Rozpoznając ryzyko biura rachunkowe IO uwzględniają w szczególności:
- rodzaj klienta - niższe ryzyko może wystąpić w przypadku klienta stałego,
- obszar geograficzny, tj. kraj pochodzenia, działania, dystrybucji - niższe ryzyko wystąpi przy działalności krajowej czy na terytorium UE,
- rodzaj produktów, usług i sposoby ich dystrybucji - wyższe ryzyko to przykładowo działalność komisu samochodowego, kantoru, lombardu, klubu nocnego, handel paliwami, złomem itp.,
- cel, regularność lub czas trwania stosunków gospodarczych.
Każdego klienta należy ocenić pod tym kątem i przypisać go do danej grupy ryzyka:
- niskie ryzyko (grupa 1),
- średnie ryzyko (grupa 2),
- wysokie ryzyko (grupa 3).
Do rozpoznanego ryzyka należy dostosować zakres i intensywność stosowanych środków bezpieczeństwa finansowego, które w biurze rachunkowym sprowadzają się do następujących czynności:
- identyfikacji klienta (przed zawarciem z nim umowy), a więc ustalenia jego danych, (określonych w art. 36 ustawy), w tym także danych osoby upoważnionej do działania w imieniu klienta oraz danych beneficjenta rzeczywistego klienta (każdej osoby fizycznej sprawującej bezpośrednio lub pośrednio kontrolę nad klientem poprzez posiadane uprawnienia, które wynikają z okoliczności prawnych lub faktycznych, umożliwiające wywieranie decydującego wpływu na czynności lub działania podejmowane przez klienta, lub każdej osoby fizycznej, w imieniu której są nawiązywane stosunki gospodarcze, w szczególności na podstawie danych z CRBR), weryfikacji tożsamości identyfikowanych osób; pobrania potrzebnych oświadczeń, (w tym o zajmowaniu lub nie eksponowanego stanowiska politycznego),
- oceny stosunków gospodarczych i stosownie do sytuacji, uzyskania informacji na temat ich celu i zamierzonego charakteru,
- bieżącego monitorowania stosunków gospodarczych klienta - dokonanie tego monitorowania dokumentuje się sporządzonym na tę okoliczność dokumentem.
W przypadku gdy dokonana ocena ryzyka klienta wykazała niskie ryzyko prania pieniędzy, można stosować uproszczone środki bezpieczeństwa (typu mniejszej częstotliwości monitorowania transakcji klientów).