Привет! Я Томирис, аналитик данных в отделе финансового мониторинга в ЮMoney. Хочу показать кусочек нашей внутренней кухни: как мы пересобрали AML-процессы и перестали тонуть в отчётах.

В любой финансовой организации, работающей с розничными и корпоративными клиентами, система ПОД/ФТ (или AML — противодействие отмыванию денег и финансированию терроризма) играет ключевую роль. Помимо машинных алгоритмов онлайн-реагирования и автоматических ограничений, по-прежнему большую роль играют периодические отчёты и выборки по риск-критериям. Они помогают находить сигналы о потенциально незаконных операциях.

В этой статье мы сосредоточимся на периодическом мониторинге кошельков физических лиц (сегмент B2C). Это самый «дорогой» сегмент: здесь больше всего отчётов, операций и ручной работы комплаенс-аналитиков.

Когда появляются новые схемы отмывания денег, растёт число отчётов. Нагрузка увеличивается, а доля действительно результативных кейсов (тех, что доходят до блокировок и мер воздействия) остаётся небольшой. В какой-то момент понимаешь: масштабироваться дальше за счёт людей и отчётов нельзя. Отсюда вопросы: все ли отчёты по-прежнему полезны? И можно ли управлять системой без наращивания ресурсов?

Мы не стали нанимать новых людей и множить правила. Вместо этого применили простой подход: начали считать несколько метрик и на их основе оптимизировать систему. Спойлер: подход сработал. Поделюсь тем, как мы выстраивали эту систему и к каким выводам пришли, — так вы сможете адаптировать подход под свои процессы. На основе этих метрик мы уже приняли ряд решений по оптимизации и сейчас готовимся сделать такую оценку регулярной практикой.

Что включает периодический AML-мониторинг в сегменте B2C?

  1. Источники данных. Внутренние системы: данные клиентов и контрагентов, операции по картам и кошелькам, эквайринг.

  2. Генерация отчётов. По правилам и сценариям (в том числе на базе ML) формируются выборки клиентов/операций для проверки. В нашем кейсе — 10 отчётов с разной логикой и периодичностью.

  3. Углублённая экспертная проверка. Специалисты изучают платёжную картину, проверяют срабатывания, при необходимости запрашивают документы и принимают решение: продолжать обслуживание или нет.

  4. Меры. Блокировки, расторжения, передача информации регулятору, внесение в списки.

Более подробно процесс изображён на рисунке 1.

Рис. 1 BPMN-диаграмма процесса мониторинга кошельков по отчётам
Рис. 1 BPMN-диаграмма процесса мониторинга кошельков по отчётам

Все отчёты в статье я буду называть условно, так как конкретные наименования, принципы, алгоритмы формирования выборок и точные пороги не могут быть раскрыты по понятным причинам.

Метрики для оценки эффективности отчётов

По итогам отчётного периода были рассчитаны метрики эффективности для каждого отчёта. Цель: определить актуальные отчёты для дальнейшего использования. Расчёты начинаются со сбора статистики. Во-первых, нужно понять, сколько кошельков попадает в каждый из отчётов. Далее необходимо рассчитать количество кошельков, которые уходят на запрос нашими специалистами. Третий показатель — число блокировок и расторжений, к которым привёл отчёт. Учитываются как случаи, когда действия предприняты по итогам запроса, так и ситуации, когда доступ к сервису ограничен без него.

Мы выделили три ключевых показателя, которые можно рассчитать для любого отчёта на основе вышеописанных данных:

  1. Напряжённость — доля кошельков из отчёта, которые уходят на запрос из общего количества запросов по всем отчётам. Рассчитывается как (запросы отчёта) / (сумма запросов всех отчётов) × 100%. Иллюстрирует, какой объём труда комплаенс-аналитиков по проведению углубленных проверок инициируют сработки в каждом отчёте.

  2. Вклад — доля блокировок и расторжений, полученных от отчёта, в общем количестве блокировок по всем отчётам. Формула: (блокировки отчёта) / (сумма блокировок всех отчётов) × 100%.

  3. Отдача — наш любимый показатель. Это, по сути, конверсия из запроса в блокировку. Рассчитывается как (количество блокировок + расторжений отчёта) / (количество запросов отчёта) × 100%. Показатель является важным, так как позволяет оценить соотношение затрат (углубленные проверки — это работа комплаенс-специалиста) и привносимой ценности (выявляемые и закрываемые риски).

