Päivitetty: 2. helmik. 2024
Kirjanpitolaki on vuodesta 2016 velvoittanut suurimmat pörssiyhtiöt julkaisemaan kestävyysraportointiaan. Eilen 28.9.2023 annettu hallituksen esitys esittää kestävyysraportointidirektiivin täytäntöönpanemiseksi, että raportointivelvollisuus laajenisi portaittain kaikkiin pörssiyhtiöihin ja suuriin yksityisiin osakeyhtiöihin.
Hallituksen esityksellä ehdotetaan muutettavaksi muun muassa kirjanpitolakia, tilintarkastuslakia, osakeyhtiölaki ja rikoslakia.
Tässä kirjoituksessa kuvaamme ehdotuksen pääelementtejä siitä, mitä kestävyysraportointi on ja kuka sen piiriin kuuluu.
Mitä on kestävyysraportointi?
Kestävyysraportointi tarkoittaa yrityksen velvollisuutta raportoida ympäristöä, työntekijöitä, ihmisoikeuksia sekä korruption ja lahjonnan torjuntaa koskevaa toimintaansa. Kestävyysraportointi perustuu Euroopan unionin Vihreän kehityksen ohjelmaan (ns. European Green Deal), jolla kasvihuonekaasujen nettopäästöistä pyritään pääsemään eroon vuoteen 2050 mennessä samalla tavoitellen kestävää talouskasvua.
Kestävyysraportointi perustuu sekä yhtiön itselleen asettamiin aikasidonnaisiin tavoitteisiin ja niiden toteutumisen seuraamiseen että komission raportointistandardeihin.
Kestävyysraportointi ei tarkoita ainoastaan yrityksen omien kestävyystietojen keräämistä, vaan raportointivelvollisen yhtiön on kerättävä kestävyystiedot myös omista tytäryhtiöistään sekä arvoketjuunsa kuuluvista yhtiöistä. Täten ehdotettu sääntely tulee välillisesti vaikuttamaan myös muihin kuin kestävyysrapontointivelvoitteen piirissä oleviin yhtiöihin.
Komission raportointistandardit
Kestävyysraportointidirektiivi velvoittaa Euroopan komission antamaan kestävyysraportointistandardit raportoinnin yhdenmukaistamiseksi. Standardit kattavat ympäristölliset, sosiaaliset ja yrityshallinnolliset (corporate governance) kokonaisuudet. Komissio julkaisi raportointistandardit 31.7.2023 koostuen 12 eri raportointistandarista. Standardit sisältävät yleiset standardit ja aihekohtaiset standardit. Yleiset standardit eivät itsessään määritä raportointikohdetta, vaan raportoinnin tapaa. Aihekohtaiset raportointiteemat edellyttävät raportointia siltä osin kuin ne soveltuvat yhtiön toimintaan. Raportointivelvollinen voi todeta jonkin kokonaisuuden osalta, että aihe ei ole sille olennainen eikä tätä aihetta siten raportoida. Raportointivelvollisen tulee kuitenkin esittää perusteet, miksi jokin kokonaisuus ei ole sille olennainen. Raportointivelvollisuuden laajuus ei edellä kuvatulla tavoin ole siten vapaaehtoinen tai yhtiön päätettävissä.
Raportointistandardeissa otetaan myös kantaa siihen, miten tuotantoketjuista johtuvia kestävyysaiheita tulee raportoida. Tämä voi mahdollisesti luoda välillisesti hallinnollista taakkaa myös raportointivelvoitteen ulkopuolella oleville yrityksille osana raportointivelvollisten tuotantoketjua. Hallituksen esityksessä todetaan, että tältä osin lainsäädännön vaikutusten seuranta on olennaista, jotta välilliset vaikutukset eivät johda alinhankkijoina toimivien pienten yritysten toiminnalle kohtuutonta hallinnollista taakkaa.
Digitaalisuusvaatimus
Raportointivelvollisuuteen kuuluu sisällöllisten vaatimusten lisäksi muodollisia säännöksiä. Raportoinnin vertailtavuuden vuoksi raportointi tulee toteuttaa yhdenmukaistetussa sähköisessä muodossa ja kaikki raportit tulee toimittaa keskitettyyn tiedotevarastoon.
