Glosariusz Compliance & ESG od Vercly

Świat compliance i ESG dynamicznie się zmienia, a wraz z nim przybywa skomplikowanego żargonu oraz akronimów (AML, UBO, CSRD, DORA). W Vercly wierzymy, że przejrzystość to podstawa bezpieczeństwa biznesowego. Dlatego stworzyliśmy autorytatywny Glosariusz Compliance & ESG – bazę wiedzy opartą na aktualnych wytycznych ustawowych i standardach rynkowych. Ten słownik pomoże Ci zrozumieć kluczowe definicje, ocenić ryzyko w Twojej organizacji i przygotować się do rozmów z audytorami czy regulatorami. Jeśli po lekturze pojawią się pytania – nasi eksperci są do Twojej dyspozycji. Zapraszamy do kontaktu.

Spis treści:

 

Zarządzanie ryzykiem i operacje (Risk Management)

  • TPRM (Third Party Risk Management)

    – proces identyfikowania, oceniania i monitorowania ryzyk, jakie mogą przynieść firmie jej zewnętrzni partnerzy, tacy jak dostawcy czy podwykonawcy.

TPRM ma na celu budowanie bezpiecznych, długoterminowych relacji biznesowych poprzez weryfikację kontrahentów pod kątem zagrożeń finansowych, operacyjnych i reputacyjnych. Obejmuje on cały cykl życia relacji – od weryfikacji przed podpisaniem umowy, przez bieżący monitoring, aż po procesowe zakończenie współpracy.

Przykład w praktyce: Bank przed podpisaniem umowy z dostawcą usług chmurowych sprawdza jego certyfikaty bezpieczeństwa (np. ISO 27001) oraz stabilność finansową, aby uniknąć przerw w dostępie do danych klientów.

Jakie są etapy procesu TPRM? Selekcja, due diligence, kontraktowanie, monitoring oraz proces zakończenia współpracy.

 

  • Due Diligence (Należyta staranność)

    – proces szczegółowego badania, weryfikacji i monitorowania kontrahenta/klienta lub transakcji w celu wykrycia potencjalnych zagrożeń wynikających z relacji biznesowej.

W kontekście compliance obejmuje sprawdzenie dokumentów rejestrowych, list sankcyjnych, powiązań kapitałowych oraz reputacji w mediach. Zakres due diligence powinien być uzależniony od stopnia ryzyka, jakie stwarza dany klient lub dostawca.

Przykład w praktyce: Przedsiębiorstwo energetyczne przeprowadza due diligence dostawcy surowców, sprawdzając, czy nie jest on powiązany z osobami objętymi sankcjami międzynarodowymi (PEP).

 

  • Inherent Risk Rating (IRR – Ryzyko wrodzone)

    – poziom zagrożenia, jakie niesie ze sobą dany proces lub współpraca „na starcie”, zanim jeszcze wprowadzimy jakiekolwiek zabezpieczenia.

Ryzyko wrodzone wynika z samej natury działalności, lokalizacji geograficznej czy skomplikowania produktu. Ocenia się je przy założeniu, że nie istnieją żadne mechanizmy kontrolne. Pozwala to zrozumieć, gdzie organizacja jest najbardziej wystawiona na ciosy i gdzie należy najpierw skierować zasoby obronne.

Przykład w praktyce: Przelewy międzynarodowe do krajów o wysokim wskaźniku korupcji mają wysokie ryzyko wrodzone (Inherent Risk) ze względu na możliwość prania pieniędzy, niezależnie od tego, jak dobry system monitoringu ma bank.

 

  • Ryzyko resztkowe (Residual Risk)

    – ryzyko, które pozostaje w organizacji nawet po zastosowaniu wszystkich dostępnych środków kontroli i procedur.

Żadne działanie nie jest wolne od ryzyka w 100%. Ryzyko resztkowe to „to, co zostało” po wdrożeniu kontroli. Zarząd musi zdecydować, czy ten pozostały poziom zagrożenia jest dla firmy akceptowalny (mieści się w apetycie na ryzyko), czy też wymaga dalszych działań.

Przykład w praktyce: Firma wdrożyła najlepszy system antywirusowy i szkolenia dla pracowników. Ryzykiem resztkowym jest sytuacja, w której mimo to dojdzie do włamania przez nieznaną jeszcze lukę w oprogramowaniu (tzw. zero-day).

 

  • Apetyt na ryzyko

    – określony przez zarząd poziom ekspozycji na czynniki ryzyka, który organizacja jest gotowa zaakceptować w drodze do realizacji swoich celów biznesowych.

Jest to kluczowy parametr w procesach decyzyjnych, pomagający ustalić granice, których firma nie chce przekroczyć w relacjach z kontrahentami. Apetyt na ryzyko powinien być formalnie określony przez zarząd i kaskadowany na konkretne procedury (np. poprzez wskaźniki SLA).

