Procedura AML dla biura rachunkowego to nie tylko formalny wymóg prawny, ale przede wszystkim realne narzędzie ochrony firmy przed ryzykiem uwikłania w proceder prania pieniędzy lub finansowania terroryzmu. AML biuro rachunkowe musi traktować jako instytucja obowiązana w rozumieniu ustawy z dnia 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu – i to niezależnie od tego, czy obsługuje 5, czy 500 klientów. Niedopełnienie obowiązków wynikających z tej ustawy może skutkować karami administracyjnymi sięgającymi milionów złotych, odpowiedzialnością karną właściciela biura oraz poważnymi konsekwencjami wizerunkowymi.
Wiele biur rachunkowych – szczególnie tych mniejszych, prowadzonych przez jedną osobę lub kilkuosobowy zespół – przez lata działało bez wdrożonych procedur AML, nie zdając sobie sprawy z ciążącego na nich obowiązku. Kontrole prowadzone przez Generalnego Inspektora Informacji Finansowej oraz urzędy skarbowe coraz skuteczniej identyfikują podmioty, które zaniedbały ten obszar. Wdrożenie AML w biurze rachunkowym to inwestycja w bezpieczeństwo prawne i finansowe, która chroni właściciela przed konsekwencjami nieświadomego udziału w przestępstwie.
Biuro rachunkowe jako instytucja obowiązana – podstawy prawne
Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu z dnia 1 marca 2018 roku (z późniejszymi zmianami) wprost wskazuje podmioty prowadzące działalność w zakresie usługowego prowadzenia ksiąg rachunkowych jako instytucje obowiązane. Oznacza to, że każde biuro rachunkowe – bez względu na skalę działalności, liczbę klientów czy formę prawną – podlega pełnemu reżimowi AML i musi wdrożyć wszystkie wynikające z niego procedury. Obowiązek ten nie jest uzależniony od obrotu biura ani od rodzaju obsługiwanych klientów.
AML obowiązki biur rachunkowych obejmują kilka wzajemnie powiązanych obszarów: opracowanie i wdrożenie wewnętrznej procedury AML, przeprowadzanie oceny ryzyka instytucji, stosowanie środków bezpieczeństwa finansowego wobec klientów, raportowanie transakcji podejrzanych i ponadprogowych do Generalnego Inspektora Informacji Finansowej, a także systematyczne szkolenie pracowników. Każdy z tych elementów jest obligatoryjny i brak choćby jednego z nich może stanowić podstawę do nałożenia kary administracyjnej w toku kontroli.
Warto pamiętać, że przepisy AML były kilkukrotnie nowelizowane – implementacja kolejnych dyrektyw unijnych (IV i V Dyrektywa AML) znacząco rozszerzyła zakres obowiązków instytucji obowiązanych. Biuro rachunkowe, które opracowało procedury przed 2021 rokiem i nigdy ich nie aktualizowało, może dziś działać w oparciu o nieaktualne i nieskuteczne dokumenty. Procedury AML wymagają regularnego przeglądu i aktualizacji – co najmniej raz w roku lub każdorazowo po istotnej zmianie przepisów czy profilu działalności biura.
Wewnętrzna procedura AML dla biura rachunkowego – co musi zawierać?
Wdrożenie AML w biurze rachunkowym zaczyna się od opracowania wewnętrznej procedury w formie pisemnego dokumentu, który kompleksowo reguluje wszystkie aspekty przeciwdziałania praniu pieniędzy w ramach danego podmiotu. Procedura musi być dostosowana do specyfiki konkretnego biura – jego wielkości, rodzaju obsługiwanych klientów, zakresu świadczonych usług i zidentyfikowanych ryzyk. Gotowe szablony procedur AML pobrane z internetu bez dostosowania do realiów biura są poważnym błędem, który w toku kontroli może zostać uznany za brak procedury.
