Huolellisuusvelvoite ja ketä se koskee?

Asianmukainen huolellisuus on osa riskienhallintaa

Huolellisuusvelvoite, eli asianmukainen huolellisuus tai due diligence tarkoittaa, että yrityksellä on prosessi, jonka avulla se tunnistaa, arvioi ja hallitsee toimintansa vaikutuksia ja riskejä. Vastuullisuuteen liittyvä huolellisuusvelvoite pohjautuu YK:n ohjaaviin periaatteisiin (UNGP – United Nations Guiding Principles), joiden keskiössä ovat ihmisoikeudet. Asianmukaisella huolellisuudella toimiessaan, yritys pyrkii sen sijaan toimimaan siten, ettei se aiheuta haittaa ihmisille, ympäristölle tai yhteiskunnalle.

Prosessin avulla yrityksen tarkoitus on huolehtia, että se toimii vastuullisesti paitsi omassa toiminnassaan myös toimitusketjussaan ja kaikissa liiketoimintasuhteissa. OECD (Organisation for Economic Co-operation and Development) on ohjeistanut, kuinka asianmukainen huolellisuus voidaan omaksua osaksi yrityksen toimintaa ja hallintajärjestelmiä. Oikeudellistuva yritysvastuu on tuonut asianmukaisen huolellisuuden myös lakisääteiseksi velvoitteeksi.

Lakisääteinen vaatimus suurimmille toimijoille

Yritysten asianmukaista huolellisuutta koskeva direktiivi (EU) 2024/1760, (Corporate Sustainability Due Diligence Directive), velvoittaa yritykset tunnistamaan, estämään, lieventämään ja hyvittämään ihmisoikeus- ja ympäristövaikutuksia sekä omassa toiminnassaan että tytäryritysten ja toimintaketjuihin kuuluvien liikekumppanien toiminnassa.

Vuonna 2024 voimaantullut direktiivi on ollut turbulenssissa jo ennen sen kansallista implementointia ja soveltamista. EU:n Omnibus I kevennysehdotukset direktiivin soveltamisalaan hyväksyttiin Euroopan parlamentin täysistunnossa 16.12.2025, joten direktiiviä sovelletaan jatkossa:

• EU-yrityksiin, joilla on yli 5 000 työntekijää ja yli 1,5 miljardin euron liikevaihto.
• EU:n ulkopuolisiin yrityksiin, joiden EU:sta kertyvä liikevaihto on yli 1,5 miljardia euroa.

Direktiivin soveltamisaikataulua lykättiin jo aiemmin tänä vuonna. Vaatimusten tulee olla implementoituna osaksi kansallista lainsäädäntöä viimeistään 26.7.2028. Yritysten soveltaminen alkaa 2029.

Kevennyksistään huolimatta asianmukaisen huolellisuuden täyttäminen tulee näkymään soveltamisalaan kuuluvien yritysten toimintaketjuissa muun muassa tietopyyntöinä ja sopimusehtoina. Riskiperusteinen huolellisuusvelvoite kattaa edelleen koko toimintaketjun suorien liikekumppaneiden sijaan. Prosessi keventyy kuitenkin siten, että toimenpiteitä voidaan ohjata ensisijaisesti sinne, missä haitallisten vaikutusten todennäköisyys on suurin ja vaikutukset vakavimmat. Tämä korostaa mahdollisten riskien tunnistamista ja arviointia omassa toiminnassa.

…vai myös pienemmille?
Vaikka due diligence mielletään nimenomaan CSDDD:n vaatimukseksi, huolellisuutta ja riskien arviointia edellytetään yrityksiltä muuallakin lainsäädännössä. Esimerkiksi yhtiöoikeudessa puhutaan johdon huolellisuusvelvoitteesta, joka edellyttää yhtiön johtohenkilöiltä muun muassa riittävän tietopohjan hankkimista päätöksenteon pohjaksi.

Huolellisuusvelvoite eri muodoissaan sisältyy EU-sääntelyn osalta ainakin metsäkatoasetukseen (EU/2023/1115, EUDR), hiilirajamekanismiin (EU/2023/956, CBAM-asetus), akkuasetukseen (EU/2023/1542, EUBR), pakkotyön tuotekieltoasetukseen (EU/2024/3015, FLR) sekä kestävyysraportointidirektiiviin (EU/2022/2464, CSDR).

Liikekumppanien toiminnasta ja tämän lakisääteisten velvoitteiden hoitamisesta tulee olla tietoinen myös esimerkiksi tilaajavastuulain (1233/2006), työturvallisuuslain (738/2002), EU:n yleisen tietosuoja-asetuksen (EU/2016/679, GDPR) ja kyberturvallisuuslain (124/2025) perusteella. Tilaajavastuulakia lukuun ottamatta nämä kaikki edellyttävät myös riskien tunnistamista ja arviointia.

Myös pakotelainsäädännön tarkoituksena on estää yhteistyö sellaisten tahojen kanssa, jotka vaarantavat kansainvälisen rauhan, turvallisuuden tai ihmisoikeudet ja se edellyttää huolellisuutta kaikilta toimijoilta. Lisäksi Finanssivalvonnan toimilupavalvottavat ja muut rahanpesulain (444/2017) ilmoitusvelvolliset ovat velvollisia tuntemaan asiakkaansa.

Vastuullinen tilaaja hallitsee toimitusketjunsa koosta riippumatta

Huolimaton kumppani on liiketoimintariski tai vähintäänkin maineriski. Kumppanien toiminnasta ja esimerkiksi mielenkiinnosta lakisääteisten velvollisuuksien hoitamiseen kannattaakin olla kiinnostunut, ettei joudu itse maksajaksi.

Asianmukaisen huolellisuuden prosessin ja siihen liittyvän dokumentaation tulisikin olla osa jokaisen vastuullisen yrityksen riskienhallintaa toiminnasta tai yrityskoosta riippumatta, jotta sen on mahdollista huomioida ja puuttua toimitusketjun kestävyysvaikutuksiin.