Бизнес по-разному решает вопрос с проверками клиентов по спискам Росфинмониторинга: одни используют вендорские продукты, другие создают в рамках комплаенс-процессов собственные системы. Расскажем о подводных камнях таких проверок — знание о них поможет и при самостоятельном написании системы, и при выборе вендора.
Проблемы с качеством данных
Начнем с простого: данные, которые поступают в организацию, далеко не всегда правильные и полные. И если компания не использует Data Quality решение для повышения их качества, она легко пропустит фигуранта из черных списков.
Обнаружить фигуранта из списка могут помешать:
Опечатки в данных. Например, если оператор по ошибке ввел имя или фамилию неправильно: Симаченко вместо Симоченко.
Намеренные ошибки. Люди, оказавшиеся в списках террористов и экстремистов, иногда откровенно хитрят и используют трансграфику. При заполнении формы на сайте они могут написать буквы О, С в имени или фамилии в латинской раскладке. Например, вот так: Cидoров. Визуально не определить, что буква С и O написаны латиницей;
Похожие имена. Использование близких по написанию имен (Наталья и Наталия, Софья и София, Андрей и Андрий и др.) — еще один способ обмануть организацию.
Намеренные или случайные ошибки во входящих данных «сработают», если компания:
не работает с качеством данных,
практикует прямое построковое сравнение с перечнями,
использует систему, алгоритмы которой не распознают трансграфику и не знают о различных вариантах написания имен.
Особенности транслитерации
По решению совета безопасности ООН, публикуются перечни организаций и физических лиц, связанных с терроризмом или с распространением оружия массового уничтожения. И списки эти — на английском языке.
Перевод на русский язык бывает, но не всегда. Кроме того, часто публикуется перевод только одного имени, а альтернативные имена (алиасы) на русском языке не приводятся.
Вот основные моменты, которые стоит учесть при разработке системы:
У фигуранта перечня может быть несколько имен — на английском, арабском, корейском или других языках. Иногда они и вовсе написаны иероглифами, поэтому сравнить запись в перечне ООН с предоставленным апостилем крайне сложно. Более того, иногда правила транслитерации меняются, так что одно и то же имя в разное время может быть написано по-разному. Например, Юлия на транслите может быть написана как Yuliya или Iuliia. Подробнее об этом рассказывали в статье на Хабре.
В списке ООН по физическим лицам много арабских имен. И если в русском языке три компонента имени (фамилия, имя, отчество), то в арабском их может быть и больше. Поэтому при разработке алгоритмов для сравнения нужно нужно внимательно разбираться, в какой последовательности и какие компоненты вы будете сравнивать. Вот пример:
FIRST_NAME | АЛЛА ДАД |
SECOND_NAME | ТАЙЕБ |
THIRD_NAME | ВАЛИ |
FOURTH_NAME | МУХАММАД |
Дата рождения внесенных в список людей не всегда определена. Иногда представлен только год рождения или дата рождения с типом between: например, может быть указано, что фигурант родился в период с 1966 по 1967 год.
INDIVIDUAL_DATE_OF_BIRTH>
TYPE_OF_DATE — BETWEEN
FROM_YEAR — 1966
TO_YEAR — 1967
Юридические лица иногда могут могут использовать аббревиатуру вместо полного названия, так что при проверке нужно иметь в виду и такой вариант. Мы рекомендуем автоматически вычленять из названия организационно-правовую форму (LTD, LLC, Trust и др.) и для проверки использовать только название. Почему? Правовая форма иностранной организации не всегда корректно переводится на русский язык, поэтому ее использование может создать дополнительные трудности. Вторая проблема — перевод названия. Например, в списке могут быть далеко не однозначные переводы:
КОММЕРЧЕСКИЙ БАНК «ТАНЧОН» = KOREA CHANGGWANG CREDIT BANK.
КОРЕЙСКАЯ НАЦИОНАЛЬНАЯ СТРАХОВАЯ КОМПАНИЯ (КНСК) = Korea Foreign Insurance Company.
Сложные алгоритмы сравнения
Расскажу поучительную историю: один из банков использовал самописное решение для проверки по спискам. Система умела работать только с двумя сценариями:
- полное совпадение ФИО и даты рождения,
- полное совпадение серии и номера паспорта.
Этого оказалось недостаточно, и организация не сумела опознать фигурантов списков. Ей пришлось заплатить штрафы за проведенные операции.
Чтобы свести ошибки к минимуму, алгоритмы должны использовать множество разных правил с оценкой вероятности совпадения. Если при сравнении учитывать только ФИО и дату рождения, то совпадений, скорее всего, будет слишком много — особенно, если у организации миллионы клиентов. А вот если учитывать совпадение ФИО, ДР и паспортных данных — с вероятностью 95% система будет правильно находить фигуранта. Но есть случаи, когда номера паспортов не совпадают, а вот адрес проживания один и тот же. На такой случай нужны дополнительные «мягкие» правила сравнения. Какими они будут, компания решает сама (или обсуждает их вместе с вендором). Скажем, можно использовать вот такие правила:
- Совпадение по ФИО на 70-99% + дата рождения + дополнительный документ физлица;
- Совпадение ФИО на 70-99% + адрес до дома на 90-100% + дата рождения.
Сделать проверку более точной помогут ИНН и СНИЛС фигурантов. Тем более, что в некоторых списках эти данные представлены. Остается только обогатить клиентскую базу организации этой информацией. Для этого можно использовать сервис ФНС, который позволяет получить данные по ИНН. Подключиться к нему могут организации, поднадзорные ЦБ. ИНН помогает проводить проверки более точно и выявлять фигурантов списка даже в том случае, если они, например, поменяли паспорт.
Со СНИЛС, к слову, сложнее. Автоматически базу по этим документам не получить, остается только запрашивать эти документы у клиентов.
К чему еще нужно быть готовым при самостоятельном создании системы для проверки клиентов по 115-ФЗ?
К быстрой проверке всей клиентской базы. Списки публикуются через день, иногда чаще. В них регулярно появляются новые фигуранты, а некоторые, напротив, исчезают. Сложность в том, что проверить всю клиентскую базу и все совершенные операции нужно в течение 24 часов после того, как Росфинмониторинг опубликовал новую версию того или иного списка. К слову, у этого регулятора есть сервисный концентратор, который позволяет компаниям в автоматическом режиме скачивать списки сразу, как только они публикуются.
К обеспечению оперативного и удобного доступа к системе проверки. Бывает, что комплаенс загружает списки в одной системе, а заведение клиентов и операции с ними происходят во множестве других. Клиенты могут совершать операции в мобильном приложении, на сайте, в офисе… Принципиальный вопрос, который предстоит решить: делать модуль проверки по спискам в каждой системе или обязать всех использовать единый сервис. Второй вариант, по нашему опыту, удобней и проще.
К постоянным доработкам системы. В сфере комплаенса законодательство то и дело меняется — десятки изменений в год! Конечно, далеко не все из них касаются проверки по спискам, но держать руку на пульсе нужно. Например, в 2023 году Росфинмониторинг поменял формат данных списков, и некоторым компаниям это серьезно осложнило работу — пришлось разбираться в новой структуре данных и дорабатывать систему. В случае с вендорским решением доработку под новый формат делает разработчик продукта. Доработка требуется и в том случае, если регулятор обязывает бизнес проверять клиентов по новым, ранее не использовавшимся, спискам.
Какое решение для проверки по 115-ФЗ использует ваша компания? Проголосуйте в нашем телеграм-канале.
