Trzy obszary, które domykają 11-elementowy katalog Procedury AML/CFT, łączy jeden wątek — odpowiedzialność. Kontrola wewnętrzna pokazuje, że IO sprawdza siebie sama. Rozbieżności w Centralnym Rejestrze Beneficjentów Rzeczywistych (CRBR) — że IO nie polega na państwowym rejestrze, lecz weryfikuje informacje samodzielnie. Sankcja administracyjna z art. 147 pkt 7 Ustawy — że brak Procedury AML/CFT lub jej fasadowość są twardo egzekwowane. W tym artykule porządkujemy obszary 9, 10 i 11 Stanowiska UKNF wraz z sekcją „Sankcja administracyjna" i statystyką naruszeń, którą Stanowisko UKNF zamyka.

Kontrola wewnętrzna AML/CFT — co Procedura musi regulować?

Art. 50 ust. 2 pkt 9 Ustawy zobowiązuje IO do uregulowania w wewnętrznej procedurze zasad kontroli wewnętrznej lub nadzoru zgodności działalności IO z przepisami AML/CFT oraz zasadami postępowania wskazanymi w wewnętrznej procedurze.

Stanowisko UKNF wskazuje, że IO powinna posiadać adekwatny do jej charakteru i wielkości, efektywny i skuteczny system kontroli wewnętrznej (SKW), którego celem jest zapewnienie:

  1. prawidłowości procedur (jasność, przejrzystość, dostosowanie do specyfiki działalności IO), sprawozdawczości finansowej oraz rzetelnego raportowania wewnętrznego i zewnętrznego;
  2. skuteczności i efektywności działania oraz zgodności działania z przepisami prawa i regulacjami wewnętrznymi z uwzględnieniem rekomendacji nadzorczych i standardów rynkowych, przestrzegania zasad zarządzania ryzykiem.

Na proces zapewniania realizacji celów SKW składa się organizacja kontroli wewnętrznej, mechanizmy kontrolne oraz szacowanie ryzyka nieosiągnięcia celów kontroli wewnętrznej. IO powinna dokumentować proces zapewnienia realizacji celów systemu kontroli wewnętrznej.

Jakie dokumenty zewnętrzne wyznaczają standard SKW?

Stanowisko UKNF wprost odsyła do trzech źródeł:

  • § 45–52 Zasad Ładu Korporacyjnego dla podmiotów nadzorowanych — kluczowe systemy i funkcje wewnętrzne zapewniające skuteczny SKW;
  • Rekomendacje KNF — w szczególności Rekomendacja H dotycząca systemu kontroli wewnętrznej w bankach z kwietnia 2017 r. oraz Rekomendacja B-SKOK z czerwca 2015 r. dla SKOK;
  • odpowiednie regulacje sektorowe.

W IO posiadających sformalizowany system kontroli i audytu w obszarze AML/CFT, w Procedurze AML/CFT wystarczy odesłanie do regulacji wewnętrznych w tym zakresie — pełen opis nie musi być duplikowany.

Rozdział funkcji operacyjnych od kontrolnych — twarda zasada

Stanowisko UKNF formułuje wprost zasadę, której nie ma w samej Ustawie, a której UKNF konsekwentnie wymaga w protokołach kontroli: system kontroli wewnętrznej powinien być skonstruowany w sposób rozdzielający funkcje operacyjne od kontrolnych.

W praktyce oznacza to, że nie może dochodzić nawet do czasowego sprawowania nadzoru nad czynnościami własnymi. Pracownik wykonujący zadania AML/CFT (np. analityk transakcji) nie może być jednocześnie osobą weryfikującą poprawność tych zadań w kontroli wewnętrznej.

Obszary zwiększonego ryzyka jako podstawa SKW

UKNF oczekuje, że podstawą funkcjonowania systemu kontroli wewnętrznej będzie określenie obszarów zwiększonego ryzyka ML/TF w danym procesie. Na tej podstawie możliwe jest racjonalne określenie:

  • zakresu kontroli — z uwzględnieniem złożoności procesów, historycznych nieprawidłowości oraz ryzyka zaistnienia nieprawidłowości w przyszłości;
  • optymalnej częstotliwości (planu) kontroli — uzależnionej od czynników ryzyka, złożoności procesów oraz rodzaju kluczowych mechanizmów kontrolnych.

Kategoryzacja i raportowanie nieprawidłowości

IO powinny opracować zasady kategoryzacji, dokumentowania i raportowania o nieprawidłowościach wykrytych przez kontrolę oraz o statusie realizacji środków naprawczych i dyscyplinujących.

