Teema-arvio rahastoyhtiöiden ja vaihtoehtorahastojen hoitajien compliance- ja sisäisen tarkastuksen toiminnoista

Finanssivalvonta toteutti vuonna 2025 teema-arvion, jossa arvioitiin rahastoyhtiöiden ja vaihtoehtorahastojen hoitajien compliance- ja sisäisen tarkastuksen toimintojen järjestämistä. Compliance-toiminto ja sisäinen tarkastus ovat keskeinen osa valvottavan luotettavaa hallintoa ja sisäistä valvontaa.

Teema-arvion tavoitteena oli selvittää, miten rahastoyhtiöt ja vaihtoehtorahastojen hoitajat (jäljempänä myös yhtiöt) noudattavat compliance- ja sisäisen tarkastuksen toimintoja koskevia sääntelyvelvoitteitaan. Teema-arviossa arviointiin muun muassa yhtiöiden toimintaperiaatteita, toimintojen tehokkuutta ja riippumattomuutta, henkilöresursseja, toimivaltuuksia sekä raportointia. Teema-arviossa kiinnitettiin huomiota myös siihen, miten sääntelyn edellytykset täyttyvät silloin, kun näitä toimintoja on ulkoistettu konsernin sisällä tai ulkopuoliselle palveluntarjoajalle.

Teema-arvio oli osa Euroopan arvopaperimarkkinaviranomaisen (ESMA) ja eurooppalaisten kansallisten valvojien yhdessä toteuttamaa valvontatoimenpidettä (Common Supervisory Action, CSA).

Teema-arvioon osallistui Suomesta seitsemän yhtiötä, jotka edustivat noin 70 % sijoitus- ja vaihtoehtorahastoissa hoidossa olevista varoista (AUM). Yhtiöiden valinnassa huomioitiin myös vähittäissijoittajien osuus yhtiöiden hoidossa olevasta varallisuudesta ja yhtiöiden rajat ylittävä toiminta.

Teema-arviossa havaittiin puutteita molemmissa toiminnoissa ja puutteet vaihtelivat yhtiöittäin. Havainnot puutteista perustuivat yhtiöiden antamiin vastauksiin ja niitä tukeviin dokumentteihin. Molempien toimintojen ulkoistaminen konsernin sisällä ja yhtiöiden ulkopuolelle oli yleistä ja laajaa. Konserneihin kuuluvien yhtiöiden vastauksissa korostui konsernin yhteisten resurssien käyttö toimintoihin, jolloin tärkeää on resurssien oikea ja riittävä kohdentaminen nimenomaan rahastotoimintaan. Finanssivalvonta lähettää teema-arvioon osallistuneille kohdeyhtiöille yhtiökohtaisen valvontakirjeen korjausvelvoitteineen.

Finanssivalvonta edellyttää kaikkien rahastoyhtiöiden ja vaihtoehtorahastojen hoitajien huomioivan tämän valvottavatiedotteen havainnot ja Finanssivalvonnan näkemykset yhtiöiden omassa toiminnassaan.

Compliance-toimintoa koskevat havainnot ja näkemykset

Keskeiset havainnot compliance-toiminnon osalta:

