Smernice o oceni tveganja pranja denarja in financiranja terorizma

Na podlagi 31. člena Zakona o Banki Slovenije (Uradni list RS, št. 72/06 – uradno prečiščeno besedilo, 59/11 in 55/17, v nadaljevanju: ZBS-1) in 169. člena Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22, v nadaljevanju: ZPPDFT-2) je Svet Banke Slovenije na seji dne 5. 5. 2022 sprejel:

Seznam okrajšav

AMLD	Direktiva 2015/849/EU z dne 20. maja 2015 o preprečevanju uporabe finančnega sistema za pranje denarja ali financiranje terorizma in Direktiva 2018/843/EU z dne 30. maja 2018 o spremembi Direktive 2015/849/EU o preprečevanju uporabe finančnega sistema za pranje denarja ali financiranje terorizma ter o spremembi direktiv 2009/138/ES in 2013/36/EU
AJPES	Agencija Republike Slovenije za javnopravne evidence in storitve
BCBS	Baselski odbor za bančni nadzor (angl. Basel Committee on Banking Supervision)
BS	Banka Slovenije
DL	Dejanski lastnik
e-denar	Elektronski denar (ima enak pomen kot v zakonu, ki ureja plačilne storitve in sisteme)
EGP	Evropski gospodarski prostor
EU	Evropska unija
EBA	Evropski bančni organ (angl. European Banking Authority)
FATF	Projektna skupina za finančno ukrepanje (angl. Financial Action Task Force)
FBE	Konsolidiran seznam oseb, skupin in subjektov, ki so vpleteni v teroristična dejanja in za katere veljajo omejevalni ukrepi EU
FT	Financiranje terorizma
KDD	Centralna klirinško depotna družba
KYC	Poznavanje stranke (angl. Know Your Customer)
Moneyval	Odbor strokovnjakov za oceno ukrepov proti pranju denarja in financiranje terorizma v okviru Sveta Evrope (angl. Committee of Experts on the Evaluation of Anti-Money Laundering Measures and the Financing of Terrorism, Council of Europe)
Nacionalna ocena tveganja	Poročilo o izvedbi nacionalne ocene tveganja Republike Slovenije za pranje denarja in financiranje terorizma (trenutno veljavni povzetek poročila št. 460-19/2019-130 je bil objavljen maja 2021)
Nadnacionalna ocena tveganja	Poročilo Komisije Evropskemu parlamentu in Svetu o oceni tveganja pranja denarja in financiranja terorizma, ki vpliva na notranji trg in je povezano s čezmejnimi dejavnostmi (trenutno veljavno poročilo UL št. COM/2019/370)
PD	Pranje denarja
PIO	Politično izpostavljena oseba
Pooblaščenec za PPDFT	Pooblaščenec za preprečevanje pranja denarja in financiranje terorizma
PPDFT	Preprečevanje pranja denarja in financiranja terorizma
PRADO	Javni register pravih osebnih dokumentov in potnih listin na spletu (angl. Public Register of Authentic identity and travel Documents Online)
Smernice o dejavnikih tveganja PD/FT	Smernice na podlagi člena 17 in člena 18(4) Direktive (EU) 2015/849 o poenostavljenem in okrepljenem skrbnem preverjanju strank ter dejavnikih, ki bi jih kreditne in finančne institucije morale upoštevati pri oceni tveganja pranja denarja in financiranja terorizma, povezanega s posameznimi poslovnimi odnosi in občasnimi transakcijami, z oznako EBA/GL/2021/02, ki jih je 1. 3. 2021 izdal evropski bančni organ EBA
Smernice	Smernice o oceni tveganja PD/FT, ki jih je 5. 5. 2022 potrdil Svet Banke Slovenije
Stopnje tveganja: NT, OT, PT, VT	Smernice pri določanju stopenj tveganja razlikujejo med nizkim tveganjem (NT), običajnim tveganjem (OT), povečanim tveganjem (PT) in visokim tveganjem (VT)
Urad	Urad RS za preprečevanje pranja denarja, Cankarjeva 5, 1000 Ljubljana
ZBS-1	Zakon, ki ureja Banko Slovenije, na dan izdaje smernic Zakon o Banki Slovenije (Uradni list RS, št. 72/06 – uradno prečiščeno besedilo, 59/11 in 55/17) oziroma v primeru sprememb v vsakokrat veljavnem besedilu
ZGD-1	Zakon, ki ureja gospodarske družbe, na dan izdaje smernic Zakon o gospodarskih družbah (Uradni list RS, št. 65/09 – uradno prečiščeno besedilo, 33/11, 91/11, 32/12, 57/12, 44/13 – odl. US, 82/13, 55/15, 15/17, 22/19 – ZPosS, 158/20 – ZIntPK-C in 18/21) oziroma v primeru sprememb v vsakokrat veljavnem besedilu
ZOUPAMO	Zakon, ki ureja omejevalne ukrepe, na dan izdaje smernic Zakon o omejevalnih ukrepih, ki jih Republika Slovenija uvede ali izvaja skladno s pravnimi akti in odločitvami, sprejetimi v okviru mednarodnih organizacij (Uradni list RS, št. 127/06, 44/22) oziroma v primeru sprememb v vsakokrat veljavnem besedilu
ZPlaSSIED	Zakon, ki ureja plačilne storitve, storitve izdajanja elektronskega denarja in plačilne sisteme, na dan izdaje smernic Zakon o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (Uradni list RS, št. 7/18, 9/18 – popr. in 102/20) oziroma v primeru sprememb v vsakokrat veljavnem besedilu
ZPPDFT-2	Zakon, ki ureja področje preprečevanja pranja denarja in financiranja terorizma, na dan izdaje smernic Zakon o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22) oziroma v primeru sprememb v vsakokrat veljavnem besedilu