Ketkä ovat raportointivelvollisia?
Raportointivelvollisuus laajenee nykyisistä suurista pörssiyhtiöistä kaikkiin pörssiyhtiöihin sekä suuriin osakeyhtiöihin. Hallituksen esityksen mukaisesti raportointivelvollisuuden ehdotetaan laajenevan direktiivin soveltamisalasta myös osuuskuntiin.
Suuri osakeyhtiö tarkoittaa yhtiötä, jonka osalta päättyneellä että sitä välittömästi edeltäneellä tilikaudella ylittyy vähintää kaksi seuraavista raja-arvoista:
taseen loppusumma 20.000.000 euroa;
liikevaihto 40.000.000 euroa; ja
tilikauden aikana palveluksessa keskimäärin 250 henkilöä.
Milloin kestävyysraportointivelvollisuus astuu voimaan?
Kestävyysraportointivelvollisuuden ehdotetaan astumaan voimaan portaittain. Ensimmäiset raportointivelvollisuudet alkavat 1.1.2024 ja sen jälkeen alkavia tilikausia koskien.
Ensimmäinen raportointivelvollisuus koskee suuria pörssiyhtiöitä, joilla on keskimäärin 500 työntekijää tilikauden aikana sekä pörssiyhtiöitä, jotka ovat emoyhtiö konsernissa, joka työllistää keskimäärin 500 työntekijää tilikauden aikana.
Raportointivelvollisuus alkaa 1.1.2025 ja sen jälkeen alkavia tilikausia koskien niissä suurissa osakeyhtiöissä, joiden raportointivelvollisuus ei ole alkanut 1.1.2024 alkavalta tilikaudelta.
Raportointivelvollisuus alkaa 1.1.2026 ja sen jälkeen alkavia tilikausia koskien sellaisten pörssiyhtiöiden osalta, joiden raportointivelvollisuus ei ole alkanut 1.1.2024 alkavalta tilikaudelta.
Huomasitko?
Hallituksen esityksessä esitetään kestävyysraportoinnin lisäksi, että tilinpäätösraportointi eli tilinpäätös ja toimintakertomus tulee jatkossa toimittaa digitaalisessa muodossa Patentti- ja rekisterihallitukseen.
Raportoinnin osalta on todettu, että liikesalaisuuslakia noudatetaan siinä määrin kuin se estä raportointistandardien mukaisten velvoitteiden tarkoitusten täyttymistä. Raportoinnin osalta voi nousta esiin rajanvetokysymyksiä eismerkiksi siitä, mikä on liikesalaisuuksien piiriin kuuluvaa tuotekehitystä ja kuinka paljon tällaista työtä tulee avata raportointivelvoitteiden nojalla.
Jediitta Tiainen Counsel
jediitta.tiainen@legalfolks.fi
044 23 52 115
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 25. syysk. 2024
Tässä artikkelissa tarkastelemme EU:n kyberturvallisuussääntelyä, erityisesti kyberturvallisuusdirektiiviä eli niin kutsuttua NIS 2 -direktiiviä (NIS 2 Directive) sekä kyberturvallisuusasetusta (Cybersecurity Act, CSA).
EU:n kyberturvallisuussääntely
Kyberturvallisuus on noussut EU:ssa viime vuosina keskeiseksi puheenaiheeksi, kun teknologian nopea kehitys on tuonut mukanaan uusia haasteita. Kasvaneiden kyberturvallisuusuhkien vuoksi EU:ssa on katsottu tarpeelliseksi luoda unionin yhteinen kyberturvallisuuden sääntelykehys, jolla vahvistetaan tiettyjen toimialojen toimijoiden tietoverkkojen ja -järjestelmien turvallisuusvalmiuksia sekä luodaan toimijoille raportointivelvollisuus.
Kyberturvallisuusasetus (CSA)
Voimaantulo ja soveltaminen | 27.06.2019 |
Kyberturvallisuusasetuksella luotiin Eurooppalainen kyberturvallisuuden sertifiointikehys (The European Cybersecurity Certification Framework), joka koskee ICT-tuotteita, palveluja ja prosesseja. Kyseessä on EU:n laajuinen yhtenäinen sertifiointijärjestelmä, joka koostuu teknisistä vaatimuksista, standardeista ja menettelyistä. Yhtenäisen järjestelmän avulla yritykset voivat osoittaa, että niiden tuotteet, palvelut ja prosessit täyttävät tietyt kyberturvallisuusvaatimukset. Sertifiointi on vapaaehtoista.
