Zasady i procedury AML: kompletny przewodnik zgodności

Zasady i procedury AML: kompletny przewodnik zgodności

Banki nie są jedynymi, które muszą martwić się praniem pieniędzy. Giełdy kryptowalut, firmy przetwarzające płatności, sklepy internetowe – jeśli Twoja firma przekazuje pieniądze, jakiś regulator w końcu zapyta, jak zapobiegasz przepływowi nielegalnych środków. Twoja odpowiedź musi być na piśmie. To Twoja polityka AML, a jeśli zasady i procedury AML są nieodpowiednie, grożą Ci grzywny, zamrożone konta i zepsuta reputacja, która przetrwa każde naruszenie, które je spowodowało.

Co właściwie zawiera każdy z tych dokumentów? Ten przewodnik wyjaśnia, co zawiera polityka AML, dlaczego organy regulacyjne jej wymagają i jak stworzyć ramy, które przetrwają audyt. Nie ma znaczenia, czy prowadzisz bank, startup fintech, czy firmę zajmującą się płatnościami kryptowalutowymi – logika jest taka sama.

Czym są zasady i procedury AML?

Polityka AML to spisany zbiór zasad obowiązujących w organizacji, który ma na celu wykrywanie, powstrzymywanie i zgłaszanie przypadków prania pieniędzy i finansowania terroryzmu. Pomyśl o tym jak o „co” i „dlaczego” – o skłonności do ryzyka, o tym, które typy klientów są odrzucane, o tym, kto w zespole jest za co odpowiedzialny. Cała ta dyscyplina nosi nazwę przeciwdziałania praniu pieniędzy, czyli AML, a organy regulacyjne używają tego terminu jako skrótu dla praktycznie wszelkich mechanizmów kontroli mających na celu niedopuszczenie do przedostania się brudnych pieniędzy do systemu finansowego.

Procedury obejmują „jak”. Transakcja zostaje w jakiś sposób oznaczona. Ktoś ją weryfikuje. Raport o podejrzanej aktywności zostaje złożony zgodnie z określoną procedurą. Zasady i procedury razem stanowią część tego, co zwykle nazywa się programem zgodności z przepisami AML, który obejmuje również szkolenia, technologię i niezależne audyty.

Ludzie ciągle mylą te terminy, ale regulatorzy tego nie robią. Polityka bez procedur jest zasadniczo niewykonalna. Procedury bez żadnych procedur nie mają żadnego uzasadnienia prawnego.

Oto dlaczego to rozróżnienie jest tak istotne na co dzień: egzaminator nie tylko sprawdzi, czy dokument polisy znajduje się gdzieś w szufladzie. Wyciągnie rzeczywiste transakcje i prześledzi je w ramach procedur, sprawdzając, czy dokumenty zgadzają się z tym, co faktycznie się wydarzyło. Wiele polis wygląda pięknie na papierze, ale zawodzi, gdy ktoś porówna je z rzeczywistymi dokumentami – to jedna z najczęstszych luk, jakie audytorzy znajdowali w małych i średnich firmach.

Dlaczego każda firma potrzebuje polityki AML

Nie mówimy tu o jakiejś marginalnej przestępczości. ONZ szacuje, że każdego roku prane jest od 2 do 5% globalnego PKB, a w samym 2023 roku przez światową gospodarkę przepłynęło ponad 3 biliony dolarów nielegalnych pieniędzy. Każda firma, która nie kontroluje tego przepływu, świadomie lub nie, staje się częścią tego procederu.

Organy regulacyjne zdają sobie z tego sprawę, dlatego instytucje finansowe, firmy świadczące usługi finansowe, a teraz także firmy kryptowalutowe, muszą przestrzegać przepisów AML. Kary wahają się od grzywien aż po całkowitą utratę licencji. Ryzyko prawne to tak naprawdę mniejsza połowa problemu – skandal związany z praniem pieniędzy pozostaje w pamięci klientów i partnerów przez lata.

Audytorzy i organy regulacyjne proszą przede wszystkim o udokumentowaną politykę. Brak polityki oznacza brak możliwości udowodnienia dobrej woli, nawet jeśli to, co robisz na co dzień, jest całkowicie rozsądne.