Za učinkovito obvladovanje tveganj PD/FT morajo zavezanci v skladu z določbami ZPPDFT-2 ugotoviti in oceniti tovrstna tveganja ter na tej podlagi prilagoditi kontrolno okolje tako, da je to sorazmerno z ocenjenimi tveganji PD/FT.

BS v skladu s 169. členom ZPPDFT-2 izdaja te smernice,s katerimi daje usmeritve glede izvajanja posameznih zahtev ZPPDFT-2, ki se nanašajo na:

Zavezanci pri izvajanju zahtev upoštevajo tudi Smernice o dejavnikih tveganja PD/FT, ki jih je marca 2021 na podlagi AMLD izdal EBA in katerih neposredno uporabo je BS za zavezance iz poglavja 1.2. smernic, z izjemo za zavezance iz 6. točke omenjenega poglavja, določila s Sklepom o uporabi Smernic o poenostavljenem in okrepljenem skrbnem preverjanju strank ter dejavnikih, ki bi jih kreditne in finančne institucije morale upoštevati pri oceni tveganja pranja denarja in financiranja terorizma, povezanega s posameznimi poslovnimi odnosi in občasnimi transakcijami (Uradni list RS, št. 153/21).

Zaradi učinkovitega obvladovanja tveganj PD/FT zavezanec v skladu s smernicami in Smernicami o dejavnikih tveganja PD/FT pripravi oziroma posodobi obstoječe politike, postopke in kontrole. Zahtevano posodobitev politik, postopkov in notranjih kontrol zavezanec zagotovi v roku, opredeljenem v končnih določbah (glej7. poglavje Končne določbe). Če smernice in Smernice o dejavnikih tveganja PD/FT določajo različno stopnjo tveganja ali ukrepe, zavezanci upoštevajo strožji kriterij oziroma ukrepe izvedejo kumulativno.

Smernice so namenjenezavezancem, za katere je BS v skladu s prvim odstavkom 164. člena ZPPDFT-2 opredeljena kot pristojni nadzorni organ, in sicer:

Ob upoštevanju poročila o ugotovitvah nacionalne ocene tveganja in nadnacionalne ocene tveganja smernice vsebujejo »splošne smernice«, ki veljajo za vse zavezance, razen v delih, kjer »sektorske smernice«, v skladu z načelom sorazmernosti za posamezne kategorije zavezancev določajo posebnosti in nekatere poenostavitve.

Nabor kriterijev tveganja in ukrepov, navedenih v smernicah, ni izčrpen, zavezanci zato po potrebi smiselno upoštevajo tudi druge kriterije tveganja in ukrepe za učinkovito obvladovanje tveganj PD/FT.

Smernice se ne uporabljajo za omejevalne ukrepe, ki so v Republiki Sloveniji sistemsko urejeni z ZOUPAMO.

