Dun & Bradstreet

KYC: Sådan fremtidssikres dine processer

Læs her, hvad man kan gøre som virksomhed for at tilpasse sig.

I en tid med krig i Ukraine, sanktioner og stadig mere krævende compliance har det aldrig været vigtigere at kende sine kunder. Neil Isherwood, compliance-ekspert hos Dun & Bradstreet, forklarer, hvordan tingene har ændret sig, og hvad virksomheder kan gøre for at tilpasse sig. 

 

Hvordan ændrer forpligtelserne inden for Know Your Customer (KYC) sig, og hvad betyder det for virksomheder?  

Neil Isherwood: Vi lever i en tid med hurtige forandringer med hensyn til hvidvask, hvor kriminelle og andre svindlere altid finder nye smutveje at udnytte, så KYC-reglerne hele tiden må opdateres.

Handelsbarrierer, sanktioner og en generelt usikker økonomisk situation stiller compliance-teams over for udfordringer, de må kæmpe for at løse. Bøder for KYC-forsømmelser steg med 50 % alene i 2022, og en enkelt bank blev idømt bøder på hele 2 milliarder euro for utilstrækkelig bekæmpelse af hvidvask. 

I EU og Storbritannien kaldes virksomheder, der pålægges kunde-due-diligence, ”obliged entities”, altså forpligtede enheder. Ud over de traditionelle finansielle tjenester udvider EU sin definition til at inkludere virksomheder såsom udbydere af kryptoaktiver, elitefodboldklubber og forhandlere af luksusvarer, som alle sammen potentielt kan udnyttes af kriminelle, der forsøger at flytte ulovlige formuer.

EU’s seneste AMLD6-direktiv har udbredt definitionen af hvidvask til at inkludere overtrædelser, der skyldes ”manglende overvågning og kontrol”, ligesom strengere straffes gives.   

Nogle firmaer, der i dag betragtes som forpligtede enheder, mangler endnu helt at forstå deres behov for robuste KYC-processer, der fastslår reelt ejerskab og de reelle finansieringskilder. Og selv hvis de gør, kan det være vanskeligt at få adgang til de data, der er nødvendige for at få kendskab til deres kunder.

Sidste år fastslog EU-domstolen, at offentliggørelse af det reelle ejerskab bag virksomheder udgør en risiko for privatlivets fred. 

 

Hvad er de primære udfordringer i forbindelse med KYC? 

Neil Isherwood: Selv når data er tilgængelige, kan det være meget vanskeligt at finde en effektiv og automatisk måde at tilgå dem på.

Oplysningerne er ofte spredt ud mellem forskellige nationale virksomhedsregistre, hvoraf de fleste kræver en lille betaling for adgang. Ældre og større virksomheder har ofte besværlige manuelle processer til denne dataindsamling, så de risikerer hele tiden, at data bliver fanget i siloer.  

Der er også et kæmpeproblem med falske positive, der sker, når en legal person eller transaktion fejlagtigt udpeges som en potentiel risiko. Disse falske positive skal så tjekkes manuelt af analytikere – hvilket ofte er en omstændelig proces, idet en enkelt person kan optræde mange gange i virksomhedsregistre; som direktør, aktionær eller person med væsentlig kontrol, og alle registreringer er gemt som separate oplysninger. Det er disse falske positive, der vækker flest følelser hos vores kunder – de føler sig overvældet af det komplekse arbejde med at skelne navnene fra hinanden.  

Den traditionelle KYC-proces er typisk en lejlighedsvis kontrol. De fleste forpligtede enheder benytter sig af en cyklus på et, tre eller hele fem år. Meget kan ændre sig i sådanne perioder, som vi for nylig har set med sanktioner mod Rusland og den økonomiske usikkerhed, der er forbundet dermed. Dermed kan lange rapporteringscyklusser betyde, at hele due diligence-processen skal gentages fra bunden. Hvad er fordelene ved konstant KYC?

