Rahanpesulaki

Kaikki, mitä tilitoimiston tulee tietää KYCistä ja AMLstä

Jukka Kojola | 2 min luku | 23.1.2024
Mitä ovat KYC ja AML?

Kirjanpitoalan yritykset tulivat rahanpesulain sääntelyn piiriin vuonna 2017, kun laki rahanpesun ja terrorismin rahoittamisen estämisestä ulottui koskemaan tuhansia uusia yrityksiä eri toimialoilta. 

Lainsäädäntö päivittyy jatkuvasti. Vuodesta 2023 alkaen rahanpesulaki on esimerkiksi määrännyt, että jokaisella ilmoitusvelvollisella tulee olla menetelmät verrata asiakkaiden tietoja säännöllisesti pakote- ja sanktiolistoihin. 

Miten uusi rahanpesulainsäädäntö ja KYC vaikuttavat tilitoimistoihin? Lue vastaukset yleisimpiin kysymyksiin.

Mitä KYC ja AML tarkoittavat? 

Kansallisen ja EU-tason rahanpesulainsäädännön (AML, anti-money laundering) ytimessä on asiakkaan tunteminen eli KYC (know your customer). Se tarkoittaa käytäntöjä, joilla varmistut siitä, että asiakkaasi on se, joka hän väittää olevansa. Toinen tärkeä osa KYCiä on tunnistaa, keitä ovat ne luonnolliset henkilöt, joiden taskuun taloudellinen hyöty todellisuudessa valuu.

Kun keräät nämä tiedot onnistuneesti, pystyt muodostamaan kokonaiskuvan asiakkuuteen liittyvistä riskeistä, ja edelleen koko asiakaskuntasi riskeistä kokonaisuutena. Koulutettu, riskit tunteva henkilökunta pystyy vastaamaan velvoitteisiin, joita laki asettaa ilmoitusvelvollisille.

Mitä ilmoitusvelvollisuus tarkoittaa? 

“Ilmoitusvelvollinen” tarkoittaa yritystä tai muuta oikeushenkilöä, jonka täytyy todentaa ja tuntea asiakkaansa, huomata epäilyttävä toiminta ja ilmoittaa siitä viranomaisille. 

Mistä tiedän, onko yrityksemme ilmoitusvelvollinen?

Rahanpesulain ilmoitusvelvollisuus koskee käytännössä kaikkia, jotka tekevät rahaan liittyviä toimenpiteitä yritysten tai yksityishenkilöiden puolesta. Tilitoimistot kuuluvat siten ilmoitusvelvollisten joukkoon.

Mitä uusi rahanpesulaki käytännössä edellyttää tilitoimistoilta?

Laki sisältää viisi velvoitetta, jotka koskevat ilmoitusvelvollisia – siis myös jokaista tilitoimistoa.

  1. Laki vaatii ilmoitusvelvollisia todentamaan yrityksen edustajan henkilöllisyyden sekä selvittämään tosiasiallisten edunsaajien henkilöllisyydet.
  2. Laki edellyttää riskiarvion laatimista niin omasta kuin asiakkaiden yritystoiminnasta. Näissä tulee pohtia liiketoiminnan riskejä rahanpesun näkökulmasta ja kuvata menetelmät riskien hallintaan.
  3. Ilmoitus- ja selonottovelvollisuus tarkoittaa sitä, että asiakkaan poikkeavat tai epäilyttävät liiketoimet tulee aina selvittää. Jos rahanpesuun tai terrorismin rahoittamiseen liittyviä liiketoimia havaitaan, tulee niistä tehdä ilmoitus rahanpesun selvittelykeskukselle.
  4. Lain mukaan yritykset ovat velvoitettuja kouluttamaan ja ohjeistamaan työntekijät rahanpesulain noudattamiseen.
  5. Viides velvoite koskee pakote- ja sanktiolistatarkistuksia. Laki määrää, että jokaisella ilmoitusvelvollisella tulee olla menetelmät tarkistaa säännöllisesti, onko osapuolen nimi pakote- tai sanktiolistalla. 