Če ni določeno drugače, imajo izrazi v smernicah enak pomen kot izrazi, uporabljeni v ZPPDFT-2. V okviru smernic imajo pojmi naslednji pomen:

Tveganje PD/FT je tveganje, da bo stranka izrabila finančni sistem za PD ali FT, oziroma tveganje, da bo stranka poslovno razmerje, transakcijo, produkt, storitev ali distribucijsko pot ob upoštevanju dejavnika geografskega tveganja posredno ali neposredno uporabila za PD/FT (prvi odstavek 18. člena ZPPDFT-2).

Zavezanec mora v skladu z ZPPDFT-2 oceniti tveganje PD/FT pri svojem poslovanju, na tej podlagi vzpostaviti politike, postopke in kontrole za učinkovito blažitev tveganj PD/FT ter pri tem kot eno izmed ključnih nalog na področju PPDFT izvajati ukrepe pregleda stranke.

Z izvajanjem ukrepa pregleda stranke zavezanci pridobijo informacije o stranki ter skupaj s podatki o storitvah, produktih in distribucijskih poteh, ki jih stranka uporablja v sklopu sklenjenega poslovnega razmerja, ocenijo, v kolikšni meri je stranka tvegana z vidika PD/FT – ocena tveganja stranke (OTS).

Namen OTS je ustrezno obvladovanje tveganj, ki jih za zavezanca predstavlja določena stranka. Zavezanec na podlagi OTS določi vrsto pregleda stranke (običajen, poglobljen ali poenostavljen), ki posledično vpliva tudi na pogostost spremljanja njenega poslovanja, vključno s postopkom rednega preverjanja in posodabljanja pridobljenih podatkov in dokumentacije o stranki.

Poleg ocenjevanja tveganj na ravni posamezne stranke zavezanci pripravijo tudi oceno tveganja zavezanca (OTZ), v kateri so analizirane in ocenjene skupine ali vrste strank, transakcij, produktov, storitev ali distribucijskih poti (inherentno tveganje) ter v kateri je ocenjena učinkovitost obstoječega kontrolnega okolja in izračunano preostalo tveganje. Na podlagi OTZ zavezanci ugotovijo tveganja PD/FT, ki izhajajo iz njihovega poslovanja, in je podlaga za sprejetje ustreznih ukrepov, ki bodo ugotovljena tveganja PD/FT zmanjševali.

Pri ocenjevanju tveganj (OTZ in OTS) zavezanec upošteva načelo sorazmernosti, v skladu s katerim ukrepe za PPDFT prilagodi naravi in obsegu svojega poslovanja (podrobneje tudi sektorske smernice).

V skladu s pristopom, ki temelji na oceni tveganja (angl. Risk Based Approach), mora OTS odražati posebnosti stranke in njenega poslovanja,medtem ko mora OTZ odražati posebnosti zavezanca in njegovega poslovanja.

Zavezanci, ki imajo podružnice in hčerinske družbe v večinski lasti, morajo izdelati tudi OTZ skupine, v kateri so upoštevane OTZ posameznih družb, ki so zavezane k izvajanju ukrepov PPDFT in tvorijo skupino. Zavezanci, ki so del skupine, upoštevajo OTZ matične družbe.

Zavezanci opredelijo in dokumentirajo metodologijo za pripravo OTZ in tudi vsakokratno OTZ.

Zavezanci v notranjih politikah opredelijo metodologijo priprave OTS in kriterije tveganja, ki jih zavezanci upoštevajo pri izdelavi OTS.

OTZ in notranje politike iz prejšnjega odstavka mora odobriti vodstvo zavezanca.

Polega tega mora zavezanec zagotoviti, da so zaposleni seznanjeni z OTZ in kriteriji tveganja, ki vplivajo na OTS, in kako ti vplivajo na njihovo delo. Zavezanec mora skrbeti za redno strokovno usposabljanje vseh zaposlenih, ki opravljajo naloge PPDFT (drugi odstavek 87. člena ZPPDFT-2). Cilj usposabljanja in izobraževanja zaposlenih je krepiti zavedanje in ustrezno razumevanje tveganj PD/FT ter zagotavljati, da zaposleni učinkovito opravljajo naloge PPDFT.

