Financial Crime & Compliance

1) 2017년 6월 자로, 농협은행의 자산규모는 전세계적으로 약 2,250억 달러 (275조 5천억원)이며,
   뉴욕지점은 약 4억6천만 달러(약 5천억원)

2) 농협은행은 중국, 베트남, 인도, 미얀마 등에 해외지점이 있으며, 뉴욕지점은 뉴욕 주립 라이선스로 영업활동을 하고 있음.

3) 농협은행 뉴욕지점은 2013년 8월부터 영업을 하고 있으며, 전반적인 사업내용은 여신, MMF, 무역금융임.

  주요 사업은 제휴 지점과 당행고객에게 미화 어음 교환 서비스를 제공하는 것임.

4) 어음 교환 서비스가 차지하는 비중은 상당하며, 매년 45,000건, 총 20억달러 규모 (2조 2천억원) 규모의 거래가 발생하고 있음.

 해당 서비스는 모든 금융기관에서 리스크가 발생할 수 있으며, 범죄에 이용되거나 자금을 세탁하는데 이용될 수 있음.

5) 당국 조사 결과, 농협은행과 뉴욕지점은 AML 프로그램 및 체제 미흡 등을 이유로 뉴욕 주립 은행법을 위반한 사실이 발견되었음.

6) 여러 지적사항 중에서도, 농협은행은 적절한 거래 모니터링 시스템을 유지하는데 실패했다.
    여기서 “거래 모니터링”이란, 금융기관이 금융거래를 관리 감시하는 행위이며, 

    모니터링을 이행함으로써, 혐의거래보고 (SAR/STR)를 감독당국에 보고하는 등, 

    미국은행비밀법(BSA)과 AML 규정을 준수하는데 중요한 역할을 함.

7) 감독당국은 농협은행 뉴욕지점이 영업을 시작한 2013년부터 총 3번의 검사를 시행했으며, 결과는 좋지 않았었음.

  이상적인 방향이라면, 검사를 받을 때마다 감독관의 충고에 따라 솔루션을 개발하거나 관리하지 않았던 분야를 신경 쓰게 되어, 

  결과가 긍정적이고, 은행의 상태가 향상되어야 하지만, 

  농협은행은 거래 모니터링 과정과 절차를 충분히 이행하지 않음으로써 정 반대의 결과가 나왔음.

< 2014년 감사 결과> - “보통”

8) 감독당국은 2014년 농협은행 뉴욕지점의 첫 감독 과정에서 농협은행의 BSA/AML 규정을 준수하는 

    내부통제 시스템이 부적절하다고 지적한 바 있음

- 구체적인 지적사항으로, 의심스러운 거래활동 가능성이 있는 거래들을 확인하지 못했고, 필터링 기능이 부족함

 조사 결과, 뉴욕지점은 기간동안 발생한 모든 SAR/STR 을 검토하지 않았음

9) SAR/STR Alert 의사결정 관련 문서들을 관리하고 기록을 유지하는데 실패했다고 지적한 바 있음

10) 경영진과 이사진에게 보고할 “Key - Risk 추적” 보고서 자체가 투명하지 않고,
     은행에게 닥칠 수 있는 리스크를 제대로 확인하지 못함

11) 농협 본사(국내) 계좌를 이용하는 고객의 KYC 를 주기적으로 업데이트 하지 않음

12) 농협 본사(국내) 계좌를 이용하는 고객의 OFAC SDN 리스트 등재 여부를 확인하지 못함

13) 농협 본사(국내) 계좌를 이용하는 고객의 PEP, 부정적 언론 언급 여부 조차 확인하지 못함

14) 준법감시인이 내부감사 역할에도 관여하고 있음

15) 내부 감사를 위한 문서, 정책, 절차 미흡

<2015년 감사 결과> - “보통 이하”

16) 2014년도에 지적한 사항들을 개선하지 않았고, 새로운 개선 사항이 추가 발견됨,

- 거래 모니터링의 경우, 준법감시인이 전체 SAR/STR Alert 숫자를 줄이기 위해 임의적으로 임계값을 조작한 사실이 밝혀 짐

- 해당 사실이 기재된 감사 보고서는 당국에 보고되지 않고, 뉴욕지점과 본사에서 조치를 취하지 않음

17) 임직원들이 AML 에 대한 이해도가 떨어지고, 충분한 교육을 받지 못함 :
     상당한 양의 어음 교환 거래가 이루어짐에도 SAR/STR 보고자가 1명 이였으며, 그조차 감독당국의 감사 몇 달 전에 임명된 상태였음

