka (np. PEP i RCA) lub konsultację w zakresie wewnętrznej procedury instytucji obowiązanej dotyczącej AML/CFT. Ponadto, gdy w instytucji obowiązanej działa zarząd lub inny organ zarządzający, wyznacza się spośród członków tego organu osobę odpowiedzialną za wdrażanie obowiązków określonych w Ustawy AML*.

Tomasz Wojtaszczyk

Ponadto ustawodawca przewidział obowiązek wyznaczenie pracownika zajmującego kierownicze stanowisko, który będzie odpowiedzialny za zapewnienie zgodności działalności samej instytucji, jak też jej pracowników oraz innych osób wykonujących czynności na rzecz banku, z przepisami o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (tzw. AML/Compliance Oficer).

Pracownik ten odpowiedzialny jest zarówno za przygotowanie i realizację polityki zgodności, jak i za raportowanie zawiadomień do jednostki analityki finansowej. Ciąży też na nim szereg obowiązków wynikających z ustawy, a których wspólnym mianownikiem jest potrzeby zorganizowania i nadzorowania (monitorowania) systemu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu w instytucji obowiązanej.

Zarówno potrzeba wyznaczenia osoby odpowiedzialnej spośród kadry kierowniczej wyższego szczebla, jak i wymagania wynikające z wymienionych (skrótowo) powyżej obowiązków obwarowane zostały karami administracyjnymi oraz przepisami karnymi zawartymi w samej ustawie celem prawidłowego ich wykonywania.

Obowiązki firmy w zakresie AML (Anti-Money Laundering) to zbiór działań podejmowanych w celu zapobiegania praniu pieniędzy i finansowaniu terroryzmu. Firmy są zobowiązane do identyfikacji i weryfikacji tożsamości swoich klientów, monitorowania transakcji oraz zgłaszania podejrzanych działalności organom regulacyjnym. Dodatkowo, instytucje obowiązane muszą opracować i wdrożyć odpowiednie procedury i polityki AML, szkolić personel w zakresie identyfikacji podejrzanych działań oraz prowadzić regularne przeglądy i audyty w celu zapewnienia zgodności z przepisami.

Monitoring transakcji w zakresie zapobiegania praniu pieniędzy (AML) obejmuje różne metody. Są to:

  1. Analiza transakcji: Prześledzenie historii transakcji klienta, identyfikacja nieprawidłowości i podejrzanych wzorców.
  2. Filtracja i weryfikacja danych: Wykorzystanie narzędzi do przeglądania baz danych, list sankcji i innych źródeł informacji w celu sprawdzenia tożsamości klienta i identyfikacji podejrzanych transakcji.
  3. Monitorowanie w czasie rzeczywistym: Automatyczne monitorowanie transakcji w czasie rzeczywistym w celu wykrycia niezwykłych lub podejrzanych zachowań.
  4. Analiza wzorców: Wykorzystanie algorytmów i sztucznej inteligencji do analizy danych transakcyjnych i wykrywania nieprawidłowości w zachowaniu klientów.
  5. Raportowanie i powiadomienia: Generowanie raportów i powiadomień w przypadku podejrzanych transakcji, które mogą wymagać dalszej analizy i zgłoszenia organom regulacyjnym.

Metody te pomagają instytucjom finansowym i organizacjom weryfikować legalność transakcji, identyfikować potencjalne zagrożenia i przeciwdziałać działaniom przestępczym związanych z praniem pieniędzy.

Nowe wytyczne EBA i UKNF

Europejski Urząd Nadzoru Bankowego (The European Banking Authority – EBA) 4 czerwca 2022 roku opublikował wytyczne określające role i obowiązki AML/compliance oficera oraz organu zarządzającego w obszarze przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu w instytucjach kredytowych i finansowych. Ich celem jest stworzenie jasnych zasad dotyczących zarządzania obszarem AML/CFT oraz wykonanie rekomendacji Komisji Europejskiej odnośnie sprecyzowania funkcji AML/compliance oficerów w instytucjach finansowych.

W celu doprecyzowania obowiązków określonych tych Wytycznych,  Urząd Komisji Nadzoru Finansowego wydał 1 grudnia 2022 roku stanowisko dotyczące AMLRO, które dotyczy dobrych praktyk w zakresie wypełniania obowiązków wynikających z Ustawy AML.

UKNF oczekuje, aby podmioty nadzorowane przeprowadziły analizę stopnia dostosowania do wymogów Stanowiska oraz bez zbędnej zwłoki włączyły jego zapisy do praktyki działania odpowiednio zmieniając swoje regulacje wewnętrzne oraz procesy nadzorcze, proporcjonalnie do skali, rodzaju i charakteru działalności.

Mając na uwadze powyższe zagadnienia związane z rolą i zadaniami:

  • pracownika odpowiedzialnego za zapewnienie zgodności z przepisami w zakresie AML/CFT (AML/compliance officer),
  • organu zarządzającego lub członka kadry kierowniczej wyższego szczebla odpowiedzialnego za zapewnienie zgodności z przepisami AML/CFT,
  • organu nadzorującego.

przygotowaliśmy dla Państwa szkolenie „AML/CFT – role i obowiązki członków zarządów i rad nadzorczych oraz pracowników compliance/AML”.

UKNF w swoim stanowisku wskazuje na rolę i obowiązki AML Oficera, m.in.:

  • opracowanie i wdrażanie ramy oceny ryzyka prania pieniędzy i finansowania terroryzmu instytucji oraz prezentowanie wyników tej oceny wraz z mechanizmami mitygacyjnymi organowi zarządzającemu lub członkowi kadry kierowniczej wyższego szczebla odpowiedzialnemu za AML/CFT,
  • zapewnienie wprowadzenia odpowiednich polityk (strategii) i procedur AML/CFT, ich bieżące aktualizowanie i skuteczne wdrażanie (wraz z odpowiednimi mechanizmami kontrolnymi) oraz zapewnienie, aby były one regularnie poddawane przeglądowi i w razie potrzeby zmieniane lub aktualizowane, jak również przedstawiać propozycje dostosowania polityk i procedur do zmian regulacyjnych lub zmian w zakresie ryzyk ML/FT podmiotu nadzorowanego (co najmniej w zakresie elementów określonych w art. 50 ust. 2 ustawy),
  • w ramach funkcji drugiej linii obrony – odpowiadanie za monitorowanie zgodności polityk, mechanizmów kontrolnych i procedur z obowiązkami AML/CFT
  • nadzorowanie skuteczności mechanizmów kontrolnych przez linie biznesowe i jednostki organizacyjne
  • zapewnienie aktualizacji elementów procesu AML/CFT
  • ewentualne rekomendowanie organowi zarządzającemu odpowiednich działań naprawczych (w razie stwierdzenia nieprawidłowości w procesie AML/CFT, w tym przez organy informacji finansowej i nadzoru oraz audyt)
  • informowanie organu zarządzającego o środkach, jakie należy zastosować w celu zapewnienia compliance, a także ocena możliwego wpływ ewentualnych zmian w otoczeniu prawnym na działalność podmiotu nadzorowanego i jej zgodność z przepisami prawa
  • zwracanie uwagi członka organu zarządzającego lub członka kadry kierowniczej wyższego szczebla odpowiedzialnego za AML/CFT w szczególności na:
    • obszary wymagające wdrożenia nowych mechanizmów kontrolnych lub usprawnienia istniejących,
    • sprawozdania z realizacji istotnych programów naprawczych (co najmniej raz w roku),
    • adekwatność zasobów ludzkich i technicznych przydzielonych komórce ds. AML/CFT
    • kompleksowe sprawozdanie ze swojej działalności (co najmniej raz w roku)
  • w odniesieniu do obowiązku przekazywania informacji o transakcjach (w tym podejrzanych) do GIIF – zapewnić, żeby inni pracownicy zajmujący się tym obszarem byli odpowiednio kompetentni oraz uwzględnić obowiązek zachowania tajemnicy, ochronę danych i inne ograniczenia mogące mieć znaczenie w zakresie wymiany informacji – w ramach tej funkcji AML Oficer powinien m.in.:
    • znać funkcjonowanie systemu monitorowania transakcji,
    • przyjmować zgłoszenia od pracowników, pośredników lub dystrybutorów podmiotu nadzorowanego o budzących wątpliwości transakcjach, podmiotach i osobach,
    • zapewnić niezwłoczne rozpatrywanie tych zgłoszeń, przy uwzględnieniu ustalonych priorytetów,
    • prowadzić rejestr wszystkich przeprowadzonych analiz dotyczących zgłoszeń oraz informacji zwrotnych otrzymanych od GIIF,
    • zapewnić niezwłoczne przekazywanie informacji o transakcjach podejrzanych do GIIF wraz z niezbędnymi danymi i uzasadnieniem,
    • zapewnić niezwłoczne przekazywanie wyczerpującej odpowiedzi na zapytania GIIF,
    • regularnie analizować czy ostrzeżenia o nietypowej działalności lub transakcjach nie zostały przekazane na wyższy szczebel jako zgłoszenia wewnętrzne oraz, jeśli takie sytuacje zaistniały, powody dla których nie zostały przekazane
    • zapewnić, aby mechanizmy kontrolne umożliwiały stosowanie się pomiotu nadzorowanego do wytycznych wydanych przez organy informacji finansowej oraz nadzoru
  • w zakresie realizacji obowiązku szkoleniowego i podnoszenia świadomości pracowników:
    • należycie informować personel o ryzykach ML/FT, na które narażony jest podmiot nadzorowany, w tym o metodach, tendencjach i typologii prania pieniędzy i finansowania terroryzmu, a także o podejściu opartym na analizie ryzyka,
    • nadzorować przygotowanie i realizację programu szkoleniowego oraz jego udokumentowanie,
    • zapewnić, aby szkolenia były zróżnicowane i dostosowane do profilu i poziomu ryzyka ML/FT w odniesieniu do danej grupy pracowników,
    • zapewnić odpowiednią jakość i aktualność szkoleń oraz sprawdzenie stopnia opanowania wiedzy,
    • zapewnić dostosowanie programu szkoleniowego zagranicznej spółki dominującej do przepisów prawa krajowego, a także do typologii prania pieniędzy i finansowania terroryzmu oraz specyfiki działań danego podmiotu nadzorowanego.

Kolejnym ważnym obszarem jest dokumentacja całego procesu. Zasady zbierania i przechowywania danych w AML są istotne dla skutecznej walki z przestępczością finansową. W AML wymagane jest gromadzenie i przechowywanie różnorodnych danych, takich jak informacje o klientach, transakcjach i dokumentacji potwierdzającej tożsamość. Zasady te obejmują konieczność zbierania kompletnych i dokładnych informacji, w tym danych personalnych, źródeł dochodów, celu transakcji oraz informacji o ryzyku związanych z klientem.

Ważne jest również utrzymywanie poufności zgromadzonych danych, zapewniając ich odpowiednią ochronę i zabezpieczenia przed nieautoryzowanym dostępem. Dane powinny być przechowywane przez określony okres zgodnie z przepisami prawnymi, a następnie mogą być usuwane lub archiwizowane.

Przestrzeganie zasad zbierania i przechowywania danych w AML jest nie tylko obowiązkowe, ale również kluczowe dla skutecznej identyfikacji i wykrywania podejrzanych transakcji finansowych oraz wspierania działań organów ścigania.

W tym zakresie nie można przecenić systemu szkoleń i walidacji przygotowanego przez Stowarzyszenie Compliance Polska.

Program szkoleń i egzaminów certyfikujących został stworzony przez doświadczonych praktyków, z Radą Programową w skład której wchodzą szefowie działów Compliance największych instytucji finansowych, pod auspicjami stowarzyszenia, które skupia środowisko Compliance w Polsce.

Pobierz pełen katalog szkoleń i certyfikacji>>

AML & Compliance

W stanowisku UKNF podkreślono rolę organu pełniącego funkcję nadzorczą w procesie AML/CFT

Organ nadzorujący odpowiada za nadzorowanie i monitorowanie wdrażania ram zarządzania wewnętrznego i kontroli wewnętrznej dla zapewnienia zgodności z obowiązującymi wymogami w obszarze AML/ CFT, w tym m.in. powinien:

  • nadzorować i monitorować adekwatność i skuteczność realizacji polityki (strategii) i procedur AML/CFT uwzględniając specyfikę rodzajów ryzyka ML/FT, podmiotu nadzorowanego oraz powodować podjęcie działań i środków naprawczych adekwatnych do zidentyfikowanych nieprawidłowości
  • dokonywać regularnych przeglądów sprawozdań z działalności AMLRO (AML Oficera) oraz co najmniej raz w roku oceniać skuteczność działalności w zakresie AML/CFT, z uwzględnieniem wniosków systemu kontroli wewnętrznej, w tym audytu. W ramach dobrych praktyk przyjmuje się, że okresowe raporty dla zarządu powinny być generowane w cyklach miesięcznych lub kwartalnych, a dla rady nadzorczej – w cyklach kwartalnych lub półrocznych.
  • zapewnić, aby członek organu zarządzającego odpowiedzialny za proces AML/CFT (lub członek kadry kierowniczej wyższego szczebla odpowiedzialny za wykonywanie obowiązków określonych w ustawie) posiadał wiedzę, umiejętności i doświadczenie konieczne do zidentyfikowania i oceny ryzyka specyficznego dla podmiotu nadzorowanego ML/FT oraz zarządzania nim, a także otrzymywał informacje o decyzjach potencjalnie wpływających na ryzyka, na które jest narażony podmiot nadzorowany
  • mieć dostęp do stosownych danych i informacji oraz wykorzystywać je w celu skutecznej realizacji zadań z zakresu AML/CFT
  • mieć dostęp do sprawozdań AMLRO i audytu, informacji o wynikach kontroli i korespondencji z uprawnionymi organami państwowymi oraz informacji o środkach nadzorczych i nałożonych karach. Zadania i rola członka organu zarządzającego lub członka kadry kierowniczej wyższego szczebla .

