Financial Crime & Compliance

1) 2017년 6월 자로, 농협은행의 자산규모는 전세계적으로 약 2,250억 달러 (275조 5천억원)이며,
   뉴욕지점은 약 4억6천만 달러(약 5천억원)

2) 농협은행은 중국, 베트남, 인도, 미얀마 등에 해외지점이 있으며, 뉴욕지점은 뉴욕 주립 라이선스로 영업활동을 하고 있음.

3) 농협은행 뉴욕지점은 2013년 8월부터 영업을 하고 있으며, 전반적인 사업내용은 여신, MMF, 무역금융임.

  주요 사업은 제휴 지점과 당행고객에게 미화 어음 교환 서비스를 제공하는 것임.

4) 어음 교환 서비스가 차지하는 비중은 상당하며, 매년 45,000건, 총 20억달러 규모 (2조 2천억원) 규모의 거래가 발생하고 있음.

 해당 서비스는 모든 금융기관에서 리스크가 발생할 수 있으며, 범죄에 이용되거나 자금을 세탁하는데 이용될 수 있음.

5) 당국 조사 결과, 농협은행과 뉴욕지점은 AML 프로그램 및 체제 미흡 등을 이유로 뉴욕 주립 은행법을 위반한 사실이 발견되었음.

6) 여러 지적사항 중에서도, 농협은행은 적절한 거래 모니터링 시스템을 유지하는데 실패했다.
    여기서 “거래 모니터링”이란, 금융기관이 금융거래를 관리 감시하는 행위이며, 

    모니터링을 이행함으로써, 혐의거래보고 (SAR/STR)를 감독당국에 보고하는 등, 

    미국은행비밀법(BSA)과 AML 규정을 준수하는데 중요한 역할을 함.

7) 감독당국은 농협은행 뉴욕지점이 영업을 시작한 2013년부터 총 3번의 검사를 시행했으며, 결과는 좋지 않았었음.

  이상적인 방향이라면, 검사를 받을 때마다 감독관의 충고에 따라 솔루션을 개발하거나 관리하지 않았던 분야를 신경 쓰게 되어, 

  결과가 긍정적이고, 은행의 상태가 향상되어야 하지만, 

  농협은행은 거래 모니터링 과정과 절차를 충분히 이행하지 않음으로써 정 반대의 결과가 나왔음.

< 2014년 감사 결과> - “보통”

8) 감독당국은 2014년 농협은행 뉴욕지점의 첫 감독 과정에서 농협은행의 BSA/AML 규정을 준수하는 

    내부통제 시스템이 부적절하다고 지적한 바 있음

- 구체적인 지적사항으로, 의심스러운 거래활동 가능성이 있는 거래들을 확인하지 못했고, 필터링 기능이 부족함

 조사 결과, 뉴욕지점은 기간동안 발생한 모든 SAR/STR 을 검토하지 않았음

9) SAR/STR Alert 의사결정 관련 문서들을 관리하고 기록을 유지하는데 실패했다고 지적한 바 있음

10) 경영진과 이사진에게 보고할 “Key - Risk 추적” 보고서 자체가 투명하지 않고,
     은행에게 닥칠 수 있는 리스크를 제대로 확인하지 못함

11) 농협 본사(국내) 계좌를 이용하는 고객의 KYC 를 주기적으로 업데이트 하지 않음

12) 농협 본사(국내) 계좌를 이용하는 고객의 OFAC SDN 리스트 등재 여부를 확인하지 못함

13) 농협 본사(국내) 계좌를 이용하는 고객의 PEP, 부정적 언론 언급 여부 조차 확인하지 못함

14) 준법감시인이 내부감사 역할에도 관여하고 있음

15) 내부 감사를 위한 문서, 정책, 절차 미흡

<2015년 감사 결과> - “보통 이하”

16) 2014년도에 지적한 사항들을 개선하지 않았고, 새로운 개선 사항이 추가 발견됨,

- 거래 모니터링의 경우, 준법감시인이 전체 SAR/STR Alert 숫자를 줄이기 위해 임의적으로 임계값을 조작한 사실이 밝혀 짐

- 해당 사실이 기재된 감사 보고서는 당국에 보고되지 않고, 뉴욕지점과 본사에서 조치를 취하지 않음

17) 임직원들이 AML 에 대한 이해도가 떨어지고, 충분한 교육을 받지 못함 :
     상당한 양의 어음 교환 거래가 이루어짐에도 SAR/STR 보고자가 1명 이였으며, 그조차 감독당국의 감사 몇 달 전에 임명된 상태였음