Wystarczy spojrzeć na historię egzekwowania prawa. Organy regulacyjne na całym świecie nakładają wielomilionowe grzywny za zaniedbania w programach AML, a samo pranie pieniędzy często nie zostało nawet udowodnione — grzywna wynikała z luk w polityce, szkoleniach lub monitorowaniu, które uniemożliwiały wykazanie działań zapobiegawczych. Dobrze opracowana polityka kosztuje znacznie mniej niż tego rodzaju ujawnienie.

Zasady i procedury AML: kompletny przewodnik zgodności

Kluczowe przepisy i regulacje dotyczące przeciwdziałania praniu pieniędzy, które musisz znać

Wymagania dotyczące przeciwdziałania praniu pieniędzy różnią się w zależności od jurysdykcji, ale niemal każda polityka tworzona obecnie opiera się na kilku ramach. Ich zrozumienie to najszybszy sposób, aby dowiedzieć się, co musi obejmować Twój dokument.

Regulacja Region Wymagania podstawowe
Ustawa o tajemnicy bankowej (BSA) Stany Zjednoczone Wymaga prowadzenia dokumentacji, zgłaszania podejrzanych transakcji i pisemnego programu AML
Ustawa USA PATRIOT, sekcja 352 Stany Zjednoczone Nakazuje cztery filary: inspektora zgodności, szkolenia, testowanie i kontrolę wewnętrzną
Dyrektywy UE w sprawie przeciwdziałania praniu pieniędzy (AMLD) Unia Europejska Ujednolica zasady należytej staranności wobec klienta, rzeczywistego właściciela i raportowania w państwach członkowskich
Zalecenia FATF Światowy Ustanawia międzynarodowy standard, wokół którego tworzone są krajowe przepisy dotyczące przeciwdziałania praniu pieniędzy

Żadne z tych ram nie jest opcjonalnym dodatkiem. Stanowią one punkt odniesienia, a polityka, która ignoruje tę istotną dla danego regionu, nie przejdzie pierwszej kontroli regulacyjnej. W szczególności Grupa Specjalna ds. Przeciwdziałania Praniu Pieniędzy (FATF) wyznacza standardy, na których wzorowana jest większość krajowych przepisów dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Dlatego sformułowania FATF pojawiają się w politykach tworzonych w odległych od siebie miejscach.

Podstawowe elementy, które musi zawierać każda polityka AML

Sekcja 352 ustawy USA PATRIOT Act określa cztery obowiązkowe filary pisemnego programu zgodności z przepisami AML, a większość globalnych ram prawnych ściśle je odzwierciedla. Każda polityka, w której brakuje jednego z nich, jest niekompletna w świetle standardów regulacyjnych:

  • Wyznaczony inspektor ds. zgodności odpowiedzialny za codzienny nadzór nad przeciwdziałaniem praniu pieniędzy i sprawozdawczość regulacyjną
  • Ciągłe szkolenia pracowników obejmujące sygnały ostrzegawcze, obowiązki sprawozdawcze i aktualizacje przepisów
  • Niezależne testy lub audyty mające na celu potwierdzenie, że program działa zgodnie z założeniami, a nie tylko zgodnie z projektem
  • Pisemne zasady, procedury i kontrole wewnętrzne obejmujące rejestrację klientów poprzez monitorowanie transakcji

Nowoczesne polityki AML zazwyczaj dodają dwa dodatkowe elementy do czterech filarów: udokumentowaną ocenę ryzyka AML oraz proces weryfikacji sankcji. Organy regulacyjne coraz częściej traktują oba elementy jako oczekiwane, nawet jeśli prawo ich wyraźnie nie precyzuje.

Częstym błędem jest traktowanie tych komponentów jako listy kontrolnej do jednorazowego spełnienia, a nie jako żywego systemu. Na przykład stanowisko inspektora ds. zgodności wymaga realnych uprawnień i budżetu. Tytuł bez jednego i drugiego nie utrzyma się, jeśli organy regulacyjne zapytają, kto faktycznie ma prawo zamrozić podejrzane konto. Szkolenie, które odbywa się jednorazowo podczas wdrażania i nigdy więcej się nie powtarza, szybko traci na znaczeniu w obliczu nowych typologii i zaktualizowanych przepisów.

Należyta staranność wobec klienta i procedury oparte na ryzyku

Należyta staranność klienta, czyli CDD, oznacza po prostu ustalenie, z kim tak naprawdę prowadzisz interesy, zarówno podczas rejestracji, jak i później. Oznacza to potwierdzenie tożsamości, zrozumienie, co tak naprawdę robi klient, i zwracanie uwagi na wszystko, co wydaje się podejrzane. Ocena ryzyka AML podpowiada, gdzie warto włożyć dodatkowy wysiłek – które konta wymagają dwuminutowej kontroli, a które zasługują na prawdziwą kontrolę.

