A compliance vezető ma már IT-szakember is kell, hogy legyen

Új MNB-rendelet a pénzmosás és terrorizmus finanszírozása ellen: sokasodnak a pénzügyi intézmények feladatai a szűrőrendszerek működtetése kapcsán

 Az IT-rendszerek működtetése már régóta feladata a bankokban dolgozó compliance kollégáknak, hiszen a legtöbb helyen már működnek a szankciós és tranzakciós monitoring rendszerek. Egyre inkább jelennek meg olyan elvárások, amelyek túlmutatnak a klasszikus IT-rendszer működtetési feladatokon. Mi is, mint compliance tanácsadók, gyakrabban találkozunk a bűvös data integrity / data calibration / data validation kifejezésekkel a tranzakciós monitoring és a szankciós szűrőrendszerek tesztelése kapcsán.

 A pénzmosás („ML”) és a terrorizmus finanszírozása („TF”) megelőzéséről és megakadályozásáról szóló törvény végrehajtására vonatkozóan a 26/2020 (VIII.25.) MNB-rendelet 2020. október 1-jén lépett hatályba. A rendelet az MNB felügyeleti munkája során azonosított hiányosságok és ezek kapcsán kiszabott szankciók hatására született meg, mely a hatékony belső szűrőrendszerek kialakítását célozza.  A nemzetközi gyakorlatban ilyen szintű IT-elvárások nem jelentek meg (még?) minden európai országban, de Lettországban például már igen.

 Milyen változásokat hozott a rendelet?

Az MNB érezhetően kifejezte azirányú elgondolását és elvárását, miszerint a bankok ML/TF kockázatainak azonosítása, a szokatlan ügyletek hatékony kiszűrése, továbbá a pénzügyi és vagyoni korlátozó intézkedések teljes körű végrehajtása megfelelően kialakított, beállított és működtetett szűrőrendszerek útján történjen. A rendelet a hatálya alá eső intézmények számára számos kritérium mentén írja elő a szűrőrendszerek működtetésével kapcsolatos belső szabályok rögzítését. A szabályzatnak tartalmaznia kell például az alábbiakat:

-      szcenáriókra és keresési logikákra vonatkozó dokumentáció, ideértve az alapul szolgáló feltételeket, paramétereket, a küszöbérték alátámasztását;

-      a szűrőrendszerben működő pontos és teljes adatáramlást biztosító folyamat leírását;

-      tranzakciós és szankciós szűrőrendszerek technológiai oldalának rendszeres értékelésére és tesztelésére vonatkozó szabályokat;

-      a szűrőrendszerek által azonosított találatok kivizsgálásának eljárási szabályrendszerének meghatározását, beleértve a szükséges vizsgálati módszereket, a dokumentáció követelményeit, a szerepek és felelősségi körök egyértelmű meghatározását, illetve a szabályozó és végrehajtó hatóságok felé történő jelentéssel kapcsolatos döntéshozatali lépéseket.

Emellett megtalálhatóak benne az auditált elektronikus hírközlő eszköz útján lezajló onboarding folyamattal és a fokozott ügyfélátvilágítással - ideértve a megerősített eljárást és vezetői jóváhagyást - igénylő esetekkel kapcsolatos elvárások.

Mire kell ügyelni a jövőben a pénzügyi intézményeknek?

A rendelet ez az egy mondata „b) biztosítja az adatok integritását, pontosságát és minőségét annak érdekében, hogy a szankciós szűrőrendszeren pontos és teljes adatok menjenek keresztül” – nagyon sok olyan kérdést vet fel, amire a compliance kollégák nem biztos, hogy tudnak válaszolni IT-kollégák bevonása nélkül. Csakhogy az IT kollégák tudjuk jól, hogy le vannak terhelve, és általában a compliance rendszerekkel kapcsolatos fejlesztések/feladatok nem élveznek prioritást a sokkal fontosabb digitális banki megoldásokhoz képest. Valahol az is a probléma, hogy a compliance nyelvét nem értik tökéletesen az IT-s kollégák, a compliance kollégák pedig nem feltétlenül IT szakemberek. Milyen módon érhető el mégis a rendelet szerinti IT szempontú megfelelés?

