Rahanpesulain mukainen riskiarvio täytyy löytyä jokaiselta ilmoitusvelvolliselta. Esimerkikisi AVI:n tilitoimistoihin tekemissä rahanpesulain mukaisissa tarkastuksissa lähes jokaisella tilitoimistolla oli puutteita juuri riskiarviossa. Tässä blogissa selvitämme mitä riskiarvio tarkoittaa ja mitä sen pitää sisältää?

Netvisor KYC auttaa riskiarvion laatimisessa

Aluehallintovirasto on omassa riskiarviossaan arvioinut kirjanpitäjät merkittävän riskin toimialaksi. Siksi tilitoimistoilta vaaditaan perinpohjainen riskiarvio sekä omasta toiminnasta että asiakkaistaan.

Rahanpesun ja terrorismin rahoittamisen estämiseksi laaditun lain mukaisen riskiarvion tarkoituksena on, että jokainen ilmoitusvelvollinen ymmärtää ja arvioi itse, miten yrityksen tuotteita ja palveluita voitaisiin käyttää hyväksi rahanpesuun tai terrorismin rahoittamiseen. Ilman riskiarviota rahanpesulain velvoitteiden noudattaminen ei ole käytännössä mahdollista.

Laki edellyttää riskiperusteista toimintatapaa

Jotta ilmoitusvelvollinen pystyy noudattamaan riskiperusteista toimintatapaa on heillä oltava käsitystä siitä, minkä tasoisia riskejä kullakin heidän liiketoimintansa alueella on.

Tämän arvioinnin perusteella laaditaan myös riskeihin perustuvat toimintatavat. Kun riski on suuri, tarvitaan tehokkaampia toimenpiteitä ja menettelytapoja kuin matalan riskin alueilla tai asiakkailla.

Riskiarvio on eräänlainen työkalupakki, jonka avulla ilmoitusvelvollinen tunnistaa ja arvioi rahanpesun ja terrorismin rahoittamisen riskejä

Riskiarvio on eräänlainen työkalupakki, jonka avulla ilmoitusvelvollinen tunnistaa ja arvioi rahanpesun ja terrorismin rahoittamisen riskejä sekä pystyy mitoittamaan käyttämänsä riskienhallintakeinot oikeanlaisiksi. Riskiarviolla ilmoitusvelvollinen myös osoittaa valvovalle viranomaiselle, että heidän asiakkaan tuntemisen ja jatkuvan seurannan menetelmät ovat riittävät.

Mitä riskiarvion tulee sisältää?

Tilitoimiston tulee laatia kaksi riskiarviota; oman toiminnan ja asiakkaiden riskien arviointi. Ne on laadittava kirjallisesti, mutta niissä voi käyttää apuna valmiita mallipohjia, joita löytyy mm. AVI:n sivuilta. Oman toiminnan riskiarvion laajuutta pohdittaessa tulee ottaa huomioon oman toiminnan luonne, koko ja laajuus.

Ilmoitusvelvollisella, jolla on suuri liikevaihto ja runsaasti henkilöstöä, riskiarvion tulee olla laajempi ja kattavampi. Toisaalta pieni liikevaihto ei välttämättä tarkoita suppeaa arviota, jos toiminnan luonne edellyttää laajempaa riskien arviointia. Riskiarviossa on tärkeää arvioida sekä yrityksen tuotteisiin että palveluihin liittyviä riskejä. Niitä voidaan arvioida niihin liittyvien haavoittuvuuksien ja uhkatekijöiden kautta.

Asiakassuhteeseen liittyviä riskejä arvioitaessa on huomioitava mm. uusiin ja jo olemassa oleviin asiakkaisiin, eri maihin, asiakkaan liiketoimiin ja jakelukanaviin liittyvät rahanpesun ja
terrorismin rahoittamisen riskit.

Riskiarvion perusteella yritys voi luokitella asiakkaat eri riskiluokkiin. Jos asiakkaan riski on riskiarvion perusteella vähäinen, voidaan häneen noudattaa yksinkertaistettua tuntemismenettelyä. Jos taas riskiarvion perusteella asiakassuhteeseen tai yksittäiseen liiketoimeen liittyy tavanomaista suurempi rahanpesun tai terrorismin rahoittamisen riski, on ilmoitusvelvollisen noudatettava tehostettua tuntemismenettelyä.

Riskiarviossa on tärkeää arvioida sekä yrityksen tuotteisiin ja palveluihin että asiakkaisiin liittyviä riskejä

Riskiarviossa on hyvä kuvata, miten riskiarvio käytännössä vaikuttaa yrityksen toimintaan. Tällä tarkoitetaan erilaisia toimintamalleja, kuten esimerkiksi riskienhallintaan liittyviä käytänteitä, asiakkaan tuntemista, raportointia, tietojen tallentamista, sisäistä valvontaa sekä työntekijöiden toiminnan läpikäyntiä ja koulutusta.

