RAHANPESUN RISKIARVIO
Mikä on rahanpesun riskiarvio?
Ilmoitusvelvollisen täytyy laatia kirjallinen, omaa liiketoimintaa ohjaava riskiarvio. Riskiarvion laadinnassa tulee ottaa huomioon liiketoiminnan luonne, koko ja sen laajuus. Riskien arvioimisen jälkeen ilmoitusvelvollinen kykenee mitoittamaan rahanpesulain edellyttämät toimenpiteet tunnistettujen riskien mukaan.
Rahanpesun ja terrorismin rahoittamisen torjunnan keskeinen lähtökohta on riskiperusteisuus. Riskiperusteisuus tarkoittaa sitä, että ilmoitusvelvollinen tunnistaa, arvioi ja ymmärtää ne rahanpesun ja terrorismin rahoittamisen riskit, joille omassa toiminnassa altistutaan. Rahanpesun ja terrorismin rahoittamisen riskillä tarkoitetaan erilaisten uhkatekijöiden, haavoittuvuuksien ja haitallisten seurausten yhdistelmää. Riskit voivat olla ylikansallisia, kansallisia sekä ilmoitusvelvollisen omia riskejä.
Tarkoituksena on myös arvioida, millaisin keinoin toimija voi itse vähentää riskiään joutua rahanpesun tai terrorismin rahoittamisen välikädeksi. Tällaisiin hallintakeinoihin voi myös liittyä haavoittuvuuksia ja puutteita, joiden vaikutusta on tärkeää arvioida suhteessa tunnistettuihin riskeihin.
Mitä rahanpesulaki edellyttää riskiarviolta?
Ilman riskiarviota rahanpesulain velvoitteiden noudattaminen ei ole käytännössä mahdollista. Laki edellyttää ilmoitusvelvollisilta asiakassuhteidensa riskiperusteista arviointia ja asiakkaan tuntemista koskevien velvoitteiden noudattamista riskiperusteisesti koko asiakassuhteen ajan. Riskiperusteisen toimintatavan noudattaminen on hankalaa, mikäli ilmoitusvelvollisella ei ole käsitystä siitä, miltä osin rahanpesun ja terrorismin rahoittamisen riskit ovat hänen liiketoiminnassaan matalia, kohtalaisia, suuria tai erittäin suuria. Siellä, missä riski on suurin, tarvitaan tehokkaampia toimenpiteitä ja menettelytapoja riskin hallitsemiseksi tai vähentämiseksi. Samalla tarkoituksena on välttää turhan raskaita menettelytapoja silloin, kun riski on matala.
Riskiarvio ei tarkoita sitä, että ilmoitusvelvollisen tulisi riskiarvion kautta osoittaa, ettei se itse ole osallinen rahanpesuun tai terrorismin rahoittamiseen. Riskiarvion tarkoituksena ei ole myöskään pyrkiä perustelemaan riskejä olemattomiksi tai ilmoitusvelvollisen harjoittamaa toimintaa täysin riskittömäksi. Riskiarvio on ilmoitusvelvollisen oma työkalupakki rahanpesun ja terrorismin rahoittamisen riskien tunnistamiseksi ja arvioimiseksi sekä riskienhallintakeinojen oikeanlaiseksi mitoittamiseksi. Tärkeää on siis ymmärrys toiminnasta rahanpesun ja terrorismin rahoituksen estämisen näkökulmasta sekä heikkouksien havainnointi.
Riskiarviossa käydään läpi yrityksen tuotteisiin, palveluihin ja asiakkaisiin liittyviä riskejä
Riskiarviossa on keskeistä arvioida sekä yrityksen tuotteisiin ja palveluihin että asiakkaisiin liittyviä riskejä. Yrityksen tarjoamiin tuotteisiin ja palveluihin liittyviä riskejä voidaan arvioida tuotteisiin ja palveluihin liittyvien haavoittuvuuksien ja uhkatekijöiden kautta, joiden perusteella voidaan määritellä kullekin tuotteelle tai palvelulle ominainen riskitaso. Asiakassuhteeseen liittyviä rahanpesun ja terrorismin rahoittamisen riskejä arvioidessa on otettava huomioon uusiin ja jo olemassa oleviin asiakkaisiin, maihin tai maantieteellisin alueisiin sekä uusiin, kehitettäviin ja jo olemassa oleviin tuotteisiin, palveluihin ja liiketoimiin sekä jakelukanaviin ja teknologioihin liittyvät rahanpesun ja terrorismin rahoittamisen riskit.
Riskiarviossa tulisi kuvata, miten riskiarvio käytännössä vaikuttaa rahanpesulain eri velvoitteiden noudattamiseen. Riskiarvion perusteella yrityksen asiakkaita voi esimerkiksi luokitella eri riskiluokkiin. Ilmoitusvelvollinen voi noudattaa yksinkertaistettua tuntemismenettelyä, jos asiakassuhteeseen tai yksittäiseen liiketoimeen liittyy riskiarvion perusteella vähäinen rahanpesun tai terrorismin rahoittamisen riski. Toisaalta, jos riskiarvion perusteella asiakassuhteeseen tai yksittäiseen liiketoimeen liittyy tavanomaista suurempi rahanpesun tai terrorismin rahoittamisen riski, ilmoitusvelvollisen on noudatettava tehostettua tuntemismenettelyä.
Rahanpesulaki edellyttää riskiarvion säännöllistä päivittämistä
Riskiarviota täytyy päivittää säännöllisesti, esimerkiksi silloin, kun ilmoitusvelvollisen toimintaan tai asiakaskuntaan tulee muutoksia. Riskiarvioon on hyvä merkitä tieto siitä, milloin riskiarviota on päivitetty ja miltä osin. Riskiarvion päivittämisen yhteydessä on tärkeää arvioida myös yrityksellä käytössä olevien riskienhallintakeinojen tehokkuutta ja ajantasaisuutta tunnistettuihin riskeihin nähden.
Ilmoitusvelvollisella on oltava edellä mainitut tekijät huomioon ottaen riittävät toimintaperiaatteet, menettelytavat ja valvonta rahanpesun ja terrorismin rahoittamisen riskien vähentämiseksi ja tehokkaaksi hallitsemiseksi.
Valvontahavainnot osoittavat merkittäviä puutteita ilmoitusvelvollisten riskiarvioissa
Viranomaisten toteuttamissa valvonnoissa on huomattu, että ilmoitusvelvollisten riskiarvioissa on vielä merkittävästi puutteita. Moni toimija on käyttänyt valmiita riskiarviopohjia, mutta ne eivät sellaisenaan ole riittäviä riskien arvioimisessa. Riskien arviointi tulee suorittaa jokaisen ilmoitusvelvollisen omaan liiketoimintaan ja asiakaskuntaan peilaten.
Meillä on kokemusta niin pienten kuin suurten toimijoiden riskiarvioiden laatimisesta ja eri toimialoilla toimivien yritysten riskien laajasta arvioinnista. Suosittelemme toteuttamaan kokonaisprosessin huolellisesti ja perusteellisesti: näin varmistetaan todellisten riskien havainnointi ja niihin sovellettavien toimintatapojen rakentaminen. Samalla johto ja henkilöstö saa arvokasta tietoa yrityksen toimintaan liittyvistä haastekohdista ja osaa huomioida nämä asiat jokapäiväisessä liiketoiminnassa. Hyvin hoidettu rahanpesulain noudattaminen helpottaa henkilöstön lisäksi myös asiakkaan palvelua ja parantaa asiakaskokemusta.
Autamme mielellämme riskiarvion laadinnassa sekä autamme varmistamaan, että rahanpesulakiin perustuvia velvollisuuksia noudatetaan ja kaikki keskeiset riskit huomioidaan yrityksenne toiminnassa.