Hva skjer når navnet på en kunde eller leverandør dukker opp på en observasjonsliste? Hvordan bedriften svarer på det spørsmålet, kan få store konsekvenser for resultatene. I denne artikkelen ser Neil Isherwood, Compliance Subject Matter Expert hos Dun & Bradstreet, nærmere på dataenes rolle for rask og effektiv respons.
Kundekunnskap (KYC) kan være en møysommelig prosess. Det første trinnet – å samle inn informasjon fra kunder eller tredjeparter og verifisere dem opp mot offentlige registre – er ofte arbeidskrevende, siden opplysningene kan være fragmentert på tvers av registre i flere jurisdiksjoner.
Når identitetene har blitt verifisert, må de også kontrolleres opp mot ulike observasjonslister som spenner fra sanksjoner til politisk eksponerte personer og fiendtlige medier. Deretter tildeles personer ofte en risikokategori som bestemmer hvor ofte de må være gjenstand for en KYC-gjennomgang. Det kan hende at personer som anses å tilhøre gruppen med høy risiko, må kontrolleres hvert år, mens personer med lavere risiko ikke trenger å kontrolleres igjen før det har gått mange år.
Dette utgjør et grunnleggende problem. Hvis en oversikt over styremedlemmer og reelle rettighetshavere (ultimate beneficial owners – UBO) er utdatert, kan det hende at feil personer blir kontrollert. Etter en endring av styremedlemmer eller eiere, kan det gå flere måneder eller til og med år før en institusjon innser at den gjør forretninger med en bedrift som nå eies av noen som er underlagt sanksjoner eller mistenkt for kriminell aktivitet.
«De fleste institusjoner velger sannsynligvis en syklus på ett, tre eller fem år, avhengig av risikonivået», sier Neil Isherwood, Compliance Subject Matter Expert hos Dun & Bradstreet. «Men tre eller fem år er lang tid. Mye kan endre seg på den tiden.»
Og når det oppstår en større risikohendelse, for eksempel Russlands invasjon av Ukraina i 2022, kan det føre til en revurdering av en KYC-database på en måte som belaster interne ressurser, spesielt når det gjelder reelt eierskap av selskaper. Selv under normale omstendigheter skaper periodiske gjennomganger topper og bunner i aktiviteten, som det kan være utfordrende å håndtere.
«En betydelig del av tilbakemeldingene vi mottar, peker på hvor lite effektivt det er å gjennomføre periodiske gjennomganger, siden hele registeret må evalueres på nytt», sier Isherwood. «Det er bortkastet arbeid når bare én ting har endret seg, men likevel gjentas hele prosessen. Kundene henvender seg til oss og uttrykker bekymring om gjennomgangene som er planlagt for neste år, og de er i tvil om de kan gjennomføre dem med ressursene de har til rådighet.»
For selskaper som har gjort KYC til en kontinuerlig prosess, blir byrden betydelig lettere. Tanken bak kontinuerlig KYC (Perpetual KYC – P-KYC) «er at hvis ett styremedlem byttes ut, varsles det automatisk, og når du er klar over det, kan du godta det», sier Isherwood. «Hvis det ikke finnes sanksjoner, PEP-er eller noe annet, er det fortsatt grønt. Du trenger ikke å gå gjennom hele eierskapet igjen. Du evaluerer bare den ene brikken.»
Det gjør behandlingen mye raskere og mer effektiv. Det betyr at hendelser som for eksempel Russlands invasjon av Ukraina, ikke lenger kan føre til at KYC-informasjonen blir ekstremt utdatert eller fører til en forstyrrende totalgjennomgang, siden viktige endringer registreres når de oppstår, og at de deretter kan håndteres ved hjelp av gjennomganger når sanksjoner og andre observasjonslister oppdateres.
P-KYC handler ikke bare om automatisering. Uansett hvor intelligent et automatisert system er, vil resultatene sannsynligvis ikke være egnet til formålet hvis dataene som behandles, er av dårlig kvalitet eller ikke omfattende nok. Datastrømmer fra et API (Application Programming Interface) som Dun & Bradstreets, er ofte avgjørende for å lykkes, siden å hente data manuelt fra en rekke forskjellige kilder kan ta for lang tid, føre til mange feil og være for fragmentert for å oppfylle kravene – eller for å være tilpasset endringstakten.
P-KYC er også avhengig av menneskelig innsats, selv om det kan gjøres mye for å fremskynde prosessen. Når et navn flagges i en observasjonsliste, er det for eksempel fortsatt complianceanalytikerens ansvar å undersøke om det er en reell grunn til bekymring, eller om varselet skyldes et navn som ligner på et annet – en falsk positiv.
Automatisering av KYC blir en plattform for å ta raskere beslutninger rundt falske positiver når den kombineres med forbedrede data. Dun & Bradstreets forskning viser en potensiell reduksjon falske positiver på opptil 75 % når analyser av navn berikes med ytterligere biografisk informasjon. Etter hvert som flere selskaper enn banker blir forpliktet til å gjennomføre KYC, inkludert stadig flere finansielle og ikke-finansielle virksomheter, velger stadig flere å benytte seg av eksterne leverandører for å styrke dataressursene sine.
Ved å gjøre KYC til en kontinuerlig prosess i stedet for en stopp-start-prosess, avlastes complianceavdelingen. Det betyr at KYC-gjennomganger bare brukes på selskaper som har gjennomført vesentlige endringer. Risikovurderinger kan oppdateres kontinuerlig og dermed gjøres mer nøyaktige, og informasjonen om reelt eierskap er alltid oppdatert. Alt dette fører til en betydelig reduksjon av tiden og den manuelle innsatsen som kreves, samt sannsynligheten for feil og forglemmelser.
Spesielt for finansinstitusjoner kan P-KYC også føre til betydelig raskere onboardingprosesser for nye kunder. Utfordrerbanker med heldigitale plattformer har mye raskere onboardingprosesser enn de tradisjonelle konkurrentene. Dette er et konkurransefortrinn, siden innviklede KYC-prosesser er en betydelig plage for nye kunder, samtidig som falske positiver også utgjør risikoer for eksisterende forretningsforhold.
P-KYC er ikke bare en kombinasjon av leverandører av kvalitetsdata og automatisering. Det innebærer også å finne ut hva som kan automatiseres, hva som fortsatt må gjennomføres manuelt, og å finne nye måter å jobbe på. Men når dataleverandører forbedrer tilbudene sine ved å gjøre dem mer brukervennlige og enklere å integrere i eksisterende systemer og arbeidsflyter, blir det stadig større muligheter til å gå over til en form for KYC som balanserer rigiditet og risikoreduksjon basert på alle bedrifters behov for å reagere raskt og på en responsiv måte for å betjene kundene.