Analiza transakcji w AML/CFT
2023-11-29
Jednym z czynników, które zdają się wpływać na nieprawidłowości w procesie analizy transakcji, jest brak posiadania przez instytucje obowiązane odpowiedniego narzędzia usprawniającego ten proces, np. aplikacji czy oprogramowania.
Instytucje obowiązane w myśl ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ustawa AML) zobowiązane są do stosowania wobec swoich klientów środków bezpieczeństwa finansowego. Rodzaj oraz zakres ich zastosowania zależy z kolei od zidentyfikowanego przez instytucje obowiązane poziomu ryzyka danego klienta (danej relacji łączącej instytucję obowiązaną z klientem). Mimo że ustawodawca nie wprowadził do ustawy AML zamkniętego katalogu stosowanych środków bezpieczeństwa finansowego, to jednak w art. 34 ustawy AML uwzględnił te z nich, które można zaliczyć do minimalnych, standardowych i jednocześnie obowiązkowych środków stosowanych względem każdego klienta (każdej nawiązywanej relacji).
Jak pokazuje praktyka, o ile zastosowanie takich środków bezpieczeństwa finansowego jak identyfikacja i weryfikacja tożsamości klienta czy identyfikacja jego beneficjenta rzeczywistego co do zasady ma miejsce w ramach wykonywania przez instytucje obowiązków wynikających z ustawy AML, o tyle środek bezpieczeństwa finansowego w postaci analizy transakcji przeprowadzanych w ramach stosunków gospodarczych – jako przejaw bieżącego monitorowania tych stosunków – stanowi nie lada wyzwanie dla instytucji obowiązanych. Część z nich nie przeprowadza analizy transakcji, część nie dokumentuje procesu takiej analizy, a jeszcze inna część przykładowo ogranicza przeprowadzanie analizy transakcji wyłącznie do transakcji klientów, którym nadano podwyższone ryzyko ML/FT, bądź do określonej kategorii oferowanych produktów czy świadczonych usług. A to jedynie wierzchołek góry lodowej, bowiem nieprawidłowości w przeprowadzaniu analizy transakcji są tak liczne, że nie sposób wszystkich wypunktować.
Brak wiedzy czy niezrozumienie ryzyk AML
Wydaje się, że stosowanie przez instytucje obowiązane zróżnicowanego podejścia do analizy transakcji wynika – niestety – z braku świadomości określonych obowiązków, ale również z niezrozumienia całej filozofii AML/CFT. Wspomniane problemy ze stosowaniem omawianego środka bezpieczeństwa finansowego co do zasady dotyczą mniejszych podmiotów, w tym niebankowych instytucji. Wydaje się, że to właśnie banki – jako jedne z nielicznych instytucji obowiązanych – z uwagi na specyfikę swojej działalności i bardzo wysokie ryzyko w obszarze ML/FT najlepiej poradziły sobie z wykonywaniem obowiązków wynikających z ustawy AML – choć, jak pokazują wyniki kontroli nadzorczych – wciąż nie jest doskonale. Praktyka pokazuje jednak, że również większe (niebankowe) instytucje finansowe nie do końca radzą sobie z analizą transakcji swoich klientów.
Na czym polega analiza transakcji i dlaczego nastręcza instytucjom obowiązanym tylu problemów praktycznych? Zgodnie z art. 33 ust. 1 w zw. z art. 34 ust. 1 pkt 4 lit. a ustawy AML instytucje obowiązane stosują wobec swoich klientów środki bezpieczeństwa finansowego, w tym zobowiązane są do bieżącego monitorowania stosunków gospodarczych klientów poprzez m.in. analizę transakcji przeprowadzanych w ramach stosunków gospodarczych w celu zapewnienia, że transakcje te są zgodne z wiedzą instytucji obowiązanej o kliencie, rodzaju i zakresie prowadzonej przez niego działalności oraz zgodne z ryzykiem ML/FT związanym z tym klientem. Nie jest zatem wystarczające zbadanie klienta przy nawiązywaniu stosunków gospodarczych. Takie badanie powinno być cyklicznie powtarzane, a zdarzeniem implikującym konieczność dokonania takiego badania jest właśnie przeprowadzanie przez klienta transakcji. Instytucje obowiązane w ramach bieżącego monitorowania stosunków gospodarczych powinny zatem nie tylko z określoną częstotliwością (uzależnioną co do zasady od nadanej kategorii ryzyka ML/FT) odbierać od klienta aktualne dane identyfikacyjne, ale również śledzić i oceniać, czy przeprowadzane przez klienta transakcje w toku trwającego stosunku są zgodne z wiedzą instytucji obowiązanej o tym kliencie oraz z rodzajem i zakresem prowadzonej przez niego działalności. Wszelkie bowiem nietypowe, skomplikowane, opiewające na wysokie i jednocześnie nieuzasadnione okolicznościami kwoty czy niemające uzasadnienia prawnego lub gospodarczego transakcje powinny podlegać pogłębionej analizie w kontekście ryzyka ML/FT, a w przypadku potwierdzenia podejrzanego charakteru takiej transakcji – zgłaszane do GIIF. Nie jest zaś możliwe prawidłowe wykonywanie obowiązków notyfikacyjnych do GIIF, jeśli instytucja obowiązana nie monitoruje na bieżąco transakcji klienta i tym samym nie ma świadomości co do ryzyka ML/FT w tym zakresie.
Jednym z czynników, które zdają się wpływać na nieprawidłowości w procesie analizy transakcji, jest brak posiadania przez instytucje obowiązane odpowiedniego narzędzia usprawniającego ten proces (systemy, aplikacje i oprogramowania wspierające proces AML/CFT – wciąż mało popularne w mniejszych instytucjach). „Ręczna” analiza transakcji jest czasochłonna i oczywiście w zależności od skali i rodzaju przeprowadzanych transakcji może generować konieczność zapewnienia przez instytucje obowiązane dodatkowych zasobów kadrowych. To z kolei wiąże się z dodatkowymi kosztami zatrudnienia. Systemy i oprogramowania usprawniające wykonywanie obowiązków w obszarze AML/CFT mogą – na podstawie stosowanych algorytmów – typować transakcje potencjalnie podejrzane, skomplikowane czy nietypowe do dalszej analizy pracownika zespołu AML/CFT. Pierwsza, wstępna analiza jest jednak przeprowadzana przez system, co znacznie usprawnia proces bieżącego monitorowania transakcji. Oczywiście, dla prawidłowego wykonywania obowiązków w zakresie analizy transakcji nie jest wystarczające poprzestanie na wdrożeniu systemu wspomagającego. Taki system powinien posiadać odpowiednią parametryzację oraz odpowiedniej wysokości progi reguł analitycznych (reguły i algorytmy generujące alerty powinny być dostosowane do zakresu, skali i rodzaju działalności instytucji obowiązanej, w tym oferowanych produktów i świadczonych usług). Ponadto system powinien posiadać również funkcjonalności dające możliwość sprawnego procesu uruchamiana tych reguł, w tym dostosowanie częstotliwości prowadzenia analizy transakcji do nadanej kategorii ryzyka ML/FT, dostęp do źródeł danych zasilających proces analizy czy narzędzia wspierające planowanie i termin wdrożenia działań naprawczych po przeprowadzeniu przeglądu alertów.
Przegląd i procesy monitorowania
Sam proces analizy transakcji nigdy nie będzie bezobsługowy, dlatego też pracownicy instytucji obowiązanych wykonujący obowiązki w obszarze AML/CFT powinni przeprowadzać i dokumentować okresowy przegląd reguł analitycznych, dokumentować proces analizy i zamykania alertów, przeprowadzać badanie źródła pochodzenia wartości majątkowych klienta, dokumentować wyniki analizy i uzasadniać podjęte decyzje, a przy tym stosować stanowiska i komunikaty nadzorcze (w szczególności komunikat GIIF nr 31 w sprawie działań podejmowanych przez instytucje obowiązane w przypadku realizacji przez klienta transakcji niezgodnych z wiedzą tej instytucji o kliencie, rodzaju i zakresie prowadzonej przez niego działalności).
Ponadto, z poziomu proceduralnego, dla prawidłowego wykonywania obowiązków w zakresie analizy transakcji konieczne jest wprowadzenie do procedur wewnętrznych instytucji obowiązanych szczegółowego opisu sposobu prowadzenia analizy transakcji (w tym opisanie sposobu działania narzędzia wspierającego, o ile dotyczy), określenie terminów na podjęcie i zakończenie analizy transakcji, sformalizowanie procedury cyklicznego przeglądu stosowanych reguł analitycznych czy wpierw dostosowanie typologii transakcji do rodzaju prowadzonej działalności, a następnie na bieżąco jej aktualizowanie (w tym w miarę wprowadzania przez instytucję obowiązaną nowych produktów lub usług).
Choć ustawodawca nie wskazuje wprost w ustawie AML, jak powinien wyglądać właściwy proces analizy transakcji, to przy stosowaniu podejścia opartego na analizie i ocenie ryzyka oraz przy zastosowaniu wytycznych płynących ze stanowisk nadzorczych można bez wątpienia wytypować główne i kluczowe zasady prowadzenia analizy transakcji. Należy przy tym pamiętać, że założenia przeprowadzania analizy transakcji powinny być zindywidualizowane i skonkretyzowane, w tym dostosowane do specyficznych cech działalności danej instytucji obowiązanej – w szczególności do typologii transakcji przeprowadzanych. Tym samym, tworząc ramy dla przeprowadzania analizy transakcji, należy ograniczyć do minimum korzystanie z wzorów/szablonów czy gotowych rozwiązań, które funkcjonują u innych instytucji obowiązanych, które oferują lub świadczą inne produkty i usługi, a co z kolei przekłada się na zgoła odmienną typologię transakcji podlegających monitorowaniu. Proces analizy transakcji (choć można, jak wyżej wskazano, wytypować określone, wspólne dla wszystkich instytucji obowiązanych kierunki i wytyczne jego przeprowadzania) nie jest możliwy do ustandaryzowania. Narastające ryzyko ML/FT oraz generalnie coraz większa skala oraz występowanie w obrocie coraz bardziej skomplikowanych transakcji skutkują koniecznością przyjęcia przez instytucje obowiązane szczególnych i bardziej intensywnych środków mających na celu prawidłowe przeprowadzanie analizy transakcji.
Instytucje obowiązane powinny bez wątpienia zrobić rachunek sumienia i zastanowić się, czy obowiązek w postaci analizy transakcji jest wykonywany w sposób należyty i spełniający oczekiwania nadzoru. Część z nich powinna zastanowić się nad wprowadzeniem nowych bądź bardziej skutecznych narzędzi przy realizacji procesu analizy transakcji. Niekiedy konieczne będzie zainwestowanie w system wspomagający wykonywanie obowiązków w obszarze AML/CFT, innym razem zainwestowanie w wykwalifikowaną kadrę pracowniczą, w tym zwiększenie jej zasobów.
Współautorem tekstu jest Nikola Jadwiszczak-Niedbałka, radca prawny
