Aż 3 nowe komunikaty GIIF dotyczące stosowania AML

GIIF zasypał nas ostatnio komunikatami dotyczącymi AML, a konkretnie jednego dnia (14.01.2022 r.) opublikował 3 z nich. Poniżej nasze subiektywne streszczenie i spostrzeżenia dotyczące treści komunikatów pod kątem działalności firm faktoringowych i ich obowiązków wynikających z regulacji przeciwdziałania praniu pieniędzy (AML).

# Komunikat nr 35 – w sprawie ogólnogrupowych procedur w zakresie AML/CFT oraz korzystania z usług podmiotów trzecich przy stosowaniu środków bezpieczeństwa finansowego.

W tym komunikacie GIIF reaguje na wątpliwości z obszaru AML/CFT wewnątrz instytucji obowiązanych, będących członkami grupy kapitałowej oraz z korzystaniem usług podmiotów trzecich. Co naszym zdaniem istotne:

1. Obowiązek objęcia procedurą grupową, o której mowa w art. 51 ust 1 ustawy AML obejmuje tylko sytuacje gdy w skład grupy wchodzą co najmniej 2  podmioty podlegające obowiązkom z obszaru AML/CFT. To stanowisko neguje pogląd ostrożnościowy jakoby procedura grupowa miały być objęte wszystkie podmioty należące do grupy, niezależnie od tego jaki mają status z perspektywy przepisów AML/CFT.
2. GIIF, idąc za wskazaniami Noty wyjaśniającej do Rekomendacji 19  FATF uznaje, że w procedurze grupowej powinny znaleźć się także postanowienia dotyczące: (i) tworzenia wewnętrznych polityk i procedur, które zapewnią wysokie standardy zatrudniania pracowników, (ii) stałego programu szkolenia pracowników, (iii) powołania niezależnego audytu w grupie, który pozwoli na testowanie poszczególnych elementów systemu AML podmiotów w grupie.

3. Instytucje obowiązane, które korzystają przy stosowaniu środków bezp.  finansowego z usług podmiotów trzecich muszą stale monitorować zmiany na listach państw wysokiego ryzyka prowadzonych przez FATF i KE.
4. Umowa z podmiotem trzecim powinna zawierać mechanizmy które (i) będą w sposób właściwy chroniły przetwarzanie danych osobowych, które są przekazywane oraz, (ii) umożliwią zapewnienie niezwłoczności przekazywania danych w sytuacji, gdy podstawowa droga komunikacji pomiędzy instytucją obowiązaną i podmiotem trzecim ulegnie awarii oraz, (iii) zabezpieczą kanał komunikacji przed atakiem hakerskim.
5. Instytucja obowiązana, która będzie chciała korzystać z takich usług będzie musiała samodzielnie dokonać oceny ekwiwalentności (lista państw trzecich innych niż państwo członkowskie UE o ekwiwalentnym do UE systemie AML); Może jednak korzystać pomocniczo z raportów przygotowywanych przez FATF i organizacje powiązane, które dokonują oceny systemów nadzorczych AML obowiązujących w poszczególnych krajach.

# Komunikat nr 36 – w sprawie oceny ryzyka instytucji obowiązanej

1. GIIF zwrócił uwagę na relacje pomiędzy ocenami ryzyka stwierdzając, że ogólna ocena ryzyka wpływa na indywidualną ocenę ryzyka i na odwrót. IO podczas rozpoznawania i oceny ryzyka związanego z konkretnym stosunkiem gospodarczym lub z transakcją okazjonalną powinny wykorzystywać informacje i wnioski wynikające z ogólnej oceny ryzyka. Wnioski wynikające z przeprowadzania indywidualnych ocen ryzyka powinny wpływać na bieżące aktualizacje ogólnej oceny ryzyka.
2. Dobre praktyki (Stanowisko UKNF dotyczące oceny ryzyka instytucji obowiązanej z dnia 15.04.2020 r.) pomimo adresowania do instytucji obowiązanych podlegających nadzorowi KNF (np. banków) można odnieść do wszystkich IO, proporcjonalne do ich charakteru i wielkości, z dostosowaniem wynikających z niego wniosków do zakresu i charakteru prowadzonej działalności gospodarczej.
3. GIIF przestrzegł, iż stosowanie wzorów ogólnych ocen ryzyka (przykładowo dostępnych w źródłach otwartych) bez dokładnego dostosowania ich do konkretnego i indywidualnego charakteru i zakresu działalności naraża instytucję obowiązaną na zarzut niedopełnienia obowiązku ustawowego. Warto podkreślić, iż w przypadku instytucji obowiązanych prowadzących działalność nawet w zbliżonym zakresie możliwe jest zidentyfikowanie całkowicie odmiennych ryzyk związanych z praniem pieniędzy i finansowaniem terroryzmu. W Komunikacie GIIF posłużył się przykładem IO nawiązującej relacje podczas bezpośredniego spotkania z klientem oraz zdalnie (wirtualne biuro).

# Komunikat nr 37 w sprawie zasad odnotowywania rozbieżności między informacjami zgromadzonymi w CRBR a ustalonymi przez instytucję obowiązaną informacjami o beneficjencie rzeczywistym klienta

Temat bardzo pożądany i na czasie, wszakże związany z jesienną nowelizacją AML, która napsuła krwi wielu compliance oficerom.

1. GIIF uznaje, iż z punktu widzenia obowiązków nałożonych na instytucję obowiązaną błędne byłoby poleganie wyłącznie na informacjach pochodzących z CRBR. Upraszczając, wygląda na to że GIIF próbuje po prostu przekazać, iż IO:
2. Powinna weryfikować wpisy w CRBR;
3. Powinna weryfikować dokumenty będące podstawą wpisów w CRBR (umowa spółki, lista wspólników, odpis z KRS, odpis z zagranicznego odpowiednika KRS);
4. Proces odnotowywania rozbieżności oraz przekazywania informacji organowi właściwemu w kontekście wypełniania obowiązków związanych ze stosowaniem środków bezpieczeństwa finansowego ( 61a ust. 1 ustawy AML) – GIIF wskazał i krótko opisał pełen cykl czynności (zastosowanie środka-> identyfikacja -> struktura własności i kontroli -> ustalenie i odnotowanie rozbieżności -> podjęcie czynności w celu wyjaśnienia przyczyn rozbieżności -> potwierdzenie odnotowanych rozbieżności -> sporządzenie uzasadnienia -> przekazanie organowi zweryfikowane zgłoszenia z uzasadnieniem).
5. Podjęcie czynności w celu wyjaśnienia przyczyn rozbieżności GIIF rozumie dość szeroko (przykładowo: skontaktować się z klientem, wyjaśnić sposób ustalenia beneficjenta rzeczywistego przez klienta, wyjaśnić sposób ustalenia struktury własności i kontroli przez klienta, wyjaśnić czy sposób ustalenia beneficjenta rzeczywistego oraz struktury własności i kontroli klienta przez instytucję obowiązaną był prawidłowy, wyjaśnić z jakiego powodu klient uznał daną osobę za beneficjenta rzeczywistego, zebrać nowe informacje i dokumenty);
6. Jeszcze szerzej GIIF rozumie uzasadnienie rozbieżności, tutaj można mieć wrażenie, że GIIF po prostu chce otrzymać „na tacy” gotowca.
7. Definicja beneficjenta rzeczywistego ma charakter otwarty, a wyliczenie przykładowy. GIIF zwraca uwagę na konieczność ustalenia fiz. sprawującej bezpośrednio lub pośrednio kontrolę nad klientem poprzez posiadane uprawnienia, które wynikają z okoliczności prawnych lub faktycznych, umożliwiające wywieranie decydującego wpływu na czynności lub działania podejmowane przez spółkę. Oznacza to wejście w trudną sferę prawną ustaleń, która wymaga dużej wiedzy, dociekliwości i doświadczenia, np.: ustalenie uprawnień udziałowych, praw z opcji; ustalenie uprawnień osobistych; weryfikacja czy zawarto umowy o zarządzanie; próby ustalenia czy nie mamy do czynienia z umową powiernictwa (w przypadku chęci ukrycia BR).
8. Dla przykładu GIIF wskazuje, że brak uwzględnienia uprawnień udziałowych wspólnika w konkretnym przypadku może powodować brak ustalenia jednego z BR co będzie równoznaczne z nieprawidłowym zastosowaniem środka bezpieczeństwa finansowego.  Czyli… IO musi sięgać po ocenę uprzywilejowania udziałowego wspólników. Tutaj czasami nie obejdzie się bez prawnika / compliance officer’a.
9. Co ciekawe, zdaniem GIIF, z racji sankcji grzywny do 1.000.000 zł (art. 153 ust. 1 ustawy AML) IO powinny zakładać że… klienci w sposób rzetelny podeszli do kwestii ustalania BR i nie powinny z góry zakładać, iż klienci popełnili błędy przy zgłaszaniu informacji o BR do CRBR 😊. Wszelkie niejasności powinny zostać usunięte w związku z zastosowaniem środków bezpieczeństwa finansowego.
10. GIIF poruszył również kwestię rozbieżności faktycznych a rozbieżności pozornych (art. 61a ust. 1 ustawy AML). W ocenie GIIF, wprowadzane przepisy mają na celu zapewnienie po stronie IO minimalnego poziomu zaangażowania w wyjaśnienie ustalonych rozbieżności, co ma za zadanie odseparowanie przypadków rozbieżności faktycznych, wynikających z występowania w CRBR danych nieprawidłowych, od rozbieżności pozornych. Rozbieżność pozorna wystąpić może na przykład w sytuacji dokonania prawidłowego wpisu do CRBR, wskazującego na zmianę właściciela osoby prawnej, w sytuacji gdy zmiana taka nie została jeszcze odnotowana w KRS.
11. Brak zgłoszenia informacji o BR w CRBR jest traktowany jako rozbieżność (w ocenie GIIF równa się to deklaracji, że dana osoba fizyczna nie jest BR podmiotu zobowiązanego do zgłoszenia informacji do CRBR).
12. Odnotowywanie rozbieżności nie polega wyłącznie na prostym i mechanicznym porównywaniu informacji zgromadzonych w CRBR z odpisem z KRS klienta. Biorąc pod uwagę czas potrzebny na ujawnienie informacji w odpisie z KRS oraz potencjalnie występujące braki lub omyłki w odpisie KRS klienta (przykładowo brak wpisu kwoty udziałów klienta, wpisane błędne imię, oczywiste literówki) instytucja obowiązana powinna dokonać weryfikacji innych dokumentów – przykładowo umowy spółki lub umowy przeniesienia własności udziałów spółki.
13. Ewentualne informacje o wątpliwościach dotyczących osób dokonujących zgłoszenia do CRBR nie są objęte obowiązkiem, o którym mowa w art. 61a ustawy AML. Zidentyfikowanie takich wątpliwości powinno jednak zostać uwzględnione w ramach stosowania środków bezpieczeństwa finansowego. Czyli… nie trzeba notyfikować że naszym zdaniem niewłaściwa osoba dokonała zgłoszenia do CRBR, ale trzeba zidentyfikować tą wątpliwość.
14. GIIF stoi na stanowisku, że niepożądane jest działanie IO polegające na przekazywaniu GIIF informacji (i) o omyłkach pisarskich w CRBR, (ii) o nieścisłościach w odpisie KRS klienta (przykładowo nieistotny błąd w wartości udziałów klienta), (iii) o braku zgłoszenia informacji w CRBR przez podmioty niezobowiązane do takich zgłoszeń (przykładowo stowarzyszenie zwykłe), (iv) o informacji o nieścisłościach niemających wpływu na ustalenie BR (przykładowo brak wpisania drugiego imienia beneficjenta) (v) niezweryfikowanej informacji o rozbieżnościach, bądź też bez uzasadnienia, lub ze „zdawkowym uzasadnieniem”. Czyli GIIF, raczej liczy na konkretne „gotowce”.
15. Ustalenie różnic pomiędzy informacjami zgromadzonymi w CRBR a informacjami w odpisie z KRS klienta nie jest przesłanką, która w każdej sytuacji będzie wiązała się z obowiązkiem zastosowania art. 41 ustawy AML. W sytuacji gdy nie jest możliwe zastosowanie środka bezpieczeństwa finansowego polegającego na identyfikacji beneficjenta rzeczywistego, weryfikacji jego tożsamości oraz ustaleniu struktury własności i kontroli klienta, to IO nie nawiązuje stosunków gospodarczych / nie przeprowadza transakcji / rozwiązuje stosunki gospodarcze.
16. GIIF przestrzega również, iż naruszenie obowiązków związanych z ustaleniem, odnotowywanie rozbieżności i podejmowaniem czynności weryfikacji, uzasadnienia i zgłaszania, może świadczyć o nieprawidłowym stosowaniu środka bezpieczeństwa finansowego, o którym mowa w art. 34 ust. 1 pkt 2 ustawy AML. Uzyskanie przez GIIF o wystąpieniu tego typu przypadków wiązać się może z podjęciem wobec instytucji obowiązanej działań kontrolnych.