Czy warto mieć komórkę antyfraudową w swojej firmie?

Czy warto mieć komórkę antyfraudową w swojej firmie?

Podstawowym zagadnieniem, od którego zacznę jest to, czy firma, której mój Czytelnik pracuje, po prostu styka się z fraudami a kierownictwo firmy, w tym Właściciele zdają sobie sprawę z ryzyk, jakie już mają potężny wpływ na powodzenie ich biznesu. Według różnych ocen i badań przyjmuje się, że 94% firm jest celem nadużyć wewnętrznych (czyli realizowanych przez osoby zatrudnione w tych firmach) oraz zewnętrznych (czyli gdy sprawcą nadużycia są osoby obce organizacji – klienci, dostawcy, kooperanci, etc.).

Problem jest też na tyle skomplikowany, że tylko 0,3% wszystkich pracowników i osób z zewnątrz ma rzeczywiście nieuczciwe zamiary. Ale jeśli zdasz sobie sprawę, że jedno oszustwo może wygenerować straty w wysokości kilkurocznych zyskow netto, albo że możesz z powodu lekceważenia nakładanych na Ciebie i Twoją firmę obowiązków ustawowych stracić wszystko, w tym nawet świetnie dzisiaj prosperującą firmę, a w przypadku, jeśli jesteś we władzach i kierownictwie niektórych firm z udziałem skarbu Państwa – stracić wszystko co masz i jeszcze możesz pójść siedzieć – przeczytasz z uwagą to co mam Ci do przekazania.  

W moim przekonaniu celem nadużyć jest każda firma i korporacja a także zatrudnieni tam ludzie, a tylko niektórzy menadżerowie nie mają o tym zagrożeniu zielonego pojęcia. Przyjrzyjmy się temu zaczynając od poznania fraudowej „geografi” gospodarki.

 

Gospodarka na poziomie krajowym tradycyjnie dzielona jest na 3 sektory: rolnictwo (sektor I), przemysł (sektor II) i usługi (sektor III). Częściej dzieli się ją jednak na 5 sektorów i temu proponuję się przyjrzeć:

sektor pierwszy(rolnictwo, leśnictwo, rybołówstwo),

sektor drugi(przemysł wydobywczy, przetwórczy i budownictwo),

sektor trzeci(usługi proste/infrastrukturalne – transport, łączność, gospodarka komunalna, handel),

sektor czwarty(usługi zaawansowane – bankowe, ubezpieczeniowe, marketingowe, obrót nieruchomościami),

sektor piąty(usługi dla ludności, często realizowane przez sektor publiczny – ochrona zdrowie, opieka społeczna, edukacja, badania naukowe, turystyka i rekreacja, administracja, wymiar sprawiedliwości, policja i wojsko).

 

W sektorze finansowym i bankowym, zgodnie z posiadaną przeze mnie wiedzą, nie ma już dzisiaj firmy leasingowej, ubezpieczeniowej, pożyczkowej czy banku, która nie ma w swojej strukturze komórki zarządzającej ryzykiem nadużyć. Instytucje te mają świetnie często zorganizowane komórki compliance, biura bezpieczeństwa, antyfraudowe i ryzyka. Do tego często mają jako wsparcie, zakupione, wdrożone i działające systemy antyfraudowe. Oczywiście te firmy nie mogą spocząć na laurach, i co jakiś czas odkrywają, ile jeszcze mają do zrobienia. Ta sfera gospodarki generuje ogromną ilość okazji do wyłudzeń, nadużyć i oszustw, dlatego jako jedni z pierwszych zajęli się tworzeniem komórek antyfraudowych i ryzyka. W wyniku przenoszenia centrów kompetencyjnych, pojawiaj się u nas przedstawicielstwa korporacji zagranicznych. Te jeśli nie sięgną po lokalnych ekspertów z doświadczeniem, wkrótce odkryją, że polski oszust jest często bardziej innowacyjny niż typowy fraudant z Wall Street czy londyńskiego City.