1.    Az adatok teljességének és pontosságának értékelése

A cél az, hogy minden releváns adatra megtörténjen a szűrés. Ennek biztosítása megvalósulhat az input adatok teljességének rendszeres tesztelésével és annak minőségi ellenőrzésével. A pénzintézeteknek időről-időre olyan elemzést kell végezniük, mely lényegében az adatoknak az adatforrástól a célba, jelen esetben a szűrőrendszerbe történő eljutásának nyomon követését jelenti; beleértve az adatok keletkezését, átalakítását, valamint a forrás- és szűrőrendszerek közötti mozgását. Ezekkel a tesztekkel lehet választ adni azokra a kérdésekre például, hogy mi történik, ha az adatáramlás valamely pontján egy-egy adat módosul, vagy hogy a lekért adatok (ezáltal az azok alapján készült jelentések) naprakészek-e. Ezen folyamatok lényeges pontjait - pl. adattípus, formátum, forrás, kinyerés, átalakítás, betöltés, cél - megfelelően dokumentálni és rendszeresen ellenőrizni kell. További elvégzendő feladat az adatminőség rendszeres tesztelése, ami gyakorlatilag annak az ellenőrzését  jelenti, hogy az eredeti adat sem az adatátvitel, -kezelés, vagy egyéb művelet eredményeként nem módosul.

2.    Szűrőrendszer hatékonyságának ellenőrzése

A szűrőrendszer eredményessége alatt azt értjük, hogy a rendszer milyen mértékben képes azonosítani a gyanús ügyleteket vagy szankciós neveket. A hatékonyság a fals és a ténylegesen megalapozott pozitív riasztások arányával mérhető. A tranzakciós monitoring során például átlagosan 90%-99% fals pozitív találat képződik, ami magas fenntartási költségeket eredményez, és még ilyen áron sincsen garancia arra, hogy minden kockázatos ügyfél és tranzakció felderítése megtörténik. Ennek érdekében (is) fontos a tranzakciós monitoring rendszer felülvizsgálata, optimalizációs céllal is. További fontos szempont a hatékonyság ellenőrzésénél:

-      Szcenáriók: Az adott intézményt jellemző ügyfél-, ország-, és termékkockázatoknak megfelelő szcenáriókat alkalmazó szűrőrendszerek. Hány esetben van olyan szcenárió, ami hosszabb ideje nem hoz már találatot? Van-e átfedés a szcenáriók között? Hogyan lehet a szcenáriók felülvizsgálatával a kapcsolódó folyamatokat / erőforrást optimalizálni?

-      Ügyfélszegmentáció: Az ügyfelek kategorizálására, csoportosítására alkalmazott megközelítés és módszerek. Tapasztalataink szerint a nem megfelelő ügyfélszegmentáció nagyon sok fals pozitív találatot eredményez, és ha az ügyfélszegmentáció nem megfelelő, akkor várhatóan a csoportokhoz kapcsolódó kockázatok sincsenek megfelelően kezelve

-      Szankciós „fuzzy logic” elv: Magában foglalja a szankciós szűrőrendszerben alkalmazott % meghatározása során alkalmazott módszertan ellenőrzését. Tudjuk, hogy a gyakorlatban valós szankciós találat több évente egyszer van „csak”, de ki merjük-e azt jelenteni teljes bizonyossággal, hogy a szankciós szűrőrendszer „szíve”, a „fuzzy logic principle” megfelelően van beállítva és tényleg minden permutációt szűr?

Milyen lépések szükségesek a szűrőrendszerek teljesítményének fejlesztése kapcsán?

 Vajon az egyre komplexebb hatósági elvárások, működési, technológiai környezet diktálta nyomás alatt hogyan lehet egyszerűen és költséghatékonyan megoldani a tranzakciós, illetve szankciós rendszerek működtetése kapcsán felmerülő kihívásokat? Hogyan lehet a compliance és IT-területek együttműködését elősegíteni, és elérni, hogy a megoldáshoz szükséges képesség és szaktudás a szükséges helyen találkozzon?

 Munkatársainkkal számos olyan szoftvert fejlesztettünk ki, amelyek segítik a fenti kérdések megválaszolását, mindezt olyan IT szakemberek segítségével, akik ismerik az ML/TF/szankciós folyamatokat és rendszereket. Tapasztalatból tudjuk, hogy ezekre a komplex problémákra is van megoldás - ahogy azt is megtapasztaltuk, hogy a megoldás valóban csak a két funkció – IT és compliance – „összekapaszkodásával” kivitelezhető, egymás támogatása nélkül kvázi lehetetlen.