Семинар по противодействию отмыванию денег и выполнение санкций при осуществлении электронных платежей

Семинар по противодействию отмыванию
денег и выполнение санкций при
осуществлении электронных платежей
Ассоциация российских банков
15 ноября 2010 г.
Москва, Российская Федерация
Джулия A. Молд
Эксперт ДКОФУ
Банк Royal Bank of Canada
Региональный директор по ПОД
Латинская Америка, Банковские
операции в странах Карибского
бассейна и международное
управление состояниями
Бенджамин Райт
Эксперт ДКОФУ
юрист
benjaminwright.us
Повестка дня
I.
Обзор рынка электронных платежей
II.
Правовые аспекты электронных платежей
III.
Типы электронных платежей и соответствующие риски, связанные
с противодействием отмыванию денег
IV.
Неприкосновенность частной жизни, этика и раскрытие
информации
V.
Оценки риска
VI.
Кража чужого имени, мониторинг и расследование мошенничества
при осуществлении электронных платежей
VII.
Противодействие отмыванию денег – снижение рисков при
осуществлении элетронных платежей
VIII. Выполнение санкций
IX.
“Держать темп – идти в ногу”
X.
Вопросы и ответы
2
Часть I
Обзор рынка электронных
платежей
Комментарии и мнения, выраженные в данной презентации, являются
мнениями и комментариями автора презентации и не обязательно отражают
комментарии и мнения банка Royal Bank of Canada, Dominion Securities или
какого-либо из его дочерних организаций или аффилиированных лиц.
3
Степени проникновения мобильной связи – Группа
Всемирного банка 2009
Степени проникновения мобильной связи 70% и выше
Степени проникновения мобильной связи до 70%
4
Проблемы, возникающие при предложении банковских
услуг лицам, не охваченным банковскими услугами
 Отсутствие надлежащих форм идентификации – рынки с большим населением
рабочих, не имеющих документов, могут столкнуться с такой проблемой. Возможно
банкам придется изменить тип, количество документов и формы идентификации,
которые они в настоящее время принимают.
 Клиент, не охваченный банковскими услугами, может бояться пойти в банк или
оказаться в другой формальной обстановке
 Отсутствие кредитной истории
 Клиенты, ранее охваченные банковскими услугами, могут иметь плохие истории
счета, что мешает им повторно открыть счет
 Сеть распространения услуг для банков в первую очередь ограничена филиалами
банка.
 Небанки могут предлагать более крупные, а иногда - более удобные сети (язык,
место и часы работы)
 Получатель перевода часто является потребителем, не охваченным банковскими
услугами, кредитными картами и т.д.
– Перевод средств между счетами, включая кредиты,карты и т.д.
– Платежи (внутренние или международные)
– Управление инвестициями
5
Категории мобильных операций
Мобильный бэнкинг ‐ две категории:
• Информационная
– Провекра остатка на счете
– Создание выписки по счету
– Просмотр операций
– Просмотр маркетингового материала
– Мобильные подписи
• Операционная (доступ к финансовым услугам через мобильное
устройство)
– Перевод средств между счетами, включая кредиты, кредитные карты
– Осуществление платежей (внутренних или международных)
– Приобретение билетов
– Уплата штрафов
– Упрваление инвестициями
– Мобильные азартные игры
6
Новые продукты ‐мобильные платежи
Технология мобильных платежей
•Бесконтактная
 Устройство с 1 функцией, например,считывающее устройство у мерчанта и
пластиковая карта, сотовый
 футляр, стикер
Беспроводная связь ближнего радиуса действия
 Два отдельных устройства: счтывающее устройство и телефон
 NFC чип и антенна, встроенная в телефон – информация о расчетном счете
может программироваться, предварительно загружаться, загружаться
•Текстовые сообщения или служба коротких сообщений (SMS)
 Отправка СМС
 PayPal & Obopay
Протокол беспроводного доступаl (WAP) / Интернет-брузер
7
Типичные виды платежей
Операционные аспекты
платежей
*с карты на карту/ со счета на карту / со счета на счет / со счета
в наличные / из наличных в наличные
Механизмы
• Предоплаченные карты
• Элекронные кошельки
• Мобильные платежи
• Платежные услуги через
Интернет
• Цифровые драгоценные
металлы
Внедрение
• Мобильные денежные
переводы
• Платежи, связанные с
торговлей
• Доступ к информации
личного банковского счета
• Возможности внесения и
снятия средств
• Инвестиции
(предупреждения
фондового рынка)
8
Модели цеочки создания ценностей для мобильных
услуг – Двусторонние программы данных
Поставщики
аппар.
средств
Регуляторы
Госуд.
Министерст
ва и межд.
органы
Доноры и
инвесторы
Банки
НГО
,
Разработчик
приложений
Разработчик
платформы
PDAs
гарнитура
Ноутбуки
данные,
СМС
Вертикальные
ИТ системы
Провайдеры
контента
Подписчик
Подписчик
Верт.
