Hver dag sendes det på verdensbasis om lag 124,5 milliarder forretningseposter, ifølge Campaign Monitor.
En gjennomsnittlig kontorarbeider mottar 121 og sender 40 e-poster i løpet av en arbeidsdag, og selv om mye av det man mottar sannsynligvis er spam er det også mye viktig informasjon som sendes til og mottas fra kunder, leverandører og samarbeidspartnere.
Dersom du er megler eller rådgiver i bank- og finansbransjen er dette sannsynligvis bare en naturlig del av arbeidshverdagen. Du leser, svarer, kategoriserer, arkiverer og sletter e-poster.
Er du derimot en Compliance Officer i et verdipapirforetak har e-post antageligvis blitt et betydelig smertepunkt og bekymringsmoment i løpet av det siste året.
Hvorfor har e-post blitt et problem?
1. januar 2018 tro MiFID II-direktivet i kraft, og med dette omfattende EU-direktivet fulgte nye og strengere krav til opptak og lagring av kommunikasjon mellom kunder og rådgivere i Europas mange verdipapirforetak.
Til tross for at bransjen har vært pålagt å gjøre opptak av alle telefonsamtaler forbundet med en transaksjon helt siden verdipapirforskriften ble introdusert i 2007, har tre små ord i MiFID II-forskriftens paragraf 2.8 hatt en enorm påvirkning på verdipapirforetakenes compliance-rutiner:
«... og elektronisk kommunikasjon ...»
Denne lille bisetningen fastsetter at det ikke lenger kun er telefonsamtaler som skal tas opp og lagres trygt, men all kommunikasjon i alle kanaler – inkludert SMS og MMS, nettmøter, chat, sosiale medier ... og e-post.
Utvidet krav om opptak og lagring
En annen viktig omdefinering i MiFID II er at det ikke lenger holder å gjøre opptak av samtaler som dreier seg spesifikt om en transaksjon.
Det nye regelverket krever at du tar opp og lagrer all kommunikasjon som kan lede til en transaksjon, og du skal kunne dokumentere en komplett audit trail for hvert enkelt kundeforhold.
Med andre ord: Som compliance officer skal du ha innsyn i, og kontroll over, alle e-poster som sendes og mottas av alle meglere, rådgivere og ledere i selskapet som inneholder informasjon om en mulig transaksjon.
Dette byr for mange på flere store utfordringer, og gjør at man må å tenke annerledes enn tidligere.
Enormt volum fordelt på flere enheter
Den kanskje mest åpenbare utfordringen er det enorme volumet på kommunikasjonen som nå skal tas opp og lagres.
Dersom en gjennomsnittlig kontorarbeider sender og mottar om lag 160 e-poster pr. dag vil det utgjøre hundrevis, om ikke tusenvis, av e-poster daglig for mellomstore til store verdipapirforetak.
Videre må du som compliance officer ta høyde for at disse e-postene åpnes, leses og sendes på flere forskjellige enheter. Statistikk viser at om lag to tredjedeler av all e-postaktivitet i dag foregår på mobile enheter, men også nettbrett, laptoper og stasjonære PCer brukes flittig.
Mange foretrekker også å lese e-post på mobilen, men svarer gjerne fra PCen dersom de har mulighet til det.
En e-post kan forsvinne på mange forskjellige måter
Utfordringene stopper ikke her.
E-poster kan lagres på en lokal e-posttjener, men også på eksterne servere tilhørende e-postklienten. Noen leser kanskje e-post fra en snarvei på skrivebordet, mens andre logger seg inn via en skybasert tjeneste.
Mennesker bruker også e-post på svært forskjellige måte. Noen sletter alt av e-post så snart de er ferdige med dem, noen kategoriserer og arkiver mens andre aldri sletter noe som helst. I tillegg kan egendefinerte spamfiltre feilaktig fange opp e-poster med relevant informasjon.
Som en ekstra bonus velger enkelte å slette eller eksportere hele innboksen sin dersom de forlater selskapet, noe som går imot kravet om at all informasjon skal lagres trygt i fem år før det skal slettes.
Det finnes altså mange forskjellige måter en e-post kan forsvinne på, noe som betyr en betydelig gravejobb for deg som compliance officer ved en eventuell henvendelse fra Finanstilsynet om innsyn i et kundeforhold.
Dersom du ikke har kontroll i utgangspunktet kan det å dokumentere en fullstendig audit trail raskt bli en kjempeutfordring.
Må ta hensyn til personvern
Sist, men ikke minst må du ta stilling til hver enkelt ansatts personvern.
Selv om du som compliance officer skal ha tilgang til all relevant informasjon om en potensiell transaksjon, betyr ikke det at du skal ha innsyn i alle e-poster en megler eller rådgiver sender og mottar.
Det er ikke uvanlig at ansatte mottar private e-poster til jobbmailen, og personvernforordningen GDPR stiller egne krav til hvordan man skal behandle personlig informasjon.
Dette skillet kan være svært utfordrende å forholde seg til, og krever at man har gode systemer og rutiner på plass for å sikre etterlevelse av både MiFID II og GDPR.
Mange velger en enkel løsning
Det finnes flere måter å løse disse utfordringene på.
Jeg opplever at mange forsøker å implementere rutiner der hver enkelt megler og rådgiver skal lagre alle relevante e-poster til en spesifikk lokasjon, eller daglig synkronisere innboksen med et CRM-system.
Problemet med denne løsningen er at det krever mye manuelt arbeid, og det er mye ansvar som legges på de individuelle ansatte.
I tillegg vil det være svært utfordrende for en compliance officer å verifisere at all informasjon er inkludert, at hver enkelt e-post er nøyaktig lik originalen og at alle data lagres på en trygg og sikker måte.
Automatiser deler av opptaks- og lagringsprosessen
En langt bedre løsning er å implementere ett sentralt system for opptak og lagring av all relevant kommunikasjon på tvers av enheter og kanaler.
Et slikt system kan automatisk hente ut og lagre e-poster i det en av selskapets rådgivere sender eller mottar en e-post, for så å lagre det trygt på samme sted som all annen kommunikasjon.
Når du bruker et slikt system kan du være trygg på at:
- All informasjon er tilgjengelig på ett og samme sted
- Du har full kontroll og oversikt over all relevant kommunikasjon
- Du får med de samme metadataene som følger med opptak av telefonsamtaler
- Alle lagrede e-poster er identiske med originalen
- Ingen kan endre eller slette innholdet i e-postene
- E-postene slettes automatisk etter fem år, i henhold til regelverket.
Ved å automatisere deler av opptaks- og lagringsprosessen minimerer du risikoen for feil, du forbedrer selskapets evne til å etterleve regelverket og effektiviserer ditt eget compliance-arbeid.
Automatisk kontroll, orddeteksjon og whitelisting
GuardREC har utviklet et opptaks- og lagringssystem som tilbyr alle fordelene som er nevnt ovenfor.
I tillegg har vårt system en rekke funksjoner som vil bidra til å løse dine bekymringer rundt e-post:
- Automatisk kontroll av opptakene sørger for at all relevant informasjon lagres.
- Orddeteksjon søker opp og lagrer alle e-poster som inneholder spesifiserte nøkkelord og fraser
- Risikodeteksjon gjør det enklere å prioritere hvilke kundeforhold du bør kontrollere
- Whitelisting gjør det mulig å ekskludere private e-postadresser og nyhetsbrev, for å sikre etterlevelse av GDPR og minimere lagring av irrelevant informasjon
Systemet lar deg søke på tvers av alle kanaler, og gir deg enkelt tilgang til all relevant informasjon for hvert individuelt kundeforhold. Dermed kan du enkelt finne frem til én spesifikk e-post, eller få en fullstendig oversikt over hele kundeforløpet og en komplett audit trail.
En tidsbesparende og kostnadseffektiv løsning
Ved å implementere GuardRECs system for lagring og opptak kan du ta en proaktiv rolle i compliance-arbeidet.
Du kan merke alle leste e-poster, bruke smart tags og kategorisere innholdet, legge inn utfordringer og løsninger og sette sammen en fullstendig compliance-rapport i ett og samme system.
Kort sagt er dette en løsning som både er tidsbesparende og kostnadseffektiv, og samtidig gjør arbeidsdagen din betydelig enklere.
