Instytucje, zwane na gruncie Ustawy o AML obowiązanymi, ze względu na profil swojej działalności i związane z tym ryzyko prania pieniędzy, obarczone zostały szeregiem wymogów i obowiązków do spełnienia. Skąd jednak podmiot ma wiedzieć, że realizuje je wszystkie zgodnie z ustawą? Temu służy właśnie audyt AML.
Ustawowe zadania instytucji obowiązanych
Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu obliguje tzw. instytucje obowiązane (np. banki, instytucje finansowe, notariuszy czy biura rachunkowe), do podejmowania szeregu czynności, których celem jest ograniczenie ryzyka finansowania przestępczości. Wśród nich należy wskazać:
– weryfikowanie i identyfikowanie tożsamości kontrahentów, klientów, ich reprezentantów i pełnomocników;
– monitorowanie i analiza transakcji, w tym zgłaszanie transakcji podejrzanych;
– posiadanie systemu regulacji wewnętrznych w zakresie AML;
– raportowanie i współpraca z organami nadzoru.
Aby zweryfikować, czy dana instytucja prawidłowo wywiązuje się z postawionych przed nią przez ustawę wymogów, pożądanym działaniem jest cykliczne wykonywanie audytów AML. Przeprowadzenie takiego audytu można powierzyć zarówno pracownikom komórki kontroli wewnętrznej w instytucji, jak również podmiotom zewnętrznym.
Ocena ryzyka
Punktem wyjścia każdorazowo powinna być ocena ryzyka prania pieniędzy i finansowania terroryzmu. W toku tego procesu, instytucja obowiązana identyfikuje swoje „słabe punkty” i zwraca uwagę na potencjalne elementy jej działalności, które wpływają na powstanie lub zwiększenie ryzyka prania pieniędzy. Pod uwagę powinna wziąć nie tylko czynniki, które dotyczą jej bezpośrednio np. rodzaje oferowanych usług, kanały dystrybucji czy obszary prowadzenia działalności, ale także krajową ocenę ryzyka sporządzaną przez GIIF oraz inne regulacje krajowe i unijne.
Na czym polega audyt AML?
Sam audyt AML jest kompleksowym zestawem działań w zakresie różnych sektorów działalności instytucji, który pozwala kompleksowo ocenić stopień i poprawność wykonywania obowiązków AML w organizacji. Całościowy audyt obejmuje takie obszary działalności instytucji obowiązanej jak: rachunkowość, systemy informatyczne, obieg dokumentów, procedury i polityki wewnętrzne, zgodność z przepisami prawa oraz zarządzanie ryzykiem.
Audyt AML skupia się przede wszystkim na kwestii organizacji procesów zachodzących w podmiocie, a tym samym na zgodności regulacji wewnętrznych z powszechnie obowiązującym prawem i praktyką instytucji. Audytor nie tylko sprawdza zgodność regulacji z przepisami powszechnie obowiązującego prawa, ale także ich dostosowanie do skali i potrzeb organizacji. Pozwala to wyłuskać katalog wszystkich niezbędnych zadań, które instytucja musi realizować, aby pozostawać w zgodzie z Ustawą o AML.
Audyt obejmuje również metody weryfikacji klientów i kontrahentów, wspomaga proces tworzenia formularzy służących ich identyfikacji oraz identyfikacji pochodzenia środków (KYC – Know Your Client). Audytor przeprowadza także analizę systemów, które instytucja obowiązana wykorzystuje do monitorowania transakcji klientów. Ocenia ich efektywność proponuje rozwiązania, które mogą zwiększyć wydajność i skuteczność wykrywania podejrzanych przepływów środków.
Jednocześnie, weryfikacja zgodności działalności instytucji z AML, wspiera proces przygotowywania raportów z zakresu AML, składanych odpowiednim organom. Rzetelne i wyczerpujące raportowanie pozwala bowiem uniknąć wątpliwości GIIF-u i chroni instytucję obowiązaną przed kontrolą organów.
Audytor może dokonać także oceny zakresu wiedzy i kompetencji pracowników instytucji, zarówno tych, którzy w instytucji wykonują zadania z zakresu zgodności z prawem, jak i tych zaangażowanych w wykonywanie poszczególnych procesów. Takie działanie może unaocznić potrzebę zorganizowania szkolenia z tego zakresu dla zatrudnionych osób.
Co instytucja otrzymuje w wyniku audytu?
Sporządzany na koniec audytu protokół powinien zawierać wszystkie zidentyfikowane ryzyka oraz proponowane zalecenia, w tym środki zaradcze, jakie instytucja powinna zastosować. Pozwala stworzyć kompleksowy zbiór zasad dotyczących AML w instytucji obejmujący:
– kompleksowe i zgodne z prawem procedury i regulacje wewnętrzne;
– opracowanie adekwatnej oceny ryzyka instytucji;
– opracowanie zasad dotyczących stosowanych zabezpieczeń systemowych;
– opracowanie zasad dotyczących przekazywania informacji;
– opracowanie zasad dotyczących identyfikacji i weryfikacji klientów, w tym beneficjentów rzeczywistych.
Dobrze przeprowadzony audyt pozwala instytucji obowiązanej zabezpieczyć obszary zwiększonego ryzyka przed nadużyciami wynikającymi z prania pieniędzy i finansowaniu terroryzmu. Dostarcza gotowych rozwiązań, a także pozwala stworzyć kompleksową listę wymogów, których spełnienie będzie pozwalało instytucji obowiązanej na bycie w pełniej zgodności z Ustawą o AML. Opracowanie ww. zasad pozwala również uniknąć rygorystycznych kar nakładanych przez organy nadzorcze.
Czy warto powierzyć audyt podmiotom trzecim?
Audyt AML w dużych podmiotach często wykonywany jest przez pracowników komórki compliance. Zewnętrzny audyt AML, prowadzony przez osoby niezwiązane z organizacją, pozwala jednak zachować dużo większy obiektywizm i niezależność w ocenie. Nadto, świadczeniem zewnętrznych usług audytorskich z zakresu AML, zajmują się zwykle wyspecjalizowane podmioty, zatrudniające ekspertów o wszechstronnej wiedzy i kompetencjach w przedmiotowej materii. Specjaliści ci z natury rzeczy lepiej dostrzegają potencjalne „luki” i ryzyka.
Podsumowanie
Przeprowadzenie zewnętrznego audytu AML to inwestycja przynosząca wymierne korzyści dla instytucji obowiązanych. W wielu krajach audyt AML stał się już obligatoryjnym procesem w ramach działania instytucji obowiązanych. Dlatego też zachęcamy do zgłębienia tematu, poprzez zapoznanie się z treścią umieszczoną na stronie: https://procedura-aml.pl oraz do nawiązywania kontaktu z ekspertami z zakresu audytu AML.