Kilka dni temu pisałem o tym jakie podmioty powinny przestrzegać przepisów nowej ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Nadszedł więc czas na to aby dalej zgłębić ten temat i powiedzieć kilka rzeczy o obowiązkach, wynikających z przepisów o przeciwdziałaniu praniu pieniędzy. Instytucje obowiązane powinny podjąć kilka kroków, mających na celu zapewnienie sobie zgodności z nowymi przepisami - co obejmowało będzie zwłaszcza stworzenie odpowiednich procedur dotyczących wykrywania transakcji mogących stanowić pranie pieniędzy lub finansowanie terroryzmu.
Jakie są najważniejsze kroki, który musi podjąć przedsiębiorca będący instytucją obowiązaną?
Wyznaczenie osób odpowiedzialnych za przestrzeganie przepisów dot. przeciwdziałania praniu pieniędzy.
Istotnym obowiązkiem nałożonym na instytucje obowiązane jest wyznaczenie osób odpowiedzialnych za zapewnienie zgodności działalności instytucji obowiązanej z przepisami o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Powinna być to osoba lub osoby „będąca kadrą kierowniczą” – w przypadku spółek z ograniczoną odpowiedzialnością i akcyjnych osobą taką jest członek zarządu. Jeżeli ktoś prowadzi jednoosobową działalność gospodarczą – to właśnie on jest „osobą na stanowisku kierowniczym”. Przepisy precyzują, że w organizacji musi zostać wyznaczony pracownik zajmujący kierownicze stanowisko, który będzie odpowiedzialny za zapewnienie zgodności działalności instytucji obowiązanej oraz jej pracowników i innych osób wykonujących czynności na rzecz tej instytucji obowiązanej z przepisami o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Wyznaczony pracownik powinien być również odpowiedzialny za przekazywanie w imieniu instytucji obowiązanej zawiadomień o podejrzanych transakcjach, podejrzeniach popełnienia przestępstwa itp.
Rozpoznawanie ryzyka.
Drugim istotnym obowiązkiem jest konieczność rozpoznawania i oceny ryzyka prania brudnych pieniędzy, związana z transakcjami, które dana organizacja przeprowadza ze swoimi klientami. Ustawa precyzuje, że w toku takiej oceny ryzyka należy wziąć pod uwagę takie czynniki jak rodzaj klienta (to kim jest i czym się zajmuje), obszar geograficzny, z którego pochodzi (niektóre kraje są uznawane za kraje „podwyższonego ryzyka” jeśli chodzi o finansowanie terroryzmu – takie przesłanki na szczęście są wymienione w ustawie), przeznaczenia rachunku (jeżeli prowadzimy komuś jakiś rachunek), rodzaju produktów, usług i sposobów ich dystrybucji, poziomu wartości majątkowych deponowanych przez klienta lub wartości przeprowadzonych transakcji czy też celu, regularności lub czasu trwania stosunków gospodarczych. Jak widać wskazówki są dość ogólne, co nakłada na przedsiębiorców obowiązek dokonywania samodzielnej oceny – a tym samym również wzięcie odpowiedzialności za swoje decyzje w tym zakresie.
Wdrożenie środków bezpieczeństwa finansowego.
Środki bezpieczeństwa finansowego obejmują w szczególności identyfikację oraz weryfikację tożsamości klientów, osób działających w ich imieniu oraz beneficjentów rzeczywistych. Beneficjent rzeczywisty to np. wspólnik spółki (co do zasady posiadający ponad 20% udziałów), która jest stroną transakcji – czyli ten (finalny) podmiot, który może mieć korzyści związane z transakcją. Ustawa wskazuje, że powinno się również podejmować działania w celu ustalania struktury własnościowej podmiotów. Innymi słowy, jeżeli zawieramy (jako instytucja obowiązana) umowę ze spółką z ograniczoną odpowiedzialnością, należy podjąć działania mające na celu ustalenie kto jest wspólnikiem takiej spółki. Przydatny do tego będzie tzw. Centralny Rejestr Beneficjentów Rzeczywistych, czyli prowadzony przez Ministra Finansów rejestr spółek i osób, które są właśnie beneficjentami rzeczywistymi. Rejestr będzie ogólnodostępny, a tym samym każdy będzie mógł sprawdzić, kto jest wspólnikiem danej spółki (także akcyjnej). Środki bezpieczeństwa finansowego obejmują także ocenę stosunków gospodarczych klienta i (niekiedy) uzyskanie informacji na temat ich celu oraz bieżące monitorowanie stosunków gospodarczych klienta a także analizę przeprowadzanych transakcji pod kątem zgodności naszej wiedzy o kliencie z rodzajem i zakresem prowadzonej przez niego działalności. Innymi słowy, jeżeli klient dokonuje jakichś transakcji, które nie pasują do jego działalności, powinno to wzbudzić nasze podejrzenia pod kątem ewentualnego prania pieniędzy.