Prawidłowo opracowana procedura AML dla biura rachunkowego powinna zawierać co najmniej: opis stosowanych środków bezpieczeństwa finansowego i zasad ich doboru, zasady identyfikacji i weryfikacji klientów oraz beneficjentów rzeczywistych, procedurę oceny ryzyka klienta AML, opis procesu raportowania transakcji podejrzanych, zasady przechowywania dokumentów i informacji, opis wewnętrznego systemu zgłaszania naruszeń (sygnalistów) oraz zasady prowadzenia szkoleń. Każdy element musi być nie tylko opisany, ale też faktycznie stosowany – procedura funkcjonująca wyłącznie na papierze nie spełnia wymogu ustawy.
Procedura powinna też wskazywać osobę odpowiedzialną za wdrożenie i nadzór nad realizacją obowiązków AML. W przypadku jednoosobowego biura rachunkowego tą osobą jest właściciel. W biurach wieloosobowych warto wyznaczyć oficera AML (osobę odpowiedzialną za przestrzeganie obowiązków) na poziomie kierowniczym, która będzie punktem kontaktowym dla pracowników w kwestiach dotyczących AML i będzie odpowiedzialna za aktualizację procedury. Wyznaczenie oficera AML powinno być udokumentowane – np. aneksem do umowy o pracę lub stosownym zarządzeniem.
Ocena ryzyka AML na poziomie instytucji
Zanim biuro rachunkowe przystąpi do oceny ryzyka poszczególnych klientów, musi przeprowadzić ocenę ryzyka na poziomie całej instytucji. Ocena ryzyka AML instytucji to analiza podatności biura na ryzyko prania pieniędzy i finansowania terroryzmu, uwzględniająca profil obsługiwanych klientów, obszary geograficzne, kanały dystrybucji usług oraz rodzaje świadczonych usług. Wynik tej analizy determinuje poziom rygoryzmu stosowanych środków bezpieczeństwa finansowego – biuro obsługujące wyłącznie lokalne małe firmy handlowe może stosować uproszczone środki bezpieczeństwa, podczas gdy biuro obsługujące klientów z krajów wysokiego ryzyka musi wdrożyć wzmożone środki.
Ocena ryzyka instytucji powinna być przeprowadzana co najmniej raz na 2 lata lub częściej, jeśli zmienia się profil działalności biura. Dokument oceny ryzyka musi być przechowywany i udostępniany na żądanie organów kontrolnych. Brak oceny ryzyka instytucji to jeden z najczęściej stwierdzanych braków podczas kontroli biur rachunkowych w zakresie AML – jest on traktowany jako poważne uchybienie, nawet jeśli biuro posiada dokumentację dotyczącą poszczególnych klientów. Warto zlecić przygotowanie pierwszej oceny specjaliście od compliance, który pomoże zidentyfikować rzeczywiste obszary ryzyka.
Formularz AML i ankieta AML – identyfikacja i weryfikacja klienta
Stosowanie środków bezpieczeństwa finansowego wobec klientów zaczyna się od ich prawidłowej identyfikacji i weryfikacji. W praktyce biura rachunkowego służy do tego formularz AML lub ankieta AML wypełniane przy nawiązaniu relacji z nowym klientem. Formularz AML to dokument, który zbiera dane niezbędne do identyfikacji klienta – w przypadku osoby fizycznej: imię, nazwisko, PESEL, seria i numer dokumentu tożsamości, adres zamieszkania; w przypadku spółki: firma, NIP, REGON, adres siedziby, dane reprezentantów, a przede wszystkim informacje o beneficjencie rzeczywistym.
Ankieta AML idzie dalej niż samo zebranie danych identyfikacyjnych – pozwala ocenić ryzyko związane z danym klientem poprzez zadanie mu pytań dotyczących źródeł pochodzenia środków, struktury własnościowej, powiązań z krajami wysokiego ryzyka, branży działalności oraz charakteru planowanych transakcji. Im bardziej szczegółowa ankieta AML, tym lepiej biuro może udokumentować prawidłowość stosowanych środków bezpieczeństwa. Warto jednak zadbać, by formularz był też przyjazny dla klienta – nadmiernie rozbudowane dokumenty zniechęcają do współpracy i budzą niepotrzebne podejrzenia u rzetelnych przedsiębiorców.
