Moni ilmoitusvelvollinen kompastuu riskiarvioon – näin AVI ohjeistaa

Riskiarvio on ilmoitusvelvollisen tärkein työkalu rahanpesun ja terrorismin rahoittamisen estämisessä. Aluehallintoviraston (AVI) tarkastukset ja riskiarviovalvonta kuitenkin paljastavat, että monella yrityksellä on vielä parannettavaa.

AVI on tarkastellut viime vuosina paljon ilmoitusvelvollisten riskiarvioita. Valvonnan tulokset ovat herätteleviä: Vuonna 2025 arvioiduista välitysalan riskiarvioista melkein 90 % sai moitteita viranomaiselta. Vuoden 2024 valvontakampanjoiden perusteella myös kirjanpitopalvelua ja oikeudellisia palveluita tarjoavien riskiarvioista noin puolen riskiarviot olivat puutteellisia.

Haastattelimme AVIn ylitarkastaja Iida Ullakkoa. Hän kertoo, millainen on hyvä riskiarvio, joka auttaa luomaan sopivat asiakkaan tuntemisen toimintatavat – ja joka läpäisee myös viranomaisen seulan. 

Hyvä riskiarvio rakentuu aidolle riskien pohdinnalle 

Riskiarvio ei ole byrokraattinen turhake. Hyvä riskiarvio luo pohjan yrityksen rahapesuriskien hallinnalle. 

Ullakko kertoo, että riskiarviossa täytyy tunnistaa ja arvioida rahanpesun ja terrorismin rahoittamisen riskejä. Arvion on vastattava yrityksen toiminnan luonnetta, kokoa ja laajuutta. Erilaisissa yrityksissä on erilaisia riskejä.

Näihin tekijöihin ja riskien rehelliseen pohdintaan perustuen yrityksen on luotava riittävät ja tehokkaat riskienhallintamenetelmät. Hallintakeinot ja niiden arviointi ovat myös tärkeä osa riskiarviota.

”Hyvistä ja lain vaatimukset täyttävistä riskiarvioista näkee, että ilmoitusvelvollinen on aidosti pohtinut, tunnistanut ja arvioinut omaan toimintaansa ja asiakkaisiinsa liittyviä riskejä. Kun riskit tunnistetaan ja ne ymmärretään, helpottuu oikein ja oikeasuhtaisesti toimiminen”, Ullakko kuvaa.

Tunnista liiketoimintaasi liittyvät rahanpesun riskit

Riskiarvio ei ole vain luettelo yleisistä rahanpesuun ja terrorismin rahoittamiseen liittyvistä riskeistä. On tärkeää tunnistaa nimenomaan yrityksen omiin palveluihin ja asiakkaisiin liittyviä riskejä. 

Valmiita luetteloita voi käyttää apuna, mutta näitä täytyy muistaa peilata tosiasiallisesti ja oikeassa suhteessa omaan toimintaan, palveluihin ja asiakkaisiin. Riskiarvioissa tulisi kiinnittää huomiota juurikin kaikkein riskisimpiin seikkoihin ilmoitusvelvollisen toiminnassa ja asiakaskunnassa.

Riskiarviota tulee myös päivittää säännöllisesti, jotta se pysyy ajan tasalla ja tukee käytännön työtä asiakastuntemuksesta sisäisiin ohjeisiin.

Ullakko vinkkaa, että AVIn ohjeistus ja riskiarviopohja on hyvä apu, jos tyhjän paperin kammo vaikeuttaa alkuun pääsyä. 

Hyvin tehty riskiarvio auttaa luomaan fiksut ja liiketoimintaan sopivat toimintatavat

Riskiarvio ei ole olemassa vain viranomaisia varten. Sen hyödyt näkyvät suoraan yrityksen arjessa.

Varsinkin pienen liiketoiminnan kannalta rahanpesulain vaatimukset voivat tuntua suurilta. Mutta tässä peliin astuu oma riskiarvio: kun riskejä on aidosti ja rehellisesti pohdittu ja tunnistettu, voidaan myös tuntemistoimenpiteet mitoittaa riskien mukaan. 

”Toistamme usein, että riskiarvio on ilmoitusvelvollisen tärkein työkalu. Sen avulla yritys voi mitoittaa hallintakeinot oikein ja kohdistaa tehokkaat toimet erityisesti sinne, missä riskit ovat suurimmat. Ilman riskiarviota rahanpesulain velvoitteiden noudattaminen oikeasuhtaisesti olisi hyvin haastavaa”, Ullakko sanoo.

Riskiarviota ei kuulu laatia vasta silloin, kun viranomainen pyytää sitä nähtäväkseen

AVIn suorittamassa valvonnassa on usein havaittu seuraavia puutteita:

• Riskiarvio on kokonaan laatimatta.
• Riskiarvio on massakopio, josta puuttuu riskien arviointi suhteessa omaan toimintaan ja asiakkaisiin.
• Toimintaohjeita ei ole laadittu. 

Ullakon mukaan nämä ovat puutteita, jotka heijastuvat usein muidenkin rahanpesulain velvoitteiden noudattamiseen kielteisesti.

Riskiarvion laatimispäivä on myös pistänyt valvonnassa tarkastajan silmään.

”Yksi ikävä havainto on se, että riskiarvio on laadittu vasta sen jälkeen, kun olemme pyytäneet sen toimittamaan. Tämä on huolestuttavaa, koska vaikuttaa siltä, että osalla ilmoitusvelvollisista on joko ymmärtämättömyyttä tai piittaamattomuutta riskiarvion laatimisesta.”

Pakote- ja jäädyttämispäätökset koskevat kaikkia yrityksiä 

Valvonnassa on havaittu myös, että pakote- ja jäädyttämispäätösten huomiointi riskiarvioissa on monesti puutteellista. 

“Muistutamme, että ilmoitusvelvollisen pakotemenettelyjen tehokkuutta ja riittävyyttä täytyy arvioida riskiarviossa”, Ullakko huomauttaa.

Pakotteiden noudattaminen velvoittaa aivan kaikkia yrityksiä. Ilmoitusvelvollisten pitää lisäksi arvioida omaan toimintaan liittyviä pakoteriskejä ja sen perusteella laatia menettelytavat, joilla varmistetaan, että yritys ei riko pakotteita tai mahdollista niiden kiertämistä. 

Tarkkana yrityskaupoilla – KYC-vastuu siirtyy ostajalle

AVIssa on kiinnitetty huomiota myös yrityskauppojen myötä siirtyneisiin asiakkaisiin.

Asiakkaan tuntemisessa on havaittu puutteita etenkin tapauksissa, joissa asiakkaat ovat tulleet yritykselle kolmannen osapuolen kautta.

“Yrityskauppojen myötä siirtyneiden asiakkaiden osalta täytyy muistaa, että asiakkaan tuntemista koskevat velvoitteet ovat siirtyneet asiakkuudet vastaanottaneen yrityksen vastuulle”, Ullakko muistuttaa.

Jos harkitset yritystoiminnan myymistä, on siinä entistä suurempi syy laittaa KYC-käytännöt järjestykseen hyvissä ajoin. Ostajaehdokas ei halua kontolleen riskialttiita asiakkaita ja puuttuvia tuntemistietoja.

AVI tekee runsaasti tarkastuksia – mitä tarkastuksessa tapahtuu?

AVI tekee vuosittain kymmeniä tarkastuksia eri toimialojen yrityksiin. 

Riskiarvioiden lisäksi tarkastuksissa käydään läpi yrityksen käytäntöjä, prosesseja ja tietämystä. Usein pyydetään nähtäväksi riskiarvio, toimintaohjeet sekä asiakkaan tuntemiseksi hankittuja tietoja.

Jo ennen tarkastusta voimme pyytää ilmoitusvelvollista toimittamaan esimerkiksi riskiarvion ja toimintaohjeet, mikäli ne on laadittu.

”Tarkastuksella ilmoitusvelvollista voidaan pyytää osoittamaan esimerkiksi asiakkaan tuntemiseksi hankkimiaan tietoja asiakirjanäytön avulla”, Ullakko kertoo tarkastusten käytännöistä.

Noin puolessa tarkastuksista havaitaan vähäistä suurempia puutteita 

Vaikka myös erinomaisia suorituksia lötyy, harva pääse tarkastuksesta täysin puhtain paperein läpi. Viime vuonna tehdyistä tarkastuksista karkeasti noin puolen osalta havaittiin vähäistä suurempia puutteita. 

Tarkastusta ei kuitenkaan tarvitse pelätä. Se on myös tilaisuus kysyä neuvoa ja apua viranomaiselta, riippumatta siitä, ovatko kaikki rahanpesulain velvoitteet jo täydellisesti hanskassa vai löytyykö vielä parantamisen varaa.

“On myös tarkastuksia, joissa huomauttamisen aiheita ei ole – ja niissäkin voimme usein tarjota ohjausta ja neuvoja”, Ullakko kertoo.

Viranomaisen vinkit ilmoitusvelvollisille

Rahanpesulain velvoitteiden täyttäminen ei vaadi ihmetemppuja. Tärkeintä on lähteä liikkeelle perusteellisesti ja rehellisesti laaditusta riskiarviosta.

Näillä vinkeillä pääset jo pitkälle:

• Laadi huolellinen riskiarvio ja päivitä sitä säännöllisesti. Hyödynnä AVIn ohjeet ja lomakepohjat riskiarvion laadinnassa.
• Tunne jokainen asiakas. Tee tuntemisprosessi myös vanhojen ja yrityskauppojen kautta siirtyneiden asiakkaiden kohdalla.
• Dokumentoi asiakkaan tuntemistiedot. Tämä auttaa myös mahdollisessa tarkastuksessa. 
• Ilmoita epäilyttävistä liiketoimista matalalla kynnyksellä rahanpesun selvittelykeskukselle. Rekisteröidy goAML-sovellukseen jo etukäteen, niin ilmoituksen tekeminen on helpompaa. 

Listaa ei ruksita vain, jotta valvova viranomainen pysyy tyytyväisenä. Rahanpesun estäminen on yhteiskunnallisesti tärkeä tehtävä. 

”Jokainen ilmoitusvelvollinen osallistuu omalta osaltaan rahanpesun ja terrorismin rahoittamisen ennaltaehkäisyyn. Velvoitteilla on tärkeä ennaltaehkäisevä tarkoitus”, Ullakko summaa.

Ella-Roosa Koivupuro toimii sisältömarkkinoinnin asiantuntijana Netvisor KYCillä. Kokeneen kirjoittajan missiona on palastella monimutkaiset aiheet helposti pureskeltavaan muotoon.