Hvad er KYC?

KYC (Know Your Customer) er en lovpligtig proces, hvor virksomheder identificerer, verificerer og risikovurderer deres kunder for at forebygge hvidvask, terrorfinansiering og økonomisk kriminalitet.

Men i praksis er KYC mere end et lovkrav. Det er fundamentet for ansvarlig forretningsdrift. Som en central del af den danske hvidvasklov og udgør KYC fundamentet for, hvordan virksomheder dokumenterer, at de ved, hvem de samarbejder med.

Når en virksomhed gennemfører KYC korrekt, dokumenterer den ikke blot, hvem kunden er – den dokumenterer også, at den forstår risikoen i relationen. Det er netop denne forståelse, som myndighederne forventer at kunne se ved et tilsyn.

KYC er derfor ikke blot en administrativ formalitet. Det er et aktivt risikostyringsværktøj.

Hvad omfatter KYC? 

En effektiv KYC-proces – også kaldet en kundekendskabsprocedure – består af fem centrale elementer. De fem elementer hænger sammen og skal ses som en samlet proces. Samlet set sikrer de nemlig, at virksomheden har et retvisende og dokumenterbart billede af kunden:

1. Identifikation af kunden 

   Indsamling af grundlæggende oplysninger som navn, adresse og CPR- eller CVR-nummer.

2. Verifikation af identitet

   Kontrol af kundens identitet via pålidelige og uafhængige kilder, f.eks. pas, kørekort eller officielle registre.

3. Identifikation af reelle ejere

   Ved selskaber skal de fysiske personer, der ultimativt ejer eller kontrollerer virksomheden, identificeres og verificeres.

4. Risikovurdering

   En konkret vurdering af risikoen for, at kunden kan være involveret i hvidvask eller terrorfinansiering.

5. Løbende overvågning 

   Opdatering af kundens oplysninger og kontrol af, om risikoprofilen ændrer sig over tid.

Det afgørende er ikke blot, at disse trin gennemføres – men at virksomheden kan forklare og dokumentere sin tilgang. KYC handler i lige så høj grad om dokumentation som om kontrol. Og så er KYC ikke en engangsøvelse ved onboarding, men en løbende forpligtelse i kunderelationen.

Hvorfor er KYC vigtigt?

KYC har både et samfundsmæssigt og et forretningsmæssigt formål. Det beskytter overordnet tre ting:

• Samfundet mod økonomisk kriminalitet

• Virksomheden mod regulatorisk risiko

• Forretningen mod omdømmeskade

Manglende eller utilstrækkelig KYC kan føre til påbud, bøder eller offentlig kritik fra tilsynsmyndighederne. Men konsekvenserne stopper ikke der. For mange virksomheder er omdømme og tillid mindst lige så værdifuldt som den økonomiske sanktion.

Så i en tid med skærpede reguleringer og øget offentlig opmærksomhed på økonomisk kriminalitet er compliance ikke længere en bagvedliggende funktion. Det er en del af virksomhedens ansvarlighed og troværdighed.

Hvem skal udføre KYC?

Kravet om KYC gælder for virksomheder, der er omfattet af hvidvaskloven. Det gælder blandt andet:

• Banker og pengeinstitutter

• Låne- og finansieringsvirksomheder

• Forsikringsselskaber

• Revisorer og revisionsvirksomheder

• Advokater

• Bogholdere

• Ejendomsmæglere

I Danmark føres der tilsyn af:

• Finanstilsynet (finansielle virksomheder)

• Erhvervsstyrelsen (revisorer og bogholdere)

• Advokatsamfundet (advokater)

På europæisk niveau er indsatsen mod hvidvask blevet styrket gennem etableringen af AMLA, som skal sikre mere ensartet håndhævelse på tværs af medlemslande. Og udviklingen går i en retning: mere gennemsigtighed, mere dokumentation og større krav til risikoforståelse.

KYC versus AML – hvad er egentlig forskellen?

Begreberne bruges ofte i flæng, men de dækker over forskellige ting. Kort fortalt er KYC det praktiske arbejde, mens AML er den overordnede regulering. En moden compliance-funktion mestrer begge dele og forstår sammenhængen.

Den risikobaserede tilgang

Hvidvaskregulering bygger på en risikobaseret tilgang. Det betyder, at virksomheder ikke skal behandle alle kunder ens, men i stedet tilpasse deres kontrolniveau efter den konkrete risiko.

Virksomheden skal blandt andet:

• Udarbejde en overordnet risikovurdering

• Fastlægge interne politikker og risikoappetit

• Etablere klare politikker og forretningsgange

• Dokumentere og kunne begrunde sine vurderinger over for tilsynsmyndigheden

En kunde med lav risiko kræver eksempelvis mindre omfattende kontrol end en kunde med høj risiko. Det afgørende er, at vurderingen er dokumenteret og kan forklares.

Det centrale spørgsmål er altså ikke: "Hvad har vi kontrolleret?"

Men i stedet: "Har vi kontrolleret proportionelt og dokumenteret hvorfor?

En stærk risikokultur er kendetegnet ved gennemtænkte beslutninger – ikke blot omfattende procedurer.

Hvad er en PEP?

En PEP (Politically Exposed Person) er en person med en fremtrædende offentlig funktion, som anses for at have forhøjet risiko for korruption og hvidvask. Det kan fx være ministre, parlamentsmedlemmer eller ledende embedsmænd.

Hvis en kunde identificeres som PEP, skal virksomheden gennemføre skærpet kundekendskabsprocedure og udvise øget opmærksomhed. Det handler ikke om mistanke – men om risikostyring. PEP-reglerne er et eksempel på, hvordan lovgivningen operationaliserer den risikobaserede tilgang.

Hvor ofte skal KYC udføres?

KYC skal gennemføres ved etablering af et nyt kundeforhold og opdateres løbende. Det kan eksempelvis være når der sker væsentlige ændringer i kundens forhold. Hyppigheden afhænger af risikoniveauet, hvor en højere risiko kræver tættere opfølgning. 

Det afgørende er, at virksomheden kan dokumentere, hvorfor opdateringsfrekvensen er passende. Standardintervaller uden risikovurdering er sjældent tilstrækkelige. 

Hvad sker der, hvis man ikke overholder KYC-kravene?

Ved tilsyn vurderes det, om virksomheden kan dokumentere sin risikoforståelse og sine kontroller. Manglende overholdelse kan føre til:

• Påbud

• Indskærpelser

• Bøder

• Politianmeldelse

Tilsynsrapporter offentliggøres og kan få betydning for virksomhedens omdømme og kundetillid. Overholdelse af KYC er derfor ikke kune et juridisk spørgsmål, men et forretningskritisk anliggende.

Kan KYC automatiseres?

KYC opleves ofte som ressourcekrævende, særligt hvis processerne håndteres manuelt og dokumentationen ikke samles et sted. Men kompleks lovgivning behøver ikke føre til komplekse arbejdsgange. Hvis bruger en software-partner til at digitalisere KYC processen kan man:

• Strukturere og dokumentere risikovurderinger

• Automatisere indhentning og validering af oplysninger

• Understøtte løbende overvågning

• Samle dokumentation til brug ved tilsyn

Når din KYC-proces systematiseres, bliver din compliance indsats ikke blot lettere at håndtere – den bliver også mere robust. Compliance skal ikke være en byrde, men i stedet blive en integreret del af din virksomhed. 

Hos Creditro arbejder vi med at gøre netop dét muligt – at forene regulatoriske krav med effektive arbejdsgange, så virksomheder kan bruge tiden på deres kerneforretning uden at gå på kompromis med dokumentation eller lovkrav. 

Sig hej til simplificeret compliance med Creditro Comply 👋