IT sustav za SPNFT u bankarskom sektoru
| Goran Krmpotić
IT sustav za sprječavanje pranja novca i financiranja terorizma (SPNFT) u bankarskom sektoru UVOD Pod pojmom sprječavanja pranja novca podrazumijevaju se radnje kojima se želi prikriti pravi izvor novca ili neke druge imovine za koje postoji sumnja da su nezakonito stečena u tuzemstvu ili inozemstvu. Pranje novca uključuje svaki oblik zamjene ili bilo kakav drugi prijenos novca ili druge imovine koja proizlazi iz bilo kojeg oblika nezakonite djelatnosti. Postupku pranja novca odnosno prikrivanju pravog izvora novca i sve imovine koja proizlazi iz tog novca uvijek prethodi neki oblik nezakonite aktivnosti. U RH je na snazi Zakon o sprječavanju pranja novca i financiranju terorizma, te kao njegov provedbeni dodatak u obliku Pravilnika o postupku procjene rizika od pranja novca i financiranja terorizma, te načinu provođenja mjera pojednostavljene i pojačane dubinske analize stranaka kao i Pravilnik o obavještavanju Ureda za sprječavanje pranja nova o sumnjivim transakcija, sredstvima i osobama. Uz Zakon i navedene pravilnike regulatorni okvir čine i neki drugi provedbeni propisi kao što su npr. Odluka o mjerama pružatelja platnih usluga u skladu s člankom 25. Uredbe (EU) 2015/847.
GORAN KRMPOTIĆ, ZAGREB, CROATIA,
WWW.GORANKRMPOTIC.EU
1
IT sustav za SPNFT u bankarskom sektoru
| Goran Krmpotić
FAZE PRANJA NOVCA Regulatorni okvir danas poznaje tri faze pranja novca. Za bankarski sektor sve tri faze su fokusu postupanja. Bankarski sektor nužan je osigurati IT sustav koji će moći u realnom vremenu ili s vrlo malim odmakom od realnog vremena omogućiti učinkovito praćenje klijenata i transakcija. PRVA FAZA –
Plasiranje sredstva proistekla iz nezakonitih aktivnosti (npr. trgovine ljudima, drogom, itd.) koja se plasiraju po prvi put u financijski sustav ili se koriste za kupnju visokovrijednih roba ili imovine.
DRUGA FAZA – Prikrivanje se provodi nizom složenih transakcija kojima se pokušava prikriti stvarni izvor nezakonito stečenoga novca ili vlasnike tih sredstava. TREĆA FAZA – Integracija u kojoj tzv. prljavi novac doseže svoj krajnji cilj integriranjem u zdravi financijski sustav.
METODE PRANJA NOVCA Danas se u svijetu, pa tako i RH. upotrebljavaju najrazličitije metode za pranja novca koje su vrlo često skup vrlo sofisticiranih i kompleksnih metoda za prikrivanje podrijetla nezakonito stečene imovine. Najčešće korištene metode su: 1.
Višestruke transakcije u kojima ista osoba u jednome danu obavi više transakcija u kojima ukupan iznos iz takvih transakcija u jednome danu prelazi propisani limit za utvrđivanje i provjeru identiteta,
2.
Fiktivna društva u kojima se prikrivaju oprana sredstva dok legalna društva obavljaju zakonite poslovne aktivnosti u svrhu prikrivanja pranja novca,
3.
Kasina/igračnice u kojima se žetoni kasina razmjenjuju za gotovinu u oba smjera (gotovina-žetoni, te žetoni-gotovina),
4.
Korištenje drugih osoba (povezanih i nepovezanih) s kojima se pokušava prikriti podrijetlo nezakonito stečene imovine,
5.
Strukturiranje većih iznosa gotovine iznad limita za identifikaciju u manje iznose gotovinskih transakcija i njihovo plasiranje u financijski sustav,
6.
Kupovina visokovrijednih dobara ili luksuznih proizvoda (nakita, vozila, jahti i slično) kao i nekretnina, te zemljišta gotovinom,
7.
