Rahanpesun ja terrorismin rahoittamisen riskien arviointi haaste valvojalle ja valvottaville
Kirjoittaja Viivi Jantunen työskentelee riskiasiantuntijana ja lakimiehenä Finanssivalvonnan Rahanpesun estäminen -toimistossa.
Rahanpesun ja terrorismin rahoittamisen estämiseen liittyvä sääntely perustuu nykyään vahvasti riskiperusteiselle lähestymistavalle. Riskiperusteisella lähestymistavalla tarkoitetaan sitä, että menettelyt tulee valita aina kohteen riskitason perusteella. Lähestymistapa mahdollistaa sen, että resursseja kohdennetaan sekä valvottavien että valvojien tasolla sinne, missä niiden vaikutus on tehokkainta. Riskiperusteisuus on järkevä lähestymistapa, mutta se on asettanut valtiot, valvojat ja valvottavat haastavaan tilanteeseen: miten rahanpesun ja terrorismin rahoittamisen riskejä tulisi arvioida?
Valvojakohtainen riskiarvio – muna vai kana?
OECD:n alaisen Financial Action Task Forcen (FATF) 40 suositusta ja EU:n neljäs rahapesudirektiivi lähtevät siitä, että valtioiden, toimivaltaisten viranomaisten ja ilmoitusvelvollisten on suhteutettava rahanpesun ja terrorismin rahoittamisen estämiseen liittyvät toimenpiteensä riskien mukaisesti. Kansalliseen rahanpesulakiin1 lisättiin vuoden 2017 uudistuksen yhteydessä säännökset kansallisesta, valvojakohtaisesta ja ilmoitusvelvollisen riskiarviosta. Sääntely lähtee ajatuksesta, että eritasoiset riskiarviot vaikuttaisivat toinen toisiinsa muodostaen kokonaisuuden, jossa riskiarviot olisivat linjassa toistensa kanssa.
Finanssivalvonnan riskiperusteinen lähestymistapa sai kylmää kyytiä vuonna 2018 suoritetun FATFin maatarkastuksen yhteydessä. Keväällä 2019 julkaistun raportin viesti oli, että käsityksemme valvottaviamme koskevista riskeistä ei ollut riittävä. Raportissa todettiin, että riskejä oli arvioitu liian suppean valvottavajoukon osalta, ja näin myös valvontatoimenpiteillä katettiin liian pieni joukko valvottavia. Raportin lopputulema oli, että riskien arvioimiseksi tulisi laatia kattavat ja perusteelliset menettelyt ja toteuttaa menettelyjen mukainen riskien arviointi sektoreittain2. Meidän oli siis käärittävä hihat ja ryhdyttävä töihin.
Lain mukaan valvojakohtaisessa riskiarviossa tulisi ottaa huomioon kansallisen riskiarvion osoittamat riskit. Lisäksi laki velvoittaa ottamaan huomioon valvottavaa toimialaa koskevat ilmoitusvelvollisten ja niiden asiakkaisiin, tuotteisiin ja palveluihin liittyvät rahanpesun ja terrorismin rahoittamisen riskit. Loogiselta tuntui ottaa käteen kansallinen riskiarvio ja pino ilmoitusvelvollisten riskiarviota ja laatia näiden perusteella sopiva kokonaisuus.
Meillä oli kuitenkin edessämme ongelma: jos käytettävissä ei ole kansallista riskiarviota tai jos ilmoitusvelvolliset odottavat valvojalta riskiarviota ohjaamaan omaa riskiarviotyötään, kuka työn aloittaa ja mistä?
Onneksi tilanne ei ollut aivan näin mustavalkoinen. Suurimmat ilmoitusvelvolliset ovat jo vuosia osana omaa riskienhallintaansa suorittaneet myös rahanpesun ja terrorismin rahoittamisen riskien arviointia. Osalla on ollut omat menetelmänsä nimenomaisesti rahanpesun ja terrorismin rahoittamisen riskien arviointiin – onhan rahanpesulaki jo vuodesta 2008 edellyttänyt riskiperusteisia menettelytapoja, vaikka nimenomaista riskiarviota ei ole vaadittu. Valvontatapaamisissa, tarkastuksilla sekä osana toimilupa- ja rekisteröintiprosesseja Finanssivalvonnalle toimitetut tiedot valvottavien tunnistamista riskeistä ovat olleet avainasemassa, kun olemme työstäneet valvojan riskiarviota.
Suomen kansallista riskiarviota ei sen sijaan ole päivitetty vuoden 2015 jälkeen, joten se ei tarjonnut ajantasaisinta tietoa kansallisista riskeistä. Rahanpesun ja terrorismin rahoittamisen riskeihin vaikuttavia tekijöitä on kuitenkin käsitelty kansainvälisissä ohjeistuksissa ja raporteissa, joista haimme apua myös Suomen tilanteen arviointiin. Suomen osalta riskejä koskevaa tietoa on kattavasti kerätty muun muassa Suomea koskevaan maa-arvioraporttiin3.
