Большая стирка

1. Идентификация клиентов:
   • Сбор обязательной информации о клиентах. Ведение и периодическое обновление анкет клиентов;
   • Определение категории риска причастности клиента к «отмыванию» в зависимости от собранной информации, а в дальнейшем изменение категории риска в зависимости от деятельности клиента.
   Банк может реализовать это требование двумя различными способами. Первый – предложить своим клиентам заполнение анкет, которые будут храниться в папках в хронологическом порядке. Способ неправильный как с точки зрения  аналитики, так и эргономичности. Второй путь – ввод данных в информационные системы, так как это позволит унифицировать информацию и выполнить ее автоматизированную обработку. К сожалению, на сегодняшний день не все банковские системы предусматривают создание полей для всей необходимой информации, а если и предусматривают, то это, как правило, неструктурированные объекты, от которых невозможно добиться унифицированного ввода данных. Большая часть информации вводится при этом в различные формы и закладки системы, что затрудняет ее восприятие и анализ.
   Вторая проблема – оценка риска в соответствии с требованиями ЦБ. Необходимо автоматизировать процесс присвоения клиенту группы риска, так как результат такой оценки учитывает все необходимые критерии (деятельность клиента, виды операций, состав контрагентов и т.д.). Многие банки параллельно классификации ЦБ имеют собственную классификацию рисков клиента, которую тоже было бы неплохо учитывать в рамках AML-системы.
2. Выявление лиц, причастных к террористической деятельности:
   • Проверка клиента на причастность к террористической деятельности в момент его регистрации в системе;
   • Проверка контрагентов в расчетных операциях клиентов на причастность к террористической деятельности. Приостановка расчетных операций. Отказ клиентам в обслуживании;
   • Ведение и обновление базы террористов.
   Кредитные организации обязаны использовать в своей работе «черный список» стран, территорий, юридических и физических лиц, который подготавливается Центральным Банком РФ и рассылается в формате dbf. Помимо этой базы данных, многие банки используют в своей работе собственные «черные списки» и «черные списки» международных организаций, которые могут иметь совершенно другие форматы. Возникает проблема интеграции и актуализации этих баз данных. Более того, если объединить эти списки в один, то получится база данных в несколько тысяч объектов. Следовательно, банк нуждается в автоматизированном решении, способном быстро и в режиме реального времени выполнять проверку клиентов и платежей на их наличие в такой базе данных, количество объектов которой подчас достигает ста тысяч сущностей.
3. Выявление операций клиентов, подлежащих обязательному контролю:
   • Операции на сумму, равную или превышающую 600 000 рублей;
   • Операции с недвижимостью на сумму, равную или превышающую 3 000 000 рублей.
   Все виды таких операций подробно перечислены в ФЗ-115. Большинство таких операций ориентируются непосредственно на сумму платежа. Например, если клиент выполняет обменные операции на общую сумму в 25 000 долларов США, что превышает лимит в 600 000 рублей, банк направляет сообщение в Росфинмониторинг. В данном случае возникает задача отслеживания нескольких операций одного клиента, общая сумма которых может превышать контрольный лимит.
   Другая часть обязательных операций предполагает контроль не суммы платежа, а суммы сделки (сумма договора по покупке/продаже недвижимости, акты приема-передачи по лизинговым операциям). Как правило, платежи по данным договорам совершаются несколькими траншами, что создает проблему суммирования платежей в разрезе договоров. Очень часто подобные операции не автоматизированы в банке и выполняются вручную.
4. Выявление необычных операций и сделок клиентов. В отличие от операций, подлежащих обязательному контролю, для необычных операций и сделок степень «необычности» каждый банк устанавливает для себя сам (основываясь на рекомендательном письме ЦБ №99-Т), при этом согласует порядок выявления с региональным департаментом ЦБ.
   
