Sisältöön

Vientivalvonta - SecMeter

Ohita valikko
Ohita valikko

Vientivalvonta

Yritysturvallisuus > Riskienhallinta
Vientivalvonta



Vientivalvonta tarkoittaa sotilaallisten tai sotilaskäytön mahdollisuuden omaavien tuotteiden, ympäristön tai terveyden kannalta vahingollisten tuotteiden, eräiden maataloustuotteiden tai kulttuurihistoriallisesti arvokkaiden tuotteiden ja esineiden maastaviennin sääntelyä. Erityistapauksissa vientivalvonta koskee myös taloussaarrossa olevaan maahan vietäviä tuotteita tai tiettyjä tuoteryhmiä.

Vientivalvonta on keskeinen osa yrityksen vastuullista ja lainmukaista liiketoimintaa. Se viittaa sääntelyyn ja käytäntöihin, joiden avulla valvotaan tuotteiden, teknologian ja palveluiden siirtoa maasta toiseen erityisesti silloin, kun kyseessä on kaksoiskäyttötuotteet (dual-use), puolustustarvikkeet tai korkean teknologian sovellukset.

Yrityksen näkökulmasta vientivalvonta ei ole pelkästään viranomaisvaatimus, vaan se on olennainen osa riskienhallintaa, kilpailukykyä ja brändin arvon säilyttämistä kansainvälisessä liiketoimintaympäristössä.

Yrityksen vientitoimintaa säätelevät useat kansalliset ja kansainväliset lait, kuten EU:n kaksoiskäyttöasetukset, YK:n turvallisuusneuvoston pakotteet, sekä kansalliset puolustustarvikelait. Näiden sääntöjen tarkoituksena on estää tuotteiden, teknologian ja osaamisen joutuminen vääriin käsiin, esimerkiksi asevalmistajien, terroristijärjestöjen tai pakotteiden alaisten valtioiden käyttöön.
Asia Tapauksia
Laiminlyönti vientivalvonnassa voi johtaa vakaviin seuraamuksiin: taloudellisiin sanktioihin, vientikieltoihin, rikosoikeudellisiin seuraamuksiin ja vakaviin mainehaittoihin. Maineen menetyksellä voi olla pitkäkestoisia vaikutuksia sijoittajasuhteisiin, asiakasluottamukseen ja yhteistyökumppanuuksiin. Esimerkiksi tapaus, jossa suomalainen yritys toimittaa tietämättään teknologiaa sotilaskäyttöön kolmannen osapuolen kautta, voi nousta median ja viranomaisten tarkasteluun silloinkin, kun virhe on tahaton.

Hallinnollisesta näkökulmasta vientivalvonnalla tarkoitetaan viennin ja yleensä myös kauttakuljetuksen luvanvaraisuuteen perustuvaa vientilupa- eli lisensiointimenettelyä, johon olennaisena osana liittyvät

  • vientitullaustoiminta ja
  • tullivalvonta.

Tullivalvonnalla tarkoitetaan tullitarkastusten ja muun vastaavan tullitoiminnan yhteydessä tapahtuvaa valvonnanalaisten tuotteiden viennin seurantaa. Vientivalvonnan piiriin kuuluvia tuotteita ovat:

  • aseet ja muu puolustusmateriaali
  • siviilikäyttöön tarkoitetut ampumatarvikkeet ja räjähdysaineet
  • ydinmateriaali
  • myrkylliset kemikaalit
  • vaaralliset jätteet
  • huumeiden lähtöaineet
  • kaksikäyttötuotteet.

