Tässä blogissa kerrotaan, mitä rahanpesulain mukainen riskiarvio tarkoittaa ja mitä sen pitää sisältää.

näin luot riskiarvion

Riskiarvion tarkoituksena on, että jokainen ilmoitusvelvollinen ymmärtää ja arvioi itse, miten omia tai asiakkaan tuotteita ja palveluita voitaisiin käyttää hyväksi rahanpesussa tai terrorismin rahoittamisessa. Riskiarvion tekeminen perustuu rahanpesulakiin.

Riskiarvion tekeminen kuuluu kaikille ilmoitusvelvollisille, mutta siihen ei ole olemassa yhtä valmista mallipohjaa.

Esimerkiksi kirjanpitäjät on arvioitu aluehallintoviraston omassa riskiarviossa merkittävän riskin toimialaksi. Siksi tilitoimistoilta vaaditaan perinpohjainen riskiarvio sekä omasta että asiakkaiden toiminnasta.

Tässä artikkelissa kerrotaan:

  • Miksi riskiarvio pitää tehdä?
  • Mitä eroa on oman toiminnan ja asiakkaiden riskiarvioilla?
  • Mitä riskiarvion tulee sisältää?
  • Miten riskiarviota pitää päivittää?
  • Mistä riskiarvion tekemiseen voi saada apua?

Ei muuta kuin käydään hommiin. Meillä on paljon asiaa läpikäytävänä.

Puutteita riskiarvioissa

Ilman riskiarviota rahanpesulain velvoitteiden noudattaminen ei ole käytännössä mahdollista. Siksi riskiarvion tuleekin löytyä jokaiselta ilmoitusvelvolliselta.

Vaatimus ei aina täyty toiveiden mukaan: AVIn tilitoimistoihin tekemissä rahanpesulain mukaisissa tarkastuksissa lähes jokaisella tilitoimistolla oli puutteita riskiarviossa.

Etelä-Suomen aluehallintoviraston ylitarkastaja Raisa Badiali on valvonut tilitoimistoja useiden vuosien ajan ja lukenut satoja riskiarvioita. Hän kertoo vastaan tulleen useita riskiarvioita, jotka ovat osoittautuneet muiden yritysten tekemien riskiarvioiden kopioiksi.

Rahanpesun ja terrorismin rahoittamisen riskit ovat monelle harmillisen vieraita. Pahimmillaan ilmoitusvelvollinen ei osaa nimetä tarkastajalle ainoatakaan omaan toimintaansa liittyvää riskiä, tai kuvata oman riskiarvionsa sisältöä.

Riskiarvio auttaa kehittämään oikeita toimintatapoja

Riskiarvion edellyttäminen ei ole epäluottamuslause ilmoitusvelvollista tai sen arviointikykyä kohtaan. Rahanpesurikollisuuden riski on olemassa aina, kun raha liikkuu paikasta toiseen. Kuten Badiali toteaa, voi “rahanpesua tapahtua missä tahansa, eikä se ole kytketty vain mafiamiljooniin”.

Täyttämällä velvoitteet noudatat lakia ja ehkäiset rahanpesun riskiä myös oman yrityksen ympärillä.

Rahanpesulain mukaan ilmoitusvelvollisella on oltava käsitystä siitä, minkä tasoisia riskejä kullakin heidän liiketoimintansa alueella on. Esimerkiksi tilitoimistojen on arvioitava riskiarviossaan erityisesti omaan asiakaskuntaan ja näiden toimialoihin liittyviä riskejä.

Tämän arvioinnin perusteella laaditaan ja kehitetään toimintatapoja. Kun asiakkuudessa on suuri riski rahanpesuun tai terrorismin rahoittamiseen, tarvitaan tehokkaampia toimenpiteitä ja menettelytapoja kuin matalan riskin asiakkailla. Riskiarvio auttaakin mitoittamaan käytettävät riskienhallintakeinot oikeanlaisiksi.

