Ocena ryzyka instytucji obowiązanej (ORI)

Czym jest ORI?

ORI to ocena własnego ryzyka wykorzystania prowadzonej działalności do prania pieniędzy oraz finansowania terroryzmu, sporządzana przez IO zgodnie z art. 27 Ustawy. Forma — papierowa lub elektroniczna. Forma sporządzenia ORI powinna być określona w Procedurze AML/CFT.

UKNF traktuje ORI jako punkt wyjścia do budowy wewnętrznych procesów mających na celu identyfikację oraz właściwe zarządzanie ryzykiem ML/TF. Bez prawidłowej ORI dalsze elementy systemu — matryca ryzyka klienta, kategoryzacja, środki bezpieczeństwa finansowego — pozostają zawieszone w próżni.

Jakie czynniki ryzyka muszą być uwzględnione?

Art. 27 Ustawy nakazuje IO uwzględnić co najmniej następujące czynniki ryzyka:

klienci — typologia, struktura, profil ryzyka,
państwa lub obszary geograficzne — siedziby klientów, kraje transakcji,
produkty, usługi, transakcje — oferta IO,
kanały dystrybucji — w tym kanały zdalne, automaty (np. ATM-y).

UKNF wskazuje, że katalog jest podstawowy i otwarty. W zależności od charakteru, rodzaju i rozmiaru prowadzonej działalności IO powinna uwzględnić również dodatkowe czynniki ryzyka — w szczególności:

narzędzia i systemy informatyczne wykorzystywane przez IO,
stopień uzależnienia w obszarze AML/CFT od dostawców zewnętrznych,
outsourcing procesów,
strukturę organizacyjną,
efektywność systemu kontroli wewnętrznej,
dostępność i efektywność szkoleń.

Im bardziej skomplikowany model biznesowy IO (rynki międzynarodowe, produkty złożone, sieć agencyjna), tym szerszy katalog dodatkowych czynników jest oczekiwany.

Jak działa logika ryzyka inherentnego i rezydualnego?

Stanowisko UKNF wprowadza standardową logikę dwustopniową:

Ryzyko inherentne — ryzyko oszacowane bez uwzględnienia środków mitygujących, nieodłącznie towarzyszące działalności prowadzonej przez daną IO. Z ORI powinno wynikać, jaki jest poziom ryzyka inherentnego w ramach poszczególnych czynników.
Mityganty — środki ograniczające ryzyko, które IO posiada, wraz ze stopniem ich efektywności.
Ryzyko rezydualne — ryzyko finalne ML/TF po zastosowaniu mitygantów. Ocena rezydualna daje odpowiedź na pytanie: czy zastosowane mityganty są wystarczająco skuteczne, by sprowadzić ryzyko ML/TF do poziomu akceptowalnego przez IO.

Jeśli z oceny ryzyka rezydualnego wynika konieczność podjęcia dodatkowych działań — ORI musi zawierać plan i harmonogram czynności do wykonania. Dokumentacja powinna być sformułowana w sposób umożliwiający w przyszłości weryfikację skuteczności zrealizowanych działań.

Co musi się znaleźć w metodyce ORI?

Stanowisko UKNF wymaga, by metodyka sporządzania ORI uwzględniała specyfikę danej IO, jej charakter oraz wielkość, i miała odzwierciedlenie w regulacjach wewnętrznych. W praktyce oznacza to:

formalny dokument metodyczny opisujący proces sporządzania ORI;
wskazanie czynników ryzyka uwzględnianych przez IO (z art. 27 Ustawy + dodatkowe);
skala ocen ryzyka (np. niskie/średnie/wysokie) z definicjami;
zasady przejścia od ryzyka inherentnego do rezydualnego;
katalog mitygantów i sposób oceny ich skuteczności;
zasady eskalacji ryzyka rezydualnego pozostającego ponad apetytem IO.

Brak udokumentowanej metodyki — z naszego doświadczenia jeden z częstszych mankamentów w protokołach kontroli KNF — uniemożliwia obronę racjonalności wyników ORI.

Jakie dokumenty zewnętrzne IO musi uwzględnić?