   Сложность состоит в выработке методологии отнесения к необычным операциям. Раньше банки переписывали критерии и признаки необычных операций, сформулированные в рекомендательном письме ЦБ №99-Т, редактировали их таким образом, что в итоге они становились чисто формальными и не требовали реализации на практике. Это происходило в силу невозможности реализации контроля подобных операций в рамках существующих AML-систем.
   Спасение банка заключается в использовании комплексного механизма, использующего сложные поведенческие и бизнес-модели, умеющего выявить различные последовательности, способного провести анализ текста и выявленных взаимосвязей. В настоящий момент российские разработчики не могут предложить автоматизированного решения для этих задач.
5. Выявление выгодоприобретателей клиентов:
   • Выявление выгодоприобретателей в расчетных операциях клиентов;
   • Идентификация выявленных выгодоприобретателей;
   • Ведение базы выгодоприобретателей.
   В соответствии с требованиями законодательства кредитная организация обязана выявить операции с участием третьих лиц, после чего необходимо приостановить подобную операцию и идентифицировать третье лицо, направив клиенту соответствующий запрос. Так как операций много, то необходимо продумать систему направленных сообщений и полученных ответов, чтобы исключить случаи повтора. Большинство банков выполняют данные операции вручную, ведя учет в документах Word или Excel. Гибкий инструмент настройки бизнес-процессов мог бы помочь банку автоматизировать эту задачу. 
6. Информирование ЦБ (в соответствии с требованиями 321-П):
   • Выявление террориста;
   • Приостановка расчетной операции;
   • Выявление операции, подлежащей обязательному контролю, или необычной операции и сделки;
   • Невозможность идентификации выгодоприобретателя клиента.
   При формировании отчетности в стандартных AML-модулях банковских систем очень часто случаются различные ошибки, вызванные отсутствием структурного и логического контроля, неправильным вводом данных или неверным формированием файла. Наказанием для такого рода ошибок может стать отзыв лицензии банка. В последнее время был разработан ряд проверочных программ, интегрируемых с механизмами отчетности, но это дополнительный модуль, очень часто еще и от стороннего разработчика, который нужно реализовать в существующей инфраструктуре.

Набор отчетов в стандартных AML-модулях банковских систем обычно ограничивается требованиями 321-П. У кредитной организации нет возможности создавать собственные аналитические отчеты и диаграммы, которые могли бы позволить руководству мгновенно оценить уровень противодействия легализации преступных доходов в банке и принять необходимые решения.  

Мошеннические операции

Другая проблема, о которой хотелось бы поговорить в рамках данной статьи, это мошеннические операции. «Фишинг»2, «скимминг»3, хакерство – те явления, которые до сих пор внушают банкам страх. В условиях финансового кризиса эта проблема становится все более актуальной: с одной стороны, кредитные организации не могут себе позволить нести дополнительные убытки, а с другой – мошенники активизируют свои усилия  в этой сфере, пользуясь финансовой нестабильностью. Кроме того, из всех секторов экономики финансовая индустрия остается наиболее уязвимой в силу того, что постоянно  находится в фокусе внимания злоумышленников. Мошенничество становится ключевым операционным риском, который сказывается на репутации и доходах кредитной организации. Факты ужасают: согласно данным Ассоциации Региональных Банков (АРБ) РФ, потери, связанные с мошенничеством на российском рынке банковских карт, в 2008 году составили около миллиарда рублей. Это почти в три раза больше, чем в 2007 году.

С 2007 по 2008 год убытки транснациональных компаний от мошенничества составили 7,3 миллиарда долларов или по 8,2 миллионов долларов на компанию, что на 22% больше, чем в позапрошлом году (6,7 миллионов долларов). Такие данные содержатся в исследовании, проведенном Economist Intelligence Unit4. И чем крупнее компания, тем выше ее убытки: крупные корпорации потеряли из-за действий мошенников в три раза больше, чем средняя компания. Авторы доклада приходят к выводу, что слабеющий внутренний контроль и большая текучка кадров дают куда больше возможностей для преступников. «Эти факторы увеличивают вероятность мошенничества в полтора раза», – говорится в докладе.

И не всегда убытки от мошенничества можно выразить в стоимостном эквиваленте. Как правило, это еще и косвенные потери банка, которые могут иметь более серьезные последствия. Например, разрушается бренд, ухудшается репутация компаний, снижается уровень доверия клиентов, наносится ущерб контактам с партнерами. А финансовые структуры считают, что рыночная стоимость банка зависит в первую очередь от его репутации на рынке.

К сожалению, использование преступниками последних достижений технического прогресса и глобализация мошеннических операций ставят перед кредитными организациями целый ряд новых задач. Все чаще и чаще мошеннические операции совершаются организованными преступными группами, вступившими в сговор с партнерами и контрагентами, инсайдерами, в том числе и сотрудниками банка. Несколько месяцев назад консалтинговая компания Ernst & Young опубликовала исследование, согласно которому в период экономического кризиса 64% сотрудников крупных компаний ожидают увеличения числа случаев корпоративного мошенничества. Сотрудники находятся в постоянном страхе увольнения, что вызывает у них желание обмануть своих нанимателей и поддаться на уговоры мошенников. 31% россиян и 37% европейцев считают, что руководство их компаний не уделяет достаточного внимания  вопросам противодействия мошенничеству.

Что делать?