Vientivalvontaan liittyviä kansainvälisiä sopimuksia ovat mm:

  • Ydinsulkusopimus 1968 (Treaty on the Non-Proliferation of Nuclear Weapons, NPT)
  • Kemiallisten aseiden täyskieltosopimus 1993 (Chemical Weapons Convention, CWC)
  • Biologisten aseiden täyskieltosopimus 1972 (Convention on the Prohibition of the Development, Production and Stockpiling of Bacteriological (Biological) and Toxin Weapons and on their Destruction, BWC)

Kansainväliset vientivalvontajärjestelyt

  • Wassenaarin järjestely (WA)
  • Australiaryhmä(AG), kemiallisten ja biologisten tuotteiden valvontajärjestely
  • Ohjusteknologian valvontajärjestely (MTCR)
  • Ydinalan aineiden, laitteistojen ja laitteiden vientivalvontajärjestely (NSG)

Kaksikäyttötuotteet
Kaksikäyttötuotteiksi kutsutaan tuotteita, jotka soveltuvat siviili- ja sotilaskäyttöön. Tuotteet ilmenevät EU:n vientivalvontajärjestelyissä sovituista luetteloista.

Kaksikäyttötuotteet kuuluvat kansainvälisen vientivalvontasopimuksen piiriin. Tavoitteena on estää joukkotuhoaseiden leviäminen kansainvälisin sopimuksin ja monenvälisellä vientivalvontaan liittyvällä yhteistyöllä.

Kaksikäyttötuotteita koskeva vientivalvontasopimus tunnetaan nimellä The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies. Vientivalvontasopimus laajeni 3.12.1998 koskemaan salausohjelmien vientimahdollisuuksia.

Sopimuksen mukaan yli 64 -bitin salausavaimilla toimivien ohjelmistojen vienti on luvanvaraista. Vientivalvonta koskee myös siviilikäyttöön tarkoitettuja salausohjelmistoja. Suomessa vientiluvat myöntää kauppa- ja teollisuusministeriö.

Neuvostoliitto perusti 1960-luvun lopulla kaksi mittavaa ohjelmaa länsimaisen teknologian hankintaan. Ensimmäisen ohjelman nimi oli VPK (Voennyi Promyshlennoi Komissii, Military Industrial Commission) ja sitä johti Neuvostoliiton puolustusteollinen komissio.

VPK-ohjelman tarkoituksena oli nostaa Neuvostoliiton asejärjestelmien ja puolustustarvikkeiden teknistä tasoa sekä parantaa teknisiä valmistusprosesseja. VPK-ohjelman johto koostui keskeisten aseteollisuudesta vastaavien ministeriöiden ylimmistä johtajista.

VPK hallinnoi kaikkien Neuvostoliiton aseiden ja puolustustarvikkeiden valmistusohjelmia, teknistä tasoa, suorituskykyä sekä valmistukseen liittyviä aikatauluja. Yhdysvaltain keskustiedustelupalvelu CIA ei ollut tietoinen VPK-ohjelman todellisista mittasuhteista.

Toisen ohjelman tavoitteena oli hankkia lännestä kaksikäyttötuotteita. Tätä ohjelmaa hallinnoi ulkomaankauppaministeriö ja Neuvostoliiton tiedustelupalvelut. Toimintatapana oli kiertää ja rikkoa kansainvälisiä sopimuksia ja vientivalvontasopimuksia.

Ohjelman avulla Neuvostoliitto säästi vuosittain satoja miljoonia dollareita. Yhdysvalloissa NSA (National Security Agency) sai selville, että neuvostoliittolaiset käyttivät pääasiallisina tiedonvälityskanavina Moskovaan kahta tutkimuskeskusta, joista yksi sijaitsi Wienissä ja toinen Helsingissä.

CoCom (Coordinating Committee on Multilateral Export Controls, Coordinating Committee for Western denial)
Kylmän sodan aikakauteen liittyvä läntisten teollisuusmaiden monenvälisen vientivalvonnan koordinointikomitea (CoCom). Komitean puitteissa pyrittiin rajoittamaan korkean teknologian vientiä Neuvostoliittoon ja sen liittolaismaihin. Puolueettomana maana Suomi ei voinut solmia CoCom –sopimusta. Suomen oli kuitenkin noudatettava vientirajoitusmääräyksiä USA:n painostuksesta.

Vientirajoitusten piiriin kuuluivat myös uudet ja käytetyt mikrotietokoneet (Industrial List). Suomessa sopimusrikkomusten tutkinta kuului supon toimialaan. Rajoitusten tavoitteena oli hidastaa itäblokin maiden teknologisen tason kehittymistä vaikeuttamalla uusimman tekniikan saamista ja soveltamista erityisesti sotilaalliseen käyttöön. Munitions List ja Atomic Energy List rajoittivat puolestaan sotilas- ja ydinteknologian tuotteiden vientiä.

CoCom-vientirajoituksista aiheutui ongelmia mm. Nokialle ja logistiikkayhtiö John Nurmiselle. Nokian osalta vaarantui sen tuotteille elintärkeiden komponenttien toimitus USA:sta. John Nurminen joutui puolestaan pahaan välikäteen, sen jouduttua CIA:n mustalle listalle.

Nurminen kuljetti mm. teollisuuden tuotteita Neuvostoliittoon. Kuljetukset sisälsivät myös vientikiellon alaisia tuotteita. CIA:lla oli tehokkaat painostuskeinot käytettävissä, jolla se sai teollisuusyritykset luopumaan Nurmisen logistiikkapalveluiden käytöstä. Mustalta listalta poispääsy kesti pitkään.

Nokia halusi osallistua Neuvostoliiton vanhentuneiden puhelinkeskusten korvaamiseen digitaalisilla puhelinkeskuksilla. Nokian toimittamat puhelinkeskukset olivat kuitenkin riippuvaisia amerikkalaisista komponenteista, jotka olivat vientikiellon alaisia.

Yhdysvaltain silloinen apulaispuolustusministeri Pentagonin ”pimeyden prinssiksi” kutsuttu Richard Perle paljasti Nokian ratkaisun vientikieltoasiassa. Nokia suostui yhteistyöhön Pentagonin kanssa. Yhteistyö tarjosi Nokialle pääsyn Neuvostoliiton markkinoille.

Nokia oli valmis toimittamaan CIA:lle dokumentaatiot Neuvostoliittoon toimitetuista puhelinkeskuksista ja tekemään puhelinkeskuksiin CIA:n esittämiä muutoksia. Neuvostoliiton näkökulmasta vakoiluun rinnastettava yhteistyö tarjosi USA:n toimesta Nokialle myös jonkinasteisen suosituimmuusaseman. Nokian tapaus on kuitenkin vain jäävuoren huippu siitä, miten CIA on painostanut ja painostaa edelleen myös muita globaaleja tietoliikenneinfrastruktuurin rakentajia ja tietoliikenneoperaattoreita.

KGB alkoi luonnollisesti heti epäillä, kuinka Nokia pystyi toimittamaan heille vientikiellon alaisia osia sisältäviä laitteita USA:n puuttumatta asiaan. KGB epäili, että keskuksiin oli asennettu salakuuntelukomponentteja tai keskusten toimintaa haittaavia dokumentoimattomia ohjelmistoja.

KGB pidätti yhden Nokian työntekijän kuulusteluita varten. Henkilön kerrottua pidätyksestä esimiehelleen tämä otti yhteyttä supoon. Supo kannusti henkilöä jatkamaan vaarallista yhteistyötä KGB:n edustajien kanssa ja raportoimaan tapahtumista supon vastavakoiluyksikölle.

Suomi neuvotteli USA:n kanssa vientikieltosopimukseen liittyvistä ongelmista kolmen vuoden ajan. Yhteinen näkemys saavutettiin lopulta heinäkuussa 1987, jolloin osapuolet allekirjoittivat asiasta sopimuksen. Sopimus tulee julkiseksi vuonna 2012. Lähde: (TV1, Ykkösdokumentti 7.12.2008)

CoCom lakkautettiin 31 päivänä maaliskuuta 1994, josta lähtien sen 1990-luvulla osittain karsittuja valvontalistoja on sovellettu ainoastaan kansallisella pohjalla. Suomi pyrki varmistamaan läntisen teknologian saannin noudattamalla CoCom -valvontaa idänkaupassa, vaikkakaan ei ollut juridisesti sitoutunut noudattamaan sopimusta. Idänkaupan uudelleenjärjestelyihin liittyen Industrial List sisällytettiin vuonna 1992 Suomen vientivalvontalainsäädäntöön.

Vuonna 1993 ryhdyttiin CoCom -jäsenmaiden kesken neuvotteluihin sopimuksen korvaamiseksi jäsenpohjaltaan laajemmalla yhteistyöjärjestelyllä. Mukaan toivottiin myös Venäjää. Toiminta käynnistyi myöhemmin 28 maan (OECD-maat pois lukien Islanti ja Meksiko, Visegrad-maat ja Venäjä) kesken.

Järjestelyn virallinen nimitys on The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies. Toiminnan käynnistänyt ensimmäinen täysistunto pidettiin huhtikuun alussa 1996. Vientivalvonnan perustana olivat seuraavat joulukuussa 1995 sovitut alkuvaiheen toimintaperiaatteet (Initial Elements):

  • Uusitut valvontalistat (korkean teknologian kaksikäyttötuotteet sekä tavanomaiset aseet).
  • Edellisten suhteen noudatettavat ilmoitus- ja tiedonvaihtomenettelyt.
  • Pyrkimys menettelytapojen vähittäiseen laventamiseen (evoluutioperiaate).

Uusi järjestely kohdentuu erityisesti arkaluonteisten tai strategista merkitystä omaavien tuotteiden (esimerkiksi raskaiden aseiden tai aseiden valmistamiseen soveltuvien koneiden ja laitteiden) vientiin, joka suuntautuu epävakaalle (esim. Lähi-itä) alueelle tai alueella sijaitsevaan epävakautta aiheuttavaan yksittäiseen maahan.

Suomessa valmistettuja tuotteita (mm. pumppuja ja taajuusmuuntimia) on yritetty käyttää joukkotuhoaseiden kehittämisessä. Supon tietoon tulee vuosittain muutamia tapauksia, joissa Suomesta on yritetty ostaa joukkotuhoaseiden valmistukseen soveltuvia tuotteita. Vientilupia haetaan noin 300 vuodessa, joista noin 3 % saa kielteisen päätöksen.

Supon mukaan suomalaisia yrityksiä on yritetty harhauttaa peitejärjestelyillä. Tuotteita voidaan kierrättää esimerkiksi tytäryhtiöiden välillä. Yritykselle on saatettu kertoa, että tuotteet ovat menossa esim. Sveitsiin, mutta tosiasiallisesti ne jatkavat matkaa Euroopan ulkopuolelle. Tosiasiallisena määränpäänä on saattanut olla esimerkiksi Iran, Syyria, Pakistan tai Pohjois-Korea.

Tiedustelupalvelut pitävät rekistereitä mm. joukkotuhoaseita kehittävien ja tietoa käsittelevien tutkimuslaitosten palveluksessa olevasta henkilökunnasta. Suomessa supo on vuosien varrella evännyt myös tutkijoiden ja jatko-opiskelijoiden maahantulolupia, estääkseen joukkotuhoaseisiin liittyvän tietotaidon leviämistä.  Lähteet: (YLE TV1 uutislähetykset 9.5.2010 kello 09:00 ja 10:00, hs.fi 9.5.2010)
Tehtävälista
Johdon sitouttaminen ja vastuut

  1. Nimeä vientivalvonnasta vastaava henkilö, esimerkiksi Compliance Manager tai Export Control Officer.
  2. Määrittele selkeät roolit ja vastuut eri osastoille.
  3. Hyväksytä vientivalvontapolitiikka yrityksen ylimmässä johdossa.

Vientituotteiden ja -teknologioiden luokittelu

  1. Selvitä, kuuluuko tuotteita kaksoiskäyttöasetuksen tai puolustustarvikkeiden piiriin.
  2. Määritä vientituotteiden HS-koodit ja mahdolliset rajoitteet.
  3. Luokittele ohjelmistot ja digitaaliset palvelut (myös pilvipalvelut, siirrettävä data).

HS-koodit (Harmonized System Codes) ovat kansainvälinen luokittelujärjestelmä, jota käytetään tavaroiden tunnistamiseen ja luokitteluun tulliselvityksessä. HS-koodi on vientituotteen virallinen "tullinimike", jota käytetään tulliselvityksessä, lupien arvioinnissa ja kaupan tilastoinnissa. Oikean koodin käyttö on välttämätöntä vientivalvonnan ja sääntöjen noudattamisen kannalta.

