Aallon Jyväskylä: Näin toteutimme rahanpesun valvonnan

Toimintaa valvoo Etelä-Suomen aluehallintovirasto (AVI). AVI valvoo muun muassa seuraavia ilmoitusvelvollisia: valuutanvaihtoliikkeitä, rahoituspalveluiden tarjoajia, yrityskonsultteja, kiinteistönvälitysliikkeitä, veroneuvontapalveluita tarjoavia sekä kirjanpitotehtäviä toimeksiannosta hoitavia.

Rahanpesun valvonnan lakimuutokseen herääminen

Meillä (Aallon Jyväskylä Oy:ssä) herääminen tämän lain voimaan tuloon ja siihen liittyvien velvoitteiden täyttämiseen tapahtui loppuvuodesta 2017. Taloushallintoliitto muistutteli meitä liiton jäseniä asiasta jo hyvissä ajoin (27.6.2017):

”Rahanpesulainsäädännön uudistus on hyväksytty eduskunnassa. Laki edellyttää ns. ilmoitusvelvollisia, kuten tilitoimistoja, laatimaan dokumentoidun riskiarvion niistä menettelyistä ja toimintatavoista, joilla asiakasriskiä seurataan.”

Lisäksi samoihin aikoihin julkaistiin verkkokoulutus, josta saimme arvokasta tietoa lain vaatimuksista toimialallamme. Päätimme näiden tietojen valossa syventyä asiaan perusteellisesti ja lähteä laatimaan riskiarviota yrityksellemme.

Riskiarvion laatiminen

Lain voimaantulon yhteydessä meidät ilmoitusvelvolliset velvoitettiin laatimaan riskiarvio omaan toimintaamme liittyvistä rahanpesun ja terrorismin rahoittamisen riskeistä.

Aloitimme riskiarvion laadinnan riskiperusteisuudesta. Tunnistimme, arvioimme ja selvitimme ne rahanpesun- ja terrorismin rahoittamisen riskit, joille me omassa toiminnassamme altistumme ja mietimme näiden riskien mukaisia torjuntatoimenpiteitä. Edellä mainittujen pohdiskelujen pohjalta laadimme omaa toimintaamme koskevan ja ohjaavan riskiarvion. Dokumentin pohjana käytimme Taloushallintoliiton julkaisemaa riskiarviomallia.

Riskiarvioon kuvasimme

• oman toimintamme luonteen, koon ja laajuuden
• asiakaskuntamme ​
• toimintaperiaatteet, menettelytavat ja valvonnan riskien vähentämiseksi ja tehokkaaksi hallitsemiseksi​
• miten järjestämme henkilöstön koulutuksen​
• miten päivitämme riskiarviota ja kuka on vastaava henkilö organisaatiossamme

Riskiarviota tulee siis myös päivittää säännöllisesti. Dokumenttiin meillä merkitään mm. päivityspäivät ja henkilöstölle pidetyt koulutuspäivät. Se tulee myös allekirjoittaa jokaisen päivityksen yhteydessä.

Tätä juttua kirjoittaessani olemme käyttöönottamassa sähköistä järjestelmää, jonne laadittu riskiarvio saadaan sisään eli siirrymme digiaikaan.

Uudet toimintaperiaatteet ja menettelytavat

Lainmuutos toi paljon uusia tehtäviä niin organisaatiomme myynnille ja markkinoinnille, kun palvelutuotannonkin puolelle. Sovimme uusien ohjeistusten myötä

• asiakkaan tuntemiseen ja tunnistamiseen liittyviä menettelytapoja
• määritimme asiakkaiden riskiluokat ja riskienhallinnan menetelmät ja käytänteet
• päätimme seurantamalleista ja seurannan dokumentoinnista sekä
• muista riskienhallintaan liittyvistä käytänteistä
• laadimme henkilökunnan koulutusmallin sekä
• sovimme sisäisen valvonnan periaatteista

Seuraavissa kappaleissa kerron näistä sovituista toimenpiteistä hieman tarkemmin.

