Uudistetun rahanpesulain tuomat lisävelvollisuudet yrityksille
Uudistetun rahanpesulain voimaantulo on tuonut ilmoitusvelvollisille joukon kysymyksiä, joihin vain harva tietää oikeita vastauksia.
Asiakkaan tunteminen ei ole yrityksille uusi asia ja se on ollut aina osa normaalia riskienhallintaa. Mitkä ovat siis ne toimenpiteet, jotka täytyisi tehdä nyt, kun tuntemista säätelee uusi vaikeaselkoinen laki?
Viranomaisille paremmat toimivaltuudet
Uusi laki rahanpesun ja terrorismin rahoittamisen estämisestä tuli voimaan heinäkuussa 2017. Suurin muutos aikaisempaan on se, että valvovat viranomaiset saavat entistä paremmat toimivaltuudet rahanpesulain valvontaan. Toinen suuri muutos on se, että rahanpesulain tarkoittamat ilmoitusvelvolliset joutuvat arvioimaan riskinsä, joka heidän asiakaskunnassaan on rahanpesuun liittyen.
Rahanpesulain ilmoitusvelvollisten määritelmä on säilynyt lakimuutoksessa pääosin muuttumattomana. Jo nykyinen 2008 voimaan astunut laki määrittelee erikseen yritykset, jotka ovat rahanpesulain vinkkelistä ilmoitusvelvollisia. Rahanpesulain tarkoittamia ilmoitusvelvollisia yrityksiä ovat mm. kirjanpitäjät, tilintarkastajat, lakitoimistot, asianajajat ja kiinteistövälittäjät.
Ilmoitusvelvollisen on tehtävä riskiarvio
Lain keskeisimpiä teemoja on riskiperusteisuus. Ilmoitusvelvollisen täytyy mitoittaa toimenpiteet suhteessa todelliseen riskiin. Tavoitteena on se, että ilmoitusvelvollinen selvittää itse, mitkä asiakkaat vaativat tarkempaa tuntemista.
Automaattisesti tarkempaa tuntemista vaativat vain poliittisesti vaikutusvaltaiset henkilöt ja heidän lähipiirinsä. Muissa tapauksessa tulkinnan tekee ilmoitusvelvollinen itse.
Yksi lain uusista velvollisuuksista on se, että ilmoitusvelvollisen täytyy tehdä itsestään riskiarvio, jossa otetaan kantaa asiakaskunnan keskeisimpiin riskeihin. Riskiarviossa dokumentoidaan toimenpiteet, joilla lain edellyttämä valvonta ja vastuunkanto on hoidettu yrityksessä ja kuinka esimerkiksi henkilökuntaa koulutetaan rahanpesun vastaiseen työhön. Riskiarvio täytyy löytyä kaikilta ilmoitusvelvollisilta.
Tietojen säilyttämisen vaatimus on ristiriidassa GDPR:n kanssa
Rahanpesulaki määrää, että tiedot, jotka ilmoitusvelvollinen kerää asiakkaistaan rahanpesun valvontaa varten, on säilytettävä viisi vuotta asiakassuhteen päättymisen jälkeen. Laki ei tee poikkeusta yksityishenkilön kohdalla.
Tämä aiheuttaa ristiriidan GDPR:n vaatimusten kanssa, joka vaatii, että tiedot on poistettava asiakkaan pyynnöstä. Käytännössä harva asiakastietojärjestelmä pystyy erottelemaan säilytettäviä tietoja poistettavista.
Käytännössä tämä johtaa siihen, että paineet uusien järjestelmien hankkimiseen kasvaa. Järjestelmäpuolen palveluntarjontaa on olemassa suuremmalle finanssisektorille, mutta pienemmässä päässä joudutaan turvautumaan toistaiseksi kotikutoisiin ratkaisuihin.
Asiakkaan tunnistamisessa käytettävät prosessit tulee suunnitella huolella
Lain vaatimukset tulevat työllistämään ilmoitusvelvollisia vielä kuluvan vuoden aikana, kun valvovan viranomaisen resurssit antavat myöten. Tällä hetkellä ilmoitusvelvollisille järkevintä on suunnitella huolella prosessit, joita asiakkaan tuntemisessa ja tunnistamisessa käytetään. Huonoimmassa tapauksessa prosessi ei täytä lain vaatimuksia ja kesken projektin huomataan olennaisia puutteita, joiden vuoksi joudutaan palaamaan lähtöpisteeseen.
Hyvin suunniteltu ja toteutettu prosessi säästää aikaa ja vaivaa.
Mietityttääkö rahanpesulaki? Ota yhteyttä, mietitään yhdessä!
