Screening sankcyjny – proces dla polskich

Firma handlowa z Mazowsza podpisuje kontrakt z nowym dostawcą. Kilka tygodni później okazuje się, że podmiot figuruje na liście sankcyjnej Unii Europejskiej. Transakcja zostaje zablokowana przez bank. Spółka traci zaliczkę, ponosi koszty prawne i – co gorsza – ryzykuje własne wciągnięcie na listy podmiotów naruszających reżimy sankcyjne. Wszystko dlatego, że nie przeprowadzono screeningu przed podpisaniem umowy.

Screening sankcyjny to proces weryfikacji kontrahentów, pracowników i transakcji pod kątem obowiązujących reżimów sankcyjnych – unijnych, amerykańskich (OFAC), brytyjskich (OFSI) oraz polskich. Obowiązek wdrożenia wewnętrznych procedur compliance wynika z rozporządzeń Rady UE, polskiej ustawy sankcyjnej z 15 kwietnia 2022 roku oraz regulacji AML. Brak procedury grozi karami administracyjnymi, odpowiedzialnością karną i nieodwracalną utratą reputacji.

Przewodnik opisuje pięć etapów procesu screeningowego: identyfikację zakresu weryfikacji, dobór źródeł i narzędzi, procedurę operacyjną, zarządzanie trafniami (ang. hits) oraz dokumentację i audyt. Każdy etap zawiera konkretne terminy, koszty orientacyjne i typowe błędy. Na końcu – trzy scenariusze biznesowe i odpowiedzi na pytania, które najczęściej słyszymy od klientów.

Kogo i co należy weryfikować – zakres screeningu sankcyjnego?

Zakres screeningu zależy od profilu ryzyka firmy. Podstawowa zasada brzmi: weryfikacji podlegają wszystkie podmioty, z którymi firma nawiązuje lub utrzymuje relację biznesową, finansową lub pracowniczą. Obowiązek ten wynika wprost z rozporządzeń Rady UE nakładających zakaz świadczenia usług na rzecz wskazanych osób i podmiotów. Naruszenie zakazu jest przestępstwem – niezależnie od tego, czy firma wiedziała o statusie sankcyjnym kontrahenta.

Weryfikacji wymagają co najmniej cztery kategorie podmiotów. Pierwsza to kontrahenci bezpośredni: dostawcy, odbiorcy, podwykonawcy. Druga – beneficjenci rzeczywiści ustaleni na podstawie danych z CRBR (Centralnego Rejestru Beneficjentów Rzeczywistych). Trzecia – osoby zajmujące eksponowane stanowiska polityczne (PEP). Czwarta – pracownicy na stanowiskach wrażliwych, w szczególności w obszarach finansów i handlu zagranicznego.

W praktyce wiele firm ogranicza się do weryfikacji nazwy spółki. To poważny błąd. Sankcje są często nakładane na osoby fizyczne – rzeczywistych właścicieli. Dlatego screening musi sięgać do struktury właścicielskiej co najmniej do poziomu 25% udziałów. Dane z CRBR są punktem wyjścia, ale nie wystarczą – rejestr bywa niekompletny lub nieaktualny.

Zakres przedmiotowy obejmuje nie tylko nowych kontrahentów. Należy też weryfikować istniejące relacje – co najmniej raz na 6 miesięcy lub przy każdej zmianie listy sankcyjnej. Aktualizacje list UE mogą następować kilka razy w miesiącu. System screeningowy musi nadążać za tymi zmianami w czasie zbliżonym do rzeczywistego.

Jakie źródła i narzędzia stosować w procesie weryfikacji?

Dobór źródeł weryfikacji przesądza o skuteczności całego procesu. Minimalne wymaganie to sprawdzenie pięciu oficjalnych list sankcyjnych: wykazu UE (publikowanego w Dzienniku Urzędowym UE), listy OFAC SDN (USA), listy OFSI (Wielka Brytania), listy ONZ oraz polskiej listy prowadzonej przez Ministra Spraw Wewnętrznych i Administracji na podstawie ustawy sankcyjnej z 2022 roku. Dla firm działających w sektorze finansowym obowiązkowe jest także sprawdzenie list AML prowadzonych przez FATF.