Interm
ediary
Работники
здравоохр.,
агенты по
микрофинан
сированию
Подписчик
Подписчик
Подписчик
Подписчик
Агрегатор
контента
ПОД
Разработч
ики
контента
Провайдер
мобильных
услуг
Голос,
Собственник
/
разработчик
проекта
П
О
Д
П
О
Д
Системы
финансовой
или
медицинской
информации
П
О
Д
Источник модели: Группа Всемирного банка, сентябрь 2009 г.
9
Часть II
Правовые аспекты
электронных платежей
10
Ключевые положения
• Данный семинар посвящен использованию
технологии в финансовых учреждениях
• На семинаре будут предложены методы по
комплайенс, расследованиям и снижению
воздействия мошенничества в условиях быстро
меняющихся законов и технологий
• Творческое применение технологии может
содействовать совершенствованию контроля и
снижению риска
11
Еще несколько ключевых положений
• Достичь совершенства невозможно, но
добросовестность в достижении поставленных
целей способствует снижению риска
• Высказанные здесь идеи в целом применяются в
отношении
- соблюдения закона о неприкосновенности личной
жизни, законов о противодействии отмыванию денег,
законов о защите прав потребителей
- расследований случаев мошенничества, кражи,
нарушения комплайенс, ненадлежащего поведения
сотрудников, ненадлежащего поведения клиентов и
других злоупотреблений
12
Электронная коммерция дает. . .
• Новые виды операций, таких как
кредитование в социальных сетях
• Меньшие контрактные единицы
• Более частые изменения условий
• Немедленный доступ к счетам и
подтверждениям для
многочисленных сторон
• Значительно более многочисленные
и подробные учетные записи
13
Хранение документации
• Подробные электронные сообщения и другие электронные
документы могут помочь в создании режима архивирования
информации по комплайенс
• Электронные сообщения могут содержать фактические
данные по комплайенс, даже если они не создаются
специально как документы по комплайенс
• Хранение электронных сообщений в полном объеме помогает в
проведении аудитов и мониторинга
• По электронным сообщениям может быть проведен поиск
• Стоимость хранения электронной почты снижается, так как
снижается стоимость хранения электронных данных
14
Скандал с трейдером во французском банке
• Дело банка Société Générale/ Jérôme Kerviel
• Потенциальные убытки в десятки миллиардов
евро
• Хранение электронных сообщений и коротких
текстовых сообщений (SMS) имело критически
важное значение для расследования в банке и
его реакции на этот кризис.
• Озабоченность по поводу неприкосновенности
частной жизни Кервиеля быстро исчезла
15
Частое применение электронной связи
• Дает возможность проводить более
эффективный мониторинг
заемщиков
• Equitas: Микрокредитор в Индии
получает отчеты в виде текстового
сообщения от кредитных
инспекторов о встречах с группами
заемщиков
http://technology.cgap.org/2009/03/31/innovation-in-india-microfinance-and-information-systems-mis
16
Более мелкие, более частые операции
• Разрешают снизить риски
• Пример: В Филиппинах
банковские операции по СМС–
платформа Globe Telecom’s
GCash
• Снижается потребность в
банкнотах, которые могут быть
украдены
17
Внеполосные подтверждения
Снижается возможность мошенничества или ошибки :
• Голoсовой вызов через телекоммуникационную
компанию для подтверждения настроек веб-страницы
• Сообщение банкомата
• Текстовое сообщение на мобильный телефон
• Сообщение по электронной почте
• Сообщение в социальной сети
• Почтовое сообщение
• Сообщение партнеру по бизнесу
18
Более частые финансовые отчеты
• Технология позволяет плательщикам, заемщикам,
инвесторам и банкам направлять отчеты о своем
финансовом положении более часто
• Компания Progressive Insurance быстро и регулярно
размещает финансовые отчеты на веб-странице
• Органы власти округов Южной Каролины размещают
полный вариант реестров платежных документов на
своих веб-страницах, чтобы граждане могли увидеть
каждый платеж
19
Исследования/ мониторинг через социальные сети
• Банки могут использовать Интернет и социальные
сети для того, чтобы многое узнать о заемщиках,
агентах и поставщиках
• Банки могут быть информированы значительно
лучше, чем несколько лет тому назад
• Банки достаточно предусмотрительны, прежде чем
проводить такого рода мониторинг, они получают
согласие
20
Манипуляции с документами электронной почты
• Может возникнуть искушение манипулировать с
деловыми электронными документами, такими как
сообщения по электронной почте
• Но манипуляции могут быть обнаружены компьютерными
криминалистами
• Г-н Муншани производил манипуляции с документами
электронной почты и попал в тюрьму
•
http://www.signallake.com/resources/email-forensics-library
21
Прозрачная база данных LendingClub
• Организует микро-кредиты между
физическими лицами
• Создает базу данных о заемщиках и их
кредитной истории
• База данных открыта для инвесторов,
чтобы они могли использовать свой
собственный анализ для оценки риска
по заемщику
22
Ведение документации по комплайенс
Регулярное ведение документации по комплайенс, проведению
аудита комплайенс и саморегулированию
• Помогает осуществлению комплайенс
• Напоминает сотрудникам о необходимости думать о
комплайенс
• Дает возможность проанализиролвать поведение в
прошлом, чтобы повысить качество поведения в будущем
• Создает доказательства для аудиторов и государственных
органов, подтверждающие осуществление комплайенс
23
Часть III
Типы электронных
платежей и соответствующие
риски, связанные с
противодействием отмыванию
денег
24
Аспекты противодействия отмыванию
денег

Рост мобильных финансовых услуг вызывает озабочекнность в связи с
тем, что мобильные финансовые услуги могут быть использованы для
отмывания денег и финансирования терроризма (ПОД/ ФТ).