Ocena tveganja ni enkraten dogodek, temveč je kontinuiran proces. Zavezanci morajo oceno tveganja redno posodabljati, zlasti ob upoštevanju sprememb:

V skladu s tem mora zavezanec zagotoviti redno pregledovanje in posodabljanje OTZ ter notranjih politik OTS, vključno s kriteriji tveganja, ki vplivajo na OTS. Pri tem mora zavezanec zagotoviti vsaj (glej tudi 6. poglavje Sektorske smernice za posamezne zavezance):

Ocena tveganja zavezanca (OTZ) je zavezancu v pomoč pri razumevanju tega, katera poslovna področja so izpostavljena večjemu tveganju za morebitne zlorabe z vidika PD/FT in na katerih je treba okrepiti kontrolno okolje, da bodo tveganja PD/FT uspešno obvladovana. Tudi BCBS v Smernicah za učinkovito upravljanje tveganj PPDFT (Glej opombo 1) ugotavlja, da učinkovito upravljanje tveganj PD/FT zahteva pravočasno prepoznavanje in oceno tveganj na ravni zavezanca ter pripravo in implementacijo ustreznih politik, postopkov in kontrol, sorazmernih s stopnjo ugotovljenega tveganja.

18. člen ZPPDFT-2 določa, da mora zavezanec opredeliti in oceniti tveganja, povezana s posameznimi skupinami ali vrstami strank, s katerimi ima sklenjeno poslovno razmerje; z geografskimi območji, s katerih prihajajo stranke ali s katerimi so povezane transakcije zavezanca; s produkti in storitvami, ki jih ponuja; transakcijami, ki jih izvaja, ter distribucijskimi potmi, prek katerih ponuja produkte in storitve. Ob upoštevanju značilnosti (zlasti velikosti, vrste in obsega poslov, raznolikosti strank in poslovnih razmerij) zavezanca mora ta za učinkovito opredelitev in oceno posameznih tveganj iz 18. člena ZPPDFT-2 opredeliti in oceniti tudi tveganje, ki izvira iz njegovega poslovanja.

OTZ se uporabi za naslednji namen:

Pri OTZ zavezanec upošteva kriterije tveganja na ravni skupine ali vrste strank, produktov, storitev, transakcij, geografskih območij, distribucijskih poti (inherentno tveganje) in vzpostavljeno kontrolno okolje. Poleg tega zavezanec upošteva tudi druge kriterije tveganja, ki bi lahko vplivali na njegovo OTZ, kot so tveganje na ravni države in sektorsko tveganje ter strategija poslovanja zavezanca v prihodnje (npr. širjenje poslovne mreže, novi produkti, dodatno zaposlovanje).

Pri pripravi metodologije za OTZ in tudi sami izvedbi OTZ dejavno sodeluje pooblaščenec za PPDFT, ki ima potrebne informacije in strokovno znanje, na podlagi katerih oceni, ali je OTZ v skladu z naravo in obsegom poslovanja zavezanca. Pri tem je ključna tudi vloga zaposlenih, ki so v skladu z ZPPDFT-2 dolžni pooblaščencu za PPDFT zagotoviti pomoč in podporo pri zagotavljanju potrebnih podatkov in dokumentacije za OTZ. Če zavezanec pripravo OTZ v celoti prepusti drugi osebi ali organizacijski enoti pri zavezancu ali zunanjemu izvajalcu, mora pooblaščenec za PPDFT pregledati OTZ in podatke, ki so bili podlaga za pripravo, ter oceniti, ali OTZ izraža dejansko stanje zavezanca.

Ne glede na to, ali zavezanec sam pripravi OTZ ali pri tem uporablja zunanjega izvajalca, mora OTZ odražatiposebnosti zavezanca in njegovega poslovanja.

V skladu z načelom sorazmernosti, zavezanci, ki ne ponujajo kompleksnih produktov ali storitev in katerih izpostavljenost tveganjem PD/FT je nizka, ne potrebujejo kompleksnih ali obširnih OTZ. Opredelitev tovrstnih zavezancev in minimalnih standardov za oceno inherentnega tveganja in področja, na podlagi katerih zavezanci ocenijo kontrolno okolje, vsebujejo sektorske smernice (glej 6. poglavje Sektorske smernice za posamezne zavezance).

OTZ mora zajemati celotno poslovanje zavezanca, v katerem je izpostavljen tveganjem PD/FT. OTZ je sestavljena iz ocene inherentnega tveganja in ocene vzpostavljenega kontrolnega okolja ter se odraža v ocenipreostalega tveganja (angl. Residual Risk).

