Как да изберем доставчик на AML/KYC услуги (особено ако нашият бизнес току-що стартира)?
Доскоро вниманието на сектора на финансовите услуги беше фокусирано върху заплахата от кибер измами и закрилата на личните данни. Въпреки това, рисковете от пропуски във вътрешните системи за детекция и превенция на изпирането на пари непрекъснато нарастват. Според Ройтерс от 2009 г. насам регулаторите са наложили имуществени санкции за над 342 милиарда долара за пропуски в предотвратяването на изпирането на пари и финансирането на тероризма от страна на финансовия сектор. Едно такова наказание e тежко за голяма финансова институция, но има потенциал да убие стартираща Финтех компания. Следователно дружествата трябва да избират разумно своите доставчици на KYC/AML услуги.
На пазара в световен мащаб има множество AML/KYC продукти, превръщайки превенцията на изпирането на пари в печеливша индустрия. Изборът на подходящия доставчик за бизнеса е сложно и отговорно начинание. Целта на тази статия е да помогне в структурирането на процеса на търсене на доставчици, да даде примери за правилните въпрси за оценката на доставчика на AML/KYC решения и в крайна сметка – да доведе до намаляване рисковете за съответствието при аутсорсинг на AML процеси.
Оценка на риска и нейното надлежно документиране
Като начало е изключително важно да бъде направена подходяща оценка на риска по отношение на изпирането на пари и финансирането на тероризма, както и по отношение на международните санкционни режими. Какви са характеристиките на вашия продукт? Какво е географското местоположение на вашите клиенти? Фокусирате ли се върху физически лица или корпоративни субекти? Според вашия бизнес модел – от какви решения се нуждаете? Трябва ли единствено да идентифицирате и потвърдите самоличността на клиентите си онлайн? Или имате нужда от технологично решение, което да помогне по-натам при профилирането на риска и при разширената комплексна проверка на клиента? Имате нужда от яснота по тези теми, преди да започнете своето търсене. Решението, което търсите е обвързано с оценката на риска, която правите за вашия бизнес.
Второ, най-важното е никога да не забравяте, че вие носите отговорност за избраните от вас доставчици на услуги винаги и без изключение. В случай на разследване регулаторите търсят доказателства за проявено старание и положена необходима грижа за предотвратяване риска от изпиране на пари/ финансиране на тероризма. Това започва с избора на AML/KYC доставчик. Внимателното документиране на направения скрининг и оценка на доставчиците, както и процесът на вземане на решения, са от изключително значение. Въпросите, които непременно трябва да бъдат зададени, са:
• Какви критерии са използвани за оценка на доставчика? Цената не е достатъчен фактор за решение.
• Как продуктът отговаря на нуждите на вашия бизнес?
• Кои други продукти и доставчици са проучени подробно?
• Кой препоръчва доставчика на услуги и какво се знае за неговия бизнес модел и репутация?
Въпроси за оценка за потенциални доставчици
След като сте избрали набор от доставчици, които покрива нуждите на бизнеса и е съобразен с рисковете, за да оцените техния опит и пригодност, задайте следните въпроси:
1. Източници на данни: Сложността на процеса за борба с изпирането на пари нараства с всяка нова държава и законодателство, в които вашето дружество осъществява дейност. Трябва да разберете дали потенциалните доставчици имат директен достъп до местните бизнес регистри и техните еквиваленти. Този момент става още по-важен, когато предоставената услуга включва разкриване и проверка на действителния собственик.
2. Поддържани езици: Езиковите разлики и особено различните азбуки създават множество неточности при проверката на клиента и затрудняват обслужването на чуждестранни клиенти. Възможността за транслитерация е много важна при KYC процеса. Много малки доставчици работят само с латиница, на какво се случва при onboarding на клиенти с имена на кирилица, на арабски или китайски? Опитът показва, че винаги трябва да поискате демонстрация.
3. Бази данни, разработени от трети страни: Много доставчици интегрират софтуер на трети страни в своите решения. Това им помага да подобрят своя продукт и да предлагат цялостни решения. Въпреки това, непълна база данни може да доведе до много проблеми. Следователно е много важно да се оцени качеството на източниците, които предлагат доставчиците. Поискайте списък на използваните бази данни. Ако доставчикът е разработил своя собствена, поискайте повече информация за нейните източници и надеждност. Използваните източници при проверка на санкционни списъци и списъци на видни политически личности са от особено значение.
4. Качество на данните: Не само източниците на данни са важни. Начинът, по който доставчикът прилага/обработва събраната информация, е също толкова важен. Проверяват ли се банковите сметки и други белези за идентификация в допълнение към името на потенциалния клиент по време на onboarding-а? Използва ли се fuzzy logic или съвпадащи алгоритми по време на проверката в базата данни? Как се ограничават лъжливите положителни резултати (false positives)? В процеса на скрининг използва ли се търсене за отрицателни медиини публикации – т.нар. Adverse Media & Negative Press search? Колко често биват актуализирани базите данни? Използват ли се биометрия, mashine learning или използват комбинация от тези технологии? Възможна ли е конфигурацията на продукта съобразно нуждите на собствения бизнес – например добавяне на списъци с имена, които вече са проверени и не представляват риск.
5. Сигурност на данните: За да извърши AML/KYC проверка, доставчикът трябва да има достъп до личните данни на клиентите. GDPR ви приветства. На какъв сървър доставчикът съхранява данни и колко дълго? Кой има достъп до него и по какви причини? Каква е политиката за защита на личните данни на вашия доставчик?
6. Одитна пътека (audit trail): Много е важно доставчикът да изпраща периодични подробни доклади, които да дават възможност за документиране на резултатите. Също така, трябва да остава следа от извършения от тях скрининг, която да бъде проследена електронно (т.нар. audit trail). В случай на проверка от страна на регулаторните органи, това е начинът, по който бива доказано, че изискванията на закона са спазени.
7. Отговорност на доставчика: От изключително значение е договорната отговорност на вашия доставчик. Четете внимателно клаузите на договора, особено когато става дума за договори при общи условия. Когато съответния доставчик предлага не само определена автоматизирана услуга, но и предоставя „експертно мнение“ и „професионален съвет“ относно приемането на клиента/транзакцията (customer onboarding) – трябва да разберете до каква степен биха обезщетили вреди, възникнали от евентуална грешка в професионалния съвет, който са дали. На практика доставчиците ограничават отноворността си с подробни клаузи в договорите.
KYC изискванията са тук, за да останат. Тенденцията показва, че те ще стават по-строги. Всяко дружество трябва да използва мъдро своите ресурси. Изграждането на пълноценен отдел за съответствие и обучението на персонала отнеме време и средства. ъчният процес на съответствие не може да бъде най-ефективният начин. Доставчиците на AML / KYC помагат на новите компании да автоматизират процесите на идентификация и надлежна проверка и да намалят регулаторния риск. Трябва обаче да избираме разумно доставчикът на услуги, на който да се доверим.