Risker i och utanför organisationen
Risker kopplade till medarbetare handlar sällan om illvilja. Ofta handlar de om mänskliga misstag, bristande rutiner eller att individer får tillgång till information och system som kan missbrukas. Men det finns också mer allvarliga risker. Insiderhot, bedrägerier, identitetsförfalskning, intressekonflikter och regelöverträdelser kan få betydande konsekvenser för verksamheten. För företag inom exempelvis bank, försäkring och andra reglerade branscher kan konsekvenserna dessutom innebära allt från ekonomiska förluster och skadat förtroende till regulatoriska sanktioner.
Samtidigt har arbetsmarknaden förändrats. Digitala arbetssätt, distansarbete och internationell rekrytering har gjort det enklare än någonsin att ge människor tillgång till verksamhetskritiska system och känslig information. Det har skapat nya möjligheter, men också nya risker.
Mot den bakgrunden börjar allt fler organisationer se medarbetarkännedom som en naturlig förlängning av kundkännedom. Om KYC handlar om att förstå riskerna i en affärsrelation, handlar KYE om att förstå riskerna kopplade till de människor som verkar inom organisationen.
KYE som ett riskbaserat arbetssätt
Precis som KYC bygger på en riskbaserad metodik bör även KYE utgå från verksamhetens risker, regulatoriska krav och affärsbehov. Målet är inte att genomföra så många bakgrundskontroller som möjligt, utan att säkerställa att rätt kontroller genomförs för rätt personer vid rätt tidpunkt.
Steg 1: Definiera riskerna och skapa en screeningpolicy
Det första steget är att definiera verksamhetens behov och risker samt ta fram en tydlig screeningpolicy. Policyn bör beskriva vilka risker organisationen behöver hantera, vilka roller som omfattas och vilka kontroller som är relevanta för olika befattningar. En medarbetare med tillgång till känsliga kunduppgifter, finansiella system eller kritisk infrastruktur kan exempelvis kräva en mer omfattande granskning än en roll med begränsade behörigheter.
Vill du veta mer om hur du anpassar bakgrundskontroller efter roll, bransch, ansvar, tillgång och risk?
En väl utformad screeningpolicy hjälper organisationer att minska risken för bland annat:
- intressekonflikter
- bedrägerier och ekonomisk brottslighet
- regelefterlevnad och compliance
- penningtvätt, sanktioner och andra regulatoriska risker
- säkerhet och informationsskydd.
Skapa en screeningpolicy som stödjer verksamhetens mål
En tydlig screeningpolicy hjälper organisationer att identifiera relevanta risker, säkerställa konsekventa processer och anpassa bakgrundskontroller efter olika roller och ansvarsområden. Den utgör grunden för ett riskbaserat KYE-arbete och gör det enklare att fatta välgrundade rekryteringsbeslut.
Steg 2: Bestäm hur kontrollerna ska genomföras
När organisationen har identifierat risker och etablerat en screeningpolicy behöver man också ta ställning till hur bakgrundskontrollerna ska genomföras i praktiken.
Vissa företag väljer att hantera hela eller delar av processen internt. Det kan fungera väl för organisationer med begränsade behov av bakgrundskontroller eller med egna resurser inom HR, compliance och säkerhet. Samtidigt ställer bakgrundskontroller höga krav på specialistkunskap, skydd av personuppgifter, regelefterlevnad och effektiva processer för att säkerställa både kvalitet och en god kandidatupplevelse.
Därför väljer många organisationer att samarbeta med en extern screeningpartner. En specialist kan bidra med etablerade processer, tillgång till relevanta datakällor, internationell räckvidd och stöd i att genomföra kontroller på ett konsekvent och rättssäkert sätt.
Oavsett om screeningarna genomförs internt eller externt är det viktigaste att processen är riskbaserad, transparent och anpassad efter verksamhetens behov.
Vill du veta mer om DISA:s arbetssätt och vår digitala plattform?
Steg 3: Välj rätt bakgrundskontroller vid anställning
När organisationen har identifierat sina risker, etablerat en screeningpolicy och bestämt hur screeningarna ska genomföras är nästa steg att välja vilka kontroller som är relevanta för respektive roll.
Vilka kontroller som bör genomföras beror på verksamhetens behov, befattningens ansvar och de risker som ska hanteras. Nedan följer några av de vanligaste bakgrundskontrollerna som kan genomföras före anställning.
Steg 4: KYE slutar inte vid anställning
Att genomföra bakgrundskontroller före anställning är ett viktigt första steg. Men precis som KYC inte avslutas när en kund onboardas, slutar KYE inte när anställningsavtalet är signerat.
En bakgrundskontroll visar vem en person är vid en given tidpunkt. Men människor, roller och omständigheter förändras. Medarbetare får nya ansvarsområden, tillgång till fler system och större möjlighet att påverka verksamheten. Samtidigt förändras omvärlden genom nya regulatoriska krav, tekniska risker och säkerhetshot.
Bara för att en organisation har lärt känna en medarbetare under rekryteringsprocessen betyder det inte att riskbilden ser likadan ut fem år senare. En person som anställdes till en operativ roll kan idag ha tillgång till känsliga kunduppgifter, fatta strategiska beslut eller hantera betydande ekonomiska värden.
Därför bör KYE ses som en löpande process snarare än en kontrollpunkt. Målet är inte att övervaka medarbetare, utan att säkerställa att organisationens riskhantering utvecklas i takt med verksamheten och de människor som verkar inom den.
KYE är inte en kontroll – det är ett arbetssätt
Precis som KYC hjälper organisationer att förstå och hantera risker kopplade till kunder hjälper KYE organisationer att förstå och hantera risker kopplade till de människor som verkar inom verksamheten.
Genom att kombinera tydliga policys, riskbaserade kontroller och löpande uppföljning kan organisationer fatta mer välgrundade beslut, stärka sin regelefterlevnad och minska både operativa och regulatoriska risker.
Kanske är KYE inte bokstavligen det nya KYC.
Men i en värld där människor har tillgång till kritiska system, känslig information och betydande ekonomiska värden blir det allt svårare att argumentera för att medarbetarkännedom är mindre viktigt än kundkännedom.
Har du frågor eller vill du veta mer?
Fyll i formuläret så kontaktar vi dig.