Delitos Financieros
Transcripción
Delitos Financieros
SOLUCIONES SAS PARA LA PREVENCION DE DELITOS FINANCIEROS TOMANDO LA PREVENCION DE LAVADO DE DINERO COMO CASO PARTICULAR Sergio Uassouf Líder de Práctica de Gestión de Integral de Riesgos v1.0 20140514 C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . CONCEPTOS GENERALES DE LAVADO DE DINERO C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . ¿QUÉ ES LAVADO DE DINERO? Proceso para cambiar la identidad de "dinero sucio" proveniente de actividades delictivas para que aparezca como proveniente de actividades legítimas. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . ¿CUALES SON SUS FUENTES? Tráfico de drogas Tráfico de armas Comercio sexual Corrupción Fraudes Falsificaciones Robos C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Negocios extorsivos Contrabando Tráfico de personas Fraudes impositivos Fraudes aduaneros Robo de obras artísticas o antiguas ETAPAS DEL PROCESO 1 - COLOCACION 2 – DIVERSIFICACION u OCULTAMIENTO Dinero sucio 3 - INTEGRACION C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Ingresa al sistema financiero Compra de bienes de lujo Inversiones financieras e industriales Casinos, casas de cambio, turismo Pago de Empresa YaX Prestamo a Empresa Y Transferencia bancaria a Empresa X Transferencia electrónica a banco offshore CONCEPTOS GENERALES DE LA SOLUCION C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . SAS FRAUD ¿QUE ES? FRAMEWORK Conjunto de productos de software diseñados para desarrollar e implementar Soluciones de Prevención y Detección de Fraudes C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . SAS FRAUD PRINCIPALES COMPONENTES FRAMEWORK SAS FRAUD FRAMEWORK SAS Data Management Server C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . SAS Financial Crimes Monitor SAS Soluciones Estadísticas y de Minería de Datos SAS Network & Link Analytics SAS Enterprise Case Management SAS Enterprise BI Server SAS FRAUD FRAMEWORK PUNTOS A RESOLVER / COMPONENTES DE LA SOLUCION Repositorio Consolidado (Data Mart) Administración de datos - Accede e integra; - Selecciona; - Depura; - Prepara para el análisis; Enfoque Analítico “Híbrido” Modelado Selección de Alertas y Análisis de Casos Detección - Análisis exploratorio y predictivo; - Tablero de control analítico; - Minería de datos y textos; - Análisis de red de relaciones; - Almacena; C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Estadísticos y Analíticos Investigación Gestión Ejecutiva Gestión - Monitoreo contínuo; - Gerenciamiento de procesos, flujos y etapas; - Gráficos, reportes y tableros de control dinámicos; - Proceso de generación de alertas; - Adjuntar documentación y pruebas; - Performance de analistas e investigadores; - Interfaz gráfica flexible; - Base para investigaciones exhaustivas y certeras; - Descubrimiento temprano de nuevos tipos de fraudes; - Ruteo de alertas; Administrador TI Flujos de Investigación Analistas de Fraudes Investigadores Gerentes y Directores SAS FRAUD FRAMEWORK PUNTOS A RESOLVER / COMPONENTES DE LA SOLUCION SAS Data Management Server Administración de datos - Accede e integra; - Selecciona; - Depura; - Prepara para el análisis; SAS Enterprise & Text Miner Forecast Server Modelado SAS Network Analysis / Link Analytics Detección - Análisis exploratorio y predictivo; - Tablero de control analítico; - Minería de datos y textos; - Análisis de red de relaciones; - Almacena; C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Estadísticos y Analíticos Investigación SAS Enterprise BI Server Gestión - Monitoreo contínuo; - Gerenciamiento de procesos, flujos y etapas; - Gráficos, reportes y tableros de control dinámicos; - Proceso de generación de alertas; - Adjuntar documentación y pruebas; - Performance de analistas e investigadores; - Interfaz gráfica flexible; - Base para investigaciones exhaustivas y certeras; - Descubrimiento temprano de nuevos tipos de fraudes; - Ruteo de alertas; Administrador TI SAS Enterprise Case Management Analistas de Fraudes Investigadores Gerentes y Directores FRAUD FRAMEWORK COMPARACION Y AML SAS Fraud Framework Admin.de Escenarios Modelo de Datos Escenarios: Conjunto de reglas Escenarios: Conjunto de modelos Admin.de Alertas Admin.de Casos Reportes Financial Crimes Monitor Modelo AGP + Ejemplo AML SAS / Base + Ejemplo AML Enterprise Miner + Ejemplos propios + Signatures AML Social Network Analysis ECM (Integrado pero no incluído) Ejemplo AML Funcionalidad incluída en SAS Fraud Framework Funcionalidad propia para SAS Anti-Money Laundering