Know Your Customer: de FBI binnen de zakenwereld
Nieuwe klanten binnenhalen is voor banken vaak reden voor een feest. Extra feestelijk wanneer de klanten helemaal zuiver zijn en niets op hun geweten hebben. Zeker wanneer er een hoop op het spel staat zoals wetsovertredingen, reputatieschade en extreem hoge boetes. Owen Strijland van consultancybureau Protiviti over hoe KYC-processen optimaal kunnen worden ingericht.
Voornamelijk in de financiële sector moeten organisaties hier alert op zijn. Houden potentiële klanten zich bezig met witwassen? Financieren ze geen terrorisme of staan ze op een sanctielijst? Allemaal vragen die een rol spelen binnen Know Your Customer (KYC). De vraag ‘ken jij je zakenrelaties?’ staat hierbij centraal. Het betreft het kennen van de klant door de identiteit te verifiëren en mogelijke risico’s in kaart te brengen bijvoorbeeld door middel van de klantrisico-score.
Het KYC-proces is zodanig ingericht dat het fungeert als de FBI binnen organisaties. Als het KYC-proces goed is uitgevoerd hebben bedrijven alle benodigde kennis over hun gloednieuwe klant. De inzet is hoog, dus zorg dat je weet hoe KYC werkt en waar je als organisatie rekening mee dient te houden.
De vijf stappen van KYC
Iedere Europese (en meer) financiële instelling is verplicht om klanten te screenen alvorens met ze in zee te gaan. Een effectief en volwassen KYC-beleid is daarom noodzakelijk. Een goed opererend proces, dat risico’s beheert en tegelijkertijd geen belemmering vormt voor het binnenhalen van nieuwe klanten, is het streven.
Het proces kent vijf stappen: klantidentificatie, bekende sancties controleren, het wettelijk kader controleren, risico’s bepalen en beoordelen en continu monitoren en periodiek herzien. Het begint uiteraard met het verifiëren van je klant door de basisgegevens te achterhalen: naam, adres, bedrijfsactiviteit, de bedrijfsstructuur en de uiteindelijke belanghebbenden (UBO’s).
Deze relatief statische informatie wordt vervolgens aangevuld door het tijdens de screeningfase naast PEP-lijsten, negatieve nieuwsberichten en sanctielijsten te leggen. Op PEP-lijsten staan personen die werken in de politiek. Maar ook staatshoofden, ministers, legerofficieren, directeuren van banken en ambassadeurs. Deze posities zijn vatbaar voor corruptie.
De derde stap is de controle of de klant en de te verlenen dienst passen binnen de wettelijke vereisten voor de dienst of het product. De vierde stap is het beoordelen en filteren van de uitkomsten om te bepalen of de klant groen of rood licht krijgt. Tijdens deze stap wordt de klantrisico-score bepaald.
De laatste stap in het proces is het meest noodzakelijke onderdeel. Het betreft het continu monitoren, vaak aangevuld met dynamische data met behulp van bijvoorbeeld betaalgegevens, en het periodiek monitoren tegen sanctielijsten en steeds vaker publiek beschikbare data. De belangrijkste uitdagingen maken helder waarom deze stap zo noodzakelijk is.
“KYC vormt een tijdrovend proces: uitvoeren, archiveren, rapporteren, en continue monitoring.”
Strijd met de tijd: de belangrijkste uitdagingen
De hierboven beschreven stappen zijn een doorlopend proces omdat bedrijven continu veranderen. Denk bijvoorbeeld aan overnames, andere eigenaren of nieuwe vestigingen in het buitenland. De vijf stappen moeten bij elke verandering telkens opnieuw worden doorlopen. Bovendien breiden (inter)nationale wetgevers de regels voor KYC steeds verder uit.
De verantwoordelijkheid van naleving ligt bij de bedrijven zelf. Neem dit alles samen met het feit dat criminelen en terroristen hun illegale praktijken uitstekend weten te verbergen, en je raakt in een oneindige strijd met de tijd verzeild. Het is de vraag hoeveel tijd je wil besteden aan opsporing en hoeveel tijd overblijft voor klantenservice en ontwikkeling van de nodige nieuwe digitale producten.
Ook zonder deze uitdagingen is KYC namelijk al een tijdrovend proces. Alle stappen moeten niet alleen worden uitgevoerd, maar ook op een eenduidige manier gearchiveerd en gerapporteerd worden. Hoe gronding je eerste KYC-check ook is, tegen de onophoudelijke veranderingen, en dus de tijd, valt bijna niet de strijden. Klanten willen echter niet eindeloos wachten tot ze zijn goedgekeurd.
API’s als een mogelijke oplossing
Voor de bovengenoemde uitdagingen speelt externe data een belangrijke rol in het KYC-systeem. Lijsten met data die gebruikt worden voor de screening van zakelijke relaties veranderen regelmatig. Het is al onbegonnen werk om data benodigd voor KYC handmatig te verzamelen, laat staan om deze data continu bij te houden. De data die gebruikt wordt moet echter wel 24/7 up-to-date zijn
Een van de oplossingen kan zijn: Application Programming Interface (API’s), een manier om data en analytics in te zetten om het identificeren en verifiëren van zakenrelaties te automatiseren. Dit levert niet alleen betere rapportages en informatiestromen op, maar ook een soepele onboarding-ervaring voor nieuwe klanten. Geïntegreerde compliance-data in je systemen verkort namelijk de onboard-tijd voor standaardgevallen van uren naar minuten. Het verlicht ook de last van het constant bijhouden van gegevens, aangezien het proces vanaf het begin is gedigitaliseerd.
API’s zijn daarmee het voornaamste wapen tegen de uitdaging van continue veranderingen in data. De interne systemen moeten echter wel kunnen omgaan met deze krachtige API’s die de organisatie voorzien van statische, en soms ook dynamische data. Zodra deze data samenkomen kan een echt goed klant risicoprofiel worden bepaald. Bovendien vereenvoudigt de juiste software het vaak lastige monitoren en reageren op alerts. Daarmee hou je ten eerste je klanten, en een niet onbelangrijke tweede, je toezichthouders, tevreden.
Owen Strijland is director bij Protiviti, een adviesbureau gespecialiseerd in onder meer risk & compliance.