Sertifiointikehyksen ohella asetuksella vahvistettiin vuonna 2004 perustetun EU:n kyberturvallisuusviraston (The EU Agency for Cybersecurity, ENISA) asemaa. ENISA toimii NIS 2 -direktiivillä perustettavan Euroopan kyberkriisien yhteysorganisaatioiden verkoston (The European Cyber Crises Liaison Organisation Network, EU-CyCLONe) kattoelimenä. Verkostossa Suomea edustaa Liikenne- ja viestintäviraston Kyberturvallisuuskeskus.
Kyberturvallisuusdirektiivi eli NIS 2 -direktiivi
Voimaantulo | 16.01.2023 |
Soveltaminen | 18.10.2024 |
NIS 2 -direktiivi on EU:n tietoverkkojen ja -palveluiden kyberturvallisuudesta annettu direktiivi. Sitä edelsi samaa aihepiiriä koskenut NIS -direktiivi vuodelta 2016. NIS 2 -direktiivillä sääntelyä uudistettiin muun muassa laajentamalla sen soveltamisalaa ja sillä asetettavia velvoitteita. NIS 2 -direktiivin tavoitteena on varmistaa, että tietyt yhteiskunnan toiminnan kannalta kriittiset toimialat ovat riittävän suojattuja kyberuhkilta.
Direktiivin soveltamisalaan kuuluvat toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin niiden koon sekä niiden edustaman toimialan perusteella. Yleisluontoisesti voidaan todeta direktiiviä sovellettavan suuriin ja keskisuuriin yrityksiin, jotka toimivat kriittisen infrastruktuurin aloilla tai eräillä muilla, digitaalisia järjestelmiä hyödyntävillä toimialoilla.
Direktiivi asettaa soveltamisalaan kuuluville yrityksille runsaasti kyberuhkien tunnistamiseen ja niiden torjumiseen liittyviä velvoitteita. Vaadittuihin riskienhallintatoimenpiteisiin lukeutuvat muun muassa:
Riskinhallinta- ja kyberturvallisuuspolitiikkojen laatiminen
Prosessien laatiminen poikkeamien käsittelemiseksi
Toiminnan jatkuvuuden sekä toimitusketjujen turvallisuuden hallinta
Henkilöstön kouluttaminen
Lisäksi yritysten tulee ilmoittaa merkittävistä tietoturvapoikkeamista kansalliselle NIS-viranomaiselle sekä tietyissä tilanteissa palvelujensa vastaanottajille. Viranomaiselle ilmoittaminen tapahtuu todennäköisesti Kyberturvallisuuskeskuksen sivuston kautta. Perusmuotoinen ilmoitusmenettely on kolmivaiheinen:
1. | Ennakkovaroitus | 24h poikkeamasta |
2. | Poikkeamailmoitus | 72h poikkeamasta |
3. | Lopullinen raportti | 1kk poikkeamailmoituksesta |
Ilmoitusvelvollisen yrityksen tulee raportoida merkittävästä tietoturvapoikkeamasta 24h poikkeaman havaitsemisesta ja tehdä varsinainen poikkeamailmoitus 72h poikkeaman havaitsemisesta. Ennen lopullista raporttia viranomainen voi tarvittaessa pyytää yritykseltä väliraportin. Jos puolestaan poikkeamaa edelleen työstetään kuukauden kuluttua, voi yritys antaa lopullisen raportin sijaan edistymisraportin, ja kuukauden kuluessa poikkeaman käsittelyn valmistumisesta lopullisen raportin.
