Audyt wewnętrzny AML: jak przeprowadzić skuteczny przegląd systemu AML w instytucji

Organ nadzorczy puka do drzwi - i pyta o "ostatni audyt wewnętrzny systemu AML". Kiedy był? Co obejmował? Jakie znalazł luki? Jakie działania naprawcze zostały podjęte? Audyt wewnętrzny AML to nie formalność - to kluczowy element systemu zapewnienia skuteczności compliance. Jak go przeprowadzić dobrze?

Wprowadzenie

Polska ustawa AML i nowe przepisy UE wymagają, żeby systemy AML były poddawane regularnej ocenie. Dla dużych instytucji - przez niezależny dział audytu wewnętrznego. Dla mniejszych - przez wyznaczoną osobę lub zewnętrznego audytora.

Ale audyt AML, żeby był wartościowy, musi wykraczać poza sprawdzenie, czy procedury istnieją. Musi ocenić, czy faktycznie działają.

Zakres audytu AML - co powinien obejmować

Kompletny audyt systemu AML powinien obejmować następujące obszary:

Governance i kultura: czy zarząd jest aktywnie zaangażowany w AML? Czy istnieje jasna struktura odpowiedzialności? Czy kultura compliance jest widoczna?

Ocena ryzyka: czy instytucja przeprowadziła aktualną ocenę ryzyka AML (business-wide)? Czy uwzględnia wyniki KOR? Czy jest regularnie aktualizowana?

Procedury wewnętrzne: czy istnieje aktualna, kompletna procedura AML? Czy jest znana pracownikom? Czy jest stosowana w praktyce (nie tylko na papierze)?

KYC i onboarding: próba losowa akt klientów - czy dane są kompletne, czy beneficjenci rzeczywiści są zidentyfikowani, czy ocena ryzyka jest udokumentowana?

Transaction monitoring: czy system jest właściwie skonfigurowany? Jakie są wskaźniki false positives? Czy procesy obsługi alertów są właściwe i udokumentowane?

Raportowanie do GIIF: czy transakcje nadprogowe są rejestrowane? Czy STRy są składane terminowo i kompletnie?

Szkolenia: czy wszyscy pracownicy zostali przeszkoleni? Kiedy? Czy szkolenia są dostosowane do roli?

Screening sankcyjny: jak często jest przeprowadzany? Jakie listy są sprawdzane? Jak obsługiwane są "hity"?

Metodologia audytu - jak zbierać dowody

Przegląd dokumentów: analiza procedur, polityk, raportów dla zarządu, wyników poprzednich kontroli.

Próba transakcji i akt klientów: losowe próbkowanie akt klientów i transakcji dla weryfikacji, czy procedury są stosowane w praktyce. Rozmiar próby zależy od skali instytucji - zazwyczaj od kilkudziesięciu do kilkuset akt.

Wywiady z pracownikami: rozmowy z analitykami AML, pracownikami front office, menedżerami compliance - dla oceny poziomu wiedzy i kultury compliance.

Testy systemów: sprawdzenie działania systemów transaction monitoring, screeningu sankcyjnego i KYC - czy działają zgodnie z konfiguracją?

Mystery shopping: testowe przypadki podejrzanych transakcji lub klientów - czy system i pracownicy reagują właściwie?

Raportowanie z audytu - co powinien zawierać raport

Dobry raport z audytu AML zawiera: podsumowanie wykonawcze dla zarządu (kluczowe ustalenia i rekomendacje w jednej stronie), metodologię audytu (zakres, daty, zastosowane techniki), ustalenia - opisane konkretnie z odwołaniem do przepisów i dowodów, rating poszczególnych obszarów (np. wysoki/średni/niski poziom ryzyka), rekomendacje - konkretne, z terminami i właścicielami, odpowiedź kierownictwa na rekomendacje.

Raport powinien trafić do zarządu i rady nadzorczej - nie tylko do działu compliance.

Podsumowanie

Audyt wewnętrzny AML to "lustro" systemu compliance - pokazuje, co faktycznie działa, a co tylko wygląda dobrze na papierze. Dobrze przeprowadzony audyt identyfikuje luki zanim zrobi to organ nadzorczy - i daje czas na działania naprawcze.

Pytanie: kiedy twoja instytucja przeprowadziła ostatni kompleksowy audyt AML - i czy obejmował on testy rzeczywistego funkcjonowania systemu, a nie tylko przegląd dokumentów?