Toimialakohtainen ominaisriskiarvio on ensimmäinen osa riskiarviokokonaisuutta
Valvojan riskiarvion laatimiseksi on tarjolla hyvin rajoitetusti ohjeistusta. Tärkeimpänä voidaan pitää Euroopan valvontaviranomaisten julkaisua Riskiperusteista valvontaa koskevat ohjeet4. Ohjeet eivät kuitenkaan anna valvojien käyttöön käytännön metodologiaa koskevia ohjeita, vaan jokaisen valvojan on itse rakennettava metodologiansa. Finanssivalvonta on osallistunut Euroopan pankkiviranomaisen (EBA) järjestämiin riskiperusteista valvontaa käsitteleviin työpajoihin ja tavannut myös kahdenkeskisesti eri maiden valvojia.
Finanssivalvonnassa lähdimme liikkeelle toimialakohtaisten rahanpesun ominaisriskitasojen määrittämisestä. Julkaisimme yhteenvedon maaliskuussa 2020, ja se löytyy Finanssivalvonnan verkkosivuilta. Ominaisriskillä tarkoitetaan riskitasoa, jota arvioitaessa ei oteta huomioon yksittäiseen toimijaan liittyviä tekijöitä tai riskienhallintakeinojen tasoa. Toivomme yhteenvedon kuitenkin auttavan ilmoitusvelvollisia näiden omassa riskiarviotyössä, ja sen tarkoituksena on viestiä yleisellä tasolla valvojan riskinäkemystä.
Seuraava vaihe riskiarviotyössä on pureutua syvemmälle kuhunkin toimialaan ja käydä läpi sitä, mitä valvottavissa todella tapahtuu. Finanssivalvonta keräsi vuonna 2019 ensimmäistä kertaa valvottaviltaan tietoa rahanpesun ja terrorismin rahoittamisen riskeistä ja kontrolleista vuosittain toteutettavalla raportoinnilla (RA-tiedonkeruu).5 Otimme raportointiin mallia Ruotsin vastaavasta raportoinnista. Pyrimme kuitenkin laatimaan raportoinnin määrämuotoiseksi niin, että voisimme automatisoida vastausten analysoinnin mahdollisimman pitkälle. Automaattisen analysoinnin edellyttämiä määrittelyjä teimme jo vuoden 2018 datan perusteella, mutta haasteena on ollut raportoidun tiedon vaihteleva laatu. Tähän liittyen pyrimme edelleen kehittämään ohjeistusta ja tiedonkeruun rakennetta. Toisaalta haasteenamme on myös Finanssivalvonnan valvottavien laaja joukko ja arviointiperusteiden muodostaminen kaikille eri valvottavaryhmille.
Kohti yhä parempia riskiarvioita
Erilaisissa koulutustilaisuuksissa ja tapaamisissa valvottavien kanssa olemme painottaneet sitä, ettei ole olemassa yhtä ainoaa oikeaa tapaa laatia ilmoitusvelvollisen riskiarvio. Mahdollisuus itse vaikuttaa riskiarvion laatimistapaan koetaan valvottavien piirissä toisaalta positiivisena, sillä se mahdollistaa omaan toimintaan liittyvien erityispiirteiden huomioinnin. Toisaalta varsinkin pienempien toimijoiden keskuudessa valinnanvapaus tuo epävarmuuden tunteen, ja valvojalta kaivattaisiin yksityiskohtaisempaa ohjeistusta.
Olemme koonneet Finanssivalvonnan verkkosivuille neuvoja ilmoitusvelvollisen riskiarviotyön tueksi. Tarkoituksenamme on ohjata ilmoitusvelvollisia oikealle tielle riskiarvioprosessissa ja helpottaa etenkin pienempiä toimijoita pääsemään liikkeelle prosessissa.
Kuten monesti valvottavien kanssa käydyissä keskusteluissa olemme todenneet, riskiarvion ja tarpeen mukaan sen laadinnassa käytetyn metodologian päivittäminen on olennainen osa riskiarviotyötä. Tulemme myös arvioimaan Finanssivalvonnan riskiarviometodologiaa ja muokkaamaan sitä tarpeen mukaan. Erityisesti päivitetty kansallinen riskiarvio tulee valmistuttuaan tarjoamaan kattavamman kuvauksen kansallisista rahanpesun ja terrorismin rahoittamisen riskeistä, minkä tulemme huomioimaan myös Finanssivalvonnan riskiarviossa. Teemme kovasti töitä valvojakohtaisen riskiarvion eteen ja toivomme, että julkaistavista yhteenvedoista on konkreettista hyötyä valvottavien omassa riskiarviotyössä. Rahanpesun ja terrorismin rahoittamisen estäminen vaatii laaja-alaista yhteistyötä viranomaisten ja yksityisen sektorin kesken. Askel kerrallaan etenemme yhdessä kohti moniulotteista riskiarvioiden kokonaisuutta, jota lainsäädäntö meiltä edellyttää.
1 Laki rahanpesun ja terrorismin rahoittamisen estämisestä (444/2017).
2 Mutual Evaluation Report of Finland, FATF 2019, Chapter 6 Supervision.
3 Mutual Evaluation Report of Finland, FATF 2019, Chapter 1.
4 ESAs 2016 72 Joint Guidelines on the characteristics of a risk-based approach to anti-money laundering and terrorist financing supervision, and the steps to be taken when conducting supervision on a risk-sensitive basis (The Risk-Based Supervision Guidelines).
5 Valvottavatiedote 17.12.2018 – 54/2018.