2017년 7월 28일 

FEDERAL DEPOSIT INSURANCE CORPORATION (연방예금보험공사)의 보도자료에 따르면, 

SHBA(신한은행아메리카)와 FDIC 간에 Risk Assessment를 수행하고,
BSA/AML 관련 자격이 있는 Management를 고용하고도록 하는 동의 명령(consent order)를 체결하였다.

또한, SHBA는 아래의 항목을 준수해야할 의무를 가진다.

  - 고객 실사 프로그램을 포함하여 BSA / AML 내부 통제를 수정 

  - 자격이 있는 외부 회사를 참여시켜 SAR(Suspicious Activity Report) 프로그램의 유효성을 확인

  - 보고 가능한 거래를 탐지하기 위한 절차 검토 및 강화

  - 포착 가능한 의심스러운 활동을 찾기 위한 거래에 대한 검토를 다시 수행 

  - 모든 불법 행위의 근절

  - 명령 준수 여부를 확인하기 위한 준수 위원회 구성

FDIC는 또한, 은행에 진행 상황 보고서를 제출하도록 했고, 주주들과 이 명령을 공유하도록 명령하였다.

상세 내용은 아래 첨부 확인 (실제 명령서) 

FDIC.Enforcement.Shinhan.061217.pdf

2017.06.02

프랑스의 감독기관인 ACPR은 

BNP 파리바(BNP Paribas)에 부적절한 자금 세탁 방지 통제로 인해  1,000 만 유로 (1,127 만 달러=121 억 원)의 벌금을 부과했다.

ACPR은 BNP Paribas가 자금 세탁과 테러 자금 조달을 막기 위한 조항에 많은 문제를 드러낸 2015년 검사에 의한 벌금이라고 밝혔다.

프랑스 당국은 최근 몇 년간 일련의 이슬람 공격 이후 이 분야에서 단속을 주도해 왔다.

ACPR은 BNP Paribas가 의심스러운 거래(Suspicious Transaction)를 발견하고 알려주는 직원이 충분하지 않았으며,

비정상적인 고객 거래를 탐지하기에 비효율적인 도구를 갖고 있다고 밝혔다.

BNP Paribas는 2014 년 미국 금융 당국에게 수단, 쿠바,이란에 대한 미국의 Sanction를 위반한 것으로

거의 90 억 달러의 벌금을 부과받았다.

http://www.acamstoday.org/importance-of-partnerships-between-bsa-aml-and-it-teams/

"The Importance of Partnerships between BSA/AML and IT Teams"

"일레인 얀시" 미국 FRB of Richmond의 관리 검사역 기고문

1. FinCEN의 CDD 룰

    FinCEN은 법적 실체 고객을 위한 유효 소유권 정보 수집을 포함하여
    명시적인 CDD 절차를 요구하도록 BSA를 개정되었다. 2018년 5월까지 규정 준수를 해야 함.

    규칙을 준수하기 위한 접근 방식으로 솔루션 공급 업체 및 자동화 도구를 포함해야 할 가능성이 높음..

    따라서 IT와 협의하여 프로세스에 필요한 조정 사항(예: 소유권 정보 수집 방법 및 저장 방법 등)을 파악해야 함.

2. 점점 커지고 있는 금융 기관

   인수 기업이 사용하는 AML 시스템과 데이터의 이해도를 높일 필요가 있음.

   시스템의 합병을 통해 확보한 고객의 히스토리컬 데이터가 어떻게 사용되는지,

   금융기관이 합병되고 성장함에 따라 현재 사용중인 시스템이 확장된 조직에 적합한지 등의 결정을 내려야 함.

   필요한 용량과 기능이 포함되어 있는지, IT파트너와 함께 이러한 문제를 이해하고 해결하여야 함.

3. 사이버 이벤트 및 사이버 기반 범죄에 관한 금융기관에 대한 FinCEN의 자문

   2016년 10월, FinCEN은 의심스러운 활동을 식별하기 위해 사내의 "사이버 보안 부서"간의 협업을 권장하였음.

   조직이 공격당했을 때 뿐만 아니라 은행 고객이 공격당했을 때도 알 필요가 있으므로, 

   사이버 이벤트와 관련된 의심스러운 활동 보고서(SAR; Suspicious Activity Report)를 제출해야 함.

4. 고객의 요구와 상품의 혁신

   고객은 더 높은 수준의 편리성을 요구하고 있으며, 이는 더 빠른 매체를 통한 전자적 거래를 의미함.

   시장 혁신자는 새로운 상품을 출시하거나 제공해야 하는 신 상품을 지속적으로 공급하게 됨.

   IT 부서가 이러한 일을 도와주게 됨.

5. 공급업체 이슈

   IT 부서는 Core-Banking 공급 업체 또는 S/W 공급 업체의 어려움을 해결하는데 도움을 줄 수 있음.

   BSA를 준수하기 위한 도구나 S/W의 조정, 개선에 대한 공급 업체에 대한 선택을 하는데 도움이 되는 지식을 제공해 줌.

