b. na instytucje obowiązane, o których mowa w art. 2 ust. 1 pkt 1–5, 7–11, 24 i 25 ustawy AML:

i. w przypadku osoby fizycznej do wysokości 20 868 500 zł;

ii. w przypadku osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej do wysokości równowartości kwoty 5 milionów euro albo do wysokości 10% obrotu wykazanego w ostatnim zatwierdzonym sprawozdaniu finansowym za rok obrotowy lub w ostatnim skonsolidowanym sprawozdaniu finansowym za rok obrotowy – w przypadku instytucji objętych skonsolidowanym sprawozdaniem finansowym grupy kapitałowej;

c. na członka organu zarządzającego instytucji obowiązanej, odpowiedzialnego za wykonanie obowiązków ustawowych – do wysokości 1 miliona złotych.

Niedopełnienie obowiązku przekazania generalnemu inspektorowi zawiadomienia o powzięciu uzasadnionego podejrzenia co do transakcji lub o okolicznościach, które mogą wskazywać na podejrzenie popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu, lub przekazanie nieprawdziwych informacji czy zatajanie prawdziwych danych dotyczących transakcji, rachunków lub osób, zagrożone jest karą pozbawienia wolności od trzech miesięcy do lat pięciu.

Kiedy potrzebna jest procedura grupowa i czy jej wdrożenie jest obowiązkowe?

Prof. Michał Królikowski:

Arkadiusz Górski:

Kwestie procedury grupowej reguluje art. 51 ustawy AML i wprowadza obowiązek jej posiadania i wdrożenia w każdym wypadku, gdy w ramach grupy kapitałowej funkcjonuje więcej niż jeden podmiot będący instytucją obowiązaną. Innymi słowy, jeżeli w skład grupy wchodzą co najmniej dwie spółki będące niezależnie instytucjami obowiązanymi, wówczas powstaje obowiązek zaimplementowania w ramach grupy procedury grupowej. Ustawodawca nie pozostawia w tym zakresie wątpliwości – posiadanie procedury grupowej w takim wypadku jest obowiązkowe. Jednakże, pewne wątpliwości interpretacyjne związane były z tym, czy procedura grupowa powinna objąć wszystkie spółki wchodzące w skład grupy (bez względu, czy spółki te spełniają kryterium instytucji obowiązanej), czy też procedura grupowa powinna obejmować jedynie te spółki, które w ramach grupy posiadają status instytucji obowiązanej na gruncie przepisów ustawy AML. W Komentarzu do ustawy AML wydawnictwa C.H. Beck, którego autorami są członkowie zespołu KMD Legal, a redaktorami Partnerzy – prof. M. Dyl oraz prof. M. Królikowski, sformułowaliśmy pogląd, który następnie znalazł pełną aprobatę w komunikacie nr 35 Generalnego Inspektora Informacji Finansowej, zgodnie z którym procedura grupowa powinna zostać wdrożona i obejmować jedynie te spółki z grupy, które jednocześnie spełniają kryterium posiadania przymiotu instytucji obowiązanej. Jeżeli zatem w ramach grupy występuje np. dziesięć spółek, z czego jedynie dwie spółki są instytucjami obowiązanymi, wówczas procedura grupowa musi zostać obowiązkowo wdrożona, jednak jest stosowana i obejmuje jedynie te dwie spółki. W ten sposób ograniczamy nadmierny formalizm, który mógłby być konsekwencją przyjęcia wykładni rozszerzającej, co powodowałoby, że podmioty niemające żadnych obowiązków na gruncie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu musiałyby wdrażać i stosować procedurę wynikającą z przepisów ustawy AML.

Procedura grupowa powinna objąć nie tylko same spółki wchodzące w skład grupy będące instytucjami obowiązanymi, ale także oddziały tych spółek mające siedzibę w państwie trzecim (a więc poza Unią Europejską), a także jednostki zależne z większościowym udziałem tych instytucji mające siedzibę w państwie trzecim, które nie prowadzą działalności odpowiadającej działalności podmiotów zobowiązanych zdefiniowanych w przepisach UE.