- 무역금융 SAR/STR 담당자도 BSA/AML 에 대한 전반적인 이해도가 떨어진다는 평가를 받음

- 준법감시인 대체자의 직무 능력과 이해도도 부족하다는 평가를 받음

18) 내부 감사 평가 자체도 충분히 이행하지 않음 : 대부분의 내부 감사 평가 내용에 기존 내부통제 및 절차과정 내용을 그대로 복사함

  샘플 테스트 결과, 고위험 고객 또는 그 범위를 파악하는데 실패함

19) 2014년도에 지적한 사항들이 되풀이 되고 있는 것을 확인함

- Correspondent 계좌 CDD 이행 부족

- BSA/AML, OFAC 위험도 평가 매뉴얼에 부합하지 않음

- 거래 모니터링 시스템 미비

- 내부감사 시스템 미비

<2016년 감사 결과> - “보통 이하”

20) 많은 인력을 보충했음에도 불구하고, 해당 인력들이 BSA/AML 에 대한 이해도가 부족함. 

     예를 들어, 무역 금융 담당 부서에 BSA/AML 이해도가 부족한 인력 2명을 추가 배치한 것

21) SAR/STR 보고 미흡 : 고위험 국가에만 Alert가 발생하도록 시나리오/룰이 설정됨. 

     저위험/중위험 국가에서/으로 발생하는 거래는 확인하지 않음

- SAR/STR 보고기간 위반 : 30일 초과

<협력>

당국은, 농협은행이 감사 과정에 있어서 충분히 협력했다고 판단하여 긍정적으로 고려했음.

<최종 위반 사항>

1. 농협은행은 효과적이고 BSA/AML 을 준수하는 AML 프로그램을 갖추지 못함

2. 농협은행은 모든 거래 및 의사결정 관련 문서, 절차, 기록을 유지하지 못함

<벌금>

뉴욕은행법 39, 44조에 의거, 1,100만 달러( 120억) 벌금을 부과함

농협은행은 본 Consent Order 가 발표되고 10일 이내에 부과한 벌금 총액을 내야함

지적한 사항들을 문서화하여 60일 이내 제출하고, 2년 동안 분기별로 진행/업데이트 사항을 제출할 것

2017년 11월 27일 

아일랜드 중앙 은행(Central Bank of Ireland)은 2010년 ML/TF 법 위반 혐의에 대해

아일랜드 더블린에 위치한 Intesa Sanpaolo Life에 대해 1백만 파운드 벌금을 부과했다.

Intesa는 2010년 7월부터 2014년 7월까지 CDD, STR, Policy, Procedure 등 

4가지의 법률 위반 사실을 인정하였다.

특히, 자금 세탁 및 테러 자금 조달 위험 평가를 완료하지 않았고,

PEP 개인 고객을 신청서에서 부적절하게 배제하였으며, 정책 및 절차에 검토 매커니즘을 통합하지 못했다.

ireland.enforcementaction.intesa.112717.pdf

FINRA(Financial Industry Regulatory Authority)는 2017.11.27에

FinCEN의 Enhanced Customer Due Diligence(EDD) 요구사항에 의거 FINRA Rule 3310 지침을 발표하였다.

FINRA는 금융산업규제기구로써 정부기관은 아니지만, 미국 내에서 영업하는 모든 증권사의 자율 규제 기관이다.

따라서, 미국에서 활동하는 모든 국내 증권사 및 금번 선정된 IB사의 경우 

모두 규제 대상으로 포함될 것으로 예상된다.

본 지침은 BSA(Bank Secrecy Act; 은행 보안법)에 따라 각 금융기관이 준수하여야 할 4 Pillar를 언급하고 있다.

 1. BSA의 해당 사항을 준수하고 규정을 이행할 수 있도록 합리적으로 설계된 정책, 절차 및 내부 통제의 수립 및 구현

 2. 브로커-딜러 개인, 또는 자격이 있는 외부 파티의 준수 여부를 독립적으로 테스트

 3. AML 프로그램의 운영 및 내부 통제를 이행하고 모니터링할 책임이 있는 개인 역할 부여

 4. 적절한 사람에 대한 지속적인 교육

이 4 Pillar 이외에 2016년 5월 개정된 FinCEN의 CDD 룰을 언급하고 있다.

1. 고객 식별 및 검증

2. 실 소유권 식별 및 검증

3. 고객 관계의 성격과 목적 이해

4. 의심스러운 거래를 보고하고 위험 기반으로 고객 정보를 유지 관리 및 업데이트하기 위한 지속적인 모니터링

FinCEN의 CDD 룰은 이미 시행되고 있는 1 뿐만 아니라 2, 3, 4 조항에 대해 2018년 5월 11일까지 

금융 기관의 AML 프로그램을 업데이트하도록 의무화 하고 있다. 

또한, FINRA Rule 3310에는 위의 4가지 뿐만 아니라 아래 5가지를 금융사에 요구하고 있다.

1. 의심스러운 거래를 감지하고 리포팅하고 있는 것으로 합리적으로 예상할 수 있는 정책 및 절차 수립 이행

2. BSA 준수 및 규정 시행을 위해 합리적으로 설계된 정책, 절차 및 내부 통제 수립 및 시행

3. 회원사 직원 또는 자격있는 외부 당사자가 수행할 준수에 대한 독립적인 테스트를 연간 단위로 제공

4. AML 프로그램의 일상적인 운영 및 내부 통제를 구현 / 모니터링하고 FINRA에 즉각적인 통보를 제공할 개인을 지정 식별

5. 적절한 사람에게 지속적인 교육 제공

원문은 아래를 참고하길 바란다.

Finra.Notice.BSArule.112117.pdf

2017.11.03 FATF는 민간 영역에서의 정보 공유를 위한 가이드라인을 발표하였다.

제목은 "FATF Guidance - Private Sector Information Sharing" 이다.

주요 내용은

23. 감독기관은 AML/CFT 목적의 정보 공유를 지원하기 위해 통합 및 그룹 차원 감독을 수행하도록
     교환할 정보를 명시하는 양자간 / 다자간 협약을 증진하여야 한다.

24. 금융사는 금융사의 모든 지점, 금융 그룹은 다수 지분의 모든 자회사에 그룹의 프로그램이 적용되어야 한다.

     여기에는 BL/TF 위험 관리를 위해 필요한 정보를 공유하기 위한 정책 및 절차가 포함되어야 하며,

     그룹에서 AML/CFT 목적에 필요한 경우, 지사, 지점, 자회사의 고객, 계좌, 거래 정보가 제공되어야 한다.

     이것은 정보의 기밀성과 의도된 목적만을 위한 사용을 보장하기에 충분한 안전 장치의 대상이 되어야 한다.

28. 금융 기관의 정보 공유는 그룹의 ML/TF 위험을 효과적으로 식별, 관리, 완화하기 위한 것

     이를 위해 비정상 거래 / 활동에 대한 정보 및 분석이 포함되어야 함. STR, 기본 정보, STR이 제출되었다는 사실이
     포함될 수 있음. 이는, 입법 체계(국내 및 해외)에 따라 정보 공유의 범위 및 메커니즘이 결정되어야 함.

29. 아래 표를 통해 정보 공유의 목적을 이해할 수 있음.

34. 본사로 정보를 공유한다해서 모든 지역의 전체 그룹에 대한 그룹 컴플라이언스로 평가되어야 하는 것은 아님.

     각각 자체 책임을 져야 하며, 자체 위험 평가와 관련된 정보가 있어야 함.

35. 중앙 집중식 저장은 기록에 포함된 정보의 그룹 차원의 공유는 아님.

    전자적 / 중앙 집중적으로 관리되는 기록은 기밀 유지 및 기타 의무 사항이 준수되어야 함.

    글로벌 거래 모니터링은 항상 다국적 그룹이 운영되는 모든 지역의 의무를 강화하는 방식으로 수행되어야 함.

    따라서 한 곳에서 모니터링하는 것은 그룹이 운영되는 다른 지역의 약한 의무를 기준으로 하지 말아야 함.

38. 글로벌 금융사의 현지 운영은 현지 법률 및 규정에 부합하여야 함.

    동시에 그룹 차원의 통제가 일관되게 적용될 수 있도록 그룹 차원의 컴플라이언스 프로그램을 준수해야 함.

    현지국에서 정보 공유를 포함, 내부 통제를 적절하게 수행하지 못할 경우
    ML/TF 위험 관리를 위한 적절한 추가 조치를 적용하고 감독기관에게 보고해야 함.

43. 지점 / 지사에서 정보 공유를 그룹으로 제출되면 그룹 차원의 준수 프로그램의 효과적인 구현을 촉진.

     마찬가지로 지점/자회사는 그룹 수준 기능에서 이러한 정보를 수신하여야 함.

50. STR을 국가간에 공유할 때, 관활권에 금지되어 있는 STR 자체를 공유할 필요 없음.

     다양한 방법을 통해 STR이 공유될 수 있음.

54. 금융 기관은 (a) 공유된 정보의 기밀성과 

     (b) 정보가 AML / CFT 목적으로만 사용되고 다른 목적으로 사용되지 않도록 보장하기 위해 

     공유된 정보와 관련하여 충분한 안전 장치를 마련해야 함.

55. 국가는 금융그룹 내의 정보 흐름을 방해하는 법적 / 규제 장벽을 다루어야 하고,

     정보 공유를 제한하는 기존 조항(DPP; Data Protection Program)에 대한 철저한 평가가 필요할 수 있음.

이 가이드라인은 EU 등의 국가에서 GDPR 등의 정보 보호 규정이 강화되면서,

AML / CFT의 금융 그룹 및 다국적 금융사의 중앙 통제 및 관리를 위해

DPP(Data Protection Program)와의 상충되는 규정에 대한 해석을 제공하기 위함으로 보이며,

이에 따라 각 금융사는 법률적 검토 및 해석에 따라 진행되어야 할 것이고,

KoFIU에서는 이에 대한 가이드라인이 제시되어야 할 것으로 보인다.

원문은 아래에서 확인할 수 있다.

Private-Sector-Information-Sharing.pdf

미국 연방 금융 당국은 

2018년 05월 Customer Due-Diligence 규정 개정 전 

금융사의 혼란을 줄이기 위하여

계정을 보유한 법인 고객의 최종 소유자(Ultimate Owner)와 통제자(Controller)를 확인하기 위한 수정된 표준을 선 발표할 예정이다.

개정되는 CDD 규칙에 따라서

금융 기관은 은행 계좌를 보유하고 있는 법인의 

25% 이상을 소유한 개인을 식별할 수 있는 데이터를 수집하기 위한 합리적인 조치를 취해야 하며,

해당 기업의 중요한 통제자(Controller)와 관리(Management)를 수행하는 개인도 있어야 한다.

이 규칙은 또한 대상 금융 기관의 소유권 변경 또는 통상적인 고객 활동과 관련하여 

기존의 법인 고객으로부터 유사한 데이터를 입수하도록 의무화하고 있다.

최근 ACAMS 세미나에서 FinCEN의 주요 임원은

2018년 04월에 금융 기관이 법인에 중요한 지분을 보유하고 있는 개인을 포함한 소유권 데이터를 집계해야 한다고 언급했다.

25% 이상의 법적 실체를 누적으로 소유한 사람을 정확하게 식별하려면 

특히 데이터 분석 측면에서 중첩된 익명의 회사 또는 서로 다른 회사의 법적 실체를 확인하기 위해 

은행이 더 많이 투자와 분석이 필요하게 된다.

이 규칙은 금융 회사에게 중요한 변화를 의미한다. 

그러나 투명성을 높이기 위해 컴플라이언스 직원을 재교육하고 

시스템을 다시 구축하는데 많은 노력과 리소스가 필요하게 되어 과거에 비해 더욱 많은 비용이 들 수 밖에 없다.

2017.04.03

국제 투명성 기구는

중국, 일본, 미국, 영국, 프랑스, 독일, 이탈리아에 자금세탁 위험에 대처하기 위한 

고위험 사치품 판매에 대한 적절한 고객 실사(CDD; Customer Due Diligence)를 요구하는 보고서를 발표했습니다.

정부는 명품 부문에 지정된 규제 및 감독 권한이 있는지 확인해야 합니다. 

이 보고서는 또한 다국적 명품 브랜드가 합법적으로 그러한 조치를 요구하지 않는 국가에서도 

효과적인 고객 실사 및 보고 시스템을 구축할 것을 촉구합니다. 

또한 FATF는 고가치 명품 섹터가 국제 표준에 의해 적절히 다루어 지도록 권고안을 강화할 것을 권고합니다.

2017_TaintedTreasures_EN.pdf