Inka Kärkkäinen / 12.02.2024

Rahanpesulaki ja riskiarvio – Tunne velvoitteesi ja asiakkaasi tarkasti

Procountor taloushallinto- ja kirjnapito-ohjelma

Vuonna 2022 Aluehallintovirasto havaitsi runsaasti puutteita rahanpesulain mukaisten riskiarvioiden lainmukaisuudessa. Valtaosa arvioiduista yli 175 riskiarviosta osoittautui puutteellisiksi. Lisäksi vuonna 2023 Aluehallintovirasto on sanktioinut useita toimijoita rahanpesulain velvollisuuksien rikkomisesta – tämäkin kuvaa sitä, että ongelmia ja kehitettävää riittää rahanpesun estämisen osa-alueella.

Katso tallenne webinaarista: Rahanpesulain velvoitteet – Mitä ne tarkoittavat

Rahanpesulaki velvoittaa taloushallintoalan toimijoita, esimerkiksi tilitoimistoja ja kirjanpitäjiä, tuntemaan ja seuraamaan asiakkaidensa liiketoimintaa, tekemään riskiarvion ja tarvittaessa raportoimaan poikkeavasta toiminnasta. Mitä tutumpaa asiakkaan liiketoiminta on, sitä helpompaa riskien arviointi ja epätavallisen toiminnan havaitseminen on.

Tästä artikkelista löydät vinkkejä riskitekijöiden havaitsemiseen ja aiempaa tarkempaan asiakkaidesi tuntemiseen.

Mitä rahanpesulaki velvoittaa?

Rahanpesun ja terrorismin rahoituksen estämistä sääntelee rahanpesulaki. Kyseinen laki on jatkuvan muutospaineen alla kansallisen ja kansainvälisen lainsäädännön kehittyessä. Viimeksi keväällä 2023 päivitetty rahanpesulaki koskee muun muassa tilitoimistoja ja kirjanpitäjiä.

Rahanpesulain soveltamisalaan kuuluvat toimialat perustuvat siihen, että kyseisten toimijoilla on ammattitaitonsa puolesta edellytykset havaita poikkeuksellisia tai epäilyttäviä liiketoimia – ja siten myös ilmoittaa niistä tarvittaessa rahanpesun selvityskeskukselle. Tiettyihin toimialoihin taas kohdistuu riski siitä, että alan toimijaa saatetaan käyttää hyväksi rahanpesun tai terrorismin rahoituksen tarkoituksiin.

Näitä lain soveltamisalaan kuuluvia toimijoita kutsutaan ilmoitusvelvolliseksi.

Tilitoimistot ja kirjanpito katsotaan rahanpesun näkökulmasta riskialttiiksi toimialaksi, sillä tilitoimistoja voidaan esimerkiksi hyödyntää osana rahanpesua. Tällä hetkellä alan toimijoiden puutteellinen osaaminen rahanpesulain velvoitteista ja asiakkaiden vaihtelevista toimialoista tekee alasta erityisen haavoittuvan.

Rahanpesulaki edellyttää muun muassa, ilmoitusvelvollisen tulee laatia riskiarvio riskien tunnistamiseksi ja arvioimiseksi, lisäksi ilmoitusvelvollisen tulee tuntea asiakkaansa ja seurata heidän toimintaansa.

Käytännössä ilmoitusvelvollisten taloushallinnon toimijoiden tulee

  1. liittyä tarvittaviin rekistereihin, joista tilitoimistoille keskeisin on Alvin sähköinen valvontarekisterihakemuspalvelu
  2. laatia rahanpesun riskiarvio
  3. tunnistaa, todentaa ja tuntea asiakkaansa
  4. seurata asiakkaiden toimintaa ja tarvittaessa selvittää sekä ilmoittaa epäilyttävistä toimista rahanpesun selvittelykeskukselle
  5. huolehtia yrityksen sisäisestä ohjeistuksesta ja henkilöstön koulutuksesta.

Kattavan artikkelin rahanpesulain perusteista löydät täältä >>

Ryhmittele asiakkaasi riskiarvion tekemiseksi

Ilman kirjallista, yrityksen omalle liiketoiminnalle spesifiä riskiarviota rahanpesulain velvoitteita ei voida noudattaa. Riskiarviota on päivitettävä säännöllisesti ja se on kyettävä toimittamaan viranomaisille pyynnöstä ilman viivytyksiä. Riskien arvioimisen jälkeen ilmoitusvelvollinen kykenee mitoittamaan rahanpesulain edellyttämät toimenpiteet tunnistettujen riskien mukaan.

Tarkoituksena on myös arvioida, miten ilmoitusvelvollinen voi itse vähentää riskiään joutua rahanpesun tai terrorismin rahoittamisen välikädeksi. Tällaisiin niin sanottuihin hallintakeinoihin voi myös liittyä haavoittuvuuksia ja puutteita, joiden vaikutusta on tärkeää arvioida suhteessa tunnistettuihin riskeihin. Riskiarviossa tulisi myös kuvata, miten riskiarvio käytännössä vaikuttaa rahanpesulain eri velvoitteiden noudattamiseen.