Быстро возникают новые типы провайдеров финансовых услуг,
удовлетворяющте интересы потребителей.
Технологические изменения происходят быстрее, чем к ним может
адаптироваться регулирование.
Мобильные деньги наиболее привлекательны для клиентов в
экономических ситемах с активным использованием наличных. Мобильные
финансовые услуги со временем могут заменить наличные платежи и
сделать их видимыми и с прослеживаемой связью.
Мобильные финансовые услуги являются частью официальной
финансовой системы и обязательства по ПОД/ ФТ должны применяться к
мобильным финансовым услугам.
Для выявления вновь возникающих рисков и ОД/ ФТ необходима
бдительность. Это может осуществляться с помощью тщательного
мониторинга как мобильными финансовыми услугами, так и органами
финансового надзора и группами финансовой разведки.




25
Оценка глобальной угрозы FATF –
Альтернативные ситсемы перводов
•Лимиты на сумму, которая может быть внесена,
сохранена или потрачена
•Лимиты на доступ к международным средствами
•Мониторинг счета и отчетность о подозрительных
операциях
•Ведение документов об операциях у плательщика и
получателя
Будущие мероприятия
могут включать в себя
обсуждение в отрасли/
органах надзора /
правоохранительных
органах во время
разработки продуктов,
чтобы учесть в
проекте уязвимые
места. В тех случаях,
когда это возможно,
стоит провести
ограниченное
внедрение новых
продуктов, чтобы
протестировать их
уязвимость.
FATF “Оценка глобальной угрозы отмывания денег и финансирования терроризма” , июль 2010 г.
26
Понимание уязвимых мест в противодействии отмыванию
денег






Понимание мобильных финансовых услуг
Идентификация уязвимых мест ОД/ ФТ конкретной службы
Оценка того, как правонарушители могут использовать эти уязвимые
места
Оценка риска до установления механизмов контроля провайдера
Введение провайдером процессов снижения рисков
Оценка риска после установления механизмов контроля провайдера
27
Риски, связанные с отмыванием денег
Общие факторы риска
Внесение средств
Примеры уязвимых мест
Передача
Снятие
Анонимность
Система не может отметить
Преступники могут
подозрительные операции,
открывать множественные
что делает ее безопасной
счета, чтобы скрыть
зоной для известных
истинную стоимость вкладов
преступников и террористов
Позволяет снимать
незаконные средства и
средства, связанные с
терроризмом.
Скрытность
Преступники могут
Преступники могут отмывать
совершать множественные
средства, полученные
операции, чтобы запутать
незаконным путем,
след денег и скрыть
поместив их на разные счета
происхождение средств
Раздробленные средства с
множественных счетов
могут быть сняты
одновременно.
Скорость
Отсутствие контроля
Операции проводятся в
реальном времени, поэтому
Незаконные деньги могут
в случае подозрения о
Незаконные средства могут
быстро передвигаться по
быть быстро внесены, затем финансировании
системе и могут быть сняты
переведены на другой счет.
терроризма или отмывании
с другого счета.
денег для их прекращения
мало времени .
Без надлежащего контроля, услуги могут создавать системный рискна.
28
Соображения, связанные со снижением риска





Раскрытие мошеннических операций в схемах “Карта физически
отсутствует” (CNP) в системах электронных платежей с высокой
степенью точности.
Необходимость в точных и эффективных системах, которые могут
обнаруживать мошеннические действия и адаптироваться к
измениющемуся поведению как законных клиентов, так и
преступников.
Разработаны два общих метода; выявление злоупотреблений и
выявление аномалий.
Выявление злоупотреблений. Известные мошеннические операции
кодируются в схемы, которые затем применяются к новым операциям с
целью идентификации возможных мошеннических операций.
Выявление аномалий. Поведение пользователей и действия системы
сначала суммируются в нормальные профили, которые затем
используются в качестве эталонов, чтобы операции, выполняемые в
ходе прогона, приводящие к значительному отклонению от профилей
пользователя, рассматривались как возможные мошеннические
операции.
29
Аспекты противодействия отмыванию денег
 Средний мобильный платеж при покупке в России составляет
5,00 долларов США.
 Клиенты - компании по обработке платежей – большой объем и сумма
 На электронные платежи приходилось 72,3% всего количестве платежей и
84,0% общей суммы платежей через российскую систему платежей 2
 Скорость операций – множественные этапы обработки платежей
 Усложнение систем мониторинга операций
 Правила, разработка сценариев – в отличие от традиционных правил
банковского мониторинга
 Мошенничество, кража чужого имени, присвоение чужого имени – более
низкие пороговые значения в рублях?
 Воздействие на имеющиеся ресурсы
 Скрининг платежей на предмет выполнения санкций – поля, прекращение
платежей, отчетность?