OCENA TVEGANJA ZAVEZANCA
Inherentno tveganje	Kontrolno okolje	Preostalo tveganje
Stranke	Upravljanje tveganj PPDFT	Na podlagi ocene inherentnega tveganja in kontrolnega okolja, ocenimo preostalo tveganje kot: – nizko tvegano – običajno tvegano – povečano tvegano – visoko tvegano
	Politike in postopki
Geografska območja	Pregled stranke
	Poročanje
Produkti in storitve	Vodenje evidenc in hramba podatkov
	Funkcija PPDFT
Transakcije	Zaznava in poročanje suma PD/FT
	Monitoring in notranje kontrole
Distribucijske poti	Izobraževanja
	Neodvisna revizija
Druga tveganja	Nadzorniški ukrepi

OTZ je odvisna od velikosti zavezanca, narave njegovega poslovanja oziroma politike do sprejemanja tveganj in posledično vzpostavljenih kontrol glede na tveganja (glej 6. poglavje Sektorske smernice za posamezne zavezance).

V nadaljevanju so navedeni kriteriji za oceno inherentnega tveganja in področja, na podlagi katerih zavezanci ocenijo kontrolno okolje. Zavezanci upoštevajo spodaj navedene kriterije inherentnega tveganja in kriterije znotraj področij kontrolnega okolja v obsegu in vsebini, kot so relevantna za zavezanca. Zavezanec predlagani nabor kriterijev dopolni glede na lastna tveganja PD/FT.

Inherentno tveganje je tveganje, ki mu je zavezanec izpostavljen pred vzpostavitvijo kontrolnega okolja. Pri ocenjevanju inherentnega tveganja zavezanec analizira kriterije tveganja, ki jih lahko združimo v naslednje skupine:

Zavezanec analizira število strank glede na vrste oziroma skupine strank, ki jih razvrsti glede na naslednje kriterije tveganja:

– stranke OTS (npr. število strank, razvrščenih v kategorijo tveganosti stranke nizkega, običajnega oziroma visokega tveganja);

– status stranke (npr. število rezidentov, nerezidentov; število PIO; število družb, ki kotirajo na borzi vrednostnih papirjev, organi javne uprave in javna podjetja);

– dejavnosti stranke (npr. število družb, ki delujejo v visoko tvegani industriji oziroma katerih dejavnost je visoko tvegana);

– ugled stranke (npr. število prejetih poizvedb oziroma zahtev za zadržanje sredstev s strani Urada glede na stranko);

– obnašanje stranke (npr. število prijav suma PD/FT glede na stranko).

Zavezanec analizira, v kolikšnem obsegu posluje s strankami, ki so povezane z bolj in manj tveganimi geografskimi območji, glede na:

– sedež oziroma stalno ali začasno prebivališče stranke (npr. število strank, ki imajo sedež, stalno ali začasno prebivališče na geografskem območju, ki predstavlja nizko, običajno, povečano ali visoko tvegano geografsko območje; stranka ima sedež, stalno ali začasno prebivališče v državi, za katero veljajo omejevalni ukrepi, ali v državi s Seznama tretjih držav z visokim tveganjem);

– državljanstvo stranke (npr. število strank, ki so državljani geografskega območja, ki predstavlja nizko, običajno, povečano ali visoko tveganega geografskega območja; število strank, ki so državljani države, za katero veljajo omejevalni ukrepi, ali države s Seznama tretjih držav z visokim tveganjem).

Produkti, storitve in transakcije, ki jih zavezanec ponuja strankam, lahko pomembno vplivajo na tveganje PD/FT. Zato se v okviru te skupine upošteva obseg poslovanja po posameznih vrstah produktov in storitev:

– računi (npr. obseg poslovanja na transakcijskih računih rezidentov/nerezidentov, obseg poslovanja na računih z e-banko, obseg poslovanja na varčevalnih računih, trgovalnih računih);

– kartice (npr. obseg poslovanja s predplačniškimi karticami);

– depoziti (npr. stanje depozitov);

– krediti (npr. stranke hipotekarnih, potrošniških, premostitvenih kreditov);

– drugi produkti, ki jih ponuja zavezanec;

Določene distribucijske poti predstavljajo višje tveganje PD/FT, zato jih je smiselno upoštevati pri oceni inherentnega tveganja. Pri tem je pomembno število strank, ki so sklenile poslovno razmerje z zavezancem prek posamezne distribucijske poti (npr. poslovna razmerja, sklenjena v osebni navzočnosti, prek tretje osebe, s sredstvi elektronske identifikacije, z uporabo videoelektronske identifikacije oziroma z drugimi načini ugotavljanja in preverjanja istovetnosti).

