فصل دوم - ارزیابی خطر (ریسک) و اتخاذ رویکرد مبتنی بر خطر (ریسک)

از آیین نامه اجرایی ماده (14) الحاقی قانون مبارزه با پولشویی
شورا مکلف است ظرف سه ماه پس از تصویب این آیین ‌نامه، به ‌منظور ارزیابی خطر (ریسک) پولشویی و تأمین مالی تروریسم در سطح ملی، نسبت به ایجاد کارگروه ملی ارزیابی خطر (ریسک)، متشکل از دستگاه ‌های متولی نظارت و سایر نهادهای ذی ‌صلاح اقدام کند. وظیفه این کارگروه هماهنگ‌ کردن فعالیت‌ ها و ساز و کارهای مربوط به ارزیابی خطر (ریسک) در حوزه ‌های اصلی است.
تبصره - کارگروه ملی ارزیابی خطر (ریسک) مکلف است کارگروه‌ های تخصصی اعم از کارگروه‌ های ارزیابی تهدید، آسیب ‌پذیری ملی، آسیب‌ پذیری بخش بانکداری، آسیب‌ پذیری بخش اوراق بهادار، آسیب ‌پذیری بخش بیمه، آسیب ‌پذیری سایر موسسات مالی و اعتباری و آسیب‌ پذیری بخش‌ های مشاغل ‌غیرمالی را جهت بررسی خطر (ریسک) پولشویی و تأمین مالی تروریسم تشکیل دهد. اعضای این کارگروه ‌ها شامل نمایندگان دستگاه ‌های متولی نظارت مربوط به هر حوزه، نهادهای ذی ‌صلاح و نمایندگان اشخاص مشمول تحت نظارت اعم از بخش خصوصی یا عمومی است که توسط کارگروه ملی ارزیابی خطر (ریسک) تعیین می ‌گردد.
کارگروه ملی ارزیابی خطر (ریسک) مکلف است ظرف یک سال پس از تشکیل، سند ملی ارزیابی خطر (ریسک) را با همکاری مرکز تدوین و در دوره ‌های زمانی سه تا پنجساله به‌ روزرسانی کند.
تبصره - کارگروه ملی ارزیابی خطر (ریسک) مکلف است با در نظر گرفتن شرایط کشور و بررسی آسیب ‌ها و تهدیدهای حوزه ‌های اصلی، نسبت به ارایه توصیه‌ های لازم در خصوص اعمال رویکرد مبتنی بر خطر (ریسک) در مبارزه با پولشویی و تأمین مالی تروریسم و تخصیص امکانات موجود مبتنی بر خطر (ریسک)‌ های شناسایی ‌شده اقدام و به دستگاه ‌های ذی‌ ربط ابلاغ کند.
به‌ منظور کاهش آسیب ‌پذیری نظام مبارزه با پولشویی و تأمین مالی تروریسم کشور، مرکز مکلف است ظرف شش ماه پس از تنظیم سند ملی ارزیابی خطر (ریسک)، برنامه اقدام مبتنی بر سند مزبور را تدوین و آن را حداکثر در دوره ‌های زمانی سه تا پنج ساله به ‌روزرسانی کند. این برنامه باید شامل اقدامات دقیق و شفاف برای اشخاص مشمول و زمان ‌بندی اجرای این اقدامات باشد. همچنین، باید با لحاظ‌ کردن استانداردهای بین ‌المللی، مبتنی بر فضای آتی تهدید و آسیب نظام مبارزه با پولشویی و تأمین مالی تروریسم کشور و خطر (ریسک) ‌های شناسایی‌ شده در حوزه‌ های مختلف باشد و متناسب با منابع و امکانات موجود تنظیم شود.
تبصره 1 - دستگاه ‌های متولی نظارت مکلفند به ‌منظور تعیین اقدامات اشخاص مشمول و ارزیابی نحوه‌ اجرای این اقدامات توسط این اشخاص، با مرکز همکاری کنند.
تبصره 2 - مرکز مکلف است ظرف شش ماه پس از نهایی‌ شدن برنامه اقدام، سامانه ‌ای را جهت مدیریت و واپایش (کنترل) برنامه اقدام و نظارت بر نحوه اجرای اقدامات موضوع این ماده توسط اشخاص مشمول تهیه، اجرا و بهره‌ برداری کند و امکان دسترسی به آن را برای دستگاه ‌های متولی نظارت فراهم کند.
