Der er én ting, som alle Økonomidirektør (CFO) og finansdirektør (FD) bør have på deres dagsorden. Overholdelse. Hvis din organisation ikke overholder de relevante love for de lande og sektorer, du opererer i, vil de økonomiske og omdømmemæssige konsekvenser ramme dig hårdt.
Et af de vigtigste områder inden for compliance, som du skal huske på, hvis din organisation håndterer kunde- eller leverandørdata, er KYC (Know Your Customer). Hvorfor? For at besvare dette spørger vi: Hvad er KYC?
Bekæmpelse af økonomisk kriminalitet
Finansielle institutioner er et vigtigt mål for kriminelle, simpelthen på grund af den enorme mængde penge, som de håndterer. Med fremkomsten af onlineteknologi er dette kun blevet et større problem. Et stort problem for enhver finansdirektør eller FD i denne tid er hvidvaskning af penge. Tal indsamlet af Barclays viser, at kriminelle i hele verden hvidvasker 1 billion pund om året - svarende til 5% af verdens samlede bruttonationalprodukt. Dette øger omkostningerne ved at drive forretning med op til 10% og skader din virksomheds evne til at skabe overskud.
KYC er perfekt designet til at hjælpe dig med at bekæmpe økonomisk kriminalitet som hvidvaskning af penge. Hvordan?...
KYC: Kend din kunde
En grundlæggende definition kan være et godt sted at starte. KYC henviser til regler, der kræver, at organisationer - især finansielle institutioner som banker - skal kontrollere identiteten af de personer og virksomheder, de handler med. Organisationerne skal bruge forskellige mekanismer til at finde ud af, hvor stor en potentiel risiko der er forbundet med at skabe og opretholde forretningsforbindelser.
KYC-reglerne er grundlæggende designet til at sikre, at du ikke handler med nogen tvivlsomme personer. Disse foranstaltninger bør anvendes på opgaver som f.eks. at åbne bankkonti og optage lån.
Spotlight på Det Forenede Kongerige
KYC er et globalt fænomen. Der findes forskellige KYC-rammer i forskellige lande i hele verden. For at uddybe vores forståelse af begrebet skal vi se på Storbritannien som et casestudie.
Under Lovgivning i Det Forenede Kongerigeer organisationer forpligtet til at foretage kundekontrol i forskellige situationer. Det gælder bl.a., når du opretter et forretningsmæssigt forhold, et begreb, der i britisk lovgivning defineres som et forhold, "hvor begge parter forventer, at forholdet vil være vedvarende". Der er andre omstændigheder, hvor man skal foretage due diligence-kontrol, f.eks. når man har mistanke om hvidvaskning af penge.
Til KYC-formål overvåges organisationer af forskellige tilsynsorganer. Lad os vende tilbage til Storbritannien. Med hensyn til KYC er Financial Conduct Authority (FCA) ansvarlig for banker, finansielle tjenesteydelser og nogle andre brancher, men ikke alle. HM Revenue & Customs er KYC-organ for sektorer som f.eks. ejendomsmæglere, mens nogle sektorer, f.eks. spil og jura, overvåges af deres egne brancheorganer.
Opmærksomhed på detaljer
Nu til kernen i KYC. Hvilke kontroller skal du foretage? Ifølge PwCI henhold til KYC-reglerne skal organisationer bevise den anden parts identitet - men der er forskellige krav om ID-kontrol for at handle med personer og virksomheder. Lad os vende tilbage til vores britiske eksempel for at illustrere pointen...
Det ID, du har brug for, når du har med mennesker at gøre, er de indlysende mistænkte personer. Det er fulde navn, fødselsdato og bopælsadresse - ideelt set leveret af et statsligt udstedt billedlegitimationskort som f.eks. et pas. Det er det samme for de fleste virksomheder. Når du har med dem at gøre, skal du bruge deres fulde firmanavn, registreringsnummer, adressen på det registrerede kontor i det land, hvor de er registreret, og deres forretningsadresse.
Der er ekstra krav til private/ikke-børsnoterede virksomheder. Dette omfatter navnene på alle direktører, navnene på de personer, der ejer eller kontrollerer over 25% af aktierne/stemmerne, samt navnene på de personer, der på anden måde udøver kontrol med selskabet. Det firma, der har med dette private/ikke-børsnoterede selskab at gøre, skal også bekræfte, at det eksisterer ved at søge efter det i det relevante selskabsregister eller ved at bede det om at fremlægge en kopi af dets stiftelsesattest.
Undgå større konsekvenser
Hvad betyder det ud fra et overholdelsessynspunkt? Du skal sikre alle oplysninger, der bruges til KYC-kontrol, på en sikker måde. Hvis cyberkriminelle får adgang til disse oplysninger, kan de begå ID-tyveri. De kunne f.eks. optage et lån på dine eller dine kunders vegne. Begge dele ville være katastrofalt.
ID-svig er meget reelt og har meget reelle konsekvenser. Der er data, der tyder på ID-svindel koster Storbritannien 5,4 milliarder pund hvert år, men folk gennemfører stadig ikke de grundlæggende foranstaltninger, der er nødvendige for at løse problemet. Tallene viser, at 40% af de adspurgte ikke har installeret antivirusprogrammer på deres enheder, og 27% af de adspurgte bruger den samme adgangskode til flere konti.
Og så er der GDPR-vinklen at tage hensyn til. Denne EU-forordning pålægger organisationer at beskytte personlige kundedata - præcis den slags data, der indsamles i KYC-kontroller. Hvis de ikke gør det, risikerer de en bøde på enten 5% af deres omsætning eller 20 millioner euro - alt efter hvad der er højest.
Den vigtige GDPR-guide for finansdirektører -CEO & Marketing Director fra AccessPay satte sig sammen med dataeksperter fra Manchester-baserede advokater Turner Parkinson for at diskutere de konsekvenser GDPR vil have for finansfolk.
Nøgler til overholdelse
Her kommer det store spørgsmål. Hvad kan du gøre for at sikre, at alle KYC-relaterede oplysninger forbliver sikre?
Der er naturligvis de fornuftige foranstaltninger. Sørg for, at alle enheder har antivirus-software, makulér følsomme dokumenter, indstil komplekse adgangskoder osv. Uddann også personalet om eksterne trusler som social engineering (hvor enkeltpersoner narres til at give følsomme oplysninger væk via deres onlinekonti). Et godt værktøj her er uSecure, som tilbyder korte onlinekurser om vigtige sikkerhedsemner.
Du kan gemme data i skyen for at opnå et ekstra sikkerhedslag. Cloudbaserede opbevaringsløsninger er meget sikre, da de servere, der opbevarer dine data, er placeret i datacentre. Disse centre har ressourcerne til at investere i kraftige sikkerhedsfunktioner, f.eks. firewalls af høj kvalitet, samt backup-servere, der giver fortsat adgang til dine data i tilfælde af en nødsituation, f.eks. hvis den oprindelige server bliver beskadiget.
Lad AccessPay give en hånd med
Et område, som du især skal se på, når du overvejer KYC-overholdelse, er betalinger. Tænk blot på, hvor mange følsomme kunde- og leverandøroplysninger, f.eks. adresser, der går gennem dit betalingsøkosystem. Hvad ville der ske, hvis der skete et databrud eller et tilfælde af intern svindel?
Det er en klog idé at administrere dine betalingsprocesser via en cloud-baseret platform, som f.eks. den, der leveres af AccessPay. Den tilbyder funktioner som f.eks. rollebaseret adgang og forbedrede arbejdsgange, samtidig med at den fungerer som en filsystem-uafhængig løsning, der let kan integreres med back-office-applikationer som f.eks. ERP-systemer (Enterprise Resource Planning)kan vores platform hjælpe dig med at opfylde KYC-kravene.
Vi tilbyder det bedste i klassen sikkerhedsværktøjer også. Dette omfatter løsninger, der forhindrer andre end dem, der har den korrekte tilladelse, i at se eller håndtere data, f.eks. to-faktor-autentificering, datamaskering og forbedrede arbejdsgange. Dertil kommer værktøjer som advarsler i realtid, revisionsspor og detaljeret rapportering, som giver dig mulighed for at spore aktivitet på tværs af betalingsprocesser, så det er nemt at opdage eventuelle uregelmæssigheder. Bevæbnet med dette arsenal af værktøjer kan vi hjælpe dig med at opfylde dine KYC-krav med lethed.
Få mere at vide om AccessPays værktøjer til sikkerhed og forebyggelse af svindel