 

 

Sektor pierwszy, czyli rolnictwo, leśnictwo i rybołówstwo wydawać by się mogło, nie powinno mieć do czynienia z tymi niecnymi zdarzeniami generującymi ryzyka nadużyć. Nic bardziej mylnego. W mediach sporo jest informacji o nadużyciach związanych z tym sektorem. Można przyjąć, że firmy działające w tych branżach w ogóle lub w niewielkim stopniu podejmują działania związane z przeciwdziałaniem nadużyciom właśnie wychodząc z dziwnego założenia, że przecież „wszyscy, wszystko wiedzą”. Firmy działające w sektorze drugim doskonale powinny zdawać sobie sprawę z wielu zagrożeń. Wystarczy wspomnieć takie zjawiska jak zmowy przetargowe, nadużycia związane z obrotem, handlem i handlem i przetwórstwem metali, złomu, metali nieżelaznych i tym podobnych. W budownictwie śledząc działania wielu spółek można bez trudu znaleźć dane wskazujące na cały wachlarz nadużyć: zaczynając od korupcji, poprzez wyłudzenia VAT-owskie, wyłudzenia związane z obrotem produktami budowlanymi aż po walkę konkurencyjną, gdzie firmy nie przebierają w środkach, by zdobyć zlecenie albo zrealizować kontrakt lub komuś go „wywrócić”. Tu straty z powodu nieuczciwości dotykają i duże firmy budowlane jak i małych podwykonawców. Nie wspomnę o aferach opisywanych przez media a związanych z działalnością deweloperską. W swojej działalności nie zetknąłem się, by firmy w tym sektorze działające tworzyły jakieś bardziej strategiczne działania mające na celu przeciwdziałanie nadużyciom. Ale nie wykluczam, że mogę się mylić.

 

Patrząc na sektor trzeci warto podkreślić, że firmy z branży telekomunikacyjnej również od lat prowadzą aktywne działania antyfraudowe i mają tutaj coraz większą skuteczność. Działa tutaj wiele świetnych komórek antyfraudowych mających nawet sukcesy międzynarodowe. Udalo im się nie tylko ograniczyć straty ale również, co jest bardzo ważne, skrócić znacznie długość ich trwania. W sektorze transportowym szczególnie przy usługach pocztowych oraz kurierskich, nie można sobie wyobrazić braku komórek zajmujących się bezpieczeństwem i fraudami. A jednak trzeba powiedzieć, że istnieją tutaj wciąż podmioty, które ten problem traktują po macoszemu. Gospodarka komunalna nie jest wolna od nadużyć, sposób wykrywania tychże jednak pozostawia wiele do życzenia. W większości przypadków nadużycia wykrywane są przy okazji kontroli wewnętrznych, czyli już po powstaniu strat z tytułu nadużyć. Często fakt, że spółka komunalna została oszukana i jest poszkodowana dowiadują się dopiero, gdy gdzieś zupełnie gdzie indziej oszukujący wpadną. W niewielu przypadkach udaje się odzyskać utracone środki i kwoty. Sporo nieprawidłowości wykrywa się przy okazji zakupów i przetargów publicznych. Tu można mówić wiele, ile rzeczy jeszcze powinno ulec zmianie. Inną sprawą jest sytuacja np. integratorów informatycznych, którzy nękani są wprost ofertami korupcyjnymi, jako warunku uzyskania szansy na zwycięstwo w przetargach publicznych. O ustawianiu przetargu i pisaniu SIWZ na życzenie – nie wspomnę, bo to temat na odrębną dyskusję. Handel w całym zakresie jaki obejmuje, w większości przypadków jest miejscem wielu okazji do nadużyć. Ale coraz więcej firm handlowych sięga po nowoczesne rozwiązania antyfraudowe, zaczyna badać swoich potencjalnych Klientów (KYC), sprawdzać kontrahentów a w procesie reklamacyjnym zaczyna sięgać po programy antyfraudowe. Co cieszy, firmy handlowe i integrujące – zaczynają szukać rozwiązań pozwalających im na uczciwą sprzedaż i radzenie sobie z korupcyjnymi propozycjami składanymi im jako warunek wygrania przetargu.

