11 mars 2019

Vad är KYC (Know Your Customer)?

Det finns en sak som alla Ekonomichef (CFO) och ekonomidirektör (FD) bör ha på sin dagordning. Efterlevnad. Om din organisation inte följer relevanta lagar för de länder och sektorer där du är verksam kommer de ekonomiska konsekvenserna och konsekvenserna för ditt rykte att slå hårt mot dig.

Om din organisation hanterar kund- eller leverantörsuppgifter är KYC (Know Your Customer) ett viktigt område för efterlevnad som du måste ha i åtanke. Varför? För att svara på detta frågar vi: Vad är KYC?

Bekämpning av ekonomisk brottslighet

Finansinstitut är ett viktigt mål för brottslingar, helt enkelt på grund av den stora mängd pengar som de hanterar. I och med den ökande tekniken på nätet har detta bara blivit ett större problem. En stor fråga för alla finansdirektörer och finansdirektörer i vår tid är penningtvätt. Siffror insamlade av Barclays visar att brottslingar runt om i världen tvättar 1 biljon pund varje år - vilket motsvarar 5% av världens totala BNP. Detta ökar kostnaderna för att göra affärer med så mycket som 10%, vilket skadar din organisations förmåga att gå med vinst.

KYC är perfekt utformad för att hjälpa dig att bekämpa ekonomiska brott, t.ex. penningtvätt. Hur?

KYC: Känn din kund

En grundläggande definition kan vara en bra början. KYC är bestämmelser som kräver att organisationer - särskilt finansinstitut som banker - kontrollerar identiteten hos de personer och företag som de gör affärer med. Organisationer ska använda olika mekanismer för att ta reda på vilken nivå av potentiell risk som är förknippad med att skapa och upprätthålla affärsrelationer.

KYC-reglerna är i princip utformade för att se till att du inte gör affärer med någon skum person. Dessa åtgärder bör tillämpas på uppgifter som att öppna bankkonton och ta lån.

Fokus på Storbritannien

KYC är ett globalt fenomen. Det finns olika KYC-ramverk i olika länder i världen. För att få en bättre förståelse för begreppet ska vi titta på Storbritannien som en fallstudie.

Under Lagstiftning i StorbritannienNär det gäller kundkontroller är organisationer skyldiga att genomföra kontroller av kundkännedom i olika situationer. Detta gäller bland annat när du skapar en affärsrelation, som enligt brittisk lag definieras som en relation "där båda parter förväntar sig att relationen kommer att vara fortlöpande". Det finns andra omständigheter där du måste utföra due diligence-kontroller, t.ex. när du misstänker penningtvätt.

När det gäller KYC-frågor övervakas organisationer av olika tillsynsmyndigheter. Låt oss återvända till Storbritannien. När det gäller KYC ansvarar Financial Conduct Authority (FCA) för banker, finansiella tjänster och vissa andra branscher, men inte alla. HM Revenue & Customs är KYC-organ för sektorer som fastighetsmäklare, medan vissa, t.ex. spel och juridik, övervakas av sina egna branschorgan.

Uppmärksamma detaljer

Nu till kärnan i KYC. Vilka kontroller måste du göra? Enligt PwCEnligt KYC-reglerna måste organisationer bevisa den andra partens identitet - men det krävs olika ID-kontroller för att hantera personer och företag. Låt oss återgå till vårt brittiska exempel för att illustrera detta...

De ID-handlingar du behöver när du har att göra med människor är de uppenbart misstänkta. Det är fullständigt namn, födelsedatum och bostadsadress - helst med ett statligt utfärdat foto-ID, t.ex. ett pass. Det är likadant för de flesta företag. När du har att göra med dem behöver du deras fullständiga företagsnamn, registreringsnummer, adressen till det registrerade kontoret i det land där företaget är registrerat och företagets adress.

Det finns extra krav för privata/icke-börsnoterade företag. Detta omfattar namnen på alla styrelseledamöter, namnen på de personer som äger eller kontrollerar 25% av aktierna/rösträtterna samt namnen på de personer som på annat sätt utövar kontroll över företaget. Det företag som har hand om detta privata/icke-börsnoterade företag måste också bekräfta att det finns genom att söka efter det i det relevanta företagsregistret eller genom att be det att lämna en kopia av sitt registreringsbevis.

Undvik större konsekvenser

Vad innebär detta ur efterlevnadssynpunkt? Du måste skydda all information som används för KYC-kontroller. Om cyberkriminella får tillgång till denna information kan de begå ID-stöld. De skulle till exempel kunna ta ett lån för din eller din kunds räkning. Båda skulle vara katastrofala.

ID-bedrägerier är mycket verkliga och har mycket verkliga konsekvenser. Det finns uppgifter som tyder på att ID-bedrägerier kostar Storbritannien 5,4 miljarder pund varje år, men ändå vidtar människor fortfarande inte de grundläggande åtgärder som krävs för att ta itu med problemet. Siffrorna visar att 40% av de tillfrågade inte har antivirusprogram installerat på sina enheter, och 27% använder samma lösenord för flera konton.

Sedan har vi GDPR-vinkeln att ta hänsyn till. Denna EU-förordning ålägger organisationer att skydda personliga kunduppgifter - exakt den typ av uppgifter som samlas in vid KYC-kontroller. Om de inte gör det riskerar de böter på antingen 5% av deras intäkter eller 20 miljoner euro - beroende på vilket belopp som är högst.

Den viktigaste GDPR-guiden för finansdirektörer -VD och marknadsdirektör från AccessPay träffade dataexperter från Manchester-baserade advokater Turner Parkinson för att diskutera vilka konsekvenser GDPR kommer att få för finanspersonal.

Nycklar till efterlevnad

Här kommer den stora frågan. Vad kan du göra för att se till att all KYC-relaterad information är säker?

Det finns förstås åtgärder med sunt förnuft. Se till att alla enheter har antivirusprogram, makulera känsliga dokument, ange komplexa lösenord osv. Utbilda också personalen om externa hot som social ingenjörskonst (där personer luras att lämna ut känslig information via sina onlinekonton). Ett bra verktyg här är uSecuresom erbjuder korta online-kurser om viktiga säkerhetsfrågor.

För ett extra säkerhetslager kan du lagra data i molnet. Molnbaserade lagringslösningar är mycket säkra, eftersom servrarna som lagrar dina data finns i datacenter. Dessa centra har resurser att investera i tunga säkerhetsfunktioner, t.ex. högkvalitativa brandväggar, samt back-up-servrar som ger fortsatt tillgång till dina data i händelse av en nödsituation, t.ex. om den ursprungliga servern skadas.

Låt AccessPay hjälpa till

Ett område som du måste titta på särskilt när du överväger att följa KYC-reglerna är betalningar. Tänk bara på hur många känsliga uppgifter om kunder och leverantörer, t.ex. adresser, som går genom ditt betalningsekosystem. Vad skulle hända om det skedde ett dataintrång eller ett fall av internt bedrägeri?

Det är en klok idé att hantera dina betalningsprocesser via en molnbaserad plattform, t.ex. den som tillhandahålls av AccessPay. Den erbjuder funktioner som rollbaserad åtkomst och förbättrade arbetsflöden, samtidigt som den fungerar som en filsystemsoberoende lösning som enkelt kan integreras med backoffice-applikationer som t.ex. System för resursplanering (ERP)kan vår plattform hjälpa dig att uppfylla KYC-kraven.

Vi erbjuder bäst i klassen säkerhetsverktyg också. Detta inkluderar lösningar som hindrar andra än de som har rätt behörighet från att se eller hantera data, t.ex. tvåfaktorsautentisering, datamaskning och förbättrade arbetsflöden. Sedan finns det verktyg som varningar i realtid, verifieringsspår och detaljerad rapportering, som gör att du kan spåra aktiviteten i alla betalningsprocesser så att det är lätt att upptäcka eventuella avvikelser. Beväpnade med denna arsenal av verktyg kan vi hjälpa dig att enkelt uppfylla dina KYC-krav.

Ta reda på mer om AccessPays verktyg för säkerhet och förebyggande av bedrägerier