Procedury AML - czy rzeczywiście taki diabeł straszny...?
Walka ze zjawiskiem prania brudnych pieniędzy odbywa się na kilku poziomach, od rozwiązań narzucanych w ramach tzw. dyrektyw unijnych (dyrektywy AML), przez regulacje i programy krajowe, po indywidualne osoby prawne – przedsiębiorców prowadzących określony rodzaj działalności gospodarczej. Nie ulega przy tym wątpliwości, że jest to system naczyń połączonych, w ramach których kierunek określają propozycje legislacyjne wyznaczane przez prawo unijne. Jednocześnie jest to tematyka, która wymaga nieustannej modyfikacji, co jest konsekwencją stale zmieniających się metod wykorzystywanych przez podmioty zajmujące się praniem pieniędzy.
W ostatnim czasie mogliśmy zaobserwować znaczące przyspieszenie prac w tym zakresie – wprowadzenie szóstej już Dyrektywy Parlamentu Europejskiego i Rady (Dyrektywa AML VI z 2018 r.), która wymusza ujednolicenie standardów w zakresie zwalczania zjawiska prania pieniędzy w ramach Unii. Ostatecznie jednak zdecydowany ciężar związany z analizowanym problemem zostaje przerzucony na przedsiębiorców, wobec których nakładane są konkretne, niemałe wymagania, którym muszą sprostać. Wobec powyższego warto wskazać jakie obowiązki mają przedsiębiorcy i czy ich realizowanie wiąże się ze znacznym nakładem czasu, a przede wszystkim kosztów.
Kto w ogóle musi się przejmować
Oczywiście nie jest tak, że każdy przedsiębiorca musi zaangażować się w walkę ze zjawiskiem prania pieniędzy. Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (Dz. U. z 2021 r. poz. 1132; dalej: ustawa) precyzyjnie określa, jakie konkretnie podmioty zostały objęte obowiązkami z niej wynikającymi. Należy jednak wskazać, że nie polega to wyłącznie na wymienieniu poszczególnych branż, a na przyjęciu różnego rodzaju kryteriów. Tytułem przykładu można wskazać kryterium przyjmowania lub dokonywania płatności za towary w gotówce o wartości równej lub przekraczającej równowartość 10 000 €, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane (art. 2 ust. 1 pkt 23 ustawy). Podmioty objęte obowiązkami nazwane są w ustawie instytucjami obowiązanymi i w dalszej jej części nakładane są na nie kolejne wymagania.
Dlatego bardzo ważnym zadaniem każdego przedsiębiorcy jest ustalenie, czy zakres jego działalności kwalifikuje go do zaliczenia w poczet instytucji obowiązanych, a tym samym, czy podlega on stosownemu reżimowi. Powinien to być pierwszy krok każdego podmiotu gospodarczego i dopiero wynik takiej weryfikacji pozwala na precyzyjne określenie dalszych obowiązków. Jest to o tyle istotne, że jak pokazuje praktyka, wiedza na ten temat nie jest jeszcze powszechna i wielu przedsiębiorców ze zdziwieniem odkrywa, że należy do kręgu instytucji obowiązanych. Warto zatem ustalić to wcześniej, tak aby ze spokojem dostosować swoją firmę do stawianych wymogów.
Wskazanie osób odpowiedzialnych
Jeżeli weryfikacja wykaże, że dany podmiot jest instytucją obowiązaną, to należy rozpocząć stosowne działania. Wykorzystując regulację ustawową można je podzielić na poszczególne etapy, tj. wdrażanie, wykonywanie i nadzorowanie zagadnień związanych z szeroko rozumianym AML. Istotne przy tym jest, że za każdy z tych etapów musi być odpowiedzialna konkretna osoba.
W przypadku wdrażania regulacji AML, czyli tworzenia wewnętrznych regulacji w danym podmiocie, odpowiedzialność spoczywa – w przypadku spółek kapitałowych – na wybranym członku zarządu. W konsekwencji oznacza to, że zarząd powinien wybrać spośród siebie, w drodze stosownej uchwały, osobę, która będzie zajmowała się implementacją regulacji AML w firmie. Należy jednak pamiętać, że nie można tego rozumieć przez jednorazowe wdrożenie, a bardziej jako konieczność permanentnego czuwania nad tym, czy przyjęty system działa prawidłowo. Jednocześnie jest oczywistym, że działania członka zarządu będą sprowadzały się do zapoznawania się z bieżącymi raportami i ewentualnych decyzji korygujących. Niemniej sam fakt przypisania takiego zadania do konkretnego członka organu odgrywa znaczącą rolę.