 

W sektorze czwartym w zakresie bankowości, finansów i zabezpieczeń stopień zagrożeń jest największy. Jednakże świadomość zagrożeń spowodowała, że firmy są dobrze, jeśli nie doskonale zabezpieczone przez nadużyciami. Firmy z branży telekomunikacyjnej również od lat prowadzą aktywne działania antyfraudowe i mają tutaj coraz większą skuteczność. Działa tutaj wiele świetnych komórek antyfraudowych mających nawet sukcesy międzynarodowe. Zetknąłem się z oszustwami w zakresie obrotu nieruchomościami oraz powiązanymi z inwestowaniem w nieruchomości – poszkodowanymi byli i inwestorzy ale i ich Klienci a także firmy-podwykonawcy. Ale co jest zaskakujące, firmy działające w tej branży zdają sobie sprawę z ryzyk, ale zajmują się sytuacjami kryzysowymi tylko wtedy, kiedy poczują na sobie ich wpływ. Wymóg posiadania licencji Pośrednika w Obrocie Nieruchomościami PFRN oraz Zarządcy Nieruchomości PFRN w tym sektorze jest jasnym dowodem, iż odnotowano tutaj wiele nieprawidłowości. Czy wymóg posiadania licencji obniżyło ryzyka z tym związane? Wydaje się, że w pewnej mierze tak, ale nie całkowicie.

 

Sektor piąty powinien być z założenia chroniony przez organy państwowe oraz komórki wyznaczone do kontroli i nadzoru nad ich funkcjonowaniem. Ale np. sektor turystyczny jest jednym z najbardziej narażonych na oszustwa. Niedawno prasa informowała o wyłudzeniach, jakie zostały wykryte post factum w sektorze zbrojeniowym, który z racji wagi dla bezpieczeństwa Państwa, powinien być mocno kontrolowany przez służby specjalne. Z racji faktu, iż w tym sektorze dokonuje się sporo interesów Państwa, zjawiska korupcji, nieuczciwych praktyk związanych z zakupami, przetargami i inwestycjami powinien być mocno kontrolowany przez komórki dedykowane do przeciwdziałania nadużyciom. Obecność służb i niestety ich nieskuteczność, powinna skutkować sięganiem chociażby po szkolenia dla funkcjonariuszy prowadzonych przez ekspertów mających doświadczenie w wykrywaniu i przeciwdziałaniu wyłudzeniom. Od kilku lat widzę zahamowanie procesu kształcenia tych osób, co może martwić. Może zaskakiwać fakt, że wiele podmiotów gospodarczych działających w tym sektorze ma owszem komórki bezpieczeństwa, ale wiele z nich nie zajmuje się przeciwdziałaniem fraudom. Albo jak pokazują fakty medialne – robią to nieskutecznie.

 

W tym momencie odpowiedź na tytułowe pytanie powinna brzmieć – Tak. Każda firma działająca w w/w sektorach gospodarki, która ma pieniądze, która dobrze zarabia i ma wysokie zyski – każda powinna posiadać w ramach swojej organizacji profesjonalną komórkę zajmującą się przeciwdziałaniem, monitorowaniem procesów i wykrywaniem prób fraudów.

 

Jeśli jednak nie masz jeszcze pewności, czy powinieneś się zająć szybkim organizowaniem u siebie komórki antyfraudowej, oraz infrastruktury przeciwdziałania ryzyka nadużyć, proszę nie przerywaj i czytaj dalej.

 

Bardzo istotnym zagadnieniem, o którym warto tutaj wspomnieć, to cyberprzestępczość. Dla wielu z nas – zagrożenia związane z cyberprzestępczością sprowadzają się zagrożenia infekcją systemów czy komputerów osobistych, wrogim oprogramowaniem, wirusami czy ransomware. Wielu przedsiębiorców uważa, że jak mają mocny Departament (Biuro) Informatyki, już są dobrze zabezpieczeni. Wielu Dyrektorów informatyki jest o tym naprawdę święcie przekonanych. Dlatego warto sobie odpowiedzieć na pytanie: czemu uchwalono ustawę RODO i co jakiś czas media informują o wykryciu sporego wycieku danych w instytucjach i firmach, które wydają spore pieniądze na cyber-bezpieczeństwo?