• Kaikki yhtiöt olivat laatineet compliance-toiminnon toimintaperiaatteet, mutta osalla yhtiöistä toimintaperiaatteissa ei ollut riittävällä tavalla määritelty menettelytapoja compliance-riskien arvioimiseen ja riskiarvion perusteella laadittavaan valvontaohjelmaan. Riskiperusteinen lähestymistapa joidenkin yhtiöiden compliance-valvonnassa ilmeni ainoastaan hyvin yleisellä tasolla.
• Compliance-toiminnoille oli osoitettu sääntelyn edellyttämät vastuualueet, mutta monen yhtiön vastaukset erityisesti rajat ylittävän toiminnan valvonnan osalta olivat niin yleisellä tasolla ja suppeita, ettei teema-arvion perusteella pystynyt varmistumaan compliance-toiminnon suorittaneen tähän liittyviä valvontatehtäviä.
• Kaikki teema-arvioon osallistuneet yhtiöt olivat ulkoistaneet compliance-toiminnon tehtäviä joko kokonaan tai osittain. Suurin osa yhtiöistä ei ollut määritellyt compliance-tehtävien palauttamista tai siirtämisen uudelle palveluntarjoajalle ulkoistuksen päättyessä omissa toimintaperiaatteissaan. Lisäksi osassa yhtiöistä ei teema-arvion perusteella pystynyt varmistumaan vastuun säilyttämisestä ulkoistuksesta huolimatta.
• Compliance-toiminnon tehtävien osittainen ulkoistus oli usein hyvin laajaa. Ottaen huomioon ulkoistetun compliance-toiminnon tehtävät ja näiden tehtävien hoitamiseen sovitut henkilöresurssit compliance-toiminnon resurssien riittävyydestä ei pystynyt teema-arvion perusteella varmistumaan. Lisäksi osa compliance-toiminnon tehtäviä osittain ulkoistaneista yhtiöistä ei ollut riittävän selkeästi määritellyt yhtiölle jäävää osuutta.
• Osalla compliance-toiminnon henkilöillä oli riippumattomuuteen vaikuttavia muitakin rooleja yhtiössä tai sen konsernissa.
• Compliance-toiminnon tehokkuuden arvioinnin dokumentoinnissa oli puutteita. Dokumentaation perusteella ei kaikissa tapauksissa voinut todeta arvioinnin perusteita tai asianmukaisuutta.

Compliance-toiminnon toimintaperiaatteet

Yhtiöllä on oltava asianmukaiset toimintaperiaatteet ja menettelytavat, joilla tunnistetaan riskit siitä, että se ei pysty noudattamaan sijoitus- ja vaihtoehtorahastosääntelyn mukaisia velvoitteitaan. Compliance-toiminto avustaa yhtiön hallitusta säännösten ja yhtiön toimintaohjeiden noudattamattomuuteen liittyvien riskien hallinnassa.

Compliance-toiminnon velvollisuudet, pätevyydet ja valtuudet on määriteltävä compliance-toiminnon toimintaperiaatteissa tai muissa sisäisissä ohjeissa, joissa otetaan huomioon yhtiön toiminnan laajuus ja luonne. Toimintaperiaatteisiin on sisällytettävä tietoa compliance-toiminnon valvontaohjelmasta ja raportointivelvollisuuksista sekä riskiperusteisesta lähestymistavasta valvontatoiminnassa.

Finanssivalvonta edellyttää yhtiöiden varmistuvan siitä, että yhtiöiden toimintaperiaatteet compliance-toiminnon järjestämisestä vastaavat sääntelyä ja niissä on selkeästi määritelty compliance-toiminnon riskiperusteinen lähestymistapa valvontatoimintaan. Compliance-toimintaa koskevissa toimintaperiaatteissa tulee määritellä menettelytavat compliance-riskien arvioimiseen ja tämän riskien arvioinnin pohjalta tulee määritellä tavoitteet compliance-toiminnolle ja päättää valvontaohjelman mukaisista toimista.

Compliance-toiminnon vastuualueet

Compliance-toiminnon tulee valvoa ja säännöllisesti arvioida toimenpiteiden, toimintaperiaatteiden ja menettelyjen sekä yhtiön velvollisuuksien noudattamisessa esiintyneiden puutteiden korjaamiseksi toteutettujen toimien riittävyyttä ja tehokkuutta. Lisäksi compliance-toiminnon tulee neuvoa ja avustaa yhtiön henkilöstöä sijoitus- ja vaihtoehtorahastosääntelyn mukaisten velvoitteiden noudattamisessa.