Kupnja ili prodaja strane valute s deponiranjem i/ili transferiranjem na bankovne račune u offshore financijskim centrima širom svijeta,
GORAN KRMPOTIĆ, ZAGREB, CROATIA,
WWW.GORANKRMPOTIC.EU
2
IT sustav za SPNFT u bankarskom sektoru
8.
| Goran Krmpotić
Okrupnjavanje manje denominiranih novčanica (npr. €10 ili €20) nezakonito stečenih novčanih sredstava u veće denominacije (€100, €200 ili €500) radi lakšeg transferiranja novčanih sredstava.
PROPISANI POSTUPCI ZA BANKARSKI SEKTOR Sve banke su obveznici primjene propisa iz domene SPNFT, a u svom poslovanju obvezni su: PRVO –
Donijeti interni akt kojim se uređuju mjere, radnje i postupanja radi sprječavanja i otkrivanja SPNFT-a u skladu sa Zakonom i primjenjivim propisima,
DRUGO – Kreirati interne kontrole koje su temeljene na utvrđivanju i procjeni rizika (tzv. pristup temeljen na riziku), upravljanju rizicima, te provedbi stalnog praćenja kojim se omogućuje identificiranje potencijalno visokih rizika od SPNFT-a i razvijanje strategija za njihovo umanjivanje. Pristup upravljanja rizikom i umanjenja rizika zahtijeva stalno vodstvo i bezrezervni angažman višeg rukovodstva (managementa) usmjeren na otkrivanje i sprječavanje SPNFT-a. TREĆE – Izrada dubinske analize klijenta kroz stalni proces poznavanja klijenata koji se sastoji od procesa identificiranja klijenta, čuvanja evidencije o promjenama, suštinsko razumijevanje poslovne aktivnosti klijenata, transakcija koje provode, načina na koji posluju, veličina njihove imovine ili broju obuhvaćenih transakcija, itd. ČETVRTO – Stalno praćenje i obavješćivanje koje se sastoji od liste indikatora, mjera praćenja poslovnog odnosa, praćenju složenih i neobičnih transakcija, te obavješćivanju Ureda o transakcijama.
PETO –
Čuvanje podataka i evidencija sukladno odredbama Zakona i na temelju Zakona donesenih podzakonskih propisa, te pripadajuće dokumentacije.
U današnje vrijeme nijedan od navedenih postupaka nije moguće učinkovito voditi bez odgovarajućeg IT sustava.
GORAN KRMPOTIĆ, ZAGREB, CROATIA,
WWW.GORANKRMPOTIC.EU
3
IT sustav za SPNFT u bankarskom sektoru
| Goran Krmpotić
IT SUSTAV ZA SPNFT Što je to IT sustav za SPNFT? IT sustav za SPNFT koristi naprednu tehnologiju kako bi pomogao bankama i drugim financijskim institucijama da poštuju zakonske zahtjeve financijskih regulatora osmišljenih za identifikaciju pranja novca i borbu protiv financijskog kriminala.
Sve institucije koje su obveznici Zakona, pa tako i banke, obvezno moraju uspostaviti odgovarajući IT sustav prilagođen svojoj organizacijskoj strukturi kako bi mogli provoditi dubinsku analizu klijenata, te stalne kontrole, analize i praćenje transakcija, te konačno kako bi Uredu mogli brzo, pravodobno i u cijelosti dostavljati propisane i/ili tražene podatke. Svaki IT sustav trebao bi se sastojati od četiri najvažnije cjeline: Provjera klijenta (Name screening) – danas se upotrebljavaju tzv. "crne liste" visokorizičnih klijenata i poslovnih subjekata s kojima je financijskim institucijama zabranjeno poslovati. IT sustav trebao bi se koristiti za brzu identifikaciju tako pozicioniranih sumnjivih osoba i označiti ih banci kako uopće ne bi uspostavila poslovni odnos ili kako bi ga na vrijeme zaustavila. Osim utvrđivanja sankcija, koristi se i za identifikaciju politički izloženih osoba (Politically Exposed Persons – PEP) kao i pojedinaca koji imaju nepovoljnu medijsku pozornost, tzv. Reputacijski rizik (Reputation Risk). Praćenje transakcija (Transaction monitoring) – Ovaj dio IT sustava posebno se usredotočuje na prepoznavanje sumnjivih obrazaca u transakcijama s klijentima, koristeći povijesne informacije i specifičnosti određenih profila klijenata i računa. Rezultat ovog procesa zaduženog za praćenje sumnjivih transakcija trebao bi se koristiti za generiranje izvješća o sumnjivim aktivnostima koje se potom dostavlja Uredu i/ili regulatoru. Izvješćivanje o valutnim transakcijama (Currency Transaction Reporting (CTR)) - Još jedna od važnih funkcionalnosti IT sustava za SPNFT koju je potrebno uobličiti za uočavanje transakcija koje uključuju velike količine gotovine ili više malih transakcija koje generiraju veliku količinu gotovine. Usklađenost (Compliance) – IT sustav za SPNFT trebao bi se koristiti u svakodnevnoj provedbi zahtjeva usklađenosti. Mogućnosti upravljanja podacima IT sustava mogu se
GORAN KRMPOTIĆ, ZAGREB, CROATIA,
WWW.GORANKRMPOTIC.EU
4
IT sustav za SPNFT u bankarskom sektoru
| Goran Krmpotić
koristiti za detaljnu evidenciju obuke zaposlenika, kao i planiranih revizija, te praćenje izvješća podnesenih regulatoru, kao i drugim nadzornim institucijama.