Menetelmät mainitaan laissa useaan kertaan. Pakote- ja sanktiolistausten lisäksi ilmoitusvelvollisella täytyy olla käytössään riittävät menetelmät mm. asiakkaan tunnistamisen prosesseihin sekä riskiarvion pitämiseen ajan tasalla. 

Mitä tapahtuu, jos tilitoimisto ei noudata KYC-velvoitteita?

Viranomainen voi koska tahansa tehdä pistotarkastuksen varmistaakseen, että toimintasi on lain vaatimusten mukaista. Räikeistä puutteista on seurannut ilmoitusvelvollisille jopa yli 10 000 euron maksuja. 

Rikemaksu voi lain mukaan olla 1 000–100 000 euroa riippuen laiminlyönnin laadusta, laajuudesta ja kestosta. Mainehaitta on oma lukunsa: sana laiminlyönneistä kiirii nopeasti, ja otsikot jäävät verkkoon ikuisesti. Hintalappu on hetkessä pelkkiä maksuja suurempi.

Ketkä valvovat lain noudattamista? 

Valvovia viranomaisia on käytännössä kolme: AVI, PRH ja FIVA, jotka valvovat kaikki omia toimialojaan. Myös Asianajajaliitto on valvova viranomainen, mutta heillä ei ole yhtä laajoja oikeuksia kuin kolmella edellä mainitulla. 

Kenet kaikki asiakkaan henkilöt tilitoimiston tulee tunnistaa?

Tilitoimiston tulee todentaa ja tunnistaa yrityksen edustajat sekä tarvittaessa tosiasialliset edunsaajat. He ovat aina luonnollisia henkilöitä.

Jos haluat esimerkiksi aloittaa kirjanpitoasiakkuuden, ei riitä, että todennat talouspäällikön tai toimitusjohtajan henkilöllisyyden pankkitunnuksilla. Sen lisäksi on selvitettävä, kuka yrityksen omistaa, ja kuka liiketoimista todellisuudessa hyötyy.

Tosiasiallisia edunsaajia ovat kaikki luonnolliset henkilöt, jotka omistavat yrityksestä yli 25 prosenttia. Jos tällaisia edunsaajia ei voida osoittaa, edunsaajana on yrityksen hallitus tai toimitusjohtaja. 

Kuinka asiakkaan tunteminen käytännössä tapahtuu?

Tietojen kysyminen voi olla yksinkertainen tehtävä, kunhan saat yhteyden oikeaan henkilöön. Usein tiedot yrityksen hallituksen kokoonpanosta löytyvät kaupparekisteritiedoista. Edunsaajat löytyvät puolestaan edunsaajarekisteristä, mutta tietojen luotettavuus on toisinaan heikko. Mutta mitä mutkikkaampia ovat omistusjärjestelyt, tai mitä kauemmas Suomen rajojen yli asiakkaan toiminta ulottuu, sitä enemmän aivojumppaa tämä vaihe vaatii.

Toisinaan tosiasiallisten edunsaajien löytäminen voi osoittautua työlääksi. Tiedonhakua nopeuttavalla teknologialla automatisoit tunnistetietojen keräämistä eri rekistereistä. Et hukkaa työaikaa selkeisiin rutiinitapauksiin, ja ehdit paremmin kaivaa kinkkisimpien tilanteiden yksityiskohdat esiin.

Asiakkaan tuntemista koskevat tiedot on päivitettävä säännöllisesti ja säilytettävä luotettavalla tavalla ja erillään muista asiakastiedoista vielä viisi vuotta asiakassuhteen päättymisen jälkeen.

Jos aikaa ei halua käyttää esimerkiksi manuaaliseen tiedonhakuun, apuna kannattaa käyttää asiakkaan tuntemiseen suunniteltua palvelua.  

Netvisor KYC on palvelu, joka suunniteltu vastaamaan jokaisen ilmoitusvelvollisen tarpeita. Palvelu auttaa luomaan suoraviivaiset, turvalliset ja dokumentoidut KYC-prosessit ja sen edistynyt automaatio nopeuttaa tiedonhakua, analysointia ja ylläpitoa, säästäen jopa satoja työtunteja vuosittain.

Kaikkien asiakkaidemme henkilöllisyys on todennettu verkkopankkitunnuksilla. Täyttyvätkö KYC-velvoitteet samalla?

Eivät täyty, koska henkilöllisyyden todentaminen on vain yksi osa asiakkaan tuntemista koskevista velvoitteista. Esimerkiksi tosiasiallisten edunsaajien tai poliittisesti vaikutusvaltaisten henkilöiden (PEP-henkilöiden) tunnistamisessa tarvitaan muita tapoja kuin henkilöllisyyden todentaminen.

Asiakkaan henkilöllisyyden todentaminen, joka on yksi osa asiakkaan tuntemisen prosessia, on sitä vastoin pätevä verkkopankkitunnuksilla. 

Mitä tietoja tilitoimiston asiakkailta tulee pyytää?

  1. On selvitettävä, ketkä yrityksen tosiasialliset edunsaajat ovat ja ovatko he poliittisesti vaikutusvaltaisia henkilöitä.
  2. Tunnistettavan yrityksen täydellinen nimi, rekisterinumero, rekisteröimispäivä, rekisteriviranomainen, kotipaikan osoite ja pääasiallisen liiketoimintapaikan osoite, jos se eroaa kotipaikan osoitteesta sekä tarvittaessa yhtiöjärjestys tai yhteisösäännöt.
  3. Edustajan henkilöllisyys on todennettava ja dokumentoitava.
  4. Tiedot asiakkaan toiminnasta, liiketoiminnan laadusta ja laajuudesta, taloudellisesta asemasta, perusteet liiketoimen tai palvelun käytölle ja tiedot varojen alkuperästä

Mitä, jos asiakas ei toimita tietoja pyynnöistä huolimatta?

Asiakkaan haluttomuus toimittaa tietoja on vahva riski-indikaattori. Silloin on suositeltavaa asettaa asiakas tehostettuun seurantaan. Viime kädessä asiakassuhteesta on luovuttava. Viranomaiselle asiaa ei voi kuitata sillä, että asiakas ei halunnut toimittaa tietojaan.

Minne ilmoitan epäilyttävistä havainnoista?

Jos sinulle herää missä tahansa vaiheessa prosessia epäilys asiakkaan liiketoimista, tee matalalla kynnyksellä ilmoitus rahanpesun selvittelykeskukselle

Ilmoitusta tehdessä ei tarvitse olla varma siitä, että on tapahtunut väärinkäytöksiä. Riittää, että huomaa jotakin poikkeavaa. Pienikin vihje voi auttaa viranomaisia selvittämään laajoja rahanpesun tai terrorismin rahoittamisen kokonaisuuksia. 

Missä KYC-tietoja tulee säilyttää?

KYC-tietoja tulee säilyttää erillään muista asiakastiedoista. Asiakkaan tuntemistiedot ovat arkaluontoisia tietoja ja niiden säilyttämisessä on erittäin tärkeää varmistua, että tiedot ovat korkean tietoturvan säilössä.

Tietojen täytyy olla saatavilla helposti mieluiten yhdessä paikassa. Se auttaa saamaan kokonaiskuvan asiakaskunnasta ja helpottaa riskien kokonaisarviointia

Rahanpesulaki määrää, että asiakkaan tuntemista koskevat tiedot on säilytettävä luotettavalla tavalla viiden vuoden ajan vakituisen asiakassuhteen päättymisestä. Toisaalta GDPR-sääntely edellyttää, ettei henkilötietoja säilytetä tarpeettomasti vaadittujen säilytysaikojen jälkeen.

KYC-velvoitteiden lisäksi tilitoimisto kerää asiakastietoja montaa muuta tarkoitusta varten, ja näiden tietojen säilytysajat saattavat poiketa toisistaan. Kun säilytät KYC-tiedot keskitetysti yhdessä paikassa, voit varmistua siitä, ettet alita etkä ylitä lain ohjeistamia säilytysaikoja.

Asiakkaamme ovat suomalaisia pörssilistattuja yhtiöitä. Koskevatko KYC-velvoitteet meitä?

KYC-velvoitteet koskevat myös niitä ilmoitusvelvollisia, joilla on listattuja yhtiöitä asiakkaina. Poikkeuksena on se, että listattujen yhtiöiden tosiasiallisten edunsaajien henkilöllisyyttä ei tarvitse selvittää.

Tunnemme kaikki asiakkaamme henkilökohtaisesti. Voimmeko täyttää kaikki tiedot heidän puolestaan?

Laki ei määrittele, miten tiedot hankitaan. Asiakkaan puolesta voi täyttää tietoja. mutta on muistettava, että tiedot on dokumentoitava ja asiakkaan edustajan henkilöllisyys täytyy todentaa.

Asiakkaamme ei harjoita ulkomaankauppaa. Voiko pakote- ja sanktiolistatarkistuksen jättää tällöin pois?

Laki velvoittaa, että ilmoitusvelvollisella on menetelmät sanktiolistojen tarkistamiseen. Sanktiolistojen joukossa on myös Suomen KRP:n lista. Nämä tarkistukset täytyy siten myös tehdä. 

Mitä rutiinivaiheita sähköisessä KYC-prosessissa on?

Sähköinen KYC-prosessi etenee vaihe vaiheelta näin:

  1. Tietopyynnön valmistelu

Kokoa uuden asiakasyrityksen perustiedot automaattisia rekisterihakuja hyödyntämällä. Tarkista asiakkaasi ja hänen sidosryhmiensä tiedot automaattisesti kaikkia lain tarkoitta- mia sanktio- ja pakotelistoja vasten. Tarkistusten jälkeen lähetä sähköinen tietopyyntö asiakkaalle tuntemistietojen täyttämistä varten.

  1. Tunnistautuminen ja tietopyynnön täyttäminen

Asiakas todentaa henkilöllisyytensä vahvan tunnistautumisen tai mobiilivarmenteen avulla ja vastaa lakisääteisiin kysymyksiin. Vastaamisen päätteeksi täytetty tietopyyntö lähetetään automaattisesti takaisin yrityksellesi.

  1. Riskiarviointi ja jatkuva seuranta

Valjasta automaatio helpottamaan riskiperusteista työskentelyä: Helpota asiakkaan tietojen arviointia ja riskitason määrittämistä järjestelmällä, joka tunnistaa hälytysmerkit puolestasi. Pystyt keskittymään paremmin potentiaalisiin riskin aiheuttajiin ja minimoit työn matalariskisten asiakkaiden kohdalla. Säännöllisesti päivittyvien ulkoisten rekisteritietojen avulla huomaat saman tien, kun tuntemistiedoissa tapahtuu muutoksia. Se auttaa pitämään sekä asiakaskohtaisen että koko yrityksesi riskiarvion ajan tasalla.

Lue lisää: Näin laadit riskiarvion

Kuinka usein asiakkaan tuntemistiedot tulee päivittää?

Laki ei aseta tarkkoja määräaikoja sille, kuinka usein asiakkaan tuntemistiedot täytyy päivittää ajan tasalle. Ilmoitusvelvollisen täytyy järjestää KYCiin liittyvät käytännöt riskiperusteisesti. Riskiperusteiset käytännöt on kuvattava ilmoitusvelollisen riskiarviossa. 

