Building a robust sanctions compliance program
In today’s rapidly evolving sanctions landscape, regulatory bodies are continuously enforcing new measures, making compliance increasingly complex. In May 2025, Finland will implement the new EU sanctions directive1, highlighting the need for companies to establish and maintain effective sanctions compliance framework. The directive introduces stringent penalties for non-compliance, affecting both natural and legal persons. Consequently, it’s imperative for companies in Finland to proactively strengthen their sanctions compliance strategies to mitigate risks arising from sanctions exposure and ensure adherence to regulatory requirements.
What are the key elements then for companies to consider when building and maintaining a robust sanctions framework?
When constructing and maintaining a sanctions compliance framework, companies must consider several key elements to ensure effectiveness and adaptability to their specific business operations and risk landscape.
It’s crucial to recognize that a one-size-fits-all approach is inadequate; the framework must be tailored to the unique needs of the organization, whether it operates globally or solely has domestic operations.
Awareness of sanctions risk is fundamental to this process.
- Governance and Oversight: Effective governance is paramount. The Board and Executive Management must emphasize the importance of sanctions compliance and foster a culture of compliance throughout the organization. This involves setting clear roles and responsibilities and clear expectations, and ensuring adequate oversight mechanisms are in place.
- Risk Assessment: A thorough understanding of the regulatory and risk landscape is essential. This includes, assessing sanctions risk exposure through customers, suppliers, the supply chain, and products. Evaluating the risk of sanctions circumvention, such as products inadvertently reaching sanctioned countries or individuals, is crucial. For example, assessment of exposure of high-risk countries of circumvention should be included. In our next blog post, we will delve deeper into the importance of conducting proper sanctions risk assessment on a frequent basis.
- Internal Controls: Implementing robust internal controls to address identified risks is crucial. These controls can be automated or manual, depending on the nature of the risk and the resources available. Automation can enhance efficiency, allowing for staff to focus on more complex compliance tasks.
- Testing and Auditing: Performing regular testing and auditing of the sanctions compliance program is necessary to evaluate the effectiveness of the program and to rectify any gaps or weaknesses. This ensures that sanctions compliance program remains effective and responsive to evolving sanctions regulations.
- Training: Continuous training of staff is essential. Tailored training should be provided to employees and functions specific for their roles and responsibilities.
The new EBA guideline2, which will apply from 30 December 2025, mandate financial institutions to implement robust governance framework, policies, and procedures to ensure compliance with EU and national restrictive measures. These guidelines emphasize the importance of regular assessments, effective oversight, and tailored training to mitigate risks and prevent circumvention. Other industries can draw inspiration from these guidelines and the OFAC compliance commitments framework3, often viewed as best practice when it comes to sanctions compliance.
By integrating these elements, companies can establish a robust sanctions compliance framework that mitigates risks effectively, ensuring resilience in a complex sanctions landscape.
Writers: Paula Taskula & Jennifer Holmberg
__________________________________
[1] EU new Sanctions Directive
[2] EBA Guidelines
[3] OFAC’s Framework for Sanctions Compliance
[4] 2025-1-7_Gls on restrictive measures (EBA GL 2024 14 and EBA GL 2024 15)_FI
Toimivan viitekehyksen rakentaminen pakotteiden noudattamista varten
Nykyisessä nopeasti muuttuvassa pakoteympäristössä sääntelyelimet ottavat jatkuvasti käyttöön uusia toimenpiteitä, mikä tekee pakotteiden noudattamisesti haastavaa. Toukokuussa Suomessa tulee panna täytäntöön uusi EU:n pakoterikosdirektiivi1. Direktiivin myötä jokaisen yrityksen tulee varmistaa, että heillä on toimivat pakoteriskienhallintaprosessit. Direktiivi koventaa rangaistuksia pakotteiden noudattamatta jättämisestä, ja rikoksiin sovelletaan oikeushenkilön rangaistusvastuuta. Tästä syystä on välttämätöntä, että yrityksillä on asianmukainen ja ajantasainen pakoteriskienhallintastrategia, jotta voidaan noudattaa sääntelyvaatimuksia ja varmistua siitä, ettei pakoterikkomuksia aiheudu.
Mitkä ovat sitten ne keskeiset elementit, jotka yritysten tulisi ottaa huomioon suunnitellessaan ja ylläpitäessään toimivaa viitekehystä pakotteiden noudattamiselle?
Yritysten on huomioitava useita elementtejä varmistuakseen siitä, että viitekehys pakotteiden noudattamiselle on tehokas, sopiva liiketoiminnan tarpeisiin sekä huomioi riskiympäristöä.