Tämän lisäksi osoitat valvovalle viranomaiselle, että asiakkaan tuntemisen ja jatkuvan seurannan menetelmät ovat riittävät.

Omat riskiarviot omalle toiminnalle ja asiakkaille

Riskiarvio on laadittava kirjallisesti. Riskiarvioille ei ole tarkkoja muotovaatimuksia, mutta niistä pitää käydä ilmi:

  • liiketoimintaan liittyvä rahanpesun riski sekä
  • käytössä olevat riskienhallinnan menetelmät.

Apuna voi käyttää ohjeellisia malleja. Tässä vaiheessa on vielä hyvä painottaa, että valmiita lomakkeita voi käyttää pohjana, mutta niitä ei ole suunniteltu sellaisenaan käytettäväksi. Pelkän yrityksen nimen vaihtaminen valmiiseen pohjaan ei täytä rahanpesulain riskiarviolle asettamia vaatimuksia. Riskiarvion tulee aina pohjautua oman toiminnan huolelliseen arviointiin.

Useimpien ilmoitusvelvollisen, kuten tilitoimistojen ja kirjanpitäjien, tulee laatia kaksi riskiarviota: oman toiminnan ja asiakkaiden riskien arviointi.

Oman toiminnan riskiarvio

Oman toiminnan riskiarviossa arvioit ja kuvaat yrityksen omat riskit ja toimintatavat. Tarkoitus on samalla arvioida, miten voit itse vähentää riskiä joutua rahanpesun tai terrorismin rahoittamisen välikädeksi.

Kun pohditaan oman toiminnan riskiarvion laajuutta, tulee ottaa huomioon oman toiminnan luonne, koko ja laajuus. Ilmoitusvelvollisella, jolla on suuri liikevaihto ja runsaasti henkilöstöä, tulee olla laajempi ja kattavampi riskiarvio.

Toisaalta pieni liikevaihto ei välttämättä tarkoita suppeaa arviota, jos toiminnan luonne edellyttää laajempaa riskien arviointia.

Oman toiminnan riskiarviossa vastaat esimerkiksi seuraaviin kysymyksiin:

  • Millainen asiakaskunta yrityksellä on?
  • Onko asiakkaissa korkeariskisiä asiakkaita tai poliittisesti vaikutusvaltaisia PEP-henkilöitä?
  • Paljonko yrityksellä on ulkomaisia ja kotimaisia asiakkaita?

Jos et ilmoitusvelvollisena ole aivan varma, millä tolalla oman yrityksen riskiarvio on, tai mistä sen dokumentaatio löytyy, kannattaa tarttua toimeen mitä pikimmin.

Kun viranomainen pyytää ilmoitusvelvollisen riskiarviota nähtäväkseen, tulee se toimittaa viivytyksettä.

Jos rahanpesulain määräyksiä on laiminlyöty, voi seurauksena olla erilaisia sanktioita aina huomautuksista rike- ja seuraamusmaksuihin. Tiedossa on myös seurantatarkastuksia.

Asiakaskohtainen riskiarvio

Asiakaskohtainen riskiarvio on tehtävä jokaisesta asiakkaasta erikseen.

Riskiarviossa määrittelet kaiken käytössä olevan tiedon perusteella, onko asiakkaaseen liittyvä riski matala, tavanomainen vai korkea. Riskiluokitus on olennainen seikka, koska se määrittelee mm. riskiarvion tarkasteluvälin ja onko asiakasta mahdollisesti seurattava tehostetusti.

Riskiarviossa on tärkeää arvioida sekä yrityksen tuotteisiin että palveluihin liittyviä riskejä. Niitä voidaan arvioida niihin liittyvien haavoittuvuuksien ja uhkatekijöiden kautta.

Asiakassuhteeseen liittyviä riskejä arvioitaessa on huomioitava mm.