– velikost zavezanca (npr. število zaposlenih, poslovalnic, podružnic in hčerinskih družb);

– geografska izpostavljenost zavezanca (npr. sedež matične družbe, sedež podružnic in hčerinskih družb);

– kadrovske spremembe pri zavezancu (npr. v komercialnih službah, zalednih službah na mestu pooblaščenca za PPDFT);

– vzpostavljena informacijska podpora za PPDFT (npr. kdo je razvil podporo, kako se obdelujejo zadetki, se obdelujejo pravočasno);

– sektorsko tveganje (npr. kot izhaja iz nadnacionalne in nacionalne ocene tveganja).

Zaradi različne narave in načina poslovanja se inherentno tveganje pri zavezancih iz 1. in 2. točke poglavja 1.2. Področje uporabe ugotavlja za vsako poslovno področje, in sicer za:

Tovrstna razdelitev zavezancu omogoča prepoznavanje tveganj ne le na ravni zavezanca, temveč tudi na ravni posameznega poslovnega področja. V skladu s tem lahko zavezanec hitreje pristopi k odpravljanju morebitnih ugotovljenih tveganj PD/FT z ukrepi, ki ustrezajo načinu poslovanja posameznega poslovnega področja. V skladu z načelom sorazmernosti se razdelitev po poslovnih področjih ne zahteva za vse zavezance (podrobneje v 6. poglavju Sektorske smernice za posamezne zavezance).

Pri OTZ zavezanec upošteva vsaj zgoraj navedene kriterije tveganja in tiste, za katere oceni, da vplivajo na njegovo izpostavljenost tveganjem PD/FT. Zavezanec znotraj posameznih skupin opredeli dodatne kriterije tveganj oziroma v analizo vključi še dodatna poslovna področja, če je to potrebno na podlagi posebnosti njegovega poslovanja.

Po opravljeni analizi kriterijev tveganja zavezanec oceni inherentno tveganje, pri čemer s stopnjo »nizko tveganje« oceni inherentno tveganje, kadar kriteriji ne predstavljajo večjega tveganja, medtem ko s stopnjo »visoko tveganje« označi inherentno tveganje, v katerem večina kriterijev pomeni visoko tveganje.

Stopnja inherentnega tveganja	Ocena
Nizko tveganje	1
Običajno tveganje	2
Povečano tveganje	3
Visoko tveganje	4

Zavezanec pripravi lastno metodologijo za ocenjevanje inherentnega tveganja, tako da bo OTZ odražala posebnosti njegovega poslovanja.

Ko je inherentno tveganje ocenjeno, je treba v nadaljevanju ugotoviti, v kolikšni meri je vzpostavljeno kontrolno okolje učinkovito. Pri kontrolnem okolju se upoštevajo politike in postopki ter tudi kontrole, ki jih izvajajo zaposleni na prvi stopnji (na ravni organizacijskih enot), na drugi stopnji (na ravni pooblaščenca za PPDFT) in na tretji stopnji (na ravni notranje revizije).

Pri ocenjevanju kontrolnega okolja zavezanec analizira kriterije tveganja, ki izvirajo iz njegovih politik, postopkov in kontrol, v okviru naslednjih področij (glej 6. poglavje Sektorske smernice za posamezne zavezance):

Vodstvo zavezanca je odgovorno za vzpostavitev učinkovitega upravljanja tveganj na področju PPDFT. V skladu s tem mora vzpostaviti in spodbujati tako kulturo obvladovanja tveganj (angl. tone from the top), ki bo zagotavljala ustrezno zavedanje vseh zaposlenih, ter dosledno upoštevanje opredeljenih politik in postopkov (npr. kako so vzpostavljene formalne in neformalne linije poročanja o tveganjih PD/FT, ustrezna umestitev funkcije za PPDFT v organizacijsko shemo zavezanca, ali je funkcija za PPDFT prepoznana kot ključna funkcija).

Preveri se skladnost notranjih politik zavezanca z zakonskimi zahtevami in usmeritvami pristojnih nadzornih organov. V okviru OTZ zavezanec tudi preveri, ali je z notranjimi politikami in postopki zagotovljeno ustrezno obvladovanje ugotovljenih inherentnih tveganj (npr. ali so notranje politike PPDFT posodobljene v skladu z zakonskimi zahtevami in usmeritvami pristojnih nadzornih organov, ali je zavezanec pravočasno implementiral politike skupine).

Pregled stranke je eden izmed temeljnih ukrepov PPDFT. Ocenjuje se ustreznost kontrol, s katerimi zavezanec zagotavlja, da se ukrepi pregleda strank dosledno izvajajo in morebitne ugotovljene pomanjkljivosti redno odpravljajo (npr. nepravilnosti pri izvajanju pregleda strank, nepravilnosti pri izvajanju kontrol, ugotovljene nepravilnosti pri OTS).

Za učinkovito izvajanje nalog pooblaščenca za PPDFT je poleg ustreznega statusa in umestitve funkcije za PPDFT v organizacijsko shemo zavezanca (kot je opredeljeno v področju »Funkcija PPDFT«) izjemno pomembna tudi vzpostavitev ustreznih poročevalskih tokov. V okviru ocene kontrolnega okolja se tako preveri, ali so vzpostavljene poročevalske linije med pooblaščencem za PPDFT in vodstvom (npr. pogostost poročanja pooblaščenca za PPDFT vodstvu) ter med pooblaščencem za PPDFT in zaposlenimi, odgovornimi za neposredno izvajanje nalog (npr. pogostost poročanja poslovnih enot pooblaščencuza PPDFT) oziroma nadzor nad izvajanjem nalog na področju PPDFT (npr. pogostost poročil področnih koordinatorjev).

Zavezanec oceni, ali ustrezno zagotavlja evidence podatkov o strankah, poslovnih razmerjih in transakcijah, opravljenih v okviru poslovnega razmerja, ali občasnih transakcijah ter evidence o sporočenih podatkih Uradu. Prav tako zavezanec oceni, ali zaposleni ustrezno hranijo pridobljene podatke in dokumentacijo o stranki še deset let po opravljeni transakciji oziroma po prekinitvi poslovnega razmerja ter druge podatke, kot jih zahteva zakon (npr. pomanjkljivosti pri hrambi podatkov, pridobljenih v okviru pregleda strank; ustreznost evidence podatkov, sporočenih Uradu).

Preverijo se umestitev funkcije za PPDFT v organizacijsko strukturo, število zaposlenih, ki izvajajo naloge PPDFT kot izključno delovno obveznost (pooblaščenec za PPDFT, namestniki), in število oseb, ki te nalog izvajajo poleg svojih rednih nalog (namestniki, področni koordinatorji). Na tej podlagi se opravi presoja ustreznosti organizacijsko-kadrovskega ustroja na področju PPDFT glede na inherentno tveganje, ki mu je izpostavljen zavezanec (npr. ali je zavezanec imenoval pooblaščencaza PPDFT, ali pooblaščenec/namestnikza PPDFT izvaja izključno naloge na področju PPDFT, ali področni koordinatorji svoje delo opravljajo kakovostno in učinkovito).

Sistem za PPDFT mora biti vzpostavljen tako, da zavezancu zagotavlja pravočasno prepoznavanje sumljivega poslovanja in sporočanje Uradu. Pri tem se ocenita učinkovitost delovanja sistema za prepoznavanje odstopanj od običajnega poslovanja in tudi učinkovitost postopkov nadaljnje obravnave neobičajnega poslovanja, ki so podlaga za ugotavljanje sumljivega poslovanja in prijavo suma PD/FT (npr. ustrezno delovanje aplikativne podpore za prepoznavanje neobičajnega poslovanja, ustrezna obravnava zaznanih odstopanj, pravočasnost pri poročanju pooblaščencuza PPDFT/Uradu).

Zavezanci morajo zagotoviti redno notranjo kontrolo nad opravljanjem nalog PPDFT. V tem delu se ocenjuje predvsem učinkovitost kontrol, ki so vzpostavljene na drugi stopnji in za katere je pristojen pooblaščenec za PPDFT (npr. število izvedenih drugostopenjskih kontrol, kakovost izvajanja drugostopenjskih kontrol, realizacija planiranih kontrol).

