MiFID II krever at du har god oversikt over all kommunikasjon dere har med kunder. Det kan være en utfordring når samtalene føres i en rekke forskjellige kanaler.
Kundereisen har endret seg betydelig de siste årene, og som en naturlig forlengning av dette kommuniserer vi også med kunder og leads på en annen måte enn tidligere.
Se for deg følgende scenario:
Et meglerhus publiserer en annonse for investering i et nytt fond på Facebook. En kunde melder sin interesse, og ønsker å få oversendt et prospekt. En megler bekrefter interessen og sender kunden en SMS.
Kunden svarer, og megleren ringer ham opp for en prat på mobilen. En stund senere får megleren en epost fra kunden som ønsker å snakke videre om en mulig investering i en Skype-samtale.
Vi kommuniserer i mange forskjellige kanaler
Scenarioet over er et typisk eksempel på en moderne kundereise. Tiden da all kommunikasjon skjedde over telefon eller faks er for lengst forbi, og i dag har meglere gjerne mange kontaktpunkter med kunden – fordelt på et bredt spekter av kanaler.
Meglere og selgere kommuniserer med kunder via blant annet:
- Fasttelefon
- Mobiltelefon
- SMS og MMS
- Epost
- Nettmøter (f.eks. via Skype Meeting Broadcast)
- Chat (på egne nettsider eller via tjenester som Symphony)
- Sosiale medier (f.eks. LinkedIn)
Ifølge den nye MiFID II-forskriften skal det gjøres opptak av all kommunikasjon som kan lede til en transaksjon, og i mai introduserer GDPR nye krav til hvordan denne informasjonen lagres og håndteres.
Som selskapets compliance officer er det din oppgave å ha full oversikt over hvordan meglerne kommuniserer med kundene, og du må i tillegg sørge for at alle regler og forskrifter etterleves. Men hvordan løser du denne oppgaven på en god måte?
– Ekstremt viktig med tydelige retningslinjer
– Lovverket krever at du har oversikt over hvilke kanaler dine meglere og selgere bruker. Derfor er det ekstremt viktig å ha tydelige rutiner og retningslinjer for kommunikasjon internt i selskapet, og et systematisert oppsett av tillatte kanaler som gir deg som compliance officer full kontroll, mener forretningsutvikler Bjørn Loe i GuardREC.
For å løse dette på en effektiv og god måte er det helt avgjørende å ha et sentralt system for opptak og lagring av data.
Med et slikt system vil det være enkelt å ta opp all kommunikasjon i alle tillatte kanaler. I tillegg får selskapets compliance officer enkelt innsyn i all relevant informasjon – samt en komplett audit trail for hvert enkelt kundeforhold.
Sørg for god informasjonsflyt
Med et solid og oversiktlig system på plass er neste steg å sørge for god informasjonsflyt internt i selskapet.
– Alle meglere og selgere må kjenne til retningslinjene, og vite hvilke kommunikasjonskanaler de kan og skal bruke, understreker Loe.
Han påpeker også viktigheten av å følge opp alle som kommuniserer med kunder for å sikre at de handler i tråd med de retningslinjene som er satt.
– Som compliance officer sitter du ofte litt mellom barken og veden. Du må blidgjøre styret, ledelsen, meglere og selgere som vil gjerne selge mest mulig, men du må også forholde seg til myndighetskrav, lover og regler. Jobben din går i stor grad ut på å holde litt i tøylene.
Selv om ansvaret for etterlevelse av lovverket til syvende og sist faller på ledelsen, er det en compliance officers oppgave å sørge for at lover og regler følges i praksis.
– Kort forklart skal en CO sørge for at de ansvarlige alltid har kontroll over alt som skjer, oppsummerer Loe.
Les også: Hvordan vil GDPR påvirke tiltakene du har gjort for å etterleve MiFID II-forskriften?
Unngå å lagre unødvendig overskuddsinformasjon
MiFID II sier i klartekst at det skal gjøres opptak av all relevant kommunikasjon mellom megler og kunde, i alle kanaler. Men hva med den informasjonen som ikke skal lagres?
– Vi bruker jo gjerne disse kanalene til private samtaler også. Derfor er det viktig å ha et regime på hva som skal anses som overskuddsinformasjon, og selskapet må definere hva slags kommunikasjon som ikke skal tas opp, poengterer Loe.
Et klassisk eksempel på denne problemstillingen er mobiltelefonen.
– En megler bruker trolig mobilen mye både i jobb og privat. All kommunikasjon megleren har med en kunde skal loggføres, men når en ektemann, kone eller barn ringer så skal selvsagt ikke denne informasjonen lagres. De ansatte har jo tross alt rett til et privatliv, uten konstant innsyn.
Hva skal ikke tas opp?
Ifølge regelverket er du pålagt å ikke lagre overskuddsinformasjon. For å takle denne problemstillingen bør enhver compliance officer jobbe i et system med gode whitelisting-funksjoner, som gjør det enkelt å definere hva som tas opp og ikke.
Vi forholder oss i all hovedsak til to typer whitelisting:
- Global whitelisting:
Dette omfavner kommunikasjon med leverandører som Taxisentralen, Peppes Pizza og kafeen på hjørnet. I tillegg er det ikke lov å ta opp samtaler til nødnummer. - Privat whitelisting:
Kommunikasjon med venner, familie og slektninger.
Dette er typiske eksempler på overskuddsinformasjon som bør filtreres ut gjennom et sentralt system. Dette kan gjøres ved å legge inn telefonnummer, epostadresser, chat-ID’er og ansatt-ID’er, medfulgt av en beskrivende kommentar.
– Det er ikke godt nok å slette denne typen informasjon fra systemet i etterkant. Det må være føringer på plass som sørger for at slike samtaler ikke blir tatt opp i utgangspunktet, mener Loe.
Risikoindikatorer gir ekstra sikkerhet
En risiko med whitelisting er at meglere kan gå inn og markere en samtale som privat, uten at den faktisk er det.
– Hvis en megler ønsker å kommunisere uten at det blir logget, er jo det egentlig verdens enkleste ting å få til. Og dette gjør viktigheten av gode retningslinjer enda tydeligere, mener Loe.
Det er en compliance officers oppgave å ha kontroll på whitelister, og vurdere risikoen rundt all kommunikasjon. Derfor bør systemet du bruker også kunne gi varsler dersom det legges til eller gjøres endringer på nummer og ID’er med eksisterende samtaler.
– Ved å ha risikoindikatorer i systemet som merker alle nummer og samtaler i forhold til risiko får du et ekstra lag med sikkerhet, og unngår å gjøre dyrebare feil, sier Loe.
En hektisk hverdag
MiFID II og GDPR er kun to eksempler i en lang rekke av nye regelverk og forskrifter som stiller stadig strengere krav til aktører i bank- og finansbransjen.
I takt med denne utviklingen har etterspørselen etter personer med stillingstittelen «compliance officer» økt betraktelig – og det samme har antallet arbeidsoppgaver knyttet til rollen.
– Hverdagen til en compliance officer kan være ekstremt hektisk. Det å sørge for at all relevant kommunikasjon mellom megler og kunde blir tatt opp er jo bare en liten del av stillingsbeskrivelsen, påpeker Loe.
– Jo flere overordnede forskrifter, jo mer har du å forholde deg til. I tillegg må du følge med på alt som skjer av endringer og oppdateringer, du må sørge for at alle retningslinjer blir implementert og etterfulgt og du blir gjerne inkludert i en rekke forskjellige prosjekter.
Rollen som compliance officer krever med andre ord at du jobber smart og effektivt.
– Og for å kunne jobbe effektivt er man avhengig av et oversiktlig system for opptak av kommunikasjon og lagring av informasjon, avslutter Loe.