1. Исследование Артура Д. Литтла, 2010 г.
2. Центральный банк России
http://www.cbr.ru/eng/analytics/standart_system/print.asp?file=payment_sys_e.html
30
Часть IV
Неприкосновенность
частной жизни, этика и
раскрытие информации
31
Неприкосновенность частной жизни
• Лица, проводящие расследование, могут соблюдать
неприкосновенность частной жизни, собирая доказательства в
порядке получения
• Предикатные доказательства оправдывают более глубокое
расследование чувствительных областей, таких как частная
электронная почта сотрудника
• Специальный уполномоченный Канады по неприкосновенности
частной жизни: допускается изучение электронной почты
сотрудника, если это оправдано предикатными доказательствами,
дающими основания предполагать, что сотрудник совершил
незаконные действия
Клиенты для защиты своих интересов будут
использовать всемирную паутину
• Для соместного пользования
информации о жалобах, клиенты
могут использовать Интернет
• Негативное освещение в прессе
может дать банкам мотивацию
предоставлять высококачественные
услуги
33
Компания Hillary Machinery
• Маленькая компания, Hillary Machinery, спорит с банком
по поводу кражи онлайн платежа на сумму 200 000
долларов США
• Банк предъявляет компании Hillary судебный иск
• Компания Hillary Machinery распростряняет жалобы в
Интернете
• Негативное освещение в прессе наносит ущерб
репутации банка
• Банк быстро соглашается на судебное решение в пользу
компании Hillary Machinery
34
Сайты, размещающие жалобы на качество работы
компании PayPal
• Жалобы на низкое качество обслуживания,
замороженные счета и запутанные юридические
термины
• Paypalsucks.com был третьим по рейтингу,
опубликованному журналом
Forbes Magazine в списке сайтов,
размещающих жалобы на
компании в 2005 году
35
Банки должны стать экспертами в онлайновых
средствах массовой информации
Расскажите вашу версию истории
Ответьте на предъявленные обвинения
Искренне расскажите правду
Культивируйте союзников, которые будут
поддерживать вашу версию истории
• Если вы сделаете ошибку, признайте это,
извинитесь и поклянитесь исправиться
•
•
•
•
• http://bit.ly/public-relations
36
Опубликованные условия и положения
• Юридические условия, размещенные для
клиентов на сайтах и в приложениях мобильных
телефонов
• Могут содействовать согласию на расследование
случаев мошенничества и злоупотреблений и
предоставлению полномочий на проведение
таких расследований
•
http://legalbeagle.typepad.com/wrights_legal_beagle/2010/08/online-business.html
37
Публичные уведомления
• Предупреждение клиентов о
процедурах комплайенс является
фактором, сдерживающим попытки
нарушить закон
• Публичные уведомления помогают
избежать претензий о том, что ваша
программа комплайенс нарушает
конфиденциальность частной жизни
и другие права клиентов
38
Назначить ответственного исполнителя
•Лицо, пользующееся авторитетом, такое как
исполнительный руководитель, должно быть наделено
формальными и письменными полномочиями по
развитию, мониторингу и осуществлению комплайенс,
также на него должна быть возложена ответственность
за результаты этой работы
•Этот ответственный исполнитель может делегировать
решение определенных задач подчиненным
•Ответственному исполнителю необходима
•Cоответствующая подготовка, навыки и ресурсы
39
Письменная политика
• Руководящий орган в банке должен
принять письменную политику по
комплайенс
• Политика должна быть гибкой, чтобы
учитывать особые ситуации и
изменения в технологии
• Политика должна отражать реальные
методы, а не выдавать жэелаемое за
действительное
40
Саморегулирование
• Банк должен осуществлять мониторинг своего
собственного комплайенс и исправлять допущенные
ошибки, не дожидаясь пока государственные органы
заставят его сделать это
• Саморегулирование отражает подлинное желание
соблюдать комплайенс
• Комплайенс – это процесс, который осуществляется
каждый день, а не только тогда, когда банк находится под
наблюдением аудитора или органов государственной
власти
41
Обучение сотрудников
• Тренинг должен быть
Как формальным (в учебной аудитории)…
…так и неформальным (уведомления,
уточняющая информация, напоминания и
брифинги)
• Документация о проведении тренинга помогает
доказать аудиторам и государственным органам,
что комплайенс осуществляется последовательно
42
Политика по этике поведения сотрудников
• Письменная политика в поддержку комплайенс,
документации и применения правил
• Политика должна применяться в равной степени к
руководителям и сотрудникам
• Руководители должны подавать пример этического
поведения и комплайенс
• Культура, поддерживающая комплайенс, начинается с
верхнего эшелона банка
• Награждение и наказание руководителей и сотрудников
способствует успешному осуществлению комплайенс
43
Договоры с торговыми партнерами
• “Знать своего поставщика”
• Включить в договоры с провайдерами услуг
четкие требования по комплайенс
• Включить аудит комплайенс и периодческую
сертификацию о том, что элементы комплайенс
выполняются
• Включить штрафные санкции за несоблюдение
комплайенс
44
Защита частной жизни физических лиц
• Частная информация включает в себя имя,
адрес, этническую принадлежность,
вероисповедание, номер счета и тому подобные
сведения
• Следует собирать лишь минимальное количество
частной информации
• Частная информация должна быть защищена от
несанкционированного доступа
• Сотрудники должны иметь доступ к частной
информации только в случае необходимости
45
Часть V
Оценки риска
46
Система риска, связанного с ПОД в компании
Оценка риска ПОД
Среда контроля
•Контроль Совета
директоров
•Комплайенс в области ПОД
•Старший риск-менеджер
Идент. Риск
ПОД, характ.