 

Większość z nas już wie o zagrożeniach phishingiem, spoofingiem i zagrożeniach mobilnych. Bardziej zorientowani w cyber zagrożeniach wiedzą o ryzyku związanym z atakami ddos i innych formach ataków na infrastrukturę informatyczną. Niestety niewielu wie, że za tymi atakami skrywa się wiele działań nie tylko dokonywanych w sferze wirtualnej ale i realnej. Tak. Wiele ataków jest do wykrycia, jeśli w firmie dobrze działają procedury bezpieczeństwa, systemy monitorujące, dobrze są prowadzone szkolenia okresowe, i jest ktoś, kto patrzy, czy kartą wejściową posługuje się właściwy pracownik a nie ktoś obcy, że dane logowania do systemu są właściwie chronione a polityka czystych biurek nie jest w firmie lekceważona.  Kradzież danych, informacji, danych o funkcjonowaniu systemów bezpieczeństwa dokonywana jest wieloma drogami. Jedną z nich jest stworzenie możliwości uzyskania istotnych dla hackerów informacji poprzez fizyczną penetrację samych organizacji i firm, analizie mediów społecznościowych, wnikaniu do firm i organizacji osób współpracujących z przestępcami albo pozyskiwaniu z kadry zatrudniającej współpracowników poprzez nacisk, korupcję, szantaż czy inne formy wywierania nacisku np. socjotechnikę. Nierzadko stosuje się tu manipulacje i narzędzia socjotechniczne by zmusić określone osoby w organizacji do działań na rzecz nieuczciwych osób.

 

Awaria urządzeń, które powinny zapewniać przetwarzanie informacji może sparaliżować funkcjonowanie państwa, jeżeli nie przewidzieliśmy wcześniej środków zaradczych. Zagrożenie cyberprzestępczością staje się coraz poważniejsze, a walka z hakerami coraz bardziej skomplikowana. Dzisiaj firmy z wielu krytycznych branż zagrożone są skutkami prób dokonania sabotażu, poprzez cyberatak na infrastrukturę energetyczną. Cyberataki wymierzone w przedsiębiorstwa przemysłowe zyskują na sile i stają się coraz bardziej wyrafinowane. Uwaga hakerów uderzających w firmy przemysłowe skupia się m.in. na systemach takich jak stosowane w energetyce SCADA (supervisory control and data acquisition) czy PLC (programmable logic controllers, programowalne sterowniki logiczne). Wiele firm może stać się najpierw celem penetracji i rozpoznania a po przejęciu kontroli nad systemami, stać się celem szantażu oraz całej masy zagrożeń, jak przeprowadzenie za ich pośrednictwem na np. ich Klienta. Wielu ludziom wydaje się, że Polska jest w sumie bezpiecznym krajem. Nic bardziej mylnego – jeśli spojrzy się na fakty, zagrożenia ze strony organizacji szpiegowskich różnych krajów, może być tak w istocie. Ale już przeszliśmy ataki, w których polskie firmy zostały odcięte od możliwości bezpiecznego prowadzenia biznesu i przez kilka dni, nie były w stanie skutecznie działać. Nie potrafiły także szybko ustalić przyczyn powodzenia np. ataków ddos. Do tego dochodzą zagrożenia jakie płyną także ze strony osób zaburzonych psychicznie, byłych – zwolnionych i mocno niezadowolonych pracowników, klientów mających pretensje, że uniemożliwiono im zrealizowanie ich marzeń, a nawet menadżerów, którzy winiąc konkretną firmę ich zatrudniającą, osobę, którą winią za swoje niepowodzenia lub krzywdy, mogą sięgnąć po środki, które zaszkodzić mogą nie tylko tym, których winią, ale i zupełnie nieświadome a powiązane z nimi osoby i podmioty.

 

Dobrze – doczytałeś dotąd i nadal się zastanawiasz, czy powinieneś mieć pod ręką profesjonalistów, którzy sprawdzą, czemu Informatycy nie wiedzą czy się udało komuś wykraść Twoją pocztę i czemu wiedza z Twojej skrzynki mailowej, ląduje u Twojego konkurenta? To proszę poczytaj dalej

 