Kolejnym etapem w ramach działań z zakresu AML jest wykonanie nałożonych na podmiot zadań. W myśl ustawy obowiązek ten powinien spoczywać na kadrze kierowniczej wyższego szczebla. Należy zatem wyznaczyć co najmniej jedną osobę, która będzie odpowiedzialna za wykonanie przypisanych obowiązków. Będzie ona odpowiadała za wykonanie obowiązków AML, a więc powinna zajmować się weryfikowaniem aktualności obowiązujących regulacji wewnętrznych, przestrzegania przyjętych procedur, szkoleniem pracowników, a także raportowaniem do zarządu w zakresie realizacji zadań.
Ustawa wymaga także wskazania osoby odpowiedzialnej za zapewnienie zgodności działalności instytucji obowiązanej oraz jej pracowników i innych osób wykonujących czynności na rzecz tej instytucji obowiązanej z przepisami o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Wyznaczony pracownik jest również odpowiedzialny za komunikację z wybranymi podmiotami, np. GIIF. W tym miejscu warto wskazać, że bardzo często wewnętrzne regulacje AML będą wchodziły w zakres szeroko rozumianego compliance, a więc jedną z możliwości jest przypisanie tego obowiązku właśnie do osoby odpowiadającej za ten aspekt działalności. Nie ulega przy tym wątpliwości, że osoba odpowiedzialna za nadzór nad realizacją wewnętrznych regulacji AML, także powinna raportować do członka zarządu odpowiedzialnego za to zagadnienie, a najlepiej do całego zarządu.
Widać zatem wyraźnie, że ustawa wymaga jasnego podziału obowiązków w zakresie wewnętrznej regulacji AML, co powinno uwzględniać strukturę organizacyjną przedsiębiorstwa. Bardzo ważnym przy tym jest, aby nałożone obowiązki każdorazowo znajdywały potwierdzenie w ramach przypisanych obowiązków pracowniczych.
Wewnętrzna procedura AML
W ramach podziału obowiązków, o których była mowa wyżej, wielokrotnie wspomniano o tzw. wewnętrznej procedurze AML. Jest to dokument, który powinien zostać przygotowany przez każdą instytucję obowiązaną i być na bieżąco aktualizowany. Podkreślenia wymaga fakt, że powinien on być zaprojektowany do potrzeb danego przedsiębiorstwa. Korzystanie w tym zakresie z ogólnie dostępnych szablonów nie jest najlepszym rozwiązaniem, gdyż albo będziemy realizować rzeczy, do których nie jesteśmy zobowiązani, a co za tym idzie, poniesiemy niepotrzebne koszty, albo nie wprowadzimy pewnych rozwiązań, co także będzie miało negatywne konsekwencje. Warto jednak pamiętać, że wewnętrzna procedura AML to bardzo rozbudowany dokument, który powinien uwzględniać szereg czynników, w tym m.in.: czynności lub działania podejmowane w celu ograniczenia ryzyka prania pieniędzy oraz finansowania terroryzmu i właściwego zarządzania zidentyfikowanym ryzykiem prania pieniędzy lub finansowania terroryzmu; zasady rozpoznawania i oceny ryzyka prania pieniędzy oraz finansowania terroryzmu związanego z danymi stosunkami gospodarczymi lub transakcją okazjonalną, w tym zasady weryfikacji i aktualizacji uprzednio dokonanej oceny ryzyka prania pieniędzy oraz finansowania terroryzmu; środki stosowane w celu właściwego zarządzania rozpoznanym ryzykiem prania pieniędzy lub finansowania terroryzmu związane z danymi stosunkami gospodarczymi lub transakcją okazjonalną; zasady przechowywania dokumentów oraz informacji; zasady upowszechniania wśród pracowników instytucji obowiązanej wiedzy z zakresu przepisów o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu; zasady zgłaszania przez pracowników rzeczywistych lub potencjalnych naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu itp.
Widać zatem dość wyraźnie, że choć powyższe postanowienia mają bardzo ogólny charakter, to jednak muszą to być rozwiązania „uszyte na miarę”. W ramach tego powinny zostać uwzględnione takie kwestie, jak ogólne rozpoznanie zagrożeń związanych ze zjawiskiem prania pieniędzy, weryfikacja kontrahentów (procedura KYC) i to zarówno stałych, jak i nowych, szkolenia pracowników, obieg dokumentów itp.
Sygnalista – konieczność ochrony
Wewnętrzna regulacja AML powinna także uwzględniać tzw. wewnętrzną procedurę zgłaszania nieprawidłowości, czyli inaczej mówiąc narzędzia dla sygnalistów oraz system ich ochrony. Warto wskazać, że ustawa jest jednym z pierwszych aktów prawnych w Polsce, który takie wymaganie przewiduje. Jest to wymóg, który ma umożliwić pracownikom zgłaszanie wykrytych nieprawidłowości, tak rzeczywistych, jak i potencjalnych, dając szansę pracodawcy na wprowadzenie istotnych zmian w zakresie funkcjonowania przedsiębiorstwa, a tym samym usprawnienie systemu zwalczania zjawiska prania pieniędzy. Trzeba jednak pamiętać, że omawiane zagadnienie nie należy do najprostszych i może wiązać się z dość istotnym nakładem sił i środków. Zgodnie bowiem z treścią ustawy wspomniany system zgłaszania nieprawidłowości powinien wskazywać takie kwestie, jak: osobę odpowiedzialną za odbieranie zgłoszeń; sposób odbierania zgłoszeń; sposób ochrony pracownika dokonującego zgłoszenia, zapewniający co najmniej ochronę przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania; sposób ochrony danych osobowych pracownika dokonującego zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych; zasady zachowania poufności w przypadku ujawnienia tożsamości osób zgłaszających nieprawidłowości lub gdy ich tożsamość jest możliwa do ustalenia; rodzaj i charakter działań następczych podejmowanych po odebraniu zgłoszenia; termin usunięcia, przez instytucje obowiązane, danych osobowych zawartych w zgłoszeniach.
Jak już wspomniano, wewnętrzny system zgłaszania nieprawidłowości stanowi istotny element wewnętrznej procedury AML, jednakże z uwagi na wagę oraz złożoność tematyki wymaga on indywidualnego podejścia. W konsekwencji, może się okazać, że w przypadku większych przedsiębiorstw konieczne będzie powierzenie zajmowania się tą kwestią dodatkowej osobie.
Odpowiedzialność za nieprzestrzeganie procedur
Na sam koniec warto zastanowić się nad ewentualną odpowiedzialnością z tytułu niewdrożenia powyższych rozwiązań. Istotne przy tym jest to, że samo niespełnienie wymogu posiadania określonych regulacji nie prowadzi bezpośrednio do przypisania odpowiedzialności karnej, a jedynie odpowiedzialności administracyjnej, w postaci np. kar pieniężnych. Niemniej, należy zaznaczyć, że ustawa sankcje karne nakłada w przypadku przekazywania nieprawdziwych informacji do GIIF oraz uniemożliwienia czynności kontrolnych. Jednakże nieposiadanie jakiejkolwiek wewnętrznej regulacji lub też posiadanie nieefektywnej, może prowadzić do sytuacji, w której informacje do GIIF w ogóle nie trafią lub też będą właśnie nieprawdziwe, co jednak będzie już prowadziło do odpowiedzialności karnej.
Z kolei odpowiedzialność stricte karna pojawi się w sytuacji, w której dojdzie zrealizowania znamiona przestępstwa prania pieniędzy, określonego w art. 299 k.k. W takiej sytuacji osoby odpowiedzialne za wewnętrzną politykę AML zostaną postawione w stan oskarżenia. Wbrew pozorom o takie podejrzenie nie jest trudno. W praktyce dość często zdarza się, że dzięki algorytmom banki wychwytują transakcje znacząco odmienne od standardowych, co nierzadko prowadzi do wszczęcia procedury „wyjaśniającej”. Polega ona na tym, że bank zawiadamia GIIF, który z kolei informuje właściwego prokuratora, który ma 96 godzin na podjęcie decyzji o wszczęciu postępowania karnego oraz ewentualnej blokadzie rachunku bankowego. Jest to sytuacja bardzo trudna dla przedsiębiorcy, której wyjaśnienie może zabrać ponad rok. Jednocześnie brak jakiejkolwiek wewnętrznej procedury AML znacząco osłabia naszą pozycję w rozmowach z organem, o samej odpowiedzialności nie wspominając.
Podsumowanie
Czy zatem biorąc pod uwagę powyższe rozważania można uznać, że „nie taki diabeł straszny”? Z pewnością odpowiedź na tak postawione pytanie jest złożona. Niemniej na pewno zagadnienie procedur AML nie jest tematem, wobec którego można przejść obojętnie. Jeżeli przedsiębiorca należy do kręgu instytucji obowiązanych, to z całą stanowczością powinien podjąć stosowne działania, zmierzające do spełnienia nakładanych na niego obowiązków. Koszt wdrożenia minimalnych standardów z pewnością będzie zdecydowanie niższy niż potencjalne ryzyko wynikające z ich niewdrożenia. Ważne jednak, aby umiejętnie dopasować przyjmowane rozwiązania do naszych rzeczywistych potrzeb. O ile standardy funkcjonujące w bankowości, czy w szeroko rozumianym sektorze finansowym mogą stanowić ciekawy punkt odniesienia, o tyle przyjęte tam standardy rzadko kiedy będą wymagane od innych podmiotów. W konsekwencji nie ma potrzeby, żeby od razu zatrudniać sztab ekspertów i tworzyć osobne działy. W pierwszej kolejności należy zdefiniować swoje potrzeby przez pryzmat struktury przedsiębiorstwa i dopiero po tym zdecydować o skali wdrożenia konkretnych regulacji. Z pewnością zatem regulacje AML mogą okazać się dodatkową trudnością przy prowadzeniu przedsiębiorstwa, niemniej ich niewdrożenie może wiązać się z daleko idącymi konsekwencjami.