Mitä riskiperusteisuus tarkoittaa?

Se tarkoittaa, että ilmoitusvelvollisen on tunnistettava ne asiat ja asiakkaat, jotka aiheuttavat toiminnassa rahanpesun ja terrorismin rahoittamisen riskejä. Kun tunnistat, minkä asiakkuuksien kohdalla riskitekijät ovat korkealla, osaat ohjata resurssisi tehokkaasti juuri näiden tapausten parempaan seurantaan ja valvomiseen ja pystyt minimoimaan vähempiriskisten asiakkaiden kanssa tehtävän selvittelytyön.

Asiakaskunnan seulomisen voi hoitaa automaation avulla tehokkaasti, kun järjestelmä arvioi riskejä esimerkiksi maantieteellisten sijaintien tai toimialojen perusteella. Käsin tehtynä näiden tietojen etsiminen ja kokonaiskuvan luominen on hyvin hidasta.

Mitä oman toiminnan riskiarvio tarkoittaa? 

Aluehallintovirasto on omassa riskiarviossaan arvioinut kirjanpitäjät merkittävän riskin toimialaksi. Siksi tilitoimistoilta vaaditaan perinpohjainen riskiarvio sekä omasta toiminnasta että asiakkaistaan.

Rahanpesun ja terrorismin rahoittamisen estämiseksi laaditun, lain mukaisen riskiarvion tarkoituksena on, että jokainen ilmoitusvelvollinen ymmärtää ja arvioi itse, miten yrityksen tuotteita ja palveluita voitaisiin käyttää hyväksi rahanpesuun tai terrorismin rahoittamiseen. Ilman riskiarviota rahanpesulain velvoitteiden noudattaminen ei ole käytännössä mahdollista.

Riskiarvio on eräänlainen työkalupakki, jonka avulla ilmoitusvelvollinen tunnistaa ja arvioi rahanpesun ja terrorismin rahoittamisen riskejä sekä pystyy mitoittamaan käyttämänsä riskienhallintakeinot oikeanlaisiksi. Riskiarviolla ilmoitusvelvollinen myös osoittaa valvovalle viranomaiselle, että heidän asiakkaan tuntemisen ja jatkuvan seurannan menetelmänsä ovat riittävät.

Oman toiminnan riskiarvio on yksi tärkeimmistä dokumenteista, koska juuri sitä valvova viranomainen tulee kysymään tarkastuskäynnin yhteydessä.

Riskiarvio on aina yksilöllinen, eikä sitä voi tehdä vain vaihtamalla yrityksen nimen valmiiseen mallipohjaan.

Lue lisää: Näin laadit riskiarvion

Miten KYCistä voi tehdä rutiinin?

  1. Tutustu lainsäädäntöön ja viranomaisten ohjeistuksiin sekä varmista, mitä velvollisuuksia toimintaasi kohdistuu. Jos olet epävarma, koskeeko sääntely sinua, kannattaa KYCin perusteet ottaa haltuun jo etunojassa.
  2. Ota käyttöön menetelmät, joilla automatisoit asiakkaan tuntemisen prosessia ja erotat korkeariskiset asiakkaat matalan riskin tapauksista. KYCiin erikoistunut palvelu osaa ottaa analyysissaan huomioon lukuisat eri riskit, joiden seuraamista lainsäädäntö vaatii.
  3. Osallista ja kouluta koko henkilöstösi rahanpesun estämiseen. Huolehtikaa yhdessä siitä, että riskiarvio on ajan tasalla ja ilmoituskäytännöt kunnossa, tietoja säilytetään turvallisesti ja KYC-tarkistusten teko on suoraviivaista ja helppoa.

Mitä KYC-prosessissa voi automatisoida?

KYC-prosessi on manuaalisesti hoidettuna raskas ja velvoitteiden noudattaminen voi olla haastavaa. Tilitoimistolle, jolla on paljon asiakkaita, tarvittavien tarkastusten tekeminen manuaalisesti ja riittävällä lainmukaisella tasolla on käytännössä mahdotonta.

Netvisor KYC on helppokäyttöinen pilvipalvelu, jonka avulla hoidat helposti koko KYC-prosessin ja automatisoit monta vaihetta. Esimerkiksi asiakkuuden avaamisvaiheessa Netvisor KYC tekee tarvittavat selvitykset parhaimmillaan alle viidessä minuutissa. 

Netvisor KYC hoitaa puolestasi lakisääteisen pakotelistaseurannan. Asiakkaasi ja heidän sidosryhmänsä tarkastetaan päivitettyjä pakotelistoja vastaan kerran viikossa. Palvelusta löytyvät myös kaikille asiakastyypeille soveltuvat tietopyyntölomakkeet. 

Se auttaa asiakaskohtaisen riskiarvion tekemisessä ja saat tiedon tuntemistiedoissa tapahtuneista muutoksista heti, säännöllisesti päivittyvien ulkoisten rekisteritietojen avulla.

Netvisor KYC helpottaa sinun työsi lisäksi myös asiakkaan arkea, kun hänen ei tarvitse toimittaa useita eri tietoja eri aikoihin. Se on myös tietoturvallinen tapa arkaluonteisten tietojen toimittamiseen.

Palvelun automaatio auttaa sinua keskittämään resursseja niitä tarvitseviin asiakkaisiin. Tarpeettomat tarkistukset ja työvaiheet vähenevät.

Missä menee aidosti se raja, jolloin asiakkaita ei kannata enää manuaalisesti KYCittää?

Lainsäädäntö edellyttää ilmoitusvelvolliselta useiden eri asioiden huomioimista kokonaisuutena. Asiakkaan tuntemista ei voi erottaa esimerkiksi riskiarvion tekemisestä tai säännöllisistä pakote- ja sanktiolistojen tarkistuksista. Jo hyvin pieni organisaatio huomaa pian, että lain velvoitteiden hoitaminen käsityönä vie paljon aikaa.

Jos epäröit, kannattaako prosesseja siirtää laskentataulukoista KYC-palveluun, ota meihin yhteyttä niin tarkastellaan hyötyjä yhdessä.

Paljonko Netvisor KYC -palvelu maksaa?

Pääset alkuun 21 euron kuukausiveloituksella. Defender on peruspaketti pienille organisaatioille ja yrityksille. 

Expert- ja Genius-paketit tuovat kokonaisuuteen lisää tehoja, jos asiakasmääräsi ovat suurempia ja haluat automatisoida KYC-prosessia kattavammin.

Katso Netvisor KYC tuotehinnat ja -paketit täältä!

Eikö pankin kuuluisi vastata rahanpesulain noudattamisesta, koska hehän rahaliikennettä valvovat?

Myös pankit ovat ilmoitusvelvollisia. Pankit näkevät maksutoimeksiantojen vastapuolet. Pankilla ei ole kuitenkaan mahdollisuutta nähdä tilisiirtojen taustalla olevia asioita. Kirjanpitäjällä on esimerkiksi huomattavasti parempi näkymä asiakkaan liiketoimintaan ja samalla parempi kyky havaita vilpillistä toimintaa.

Jäikö jokin asia vielä askarruttamaan? Lataa Opas: Näin tunnet asiakkaasi – KYCin perusteet

Jukka Kojola

Jukka Kojola on Netvisor KYC -palvelun tuotejohtaja. Jukka on rahanpesulain asiantuntija, jolla on yli 20 vuoden kokemus finanssi- ja pankkialalta. Jukka haluaa edistää rahanpesulain noudattamista ja auttaa yrityksiä kehittämään automatisoituja toimintamalleja asiakkaan tuntemisvelvoitteen täyttämiseksi.

Lisää mielenkiintoisia aiheita: