Gwałtowny wzrost kar z zakresu AML

Od czasu kryzysu finansowego w 2008 r. banki nieustannie dążą do odbudowania swojego wizerunku jako instytucji zaufania publicznego. Ostatnia dekada to okres intensywnych zawirowań na rynkach finansowych i transformacji cyfrowej, które wymagały od banków szybkiego dostosowania się do zmian i wymagań współczesnej gospodarki. Jakby samo to nie było wystarczającym wyzwaniem, cały czas nie mogą też zapomnieć o oczekiwaniach i potrzebach nowej generacji użytkowników usług bankowych, którzy poszukują innowacyjnych rozwiązań, pozwalających na załatwienie wszelkich tematów związanych z finansami od ręki, ale oczywiście bez uszczerbku na bezpieczeństwie. 

Firmy FinTech, neobanki i banki mobilne rosną w siłę, zmuszając niejako tradycyjne instytucje finansowe do zmiany sposobu operowania. Nie można również zapomnieć o organach regulacyjnych, które mają za zadanie chronić interes publiczny, upewniając się, że dostawcy usług finansowych respektują lokalne i międzynarodowe przepisy, zwłaszcza w obszarze przeciwdziałania praniu pieniędzy (ang. AML – anti-money laundering) i zapobiegania przestępstwom finansowym (ang. FCP – financial crime prevention). 

Od 2008 roku standardy w tym zakresie znacznie wzrosły, co było spowodowane zmieniającą się infrastrukturą technologiczną, wydarzeniami geopolitycznymi, ale także ewoluującym charakterem działalności przestępczej, która, zwłaszcza od kilku ostatnich lat, przybiera coraz to nowsze formy. Wprawdzie wymogi regulacyjne z zakresu AML i FCP mają swoją lokalną specyfikę, ale ich trzon jest w dużej mierze taki sam. O ile banki potrzebują się zmieniać, żeby skutecznie walczyć o przewagę konkurencyjną, oczekuje się od nich, że będą to robić w sposób bezpieczny. To oznacza, że muszą:

• znać swoich klientów i profil ich działalności,
• rozumieć i oceniać zasadność korzystania przez klientów z danej oferty produktowej,
• weryfikować źródło pochodzenia środków finansowych i majątku klientów,
• monitorować i analizować aktywność klientów w czasie,
• analizować i zgłaszać odpowiednim służbom zweryfikowane przypadki podejrzanej działalności,
• prowadzić screening w oparciu o listy sankcyjne, źródła prasowe i wykaz osób eksponowanych politycznie,
• spełniać obowiązki sprawozdawcze.

Dlaczego pranie pieniędzy to tak duży problem?

Według raportu Lexis Nexis Risk Solutions, który wziął pod lupę instytucje finansowe z całego świata, szacowany koszt poniesiony w 2022 roku przez firmy z sektora finansowego na działalności mające na celu przeciwdziałanie praniu brudnych pieniędzy to niebagatelne 274,1 miliardów USD. Badanie wykazało, że kwota ta rośnie z roku na rok, zwłaszcza w Europie Zachodniej i USA. Choć bez wątpienia jest to ogromna suma, na całym świecie działalność przestępcza związana z praniem pieniędzy pochłania rocznie między 800 miliardów do 2 bilionów USD, z czego tylko niewielka część jest odzyskiwana przez służby. Rosnące nakłady na prewencję w tym obszarze cieszą, ale kolejna kara finansowa za niedopełnienie obowiązków wynikających z przepisów AML nadal wydaje się być tylko kwestią czasu. Problem nie dotyczy tylko mniejszych banków, dysponujących skromniejszymi funduszami, z krajów o słabszych regulacjach prawnych. Z dużym prawdopodobieństwem w nagłówkach gazet przeczytamy także o dużych organizacjach, z globalnym zapleczem.

Ostatnie dwa lata obfitują w przykłady, które mogą pomóc zrozumieć, na czym polegają główne uchybienia i ustalić, dlaczego wciąż mają miejsce. Z ich analizy wyłaniają się pewne motywy przewodnie, które szacunkowo można podzielić na trzy kategorie:

• polityki i procedury,
• systemy i infrastruktura,
• ludzie.

W odniesieniu do pierwszego punktu, sam fakt posiadania odpowiednich polityk i procedur nie jest oczywiście wystarczający. O ich skuteczności decyduje to, czy są dostosowane do specyfiki organizacji i regulacji, którym podlega. Jednocześnie muszą być zrozumiałe, łatwo dostępne dla pracowników i właściwie wcielane w życie.  Bez względu na to, jak skuteczne i efektywne są zawarte w nich zapisy, element ludzki sprawia, że mogą być one, z premedytacją lub nie, pomijane. Wszystkie większe kary AML z ostatnich dwóch lat wskazywały na to, że pewne elementy polityk i programów poszczególnych banków nie funkcjonowały zgodnie z założeniami. Przykładem tego może być brak właściwej klasyfikacji całych sektorów klientów pod kątem ryzyka, w wyniku czego przez lata nie stosowano odpowiednich środków należytej staranności w odniesieniu do klientów obarczonych wysokim ryzykiem. Brak właściwej kontroli takich relacji sprawia, że banki stają się podatne na bycie wykorzystanym przez przestępców do prania pieniędzy lub ułatwiania przestępstw finansowych w inny sposób. Analiza ostatnich kar pokazuje również, że procedury i polityki są zbyt rozproszone, a przy tym niewystarczająco szczegółowe, aby dedykowane zespoły mogły dokonywać cyklicznych analiz klienta w sposób spójny i z odpowiednim uwzględnieniem czynników ryzyka dla niego właściwych. W niektórych przypadkach skutkowało to podejmowaniem współpracy z klientami bez właściwego zrozumienia charakteru ich działalności i spodziewanych wolumenów transakcji, co z kolei uniemożliwia późniejszą holistyczną analizę klienta. Braki odnotowano również w zakresie weryfikacji klientów, która potrafiła nie występować wcale, jeśli klientowi nie przypisano odpowiedniego markera ryzyka przy podejmowaniu współpracy. W niektórych z analizowanych banków nie wdrożono właściwego zarządzania cyklem życia klienta, co wiązało się z tym, że błędy popełnione na początkowym etapie miały niewielką szansę na wyłapanie i naprawę w trakcie przyszłej analizy cyklicznej, ponieważ albo nie była ona z góry zaplanowana wcale lub plany nie były konsekwentnie realizowane. W jednym przypadku dopatrzono się poważnych uchybień w procedurach dotyczących zamykania relacji z klientami. Nawet w przypadku klientów, którzy stanowili zbyt duże ryzyko dla banku, proces zamykania kont był skomplikowany i wydłużony w czasie, co stwarza pole do kolejnych nadużyć.

Trudności w monitorowaniu transakcji

W kontekście systemów i infrastruktury, wspólnym wyzwaniem wydaje się być monitoring transakcji, który jest integralną częścią każdej całościowej analizy klienta i jego klasyfikacji pod kątem ryzyka. Nie ma jednego oczekiwanego standardu, w jakim monitoring transakcji powinien być wykonywany, o ile efektywnie realizuje on cel, którym jest  wykrywanie i odpowiednie zaadresowanie podejrzanych transakcji. Musi on też spełniać lokalne i międzynarodowe wymogi regulacyjne. Wszystkie banki analizowane na potrzeby tego artykułu miały wdrożoną jakąś formę monitorowania transakcji, zarówno zautomatyzowaną, jak i manualną. Miały również stosowne polityki opisujące wymogi w zakresie screeningu i monitoringu oraz procedury operacyjne dla pracowników, pozwalające na sprawne poruszanie się po procesach i systemach. Udowodniono jednak, że reguły ustawione w systemie monitorującym nie były wystarczająco „wrażliwe” na różne czynniki ryzyka, a stopień przestrzegania polityk i procedur pozostawiał wiele do życzenia. Ponadto, aplikacje do monitoringu transakcji nie były na bieżąco adaptowane do zmieniających się wymogów regulacyjnych, ale też wewnętrznych, które bank sam sobie narzucał. Jeden z ukaranych banków nie dostosowywał scenariuszy wykrywania ryzyka w systemie monitorującym do czynników ryzyka charakterystycznych dla własnej działalności. Innym uchybieniem było niedostosowanie progów transakcyjnych ustawionych w systemie do scenariuszy i pozostałych reguł monitoringu, co uniemożliwiało właściwą identyfikację podejrzanej aktywności na kontach. Dane wprowadzane do systemów monitorowania transakcji były niekompletne i niedokładne, a ich jakość nieodpowiednio sprawdzana i oceniana. W jednym z analizowanych przykładów, automatyczny system do monitoringu transakcji nie miał wgranych zaktualizowanych filtrów, mimo że zmiany regulacyjne, które zaszły w okresie dochodzenia, jasno tego wymagały. W rezultacie niektórzy klienci o średnim i wysokim ryzyku nie byli w ogóle monitorowani. Bez dobrej jakości danych z systemów monitorujących nie można było przeprowadzić pogłębionej analizy „due diligence”, co utrudniało ocenę ryzyka związanego z przeciwdziałaniem praniu pieniędzy i przestępstwom finansowym. 