DUBINSKA ANALIZA (inicijalna, pojednostavljena, pojačana) Banke moraju provesti dubinsku analizu klijenata i njihovih karakteristika, njihovog poslovanja, kao i država i regija iz kojih dolaze, te u kojima posluju kako bi dobile odgovarajuće, potpune i istinite informacije o klijentima. Zakon izričito nalaže da se poslovni odnos i/ili transakcija ne smiju provesti ukoliko dubinska analiza nije provedena u obliku kako je to propisano Zakonom što predstavlja jasno određenje kako je dubinska analiza klijenta imperativ za bilo koji poslovni odnos između banke i klijenta. Osim informacija koje se odnose na same klijente, banke također trebaju dobiti više informacija o opsegu poslovanja klijenata, njihovim glavnim poslovnim partnerima, područjima transakcija, valutama transakcija, veličini očekivanih transakcija, kao i stvarnim korisnicima njihovih usluga. Dubinska analiza obuhvaća nekoliko koraka: 1.
Utvrđivanje i provjera identiteta klijenta,
2.
Utvrđivanje i provjera identiteta stvarnog vlasnika klijenta,
3.
Prikupljanje podataka o namjeni i predviđenoj prirodi poslovnoga odnosa,
4.
Procjena rizika poslovnog odnosa i povremene transakcije,
5.
Ovisno o dodijeljenom riziku provođenje pojednostavljene ili pojačane dubinske analize, te
6.
Kontinuirano praćenje poslovnoga odnosa u odnosu na predviđeni obim poslovnog odnosa i/ili u odnosu na povijesne podatke o poslovnom odnosu.
Na osnovi četiri glavne kategorije rizika od SPNFT prilikom uspostave bilo kakvog oblika poslovnog odnosa potrebno je izvršiti provjeru klijenata provođenjem inicijalne dubinske analize klijenta. Bez obzira radi li se o inicijalnoj, pojednostavljenoj ili pojačanoj dubinskoj analizi IT sustav u nekom osnovnom obliku trebao bi omogućiti: •
Unos matičnih podataka o klijentu i njihovu izmjenu uz vođenje evidencije (tko, što, kada),
•
Provođenje inicijalne dubinsku analizu prilikom uspostave poslovnog odnosa,
•
Kreiranje inicijalne dodjele rizika za svakog klijenta temeljem propisanih indikatora,
GORAN KRMPOTIĆ, ZAGREB, CROATIA,
WWW.GORANKRMPOTIC.EU
5
IT sustav za SPNFT u bankarskom sektoru
| Goran Krmpotić
•
Lako pretraživanje informacija proizašlih iz dubinske analize klijenata, te
•
Pregled ažurnih podataka o transakcijama klijenta.