Należy pamiętać, że podobnie jak w przypadku procedury AML w ramach instytucji obowiązanej, obowiązek posiadania procedury grupowanej został zabezpieczony sankcją. Zgodnie z art. 147 pkt 8 ustawy AML instytucja obowiązana, która nie dopełnia obowiązku wprowadzenia procedury grupowej, podlega karze administracyjnej. Kara taka będzie mogła zostać nałożona na każdą z instytucji obowiązanych wchodzących w skład grupy, która powinna posiadać procedurę grupową. Kary administracyjne nakładane na gruncie ustawy AML mogą być bardzo dotkliwe i polegać m.in. na nałożeniu administracyjnej kary pieniężnej w wysokości nawet do 5 000 000 euro, a nawet na cofnięciu koncesji lub zezwolenia albo wykreśleniu z rejestru działalności regulowanej.

Co powinna zawierać procedura grupowa?

Prof. Michał Królikowski:

Arkadiusz Górski:

Odmiennie niż w przypadku procedury AML w instytucji obowiązanej, ustawodawca odstąpił od szczegółowego uregulowania materii, którą powinna objąć procedura grupowa. W art. 51 ust. 2 ustawy AML wskazano jedynie ogólnie, że procedura grupowa powinna określać zasady wymiany i ochrony informacji przekazywanych na potrzeby wykonywania obowiązków z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu pomiędzy poszczególnymi podmiotami wchodzącymi w skład grupy (objętymi obowiązkiem wdrożenia i stosowania procedury grupowej). Procedura grupowa powinna zatem przewidywać zakres oraz kanały wymiany informacji w grupie oraz szczegółowe rozwiązania w zakresie ochrony informacji przekazywanych, tj. w szczególności wyznaczać jednostki i osoby odpowiedzialne za przekazywanie informacji w ramach grupy oraz procedury w zakresie reagowania na ewentualne wycieki informacji.

Ustawowy katalog elementów objętych procedurą grupową nie ma charakteru wyłącznego. Innymi słowy, ogólny opis zakresu przedmiotowego procedury grupowej umożliwia instytucjom obowiązanym dostosowanie treści procedury grupowej do potrzeb oraz możliwości współpracy w grupie. Za wskazane należy w naszej ocenie uznać wyposażenie procedury grupowej w dodatkowe elementy względem zakresu wskazanego w art. 51 ust. 2 ustawy AML, umożliwiające lepsze wypełnianie oraz kontrolę wypełniania obowiązków przez poszczególnych członków grupy. W komunikacie nr 35 Generalnego Inspektora Informacji Finansowej wskazano, że w ocenie organu w procedurze grupowej powinny znaleźć się także postanowienia dotyczące:

•

tworzenia wewnętrznych polityk i procedur, które zapewnią wysokie standardy zatrudniania pracowników w podmiotach w ramach grupy,

•

stałego programu szkolenia pracowników,

•

powołania niezależnego audytu w grupie, który pozwoli na testowanie poszczególnych elementów systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu funkcjonujących w podmiotach wchodzących w skład grupy.

Rekomendujemy przy tym, aby procedura grupowa stanowiła osobny dokument względem wewnętrznych procedur poszczególnych podmiotów w ramach grupy, co zapewnia czytelność i przejrzystość procedury.

W jakich sytuacjach ustawa dopuszcza outsourcowanie obowiązków AML i kiedy będzie to użyteczne?

Prof. Michał Królikowski:

Arkadiusz Górski:

Podstawą powierzenia stosowania środków bezpieczeństwa finansowego jest art. 48 ust. 1 ustawy AML. Powierzenie może dotyczyć wszystkich ustawowo określonych środków bezpieczeństwa finansowego, a więc również może objąć bieżące monitorowanie stosunków gospodarczych z klientem. Ustawa wskazuje, że outsourcing stosowania środków bezpieczeństwa finansowego może nastąpić do osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej – w tym zakresie brak jest wymogu, aby podmiot, do którego następuje powierzenie, spełniał dodatkowe, szczególne wymagania. Należy przy tym pamiętać, że powierzenie stosowania środków bezpieczeństwa finansowego nie zwalnia w żadnym wypadku instytucji obowiązanej z odpowiedzialności za zastosowanie środków bezpieczeństwa finansowego w sposób prawidłowy. Zawarcie umowy outsourcingu będzie użyteczne szczególnie wówczas, gdy instytucja obowiązana sama nie posiada odpowiednich zasobów wewnętrznych i organizacyjnych, aby w pełni zabezpieczyć prawidłowość realizowanych obowiązków. Outsourcing w tym zakresie zapewni profesjonalizację realizacji obowiązków i z pewnością zwiększy ich efektywność. Umowa outsourcingu może być rozpatrywana również w ramach grupy kapitałowej, kiedy liczba instytucji obowiązanych jest znaczna, a instytucje te mają z różnych względów charakter spółek celowych, bez rozbudowanej struktury wewnętrznej, co powodowałoby, że same będą miały znaczną trudność w realizacji ciążących obowiązków.

Jakie są wymogi i warunki realizacji obowiązków AML w ramach outsourcingu?

Prof. Michał Królikowski:

Arkadiusz Górski:

W zakresie outsourcingu stosowania środków bezpieczeństwa finansowego ustawodawca zasadniczo wskazuje na dwa wymogi. Po pierwsze, powierzenie stosowania środków bezpieczeństwa finansowego może odbywać się tylko na podstawie pisemnej umowy. Po drugie, podmiot, do którego następuje powierzenie, musi działać w imieniu i na rzecz instytucji obowiązanej oraz ma być traktowany jako część tej instytucji. Wątpliwości interpretacyjne może budzić w szczególności to ostatnie sformułowanie. Zagadnienie to staramy się szerzej omówić w Komentarzu do ustawy AML autorstwa zespołu KMD Legal, w tym miejscu należy jedynie zasygnalizować, że dla spełnienia tego kryterium należy w taki sposób skonstruować relację z podmiotem, do którego następuje powierzenie, aby z perspektywy zewnętrznego odbiorcy nie było wątpliwości, że podmiotem odpowiedzialnym za prawidłową realizację obowiązków AML jest w dalszym ciągu instytucja obowiązana.

Umowa outsourcingu zawarta na gruncie art. 48 ust. 1 ustawy AML nie jest jedyną sytuacją uregulowaną ustawowo, kiedy możliwe jest korzystanie z pomocy podmiotów zewnętrznych przy realizacji obowiązków AML. W tym zakresie należy wskazać na art. 47 ust. 1 ustawy AML, który umożliwia korzystanie z usług podmiotów trzecich przy stosowaniu środków bezpieczeństwa finansowego, o których mowa w art. 34 ust. 1 pkt 1–3 ustawy AML (a więc z wyłączeniem bieżącego monitorowania stosunków gospodarczych). W tym jednak przypadku podmiot, z usług którego instytucja obowiązana zamierza skorzystać, musi mieć status instytucji obowiązanej na gruncie ustawy AML lub na gruncie właściwych przepisów krajowych. Ponadto, podmiot świadczący w tym zakresie usługi musi zapewnić niezwłoczność przekazywania na żądanie instytucji obowiązanej niezbędnych informacji oraz dokumentów dotyczących zastosowanych środków bezpieczeństwa finansowego.

Instytucje obowiązane mogą również opierać się na zastosowanych środkach bezpieczeństwa finansowego, o których mowa w art. 34 ust. 1 pkt 1–3 ustawy AML (a więc ponownie z wyłączeniem bieżącego monitorowania stosunków gospodarczych) przez inne instytucje obowiązane wchodzące w skład tej samej grupy. W tym wypadku jednak chodzi o korzystanie ze środków już zastosowanych przez instytucję obowiązaną wchodzącą w skład grupy, a nie świadczenie usługi w tym zakresie, czy też wyręczanie spółek wchodzących w skład grupy przez jeden podmiot. Tu również aktualny pozostaje wymóg zapewnienia niezwłoczności przekazywanych dokumentów i informacji, jak również brak przeniesienia odpowiedzialności za prawidłowość zastosowania środków bezpieczeństwa finansowego.

Czy spółka powinna ustalić własne zasady oceny ryzyka w kontekście regulacji AML?

Danuta Pajewska:

Ocena ryzyka w zakresie prania pieniędzy oraz finansowania terroryzmu jest podstawowym, obowiązkowym dokumentem będącym częścią wewnętrznej procedury AML (celowe i praktyczne jest, aby był to załącznik do procedury). Celem oceny jest identyfikacja ryzyk oraz przypisanie im odpowiednich środków bezpieczeństwa finansowego, które powinny być zastosowane. W zależności od przedmiotu i zakresu działalności oraz rodzaju klientów instytucji obowiązanej oceny ryzyk mogą znacznie się od siebie różnić.

Ocena musi zawierać kryteria pozwalające dokonać analizy klienta z różnych perspektyw. Ocena powinna być sporządzona w sposób przejrzysty, tak aby była pomocnym narzędziem dla pracowników odpowiedzialnych za wykonywanie obowiązków w zakresie AML. Aby taki efekt osiągnąć, warto przygotować ocenę w formie tabeli zawierającej opis kryterium i przypisane mu ryzyko: niskie, średnie lub wysokie. Przypisane w tabeli ryzyko powinno być obowiązkowe, chyba że w indywidualnym przypadku po dokonaniu dodatkowej analizy instytucja obowiązana uzna, że danemu klientowi może być przyznana inna kategoria ryzyka.

Instytucja powinna stosować wobec klientów środki dostosowane do przypisanej im kategorii ryzyka:

• ryzyko niskie – uproszczone środki bezpieczeństwa finansowego polegające na przeprowadzeniu wyłącznie identyfikacji klienta,

• ryzyko średnie – wzmożone środki bezpieczeństwa finansowego polegające na przeprowadzeniu identyfikacji, weryfikacji i monitorowaniu zarówno klienta, jak i beneficjenta rzeczywistego,

• ryzyko wysokie – wzmożone środki bezpieczeństwa finansowego polegające na przeprowadzeniu identyfikacji, weryfikacji, monitorowaniu rzeczywistego oraz weryfikacji pochodzenia wartości majątkowych zarówno klienta, jak i beneficjenta.

Jeśli podczas oceny klienta nawet tylko do jednego kryterium zostanie przypisane wysokie ryzyko, to bez względu na ocenę pozostałych kryteriów celowe jest przyznanie klientowi kategorii wysokiego ryzyka.

Co może być pomocne w przygotowaniu takiej oceny ryzyka?

Danuta Pajewska:

Sporządzając ocenę ryzyka, należy wziąć pod uwagę krajową ocenę ryzyka opublikowaną przez Ministerstwo Finansów i ponadnarodowe sprawozdanie z oceny ryzyka Komisji Europejskiej, które wskazują istotne poziomy ryzyka prania pieniędzy w przypadku poszczególnych sektorów działalności gospodarczej, obszarów prowadzenia działalności czy też kanałów dostaw i form komunikacji. Przy sporządzaniu oceny należy wziąć także pod uwagę przepisy ustawy AML, opisujące przypadki, które mogą wskazywać na niższe ryzyko prania pieniędzy oraz finansowania terroryzmu (art. 42), z czym wiąże się możliwość zastosowania uproszczonych środków bezpieczeństwa, oraz przypadki, które mogą wskazywać na wyższe ryzyko (art. 43), co wymaga zastosowania wzmożonych środków bezpieczeństwa.

Forma prawna może być istotnym czynnikiem ryzyka, ponieważ niektóre formy organizacyjne podmiotów z uwagi na sposób pozyskiwania środków mogą być wykorzystywane do prania pieniędzy. Wskazuje na to także ustawa AML, przypisując wyższe ryzyko m.in. klientom:

• których działalność służy przechowywaniu aktywów osobistych,

• będących spółkami, których akcje są na okaziciela i nie są dopuszczone do publicznego obrotu,

• będących spółkami, w których prawa z akcji lub udziałów wykonują osoby inne niż akcjonariusze lub udziałowcy.

O wyższym ryzyku może świadczyć także nietypowa lub nadmiernie złożona, w stosunku do rodzaju i zakresu prowadzonej działalności, struktura własnościowa.

W stosunku do firm z sektora finansowego (w tym prowadzących działalność w zakresie transferu pieniędzy i wartości pieniądza elektronicznego, prowadzenia platform finansowania społecznościowego, walut wirtualnych), sektora gier hazardowych, z którymi związane jest wyższe ryzyko, powinny być stosowane podwyższone środki bezpieczeństwa finansowego.

Wśród kryteriów wskazujących na podwyższone ryzyko jest także powiązanie stosunków gospodarczych klienta z państwem trzecim wysokiego ryzyka czy też z państwem, na które nałożone zostały sankcje międzynarodowe. Wyższe ryzyko dotyczy także obrotu ropą naftową, bronią, metalami szlachetnymi czy wyrobami tytoniowymi, a także transakcji dotyczących nowych produktów lub usług przy wykorzystaniu nowych kanałów dystrybucji lub nowych rozwiązań technologicznych. Sporządzając ocenę ryzyk, instytucja powinna przyjąć te kryteria, które dotyczą lub mogą dotyczyć aktualnych lub potencjalnych klientów. Ponieważ ustawa AML wymaga, aby w procedurze zostały opisane zasady rozpoznawania i oceny ryzyka, to należałoby tabelę stanowiącą podstawę do oceny (załącznik do procedury) poprzedzić opisem uzasadniającym, dlaczego zostały wybrane określone kryteria.