Wprowadzenie
Polska ustawa AML i nowe przepisy UE wymagają, żeby systemy AML były poddawane regularnej ocenie. Dla dużych instytucji - przez niezależny dział audytu wewnętrznego. Dla mniejszych - przez wyznaczoną osobę lub zewnętrznego audytora.
Ale audyt AML, żeby był wartościowy, musi wykraczać poza sprawdzenie, czy procedury istnieją. Musi ocenić, czy faktycznie działają.
Zakres audytu AML - co powinien obejmować
Kompletny audyt systemu AML powinien obejmować następujące obszary:
Governance i kultura: czy zarząd jest aktywnie zaangażowany w AML? Czy istnieje jasna struktura odpowiedzialności? Czy kultura compliance jest widoczna?
Ocena ryzyka: czy instytucja przeprowadziła aktualną ocenę ryzyka AML (business-wide)? Czy uwzględnia wyniki KOR? Czy jest regularnie aktualizowana?
Procedury wewnętrzne: czy istnieje aktualna, kompletna procedura AML? Czy jest znana pracownikom? Czy jest stosowana w praktyce (nie tylko na papierze)?
KYC i onboarding: próba losowa akt klientów - czy dane są kompletne, czy beneficjenci rzeczywiści są zidentyfikowani, czy ocena ryzyka jest udokumentowana?
Transaction monitoring: czy system jest właściwie skonfigurowany? Jakie są wskaźniki false positives? Czy procesy obsługi alertów są właściwe i udokumentowane?
Raportowanie do GIIF: czy transakcje nadprogowe są rejestrowane? Czy STRy są składane terminowo i kompletnie?
Szkolenia: czy wszyscy pracownicy zostali przeszkoleni? Kiedy? Czy szkolenia są dostosowane do roli?
Screening sankcyjny: jak często jest przeprowadzany? Jakie listy są sprawdzane? Jak obsługiwane są "hity"?
Metodologia audytu - jak zbierać dowody
Przegląd dokumentów: analiza procedur, polityk, raportów dla zarządu, wyników poprzednich kontroli.
Próba transakcji i akt klientów: losowe próbkowanie akt klientów i transakcji dla weryfikacji, czy procedury są stosowane w praktyce. Rozmiar próby zależy od skali instytucji - zazwyczaj od kilkudziesięciu do kilkuset akt.
Wywiady z pracownikami: rozmowy z analitykami AML, pracownikami front office, menedżerami compliance - dla oceny poziomu wiedzy i kultury compliance.
Testy systemów: sprawdzenie działania systemów transaction monitoring, screeningu sankcyjnego i KYC - czy działają zgodnie z konfiguracją?
Mystery shopping: testowe przypadki podejrzanych transakcji lub klientów - czy system i pracownicy reagują właściwie?
Raportowanie z audytu - co powinien zawierać raport
Dobry raport z audytu AML zawiera: podsumowanie wykonawcze dla zarządu (kluczowe ustalenia i rekomendacje w jednej stronie), metodologię audytu (zakres, daty, zastosowane techniki), ustalenia - opisane konkretnie z odwołaniem do przepisów i dowodów, rating poszczególnych obszarów (np. wysoki/średni/niski poziom ryzyka), rekomendacje - konkretne, z terminami i właścicielami, odpowiedź kierownictwa na rekomendacje.
Raport powinien trafić do zarządu i rady nadzorczej - nie tylko do działu compliance.
Podsumowanie
Audyt wewnętrzny AML to "lustro" systemu compliance - pokazuje, co faktycznie działa, a co tylko wygląda dobrze na papierze. Dobrze przeprowadzony audyt identyfikuje luki zanim zrobi to organ nadzorczy - i daje czas na działania naprawcze.
Pytanie: kiedy twoja instytucja przeprowadziła ostatni kompleksowy audyt AML - i czy obejmował on testy rzeczywistego funkcjonowania systemu, a nie tylko przegląd dokumentów?
Dyskusja