Sääntelyn noudattamisen merkitystä korostavat suhteellisen suuret sanktiot, joita yritykselle voidaan määrätä mikäli velvoitteita ei noudateta. Sanktioiden suuruuteen vaikuttaa se, luokitellaanko yritys keskeiseksi vai tärkeäksi toimijaksi. Kansallisessa lainsäädännössä keskeisten toimijoiden hallinnollisten sakkojen enimmäismäärän on oltava vähintään 10 milj. euroa tai 2 % yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi. Tärkeäksi toimijaksi luokiteltavien toimijoiden osalta vastaavat lukemat ovat 7 milj. euroa tai 1,4 % kokonaisliikevaihdosta. Jäsenvaltiot voivat myös halutessaan säätää valtuudesta määrätä uhkasakkoja.
Sääntelyn seuraavat askeleet
NIS 2 -direktiiviin perustuva kansallinen lainsäädäntöhanke on parhaillaan vireillä. Kansallisen sääntelyn sisältö täsmentyy, kun hallituksen esitys annetaan arviolta vuoden 2024 alussa. Toistaiseksi tiedossa ovat ainoastaan direktiivin asettamat vähimmäisvelvoitteet. Esimerkiksi sanktioiden suuruus ja mahdollisten uhkasakkojen säätäminen täsmentyvät myöhemmin. Seuraamme säädöshankkeen etenemistä.
EU:n kyberturvallisuuden sääntelykehykseen kuuluvat myös kyberkestävyysasetus (Cyber Resilience Act) sekä komission keväällä julkaisema ehdotus kybersolidaarisuusasetukseksi (Cyber Solidarity Act). Palaamme näihin tulevissa postauksissamme.
Lisätietoja aiheesta antaa:
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Aluehallintovirastolta on odotettu jo pidempään kiristyvää otetta rahanpesulain noudattamisen valvonnassa. Aluehallintovirasto on toistuvasti kertonut valvontahavaintojensa pohjalta, että esimerkiksi riskiarviot ovat laajalti puutteellisia, eikä niiden tarkoitusta täysin ymmärretä ilmoitusvelvollisten keskuudessa.
Vuonna 2022 toteutetut tarkastukset rahanpesulain noudattamisesta
Tähän asti ilmoitusvelvolliset ovat selvinneet nuhteluilla, mutta nyt suunta alkaa muuttua. Aluehallintovirasto kertoi keväällä vuoden 2022 tarkastuksista, joita tehtiin rahanpesulain noudattamiseen liittyen yhteensä neljäntoista ilmoitusvelvollisen osalta. Tarkastuksia tehtiin valtakunnallisesti eri toimialoille, kuten tilitoimistoihin ja välitysliikkeisiin. Valvonnan perusteella aluehallintovirasto arvioi rahanpesulakia koskevan yleisen tietoisuuden lisääntyneen ilmoitusvelvollisten keskuudessa. Lain noudattamisessa havaittiin kuitenkin merkittäviä puutteita.
Näistä neljästätoista tarkastuksesta kuusi johti sanktiohankintaan tarkastuksessa havaittujen puutteiden vuoksi. Aluehallintoviraston mukaan tyypilliset puutteet koskivat yritysten riskiarvioita sekä asiakkaan tuntemista ja tuntemistietojen säilyttämistä. Asiakkaan tuntemista koskevat puutteet koskivat esimerkiksi asiakkaan henkilöllisyyden todentamista tai tosiasiallisten edunsaajien selvittämistä.
Aluehallintovirasto on korostanut viimeisimmissä ulostuloissaan sitä, että tärkeimpien rahanpesulain velvoitteiden noudattamisen laiminlyöminen voi johtaa sanktioharkintaan silloinkin, kun laiminlyönnit kohdistuvat lähinnä yksittäisiin asiakkaisiin tai liiketoimiin. Käytännössä tämä tarkoittaa sitä, että vaikka yritys olisi huolehtinut lain velvollisuuksista pääasiallisesti riskiarvion ja järjestelmien muodossa, sanktioita voi seurata yksittäisiin asiakkaisiin kohdistuvista puutteellisista käsittelytavoista.
Rikemaksu asianajotoimiston toimitusjohtajalle
Ensimmäinen aluehallintoviraston sanktiomääräyksistä kohdistettiin asianajotoimiston toimitusjohtajalle henkilökohtaisesti toimitusjohtajan aseman perusteella. Voit lukea lisää tästä.