Asiakkaan tunteminen

Asiakkaan tuntemista varten laadimme oman lomakkeen rahanpesulakia ja annettuja ohjeita tulkitsemalla. Lomake koostui mm. asiakkaan perustiedoista, henkilöllisyyden todentamisesta, tosiasiallisista edunsaajista sekä erilaisista tiedoista asiakkaan liiketoimintaan liittyen. Dokumenttiin sisällytettiin myös PEP -arviointi (Politically Exposed Person) eli poliittisen vaikutusvallan selvittäminen, koska päädyimme noudattamaan tehostettua tuntemismenettelyä. Loppuun lisättiin vielä asianmukaiset vakuutukset, päiväykset ja allekirjoitukset.

Kuva 1. Ote laatimastamme asiakkaan tuntemisasiakirjasta.

Yrityksessämme on käytössä asiakkaiden etätunnistaminen, joka hoidetaan edellä kuvatun tuntemisdokumentin sähköisen allekirjoittamisen ja sitä kautta vahvan tunnistamismenettelyn avulla. Jos tilitoimistolla ei ole käytössään sähköistä tunnistamismenetelmää, tämä tarkoittaa passien tai ajokorttien kopioimista. Näiden kopioinnin lisäksi tulee vielä huolehtia, että dokumenttien säilytysvelvollisuus hoidetaan GDPR:n mukaisesti.

Poliittisen vaikutusvallan selvitämme kaikilta asiakkailtamme.

Riskiluokat ja riskienhallinnan menetelmät ja käytänteet

Toimialaerikoistumisen myötä valikoituneesta asiakaskunnastamme johtuen totesimme toimintaamme liittyvän jonkinasteisen riskin rahanpesun ja terrorismin rahoittamisen näkökulmasta. Tästä lähtökohdasta lähdimme miettimään menetelmiä ja käytänteitä riskienhallintaan. Loimme kolmetasoisen riskiluokittelun ja riskiluokan perusteella määräytyvän seurantamallin.

Asiakkaiden riskiluokat

• kohonnut riski: seuranta ja dokumentointi vähintään 3 kertaa vuodessa
• jonkinasteinen riski: seuranta ja dokumentointi vähintään 2 kertaa vuodessa
• ei riskiä: seuranta ja dokumentointi vähintään 1 kerran vuodessa

Kuva 2. Ote asiakkaiden riskiluokittelu- ja seurantadokumentista..

Asiakkaan toiminnan seuraaminen käytännössä

Jokainen yhtiömme asiantuntija seuraa ja havainnoi päivittäisen työn ohessa asiakkaiden toimintaa. Seurannan tavoitteena on havaita, jos asiakkaan toiminta poikkeaa tavanomaisesta toiminnasta. Meillä toimialaerikoistuminen osaltaan helpottaa tätä toimintaa. Kun palvelemme tiettyjen toimialojen asiakkaita, muodostuu tekijöillemme hyvä kokonaisnäkemys toimialan tavanomaisesta toiminnasta.

Työn ohessa tehtävää seurantaa helpottamaan olemme koonneet asiantuntijoillemme listan kysymyksistä, joiden avulla he osaavat havainnoida oikeita asioita.

Kuva 3. Ote asiakkaiden seurannan apukysymyksistä.

Päivittäisen seurannan lisäksi jokaiselle asiakkaallemme tehdään riskikartoitus asiakkaalle määritellyn riskiluokittelun mukaisesti. Tätä seurantaa toteuttavat meillä palvelutiimit. Seuranta dokumentoidaan yksikön tiimipalaverin yhteydessä tehdyn arvioinnin perusteella.

Viittasin jo aiemmin Riskiarvion laatiminen -kappaleessa käyttöönotossa olevaan digitaalisen järjestelmäämme. Kun tämä järjestelmä on saatettu meillä kokonaisuudessaan käyttöön, pääsevät asiantuntijamme tekemään kaikki riskikartoitukset suoraan järjestelmään. Näin pääsemme eroon kaikista excel- ja word-dokumenteista, joilla olemme tähän saakka lakivelvoitettamme hoitaneet. Emme tehneet ohjelmiston hankintapäätöstä sillä, etteivätkö asiantuntijamme nauttisi myös exceleiden kanssa työskentelystä, vaan sen vuoksi että laskelmieni mukaan säästämme huomattavan määrän työtunteja tämän järjestelmän avulla verrattuna riskien kartoittamisen ja asiakkaan tunnistamisen manuaalisiin prosesseihin.