Neil Isherwood, Compliance-ekspert hos Dun & Bradstreet

Hvordan kan virksomheder løse denne udfordring?  

Neil Isherwood: Hos Dun & Bradstreet advokerer vi for en risiko- og profilbaseret tilgang, der benytter eksterne data. For eksempel anvender vi biografiske oplysninger til at fastslå, om den ene ”Jens Jensen” formentlig er den samme som den anden ”Jens Jensen”. Når vi ved det, har vi mulighed for at spore relationerne mellem Jens Jensens forskellige virksomheder, så vi sikrer, at kunder ikke behøver gentage KYC-processen, hver gang de støder på samme person.

Tilsvarende er vores D-U-N-S® numre unikke identifikatorer, der skelner mellem virksomheder med lignende navne og understøtter reduktionen af datasiloer mellem workflows og funktioner i en virksomhed.  

Den traditionelle KYC-proces er typisk en lejlighedsvis kontrol. De fleste forpligtede enheder benytter sig af en cyklus på et, tre eller hele fem år. Meget kan ændre sig i sådanne perioder, som vi for nylig har set med sanktioner mod Rusland og den økonomiske usikkerhed, der er forbundet dermed. Dermed kan lange rapporteringscyklusser betyde, at hele due diligence-processen skal gentages fra bunden. Hvad er fordelene ved konstant KYC?  

Neil Isherwood: Perpetual (konstant) KYC (P-KYC) er en proaktiv, databaseret tilgang. Hver ændring i virksomhedsfortegnelser flagges, så kunden kan træffe en KYC-beslutning baseret på denne ene ændring, nærmest i realtid. Hvis Jens Jensen optages i en virksomheds bestyrelse, og det viser sig, at han ikke er relateret til politisk eksponerede personer eller personer på sanktionslister og heller ikke er udsat for negativ mediedækning, så beholder relationen den grønne KYC-status.

Dermed undgår man også de udsving i due diligence, der er typiske for flerårscyklusser, og forener de trin, der er påkrævet for at forstå, hvem der driver, kontrollerer og økonomisk profiterer af en virksomhed. 

I sidste ende indebærer P-KYC signifikante besparelser med hensyn til omkostninger, tid og tabt forretning. Hastigheden i onboardingen er en konkurrencefaktor for udbydere af finansielle tjenester, når det kommer til at tiltrække ny forretning, og der er flere markante forskelle, i forhold til hvor hurtigt dette kan opnås af nye banker (challenger banks) sammenlignet med ældre institutter. Nogle rent digitale kontoer kan åbnes på blot 24 klik og 2 dage, sammenlignet med 80+ og 30 dage i de gamle institutter. 

 

Så hvorfor benytter ikke alle virksomheder det? 

Neil Isherwood: I nogle tilfælde er der en inerti, der skyldes en manglende vilje til at gentænke systemer og workflows. Det kan meget vel være, at en bestemt del af processen er blevet centraliseret, mens resten er fordelt over forskellige funktioner. Det betyder, at en bestemt afdeling måske ikke ejer hele onboarding-flowet og dermed ikke kan kontrollere eller forbedre det uden en større overenskomst på tværs af funktioner. Kunderne kan også være lidt usikre på screening-udbydernes relative styrker og svagheder på det, der efterhånden er blevet et marked med mange udbydere.  

 

Og hvordan tror du, at integration med miljømæssige, sociale og ledelsesmæssige (ESG) data ændrer tingene?

Neil Isherwood: I stigende grad er kunderne nødt til at vide, hvordan deres værdikæde klarer sig inden for ESG-faktorer, især CO2-udledninger. Det er blevet et led i den generelle risikovurdering. Set fra vores perspektiv giver det mening for Dun & Bradstreet at være en komplet leverandør, der kan hjælpe vores kunder med hele viften af risikovurderinger, de skal foretage, herunder ESG. 

Generelt er data afgørende for virksomheder, hvis de skal forstå ikke alene deres kunders risikoprofil, men også mulighederne for at maksimere potentialet i partnerskabet og generere værdi.