Российские банки уже прошли этап формального исполнения обязательных требований и нормативов ЦБ, нарушение которых грозит отзывом лицензии на осуществление банковской деятельности. Сейчас перед ними стоит задача минимизации рисков и предотвращения участия кредитной организации в сомнительных операциях. Многие приходят к тому, что нужно эффективно использовать результаты противодействия в интересах самого банка. Очень долгое время российские разработки в этой области были направлены исключительно на реализацию требований 115-ФЗ в рамках модуля АБС, используемой в банке. Вся работа по выявлению необычных операций выполнялась вручную или при помощи инструментов Microsoft Office, которые помогали не автоматизировать процесс, а лишь систематизировать обрабатываемые данные. Такое положение вещей могло устроить небольшой банк, а что делать финансовым организациям, объем операций которых превышает сотни тысяч в день? Ответ на самом деле очевиден: нужно использовать передовой опыт и наработки наших западных коллег. Ведь даже Центральный Банк РФ не придумывает ничего нового: многие из его нормативов и рекомендаций являются выдержками из международных документов по противодействию легализации.

Agricultural Bank of China (Сельскохозяйственный Банк Китая)

В июне 2008 года китайское правительство раскрыло информацию о том, что в 2004 году в одном из крупнейших государственных банков было совершено более 50 мошеннических операций, в которых участвовало 174 человека. Общий ущерб от этих операций был оценен в 1.1 млрд. долларов. При этом финансовый аудит выявил и другие нарушения – при работе с депозитами (1,8 млрд. долларов) и кредитами (3,5 млрд. долларов). В результате инцидента 64 служащих банка были уволены, 20 отданы под суд, 1330 подверглись мерам дисциплинарного воздействия.

Это был очередной шаг правительства Китая, направленный на привлечение иностранных инвестиций в страну, которые возлагают большие надежды на развивающуюся, несмотря на кризис, экономику страны. В 2007 году Goldman Sachs Group Inc., American Express Co. and Allianz AG вложили около 4 миллиардов долларов в Индустриальный Коммерческий Банк Китая, выкупив 10% его акций. Этот шаг должен был показать зарубежным инвесторам, что правительство заинтересовано в улучшении практик управления в государственных банках. Однако аналитики отмечают, что много подобных фактов остается нераскрытыми, а их уровень очень велик в силу слабо развитого внутреннего контроля в китайских банках.

 

Banco Intercontinental

Banco Intercontinental функционировал на территории Доминиканской Республики и являлся вторым крупнейшим коммерческим банком страны. В 2003 году в этом учреждении была зафиксирована рекордная сумма убытков – 2.2 миллиарда долларов, что на тот момент составляло две трети государственного бюджета страны. Это отразилось на всей экономике Доминиканской республики: государство получило контроль над обанкротившимся банком, что привело к высокому уровню инфляции, девальвации национальной валюты и массовым беспорядкам населения.

Расследование причин понесенных убытков выявило, что незаконные операции совершались владельцем банка Рамоном Баец Фигуеро и рядом руководителей. Рамон Баец Фигуеро был очень влиятельным человеком: помимо банка, он владел крупнейшей медиакомпанией BANINTER Group, которая включала в себя старейшее печатное издание страны, 4 телеканала и более 70 радиостанций. В ходе судебного процесса были выдвинуты обвинения в легализации преступных доходов и сокрытии финансовой информации от органов власти. В результате решения суда Рамон Баец Фигуеро был приговорен к 9 годам лишения свободы.

 

Bank of Credit and Commerce International

На сегодняшний день преступление, совершенное в этом банке, считается крупнейшим мошенничеством в банковской сфере прошлого века, которое в 1991 году повлекло за собой банкротство Bank of Credit and Commerce International. Когда открылась правда о деятельности этого банка, мировое финансовое сообщество содрогнулось. В списке обвинений, звучавших в адрес банка после его краха, не только банальное финансовое мошенничество (правда, в особо крупных размерах), но и уклонение от уплаты налогов, отмывание денег, взяточничество, поддержка международного терроризма, запугивание свидетелей, причастность к торговле оружием и ядерными технологиями. А ведь незадолго до своего закрытия в 1991 году банк этот считался одним из флагманов мирового финансового сектора. Во времена своего расцвета филиальная сеть банка состояла из 400 офисов в 73 странах мира, и в нем работало около 14 тысячи сотрудников.

 

Сомнения в финансовом состоянии банка возникли в 1986 году. Именно тогда аудиторам и регулирующим органам стало известно об убытках в размере 500 миллионов  долларов, понесенных банком, которые не были отражены в отчетности. В 1991 году аудиторская компания «Price Waterhouse» предприняла новое расследование. Ими было обнаружено 600 миллионов долларов, внесенных на депозит клиентами банка, но не нашедших отражения в отчетности. Вывод был налицо: масштабное мошенничество и подтасовки. Причем махинации, направленные на раздувание прибыли банка, были обнаружены уже с 1976 года, а их масштаб измерялся миллиардами долларов. После изучения этого отчета правительство Англии закрывает банк в июле 1991 года, после чего он прекращает свое функционирование и в других странах. На момент закрытия активы банка составляли 23 миллиардов долларов, но обнаружить удалось лишь половину этой суммы.

