Kommunikasjonen mellom rådgiver og kunde brer seg utover stadig flere forskjellige kanaler. Det nye EU-direktivet krever at du har full oversikt over samtlige av dem.
Den 1. januar i år tro direktivet som bank- og finansbransjen har forberedt seg på i månedsvis i kraft. MiFID II bringer med seg strenge krav til opptak og lagring av all kommunikasjon mellom rådgiver og kunde – og utfordrer finansinstitusjonene til å finne nye, effektive løsninger for å sikre etterlevelse.Kort oppsummert er det svært omfattende EU-direktivet utformet for å øke kundens rettigheter, åpenheten på tvers av finansmarkedene i EU, og forbedre konkurransedyktigheten ved å standardisere de regulatoriske kravene om opplysninger.
– En viktig endring som følger med MiFiD II er at alle selskaper som driver investeringsrådgivning nå er pålagt å ha en proaktiv overvåking av egne prosesser og compliance til regelverket, forteller forretningsutvikler Bjørn Loe i GuardREC.
– Før holdt det å samle inn nødvendig informasjon for så å finne frem det du trengte når behovet dukket opp internt, eller ved forespørsel fra kunden eller Finanstilsynet. Nå er du pliktet til å vise at alle prosesser er gode, at alt av informasjon blir tatt opp, opplyse kunden om opptak og sørge for at kunden enkelt kan få innsyn i all relevant informasjon du sitter på.
– De nye kravene til opptak er langt strengere
Bank-og finansinstitusjoner har siden innføringen av verdipapirforskriften i 2007 vært pålagt å kunne vise til opptak av alle samtaler gjort over fasttelefon. Med introduksjonen av MiFID II-forskriften 1 januar 2018, skjerpes og utvides disse kravene.
– De nye kravene til opptak er langt strengere. Nå er du pålagt å gjøre opptak av alle typer kundekommunikasjon i samtlige kanaler, understreker Loe.
Dette inkluderer blant annet:
- Fasttelefon
- Mobiltelefon
- SMS og MMS
- Epost
- Nettmøter (f.eks. via Skype Meeting Broadcast)
- Chat (på egne nettsider eller via tjenester som Symphony)
- Sosiale medier (f.eks. LinkedIn)
Loe presiserer at de nye kravene for opptak ikke bare gjelder samtaler rundt selve transaksjonen – regelverket omfavner all kundekommunikasjon som KAN ende med en transaksjon.
– Kan bety at selskaper får en veldig lang audit trail
– For investeringsselskaper som tilbyr rådgivning kan dette bety at de plutselig får en veldig lang audit trail fra starten av kundereisen og frem til selve transaksjonen gjennomføres, sier GuardRECs MiFID II-ekspert.
Han eksemplifiserer med et typisk scenario:
En finansinstitusjon arrangerer et nettmøte med 100 deltakere, og presenterer en investeringsmulighet. Interesserte parter tar kontakt over telefon noen dager senere, og ber om mer informasjon.
Megleren sender informasjon til et prospekt via epost, og interessenten svarer i en kort SMS at han ønsker å få vite mer om risikoen rundt investeringen. En rådgiver i selskapet ringer opp kunden og avtaler et møte.
Først etter en rekke kontaktpunkter – i flere forskjellige kanaler – blir en avtale inngått, og transaksjonen gjennomføres.
– Ifølge MiFID II-forskriften skal all denne kommunikasjon i samtlige kanaler tas opp og lagres, påpeker Loe.
Det viktigste kriteriet for proaktiv compliance
Det nye EU-direktivet har skapt, og vil fortsette å skape, store omveltninger i hvordan bank- og finansinstitusjoner håndterer kundedata, og midt opp i det hele er det spesielt én gruppe som virkelig har måttet tilpasse seg en ny arbeidshverdag:
Personer med stillingstittelen «compliance officer».
MiFID II-forskriften krever at du har full kontroll på at alt som gjøres etterlever regelverket – et ansvar som faller på selskapets compliance officer. Innehaverne av denne rollen er derfor avhengige av å arbeide effektivt med å etterprøve og dokumentere alle steg i kundereisen.
– Det viktigste kriteriet for å jobbe effektivt med proaktiv compliance er å ha kontroll på dataene dine, og sikre opptak av all kommunikasjon du er pålagt å dokumentere, understreker Loe.
Samle all kommunikasjon i et sentralt system
Den største utfordringen for en compliance officer er å få oversikt over alle kontaktpunkter mellom flere personer hos begge parter, fordelt på et bredt spekter av kanaler – spesielt når denne informasjonen er spredt rundt i forskjellige systemer.
– Den eneste bærekraftige løsningen for å få en slik oversikt er å ha et sentralt system som kan samle, lagre, søke opp og spille av all kommunikasjon for å skape en komplett audit trail, slik at du som compliance officer kan gå inn og søke på tvers av kanaler for å verifisere at alt er gjort riktig, mener Loe.