Teema-arviossa compliance-toiminnon vastuualueita arvioitiin selvittämällä compliance-toiminnon osallistumista rikkomustilanteisiin reagoimiseen, yhtiössä käytettävissä olevia compliance-valvonnan menetelmiä sekä sitä, miten compliance-toiminto valvoo asiakasvalituksia ja keskeisiä riskejä yhtiön eri toiminnoissa. Lisäksi arvioitiin compliance-toiminnolle säädetyn neuvonta- ja avustamistehtävän toteuttamista muun muassa selvittämällä compliance-toiminnon harjoittamaa sääntelyn seurantaa, sääntelyyn liittyvien koulutusten järjestämistä, compliance-toiminnon yhteistyötä operatiivisen liiketoiminnan ja riskienhallinnan kanssa, tuotehallinnan parissa toimivien henkilöiden avustamista sekä rikkomustilanteita koskevia ilmoituskanavia.

Yhtiöt voivat järjestää compliance-toimintonsa oman liiketoimintansa laatuun ja laajuuteen nähden soveltuvalla tavalla. Yhtiön tulee kuitenkin varmistua siitä, että compliance-valvonta tosiasiassa kattaa kaikki yhtiön harjoittamat toiminnot. Compliance-valvonnan tulee koskea myös rajat ylittäviä toimintoja silloin, kun rahastoja markkinoidaan rajat ylittävästi taikka kun yhtiö hoitaa toiseen ETA-valtioon sijoittautuneita rahastoja tai tarjoaa muuten palvelujaan toisessa ETA-valtiossa. Lisäksi jos yhtiön harjoittama rajat ylittävä toiminta kasvaa, myös tähän liittyviä riskejä on arvioitava säännöllisesti uudelleen, jotta compliance-toiminnon valvontatoimenpiteiden ja neuvontatoiminnan painopisteet ja laajuus ovat edelleen riittäviä.

Compliance-toimintojen ulkoistaminen

Compliance-toiminnon tehtäviä voidaan ulkoistaa joko kokonaan tai osittain. Compliance-toiminnon tehtävien hoitaminen kunkin osapuolen välillä on määriteltävä riittävän yksityiskohtaisesti silloin, kun toiminto ulkoistetaan osittain. Toimintaperiaatteista on selkeästi käytävä ilmi, miten compliance-toiminnon tehtävät on tällöin jaettu. Määrittelyssä on otettava huomioon kaikki sääntelyn mukaan compliance-toiminnolle kuuluvat tehtävät.

Tehtävien ulkoistaminen ei kuitenkaan poista rahastoyhtiön ja vaihtoehtorahastojen hoitajan vastuuta ulkoistetuista tehtävistä. Yhtiöllä on ulkoistuksesta huolimatta oltava aina mahdollisuus valvoa ulkoistettuja tehtäviä ja hallita ulkoistamiseen liittyviä riskejä. Yhtiön on myös pyrittävä turvaamaan riittävä osaamisen säilyttäminen, jotta ulkoistettu tehtävä voidaan kohtuullisessa ajassa ottaa takaisin yhtiön hoidettavaksi tai siirtää toiselle palveluntarjoajalle.

Finanssivalvonta korostaa, että myös konserniin tai ryhmään kuuluvilla rahastoyhtiöillä ja vaihtoehtorahastojen hoitajilla on aina itsenäinen vastuu sijoitus- ja vaihtoehtorahastosääntelyn noudattamisesta ja compliance-toiminnon järjestämisestä. Finanssivalvonta kehottaa yhtiöitä varmistumaan siitä, että yhtiöllä säilyy valmius järjestää compliance-toiminto luotettavalla tavalla myös siinä tilanteessa, että tätä koskeva ulkoistus päättyy. Finanssivalvonta pitää hyvänä käytäntönä, että compliance-tehtävien palauttamista tai siirtämistä uudelle palveluntarjoajalle on käsitelty myös toimintaperiaatteissa.