 

Декабрь 2008 года

ЗАО КБ «ФИА – банк» оказался замешанным в обналичивании денежных средств. Несмотря на то, что действия банка были признаны соответствующими 115-ФЗ, репутации банка был нанесен урон, повлекший массовый отток вкладов.

 

В декабре 2008 года следственное управление УВД по Автозаводскому району г. Тольятти возбудило уголовное дело по признакам состава преступления, предусмотренного ст. 159 УК РФ, против двух граждан России. Им вменяются мошеннические операции, связанные с обналичиванием денежных средств с использованием пластиковых карт на общую сумму 1.5 миллиарда рублей.

 

Любопытно, что «ФИА-Банк» уже не первый раз фигурирует в скандалах, связанных с незаконным обналичиванием средств и нарушением ФЗ-115. Так, по данным газеты «Коммерсантъ», летом 2007 года УВД города Тольятти направило в суд уголовное дело, возбужденное против бывшего главного бухгалтера «ФИА-Банка». Среди прочего в вину ей вменялось и участие в схемах по обналичиванию средств одной из компаний-клиента  банка.

 

Примечательно, что «ФИА-Банк» также является одним из банков Самары и Тольятти, пользующихся государственной поддержкой в период кризиса. Так, осенью 2008 года банк получил кредит ЦБ под залог своего кредитного портфеля сроком на 6 месяцев, в декабре – 35-дневный беззалоговый кредит на 700 млн. рублей с датой погашения 14 января 2009 года.

 

Юлия Голышева, аналитик ИК «Финам»:«...Основной причиной подобных нарушений является недостаточно высокий уровень внутреннего контроля и противодействия легализации преступных доходов. Кроме того, возможно, имеет место недостаточное обеспечение информационной безопасности данных клиентов»5.

В ходе детального анализа международного рынка AML-решений специалистами компании «Инфосистемы Джет» было рассмотрено несколько крупных игроков. Исследование показало, что наиболее полно с задачей финансового мониторинга в кредитной организации справляется система Oracle Mantas от компании Oracle Financial Services. Система дает банку целый ряд возможностей: консолидировать, очистись и интегрировать  данные, полученные из разных источников; использовать сложные модели выявления преступных схем и необычных операций; сгенерировать предупреждения и снизить ошибочные результаты проверок («false positives») на 90%; произвести реинжениринг бизнес-процессов; получить в распоряжение современные инструменты делопроизводства и отчетности.

Рис. 1. Функциональная архитектура Oracle Mantas

С точки зрения функционала можно выделить три основных блока системы (см рис. 1 ): модуль KYC («Знай своего клиента»), решение по работе с черными списками HotScan и, собственно, AML-платформа для противодействия легализации и выявления мошеннических операций.

Модуль KYC (см. рис. 2 ) отвечает за идентификацию клиентов банка. В момент заведения клиента или открытия счета в KYC передается информация о клиенте через SOAP6-интерфейс или посредством обмена файлами. Модуль отвечает за достоверность представленных документов, осуществляя сбор и проверку информации в публичных источниках (например, Factiva7), «черных списках» и внутренних базах данных. При этом система Mantas получает информацию, необходимую для того, чтобы идентифицировать клиента, и информацию, позволяющую определить его бизнес-профиль (ожидаемое поведение). Вся полученная модулем информация просматривается и может быть использована для подготовки заключений. Сведения, полученные таким образом от внутренних или внешних систем, могут быть приложены к аналитическим отчетам, могут быть сохранены в хранилище документов банка с соответствующей ссылкой на документы из модуля Mantas KYC. Здесь же решается задача отнесения клиента к группе риска: эта информация может быть загружена из системы риск-менеджмента или определена модулем KYC в соответствии с заданными настройками. В зависимости от присвоенного уровня риска к клиенту будет применяться различный ряд проверок. Чем выше уровень, тем чаще будет производиться переоценка риска для данного клиента. Интеграция с AML-платформой дает возможность использовать рейтинги рисков, устанавливая соответствующий уровень мониторинга для клиента, его операций и контрагентов. AML-платформа инициирует пересмотр клиентской информации в случае нарушения порогов, указывающих на значительные отклонения в поведении.