Для банка
Риск по ТМЗ
Проведение
самооценки
на уровне
функций и
бизнесподразд.
Определение
механизмов,
снижающиъ риск
Оценка остаточного
риска
Разработка
реакции на
риск ПОД
Реакцмя ПОД и устр. проблем Работа по мониторингу Контроль на уровне организации /бизнес-процессов
Постоянная
переоценка
•Расследование
•Проведение анализа
причин
•Рекомендации MAP *
•Совершенствлвание
контроля
• Мониторинг риска
ПОД , сценарии и
операции
• Аудит по “красным
флажкам” ’
Разработка
новых /
совершенствов
ание старых
мех-мов к-ля
Валидация
Оценка
операционной структуры
эффективности мех-мов кля
Сотрудники Постр. Трех линий обороны–бизнес, комплайенс и внутренний аудит
Процесс
Идентификация важных рисков, оценка уязвимости, мониторинг/ аудит
красных флажков
Разбить схемы ПОД/ ФТ на ключевые показхатели риска, разработка
Технология анализа данных, максимизация имеющейся технологии
* MAP = План действий руководства
47
Связь между оценкой риска и Программой ПОД/ ФТ
Процесс оценки риска позволяет идентифицировать риск ПОД для более
эффективного применения механизмов внутреннего контроля и ресурсов
для снижения этих рисков.
По мере
идентификации
риска могут быть
разработаны
механизмы
внутреннего
контроля для
снижения этого
риска в соответствии
с предполагаемым
риском по продукту,
услуге, типу клиента
или месту
расположения
Оценка
риска
Механизмы
внутреннего
контроля
Идентификация и измерение риска
Продукты/Услуги/Типы клиентов/Географическое расположение
Разработка применимых механизмов контроля
Продукты/Услуги/Типы клиентов/Географическое расположение
Программа ПОД, основанная на риске
Механизмы внутреннего контроля/Независимое тестирование/Руководитель по комплайенс в области ПОД
48
Снижение идентифицированных рисков
1. Потребители. Во-первых — лимиты по счетам, частота и объемы операций и суммы, переведенные
в течение определенного периода времени. Может быть эффективным, если суммы и объемы
операции очень низкие. Во-вторых, мониторинг потоков операций на уровне системы,
предупреждающий операторов мобильных финансовых услуг о схемах подозрительных
операций(аналогично системам ОД/ ФТ, в настоящее время используемым банками, и системам
мошенничества, используемым мобильными операторами). Возможно клиенты с большими объемами
должны зарегистрироваться лично и стать полностью идентифицированными. Инструменты снижения
риска, пропорциональные рискам.
2. Мерчанты. Снижение риска путем углубленного первоначального и непрерывного обследования
может снизить этот риск до низкого. Ключевое значение имеет осведомленность, а также тренинг,
тестирование и «контрольная закупка».
3. Агенты, посредники и розничные партнеры. Возможность доступа к платежным услугам,
возможность закрузки суммы в систему или проведение работы по обследованию от имени
провайдера платежных услуг. Риск может быть снижен, но необходимо углубленное первоначальное и
непрерывное обследование и мониторинг.
ОД/ ФТ через международные переводы могут повысить риск, а инструменты мониторинга операций,
лимиты на величину суммы, частота операций и обследование клиента могут способствовать
идентификации необычных и подозрительных операций и давать возможность такой идентификации.
49
Часть VI
Кража чужого имени,
мониторинг и
расследование
мошенничества при
осуществлении электронных
платежей
50
Мошенничество с виртуальными активами
• Каждый день изобретаются новые виды
преступлений
• Руководитель в компании по продаже
электронных игр производит и продает
виртуальные активы (мечи и щиты)
• Джеффри A. Фаулер и Джуинг Кин, “QQ:
новая виртуальная валюта Китая?” Wall
Street Journal, 30 марта 2007г., стр. B1.
