Financial Crime & Compliance

몇몇 기사에 언급된 바와 같이

2017.12.21 NYDFS와 농협은행은 뉴욕주 은행법 39 & 44조에 의거 Consent Order(동의 명령)에 사인하였다.

총 1,100만 달러(120억원)의 벌금이 부과되어

10일 이내에 벌금 총액을 납부하는 것으로 합의되었다.

전문은 첨부 확인

NONGHYUP BANK CONSENT ORDER by NY DFS 20171221.pdf

2017년 11월 7일

일본 the Bank of Tokyo Mitsubishi UFJ (“BTMU” or "MUFG") 은행의 

미국 내 은행 면허에 대한 뉴욕에서 연방으로의 면허 변경에 따른 추가 조치 사항으로

OCC(Office of the Comptroller of the Currency)에서 발표한 동의 명령이다.

앞선 포스트 (http://crimecompliance.tistory.com/90)에서 언급하였듯이

BTMU의 라이선스 변경에 따른 관할권 분쟁이 뉴욕주 DFS(NYDFS, NYSDFS)와 진행중임에,

OCC가 BTMU와 기존의 DFS와 체결하였던 모든 동의 명령, 서면 합의를 이행하라는 내용이 골자이다.

또한, 모든 BTMU에 대한 감독 관할권은 OCC가 가지고 있다는 것을 명시적으로 언급하였다.

자세한 사항은 아래 첨부의 Concent Order를 확인하기 바란다.

OCC.EA_.tokyo_.112717.pdf

Global No 5.이면서 중국을 제외한 아시아에서 가장 큰 은행인 일본 은행인

the Bank of Tokyo Mitsubishi UFJ (“BTMU” or "MUFG")는 2017년 11월 8일에

뉴욕주 금융 감독 당국인 DFS(NYDFS, NYSDFS)에 감독권 관련한 소송을 제기하였다.

DFS는 미국의 Sanction 및 자금 세탁 관련 조사를 최근 수행하였고,

이에, 2017년 11월 7일 BTMU는 

과거 BTMU의 뉴욕 및 기타 미국 지점의 라이선스를

주 라이선스에서 연방 라이선스로 전환하였다.

연방 라이선스로 전환되면, DFS의 감독 관할이 아닌
OCC(Office of the Comptroller of the Currency)의 감독 관할로 변경되게 된다.

이에 11월 7일 DFS는 BTMU의 라이선스 전환과 함께, DFS는

BTMU의 라이선스 변경 이전에 발생한 모든 법률 위반에 대해 BTMU에 대한 조사 및 기소 권한을 DFS가 보유 할 것이며,

해당 OCC 라이선스가 합법적으로 효력을 발휘할 때까지 BTMU에 대한 감독 권한을 보유한다는 명령을 내렸다.

이에, BTMU는 11월 8일 즉각적으로

BTMU는 DFS에 대한 영구 금지 명령을 요구하여,

DFS가 명령에 따라 조치를 취하거나 BTMU의 은행 업무를 방해하지 못하도록 금지하는 소송을 제기했다. 

소장에는 "OCC가 연방 라이선스를 보유한 지점에 대해 "방문 권한"을 행사할 독점 권한을 갖고 있으며 

DFS의 명령은 연방법에 의해 배제된다. 이에, DFS의 행위는 OCC의 권한 행사를 크게 해치고 있다."고 언급하고 있다.

이 케이스에 따라 DFS 감독 및 조사 권한과 관련하여 흥미롭고 특이한 양상을 띄고 있다. 

BTMU가 연방 소송에서 제기한 논점과 쟁점은 잠재적으로 DFS의 감독 권한에 중대한 영향을 줄 수 있고,

또한, 그 결과에 따라 최근 DFS로부터 많은 위협을 받고 있는 

뉴욕에 위치한 다른 외국계 은행의 뉴욕 지점의 라이선스 정책에도 지대한 영향을 미칠 것으로 생각된다.

http://www.lit-wc.shearman.com/bank-of-tokyo-mitsubishi-sues-dfs-and-alleges-tha

뉴욕 주 금융 서비스국 (The New York State Department of Financial Services)은 금융 기관이 서면 사이버 보안 정책을 유지하고,

다른 규칙들 중에서도 사이버 보안 프로그램을 감독 할 수있는 자격을 갖춘 개인을 지명하도록 요구하는 최종 규정을 발표했습니다.

이 규정은 또한 다음에 관한 조항을 포함합니다 : 

사이버 보안 취약성 평가

주기적인 위해 평가의 적용

타사 서비스 공급자 정책 추가적인 사이버 보안 요원 요구 사항. 

