Havaintoja rahanpesunvalvonnan tarkastuksista
Aluehallintovirasto AVI ja rahanpesun tarkastukset
Tilitoimistojen osalta rahanpesulain (ResL) noudattamista valvovana viranomaisena toimii Aluehallintovirasto, tuttavallisemmin AVI. Käytännössä valvontaa ja tarkastuksia suorittaa Etelä-Suomen aluehallintovirasto. Tähän mennessä AVI on valvonnassaan:
- Pyytänyt tilitoimistoilta arvioitavaksi kymmeniä rahanpesun torjunnan riskiarvioita
- Tehnyt joitakin tarkastuksia eri kokoisiin tilitoimistoihin
AVI:n suorittamien tarkastusten tarkastuskertomukset ovat julkisia asiakirjoja ja ne ovat tilattavissa Etelä-Suomen aluehallintoviraston kirjaamosta. Liikesalaisuudet ja yksityiskohtaiset rahanpesun valvonnan keinot on mustattu tarkastuskertomuksissa. Tämä kirjoitus perustuu tähän mennessä julkaistujen tarkastuskertomusten sisältöön.
AVI on asteittain kiristänyt tarkastusten linjaa. Tarkastusten alkuvaiheessa vuonna 2021 keskityttiin ohjeistamaan ja kehottamaan laittamaan asioita kuntoon. Vuoden 2022 tarkastusten perusteella on jo rike- tai seuraamusmaksuja harkinnassa.
Tarkastusta valmistelevat tietopyynnöt
Ennen tarkastusta AVI on pyytänyt tilitoimistoa toimittamaan sille yleensä seuraavat tiedot:
- Kuvaus yrityksen organisaatiosta, sen asiakkaista ja lyhyt kuvaus siitä, mitä rahanpesun ja terrorismin rahoittamisen estämiseen liittyviä tehtäviä eri henkilöt
- Organisaatiossa hoitavat sekä prosessikuvaus sopimusten laadinnasta ja asiakkaiden tunnistamisesta
- Ilmoitusvelvollisen riskiarvio rahanpesun ja terrorismin rahoittamisen riskien tunnistamiseksi ja arvioimiseksi (ResL 2 luku 3 §)
- Asiakkaan tunnistamiseen ja tuntemiseen liittyvien seikkojen hankkimiseksi tarkoitetut lomakkeet tai muu selvitys tietojen keräämistavasta (ResL 3 luku 3 §)
- Ilmoitusvelvollisen laatimat toimintaohjeet rahanpesun ja terrorismin rahoittamisen estämiseksi (ResL 9 luku 1§)
- Selvitys yrityksen työntekijöiden kouluttamisesta rahanpesulain noudattamisen varmistamiseksi (ResL 9 luku 1 §)
Lisäksi AVI on pyytänyt tilitoimistoa toimittamaan asiakasluettelon. Etänä suoritettavia tarkastuksia varten AVI on valinnut asiakaslistalta muutaman asiakkaan satunnaisotannalla ja pyytänyt tilitoimistoa toimittamaan näistä asiakkaista rahanpesulain nojalla kerätyt tiedot. Kun tarkastukset tehdään tilitoimiston konttorilla, tiedot todennetaan ensisijaisesti paikan päällä tarkastuskäynnin aikana.
Tämä toimintamalli on antanut tilitoimistoille kuvan siitä, mihin tarkastuksessa todennäköisesti keskitytään. Samalla on käytännössä ollut myös mahdollisuus saattaa toimintaa ja dokumentaatiota lain edellyttämään kuntoon, jos menettelyissä on ollut puutteita.
Tarkastuksen painopisteet ja tarkastushavainnot
Tilitoimistolla on osoitusvelvollisuus siitä, että se on toiminnassaan noudattanut rahanpesulain velvoitteita. Tarkastuksessa AVI on pyytänyt näyttöä esimerkiksi siitä, että asiakkaan tai sen edustajan henkilöllisyys on todennettu. Rahanpesulain velvoitteiden noudattamista on todennettu myös esimerkiksi henkilöstön haastatteluin. Tarkastuksessa käyty läpi esimerkiksi seuraavia kokonaisuuksia:
Asiakkaan tunnistaminen ja rahanpesulain vaatimien tietojen tallentaminen
- Asiakas, esimerkiksi luonnollinen henkilö, osakeyhtiö tai yhdistys, on tunnistettu ja rahanpesulain vaatimat tiedot on tallennettu
- Asiakkaan hallituksen tai vastaavan päättävän elimen jäsenet on tunnistettu ja rahanpesulain vaatimat tiedot on tallennettu
- Asiakkaiden tosiasialliset edunsaajat on tunnistettu ja rahanpesulain vaatimat tiedot on tallennettu
Tunnistamisella tarkoitetaan asiakkaan henkilöllisyyden selvittämistä asiakkaan toimittamien tai antamien tietojen perusteella.
Tarkastusten perusteella näiden tietojen keräämisessä oli jonkin verran puutteita useissa tilitoimistoissa. Vaikka esimerkiksi asunto-osakeyhtiöitä voidaan pitää rahanpesulain kannalta vähäisen riskin kohteina, täytyy tiedot hallituksen jäsenistä silti kerätä ja tallentaa.
Asiakkaan ja sen edustajan henkilöllisyyden todentaminen ja todentamistietojen tallentaminen
Edellä mainitun lisäksi asiakkaan (jos asiakas on luonnollinen henkilö) ja asiakkaan edustajan (esimerkiksi asiakkaan puolesta sopimusta tekevä toimitusjohtaja) henkilöllisyys on todennettava ja tieto todentamisesta on tallennettava.
Henkilöllisyyden todentamisella asiakkaan henkilöllisyyden varmistamista luotettavasta ja riippumattomasta lähteestä peräisin olevien asiakirjojen tai tietojen perusteella.
Yllä mainitut velvoitteet tunnistamiseen ja todentamiseen on kirjattu rahanpesulain 3:3§:ssä.
Asiakkaan tuntemista koskevista tiedoista on säilytettävä:
1) nimi, syntymäaika, henkilötunnus ja osoite;
2) edustajan nimi, syntymäaika ja henkilötunnus;
3) oikeushenkilön täydellinen nimi, rekisterinumero, rekisteröimispäivä, rekisteriviranomainen, kotipaikan osoite ja pääasiallisen liiketoimintapaikan osoite, jos se eroaa kotipaikan osoitteesta sekä tarvittaessa yhtiöjärjestys tai yhteisösäännöt;
4) oikeushenkilön hallituksen tai vastaavan päättävän elimen jäsenten täydelliset nimet, syntymäajat ja kansalaisuudet;
5) oikeushenkilön toimiala;
6) tosiasiallisten edunsaajien nimi, syntymäaika ja suomalainen henkilötunnus ja sen puuttuessa kansalaisuus sekä tarvittaessa tarkempi kuvaus omistus- ja määräysvaltarakenteesta tai jos tosiasiallista edunsaajaa ei ole pystytty tunnistamaan, edellä tarkoitetut tiedot 1 luvun 5 §:n 4 momentissa tarkoitetusta henkilöstä;
7) henkilöllisyyden todentamisessa käytetyn asiakirjan nimi, asiakirjan numero tai muu tunnistetieto ja myöntäjä taikka kopio asiakirjasta tai jos asiakas on etätunnistettu, tiedot todentamisessa käytetystä menettelystä tai lähteistä;
Tarkastusten perusteella useissa tilitoimistoissa todentamista ei ollut tehty kaikkien asiakkaiden ja edustajien osalta tai tästä ei ollut näyttöä, koska todentamistietoja ei ollut tallennettu.
Tuntemistietojen käsittely ja säilytys
Tarkastuksissa on käyty läpi, miten asiakkaan tuntemistiedot eli ylempänä mainitut ja muut rahanpesulain 3:3§:ssä mainitut tuntemistiedot on säilytetty ja miten ne ovat käytännössä löydettävissä. Sinällään laki ei vaadi, että niiden on oltava yhdessä ja samassa järjestelmässä, vaan niitä voidaan säilyttää eri järjestelmissä, vaikkapa kirjanpitojärjestelmässä, tilitoimiston toiminnanohjausjärjestelmässä ja palvelimelle tallennetuissa tiedostoissa. Tilitoimistolla täytyy kuitenkin olla selkeä käsitys, mistä aineistot löytyvät ja niiden tulee olla sekä tilitoimiston henkilöstön että AVI:n tarkastajan löydettävissä kohtuullisella vaivalla. Tilitoimiston kannattaa siis dokumentoida, mistä mitkäkin tiedot löytyvät.
Tarkastusten perusteella tiedot kyllä pääsääntöisesti löytyivät, mutta niitä jouduttiin monesti etsimään kissojen ja koirien kanssa. Yrityskauppojen jälkeen ostettujen tilitoimistojen asiakkaiden tietoja ei ollut välttämättä huomattu tai ehditty siirtää ostaneen tilitoimiston järjestelmään.
Riskiarvion taso
AVI on muutaman vuoden aikana pyytänyt arvioitavakseen kymmenien tilitoimistojen riskiarvioita ja niissä on havaittu huomattavia puutteita. Taloushallintoliitto ja AVI ovat yhdessä ja erikseen tiedottaneet asiasta ja kehottaneet laittamaan riskiarviot kuntoon. Riskiarviossa tulee paneutua tilitoimiston asiakaskuntaan ja sen riskeihin rahanpesulain näkökulmasta. Opastusta riskiarvioon löydät Taloushallintoliiton verkkosivuilta.
AVI:n tarkastuksissa riskiarvion taso on ollut keskeinen kohde. Onko riskiarviossa paneuduttu huolella oman asiakaskuntaan ja pohdittu erilaisten asiakkaiden ja toimialojen riskejä riittävän yksityiskohtaisesti? Onko kirjattu keinoja, joilla riskejä tunnistetaan, arvioidaan ja hallitaan? Riskiarvion tulisi olla pohja yrityksen ohjeistukselle ja toiminnalle rahanpesun torjunnassa.
Tarkastusten perusteella riskiarvioissa on kehitettävää. Useimmissa tapauksissa ne on laadittu varsin yleisessä tasolla pureutumatta oikeasti omaan asiakaskuntaan ja riskien tunnistamiseen, arviointiin ja hallintaan.
Riskiarvion vaikutus tilitoimiston toimintaan
Tarkastuksissa on kiinnitetty erityistä huomiota siihen, vastaavatko yrityksessä noudatettavat toimintamallit ja käytännöt riskiarviossa ja toimintaohjeissa esitettyä. Tätä on selvitetty haastatteluin.
Tältä osin tarkastuskertomusten perusteella tosiasiallinen toiminta on pääpiirteissään vastannut riskiarviota.
Muita tarkastusten kohteita
Yllä esitettyjen kokonaisuuksien lisäksi tarkastuksissa on selvitetty seuraavia osa-alueita:
- Onko rahanpesun torjunta vastuutettu tilitoimistossa selkeästi?
- Onko tilitoimisto selvittänyt, onko asiakaskunnassa poliittisesti vaikutusvaltaisia henkilöitä, näiden perheenjäseniä tai yhtiökumppaneita (ns. PEP-henkilö)?
- Onko tilitoimisto laatinut henkilöstölle asianmukaisen ohjeistuksen?
- Onko henkilökuntaa koulutettu rahanpesun torjuntaan?
- Onko yli viisi henkeä työllistävällä tilitoimistolla käytössään sisäinen ilmiantokanava, jolla henkilöstö voi ilmoittaa laiminlyönneistä rahanpesun torjunnassa?
Rike- ja seuraamusmaksut
Aluehallintovirasto voi määrätä tarkastuksen perusteella tai muutoin havaitun laiminlyönnin perusteella tilitoimistolle rike- tai seuraamusmaksun. Rike tai seuraamusmaksu voidaan määrätä esimerkiksi seuraavista laiminlyönneistä rahanpesulain 8:1 §:n perusteella:
1) laiminlyö tai rikkoo 3 luvun 1 §:ssä tarkoitetun velvoitteen tuntea asiakas tai yksilöidä ja arvioida rahanpesun ja terrorismin rahoittamisen riskejä;
1 a) laiminlyö tai rikkoo 2 luvun 3 §:ssä tarkoitetun velvoitteen laatia ja päivittää riskiarvio; (26.4.2019/573)
2) laiminlyö tai rikkoo 3 luvun 2 §:ssä tarkoitetun velvoitteen tunnistaa asiakas ja todentaa tämän henkilöllisyys;
3) laiminlyö tai rikkoo 3 luvun 3 §:ssä tarkoitetun velvoitteen säilyttää asiakkaan tuntemista koskevat tiedot;
4) laiminlyö tai rikkoo 3 luvun 4 §:ssä tarkoitetun velvoitteen hankkia asiakasta koskevia tietoja, seurata asiakassuhdetta jatkuvasti ja ottaa selvää asiakkaan tavanomaisesta poikkeavista liiketoimista;