Ryzyko nie rozkłada się równomiernie na klientów, a to właśnie jest sednem podejścia opartego na ryzyku. Osoby o eksponowanym stanowisku politycznym, klienci z jurysdykcji wysokiego ryzyka, konta, na których pieniądze przelewają się w nietypowy sposób – wszystkie te sytuacje wymagają wzmożonej staranności. Dokładniejszej weryfikacji przeszłości. Częstszego monitorowania. Zatwierdzenia od osoby z wyższego szczebla przed przeniesieniem konta. Pominięcie osoby o eksponowanym stanowisku politycznym szybko przyciągnie uwagę organów regulacyjnych, więc nie łącz tej weryfikacji z ogólnym procesem wdrażania – poświęć jej osobny, dedykowany etap.

Następnie następuje weryfikacja pod kątem sankcji, sprawdzanie nowych klientów (i, szczerze mówiąc, również transakcji) na listach rządowych, takich jak OFAC, zanim pieniądze zostaną gdziekolwiek przelane. Pomiń to, a popełnisz jeden z najkosztowniejszych błędów, jakie może spowodować polityka AML.

Nic z tego nie kończy się po wdrożeniu. Klient, który pierwszego dnia wyglądał na całkowicie bezpiecznego, może takim nie pozostać – większe wolumeny transakcji, nowi kontrahenci w ryzykownych miejscach, aktywność, która przestaje odpowiadać temu, co deklarowali w swojej firmie. Dobre zasady oparte na ryzyku polegają na regularnym sprawdzaniu ocen klientów, zamiast traktować pierwszą kontrolę jako jednorazową.

Krok po kroku: Tworzenie ram polityki AML

Napisanie polityki AML od zera jest łatwiejsze, gdy stosuje się ustaloną sekwencję. Oto kolejność, która pozwala uzyskać dokument możliwy do obrony i audytu:

  1. Przeprowadź ocenę ryzyka — określ, które produkty, klienci i obszary geograficzne narażają Cię na najwyższe ryzyko prania pieniędzy.
  2. Wyznacz specjalistę ds. zgodności lub MLRO — osobę posiadającą uprawnienia i zasoby niezbędne do codziennego zarządzania programem.
  3. Określ zakres polityki i tolerancję ryzyka — jasno określ, jakie typy klientów i jakie działania są akceptowalne, ograniczone lub zabronione.
  4. Ustaw wyzwalacze CDD i wzmożonej należytej staranności — określ dokładnie, kiedy standardowe kontrole przechodzą w fazę bardziej szczegółowego przeglądu.
  5. Twórz reguły monitorowania transakcji — definiuj progi i wzorce, które wyzwalają wewnętrzne alerty.
  6. Ustanowić procedurę zgłaszania podejrzanych działań (SAR) — udokumentować, kto przegląda alerty i w jaki sposób zgłoszenia są przesyłane do organów regulacyjnych.
  7. Przeszkol cały odpowiedni personel — nie tylko zespoły ds. zgodności, ale także wszystkie osoby mające kontakt z klientami lub przeprowadzające transakcje.
  8. Zaplanuj niezależne audyty — zaplanuj cykliczny przegląd przed wejściem polityki w życie, a nie dopiero po tym, jak poprosi o to organ regulacyjny.

Przestrzeganie tej kolejności pozwala uniknąć częstego błędu: opracowywania szczegółowych procedur przed przeprowadzeniem oceny ryzyka. Pominięcie tego kroku zazwyczaj kończy się przepisaniem połowy dokumentu.

Większość firm może opracować roboczy projekt tych ram w ciągu czterech do sześciu tygodni, choć harmonogram w dużej mierze zależy od liczby linii produktów i jurysdykcji, które polityka musi obejmować. Firmy, które próbują skrócić ten czas do kilku dni, zazwyczaj kończą z ogólnikowym językiem zapożyczonym z szablonów. Ten język wydaje się kompletny, ale nie odzwierciedla rzeczywistego profilu ryzyka i właśnie to audytor zauważy w pierwszej kolejności.