Keskeinen osa riskiarviota on asiakassuhteisiin liittyvien, riskiperusteiseen arviointiin pohjautuvien menettelyjen luominen asiakkaan tai asiakkaan tosiasiallisen edunsaajan
tunnistamiseksi ja todentamiseksi.

Ilmoitusvelvollisen on huomioitava riskiarviossaan mm. Euroopan komission lista valtioista, joissa on korkea rahanpesun ja terrorismin rahoittamisen riskin sekä Financial Action Task Forcen (FATF) julkaisemat listat korkean riskin valtioista.

Riskien arvioinnin ja menettelytapojen lisäksi rahanpesulain mukaiseen riskiarvioon on kirjattava hallintakeinot ja niiden arviointi. Hallintakeinoilla tarkoitetaan toimia, joilla riskejä pyritään hallitsemaan, vähentämään ja ennaltaehkäisemään.

Pelkkä keinojen listaaminen ei riitä, vaan on tärkeää myös arvioida, millaisia haavoittuvuuksia tai puutteita näihin hallintakeinoihin liittyy ja miten toimivia ne todellisuudessa ovat.

Muista päivittää riskiarvio säännöllisesti

Kun riskiarvio on tehty, täytyy yrityksen johdon hyväksyä se. Riskiarvion noudattamista on seurattava ja sitä on kehitettävä. Se on myös päivitettävä säännöllisesti. Päivittämisen yhteydessä on tärkeää arvioida käytössä olevien riskienhallintakeinojen tehokkuutta ja ajantasaisuutta kulloinkin tunnistettuihin riskeihin nähden.

Päivityksen voi tehdä esimerkiksi kerran vuodessa tai, kun yrityksen toimintaan tai asiakaskuntaan tulee muutoksia. Riskiarvioon on hyvä merkitä tieto, milloin riskiarviota on päivitetty ja miltä osin.

Aluehallintovirasto ohjeistaa, että riskiarvioon voi kirjata myös riskiarvion laatimisen vastuuhenkilön ja tiedon siitä, mitkä tahot ovat olleet riskiarvion laatimisessa mukana. Myös riskiarvion laadinnassa käytetyt lähteet on hyvä dokumentoida ja tarvittaessa kuvailla, miten eri lähteitä on hyödynnetty riskiarvion laadinnassa.

Netvisor KYC auttaa riskiarvion teossa

Riskiarvion tekeminen vaatii paneutumista. Pelkän yrityksen nimen vaihtaminen valmiiseen mallipohjaan ei riitä, vaan riskit on arvioitavat laajasti. Onneksi tähän työhön löytyy kuitenkin helpottavia työkaluja.

Netvisor KYC on kotimainen KYC-prosessiin (Know Your Customer) erikoistunut pilvipalvelu, joka voidaan integroida esimerkiksi taloushallinto- tai CRM-ohjelmistoon. Se helpottaa erityisesti asiakkaiden tunnistamista, mutta helpottaa myös kokonaisriskiarvion tekemistä. Palvelu ohjaa tunnistamaan rahanpesuriskin ja mahdollistaa havainnoista dokumentoimisen.

Netvisor KYC auttaa ilmoitusvelvollista asiakkaan tunnistamisessa luomalla organisaatioon yhtenäisen toimintamallin, jossa on otettu huomioon riskiperusteinen lähestymistapa. Se mm. tekee asiakkaista ja heidän sidoshenkilöistään tarkistuksen useimpia rahanpesun ja terrorismin tarkistuslistoja vastaan.

Kokonaisvaltainen järjestelmä tuo varmuuden siitä, että asiakkaan tunteminen on hoidettu asianmukaisesti

Netvisor KYC:n toimintamalli auttaa välttämään liian raskaita menettelytapoja, kun riski on pieni, ja toisaalta varmistuman, että menettelytavat ovat riittävät, kun riski on suuri. Kokonaisvaltainen järjestelmä tuo varmuuden siitä, että asiakkaan tunteminen on hoidettu asianmukaisesti ja tarvittavat tiedot löytyvät yhdestä paikasta.

Yksi Netvisor KYC:n toiminnoista on riskiyhteenveto, jossa se summaa asiakassalkun riskit. Tämä antaa kokonaiskuvan koko asiakaskunnan riskistä ja auttaa kohdistamaan tarvittavat erityistoimenpiteet oikeaan osoitteeseen.


Ani Rumpu on sisällöntuottaja Visma Solutionsin markkinoinnissa. Pitkän linjan journalisti uskoo, että markkinoinnissakin totuus päihittää kaunopuheet.