  • uusiin asiakkaisiin
  • jo olemassa oleviin asiakkaisiin
  • asiakkaan liiketoimiin
  • jakelukanaviin

liittyvät rahanpesun ja terrorismin rahoittamisen riskit.

Asiakaskohtaisessa riskiarviossa tulee huomioida myös, mistä maista asiakkaat ovat tai mihin maihin asiakkaiden liiketoiminnat sijoittuvat. Lisäksi riskiarviota laadittaessa on huomioitava seuraavat listat:

  1. Euroopan komission lista valtioista, joissa on korkea rahanpesun ja terrorismin rahoittamisen riski
  2. Financial Action Task Forcen (FATF) julkaisemat listat korkean riskin valtioista.

Jos asiakas tai asiakkaan liiketoiminta liittyy listoilla liittyviin maihin, on kyseisen asiakkaan kanssa käytettävä tehostettua menettelyä ja harkittava vakavasti asiakkuutta ja liiketoimen suorittamista.

Riskiarvion perusteella voit luokitella asiakkaat eri riskiluokkiin. Jos asiakkaan riski on riskiarvion perusteella vähäinen, voidaan häneen noudattaa yksinkertaistettua tuntemismenettelyä.

Jos taas riskiarvion perusteella asiakassuhteeseen tai yksittäiseen liiketoimeen liittyy tavanomaista suurempi rahanpesun tai terrorismin rahoittamisen riski, on hänen kohdallaan noudatettava tehostettua tuntemismenettelyä.

Mitä enemmän asiakkaita on, sitä vaikeampaa on pysyä muistinvaraisesti kartalla siitä, kuinka korkealla riskit ovat. Tässä vaiheessa kannattaa ottaa avuksi automaatio, joka auttaa luokittelemaan asiakkaat riskiperusteisesti.

Mitä riskiarvion tulee sisältää?

Riskiarviossa on hyvä kuvata, miten riskiarvio käytännössä vaikuttaa ilmoitusvelvollisen omaan toimintaan. Tällä tarkoitetaan erilaisia toimintamalleja, kuten

  • riskienhallintaan liittyviä käytänteitä
  • asiakkaan tuntemista
  • raportointia
  • tietojen tallentamista
  • sisäistä valvontaa sekä
  • työntekijöiden toiminnan läpikäyntiä ja koulutusta.

Riskien arvioinnin ja menettelytapojen lisäksi riskiarvioon tulee kirjata riskienhallintakeinot ja niiden arviointi.

Hallintakeinoilla tarkoitetaan toimintaperiaatteita, menettelytapoja ja valvontaa, joiden avulla pyrit hallitsemaan, vähentämään ja ennaltaehkäisemään riskejä. Hallintakeinojen on oltava riittäviä suhteutettuna ilmoitusvelvollisen toiminnan luonteeseen, kokoon ja laajuuteen.

Pelkkä keinojen listaaminen ei riitä, vaan on tärkeää myös arvioida, millaisia haavoittuvuuksia tai puutteita näihin hallintakeinoihin liittyy ja miten toimivia ne todellisuudessa ovat. Tässä on iso rooli muun muassa työntekijöiden osaamisella.

Edellä mainittujen asioiden lisäksi AVI ohjeistaa, että riskiarvioon tulee kirjata myös sen vastuuhenkilö ja tieto siitä, mitkä tahot ovat olleet riskiarvion laatimisessa mukana.

Dokumentoithan myös riskiarvion laadinnassa käytetyt lähteet ja tarvittaessa kuvaile, miten eri lähteitä on hyödynnetty riskiarvion laadinnassa.

On hyvä muistaa, että yritystoimintaan liittyy aina riskejä. Riskiarviossa ei siis pyydetä todistamaan, ettetkö ilmoitusvelvollisena koskaan kohtaisi laittomia rahavirtoja. Jos yrityksesi toimintaan liittyy toisten yritysten tai yksityishenkilöiden rahan käsittelyä tai siirtelyä paikasta X paikkaan Y, kohtaat todennäköisesti myös rahanpesuun liittyviä riskipaikkoja.

