KYC står for “Know Your Customer” og er en del af hvidvaskloven. Hvidvaskloven handler i sin enkelthed om at reducere økonomisk kriminalitet og hvidvask. KYC er et nøglebegreb heri, der benyttes som et krav om, at virksomheder der er underlagt hvidvaskloven skal lære sine kunder at kende for at undgå alt fra hvidvaskning af penge, til at du som virksomhed ikke laver forretninger med kriminelle.
Begrebet omfatter, at man kan dokumentere at man kender sin kunde; Det indebærer bl.a. kontrol af identiteten og økonomiske aktiviteter, men også at kunne identificere den risiko som de enkelte kunder udgør.
Når man etablerer en effektiv KYC proces, hjælper det til at overholde hvidvaskloven, men også til at kunne sikre sig en effektiv forretningsmodel i lige præcis din organisation.
Hvilke virksomheder er omfattet af hvidvaskloven og KYC?
Alle virksomheder indenfor den finansielle sektor er underlagt hvidvaskloven. Dette betyder, at de også er underlagt KYC.
Hvidvaskloven gælder for b.la. disse virksomheder:
- Banker og pengeinstitutter
- Lånevirksomheder
- Kredit, valuta og værdipapirvirksomheder
- Forsikringsvirksomheder
- Revisorer og revisionsselskaber
- Jurister og advokater
- Ejendomsmæglere
- Bogholdere
EU-direktiver og national lovgivning
AML 5 er en Europæisk lov (et såkaldt EU-direktiv). Når EU-parlamentet udsteder et direktiv, betyder det, at de enkelte medlemslande har en periode, hvor de implementerer direktivet ind i den lokale lovgivning. Det sker typisk i form af justeringer i eksempelvis de eksisterende love eller ved hjælp af nye bekendtgørelser.
Vejledning om hvidvaskloven
I Danmark har Finanstilsynet den overordnede tilsynspligt hos virksomhederne indenfor den finansielle sektor. For revisions- og bogholdervirksomheder er den tilsynspligtige myndighed Erhvervsstyrelsen og for advokater er det advokatsamfundet.
Hos Finanstilsynet ydes der en vejledning i hvidvasklovens anvendelsesområder, men også de forpligtelser, der følger af hvidvaskloven. En af forpligtelserne til hvidvaskloven, er direktivet AML 5. Dette direktiv skal sikre, at virksomhederne i et større omfang kender deres kunder.
Finanstilsynet har derved udarbejdet en vejledning omkring hvidvask, til virksomheder der er omfattet af loven. Ifølge vejledningen findes der eksempler, som kan hjælpe til inspiration i overholdelsen af hvidvaskloven. Det er i sidste ende op til den enkelte virksomhed at fastsætte rammerne for, hvordan de vil overholde hvidvasklovens krav.
Læs hele Finanstilsynets vejledning om hvidvask.
Hvad sker der, når virksomheder ikke overholder loven?
Når Finanstilsynet fører tilsyn med virksomhederne, udarbejdes der efterfølgende en tilsynsrapport. I denne tilsynsrapport kan der udtales en kritik som kan være i form af påbud, men det kan også være i form af politianmeldelser. Disse rapporter vil altid være tilgængelige på Finanstilsynets hjemmeside.
Det er også et krav, at virksomhederne lægger rapporten på deres egen hjemmeside, så den er tilgængelig for alle de nuværende kunder, men også fremtidige kunder.
Hvis virksomhederne bliver taget i ikke at leve op til forpligtelserne, kan virksomheden også komme en tur i gabestokken, foruden en bøde kan virksomhedens navn og rygte også lide under det mislykkede tilsyn. For store virksomheder er dette ofte værre end en bøde, da de kan miste kunder på et tilsølet navn og rygte.
Den risikobaserede tilgang
Virksomheder skal efter det seneste direktiv, AML 5, som trådte i kraft i januar 2020, stille større krav til virksomheders vurdering af kundeforhold. Dette betyder, at for hver enkelt kunde, skal der vurderes en risiko for, at de bliver misbrugt til hvidvask eller terrorfinansiering. Derved er noget af det mest grundlæggende i hvidvaskloven:
Risikovurdering
De virksomheder som der er underlagt hvidvaskloven skal udarbejde en risikovurdering. I denne risikovurdering skal der identificeres de risici, som man vurderer, er forbundet med ens kunder.