Przykład w praktyce: Firma technologiczna decyduje, że nie podejmie współpracy z żadnym dostawcą, który w ciągu ostatnich dwóch lat miał udokumentowany wyciek danych, nawet jeśli oferuje on najniższą cenę.

 

  • BCP/BCM (Business Continuity Planning/Management)

    – „plan B” dla firmy – zbiór procedur, które mówią, co robić, gdy wydarzy się katastrofa, aby firma mogła dalej działać lub szybko wrócić do pracy.

BCM to zarządzanie gotowością na sytuacje kryzysowe. Nie dotyczy tylko IT, ale całego biznesu: od zastępczych biur, przez alternatywnych dostawców, po plany komunikacji kryzysowej. Celem jest minimalizacja strat w przypadku awarii, powodzi, pożaru czy cyberataku.

Przykład w praktyce: Firma logistyczna w ramach BCP posiada umowę z zewnętrznym dostawcą serwerów, który w ciągu godziny od awarii głównej siedziby jest w stanie przejąć obsługę zamówień online.

 

  • VUCA

    – skrót opisujący dzisiejszy, nieprzewidywalny świat biznesu, w którym zmiany zachodzą błyskawicznie i trudno jest cokolwiek zaplanować na lata.

Świat VUCA wymaga od organizacji zwinności. Składa się z: Volatility (zmienność), Uncertainty (niepewność), Complexity (złożoność) i Ambiguity (niejednoznaczność). W takim środowisku tradycyjne zarządzanie ryzykiem musi ustąpić miejsca budowaniu odporności (resilience) i szybkiemu reagowaniu.

Przykład w praktyce: Nagła pandemia COVID-19 była podręcznikowym przykładem sytuacji VUCA – całkowicie zmieniła rynek w ciągu kilku dni, wymagając od firm natychmiastowej zmiany modelu pracy na zdalny.

 

  • Audyt stron trzecich (Third Party Audit)

    – niezależna kontrola przeprowadzana u dostawcy, mająca na celu sprawdzenie, czy faktycznie przestrzega on zasad, które zadeklarował w umowie.

Jest to najbardziej zaawansowane narzędzie w ramach TPRM. Audyt może być zdalny (kwestionariusz) lub stacjonarny (on-site). Pozwala zweryfikować realne warunki pracy, stan zabezpieczeń IT czy sposób utylizacji odpadów.

Przykład w praktyce: Vercly przeprowadza audyt u podwykonawcy usług IT swojego klienta, aby sprawdzić, czy dane osobowe są przechowywane zgodnie z wymogami RODO i DORA.

 

ESG i zrównoważony rozwój

  • ESG (Environmental, Social, and Governance)

    – czynniki środowiskowe, społeczne i ład korporacyjny, które służą do oceny wpływu organizacji na otoczenie oraz jakości jej zarządzania.

ESG to odejście od patrzenia wyłącznie na zyski finansowe. Inwestorzy i banki sprawdzają te wskaźniki, by ocenić, czy firma jest stabilna w długim terminie. Dobre wyniki ESG obniżają koszt kredytu i zwiększają wartość marki.

Przykład w praktyce: Fundusz inwestycyjny wybiera firmę, która redukuje emisję CO2 (E), zapewnia równe płace kobietom i mężczyznom (S) oraz posiada niezależną radę nadzorczą (G).

 

  • Ład Korporacyjny (Governance)

    – system zasad i procesów, według których firma jest kierowana i kontrolowana, zapewniający uczciwość i odpowiedzialność zarządu.

Szczegółowe wyjaśnienie: Filar „G” w ESG. Obejmuje strukturę rady nadzorczej, polityki antykorupcyjne, transparentność podatkową oraz kulturę etyczną. Silne Governance chroni firmę przed nadużyciami wewnętrznymi.

Przykład w praktyce: Wprowadzenie w firmie jasnej polityki prezentowej i rejestru korzyści jest elementem dbania o ład korporacyjny.

 

  • CSRD (Corporate Sustainability Reporting Directive)

    – unijne prawo, które zmusza firmy do publicznego chwalenia się (i spowiadania) z tego, jak realizują cele ESG, podobnie jak robią to z wynikami finansowymi.

Dyrektywa CSRD wprowadza rewolucję w raportowaniu. Informacje niefinansowe muszą być teraz rzetelne, porównywalne i audytowane przez biegłych rewidentów. Dotyczy to już nie tylko gigantów, ale stopniowo obejmie też mniejsze firmy.

Przykład w praktyce: Duża sieć handlowa musi w swoim rocznym raporcie opisać, ile wody zużywa jej biuro i jak kontroluje ślad węglowy swoich dostawców, aby spełnić wymogi CSRD.

Kogo obejmuje CSRD? Sukcesywnie od 2024 r. duże spółki giełdowe, a następnie duże przedsiębiorstwa spełniające określone kryteria finansowe i zatrudnienia.

 

  • CSDDD (Corporate Sustainability Due Diligence Directive)

    – przepis, który każe firmom brać odpowiedzialność za to, co dzieje się u ich dostawców – np. czy w fabryce na drugim końcu świata nie pracują dzieci.

