Riskijuhtimine

Meie kogemus: peamised puudused rahapesu tõkestamisel

Riin Veidenberg Riin Veidenberg

2018. aastal jõustunud rahapesu ja terrorismi tõkestamise seadus (RahaPTS) tõi võrreldes varasemaga kaasa mitmeid muudatusi nõuetes, mille täitmisega on meie hinnangul paljudel kohustatud isikutel jätkuvalt probleeme.

Grant Thornton Balticu riskijuhtimisteenuste nõustajate kogemus rahapesu ja terrorismi tõkestamisega seotud auditite läbiviimisel eelkõige Finantsinspektsiooni järelevalve all olevates asutustes näitab, et vead, mille suhtes eksitakse, on valdavalt sarnased.

Keda seadus puudutab?

Rahapesu ja terrorismi rahastamise tõkestamisega peavad tegelema kõik ettevõtted ja asutused, kellel on selleks seadusest tulenev kohustus – finantssektoris tegutsevad ettevõtted, hasartmängu korraldajad, kinnisvaravahendajad, kauplejad, väärismetalli kokkuostjad ja hulgimüüjad, audiitorid, raamatupidamisteenuse pakkujad, nõustamisteenuste pakkujad, pandimajad, notarid, advokaadid jpt.

Tegelikult puutuvad seadusest tulenevate nõuetega kokku kõik, kes ise ei ole seaduse mõistes kohustatud isikud, aga kel on tavapärase äritegevuse raames kokkupuuteid teiste kohustatud isikutega. Näiteks pankadega, kes võivad küsida koostööpartnerite ja raha liikumise kohta.

Puudub riskipõhine lähenemine

Rahapesu ja terrorismi rahastamise riski juhtimine peaks tähendama riskipõhist lähenemist hoolsusmeetmete täitmisel ning arvestama ettevõtte majandustegevusest (nt pakutavatest teenustest või klientidest) tulenevate riskidega. Riskipõhine lähenemine tähendab seda, et ettevõte fokuseerib oma tegevuse riskantsematele klientidele, valdkondadele vms, mis aitab ettevõtte ressursse tõhusamalt kasutada.

Selleks, et riskipõhist lähenemist rakendada, peab ettevõte hindama oma tegevusega seotud riske minimaalselt neljas kategoorias (klientide, teenuste-toodetega, geograafilise asukoha ning suhtlus- ja vahenduskanalitega seotud riskid). Tegelikkuses mitmed ettevõtted seda nõuet ei järgi. Isegi kui riskide hindamisega seotud ametlik dokumentatsioon (riskihinnang, protseduurireeglid) on esmapilgul korrektne, siis praktikas klientidele riskiprofiili määramisel seadusest tulenevate minimaalsete riskikategooriatega ei arvestata. Samuti ei ole paljudes ettevõtetes selge, kuidas kujuneb kliendi riskiprofiil ja riskiaste (suure, tavapärase, väikese riskiga klient), kui nelja riskikategooria lõikes esineb hinnangutes erisusi. Seega ei ole ka riskipõhise lähenemise alused alati paigas.

Kas teie ettevõttes määratakse kõigile klientidele riskiaste, võttes arvesse vähemalt nelja seadusest tulenevat riskikategooriat? Kas kliendi riskiastme määramine on kooskõlas kehtiva riskihinnangu ja protseduurireeglitega? Kas kliendi suhtes rakendate neid hoolsusmeetmeid, mis on kooskõlas tema riskiastmega? Need on küsimused, millele peaks esmalt vastama, et hinnata, kas on loodud eeldused riskipõhise lähenemise rakendamiseks.

Rahapesu sise-eeskirjad ei peegelda tegelikku praktikat

Ettevõtted ja asutused, kes on kohustatud oma tegevuses järgima RahaPTS-i, peavad koostama endale rahapesu ja terrorismi rahastamise ennetamist reguleerivad protseduurireeglid. Protseduurireeglid peavad sisaldama infot, kuidas toimub ettevõtte tegevusega seotud rahapesu ja terrorismi rahastamisega seotud riskide juhtimine ja maandamine ehk RahaPTS-i järgimine praktikas.

Sageli ostetakse valmiskujul protseduurireeglid õigusbüroodelt sisse, mistõttu on need väga üldised, seadusest kopeeritud ega kirjelda ettevõtte tegelikku praktikat. Väliste spetsialistide (juristid, siseaudiitorid, rahapesu tõkestamise eksperdid) kaasamine protseduurireeglite koostamisse on väga mõistlik ja tervitatav, kuid seejuures on oluline jälgida, et lisaks seadusest tulenevatele nõuetele vastaksid protseduurireeglid ettevõtte spetsiifikale ja oleksid lihtsasti mõistetavad.

Kas teie ettevõtte protseduurireeglid kirjeldavad selgelt ja arusaadavalt, kuidas näiteks toimub kliendi identifitseerimine ja tema tegeliku kasusaaja tuvastamine? Kas inimene, kes loeb protseduurireegleid, teab, mida teha, kui riskihinnang näitab, et tegemist on suure riskiga kliendiga? Kui ei, siis soovitame oma protseduurireeglid selle pilguga üle vaadata, kas need on ka praktikas kasutatavad.

Riskihinnang ja riskiisu ei ole vastavuses seaduse nõuetega

On üsna tavaline, et ettevõtte riskihinnang ja riskiisu ei ole vastavuses seaduses toodud nõuetega. Samuti on rahapesuga seotud dokumentatsioon  omavahel nõrgalt seotud.

Meie kogemus näitab, et enamik kohustatud isikutest on koostanud endale seadusest tuleneva kohustusliku riskihinnangu ja riskiisu dokumendi. Kuigi dokumentatsioon on loodud, siis peaaegu alati esineb selles puudujääke ning täidetud pole RahaPTS-i § 13 kirjeldatud nõuded.

Riskihinnang on aluseks riskijuhtimise mudeli, sh lihtsustatud ja tugevdatud hoolsusmeetmete loomisele, mis on tavaliselt detailsemalt kirjeldatud protseduurireeglites. Riskihinnang, riskiisu ja rahapesu protseduurireeglid peaksid moodustama ühtse terviku, millest selgub, missugused on ettevõtte tegevusega seotud riskid, milliseid riske ollakse valmis võtma ja kuidas toimub nende maandamine. Kuid praktikas see alati nii ei ole.

Kas teie ettevõtte riskihinnangus on kirjas, missugused teie ettevõtte pakutavatest toodetest või teenustest on seotud suurema ja väiksema rahapesu riskiga? Kas riskiisu puhul on fikseeritud, kui palju ja kellele olete valmis oma tooteid ja teenuseid pakkuma ning missuguseid kliente te ei teeninda?

Hoolsusmeetmeid ei järgita või puudub selle kohta kontroll-jälg

Kohustatud isikud peavad kasutama hoolsusmeetmeid (nt kliendi või tema esindaja identifitseerimine, tegeliku kasusaaja tuvastamine, isiku riikliku tausta kontroll jne). Meie senine kogemus näitab, et isegi kui protseduurireeglites on selgelt kirjeldatud klientide suhtes rakendatavad hoolsusmeetmed, siis praktikas neid ei järgita või järgitakse osaliselt: näiteks on isiku riiklikku tausta väidetavalt kontrollitud, kuid selle kohta ei ole salvestatud Google’i otsingu ega mõne muu sõltumatust allikast tehtud päringu tulemust, mis seda tõendaks. Kui ärisuhte loomisel on hoolsusmeetmete järgimine veel heal tasemel, siis praktiliselt alati esineb puudujääke ärisuhte kestel seire osas.

Kas teie ettevõttes järgitakse praktikas hoolsusmeetmeid nii, nagu need on kirjas teie protseduurireeglites? Et seda hinnata, soovitame läbi vaadata ärisuhte loomise ja seire protsessi tervikuna ning dokumenteerida leiud. Kui tunnete, et jääte vastavuse hindamisel hätta, soovitame kaasata valdkonna eksperdid. Nemad oskavad hinnata nii kehtestatud protseduurireeglite vastavust seadusele kui ka teie ettevõtte praktika vastavust nii RahaPTS-ist kui ka teie protseduurireeglitest tulenevatele nõuetele.

Protsessid on aja- ja ressursimahukad, puudub automatiseeritus

Seadus toob välja nõuded, mida kohustatud isikud peavad oma tegevuse käigus järgima, kuid viisi selle rakendamiseks valib igaüks ise. Meie kogemus näitab, et sageli on rahapesu ja terrorismi rahastamise ennetamisega seotud protseduurid väga aja- ja inimressursi mahukad, kuna palju kliendi taustakontrolliga seotud infot kogutakse käsitsi. Näiteks kliendi riikliku tausta ja esindusõiguse kontrollimiseks tehakse päring vastavast andmebaasist või veebilehelt, salvestatakse päringu tulemus eraldi faili ja heal juhul uuendatakse seda teatud regulaarsusega.

Samal ajal ettevõtted, kes on integreerinud automaatsed päringud oma  kliendihaldusprogrammiga, teevad sama analüüsi automaatselt kliendi nime programmi sisestamisel, uuendavad seda regulaarselt (seire aspekt) ning programm saadab eraldi teavitusi, kui kliendi andmetes on muutusi (nt muutub esindusõigus). Automatiseerimist saab ja võiks kasutada väga paljudes rahapesu ennetamisega seotud protsessides (nt kliendi riskiastme määramine, riikliku tausta, sanktsioonide, tegeliku kasusaaja, esindusõiguse kontroll, andmete uuendamine, dokumendi kehtivuse kontroll), kuid paljud ettevõtted on kas teadmatusest või soovist IT-lahenduste arvelt kokku hoida jätnud selle tegemata. On selge, et kõiki protsesse ei saa automatiseerida, kuid siiski tuleks endalt küsida, mitu inimest tegeleb regulaarselt selliste RahaPTS-ist tulenevate nõuete täitmisega, mida saaks automatiseerida?

Kui vajate abi, küsige meilt nõu!

Ettevõtted ja asutused, kelle tegevus eeldab RahaPTS-i nõuete järgimist, peavad oma praktika kujundama vastavalt oma tegevusega kaasnevatele riskidele, kuid seejuures on oluline tagada vastavus ka kehtivale RahaPTS-ile. Kui mõni eelpool kirjeldatud puudujääkidest on iseloomulik ka teie ettevõttele, soovitame oma rahapesu ennetamisega seotud dokumentatsioon ja protseduurid värske pilguga üle vaadata ja vajadusel kaasata ka Grant Thornton Balticu riskijuhtimisteenuste nõustajad.

Võtke meiega ühendust ja räägime lähemalt Teie organisatsioonist ning meie riskijuhtimise ja siseauditi teenuse võimalustest!

Tutvuge seotud teenustega: