Когда дело доходит до эпических сбоев систем мониторинга транзакций, они не становятся больше, чем предполагаемая оптовая отмена Westpac автоматизированных проверок и отчетности по борьбе с отмыванием денег и финансированием терроризма.
Он настолько велик, что может оставить в тени промах ЦБА с умным банкоматом стоимостью 700 миллионов долларов.
Агентство финансовой разведки AUSTRAC в среду сбросило свою самую большую бомбу на сегодняшний день на австралийский банк, подав документы, утверждающие массовую неспособность внедрить автоматизированные системы мониторинга транзакций для денег, поступающих в Австралию и из Нее, что привело к 23 миллионам нарушений Закона о борьбе с отмыванием денег и финансированием терроризма 2006 года.
Массовый технологический и управленческий провал лежит в основе скандала, который, несомненно, дорого обойдется старейшему банку Австралии, поскольку детали того, как ключевые системы, которые банк должен был иметь по закону, просто не были внедрены, поддержаны или исправлены.
Westpac ранее намекала во время своих недавних результатов, что она будет поражена действием после того, как сообщит инвесторам, что добровольно призналась AUSTRAC.
Но после разоблачения масштаб провала привел сектор в агонию.
Великая расплата начинается
По подсчетам AUSTRAC, Westpac не предоставила ей отчеты о поступающих платежах на сумму 11 миллиардов долларов в виде так называемых корреспондентских банковских соглашений с зарубежными банками, которые позволяют пользователям получать доступ к австралийской платежной системе через инфраструктуру Westpac с использованием виртуальных счетов, называемых «Внесистемными BSB» (OSBSB).
“Westpac нарушил Закон более 23 миллионов раз. Эти нарушения являются результатом системных сбоев в его контрольной среде, безразличия высшего руководства и неадекватного надзора со стороны Правления”, — говорится в документах AUSTRAC, поданных в Федеральный суд.
“Они возникли из-за неспособности Westpac должным образом использовать ресурсы функции AML/CTF, инвестировать в соответствующие ИТ-системы и автоматизированные решения, а также своевременно устранять известные проблемы соблюдения требований.”
Специальный кошмар: система, которой никто не хотел владеть
AUSTRAC говорит, что Westpac “принял специальный подход к управлению рисками ML/TF и комплаенсу”, сценарий, почти наверняка частично созданный опорой на десятилетнюю запатентованную технологию, которую банк изо всех сил пытался стряхнуть и сохранить после того, как он передал свой технический магазин IBM в 1990-х годах.
С тех пор последовательные ит-директора Westpac стремились вернуть контроль над архитектурой и основными системами банка, в последнее время под руководством Боба Маккиннона, Дэйва Каррана и теперь Крейга Брайта.
Учитывая предполагаемые нарушения, имевшие место уже шесть лет назад, Брайт, должно быть, задается вопросом, на что он купился, публично заявив о своем видении цифрового родного Westpac, пригодного для следующего десятилетия, только на прошлой неделе.
За чем охотился АУСТРАК
Транзакционные системы AUSTRAC наложили массивное уведомление о дефектах на все, по сути, более старые пакетные платежи, которые были созданы для того, чтобы сделать более дешевым и быстрым перевод денег в Австралию и из Нее с помощью корреспондентских банковских соглашений, немного похожих на то, как авиакомпании используют соглашения о код-шеринге.
Сами по себе эти соглашения не являются чем-то необычным; они используются для перевода небольших сумм на такие платежи, как зарубежные пенсии, пенсии по выслуге лет, заработная плата и другие платежи, которые в противном случае были бы уничтожены международными платежами.
“Из-за их более низкой стоимости они широко используются глобальным бизнесом, включая транснациональные корпорации, платежные системы и другие корпорации”, — отмечает AUSTRAC.
“Однако при значительном количестве платежей, обработанных в соответствии с этими соглашениями, Westpac не знала и не знает, откуда берутся эти средства.”
Полет вслепую
Что на системном, технологическом и управленческом уровне является очень серьезной проблемой, поскольку сама причина, по которой финансовые разведывательные службы искали и получали требования AML/CTF, заключалась в том, чтобы они могли следить за деньгами, как правило, через автоматические уведомления ping.
Уведомления необходимы, потому что они позволяют властям обнаруживать, когда деньги перемещаются между целями, а также иметь возможность вынюхивать известные модели, чтобы обнулить преступников и нарушителей санкций. Список которых растет.
Мелочи, крупные неприятности
Одна служба, получившая название «Australasian Cash Management» (ACM), работала за пределами рельсов SWIFT, которые требовали кучу информации о том, кто кому платит. AUSTRAC утверждает, что “миллиарды долларов поступили в Австралию через соглашения ACM только за последние шесть лет.”
“Соглашения ACM позволяют банкам-корреспондентам использовать инфраструктуру Westpac для обработки платежей своих зарубежных клиентов через австралийскую платежную систему. Банки-корреспонденты” пакетные «инструкции по переводу денежных средств от нескольких плательщиков нескольким получателям», — сказал АУСТРАК.
“Пакетированные инструкции направляются в Westpac по каналам, которые не регулируются Обществом всемирной межбанковской финансовой телекоммуникации (SWIFT). Эти инструкции, не относящиеся к SWIFT, не всегда включали полную информацию о плательщике и получателе платежа.”
В соответствии со своим режимом отмывания денег AUSTRAC требует, чтобы банки и предприятия (особенно казино) подавали так называемые отчеты IFTI (International Funds Transfer Instruction) для отслеживания денег.
Именно эти отчеты не поступали от Westpac по целому ряду систем либо потому, что они не работали, не были там или просто не попадали в сферу технической работы, связанной с соблюдением требований.
(Одна вещь, которую вы не прочтете в документах AUSTRAC,-это высокая стоимость невозврата работы, связанной с комплаенсом, которая часто высасывает бюджет из других проектов технического подъема, часто делая комплаенс делом управления затратами, а не расходами ROI.)
“Ряд продуктовых систем и каналов выходили за рамки программы мониторинга транзакций, в том числе связанных с международными платежами”, — говорит AUSTRAC о системах Westpac.
“Набор сценариев обнаружения в основном основан на розничной торговле и наличных деньгах и предназначен для обнаружения активности на розничном, а не институциональном уровне.”
Слишком мало слишком поздно
Далее говорится, что автоматизированный мониторинг на самом деле не был реализован до 2017 года, а также был удален огромный объем данных.
“С января 2011 года Westpac получила 3 516 238 входящих IFTL, которые должны были быть переданы другим австралийским банкам для оплаты. Westpac первоначально сохраняла запись” уникального ссылочного номера «банка-корреспондента для каждой платежной инструкции», — сказал AUSTRAC.
“Однако из-за плохого надзора за своими системами хранения данных Westpac не хранила записи этой информации в течение семи лет, как это требовалось. Значительное большинство этих записей было удалено в 2011 и 2012 годах.”
Ой.
Не вижу зла
Один из главных моментов, который AUSTRAC явно намеревается протаранить на фронте мониторинга транзакций, заключается в том, что в наши дни автоматизированных и распределенных платежей даже небольшие изменения имеют значение, потому что они часто используются для того, чтобы протащить деньги мимо программного обеспечения SWIFT.
Монетизация детской эксплуатации-это тот самый случай, когда AUSTRAC оставляет некоторые из своих самых обличительных обвинений до тех пор, пока они не войдут в судебный документ.
Хуже всего то, что Westpac заранее сообщили, что у нее есть проблема с отслеживанием подозрительных транзакций в связи с эксплуатацией детей с одной из ее платформ, LitePay, которая, по-видимому, была неспособна генерировать красные флаги, как это требовалось.
Это
“По крайней мере с 2013 года Westpac была осведомлена о повышенных рисках эксплуатации детей, связанных с частыми выплатами низкой стоимости Филиппинам и Юго-Восточной Азии, как из руководства AUSTRAC, так и из своих собственных оценок рисков. В июне 2016 года высшее руководство Westpac было специально проинформировано об этих рисках в отношении канала LitePay”, — утверждает AUSTRAC.
“Автоматизированные решения доступны для «красного флага» подозрительных моделей частых сделок с низкой стоимостью в этих юрисдикциях. Собственная политика Westpac требовала, чтобы она учитывала рекомендации AUSTRAC и правоохранительных органов при разработке и поддержании этих автоматизированных сценариев обнаружения.
“Однако только в июне 2018 года Westpac внедрила соответствующий сценарий автоматизированного обнаружения для мониторинга известных рисков эксплуатации детей через свою платформу LitePay”, — сказал ОСТАК.
И становится только хуже
“Westpac до сих пор не внедрила соответствующие автоматизированные сценарии обнаружения для мониторинга известных рисков эксплуатации детей по другим каналам. В результате Westpac не обнаружила на счетах своих клиентов активности, свидетельствующей об эксплуатации детей.” Сказал отслеживания.
Это тоже не теоретическое соображение.
AUSTRAC заявила, что Westpac не провела должной проверки дюжины клиентов “с целью выявления, смягчения и управления известными рисками эксплуатации детей”.
“В течение ряда лет на счетах каждого из этих 12 клиентов повторялись частые операции с низкой стоимостью, которые свидетельствовали о рисках эксплуатации детей. По крайней мере с 2013 года Westpac была осведомлена о повышенных рисках эксплуатации детей, связанных с такими схемами сделок”, — сказал ОСТРАК.
Еще. Нет. Исправлено.
«Несмотря на эту осведомленность, Westpac не реализовала соответствующие сценарии автоматического обнаружения для канала LitePay до июня 2018 года и до сих пор не реализовала соответствующие сценарии автоматического обнаружения для других международных платежных каналов”, — говорится в судебных документах AUSTRAC.
“Некоторые из незамеченных операций включали выплаты предполагаемым или подозреваемым пособникам эксплуатации детей. Один клиент открыл несколько счетов Westpac после отбытия наказания в виде лишения свободы за преступления, связанные с эксплуатацией детей.”
“Westpac быстро выявила деятельность на одном счете, которая указывала на эксплуатацию детей, но не смогла оперативно проверить деятельность на других счетах. Этот клиент продолжал отправлять частые платежи низкой стоимости на Филиппины по каналам, которые не контролировались должным образом.”
«Westpac в настоящее время рассматривает исковое заявление AUSTRAC и выпустит еще одно заявление в ASX, как только оно будет оценено», — сказал пресс-секретарь.