CSDDD (tzw. dyrektywa o należytej staranności) wykracza poza samo raportowanie. Nakłada obowiązek realnego sprawdzania i naprawiania negatywnych wpływów w całym łańcuchu wartości. Jeśli firma wie o nadużyciach u dostawcy i nic z tym nie zrobi, może zapłacić ogromne kary.

Przykład w praktyce: Europejski producent samochodów musi sprawdzić, czy jego dostawca skóry do foteli nie przyczynia się do nielegalnego wycinania lasów deszczowych w Amazonii.

 

  • Ryzyko reputacyjne

    – niebezpieczeństwo utraty dobrego imienia firmy w oczach klientów, inwestorów i pracowników przez związanie się z „niewłaściwymi” ludźmi lub działaniami.

W dobie ESG ryzyko reputacyjne jest kluczowe. Często jest ono skutkiem zmaterializowania się innego ryzyka (np. prawnego). Informacja o tym, że firma współpracuje z dostawcą stosującym pracę przymusową, może spowodować spadek wartości akcji i masowe odchodzenie klientów.

Przykład w praktyce: Znana marka odzieżowa traci 20% wartości rynkowej po tym, jak w mediach społecznościowych pojawiają się zdjęcia jej produktów produkowanych w fabryce, która nie spełnia norm bezpieczeństwa (zawalone budynki).

 

  • ESRS (European Sustainability Reporting Standards)

    – europejskie standardy sprawozdawczości, które definiują konkretne wymogi dotyczące treści informacji raportowanych w obszarach ESG.

ESRS to ujednolicone standardy. Dzięki nim raport polskiej firmy wygląda tak samo jak niemieckiej czy francuskiej. Obejmują one m.in. kwestie klimatu, bioróżnorodności, pracowników w łańcuchu dostaw oraz etyki biznesu.

Przykład w praktyce: Firma transportowa szuka w standardzie ESRS E1 instrukcji, jak dokładnie wyliczyć emisję gazów cieplarnianych ze swoich ciężarówek, aby raport był zgodny z prawem.

 

  • Łańcuch wartości (Value Chain)

    – pełen zakres działań niezbędnych do stworzenia produktu lub usługi – od pozyskania surowców, przez produkcję, aż po dostarczenie do klienta końcowego i utylizację.

Współczesne regulacje (np. dyrektywa CSRD) wymagają od firm brania odpowiedzialności za wpływ na środowisko i ludzi w całym łańcuchu wartości, a nie tylko wewnątrz własnych biur czy fabryk. Kluczowe jest tzw. „kaskadowanie” dobrych praktyk na podwykonawców.

Przykład w praktyce: Producent odzieży monitoruje warunki pracy w szwalniach swoich podwykonawców w Azji, dbając, aby w całym jego łańcuchu wartości nie dochodziło do wyzysku.

 

  • Taksonomia UE

    – oficjalna unijna „zielona lista” działań, która mówi, co dokładnie jest ekologiczne, a co tylko na takie wygląda (zapobiega to oszustwom, tzw. greenwashingowi).

Taksonomia to system klasyfikacji. Jeśli firma twierdzi, że jej inwestycja jest „zielona”, musi ona spełniać techniczne kryteria określone w Taksonomii (np. nie szkodzić innym celom środowiskowym). Jest to kluczowe przy ubieganiu się o „zielone kredyty”.

Przykład w praktyce: Deweloper może nazwać swój biurowiec „zrównoważonym” tylko wtedy, gdy budynek zużywa o określony procent mniej energii niż nakazują standardowe przepisy budowlane, zgodnie z wytycznymi Taksonomii.

 

  • Podwójna istotność (Double Materiality)

    – zasada nakazująca firmie sprawdzić nie tylko, jak zmiany klimatu wpływają na jej zyski, ale także jak działalność firmy wpływa na planetę i ludzi.

Fundament raportowania ESRS. Firma analizuje istotność finansową (impact on company) oraz istotność wpływu (company’s impact on environment/society).

Przykład w praktyce: Fabryka analizuje, jak susza wpłynie na jej koszty wody (istotność finansowa) oraz jak jej ścieki wpływają na lokalny ekosystem (istotność wpływu).

 

  • Gospodarka o obiegu zamkniętym (GOZ)

    – model, w którym nic się nie marnuje – odpady stają się surowcami, a produkty projektuje się tak, by dało się je łatwo naprawić lub przetworzyć.

W przeciwieństwie do tradycyjnego modelu „weź-wyprodukuj-wyrzuć”, GOZ dąży do zamknięcia pętli. Oszczędza to zasoby naturalne i zmniejsza koszty zakupu surowców, co w dobie kryzysów klimatycznych jest ogromną przewagą rynkową.

Przykład w praktyce: Producent mebli oferuje usługę odkupu starych krzeseł od klientów, odnawia je i sprzedaje ponownie lub wykorzystuje drewno do produkcji nowych elementów.

 

Compliance i walka z przestępczością (KYC/AML)

  • Sankcje międzynarodowe

    – zakazy handlu lub współpracy z określonymi krajami, firmami lub osobami, nakładane przez organizacje takie jak UE, ONZ czy amerykański OFAC.

System sankcyjny jest dynamiczny – listy zmieniają się niemal codziennie. Brak weryfikacji kontrahenta pod kątem sankcji może doprowadzić do zablokowania kont firmy lub kar międzynarodowych, a nawet kar pozbawienia wolności dla reprezentantów podmiotu.

Przykład w praktyce: Firma produkcyjna sprawdza, czy jej nowy dystrybutor nie jest powiązany z kapitałem rosyjskim objętym sankcjami UE po 2022 roku.

 

  • AML (Anti-Money Laundering)

    – zbiór zasad i systemów, których celem jest wyłapywanie „brudnych pieniędzy” z nielegalnych źródeł i blokowanie ich wprowadzania do legalnego obiegu.

Ustawa AML nakłada na firmy (np. banki, notariuszy, pośredników nieruchomości) – czyli tzw. instytucje obowiązane – obowiązek monitorowania transakcji i zgłaszania podejrzanych operacji do organów państwowych (np. GIIF). AML chroni system finansowy przed zasilaniem go pieniędzmi z handlu narkotykami czy korupcji.

Przykład w praktyce: Bank blokuje przelew na 500 tysięcy złotych, ponieważ klient, który dotąd zarabiał płacę minimalną, nagle wpłacił taką kwotę w gotówce i nie potrafi wyjaśnić jej pochodzenia.

 

  • KYC (Know Your Customer)

    – procedura „Poznaj swojego klienta” – sprawdzenie dokumentów tożsamości i źródła pieniędzy klienta, aby upewnić się, że firma nie współpracuje z przestępcami.

KYC to fundament walki z przestępczością finansową. Składa się z identyfikacji (kim jesteś?) i weryfikacji (czy to prawda?). Pozwala bankom i firmom ocenić profil ryzyka klienta przed otwarciem konta czy podpisaniem kontraktu.

Przykład w praktyce: Gdy otwierasz konto w banku lub giełdzie kryptowalut, musisz wysłać zdjęcie dowodu i zrobić „selfie” – to właśnie jest proces KYC.

 

  • KYB (Know Your Business)

    – proces sprawdzania firmy (nie tylko osoby), z którą wchodzisz w relacje biznesowe – badanie jej rejestrów, właścicieli i legalności działania.

KYB to rozszerzenie procedury KYC na podmioty prawne. Kluczowym celem jest „przejrzenie” przez strukturę spółki, aby zrozumieć, kto jest jej Beneficjentem Rzeczywistym (UBO) oraz czy firma nie jest tylko spółką-wydmuszką (Shell Company) służącą do prania pieniędzy.

Przykład w praktyce: Platforma płatnicza przed nawiązaniem współpracy ze sklepem internetowym prosi o odpis z KRS, statut spółki oraz strukturę własnościową, aby potwierdzić, że sklep nie należy do osób objętych sankcjami.

 

  • Adverse media screening (monitoring negatywnych doniesień medialnych)

    – sprawdzanie w internecie i prasie, czy o Twoim kliencie lub dostawcy nie piszą w kontekście skandali, oszustw lub wyroków sądowych.

To proces przeczesywania publicznie dostępnych źródeł (tzw. OSINT) w poszukiwaniu informacji, które mogą zaszkodzić reputacji Twojej firmy. Nawet jeśli kontrahent nie figuruje na oficjalnych listach sankcyjnych, „zła prasa” (np. zarzuty o korupcję w lokalnej gazecie) jest sygnałem ostrzegawczym, że współpraca niesie wysokie ryzyko reputacyjne.

Przykład w praktyce: Bank przed udzieleniem kredytu firmie budowlanej znajduje artykuły śledcze o tym, że prezes tej firmy jest podejrzany o ustawianie przetargów. Mimo braku wyroku, bank decyduje się na zaostrzenie monitoringu tej relacji.

Przeczytaj więcej o module Adverse Media w Vercly na podstawie głośnej sprawy dotyczącej firmy Rosetta Gaming.

 

  • Beneficjent rzeczywisty (UBO – Ultimate Beneficial Owner)

    – każda osoba fizyczna sprawująca bezpośrednią lub pośrednią kontrolę nad klientem (podmiotem prawnym) lub osoba, w której imieniu nawiązywane są stosunki gospodarcze.

Identyfikacja UBO ma na celu ujawnienie, kto realnie kontroluje daną strukturę prawną. Ma to kluczowe znaczenie, by uniknąć sytuacji, w której współpracujemy z osobą objętą sankcjami, ukrytą za fasadą wielu firm zarejestrowanych w rajach podatkowych.

Przykład w praktyce: Firma doradcza sprawdza w rejestrze (CRBR), że właścicielem spółki z Cypru, z którą ma podpisać kontrakt, jest w rzeczywistości znany oligarcha objęty zakazem handlu w UE.

 

Kultura organizacyjna i bezpieczeństwo cyfrowe

  • Tone from the Top

    – postawa kadry zarządzającej, która poprzez własne zachowanie nadaje ton całej organizacji i promuje kulturę etyki oraz zgodności.

Etyka zaczyna się od góry. Budowanie kultury compliance nie uda się, jeśli zarząd traktuje regulacje jako zło konieczne. „Tone from the top” to autentyczne zaangażowanie liderów w promowanie wartości, które przekłada się na zachowania wszystkich pracowników.

Przykład w praktyce: Prezes firmy, mimo pośpiechu, przechodzi pełne szkolenie z bezpieczeństwa danych i publicznie chwali pracownika, który odmówił przyjęcia podejrzanego prezentu od klienta.

 

  • Kultura Speak-up

    – środowisko pracy, w którym pracownicy czują się bezpiecznie, zgłaszając błędy, wątpliwości i nieprawidłowości bez obawy o negatywne konsekwencje.

To przeciwieństwo kultury strachu. W organizacji typu Speak-up błędy są traktowane jako okazja do nauki, a nie powód do szukania winnego. Dzięki temu problemy są rozwiązywane, gdy są jeszcze małe, a nie gdy stają się medialnym skandalem.

Przykład w praktyce: Podczas zebrania młodszy stażem pracownik przerywa prezentację projektu, wskazując na lukę w zabezpieczeniach danych, a zespół dziękuje mu za czujność zamiast go uciszać.

 

  • DORA (Digital Operational Resilience Act)

    – rozporządzenie unijne dotyczące operacyjnej odporności cyfrowej sektora finansowego, kładące nacisk na zarządzanie ryzykiem technologicznym.

Rozporządzenie DORA skupia się na odporności cyfrowej. Wymusza na firmach finansowych testowanie systemów (np. testy penetracyjne) oraz bardzo surowe pilnowanie dostawców technologii IT, aby awaria jednej chmury nie „położyła” całego sektora bankowego.

Przykład w praktyce: Bank musi udowodnić regulatorowi, że nawet jeśli jego główny dostawca internetu zostanie zaatakowany przez hakerów, klienci nadal będą mogli płacić kartami w sklepach.

 

  • NIS2

    – dyrektywa mająca na celu zapewnienie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej UE, nakładająca surowe wymogi na podmioty kluczowe i istotne.

NIS2 to odpowiedź na rosnącą liczbę cyberataków na infrastrukturę krytyczną. Nakazuje firmom nie tylko lepszą ochronę, ale też raportowanie incydentów w ciągu 24 godzin i nakłada osobistą odpowiedzialność na zarządy za zaniedbania w cyberbezpieczeństwie.

Przykład w praktyce: Miejska sieć wodociągowa musi wdrożyć zaawansowane szyfrowanie i systemy wykrywania włamań, aby nikt z zewnątrz nie mógł zdalnie wyłączyć pomp wody w mieście.

 

  • Macierz RACI

    – prosta tabela, która jasno określa: kto co robi, kto za to odpowiada głową, kogo zapytać o zdanie, a kogo tylko poinformować o wyniku.

RACI to akronim od: Responsible (wykonawca), Accountable (zatwierdzający/właściciel procesu), Consulted (doradca), Informed (odbiorca informacji). Narzędzie to eliminuje chaos i sytuacje, w których „wszyscy wiedzieli, ale nikt nic nie zrobił”.

Przykład w praktyce: W procesie wdrażania nowego dostawcy: Specjalista ds. zakupów jest R (wykonuje analizę), Dyrektor Operacyjny jest A (podpisuje zgodę), Dział Prawny jest C (opiniuje umowę), a Dział Finansowy jest I (otrzymuje informację o nowym koncie do płatności).

 

  • Bankowość korespondencyjna

    – system „banków dla banków”, który pozwala na przesyłanie pieniędzy między krajami, w których dany bank nie ma swoich oddziałów.

Bank korespondent świadczy usługi na rzecz innego banku (respondenta), np. realizując przelewy zagraniczne. Jest to obszar o bardzo wysokim ryzyku AML, ponieważ bank korespondent często nie widzi bezpośrednio klienta końcowego, dlatego musi polegać na procedurach KYC banku-respondenta.

Przykład w praktyce: Gdy wysyłasz dolary z Polski do małego banku w Tajlandii, Twój bank korzysta z usług dużego banku w USA (korespondenta), który posiada konta obu tych instytucji i „przerzuca” środki między nimi.

 

  • Monitoring transakcji

    – stałe i automatyczne śledzenie przelewów klientów, aby wyłapać te, które wyglądają nietypowo, podejrzanie lub są bardzo wysokie.