Dodatkowo Stanowisko wskazuje zadania i rolę członka organu zarządzającego lub członka kadry kierowniczej wyższego szczebla odpowiedzialnego za AML/CFT

 Członek organu zarządzającego lub członek kadry kierowniczej wyższego szczebla powinien:

  • mieć odpowiednią wiedzę, umiejętności i doświadczenie w zakresie ryzyka ML/TF oraz wdrażania polityk (strategii), mechanizmów kontrolnych i procedur AML/CFT, a także dotyczącą specyfiki działalności podmiotu nadzorowanego; dotyczy to również osób zastępujących na czas nieobecności takie osoby
  • zapewnić, aby organ zarządzający lub w przypadku braku organu zarządzającego – kadra kierownicza wyższego szczebla byli świadomi wpływu ryzyk ML/FT na profil ryzyka w odniesieniu do całej działalności podmiotu nadzorowanego
  • mieć zapewniony czas, zasoby i uprawnienia niezbędne do skutecznego wypełniania obowiązków AML/CFT
  • terminowo składać kompleksowe sprawozdania z realizacji zadań oraz przekazywać informacje organowi nadzorującemu
  • zapewnić adekwatność i proporcjonalność polityk (strategii), procedur i systemu kontroli wewnętrznej w obszarze AML/CFT z uwzględnieniem specyfiki działalności oraz ryzyk ML/FT w odniesieniu do podmiotu nadzorowanego
  • zapewnić, aby AMLRO regularnie i terminowo składał organowi zarządzającemu kompleksowe raporty na temat ryzyk ML/FT i zgodności z przepisami AML/CFT niezbędne dla realizacji procesu decyzyjnego przez ten organ
  • zapewnić, aby AMLRO miał bezpośredni dostęp do informacji niezbędnych do wykonywania swoich zadań, w tym informacji o incydentach i nieprawidłowościach związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu w skali całego podmiotu nadzorowanego oraz o uchybieniach stwierdzonych przez system kontroli wewnętrznej i przez krajowe (w przypadku grup – zagraniczne) organy nadzoru, a także dysponował wystarczającymi zasobami ludzkimi i technicznymi oraz narzędziami umożliwiającymi mu odpowiednie wykonywanie powierzonych zadań
  • zapewnić, aby był on dla AMLRO główną i bezpośrednią osobą kontaktową w kierownictwie podmiotu nadzorowanego oraz zapewnić odpowiednią reakcję organów podmiotu nadzorowanego na wnioski AMLRO, w tym na forum organu zarządzającego lub kadry kierowniczej wyższego szczebla, a w przypadku istotnych incydentów w obszarze AML/CFT, zabezpieczyć bezpośredni dostęp do organu nadzorującego.

Obowiązki raportowania transakcji podejrzanych obejmują zgłaszanie wszelkich transakcji, które mogą wywoływać podejrzenie lub wskazywać na potencjalne działania nielegalne, takie jak pranie pieniędzy lub finansowanie terroryzmu. Raportowanie takich transakcji jest wymagane przez organy regulacyjne – GIIF, UKNF – w celu zapobiegania i wykrywania przestępstw finansowych. Osoby odpowiedzialne za raportowanie powinny monitorować transakcje, identyfikować te, które są podejrzane lub wywołujące podejrzenia, a następnie zgłaszać je w odpowiednim czasie i formacie. Przestrzeganie tych obowiązków jest istotne dla ochrony przed nadużyciami finansowymi i utrzymania bezpieczeństwa w sektorze finansowym.

AML (Anti-Money Laundering) to zbiór zasad i procedur mających na celu zapobieganie praniu pieniędzy i finansowaniu terroryzmu. Podstawowe zasady AML obejmują identyfikację klienta, monitorowanie transakcji, raportowanie podejrzanych aktywności i przestrzeganie przepisów prawnych. Firmy finansowe i instytucje podlegające regulacjom muszą stosować te zasady, aby minimalizować ryzyko wykorzystania ich usług do celów nielegalnych.

Najważniejsze przepisy prawne dotyczące AML obejmują m.in.:

  1. Dyrektywę UE AML, która wymaga wprowadzenia procedur wewnętrznych i identyfikacji ryzyka związanego z praniem pieniędzy.
  2. Polskie ustawy, takie jak Ustawa o przeciwdziałaniu praniu pieniędzy oraz Ustawa o Krajowym Systemie Płatniczym, które nakładają obowiązki na instytucje finansowe w zakresie identyfikacji klienta, raportowania transakcji podejrzanych oraz utrzymania systemów kontroli wewnętrznej.
  3. Rekomendacje FATF (Financial Action Task Force), które stanowią międzynarodowe standardy w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.

Jakie są metody oceny skuteczności programów AML?

Metody oceny skuteczności programów AML to procesy, które pomagają w ustaleniu efektywności tych programów. Najczęściej stosowane metody to:

  1. Analiza wskaźników – badanie danych statystycznych, takich jak liczba zgłoszeń podejrzanych transakcji, w celu oceny skuteczności systemów AML.
  2. Ocena ryzyka – identyfikowanie i analizowanie czynników ryzyka, takich jak kraje o wysokim poziomie korupcji, aby dostosować program AML do konkretnych zagrożeń.
  3. Audyt wewnętrzny – przeprowadzanie niezależnych audytów, aby ocenić skuteczność programu AML i zidentyfikować obszary wymagające ulepszeń.
  4. Testy penetracyjne – symulowanie ataków cybernetycznych, aby sprawdzić, czy system AML skutecznie wykrywa podejrzane aktywności.
  5. Ocena zgodności – sprawdzanie, czy program AML jest zgodny z obowiązującymi przepisami i regulacjami dotyczącymi przeciwdziałania praniu brudnych pieniędzy.

Wszystkie te metody mają na celu zapewnienie skutecznej ochrony przed praniem pieniędzy i finansowaniem terroryzmu.

Metody wykrywania i zapobiegania finansowaniu terroryzmu (CFT) obejmują:

  1. Analiza transakcji: Polega na monitorowaniu podejrzanych transakcji finansowych i identyfikacji nietypowych wzorców, które mogą wskazywać na finansowanie terroryzmu.
  2. Śledzenie źródeł finansowania: Polega na badaniu źródeł pieniędzy, które mogą być wykorzystywane przez organizacje terrorystyczne, takich jak przestępczość zorganizowana, handel narkotykami czy oszustwa finansowe.
  3. Wymiana informacji: Współpraca międzynarodowa i wymiana informacji między różnymi instytucjami finansowymi, organami ścigania i agencjami rządowymi ma kluczowe znaczenie w identyfikowaniu i ściganiu działań terrorystycznych.
  4. Sankcje i regulacje: Wprowadzenie odpowiednich sankcji i regulacji prawnych, które uniemożliwiają organizacjom terrorystycznym korzystanie z systemów finansowych oraz utrudniają pranie brudnych pieniędzy.
  5. Edukacja i szkolenia: Informowanie pracowników instytucji finansowych o zagrożeniach terrorystycznych, technikach prania pieniędzy i oznakach podejrzanej działalności finansowej pomaga w identyfikacji i zgłaszaniu podejrzanych transakcji.
  6. Technologia i narzędzia analityczne: Wykorzystanie zaawansowanych narzędzi analitycznych, takich jak analiza danych i sztuczna inteligencja, może pomóc w identyfikacji wzorców i anomalii związanych z finansowaniem terroryzmu.

W celu skutecznego zwalczania finansowania terroryzmu, te metody są stosowane w kombinacji, zapewniając skuteczne narzędzia do wykrywania i zapobiegania temu zagrożeniu.

AML6 – kolejny krok przeciwko praniu pieniędzy

AML6 lub 6AMLD (Szósta Dyrektywa w Sprawie Przeciwdziałania Praniu Pieniędzy) stanowi kolejny krok w europejskich przepisach dotyczących prania pieniędzy i finansowania terroryzmu.

AML & Compliance

AML6 to Dyrektywa Unii Europejskiej 2018/1673. Norma ta rozwija to, co zostało już ustanowione w 5. Dyrektywie w sprawie przeciwdziałania praniu pieniędzy i oznacza ważny i zdecydowany rozwój w niektórych obszarach prawa.

AML 5, która weszła w życie 10 stycznia 2020 r., ustanowiła ramy odniesienia dla procesów KYC w Europie i umożliwia firmom finansowym świadczenie usług na jednolitym rynku z 508 milionami konsumentów. Bariery utrudniające prowadzenie działalności w wielu branżach i na rynkach, na których wcześniej występowała duża fragmentacja, zostały tym samym usunięte.

Obecne regulacje karne przeciwdziałające praniu pieniędzy w UE można właściwie opisać jako mozaikę reżimów i przepisów, a nie jako całość. System ten doprowadził do braku jasności prawnej w niektórych indywidualnych przypadkach oraz do nieuznawania niektórych przestępstw i naruszeń bezpieczeństwa przez firmy.

Ryzyka związane z praniem pieniędzy obejmują m.in.:

  1. Ryzyko prawne – działania związane z praniem pieniędzy są nielegalne i mogą prowadzić do ścigania prawnego.
  2. Ryzyko reputacyjne – zaangażowanie w pranie pieniędzy może prowadzić do utraty zaufania klientów, partnerów biznesowych i społeczności.
  3. Ryzyko ekonomiczne – pranie pieniędzy może wpływać na destabilizację systemów finansowych i prowadzić do nieuczciwej konkurencji oraz wzrostu kosztów dla uczciwych podmiotów.
  4. Ryzyko bezpieczeństwa – pranie pieniędzy często jest powiązane z innymi przestępczymi działaniami, takimi jak terroryzm, co zwiększa zagrożenie dla bezpieczeństwa społeczeństwa.

Ryzyka związane z branżą finansową w kontekście AML obejmują też szereg czynników. Wśród nich znajdują się:

  1. Wysoki przepływ gotówki i transakcji finansowych, co ułatwia ukrywanie nielegalnych środków.
  2. Skomplikowane struktury i transakcje finansowe, które mogą utrudnić identyfikację prawdziwych beneficjentów i źródeł środków.
  3. Obecność tzw. offshore’ów i rajów podatkowych, które mogą ułatwiać pranie pieniędzy.
  4. Globalny charakter branży finansowej, co umożliwia przenoszenie środków w różne jurysdykcje.
  5. Uzależnienie od zewnętrznych kontrahentów, którzy mogą być narażeni na korupcję lub działania przestępcze.
  6. Zastosowanie nowoczesnych technologii, które mogą być wykorzystane do ukrywania nielegalnych działań finansowych.
  7. Niskie nakłady na zabezpieczenia i brak odpowiedniej wiedzy w zakresie AML w niektórych instytucjach finansowych.
  8. Brak skutecznej współpracy międzynarodowej w zakresie wymiany informacji i ścigania przestępców.

Ryzyko związane z AML w branży finansowej jest poważnym problemem, dlatego konieczne było wprowadzenie skutecznych procedur i środków zapobiegawczych, aby minimalizować zagrożenia związane z praniem pieniędzy i finansowaniem terroryzmu. AML6 stara się rozwiązać te problemy poprzez zaostrzenie definicji przestępstw i kar oraz obejmuje ewolucję odpowiedzialności korporacyjnej.

ZMIANY W NOWEJ DYREKTYWIE AML6

6AMLD określa trzy punkty do rozważenia: działalność przestępczą, nabycie jakiejkolwiek własności w drodze przestępstwa i jej pranie. Nowa dyrektywa określa również i klasyfikuje jako przestępstwa różne metody nielegalnego nabywania towarów i pieniędzy.

Artykuł 7. AML6 koncentruje się na tym, na czym pracują spółki RegTech: odpowiedzialności korporacyjnej i identyfikacji: określa odpowiedzialność ​​osób prawnych w warunkach, w których „brak nadzoru lub kontroli” przez podmiot dominujący umożliwił popełnienie przestępstwa. Dlatego tak ważne jest też wprowadzenie reguł prawa holdingowego w nowym KSH oraz ochrony członków organów korporacyjnych („business judgment rule”).

W tym samym kierunku art. 10 Dyrektywy koncentruje się na stosowaniu sankcji w celu ograniczenia problemów prawnych i zamieszania. Na przykład w 2017 r. amerykańscy regulatorzy federalni nałożyli grzywny na amerykańskie oddziały i spółki zależne azjatyckich instytucji finansowych i banków na prawie 110 mln USD za nieprawidłowości w ich procesach.

Artykuły 5 i 8 AML6 koncentrują się na sankcjach; zarówno dla firm jak i osób prywatnych:

  • Odmowa prawa do świadczeń lub wsparcia rządowego oraz tymczasowe lub stałe zakazy dostępu do środków publicznych; w tym do dotacji i koncesji;
  • Tymczasowa lub trwały zakaz sprawowania funkcji w organach korporacyjnych;
  • Nałożenie nadzoru sądowego;
  • Sądowe nakazy zamknięcia oraz czasowe lub stałe zamknięcie podmiotów;
  • Sankcje karne, w tym pozbawienia wolności osób pełniących funkcje menadżerskie.

AML5 już rozważała środki skoncentrowane na sankcjach zarówno dla biznesu, jak i potencjalnych przestępców, ale AML6 idzie znacznie dalej w narzędziach i mechanizmach kontroli i ich zaostrzaniu.

Dlatego AML6 wprowadza następujące kluczowe zmiany:

Możliwości technologiczne i zasoby, które mają być zgodne z 6AMLD

Wszystkie organizacje i firmy, których działalność jest regulowana i objęta Dyrektywą (instytucje obowiązane), muszą opracować procedury technologiczne w celu spełnienia wymagań AML6 i rozpoznać czynniki ryzyka w celu uniknięcia przestępstw. Obowiązkowe jest posiadanie niezbędnej zdolności technologicznej w procesach (na przykład KYC), aby zapewnić zgodność z dyrektywą.

Pomaganie, podżeganie, próbowanie i wykonywanie

Akty pomocy, podżegania i umożliwiania popełnienia przestępstwa (stadia) również stanowią złamanie Dyrektywy i podlegają karze jako przestępstwo.

Zunifikowane przestępstwa źródłowe

W ramach AML6 ustalono łącznie 22 przestępstwa, od tych związanych z przestępczością cyfrową po przestępstwa podatkowe. Obowiązkowe jest ustanowienie skutecznych procedur KYC w celu ich identyfikacji.

Odpowiedzialność karna osób prawnych

Przestępstwa mogą dotyczyć zarówno osoby prawnej (podmiot, firma), jak i osoby fizycznej (osób fizycznych). Odpowiedzialność tę przypisuje się kierownictwu jak i pracownikom instytucji obowiązanej.

Wyższe kary za przestępstwa prania pieniędzy

Minimalna kara za przestępstwa związane z praniem pieniędzy wzrasta z jednego do czterech lat więzienia. Podobnie sankcje gospodarcze sięgają 5 mln euro (i ich odpowiedników w innych walutach). AML6 zachęca również władze do nakładania dalszych sankcji.

Rozszerzenie współpracy między państwami UE

AML6 opisuje procedury współpracy między państwami w zakresie wykrywania przestępstw finansowych i agresji transgranicznej. Podobnie międzynarodowy nadzór jest ustanowiony dla firm, które nie przestrzegają Dyrektywy.

Podsumowując, naruszenie przepisów AML wiąże się z poważnymi konsekwencjami. Może prowadzić do sankcji prawnych, finansowych i reputacyjnych dla firm i osób fizycznych. Konsekwencje obejmują wysokie kary finansowe, konfiskatę aktywów, zakaz prowadzenia działalności gospodarczej, a nawet karę pozbawienia wolności.

Ponadto, naruszenie przepisów AML może prowadzić do utraty zaufania klientów, pogorszenia wizerunku firmy oraz trudności w uzyskaniu pozytywnych relacji z partnerami biznesowymi. W świetle tych konsekwencji, przestrzeganie przepisów AML jest niezwykle istotne dla zapewnienia uczciwości, bezpieczeństwa finansowego i integralności rynków.

Czym jest procedura KYC?

AML (Anti-Money Laundering) i KYC (Know Your Customer) to dwa terminy często używane w kontekście przeciwdziałania praniu pieniędzy i zapewnienia zgodności prawnej w sektorze finansowym. AML odnosi się do szeregu działań podejmowanych przez instytucje finansowe w celu identyfikacji, zapobiegania i raportowania potencjalnych przypadków prania pieniędzy i finansowania terroryzmu. KYC natomiast to proces, w którym instytucje finansowe identyfikują i weryfikują tożsamość swoich klientów, aby zapobiegać oszustwom, praniu pieniędzy i działalności terrorystycznej. W skrócie, AML koncentruje się na przeciwdziałaniu praniu pieniędzy, podczas gdy KYC skupia się na weryfikacji tożsamości klientów i zrozumieniu ich profilu ryzyka.

KYC to akronim od Know Your Customer – wymogu przeprowadzania kontroli tożsamości i zachowania należytej staranności wobec klienta.

Chociaż przepisy KYC różnią się w zależności od kraju, ogólna zasada obejmuje gromadzenie wystarczającej ilości informacji, aby właściwie zidentyfikować osobę i zapewnić, że jej działania są zgodne z prawem.

AML & Compliance

Polityki KYC rozwijały się od pewnego czasu i stały się bardzo ważne na całym świecie. Ponieważ kwestie związane z korupcją, finansowaniem terroryzmu i praniem pieniędzy stają się tak powszechne, polityki KYC przekształciły się obecnie w ważne narzędzie do zwalczania nielegalnych transakcji w dziedzinie finansów międzynarodowych.

Wiele instytucji finansowych rozpoczyna procedury KYC po prostu od zebrania podstawowych danych i informacji o swoich klientach, najlepiej przy użyciu elektronicznej weryfikacji tożsamości. W niektórych krajach nazywa się je „programem identyfikacji klienta”. Fragmenty informacji, takie jak imiona i nazwiska, numery ubezpieczenia społecznego, daty urodzin i adresy, mogą być bardzo przydatne przy ustalaniu, czy dana osoba jest zamieszana w przestępstwo finansowe.

Istnieje wiele kroków, które należy wykonać podczas procedury KYC, takich jak:

  1. potwierdzić tożsamość poprzez sprawdzenie autentyczności dokumentów tożsamości, daty ważności oraz listy skradzionych/unieważnionych dokumentów
  2. sprawdź i potwierdź numery rejestracyjne, takie jak numer firmy z rejestru KRS czy REGON, numer VAT itp. i porównaj z danymi osoby/firmy
  3. sprawdzić stan formy prawnej – czy jest aktywna, czy nie jest w stanie likwidacji lub rozwiązana
  4. sprawdzić beneficjenta rzeczywistego podmiotu prawnego w CRBR
  5. sprawdzić status PEP osoby będącej beneficjentem rzeczywistym osoby prawnej lub klienta będącego osobą fizyczną
  6. sprawdź listę sankcji (zarówno osobiste formularze beneficjentów rzeczywistych, jak i osoby prawne)

Aby wykonać wszystkie powyższe zadania, możesz skorzystać z różnych specjalistycznych narzędzi wielu firm IT na całym świecie.

Po co dokonuje się identyfikacji klienta?

Kryteria uznania transakcji za podejrzane w kontekście AML (Anti-Money Laundering) to określone czynniki, które mogą wskazywać na potencjalne działania niezgodne z przepisami.

Najważniejsze kryteria obejmują: duże transakcje gotówkowe, nietypowe wzorce płatności, transakcje z krajów o wysokim ryzyku prania pieniędzy, niezgodności między działalnością a profilami transakcyjnymi, powtarzające się depozyty i wypłaty na różne konta, brak możliwości podania źródła środków finansowych oraz tajemnicze transakcje między powiązanymi stronami.

Inne czynniki obejmują: transakcje z osobami o negatywnym profilu (np. powiązanymi z terroryzmem lub przestępczością zorganizowaną), nietypowe operacje na rynkach finansowych, podejrzane ruchy na kontach offshore, próby ukrycia tożsamości i manipulacje dokumentami oraz podejrzane wzorce transakcji związane z branżami, takimi jak kasyna, instytucje finansowe, sklepy z towarami luksusowymi itp. W celu skutecznego wykrywania podejrzanych transakcji, ważne jest monitorowanie i analiza danych transakcyjnych, w tym informacji o klientach, kontach, typach transakcji i wzorcach.

Jak sprawdzić beneficjenta rzeczywistego w rejestrze CRBR?

Beneficjent rzeczywisty to osoba lub osoby fizyczne sprawujące bezpośrednio, lub pośrednio kontrolę nad spółką. Dane podmiotów obowiązanych znajdują się w Centralnym Rejestrze Beneficjentów Rzeczywistych (CRBR). Jak sprawdzić beneficjenta rzeczywistego i czy każdy może korzystać z rejestru?

Dzisiaj przedstawiamy najważniejsze informacje dotyczące tego jak sprawdzić beneficjenta rzeczywistego w rejestrze CRBR.

beneficjent rzeczywisty

Zapraszamy do udział w szkoleniu beneficjent rzeczywisty, którego celem jest omówienie praktycznych aspektów właściwej identyfikacji i weryfikacji beneficjenta rzeczywistego w świetle najlepszych standardów międzynarodowych i najnowszych krajowych wytycznych. Podczas szkolenia omówimy kwestie związane ze zgłoszeniem informacji o beneficjentach rzeczywistych do Centralnego Rejestru Beneficjentów rzeczywistych (CRBR). Przedmiotowe zagadnienia omówione zostaną w kontekście przyszłej ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu implementującej wymogi V Dyrektywy AML.

Kto to jest beneficjent rzeczywisty?

Pełna definicja beneficjenta rzeczywistego znajduje się w art. 2 ust. 2 pkt 1 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2020 r., poz. 971).

Wypis z ustawy, który określa beneficjenta rzeczywistego spółki.

To osoba fizyczna lub osoby fizyczne:

  • sprawujące bezpośrednio lub pośrednio kontrolę nad spółką poprzez posiadane uprawnienia, które wynikają z okoliczności prawnych lub faktycznych, umożliwiające wywieranie decydującego wpływu na czynności lub działania podejmowane przez spółkę,
  • w imieniu których są nawiązywane stosunki gospodarcze lub jest przeprowadzana transakcja okazjonalna.

Ustawa określa również beneficjentów rzeczywistych dla poszczególnych rodzajów spółek, fundacji i trustów. O tym jednak pisaliśmy w poprzednim artykule dotyczącym samej definicji beneficjenta rzeczywistego. Dzisiaj natomiast zajmiemy się procesem sprawdzenia beneficjenta rzeczywistego w Centralnym Rejestrze Beneficjentów Rzeczywistych

Czy każdy może sprawdzić beneficjenta rzeczywistego w CRBR?

Tak. Rejestr jest jawny, czyli każda osoba mająca podstawowe informacje o beneficjencie/ spółce (NIP) może uzyskać informacje z CRBR. Za uzyskanie Informacji o beneficjentach rzeczywistych zgromadzonych w CRBR nie są pobierane żadne opłaty. Jest to procedura całkowicie bezpłatna.

Jak długo oczekuje się na udostępnienie informacji z CRBR?

Maksymalny czas przewidziany przez rozporządzenie ministra finansów (Dz.U z 2018 r. poz. 965) dla udostępnienia informacji o beneficjentach rzeczywistych to 5 minut od złożenia wniosku w przypadku wniosku o informacje według stanu na moment ich udostępnienia oraz „do końca następnego dnia roboczego po złożeniu wniosku” w przypadku wniosku o informacje dla określonego przedziału czasowego (okres wskazany we wniosku).

W praktyce system teleinformatyczny CRBR realizuje wnioski o informacje złożone za pośrednictwem strony internetowej systemu teleinformatycznego CRBR dostępnej pod adresem https://www.podatki.gov.pl/crbr/ na bieżąco – wyniki udostępniane są w ciągu kilku sekund (w zależności od rodzaju połączenia sieciowego i urządzenia, z którego korzysta składający wniosek, tzw. „załadowanie strony” może być dłuższe lub krótsze zależnie od lokalnych warunków).

Źródło: gov.pl

W jakiej formie dane z CRBR są udostępniane?

Informacje o beneficjentach rzeczywistych zgromadzone w CRBR można uzyskać za pośrednictwem strony internetowej systemu teleinformatycznego CRBR dostępnej pod adresem https://www.podatki.gov.pl/crbr/ lub wykorzystując usługę sieciową systemu teleinformatycznego CRBR (API) dostępną pod adresem bramka-crbr.mf.gov.pl (opis interfejsu jest zamieszczony w BIP Ministerstwa Finansów).

Źródło: gov.pl

W przypadku sprawdzenia beneficjenta rzeczywistego na stronie internetowej systemu CRBR otrzymujesz możliwość zapisania i pobrania informacji o beneficjencie w plikach. Dostępne są dwa formaty; PDF oraz XML (plik tekstowy).

Jakie informacje należy ujawnić dotyczące beneficjenta rzeczywistego?

Informacje dotyczące beneficjenta rzeczywistego to dane identyfikacyjne osoby lub podmiotu, które powinny być ujawnione zgodnie z przepisami prawa w celu zapewnienia przejrzystości i zwalczania prania brudnych pieniędzy oraz finansowania terroryzmu. Wymagane informacje obejmują: imię i nazwisko lub nazwę, obywatelstwo, miejsce i datę urodzenia lub założenia, numer identyfikacji podatkowej, adres zamieszkania lub siedziby oraz informacje o strukturze własnościowej. Beneficjent rzeczywisty to osoba lub podmiot, który ma korzyści finansowe z danej transakcji lub działalności gospodarczej. Ujawnienie tych informacji jest kluczowe dla zapewnienia przejrzystości i skutecznej kontroli w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.

Jak sprawdzić beneficjenta rzeczywistego w rejestrze CRBR?

Żeby sprawdzić dane w rejestrze wystarczy, że wejdziesz na stronę: https://crbr.podatki.gov.pl/adcrbr/#/ i wybierzesz zakładkę “wyszukaj”.

Przygotuj sobie informacje, które umożliwią Ci sprawdzenie rejestru. Masz 3 możliwości sprawdzenia rejestru na podstawie 3 różnych informacji. Zależnie od tego, które z nich posiadasz, wybierzesz odpowiednią opcję.

  • Wyszukiwanie podmiotu.
  • Wyszukiwanie Beneficjenta po PESEL.
  • Wyszukiwanie Beneficjenta po dacie urodzenia (wyszukasz wyłącznie osoby, dla których w Zgłoszeniu nie zarejestrowano numeru PESEL).

W przypadku posiadania samego numeru NIP skorzystaj z wyszukiwania podmiotu.

Po wpisaniu odpowiednich danych wystarczy, że klikniesz wyszukaj i otrzymasz wpis z Centralnego Rejestru Beneficjentów Rzeczywistych. Tak, jak zostało wspomniane wcześniej, możesz dane zapisać w pliku PDF lub XML.

Sprawdzanie beneficjentów rzeczywistych nie należy do skomplikowanych czynności, a informacje uzyskuje się w ekspresowym tempie. Mamy nadzieję, że instrukcję tego, jak sprawdzić beneficjenta rzeczywistego przedstawiliśmy w prosty i przystępny sposób.

Jak zidentyfikować beneficjenta rzeczywistego w spółce/funduszu/strukturze prawnej?

Zidentyfikowanie beneficjenta rzeczywistego w spółce/funduszu/strukturze prawnej można osiągnąć poprzez wykonanie odpowiednich procedur KYC, które ostatecznie kontrolują lub korzystają z tych podmiotów. Wymaga to zgromadzenia informacji o takich osobach, w tym danych personalnych, udziałach/kontrolowanych aktywach oraz strukturach właścicielskich. Proces ten jest związany z koniecznością identyfikacji wszystkich zaangażowanych stron i przestrzeganiem obowiązujących przepisów prawa, takich jak przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu.

Rozszerzona lista PEP-ów

​Dnia 31 października 2021 r. weszło w życie rozporządzenie z dnia 27 lipca 2021 r. Ministra Finansów, Funduszy i Polityki Regionalnej w sprawie wykazu krajowych stanowisk i funkcji publicznych będących eksponowanymi stanowiskami politycznymi. Postawą wprowadzenia rozporządzenia jest art. 46c ustawy AML, dodany nowelizującą ustawą z dnia 30 marca 2021 r.

AML & Compliance

Zmiany powstały w następstwie wymogu implementacji art. 20a ust. 1 IV Dyrektywy AML, który to nałożył na państwa członkowskie obowiązek opracowania oraz publikacji listy tzw. „krajowych PEP-ów”.

Ustawodawca, w celu uniknięcia wątpliwości interpretacyjnych, dokonał korekty definicji osób zajmujących eksponowane stanowisko polityczne (ang. Politically Exposed Person – PEP), poprzez usunięcie z poszczególnych jednostek redakcyjnych tego przepisu wskazań stanowisk oraz funkcji określonych w polskim porządku prawnym.

Aby możliwe było określenie wyczerpującego katalogu „krajowych PEP-ów” w akcie wykonawczym, w art. 2 ust. 2 pkt 11 lit. j ustawy AML, konieczne było rozszerzenie definicji o zapis „inne osoby pełniące funkcje lub stanowiska publiczne w organach państwa lub centralnych organach administracji rządowej”.

Głównym celem wprowadzenia zmian jest efektywniejsze przeciwdziałanie praniu pieniędzy oraz finansowania terroryzmu, poprzez ułatwienie instytucjom obowiązanym identyfikacji osób zajmujących eksponowane stanowiska polityczne i tym samym realizację ustawowych zadań w związku z AML.

Wykaz osób będących PEP-em stanowi aż 215 pozycji. Lista PEP dostępna jest >>tu 

Co, jeżeli nasz dotychczasowy klient nagle staje się PEP-em?

 Nowelizacja nie uwzględniła „szczególnej” procedury, w przypadku uznania, że dotychczasowy klient stał się PEP-em w związku ze zmianą. Przyjąć zatem należy, iż w takiej sytuacji będą miały zastosowanie obowiązujące przepisy dotyczące stosowania środków bezpieczeństwa finansowego oraz procedury identyfikacji takich osób.

Instytucje obowiązane mają ustawowy obowiązek stosowania wobec swoich klientów, środków bezpieczeństwa finansowego, z którymi utrzymują stosunki gospodarcze, w szczególności, gdy doszło do zmiany uprzednio ustalonego charakteru lub okoliczności stosunków gospodarczych bądź zmiany uprzednio ustalonych danych dotyczących klienta. Instytucja obowiązana powinna zatem dokonywać okresowej weryfikacji, w tym zmiany statusu klienta na PEP-a. Ułatwieniem może okazać się odebranie oświadczenia, przed nawiązaniem stosunków gospodarczych z klientem, iż zobowiązuje się do niezwłocznego poinformowania o zaistnieniu okoliczności kwalifikujących go jako PEP-a, pod rygorem rozwiązania stosunków gospodarczych. Takie oświadczenie nie zwalnia oczywiście instytucji obowiązanej z bieżącej weryfikacji klientów, jednak może ułatwić aktualizacje informacji o kliencie. Ponadto należy ponownie odebrać od takiego klienta oświadczenie, że jest lub nie jest ona PEP-em, pod rygorem odpowiedzialności karnej, za złożenie fałszywego oświadczenia.

Czy mamy zmieniać sposób pracy z tym klientem?

Z uwagi na potencjalnie wyższe ryzyko prania pieniędzy oraz fakt, iż PEP jest bardziej narażony na korupcję, stanowi on wyjątkową grupę klientów, a relacje z taką osobą podlegają szczególnym zasadom.  

Instytucja obowiązana, po ustaleniu, że klient jest PEP-em, zgodnie z art. 46 ust. 2 ustawy AML, stosuje wobec tych osób środki bezpieczeństwa finansowego oraz podejmuje następujące działania:

  1. zyskuje akceptację kadry kierowniczej wyższego szczebla na nawiązanie lub kontynuację stosunków gospodarczych z osobą zajmującą eksponowane stanowisko polityczne;
  2. stosuje odpowiednie środki w celu ustalenia źródła majątku klienta i źródła pochodzenia wartości majątkowych pozostających w dyspozycji klienta w ramach stosunków gospodarczych lub transakcji;
  3. intensyfikuje stosowanie środka bezpieczeństwa finansowego, polegające na bieżącym monitorowaniu stosunków gospodarczych.

Kim jest beneficjent rzeczywisty?

Sankcje za niedotrzymanie obowiązku ujawnienia beneficjenta rzeczywistego mogą być zróżnicowane. Przepisy prawa antykorupcyjnego nakładają na podmioty obowiązek ujawnienia informacji dotyczących swoich rzeczywistych właścicieli. Za brak przestrzegania tego obowiązku mogą być stosowane sankcje administracyjne, takie jak grzywny finansowe. Mogą także wystąpić sankcje karno-skarbowe, które mogą obejmować odpowiedzialność zarówno osoby fizycznej, jak i prawnej. Ostateczne sankcje mogą zależeć od konkretnych przepisów obowiązujących w danym kraju i skali naruszenia obowiązku ujawnienia beneficjenta rzeczywistego.

Kary finansowe sięgają nawet 1.000.000 zł za niewywiązanie się z obowiązków dotyczących beneficjenta rzeczywistego i rejestru beneficjentów rzeczywistych. Nowe obowiązki, które spoczywają na przedsiębiorcach i rejestrem mogą być kłopotliwe, szczególnie na początku. Warto zatem poznać, jaka jest definicja beneficjenta rzeczywistego i kim jest w przypadku poszczególnych organów.

Beneficjent rzeczywisty definicja

Pełna definicja beneficjenta rzeczywistego znajduje się w art. 2 ust. 2 pkt 1 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2020 r., poz. 971).

Poniżej prezentujemy wypis z ustawy, który określa beneficjenta rzeczywistego.

Beneficjent rzeczywisty spółki

To osoba fizyczna lub osoby fizyczne:

  • sprawujące bezpośrednio lub pośrednio kontrolę nad spółką poprzez posiadane uprawnienia, które wynikają z okoliczności prawnych lub faktycznych, umożliwiające wywieranie decydującego wpływu na czynności lub działania podejmowane przez spółkę,
  • w imieniu których są nawiązywane stosunki gospodarcze lub jest przeprowadzana transakcja okazjonalna.

W przypadku spółki – osoby prawnej, innej niż spółka, której papiery wartościowe są dopuszczone do obrotu na rynku regulowanym, podlegającym wymogom ujawniania informacji na podstawie przepisów prawa Unii Europejskiej lub odpowiadającym im przepisom prawa państwa trzeciego, beneficjentem rzeczywistym spółki jest:

  • osoba fizyczna będąca udziałowcem lub akcjonariuszem spółki, której przysługuje prawo własności więcej niż 25% ogólnej liczby udziałów lub akcji tej osoby prawnej,
  • osoba fizyczna dysponująca więcej niż 25% ogólnej liczby głosów w organie stanowiącym spółki, także jako zastawnik albo użytkownik, lub na podstawie porozumień z innymi uprawnionymi do głosu,
  • osoba fizyczna sprawująca kontrolę nad osobą prawną lub osobami prawnymi, którym łącznie przysługuje prawo własności więcej niż 25% ogólnej liczby udziałów lub akcji spółki, lub łącznie dysponującą więcej niż 25% ogólnej liczby głosów w organie spółki, także jako zastawnik albo użytkownik, lub na podstawie porozumień z innymi uprawnionymi do głosu,
  • osoba fizyczna sprawująca kontrolę nad spółką przez posiadanie w stosunku do niej uprawnień, o których mowa w art. 3 ust. 1 pkt 37 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2019 r. poz. 351),
  • osoba fizyczna zajmująca wyższe stanowisko kierownicze w organach spółki w przypadku udokumentowanego braku możliwości ustalenia lub wątpliwości co do tożsamości osób fizycznych określonych w powyższych punktach oraz w przypadku niestwierdzenia podejrzeń prania pieniędzy, lub finansowania terroryzmu.

Ponadto według ustawy obowiązek wynikający z identyfikacji beneficjenta rzeczywistego zachodzi również w poniższych przypadkach:

  • w przypadku klienta, który jest osobą fizyczną prowadzącą działalność gospodarczą, wobec którego nie stwierdzono przesłanek lub okoliczności mogących wskazywać na sprawowanie kontroli nad nim przez inną osobę fizyczną, lub osoby fizyczne przyjmuje się, że taki klient jest jednocześnie beneficjentem rzeczywistym,
  • w przypadku klienta będącego trustem przyjmuje się, że beneficjentem rzeczywistym jest założyciel, powiernik, nadzorca (jeśli został ustanowiony), beneficjent trustu i/lub inna osoba, która sprawuje kontrolę nad trustem.

W powyższych przypadkach informacja o beneficjentach rzeczywistych (trustów i osób fizycznych prowadzących działalność gospodarczą) nie jest przekazywana do Centralnego Rejestru Beneficjentów Rzeczywistych.

*źródło: gov.pl

Krótko mówiąc, zatem zgodnie z ustawową definicją, faktycznym beneficjentem rzeczywistym jest osoba fizyczna lub osoby fizyczne sprawujące bezpośrednią, lub pośrednią kontrolę nad klientem poprzez swoje uprawnienia. Uprawnienia te wynikają z okoliczności prawnych lub faktycznych, pozwalających na wywieranie decydującego wpływu na działania oraz czynności podjęte przez klienta lub osoby fizyczne. Należy zwrócić tutaj uwagę na fakt, że muszą być to osoby lub osoba fizyczna, w których imieniu nawiązywana jest relacja biznesowa lub dokonywana jest transakcja okazjonalna.

Beneficjent rzeczywisty jednoosobowa działalność gospodarcza

W przypadku klienta będącego osobą fizyczną prowadzącą działalność gospodarczą, dla którego nie stwierdzono przesłanek lub okoliczności mogących wskazywać na fakt sprawowania kontroli nad innymi przez osobę fizyczną, lub osoby prawne, należy w takim przypadku przyjąć, że taki rzeczywistym beneficjentem będzie również klient.

Beneficjent rzeczywisty w fundacji

Beneficjenta rzeczywistego w fundacji według dyrektywy Parlamentu Europejskiego i Rady UE Nr 2015/849 z dnia 20 maja 2015 r. (Dz.Urz.UE. L Nr 141) jeśli są podobne do trustów, powinny podlegać równoważnym wymogom. Zgodnie z powyższym beneficjentami rzeczywistymi fundacji są:

  • fundatorzy,
  • inne osoby sprawujące kontrolę nad fundacją,
  • beneficjentów fundacji,
  • nadzorcy.

Beneficjent rzeczywisty fundusz inwestycyjny

Zgodnie z ustawą z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (Dz.U. 2004 nr 146 poz.154) w przypadku funduszu inwestycyjnego, beneficjentem rzeczywistym jest osoba fizyczna zajmująca wysokie stanowisko kierownicze w tym podmiocie. Jednocześnie należy pamiętać, że informacje o uczestniku funduszu objęte są tajemnicą zawodową.

Należy podkreślić, że ustawodawca nie określił definicji beneficjenta rzeczywistego dla jednostek organizacyjnych nieposiadających osobowości prawnej. Należy w tym miejscu zauważyć, że są to: spółki komandytowe, spółki komandytowo-akcyjne oraz spółki jawne.

Jakie są korzyści wynikające z ujawnienia beneficjenta rzeczywistego?

Ujawnienie beneficjenta rzeczywistego przynosi liczne korzyści. Po pierwsze, zwiększa przejrzystość i uczciwość w transakcjach finansowych, co pomaga w zwalczaniu prania pieniędzy i finansowania terroryzmu. Po drugie, umożliwia lepszą identyfikację i ściganie osób odpowiedzialnych za przestępstwa finansowe. Po trzecie, wspiera walkę z korupcją i nielegalnym przepływem środków, chroniąc stabilność systemu finansowego. Wreszcie, ujawnienie beneficjenta rzeczywistego buduje zaufanie społeczne i wzmacnia reputację instytucji finansowych.

Podsumowując

Beneficjent rzeczywisty to osoba lub grupa osób, które ostatecznie czerpią korzyści z działalności gospodarczej, transakcji finansowych lub innych operacji. Beneficjent rzeczywisty (UBO) jest to osoba fizyczna, która posiada lub kontroluje przedsiębiorstwo lub fundusz, lub osoba, na którą transakcja finansowa ma wpływ lub z której korzyścią się wiąże. \

Beneficjent rzeczywisty jest zobowiązany do dostarczenia pełnych, prawdziwych i aktualnych informacji na temat swojej tożsamości i związanych z nią szczegółów, takich jak dane personalne, status prawny, udziały i kontrola nad przedsiębiorstwem.

Ponadto, beneficjent rzeczywisty powinien stosować się do odpowiednich przepisów i regulacji dotyczących ujawniania swojej roli i działań, aby przeciwdziałać praniu pieniędzy, finansowaniu terroryzmu i innym działaniom nielegalnym.