Рис. 2. Работа модуля KYC

Решение HotScan предназначено для работы с «черными списками»: при этом у банка есть возможность использовать как собственные «черные списки», так и списки различных правительственных и международных организаций. В зависимости от требований банка автоматическое сканирование на наличие в «черном списке» может выполняться на любом из этапов обслуживания клиента: в момент сохранения его сведений, при изменении клиентской информации, в процессе периодического сканирования клиентской базы данных, мониторинга платежных сообщений и т.д. Более того, при наличии подозрений сотрудник банка может выполнить проверку клиента в любой момент времени. Все предупреждения HotScan направляет в соответствующую экранную форму, где ответственный сотрудник может просмотреть их и принять необходимые действия. Что же касается объемов, то HotScan может обрабатывать в режиме реального времени более 720 000 платежных сообщений в час.

AML-платформа является основным функциональным блоком системы Oracle Mantas. Она является центральным хранилищем данных, которые поступают из различных внешних систем. Здесь же выполняются консолидация полученной информации, проверка на качество данных и их очистка. После этого обработанные данные прогоняются через сценарии – сложные логические модели, позволяющие выявить подозрительное поведение или возможное «отмывание» нелегальных средств. Именно сценарии дают банку возможность выполнять комплексный мониторинг операций и счетов в разрезе продуктов и направлений его деятельности. В системе есть специальный конструктор, который позволяет кредитным организациям создавать новые сценарии или вносить изменения в существующие без затрат на кастомизацию и программирование. В своей работе конструктор использует следующие инструменты:

• правила для представления линий поведения в качестве набора условий;
• профили клиентов для выявления необычного и подозрительного поведения;
• возможность связать реальные и производные названия и ассоциации в неструктурированном тексте;
• выявление последовательностей для взаимосвязей событий и операций в последовательном порядке;
• анализ связей для выявления комплексных линий поведения, когда отношения между объектами могут быть довольно сложными, неявными и намеренно скрытыми. Определяет и устанавливает связь с линиями поведения, выявленными другими инструментами, как  несвязанные события возможного мошенничества, отмывания средств или воровства.

В настоящий момент компания Oracle готова предложить своим клиентам более 300 сценариев, которые можно применять в следующих областях: обслуживание юридических и физических лиц, брокерские операции, инвестиционные банковские услуги и контроль сотрудников банка. Как показывает опыт предыдущих внедрений компании Oracle, для реализации требований регуляторов достаточно 10-20 сценариев. Краткое описание AML-сценариев, применяемых в обслуживании физических и юридических лиц, можно посмотреть в Приложении 1 .

В случае обнаружения подозрительных операций система незамедлительно сформирует сообщение для ответственного сотрудника. Oracle Mantas предлагает гибкую настройку бизнес-процессов, подстраиваясь под организационную структуру банка и его регламенты. Необходимо отметить функционал делопроизводства, поддерживающий возможности «drill-down» и позволяющий заводить дела и отправлять инциденты на расследование как автоматически, так и вручную. А современный инструментарий отчетности поможет банку создавать не только обязательные отчеты, но и графические информационные панели. Создание отчета в системе не требует от аналитика навыков программирования, а выполняется простым нажатием кнопок мыши.

Не только выявлять, но и расследовать

Отличительное особенностью системы является наличие в ней механизмов делопроизводства и документооборота. Это означает, что система не просто выявляет возможные случаи отмывания денег и мошенничества, но и предоставляет развитые механизмы по их расследованию. Встроенная система документооборота позволяет настраивать порядок изучения события заданными лицами или группой лиц. На каждое расследование могут быть наложены ограничения по времени, как того и требует 115-ФЗ. Если необходимо информировать сотрудника банка, что ему поручены те или иные задачи в рамках расследования, система может автоматически отправить ему уведомление на электронную почту. Разумеется, все действия системы и пользователей фиксируются и могут быть впоследствии проанализированы.

Для того, чтобы инициировать расследование, система Mantas заводит новое дело. Как правило, дело заводится в результате обнаружения скриптами подозрительного поведения. Такое обнаружение называется инцидентом. Система позволяет объединить несколько однотипных инцидентов в единое делопроизводство.

Созданное таким образом дело содержит всю информацию, инструменты для анализа и отчетности, которые могут пригодиться для его расследования. Прежде всего, в дело вносятся сведения о том, каким образом система распознала произошедший инцидент, каким скриптом и с какими параметрами это произошло. Такой подход позволяет быстро изменять настройки скриптов в случае большого количества ложных срабатываний. Во-вторых, дело содержит данные о состоянии всех относящихся к инциденту деталей, таких как: остатки по счетам, список операций, предшествующих инциденту, информацию о клиенте и т.п. Эта информация отражает состояние на момент события и поэтому остается в деле неизменной. Кроме статических данных, дело в таком же точно формате содержит актуальное состоянии всех основных сведений о клиенте и его счетах. Эта информация необходима для того, чтобы пользователь смог выявить динамику или проанализировать изменения в поведении клиента. Работа с делами организована очень гибко, например, закрытое ранее дело можно вновь открыть и инициировать на основании него специальное расследование и соответствующий документооборот. Для того, чтобы незначительные события (например, на небольшие суммы) не отвлекали внимание сотрудников, формирование дел по ним можно блокировать, однако если выставить порог суммарного срабатывания, при накоплении значимого количества таких событий, система все равно запустит расследование. Вообще говоря, все расследования в системе упорядочены, наиболее важные и критичные из них находятся выше по списку. Для выставления коэффициентов в системе есть настраиваемый многоуровневый скоринг, добавляющий баллы за те или иные характеристики произошедшего инцидента. Классическим примером ранжирования является приоритет при расследовании сделок на крупные суммы.

Для расследования инцидентов система Mantas содержит набор отчетов и специфических инструментов, таких, например, как анализ связей клиента, позволяющий идентифицировать все счета, вовлеченные в его сделки, всех корреспондентов, банки и т.п. Для анализа связей строится сеть, визуально показывающая направление движения средств и связи между корреспондентами. Схема представляет собой динамический объект, части которого можно удалять с помощью фильтров, что позволяет избавиться от «шума» мелких и незначительных операций и увидеть систему в поведении клиента. Кроме того, элементы схемы представляют собой ссылки на детальные отчеты, расшифровывающие сущность элемента.

В зависимости от описанного документооборота по результатам расследования система может автоматически сформировать отчет для последующей отправки в соответствующий орган по финансовому мониторингу, закрыть дело или подготовить отчет о результатах расследования. Результат расследования может быть экспортирован в любую систему в составе информационного комплекса, например, в Автоматическую Банковскую Систему или систему хранения электронных документов.

Таким образом, выявление операций по отмыванию средств и мошеннических операций в системе Mantas это только начало и основа для дальнейшего расследования. Помимо выявления подозрительного поведения, система Mantas гарантирует, что это поведение будет обязательно изучено и расследовано в установленные сроки с обязательной фиксаций всех выполненных в ходе расследования действий.

Архитектура

Система реализована в многоуровневой, масштабируемой и открытой архитектуре, что раскрывает перед банком широкие возможности интеграции и позволяет выбрать наиболее подходящую модель внедрения. Как правило, выбирается трехуровневая модель: сервер представлений, отвечающий за взаимодействие с пользователем; сервер приложений, отвечающий за бизнес-логику системы; сервер баз данных, отвечающий за сбор и хранение информации. Oracle Mantas – это веб-ориентированное решение: для работы обычного сотрудника необходимо лишь наличие рабочей станции с Интернет-браузером.

Рис. 3. Архитектура безопасности Oracle Mantas

Многоуровневая модель безопасности Oracle Mantas (см. рис. 3 ) позволяет банку гибко настраивать права доступа к системе. В соответствии с внутренними регламентами можно разграничить доступ сотрудникам к различным экранным формам, операциям и информационным объектам. Это достигается за счет механизма настройки ролей пользователей. Так, роль «аналитика», по умолчанию настроенная в системе, позволяет просмотреть предупреждения и связные с ними операции и данные, изменить их статус, ввести комментарий, отправить уведомление на электронную почту и назначить ответственного сотрудника. Помимо стандартного функционала аутентификации пользователей, система позволяет банку использовать возможности LDAP. За счет использования открытых интерфейсов Oracle Mantas может быть интегрирована практически с любой стандартной системой безопасности, используемой в банке. По умолчанию система использует протоколы SSL 3.0 для шифрования трафика, но при необходимости банк может использовать средства шифрования от других производителей. Все настройки системы защищены 128-битным цифровым ключом. Все эти инструменты надежно уберегут информацию банка от внешних посягательств. 

Признание индустрией

Система Oracle Mantas пользуется большим спросом на финансовом  рынке и ежегодно отмечается различными печатными изданиями и консалтинговыми агентствами. Решения  были внедрены в 67 странах мира. О популярности системы среди кредитных организаций говорит хотя бы тот факт, что 5 из 11 ведущих банков (Deutsche Bank AG, ABN AMRO Bank N.V., Credit Suisse Group, Barclays Bank, Citibank N.A.), заложивших основные директивы по противодействию отмыванию преступных доходов в документе «Вольфсбергские принципы», используют Oracle Mantas в качестве основной AML-платформы. К тому же, клиентами Oracle Mantas являются такие крупные банки и инвестиционные компании, как: Merill Lynch, Charles Schwab, Goldman Sachs, BBVA, M&T Bank. Национальная ассоциация дилеров по ценным бумагам (NASD), организация, ответственная за соблюдение правил торговли на внебиржевом рынке, также использует в своей работе данную систему, которая  анализирует более 150 миллионов сделок в день.