مرکز مکلف است با همکاری دستگاه‌ های متولی نظارت نسبت به تعیین شاخص‌ ها و مستندات لازم جهت ارزیابی و تعیین میزان پیشرفت برنامه موضوع ماده (4) این آیین نامه اقدام کند.
مرکز مکلف است سالانه گزارشی در خصوص آسیب‌ ها و تهدیدهای پولشویی و تأمین مالی تروریسم موجود در کشور و نیز روند پیاده ‌سازی برنامه اقدام داخلی و چالش‌ های موجود در خصوص آن تهیه کند و در اختیار روسای قوای سه‌ گانه و نیز دفتر مقام معظم رهبری قرار دهد. این گزارش باید شامل پیشنهادهایی در خصوص رفع چالش‌ های موجود در خصوص پیاده ‌سازی سند ملی ارزیابی خطر (ریسک) باشد.
اشخاص مشمول مکلفند برنامه‌ های داخلی مبارزه با پولشویی و تأمین مالی تروریسم خود را با رویکرد مبتنی بر خطر (ریسک) و همسو با سند ملی ارزیابی خطر (ریسک) و نیز برنامه اقدام موضوع ماده (4) این آیین ‌نامه تدوین و اجرا کنند. برنامه ‌های داخلی مزبور باید در بازه زمانی سه تا پنج ساله به‌ روزرسانی و هر شش ماه یک‌ بار به مرکز گزارش شود.
به ‌منظور مدیریت و کاهش خطر (ریسک)‌ های پولشویی و تأمین مالی تروریسم، اشخاص مشمول مکلفند پیش از ارایه هرگونه خدمت به ارباب‌ رجوع، نسبت به ارزیابی و طبقه ‌بندی خطر (ریسک) تعامل کاری اقدام و متناسب با خطر (ریسک) ارزیابی‌ شده در خصوص نحوه ارایه خدمت تصمیم ‌گیری کنند. این اشخاص باید خطر (ریسک) ارباب‌ رجوع، منطقه و خدمت را در نظر بگیرند.
تبصره 1 - طبقه‌ بندی خطر (ریسک) تعامل کاری توسط اشخاص مشمول باید شفاف، جامع و مانع باشد؛ به‌ گونه‌ ای که بر مبنای این طبقه ‌بندی، میزان اطلاعات دریافتی و نیز اقدامات صورت‌ گرفته جهت مبارزه با پولشویی و تأمین مالی تروریسم از نظر منطقی توجیه ‌پذیر باشد.
تبصره 2 - دستگاه ‌های متولی نظارت نیز مکلفند با همکاری مرکز، فهرستی از تعاملات اربابان رجوع در حوزه تحت نظارت خود تهیه و به طبقه ‌بندی خطر (ریسک) این تعاملات از منظر پولشویی و تأمین مالی تروریسم اقدام کنند. این فهرست که پس از تأیید مرکز به اشخاص مشمول ابلاغ می‌ گردد، بیانگر حداقل‌ هایی است که رعایت آن برای اشخاص مشمول الزامی است.
تبصره 3 - در صورتی‌ که مرکز خطر (ریسک) خدمت یا معامله ‌ای را بیش از سطح قابل ‌قبول تشخیص دهد، اشخاص مشمول مکلفند از ارایه آن خودداری کنند.
تبصره 4 - دستگاه‌ های متولی نظارت مکلفند بر عملکرد اشخاص مشمول در خصوص اجرای این ماده نظارت و گزارش‌ های ارزیابی خود را به مرکز اعلام کنند. مرکز مکلف است این گزارش‌ ها را در رتبه ‌بندی موضوع ماده (24) لحاظ کند.
مرکز مکلف است با همکاری نهاد‌های ذی‌ ربط به‌ منظور تعیین خطر (ریسک) ارباب‌ رجوع در تعاملات کاری با اشخاص مشمول، نسبت به تهیه فهرست اشخاص با خطر (ریسک) بالا اقدام کند و فهرست مزبور را با رعایت ملاحظات امنیتی و ‌به ‌طور سامانه ای (سیستمی) در اختیار اشخاص مشمول قرار دهد. به این منظور، مرکز باید مواردی نظیر شاخص‌ های زیر را در نظر گیرد:
1 - اشخاص حقوقی که دارای شیوه فعالیت اقتصادی و ساختار مالکیت غیرمعمول یا پیچیده هستند یا اشخاصی که فعالیت اقتصادی و مالی آنها با اهداف مقرر در اساسنامه تناسب نداشته باشد.
2 - صاحبان مشاغلی که با وجه نقد زیاد سر و کار دارند.
3 - اشخاص دارای خطر (ریسک) سیاسی.