Asianajotoimiston riskiarvio arvioitiin puutteelliseksi ja työntekijöiden saama koulutus riittämättömäksi. Seuraamuksessa huomioitiin se, että kyseessä on ollut useampi laiminlyönti, mutta teko ei ollut tahallinen. Siitä johtuen asia ei kokonaisuutena arvioiden anna aihetta ankarampiin toimenpiteisiin.
Aluehallintoviraston mukaan asianajotoimiston rahanpesun riskiarviota, joka laaditaan rahanpesun ja terrorismin rahoittamisen riskien tunnistamiseksi ja arvioimiseksi ei ollut päivitetty sen vuonna 2017 toteutuneen laatimisen jälkeen. Riskiarvio ei myöskään kattanut toimiston kansainväliseen toimintaan liittyviä riskejä riittävällä tasolla. Asianajotoimisto oli itse ilmoittanut tarkastuksen yhteydessä, että riskiarvion päivittämiselle ei nähty tarvetta. Riskiarviossa oli yleisellä tasolla kuvattu toimiston toimintaympäristöön, toimeksiantoihin, asiakassuhteisiin sekä terrorismin rahoittamiseen liittyviä riskitekijöitä Suomen Asianajajaliiton malliasiakirjan pohjalta ja asiakaskäytäntöihin liittyvistä käytännön menettelyistä yrityksen omassa toimeksianto-oppaassa.
Toimisto ei ollut myöskään täyttänyt rahanpesulain vaatimuksia työntekijöille asetetusta koulutusvelvollisuudesta.
Rikemaksun suuruus oli 5 000 euroa. Aluehallintovirasto ei ole päivittänyt tietoa siitä, onko päätös saanut lainvoiman.
Rikemaksu autoliikkeelle
Aluehallintovirasto määräsi myöhemmin kesällä rikemaksun liike- tai ammattitoimintana tavaroita myyvälle ilmoitusvelvolliselle, joka on ottanut vastaan maksusuorituksena käteistä toisiinsa kytkeytyvinä suorituksina yhteensä vähintään 10 000 euroa tietyllä aikavälillä. Kyseinen yritys myy ajoneuvoja. Voit lukea lisää täältä.
Aluehallinnon suorittamassa valvonnassa havaittiin rahanpesulain noudattamiseen liittyviä puutteita riskiarvion laatimisen ja päivittämisen osalta, velvollisuudessa tuntea asiakkaansa ja yksilöidä ja arvioida rahanpesun riskejä, asiakkaan tunnistamisessa ja todentamisessa, epäilyttävää liiketoimea koskevan ilmoituksen tekemisessä sekä tuntemistietojen säilyttämisessä. Laiminlyöntien voidaan näin ollen todeta olleen moninaisia ja laajoja.
Tarkastuksessa kävi ilmi, ettei yritys ollut laatinut rahanpesun riskiarviota lainkaan. Aluehallintoviraston pyytäessä riskiarviota yhtiö oli ensin tyytynyt kuvailemaan sähköpostiviestissään rahanpesun ja terrorismin rahoittamisen riskejä olemattomaksi sillä perusteella, että se tekee edullisilla ajoneuvoilla pienimuotoista kauppaa. Aluehallintovirasto antoi ilmoitusvelvolliselle mahdollisuuden täydentää aiempaa vastaustaan sekä toimitti tiedot aluehallintoviraston ohjeisiin rahanpesulain noudattamisesta. Siitäkään huolimatta yritys ei täydentänyt materiaalejaan tai ottanut kantaa riskiarviota koskevaan asiaan.
Yrityksen katsottiin rikkovan rahanpesulain velvoitteita asiakkaan kanssa toteutetussa liiketoimessa, sillä kaupan yhteydessä asiakkaan edustajalta oli hyväksytty vanhentunut passi eikä toisen henkilön puolesta kauppaa hoitaneelta henkilöltä oltu pyydetty valtakirjaa. Näin ollen varsinaisen asiakkaan henkilöllisyyttä ei todennettu eikä myöskään varmistettu edustajan oikeutta toimia asiakkaan puolesta. Autokauppa oli maksettu käteisellä, mutta asiakkaalta ei ollut dokumentoitu kirjallista varojen alkuperäselvitystä eikä kiinnitetty huomiota siihen, että käteiskauppa sen suuruus huomioiden on tavanomaisesta poikkeavaa, jolloin asiakassuhteeseen tulisi kiinnittää erityistä huolellisuutta. Kokonaisuus huomioiden yrityksen olisi tullut tehdä ilmoitus rahanpesun selvittelykeskukselle epäilyttävästä liiketoimesta. Lisäksi yrityksellä on ollut puutteita asiakkaan tuntemistietojen keräämisen ja säilyttämisen osalta.