Monitorowanie, audyt i aktualizacja procedur AML

Twoja polityka jest tak dobra, jak to, co monitoruje transakcje za nią stojące. Niezależnie od tego, czy system jest ręczny, czy zautomatyzowany, musi wykrywać strukturyzację, nietypowo szybkie przepływy środków lub aktywność, która po prostu nie pasuje do standardowego profilu klienta.

Czas ma znaczenie, gdy coś wygląda podejrzanie. Zgodnie z ustawą o tajemnicy bankowej firmy mają zazwyczaj 30 dni na zgłoszenie podejrzanej działalności, zanim zaczną obowiązywać kary za opóźnienie. Nie wyrzucaj też później dokumentów – dokumentów tożsamości, dzienników transakcji, raportów SAR – wszystkie muszą być przechowywane przez pięć lat zgodnie z ustawą o tajemnicy bankowej i unijną dyrektywą AMLD4.

Sama polityka również wymaga przeglądu, nie tylko transakcje w niej zawarte. Przepisy się zmieniają, modele biznesowe się zmieniają, pojawiają się nowe taktyki prania pieniędzy. Większość zespołów ds. zgodności dokonuje przeglądu swojej polityki AML co najmniej raz w roku, a dodatkowo wprowadza aktualizacje, gdy przepisy lub poziom narażenia na ryzyko zmieniają się na tyle, że mają znaczenie.

Międzynarodowe rozważania dotyczące zgodności z przepisami AML

Jeśli przebywasz w jednym kraju, musisz spełniać jedne ramy regulacyjne. Przekrocz granice, a nagle Twoja polityka będzie musiała spełniać wymogi kilku ram jednocześnie, bez wzajemnej sprzeczności.

To, co w rzeczywistości robi większość zespołów ds. zgodności: opracowuje jedną podstawową globalną politykę, a następnie dodaje do niej lokalne dodatki dla każdej jurysdykcji. Podstawowa polityka zajmuje się kwestiami uniwersalnymi, podejściem opartym na ryzyku, procedurami ostrożnościowymi (CDD) i kontrolą sankcji. Dodatki dotyczą lokalnych formatów raportowania, osób kontaktowych w organie regulacyjnym oraz progów, które zmieniają się w zależności od kraju.

Firmy z branży fintech i kryptowalut odczuwają tę presję najmocniej, ponieważ wiele z nich obsługuje klientów w dziesiątkach jurysdykcji, zanim jeszcze minie pierwsza rocznica. Utrzymaj politykę jako jeden globalny dokument, centralnie weryfikowany i stosowany lokalnie. W ten sposób unikniesz luk, które pojawiają się, gdy regionalne polityki są łączone po fakcie, zamiast być projektowane od samego początku.

Chodzi o coś więcej niż tylko o formalności. Transakcja, która nie zgłasza żadnych błędów poniżej progów w jednym kraju, może skutkować obowiązkowym raportowaniem w innym. Kto więc podejmuje decyzję, gdy dwa systemy prawne się różnią? Zazwyczaj odpowiada za to jedna osoba, inspektor ds. zgodności lub MLRO, który musi zrozumieć, gdzie progi się rozchodzą.

Zasady i procedury AML: kompletny przewodnik zgodności

Zgodność z przepisami AML dla firm zajmujących się kryptowalutami i płatnościami cyfrowymi

Kryptowaluty są poddawane większej kontroli w zakresie przeciwdziałania praniu pieniędzy niż większość tradycyjnych technologii finansowych i szczerze mówiąc, nietrudno zrozumieć dlaczego. Pseudonimowe portfele, przelewy przekraczające granice w ciągu kilku sekund, rozliczenia w oparciu o blockchain przebiegające szybciej niż kiedykolwiek przelew bankowy – wszystko to stawia organy regulacyjne przed trudnymi warunkami, które utrudniają pranie pieniędzy i finansowanie terroryzmu w cyfrowych aktywach. A kontrola ta spada wprost na osobę przetwarzającą płatności kryptowalutowe.

