Rahanpesun estämisessä sisäisen valvonnan on ulotuttava asiakkaan tuntemista pidemmälle

Kirjoittaja Samuli Urpalainen työskentelee Finanssivalvonnan Rahanpesun estämisen toimistossa tarkastusten parissa.

Rahanpesun torjunta ei ole vain asiakkaan tuntemista. Jos sisäinen valvonta ei arvioi riskiluokittelua ja jatkuvaa seurantaa, kokonaiskuva yhtiön rahanpesun torjunnasta jää muodostumatta. Finanssivalvonnan havainnot osoittavat, että juuri näissä on edelleen parannettavaa.

Finanssivalvonnassa näemme valvontatyössämme, miten eri finanssisektorin valvottavaryhmät toteuttavat sisäistä valvontaansa. Viime vuosina on ollut nähtävissä, kuinka esimerkiksi sisäisiä tarkastuksia tehdään enenevissä määrin asiakkaan tuntemiseen tai ylipäänsä rahanpesulain noudattamiseen liittyen.

Tyypillisimmin toteutetaan niin sanottu KYC-tarkastus (Know Your Customer), jossa valvottavan omien asiakkaiden tuntemistietoja arvioidaan rahanpesulain vaatimuksiin peilaten. Lopputuloksena saatetaan todeta, että tuntemistiedoissa havaittiin lieviä puutteita – yksittäisten asiakkaiden tosiasiallisia edunsaajia ei löytynyt järjestelmistä tai tiedot asiakkaiden toiminnasta osoittautuivat liian suppeiksi. Ja samankaltainen tarkastus toteutetaan seuraavana vuonna uudelleen.

Rahanpesun torjunta vaatii enemmän kuin asiakkaan tuntemisen

Asiakkaan tuntemistietoihin kohdistuvat tarkastukset ovat tietysti tärkeitä, eikä niitä pidä väheksyä. Vielä tärkeämpää on ymmärtää, että asiakkaan tunteminen on vain yksi osa rahanpesun ja terrorismin rahoittamisen estämisen kokonaisuutta.

Rahanpesulain tavoite on estää rahanpesua ja terrorismin rahoittamista sekä edistää niiden paljastamista ja selvittämistä. Vaikka asiakas tunnettaisiin erinomaisesti, se ei itsessään riitä näiden tavoitteiden saavuttamiseen. Asiakkaan tunteminen on lähtökohta sille, että asiakkaan riskiluokittelu ja jatkuva seuranta voidaan toteuttaa tehokkaasti ja riskiperusteisesti.

Kun asiakas on riskiluokiteltu oikein, asiakkaaseen voidaan toteuttaa eritasoisia toimenpiteitä riskin mukaisesti. Jatkuva seuranta puolestaan varmistaa, että asiakkaan toiminta on linjassa tuntemistietojen kanssa.

Sisäisen valvonnan katseen on ulotuttava laajemmalle

Olemme Finanssivalvonnan tarkastuksilla havainneet puutteita sekä asiakkaiden riskiluokittelussa että jatkuvassa seurannassa. Riskiluokittelun tyypillisin ongelma on, ettei valvottavan riskimalli huomioi riittävällä tavalla esimerkiksi asiakkaisiin, maihin, tuotteisiin ja palveluihin tai jakelukanaviin liittyviä riskitekijöitä. Jatkuvan seurannan osalta puutteita on havaittu esimerkiksi transaktiomonitoroinnissa. Ongelmia ovat olleet esimerkiksi skenaarioiden määrä ja niiden riskiperusteisuus sekä hälytysten käsittelyyn liittyvä ohjeistus ja dokumentointi. Pienemmillä toimijoilla monitorointi voi perustua manuaalisiin menettelyihin, mutta tällöinkin seurannan tulee olla riskiperusteista ja ottaa huomioon kaikki olennaiset riskitekijät.

Näillä eväillä kannustan tarkastelemaan laajasti, mihin rahanpesun estämisen osa-alueisiin sisäistä valvontaa tulisi kohdistaa. Jos sisäinen valvonta arvioi pelkästään asiakkaan tuntemista, kokonaisvaltainen käsitys yhtiön rahanpesun torjunnasta jää muodostumatta.