Obecnie wiele działań biznesowych idzie w kierunku zautomatyzowania. Mówimy coraz częściej o Internecie Rzeczy  – Internet of Things, w skrótcie IoT. Dzisiaj to hasło, które w ostatnim okresie robi zawrotną karierę (większą niż kryptowaluty czy cybersecurity). IoT to liczne plusy – oszczędność czasu, energii, wygoda komunikacji zwiększone bezpieczeństwo osobowe, zdrowotne. Jest jednak również druga strona medalu. Inteligentny sprzęt AGD, autonomiczny samochód, zamki do drzwi, okien, czujniki, liczniki, zabawki, sprzęt RTV inteligentne domy, etc. Ale za chwilę stanie się źródłem nieprzebranej, ogromnej liczby danych o ludziach. Jeśli dzisiaj wykorzystanie skradzionej tożsamości jest powodem kłopotów wielu ludzi i firm, to wykorzystanie dostępu do urządzeń, naszego domu, tego,  co w nim mówimy, robimy i co czytamy w naszych biurach, może dla inteligentnego przestępcy stworzyć ogromne pole do nowych, zupełnie nieznanych wielu zagrożeń i nadużyć.

 

Jakiś czas temu w mój operator telekomunikacyjny zaproponował mi w ramach promocji sprzedaż za złotówkę kamery internetowej, z opcją wykorzystania jej zdalnie poprzez moduł wi-fi. W biurze miałem akwarium morskie, które chciałem obserwować poprzez tę kamerę. I chociaż przejrzałem dokładnie całą instrukcję, by się dowiedzieć, czy kamera ma wmontowany mikrofon – wchodząc do biura, wiedząc czym się zajmuję i jaka wiedza przechodzi przez mój gabinet – wyłączałem ją. Włączałem dopiero, kiedy wychodziłem z biura. Pisząc ten tekst mam świadomość, że wmontowana w laptop kamera może mnie właśnie śledzić a ktoś niepowołany może mnie mimo wszystko podsłuchiwać, ale ile osób prowadząc działalność gospodarczą zdaje sobie sprawę, że wszystko, co mówią, robią, co pokazują w ramach prezentacji, może być kopiowane i przesyłane na twarde dyski nieuczciwych osób? I może być gromadzone, przetwarzane i wykorzystywane na niekorzyść ich firm? Ilość zagrożeń dla firm, obywateli, pracowników, Klientów rośnie. Do zagrożeń związanych z fraudami, nieuczciwością, nierzetelnością, nielojalnością, oszustwami, wyłudzeniami dochodzą działania związane z cyberbezpieczeństwem. Tylko część działań cyberprzestępców, to penetracja systemów informatycznych. Zdecydowana większość tych działań związana jest z fizyczną aktywnością – próbami docierania do pracowników, służb ochrony, służb zapewniających obsługę biurowców, osób sprzątających a nawet firm prowadzących catering i firmowe stołówki w tworzonych centrach biznesowych. Cyber przestępcy są w stanie dotrzeć fizycznie do ochrony budynków, konserwatorów biurowców a nawet Pań serwujących kawę. Zagrożeń jest zdecydowanie więcej ale czy firmy, dbające o swój biznes, mogą dzisiaj spać spokojnie i twierdzić, że wszystko mają pod kontrolą oraz są dobrze zabezpieczone przed różnego rodzaju zagrożeniami?

 

Jeśli doczytałeś do tego momentu i jeszcze nie masz pewności, czy nie powinieneś kogoś wynająć, kto mając odpowiednią wiedzę i kompetencje, powinien problemy związane z w/w zagrożeniami zdjąć Ci z głowy, pomyśl przez chwilę. Zadajesz sobie pytanie, czy faktycznie mój biznes, moja firma są bezpieczne? Jeśli nie masz teraz pewności, to znaczy, że nie są. I czytaj dalej…

 