Stanowisko UKNF wskazuje dwa dokumenty zewnętrzne, do których IO musi się odnieść przy sporządzaniu ORI:

Krajowa Ocena Ryzyka prania pieniędzy oraz finansowania terroryzmu (publikowana przez GIIF);
sprawozdanie Komisji Europejskiej z art. 6 ust. 1–3 dyrektywy 2015/849.

W przypadku zmiany któregokolwiek z tych dokumentów IO powinny zaktualizować ORI. Dodatkowo IO musi zweryfikować, czy ich własna ORI nie różni się fundamentalnie od tych dokumentów — w szczególności, czy nie zaniża rażąco ryzyka swojego sektora lub klientów.

Czy IO musi przeprowadzać ocenę ryzyka sankcyjnego?

Tak. Stanowisko UKNF wskazuje, że dodatkowo, w ramach zarządzania ryzykiem naruszenia sankcji międzynarodowych, IO powinna przeprowadzić ocenę ryzyka sankcyjnego. Celem oceny jest identyfikacja obszarów, w których procesy dotyczące sankcji wymagają wzmocnienia bądź wdrożenia dodatkowych mechanizmów kontrolnych.

Ocena ryzyka sankcyjnego może zostać przeprowadzona w ramach sporządzania ORI z art. 27 Ustawy — co w praktyce wybierają organizacje, które nie chcą prowadzić dwóch równoległych procesów oceny ryzyka. Pełen przegląd sankcji w artykule Kontrola wewnętrzna, CRBR i sankcje.

Kiedy ORI musi być aktualizowana?

Art. 27 Ustawy wskazuje rytm minimalny: nie rzadziej niż co 2 lata.

Niezależnie od rytmu cyklicznego, ORI musi być aktualizowana niezwłocznie, bez względu na okres od poprzedniej aktualizacji, gdy następuje zmiana czynników ryzyka. Stanowisko UKNF wymienia przykładowe sytuacje:

zmiana oferty produktowej (rozszerzenie lub ograniczenie),
zmiana sposobu nawiązywania relacji,
zmiany w kanałach dystrybucji (np. uruchomienie kanałów zdalnych albo automatów typu ATM),
zmiana wynikająca z aktualnej sytuacji politycznej,
zmiany w grupie kapitałowej mające istotny wpływ na poziom ryzyka ML/TF instytucji.

Kto zatwierdza ORI?

UKNF oczekuje, że ORI oraz jej aktualizacje będą każdorazowo zatwierdzane przez kadrę kierowniczą wyższego szczebla odpowiedzialną za wykonywanie obowiązków określonych w art. 6 Ustawy. W przypadku IO, w której działa zarząd — zatwierdza osoba z art. 7 Ustawy odpowiedzialna za wdrażanie obowiązków określonych w Ustawie. Pełen opis ról i ich rozdziału w artykule AMLRO, członek zarządu z art. 7 i zastępowalność.

Dlaczego ORI jest dokumentem sensytywnym?

ORI pokazuje wszystkie słabości IO w obszarze AML/CFT. UKNF wprost zaznacza: dokument ten powinien podlegać ochronie przed niepowołanym zapoznaniem się z jego treścią. Zgodnie z Ustawą IO mogą udostępniać swoją ocenę ryzyka organom samorządów zawodowych lub stowarzyszeń skupiających te instytucje obowiązane — to wąsko zakreślony krąg adresatów.

Najważniejsze działania do podjęcia

Audyt aktualnej ORI — kiedy została sporządzona, kiedy ostatnio zaktualizowana, czy uwzględnia obowiązującą Krajową Ocenę Ryzyka i sprawozdanie KE.
Weryfikacja metodyki — czy istnieje formalny dokument metodyczny i czy jest spójny z ORI.
Test ryzyka inherentnego vs rezydualnego — czy ORI rzeczywiście rozróżnia oba poziomy i wskazuje mityganty z oceną skuteczności.
Plan działań naprawczych — czy jest harmonogram i osoba odpowiedzialna za każde działanie.
Akceptacja kadry kierowniczej — udokumentowana, z datą, zgodnie z art. 6 lub art. 7 Ustawy.
Ochrona dokumentu — kontrola dostępu, ścieżki audytowe.

Jak możemy Ci pomóc?