Systemy monitoringu działają w czasie rzeczywistym, porównując każdą transakcję z profilem klienta. Jeśli klient, który zwykle płaci rachunki po 200 zł, nagle wysyła 200 000 zł do kraju wysokiego ryzyka, system generuje alert (Red Flag), który musi sprawdzić analityk.

Przykład w praktyce: System AML banku blokuje kartę klienta po serii szybkich transakcji w różnych krajach w ciągu godziny, podejrzewając, że dane karty zostały skradzione lub są wykorzystywane do „rozbijania” dużej kwoty pieniędzy.

 

  • OSINT (Open-source Intelligence)

    – zbieranie i analiza informacji o firmie lub osobie z ogólnodostępnych, legalnych źródeł, takich jak media społecznościowe, rejestry handlowe czy strony rządowe.

W compliance OSINT jest fundamentem pogłębionego Due Diligence. Pozwala zweryfikować, czy to, co kontrahent zadeklarował w kwestionariuszu, pokrywa się z rzeczywistością. Dzięki białemu wywiadowi można pogłębić wiedzę o kontrahencie i poszerzyć ją o informacje, które choć znaczące, nie są dostępne w oficjalnych rejestrach lub dokumentach.

Przykład w praktyce: Specjalista compliance wpisuje adres siedziby kontrahenta w Mapach Google i widzi, że pod wskazanym adresem firmy znajduje się niezamieszkały pustostan. . To sygnał do dalszej, szczegółowej weryfikacji (Red Flag).

 

  • Wywiad gospodarczy

    – profesjonalne zbieranie informacji o kondycji, planach i powiązaniach innych firm, aby Twoja organizacja mogła bezpiecznie konkurować na rynku.

Wywiad gospodarczy łączy analizę danych finansowych, prawnych i rynkowych. W kontekście oceny ryzyka stron trzecich (TPRM) pomaga on zrozumieć, kto naprawdę stoi za danym biznesem i jakie ma intencje. Jest to narzędzie wspierające podejmowanie strategicznych decyzji o fuzjach czy dużych kontraktach.

Przykład w praktyce: Firma produkcyjna planuje wejście na nowy rynek i zleca wywiad gospodarczy, aby sprawdzić, czy jej potencjalny partner lokalny nie ma powiązań z grupami przestępczymi, co mogłoby narazić firmę na kary z tytułu ustawy AML.

 

  • De-risking

    – sytuacja, w której bank lub inna firma rezygnuje ze współpracy z całymi grupami klientów (np. z danej branży lub kraju), bo uzna, że ryzyko jest po prostu zbyt duże, by je monitorować.

Choć de-risking chroni instytucję przed karami, jest zjawiskiem kontrowersyjnym, bo może odcinać uczciwe firmy od usług finansowych. Zamiast zarządzać ryzykiem (Risk-based Approach), instytucja po prostu „ucieka” od problemu.

Przykład w praktyce: Wiele banków w Europie przestało obsługiwać kantory kryptowalutowe (de-risking), ponieważ uznały, że koszt i stopień skomplikowania kontroli AML w tej branży przewyższa zyski z prowadzenia ich kont.

 

  • CDD vs EDD (Customer Due Diligence vs Enhanced Due Diligence)

    – CDD to standardowe sprawdzenie klienta, a EDD to „śledztwo” o podwyższonym rygorze dla tych klientów, którzy wydają się bardziej podejrzani lub ryzykowni.

CDD obejmuje identyfikację klienta i jego UBO. EDD (wzmożone środki bezpieczeństwa) stosuje się, gdy ryzyko jest wyższe (np. klient z raju podatkowego lub PEP). W ramach EDD firma musi m.in. ustalić źródło pochodzenia majątku klienta (Source of Wealth) i częściej monitorować jego transakcje.

Przykład w praktyce: Przy zakładaniu konta przez lokalną firmę handlową bank stosuje CDD. Jeśli jednak o konto ubiega się spółka z Panamy zajmująca się handlem diamentami, bank przeprowadza dodatkową wideokonferencję z reprezentami spółki oraz prosi o ostatnio złożone sprawozdanie finansowe.

 

  • Spółka fikcyjna (Shell Company)

    – firma, która istnieje tylko „na papierze” – nie ma biura, pracowników ani realnej działalności, a służy głównie do ukrywania pieniędzy lub ich właścicieli.

Choć spółki typu shell nie zawsze są nielegalne, w świecie AML są traktowane jako gigantyczna czerwona flaga. Przestępcy wykorzystują je do tworzenia skomplikowanych łańcuchów własnościowych, które mają uniemożliwić organom ścigania ustalenie, kto jest Beneficjentem Rzeczywistym (UBO).

Przykład w praktyce: Podczas weryfikacji dostawcy okazuje się, że firma ma miliardowe obroty, ale jej jedynym „biurem” jest skrzynka pocztowa na Kajmanach, co sugeruje, że może być wykorzystywana do prania pieniędzy.