Zavezanec mora skrbeti za redno strokovno usposabljanje vseh zaposlenih, ki opravljajo naloge, ki se kakor koli nanašajo na PPDFT. V sklopu ocenjevanja kontrolnega okolja se v tem segmentu presoja, ali je bil uresničen letni plan izobraževanj, ali so bile v izobraževanje vključene vse ciljne skupine udeležencev in ali so teme izobraževanj v zadostni meri ustrezale inherentnim tveganjem, ki jim je izpostavljen zavezanec (npr. realizacija letnega plana izobraževanj, število navzočih na izobraževanjih).

Služba notranje revizije izvaja neodvisno preverjanje sistema za PPDFT z namenom odkrivanja morebitnih pomanjkljivosti ter okrepitve obstoječih politik, postopkov in kontrol zavezanca. Pri tem se presoja, ali je notranja revizija v sklopu svojih pregledov ugotavljala bistvene pomanjkljivosti ali kršitve, ki kažejo, da je treba kontrolno okolje okrepiti (npr. pogostost revizijskih pregledov na področju PPDFT, ugotovljene kršitve, odprava kršitev).

V analizo kontrolnega okolja je treba vključiti tudi morebitne preglede pristojnih nadzornih organov na področju PPDFT in njihove nadzorniške ukrepe (npr. ali je bil izveden pregled pristojnega nadzornega organa, ugotovljene kršitve, odprava kršitev).

Zavezanec pri analizi kontrolnega okolja upošteva zgoraj navedena področja in tiste kriterije tveganja, za katere meni, da vplivajo na njegovo tveganje za PD/FT, pri čemer področja lahko še podrobneje razdeli na posamezne kriterije tveganja oziroma v analizo vključi še dodatna področja.

Po opravljeni analizi kriterijev tveganja znotraj posameznih področij kontrolnega okolja je treba kontrolno okolje še oceniti. Zavezanec z »dobro« oceni kontrolo, ki se izvaja učinkovito in redno ter pri kateri niso bile ugotovljene pomanjkljivosti, medtem ko z oceno »slabo« označi kontrolo, ki ni učinkovita ali ne obstaja.

Ocena kontrolnega okolja	Ocena
Dobro kontrolno okolje	1
Sprejemljivo kontrolno okolje	2
Pomanjkljivo kontrolno okolje	3
Slabo kontrolno okolje	4

Zavezanec mora pripraviti lastno metodologijo ocenjevanja kontrolnega okolja, tako da bo OTZ odražala posebnosti njegovega poslovanja.

Medtem ko je inherentno tveganje analiza in ocena kvantitativnih podatkov (število in obseg) kriterijev tveganja, je ocena kontrolnega okolja kvalitativne narave. S tem razlogom ima pooblaščenecza PPDFT po zaključeni analizi in oceni inherentnega tveganja in kontrolnega okolja možnost predlagati, da se posamezna področja kontrolnega okolja ocenijo strožje ali manj strogo, kot je opredeljeno v metodologiji OTZ (npr. kontrola se izvaja manj pogosto, vendar se izkazuje za učinkovito). Pooblaščenec lahko predlaga spremembo ocene kontrolnega okolja na podlagi strokovne presoje in ob upoštevanju značilnosti celotnega sistema PPDFT pri zavezancu. Sprememba ocene kontrolnega okolja, ki jo predlaga pooblaščenec za PPDFT, mora biti jasno dokumentirana in jo mora odobriti vodstvo zavezanca.

Na podlagi analize in ocene inherentnega tveganja ter kontrolnega okolja zavezanec oceni preostalo tveganje (ocena preostalega tveganja). Z oceno preostalega tveganja se zavezanec seznani s tem, ali vzpostavljen sistem omogoča učinkovito odkrivanje in preprečevanje PD/FT ali so potrebne izboljšave.

Ocena preostalega tveganja je izražena v eni izmed štirih stopenj:

Preostalo tveganje je ocenjeno kot nizko v primerih, ko je inherentno tveganje na ravni zavezanca ocenjeno kot nizko ali običajno, pri čemer je vzpostavljeno kontrolno okolje ocenjeno kot dobro ali sprejemljivo.

Preostalo tveganje je ocenjeno kot običajno v primerih: