Привет! Я Томирис, аналитик данных в отделе финансового мониторинга в ЮMoney. Хочу показать кусочек нашей внутренней кухни: как мы пересобрали AML-процессы и перестали тонуть в отчётах.

В любой финансовой организации, работающей с розничными и корпоративными клиентами, система ПОД/ФТ (или AML — противодействие отмыванию денег и финансированию терроризма) играет ключевую роль. Помимо машинных алгоритмов онлайн-реагирования и автоматических ограничений, по-прежнему большую роль играют периодические отчёты и выборки по риск-критериям. Они помогают находить сигналы о потенциально незаконных операциях.

В этой статье мы сосредоточимся на периодическом мониторинге кошельков физических лиц (сегмент B2C). Это самый «дорогой» сегмент: здесь больше всего отчётов, операций и ручной работы комплаенс-аналитиков.

Когда появляются новые схемы отмывания денег, растёт число отчётов. Нагрузка увеличивается, а доля действительно результативных кейсов (тех, что доходят до блокировок и мер воздействия) остаётся небольшой. В какой-то момент понимаешь: масштабироваться дальше за счёт людей и отчётов нельзя. Отсюда вопросы: все ли отчёты по-прежнему полезны? И можно ли управлять системой без наращивания ресурсов?

Мы не стали нанимать новых людей и плодить правила. Вместо этого попробовали простой подход: начали считать несколько метрик и на их основе «чистить» систему. Спойлер: сработало. Поделюсь тем, как мы выстраивали эту систему и к каким выводам пришли, — так вы сможете адаптировать подход под свои процессы. На основе этих метрик мы уже приняли ряд решений по оптимизации и сейчас готовимся сделать такую оценку регулярной практикой.

Что входит в периодический AML-алгоритм B2C?

  1. Источники данных. Внутренние системы: данные клиентов и контрагентов, операции по картам и кошелькам, эквайринг.

  2. Генерация отчётов. По правилам и сценариям (в том числе на базе ML) формируются выборки клиентов/операций для проверки. В нашем кейсе — 10 отчётов с разной логикой и периодичностью.

  3. Углублённая экспертная проверка. Специалисты изучают платёжную картину, проверяют срабатывания, при необходимости запрашивают документы и принимают решение: продолжать обслуживание или нет.

  4. Меры. Блокировки, расторжения, передача информации регулятору, внесение в списки.

Более подробно процесс изображён на рисунке 1.

Рис.1 BPMN-диаграмма процесса мониторинга кошельков по отчётам
Рис.1 BPMN-диаграмма процесса мониторинга кошельков по отчётам

Все отчёты в статье я буду называть условно, так как конкретные наименования, принципы, алгоритмы формирования выборок и точные пороги не могут быть раскрыты по понятным причинам.

Метрики для оценки эффективности отчётов

По итогам отчётного периода были рассчитаны метрики эффективности для каждого отчета с целью определить актуальные для дальнейшего использования. Расчёты начинаются со сбора имеющейся статистики: во-первых, нужно понять сколько кошельков попадает в каждый из отчётов, далее необходимо рассчитать количество кошельков, которые уходят на запрос нашими специалистами. Третий показатель – количество блокировок и расторжений, которые были совершены благодаря отчёту (тут рассматриваются случаи, когда блокировка или расторжения происходят по итогам запроса, или пользователю ограничивают пользование сервисом без запроса).

Мы выделили три ключевых показателя, которые можно рассчитать для любого отчёта на основе вышеописанных данных:

  1. Напряжённость — доля кошельков из отчёта, которые уходят на запрос из общего количества запросов по всем отчётам. Рассчитывается как (запросы отчёта) / (сумма запросов всех отчётов) × 100%. Иллюстрирует, какой объем труда комплаенс-аналитиков по проведению углубленных проверок инициируют сработки в каждом отчёте.

  2. Вклад — доля блокировок и расторжений, полученных от отчёта, в общем количестве блокировок по всем отчётам. Формула: (блокировки отчёта) / (сумма блокировок всех отчётов) × 100%.

  3. Отдача — наш любимый показатель. Это, по сути, конверсия из запроса в блокировку. Рассчитывается как (количество блокировок + расторжений отчёта) / (количество запросов отчёта) × 100%. Показатель является важным, так как позволяет оценить соотношение затрат (углубленные проверки — это работа комплаенс-специалиста) и привносимой ценности (выявляемые и закрываемые риски).

В таблице 1 приведён пример того, что получилось в нашей команде по итогам применения данного подхода:

Отчёт

Количество кошельков в отчётах

Количество запросов

Напряжённость

Количество блокировок + расторжений

Вклад

Отдача

Отчёт А

772653

3 195

22,00%

4 270

29,19%

1,34

Отчёт Б

48560

3 378

23,26%

3 196

21,85%

0,95

Отчёт В

5870

2 519

17,35%

2 227

15,22%

0,88

Отчёт Г

8071

2 081

14,33%

2 059

14,07%

0,99

Отчёт Д

7405

1 147

7,90%

999

6,83%

0,87

Отчёт Е

4145

449

3,09%

393

2,69%

0,88

Отчёт Ж

224

219

1,51%

199

1,36%

0,91

Отчёт З

960

261

1,80%

193

1,32%

0,74

Отчёт И

1167

134

0,92%

120

0,82%

0,90

Отчёт К

837

94

0,65%

92

0,63%

0,98

Отчёт Л

45590

65

0,45%

39

0,27%

0,60

Отчёт М

184

17

0,12%

5

0,03%

0,29

Отчёт Н

5

5

0,03%

5

0,03%

1,00

Всего

895666

13559

13792

Таблица 1. Метрики эффективности отчётов AML — мониторинга за отчётный период.
P.S. Показатели вымышлены и приведены для иллюстрации пропорций данных

Получившаяся картина позволила выделить четыре характерные зоны:

  1. Базовые рабочие отчёты — высокая напряжённость, высокая отдача. Сюда попали отчёты, которые действительно важны: они создают существенную нагрузку, но приносят основную массу блокировок. Это отчёты А, Б, Г. Их отдача выше среднего по портфелю (около 0.95-1). Решение: сохранить, но попытаться повысить отдачу путём уточнения критериев.

  2. Отчёты с низкой отдачей — высокая напряжённость, низкая отдача. Отчёты, которые создают заметную нагрузку, но приносят мало блокировок. В нашем случае это отчёты:

    Отчёт Д: напряжённость 7,90%, отдача 0,87, вклад 6,83%;

    Отчёт Е: напряжённость 3,09%, отдача 0,88, вклад 2,69%;

    Отчёт Л: напряжённость 0,45%, отдача 0,60, вклад 0,27%.

    Хотя абсолютные цифры невелики, логика подсказывает, что такой отчёт либо нужно отключать, либо кардинально перерабатывать правила.

  3. Высокоэффективные малые отчёты — низкая напряжённость, высокая отдача.

    Небольшие отчёты с хорошей конверсией. Пример — отчёт Ж. Они не перегружают систему, но дают качественные сигналы. Такие отчёты стоит оставить, а возможно, даже усилить, расширив индикаторы. Часто в этой категории отчёты, которые подсвечивают не частые или немассовые типологии незаконной деятельности, на которые всё равно необходимо обращать внимание.

  4. Отчёты-кандидаты на отключение — низкая напряжённость, низкая отдача. Отчёты, которые не приносят ни нагрузки, ни пользы. Например, отчёты И и М. Польза таких отчётов в блокировки стремится к нулю, а время и ресурсы на их поддержку (настройка, мониторинг) тратится. Ответ один: смело закрываем. 

Эта матрица стала основой для принятия решений по каждому отчёту.

Принятые решения

Таким образом, мы применили систему из трёх метрик — напряжённость, отдача и вклад — и распределили отчёты по четырём категориям:

  1. Базовые рабочие отчёты (А, Б, Г) — оставляем, уточняем критерии.

  2. Отчёты с низкой отдачей (Д, Е, Л) — частично отключаем или дорабатываем.

  3. Высокоэффективные малые отчёты (Ж и аналоги) — сохраняем.

  4. Отчёты‑кандидаты на отключение (И, М и др.) — выводим из эксплуатации.

В итоге нагрузка стала управляемой без увеличения команды и без потери качества мониторинга. Важно: всё это — без сложных систем и дополнительных данных. Только переиспользование того, что уже есть.

Параллельно мы стараемся отслеживать «узкие горлышки», которые ограничивают нашу производительность, и внедрять средства автоматизации на таких участках с учётом имеющихся ресурсов и методик. Например, ряд затратных по времени операций комплаенс-аналитика с отчётами в ходе принятия решений по каждому кошельку был автоматизирован с помощью алгоритмов на python, чтобы у специалиста было больше времени непосредственно на изучение платежной картины (но об этом, наверное, уже в следующей статье!).

Выводы и рекомендации

Наш опыт показывает: чтобы управлять AML-мониторингом, не обязательно усложнять систему. Иногда достаточно посмотреть на данные под нужным углом. Напряжённость, вклад и отдача — дают всё необходимое, чтобы:

  • найти отчёты, которые создают нагрузку без пользы;

  • выделить ключевые отчёты, с которыми стоит работать в первую очередь;

  • обоснованно отключать, объединять или автоматизировать.

Коротко о главном:

  1. Регулярно пересматривайте отчёты — их эффективность меняется. Внешние условия и поведения клиентов непостоянны, поэтому важно вовремя адаптироваться.

  2. Используйте три метрики: они дают цельную картину.

  3. Не бойтесь отключать. Если отдача <0,5%, а вклад <1% — вы ничего не потеряете.

  4. Данные + экспертиза = лучшее решение. Цифры направляют, но финальный вердикт — за знанием контекста и регуляторики.

Интересно обсудить: какие метрики используете вы? Как решаете, что отключать, а что дорабатывать? Бывает ли сложно «убивать» отчёты?