W Legal Geek wspieramy instytucje obowiązane w opracowaniu metodyki i samej ORI zgodnie ze Stanowiskiem UKNF z 15 kwietnia 2020 r. i Komunikatem GIIF nr 36. Pracujemy też z organizacjami przygotowującymi wniosek licencyjny — ORI zgodna z art. 27 Ustawy jest standardowym elementem postępowania licencyjnego przed KNF. Skontaktuj się z nami przez formularz kontaktowy.

Co dalej w cyklu?

Źródła

Stanowisko UKNF dotyczące procesów AML/CFT, sekcja „Czynności lub działań podejmowanych w celu ograniczenia ryzyka ML/TF" — KNF
Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j.), art. 27, art. 33 ust. 2, art. 50 — ISAP
Stanowisko UKNF z 15 kwietnia 2020 r. dotyczące oceny ryzyka instytucji obowiązanej — KNF
Komunikat GIIF nr 36 z 14 stycznia 2022 r. — GIIF
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849, art. 6 ust. 1–3 — EUR-Lex

Powiązane artykuły z bloga Legal Geek

AML/CFT

Potrzebujesz wsparcia z AML/CFT?

Pomożemy Ci zbudować system AML, który przejdzie kontrolę i nie zablokuje biznesu.

Procedury i polityki AML
Analizy ryzyka
Szkolenia dla zespołu i zarządu
Ocena instytucji obowiązanej

Zobacz pełną ofertę usług

Tomasz Klecor Socio Director · Navegador FinTech. Jurista.

Nombre y apellidos / Nombre de empresa

Dirección de correo electrónico

Número de teléfono

Mensaje

Tus datos serán tratados conforme a nuestra política de privacidad.

sobre nosotros

FinTech

AML

E-commerce

RGPD

AI / NIS2

kreator

Legal Geek Tracker

consultoría

Blog

Podcast

Descargas

Ocena ryzyka instytucji obowiązanej (ORI) — metodyka i aktualizacja zgodnie z art. 27 Ustawy

Czym jest ORI?

Jakie czynniki ryzyka muszą być uwzględnione?

Jak działa logika ryzyka inherentnego i rezydualnego?

Co musi się znaleźć w metodyce ORI?

Jakie dokumenty zewnętrzne IO musi uwzględnić?

Czy IO musi przeprowadzać ocenę ryzyka sankcyjnego?

Kiedy ORI musi być aktualizowana?

Kto zatwierdza ORI?

Dlaczego ORI jest dokumentem sensytywnym?

Najważniejsze działania do podjęcia

Jak możemy Ci pomóc?

Co dalej w cyklu?

Źródła

Powiązane artykuły z bloga Legal Geek

Potrzebujesz wsparcia z AML/CFT?

Dziękujemy za wiadomość

No te vayas todavía

FinTech

AML

E-commerce

RGPD

AI / NIS2

sobre nosotros

confían en nosotros

legaltech

base de conocimiento

Czym jest ORI?

Jakie czynniki ryzyka muszą być uwzględnione?

Jak działa logika ryzyka inherentnego i rezydualnego?

Co musi się znaleźć w metodyce ORI?

Jakie dokumenty zewnętrzne IO musi uwzględnić?

Czy IO musi przeprowadzać ocenę ryzyka sankcyjnego?

Kiedy ORI musi być aktualizowana?

Kto zatwierdza ORI?

Dlaczego ORI jest dokumentem sensytywnym?

Najważniejsze działania do podjęcia

Jak możemy Ci pomóc?

Co dalej w cyklu?

Źródła

Powiązane artykuły z bloga Legal Geek

Potrzebujesz wsparcia z AML/CFT?

Dziękujemy za wiadomość

Artículos relacionados

Kontrola wewnętrzna, rozbieżności w CRBR i sankcja administracyjna za brak Procedury AML/CFT

Szkolenia AML/CFT i procedura whistleblowing — wymogi UKNF dla instytucji obowiązanych

AML — najważniejsze pojęcia. Słownik 30 terminów, które trzeba znać

Lee también

Kontrola wewnętrzna, rozbieżności w CRBR i sankcja administracyjna za brak Procedury AML/CFT

Kary, kontrole i odpowiedzialność osobista zarządu — co Cię realnie czeka, jeśli się posypie

Szkolenia AML/CFT i procedura whistleblowing — wymogi UKNF dla instytucji obowiązanych