또한 규정에 따라 규제 당국은 잠재적으로 정보 시스템을 손상시키는 사이버 보안 사건을 해결하기 위해 작성된 서면 사고 대응 계획을 수립해야합니다.

금융기관은 최소한의 기준을 충족시키는 사이버보안 시스템을 운용해야 하고 전담 인력을 배정해야 합니다. 

또 시스템 운용 현황과 결과를 주기적으로 은행 이사회와 같은 최고 의사결정 기구에 보고해야 합니다.

주정부가 요구하는 최소한의 기준에는 

  - 시스템 접근에 대한 통제 

  - 암호화를 포함한 데이터 보호 장치 

  - 시스템 침투 테스트 실시 

  - 사고 발생 시 데이터를 보존하고 대응하기 위한 계획의 수립 

  - NYSDFS(뉴욕주 금융서비스국)에 대한 신고 체계 

등이 포함되어 있습니다.

또 중요한 결함에 대해 확인하고 기록하며 복구할 계획을 가지고 있어야 하며, 이사회 등이 매년 NYSDFS에 규정 준수 확인서를 제출해야 합니다.

단, 뉴욕 내 영업장이 

  - 종업원 10명 미만이거나 

  - 지난 3년의 회계연도 동안 뉴욕 내 매출이 연간 500만 달러 미만인 경우 

  - 연말 기준 자산이 1000만 달러 미만인 경우

에는 조항 적용이 면제됩니다.

새로운 규칙은 2017 년 3 월 1 일부터 시행됩니다.

NYDFS.FinalReg.Cyber.021617.pdf

규정의 취지 및 효력

• 미국의 BSA / AML 법규 준수 및 OFAC 요건 충족 강제화
  : 거래 모니터링 프로그램(TMS), 요주의리스트 필터링 (Watchlist Filtering)의 매년 인증 책임 및 Penalty 명확화

• 504.1 = 배경 

• 504.2 = 용어 정의

• 504.3 = 요구사항

• 504.4 = Annual Certification
  : 매년 4/15까지 인증된 고위 임원(Certifying Senior Officer)이 서식에 의거 인증 필요

• Penalties / Enforcement Actions (인증 받지 못할 경우)
  - 기관 : 은행법 및 금융 서비스 법에 따라 제공되는 모든 관련 처벌을 받아야 함.
  - 인증된 고위 임원 : 형사 처벌 대상

• 504.3-a Transaction Monitoring 유지
1. 기관의 Risk Assessment에 기초
2. KYCDD,EDD에서 가능한 모든 정보 반영
3. 사업,상품,서비스,고객,거래대상 매핑
4. 시나리오에 위험을 탐지하기 위한 RA 기반의 임계값 및 금액 사용
5. 데이터 매핑,트랜젝션 코딩,시나리오 로직, 모델 검증,입출력주기적 테스트를 포함하여 End-to-End, TMS에 대한 구축 전후 테스트 포함
6. 탐지시나리오,가정,매개변수,임계값 Documentation
7. 경보 조사 방법,경보처리 프로세스,담당자/의사결정 프로세스 문서화
8. 탐지시나리오,기본 규칙,매개변수,가정 등을 지속적으로 평가/분석 대상화

• 504.3-b Watch List Filtering 유지
1. 기관의 Risk Assessment에 기초
2. 이름과 계좌를 대조하기 위한 기술 또는 도구(Fuzzy 등 활용)
3. 데이터목록,감시목록,임계값 등주기적 테스트를 포함하여 End-to-End, 구축 전후 테스트 포함
4. 현재 법적/규제 요구사항 반영 리스트 사용
5. 이름,계좌 매핑 기술/도구의 논리,성능,리스트,임계값의 지속적인 분석 및 점검
6. 프로그램 도구 및 기술 의도, 디자인의 명확한 설명 Documentation
   
   
• 504.3-c Transaction Monitoring, Watch List Filtering 최소 요구 사항
1. 관련 데이터 포함한 모든 데이터 식별
2. 정확하고 완전한 데이터 흐름을 보장하기 위해 데이터의 무결성, 정확성 및 품질 확인
3. 소스로부터 데이터를 완전하고 정확하게 전송할 수 있도록 하는 데이터 추출/로딩 프로세스
4. 프로그램의 변경 사항을 관리
5. 프로그램의 벤더 선택 프로세스
6. 프로그램의 설계,구현,유지 자금 지원
7. 프로그램의 설계, 계획, 구현, 작동, 테스트, 유효성 검사 및 분석에 책임이 있는 자격을 갖춘 인력 또는 외부 컨설턴트
8. 이해 당사자에 대한 주기적인 교육

1. 기업 지배 구조 및 경영 감독 측면

• BSA/AML 시스템 개선 조치

• 지점에 대한 통제 및 감독 책임

• 전문성 있는 리소스(인력) 배분

2. BSA/AML 준수 프로그램 측면

• BSA/AML 요구 사항 준수할 수 있는 합리적으로 설계된 내부 통제 시스템

• Correspondent Banking 통제

• 적절한 Resource 할당 및 자원 / 직원 배치에 대한 정기적 재평가

3. Suspicious Activity Monitoring and Reporting Program

• 상품,서비스,고객유형,위치, Initial Operator, UBO 등을 고려한 모니터링 규칙 및 임계값 설정을 위한 방법론

• 모니터링 규칙 및 임계값 변경 사항에 대한 분석, 테스트 및 문서화하기 위한 정책 및 절차

• 모니터링 및 조사 기준 강화 (Corres Banking/Trade Finance, 의심거래 정보 확대, Documentations 등)

• 모니터링 규칙의 갭 평가와 시정 조치 실행 계획 및 자동 모니터링 표준 수립/시스템 개선 계획

4. OFAC Compliance

• 최신의 OFAC Filtering 유지, 최신성 유지 확인 프로세스

• 오탐 억제 프로세스 적절성 점검 / 업데이트 절차

1. 기업 지배 구조 및 경영 감독 측면

• BSA/AML 시스템 개선 조치

• 지점에 대한 통제 및 감독 책임

• 전문성 있는 리소스(인력) 배분

2. BSA/AML 준수 프로그램 측면

• BSA/AML 요구 사항 준수할 수 있는 합리적으로 설계된 내부 통제 시스템

• Correspondent Banking 통제

• Risk Assessment (상품, 서비스 ,고객 유형, 위치 등을 고려한)

• 시스템 테스트

• BSA/AML 준수를 위한 시스템 식별 및 시스템이 BSA/AML 리스크 완화하고 있는지 검토 Timeline

• BSA/AML 요구사항, 내부 정책 / 절차 등 모든 영역에서 인력에 대한 교육

3. Customer Due Diligence 측면

• Risk Rating을 위한 방법론

• Correspondent Banking 관련 정책, 절차, 책임 및 실사 강화
  

• 주기적 검토 및 평가 -> 정보/위험 프로파일 최신성 유지 è Risk 수정 근거 문서화

4. Suspicious Activity Monitoring and Reporting Program

• 모니터링 규칙 및 임계값 설정을 위한 방법론, 분석, 테스트 및 문서화하기 위한 정책 및 절차

• 모니터링 및 조사 기준 강화 (Corres Banking/Trade Finance, 의심거래 정보 확대, Documentations 등)

첨부 참조

NYSDFS Super intendent's Regulation Part 504.pdf

뉴욕 DFS는 2017년 1월 5일 언론 발표를 통해

새로운 위험기반(Risk-Based) 테러 방지 및 자금 세탁 방지 규제가 현재 시행되고 있다고 발표했다.

DFS의 규제에 따르면

2017년 1월 1일부터 규제 의무 기관은 은행 보안법(Bank Secrecy Act, BSA) 및 자금 세탁 방지(AML) 위반의 가능성이 있는

거래와 제재 대상의 거래를 방지하는 모니터링 및 필터링 프로그램을 반드시 유지하고, DFS에게 매년 규제 준수를 인증받아야 한다.

2016년 6월 이후, DFS는 Intesa Sanpaolo S.p.A.에 대한 AML법 위반으로 집행 조치를 이끌고 벌금 2억 3,500 만 달러를 받았다.

중국 농업 은행 (Agricultural Bank of China)에게는 벌금 2억 1,500만 달러를 받았고,

대만의 메가 뱅크 (Mega Bank of Taiwan)는 1억 8,500만 달러의 벌금을 지불했다.

새로운 규정에 따르면 관련 규제 기관이 거래 모니터링 및 필터링 프로그램을 검토하고

그러한 프로그램이 규제 수단에 부합하도록 작동하는지 확인해야 한다.

또한, 금융 기관은 2018년 4월 15일부터 DFS의 규정을 준수한다는 것을 증명하기 위해

연례 이사회 결의안이나 고위 임원의 준수 증명서를 제출하여야 한다.

규정의 발효일을 준비하기 위해 DFS는 지난 연말 모든 은행 검사관을 대상으로 포괄적인 교육을 실시했으며,

새로운 규정에서 요구하는 추가 규정을 반영하여 새해 첫날 규정을 업데이트하였다.