51
Кража чужого имени
• Правонарушитель притворяется человеком
пользующегося хорошей репутацией, чтобы получить
кредит, на который он не имеет права претендовать
• Предложение: Представьте себе, как это может
произойти
• Обучите сторудников выявлять такие случаи и
сообщать об этом
• Если вы станете свидетелем такого правонарушения,
сообщите об этом «жертве»
52
Защита данных
• Официально назначьте ответственного
исполнителя
• Подготовьте письменную политику
• Обеспечьте тренинг сотрудников
• Документированный аудит и мониторинг защиты данных
• Регулярный анализ и обновление политики по
безопасности
• Политика должна быть гибкой и отражать фактическую
практику, а не выдавать желаемое за действительное
53
Проведение аудита и мониторинга комплайенс
• Проводится квалифицированным лицом, не
имеющего конфликта интересов
• Пример конфликта интересов: сотрудник,
отвечающий за повседневный комплайенс,
также проводит аудит
• Проведение аудита и мониторинга является
доказательством постоянного последовательного
комплайенс
54
Мониторинг сотрудников
• Сообщите сотрудникам, что они могут быть предметом
мониторинга
• Не сообщайте сотрудникам, каким образом будет
осуществляться их мониторинг
• Могниторинг может включать в себя видео,
визуальное наблюдение, отслеживание
электронной почты
• Мониторинг и контроль за ним должны проводиться не
одним человеком, а группой
55
Расследования
• Расследование предъявляемых обвинений
• Лицо, проводящее расследование, должно быть
нейтральным и не должно иметь конфликта интересов
• Лицо, проводящее расследование, должно надежно и
подробно документировать доказательства
• Лицо, проводящее расследование, должно
документировать причины, методы расследования и
анализ, проводимый при расследовании
• Результаты расследования должны быть переданы
незаинтересованным руководителям или совету
директоров
56
Горячая линия
• Рекомендуйте сотрудникам, клиентам и другим лицам
информировать вас о нарушениях комплайенс в
письмах, по телефону или по электронной почте
• Защищайте конфиденциальность частной жизни людей,
предъявляющих обвинения, или являющихся предметом
обвинений
• Обещайте сотрудникам, что они не будут подвергнуты
преследованию за предоставление информации
• Заявления проверяйте с помощью тщательно
документированных расследований
57
Часть VII
Противодействие отмыванию
денег при осуществлении
электронных платежей
58
Болгарин собиравший средства с помощью поддельных
благотворительных сайтов, отпущен под залог, внеся 1000
болгарских левов
Пятница, 16 февраля 2007 года
«Региональный суд Софии назначил залог на сумму 1000 болгарских
левов человеку, который незаконно пытался мобилизовать средства для
болгарских медсестер, находящихся в тюремном заключении в Ливии.
Суд решил, что риск того, что Димитар Игнатов совершит другие
преступления, отсутствует. Кроме того, нет никаких доказательств
серьезных последствий его «электронных операций», так как на его
банковский счет никаких средств не поступило.
У Игнатова нет судимостей, и он не считается опасным для общества.
Игнатов может обжаловать приговор суда в течение трех дней. 25-летний
болгарин имеет гражданство США, он создал два фальшивых веб-сайта
для сбора средств в поддержку пятерых болгарских медсестер,
приговоренных к смертной казни.
Этот человек загрузил сайты на сервер США и разместил на главной
странице изображение ленты со словами «Вы не одни». Щелкнув на
ленту, пользователи направлялись на поддельный сайт несуществующего
фонда «Свободная и демократическая Болгария». Сайт был
скорректирован таким образом, чтобы он мог принимать
«пожертвования» на сумму от 1 до 500 долларов США.
деньги направлялись на личный счет преступника в банке Чикаго».
59
“Один телефонный звонок”
9 ноября 2010 года
По сообщению ежедневной газеты «Стандарт», известный
контрабандист, ключевая фигура в преступном мире Болгарии,
заказал убийство премьер-министра Болгарии, Бойко Борисова.
Этот репортаж появился сразу после публикации в понедельник в
другой газете «24 часа».

•
•
•
Как сообщает «24 часа», примерно 10 дней назад, болгарская разведка
перехватила телефонный звонки и пронаблюдала за встречами ключевых
участников и выявила последний план с целью убийства Борисова за
400 000 евро.
«Сумма в 400 000 евро — это слишком мало за мою жизнь», пошутил в
понедельник Борисов, подтверждая информацию о заговоре с целью
покушения на его жизнь.
«Стандарт» цитирует неназванного высокопоставленного сотрудника
разведки о том, что контрабандист сделал только один телефонный звонок
членам преступной группы, занимающейся заказными убийствами.
Телефонный звонок был сделан на территории Болгарии с помощью СИМкарты, которую впоследствии выбросили.
ВОПРОС – Мог ли этот «один телефонный звонок» быть СМС сообщением
о платеже?
60
Жизненый цикл компрометации данных
Хакеры
Организованная
Преступность
Отчетность
SAFE/TC40
Или
Организованная
Преступность
Компрометация данных
Возм.
результат
Или
Компании,
Трогующие
данными
Или
Мошенники
Ассоц.
расследует
эмитентов
мошенничество
отчетность
Споры
Or
Мошенники
Обмен данными и мошеннические
покупки
Возможное
Предупреждение
Возм.
результат
Или
Эмитент
подает
форму
CPP
В Асс.
Ассоциация
расследует
Отчет
Последствия для
эмитента
61
Примеры тактики преступников - карточки
Преступные группировки производят
большие количества поддельных карточек
для внесения украденных данных
Конфискованный склад в Канаде
Captured in arrest of Australian cell
36,000 Visa counterfeit cards confiscated in
shipment to US from Hong Kong
62
Примеры тактики преступников - банкоматы
Международные цепочки
по скиммингу через
банкоматы по-прежнему
активны в США
63
Примеры тактики преступников – считывание данных
Маленькие скрытые камеры используются для
считывания номеров ПИН.
64
Примеры тактики преступников – сообщения по
мобильному телефону
Текстовые сообщения
обманным путем
вынуждают клиентов
раскрыть данные о
карточке и ПИН
65
Дело Shadow Crew – мошенничество с оплатой по
карточке


Системные уязвимые места у мерчанта и приобретение
инфраструктуры способствуют мошенничеству с карточками
Сложные глобальные преступные сети очень активны в
финансовых системах
“Разбогатей или умри, стараясь разогатеть”
Альберто Гонсалес и группа Shadow Crew
•
Взлом компаний TJX во время езды по шоссе Майами 15,6 млн. Кредитных и
дебитовых карточек
•
Скомпрометированы карточки в BJ's Wholesale Club, DSW, Office Max, Boston
Market, Barnes & Noble, Sports Authority, банкоматы 7-11 с брендом Ситибанка
•
Dave and Busters: 5000 карточек скомпрометированы – 675 000 долларов снято с
675 карточек
•
Hannaford Brothers: 4,6 млн. Карточек скомпрометировано
•
Heartland Payment Systems: 130 млн. cards, сообщается об убытках 12,6 млн.
Долларов
66
Пример –“Деньгоносы” (Денежные мулы)
Украина задерживает 5
человек, связанных с кражами
70 млн. долларов в электронном
бэнкинге в США
Пять человек, задержанные
Службой безопасности Украины
(SBU) 30 сентября, были членами
преступной группы, которая создавала
специальные версии вируса ZeuS
banking Trojan для кражи паролей и
размещала вредоносные программы в
сообщениях электронной почты,
направляемых малым и средним
предприятиям.
Глобальный охват
Реакция правоохранительных органов на сегодняшний день
Всего дел, расследованных ФБР: 390
Предполагаемые убытки: 220 млн. долларов США
Фактические убытки: 70 млн. долларов США
Соединенные Штаты: 92 лицам предъявлены обвинения, 39 человек арестованы
Великобритания: 20 человек арестовано, выдано 8 ордеров на обыск
Украина: 5 человек задержано, выдано 8 ордеров на обыск
Украинская преступная группа использовала программное обеспечение, чтобы
взламывать компьютеры, принадлежащие по меньшей мере 390 компаниям США,
переводя средства своих жертв более чем 3500 так называемым «деньгононсам»
(денежным мулам), гражданам в США, которые сознательно или неосознанно были
завербованы для получения средств и направления их взломщикам в зарубежные
страны. На этой неделе 50 сотрудников Службы безопасности Украины также
провели санкционированные обыски в восьми местах в восточном регионе Украины.
Source: http://krebsonsecurity.com/2010/10/ukraine-detains-5-individuals-tied-to-70-million-in-ebanking-heists/
67
Банк
Wachovia, пример – центр обработки платежей Inc.
S
•Больше 150 млн. долларов США к возврату 740 000 клиентам
•8,9 млн. долларов США было вложено в обучение клиентов
•100 000 долларов США — сумма гражданских денежных штрафов
•Коррективные мероприятия
68
Управление валютного контролера (OCC) против Банка T
S
(Даллас, штат Техас) – 19 апреля 2010 г.
•Удаленно создаваемые чеки (RCC) 13 телемаркетами и организациями, торгующими
через интернет, и счета в компании, обрабатывающей платежи
•100 000 долларов США - гражданские денежные штрафы и другие коррективные
мероприятия
•Деятельность банка не соответствует принципам надежности и стабильности
•Определение ненадлежащих методов Федеральной торговой комиссией (FTC)
•5,1 млн. долларов США к возврату 60 000 клиентам
69
Часть VIII
ВЫПОЛНЕНИЕ САНКЦИЙ
70
Меоприятия по соблюдению списков санкций
Проблемы
Как выполнить скрининг с помощью портативных устройств?
 Физический адрес может быть в одном месте, мобильное устройство
может использоваться в другом месте
 Имена клиентов, можно быстро провсести их скрининг, сравнив с
национальными и международными списками санкций и отметить
флажками в автоматическом режиме, однако ручной скрининг по
миллионам клиентам может оказаться неэффективным
 Операции, их скрининг может быть проведен только с помощью
автоматизированного процесса, с учетом скорости и объема
Кто проводит скрининг?
Компании по обработке платежей?
Финансовые учреждения?
Операторы мобильных услуг?
Провайдеры технологии?
Другие?
71
Скрининг санкций в модели мобильных услуг
Поставщики
аппар. средств
Регуляторы
Госуд.
Министерст
ва и межд.
органы
Доноры и
инвесторы
Банки
НГО
PDAs,
гарнитура
Разработчик
приложения
Разработчик
платформы
Ноутбуки
Собственник
/
разработчик
проекта
Разработч
ики
контента
Санкции?
Санкции
Провайдер
мобильных
услуг
Голос,
данные,
СМС
Вертикальны
е ИТ системы
Провайдеры
контента
Агрегатор
контента
Санкции?
Системы
финансовой
или
медицинско
й
информаци
и
Подписчик
Подписчик
Верт.
Работники
здравоохр.,
агенты по
микрофинан
сированию
Подписчик
Подписчик
Подписчик
Подписчик
Санкции?
Санкции?
Источник модели: Группа Всемирного банка, сентябрь
2009 г.
72
Слияние инициатив по борьбе с коррупцией и
противодействию отмыванию денег
Борьба с коррупцией
Закон США о
коррупции за рубежом
(FCPA)
Закон Великобритании
В масштабе всего банка
о взяточничестве
Политически значимые
Воздействие на банки
фигуры
Великобритании
Крнтрагенты
Обследование
и не Великобритании
Политика
Охватывает взятки гос./
Процедуры
Частным лицам
Тренинг
Граждане и эмитенты СШАОтветственность для агентов
Неспособность
предотвратить взятки
ПОД
В масштабе всего банка
Политически значимые
фигуры
Крнтрагенты
Обследование
Политика
Процедуры
Тренинг
Финансовые учреждения
Процедуры
73
Часть IX
“Держать
темп – идти в ногу”
74
Постоянное улучшение
• Комплайенс не является разовым мероприятием,
проводящимся время от времени
• Компалйенс – непрерывный процесс,
совершенствующийся с течением времени
• Награждение сотрудников за предложение способов
совершенствования комплайенс
• Документирование усовершенствований комплайенс
75
Отраслевые форумы
• Технологии и возможности быстро
изменяются
• Сравнимые организации в отрасли
должны обмениваться новостями и
идеями
• Социальные средства информации,
такие как блоги, электронные списки и
Твиттер, могут распространять
информацию и способствовать
обучению во всей отрасли
76
Анализ конкурентов
• Периодически группа комплайенс одного банка должна
оценивать методы и эффективность комплайенс в другом
банке
• Лица, проводящие анализ, должны подготовить
письменную оценку анализируемого банка
• Анализ конкурентов способствует саморегулированию в
отрасли
• Пример анализа конкурентов: дипломированные
бухгалтеры
77
Преступники
• Они наблюдают за вами
• Они креативны и постоянно
совершенствуются
• Они являются процветающей
отраслью
• Они организованы в сети
78
Резюме
• Успешно работающие банки используют
технологию как экономичный инструмент для
снижения риска
• Комплайенс и снижение мошенничества требуют
постоянной бдительности и совершенствования
• Банк, способствующий культуре комплайенс и
профилактике мошенничества, имеет более
низкий уровень риска
79
Вопросы и ответы
Джулия A. Молд
эксперт ДКОФУ
банк Royal Bank of Canada
Региональный директор
по ПОД, банковские
операции и управление
состоянием, Латинская
Америка и страны
Карибского бассейна
Комментарии и мнения
высказанные в данной
презентации, являются
комментариями и мнениями
автора и не обязательно
отражают мнение банка Royal
Bank of Canada, Dominion
Securities или каких-либо его
дочерних организаций и его
аффилиированных лиц.
Бенджамин Райт
эксперт ДКОФУ
юрист
benjaminwright.us
Ничто в данной
презентациине является
юридической или иной
профессиональной
консультацией для Вашей
компанией. Если Вам нужна
юридическая консультация,
Вам следует
проконсультироваться у
юриста.
80
Глобальные руководящие организации по оценке и
определению риска
World Bank (Всемирный банк) - http://www1.worldbank.org/finance/html/cntrynew2.html
Wolfsberg Group (Группа Волфсберг) - http://www.wolfsberg-principles.com/index.html
Transparency International (компания) - http://www.transparency.org/
International Monetary Fund (Международный валютный фонд) http://www.imf.org/external/np/rosc/rosc.asp?sort=topic#RR
Offshore Financial Centres (OFCs) IMF Assessments (Оффшорные финансовые центры,
оценки МВФ) www.imf.org/external/np/ofca/ofca.asp
Mutual evaluation reports issued by FATF Style Regional Bodies (Совместные оценочные
отчеты, публикуемые региональными органами типа FATF):
Asia/Pacific Group on Money Laundering (APG) (Азиатско-Тихоокеанская группа по
отмыванию денег)
http://www.apgml.org/documents/default.aspx?DocumentCategoryID=8
Eurasian Group (EAG) (Евразийская группа) - http://www.eurasiangroup.org/index-7.htm
GAFISUD - http://www.gafisud.org/miembros.htm
Middle East, North Africa FATF (MENAFATF) FATF Ближний Восток, Северная Африка
http://www.menafatf.org/TopicList.asp?cType=train
OECD Sub Group of Country Risk Classification, Подгруппа ОЭСР по классификации
странового риска
http://www.oecd.org/document/49/0,2340,en_2649_34171_1901105_1_1_1_1,00.html
International Narcotics Control Strategy Report (annual report by US State Department),
Отчет о межд. Стратегии по борьбе с наркотиками (ежегодный отчет Госдепартамента
США)- http://www.state.gov/p/inl/rls/nrcrpt/
EU Sanctions, Санкции ЕС -http://ec.europa.eu/comm/external_relations/cfsp/sanctions/list/consollist.htm
:UN Security Council Sanctions Country Status, статус страны отн. Санкций Совета
безопасности ООН - http://www.un.org/sc/committees/
81
81