5) laiminlyö tai rikkoo 3 luvun 6 §:ssä tarkoitetun velvoitteen tunnistaa tosiasiallinen edunsaaja;
6) laiminlyö tai rikkoo 3 luvun 10 §:ssä tarkoitetun velvoitteen soveltaa tehostettua menettelyä asiakkaan tuntemiseksi;
7) laiminlyö tai rikkoo 3 luvun 11 §:ssä tarkoitetun velvoitteen tunnistaa asiakas, kun tämä ei ole läsnä tunnistettaessa ja henkilöllisyyttä todennettaessa;
8) laiminlyö tai rikkoo 3 luvun 12 §:ssä tarkoitetun velvoitteen hankkia riittävät tiedot vastapuolena toimivasta luotto- tai rahoituslaitoksesta;
9) laiminlyö tai rikkoo 3 luvun 13 §:ssä tarkoitetun velvoitteen laatia ja noudattaa riskiperusteisia menettelyjä sen arvioimiseksi, onko asiakas poliittisesti vaikutusvaltainen henkilö, poliittisesti vaikutusvaltaisen henkilön perheenjäsen tai poliittisesti vaikutusvaltaisen henkilön yhtiökumppani;
9 a) laiminlyö tai rikkoo 3 luvun 13 a §:ssä tarkoitetun velvoitteen soveltaa tehostettua menettelyä asiakkaan tuntemiseksi; (26.4.2019/573)
10) laiminlyö tai rikkoo 4 luvun 1 §:ssä tarkoitetun velvoitteen tehdä epäilyttävää liiketoimea koskevan ilmoituksen rahanpesun selvittelykeskukselle;
11) laiminlyö tai rikkoo 5 luvun 3 §:ssä tarkoitetun velvoitteen hakea rekisteröitäväksi rahanpesun valvontarekisteriin;
12) laiminlyö tai rikkoo 7 luvun 8 §:n 1 momentissa tarkoitetun velvoitteen laatia menettelytavat rikkomusepäilystä ilmoittamiseen;
13) laiminlyö tai rikkoo 9 luvun 1 §:ssä tarkoitetun velvoitteen järjestää työntekijöiden koulutus tai suojeleminen taikka laatia toimintaohjeet.
Rikemaksu voidaan määrätä, jos laiminlyönti tai rikkomus on tehty tahallaan tai huolimattomuudesta. Seuraamusmaksun perusteena olevat laiminlyönnit ja rikkomukset ovat kohtaa 11 (rekisteröityminen rahanpesun valvontarekisteriin) lukuun ottamatta samat kuin rikemaksussa, mutta laiminlyönti tai rikkomus on tehty vakavasti, toistuvasti tai järjestelmällisesti.
Rike- ja seuraamusmaksu ovat suuruudeltaan varsin huomattavia:
- Oikeushenkilölle määrättävä rikemaksu on vähintään 5 000 euroa ja enintään 100 000 euroa
- Luonnolliselle henkilölle määrättävä rikemaksu on vähintään 500 euroa ja enintään 10 000 euroa
- Oikeushenkilölle tai luonnolliselle henkilölle määrättävä seuraamusmaksu saa olla enintään joko kaksi kertaa niin suuri kuin teolla tai laiminlyönnillä saavutettu hyöty, jos se on määritettävissä, tai miljoona euroa, sen mukaan kumpi on korkeampi
Rikemaksun suuruus perustuu kokonaisarviointiin ja sen suuruutta arvioitaessa otetaan huomioon menettelyn laatu, laajuus ja kestoaika. Seuraamusmaksun suuruuteen vaikuttaa myös tekijän taloudellinen asema. Lisäksi seuraamusmaksun arvioinnissa otetaan huomioon menettelyllä saavutettu hyöty tai sillä aiheutettu vahinko, jos ne ovat määritettävissä, tekijän yhteistyö toimivaltaisen valvontaviranomaisen kanssa asian selvittämiseksi sekä aiemmat rahanpesulainsäädäntöön kohdistuneet rikkomukset ja laiminlyönnit.
Seuraamusmaksu voidaan määrätä oikeushenkilölle määrättävän seuraamusmaksun lisäksi tai sen sijasta sellaiselle oikeushenkilön johtoon kuuluvalle henkilölle, jonka velvollisuuksien vastainen teko tai laiminlyönti on. Henkilölle määrättävän seuraamusmaksun edellytyksenä on, että henkilö on merkittävällä tavalla myötävaikuttanut tekoon tai laiminlyöntiin.
Suosituksia tilitoimistoille
Rahanpesun torjunta on tilitoimistoille lakisääteinen velvoite, joka on syytä ottaa vakavasti. AVI on nyt määräämässä rike- tai seuraamusmaksuja rikkomuksista ja laiminlyönneistä, jotka eivät käsittääkseni alan yleiseen tasoon nähden ole erityisen krouveja. Suoraan sanottuna uskon, että monissa tilitoimistoissa asiat ovat paljon huonommalla tolalla.
On mahdoton kuvitella, että AVI voisi lieventää linjaansa ja jättää vastaavista laiminlyönneistä seuraamukset määräämättä jatkossa, jos niistä nyt määrätään rike- tai seuraamusmaksuja. Valvottavien oikeusturva ja viranomaistoiminnan linjakkuus edellyttää, että valvonnan kohteita kohdellaan johdonmukaisesti ja yhdenmukaisesti.
Nyt siis on viimeistään syytä ottaa asia vakavasti ja laittaa asiat kuntoon, alkaen seuraavista:
- Riskiarviot kuntoon
- Asiakkaan yhteyshenkilöiden, hallitusjäsenten ja tosiasiallisten edunsaajien tiedot kuntoon
- Todentamistiedot kuntoon (passin numero, passikopio, vahva sähköinen tunnistaminen jne.)
- Asiakkaan tuntemistiedot kasaan – joko yhteen järjestelmään tai dokumentointi, mistä mikin tieto löytyy
Muistakaa yrityskaupat!
Rahanpesun valvontanäkökulma kannattaa huomioida myös tilitoimistojen yrityskaupoissa. Millä tasolla rahanpesun torjunta on ostokohteessa? Pitäisikö vastuut huomioida yrityskauppasopimuksessa yksityiskohtaisesti? Tuntemistietojen keruu yhdenmukaisesti ja rahanpesun torjunnan saattaminen muutoinkin yhteiseen malliin kannattaa huomioida integraatiosuunnitelmassa.
Rahanpesuilmoitus matalalla kynnyksellä
Tilitoimistot ovat pitäneet turhan korkeaa kynnystä rahanpesuilmoituksen tekemiseen. Rahanpesuilmoituksen tekeminen epäilyttävässä liiketoimesta tai toiminnasta auttaa osaltaan suojaamaan tilitoimiston ja sen työntekijöiden oikeusturvaa.
AVI laati vuonna 2021 ilmoittamista käsittelevän ohjeen, joka löytyy AVI:n verkkosivuilta, Rahanpesulain valvonta – sivun alareunasta. Ohjeessa tiivistetään:
Mikäli kirjanpitäjä havaitsee epäilyttävän liiketoimen, tämän tulee pyrkiä hankkimaan siitä lisäselvitystä. Kirjanpitäjä voi esimerkiksi pyytää nähtäväksi kirjanpitoasiakkaan solmimat alkuperäiset sopimukset, joihin epäilyttävä liiketoimi perustuu. Jos liiketoimi vielä hankitun lisäselvityksenkin valossa vaikuttaa epäilyttävältä tai selvitystä ei saada, tulee kirjanpitäjän tehdä viipymättä epäilyttävää liiketoimea koskeva ilmoitus rahanpesun selvittelykeskukselle. Esimerkiksi kirjanpitäjällä heräävä epäily veronkierrosta, alv-petoksista tai harmaan talouden harjoittamisesta ovat syitä tehdä ilmoitus selvittelykeskukselle.
AVI laati Taloushallintoliiton pyynnöstä muistion, jossa asiaa perustellaan tarkemmin. Muistiossa selvennetään muun muassa:
Rahanpesun esirikoksena voi olla mikä tahansa taloudellista hyötyä tuottava rikos. Esimerkiksi veropetoksessa varat voivat olla sinänsä laillisesta liiketoimesta peräisin olevaa varallisuutta, mutta rahanpesun kohteena on veropetoksen tuottama verosäästö.
Rahanpesuilmoituksen tekemisestä huolimatta tilitoimiston ei kuitenkaan tule tehdä asiakkaan vaatimuksestakaan vääriksi tietämiään kirjauksia, esimerkiksi kirjata yrityksen menoksi ja verovähennyksiksi vähennyskelvottomia menoja.