Mitä konkreettisia toimenpiteitä rahanpesulaki vaatii ilmoitusvelvolliselta?
Rahanpesulain mukaan ilmoitusvelvollisen on laadittava riskiarvio omaan toimintaansa liittyvistä riskeistä sekä tunnistettava asiakkaat ja selvitettävä näiden liiketoimintaa sekä omistusta koskevia tietoja. Keskeisin rahanpesulain velvoite onkin asiakkaiden tunnistaminen ja tunteminen.
Ensitöikseen ilmoitusvelvollisen on laadittava yleinen riskiarvio liiketoiminnastaan. Tässä yleisessä riskiarviossa tulee huomioida oman organisaation haavoittuvuudet, riskitekijät sekä perusteet, jotka voivat nostaa yksittäisten asiakkuuksien riskitasoa, ja sitä tulee päivittää vuosittain. Toimijan tulee ymmärtää, miten hänen palveluitaan voitaisiin väärinkäyttää rahanpesulain tarkoittamissa tilanteissa ja mihin hänen tulee työssään kiinnittää erityistä huomiota havaitakseen poikkeavuudet. Yleiseen riskiarvioon voidaan esimerkiksi määritellä vähimmäistoimenpiteet jokaisen eri riskilajin osalta.
Yleisen riskiarvion pohjalta tulisi tunnistaa yksittäisten asiakkuuksien riskit. Jotta asiakkaat voidaan luokitella, tulee kaikkien asiakkaiden kohdalla tehdä muutamia toimenpiteitä. Laki vaatii, että jokaisesta asiakkaasta tulisi vähintään:
- Tarkastaa edustusoikeus luotettavasta lähteestä ja vahvasti tunnistaa asiakas tai asiakkaan edustaja.
Esimerkki: tarkastetaan nimenkirjoitusoikeus tuoreesta kaupparekisteriotteesta ja vahvistetaan edustajan henkilöllisyys.
- Yhteisöasiakkaiden osalta tulee selvittää tosiasialliset edunsaajat.
Esimerkki: haetaan edunsaajatiedot PRH:n rekisteristä ja pyydetään asiakasta vahvistamaan tiedot oikeiksi.
- Kysyä taustatietoa. Poliittinen vaikutusvalta eli niin sanottu PEP-status tulee selvittää niin edustajan kuin edunsaajienkin kohdalla. Tämän lisäksi asiakkaasta tulisi tietää perustiedot kuten osoite, yhteydet muihin maihin sekä millä toimialalla asiakas toimii.
Esimerkki: selvitetään tietoja rekistereistä ja kysytään asiakkaalta suoraan.
- Sanktiolistakontrolli. Niin sanottu jäädytyslaki velvoittaa ilmoitusvelvollista tarkastamaan, että asiakas ei löydy jäädytyspäätös- tai pakotelistalta.
Rahanpesulaissa korostetaan kuitenkin, että toimenpiteiden tulee aina olla riskiperusteisia - siksi yllä mainitut toimenpiteet eivät yksinään aina riitä.
Asiakaskohtaiset riskiprofiilit auttavat määrittämään tarvittavia toimenpiteitä
Vähimmäistoimenpiteiden jälkeen asiakas voidaan luokitella asiakasprofiilin pohjalta eri riskiluokkiin. Riskiprofiiliin perustuen tulee usein tarve kerätä asiakkaasta lisätietoja ja ilmoitusvelvollisen kannattaakin määritellä omaan liiketoimintaan sopivat riskikohtaiset rutiinit. Yleisellä tasolla on mahdotonta tyhjentävästi ja aukottomasti määritellä, mitä nämä jatkotoimenpiteet ovat, sillä ne ovat hyvin sidonnaisia ilmoitusvelvollisen liiketoiminnan luonteeseen ja sitä kautta asiakkaiden riskiprofiileihin. Alla on kuitenkin lueteltu muutamia asioita, joita kannattaa selvittää:
Korkean riskin maat: Miksi asiakas ko. maasta hakee palveluita juuri meiltä? Onko meillä luotettava tieto osoitteesta? Onko yhteys looginen?
Korkean riskin toimiala: Toimiiko asiakkaamme toimialalla, jossa on korkea rahanpesuriski, esiintyy laajasti harmaata taloutta tai esimerkiksi korruptiota. Kannattaako analysoida tilinpäätöksen rakennetta, pyytää kopioita lähetetyistä laskuista tai palkkakuiteista? Miksi asiakas hyödyntää liiketoiminnassaan esimerkiksi virtuaalivaluuttaa?
Korkean riskin yhtiömuoto: Tulisiko pyytää esimerkiksi yhdistyksen säännöt, jotta ymmärtäisimme toimintaa paremmin? Onko toiminta läpinäkyvää?
Varojen lähde: Tulisiko tämän asiakkaan kohdalla selvittää varojen tai varallisuuden alkuperä? Mikä on asiakkaamme ansaintalogiikka?
Kaikkien näiden toimenpiteiden jälkeen analyysin tekijän tulee kysyä itseltään, onko asiakkaan toiminnassa jotain, mitä ei ymmärretä. Jos on, tulee asiasta ottaa selvää. Tieto saattaa löytyä helposti jostakin lähteistä, mutta useimmiten helpoimmalla pääsee, kun kysyy asiakkaalta suoraan - asioille kun monesti löytyy sitä kautta looginen selitys. Samalla jää tieto ja merkintä siitä, että asiaa on aktiivisesti selvitetty asiakkaalta.
Asiakkuuksia tulee seurata myös riskiperusteisesti, eli yksittäisiäkin riskianalyysejä ja tietoja tulee aika ajoin päivittää. Tästäkin tulee tehdä yrityskohtaiset linjaukset.
Esimerkki: Korkean riskin asiakkaat kontrolloidaan vuosittain, tavanomaisen riskin asiakkaat, joka kolmas vuosi ja matalan riskin asiakkaat joka viides vuosi.
Sen lisäksi, että laki vaatii tunnistamaan riskejä, velvoittaa laki myös, että näistä tiedoista löytyy dokumentaatiota. Jos viranomainen pyytää näitä tietoja itselleen, on koko riskiarvioprosessi ja tehdyt kontrollit pystyttävä osoittamaan. Näitä tietoja on lain mukaan säilytettävä erillään muista asiakastiedoista, ja niitä on säilytettävä viisi vuotta asiakassuhteen päättymisestä.
Ilmoitusvelvollisella on luonnollisesti velvoite ilmoittaa epäilyttävistä liiketoimista keskusrikospoliisin rahanpesun selvittelykeskukselle. Ja jotta kokonaisvaltaisen asiakastuntemusprosessin laatu pysyisi hyvänä, on ilmoitusvelvollisella myös velvollisuus kouluttaa henkilöstöään aiheen tiimoilta.
Tämä on kolmas osa DOKSin ja Alman yhteistyössä tuottamasta rahanpesulakiin liittyvästä blogisarjasta. Edellisessä blogitekstissä kävimme läpi keskeisiä rahanpesulakiin liittyviä lyhenteitä ja termejä.
DOKS® on fiksu ratkaisu rahanpesulain velvoitteiden ammattimaiseen hoitoon ja asiakassuhteen vastuulliseen perustamiseen. Lue lisää täältä.