Aiemmissa artikkeleissa olemme käyneet läpi läpi ilmoitusvelvollisia ja lain asettamia velvollisuuksia sekä asiakkaan tuntemista. Tässä kirjoituksessa perehdymme tarkemmin rahanpesun ja terrorismin rahoittamisen riskiarvioon. Jos ilmoitusvelvollisuus herättää kysymyksiä, palaa aiempaan artikkeliin.
Rahanpesun ja terrorismin rahoittamisen torjunnan keskeinen lähtökohta on riskiperusteisuus. Riskiperusteisuus tarkoittaa sitä, että ilmoitusvelvollinen tunnistaa, arvioi ja ymmärtää ne rahanpesun ja terrorismin rahoittamisen riskit, joille omassa toiminnassa altistutaan. Rahanpesun ja terrorismin rahoittamisen riskillä tarkoitetaan erilaisten uhkatekijöiden, haavoittuvuuksien ja haitallisten seurausten yhdistelmää. Riskit voivat olla ylikansallisia, kansallisia sekä ilmoitusvelvollisen omia riskejä.
Ilmoitusvelvollisen täytyy laatia kirjallinen, omaa liiketoimintaa ohjaava riskiarvio. Riskiarvion laadinnassa tulee ottaa huomioon liiketoiminnan luonne, koko ja sen laajuus. Riskien arvioimisen jälkeen ilmoitusvelvollinen kykenee mitoittamaan rahanpesulain edellyttämät toimenpiteet tunnistettujen riskien mukaan.
Tarkoituksena on myös arvioida, millaisin keinoin toimija voi itse vähentää riskiään joutua rahanpesun tai terrorismin rahoittamisen välikädeksi. Tällaisiin hallintakeinoihin voi myös liittyä haavoittuvuuksia ja puutteita, joiden vaikutusta on tärkeää arvioida suhteessa tunnistettuihin riskeihin.
Ilman riskiarviota rahanpesulain velvoitteiden noudattaminen ei ole käytännössä mahdollista. Laki edellyttää ilmoitusvelvollisilta asiakassuhteidensa riskiperusteista arviointia ja asiakkaan tuntemista koskevien velvoitteiden noudattamista riskiperusteisesti koko asiakassuhteen ajan. Riskiperusteisen toimintatavan noudattaminen on hankalaa, mikäli ilmoitusvelvollisella ei ole käsitystä siitä, miltä osin rahanpesun ja terrorismin rahoittamisen riskit ovat hänen liiketoiminnassaan matalia, kohtalaisia, suuria tai erittäin suuria. Siellä, missä riski on suurin, tarvitaan tehokkaampia toimenpiteitä ja menettelytapoja riskin hallitsemiseksi tai vähentämiseksi. Samalla tarkoituksena on välttää turhan raskaita menettelytapoja silloin, kun riski on matala.
Riskiarvio ei tarkoita sitä, että ilmoitusvelvollisen tulisi riskiarvion kautta osoittaa, ettei se itse ole osallinen rahanpesuun tai terrorismin rahoittamiseen. Riskiarvion tarkoituksena ei ole myöskään pyrkiä perustelemaan riskejä olemattomiksi tai ilmoitusvelvollisen harjoittamaa toimintaa täysin riskittömäksi. Riskiarvio on ilmoitusvelvollisen oma työkalupakki rahanpesun ja terrorismin rahoittamisen riskien tunnistamiseksi ja arvioimiseksi sekä riskienhallintakeinojen oikeanlaiseksi mitoittamiseksi. Tärkeää on siis ymmärrys toiminnasta rahanpesun ja terrorismin rahoituksen estämisen näkökulmasta sekä heikkouksien havainnointi.
Riskiarviossa on keskeistä arvioida sekä yrityksen tuotteisiin ja palveluihin että asiakkaisiin liittyviä riskejä. Yrityksen tarjoamiin tuotteisiin ja palveluihin liittyviä riskejä voidaan arvioida tuotteisiin ja palveluihin liittyvien haavoittuvuuksien ja uhkatekijöiden kautta, joiden perusteella voidaan määritellä kullekin tuotteelle tai palvelulle ominainen riskitaso. Asiakassuhteeseen liittyviä rahanpesun ja terrorismin rahoittamisen riskejä arvioidessa on otettava huomioon uusiin ja jo olemassa oleviin asiakkaisiin, maihin tai maantieteellisin alueisiin sekä uusiin, kehitettäviin ja jo olemassa oleviin tuotteisiin, palveluihin ja liiketoimiin sekä jakelukanaviin ja teknologioihin liittyvät rahanpesun ja terrorismin rahoittamisen riskit.
Riskiarviossa tulisi kuvata, miten riskiarvio käytännössä vaikuttaa rahanpesulain eri velvoitteiden noudattamiseen. Riskiarvion perusteella yrityksen asiakkaita voi esimerkiksi luokitella eri riskiluokkiin. Ilmoitusvelvollinen voi noudattaa yksinkertaistettua tuntemismenettelyä, jos asiakassuhteeseen tai yksittäiseen liiketoimeen liittyy riskiarvion perusteella vähäinen rahanpesun tai terrorismin rahoittamisen riski. Toisaalta, jos riskiarvion perusteella asiakassuhteeseen tai yksittäiseen liiketoimeen liittyy tavanomaista suurempi rahanpesun tai terrorismin rahoittamisen riski, ilmoitusvelvollisen on noudatettava tehostettua tuntemismenettelyä.
Riskiarviota täytyy päivittää säännöllisesti, esimerkiksi silloin, kun ilmoitusvelvollisen toimintaan tai asiakaskuntaan tulee muutoksia. Riskiarvioon on hyvä merkitä tieto siitä, milloin riskiarviota on päivitetty ja miltä osin. Riskiarvion päivittämisen yhteydessä on tärkeää arvioida myös yrityksellä käytössä olevien riskienhallintakeinojen tehokkuutta ja ajantasaisuutta tunnistettuihin riskeihin nähden.
Ilmoitusvelvollisella on oltava edellä mainitut tekijät huomioon ottaen riittävät toimintaperiaatteet, menettelytavat ja valvonta rahanpesun ja terrorismin rahoittamisen riskien vähentämiseksi ja tehokkaaksi hallitsemiseksi.
Viranomaisten toteuttamissa valvonnoissa on huomattu, että ilmoitusvelvollisten riskiarvioissa on vielä merkittävästi puutteita. Moni toimija on käyttänyt valmiita riskiarviopohjia, mutta ne eivät sellaisenaan ole riittäviä riskien arvioimisessa. Riskien arviointi tulee suorittaa jokaisen ilmoitusvelvollisen omaan liiketoimintaan ja asiakaskuntaan peilaten.
Autamme mielellämme riskiarvion luomisessa ja päivittämisessä. Ota yhteyttä:
Inka Kärkkäinen Counsel
+358 50 345 3195
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.