- 무역금융 SAR/STR 담당자도 BSA/AML 에 대한 전반적인 이해도가 떨어진다는 평가를 받음

- 준법감시인 대체자의 직무 능력과 이해도도 부족하다는 평가를 받음

18) 내부 감사 평가 자체도 충분히 이행하지 않음 : 대부분의 내부 감사 평가 내용에 기존 내부통제 및 절차과정 내용을 그대로 복사함

  샘플 테스트 결과, 고위험 고객 또는 그 범위를 파악하는데 실패함

19) 2014년도에 지적한 사항들이 되풀이 되고 있는 것을 확인함

- Correspondent 계좌 CDD 이행 부족

- BSA/AML, OFAC 위험도 평가 매뉴얼에 부합하지 않음

- 거래 모니터링 시스템 미비

- 내부감사 시스템 미비

<2016년 감사 결과> - “보통 이하”

20) 많은 인력을 보충했음에도 불구하고, 해당 인력들이 BSA/AML 에 대한 이해도가 부족함. 

     예를 들어, 무역 금융 담당 부서에 BSA/AML 이해도가 부족한 인력 2명을 추가 배치한 것

21) SAR/STR 보고 미흡 : 고위험 국가에만 Alert가 발생하도록 시나리오/룰이 설정됨. 

     저위험/중위험 국가에서/으로 발생하는 거래는 확인하지 않음

- SAR/STR 보고기간 위반 : 30일 초과

<협력>

당국은, 농협은행이 감사 과정에 있어서 충분히 협력했다고 판단하여 긍정적으로 고려했음.

<최종 위반 사항>

1. 농협은행은 효과적이고 BSA/AML 을 준수하는 AML 프로그램을 갖추지 못함

2. 농협은행은 모든 거래 및 의사결정 관련 문서, 절차, 기록을 유지하지 못함

<벌금>

뉴욕은행법 39, 44조에 의거, 1,100만 달러( 120억) 벌금을 부과함

농협은행은 본 Consent Order 가 발표되고 10일 이내에 부과한 벌금 총액을 내야함

지적한 사항들을 문서화하여 60일 이내 제출하고, 2년 동안 분기별로 진행/업데이트 사항을 제출할 것

Global No 5.이면서 중국을 제외한 아시아에서 가장 큰 은행인 일본 은행인

the Bank of Tokyo Mitsubishi UFJ (“BTMU” or "MUFG")는 2017년 11월 8일에

뉴욕주 금융 감독 당국인 DFS(NYDFS, NYSDFS)에 감독권 관련한 소송을 제기하였다.

DFS는 미국의 Sanction 및 자금 세탁 관련 조사를 최근 수행하였고,

이에, 2017년 11월 7일 BTMU는 

과거 BTMU의 뉴욕 및 기타 미국 지점의 라이선스를

주 라이선스에서 연방 라이선스로 전환하였다.

연방 라이선스로 전환되면, DFS의 감독 관할이 아닌
OCC(Office of the Comptroller of the Currency)의 감독 관할로 변경되게 된다.

이에 11월 7일 DFS는 BTMU의 라이선스 전환과 함께, DFS는

BTMU의 라이선스 변경 이전에 발생한 모든 법률 위반에 대해 BTMU에 대한 조사 및 기소 권한을 DFS가 보유 할 것이며,

해당 OCC 라이선스가 합법적으로 효력을 발휘할 때까지 BTMU에 대한 감독 권한을 보유한다는 명령을 내렸다.

이에, BTMU는 11월 8일 즉각적으로

BTMU는 DFS에 대한 영구 금지 명령을 요구하여,

DFS가 명령에 따라 조치를 취하거나 BTMU의 은행 업무를 방해하지 못하도록 금지하는 소송을 제기했다. 

소장에는 "OCC가 연방 라이선스를 보유한 지점에 대해 "방문 권한"을 행사할 독점 권한을 갖고 있으며 

DFS의 명령은 연방법에 의해 배제된다. 이에, DFS의 행위는 OCC의 권한 행사를 크게 해치고 있다."고 언급하고 있다.

이 케이스에 따라 DFS 감독 및 조사 권한과 관련하여 흥미롭고 특이한 양상을 띄고 있다. 