Istotnym elementem procesu identyfikacji jest weryfikacja beneficjenta rzeczywistego – czyli osoby fizycznej, która faktycznie kontroluje klienta lub jest jego właścicielem. W przypadku spółek biuro rachunkowe musi zidentyfikować osoby posiadające ponad 25% udziałów lub głosów w organie stanowiącym klienta. Weryfikacja odbywa się m.in. poprzez sprawdzenie wpisów w Centralnym Rejestrze Beneficjentów Rzeczywistych (CRBR), jednak biuro jest zobowiązane nie tylko do sprawdzenia rejestru, ale też do weryfikacji, czy dane w rejestrze są zgodne z informacjami uzyskanymi od klienta. Rozbieżności muszą być wyjaśnione i udokumentowane.
Ocena ryzyka klienta AML – jak ją przeprowadzić?
Ocena ryzyka klienta AML to systematyczna analiza, której celem jest przypisanie każdemu klientowi poziomu ryzyka: niskiego, standardowego lub wysokiego. Od tego przypisania zależy zakres środków bezpieczeństwa finansowego stosowanych wobec danego klienta – uproszczonych, standardowych lub wzmożonych. Biuro rachunkowe musi dokumentować przeprowadzoną ocenę ryzyka i być w stanie wykazać organom kontrolnym, na jakiej podstawie każdy klient otrzymał określony poziom ryzyka.
Czynniki brane pod uwagę przy ocenie ryzyka klienta AML obejmują zarówno cechy samego klienta (forma prawna, branża, kraj prowadzenia działalności, struktura własnościowa, powiązania z osobami zajmującymi eksponowane stanowiska polityczne – PEP), jak i charakter świadczonych na jego rzecz usług (zakres usług, wolumen transakcji, złożoność struktury finansowej). Szczególnie istotna jest lista branż podwyższonego ryzyka – działalności statystycznie częściej powiązane z procederem prania pieniędzy. Należą do nich m.in. branża nieruchomości, handel luksusowymi towarami, usługi finansowe, gastronomia i handel gotówkowy, salony gier, branża jubilerska oraz podmioty działające na rynkach kryptoaktywów.
Ocena ryzyka klienta nie jest jednorazową czynnością – musi być aktualizowana w toku całej relacji biznesowej. Zmiana profilu działalności klienta, pojawianie się nieregularnych transakcji, zmiana struktury własnościowej lub wejście nowego udziałowca z kraju podwyższonego ryzyka to sygnały, które powinny uruchomić ponowną ocenę. Biuro rachunkowe, które obserwuje finanse klienta na co dzień, ma szczególnie dobrą pozycję do wykrywania sygnałów ostrzegawczych – i tym samym szczególną odpowiedzialność za ich właściwą interpretację i ewentualne raportowanie.
Wzmożone środki bezpieczeństwa finansowego
Gdy ocena ryzyka klienta wykaże wysoki poziom ryzyka, biuro rachunkowe jest zobowiązane do stosowania wzmożonych środków bezpieczeństwa finansowego. Oznacza to nie tylko starannniejszą weryfikację tożsamości klienta, ale też uzyskanie informacji o źródłach pochodzenia środków, uzyskanie zgody przełożonego na nawiązanie lub kontynuowanie relacji biznesowej, a także wzmożony monitoring transakcji klienta. Stosowanie wzmożonych środków powinno być każdorazowo udokumentowane – jakie dodatkowe informacje uzyskano, od kogo uzyskano akceptację i jakie wnioski wyciągnięto z analizy.
Obowiązek stosowania wzmożonych środków bezpieczeństwa dotyczy zawsze relacji z osobami zajmującymi eksponowane stanowiska polityczne (PEP) – politykami, urzędnikami wysokiego szczebla, sędziami, oficerami wojskowymi – a także z ich bliskimi i osobami z nimi powiązanymi. Lista osób PEP jest dostępna w dedykowanych bazach danych i powinna być weryfikowana przy nawiązaniu relacji, a następnie w toku jej trwania. Pominięcie weryfikacji PEP to jeden z najpoważniejszych błędów proceduralnych w systemie AML.
