Procedura AML a wielkość firmy. Dlaczego obowiązek dotyczy każdego przedsiębiorcy?

Brak wewnętrznej procedury AML to realne ryzyko operacyjne i prawne. Niezależnie od tego, czy organ nadzoru kiedykolwiek przeprowadzi kontrolę w Twojej firmie. Compliance w obszarze przeciwdziałania praniu pieniędzy nie jest wyborem, lecz ustawowym obowiązkiem.

W praktyce doradczej regularnie spotykamy się z podobnym tokiem rozumowania: koszt wdrożenia procedur jest znany, ryzyko kary administracyjnej szacowalne, a prawdopodobieństwo kontroli GIIF (zwłaszcza w przypadku mniejszych podmiotów) statystycznie niewielkie. Na tej podstawie część przedsiębiorców dochodzi do wniosku, że zaniechanie działań compliance jest ekonomicznie uzasadnione. To błędna kalkulacja, która pomija kluczowy wymiar ryzyka.

Regulacje AML (przeciwdziałanie praniu pieniędzy) i przepisy sankcyjne funkcjonują w ramach wielopoziomowego systemu egzekwowania norm. Generalny Inspektor Informacji Finansowej (GIIF) jest tylko jednym z jego elementów. Nie jest jedynym i nie zawsze tym, który jako pierwszy generuje realne konsekwencje dla działalności przedsiębiorcy.

Kalkulując ryzyko wyłącznie przez pryzmat prawdopodobieństwa kontroli administracyjnej, przedsiębiorcy pomijają fakt, że instytucje finansowe i kontrahenci prowadzą własne, ciągłe procesy oceny ryzyka, niezależnie od działań organów nadzoru i bez jakiegokolwiek uprzedzenia.

Kogo obowiązuje procedura AML? Zakres podmiotowy ustawy

Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu definiuje zamknięty katalog tzw. instytucji obowiązanych – podmiotów, na które nałożono ustawowe wymogi dotyczące wdrożenia wewnętrznych procedur, stosowania środków bezpieczeństwa finansowego oraz raportowania transakcji podejrzanych.

Wbrew powszechnemu przekonaniu, katalog ten wykracza daleko poza sektor bankowy. Instytucjami obowiązanymi są m.in.:

pośrednicy w obrocie nieruchomościami
kancelarie prawne, doradcy podatkowi i biegli rewidenci
podmioty prowadzące działalność w zakresie usług płatniczych i wymiany walut
przedsiębiorcy przyjmujący lub dokonujący płatności gotówkowych powyżej 10 000 euro
spółki świadczące usługi w zakresie tworzenia podmiotów lub zarządzania nimi
firmy z branży dóbr luksusowych i kamieni szlachetnych
dostawcy usług kryptoaktywów (CASP)

Jeżeli Twoja działalność mieści się w powyższym katalogu, wdrożenie wewnętrznej procedury AML stanowi obowiązek ustawowy, niezależny od skali przedsiębiorstwa, liczby zatrudnionych czy wysokości przychodów. Ustawa nie przewiduje progów ilościowych zwalniających mniejsze podmioty z tego wymogu.

Trzy wymiary ryzyka, które poprzedzają kontrolę administracyjną

Nawet jeśli GIIF nie wszczyna postępowania kontrolnego wobec Twojej firmy, brak wdrożonych procedur AML może generować poważne konsekwencje operacyjne i biznesowe w trzech kluczowych obszarach.

Wypowiedzenie umowy rachunku bankowego

Instytucje finansowe, jako instytucje obowiązane, podlegają własnym, rygorystycznym wymogom AML. Są zobowiązane do stosowania rozszerzonych środków należytej staranności wobec klientów o podwyższonym profilu ryzyka. Brak udokumentowanych procedur compliance po stronie klienta korporacyjnego stanowi dla banku przesłankę do zaklasyfikowania rachunku jako wysokiego ryzyka.

Konsekwencją może być wstrzymanie realizacji transakcji (nierzadko na kilka tygodni) lub jednostronne wypowiedzenie umowy rachunku. Bank działa tu wyłącznie na podstawie własnych procedur wewnętrznych bez oczekiwania na rozstrzygnięcie organu nadzoru.

Wykluczenie z łańcucha dostaw wskutek braku weryfikacji sankcyjnej

Przedsiębiorstwa o ugruntowanej pozycji rynkowej (krajowe i zagraniczne) coraz powszechniej stosują formalne wymogi compliance wobec swoich dostawców i podwykonawców. Weryfikacja polityki AML oraz procedur sankcyjnych kontrahenta stała się standardowym elementem procesów przetargowych i audytów kwalifikacyjnych.

Podmiot nieposiadający udokumentowanych procedur może zostać wykluczony z postępowania o zamówienie lub utracić możliwość zawarcia kontraktu, bez wszczynania jakiegokolwiek postępowania administracyjnego, wyłącznie na podstawie wewnętrznej decyzji biznesowej kontrahenta.

Wpis do publicznego rejestru kar i trwałe konsekwencje reputacyjne

Odpowiedzialność za naruszenie przepisów ustawy AML nie ogranicza się do sankcji finansowej. Na mocy art. 149 ustawy GIIF jest obowiązany do publicznego ogłoszenia ostatecznej decyzji administracyjnej o nałożeniu kary z podaniem nazwy podmiotu, charakteru naruszenia i wysokości sankcji.

Informacja ta pozostaje publicznie dostępna i indeksowana, stając się trwałym elementem wizerunku firmy w przestrzeni cyfrowej. W warunkach rynkowych, w których reputacja i zaufanie kontrahentów budowane są przez wiele lat, jednorazowe zdarzenie tego rodzaju może wywrzeć nieproporcjonalnie duży wpływ na pozycję biznesową podmiotu.

Co powinna zawierać procedura AML? Minimalne wymogi ustawowe

Ustawa AML nie narzuca jednolitego wzorca dokumentacji. Nakłada natomiast na każdą instytucję obowiązaną wymóg opracowania i wdrożenia wewnętrznej procedury AML, której zakres i szczegółowość muszą być adekwatne do charakteru, skali oraz złożoności prowadzonej działalności. Prawidłowo opracowana dokumentacja powinna obejmować co najmniej cztery kluczowe obszary.

Ocena ryzyka instytucji

Punktem wyjścia dla całego systemu AML jest udokumentowana, indywidualna ocena ryzyka prania pieniędzy i finansowania terroryzmu. Ocena ta musi uwzględniać specyfikę konkretnej działalności:

rzeczywisty profil klientów
rodzaje oferowanych produktów lub usług
stosowane kanały dystrybucji
rynki geograficzne, na których podmiot prowadzi działalność

Dokument oparty na gotowym szablonie, nieodnoszący się do realiów danej firmy, nie spełnia wymogów ustawy.

Środki bezpieczeństwa finansowego i procedura KYC

Każda instytucja obowiązana musi stosować środki bezpieczeństwa finansowego, których zakres jest uzależniony od zidentyfikowanego poziomu ryzyka. W praktyce oznacza to:

wdrożenie procedury identyfikacji i weryfikacji tożsamości klientów
ustalanie struktury właścicielskiej i identyfikację beneficjentów rzeczywistych
monitorowanie bieżących relacji biznesowych

W przypadku klientów o podwyższonym ryzyku zastosowanie mają rozszerzone środki należytej staranności.

Beneficjent rzeczywisty (UBO) – obowiązek identyfikacji i weryfikacji

Identyfikacja beneficjenta rzeczywistego (ang. Ultimate Beneficial Owner, UBO) jest jednym z centralnych obowiązków wynikających z ustawy AML. Beneficjentem rzeczywistym jest każda osoba fizyczna sprawująca bezpośrednią lub pośrednią kontrolę nad klientem. W przypadku spółek najczęściej będzie to osoba posiadająca ponad 25% udziałów lub głosów.

Ustawa nakłada obowiązek nie tylko ustalenia tożsamości beneficjenta, ale również jej weryfikacji. W praktyce oznacza to konieczność pozyskania dokumentacji potwierdzającej strukturę właścicielską klienta i ocenę wiarygodności uzyskanych informacji. Nieprawidłowe lub niepełne ustalenie beneficjenta rzeczywistego stanowi jedną z najczęściej stwierdzanych nieprawidłowości w toku kontroli GIIF.

Informacje o beneficjentach rzeczywistych podmiotów wpisanych do KRS są weryfikowalne w Centralnym Rejestrze Beneficjentów Rzeczywistych (CRBR), który stanowi dodatkowe źródło cross-check w ramach procedury KYC.

Osoby zajmujące eksponowane stanowiska polityczne (PEP)

Odrębną kategorią klientów wymagającą szczególnej uwagi są osoby zajmujące eksponowane stanowiska polityczne (PEP ang. Politically Exposed Persons) oraz członkowie ich rodzin i osoby będące z nimi w bliskich relacjach biznesowych. Ustawa AML zobowiązuje instytucje obowiązane do stosowania wobec PEP rozszerzonych środków należytej staranności, niezależnie od wartości transakcji.

Status PEP nie jest przesłanką do odmówienia usług, lecz wymogiem wyższego poziomu weryfikacji, w tym ustalenia źródła majątku i środków finansowych. Do katalogu PEP zaliczają się m.in. szefowie państw i rządów, parlamentarzyści, członkowie organów zarządzających partii politycznych, wyżsi oficerowie wojskowi i sędziowie sądów najwyższych instancji, a także członkowie organów nadzorczych i zarządzających państwowych przedsiębiorstw i banków centralnych.

W praktyce małych i średnich podmiotów weryfikacja statusu PEP powinna być stałym elementem procedury onboardingu każdego nowego klienta.

Weryfikacja pod kątem list sankcyjnych – w tym lista MSWiA

Odrębnym obszarem jest weryfikacja klientów i kontrahentów pod kątem krajowych i międzynarodowych list sankcyjnych. Obejmuje to listy Unii Europejskiej, Organizacji Narodów Zjednoczonych, listy OFAC oraz (co szczególnie istotne w polskich realiach) listę MSWiA.

Lista Ministra Spraw Wewnętrznych i Administracji, prowadzona na podstawie ustawy z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego, stanowi krajowy instrument sankcyjny obowiązkowy dla podmiotów działających na polskim rynku. Jest aktualizowana w trybie ciągłym i obejmuje osoby fizyczne oraz podmioty gospodarcze objęte krajowymi środkami ograniczającymi.

Pominięcie weryfikacji pod kątem listy MSWiA, przy jednoczesnym sprawdzaniu wyłącznie wykazów unijnych czy OFAC, stanowi istotną lukę w systemie compliance. W kontekście obecnej sytuacji geopolitycznej i dynamicznie aktualizowanych wykazów podmiotów objętych restrykcjami, weryfikacja sankcyjna powinna obejmować zarówno etap nawiązania relacji, jak i monitoring bieżący.

Wyznaczenie kadry odpowiedzialnej i cykliczne szkolenia

Efektywność systemu AML zależy nie tylko od jakości dokumentacji, ale od jej faktycznego stosowania w organizacji. Ustawa nakłada obowiązek wyznaczenia osoby odpowiedzialnej za wdrożenie i nadzór nad procedurami AML na poziomie kierownictwa oraz zapewnienia cyklicznych szkoleń pracownikom mającym bezpośredni kontakt z klientami lub transakcjami.

System compliance, który istnieje wyłącznie na papierze, nie chroni przed odpowiedzialnością.

Pakiet AML 2027 – nadchodzące zmiany regulacyjne

W 2027 roku wejdą w życie przepisy unijnego pakietu legislacyjnego AML/CFT, obejmującego m.in. Rozporządzenie AMLR. To akt bezpośrednio stosowany we wszystkich państwach członkowskich UE, bez konieczności implementacji do prawa krajowego.

Nowe regulacje istotnie zaostrzają wymogi w zakresie środków należytej staranności. Rozszerzają też katalog instytucji obowiązanych oraz wprowadzają nowe standardy w obszarze weryfikacji beneficjentów rzeczywistych.

Podmioty, które wdrożą procedury AML przed wejściem pakietu w życie, będą w znacznie lepszej pozycji wyjściowej do przeprowadzenia niezbędnych dostosowań.

Compliance proporcjonalne do skali działalności – podejście pragmatyczne

Jedną z najczęściej powtarzanych obaw jest przekonanie, że wdrożenie procedury AML nieuchronnie wiąże się z koniecznością powołania wyspecjalizowanego działu prawnego, wdrożenia rozbudowanych systemów informatycznych i generowania rozległej dokumentacji. To założenie nie ma uzasadnienia ani w literze ustawy, ani w praktyce.

Zasada proporcjonalności jest fundamentem systemu AML. Zakres i stopień szczegółowości wewnętrznych procedur powinny być adekwatne do rzeczywistego profilu ryzyka danego podmiotu. Firma zatrudniająca kilkanaście osób, obsługująca ograniczony portfel klientów o jednorodnym, niskim profilu ryzyka, nie potrzebuje rozwiązań stosowanych przez instytucje finansowe. Potrzebuje solidnych, ale proporcjonalnych procedur, skrojonych pod specyfikę swojej działalności.

W praktyce skuteczne wdrożenie systemu AML w podmiocie o niskim i umiarkowanym profilu ryzyka obejmuje:

przeprowadzenie i udokumentowanie indywidualnej oceny ryzyka
opracowanie zwięzłej procedury wewnętrznej adekwatnej do skali działalności
jednorazowe szkolenie wdrożeniowe dla personelu
wdrożenie prostego narzędzia do weryfikacji klientów na listach sankcyjnych

Taki zakres w pełni wyczerpuje wymogi ustawowe i stanowi solidną podstawę w relacjach z bankiem oraz w procesach kwalifikacji dostawców.

Procedura AML jako element standardu biznesowego – wnioski

Compliance w obszarze AML i sankcji nie jest wyłącznie domeną dużych instytucji finansowych. Nie jest wymogiem, który można odkładać do momentu pojawienia się kontroli. Wdrożona i aktualna procedura AML jest dziś elementem podstawowego standardu prowadzenia działalności. Jest elementem wymaganym przepisami prawa, ale przede wszystkim oczekiwanym przez instytucje finansowe, partnerów handlowych i kontrahentów zagranicznych.
Realne ryzyko braku procedur AML nie materializuje się wyłącznie w postaci decyzji administracyjnej o nałożeniu kary. Materializuje się np. w wstrzymaniu rachunku w trakcie realizacji kluczowej transakcji, wykluczeniu z postępowania przetargowego oraz publicznym wpisie, który na lata staje się częścią wizerunku firmy. Żadne z tych zdarzeń nie jest poprzedzone zapowiedzią ze strony organu nadzoru.
Wdrożenie adekwatnych procedur AML jest dziś znacznie prostsze, niż wynika to z obaw większości przedsiębiorców zarówno pod względem czasu, jak i związanych z tym nakładów.