4 - افراد پرتردد به مناطق پرخطر.
5 - اشخاص دارای سابقه محکومیت پولشویی یا امنیتی.
6 - اشخاص با خطر (ریسک) بالا به تشخیص ضابطان خاص مبارزه با پولشویی.
تبصره 1 - همه دستگاه‌ های اجرایی از قبیل وزارت کشور‌، وزارت صنعت، معدن و تجارت، وزارت امور خارجه، وزارت دادگستری، نیروی انتظامی جمهوری اسلامی ایران، گمرک جمهوری اسلامی ایران، بانک مرکزی جمهوری اسلامی ایران و نهادهای امنیتی و اطلاعاتی مکلفند امکان دسترسی مرکز را به اطلاعات مورد نیاز این ماده فراهم کنند.
تبصره 2 - شورا مکلف است ظرف یک سال پس از تصویب این آیین ‌نامه‌، معیارهای تعیین اشخاص دارای خطر (ریسک) سیاسی و اطلاعات مورد نیاز مرکز جهت اجرای این ماده (موضوع تبصره (1) این ماده) را تهیه و ابلاغ کند.
اشخاص مشمول مکلفند در خصوص تعاملات کاری که مرکز خطر (ریسک) آن را بالا ارزیابی می ‌کند، مطابق رویه‌ های اعلام‌ شده توسط مرکز عمل کنند.
مرکز مکلف است نسبت به جمع‌ آوری اسامی مناطق پرخطر مطابق شاخص‌ هایی از قبیل شاخص‌ های زیر اقدام و آنها را پس از تصویب شورا، به اشخاص مشمول ابلاغ کند:
1 - مناطقی مانند گمرک‌ ها، مناطق آزاد و برخی مناطق مرزی که از نظر پولشویی یا تأمین مالی تروریسم در معرض خطرند.
2 - کشورهایی که دارای نظام ‌های ضد پولشویی کافی تشخیص داده نشده ‌اند.
3 - کشورهایی که دارای سطح بالای فساد مالی یا فعالیت‌ های جنایی تشخیص داده شده‌ اند.
4 - کشورها یا مناطقی که تأمین ‌کنندگان مالی یا حامی اقدامات تروریستی تشخیص داده شده ‌اند یا کشورهایی که سازمان ‌های تروریستی در آنها فعالیت می ‌کنند.
تبصره 1 - اسامی مناطق پرخطر توسط مرکز در بازه ‌های زمانی سه تا پنج‌ ساله به ‌روزرسانی خواهد شد.
تبصره 2 - اشخاص مشمول مکلفند بلافاصله پس از دریافت اسامی مناطق پرخطر، نسبت به به ‌روزرسانی فهرست پیشین اقدام کنند، به ‌نحوی که اسامی این مناطق به ‌همراه آخرین اصلاحات آن همواره در اختیار کارکنان ذی ‌ربط قرار داشته باشد.
اشخاص مشمول باید نرم ‌افزارهای خود را به ‌گونه ‌ای طراحی کنند که ارایه خدمت تنها پس از ثبت اطلاعات لازم برای تعیین خطر (ریسک) تعاملات کاری صورت گیرد. همچنین، اطلاعات تعاملات کاری با خطر (ریسک) بالا در این نرم ‌افزارها ثبت شود و در صورت درخواست مرکز، گزارش آن به ‌شکلی که مرکز تعیین می‌ کند، برای آن ارسال گردد.
اشخاص مشمول باید تعاملات با خطر (ریسک) بالا را پیوسته و به ‌صورت سامانه ای (سیستمی) پایش و اطلاعات مربوط به این تعاملات را مطابق رویه ‌های اعلامی مرکز به این نهاد ارسال کنند.
اشخاص مشمول مکلفند بر اجرای مقررات و برنامه ‌های داخلی مبارزه با پولشویی و تأمین مالی تروریسم از جمله تناسب خطر (ریسک) تعاملات کاری با اقدامات صورت‌ گرفته در همه سطوح خود (شعب، ادارات کل و...) نظارت کرده و در صورت مشاهده هرگونه انحراف، نسبت به اصلاح و برطرف ‌کردن آن اقدام کنند.
اشخاص مشمول مکلفند هنگام ارایه خدمت به اشخاص از طریق اشخاص واسط داخلی، نحوه اجرای مقررات مبارزه با پولشویی و تأمین مالی تروریسم توسط اشخاص واسط را در ارزیابی سطح خطر (ریسک) تعاملات کاری لحاظ کنند.