Biuro rachunkowe musi też stosować wzmożone środki w odniesieniu do klientów z krajów trzecich wymienianych przez Komisję Europejską jako kraje wysokiego ryzyka w zakresie AML. Lista tych krajów jest regularnie aktualizowana i biuro powinno ją monitorować. Przyjęcie klienta powiązanego z krajem wysokiego ryzyka bez stosowania wzmożonych środków naraża biuro na bardzo poważne konsekwencje w razie kontroli lub ujawnienia podejrzanej działalności takiego klienta.
Raportowanie transakcji do GIIF
Biuro rachunkowe jest zobowiązane do raportowania do Generalnego Inspektora Informacji Finansowej 2 kategorii zdarzeń. Pierwsza to transakcje ponadprogowe – przeprowadzane lub przyjmowane przez klienta transakcje gotówkowe o wartości równej lub przekraczającej równowartość 15 000 euro. Druga kategoria to transakcje podejrzane – każda transakcja, co do której biuro ma uzasadnione podstawy podejrzewać, że jest związana z praniem pieniędzy lub finansowaniem terroryzmu, niezależnie od jej wartości.
Obowiązek raportowania transakcji podejrzanych jest szczególnie wymagający, bo zmusza biuro do oceny ekonomicznego sensu transakcji klienta i aktywnego poszukiwania sygnałów ostrzegawczych. Przykładowe sygnały to gwałtowny wzrost obrotów bez uzasadnienia biznesowego, regularne transakcje poniżej progu raportowania (co może wskazywać na świadome unikanie obowiązku raportowania, tzw. strukturyzowanie), transakcje z podmiotami z krajów podwyższonego ryzyka czy rażąca rozbieżność między deklarowaną działalnością a rzeczywistymi przepływami pieniężnymi. Każda analiza transakcji podejrzanej powinna być udokumentowana – niezależnie od tego, czy zakończy się raportem do GIIF, czy wnioskiem o braku podstaw do raportowania.
Raport do GIIF składa się wyłącznie elektronicznie przez system teleinformatyczny udostępniony przez GIIF. Biuro rachunkowe powinno wcześniej zarejestrować się w systemie i zadbać o aktualność danych dostępowych. Opóźnienie w zarejestrowaniu jako instytucja obowiązana w systemie GIIF jest samo w sobie naruszeniem przepisów AML i może stanowić podstawę do wszczęcia postępowania administracyjnego.
Szkolenie AML dla biur rachunkowych
Szkolenie AML dla biur rachunkowych to obowiązek ustawowy, a nie dobrowolna forma doskonalenia zawodowego. Właściciel biura i wszyscy pracownicy, którzy mają kontakt z klientami lub uczestniczą w realizacji obowiązków AML, muszą regularnie odbywać szkolenia z zakresu przepisów i procedur przeciwdziałania praniu pieniędzy. Szkolenie powinno być przeprowadzane przy zatrudnieniu nowego pracownika oraz cyklicznie – co najmniej raz w roku lub po każdej istotnej zmianie przepisów.
Zakres szkolenia AML dla pracowników biura rachunkowego powinien obejmować podstawy prawne systemu AML, opis wewnętrznej procedury AML biura, zasady identyfikacji i weryfikacji klientów, sposób oceny ryzyka, rozpoznawanie sygnałów ostrzegawczych (tzw. czerwonych flag), zasady raportowania do GIIF oraz ochronę pracowników zgłaszających podejrzenia. Szkolenie musi być udokumentowane – biuro powinno prowadzić rejestr szkoleń zawierający datę, zakres tematyczny, listę uczestników i potwierdzenie odbycia szkolenia (np. podpisy uczestników lub certyfikaty ukończenia). Brak dokumentacji szkoleniowej jest jednym z najczęściej kwestionowanych elementów podczas kontroli.
Szkolenia AML dla biur rachunkowych oferuje coraz więcej podmiotów – Stowarzyszenie Księgowych w Polsce, prywatne firmy szkoleniowe, kancelarie prawne specjalizujące się w compliance, a także platformy e-learningowe. Szkolenie przeprowadzone przez zewnętrznego eksperta ma tę zaletę, że jest łatwo udokumentowane, a jego program jest zwykle aktualny i zgodny z obowiązującymi przepisami. Wewnętrzne szkolenia prowadzone przez właściciela biura są dopuszczalne, ale wymagają staranniejszej dokumentacji i potwierdzenia aktualności merytorycznej.
Procedura AML a ochrona sygnalistów
Wewnętrzna procedura AML biura rachunkowego musi zawierać opis systemu anonimowego zgłaszania naruszeń – tzw. procedury sygnalistycznej. Pracownik biura, który stwierdzi nieprawidłowości w stosowaniu procedur AML lub poweźmie podejrzenie, że klient prowadzi działalność związaną z praniem pieniędzy, musi mieć zapewniony bezpieczny kanał zgłaszania tych obserwacji. Ochrona pracownika dokonującego zgłoszenia w dobrej wierze przed negatywnymi konsekwencjami ze strony pracodawcy jest wymogiem ustawowym i elementem każdej prawidłowo skonstruowanej procedury AML.
W biurach jednoosobowych zagadnienie to jest mniej skomplikowane – właściciel sam odpowiada za zgłaszanie podejrzeń do GIIF. W biurach wieloosobowych procedura powinna jednak precyzyjnie opisywać, komu i w jaki sposób pracownik może zgłosić podejrzenie, co dzieje się z takim zgłoszeniem oraz jak biuro chroni zgłaszającego przed działaniami odwetowymi. Procedura sygnalistyczna jest coraz częściej analizowana przez organy kontrolne, szczególnie w kontekście dyrektywy o ochronie sygnalistów, której wymagania pokrywają się z obowiązkami wynikającymi z ustawy AML.
Kary za naruszenie obowiązków AML
Katalog kar za naruszenie obowiązków wynikających z ustawy AML jest bardzo szeroki i obejmuje zarówno sankcje administracyjne, jak i karne. Organ nadzorczy – którym dla biur rachunkowych jest minister właściwy do spraw finansów publicznych – może nałożyć na biuro karę pieniężną do wysokości dwukrotności korzyści uzyskanej lub straty unikniętej w związku z naruszeniem lub, jeśli ich wartość jest niemożliwa do ustalenia, do kwoty 1 000 000 euro. Kara może być nałożona na instytucję obowiązaną, ale przepisy przewidują też odpowiedzialność osobistą osób zarządzających.
Poza karą pieniężną organy mogą stosować inne środki, takie jak nakaz zaprzestania działań naruszających przepisy, publiczne ogłoszenie o naruszeniu (co ma istotne znaczenie wizerunkowe) czy cofnięcie zezwolenia na prowadzenie działalności. W skrajnych przypadkach – gdy naruszenie wiąże się z umyślnym działaniem – właściciel biura może ponieść odpowiedzialność karną z art. 299 Kodeksu karnego, który penalizuje pranie pieniędzy i przewiduje karę pozbawienia wolności od 6 miesięcy do 8 lat.
Praktyka organów kontrolnych wskazuje, że biura rachunkowe są coraz częściej kontrolowane w zakresie AML, a inspektorzy przykładają szczególną wagę do faktycznego stosowania procedur, a nie tylko ich formalnego posiadania. Biuro, które posiada pięknie sformatowaną procedurę AML, ale nie stosuje jej w codziennej pracy, jest w gorszej sytuacji niż biuro, które dopiero wdraża procedury, ale robi to systematycznie i w dobrej wierze. Dokumentacja czynności AML – wypełnione formularze, przeprowadzone oceny ryzyka, raporty ze szkoleń – jest najlepszym dowodem rzetelności biura.
