Fra sjekkliste til strategisk verdi: Slik bygger du en moderne KYC-modell
- Kenneth Danielsen

- 15. apr.
- 5 min lesing
KYC er ikke lenger forbeholdt bankenes compliance-avdelinger. Men hvordan bygger man en modell som er risikobasert, skalerbar og gjennomførbar i praksis?
Kravene til “Know Your Customer”, på norsk også omtalt som «Kjenn din kunde», har i løpet av få år flyttet seg fra bankenes compliance-avdelinger og rett inn i styrerommene hos vanlige norske bedrifter. Det som før ble sett på som en byråkratisk øvelse for de spesielt interesserte, har blitt en forretningsmessig nødvendighet – drevet av geopolitisk uro, strengere sanksjoner og økte krav til bærekraft og gjennomsiktighet.
Men hvordan omsetter man tunge regulatoriske krav til en effektiv hverdag? For mange bedrifter oppleves KYC-prosessen som en flaskehals – en brems for kommersiell utvikling og en kilde til hodebry hver gang en ny kunde skal onboardes.
Mer enn en sjekkliste
Den vanligste fellen norske virksomheter går i, er å behandle KYC som en statisk sjekkliste. Man henter inn et pass, sjekker en signatur og arkiverer dokumentet. Problemet er at dette sjelden fanger opp den faktiske risikoen.
– Vi ser ofte at KYC og compliance blir behandlet som en ren sjekkliste, uten at det foretas en reell risikovurdering. Da ender man opp med tiltak som egentlig ikke er egnet til å ta ned risikoen, sier Kyrre W. Kielland, partner i advokatfirmaet Ræder Bing.

Han påpeker at utfordringen strekker seg langt utover de regulerte foretakene. Selv virksomheter som ikke er omfattet av hvitvaskingsregelverket har et hav av regler å forholde seg til – fra åpenhetsloven og internkontrollforskriften til sanksjonsregelverket – og ikke minst rene omdømmehensyn.
For de uregulerte bedriftene er utfordringen gjerne mer grunnleggende: Hvor begynner man når man ikke har et tilsyn i ryggen?
Marcus Gerdin, Product Specialist for Compliance Services i Creditsafe, som selv har bakgrunn fra bankvirksomhet, har et pragmatisk svar.
– Mitt råd er enkelt: Legg deg på minimum samme standard som bankene krever. Alle er kunder i en bank, og bankens KYC-blankett er et godt utgangspunkt. Deretter tilpasser du ut i fra bransje og situasjon. Det handler mye om å bruke sunn fornuft og tørre å tenke selv, sier han.
Bruk ressursene riktig
Kjernen i moderne KYC er at kontrollen skal stå i stil med risikoen. Det er hverken effektivt eller lønnsomt å bruke like mye ressurser på en lokal småkunde, som på en internasjonal aktør med en kompleks forsyningskjede.
– En risikobasert modell innebærer at man i forkant kartlegger trusselbildet virksomheten står overfor. Det er tross alt stor forskjell på å levere garnnøster til lokale butikker på Vestlandet og avanserte droner til internasjonale kunder, illustrerer Kielland.
I sin enkleste form handler risikoklassifisering om sannsynlighet ganget med konsekvens. Ut fra dette identifiserer man hvilke produkter, kunder eller områder som typisk innebærer høy risiko. Kielland anbefaler også å søke veiledning hos relevante myndigheter eller bransjeorganisasjoner – de kan ofte hjelpe deg på rett vei.
Gerdin supplerer med at risiko i praksis handler om å stille riktige spørsmål, og at man ikke trenger å gjøre det mer komplisert enn nødvendig.
– Start med det grunnleggende: Hvem er kunden din? Hva vil de? Vil de selge, kjøpe, være eiere eller noe annet? Og hvem eier selskapet som ønsker relasjonen? Da har du et fundament å bygge videre på, sier han.