   변수 / 임계값 변경은 AML 공급 업체와 협의해야 하는데, 이를 IT 운영상에 시스템이 어떻게 작동되어야 하는지 식별해야 하고,

   데이터 피드 문제 및 문제 해결 방식을 결정하는 시스템에 대한 이해가 없으면 불가능함.

6. 담당자의 커리어

   AML 담당자로써 IT 노출 및 경험이 좀 더 가치있는 AML 전문가로 만들어 줌.

   이러한 AML에 사용되는 다양한 시스템 경험은 Career에 굉장히 도움이 됨.

7. 프로젝트 관리

   IT 부서는 수행하는 대부분의 컴플라이언스 프로젝트에서 최소한 데이터가 필요함.

   프로젝트 관리자는 프로젝트 관리 S/W를 사용하여 프로젝트 팀에서 데이터와 기타 문제를 해결할 수 있음.

8. 규제 기관의 사고 대응 요구 사항

   규제 당국은 사이버 사고에 대한 보고와 보증된 SAR의 제출을 요구하고 있음.

   특히, 뉴욕주 사이버 법은 2017. 3. 1에 발표되어 금융 기관은 네트워크 및 고객 데이터를 보호하기 위한 특정 단계를 따라야 함.

   사이버 사건이 발생하면, 조직 내 SAR의 파일러인 IT 부서가 사용자를 계속 지원하여야 함.

9. 데이터 유효성 검사 / 모델 유효성 검사

   모델 및 시스템 유효성 검증을 준수하기 위해

   내부 IT 부서는 외부 시스템을 사용하는 경우 시스템 공급 업체에 파일을 전송하기 위해 

   파일생성, 크기 및 항목 수를 확인하는 등의 도움을 주어야 함.

10. 자동화된 시스템

   대부분의 금융기관은 자동화된 시스템을 사용하여 BSA/AML을 준수하고 있음.

   많은 자동화된 시스템은 의심스러운 활동을 모니터링하는데 사용되는 도구의 형태로 제공됨.

   IT 부서는 이러한 시스템에 대한 데이터 흐름을 잘 이해하고 있어야 함.

   잘못된 데이터가 입력되거나 필요한 데이터가 누락되면 의심스러운 활동을 식별하는데 더욱 어려움.

2017.05.10

국내외의 규제당국의 규제 방향이 바뀌기 시작하였다.

예전에는 SAR/STR의 보고 건수에 Focus를 두었다면,

이제는 보고 품질에 더욱 주안점을 두며 금융 기관에 보고 품질을 개선하라고 하고 있다.

특히, 작년 초(2016. 02) FinCEN(Financial Crime Enforcement Network)은

플로리다주 지브롤터 프라이빗 뱅크(Gibraltar Private Bank)와 트러스트 컴퍼니(Trust Company)에 대한 

AML 프로그램의 "상당한"결함으로 4백만 달러의 벌금을 부과했다. 

그 중 다른 여러 결함 들 중에서도 

False Positive를 포함한 "관리 할 수 없는 수"의 경보도 포함되어 있다.

이런 내용을 반영하듯,

작년말 발표한 NYSDFS의 Part 504에도,

우리나라 KoFIU가 발표한 2017년 감독 방향에도

모두 SAR/STR에 대한 품질과 관련된 규정이 포함되어 있다.

문제는, 아직도 금융기관의 AML 시스템을 통해 발생하고 있는 경보의 대부분이

False Positive라는데 문제가 있다.

대부분의 경보(일부 조사에 따르면 99.95%)가 오탐에 의한 경보이고,

정말 극히 일부분만 SAR/STR로 진행되어야 할 가치가 있는 경보로 밝혀지고 있다.

그러면, 금융 기관 입장에서는 어떤 방향의 접근법이 있을까?

1. Sanction 측면

- 2015년 10월 미국 재무부 해외 재산 관리국(OFAC)은 

  합법적인 개인 및 단체의 이름을 블랙리스트와 실수로 매칭함에 따라 발생된 경보를

  향후에 발생하지 않도록 많은 AML 팀이 편집한 "오탐 리스트(False Hit Lists)"를 

  정기적으로 재평가할 것을 권고했다. 

  또한, OFAC은 "오탐 리스트는 부정확한 매치를 통제하기 위한 최선의 방법이지만, 

  금융 기관은 정기적으로 이를 업데이트하여 

  보호된 고객에게 영향을 줄 수 있는 새로운 Sanction 지정과 

  해당 고객의 행동이나 상태에 대한 의심스러운 변경을 잠재적으로 방지해야 한다."고 밝혔다.

2. Transaction Monitoring 측면

- 과학적인 접근 방법을 따라야 한다.

  많은 경우의 잘된 자금세탁은 정상 거래와 거의 유사하게 포장되어 있다.

  이를 면밀하게 조사하고 찾아내기 위해서는 일반적인 휴리스틱 기법이 아닌,

  Statistics Method나 무역 금융 등에서 발생되는 Text 등을 전면적으로 활용하는

  다양한 분석 기법을 활용하여, 거래 당사자와 거래의 Behavior 중 특이 거래를 찾아낼 수 있어야 한다.

