Kycitä kunnolla ja hallitse yrityksesi riskejä

Rahanpesulakia noudatetaan yleensä vain siksi, että viranomaiset valvovat sen noudattamista. Jostain syystä aika usein unohtuu se, että rahanpesulain noudattamisesta on myös ihan oikeaa hyötyä – siis sen lisäksi, että niin välttyy ikäviltä sanktioilta. 

Rahanpesulakia noudattamalla hallitaan kuitenkin myös omia riskejä, minkä jo itsessään pitäisi olla korkealla jokaisen yrityksen prioriteettilistalla. 

Otatko turhia rahanpesuun liittyviä riskejä? 

Olen työskennellyt finanssiriskien parissa 20 vuotta ja tehnyt työkseni yritysten riskienhallintaa, erityisesti korko- ja valuuttariskienhallinnan parissa.  

Kokemuksesta voin sanoa, että finanssialalla on paljon erilaisia toimijoita ja koko ala on täynnä erilaisia riskejä – on luottoriskiä, rahoitusriskiä, euribor-riskiä, valuuttariskiä –  eikä pidä unohtaa myöskään henkilöstöön ja sääntelyyn liittyviä riskejä.

Ja riskeihin perustuu koko alakin; onhan sen ideana jakaa riskiä eri toimijoiden kesken. Siksi onkin mielenkiintoista, miten vähän riskienhallintaan kiinnitetään huomiota, kun aletaan puhua rahanpesusta.

Jos rahanpesun ehkäisyyn tähtäävä prosessi ei ole kunnossa, riskinä ovat ankarat sanktiomaksut, varojen jäädyttämiset ja maineen menettäminen. Finanssivalvonnan luvalla toimiva yritys saattaa jopa menettää toimilupansa.

Varsinkin finanssialan pk-yrityksissä – kuten rahoitusyhtiöissä, pikavippifirmoissa ja pankkiiriliikkeissä – on yhä käytössä työläitä asiakkaan taustojen tarkistamiseen liittyviä manuaalisia toimintatapoja, joita on käytännössä mahdotonta valvoa. Tämän lisäksi toimintatavat ovat usein niin epäselviä, että työntekijät voivat tulkita niitä hyvinkin vapaasti.

Tämä seurauksena KYC-prosessit sakkaavat ja rahanpesuun liittyvät riskit kasvavat. 

Tunnistavatko työntekijät rahanpesuun liittyvät riskit? 

Yksi isoimmista rahanpesulain noudattamiseen ja KYC-prosessiin liittyvistä riskeistä onkin nimenomaan työntekijöiden osaaminen, tai oikeastaan sen puute. 

Vaikka yrityksessä olisi tehty riskiarvio omasta toiminnasta, ei siinä lueteltuja määräyksiä ja ohjeita noudateta. Joskus syynä on ihan niinkin karu asia kuin raha: kun on tulossa isoa kauppaa, katsotaan tietoisesti muualle ja rikotaan jotain sääntöä ajattelematta, millainen riski tämä on yrityksen omalle toiminnalle. 

Ja toisinaan kyse on silkasta tietämättömyydestä. 

Saatetaan ajatella, että asiakkaan tuntemisessa on kyse pikkuasioista, jotka eivät välittömästi tuota mitään, ja siksi KYC-prosessista laistetaan ja kriittisiä asioita jätetään tekemättä. Tämä  johtuu siitä, ettei ymmärretä, miksi tietoa kerätään ja miten sitä voisi hyödyntää rahanpesuun paljastamiseen. 

Jos johdolla ei ole kyvykkyyttä valvoa tehokkaasti työntekijöiden toimintaa, niin se asettaa johdolle valvontariskin. Ja kun viranomaistarkastauksessa paljastuu aukkoja joko KYC-prosessissa tai sen valvonnassa, aiheuttaa se maineriskin. 

Kun omassa toiminnassa on huomautettavaa ja ottaa omassa toiminnassa isoja riskejä, on etenkin finanssialalla vaikea vakuuttaa asiakkaat siitä, että on luotettava ja asiansa osaava toimija.

KYC-tietojen kerääminen tulee tehdä oikein

Finanssivalvonta antoi hiljattain sanktioita pankille, joka oli kerännyt kaiken KYC-prosessissa vaadittavan tiedon, mutta tieto oli hajallaan eri järjestelmissä. Työntekijöiden ei siten ollut mahdollista luoda kokonaiskuvaa asiakasyrityksestä eivätkä he tämän takia voineet hahmottaa todellisia riskejä.

Tämä on surullinen mutta konkreettinen esimerkki siitä, miten yrityksen toimintatavoilla voidaan sabotoida työntekijöiden mahdollisuudet kycittää kunnolla. 

Sen lisäksi, että tietoa säilytetään vaihtelevissa paikoissa paperimapeista CRM:ään, joudutaan tietoja haalimaan sähköpostilla ja paperisilla lomakkeilla – eikä kumpikaan tapa palvele rahanpesulain vaatimuksia eikä etenkään omaa riskienhallintaa.