Dzisiaj w niewielkich firmach, kilku, kilkunastoosobowych, na pewno warto współpracować z firmami wyspecjalizowanymi w pomocy w przeciwdziałaniu różnym formom nadużyć i zagrożeń. Małe i średnie przedsiębiorstwa zaczynają rozumieć, że sprawdzenie klienta, szczególnie tego nowego, nieznanego – sprawdzenie kim jest rozmówca, który zachęca do wspólnych przedsięwzięć to moi ulubieni Klienci. Zaczynają odkrywać, jak wielką przyjemnością zaczyna być prowadzenie biznesu, kiedy nie tylko wynajmują zewnętrzną firmę księgową, ale i firmę doradczą, gdzie mogą przyjść, podzielić się swoimi obawami, uzyskać wsparcie, poradę i asystę w działaniach. Wielu moich Klientów już wie, że nie są zdani sami na siebie i oszczędzili sobie wielu niepowodzeń i strat dzięki temu, że mieli się kogo poradzić. Oni wiedzą, że nie potrzebują w swojej firmie kogoś zajmującego się fraudami, zagrożeniami – nie muszą zatrudniać takich ludzi – mogą ich wynająć. Jeśli jednak firma jest większa – tu odpowiedź na tytułowe pytanie powinno brzmieć następująco: Tak – powinniście mieć kogoś od ryzyka nadużyć, od ryzyka strat z tytułu oszustw, zagrożeń związanych z przestępczością także w zakresie cyber, która może doprowadzić do utraty zysków, strat reputacyjnych, a nawet upadłości. Coraz więcej firm podejmuje słuszne działanie, pozyskując ekspertów i dając im mocną pozycję wprowadzając do grona członków Zarządu. Czemu?

 

Nowe regulacje prawne takie jak RODO wywołały sporą panikę w Polsce. Wiele firm, ale nie wszystkie – uzmysłowiły sobie jakie zagrożenia dla biznesu niesie niedostateczna ochrona danych osobowych oraz brak procedur oraz rozwiązań chroniących przetwarzane dane Klientów. Ale nadchodzą kolejne regulacje prawne, przy których RODO staje się drobnym problemem.

 

Czy wiesz, że 5 lipca 2018 r. Sejm RP przyjął ustawę o krajowym systemie cyberbezpieczeństwa, implementującą do polskiego prawa dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywę NIS)? Czy wiesz, że Ustawa ta nakłada obowiązki na operatorów usług, które mają kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej (usługi kluczowe) całą masę obowiązków? Np.  Wśród operatorów, którzy będą zobowiązani do wdrożenia szczegółowych procedur i rozwiązań monitorujących bezpieczeństwo znajdą się nie tylko największe banki, ale także wszystkie firmy z sektora energetycznego, przewoźnicy lotniczy, firmy transportowe i kolejowe, armatorzy, szpitale a nawet apteki oraz wszystkie podmioty tworzące w Polsce tzw.  infrastrukturę cyfrową? Już teraz sprawdź, czy twoja firma, z racji współpracy z w/w nie znalazła się na liście tzw. Operatorów usług kluczowych! Dlaczego? Bo operatorzy usług kluczowych będą zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach i ich obsługi we współpracy z jednym z trzech CSIRT (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego). Wymienione podmioty będą również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. Taka infrastruktura musi być ściśle monitorowana w każdym najmniejszym zakresie, 24 godziny na dobę, 7 dni w tygodniu, 365 dni w roku i jeszcze podlegać stałym kontrolom. Wymaganiami z zakresu cyberbezpieczeństwa zostaną także objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych będą objęte zharmonizowanym na poziomie UE reżimem regulacyjnym. Co dwa lata wszystkie firmy działające w tym reżimie, będą zobowiązane do przeprowadzenia pełnych, profesjonalnych, nie opartych na „gotowcach” testów penetracyjnych!

 

Czy jeszcze cię to nie rusza? No to proszę, nie poddawaj się i czytaj dalej.

 