В таблице 1 приведён пример того, что получилось в нашей команде по итогам применения данного подхода:

Отчёт

Количество кошельков в отчётах

Количество запросов

Напряжённость

Количество блокировок + расторжений

Вклад

Отдача

Отчёт А

772653

3 195

22,00%

4 270

29,19%

1,34

Отчёт Б

48560

3 378

23,26%

3 196

21,85%

0,95

Отчёт В

5870

2 519

17,35%

2 227

15,22%

0,88

Отчёт Г

8071

2 081

14,33%

2 059

14,07%

0,99

Отчёт Д

7405

1 147

7,90%

999

6,83%

0,87

Отчёт Е

4145

449

3,09%

393

2,69%

0,88

Отчёт Ж

224

219

1,51%

199

1,36%

0,91

Отчёт З

960

261

1,80%

193

1,32%

0,74

Отчёт И

1167

134

0,92%

120

0,82%

0,90

Отчёт К

837

94

0,65%

92

0,63%

0,98

Отчёт Л

45590

65

0,45%

39

0,27%

0,60

Отчёт М

184

17

0,12%

5

0,03%

0,29

Отчёт Н

5

5

0,03%

5

0,03%

1,00

Всего

895666

13559

13792

Таблица 1. Метрики эффективности отчётов AML — мониторинга за отчётный период.
P.S. Показатели вымышлены и приведены для иллюстрации пропорций данных

Получившаяся картина позволила выделить четыре характерные зоны:

  1. Базовые рабочие отчёты — высокая напряжённость, высокая отдача. Сюда попали отчёты, которые действительно важны: они создают существенную нагрузку, но приносят основную массу блокировок. Это отчёты А, Б, Г. Их отдача выше среднего по портфелю (около 0.95-1). Решение: сохранить, но попытаться повысить отдачу путём уточнения критериев.

  2. Отчёты с низкой отдачей — высокая напряжённость, низкая отдача. Отчёты, которые создают заметную нагрузку, но приносят мало блокировок. В нашем случае это отчёты:

    Отчёт Д: напряжённость 7,90%, отдача 0,87, вклад 6,83%;

    Отчёт Е: напряжённость 3,09%, отдача 0,88, вклад 2,69%;

    Отчёт Л: напряжённость 0,45%, отдача 0,60, вклад 0,27%.

    Хотя абсолютные цифры невелики, логика подсказывает, что такой отчёт либо нужно отключать, либо кардинально перерабатывать правила.

  3. Высокоэффективные малые отчёты — низкая напряжённость, высокая отдача.

    Небольшие отчёты с хорошей конверсией. Пример — отчёт Ж. Они не перегружают систему, но дают качественные сигналы. Такие отчёты стоит оставить, а возможно, даже усилить, расширив индикаторы. Часто в этой категории отчёты, которые подсвечивают не частые или немассовые типологии незаконной деятельности, на которые всё равно необходимо обращать внимание.

  4. Отчёты-кандидаты на отключение — низкая напряжённость, низкая отдача. Отчёты, которые не приносят ни нагрузки, ни пользы. Например, отчёты И и М. Вклад таких отчётов стремится к нулю, а время и ресурсы на их поддержку (настройка, мониторинг) тратится. Решение очевидно: такие отчёты следует закрыть.

Эта матрица стала основой для принятия решений по каждому отчёту.

Принятые решения

Таким образом, мы применили систему из трёх метрик — напряжённость, отдача и вклад — и распределили отчёты по четырём категориям:

  1. Базовые рабочие отчёты (А, Б, Г) — оставляем, уточняем критерии.

  2. Отчёты с низкой отдачей (Д, Е, Л) — частично отключаем или дорабатываем.

  3. Высокоэффективные малые отчёты (Ж и аналоги) — сохраняем.

  4. Отчёты‑кандидаты на отключение (И, М и др.) — выводим из эксплуатации.

В итоге нагрузка стала управляемой без увеличения команды и без потери качества мониторинга. Важно: всё это — без сложных систем и дополнительных данных. Только переиспользование того, что уже есть.

Параллельно мы стараемся отслеживать «узкие горлышки», которые ограничивают нашу производительность, и внедрять средства автоматизации на таких участках с учётом имеющихся ресурсов и методик. Например, ряд затратных по времени операций комплаенс-аналитика с отчётами в ходе принятия решений по каждому кошельку был автоматизирован с помощью алгоритмов на python, чтобы у специалиста было больше времени непосредственно на изучение платежной картины (но об этом, наверное, уже в следующей статье!).

Выводы и рекомендации

Наш опыт показывает: чтобы управлять AML-мониторингом, не обязательно усложнять систему. Иногда достаточно посмотреть на данные под нужным углом. Напряжённость, вклад и отдача — дают всё необходимое, чтобы:

  • найти отчёты, которые создают нагрузку без пользы;

  • выделить ключевые отчёты, с которыми стоит работать в первую очередь;

  • обоснованно отключать, объединять или автоматизировать.

Коротко о главном:

  1. Регулярно пересматривайте отчёты — их эффективность меняется. Внешние условия и поведения клиентов непостоянны, поэтому важно вовремя адаптироваться.

  2. Используйте три метрики: они дают цельную картину.

  3. Не бойтесь отключать. Если отдача <0,5%, а вклад <1% — вы ничего не потеряете.

  4. Данные + экспертиза = лучшее решение. Цифры направляют, но финальный вердикт — за знанием контекста и регуляторики.


Интересно обсудить: какие метрики используете вы? Как решаете, что отключать, а что дорабатывать? Бывает ли сложно «убивать» отчёты?