Рис. 4. Возможности AML-решений в мониторинге финансовых операций. Источник: Celent

Издание Waters ежегодно проводит среди своих читателей опрос на лучшую AML-систему. За 7 лет существования этого опроса читатели журнала 6 раз выбирали платформу Mantas лучшей системой по противодействию легализации преступных доходов и предотвращению мошеннических операций. Примечательно, что в 2008 году система набрала рекордные 72,8 процентов голосов. Эта награда является неоспоримым доказательством надежных и взаимовыгодных отношений компании с ее клиентами. Более того, клиенты Oracle Mantas организовали собственную инициативную группу SMARTS, которая проводит встречи в режиме круглого стола четыре раза в год. Представители компании-разработчика принимают активное участие в этих семинарах, где они получают уникальную возможность детально обсудить первоочередные задачи кредитных организаций, поделиться своими знаниями и опытом, выработать лучшие методики для высокоэффективного мониторинга операций в рамках платформы Mantas.

В последнем отчете по AML-решениям известной консалтинговой компании Celent система Oracle Mantas была признана лидером рынка (см. рис. 4 ). Специалисты компании оценивали 19 поставщиков AML-решений, готовых предоставить своим клиентам возможности анализа сложных финансовых операций и умеющих работать с правительственными «черными списками».  В своем исследовании Celent руководствовался такой информацией, как: клиентская база поставщика, набор функциональных возможностей, технологическая платформа, сроки внедрения и стоимость решения.

Mantas, как элемент GRC-модели

Противодействие легализации и мошенническим операциям является задачей комплаенс-контроля – одного из элементов относительно новой концепции управления GRC (Governance, Risk Management and Compliance), о которой мы уже рассказывали в публикациях нашего журнала («Jet Info», №7 (194) 2009). Governance (Управление) отвечает за выработку основных целей, задач и методик, а также включает в себя процессы принятия решений. Risk Management (Управление рисками) –  это процесс, основными задачами которого является выявление, оценка, мониторинг, контроль и минимизация рисков компании. Compliance (комплаенс) отвечает за соблюдение принятых руководством решений, выработанных методик и требований регуляторов. На сегодняшний день это наиболее комплексный подход к менеджменту организации, который позволяет достичь высокого уровня культуры управления рисками, наиболее эффективно использовать имеющиеся в наличии ресурсы, принимать взвешенные и правильные решения, а также полностью соответствовать требованиям законодательства и регуляторов. На рынке решений для банковской сферы GRC-продукт компании Oracle является наиболее полноценным. Помимо системы Mantas, он включает  в себя решение Reveleus, предназначенное для управления рисками и расчета экономического капитала. За счет использования этих решений, а также международного опыта специалистов Oracle можно реализовать в банке полноценную GRC-модель (см. рис. 5 ).

Рис. 5. Стратегическая GRC-модель

Ряд авторитетных изданий и консалтинговых агентств по достоинству оценил решения Oracle в сфере GRC. Так, в своем последнем отчете (июль, 2009) Gartner оценивает компанию как лидера рынка GRC. При этом аналитики Gartner подчеркивают, что «среди всех поставщиков только Oracle может предложить наиболее полный набор GRC-решений для финансового аудита, комплаенс-контроля, управления компанией и ресурсами».

Рис. 6. Магический квадрат GRC-платформ. Источник: Gartner (июль 2009)

В 2008 году более 4 000 читателей издания OpRisk & Compliance приняли участие в опросе на лучшего поставщика GRC-решений. Им было предложено выбрать пять крупнейших поставщиков с точки зрения функциональных возможностей их систем, независимости технологической платформы, опыта сотрудников и конкурентных преимуществ. Согласно журналу «Oracle одержал убедительную победу среди программного обеспечения для реализации требований GRC, на 15 % опередив своего ближайшего противника».

Почему нужна система

После выхода Положения 115-ФЗ, практически все российские разработчики АБС встроили в банковские системы функционал, приводящий их к требованиям законодательства. Почему в условиях полного соответствия требованиям законодательства все же имеет смысл говорить об отдельной системе?

Во-первых. Заложенные в российские АБС алгоритмы по выявлению операций как правило точно следуют требованиям законодательства, не оставляя банку возможности дополнительной настройки или определения собственных правил. Кроме того, их алгоритмы не отвечают западным стандартам. Система Mantas позволяет реализовать требования 115-ФЗ с помощью комбинации существующих скриптов, при этом банк получает решение, которое он может самостоятельно улучшать с помощью настройки. Решение внедряется с готовыми скриптами, работающими в ведущих финансовых институтах всего мира, что позволяет кредитной организации соответствовать международным требованиям.