Kolejne zadania, które zostały nałożone na kolejną grupę firm wynika z nowej, uchwalonej 1 marca 2018 r., ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, która (Dz.U. poz. 723)* weszła w życie 13 lipca br. Obejmuje szerszy niż dotychczas krąg instytucji obowiązanych (banki, domy maklerskie, instytucje płatnicze, instytucje pieniądza elektronicznego czy zakłady ubezpieczeń). Nowa ustawa nakłada na szereg podmiotów, liczne i często trudne do wykonania obowiązki. Instytucjami obowiązanymi w rozumieniu ustawy są nie tylko w/w firmy. Środki przeciwdziałania praniu pieniędzy będą musiały stosować także przedsiębiorcy prowadzący działalność kantorową – i to nie tylko kantory w rozumieniu ustawy z dnia 27 lipca 2002 r. – Prawo dewizowe (Dz. U. z 2017 r. poz. 679 ze zm.). Za instytucje obowiązane ustawa uznaje także: kantory internetowe, przedsiębiorców świadczących usługi w zakresie wymiany pomiędzy walutami wirtualnymi i środkami płatniczymi oraz wymiany pomiędzy walutami wirtualnymi. Ustawa obejmie też przedsiębiorców świadczących usługi zarządcze (zakładanie jednostek organizacyjnych, pełnienie funkcji w organach spółek, zapewnienie innej jednostce siedziby lub adresu prowadzenia działalności). I to nie wszystko! Kolejnymi podmiotami ustawy są pośrednicy w obrocie nieruchomościami, przedsiębiorcy udostepniający skrytki sejfowe i instytucje pożyczkowe w rozumieniu ustawy o kredycie konsumenckim. Wreszcie, ustawa dotknie fundacje, stowarzyszenia i przedsiębiorców, którzy przyjmują lub wykonują płatności gotówkowe w kwocie przekraczającej 10 tys. EUR – nawet, jeśli ta płatność następuje w kilku operacjach, które zdają się być ze sobą powiązane. Sama ustawa ani dyrektywa nie definiuje sformułowania, iż operacje „zdają się być ze sobą powiązane”! Ja i współpracujący ze mną eksperci wiedzą, jak to sprawdzić i ile pracy wymaga sprawdzenie tych powiązań. Warto jednak wiedzieć, iż są to na pewno płatności dzielone za ten sam towar lub usługę czy płatność ratalna. Sprawdzenie czy dane transakcje są ze sobą powiązane, może być dla większości przedsiębiorców trudne do oceny, a od tego zależy, czy dany przedsiębiorca jest instytucją obowiązaną, czy nie.  Bez posiadania wyszkolonych ludzi, a dla wielu, brak posiadania rozwiązania systemowego spowoduje powstanie dużego ryzyka nieprzyjemnych dla Przedsiębiorcy konsekwencji. Sama ustawa nakłada obowiązek w pierwszej kolejności wyznaczenia kadry kierowniczej z odpowiednią wiedzą i kompetencjami z zakresu przeciwdziałania praniu brudnych pieniędzy. Ludzie Ci muszą stworzyć procedury wewnętrzne, sięgnąć po odpowiednie narzędzia (zakupić je i wdrożyć) a do ich obowiązków będzie należało również podjęcie decyzji o rozpoczęciu albo nierozpoczęciu współpracy z danym klientem (np. osobą na eksponowanym stanowisku politycznym, członkiem jej rodziny lub znanym współpracownikiem). Taki „dyrektor AML” będzie musiał wykonywać w/w obowiązki, pilnować szkolenia pracowników (w tym także siebie samego), nadzorować stosowanie środków zarządzania ryzykiem finansowym, wiedzieć jak, czym weryfikować Klientów i jeszcze dodatkowo prowadzić dochodzenia korporacyjne i wykonywać obowiązek informacyjny wobec Generalnego Inspektora Informacji Finansowej (GIIF). Ale warto tu podkreślić, że odpowiedzialność za działania „Dyrektora AML” będzie jednak ponosił ktoś inny – wybrany członek zarządu. By naszym zwyczajem, popędzić naszych przedsiębiorców do konkretnego a nie pozornego działania, wzorem innych ustaw (już uchwalonych lub opracowywanych) ustawodawca zagwarantował możliwość nałożenia na członka zarządu indywidualnej kary finansowej (orzekanej w trybie administracyjnym) w wysokości nawet do 1mln zł za nieprawidłowości w zakresie wykonania obowiązków przeciwdziałania praniu pieniędzy!

 

Żeby nasz przedsiębiorca jednak się nie nudził przypomniano, iż do tego wszystkiego dołożono przedsiębiorcom dalsze obowiązki związane z  nowelizacją prawa podatkowego mającą na celu przeciwdziałanie wyłudzeniom VAT. W konsekwencji możesz drogi Czytelniku spodziewać się wzmożonych kontroli skarbowych, gdzie przy okazji sprawdzane będzie, czy w Twojej firmie realnie (a nie tylko teoretycznie, czyli w oparciu tylko o prawnicze procedury) wdrożono system przeciwdziałania i wykrywania zagrożeń w związku z wyłudzeniami VATowskimi i podatkowymi realizującymi pełny i rozszerzony katalog dobrych praktyk zapewniających „należytą staranność” i rzeczywiste a nie pozorne przeciwdziałanie w przedsiębiorstwach oszustwom karno-skarbowym.

 

Jakby tego było mało powstał projekt ustawy o odpowiedzialności podmiotów zbiorowych groźny i  w wielu miejscach budzący szereg wątpliwości. Zaostrza bowiem wymogi i zwiększa zakres obowiązków nakładanych na przedsiębiorców. Przewiduje kary nawet do 30 mln zł, możliwość rozwiązania lub likwidacji firmy, a także środki karne takie jak, np. zakaz zawierania umów, zakaz przystępowania do przetargów w zamówieniach publicznych.

Jeśli więc jeszcze dodatkowo zostanie uchwalona ustawa (jej prace się wydłużają i są mocno opóźnione) o jawności życia publicznego – to jeśli nie rozważasz zwinięcia biznesu i przeniesienia swojej działalności do jakiegoś spokojniejszego gospodarczo kraju to musisz (nie możesz, nie możesz rozważać) ale musisz:

 

Stworzyć w swojej firmie poważną komórkę a nawet biuro, które realnie będzie przeciwdziałało wyłudzeniom, oszustwom i szeregu przestępstwom, których monitorowanie, wykrywanie i przeciwdziałanie zostało nałożone jako obowiązek na Przedsiębiorców.

 

W świetle powyższych danych – Zarządy Przedsiębiorstw powinny zatrudnić szybko eksperta ogarniającego całość w/w zagadnień, mającego odpowiednie kompetencje i mianować go na Członka Zarządu odpowiedzialnego za nadzór nad bezpieczeństwem biznesu, przeciwdziałanie wyłudzeniom, oszustwom, AML oraz zagrożenia związane z przestępczością karno-skarbową. Który po prostu wie jak realnie sobie z tym wszystkim poradzić i sprawić, że prowadzenie biznesu w naszym kraju i Europie będzie dalej przyjemnością, a nie bieganiem po polu minowym, gdzie jeden nierozważny ruch, czy błąd jednego człowieka, może spowodować wywrócenie całego biznesu.

 

I tutaj Drogi Czytelniku w konkluzji muszę napisać brutalną prawdę. Jeśli nie masz już w swojej firmie kogoś, kto może podjąć się obowiązku zajmowania się w/w kwestiami od prania pieniędzy, wykrywania nadużyć, chronienia firmy przez wyłudzeniami w tym skarbowymi, oszustami, nieuczciwymi pracownikami i korupcją – to masz niewiele czasu by podjąć działania na tyle skuteczne, żeby z chwilą, kiedy to wszystko ruszy, zacznie działać, być przygotowanym na zagrożenia i ryzyka wynikające z tak uchwalonych ustaw i wymogów nałożonych na działające w Polsce firmy. Jeśli nie wiesz czy masz mieć u siebie komórkę antyfraudową, w której pracują ludzie znający Twój biznes, twoją branżę, i posiadający doświadczenie, wiedzę oraz potencjał do rozwoju, to już jest za późno na zastanawianie się. Nie masz czasu.

 

Znam sporą liczbę ekspertów w/w zakresie. Większość z nich jest pilnie strzeżonym skarbem w korporacjach. Na rynku jest niewielu ludzi, którzy są w stanie szybko, zająć się realizacją tych zadań. Jest wielu ludzi, którzy twierdzą, że mają potężne kompetencje. Jest wiele firm, które deklarują, że stworzą Ci takich profesjonalistów. Ja wiem, że budowa takich struktur, uczciwa, wymagająca nakładów finansowych, szkoleń, doświadczenia i wiedzy – to proces na przynajmniej rok jak nie dłużej, przy założeniu, że Właściciel firmy nie podejmuje decyzji po wielomiesięcznym przekonywaniu, ale chce mieć te sprawy uporządkowane, zrobione i skutecznie działające.

 

Kończąc – jeśli jeszcze masz wątpliwości co robić, wybacz – ale stoisz przed ogromnym wyzwaniem. Jeśli będziesz dalej zwlekał pamiętaj, mogą dla Ciebie nadejść bardzo ciężkie i mroczne czasy. Nie pozostawiaj więc tego przypadkowi. To moja dobra rada. Jeśli chcesz o tym porozmawiać, daj znać.

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *