Ocena ryzyka AML: jak przeprowadzić analizę ryzyka instytucji i klientów

Podstawą każdego systemu AML jest podejście oparte na ryzyku. Nie chodzi o to, żeby traktować wszystkich klientów identycznie - chodzi o to, żeby większe zasoby i uwagę poświęcić tam, gdzie ryzyko jest największe. Jak przeprowadzić ocenę ryzyka AML dla całej instytucji? Jak oceniać ryzyko poszczególnych klientów? I jak AMLA zmienia te standardy?

Wprowadzenie

Podejście oparte na ryzyku (risk-based approach) to fundament nowoczesnego AML. Oznacza ono, że instytucja sama ocenia, gdzie ryzyko prania pieniędzy jest największe - i tam skupia zasoby.

Teoretycznie proste. W praktyce: skąd wiadomo, jak wysokie jest ryzyko? Co uwzględnić w ocenie? Jak udokumentować, że ocena była rzetelna?

Dwa poziomy oceny ryzyka - instytucja i klient

Ocena ryzyka działa na dwóch poziomach, które muszą być od siebie oddzielone, ale spójne.

Poziom instytucji (Business-wide risk assessment): instytucja ocenia całościowe ryzyko AML swojej działalności. Uwzględnia: charakter świadczonych usług i produktów, obszar geograficzny działalności, profil typowego klienta, kanały dystrybucji (online vs offline), historię podejrzanych transakcji i naruszeń.

Poziom klienta (Customer risk assessment): dla każdego klienta indywidualna ocena ryzyka, biorąca pod uwagę jego cechy charakterystyczne, charakter relacji biznesowej i oczekiwane transakcje.

Czynniki ryzyka - co brać pod uwagę przy ocenie klienta

Czynniki geograficzne: kraj rejestracji lub zamieszkania klienta (czy to kraj z listy FATF high-risk? kraj objęty sankcjami? kraj znany jako centrum prania pieniędzy?), kraje, z którymi klient prowadzi transakcje.

Czynniki związane z klientem: charakter działalności (handel gotówką, nieruchomości, kasyno - wyższe ryzyko niż np. hurtownia budowlana z umowami), złożoność struktury własnościowej, nieoczekiwana zmiana charakteru transakcji, historia wcześniejszych podejrzeń lub zgłoszeń.

Czynniki produktu/usługi: produkty umożliwiające anonimowość, produkty z dużą wartością gotówkową, nowe produkty i technologie o nieznanym profilu ryzyka.

Czynniki kanału dystrybucji: klienci pozyskani bez bezpośredniego kontaktu (online, przez pośredników) - wyższe ryzyko niż klienci pozyskani w placówce.

Matryca ryzyka - jak to zorganizować praktycznie

Większość instytucji stosuje matrycę ryzyka - tabelę, w której czynniki ryzyka są ważone i punktowane, dając ostateczną ocenę: niskie, średnie lub wysokie ryzyko.

Przykładowy schemat:

Kraj z listy FATF high-risk: +30 punktów
PEP: +25 punktów
Transakcje gotówkowe > 50% obrotu: +20 punktów
Nowy klient bez historii: +5 punktów
Klient instytucjonalny z publicznych rynków: -20 punktów

Ostateczna suma decyduje o kategorii ryzyka i - co kluczowe - o tym, jakie środki należy zastosować (CDD vs EDD) i jak często odświeżać ocenę.

Co zmienia AMLA - nowe standardy RTS

Do 10 lipca 2026 roku AMLA ma opublikować wytyczne w sprawie minimalnych wymagań dotyczących treści oceny ryzyka. To będzie europejski standard - i krajowe organy nadzorcze będą od niego wymagać przestrzegania.

Projekt RTS AMLA (już publicznie dostępny) wprowadza ilościowe podejście do oceny ryzyka - ze stałymi punktami za poszczególne czynniki ryzyka. To duża zmiana dla instytucji, które stosują bardziej jakościowe, opisowe podejście.

Instytucje finansowe powinny już teraz zapoznać się z projektem RTS i ocenić, jak ich aktualna metodologia oceny ryzyka ma się do europejskich standardów.

Podsumowanie

Ocena ryzyka AML to nie jednorazowe ćwiczenie - to żywy dokument, aktualizowany regularnie, dostosowywany do zmian w otoczeniu i w portfelu klientów. Dobra ocena ryzyka to fundament całego systemu AML - bez niej wszystkie pozostałe procedury są jak dom bez fundamentów.

Praktyczne pytanie: kiedy ostatnio aktualizowałeś ocenę ryzyka swojej instytucji? Czy uwzględnia ona nowe produkty, nowych klientów i nowe metody przestępców?