 

  • Własność okrężna (Circular Ownership)

    – Sytuacja, w której Spółka A posiada udziały w Spółce B, a Spółka B posiada udziały w Spółce A – takie „koło” utrudnia znalezienie osoby, która naprawdę rządzi całością.

To zaawansowana technika ukrywania struktury własnościowej. Wykorzystuje się ją, by rozmyć odpowiedzialność i utrudnić identyfikację UBO. Zgodnie z wytycznymi ESG i AML, analityk musi „rozbić” takie koło, aby dotrzeć do osoby fizycznej sprawującej kontrolę.

Przykład w praktyce: Analityk compliance analizuje strukturę grupy kapitałowej i odkrywa, że trzy spółki nawzajem są swoimi właścicielami. Musi użyć specjalistycznego oprogramowania, aby sprawdzić, kto ma ostateczne prawo głosu w tym układzie.

 

  • PEP (Politically Exposed Person)

    – osoba zajmująca eksponowane stanowisko polityczne, co ze względu na pełnione funkcje publiczne wiąże się z wyższym ryzykiem korupcji. Do tej grupy zaliczamy także członków rodziny osoby PEP oraz jej bliskich współpracowników.

Status PEP nie oznacza, że ktoś jest przestępcą, ale nakłada na firmy obowiązek stosowania wzmożonych środków ostrożności (Enhanced Due Diligence). Sprawdza się wtedy dokładniej źródło majątku takiej osoby a transakcje monitoruje z większą ostrożnością. Na relację z taką osobą musi także wyrazić zgodę kadra kierownicza podmiotu.

Przykład w praktyce: Gdy żona prezydenta miasta chce zaciągnąć duży kredyt, bank stosuje procedurę dla PEP, prosząc o dodatkowe zaświadczenia o dochodach, aby wykluczyć ryzyko korupcyjne.

 

  • Sygnalista (Whistleblower)

    – Osoba, która zgłasza zauważone wewnątrz organizacji lub w jej otoczeniu nieprawidłowości, działając w dobrej wierze i w interesie publicznym.

Sygnaliści pełnią rolę systemu wczesnego ostrzegania, pozwalając na wykrycie nadużyć, korupcji czy łamania praw pracowniczych, zanim wywołają one poważne straty finansowe lub reputacyjne. Organizacje są zobowiązane do zapewnienia im anonimowości i ochrony przed działaniami odwetowymi.

Przykład w praktyce: Pracownik działu zakupów zgłasza anonimowo przez specjalny kanał IT, że jeden z menedżerów przyjmuje korzyści majątkowe od dostawcy w zamian za wybór jego oferty.

 

  • Sygnały ostrzegawcze (Red Flags)

    – nietypowe okoliczności lub wzorce zachowań, które mogą wskazywać na podejrzenie przestępstwa finansowego, oszustwa lub omijania sankcji.

Red Flags to specyficzne wzorce, np. klient upiera się przy płatnościach gotówką, korzysta z kont w egzotycznych krajach bez uzasadnienia biznesowego lub unika kontaktu osobistego. Ich zignorowanie może prowadzić do współudziału w przestępstwie.

Przykład w praktyce: Dostawca z innego kontynentu prosi o przelanie zapłaty na konto w kraju uznawanym za raj podatkowy, mimo że towar jest produkowany lokalnie – to klasyczna „czerwona flaga” sugerująca pranie pieniędzy.

 

  • Finansowanie terroryzmu (CFT/CTF)

    – zbieranie lub przekazywanie pieniędzy (nawet z legalnych źródeł), które mają zostać wykorzystane do wspierania organizacji terrorystycznych lub planowania ataków.

W przeciwieństwie do prania pieniędzy, gdzie środki zawsze pochodzą z przestępstwa, finansowanie terroryzmu może opierać się na „czystych” pieniądzach (np. z darowizn lub legalnej pensji). Kluczowy jest tu cel, na jaki te środki zostaną przeznaczone.

Przykład w praktyce: Grupa osób zbiera w mediach społecznościowych datki na „pomoc humanitarną”, ale w rzeczywistości przesyła te pieniądze na zakup broni dla organizacji paramilitarnej w strefie konfliktu.

 

  • Pranie pieniędzy w oparciu o handel (Trade-based Money Laundering – TBML)

    – ukrywanie nielegalnych pieniędzy poprzez celowe wpisywanie złych cen na fakturach za towary – np. sprzedawanie tanich rzeczy za miliony dolarów.

To jedna z najtrudniejszych do wykrycia metod prania pieniędzy. Polega na manipulowaniu ceną, ilością lub jakością towarów w handlu międzynarodowym. Pozwala to na przesyłanie ogromnych sum między krajami pod przykrywką legalnej sprzedaży towarów.

Przykład w praktyce: Firma przestępcza wysyła kontener starych opon, ale wystawia fakturę na „luksusowe części samochodowe” o wartości miliona dolarów. Dzięki temu „czyste” pieniądze legalnie trafiają na jej konto jako zapłata za eksport.