Rikemaksun suuruus oli 12 000 euroa eikä aluehallintovirasto ole päivittänyt tietoa siitä, onko päätös saanut lainvoiman.
Johtopäätöksiä rikemaksuista
Aluehallintoviraston määräämät rikemaksut antavat osviittaa siitä, miten viranomainen tulee jatkossa suhtautumaan puutteisiin.
Ensimmäisessä tapauksessa rikemaksu oli euromääräisesti pieni huomioiden yrityksen yli 24 miljoonan euron vuosittainen liikevaihto, mutta mielenkiintoista rikemaksun määrääminen henkilökohtaisesti yrityksen toimitusjohtajalle. Tämä korostaa sitä, että ilmoitusvelvollisen yrityksen johdon tulee suhtautua rahanpesulain asettamiin velvollisuuksiin vakavasti. Lisäksi toinen keskeinen huomio on se, että valmiit riskiarviopohjat eivät ole oikotie onneen ja ilmoitusvelvollisen työkalupakkina toimivaan riskiarvioon tulee paneutua yrityskohtaisesti. Tärkeää on myös päivittää riskiarviota ja näin ollen huolehtia sen ajantasaisuudesta. Aluehallintovirasto kommentoi lisäksi yrityksen sisäisiä ohjeistuksia ja henkilöstön koulutusta - näistä on jokaisen ilmoitusvelvollisen erittäin tärkeää huolehtia.
Toisessa tapauksessa rikemaksu oli suhteellisesti merkittävämpi, sillä kyseisen yrityksen liikevaihto on viime vuosina ollut puolen miljoonan molemmilla puolilla. Tarkastushavainnot olivat vakavammat ja rahanpesulain velvollisuuksiin suhtauduttiin yrityksen toimesta väheksyvästi. Tämä ratkaisu osoittaa, että jokaisella yksittäiselläkin asiakaskohtaamisella on merkitys yrityksen toimintaa arvioitaessa, Jokaiseen asiakkuuteen tulee suhtautua rahanpesulain vaatimusten mukaisesti.
Mitä seuraavaksi?
Aluehallintovirastolla on edelleen sanktioharkinnassa vuoden 2022 tarkastuksia, yllä mainitut tapaukset havaittiin jo vuonna 2021. Jäämme mielenkiinnolla odottamaan, mihin johtopäätöksiin aluehallintovirasto päätyy tuoreimpien tapausten osalta.
Muutama päivä ennen tämän kirjoituksen laatimista aluehallintovirasto tiedotti omalla sosiaalisen median tilillään Twitterissä, että veroneuvojien valvontakampanjassa riskiarvioiden laadinnassa havaittiin puutteita. Riskiarvioita koskevat puutteet ovat yleisiä joka alalla.
Nyt aluehallintovirasto on näyttänyt suhtautuvansa yhä tiukemmin puutteisiin ja tämä osoittaa jokaiselle ilmoitusvelvolliselle, että viimeistään nyt on aika toimia. Esimeriksi riskiarvion laatimisessa tulee ottaa huomioon laajasti eri lähteitä ja se tulee laatia yrityksen liiketoiminta, koko ja luonne huomioiden. Lisäksi yhtiöllä tulee olla asianmukainen sisäinen ohjeistus ja henkilöstön koulutuksesta tulee huolehtia. Näiden laatimisessa kannattaa ehdottomasti käyttää ammattilaista, joka on perehtynyt rahanpesun estämisen osa-alueelle. Kuten annetuista rikemaksuista voimme havainnoida, asia ei ole selkeä ja helppo edes juridiikan ammattilaisille.
Me Folksilla autamme mielellämme rahanpesulain asettamien velvollisuuksien noudattamisessa.
Inka Kärkkäinen
Counsel
+358 50 345 3195
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje.