Frenk Gerritsen
Heel vaak worden zogenaamde low risk KYC processen nog handmatig uitgevoerd. Dat is eigenlijk onnodig en zonde van de tijd, want het gaat daarbij om repetitief werk dat zich juist goed leent voor automatisering. Maar hoe bepaalt men nu welke vorm van automatisering het beste bij een bepaalde situatie past? Organisaties die onderworpen zijn aan de Wwft zijn verplicht om nieuwe klanten volledig door te lichten, voordat zij geaccepteerd mogen worden. Die checks worden nu voor een groot gedeelte handmatig uitgevoerd, waarbij veel mankracht vereist is in de vorm van KYC professionals. Het uitvoeren van dergelijke controles wordt over het algemeen bestempeld als repetitief, tijdsintensief en weinig uitdagend, met als gevolg een behoorlijk verloop onder KYC professionals. Aan de andere kant zijn het de klanten die geen lange doorlooptijd eisen en een efficiënte behandeling zonder veel administratieve rompslomp verwachten.
De toezichthouder, De Nederlandsche Bank, erkent dit en heeft de financiële sector toestemming gegeven om meer risk based processen in te richten. Dit betekent dat low risk KYC processen meer overgelaten kunnen worden aan technologieën zoals Machine Learning en Artificial Intelligence. Op deze manier blijven de hoge risico gevallen over voor de echte KYC professionals. Externe partijen spelen hier de laatste tijd op in, want er worden steeds meer KYC toolings op de markt gebracht waarmee men de processen kan automatiseren.
Maar waar moet men nu op letten en waar te beginnen als men wil automatiseren?
Ten eerste zijn de interne compliance regels en het beleid van belang. Op de tweede plaats de middelen om het automatiseren mogelijk te maken. Ten derde is de externe data van zowel klanten als van dataleveranciers om de KYC checks uit te voeren van belang.
1. Intern compliance beleid en bijbehorende regels
Om het KYC proces te kunnen automatiseren, moeten de procedures en werkwijzen voor het beperken en beheersen van de risico’s op witwassen en financieren van terrorisme (en de risico’s die zijn geïdentificeerd tijdens de risicobeoordeling) in orde zijn. Op basis daarvan moet de automatische controle namelijk worden ingericht, waarbij in ieder geval een antwoord moet komen op de volgende vragen:
*Aan welke wet- en regelgeving moet uw organisatie voldoen?
*Heeft men op basis van geldende wet- en regelgeving een KYC beleid opgesteld?
*Heeft u een KYC-proces staan dat is gebaseerd op uw KYC beleid? Zo ja, uit welke stappen bestaat dit?
*Hoe lang duurt het KYC-proces nu? En wat wilt u als organisatie bereiken of waar wilt u als organisatie naartoe?
2. Middelen om automatiseren mogelijk te maken
Automatiseren kan op twee manieren: door data-integraties te implementeren in uw cliëntacceptatiesysteem of met kant-en-klare software met een KYC workflow. Welke mogelijkheid het beste past, hangt af van uw behoeften en in hoeverre u het KYC proces wilt standaardiseren. Maar ook van de middelen die in huis zijn om data-integraties en algoritmen te implementeren. Voor het implementeren van data-integraties (API’s) heeft men technische resources nodig en voor kant-en-klare KYC software niet. De urgentie voor het inrichten van een automatisch proces is ook een belangrijke factor. Deze overwegingen moet u maken om te kunnen bepalen welke manier het beste bij uw situatie past:
*Wat voor tooling (bijvoorbeeld een CRM-systeem) gebruikt u voor het uitvoeren van cliëntenonderzoek?
*Wilt u het KYC proces in eigen systemen automatiseren of wenst u hier juist een aparte tooling voor te gebruiken?
*Welke stappen van het KYC proces heeft u al geautomatiseerd en welke nog niet?
*In hoeverre heeft u implementatiecapaciteit, geld, kennis en tijd voor automatisering?
*Is het van belang om zo snel mogelijk aan de slag te gaan met automatisering? Bijvoorbeeld vanwege personeelstekort of omdat u nog niet voldoet aan de wet- en regelgeving?
3. De nodige data voor het uitvoeren van KYC checks
Een geautomatiseerd KYC proces valt of staat met kwalitatieve, betrouwbare externe datasets. Welke data-elementen u nodig heeft hangt af van de risico’s die u wilt beperken en beheersen vanuit het KYC beleid. U heeft vaak nog aanvullende informatie van de betreffende klant nodig om het cliëntenonderzoek binnen het KYC proces uit te kunnen voeren. In dit verband zijn de volgende factoren belangrijk:
*Welke databronnen raadpleegt u voor het uitvoeren van het KYC proces?
*In hoeverre is realtime en uniforme data een belangrijke factor in het KYC proces?
*Welke data moet worden geïntegreerd in het geautomatiseerde KYC proces?
*Welke data-elementen bepalen of een cliënt in een laag, gemiddeld of hoog risicocategorie valt?
Voor sommige organisaties zoals banken is transactiemonitoring een belangrijk onderdeel van het KYC proces en dit kan uiteraard ook geautomatiseerd worden.
De auteur, Frenk Gerritsen, is Thought Leader Compliance bij Company.info in Amsterdam.