BTMU가 연방 소송에서 제기한 논점과 쟁점은 잠재적으로 DFS의 감독 권한에 중대한 영향을 줄 수 있고,

또한, 그 결과에 따라 최근 DFS로부터 많은 위협을 받고 있는 

뉴욕에 위치한 다른 외국계 은행의 뉴욕 지점의 라이선스 정책에도 지대한 영향을 미칠 것으로 생각된다.

http://www.lit-wc.shearman.com/bank-of-tokyo-mitsubishi-sues-dfs-and-alleges-tha

2017년 11월 27일 

아일랜드 중앙 은행(Central Bank of Ireland)은 2010년 ML/TF 법 위반 혐의에 대해

아일랜드 더블린에 위치한 Intesa Sanpaolo Life에 대해 1백만 파운드 벌금을 부과했다.

Intesa는 2010년 7월부터 2014년 7월까지 CDD, STR, Policy, Procedure 등 

4가지의 법률 위반 사실을 인정하였다.

특히, 자금 세탁 및 테러 자금 조달 위험 평가를 완료하지 않았고,

PEP 개인 고객을 신청서에서 부적절하게 배제하였으며, 정책 및 절차에 검토 매커니즘을 통합하지 못했다.

ireland.enforcementaction.intesa.112717.pdf

2017년 9월 12일

금융정보분석원은 금융회사의 자금세탁 방지 내부통제를 강화하기 위해

"자금세탁 위험평가체계(Risk Assessment), 독립적 감사, 임직원 신원확인(KYE) 등 

내부통제 핵심사항을 [금융회사 내부통제기준]에 포함" 시키는 조치를 취했다.

이는 국제적으로 금융회사의 자금세탁 방지 역할이 강조되며, 

강화된 FATF 국제 기준(2012년)에 따라 금융회사가 Risk-Based Approach 내부통제 프로그램을 갖출 것을 명시하였고,

미국 등 주요국에서 자국내에서 영업하는 금융회사에 대한 자금세탁방지의무 수준을 강화하며 

엄격한 검사 / 제재를 부과하는 추세에 따른 것이다.

이에 따라 국내 금융 기관은

국제기준 및 국내법상 자금세탁 방지 관련 내부통제 핵심사항을 금융회사 "내부통제기준"에 포함하도록 의무화하기 위해

1. 자금세탁 위험평가 / 관리 체계 강화 (금융회사가 자체적으로 위험을 분석 / 대응하는 내부 프로세스 설계 / 운영)

2. 독립적 감사 체계 구축 (감사와 같은 독립된 부서나 외부 전문가가 객관적으로 평가 문제점 개선 감시체계)

3. 임직원의 교육/훈련 및 신원확인 의무화

를 금년 중 감독규정 개정 입법 등을 거쳐 금융위 의결을 수행할 예정이라 공시하였다.

자세한 내용은 첨부의 금융위원회 보도자료를 참고할 수 있다.

170912 [보도] 금융회사 자금세탁방지 내부통제 강화-hwp.pdf

미국 연방 금융 당국은 

2018년 05월 Customer Due-Diligence 규정 개정 전 

금융사의 혼란을 줄이기 위하여

계정을 보유한 법인 고객의 최종 소유자(Ultimate Owner)와 통제자(Controller)를 확인하기 위한 수정된 표준을 선 발표할 예정이다.

개정되는 CDD 규칙에 따라서

금융 기관은 은행 계좌를 보유하고 있는 법인의 

25% 이상을 소유한 개인을 식별할 수 있는 데이터를 수집하기 위한 합리적인 조치를 취해야 하며,

해당 기업의 중요한 통제자(Controller)와 관리(Management)를 수행하는 개인도 있어야 한다.

이 규칙은 또한 대상 금융 기관의 소유권 변경 또는 통상적인 고객 활동과 관련하여 

기존의 법인 고객으로부터 유사한 데이터를 입수하도록 의무화하고 있다.

최근 ACAMS 세미나에서 FinCEN의 주요 임원은

2018년 04월에 금융 기관이 법인에 중요한 지분을 보유하고 있는 개인을 포함한 소유권 데이터를 집계해야 한다고 언급했다.

25% 이상의 법적 실체를 누적으로 소유한 사람을 정확하게 식별하려면 

특히 데이터 분석 측면에서 중첩된 익명의 회사 또는 서로 다른 회사의 법적 실체를 확인하기 위해 

은행이 더 많이 투자와 분석이 필요하게 된다.

이 규칙은 금융 회사에게 중요한 변화를 의미한다. 

그러나 투명성을 높이기 위해 컴플라이언스 직원을 재교육하고 

시스템을 다시 구축하는데 많은 노력과 리소스가 필요하게 되어 과거에 비해 더욱 많은 비용이 들 수 밖에 없다.

