1. Mikor kell elkészíteni az intézményi kockázatértékelést és a belső szabályzatot?
A Pmt. 27. § (1) bekezdése értelmében a Pmt.-ben meghatározott kötelezettségek körébe tartozó feladatok teljesítésére a szolgáltató köteles az üzleti kapcsolat vagy ügyleti megbízás jellege és összege, valamint az ügyfél, termék, szolgáltatás, alkalmazott eszköz körülményei alapján – a szolgáltató jellegével és méretével arányos - belső kockázatértékelést készíteni.
A Pmt. 27. § (3) bekezdése szerint az (1) bekezdésben meghatározott belső kockázatértékelést a szolgáltató köteles írásban rögzíteni, naprakészen tartani és az illetékes hatóságok rendelkezésére bocsátani az engedélyezési, illetve a felügyeleti tevékenység gyakorlása során.
A Pmt. 27. § (6) bekezdése értelmében az (1) bekezdésben meghatározott belső kockázatértékelés elkészítéséhez, továbbá a kockázatok csökkentése és kezelése érdekében a szolgáltató köteles figyelembe venni a nemzeti kockázatértékelés eredményét. Felhívjuk a figyelmet arra, hogy jelenleg a nemzeti kockázatértékelés az MNB-hez intézett külön kérelem alapján ismerhető meg.
Az MNB rendelet 31. §-a alapján a szolgáltató a belső kockázatértékelését az alapjául szolgáló információ időszakos és eseti felülvizsgálatával aktualizálja, a szolgáltató által az (1) bekezdés alapján elvégzett felülvizsgálat ütemezése arányban kell hogy álljon a szolgáltatóhoz kapcsolódó pénzmosási és terrorizmus-finanszírozási kockázattal.
A szolgáltató a belső kockázatértékelését soron kívül felülvizsgálja, amennyiben
a) külső hatás megváltoztatja a kockázat természetét,
b) új típusú pénzmosási és terrorizmus-finanszírozási kockázat merül fel,
c) az MNB által tett megállapítás ilyen intézkedést tartalmaz,
d) a szolgáltató saját maga által tett, kockázatot csökkentő intézkedéséből ez következik,
e) a szolgáltató tulajdonosaival, a vezető testület tagjaival, a fő funkciókat ellátó személyekkel vagy a szervezetével kapcsolatban új információk merülnek fel, továbbá
f) minden egyéb esetben, amikor a szolgáltatónak alapos oka van azt feltételezni, hogy a kockázatértékelés alapjául szolgáló információ már nem alkalmazható.
A Pmt. 27. § (5) bekezdése értelmében az (1) bekezdésben meghatározott belső kockázatértékelés alapján a szolgáltató köteles az üzleti kapcsolat vagy ügyleti megbízás jellege és összege, valamint az ügyfél, termék, szolgáltatás, alkalmazott eszköz körülményei alapján a 65. §-ban meghatározott belső szabályzatban - a szolgáltató jellegével és méretével arányos - belső eljárásrendet meghatározni a kockázatok csökkentése és kezelése érdekében, valamint - ha a szolgáltató jellege és mérete indokolja - külső ellenőrzési funkciót működtetni a belső eljárásrend megfelelőségének ellenőrzése céljából.
A Pmt. 65. § (7) bekezdése értelmében az e törvényben meghatározott kötelezettségek körébe tartozó feladatok teljesítésére a bizalmi vagyonkezelő részére a Hivatal (az MNB) egységes szabályzatot készít, amely a bizalmi vagyonkezelési tevékenységet végző szolgáltatók tekintetében az e § szerinti belső szabályzatnak minősül. Az egységes szabályzatot a Hivatal köteles a Pmt. módosításait követően, illetve a 27. § szerinti kockázatértékelés változása esetén felülvizsgálni és szükség esetén módosítani.
A Pmt. 65. § (8) bekezdése értelmében az 1. § (1) bekezdés a)-e) és i) pontjában meghatározott szolgáltató tevékenységének engedélyezéséhez a törvényben megállapított feltételek mellett szükséges az is, hogy belső szabályzatát az 5. §-ban meghatározott felügyeletet ellátó szervnek jóváhagyás céljából az engedélykérelemmel együtt benyújtsa.
A Pmt. 80. § (1) bekezdése értelmében a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény és egyes kapcsolódó törvények módosításáról szóló 2019. évi CXIX. törvény (a továbbiakban: Módtv.) hatálybalépésekor működő szolgáltató köteles belső szabályzatát a Módtv. hatályba lépését követő 90 napon belül e törvénynek a Módtv.-vel megállapított rendelkezéseinek megfelelően átdolgozni.
Jelezzük, hogy a szolgáltatónak a belső szabályzatát folyamatosan frissítenie kell, ha más okból kifolyóan nem is, a kockázatértékelése okán mindenféleképpen, mivel azt a Pmt. 27. § (3) bekezdése alapján napra készen kell tartania.
***
2. Hogyan kell tájékoztatni az MNB-t a belső kockázatértékelés elkészítéséről?
I. Azon szolgáltatók esetében, akik piacra kívánnak lépni, az engedélyezéshez szükséges dokumentumokkal együtt a belső kockázatértékelésüket - akár külön dokumentumként, akár a belső szabályzat részeként - be kell nyújtaniuk a tevékenységi engedély kiadása iránti kérelem mellékleteként.
II. A már működő szolgáltatók esetében a belső kockázatértékelést - legyen az a belső szabályzat része vagy pedig külön dokumentum-, az MNB az MNB törvény 45. § (a) pontja alapján végzett tevékenysége keretében ellenőrzi. A Pmt. 65. § (5) bekezdése alapján pedig „az 5. §-ban meghatározott felügyeletet ellátó szerv a (4) bekezdés alapján felülvizsgált belső szabályzatot a szolgáltató e törvény rendelkezéseinek való megfelelésének ellenőrzésére irányuló felügyeleti tevékenysége keretében - a felügyeleti kockázatértékeléssel összhangban - ellenőrzi, és szükség szerint e törvény szerinti intézkedést alkalmaz a belső szabályzat jogszabályoknak és e törvény céljának való megfelelés biztosítása érdekében.”