Derfra handler det om å legge lag på lag. Hva er transaksjonsvolum? Hvor i verden opererer kunden? Er det politisk eksponerte personer (PEP-er) involvert?
– En PEP i Norge er ikke det samme som en PEP i Kongo. I land med høy korrupsjonsindeks må kontrollen være betydelig strengere. Og du må vite om varen du selger kan brukes både sivilt og militært, eller om kunden holder til i et område nær Russland. Risikoen baseres alltid på en samlet bedømmelse ut fra informasjonen du har tilgjengelig, forklarer Gerdin.
Begrep som forvirrer
En utfordring Gerdin stadig støter på ute hos kunder, er mengden fagterminologi innenfor KYC-paraplyen. Begreper som PEP, RCA, AML og sanksjonsscreening er selvfølgeligheter for noen, men uforståelige for andre.
– Mange bedrifter vet rett og slett ikke hva de skal spørre etter. Hva innebærer det egentlig at en PEP sitter i ledelsen? Hvorfor skal man sjekke sanksjoner? Det er mye å holde styr på, og det krever ikke bare gode systemer, men også en grunnleggende forståelse av hva man ser etter og hvorfor, sier han.
Ikke la compliance kvele veksten
Når en bedrift vokser, øker antallet kunder. Hvis hver eneste kunde krever en manuell og personavhengig vurdering, vil compliance-avdelingen raskt bli en flaskehals som stopper salgsavdelingen.
Her er begge ekspertene enige: systemstøtte er alfa og omega.
– Fra et AML-perspektiv er det helt sentralt å ha en godt gjennomarbeidet risikovurdering som danner grunnlag for automatiserte systemer. Automatisering av datainnhenting reduserer administrative kostnader og forhindrer menneskelige feil, og kan enkelt skaleres etter hvert som bedriften vokser, sier Kielland.
Gerdin understreker verdien av standardiserte prosesser.
– Vurderinger av risiko varierer alltid fra person til person. Derfor er det kritisk å ha en prosess som er lik hver gang, enten du sjekker 10 eller 10 000 kunder. Med et system som KYC Protect får du en pakketert rutine – samme prosess, samme standard. Ingen hopper over viktige steg, sier han.
For virksomheter med store kundeporteføljer finnes det muligheter for å ta en hel kundebase og gjøre en initial screening via bulk-opplasting, og deretter legge til løpende overvåking. For de som ønsker tettere integrasjon, tilbyr Creditsafe også API-løsninger som lar deg bygge risikobedømmelsen direkte inn i eget ERP-system.
Onboardingen er bare starten
En av de vanligste svakhetene i norsk næringsliv er at man gjør en grundig jobb når kunden signerer kontrakten, for så å legge mappen i skuffen. Men i en verden som endrer seg raskt, er gårsdagens kontroll lite verdt dersom kunden bytter eiere i morgen.
– Det holder ikke lenger å si at «vi sjekket dem da de ble kunder». Et selskap som er grønt i dag, kan ha fått nye eiere om fire måneder. Du må ha systemer som overvåker porteføljen løpende og gir beskjed når risikobildet endres, advarer Gerdin.
Han understreker at man bør kombinere både foretaksovervåking og KYC-screening for å få det komplette bildet. Bare KYC-screening vil for eksempel ikke fange opp styreendringer – der trenger man kontroll på foretaksnivå i tillegg.
Dyrere å la være
Compliance blir gjerne omtalt som en ren kostnadspost, og Gerdin legger ikke skjul på at det kan være en utakknemlig rolle.
– Man blir sjelden populær når man sier nei til selgerne, de som genererer penger. Men effekten av å si nei ser man ikke der og da – den ser man først når man unngår en sanksjon eller en bot. Og sanksjoner svir betydelig mer enn en tapt kontrakt, sier han.
– Boten i seg selv er gjerne en symbolsk sak. Det som virkelig koster er ettermælet – signalene som sendes til partnere og kunder. Det kan man ikke kjøpe seg ut av, understreker Gerdin.
Kielland deler denne oppfatningen, men ser også en tydelig oppside for de som tar compliance på alvor.
– Solid KYC og compliance vil over tid styrke virksomhetens omdømme sammenlignet med andre i samme marked, og kan fungere som et konkurransefortrinn i både private og offentlige anbud, sier han.
Et levende arbeid
KYC og compliance er ikke noe man gjør én gang og er ferdig med. Regelverkene utvikler seg, trusselbildet endrer seg, og det som var godt nok i fjor er ikke nødvendigvis tilstrekkelig i morgen.
– I starten holder det kanskje å sjekke navn og hvem som eier selskapet. Halvannet år senere ser du at du trenger mer informasjon. Det er naturlig. Poenget er å ha en solid base å bygge videre fra, sier Gerdin.
Eller som han kontant oppsummerer det:
– Du fikk kanskje ikke den businessen, men du fikk heller ikke boten eller det ødelagte ettermælet. Det er en avveining de fleste bør kunne leve godt med.
Både Kielland og Gerdin stiller på Creditsafes AW Club i Oslo 22. april, der temaet nettopp er hvordan norske selskaper kan navigere i et stadig tøffere regulatorisk landskap.