Uspostavljeni IT sustav bi osim navedenog trebao omogućiti ovlaštenoj osobi i njenom zamjeniku stalno i sigurno praćenje aktivnosti na području SPNFT. U tu svrhu banke bi trebale uspostaviti IT sustav koji će omogućiti vođenje evidencija o klijentima za koje je izvršena dubinska analiza, te ostalih propisanih evidencija Zakonom ili nekim drugim primjenjivim propisom, kao i jednostavno te efikasno pretraživanje svih prikupljenih informacija o klijentima, transakcijama i poslovnim odnosima. Nešto napredniji IT sustav trebao bi uz osnove funkcionalnosti omogućiti: •
Spremanje svih dokumenta o klijentu u elektronskom obliku,
•
Automatsko pretraživanje različitih lista i registara iz unutrašnjih i vanjskih izvora, te upozoravanje odgovorne osobe o podudaranju rezultata,
•
Napredne mogućnosti grupiranja i filtriranja podataka po velikom broju različitih obilježja,
•
Dvostupanjsku verifikaciju dodjeljivanja rizika za klijenta,
•
Automatsko upozoravanje na unaprijed postavljene kontrolne vrijednosti i/ili podatke,
•
Omogućavanje zaustavljanja sumnjive transakcije prije nego što bude provedena,
•
Automatsko grupiranje više transakcija u nekom vremenskom periodu prema nekom predefiniranom obilježju (npr. OIB, i sl.),
•
Omogućavanje automatske promjene rizika za klijenta prilikom promjene matičnih podataka ili uslijed promjene nekog drugog predefiniranog obilježja (npr. pojava klijenta na nekoj od lista, učestale got. transakcije u nekom kraćem vremenskom periodu, obim poslovanja veći od predviđenog, itd.),
•
Kontinuirano praćenje i analizu poslovanja klijenta po različitim računima, ali i sveukupno, te uspoređivanje s očekivanim prometima ili povijesnim prometima,
•
Kreiranje upozorenja prema odgovornoj osobi unutar banke,
•
Itd.
Ovako koncipiran IT sustav trebao bi omogućiti učinkovito praćenje poslovnih odnosa, te lakše prepoznavanje sumnjivih transakcija. Idealan IT sustav trebao bi omogućiti provođenje propisanih politika, kontrola i postupaka SPNFT na učinkovit način. IT sustav trebao bi omogućiti funkcionalnost provođenja dubinske analize, istovremeno popunjavanje i evidentiranje podataka, te neki oblik redovnog, te ad-hoc izvješćivanja.
GORAN KRMPOTIĆ, ZAGREB, CROATIA,
WWW.GORANKRMPOTIC.EU
6
IT sustav za SPNFT u bankarskom sektoru
| Goran Krmpotić
Konačno, bilo bi poželjno kada bi sustav omogućio izradu i ostale potrebne dokumentacije (npr. odgovarajuće obrasce za fizičke osobe kao i za poslovne subjekte, plan osposobljavanja, liste mjera i liste indikatora, odluku o imenovanju ovlaštene osobe, itd.).
KATEGORIJE RIZIKA SPNFT Regulatorni okvir u RH propisuje čimbenike rizika od SPNFT u četiri glavne kategorije: 1.
Rizik određenog financijskog proizvoda i/ili usluge,
2.
Rizik klijenta,
3.
Rizik država i geografskog položaja, te
4.
Rizik kanala dostave.
Sukladno propisima banka je dužna stvoriti cjeloviti sustav o svim čimbenicima rizika od SPNFT koje je identificirala, a koji će skupno odrediti razinu rizika od SPNFT povezanog s pojedinačnim poslovnim odnosom ili povremenom transakcijom. Iz navedenog jasno je kako je banka dužna odrediti pondere važnosti pojedinog čimbenika rizika u kontekstu određenoga poslovnog odnosa ili povremene transakcije što nas dovodi do klasičnog „risk-based“ pristupa kao i neophodnog kreiranja „riskmatrix“ strukture za automatiziranu dodjelu rizika klijentu. U nastavku je prikazana jedna jednostavna (3x3) imaginarna „risk-matrix“ strukutra:
Proizvodnja namještaja
Proizvodnja kemikalija
Države EU članice
Države ne članice EU
Off shore države
Nizak
Nizak
Srednji
–1–
–2–
–3–
Nizak
Srednji
Visok
–2–
–4–
–6–
Matrica na vrlo jednostavan način prikazuje kako rizik raste vezano uz rizik države i rizik sektora poslovanja klijenta. Što je veći broj dodijeljenog rizika to je klijent rizičniji pa je tako neki imaginarni klijent koji proizvodi oružje i posluje s off shore državama znatno rizičniji od klijenta koji proizvodi namještaj i posluje s EU državama.