Toinen yleinen kycittämiseen liittyvä ongelma on se, ettei KYC-prosessia läpi käyvä työntekijä itsekään ymmärrä, mitä tietoa tarvitaan ja ennen kaikkea miksi sitä tarvitaan. 

Tällöin ajaudutaan helposti tilanteeseen, jossa ei voida olla varmoja tiedon oikeellisuudesta. Näin käy usein, kun tietoja kerätään paperilomakkeilla eikä asiakasta osata ohjeistaa vastaamaan kysymyksiin oikein.

Miten tunnet asiakkaasi ja minimoit riskit?

Asiakkaan tilanteen arviointia voi onneksi helpottaa kolmella asialla: 

1. Työntekijöiden koulutus
   Koulutetaan työntekijöitä ymmärtämään, miksi ja miten KYC-prosessi pitää tehdä. Jos heillä ei ole käsitystä, miten kerättyä tietoa voi ja pitää hyödyntää rahanpesun paljastamisessa, ei tiedon haalimisesta ole hyötyä.


2. Toimintatapojen selkeys
   Luodaan selkeät prosessit, miten KYC-prosessi hoidetaan. Selkeät toimintatavat auttavat myös kouluttamaan työntekijöitä. Näin lyödään kaksi kärpästä yhdellä iskulla.


3. Tehokkaat työvälineet
   Hankitaan KYC-prosessia varten oikeanlaiset työvälineet eli toimivat järjestelmät, jotka osaavat huomioida kaikki viranomaismääräykset. 

Käytännössä kaikki kolme kohtaa voidaan kattaa helposti myös yhdellä ainoalla järjestelmällä, joka on rakennettu nimenomaan KYC-prosessia varten. 

Mitä hyötyä on kycittämiseen pyhitetystä järjestelmästä?

Yksi ainoa KYC-järjestelmä tekee kycittämisestä nopeaa ja helppoa, koska moni toiminto siinä on automatisoitu. Näin kevennetään myös työntekijöiden kognitiivista kuormaa. Tässä vielä yhden järjestelmän etuja: 

• Pakotelistojen tarkastaminen tapahtuu automaattisesti ja järjestelmä ilmoittaa, jos omia asiakkuuksia löytyy listoilta. 

• On helppoa muodostaa kokonaiskuva asiakkuuksista ja toimia oikea-aikaisesti ja lain vaatimalla tavalla, kun tiedot eivät ole hajallaan eri paikoissa. 
• Tieto pysyy tallessa myös silloin, kun työntekijät vaihtuvat. Näin ei ole pelkoa siitä, että tietoa katoaisi työntekijän vaihtaessa työpaikkaa. 
• Tiedot säilytetään GDPR:n mukaisesti.
  • Rahanpesulain mukaan asiakastietoja tulee säilyttää asiakkuuden päätyttyä seuraavat viisi vuotta, mutta GDPR:n mukaan kaikki tieto, jota ei tarvita, tulee hävittää. Jos tieto on  hajallaan, niin täytyy tehdä paljon ajatustyötä siitä, mitä tietoa voidaan säilyttää ja missä. 
  • KYC-järjestelmä puolestaan ohjaa poistamaan tietoa oikeaan aikaan, kun ne ovat vanhenemassa. Järjestelmä ohjaa myös näyttämään tietoa vain niille, joilla on oikeus nähdä arkaluonteista tietoa, kuten ihmisten henkilötunnuksia. 

Edellä mainittujen etujen lisäksi kycittämiseen pyhitetyllä ohjelmistolla on vielä yksi valtti: se on aina ajan tasalla ja ohjaa tekemään prosessin oikein. 

Lainsäädäntö ja viranomaismääräykset ovat monimutkaisia ja ne muuttuvat kaiken aikaa. KYC-järjestelmä on aina ajan tasalla, koska sen ylläpidossa on mukana teknisten koodareiden lisäksi juristeja ja muita velvoitteisiin perehtyneitä asiantuntijoita. 

Tämä on merkittävä etu, jota harvemmin on tarjolla omassa talossa, vaikka inhouse-järjestelmän rakentamiseen löytyisi teknistä osaamista. Eikä teknisten ratkaisujen rakentaminenkaan ole helppo nakki, kun uudet määräykset voivat vaatia järjestelmältä uudenlaista taipuisuutta – joskus todella nopealla aikataululla.  

Ketä varten kycität?

Nyt siis kannattaa vielä pohtia, millä mallilla on oma riskienhallinta KYC-prosessien osalta. 

Kycitetäänkö teillä viranomaisia varten vai onko kycittäminen osa yrityksenne DNA:ta ja aktiivisesti käytössä oleva riskienhallinnan työkalu? 

Jos mietit, mitä valmis KYC-järjestelmä voi tarjota finanssialan PK-yritykselle, kannattaa lukaista Laskukauppa.comin kokemuksia aiheesta.

Jukka Kojola on Netvisor KYC -palvelun tuotejohtaja. Jukka on rahanpesulain asiantuntija, jolla on yli 20 vuoden kokemus finanssi- ja pankkialalta. Jukka haluaa edistää rahanpesulain noudattamista ja auttaa yrityksiä kehittämään automatisoituja toimintamalleja asiakkaan tuntemisvelvoitteen täyttämiseksi.