Stanowisko UKNF wymaga ustanowienia procedury, zgodnie z którą:

  • wykryte nieprawidłowości znaczące lub krytyczne powinny być niezwłocznie raportowane do wyznaczonej komórki organizacyjnej kolejnej linii obrony oraz do komórki audytu wewnętrznego;
  • nieprawidłowości krytyczne dodatkowo trafiają do zarządu i rady nadzorczej.

Niezależnie od tych ścieżek pozostaje okresowe raportowanie do zarządu i rady nadzorczej (lub komitetu audytu, jeśli powołany) przez komórki ds. zgodności i audytu wewnętrznego.

CRBR — obowiązek odnotowywania rozbieżności (obszar 10)

Art. 39 ust. 1a Ustawy nakłada na IO obowiązek uzyskania potwierdzenia rejestracji albo odpisu z CRBR lub odpowiedniego rejestru z państwa członkowskiego (zgodnie z art. 30 lub 31 dyrektywy 2015/849) w przypadku nawiązywania stosunków gospodarczych lub przeprowadzania transakcji okazjonalnej z klientem będącym podmiotem z art. 58 Ustawy.

Klient — na żądanie IO stosującej środki bezpieczeństwa finansowego — udostępnia informacje lub dokumenty pozwalające na identyfikację tożsamości beneficjentów rzeczywistych.

Obowiązek z art. 61a ust. 1 Ustawy

IO muszą odnotowywać rozbieżności między informacjami zgromadzonymi w CRBR a ustalonymi przez nie informacjami o beneficjencie rzeczywistym klienta i podejmować czynności w celu wyjaśnienia przyczyn tych rozbieżności. Wytyczne zawiera Komunikat GIIF nr 37 z 14 stycznia 2022 r.

Procedura AML/CFT musi określać zasady odnotowywania rozbieżności, w szczególności:

  1. rodzaj czynności podejmowanych w celu wyjaśnienia rozbieżności — np. kontakt z klientem, wyjaśnienie sposobu ustalenia struktury własności i kontroli przez klienta, wyjaśnienie poprawności sposobu ustalenia BR przez IO, wyjaśnienie powodu uznania danej osoby za BR przez klienta, wskazanie terminu podjęcia i zakończenia czynności oraz osób odpowiedzialnych;
  2. sposób potwierdzenia odnotowywania rozbieżności — np. potwierdzenie, że IO nie popełniła błędu, potwierdzenie błędu w CRBR, ustalenie, czy rozbieżność jest pozorna czy faktyczna. Zakończenie procesu wyjaśniania rozbieżności może mieć miejsce jedynie po faktycznym zakończeniu tego procesu, tj. po wpisaniu przez klienta do CRBR beneficjentów rzeczywistych zgodnych z ustaleniami IO;
  3. sposób sporządzenia uzasadnienia rozbieżności — udokumentowanie podejmowanych czynności, wskazanie informacji i dokumentów stanowiących podstawę ustalenia BR, powodów uznania, że rozbieżność jest faktyczna.

Weryfikacja informacji z CRBR vs ustalenia IO powinna być prowadzona również w ramach okresowej aktualizacji oceny ryzyka ML/TF klienta.

W przypadku potwierdzenia rozbieżności IO przekazuje do organu właściwego w sprawach CRBR (art. 56 Ustawy) zweryfikowaną informację o rozbieżnościach wraz z uzasadnieniem i dokumentacją.

Dokumentowanie utrudnień przy weryfikacji BR (obszar 11)

W przypadku identyfikacji beneficjenta rzeczywistego jako osoby zajmującej wyższe stanowisko kierownicze (art. 2 ust. 2 pkt 1 lit. a tiret piąte Ustawy) IO dokumentują:

  1. wszystkie utrudnienia powodujące brak możliwości ustalenia tożsamości osób fizycznych z definicji ogólnej (art. 2 ust. 2 pkt 1 lit. a tiret od pierwszego do czwartego Ustawy) lub wątpliwości co do ich tożsamości;
  2. wszystkie utrudnienia związane z uzasadnionymi czynnościami podejmowanymi w celu weryfikacji tożsamości BR.

Stanowisko UKNF stawia kluczowe ograniczenie: bez względu na to, jak skomplikowana i wielopoziomowa jest struktura własności klienta, IO są zobligowane do podjęcia działań zmierzających do identyfikacji BR, weryfikacji jego tożsamości oraz ustalenia struktury własności i kontroli klienta. Dopiero gdy z analizy struktury własności klienta wynika, że brak możliwości ustalenia tożsamości osób fizycznych z definicji ogólnej, możliwe jest ustalenie jako BR osoby fizycznej zajmującej wyższe stanowisko kierownicze.

Procedura AML/CFT musi opisywać dokumentowanie:

  • podjętych czynności zmierzających do ustalenia tożsamości osób fizycznych z tiret 1–4 (np. odpis z KRS klienta, umowa spółki, umowa przeniesienia udziałów, notatka z rozmowy telefonicznej z przedstawicielem klienta);
  • okoliczności, które IO uznała za powodujące brak możliwości ustalenia lub wątpliwości (np. każdy wspólnik klienta — osoba fizyczna — posiada 20% udziałów);
  • utrudnień związanych z uzasadnionymi czynnościami weryfikacji tożsamości BR (np. brak zgłoszenia BR do CRBR, brak fizycznej obecności BR, utrudnienia związane z wideoweryfikacją).

Kluczowa zasada: IO stosując środek z art. 34 ust. 1 pkt 2 Ustawy nie polegają wyłącznie na informacjach pochodzących z CRBR lub rejestru z art. 30/31 dyrektywy 2015/849. Rekomendacje — Komunikat GIIF nr 38 z 14 stycznia 2022 r.

Stosowanie szczególnych środków ograniczających — listy sankcyjne

Obok obszarów z art. 50 Procedura AML/CFT (lub osobny dokument) musi obejmować stosowanie szczególnych środków ograniczających, o których mowa w art. 117 Ustawy, wobec osób i podmiotów wskazanych:

  • w rezolucjach Rady Bezpieczeństwa ONZ;
  • na liście prowadzonej przez GIIF na podstawie art. 120 ust. 1 Ustawy;
  • w rozporządzeniach Rady Unii Europejskiej;
  • na liście z art. 2 ust. 1 ustawy z 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego.

Mechanizm działania (art. 117 ust. 2 i art. 118 Ustawy): zamrożenie wartości majątkowych lub ich nieudostępnianie.

Wymogi mogą być elementem Procedury AML/CFT albo stanowić odrębną regulację wewnętrzną, ale muszą określać co najmniej:

  1. zasady weryfikacji nowych i dotychczasowych klientów IO pod kątem występowania na listach sankcyjnych;
  2. listy sankcyjne wykorzystywane przez IO i sposób ich aktualizacji;
  3. zasady postępowania w przypadku zidentyfikowania klienta na liście — w szczególności zasady zamrażania wartości majątkowych;
  4. zasady przekazywania informacji do GIIF lub Szefa Krajowej Administracji Skarbowej w związku z zastosowaniem środków.

Sankcja administracyjna za brak Procedury AML/CFT

IO, która nie dopełnia obowiązku wprowadzenia Procedury AML/CFT, podlega karze administracyjnej z art. 147 pkt 7 Ustawy.

UKNF jednoznacznie określa cztery formy naruszeń obowiązku:

  1. Brak Procedury AML/CFT — sytuacja podstawowa, najpoważniejsza.
  2. Niepełne regulacje — Procedura nie zawiera konkretnych elementów wskazanych w art. 50 ust. 2 Ustawy.
  3. Procedura fasadowa — Procedura formalnie obejmuje wszystkie elementy z art. 50 ust. 2 Ustawy, ale w treści tylko je „imituje" (powtarza brzmienie ustawy bez przełożenia na realne procesy IO).
  4. Brak elementów dodatkowych — Procedura nie zawiera elementów wymaganych specyfiką danej IO, mimo że nie są wprost wymienione w art. 50 ust. 2 Ustawy.

Stanowisko UKNF wprost wskazuje, że katalog z art. 50 ust. 2 Ustawy jest otwarty (sformułowanie „w szczególności") — IO nie wolno ograniczać Procedury wyłącznie do listy ustawowej, jeżeli specyfika działalności wymaga regulacji dodatkowych.

Naruszenie obowiązku stanowi podstawę nie tylko stwierdzenia nieprawidłowości w protokole kontroli i wydania zaleceń pokontrolnych, ale również wszczęcia postępowania w związku z naruszeniem przepisów Ustawy.

Statystyka naruszeń — co pokazują kontrole KNF?

Z podsumowania Stanowiska UKNF wynika, że udział nieprawidłowości w opracowywaniu regulacji wewnętrznych w ogólnej liczbie nieprawidłowości AML/CFT identyfikowanych w kontrolach KNF rośnie:

RokUdział nieprawidłowości w obszarze regulacji wewnętrznych
201913,66%
20209,31%
20217,54%
202210,13%
202313,62%
202419,39%

W 2024 r. co piąte naruszenie AML/CFT wykryte przez KNF dotyczyło Procedury AML/CFT. Trend rosnący od 2021 r. jest jednym z głównych czynników, który skłonił UKNF do publikacji Stanowiska. GIIF w sprawozdaniach rocznych z realizacji Ustawy również wskazuje na nieprawidłowości polegające na niewprowadzeniu lub niedostosowaniu do wymogów Ustawy procedur z art. 50, 51 i 53 Ustawy.

Najważniejsze działania do podjęcia

Z naszego doświadczenia rekomendujemy IO sześć kroków zamykających audyt całej Procedury AML/CFT:

  1. Audyt SKW — czy spełnia wymogi § 45–52 Zasad Ładu Korporacyjnego oraz Rekomendacji KNF (Rekomendacja H dla banków, Rekomendacja B-SKOK dla SKOK), w szczególności rozdzielenie funkcji operacyjnych od kontrolnych.
  2. Mapa obszarów zwiększonego ryzyka — czy stanowi podstawę zakresu i częstotliwości kontroli, czy nie jest „przepisana z poprzedniego roku".
  3. Procedura odnotowywania rozbieżności w CRBR — zgodność z art. 61a Ustawy i Komunikatem GIIF nr 37, dokumentowanie czynności, terminów i osób odpowiedzialnych.
  4. Dokumentowanie utrudnień przy weryfikacji BR — zgodność z Komunikatem GIIF nr 38, weryfikacja braku polegania wyłącznie na CRBR.
  5. Polityka sankcyjna — listy ONZ, GIIF, UE, ustawa z 13 kwietnia 2022 r., proces weryfikacji nowych i istniejących klientów, mechanizm zamrażania.
  6. Self-assessment Procedury AML/CFT pod kątem czterech typów naruszeń wskazanych przez UKNF (brak / niepełna / fasadowa / brak elementów dodatkowych).

Procedura AML/CFT — i jej aktualizacje — powinny być formalnie przyjęte co najmniej przez organ zarządzający IO.

UKNF oczekuje, że podmioty nadzorowane będące IO przeprowadzą analizę stopnia dostosowania Procedury AML/CFT do wymogów Stanowiska, a w przypadku zidentyfikowania niedostosowania — niezwłocznie podejmą działania naprawcze. Proces implementacji może być weryfikowany w trakcie czynności kontrolnych i analitycznych KNF. UKNF oczekuje również wdrożenia Stanowiska przez podmioty ubiegające się o uzyskanie zezwolenia lub wpisu do rejestrów prowadzonych przez KNF.

Jak możemy Ci pomóc?

W Legal Geek wspieramy instytucje obowiązane w pełnym audycie Procedury AML/CFT pod kątem zgodności ze Stanowiskiem UKNF — od pojedynczego obszaru po kompleksową rekonstrukcję wszystkich 11 obszarów art. 50 ust. 2 Ustawy plus procedury grupowej i polityki sankcyjnej. Pracujemy też z podmiotami przygotowującymi wniosek licencyjny — Procedura AML/CFT zgodna ze Stanowiskiem to standard akceptowany przez KNF na etapie postępowania licencyjnego. Skontaktuj się z nami przez formularz kontaktowy.

Co dalej w cyklu?

To ostatni artykuł cyklu. Jeśli czytasz po raz pierwszy — zacznij od huba: Stanowisko UKNF dotyczące Procedury AML/CFT — przewodnik po wymogach dla instytucji obowiązanych. Pozostałe artykuły:

Źródła

  • Stanowisko UKNF dotyczące procesów AML/CFT, sekcje 9, 10, 11, „Zasady stosowania szczególnych środków ograniczających", „Sankcja administracyjna za brak Procedury AML" oraz „Podsumowanie" — KNF
  • Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j.), art. 2 ust. 2 pkt 1, 39 ust. 1a, 50 ust. 2 pkt 9, 51, 53, 56, 58, 61a, 117, 118, 120, 130, 147 pkt 7 — ISAP
  • Ustawa z 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego — ISAP
  • Komunikat GIIF nr 37 z 14 stycznia 2022 r. (CRBR) — GIIF
  • Komunikat GIIF nr 38 z 14 stycznia 2022 r. (utrudnienia przy weryfikacji BR) — GIIF
  • Zasady Ładu Korporacyjnego dla podmiotów nadzorowanych, § 45–52 — KNF
  • Rekomendacja H dotycząca systemu kontroli wewnętrznej w Bankach z kwietnia 2017 r. — KNF
  • Rekomendacja B-SKOK z czerwca 2015 r. — KNF