Financial Crime & Compliance

미국의 ACH, Wire 거래의 50% 이상을 점유하고 있는 Payment Company이자, 

미국 상위 은행들의 연합회인 The Clearing House에서 발간한

"Guiding Principles for Anti-Money Laundering Policies and Procedures in Correspondent Banking"

20160216_tch_aml_correspondent_banking_guiding_principles.pdf

뉴욕 주 금융 서비스국 (The New York State Department of Financial Services)은 금융 기관이 서면 사이버 보안 정책을 유지하고,

다른 규칙들 중에서도 사이버 보안 프로그램을 감독 할 수있는 자격을 갖춘 개인을 지명하도록 요구하는 최종 규정을 발표했습니다.

이 규정은 또한 다음에 관한 조항을 포함합니다 : 

사이버 보안 취약성 평가

주기적인 위해 평가의 적용

타사 서비스 공급자 정책 추가적인 사이버 보안 요원 요구 사항. 

또한 규정에 따라 규제 당국은 잠재적으로 정보 시스템을 손상시키는 사이버 보안 사건을 해결하기 위해 작성된 서면 사고 대응 계획을 수립해야합니다.

금융기관은 최소한의 기준을 충족시키는 사이버보안 시스템을 운용해야 하고 전담 인력을 배정해야 합니다. 

또 시스템 운용 현황과 결과를 주기적으로 은행 이사회와 같은 최고 의사결정 기구에 보고해야 합니다.

주정부가 요구하는 최소한의 기준에는 

  - 시스템 접근에 대한 통제 

  - 암호화를 포함한 데이터 보호 장치 

  - 시스템 침투 테스트 실시 

  - 사고 발생 시 데이터를 보존하고 대응하기 위한 계획의 수립 

  - NYSDFS(뉴욕주 금융서비스국)에 대한 신고 체계 

등이 포함되어 있습니다.

또 중요한 결함에 대해 확인하고 기록하며 복구할 계획을 가지고 있어야 하며, 이사회 등이 매년 NYSDFS에 규정 준수 확인서를 제출해야 합니다.

단, 뉴욕 내 영업장이 

  - 종업원 10명 미만이거나 

  - 지난 3년의 회계연도 동안 뉴욕 내 매출이 연간 500만 달러 미만인 경우 

  - 연말 기준 자산이 1000만 달러 미만인 경우

에는 조항 적용이 면제됩니다.

새로운 규칙은 2017 년 3 월 1 일부터 시행됩니다.

NYDFS.FinalReg.Cyber.021617.pdf

규정의 취지 및 효력

• 미국의 BSA / AML 법규 준수 및 OFAC 요건 충족 강제화
  : 거래 모니터링 프로그램(TMS), 요주의리스트 필터링 (Watchlist Filtering)의 매년 인증 책임 및 Penalty 명확화

• 504.1 = 배경 

• 504.2 = 용어 정의

• 504.3 = 요구사항

• 504.4 = Annual Certification
  : 매년 4/15까지 인증된 고위 임원(Certifying Senior Officer)이 서식에 의거 인증 필요

• Penalties / Enforcement Actions (인증 받지 못할 경우)
  - 기관 : 은행법 및 금융 서비스 법에 따라 제공되는 모든 관련 처벌을 받아야 함.
  - 인증된 고위 임원 : 형사 처벌 대상

• 504.3-a Transaction Monitoring 유지
1. 기관의 Risk Assessment에 기초
2. KYCDD,EDD에서 가능한 모든 정보 반영
3. 사업,상품,서비스,고객,거래대상 매핑
4. 시나리오에 위험을 탐지하기 위한 RA 기반의 임계값 및 금액 사용
5. 데이터 매핑,트랜젝션 코딩,시나리오 로직, 모델 검증,입출력주기적 테스트를 포함하여 End-to-End, TMS에 대한 구축 전후 테스트 포함
6. 탐지시나리오,가정,매개변수,임계값 Documentation
7. 경보 조사 방법,경보처리 프로세스,담당자/의사결정 프로세스 문서화
8. 탐지시나리오,기본 규칙,매개변수,가정 등을 지속적으로 평가/분석 대상화

• 504.3-b Watch List Filtering 유지
1. 기관의 Risk Assessment에 기초
2. 이름과 계좌를 대조하기 위한 기술 또는 도구(Fuzzy 등 활용)
3. 데이터목록,감시목록,임계값 등주기적 테스트를 포함하여 End-to-End, 구축 전후 테스트 포함
4. 현재 법적/규제 요구사항 반영 리스트 사용
5. 이름,계좌 매핑 기술/도구의 논리,성능,리스트,임계값의 지속적인 분석 및 점검
6. 프로그램 도구 및 기술 의도, 디자인의 명확한 설명 Documentation
   
   
• 504.3-c Transaction Monitoring, Watch List Filtering 최소 요구 사항
1. 관련 데이터 포함한 모든 데이터 식별
2. 정확하고 완전한 데이터 흐름을 보장하기 위해 데이터의 무결성, 정확성 및 품질 확인
3. 소스로부터 데이터를 완전하고 정확하게 전송할 수 있도록 하는 데이터 추출/로딩 프로세스
4. 프로그램의 변경 사항을 관리
5. 프로그램의 벤더 선택 프로세스
6. 프로그램의 설계,구현,유지 자금 지원
7. 프로그램의 설계, 계획, 구현, 작동, 테스트, 유효성 검사 및 분석에 책임이 있는 자격을 갖춘 인력 또는 외부 컨설턴트
8. 이해 당사자에 대한 주기적인 교육

1. 기업 지배 구조 및 경영 감독 측면

• BSA/AML 시스템 개선 조치

• 지점에 대한 통제 및 감독 책임

• 전문성 있는 리소스(인력) 배분

2. BSA/AML 준수 프로그램 측면

• BSA/AML 요구 사항 준수할 수 있는 합리적으로 설계된 내부 통제 시스템

• Correspondent Banking 통제

• 적절한 Resource 할당 및 자원 / 직원 배치에 대한 정기적 재평가

3. Suspicious Activity Monitoring and Reporting Program

• 상품,서비스,고객유형,위치, Initial Operator, UBO 등을 고려한 모니터링 규칙 및 임계값 설정을 위한 방법론

• 모니터링 규칙 및 임계값 변경 사항에 대한 분석, 테스트 및 문서화하기 위한 정책 및 절차

• 모니터링 및 조사 기준 강화 (Corres Banking/Trade Finance, 의심거래 정보 확대, Documentations 등)

• 모니터링 규칙의 갭 평가와 시정 조치 실행 계획 및 자동 모니터링 표준 수립/시스템 개선 계획

4. OFAC Compliance

• 최신의 OFAC Filtering 유지, 최신성 유지 확인 프로세스

• 오탐 억제 프로세스 적절성 점검 / 업데이트 절차

1. 기업 지배 구조 및 경영 감독 측면

• BSA/AML 시스템 개선 조치

• 지점에 대한 통제 및 감독 책임

• 전문성 있는 리소스(인력) 배분

2. BSA/AML 준수 프로그램 측면

• BSA/AML 요구 사항 준수할 수 있는 합리적으로 설계된 내부 통제 시스템

• Correspondent Banking 통제

• Risk Assessment (상품, 서비스 ,고객 유형, 위치 등을 고려한)

• 시스템 테스트

• BSA/AML 준수를 위한 시스템 식별 및 시스템이 BSA/AML 리스크 완화하고 있는지 검토 Timeline

• BSA/AML 요구사항, 내부 정책 / 절차 등 모든 영역에서 인력에 대한 교육

3. Customer Due Diligence 측면

• Risk Rating을 위한 방법론

• Correspondent Banking 관련 정책, 절차, 책임 및 실사 강화
  

• 주기적 검토 및 평가 -> 정보/위험 프로파일 최신성 유지 è Risk 수정 근거 문서화

4. Suspicious Activity Monitoring and Reporting Program

• 모니터링 규칙 및 임계값 설정을 위한 방법론, 분석, 테스트 및 문서화하기 위한 정책 및 절차

• 모니터링 및 조사 기준 강화 (Corres Banking/Trade Finance, 의심거래 정보 확대, Documentations 등)

첨부 참조

IBK Written Agreement with NYSDFS.pdf

2017.01.10 머니투데이 단독 기사

美당국, 국내은행 뉴욕지점 자금세탁 조사... 금융권 긴장

- 농협은행, 이달초 FRB로부터 '서면합의' 조치 통보... "글로벌 수준에 맞는 시스템 / 인력 필요" 지적

http://news.mt.co.kr/mtview.php?no=2017010915483891931&MTS

이라는 기사가 떴다.

드디어 올 것이 오고 있다는 느낌이다.

작년부터, 대만 메가뱅크, 중국농업은행, 이태리 인테사상파올로 은행이 뉴욕 금융감독청으로부터 대대적인 과징금을 받았고,

뉴욕에 지점을 가지고 있는 모든 해외 은행을 감시/감독하는 FRB of NY과 NYDFS의 화살이 

이제 한국의 금융기관을 가리키고 있다는 느낌이다.

알다시피, 기업은행이 작년 초 "서면합의" 이행 조치를 받아, 

국내 준법지원팀에서 근무하던 CAMS(Certified Anti-Money Laundering Specialist)가 

작년 중순 경 국내 AML 프로젝트를 진행하고 있는 중간에 뉴욕지점으로 발령이 나서 뉴욕에서 근무하고 있고,

전 직원이 24명인 뉴욕지점에 준법지원 관련 인원을 6명까지 충원하였다.

필자가 앞선 BIKorea.net에 기고했던 글 처럼(http://www.bikorea.net/news/articleView.html?idxno=15974)

향후 AML과 관련된 인력은 해외지점을 운영하는데 가장 큰 도전이 될 것이다.

또, 국내 규제에 맞추어 시스템과 조직을 운영하던 금융기관에게도 

뉴욕의 규제는 KoFIU의 규제의 강도와 감독의 디테일함에 비할바 못된다는 것을 알게 될 것이다.