Tilitoimiston kohdalla esimerkiksi palkanlaskennan, veroneuvonnan ja tilintarkastuksen osalta riskejä arvioidaan jokaisen palvelun kohdalta erikseen. Riskiarviossa on keskeistä arvioida sekä yrityksen palveluihin että asiakkaisiin liittyviä riskejä. Yrityksen tarjoamiin palveluihin liittyviä riskejä voidaan arvioida tuotteisiin ja palveluihin liittyvien haavoittuvuuksien ja uhkatekijöiden kautta, joiden perusteella voidaan määritellä kullekin tai palvelulle ominainen riskitaso.

Tilitoimistojen tulee laatia riskiarvio paitsi omasta toiminnasta, myös arvioida asiakkaansa heihin kohdistuvien riskien pohjalta.

Ilmoitusvelvollisen on arvioitava asiakassuhteeseen liittyviä riskejä riskiperusteisesti ja tarvittaessa luotava tehostetun tuntemisen toimia. Riskejä arvioidessa voidaan ottaa huomioon muun muassa jo olemassa oleviin asiakkaisiin, maihin tai maantieteellisiin alueisiin liittyvät riskit.

Oma asiakaskunta voidaan ryhmitellä esimerkiksi eri kokoluokkien, toimialojen tai omistusmuotojen mukaan. Tämä helpottaa riskiarvion tekemistä ja päivittämistä. Asiakasryhmille tyypillisiä riskitekijöitä voidaan arvioida ryhmissä. Esimerkiksi tiettyjen, korkeariskisten alojen tai kytkösten tiettyihin valtioihin voidaan katsoa nostavan riskitasoa.

Oman liiketoiminnan luonne, koko ja laajuus vaikuttavat vaadittavan riskiarvion laajuuteen. Pienen yksinyrittäjän ei siis tarvitse toteuttaa yhtä laajaa riskiarviota kuin monta sataa työllistävän tilitoimiston. Täysin tyhjentävää ohjeistusta riskiarvion vaadittavasta laajuudesta ei ole olemassa, mutta viranomaiset tarjoavat materiaaleja riskiarvion tekemiseen ja tietoa esimerkiksi siitä, millaisia eri riskit voivat käytännössä olla. Suosittelenkin ehdottomasti riskiarvion laatimista ammattilaisen avustuksella.

Vinkit riskiarvion tekemiseen

  1. Arvioi riskitaso tuotteille ja palveluille erikseen – esimerkiksi kirjanpidon riskitaso voi erota palkanlaskennan riskitasosta.
  2. Jaottele asiakkaat ryhmiin – esimerkiksi toimialan, yritysten koon, liikevaihdon tai omistusmuodon mukaan.
  3. Aluehallintoviraston sivuilta löydät materiaalia riskiarvion tekemisen tueksi.
  4. Rahanpesun selvittelylaitoksen GoAML-rekisteröintisivustolta löydät listauksen korkean riskin maista, jota voit täydentää tarvittaessa.
  5. Muista päivittää asiakastiedot säännöllisesti, se on tehokas hallintakeino. Suositeltavaa on päivittää korkean riskin asiakkaiden tiedot vähintään kerran vuodessa ja tavanomaisen riskin asiakkaiden esimerkiksi 2-3 vuoden välein.
  6. Riskiarvio kannattaa jakaa läpinäkyvästi koko henkilöstön saataville – tämä auttaa avaamaan henkilöstön silmiä riskeille.

Katso tallenne webinaarista: Rahanpesulain velvoitteet – Mitä ne tarkoittavat

Asiakkaan tunteminen – Mihin tilitoimiston asiakkaissa kannattaa kiinnittää huomiota?

Helsingin Sanomat kertoi loppuvuonna 2023 selvityksestä, jonka mukaan valtaosa suomalaisista rahanpesulain soveltamisalaan kuuluvista yrityksistä hoitaa asiakkaan tuntemiseen liittyvät lainmukaiset velvollisuudet puutteellisesti. Suuria puutteita havaittiin esimerkiksi asiakaskohtaisten riskiarvioiden tekemisessä, henkilöstön kouluttamisessa aiheeseen liittyen ja asiakkaiden liiketoimintaa koskevien pakotteiden tuntemisessa.

Tilitoimistolla ja kirjanpitäjällä tulee olla ilmoitusvelvollisena selkeä kuva siitä, kuinka oman liiketoiminnan palveluita käytetään, mitä asiakkaan liiketoiminta pitää sisällään ja kuinka laajaa se on.

Erityisen tärkeää on erottaa omasta liiketoiminnasta tavanomaista korkeamman riskin asiakkuudet.

Alta löydät kysymyslistan, jonka avulla voit kartoittaa ja tunnistaa tavanomaista korkeamman riskin asiakkaita.

  • Toteutetaanko liiketoimintaa toimialalle epätavallisissa olosuhteissa?
  • Onko liiketoiminnan kotipaikka tai yrittäjän kotipaikka jokin korkean riskin maa?
  • Esiintyykö asiakkaan toimialalla tavallista enemmän harmaata taloutta tai korruptiota?
  • Käytetäänkö henkilökohtaisten varojen hallintaan oikeushenkilöä tai oikeudellisia järjestelyjä?
  • Onko yrityksessä hallintarekisteröinnin hoitaja tai osakkeet on laskettu liikkeeseen haltijaosakkeina?
  • Vaikeuttavatko liiketoimet asiakkaan tai edunsaajan tunnistamista?
  • Käytetäänkö yritystoiminnassa paljon käteissuorituksia? Tai toteutetaanko jokin liiketoimi huomattavana käteissuorituksena? Hyödynnetäänkö paljon virtuaalivaluuttaa?
  • Vaikuttavatko omistussuhteet epätavallisilta tai monimutkaisilta?

Yhdistykset ovat usein yrityksiä riskialttiimpia. Kirjanpitäjä voi pyytää yhdistykseltä esimerkiksi sen säännöt luettavaksi, jotta yhdistyksen toimintaa ymmärretään paremmin sekä perehtyä varainhankinnan malliin. Esimerkiksi hyväntekeväisyystoimintaan liittyy monia riskejä.

Asiakkaan tuntemista koskevia toimia tulee toteuttaa koko asiakassuhteen ajan, kaikissa asiakkuuksissa. Muista siis säännöllisesti kiinnittää huomiota velvoitteisiin myös tuttujen ja vanhojen asiakkaiden kanssa, etenkin jos liiketoiminnassa tapahtuu jotakin poikkeavaa.

Havaitse, selvitä, ilmoita – Ohjenuora epäilyttävässä tilanteessa toimimiseen

Selonottovelvollisuudella tarkoitetaan sitä, että ilmoitusvelvollisella on myös velvollisuus selvittää asiakkaidensa toimintaa epäselvissä tilanteissa, ennen mahdollisen ilmoituksen tekemistä rahanpesun selvityskeskukselle.

Mikäli epäilyttäviä liiketoimia havaitaan, ensimmäinen askel on tiedustella asiakkaalta lisätietoja. Asiakkaalta voidaan pyytää lisätietoja esimerkiksi sähköpostitse tai lomakkeella – suositeltavaa on, että lisäselvitys tapahtuu kirjallisena. Voit tarvittaessa pyytää esimerkiksi kauppakirjoja tai selitystä jonkin suorituksen luonteesta.

Mikäli liiketoimi vaikuttaa selvitysten jälkeenkin epäilyttävältä, tulee tehdä viipymättä ilmoitus tilanteesta rahanpesun selvittelykeskukselle. Selvitys tulee tehdä riippumatta siitä, onko asiakassuhdetta perustettu tai asiakassuhde keskeytetty. Muista myös, ettei ilmoitus ei ole rikosilmoitus ja sen voi tehdä matalalla kynnyksellä myös harmaan talouden tai veropetoksen epäilyissä.

Tilitoimistot ovat tehneet vuositasolla vain muutamia kymmeniä epäilyilmoituksia ja tämä kuvaa sitä, että ymmärrys alalla on vielä merkittävän puutteellista. Kannustankin jokaista miettimään, miten epäilyttäviä liiketoimia voisi havaita paremmin.

Verified AML auttaa täyttämään rahanpesulain vaatimukset

Opastettu prosessi auttaa sinua täyttämään rahanpesuvelvoitteiden mukaisia vaatimuksia. Ei enää epävarmuutta siitä, ovatko rahanpesulain mukaiset riittävät tiedot asiakkaan tuntemiseen liittyen kerätty. Järjestelmätuettu toimintatapa luo turvaa vaatimusten täyttämisen varmistamiseksi, mutta myös tehostaa rahanpesun estämisen toimia. Esimerkiksi manuaaliseen pakotelistatarkastukseen tai PEP-statusten selvittämisiin saa kulumaan huomattavasti aikaa, vaikka sen voisi käyttää itse asiakastyöhön.

Ota Verified AML käyttöösi tehostamaan ja helpottamaan velvoitteiden hoitamista.

Inka Kärkkäinen

Olen rahanpesun estämisen asiantuntija Legal Folks Oy:lla ja minulla on vuosien kokemus rahanpesun estämistyöstä. Olen toiminut mm. suuren suomalaisen pankin AML-lakimiehenä ja compliance-tehtävissä. Lisäksi olen pitänyt mm. Taloushallintoliiton verkkokoulutuksen aiheesta ja kouluttanut tuhansia taloushallinnon asiantuntijoita.