Asiakas- ja kohdemaatarkistukset

  1. Arvioi, tarvitseeko vienti erillisen luvan (esim. TUKES, Ulkoministeriö, Traficom).
  2. Hae vientiluvat ajoissa ja tallenna ne dokumentoidusti.
  3. Varmista lupien kattavuus myös jälleenvientitilanteissa.
  4. Tee taustaselvitys asiakkaasta.
  5. Varmista lopullinen käyttäjä ja käyttötarkoitus.
  6. Tarkista säännöllisesti pakotelistat (esim. EU, YK, USA).

EU:n pakotelistat löytyvät virallisilta sivuilta, kuten EU Sanctions Map, komission konsolidoitu lista ja Ulkoministeriö. Yrityksen kannattaa hyödyntää näitä jatkuvasti ja yhdistää ne sisäiseen compliance-prosessiin riskien hallinnan varmistamiseksi.

Prosessien ja dokumentaation varmistus

  1. Laadi vientivalvontaprosessi kirjallisesti (Internal Compliance Program, ICP).
  2. Tallenna vientiin liittyvät dokumentit: tilaukset, sopimukset, vientiasiakirjat.
  3. Käytä vientivalvontaa tukevia ohjelmistoja (esim. asiakasrekisterien tarkistustyökalut)

Koulutus ja osaamisen kehittäminen

  1. Järjestä vuosittainen koulutus vientivalvonnasta henkilöstölle (erityisesti myynti, logistiikka, tuotekehitys, ICT).
  2. Seuraa säännösmuutoksia ja päivitä ohjeet tarpeen mukaan.
  3. Laadi tukimateriaalia (esim. tarkistuslistat, käyttöoppaat, esimerkit).

Valvonta ja jatkuva parantaminen

  1. Toteuta säännöllisiä sisäisiä auditointeja vientiprosesseista.
  2. Seuraa mahdollisia rikkomuksia tai läheltä piti -tilanteita.
  3. Tee korjaavat toimenpiteet ja dokumentoi ne.

Raportointi ja seuranta

  1. Raportoi vientivalvonnan tilasta säännöllisesti johdolle.
  2. Valmistaudu viranomaisvalvontaan ja tarkastuksiin.
  3. Pidä vientitietoja saatavilla vähintään viiden vuoden ajan (velvoite EU:ssa).
Pakotelistojen seurantaprosessi
Vastuut ja organisointi

  1. Nimeä vastuuhenkilö tai -tiimi pakotteiden seurantaan (esim. Compliance Officer).
  2. Määrittele sisäinen prosessi, miten pakotelistoja seurataan, tulkitaan ja päivitetään.

Tietolähteiden määrittely

  1. Tukeudu virallisiin lähteisiin:

  • EU Sanctions Map.
  • Euroopan komission konsolidoitu pakotelista.
  • Ulkoministeriön ja Tullin tiedotteet.
  • Seuraa myös OFAC-, YK-, ja UK-pakotelistoja, jos liiketoiminta ulottuu näihin alueisiin.

Tarkastusmenettely asiakas- ja toimittajarekisteriin

  1. Toteuta asiakkaiden ja kumppaneiden taustojen tarkistus pakotelistoja vasten (KYC).
  2. Tarkista kaikki uudet yhteistyötahot ennen sopimusten tekemistä.
  3. Ota käyttöön automaattinen screening-järjestelmä (esim. World-Check, Dow Jones Risk & Compliance).

KYC (Know Your Customer) eli tunne asiakkaasi on prosessi, jossa yritys kerää ja tarkistaa asiakkaidensa taustatiedot estääkseen rikollista toimintaa, kuten:

  • rahanpesua
  • terrorismin rahoitusta
  • pakotteiden rikkomista

Toimintamalli pakotteiden ilmetessä

  1. Laadi kirjallinen ohjeistus, mitä tehdään, jos toimija löytyy pakotelistalta:
  2. Kaupan keskeytys
  3. Sisäinen ilmoitus ja dokumentointi
  4. Viranomaisilmoitus (Tarvittaessa Ulkoministeriölle)
  5. Määrittele nopea eskalointiketju.