Wdrożenie AML w biurze rachunkowym krok po kroku
Wdrożenie AML w biurze rachunkowym, które jeszcze nie posiada kompletnych procedur, powinno przebiegać etapami. Pierwszym krokiem jest ocena stanu obecnego – identyfikacja, które obowiązki ustawowe są już realizowane, a które wymagają uzupełnienia. Następnie należy przeprowadzić ocenę ryzyka na poziomie instytucji, opracować lub zaktualizować wewnętrzną procedurę AML, wdrożyć formularz AML i ankietę AML dla klientów oraz przeprowadzić szkolenia dla pracowników. Cały proces wdrożenia warto przeprowadzić przy wsparciu doradcy specjalizującego się w compliance AML, co pozwala uniknąć błędów i zapewnia aktualność merytoryczną dokumentacji.
Po wdrożeniu systemu AML niezbędne jest jego utrzymanie i regularna aktualizacja. Przepisy AML zmieniają się, lista krajów wysokiego ryzyka jest aktualizowana, a profil klientów biura ewoluuje. Coroczny przegląd procedury AML, aktualizacja oceny ryzyka instytucji, cykliczne szkolenia pracowników i systematyczna weryfikacja baz PEP i sankcyjnych to minimum, które pozwala utrzymać system AML w sprawności. Warto też śledzić komunikaty GIIF i wytyczne organów nadzorczych, które często precyzują oczekiwania regulatora wobec instytucji obowiązanych.
Na rynku dostępne są dedykowane narzędzia informatyczne wspomagające realizację obowiązków AML – systemy do zarządzania bazą klientów z wbudowanym modułem oceny ryzyka, dostęp do baz PEP i sankcyjnych, automatyczne alerty przy zmianach w profilu klienta. Dla większych biur rachunkowych inwestycja w takie narzędzia może być uzasadniona ekonomicznie, ponieważ znacząco redukuje czas poświęcany na ręczne weryfikacje i dokumentowanie czynności AML. Mniejsze biura mogą korzystać z prostszych rozwiązań – dobrze zaprojektowanych arkuszy kalkulacyjnych i systematycznych procedur manualnych – pod warunkiem że są one konsekwentnie stosowane i dokumentowane.
AML a relacja biura rachunkowego z klientem
Jednym z praktycznych wyzwań wdrożenia procedur AML w biurze rachunkowym jest rozmowa z klientem o potrzebie zebrania dodatkowych informacji i dokumentów. Wielu klientów odbiera pytania o beneficjenta rzeczywistego, źródła finansowania czy strukturę własnościową jako wyraz braku zaufania lub nadmiernej biurokratyzacji. Tymczasem biuro ma ustawowy obowiązek zebrać te informacje i brak ich dostarczenia przez klienta może być podstawą do odmowy świadczenia usług lub zakończenia współpracy.
Dobra praktyka to informowanie klientów już na etapie podpisywania umowy o tym, że biuro działa jako instytucja obowiązana w rozumieniu przepisów AML i że zebranie określonych danych jest wymogiem prawnym. Takie wyjaśnienie zazwyczaj rozwiewa obawy i pozwala przeprowadzić proces identyfikacji bez zbędnych napięć. Klauzula informacyjna AML powinna być standardowym elementem umowy zawieranej z każdym klientem – informuje o obowiązkach biura, o możliwości przekazania informacji do GIIF i o prawie biura do odmowy usług w przypadku niemożności przeprowadzenia skutecznej identyfikacji.
Gdy mimo wyjaśnień klient odmawia dostarczenia niezbędnych informacji lub gdy zebranie informacji jest niemożliwe, biuro nie może nawiązać ani kontynuować relacji biznesowej – taki obowiązek wynika wprost z ustawy. Zakończenie współpracy z klientem z powodów AML powinno być udokumentowane, a fakt odmowy dostarczenia informacji – odnotowany w aktach klienta. W określonych sytuacjach odmowa klienta może stanowić samą w sobie przesłankę do raportowania podejrzenia do GIIF.