Compliance-toiminnon tehtävien asianmukaista ja riippumatonta hoitamista koskevat edellytykset

Yhtiöllä on oltava pysyvä, tehokas ja itsenäisesti toimiva compliance-toiminto. Yhtiöiden tulee varmistaa, että myös konsernin sisällä ulkoistettujen compliance-toimintojen osaaminen kattaa sijoitusrahastotoimintaan ja vaihtoehtorahastojen hoitajiin liittyvän EU-tason ja kansallisen sääntelyn tuntemuksen. Compliance-henkilöstön tulisi saada säännöllistä koulutusta osaamisensa ylläpitämiseksi. Finanssivalvonta pitää hyvänä käytäntönä, että yhtiö edellyttää compliance-toiminnolta osallistumista koulutuksiin riittävän osaamisen varmistamiseksi.

Yhtiöiden tulee varmistua compliance-toiminnon resurssien riittävyydestä erityisesti silloin, kun compliance-tehtäviä ulkoistetaan hyvin laajasti. Finanssivalvonnan näkemyksen mukaan compliance-tehtävien hoitaminen on lähtökohtaisesti kokopäiväinen tehtävä. Yhtiön hallitusten tulisi arvioida kriittisesti resurssoinnin riittävyyttä silloin, kun compliance-resurssit ovat yhtiössä alle yhden henkilötyövuoden (HTV) ja varsinkin, jos se jakautuu useamman henkilön kesken. Käytettäessä esimerkiksi konsernin yhteisiä compliance-resursseja yhtiön on varmistettava, että compliance-resursseja kohdistuu riittävällä tavalla nimenomaisesti rahastotoimintaan.

Compliance-toiminnon riippumattomuus tulee erityisesti varmistaa niiden henkilöiden osalta, joilla on muitakin tehtäviä yhtiössä tai sen konsernissa. Mikäli compliance-tehtäviä hoitava henkilö osallistuu muihin tehtäviin yhtiössä sääntelyn mahdollistaman suhteellisuusperiaatteen perusteella, tulee yhtiön osoittaa, että compliance-toiminnon riippumattomuus ei vaarannu huomioiden yhtiön liiketoiminnan luonne, laajuus ja monitahoisuus ja että yhtiön compliance-toiminto säilyy tehokkaana tästä huolimatta.

Compliance-toiminnon raportointi hallitukselle 

Compliance-toiminnon on raportoitava toiminnastaan ja tekemistä havainnoistaan vähintään vuosittain rahastoyhtiön tai vaihtoehtorahastojen hoitajan hallitukselle. Finanssivalvonta pitää hyvänä käytäntöä tiheämpää raportointifrekvenssiä ja suosittaa vähintään kvartaaleittain toteutettavaa raportointia.

Teema-arvion vastausten perusteella compliance-toiminnon tehokkuuden arvioinnissa oli erilaisia käytäntöjä ja arvioinnin dokumentoinnissa oli puutteita. Finanssivalvonta edellyttää, että yhtiön hallitus arvioi compliance-toiminnon tehokkuutta vähintään vuosittain ja tehty arviointi dokumentoidaan riittävän selkeästi perusteluineen.

Finanssivalvonta pitää hyvänä käytäntönä compliance-toiminnon raportoinnissa ja katsauksissa sekä toiminnon tehokkuuden arvioinnin yhteydessä tuoda esiin compliance-toiminnon tarkoitusta ja tehtävää.

Compliance-toiminnon valvonnan suunnittelu

Kaikilla yhtiöillä tulee olla riskiperusteiseen arviointiin perustuva valvontaohjelma, jossa määritellään tulevan vuoden tarkastuskohteet sekä niiden aikataulu. Valvontaohjelman tulee sisältää koulutustarpeen arviointi. Finanssivalvonnan näkemyksen mukaan valvontaohjelman mahdollinen muuttaminen kesken kautta ei saa vaikuttaa compliance-toiminnan itsenäisyyteen ja riippumattomuuteen.

Finanssivalvonnan näkemyksen mukaan yhtiön hallituksen tulee hyväksyä valvontaohjelma ennen sen voimaantuloa.

Sisäisen tarkastuksen toimintoa koskevat havainnot ja näkemykset

Keskeiset havainnot sisäisen tarkastuksen osalta:

• Osa yhtiöistä ei kuvannut operatiivisen liiketoiminnan ja sisäisen tarkastuksen välisistä erimielisyystilanteiden menettelytavoista mitään.
• Ylemmälle johdolle raportoitujen sisäisten tarkastusten vähäisen määrän sekä yhtiöiden ilmoittamien henkilötyövuosien perusteella vaikutti siltä, että joidenkin yhtiöiden sisäisen tarkastuksen resurssit olivat riittämättömät.
• Yhdellä yhtiöllä ei ollut toiminnasta riippumatonta sisäistä tarkastusta.
• Yhden yhtiön toimittamasta aineistosta ei käynyt ilmi, milloin sisäisen tarkastuksen havaitsemat puutteet, suositukset ja jatkotoimenpiteet on laadittu ja raportoitu ylemmälle johdolle. Puutteet, suositukset ja jatkotoimenpiteet olivat hyvin yleisellä tasolla, eikä korjaavien toimenpiteiden aikataulusta pystytty varmistumaan.
• Sisäisiä tarkastuksia ei kohdistettu riittävästi sijoitus- ja vaihtoehtorahastotoimintaan.
• Joidenkin yhtiöiden sisäisen tarkastuksen riittävyyden ja tehokkuuden arviointia ei ollut suoritettu tai dokumentoitu asianmukaisella tavalla.
• Kahden yhtiön sisäinen tarkastus ei raportoinut ylemmälle johdolle suoraan, vaan konsernitason kautta. Toisen yhtiön sisäinen tarkastus oli raportoinut emoyhtiön hallitukselle vain kerran kahden edellisvuoden aikana.
• Osa yhtiöistä ei kuvannut menettelyitä, joiden perusteella sisäinen tarkastus voi raportoida hallitukselle myös normaalia sykliä useammin, jos havaintojen vakavuus antaisi sille aihetta.

Sisäisen tarkastuksen tehtävien asianmukaista ja riippumatonta hoitamista koskevat edellytykset

Teema-arviossa arvioitiin niiden edellytysten toteutumista, jotka mahdollistavat valvottavan sisäisen tarkastuksen asianmukaisen ja riippumattoman toiminnan. Arvioituja osa-alueita olivat sisäisen tarkastuksen riittävä asema organisaatiossa, henkilöresurssit ja riittävä asiantuntemus, pääsy riittäviin tietoihin, palkitseminen ja riippumattomuus.

Teema-arviossa arvioitiin sisäisen tarkastuksen resursseja yhtiöiden ilmoittamien henkilötyövuosien perusteella. Resurssien riittävyyttä arvioitiin myös suhteessa johdolle raportoituihin tarkastuksiin. Arvioinnin perusteella Finanssivalvonta toteaa, että joidenkin yhtiöiden sisäisen tarkastuksen resurssit vaikuttivat riittämättömiltä. Finanssivalvonnan näkemyksen mukana yhtiöiden tulisi sisäisen tarkastuksen resursseja arvioidessaan kiinnittää huomiota esimerkiksi yhtiön liiketoiminnan luonteeseen sekä toteutettujen tarkastusten lukumäärään, laatuun ja laajuuteen. Finanssivalvonnan näkemyksen mukaan resurssien jakautuessa useammalle henkilölle saattaa vaikuttaa sisäisen tarkastuksen tehokkuuteen, jos työn- ja vastuunajosta ei ole sovittu riittävän selkeästi.

Teema-arvion vastausten perusteella yhtiöiden sisäisellä tarkastuksella vaikutti olevan riittävä pääsy tarpeelliseen tietoon tarkastustoiminnan näkökulmasta. Finanssivalvonta kiinnittää kuitenkin huomiota siihen, että sisäisellä tarkastuksella voi olla tarpeen päästä tietoihin myös laajemmin, esimerkiksi toiminnan suunnittelun näkökulmasta.

Sisäisen tarkastuksen riittävän aseman osalta Finanssivalvonta tuo esille, että yhtiössä tulee olla menettelyt sellaisten tilanteiden varalle, joissa sisäisen tarkastuksen ja operatiivisen liiketoiminnan välillä on erimielisyyksiä.

Sisäisen tarkastuksen raportointi hallitukselle

Sääntelyn mukaan sisäisistä tarkastuksista tulee raportoida hallitukselle vähintään kerran vuodessa. Finanssivalvonta suosittaa, että sisäinen tarkastus raportoisi hallitukselle tätäkin useammin. Tiheämmän raportointifrekvenssin merkitys korostuu etenkin suuremmissa yhtiöissä, joissa sisäisen tarkastuksen toiminta on luonteeltaan enemmän jatkuvaa kuin yksittäisistä tarkastustoimista muodostuvaa. Finanssivalvonnan näkemyksen mukaan hallituksen tulee arvioida sisäisen tarkastuksen toiminnon riittävyyttä ja tehokkuutta säännöllisesti vähintään vuosittain. Arvio tulee perustella ja dokumentoida asianmukaisesti.

Teema-arvion vastausten perusteella ilmeni, että osassa yhtiöissä sisäisellä tarkastuksella ei ollut suoraa raportointiyhteyttä hallitukselle. Sääntely edellyttää, että yhtiöiden sisäisillä tarkastuksilla tulee olla suora raportointiyhteys yhtiön johtoon.

Sääntelyn mukaan rahastoyhtiöillä ja vaihtoehtorahaston hoitajilla on oltava toimintaansa nähden riittävä sisäinen valvonta. Teema-arvion vastausten perusteella osa yhtiöistä ei ollut toteuttanut rahastoliiketoimintaan liittyviä sisäisiä tarkastuksia kahden edeltävän vuoden aikana. Finanssivalvonnan näkemyksen mukaan sisäistä valvontaa ei voida pitää riittävänä, ellei yhtiöiden sisäinen tarkastus kohdista säännöllisiä tarkastuksia myös yhtiöiden ydinliiketoimintaan eli sijoitusrahastoihin ja vaihtoehtorahastoihin liittyviin aihealueisiin.

Sisäisen tarkastuksen suunnittelu

Sisäisen tarkastuksen toiminnolla tulee olla tarkastussuunnitelma, jonka perusteella tutkitaan ja arvioidaan sisäisten valvontajärjestelmien ja muiden järjestelmien ja järjestelyjen asianmukaisuutta ja tehokkuutta.

Finanssivalvonnan näkemyksen mukaan suunnittelussa tulisi kiinnittää huomiota erityisesti tarkastustehtävien aikataulujen määrittelyyn, joka tukee suunnitelmien seurattavuutta ja toteutuksen arviointia. Sisäisen tarkastuksen tulee antaa suosituksia tarkastuksissa saatujen havaintojen perusteella ja varmistettava, että kyseisiä suosituksia noudatetaan.

Compliance- ja sisäisen tarkastuksen toimintoja koskeva sääntely

• Sijoitusrahastolain (213/2019) 4 luvun 1 §, 6 luvun 1 ja 2 §
• Finanssivalvonnan määräykset ja ohjeet 3/2011 Sijoitusrahastotoiminnan järjestäminen ja menettelytavat (7 luku Sisäisen valvonnan järjestäminen)
• Vaihtoehtorahastojen hoitajista annetun lain (162/2014) 7 luvun 1 ja 2 § ja 10 luku (toiminnan ulkoistaminen)
• Komission delegoidun asetuksen (EU) 231/2013 artiklat 60-62 ja 75-82 (toimintojen ulkoistaminen)

Lisätietoja antavat

• Esa Pitkänen, vanhempi asiantuntija, esa.pitkanen(at)finanssivalvonta.fi
• Samuli Urpalainen, valvoja, samuli.urpalainen(at)finanssivalvonta.fi
• Marko Hovi, toimistopäällikkö, marko.hovi(at)finanssivalvonta.fi