바젤 연구소(Basel Institute on Governance)는 

2017년 바젤 자금 세탁 방지 지수 (Basel Anti-Money Laundering Index)를 발행하여 

146 개국의 자금세탁 및 테러 자금 조달 위험에 대한 평가 순위를 제공했다.

이 보고서는 이란, 아프가니스탄, 기니 비사우, 타지키스탄, 라오스, 모잠비크, 말리, 우간다, 캄보디아, 탄자니아 등 

10 개의 가장 위험한 국가를 강조했다. 

Basel은 2017년 위험이 높은 국가의 대다수가 위험 등급을 크게 변경하지 않았기 때문에 

자금 세탁 방지(AML) 및 대테러 자금 조달(CTF) 개혁이 느리게 진행됨을 표현했다. 

2017년에 자메이카, 튀니지, 헝가리, 우즈베키스탄, 페루가 가장 악화된 국가를 표시되었다.

또한 바젤은 수단, 대만, 이스라엘, 방글라데시가 2016년 이래 가장 큰 개선을 수행한 국가로 표시했다. 

이 보고서는 또한 핀란드, 리투아니아, 에스토니아가 각각 가장 낮은 위험 국가로 남아 있다고 지적했다.

바젤의 프로세스에는 재무 액션 태스크 포스, 투명성 국제기구, 

세계 은행 및 세계 경제 포럼의 평가를 고려한 방법론을 사용하여 

각국의 AML / CTF 프레임 워크를 평가하는 과정이 포함되었다.

이 보고서에 따르면, 대한민국은 146개국 중 가장 리스크가 낮은 34번째 국가이고, 미국은 31번째 국가로 평가하고 있다.

Basel_AML_Index_Report_2017.pdf

http://www.straitstimes.com/business/banking/mas-banks-working-on-new-tech-to-help-fight-against-money-laundering-terrorism?mod=djemRiskCompliance

최근, 영국에서 촉발된 KYC(Know Your Customer)에 대한 공동 유틸리티 대응에 각 Regulator가 관심을 갖고 있다.

이는, 국가 차원에서 금융 서비스를 이용하는 국민 / 고객을 대상으로

모든 금융 기관이 동일한 정보를 접근하도록 접근성을 확대하고,

고객 입장에서는 거래하고자 하는 모든 금융 기관에 개인 정보 및 기업 정보를 제공하는 것이 아니라,

국가 차원의 공동 유틸리티에 제공하고 최신성을 유지해줌으로 해서, 

모든 금융 기관에 대응할 수 있는 장점을 가지고 있다. 

본, 기사는 싱가폴 MAS(Monetary Authority of Singapore)가 

싱가포르의 은행 그룹과 MAS가 긴밀히 협력해 KYC 프로세스를 위한 공동 유틸리티 구축을 위해 협력하고 있다는 기사이다.

이를 통해, Shell Company와 같이 계층화를 통해 UBO(Ultimate Beneficial Ownership)를 확인하기 어려운 법인 고객의 경우

Regulator 차원에서 관리함으로써 좀 더 투명하고 명확하게 UBO를 파악할 수 있다.

또한, 기술 혁신을 통해, 현재 거래 모니터링(Transaction Monitoring) 영역에서

사전에 설정된 룰(규칙) 및 임계값, 시나리오 기반에서 발생되는 

False Positive(오탐)을 줄이기 위한 노력이 필요하다고 언급하고 있다.

이러한 오탐을 줄이기 위해서는 광범위한 인력이 필요할 수 밖에 없는데,

기계 학습(Machine Learning)과 같은 정교한 기술을 통해 

네트워크의 엔터티 및 시간에 걸쳐 발생 되는 비정상적인 거래 패턴을 식별할 수 있을 것이라고 언급하고 있다.

이는 이전 포스트(http://crimecompliance.tistory.com/67 , http://crimecompliance.tistory.com/74)에서

필자가 언급한 내용이 전 세계적인 관심사항임을 확인할 수 있다. 

2017. 07. 28

FinCEN(Financial Crimes Enforcement Network; 미국 금융범죄 집행 네트워크)은 2017.07.26

Canton Business Corporation으로 알려진 BTC-e와 창립자 Alexander Vinnik에게 자금세탁 방지법 위반 혐의로 민사 처벌을 발표하였음.

이 명령에 따라,

BTC-e에 $110,003,314 , 러시아계 창립자로써 회사의 운영 및 재무의 감독 등에 참여한 Vinnik에게 $12,000,000의 벌금을 부과했다.

이 회사는 2011년부터 가상 통화의 환전소로 운영되며 전세계적으로 약 70만 명의 고객을 확보했다.