Potpuno je jasno kako ovakvu „risk-matrix“ strukturu možemo napraviti i u znatno Srednji Visok Visok kompleksnijim slučajevima, te Proizvodnja –3– –6– –9– oružja dodjeljivanjem različitih vrijednosti pondera za različite vrste rizika možemo stvoriti jedinstveni „risk-based“ pristup prema klijentima.
GORAN KRMPOTIĆ, ZAGREB, CROATIA,
WWW.GORANKRMPOTIC.EU
7
IT sustav za SPNFT u bankarskom sektoru
| Goran Krmpotić
OSNOVNE KARAKTERISTIKE IT SUSTAVA Funkcionalni IT sustav za SPNFT morao bi zadovoljiti neke osnovne karakteristike koje bi korisnicima omogućile učinkovit i zadovoljavajući rad: •
Pregledan GUI s početnom podešavajućim kontrolnim ekranom (Dashboard) koji nudi pregled svih najvažnijih stavki,
•
Jednostavno korištenje – izrada dokumentacije i dubinske analize klijenta kroz nekoliko jasnih i jednostavnih koraka,
•
U potpunosti na hrvatskom jeziku i u potpunosti usklađen s hrvatskim regulatornim okvirom,
•
Upisivanje matičnih podataka za pravnu ili fizičku osobu,
•
Upisivanje podataka o poslovnom odnosu, stvarnom vlasniku i odgovornoj osobi,
•
Mogućnost utvrđivanja identiteta stvarnih vlasnika i odgovornih osoba,
•
Provjera u relevantnim registrima (sudski registar, obrtni registar, registar službenika, registar dužnosnika, VIAS, itd.,
•
Provjera u svim dostupnim listama (Taliban, ISIS, itd.)
•
Izrada unaprijed pripremljenih izjava i obrazaca za klijente (koje klijenti popunjavaju i ovjeravaju svojim potpisom) kao što su npr.: Upitnik za novu stranku (pravna osoba), Upitnik za novu stranku (fizička osoba), Upitnik za stvarnog vlasnika, Upitnik za zakonskog zastupnika, Upitnik o političkoj izloženosti, Izjava o političkoj izloženosti, Izjave o izvoru sredstava (općenita i specifične), itd.,
•
Analiza i procjena rizika prema utvrđenim (konfiguriranim) indikatorima kao što su: opći indikatori, identifikacijske isprave, gotovinske transakcije, ekonomski razlozi, poslovni odnosi ili transakcije koje uključuju druge države, poslovni odnosi ili transakcije vezane za porezne oaze (off-shore), lista indikatora vezanih za specifičnu struku/djelatnost, itd.,
•
Izvoz i uvoz dokumenata u i iz drugih formata – PDF, XLSX, CSV, DOCX, JPG, itd.,
•
Ispis svih dokumenta sakupljenih tijekom analize, te mogućnost skeniranja i pohrane njihovog scan (PDF) unutar samog programa,
•
Automatizirana izrada sigurnosne kopije podataka (backup),
•
Automatska nadogradnja na novije verzije programa,
•
Izrada dokumentacije propisane regulatornim okvirom SPNFT kao što su: Interni akt/Pravilnik o provođenju mjera sprječavanja pranja novca i financiranja terorizma, Lista mjera za umanjenje visokog rizika, Lista mjera
GORAN KRMPOTIĆ, ZAGREB, CROATIA,
WWW.GORANKRMPOTIC.EU
8
IT sustav za SPNFT u bankarskom sektoru
| Goran Krmpotić
pojačane dubinske analize, Organizacijski ustroj obveznika, Program osposobljavanja, Odluka o imenovanju ovlaštene osobe, itd.