Wewnętrzne procedury w zakresie przeciwdziałania praniu brudnych pieniędzy.
Ustawa nakłada na przedsiębiorców obowiązek wprowadzenia wewnętrznej procedury dotyczącej przeciwdziałania praniu brudnych pieniędzy, która będzie obowiązywała w organizacji. Powinna ona określać m.in. zasady dotyczące czynności lub działań podejmowanych w celu ograniczenia ryzyka prania pieniędzy oraz finansowania terroryzmu i właściwego zarządzania zidentyfikowanym ryzykiem prania pieniędzy lub finansowania terroryzmu, obejmujące:
a) zasady rozpoznawania i oceny ryzyka prania pieniędzy oraz finansowania terroryzmu związanego z danymi stosunkami gospodarczymi lub transakcją okazjonalną (musimy mieć więc procedurę w jaki sposób dokonujemy analizy ryzyka transakcji),
b) opis środków stosowanych w celu właściwego zarządzania rozpoznanym ryzykiem prania pieniędzy lub finansowania terroryzmu związanym z danymi stosunkami gospodarczymi lub transakcją okazjonalną,
c) zasad stosowania środków bezpieczeństwa finansowego (tych samych, o których pisałem wyżej),
d) zasad przechowywania dokumentów oraz informacji,
e) zasad wykonywania obowiązków obejmujących przekazywanie Generalnemu Inspektorowi Informacji Finansowej informacji o transakcjach oraz zawiadomieniach – przepisy ustawy wskazują w jakich sytuacjach należy przekazać do Generalnego Inspektora informacji o transakcjach – procedura dot. przekazywania takich informacji powinna znaleźć odzwierciedlenie w wewnętrznej dokumentacji dot. przeciwdziałania praniu pieniędzy w organizacji,
f) zasad upowszechniania wśród pracowników instytucji obowiązanej wiedzy z zakresu przepisów o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu;
g) zasad zgłaszania przez pracowników rzeczywistych lub potencjalnych naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (co ciekawe, ustawa przewiduje możliwość zgłaszania naruszeń w sposób anonimowy!)
h) zasad kontroli wewnętrznej lub nadzoru zgodności działalności instytucji obowiązanej z przepisami o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu oraz zasadami postępowania określonymi w wewnętrznej procedurze.
Trochę tego jest - procedura ma po prostu być kompletną "mapą drogową", która pokazuje organizacji co powinna robić w związku z przeciwdziałaniem praniu brudnych pieniędzy. Jak widać, opisana procedura dot. postępowania w ramach organizacji przypomina nieco polityki bezpieczeństwa dot. ochrony danych osobowych, których stworzenie jest zalecane w RODO. Oznacza to, że w ciągu kilku miesięcy przybyło nam obowiązków dot. tworzenia takich wewnętrznych regulacji, które będą stosowane w firmach. To jest coś, do czego przedsiębiorcy (zwłaszcza mniejsi) nie są przyzwyczajeni. Nie ma się jednak czego bać. Ich stworzenie nie jest bowiem zadaniem, którego nie da się wykonać – zwłaszcza, że ustawa o przeciwdziałaniu praniu pieniędzy dość precyzyjnie wskazuje na to, co w takiej procedurze powinno się znaleźć.
Czy grożą jakieś sankcje za niestosowanie przepisów nowej ustawy? Niestety tak – niewdrożenie nowej regulacji zgodnie z postanowieniami ustawy może skutkować nałożeniem kary administracyjnej, w tym kary pieniężnej – w wysokości do dwukrotności kwoty korzyści osiągniętej lub straty unikniętej przez instytucję obowiązaną w wyniku naruszenia albo - w przypadku gdy nie jest możliwe ustalenie kwoty tej korzyści lub straty - do wysokości równowartości kwoty 1 000 000 euro. Wobec niektórych instytucji (np. banków, ale także pośredników ubezpieczeniowych czy kantorów) kary finansowe mogą być wyższe (do 5 mln Euro albo 10% obrotu).
Ale (podobnie jak w przypadku RODO) to górna wysokość kary – co oznacza, że biorąc pod uwagę realną sytuację podmiotu naruszającego przepisy, jej wysokość może być znacznie niższa. Ustawa bowiem zakłada jej miarkowanie, w tym z uwagi na możliwości finansowe instytucji obowiązanej.
W praktyce więc nowych przepisów nie trzeba się bać. Oczywiście, przedsiębiorcy powinni wdrożyć nowe regulacje w taki sposób aby spełnić obowiązki wynikające z przepisów – nie jest to jednak zadanie trudniejsze niż np. wdrożenie RODO – zwłaszcza, jeśli dotyczy małego lub średniego przedsiębiorstwa.