BTC-e는 랜섬웨어, 컴퓨터 해킹, 신원 도용, 공공 부패, 마약 거래 및 기타 범죄와 관련된 거래를 촉진했다는 혐의를 받았고,

이를, 미국 달러, 러시아 루블, 유로화, 비트코인 및 다른 통화 형태의 거래를 중개했다.

이 명령서에 따르면,

미국 은행 보안법(BSA; Bank Secrecy Act)에 의거 고객으로부터 필요한 정보를 얻지 못했고,

거래소로써 거래소에서 행해진 범죄 행위를 적극적으로 수용하는 것을 포함한 몇가지 위반 사항을 기록했다.

특히, BTC-e의 고객서비스 담당자는 다크 인터넷인 Sik Road, Hansa Market, AlphaBay와 같은 곳에서 발생한

불법 활동에 의해 벌어 들인 자금을 처리하고 액세스하는 방법에 대한 조언을 제공한 것으로 알려젔다.

이 회사는 또한, 세계에서 가장 큰 비트 코인 거래소중 하나에서 도난당한 자금을 처리한 혐의를 받고 있다.

아래는 FinCEN의 민사 명령서.

FinCEN.Enforcement.BTC.072617.pdf

2017년 7월 28일 

FEDERAL DEPOSIT INSURANCE CORPORATION (연방예금보험공사)의 보도자료에 따르면, 

SHBA(신한은행아메리카)와 FDIC 간에 Risk Assessment를 수행하고,
BSA/AML 관련 자격이 있는 Management를 고용하고도록 하는 동의 명령(consent order)를 체결하였다.

또한, SHBA는 아래의 항목을 준수해야할 의무를 가진다.

  - 고객 실사 프로그램을 포함하여 BSA / AML 내부 통제를 수정 

  - 자격이 있는 외부 회사를 참여시켜 SAR(Suspicious Activity Report) 프로그램의 유효성을 확인

  - 보고 가능한 거래를 탐지하기 위한 절차 검토 및 강화

  - 포착 가능한 의심스러운 활동을 찾기 위한 거래에 대한 검토를 다시 수행 

  - 모든 불법 행위의 근절

  - 명령 준수 여부를 확인하기 위한 준수 위원회 구성

FDIC는 또한, 은행에 진행 상황 보고서를 제출하도록 했고, 주주들과 이 명령을 공유하도록 명령하였다.

상세 내용은 아래 첨부 확인 (실제 명령서) 

FDIC.Enforcement.Shinhan.061217.pdf

SAS Korea Blog에 올라온 Content를 인용한 글입니다.

http://www.blogsaskorea.com/43

-----------------------------------------------------------------

지난 4월, 미국 재무부 산하의 금융범죄단속반 ‘FinCEN(Financial Crime Enforcement Network)’이 북한을 자금세탁 및 테러자금조달 위험 국가로 지정하고, 금융 기관에 주의보를 발령했습니다. 트럼프 행정부가 들어선 이후 첫 발령인데요. 미국 우선주의를 제창하는 트럼프 정부와 고조되는 반테러 정서에 따라 미국 금융 당국의 AML 규제는 더욱 심화될 것이란 업계 전망입니다.

실제 최근 스탠다드 차타드 은행, HSBC 은행, 새들 리버 밸리 은행(Saddle River Valley Bank) 등 글로벌 금융 기관들에 AML 시스템 상의 결여를 이유로 막대한 벌금이 부과됐습니다. 의심스러운 활동을 탐지하지 못하고, 컴플라이언스 프로그램의 거래 모니터링 규정을 준수하지 못했기 때문인데요. 대형 금융 기관들이 잇달아 제재 대상에 오르자 금융 업계는 그 어느 때보다 건전한 AML 컴플라이언스 프로그램의 중요성을 실감하고 있습니다. 게다가 올해 초부터 발효된 규제 기관의 지속적인 모니터링(On-Going Monitoring) 규제 사항에 어떻게 대응해야 할지 고민이 많아지고 있는데요.

이처럼 규제 당국의 기대치와 규제 강도가 강해짐에 따라 AML 탐지 시나리오를 최신 상태로 유지하기 위한 규칙 강화의 움직임이 거세지고 있습니다. 금융 기관은 지속적으로 규칙을 조정하면서, 현 시나리오가 포괄하지 않는 새로운 잠재 위험 또는 새로운 유형을 식별해야 합니다. 동시에 자금세탁 위험이 높은 거래에 자원을 집중시킬 수 있는 위험 기반 접근법을 거래 모니터링 프로세스에 적용해야 합니다. 이러한 조정을 통해 경보를 조사하는 FIU 및 금융 범죄 조사관은 생산적인 경보를 검토하는 데 시간을 더 많이 할애함으로써 전반적인 거래 모니터링 프로세스를 개선할 수 있습니다.

지난 블로그를 통해 국내외 규제 당국의 주안점이 의심활동보고(SAR: Suspicious Activity Report)와 의심거래보고(STR: Suspicious Transaction Report)의 ‘건수’에서 ‘품질’로 옮겨가는 가운데, 오탐(false positive)* 경보를 개선하는 방법으로 시나리오 세분화와 이상 거래 탐지 모델 개발 방법을 소개해드렸는데요. 오늘은 AML 규칙 조정의 중요성과 그 방법을 예시와 함께 살펴보고자 합니다.

*오탐(false positive): 잘못 보고됐거나 위협 요소가 아니기 때문에 대응할 필요 없는 보고

경보 효율성을 높이는 두 가지 방법

의심스러운 활동을 식별하고 보고하는 거래 모니터링 프로세스는 금융 컴플라이언스 프로그램의 핵심 중 하나입니다. 이때 모니터링 시스템은 은행이 의무적으로 준수해야 하는 자금세탁방지(AML) 위험 평가에 기초해 개발돼야 하는데요. 이 평가는 개별 위험 수준을 판별하고, 위험을 완화하기 위한 조치의 잠재적인 격차(gap)를 드러냅니다.

대부분의 은행은 자동화된 시스템을 사용해 비정상적인 활동을 파악하고 경보를 생성합니다. 미국 연방금융기관검사협의회(FFIEC: Federal Financial Institutions Examination Council)에 따르면, 모니터링 시스템의 정교함과 복잡성은 고위험의 제품, 서비스, 고객, 사업체, 관할 구역의 구성에 중점을 둔 은행의 리스크 프로파일에 따라 결정돼야 합니다. 여러 은행들이 의심스러운 활동 보고에 대한 조사 대상이 되는 이유는 AML 시스템이 은행의 리스크 프로파일에 따라 적절히 조정되지 않았기 때문입니다.

조정되지 않은 오래된 규칙은 오탐 경보 수를 높이고, 그에 따라 경보 검토 품질이 낮아지거나 잠재적인 의심스러운 활동을 간과하는 문제로 이어질 수 있습니다. 금융 기관은 위험 기반 접근법을 적용하고, 거래 모니터링 시나리오를 질적 그리고 양적으로 조정함으로써 경보 효율성을 높이고, 의심스러운 활동 보고 프로세스 전반을 개선해야 합니다.

1. 거래 모니터링 시나리오에 위험 기반 접근법 적용

자금세탁 및 테러자금조달 방지를 위한 12개 글로벌 은행 간 연합체인 ‘볼프스베르크 그룹 (Wolfsberg Group)’의 지침에 따르면, 금융 기관은 기관별 위험 평가 프로세스의 결과에 따라 위험이 더 높다고 판단되는 고객의 잠재적인 자금세탁 위험을 완화하기 위해 적절한 통제 조치를 취해야 합니다. 그 일환에는 거래 모니터링 수를 늘리는 방법이 있는데요.

그러나 국제자금세탁방지기구(FATF: Financial Action Task Force)는 보다 효율적인 방법으로 자금세탁방지(AML)/테러자금조달차단(CFT)에 대한 위험 기반 접근법을 권고합니다. 이에 따르면, 국가, 주무 관청, 금융 기관은 자금세탁/테러자금조달 위험을 평가하고, 해당 위험에 상응하는 AML/CFT 조치를 취함으로써 위험을 보다 효율적으로 완화시킬 수 있습니다.

이상적인 위험 기반 접근법은 은행의 BSA/AML 위험 평가로부터 시작합니다. 은행은 제품 및 서비스로 인한 자금세탁 위험, 고객 리스크 프로파일, 지리적 위치 등 여러 위험 요소들을 파악하고 평가하게 됩니다. 그리고 식별된 위험을 기반으로 위험이 높은 고객, 제품, 지역에 대해 면밀한 모니터링을 실시하죠.

거래 모니터링 시나리오에 대한 위험 기반 접근법은 고객과 제품의 위험 수준을 규칙화 시켜 통합하고, 중요하지 않은 반복적인 경보를 줄이는 등 거래 모니터링 시스템 내에서 몇 가지 조치를 취함으로써 실행할 수 있습니다. 최종 목표는 위험 수준이 낮은 고객에 대한 오탐을 줄이고, 결과적으로 긍정 경보(positive alert)를 검토할 시간을 늘리는 것인데요. 이에 따라 거래 모니터링 프로세스의 품질과 효율성을 향상시킬 뿐만 아니라 은행은 시간, 자원, 비용을 절감할 수 있습니다.

그러나 위험 수준이 낮은 경우에 대해서도 반드시 조치는 취해져야 합니다. FATF는 위험 수준이 낮을수록 상대적으로 더 가벼운 수준의 조치를 취할 수 있다고 규정하고 있습니다. 그렇다면 지금부터 구체적으로 거래 모니터링의 효율성을 개선하는 두 가지 방법, 모집단(population group)과 억제 로직(suppression logic)에 대해 구체적으로 살펴보겠습니다.

(1) 거래 모니터링 시나리오에 대한 모집단 구현

AML 규칙 시나리오의 대부분은 고객 활동에만 초점을 둡니다. 은행 KYC(Know your customer, 고객알기정책) 프로그램의 위험 요소와 제품 위험과 같은 기타 고객 관련 위험 요소는 포함하지 않는데요. 위험 기반 접근법을 AML 모니터링에 적용하려면, 이러한 위험 요소도 AML 탐지 시나리오에 추가 매개 변수로 도입해야 합니다.

금융 기관은 BSA/AML 위험 평가에서 확인된 특정 자금세탁 위험을 거래 모니터링 시나리오에 통합함으로써 모집단을 구성할 수 있습니다. 세 가지 유형의 상품을 제공하는 은행을 예로 들어보겠습니다. 고객 위험과 상품 위험 두 가지만을 매개 변수로 고려하고 위험 평가를 실행한 결과, 세 가지 상품과 고객 집단이 저위험, 중위험, 고위험으로 분류됐습니다. 이 결과를 열 지도(heat map)에 표시하면 하단과 같이 녹색 모집단(저위험), 노란색 모집단(중위험), 빨간색 모집단(고위험)이 나타내죠. 한 고객이 하나 이상의 상품을 거래하는 경우, 두 상품 중 더 위험한 상품을 고려해 모집단을 식별합니다.

그 다음 생성된 모집단을 거래 모니터링 시나리오에 적용시키고, 개별 모집단에 대해 서로 다른 임계값을 정의합니다. 저위험 모집단일수록 더 높은 임계값을, 고위험 모집단일수록 더 낮은 임계값을 적용해야 하는데요. 이에 따라 시스템은 위험 수준이 낮은 경보를 더 적게 생성함으로써, 위험이 높은 고객과 제품에 할당할 시간과 자원을 더 확보할 수 있습니다. 이때 대규모 고객이 소규모 고객보다 더 큰 금액으로 더 많은 양의 거래를 하는 경향이 있기 때문에 모집단을 고객 규모에 따라 한층 더 세분화하고, 서로 다른 임계값을 적용할 수도 있습니다. 이때 가장 중요한 핵심 역량은 모집단을 세분화할 방법과 절차 그리고 세분화된 개별 모집단에 적용할 최적의 임계값을 결정하는 것입니다. SAS는 금융 기관이 이러한 작업을 성공적으로 수행할 수 있도록 효율적인 방법론과 솔루션을 지원하고 있습니다.

(2) 거래 모니터링 프로세스에 대한 억제 로직 구현

위험 기반 접근법의 또 다른 핵심 프로세스는 여러 차례 조사한 결과 의심스럽지 않은 것으로 평가돼 배제된 경보를 억제하는 것입니다. 은행의 리스크 허용도 및 프로파일에 따라 이 억제 로직은 위험 수준이 낮은 고객 집단에 대해서만 적용할 수 있습니다. 구체적으로 은행은 특정 고객과 규칙에 대해 생성된 경보를 억제하는 로직을 생성할 수 있습니다.

경보를 억제하기 위해서는 특정 고객과 규칙에 대해 수개월간 생성된 경보가 오탐으로 간주돼야 하는데요. 예를 들어, 은행은 자동화된 AML 시스템에 억제 로직을 적용함으로써 지금까지 6건의 경보가 해제된 저위험 모집단과 9건의 경보가 해제된 중위험 모집단에 대한 경보를 억제시킬 수 있습니다. 그러나 동일한 경보가 세 차례 이상 반복될 경우 억제 로직을 차단할 수 있으며, 고위험 모집단에 대해서는 억제 로직이 작동하지 않습니다. 일반적으로 금융 업계에서는 경보를 억제함으로써 놓칠 수 있는 의심스러운 활동을 줄이기 위해 지난 6개월 간의 고객 활동을 면밀히 검토하고 있습니다.

그 다음 생성된 모집단을 거래 모니터링 시나리오에 적용시키고, 개별 모집단에 대해 서로 다른 임계값을 정의합니다. 저위험 모집단일수록 더 높은 임계값을, 고위험 모집단일수록 더 낮은 임계값을 적용해야 하는데요. 이에 따라 시스템은 위험 수준이 낮은 경보를 더 적게 생성함으로써, 위험이 높은 고객과 제품에 할당할 시간과 자원을 더 확보할 수 있습니다. 이때 대규모 고객이 소규모 고객보다 더 큰 금액으로 더 많은 양의 거래를 하는 경향이 있기 때문에 모집단을 고객 규모에 따라 한층 더 세분화하고, 서로 다른 임계값을 적용할 수도 있습니다. 이때 가장 중요한 핵심 역량은 모집단을 세분화할 방법과 절차 그리고 세분화된 개별 모집단에 적용할 최적의 임계값을 결정하는 것입니다. SAS는 금융 기관이 이러한 작업을 성공적으로 수행할 수 있도록 효율적인 방법론과 솔루션을 지원하고 있습니다.

(2) 거래 모니터링 프로세스에 대한 억제 로직 구현

위험 기반 접근법의 또 다른 핵심 프로세스는 여러 차례 조사한 결과 의심스럽지 않은 것으로 평가돼 배제된 경보를 억제하는 것입니다. 은행의 리스크 허용도 및 프로파일에 따라 이 억제 로직은 위험 수준이 낮은 고객 집단에 대해서만 적용할 수 있습니다. 구체적으로 은행은 특정 고객과 규칙에 대해 생성된 경보를 억제하는 로직을 생성할 수 있습니다.

경보를 억제하기 위해서는 특정 고객과 규칙에 대해 수개월간 생성된 경보가 오탐으로 간주돼야 하는데요. 예를 들어, 은행은 자동화된 AML 시스템에 억제 로직을 적용함으로써 지금까지 6건의 경보가 해제된 저위험 모집단과 9건의 경보가 해제된 중위험 모집단에 대한 경보를 억제시킬 수 있습니다. 그러나 동일한 경보가 세 차례 이상 반복될 경우 억제 로직을 차단할 수 있으며, 고위험 모집단에 대해서는 억제 로직이 작동하지 않습니다. 일반적으로 금융 업계에서는 경보를 억제함으로써 놓칠 수 있는 의심스러운 활동을 줄이기 위해 지난 6개월 간의 고객 활동을 면밀히 검토하고 있습니다.

조정 결과, ATL 10%에서 새로운 케이스는 발견되지 않았으나 경보 수를 줄임으로써 규칙 효율성 비율이 가장 높아졌습니다. BTL 10% 역시 새로운 케이스는 발견되지 않았으나, 경보 수가 증가하면서 규칙 효율성 비율은 감소했습니다. BTL 20%에서는 새로운 케이스 한 건이 발견됐으나 경보 수가 큰 폭으로 증가하면서 규칙 효율성은 크게 감소했습니다. ATL 15%에서는 경보와 케이스 수가 함께 감소하면서 옳은 경보가 누락됐습니다. 종합하자면, ATL 측에서는 몇몇 옳은 경보가 누락됐으며, BTL 측에서는 경보 대비 케이스 수가 크게 변하지 않았기 때문에 양측 모두 추가 조정은 필요 없습니다. 이러한 통계적 조정 결과를 바탕으로 임계값을 10% 높일 수 있습니다.

결론

위험 기반 접근법과 거래 모니터링 시나리오의 조정은 거래 모니터링 프로세스에서 잠재적 격차를 포괄할 뿐 아니라 경보 검토 프로세스의 효율성을 향상시키는 컴플라이언스 프로그램의 중요한 부분입니다. 또 금융 기관, FIU, 금융 범죄 조사관이 규정에 따라 더 위험한 고객과 상품에 집중할 수 있도록 도와주죠! 따라서 거래 모니터링 프로세스가 계속해서 개선될 수 있도록 지속적으로 적용돼야 합니다. 금융 기관은 규제 기관의 권고 및 승인 연한 그리고 연간 위험 평가에 맞춰 최소 일 년에 한 번씩은 거래 모니터링 프로세스의 최신성을 유지하기 위해 개선 작업을 반드시 수행하는 것이 바람직할 것입니다.

참고 문헌: AML Rule Tuning: Applying Statistical and Risk-Based Approach to Achieve Higher Alert Efficiency by Umberto Lucchetti Junior, CAMS-FCI