Czynnik ludzki a AML

Jeśli chodzi o aspekt ludzki, niewystarczające zasoby nie były głównym wyzwaniem w żadnym z analizowanych na potrzeby tego artykułu przykładów. Głównym problemem okazało się zachowanie pracowników. Najbardziej niepokojący jest fakt, że w 4 z 5 zbadanych przypadków, instytucje finansowe w którymś momencie zdawały sobie sprawę ze swoich niedociągnięć, ale albo nie podejmowały w związku z tym żadnych działań, albo robiły to w niezadowalający sposób. Jeden z banków zasięgnął opinii niezależnego eksperta w temacie własnej zgodności z obowiązującymi przepisami, ale nie wdrożył w pełni sugerowanych w ekspertyzie działań naprawczych i zignorował również zmiany w przepisach w latach kolejnych. Inny bank samodzielnie zidentyfikował szereg problemów w swoim procesie monitorowania transakcji, ale pomimo wielokrotnych raportów wewnętrznych i zewnętrznych potwierdzających potrzebę zmian, nie podjęto wystarczających działań. W jeszcze innym przypadku, audyt wewnętrzny przeprowadzony w okresie objętym postępowaniem wyjaśniającym wykazał braki w systemach monitorowania transakcji i ich implikacje w zakresie ryzyka, ale nie podjęto odpowiednich działań, żeby sprawdzić, czy wynik audytu ma wpływ na inne oddziały i spółki z grupy a tym samym, wdrożyć odpowiednie zmiany. W jednym z analizowanych przypadków, pracownicy wielokrotnie zgłaszali swoje obawy co do zaobserwowanych transakcji za pośrednictwem wewnętrznego kanału raportowania, ale nie zostały one odpowiednio przeanalizowane lub objęte dodatkowym śledztwem. Niezależnie od tego, czy wynika to ze słabego zarządzania ryzykiem, czy też wadliwej kultury korporacyjnej, brak właściwych działań ze strony pracowników i całych funkcji naraża banki i ich klientów na ryzyko różnorakich przestępstw finansowych. Analiza ostatnich kar AML wskazuje również na potrzebę rozważnego podziału ról i obowiązków w instytucjach finansowych. W jednym z analizowanych przypadków zawiniła archaiczna struktura organizacyjna, w której zespoły działały w silosach. Obowiązki w zakresie AML były rozproszone po różnych funkcjach, które nie komunikowały się między sobą i nie wymieniały informacjami, co utrudniało holistyczną ocenę ryzyka klienta. Inne zidentyfikowane niedociągnięcia związane z ludźmi obejmowały niewystarczający nadzór ze strony menedżerów wyższego szczebla nad klientami o podwyższonym ryzyku, nadmierne poleganie na opiekunach klientów podczas procesu pozyskiwania nowych klientów i niewystarczające szkolenie pracowników.

Kluczowe elementy

Trzeba pamiętać, że pewien poziom ryzyka jest integralną częścią prowadzenia działalności gospodarczej. Każdy bank ma swój własny apetyt na ryzyko i musi wprowadzić taki system kontroli, który pozwoli na skuteczne ograniczanie czynników ryzyka, na które jest narażony. Automatyzacja i RegTech często są wskazywane jako rozwiązania, które są w stanie poradzić sobie z większością typowych problemów, z którymi na co dzień borykają się banki. Jednak należy mieć świadomość, że bez odpowiedniego nadzoru, dobrej kultury organizacyjnej, „przykładu z góry”, wykwalifikowanego personelu i skutecznych polityk wewnętrznych, są to tylko narzędzia, które równie dobrze mogą dawać fałszywe poczucie bezpieczeństwa. 
Ważne też, żeby zwrócić uwagę na dwie kwestie:

• wystarczy jeden błąd - uchybienia nie muszą występować przez dłuższy czas, aby bank został objęty karą. Może to być tylko jednorazowy przypadek, który będzie miał długotrwały wpływ na reputację i zaufanie klientów,
• w momencie, kiedy kara jest ogłaszana i nagłaśniana medialnie, powód jej nałożenia już dawno może być naprawiony, ale nagłówki prasowe skutecznie wzbudzą niepokój społeczny.

Dlatego też kluczowe jest, aby banki uczyły się nie tylko na własnych błędach z przeszłości, ale także na potknięciach swojej konkurencji. Muszą zawsze starać się proaktywnie adresować wewnętrzne niedociągnięcia i krytycznie oceniać, czy ich działalność jest w pełni zgodna z oczekiwaniami organów nadzoru.