Kerrataan vielä lyhyesti, mitä riskiarvion tulee minimissään sisältää:

  1. Arvio oman yrityksen tuotteisiin ja palveluihin liittyvistä riskeistä sekä asiakkaisiin liittyvistä riskeistä
  2. Kuvaus, miten riskiarvio käytännössä vaikuttaa rahanpesulain eri velvoitteiden noudattamiseen – eli millaisilla menettely- ja toimintatavoilla riskejä hallitaan.
  3. Edellä mainittujen riskienhallintakeinojen arviointi
  4. Vastuuhenkilö ja tieto siitä, mitkä tahot ovat olleet riskiarvion laatimisessa mukana
  5. Riskiarvion laadinnassa käytetyt lähteet

Päivitä riskiarvio säännöllisesti

Kun riskiarvio on tehty, täytyy yrityksen johdon hyväksyä se. Riskiarvion noudattamista on seurattava ja sitä on kehitettävä. Se on myös päivitettävä säännöllisesti.

Päivittämisen yhteydessä on tärkeää arvioida käytössä olevien riskienhallintakeinojen tehokkuutta ja ajantasaisuutta kulloinkin tunnistettuihin riskeihin nähden.

Päivityksen voi tehdä esimerkiksi kerran vuodessa tai kun yrityksen toimintaan tai asiakaskuntaan tulee muutoksia. Riskiarvioon on hyvä merkitä tieto, milloin riskiarviota on päivitetty ja miltä osin.

Joskus riskiarvion laatiminen tuntuu turhalta byrokratialta ja ajanhukalta. Tällöin kannattaa ajatella sitä käytännöllisenä työkaluna. Riskiarvion perusteella voit linjata esimerkiksi sen, kuinka usein teet KYC-tarkastuksia olemassaoleville asiakkaille.

Laki vaatii, että tuntemistiedot ovat ajan tasalla, mutta se ei määrittele frekvenssejä tietojen päivittämiseen. Yhtä asiakasryhmää täytyy ehkä seurata tiheämmin, toisten kohdalla riski on matalampi. Riskiarvio auttaa arvioimaan omaa toimintaa ja huolehtimaan siitä, että omalta osaltaan hoitaa rahanpesulain vaatimat velvollisuudet.

Päivitä riskiarvio vuosittain:

  1. Milloin riskiarvio on päivitetty?
  2. Miltä osin riskiarviota on päivitetty?
  3. Riskiarvion laatimisen vastuuhenkilö
  4. Mitkä tahot ovat olleet riskiarvion laatimisessa mukana?
  5. Riskiarvion laadinnassa käytetyt lähteet
  6. Miten eri lähteitä on hyödynnetty riskiarvion laadinnassa?

Netvisor KYC auttaa riskiarvion teossa

Tyhjästä aloittaminen voi ehkä tuntua ylivoimaisen vaikealta. Usein riskiarvion laatimiseen kaivataan hyviä neuvoja ja toimivaa KYC-teknologiaa. Onneksi tähän tarkoitukseen on kehitetty nimenomaan sitä varten kehitettyjä työkaluja.

Netvisor KYC on kotimainen KYC-prosessiin (Know Your Customer) erikoistunut pilvipalvelu. Se helpottaa erityisesti asiakkaiden tunnistamista, mutta auttaa myös laatimaan kokonaisriskiarvion ja tunnistamaan, millaisia riskejä asiakkaisiin liittyy. Riskiyhteenveto summaa koko asiakassalkun riskit.

Vältät liian raskaat menettelytavat, kun riski on pieni, ja toisaalta osaat kohdistaa toimenpiteet oikein sinne, missä riski on suuri.


Ani Rumpu on sisällöntuottaja Visma Solutionsin markkinoinnissa. Pitkän linjan journalisti uskoo, että markkinoinnissakin totuus päihittää kaunopuheet.