Viitekehys tulee räätälöidä sopivaksi jokaiselle organisaatiolle mukaan lukien globaalit ja lokaalit erityistarpeet.
- Hallinto ja valvonta: Tehokas hallinto on ensiarvoisen tärkeää. Hallituksen ja johtoryhmän on korostettava pakotteiden noudattamisen merkitystä ja edistettävä pakotetietämystä koko organisaatiossa. Jotta pakoteriskejä voidaan hallita asianmukaisesti, on tärkeä määrittää selkeät roolit ja vastuut, odotukset sekä valvontamekanismi pakoteriskienhallinnalle.
- Riskiarvio: Sääntely- ja riskiympäristön kokonaisymmärrys on välttämätöntä. Tämä sisältää pakoteriskien arvioinnin asiakkaiden, liikekumppaneiden, toimitusketjujen sekä tuotteiden osalta. Myös mahdolliset riskit pakotteiden kiertämisestä tulee huomioida. Tällä tarkoitetaan tuotteiden tai palveluiden tahatonta päätymistä pakotteiden kohteina olevien tahojen hallintaan. Arviossa tulee ottaa huomioon muun muassa maat, joihin kohdistuu korkea riski pakotteiden kiertämiseen. Seuraavassa blogikirjoituksessamme käsittelemme tarkemmin riskiarvion tärkeyttä tehokkaan pakoteriskienhallinnan perusteena.
- Sisäiset kontrollit: On tärkeää implementoida asianmukaiset sisäiset kontrollit tunnistettujen riskien huomioimiseksi. Kontrollit voivat olla automatisoituja tai manuaalisia, riippuen riskin luonteesta ja käytettävissä olevista resursseista. Automaatio voi parantaa tehokkuutta, jolloin asiantuntijat voivat keskittyä haastavimpiin työtehtäviin.
- Testaus ja auditointi: Pakotejärjestelmän säännöllinen testaus ja auditointi on tarpeen järjestelmän tehokkuuden arvioimiseksi ja mahdollisten puutteiden tai heikkouksien korjaamiseksi. Tämä varmistaa, että järjestelmä on tehokas ja reagoi muuttuviin pakotesääntelyihin.
- Koulutus: Jatkuva henkilöstön koulutus on välttämätöntä. Räätälöityä koulutusta tulisi tarjota työntekijöille heidän rooliensa ja vastuidensa mukaisesti.
Uudet EBA:n4 30. joulukuuta 2025 voimaan tulevat ohjeet velvoittavat rahoituslaitoksia implementoimaan toimivan hallintorakenteen sekä asianmukaset politiikat ja toimintatavat varmistaakseen EU:n ja kansallisten rajoittavien toimenpiteiden noudattamisen. Nämä ohjeet korostavat säännöllisen arvioinnin, tehokkaan valvonnan ja räätälöidyn koulutuksen tärkeyttä riskien vähentämiseksi ja pakotteiden kiertämisen estämiseksi. Vaikka ohjeet on ensisijaisesti laadittu rahoituslaitoksille, sopivat ne erinomaisesti myös muille toimialoille, kuten myös OFAC:n ohjeistus pakotteiden viitekehyksen laatimisesta3. Integroimalla nämä elementit yritykset voivat luoda asianmukaisen perustan pakotteiden riskienhallinnalle sekä varmistaa resilienssin monimutkaisessa pakoteympäristössä.
Kirjoittajat: Paula Taskula & Jennifer Holmberg
_____________________________________
[1] EU new Sanctions Directive
[2] EBA Guidelines
[3] OFAC’s Framework for Sanctions Compliance
[4] 2025-1-7_Gls on restrictive measures (EBA GL 2024 14 and EBA GL 2024 15)_FI
Contact us
Leea Uusi-Hautamaa
Leea Uusi-Hautamaa is a Partner in Deloitte’s Risk, Regulatory, and Forensic portfolio, where she leads the Regulatory, Forensic, and Financial Crime practices. Leea is a lawyer with a strong background in corporate compliance, corporate responsibility, criminal law and investigations. She works with global and domestic organisations across sectors to address complex regulatory, ethical, and operational risks. Her expertise spans regulatory strategy, compliance programme development, and cross-border investigations, with a particular focus on helping businesses build resilient, globally aligned compliance frameworks. Leea also advises on ESG-related compliance matters, supporting companies in integrating sustainability considerations into their broader risk and governance agendas. She is a trusted advisor in compliance outsourcing and regulatory monitoring, helping organisations enhance their compliance operations through practical, efficient, and scalable solutions that meet both local and international regulatory expectations.