  오히려, 전통적인 기법보다는 가장 최신의 분석 기법을 활용할 수 밖에 없는 이유일 것이다.

특히, 고객의 특성과 현재 고객의 상태를 반영하여 고객 Behavior 상 특이 거래를 찾는 것은

새로운 접근 방법이 아니라, 과거 전통적인 분석이 활용되었던 CSS(Credit Scorecard System)나

Customer Analytics에서 활용되었던 Segmentation, Recommendation, Predictive 등의 분석 기법,

최근 금융권에 적용 시도가 빈번한 Machine Learning 기법 등을 활용하면,

False Positive를 획기적으로 개선하고 그 SAR/STR의 품질을 개선할 수 있는 방안이 될 것이다.

이를 위해 SAS에서는 몇 가지 백서와 Product를 제공하고 있다.

백서로써, Analytics를 AML 컴플라이언스에 적용하여 "시나리오 세분화 및 이상 거래 탐지 모델 개발 방법"이라는 백서와

이를 제공하기 위한 SAS Transaction Monitoring Optimization 이라는 솔루션을 제공하고 있다.

자세한 내용은 첨부를 참조하면 된다.

sas-transaction-monitoring-optimization-108186.pdf

scenario-segmentation-anomaly-detection-models-107495.pdf

미국의 금융 범죄 집행 네트워크(Financial Crimes Enforcement Network ; FinCEN)은

2017년 3월 10일,

하이퍼 링크로 구성된 기술 보고서를 발간하여, 

미국의 예금 기관, 금융 서비스 회사 ,카지노 및 기타 금융 기관의 데이터를 비롯

Suspicious Activity Reporting (의심활동보고 ; SAR, 국내에서는 STR ; Suspicious Transaction Reporting)에 대한

업계 유형 및 순위 등을 배포했다.

이 데이터는 MS EXCEL로 제공되며, SAR에 대한 월별, 주별, 유형별, 규제 기관 및 지불 방식별로 

집계되어 있다.

첨부에는 하이퍼링크를 포함한 기술 보고서와, 예금 기관의 보고서를 첨부하였다.

기타 다른 보고 의무 기관의 집계를 보고자 하면 기술 보고서의 하이퍼링크를 클릭하면 다운로드 받을 수 있다.

FinCEN.Report.SARStatsTechnicalBulletin.031017.pdf

Section_2-Depository_Institution_SARs.xls

http://www.wsj.com/articles/intesa-sanpaolo-fined-235-million-by-new-york-regulator-1481823402

NYSDFS Fines Intesa Sanpaolo S.p.A, New York Branch $235 Million for AML Violations

뉴욕금융감독청(NYSDFS)는 뉴욕의 AML 요구사항 및 BSA(Bank Secrecy Act) 위반을 이유로
이탈리아 밀라노에 본사를 둔 Intesa Sanpaolo 뉴욕 지점에 벌금 2억 3,500만 불을 부과하는 동의명령을 체결했다.

해당 동의명령에 따르면,

은행의 뉴욕 지사는 거래 모니터링 관행의 실패,

특히 수상한 거래를 정확하게 식별하기 위한 수천 건의 경보 누락과 오분류(False-Positive)로 잘못 분류 처리함 으로써

AML법을 위반 하였다.

또한, 이 은행은 일부 직원들에게 Sanction 엔터티에 포함된 이란, 수단, 쿠바의 단체와 관련된 거래를

적법하게 처리하도록 교육하여 적발되지 않도록 하였다.

또한, 은행은 뚜렷한 사업 목적이 없는 페이퍼 컴퍼니의 거래를 처리했으며,
(2006 년에 룩셈부르크 자회사는 파나마의 페이퍼 컴퍼니 주소에 등록 된 고객을 위해 뉴욕 지점을 통해 거래를 처리했는데

이 주소는 파나마 페이퍼의 주소와 동일)

영국령 버진 아일랜드와 같이 위험이 높은 지역에 있는 거래 상대방과 연결되어졌다.

이를 통해 이 은행의 뉴욕 지점은 총 7,00 만 달러 상당의 거래를 처리했다.

동의 명령에 따라 은행은 2억 3,500만 달러의 벌금과 함께,
BSA / AML 위반에 대응하기 위한 노력을 더 분석하기 위해 독립적인 컨설턴트의 참여를 확대해야 한다.

컨설턴트의 보고서에 따라 은행은 또한 다음을 수행하여야 한다.

1. 개선된 BSA / AML 프로그램 개발. (AML / BSA 재구축)

2. 의심스러운 거래의 식별 및 보고에 관한 프로그램을 수행. (STR / SAR Report) 

3. 강화된 실사 프로그램을 개발(Enhanced Due Deligence)

4. 개정된 내부 감사 실시

5. BSA / AML 준수에 대한 은행 경영진의 감독 강화