For at kunne udarbejde en risikovurdering skal virksomheden:
- Kunde for kunde forholde sig til risikoen for at blive udnyttet til hvidvask eller finansiering af terror.
- Kunne forklare og retfærdiggøre vurderingen og sine forholdsregler overfor den relevante tilsynsmyndighed
- Risikovurderingen skal desuden indeholde virksomhedens forholdsregler. Dette skal ses i lyset af at kunne forbygge hvidvask.
Politikker
En virksomheds politik beskriver virksomhedens generelle risikoappetit. Denne politik inkluderer beskrivelser af:
- Hvilken type kunder man ønsker at gøre forretninger med.
- Hvilke typer kunder man ikke ønsker at gøre forretninger med.
Forretningsgange
Når man snakker om forretningsgang, betyder det kort sagt, at man har en nedskreven procedure for, hvad man som medarbejder eller som virksomhed skal gøre i bestemte situationer.
En forretningsgang medhjælper til:
- At give et overblik over de risici, som man vurderer, er til stede ved forskellige kundegrupper.
- At beskrive de handlinger, man skal foretage for at kunne imødekomme denne risici.
Husk at tjekke for PEP – Politisk Eksponeret Person
Politisk eksponerede personer er mennesker, hvis politiske stilling betyder, at de udgør en høj risiko for at være genstand for hvidvask. Dette er fordi de i en højere grad udsættes for afpresning, bestikkelse eller på anden vis involveres i økonomisk kriminalitet.
Man kan identificere PEP’er ved at krydstjekke disse mennesker med offentlige databaser. Det kan f.eks. være: Finanstilsynets PEP-liste.
Man skal dog være opmærksom på, at denne liste ikke er en fyldestgørende liste over alle PEP’er i landet. Det er kun dem, som er blevet indberettet til myndighederne. I databasen finder man også ægtefæller til den primære PEP.
Hvor ofte udføres der en kontrol af kundens identitet?
Der skal udføres en kontrol med kundens identitet ved alle nye kundeforhold der etableres. Der skal også udføres nye kontroller, hvis der f.eks. sker en ændring i kundens omstændigheder.
Ved højrisikokunder, kan denne procedure gentages én gang om året, hvorimod ved lavrisikokunderne, kan proceduren gentages hver femte år.
Hvordan kan virksomheden sikre, at de kender deres kunder?
Ved hjælp af en kundekendskabsprocedure som er gennemført på baggrund af risikovurderingen – også kendt som KYC, kan virksomhederne vurdere den risiko de foretager når de forhandler med kunder.
Derved omfatter en kundekendskabsprocedure en indhentelse af identitetsoplysninger om kunden.
Oftest vil identitetsoplysningerne omfatte:
- Navn
- CPR- eller CVR-nummer, afhængigt af om der er tale om en fysisk eller juridisk person.
- Oplysninger som beskriver det ønskede kundeforhold
- Oplysninger som beskriver kundens forretning og aktiviteter
Derefter skal disse oplysninger valideres af en pålidelig kilde. Det betyder, at der skal ske en verificering af dokumenter op imod andre kilder, der kan validere kundens identitet. Dette kan f.eks. være en adresse eller et pas.
Derved vil kundekendskabsproceduren kunne beskrive hvad virksomheden skal foretage sig, for at kunne sige, at de kender deres kunder.
En tung proces
Hvidvaskloven kan være en hovedpine, og er ressourcekrævende at holde styr på. Det, som var gældende i går, kan pludselig være utilstrækkeligt og betyde at KYC tager en del manuel tid at udarbejde.
Det kan derfor være tidsbesparende at benytte et system til at systematisere og automatisere denne arbejdsgang. Vi har udviklet Creditro Comply. En platform, hvor vi automatiserer og sikrer, at alle kontroller og arbejdsgange bliver fulgt, samt at dokumentationsarbejdet er på plads i forbindelse med et tilsyn.
I første halvår af 2022 gennemførte vi en spørgeundersøgelse i blandt vores mere end 4000 brugere om netop tidsforbruget på KYC-proceduren. Mere end 75% af brugerne havde forkortet deres årlige tidsforbrug på KYC med mere 95%.
Det sker fordi der automatisk indhentes dokumentation, at de rigtige spørgsmål stilles og at kontrollerne er på plads. Dette sker samtidigt med at alle brugerne bliver overvåget i real tid.