Kirjallinen ohje henkilöstölle

Henkilöstöllemme on tehty kirjallinen ohje toimintamallistamme. Ohje sisältää seuraavat asiat:

• riskiarvio ​
• asiakkaan tunnistaminen ja tunteminen​
• asiakkaan tuntemisvelvoitteeseen liittyvien tietojen tallentaminen ja säilyttäminen​
• riskienhallintaan liittyvät toimintaperiaatteet, menettelytavat ja riskiluokittelu​
• ilmoitusvelvollisuus, ilmoituksen tekeminen epäilyttävästä liiketoiminnasta, ilmiantojärjestelmä​
• asiantuntijoiden koulutus ja suojeleminen ​
• jatkuva seuranta ja sisäinen valvonta

Asiantuntijoiden koulutus ja suojeleminen

Ensimmäinen lakimuutokseen liittyvä henkilöstön koulutus keskittyi meillä perusasioihin ja rahanpesulain pääkohtiin. Koulutuksen jälkeen asiantuntijamme saivat tehtäväkseen laatia omista asiakkaistaan riskiluokittelun.

Oman toimintamallimme kouluttaminen koko henkilöstöllemme toteutettiin seuraavaksi. Tämän jälkeen jatkamme vuosittaista kouluttamista. Koulutuksissa käymme joka vuosi läpi toimintamallimme ja siinä mahdollisesti tapahtuneet muutokset. Koulutukset tallennetaan ja niitä voi katsoa myöhemmin myös sähköisestä oppimisympäristöstämme. Tallenteiden avulla uusien työntekijöiden perehdytys toimintamalleihimme onnistuu vaivattomasti.

Lainmuutoksen tuomat edut

Asiakkaan tuntemiseen ja tunnistamiseen liittyvät toimenpiteet ovat tuoneet uusasiakashankintaan lisätyötä. Samalla kuitenkin myynnin prosessimme on kehittynyt ja asiakkaan vastaanotto-/perustamistyö on helpottunut. Tämä sen vuoksi, että asiakasmateriaalia on kerätty jo myyntivaiheessa. Kun asiakas tunnetaan alussa perusteellisemmin, moni myöhemmin tarvittava tieto on selvinnyt ja dokumentoitu jo myyntitilanteessa. Samalla vältytään varmasti kaikkia asiakkaita ärsyttävältä asioiden uudelleen kyselemiseltä.

Ennen kaikkea tunteminen ja tunnistaminen lisää toimintaamme varmuutta ja tarjoaa meille mahdollisuuden selvittää asiakkaan tilanne perusteellisesti jo yhteistyötä aloitettaessa ja näin yllätyksiltä yhteistyön edetessä vältytään.

Yhteenveto

Prosessina tämän uuden lain mukanaan tuomien velvoitteiden täyttäminen ei suinkaan ole mikään pikkujuttu tilitoimistoille. Se vaatii paljon asiaan perehtymistä ja sen jälkeen vielä lukuisia tunteja töitä niin toimintamallien kuin lomakkeidenkin määrittelyssä. Meidän onneksemme pystyimme itse sitouttamaan tähän aloitusprojektiin yhden erillisen henkilön työpanoksen. Henkilö ei työskentele meillä tuotannossa ja pystyi näin keskittymään täydellisesti mallin rakentamiseen. Näin saimme työn hoidettua perusteellisesti.

Näiden aloitusvaiheiden jälkeen alkaa sitten vasta varsinainen työ, kun asiakkaita toden teolla lähdetään tunnistamaan. On tunnistettava nykyiset asiakkaat ja muistettava tunnistaminen myös uusasiakashankinnan puolella. Riskien kartoittaminen on muistettava tehdä vuosittain uudelleen.

Lainmuutos toi siis merkittävän määrän lisätyötä toimialallemme. Tosin lisäsi se varmasti työtä myös muilla mukaan nyt otetuilla toimialoilla. Toisaalta lain säätäjä on tässä nähnyt roolimme hyvin tärkeäksi ja uskoo meidän olevan avainasemassa rahanpesun ja terrorismin rahoittamisen estämiseen liittyvässä työssä. Teemme siis yhteiskunnallisesti merkittävää työtä, olkaamme siitä ylpeitä.