– Systemet bør i tillegg gjøre det mulig å generere maler for compliance-rapporter som gir utfyllende informasjon om hva som er blitt kontrollert, hvem det har blitt kontrollert av og lignende. Det bidrar til at også rapporteringen blir langt mer effektiv, legger han til.
Datadreven vurdering av risiko
Uten et sentralt system vil prosessen med å samle inn all nødvendig informasjon være svært tidkrevende og ineffektiv.
– I en ideell verden ville selskapets compliance officer hatt tid til å gå gjennom og lytte til all kommunikasjon mellom megler og kunde. I realiteten er dette en umulighet, da det ville krevd at du nærmest har én compliance officer pr. megler, forklarer Loe.
Det logiske alternativet for en compliance officer er derfor en risikobasert tilnærming, der du identifiserer og prioriterer knutepunktene med størst risiko.
– Når all informasjon og kommunikasjon samles i ett og samme system, kan dette systemet komme med forslag til hvilke samtaler som bør prioriteres basert på en datadreven vurdering av risiko. Systemet vil enkelt kunne identifisere avvikende handelsmønster, eller spesielt utsatte transaksjoner, som for eksempel førstegangskjøp eller avtaler med høyt volum.
Den verdifulle big data-effekten
En sentralisert løsning for opptak og datahåndtering vil gjøre jobben som compliance officer enklere ved at du kan tilføye kommentarer, tagge viktige segmenter og klassifisere de forskjellige samtalene slik at de raskt kan gjenfinnes på et senere tidspunkt.
– I tillegg får du tilgang til ekstra informasjon om hvem kunden er, hvilken megler han har snakket med, når samtalen fant sted og hva de snakket om på tvers av kanalene, kommenterer Loe.
– Vi skal heller ikke glemme den verdifulle big data-effekten du kan dra nytte av når all data er sentralisert. Når du har tilgang til så mye informasjon på ett og samme sted kan du gjøre mye mer når det kommer til statistikk og data mining enn når den ligger fragmentert i forskjellige systemer, tilføyer han.
Hva gjør du når Finanstilsynet banker på døra?
Selv om finansbransjen nå må være proaktive i compliance-arbeidet vil du fremdeles måtte forholde deg til kontrollmyndigheter.
Finanstilsynet gir konsesjonen til norske verdipapirforetak, og vil tidvis utføre kontroller. Det skjer gjerne i form av et stedlig tilsyn, der de banker på døra for å undersøke alt fra hendelsesforløpet rundt en spesifikk transaksjon til en oversikt over all kommunikasjon som er gjort over en viss periode.
– Dersom en compliance officer da må hente ut informasjon fra flere systemer, og i flere formater, vil det gjøre prosessen unødvendig komplisert. Med et sentralt system kan du segmentere ut spesifikke segmenter, og gi Finanstilsynet innsyn i nøyaktig de dataene de etterspør, forklarer Loe.
– Viktig med restriksjoner på hvem som har innsyn
Et siste punkt GuardRECs ekspert påpeker er viktigheten av god datasikkerhet.
– Når du tar opp og lagrer alle disse dataene er det viktige å legge inn restriksjoner på hvem som faktisk har innsyn i disse. Hvem i selskapet skal kunne se på og lytte til opptakene?
Ifølge MiFID II-regelverket skal ingen ha mulighet til å endre eller slette data i en audit trail. Informasjonen må overvåkes, men den skal kun være tilgjengelig for de som utgjør kontrollfunksjonen i selskapet.
– En ting som går igjen er at de som sitter på IT-administrasjonen ofte har globale admin-rettigheter. Det gir dem i utgangspunktet tilgang til all informasjon, hvilket de ikke skal ha. Løsningen du bruker bør være bygget opp slik at de som har ansvaret for at alt fungerer som det skal har tilgang til alle funksjoner, uten at de kan se selve informasjonen, bedyrer Loe.
Oppsummering:
For å arbeide effektivt med proaktiv compliance i henhold til det nye MiFID II-direktivet er selskapets compliance officer avhengig av et sentralisert system for datahåndtering og opptak av all kommunikasjon på tvers av kanaler.
Ved å samle all informasjon på ett og samme sted får du enklere tilgang til en gjennomgående audit trail som overvåker alt som har blitt gjort i et spesifikt kundeforhold, og sikrer på denne måten at organisasjonen er compliant med den nye forskriften.
Et slikt system vil i tillegg gi selskapets compliance officer ekstra trygghet i oppgaven med å etterprøve og dokumentere alle steg i kundereisen, og tilby en datadreven vurdering av hvilke samtaler som bør prioriteres.
Er bedriften din virkelig så compliant som du tror den er? Ta vår kjappe test for å se om bedriften din virkelig kan kalle seg selv compliant.