Ustawa AML konstruuje system wewnętrzny AML/CFT w sposób, który można opisać jako „jedną procedurę plus ocenę ryzyka". Z kolei Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1624 z dnia 31 maja 2024 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu (AMLR) odmienia pojęcie „ramy" na wszystkie możliwe przypadki. Pomińmy sytuacje, gdy AMLR używa tego słowa w formie przyimka czy zwykłego rzeczownika (w ramach grupy, ramy w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, ramy przejrzystości, ramy dochowywania należytej staranności wobec klienta itd.). W tym wpisie skoncentrujmy się na ramach kontroli wewnętrznej podmiotu zobowiązanego.
Motyw 29 i art. 9
Motyw 29 AMLR wprowadza pojęcie ram kontroli wewnętrznej (internal control framework). W polskiej wersji językowej czytamy: „podmioty zobowiązane powinny posiadać ramy kontroli wewnętrznej składające się z opartych na analizie ryzyka strategii, procedur i środków kontroli oraz jasnego podziału obowiązków w całej organizacji." Mamy zatem: (1) triadę strategii, procedur i środków kontroli — opartą na analizie ryzyka — oraz (2) jasny podział obowiązków (powinno być – odpowiedzialności). Jak widać, określnik „opartych na analizie ryzyka" odnosi się tu do triady, nie do podziału obowiązków. Podział obowiązków jest tu elementem "ram kontroli wewnętrznej", tyle, że już nie jest „oparty na analizie ryzyka". Art. 9 ust. 1 AMLR powtarza triadę z motywu 29 — podmioty zobowiązane „wprowadzają wewnętrzne strategie, procedury i środki kontroli". Nie powtarza natomiast „jasnego podziału obowiązków" — ten element został rozwinięty w pewnym zakresie (jako podział odpowiedzialności przypisanych do kluczowych funkcji w systemie) w art. 11. Art. 9 ust. 2 rozwija tę kwestię w strukturze:
a) „wewnętrzne strategie i procedury", obejmujące dziesięć obszarów, w tym w szczególności: przeprowadzenie i aktualizację oceny ryzyka obejmującej całą działalność, ramy podmiotu zobowiązanego dotyczące zarządzania ryzykiem, należytą staranność wobec klienta, zgłaszanie podejrzanych transakcji, outsourcing i inne;
b) „wewnętrzne środki kontroli oraz funkcję niezależnego audytu w celu sprawdzenia wewnętrznych strategii i procedur oraz środków kontroli obowiązujących w podmiocie zobowiązanym".
Czy audyt jest „środkiem kontroli"?
Art. 9 ust. 2 lit. b) łączy redakcyjnie „wewnętrzne środki kontroli" i „funkcję niezależnego audytu". Rodzi to pytanie, czy audyt jest jednym ze środków kontroli, czy odrębnym elementem systemu. Brzmienie lit. b): „wewnętrzne środki kontroli oraz funkcję niezależnego audytu w celu sprawdzenia wewnętrznych strategii i procedur (...) oraz środków kontroli obowiązujących w podmiocie zobowiązanym." Skoro audyt sprawdza „środki kontroli obowiązujące w podmiocie zobowiązanym", a sam jest wymieniony obok tych środków kontroli w tym samym punkcie, to mamy relację: audyt sprawdza X, ale X jest wymieniony razem z audytem. Gdyby audyt był jednym ze „środków kontroli", sprawdzałby sam siebie — co przeczy wymogowi niezależności zawartemu w samym pojęciu „funkcji niezależnego audytu". Dodatkowe potwierdzenie odrębności audytu znajdujemy w art. 9 ust. 4 pkt (i), zgodnie z którym wytyczne AMLA mają wskazać sytuacje, w których „wewnętrzne środki kontroli mają być zorganizowane na poziomie funkcji handlowej, funkcji zapewniania zgodności z prawem i funkcji audytu." Prawodawca wyraźnie rozróżnia trzy odrębne poziomy organizacji środków kontroli. Funkcja audytu jest wymieniona jako odrębny poziom organizacyjny — obok funkcji compliance i funkcji handlowej. Środki kontroli mogą być „organizowane” na poziomie funkcji audytu, ale sama funkcja audytu nie jest „środkiem kontroli" — jest „ramą” organizacyjną, w której środki kontroli mogą funkcjonować. Połączenie środków kontroli i audytu w jednym punkcie art. 9 ust. 2 lit. b) jest zatem systematyką redakcyjną, nie merytoryczną.
Ramy zarządzania ryzykiem
Art. 9 ust. 2 lit. a) pkt (ii) wymienia wśród elementów wewnętrznych strategii i procedur „ramy podmiotu zobowiązanego dotyczące zarządzania ryzykiem" (the obliged entity's risk management framework). AMLR nie definiuje tego pojęcia. Jego treść wynika pośrednio z art. 10 (ocena ryzyka obejmująca całą działalność) i art. 9 ust. 1 (cele systemu kontroli wewnętrznej). Należy przyjąć, że ramy zarządzania ryzykiem to sposób realizacji strategii AML, który określa, w jaki sposób podmiot zobowiązany identyfikuje, ocenia, ogranicza i monitoruje ryzyka ML/TF oraz ryzyka niestosowania i obchodzenia ukierunkowanych sankcji finansowych. To opis metodologii konstruowania i modyfikacji systemu AML/CFT w organizacji.
Pięć elementów systemu wewnętrznego AML/CFT
Uwzględniając powyższą analizę motywu 29, art. 9 i art. 11 AMLR, wewnętrzny system AML/CFT podmiotu zobowiązanego (tzw. ramy kontroli wewnętrznej) powinien składać się z pięciu elementów:
1. Strategia AML/CFT (wewnętrzne strategie /policies) — dokument o charakterze strategicznym, zatwierdzany przez organ zarządzający. Obejmuje m.in. ramy zarządzania ryzykiem.
2. Procedury (wewnętrzne) — opisujące sposób wdrożenia i stosowania strategii AML/CFT na poziomie operacyjnym, zatwierdzane co najmniej na poziomie kierownika ds. zapewniania zgodności z przepisami (compliance manager).
3. Środki kontroli (wewnętrznej) — mechanizmy zapewniające właściwe stosowanie strategii i procedur, w tym monitoring transakcji, screening sankcyjny, etc., zatwierdzane co najmniej na poziomie kierownika ds. zapewniania zgodności z przepisami.
4. Podział obowiązków — przypisanie odpowiedzialności za kwestie AML/CFT w organizacji, w tym rola kierownika ds. zapewniania zgodności z przepisami (compliance manager), pracownika ds. zapewniania zgodności z przepisami (compliance officer) oraz organu zarządzającego.
5. Niezależna funkcja audytu — sprawdzanie (testowanie) skuteczności elementów 1–4, tj. strategii i procedur oraz środków kontroli. W przypadku braku wewnętrznej funkcji audytu — sprawdzenie może przeprowadzić ekspert zewnętrzny.