KOGA SE NADZIRE U suštini Zakon jasno propisuje koga se nadzire i tu su na prvom mjestu banke, ali činjenica je kako banke posluju sa svim ostalim subjektima koje se nadzire pa suštinski ispada da banke kroz svoje poslovanje nadziru i sve ostale subjekte za koje Zakon predviđa nadzor. Sukladno navedenom ocjena rizika s bančine strane za bilo kojeg klijenta koje Zakon nalaže da se nadzire trebao bi rezultirati višim stupnjem rizika nego za one subjekte za koje Zakon ne predviđa institucionalni nadzor. Pod posebnim nadzorom ovlaštenih institucija koja nadziru SPNFT su: •
društva koja obavljaju određene usluge platnog prometa, uključujući i prijenos novca,
•
Hrvatska pošta,
•
društva za izdavanje elektroničkog novca, podružnice društava za izdavanje elektroničkog novca iz država članica, podružnice društava za izdavanje elektroničkog novca iz trećih država i društva za izdavanje elektroničkog novca iz država članica koja su ovlaštena neposredno obavljati usluge izdavanja elektroničkog novca u RH,
•
ovlaštene mjenjačnice,
•
zalagaonice,
•
pravne i fizičke osobe koje obavljaju poslove u vezi s djelatnošću davanja kredita odnosno zajmova koji uključuju potrošačke kredite, hipotekarne kredite, faktoring i financiranje komercijalnih poslova, uključujući forfaiting,
•
pravne i fizičke osobe koje obavljaju poslove u okviru sljedećih profesionalnih djelatnosti kao što su odvjetnik, odvjetničko društvo i javni bilježnik, zatim revizorsko društvo i samostalni revizor, te kao fizičke i pravne osobe koje obavljaju računovodstvene usluge i usluge poreznog savjetovanja.
ZAKLJUČAK Sasvim je vjerojatno kako će problematika SPNFT u narednim godinama sve više dobivati na značenju, te kako će regulatorni okvir postojati sve složeniji i restriktivniji jer je to sada već trend unazad zadnjih desetak godina. Razumno je očekivati kako će u budućnosti nadležno tijelo, Ured ili neki drugo regulatorno tijelo, putem izmjena Zakona tražiti, a onda i sasvim sigurno dobiti,
GORAN KRMPOTIĆ, ZAGREB, CROATIA,
WWW.GORANKRMPOTIC.EU
9
IT sustav za SPNFT u bankarskom sektoru
| Goran Krmpotić
mogućnost uvida u IT sustav SPNFT unutar banke, pa čak i dobivanje mogućnosti zaustavljanja sumnjive transakcije u realnom vremenu. Ukoliko se dogodi ovakav razvoj situacije on će s jedne strane biti dobar za banke jer je dosada regulatorni okvir u nekim dijelovima bio vrlo apstraktan za primjenu kao npr. u dijelu kada je propisivao kada banke ne smije provesti neku transakciju pa je u Zakonu navedeno „suzdržati se od transakcije kada zna, sumnja ili ima razloga sumnjati“ kada se radi o transakciji povezanoj s pranjem novca. Naravno kako je ovakva situacija životno ne provediva jer bez pravomoćne sudske presude kako se u točno konkretnom slučaju baš radi o pranju novca i/ili financiranju terorizma to bi bilo prejudiciranje krivnje nečijeg postupanja, a takav postupak utvrđivanja činjenica svakako nije na bankama već je na nekim drugima tijelima pravne države. Kada bi banke na osnovi „sumnje“ postupile tada bi se izložile dodatnom riziku za svoje poslovanje jer bi bilo oportuno za očekivati kako bi takav klijent mogao pokrenuti odgovarajuće postupke za naknadu štete. Zakon propisuje samo jedan slučaj kada banka ne smije provesti transakciju klijenta, a to je samo u slučaju kada ne može provesti dubinsku analizu, što je i logično postupanje jer ukoliko banke ne može doći do podataka o klijentu onda ne radi Zakona već radi rizika za svoje poslovanje takvu transakciju nikako ne bi smjela provesti. Obzirom na sve navedeno nedvojbeno je kako će se regulatorni okvir u ovom području u narednim godinama znatno mijenjati, te kako će biti potrebno stalno mijenjati i nadograđivati IT sustav za SPNFT s novim i naprednijim funkcionalnostima osobito u segmentu procjene rizika i praćenja transakcija.
GORAN KRMPOTIĆ, ZAGREB, CROATIA,
WWW.GORANKRMPOTIC.EU
10