 

  • Pranie pieniędzy

    – proces, w którym pieniądze pochodzące z przestępstwa (np. kradzieży, sprzedaży narkotyków, oszustw finansowych) są „przepuszczane” przez legalne interesy, aby wyglądały na uczciwie zarobione.

Składa się zazwyczaj z trzech etapów: lokowania (wprowadzenie gotówki do systemu), warstwowania (tworzenie skomplikowanych przelewów, by zgubić ślad) oraz integracji (zakup luksusowych dóbr, które wyglądają na zakupione za legalne oszczędności).

Przykład w praktyce: Właściciel restauracji, który dorabia na boku nielegalnym handlem, codziennie do raportu kasowego dopisuje fikcyjnych gości, wpłacając pieniądze z przestępstwa na konto firmy jako „utarg z obiadów”.

 

  • Podejście oparte na ryzyku (Risk-based Approach – RBA)

    – zasada „dzielenia uwagi”: poświęcasz najwięcej czasu i sił na sprawdzanie tych klientów, którzy są najbardziej podejrzani, zamiast sprawdzać wszystkich tak samo drobiazgowo.

RBA pozwala na optymalizację pracy działu compliance. Dzięki niemu firma nie marnuje zasobów na głęboką weryfikację lokalnej kwiaciarni, a skupia się na analizie skomplikowanych przelewów do rajów podatkowych. Jest to podejście wymagane przez polską ustawę AML i standardy międzynarodowe.

Przykład w praktyce: Sklep internetowy automatycznie akceptuje płatności od stałych klientów z Polski, ale każda płatność powyżej 10 tys. zł z konta w egzotycznym kraju trafia do ręcznej weryfikacji przez analityka.

 

Instytucje

  • GIIF (Generalny Inspektor Informacji Finansowej)

    – polski „super-urząd”, który zbiera informacje o wszystkich podejrzanych przelewach i walczy z praniem pieniędzy na poziomie państwowym.

GIIF to jednostka analityki finansowej. To do niego instytucje obowiązane (banki, biura rachunkowe, notariusze) muszą wysyłać raporty o podejrzanych okolicznościach lub transakcjach (SAR/STR). GIIF analizuje te dane i może zablokować rachunek na 96 godzin, jeśli podejrzewa przestępstwo.

Przykład w praktyce: Bank zauważa, że na konto studenta nagle wpłynęło 5 milionów euro z egzotycznego kraju. Klient nie odpowiada na prośby banku o wyjaśnienie przelewu. Bank blokuje dostęp do rachunku i zgłasza raport do GIIF, który nakazuje wstrzymanie transakcji. .

 

  • FATF (Financial Action Task Force)

    – międzynarodowa organizacja, która ustala światowe standardy walki z praniem pieniędzy i finansowaniem terroryzmu.

FATF tworzy tzw. „Rekomendacje”, które wdrażają państwa na całym świecie. Jeśli jakiś kraj nie przestrzega tych zasad, trafia na „szarą” lub „czarną listę”, co negatywnie wpływa na budowanie relacji ekonomicznych z tymi krajami. .

Przykład w praktyce: Państwo X trafiło na szarą listę FATF, ponieważ miało dziurawe prawo AML. W efekcie firmy z tego państwa częściej podlegają procedurom EDD w relacjach z firmami z krajów o wysokiej kulturze AML/CFT.

 

  • Instytucja obowiązana

    – podmiot, na który Ustawa AML nakłada obowiązek realizowania procedur AML/CFT (np. banki, ale też agenci nieruchomości, biura pożyczkowe czy kasyna).

Ustawa AML wskazuje listę podmiotów, które muszą posiadać procedury KYC/AML, wyznaczyć oficera compliance i zgłaszać podejrzenia do GIIF. Niezastosowanie się do tych obowiązków grozi wielomilionowymi karami.

Przykład w praktyce: Biuro rachunkowe jest instytucją obowiązaną. Jeśli zauważy, że ich klient przynosi faktury za usługi, które nigdy się nie odbyły, musi to zaraportować, inaczej samo narazi się na karę.

 

  • OFAC (Office of Foreign Assets Control)

    – amerykański urząd, który decyduje, jakie kraje, firmy i osoby są „na czarnej liście” USA i z którymi nikt nie może robić interesów pod groźbą ogromnych kar.

OFAC to jednostka Departamentu Skarbu USA zarządzająca sankcjami gospodarczymi. Choć jest to organ amerykański, jego decyzje mają charakter globalny – każda firma handlująca w dolarach lub korzystająca z amerykańskich technologii musi przestrzegać list OFAC, aby nie zostać odciętą od światowego systemu finansowego.

Przykład w praktyce: Polska firma transportowa musi zrezygnować z kontraktu na przewóz towarów do firmy w Azji, ponieważ OFAC właśnie wpisał tego kontrahenta na listę SDN (Specially Designated Nationals) za wspieranie terroryzmu.

Logotypy Funduszy Europejskich, flagi Polski i Unii Europejskiej z napisami o dofinansowaniu