Przeciwdziałanie praniu pieniędzy to dziś realny obowiązek prawny, który dotyczy znacznie szerszego grona firm niż wiele osób przypuszcza. Jeśli prowadzisz działalność z listy instytucji obowiązanych, ustawa o AML nakłada na Ciebie konkretne procedury, rejestry i obowiązki raportowe – niezależnie od skali biznesu.
Kim jest instytucja obowiązana i czy to dotyczy Twojej firmy
Pojęcie instytucji obowiązanej pochodzi z ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Lista podmiotów objętych tymi regulacjami jest dłuższa, niż mogłoby się wydawać.
Obok banków i domów maklerskich, które intuicyjnie kojarzą się z AML, znajdziemy tam m.in.:
- biura rachunkowe i doradców podatkowych świadczących usługi na rzecz podmiotów zewnętrznych,
- notariuszy, adwokatów i radców prawnych w zakresie określonych czynności,
- pośredników w obrocie nieruchomościami,
- podmioty prowadzące działalność w zakresie walut wirtualnych,
- operatorów pocztowych i instytucje pożyczkowe,
- agentów ubezpieczeniowych wykonujących czynności dystrybucji produktów inwestycyjnych.
Przynależność do tej kategorii nie jest dobrowolna — wynika wprost z przepisów. Jeśli Twoja firma mieści się w którymkolwiek z wymienionych typów, obowiązki AML dotyczą Cię od momentu rozpoczęcia tej działalności, a nie od chwili, gdy pierwszy raz usłyszysz o kontroli.
Warto przy tym pamiętać, że status instytucji obowiązanej ocenia się według faktycznie wykonywanej działalności, a nie wyłącznie kodów PKD wpisanych w rejestrze. Firma, która formalnie rejestruje się jako biuro konsultingowe, ale w praktyce świadczy usługi doradztwa podatkowego, jest instytucją obowiązaną niezależnie od tego, jak opisuje swój zakres działania w umowie spółki.
Ocena ryzyka i wewnętrzna procedura AML – od czego zacząć
Centralnym elementem systemu AML w każdej instytucji obowiązanej jest ocena ryzyka prania pieniędzy. Ustawa wymaga przeprowadzenia jej z uwzględnieniem czynników specyficznych dla danego podmiotu: profilu klientów, geografii transakcji, kanałów dystrybucji usług i rodzajów produktów. Ocena nie jest dokumentem jednorazowym – należy ją aktualizować nie rzadziej niż co dwa lata lub każdorazowo po istotnej zmianie profilu działalności.
Jak przygotować wewnętrzną procedurę AML
Na podstawie przeprowadzonej oceny ryzyka instytucja obowiązana tworzy wewnętrzną procedurę w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Dokument ten musi regulować m.in. zasady stosowania środków bezpieczeństwa finansowego, sposób identyfikacji beneficjenta rzeczywistego, kryteria rozpoznawania transakcji podejrzanych oraz tryb przekazywania informacji do Generalnego Inspektora Informacji Finansowej, czyli GIIF.
Procedura nie może być skopiowanym z internetu szablonem bez analizy realiów danej firmy. GIIF i organy nadzoru weryfikują, czy dokument rzeczywiście odpowiada specyfice podmiotu. Biuro rachunkowe obsługujące wyłącznie małe spółki z o.o. będzie miało inny profil ryzyka niż pośrednik nieruchomości komercyjnych – i procedury obu firm powinny to odzwierciedlać.
Wyznaczenie osoby odpowiedzialnej za AML
Ustawa nakłada obowiązek wyznaczenia pracownika wyższego szczebla odpowiedzialnego za wdrożenie procedury oraz, jeśli firma zatrudnia odpowiednią liczbę osób, osoby zajmującej się bieżącą obsługą zgłoszeń. W praktyce w małych podmiotach rolę tę pełni właściciel lub wspólnik zarządzający. Ważne, by to wyznaczenie było udokumentowane i żeby osoba ta faktycznie rozumiała ciążące na niej obowiązki.
Środki bezpieczeństwa finansowego wobec klientów
Stosowanie środków bezpieczeństwa finansowego to jeden z najbardziej operacyjnych aspektów AML. Instytucja obowiązana ma obowiązek weryfikować tożsamość klienta i beneficjenta rzeczywistego przed nawiązaniem stosunku gospodarczego lub przeprowadzeniem transakcji okazjonalnej powyżej określonych progów.
Środki bezpieczeństwa finansowego obejmują trzy poziomy intensywności: uproszczone, standardowe i wzmożone. O tym, który poziom zastosować, decyduje wynik oceny ryzyka przypisanego do konkretnego klienta i transakcji.
Uproszczone środki dopuszczalne są wyłącznie w sytuacjach explicite wskazanych w ustawie – na przykład w odniesieniu do klientów będących instytucjami finansowymi z państw o niskim poziomie ryzyka. Wzmożone środki bezpieczeństwa stosuje się m.in. wobec klientów z państw wysokiego ryzyka, w transakcjach z osobami zajmującymi eksponowane stanowiska polityczne (PEP) oraz w przypadku każdej transakcji, która wzbudza uzasadnione wątpliwości co do legalności środków.
Identyfikacja beneficjenta rzeczywistego w praktyce oznacza dotarcie do osoby fizycznej, która sprawuje kontrolę nad klientem lub czerpie korzyści z działalności. W przypadku spółek prawa handlowego punktem startowym jest Centralny Rejestr Beneficjentów Rzeczywistych, ale instytucja obowiązana nie może poprzestać wyłącznie na odczycie danych z rejestru – ma obowiązek ocenić ich aktualność i spójność ze stanem faktycznym.
Raportowanie do GIIF i obowiązki rejestracyjne
Generalny Inspektor Informacji Finansowej jest centralnym organem administracji rządowej odpowiedzialnym za analizę informacji o transakcjach mogących stanowić pranie pieniędzy lub finansowanie terroryzmu. Instytucje obowiązane przekazują do GIIF dwa rodzaje raportów.
Pierwszy to zawiadomienie o transakcji podejrzanej – składane niezwłocznie, gdy instytucja obowiązana rozpozna lub ma uzasadnione podejrzenia, że transakcja lub jej okoliczności wskazują na proceder prania pieniędzy. Próg kwotowy nie jest tutaj decydujący – zawiadomienie składa się na podstawie oceny okoliczności, a nie samej wartości transakcji.
Drugi typ raportowania to obowiązek rejestracji transakcji ponadprogowych: przede wszystkim transakcji gotówkowych o równowartości co najmniej 15 000 euro oraz transferów środków pieniężnych powyżej tej kwoty. Rejestr transakcji musi być prowadzony przez pięć lat od zakończenia roku kalendarzowego, w którym transakcja miała miejsce.
Instytucje obowiązane prowadzące działalność w zakresie walut wirtualnych mają ponadto obowiązek wpisu do rejestru prowadzonego przez ministra właściwego do spraw finansów publicznych – to dodatkowy wymóg formalny, bez spełnienia którego działalność ta jest nielegalna.
Szkolenia, sankcje i najczęstsze błędy w praktyce
Ustawa o AML nakłada na instytucje obowiązane obowiązek regularnego szkolenia pracowników zaangażowanych w obsługę klientów i transakcji. Szkolenia muszą obejmować rozpoznawanie sygnałów ostrzegawczych, procedurę wewnętrzną i zasady raportowania. Brak udokumentowanych szkoleń to jeden z najczęściej stwierdzanych uchybień podczas kontroli.
Katalog kar za naruszenia przepisów AML
Sankcje za naruszenie obowiązków z zakresu przeciwdziałania praniu pieniędzy mogą być dotkliwe. Organy nadzoru – zależnie od sektora może to być KNF, GIIF, okręgowa rada adwokacka czy urząd skarbowy – dysponują następującymi narzędziami:
- nakaz zaprzestania działań naruszających przepisy,
- cofnięcie zezwolenia lub wpisu do rejestru,
- zakaz pełnienia funkcji kierowniczych przez osobę odpowiedzialną,
- kara pieniężna do wysokości dwukrotności osiągniętych korzyści lub do 1 000 000 euro w przypadkach określonych w ustawie,
- publiczne ogłoszenie o naruszeniu (tzw. naming and shaming).
Kary nie dotyczą wyłącznie rażących zaniedbań. W praktyce kontrolnej wystarczy brak aktualnej procedury, nieprzeprowadzona ocena ryzyka lub niekompletna dokumentacja środków bezpieczeństwa finansowego wobec jednego klienta, by organ wszczął postępowanie.
Błędy, które popełniają przedsiębiorcy najczęściej
Obserwując realia stosowania przepisów AML w małych i średnich firmach, wyraźnie widać kilka powtarzających się problemów. Procedura wewnętrzna tworzona jest raz, na starcie działalności, i nigdy nie jest aktualizowana – nawet po zmianie profilu klientów. Ocena ryzyka sprowadza się do odznaczenia rubryk w gotowym szablonie, bez rzeczywistej analizy. Identyfikacja beneficjenta rzeczywistego zatrzymuje się na poziomie wydruku z CRBR, bez weryfikacji, czy dane są zgodne ze stanem faktycznym.
Inny częsty błąd to brak ciągłości monitorowania stosunku gospodarczego. Przepisy wymagają, by środki bezpieczeństwa finansowego były stosowane nie tylko przy nawiązaniu relacji z klientem, ale przez cały czas jej trwania – instytucja obowiązana powinna reagować na zmiany w profilu klienta i aktualizować ocenę ryzyka, gdy okoliczności na to wskazują.
Regulacje AML są złożone i zmieniają się wraz z kolejnymi dyrektywami unijnymi wdrażanymi do polskiego porządku prawnego. Jeśli masz wątpliwości co do tego, czy Twoja firma jest instytucją obowiązaną lub czy stosowane przez Ciebie procedury spełniają aktualne wymogi, warto skonsultować się z prawnikiem specjalizującym się w tej dziedzinie – zanim zrobi to za Ciebie kontrolujący organ.
Psychotechnika Poznań to redakcja publikująca artykuły z zakresu biznesu, finansów, prawa i przemysłu. Tworzymy treści informacyjne i poradnikowe, które pomagają lepiej zrozumieć zmiany rynkowe oraz podejmować świadome decyzje.