Во-вторых. Oracle Mantas в отличие от АБС позволяет не только выявлять операции, но и осуществлять их расследование. Встроенный в систему документооборот, механизмы скоринга и делопроизводство дают гарантию того, что все рискованные операции будут расследованы в заданные сроки и с необходимым результатом. В отличие от системы Mantas механизмы, реализованные в Российский банковских комплексах, занимаются лишь выявлением операций, оставляя банк решать вопрос с расследованием самостоятельно.

В-третьих. Помимо борьбы с отмыванием средств, добытых незаконным путем, система Mantas позволяет выявлять мошеннические операции. Как уже отмечалось в примере с КБ «ФИА», полное соответствие 115-ФЗ никак не связано с защитой от мошенничества. В результате отсутствия в банке механизмов по выявлению мошеннических операций, его репутация была потеряна. Такая система, как Mantas, могла помочь банку сохранить репутацию за счет раннего обнаружения подозрительной активности по карточным счетам.

В-четвертых. Очень часто мошеннические операции распределены территориально. Подобная тактика применяется с целью запутать службу безопасности банка и зачастую не подлежит выявлению без применения автоматизированных средств. Поэтому для крупного многофилиального банка эффективное выявление мошеннических операций возможно только в том случае, если операции клиентов будут анализироваться в целом по организации. Система Mantas позволяет не только объединить данные всех филиалов, но и полноценно использовать эти данные для выявления нежелательного или подозрительного поведения. Например, в системе есть набор сценариев, позволяющих отслеживать открытия и пополнения множества счетов в различных филиалах банка одним клиентом. В сочетании с настройками пороговых сумм такие сценарии позволят выявить попытки разбиения клиентом крупных операций на мелкие части. В отличие от системы Mantas, российские наработки отвечают требованиям регулятора, но не в состоянии отслеживать подозрительное поведение клиента в целом по банку.

В-пятых. Помимо контроля за операциями клиентов, система позволяет анализировать внутренние операции банка с точки зрения соблюдения требований ЦБ или внутренних политик кредитной организации. Кроме того, такая система комплаенс-контроля позволяет следить, выявлять и расследовать операции банковских сотрудников, например, выполненных на рынке ценных бумаг и с использованием инсайдерской информации. Функциональность такого рода в российских АБС не предполагается.

В-шестых. Система по контролю за отмыванием денежных средств, финансированием терроризма, выявлению мошеннических операций и комплаенс-контролю является неотъемной частью системы управления операционными рисками. Любой выявленный инцидент является событием операционного риска и должен быть зафиксирован и изучен соответствующим подразделением. Как уже было сказано выше, система Mantas является частью GRC-комплекса, в который входит и система Reveleus, отвечающая, в частности, за управление операционными рисками. Таким образом, система Mantas принимает участие в общей картине того, что происходит в банке.

Можно сделать вывод, что автоматизированная банковская система не должна и не может комплексно и в целом по кредитной организации выполнять функции по контролю за отмыванием средств, финансированием терроризма, борьбе с мошенническими операциями и комплаенс-контролю. Можно провести аналогию с системой обязательной отчетности. Системы отчетности, работающие вне АБС, отличаются большей функциональностью, гибкостью, способностью загружать данные из нескольких источников и уменьшают нагрузку на основную банковскую систему. Аналогично, система по борьбе с незаконными и мошенническими операциями, выполняющая функции комплаенс-контроля, должна быть вынесена за рамки АБС. Такой подход обеспечивает необходимую гибкость, прозрачность для руководства и возможность интеграции системы по контролю за операциями в рамках единого механизма управления принятия решений на основе анализа рисков.

Заключение

Характерной особенностью легализации незаконных доходов является оперативное реагирование на изменения действующего законодательства и использование многоуровневых схем, существенно затрудняющих идентификацию истинного источника происхождения легализуемых доходов. Именно поэтому очень важно выбрать поставщика, обладающего международным опытом, который использует комплексный подход финансового мониторинга, выходящий за использование бизнес-правил, и своевременно реагирует на изобретательность мошенников и террористов. При этом необходимо учитывать наличие у него локального партнера, который будет оказывать услуги поддержки на территории Российской Федерации на русском языке. Не надо ждать ужесточения надзора со стороны Центрального Банка, а уже сейчас использовать международные наработки в этой области, повышая тем самым культуру рисков в кредитной организации. В конце концов, от этого зависит ее дальнейшее финансовое благосостояние и благополучие.

Приложение 1. Сценарии Oracle Mantas