Säännöllinen auditointi ja seuranta

  1. Toteuta vuosittainen auditointi asiakas- ja toimittajarekisteriin.
  2. Dokumentoi kaikki tarkastukset ja mahdolliset havainnot.
  3. Päivitä tarkistusprosessit muutosten perusteella.

Koulutus ja tietoisuus

  1. Järjestä koulutusta myynnille, viennille, hankinnalle ja johdolle, mitä ovat pakotteet ja miten ne vaikuttavat liiketoimintaan sekä miten pakotelistoja tarkistetaan.
  2. Laadi selkeät sisäiset ohjeet henkilöstölle.

Dokumentointi ja jatkuva parantaminen

  1. Tallenna kaikki tarkastuspäätökset ja lähteet (audit trail).
  2. Seuraa sääntelymuutoksia (esim. CSRD:n tai ESG:n vaikutukset).
  3. Arvioi prosessin toimivuus vuosittain.


KYC -prosessi
KYC-politiikan (Know Your Customer) ja vastuiden määrittely

  1. Laadi kirjallinen KYC-politiikka ja hyväksytä se yrityksen johdossa.
  2. Määrittele vastuut ja roolit (esim. KYC-vastaava, compliance officer).
  3. Määrittele riskiperusteinen lähestymistapa (RBA): matala, keski, korkea riski.

Asiakastietojen keruu (Customer Due Diligence, CDD)

  1. Tunnista asiakas (henkilötiedot tai yritystiedot).
  2. Tarkista tietojen oikeellisuus virallisista lähteistä (esim. kaupparekisteri, passit, todistukset).
  3. Kerää tiedot asiakkaan:

  • henkilöllisyydestä tai rekisteritiedoista (Y-tunnus, omistajat).
  • liiketoiminnan luonteesta ja tarkoituksesta.
  • pääomarakenteesta ja omistajista (UBO Ultimate Beneficial Owner).

Taustojen tarkistaminen

  1. Tarkista onko asiakas pakotelistoilta (EU, YK, OFAC, UK Sanctions List), poliittisesti vaikutusvaltaiset henkilöt (PEP), negatiivisista uutisista.
  2. Käytä luotettavaa valvonta- ja seulontajärjestelmää, esimerkiksi World-Check, Dow Jones.

Riskiluokituksen määrittely

  1. Arvioi asiakkaan riski, Maa- ja toimialariskit (esim. korkean riskin maat)
  2. Epätavalliset maksutavat tai liiketoimintamallit
  3. Dokumentoi asiakkaan riskiluokitus ja perustelut.

Sopimuksellinen sitouttaminen

  1. Pyydä asiakkaalta vahvistus tietojen oikeellisuudesta.
  2. Laadi asiakassopimuksiin ehdot liittyen:

  • identiteetin varmentamiseen
  • tietojen päivittämiseen
  • väärinkäytösten ehkäisyyn

Tietojen säilytys ja dokumentointi

  1. Säilytä KYC-dokumentit vähintään 5 vuotta tai viranomaisvaatimusten mukaan.
  2. Huolehdi tietosuojasta ja GDPR:n noudattamisesta.
  3. Pidä kirjaa tarkistuksista ja seulontatuloksista.

Jatkuva seuranta ja päivitys

  1. Arvioi asiakkaan toimia ja tapahtumia jatkuvasti.
  2. Päivitä KYC-tiedot säännöllisesti tai muutostilanteissa (esim. omistajanvaihdos).
  3. Monitoroi epätavallisia tapahtumia ja ilmoita epäilyttävistä liiketoimista.

Koulutus ja sisäinen valvonta

  1. Kouluta henkilöstö ymmärtämään KYC-prosessin merkitys ja vaiheet.
  2. Toteuta säännöllisiä auditointeja ja sisäisiä tarkastuksia.
  3. Raportoi poikkeamat johdolle ja tarvittaessa viranomaisille.
Ohita valikko
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön