Financial Crime & Compliance

http://www.straitstimes.com/business/banking/mas-banks-working-on-new-tech-to-help-fight-against-money-laundering-terrorism?mod=djemRiskCompliance

최근, 영국에서 촉발된 KYC(Know Your Customer)에 대한 공동 유틸리티 대응에 각 Regulator가 관심을 갖고 있다.

이는, 국가 차원에서 금융 서비스를 이용하는 국민 / 고객을 대상으로

모든 금융 기관이 동일한 정보를 접근하도록 접근성을 확대하고,

고객 입장에서는 거래하고자 하는 모든 금융 기관에 개인 정보 및 기업 정보를 제공하는 것이 아니라,

국가 차원의 공동 유틸리티에 제공하고 최신성을 유지해줌으로 해서, 

모든 금융 기관에 대응할 수 있는 장점을 가지고 있다. 

본, 기사는 싱가폴 MAS(Monetary Authority of Singapore)가 

싱가포르의 은행 그룹과 MAS가 긴밀히 협력해 KYC 프로세스를 위한 공동 유틸리티 구축을 위해 협력하고 있다는 기사이다.

이를 통해, Shell Company와 같이 계층화를 통해 UBO(Ultimate Beneficial Ownership)를 확인하기 어려운 법인 고객의 경우

Regulator 차원에서 관리함으로써 좀 더 투명하고 명확하게 UBO를 파악할 수 있다.

또한, 기술 혁신을 통해, 현재 거래 모니터링(Transaction Monitoring) 영역에서

사전에 설정된 룰(규칙) 및 임계값, 시나리오 기반에서 발생되는 

False Positive(오탐)을 줄이기 위한 노력이 필요하다고 언급하고 있다.

이러한 오탐을 줄이기 위해서는 광범위한 인력이 필요할 수 밖에 없는데,

기계 학습(Machine Learning)과 같은 정교한 기술을 통해 

네트워크의 엔터티 및 시간에 걸쳐 발생 되는 비정상적인 거래 패턴을 식별할 수 있을 것이라고 언급하고 있다.

이는 이전 포스트(http://crimecompliance.tistory.com/67 , http://crimecompliance.tistory.com/74)에서

필자가 언급한 내용이 전 세계적인 관심사항임을 확인할 수 있다. 

2017년 7월 28일 

FEDERAL DEPOSIT INSURANCE CORPORATION (연방예금보험공사)의 보도자료에 따르면, 

SHBA(신한은행아메리카)와 FDIC 간에 Risk Assessment를 수행하고,
BSA/AML 관련 자격이 있는 Management를 고용하고도록 하는 동의 명령(consent order)를 체결하였다.

또한, SHBA는 아래의 항목을 준수해야할 의무를 가진다.

  - 고객 실사 프로그램을 포함하여 BSA / AML 내부 통제를 수정 

  - 자격이 있는 외부 회사를 참여시켜 SAR(Suspicious Activity Report) 프로그램의 유효성을 확인

  - 보고 가능한 거래를 탐지하기 위한 절차 검토 및 강화

  - 포착 가능한 의심스러운 활동을 찾기 위한 거래에 대한 검토를 다시 수행 

  - 모든 불법 행위의 근절

  - 명령 준수 여부를 확인하기 위한 준수 위원회 구성

FDIC는 또한, 은행에 진행 상황 보고서를 제출하도록 했고, 주주들과 이 명령을 공유하도록 명령하였다.

상세 내용은 아래 첨부 확인 (실제 명령서) 

FDIC.Enforcement.Shinhan.061217.pdf

2017.05.26

미국 연방준비제도이사회(The Board of Governors of the Federal Reserve System)은

미국에서 비즈니스를 영위하고 있는

도이체방크, 도이체방크 뉴욕지점, 도이체방크 신탁회사(DBTCA) 등에

AML 관련 위험 관리 및 거래 모니터링 정책을 제대로 이행하지 못함에 따라

벌금 4,100만 달러와 함께 집행 명령을 부과하였다.

FRB of NY이 밝힌 바에 따르면,

도이체방크 계열사 및 지점 등은 DBTCA의 2011년부터 2015년까지의 거래 중

잠재적으로 의심스러운 수 십억 달러의 BSA/AML Risk를 제대로 평가하지 못했다.

은행 및 그 계열사는 집행 명령에 따라,

미국 사무소에서 BSA / AML 문제에 대한 감독을 강화하기 위한 계획을 제출해야 한다. 

확고한 BSA / AML 위험 관리 프로그램을 개선해야 하고,  

해당 BSA / AML 요구 사항에 대한 DBTCA의 준수 여부를 포괄적으로 검토하기 위해 

감독 당국이 수락할 수있는 독립적인 제 3의 감사기관을 지정해야 한다. 

제3의 감사 기관은 

2016년 7월 1일부터 2016년 12월 31일까지 DBTCA에서 혹은 DBTCA를 통해, 수행되는 

DBTCA의 외국 특송 은행 활동에 대한 검토를 수행해야 한다. 

고객 실사와 의심스러운 거래 검토 프로그램을 제출하고 업데이트해야 하고, 또한 다른 의무의 진도 보고서도 제출해야 한다.

Written Agreement의 원본은 아래 첨부를 참조하길...

FEd.DB.Enforcement.053017.pdf

규정의 취지 및 효력

• 미국의 BSA / AML 법규 준수 및 OFAC 요건 충족 강제화
  : 거래 모니터링 프로그램(TMS), 요주의리스트 필터링 (Watchlist Filtering)의 매년 인증 책임 및 Penalty 명확화

• 504.1 = 배경 

• 504.2 = 용어 정의

• 504.3 = 요구사항

• 504.4 = Annual Certification
  : 매년 4/15까지 인증된 고위 임원(Certifying Senior Officer)이 서식에 의거 인증 필요

• Penalties / Enforcement Actions (인증 받지 못할 경우)
  - 기관 : 은행법 및 금융 서비스 법에 따라 제공되는 모든 관련 처벌을 받아야 함.
  - 인증된 고위 임원 : 형사 처벌 대상

• 504.3-a Transaction Monitoring 유지
1. 기관의 Risk Assessment에 기초
2. KYCDD,EDD에서 가능한 모든 정보 반영
3. 사업,상품,서비스,고객,거래대상 매핑
4. 시나리오에 위험을 탐지하기 위한 RA 기반의 임계값 및 금액 사용
5. 데이터 매핑,트랜젝션 코딩,시나리오 로직, 모델 검증,입출력주기적 테스트를 포함하여 End-to-End, TMS에 대한 구축 전후 테스트 포함
6. 탐지시나리오,가정,매개변수,임계값 Documentation
7. 경보 조사 방법,경보처리 프로세스,담당자/의사결정 프로세스 문서화
8. 탐지시나리오,기본 규칙,매개변수,가정 등을 지속적으로 평가/분석 대상화

• 504.3-b Watch List Filtering 유지
1. 기관의 Risk Assessment에 기초
2. 이름과 계좌를 대조하기 위한 기술 또는 도구(Fuzzy 등 활용)
3. 데이터목록,감시목록,임계값 등주기적 테스트를 포함하여 End-to-End, 구축 전후 테스트 포함
4. 현재 법적/규제 요구사항 반영 리스트 사용
5. 이름,계좌 매핑 기술/도구의 논리,성능,리스트,임계값의 지속적인 분석 및 점검
6. 프로그램 도구 및 기술 의도, 디자인의 명확한 설명 Documentation
   
   
• 504.3-c Transaction Monitoring, Watch List Filtering 최소 요구 사항
1. 관련 데이터 포함한 모든 데이터 식별
2. 정확하고 완전한 데이터 흐름을 보장하기 위해 데이터의 무결성, 정확성 및 품질 확인
3. 소스로부터 데이터를 완전하고 정확하게 전송할 수 있도록 하는 데이터 추출/로딩 프로세스
4. 프로그램의 변경 사항을 관리
5. 프로그램의 벤더 선택 프로세스
6. 프로그램의 설계,구현,유지 자금 지원
7. 프로그램의 설계, 계획, 구현, 작동, 테스트, 유효성 검사 및 분석에 책임이 있는 자격을 갖춘 인력 또는 외부 컨설턴트
8. 이해 당사자에 대한 주기적인 교육

첨부 참조

NYSDFS Super intendent's Regulation Part 504.pdf