Polityka AML dostosowana do kryptowalut musi zawierać kilka elementów, których standardowy szablon dla usług finansowych po prostu nie obejmuje:

  • Kontrola adresu portfela w oparciu o znane bazy danych dotyczące nielegalnej działalności i sankcji przed akceptacją środków
  • Monitorowanie transakcji w łańcuchu , które śledzi przepływy środków w wielu etapach, a nie tylko u bezpośredniego nadawcy
  • Jasne ścieżki eskalacji dla transakcji obejmujących miksery, giełdy wysokiego ryzyka lub adresy znajdujące się na czarnej liście

Jeśli prowadzisz e-commerce i akceptujesz kryptowaluty, samodzielne budowanie całej infrastruktury to przesada. Łatwiejsze rozwiązanie: skorzystaj z usług operatora płatności, który ma już wbudowane mechanizmy AML i KYC. Plisio zajmuje się kontrolą portfeli i transakcji w ramach swojej infrastruktury, dzięki czemu sprzedawcy mogą akceptować kryptowaluty, nie ponosząc samodzielnie całego ciężaru zgodności.

Ta luka jest większa, niż się wydaje na pierwszy rzut oka. Sprzedawca, który buduje system płatności kryptowalutowych na procesorze bez żadnych kontroli AML, po cichu przejmuje to ryzyko – nikt go nie zauważa, dopóki regulator lub partner bankowy nie zacznie zadawać trudnych pytań o narażenie na nielegalne fundusze. Wybierz infrastrukturę, która już obsługuje weryfikację, a będziesz mieć gotową odpowiedź, zanim ktokolwiek w ogóle zapyta.

Ostatnie myśli

Solidna polityka AML to nie dokument, który pisze się raz i odkłada na półkę. To żywa struktura, która wymaga monitorowania, audytu i regularnych aktualizacji w miarę rozwoju przepisów i ryzyka. Wystarczy zadbać o podstawy, jasną ocenę ryzyka, zdefiniować procedury należytej staranności, wyznaczyć inspektora ds. zgodności, a każda firma, od tradycyjnego banku po platformę płatności kryptowalutowych, wyprzedzi większość kontroli regulacyjnych.

Firmy, które zmagają się z przestrzeganiem przepisów AML, rzadko mierzą się z naprawdę nowymi zagrożeniami – to te, które traktowały swoją politykę jako jednorazowe zadanie papierkowe, a nie jako system operacyjny. Tworzenie solidnych polityk i procedur AML od samego początku, z uwzględnieniem rzeczywistej odpowiedzialności i regularnego przeglądu, jest znacznie tańsze niż ich odbudowywanie po tym, jak naruszenie wymusi problem.

Jakieś pytania?

Cztery z nich są wpisane wprost do ustawy USA PATRIOT Act – inspektor ds. zgodności, szkolenia, niezależne testy, kontrole wewnętrzne. Nikt nie wpisał piątego filaru do prawa, ale udokumentowana ocena ryzyka stała się na tyle powszechna, że ludzie i tak ją dodają.

Apetyt na ryzyko. Zasady CDD. Kontrola sankcji. Progi monitorowania. Procedura zgłaszania podejrzanych działań. Wymagania szkoleniowe. Harmonogram audytu. I czyjeś nazwisko jako właściciela tego wszystkiego.

Krótka odpowiedź: jeśli prowadzisz bank, kasę kredytową, firmę świadczącą usługi finansowe, giełdę kryptowalut lub kasyno, tak. Dłuższa odpowiedź: organy regulacyjne stale rozszerzają listę „wysokiego ryzyka”, więc sprawdź swoją jurysdykcję, zamiast zakładać, że jesteś zwolniony z obowiązku.

Przynajmniej raz w roku. Częściej, jeśli zmieniają się przepisy, wchodzisz na nowy rynek lub audyt coś wykryje. Polityka, która nie była zmieniana przez dwa lata, to w zasadzie zaproszenie dla audytora do wykrycia problemów.

Na co dzień to oni przeglądają alerty i decydują, co należy eskalować. Kiedy napływają dokumenty od organów regulacyjnych, są przez nich rozpatrywane. W przypadku audytu są punktem kontaktowym. Prawie wszystkie główne ramy AML wymagają takiego stanowiska.

To zależy od stopnia naruszenia. Czasami jest to grzywna i termin naprawy. Czasami bank po cichu zamyka konto. W najgorszych przypadkach licencje zostają cofnięte, a poszczególni funkcjonariusze ponoszą osobistą odpowiedzialność za umyślne zaniedbanie.

Ready to Get Started?

Create an account and start accepting payments – no contracts or KYC required. Or, contact us to design a custom package for your business.

Make first step

Always know what you pay

Integrated per-transaction pricing with no hidden fees

Start your integration

Set up Plisio swiftly in just 10 minutes.