Manualne sprawdzanie pięciu list dla każdego kontrahenta jest nieefektywne i podatne na błędy. Rozwiązania technologiczne dzielą się na trzy poziomy. Poziom podstawowy to narzędzia SaaS (np. Dow Jones Risk Center, Refinitiv World-Check, Comply Advantage) – koszt od kilku do kilkunastu tysięcy złotych miesięcznie. Poziom średni to integracja API z systemem ERP firmy – umożliwia automatyczny screening przy każdym nowym wpisie do bazy kontrahentów. Poziom zaawansowany to rozwiązania oparte na uczeniu maszynowym, redukujące liczbę fałszywych trafień (false positives) nawet o 60–70%.

Wybór narzędzia zależy od wolumenu transakcji. Firma realizująca 50 nowych kontraktów miesięcznie poradzi sobie z rozwiązaniem SaaS. Podmiot procesujący tysiące płatności dziennie – jak bank lub operator logistyczny – potrzebuje integracji API z automatycznym blokowaniem transakcji. Warto też pamiętać, że narzędzie nie zastępuje procedury. Fałszywe trafienie wymaga ludzkiej decyzji w ciągu 24 godzin.

Uzupełnieniem list sankcyjnych są bazy danych negatywnych mediów (adverse media screening). Pozwalają wykryć ryzyko reputacyjne zanim podmiot trafi na oficjalną listę. To szczególnie istotne w kontekście CSRD – raportowanie ESG wymaga ujawniania ryzyk związanych z łańcuchem dostaw, w tym ryzyk sankcyjnych i korupcyjnych. Pominięcie tego elementu może skutkować niezgodnością z wymogami dyrektywy ESG raportowanie.

Jak wygląda krok po kroku procedura operacyjna screeningu?

Procedura operacyjna screeningu sankcyjnego składa się z sześciu kroków. Ich właściwe ułożenie decyduje o tym, czy firma jest faktycznie chroniona, czy jedynie tworzy pozory compliance. Każdy krok powinien być opisany w wewnętrznej polityce compliance – dokumencie zatwierdzonym przez zarząd i dostępnym dla wszystkich pracowników mających kontakt z kontrahentami.

Krok 1 – Onboarding kontrahenta: przed podpisaniem umowy lub pierwszą płatnością dział compliance lub wyznaczony pracownik uruchamia weryfikację. Termin: nie później niż 48 godzin przed zawarciem umowy. Wynik jest dokumentowany i archiwizowany przez minimum 5 lat zgodnie z wymogami AML.

Krok 2 – Weryfikacja struktury właścicielskiej: ustalenie beneficjentów rzeczywistych na podstawie CRBR oraz dokumentów korporacyjnych. Jeśli firma pochodzi spoza UE – wymagane jest uzyskanie odpisu z lokalnego rejestru lub oświadczenia zarządu.

Krok 3 – Uruchomienie screeningu w narzędziu: wprowadzenie danych do systemu i wygenerowanie raportu. Systemy klasy enterprise wykonują tę operację w czasie poniżej 60 sekund.

Krok 4 – Ocena trafnień: każde trafienie (hit) wymaga ręcznej oceny przez osobę do tego upoważnioną. Rozróżniamy trafnienia prawdziwe (true positive) i fałszywe (false positive). Decyzja musi być podjęta i udokumentowana w ciągu 24 godzin.

Krok 5 – Eskalacja: prawdziwe trafienie skutkuje natychmiastowym wstrzymaniem transakcji i eskalacją do zarządu lub działu prawnego. W przypadku podmiotów objętych sankcjami UE – obowiązkowe jest zgłoszenie do właściwego organu krajowego.

Krok 6 – Monitoring bieżący: automatyczne alerty przy każdej aktualizacji listy sankcyjnej dla podmiotów już zweryfikowanych. Pełny re-screening całej bazy kontrahentów – co 6 miesięcy.

Szczegółowe wymogi dotyczące kanałów zgłoszeń i eskalacji wewnętrznej opisuje nasz przewodnik po wymaganiach technicznych i prawnych kanału sygnalistów. Procedura screeningowa i kanał zgłoszeń powinny być ze sobą zintegrowane – pracownik, który wykryje podejrzaną transakcję, musi mieć jasną ścieżkę jej zgłoszenia zgodną z art. 8 ustawy o sygnalistach.

Polityka screeningu zatwierdzona przez zarząd
Matryca odpowiedzialności – kto weryfikuje, kto zatwierdza, kto eskaluje
Procedura obsługi trafnień z terminem 24 godzin
Rejestr przeprowadzonych weryfikacji z archiwizacją 5-letnią
Harmonogram re-screeningu bazy kontrahentów (co 6 miesięcy)

Konkretna sytuacja Państwa firmy – wolumen kontrahentów, struktura transakcji i zasięg geograficzny – wymaga indywidualnej oceny procedury. Błędy w jej konstrukcji mają nieodwracalne skutki: zablokowanie rachunków, utrata licencji, odpowiedzialność karna zarządu.

Jeśli Państwa spółka nie posiada jeszcze zatwierdzonej polityki screeningu lub korzysta z narzędzi nieobejmujących wszystkich pięciu list – przeprowadzimy audyt obecnych procedur i wdrożymy kompletny proces w ciągu 30 dni: info@kordeckipartners.com.

Jakie błędy najczęściej popełniają polskie firmy przy screeningu?

Trzy scenariusze biznesowe pokazują, gdzie compliance sankcyjny najczęściej zawodzi. Każdy z nich kończy się kosztowną lekcją – której można było uniknąć.

Scenariusz 1 – Producent z Wielkopolski, wiosna 2024: spółka produkcyjna eksportuje maszyny do kraju trzeciego. Odbiorca nie figuruje na żadnej liście. Jednak 40% udziałów posiada podmiot z listy SDN OFAC. Screening obejmował tylko nazwę odbiorcy – nie jego strukturę właścicielską. Bank korespondent w USA blokuje płatność. Spółka traci kontrakt o wartości ok. 2,8 mln zł i ponosi koszty obsługi prawnej przez trzy miesiące.

Scenariusz 2 – Firma IT z Mazowsza, jesień 2024: startup technologiczny zatrudnia specjalistę z kraju WNP na podstawie kontraktu B2B. Screening nie obejmował osób fizycznych – tylko spółki. Specjalista figuruje na liście sankcyjnej UE wprowadzonej dwa miesiące po podpisaniu kontraktu. Firma nie prowadzi monitoringu bieżącego. Naruszenie trwa 11 tygodni. Urząd skarbowy wszczyna postępowanie wyjaśniające.

Scenariusz 3 – Inwestor zagraniczny wchodzący na rynek polski: fundusz private equity z Niemiec przejmuje polską spółkę dystrybucyjną. Due diligence nie obejmuje screeningu sankcyjnego dostawców przejmowanej spółki. Po zamknięciu transakcji okazuje się, że jeden z kluczowych dostawców jest powiązany z podmiotem objętym sankcjami sektorowymi UE. Fundusz musi rozwiązać kontrakt w trybie natychmiastowym i renegocjować umowę sprzedaży.

Najczęstsze błędy systemowe to: brak weryfikacji beneficjentów rzeczywistych, brak monitoringu bieżącego po onboardingu, niezintegrowanie screeningu z procesem płatności oraz brak dokumentacji decyzji o trafnieniach. Ten ostatni błąd jest szczególnie niebezpieczny – organ kontrolny nie ocenia jedynie tego, czy firma miała narzędzie, ale czy potrafiła udowodnić, że z niego właściwie korzystała.

W kontekście zarządzania ryzykiem ICT – szczególnie istotnym dla firm finansowych i technologicznych – warto zapoznać się z naszą analizą zarządzania ryzykiem ICT w polskich podmiotach w świetle DORA. Narzędzia screeningowe działające w chmurze podlegają wymogom DORA w zakresie outsourcingu ICT – to kolejny wymiar ryzyka, o którym wiele firm zapomina.

Pominięcie któregokolwiek z opisanych elementów nie jest błędem formalnym. Jest luką, którą organ kontrolny lub kontrahent może wykorzystać. Odpowiedzialność jest osobista – menedżer, który zatwierdził transakcję bez weryfikacji, odpowiada tak samo jak spółka.

Jak wdrożyć i utrzymać program screeningu sankcyjnego – koszty i harmonogram?

Wdrożenie kompletnego programu screeningu sankcyjnego zajmuje od 3 do 12 tygodni – w zależności od wielkości firmy, liczby kontrahentów i stopnia integracji z systemami ERP. Poniżej przedstawiamy orientacyjny harmonogram dla średniej spółki handlowej zatrudniającej 50–200 pracowników.

Tygodnie 1–2: analiza ryzyka i mapowanie procesów. Identyfikacja wszystkich punktów styku z kontrahentami, pracownikami i transakcjami. Wynik: mapa ryzyka i zakres programu. Koszt zewnętrzny: 5 000–15 000 zł (doradztwo prawne).

Tygodnie 3–4: opracowanie polityki compliance i procedur operacyjnych. Zatwierdzenie przez zarząd. Wyznaczenie osoby odpowiedzialnej (Compliance Officer lub wyznaczony pracownik). W małych firmach funkcję tę może pełnić radca prawny kancelarii zewnętrznej.

Tygodnie 5–8: wdrożenie narzędzia screeningowego. Dla firm o niskim wolumenie – subskrypcja SaaS (1 500–6 000 zł/miesiąc). Dla firm z integracją ERP – projekt IT (30 000–100 000 zł jednorazowo). Szkolenie pracowników: 1 dzień dla działu handlowego i finansowego.

Tygodnie 9–12: screening pilotażowy całej bazy kontrahentów. Obsługa trafnień, kalibracja progów. Dokumentacja wyników. Raport dla zarządu.

Utrzymanie programu generuje koszty bieżące: subskrypcja narzędzia, co najmniej jeden przegląd polityki rocznie i szkolenie odświeżające dla pracowników (zalecane co 12 miesięcy). Całkowity koszt roczny dla średniej spółki: 25 000–80 000 zł. To ułamek potencjalnej kary administracyjnej, która w reżimie sankcji UE może sięgać równowartości 10% rocznego obrotu firmy.

Dla firm objętych CSRD program screeningu sankcyjnego jest elementem należytej staranności w łańcuchu wartości – wymaganym przez Dyrektywę 2022/2464 i powiązaną dyrektywę CSDDD. Ujawnienie w raporcie ESG raportowanie, że firma nie wdrożyła procedur weryfikacji kontrahentów pod kątem sankcji, może skutkować zakwestionowaniem rzetelności całego sprawozdania.

Konkretna sytuacja Państwa firmy – etap wdrożenia, budżet i dostępne zasoby wewnętrzne – wymaga indywidualnej oceny. Błędy w harmonogramie mają nieodwracalne skutki: każdy tydzień bez działającego screeningu to tygodniowe okno na naruszenie, którego nie można cofnąć.

Jeśli Państwa spółka planuje wdrożenie programu screeningu lub potrzebuje przeglądu istniejących procedur – przeprowadzimy analizę luk, dobierzemy narzędzie i opracujemy dokumentację w terminie dostosowanym do Państwa harmonogramu: info@kordeckipartners.com.

Często zadawane pytania

P: Czy małe firmy niezajmujące się eksportem muszą prowadzić screening sankcyjny?

O: Tak. Zakaz świadczenia usług na rzecz podmiotów objętych sankcjami UE dotyczy wszystkich podmiotów prowadzących działalność w Polsce – niezależnie od wielkości i branży. Obowiązek nie jest uzależniony od wartości transakcji ani od tego, czy firma prowadzi handel zagraniczny. Nawet jednoosobowa spółka z o.o. świadcząca usługi doradcze może naruszyć reżim sankcyjny, jeśli jej klient figuruje na liście UE. Skala działalności wpływa jedynie na dobór narzędzi i częstotliwość weryfikacji – nie na sam obowiązek.

P: Jak długo trzeba archiwizować dokumentację ze screeningu i co powinna zawierać?

O: Dokumentacja powinna być przechowywana przez co najmniej 5 lat – termin ten wynika z wymogów ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML). Dla każdej weryfikacji należy zachować: datę i godzinę sprawdzenia, użyte źródła i narzędzie, wynik screeningu (w tym ewentualne trafnienia), decyzję osoby upoważnionej oraz uzasadnienie w przypadku trafnienia fałszywego. Brak pełnej dokumentacji jest traktowany przez organy kontrolne jako dowód nierzetelności procedury – nawet jeśli sama weryfikacja była przeprowadzona prawidłowo.

P: Czy screening sankcyjny i weryfikacja AML to to samo?

O: Nie – choć oba procesy są ze sobą powiązane i często realizowane przy użyciu tych samych narzędzi. Weryfikacja AML (przeciwdziałanie praniu pieniędzy) dotyczy przede wszystkim instytucji obowiązanych wymienionych w ustawie AML i koncentruje się na ocenie ryzyka prania pieniędzy i finansowania terroryzmu. Screening sankcyjny ma szerszy zakres podmiotowy – obowiązuje wszystkich przedsiębiorców, nie tylko instytucje obowiązane. Ponadto screening sankcyjny musi obejmować listy OFAC i OFSI, które nie są objęte procedurą AML. Uważamy, że bezpieczniejszym rozwiązaniem jest prowadzenie obu procesów równolegle, z jedną bazą danych kontrahentów i jedną platformą technologiczną.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance sankcyjnego, ESG i AML. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Anna Witkowska specjalizuje się w compliance, ESG i dochodzeniach wewnętrznych.