C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . SAS FRAUD PRINCIPALES COMPONENTES FRAMEWORK SAS FRAUD FRAMEWORK SAS Data Management Server C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . SAS Financial Crimes Monitor SAS Soluciones Estadísticas y de Minería de Datos SAS Network & Link Analytics SAS Enterprise Case Management SAS Enterprise BI Server SFF: FINANCIAL ADMINISTRACIÓN DE ESCENARIOS CRIMES MONITOR Administra los escenarios y sus características. Un escenario es un programa SAS que toma acciones relacionadas con la detección de fraudes (genera alertas, los suprime, eleva un factor de riesgo, etc). A los efectos funcionales los escenarios se agrupan en proyectos. Un escenario está caracterizado por: C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Grupo de ejecución. Modo de creación: Auto / Custom. Estado: Activo / Inactivo. Entidad sobre la que acciona: Cliente, Cuenta, Transacción, Ubicación física. Parámetros de ejecución: Variables de entrada. Frecuencia de ejecución. Severidad. Peso. SFF: FINANCIAL ADMINISTRACIÓN DE ESCENARIOS CRIMES MONITOR C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . SFF: FINANCIAL ADMINISTRACIÓN DE REGLAS Y ESCENARIOS CRIMES MONITOR SU AGRUPACIÓN EN PROYECTOS C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . El resultado de la ejecución de un proyecto es poblar la tabla de alertas. Luego estas alertas serán mostradas a los investigadores mediante SAS Social Network Analysis Server según las reglas de supresión y de ruteo definidas para el proyecto. Los alertas pueden incluir las entidades involucradas (cuentas, clientes, ubicaciones físicas, transacciones relacionadas) según se configure la solución para cada cliente. SAS FRAUD PRINCIPALES COMPONENTES FRAMEWORK SAS FRAUD FRAMEWORK SAS Data Management Server C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . SAS Financial Crimes Monitor SAS Soluciones Estadísticas y de Minería de Datos SAS Network & Link Analytics SAS Enterprise Case Management SAS Enterprise BI Server ENFOQUE ANALÍTICO HÍBRIDO GENERACIÓN DE ALERTAS El motor de clasificación y puntuación (scoring) de fraudes utiliza una combinación de técnicas analíticas para determinar la propensión al fraude. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Reglas de Negocio Detección de Anomalías Análisis de Relaciones Analítica Avanzada El enfoque híbrido combina 4 métodos de análisis para analizar diferentes patrones y proporcionar una vision integral de la propensión al fraude. ENFOQUE ANALÍTICO HÍBRIDO TÉCNICA ANALÍTICAS PARA PATRONES CONOCIDOS La técnica de Reglas de Negocios aplica reglas lógicas para filtrar transacciones fraudulentas. Ejemplos Reglas de Negocio Detección de Anomalías Análisis de Relaciones Analítica Avanzada Dos transacciones ocurren en diferentes regiones en un período corto de tiempo. Un reclamo excede un monto determinado y fue realizado después de la medianoche Incluye un conjunto de reglas aplicables a cada solución particular C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . ENFOQUE ANALÍTICO HÍBRIDO TÉCNICA ANALÍTICAS PARA PATRONES DESCONOCIDOS La técnica de Detección de Anomalías se basa en métodos no supervisados que examinan el comportamiento de transacciones, cuentas y clientes para detectar los que salen de lo "normal". Ejemplos Reglas de Negocio Detección de Anomalías Análisis de Relaciones Analítica Avanzada La cantidad de cuentas para un mismo domicilio exceden lo normal. El monto de un reclamo en moneda extranjera excede lo normal. Detección de valores extremos anormales Se utilizan regresiones, clustering, análisis de tendencias y de grupos; univariadas y multivariadas. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . ENFOQUE ANAÍTICO HÍBRIDO TÉCNICA ANALÍTICAS PARA PATRONES COMPLEJOS La técnica de Analítica Avanzada se basa en métodos supervisados que usan información histórica de fraudes conocidos para identificar patrones sospechosos similares. Ejemplos Reglas de Negocio Análisis de Relaciones Detección de Anomalías Analítica Avanzada Patrones de apertura y cierre de cuentas. Patrones de crecimiento de uso de recursos. Casos conocidos indicados por los expertos para la generación de alertas. Alertas generados por el sistema y eliminados por los expertos para la reducción de falsos positivos. Se utilizan modelos predictivos paramétricos y no paramétricos como redes neuronales, árboles de decisión y modelos lineales generalizados. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . ENFOQUE ANALÍTICO HÍBRIDO TÉCNICA ANALÍTICAS PARA PATRONES DE RELACIONES La técnica de Análisis de Relaciones identifica asociaciones entre entidades tales como cuentas, clientes, transacciones, proveedores, edificios. Ejemplos C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Reglas de Negocio Detección de Anomalías Análisis de Relaciones Analítica Avanzada Manipulación de identidades. Compartición de teléfonos y direcciones. Transacciones a contrapartes sospechosas. Combinaciones de proveedores en común. Rastreador de movimientos de fondos. SAS FRAUD CONJUNTO DE SOLUCIONES FRAMEWORK SAS FRAUD FRAMEWORK SAS FRAUD FRAMEWORK FOR INSURANCE SAS FRAUD FRAMEWORK FOR GOVERNMENT SAS FRAUD FRAMEWORK FOR HEALTH-CARE SAS FRAUD FRAMEWORK FOR BANKING (Proximamente) SAS ANTI-MONEY LAUNDERING C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . SFF: SOLUCIONES MODELOS Y PREGUNTAS CRÍTICAS ESTADISTICAS Y DE MINERIA DE DATOS Modelos Descriptivos Predictivos ¿QUE NECESITAMOS? PREGUNTA DE NEGOCIO Agrupamiento Asociación Clasificación Regresión DATOS HISTÓRICOS HERRAMIENTA DE MODELADO C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Árboles de Decisión Regresiones Redes Neuronales ¿CON QUE MÉTODOS CONTAMOS? A 1A SFF: SAS MODELOS DE ALTA COMPLEJIDAD ENTERPRISE MINER Sample Explore Modify Model Assess Caso Modelo Fraude Alta Complejidad Clustering + Impacto + Tiempo + Secuencia C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . SAS FRAUD PRINCIPALES COMPONENTES FRAMEWORK SAS FRAUD FRAMEWORK SAS Data Management Server C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . SAS Financial Crimes Monitor SAS Soluciones Estadísticas y de Minería de Datos SAS Network & Link Analytics SAS Enterprise Case Management SAS Enterprise BI Server SFF: SOCIAL ESQUEMA GENERAL DE PANTALLA DE INVESTIGADOR NETWORK ANALYSIS ALERTAS DETALLE DE ALERTAS DETALLE DE ENTIDADES DIAGRAMAS GRÁFICOS INFORMACION RELACIONADA ANALISIS DE RELACIONES (SNA) C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . INTERFAZ DE MINI-DEMO - RESUMEN DE DATOS INVESTIGADOR Datos Nombre de Tabla Cuentas FSC_ACCOUNT_DIM Clientes FSC_PARTY_DIM Transacciones FSC_CAS_FLOW_FACT Fecha 20070801 20070802 20070803 Total # Alertas 170 145 198 513 Volumen 13,947 27,018 106,836 Alertas Generados ATM/Phone Activity Insurance Policy Closing Matched Transactions Registration/Status Irregularities Structuring and Obfuscation Unusual Aggregate Behavior Unexpected Transactions Wire Activity C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . ATM Usage in Multiple States High Velocity ATM Withdrawals (SAS10002) Excessive ATM Withdrawal Denials (SAS10003) Excessive Balance Inquiries (SAS10004) Early Termination of a Front-Loaded Product Early Termination of a Product Paid Out to a Third Party Transactions in Similar Amounts Recurring Tax ID Number Recurring Phone Number Transfer of Ownership or Beneficiary to Unrelated Third Party Structured Withdrawals (SAS10014) Structured Deposits Across Locations Structured Premiums Payments Made Using High-Risk Instruments Deposits Exceeding Income Deposit Amount in Excess of Expectations Withdrawal Amount in Excess of Expectations Account Activity in Excess of Expectations High-Velocity Funds in Excess of Expectations Large Incoming Wires High Velocity Funds - Wires Out (SAS10022) Increase in Wire Activity SAS FRAUD PRINCIPALES COMPONENTES FRAMEWORK SAS FRAUD FRAMEWORK SAS Data Management Server C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . SAS Financial Crimes Monitor SAS Soluciones Estadísticas y de Minería de Datos SAS Network & Link Analytics SAS Enterprise Case Management SAS Enterprise BI Server ENTERPRISE CASE SAS WORKFLOW STUDIO MANAGEMENT CUSTOMIZACION DE FLUJOS DE TRABAJO C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . ENTERPRISE CASE SAS WORKFLOW STUDIO MANAGEMENT CUSTOMIZACION DE FLUJOS DE TRABAJO C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . ENTERPRISE CASE SAS CUSTOM PAGE BUILDER (XML) MANAGEMENT CUSTOMIZACION DE PANTALLAS DE USUARIO C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . QUEDAMOS A SU DISPOSICION PARA HACER UNA PRESENTACION Y DEMO EN SU EMPRESA CON MAYOR NIVEL DE DETALLE C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . EJEMPLOS DE PANTALLAS C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Nueva Interfaz de Admin. de Escenarios …. el usuario crea y administra los escenarios mediante una interfaz web de diseño moderno. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Lista de Escenarios Página de Inicio / Tablero de Control …. punto de entrada estándar que otorga una visión gráfica integral que favorece el rápido acceso a los alertas prioritarios. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Home Page de Analistas e Investigadores Nueva Interfaz de Administrador de Alertas …. nueva versión de la interfaz de usuario de SAS AML que provee un entorno eficiente y configurable en forma dinámica para su adaptación a la modalidad de trabajo de cada usuario. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Pantalla de Alertas – Lista de Alertas Nueva Interfaz de Administrador de Alertas …. nueva versión de la interfaz de usuario de SAS AML que provee un entorno eficiente y configurable en forma dinámica para su adaptación a la modalidad de trabajo de cada usuario. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Pantalla de Alertas – Filtros y Acciones Nueva Interfaz de Administrador de Alertas …. nueva versión de la interfaz de usuario de SAS AML que provee un entorno eficiente y configurable en forma dinámica para su adaptación a la modalidad de trabajo de cada usuario. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Pantalla de Alertas – Alertas Agrupadas por Subject Id Nueva Interfaz de Administrador de Alertas …. nueva versión de la interfaz de usuario de SAS AML que provee un entorno eficiente y configurable en forma dinámica para su adaptación a la modalidad de trabajo de cada usuario. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Pantalla de Alertas – Detalle de un Alerta Nueva Interfaz de Administrador de Alertas …. nueva versión de la interfaz de usuario de SAS AML que provee un entorno eficiente y configurable en forma dinámica para su adaptación a la modalidad de trabajo de cada usuario. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Pantalla de Alertas – Historial de un Alerta Nueva Interfaz de Administrador de Alertas …. visualización gráfica, dinámica, en múltiples niveles de las relaciones entre las entidades que operan en el banco. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Pantalla de Análisis de Relaciones Flujos de Trabajo Automatizados …. provee una traza detallada de las actividades ejecutadas en el análisis de cada caso. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Visualización del Estado de un Caso Tablero de Control C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Indicadores Gráficos Estándar de la Solución y Propios para cada Cliente MODELO DE DATOS C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . ESQUEMA GENERAL DE LA SOLUCION Y MODELO DE DATOS MODELO DE DATOS CORE Modelo de datos en estrella (dimensional) que contiene los datos de origen (fuente) MODELO DE DATOS KNOWLEDGE CENTER Modelo de datos entidad – relación que almacena los escenarios, sus componentes y la información para su investigación. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . MODELO DE DATOS CARACTERÍSTICAS DE LA BASE DE DATOS CORE De miles a millones de cuentas y partes intervinientes. De decenas de miles a miles de millones de transacciones. Almacena los cambios de información en el tiempo (p.ej. direcciones, teléfonos y otros datos descriptivos de las partes). Retiene la historia de las definiciones realizadas. Por defecto 13 meses de creación y modificaciones a escenarios. La performance de carga de información y ejecución de consultas es crítica. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . MODELO DE DATOS CORE Modelo en estrella. La tabla de transacciones (facts) contiene los movimientos realizados. EJEMPLO DE DEPOSITO DE $ 2.000 FSC_ACCOUNT_DIM account_key: 1234 account_number: BD1222 account_name: John’s Checking etc... Las tablas de dimensiones contienen cuentas, clientes, lugares de residencia (casas, edificios) y demás dimensiones necesarias para el análisis. FSC_COUNTRY_DIM country_key: 840 country_code_2: US country_code_3: USA country_name: United States C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . FSC_CASH_FLOW_FACT transaction_key: 111212113 ------------------------------------account_key: 1234 date_key: 20041123 time_key: 123 transaction_type_key: 2026 transaction_status_key: 1 country_key: 840 branch_key: 34566 currency_amount: 2,000 currency_amount_in_txn_ccy: 2,000 currency_amount_in_account_ccy: 2,000 transaction_currency_key: 840 posted_date_key: 20041123 associate_key: 5434 executing_party_key: -1 FSC_TRANSACTION_STATUS_DIM transaction_status_key: 1 status_desc: Success status_reason_desc: N/A FSC_BRANCH_DIM branch_key: 34566 branch_number: WEST444 branch_name: Westbridge Branch FSC_DATE_DIM date_key: 20041123 calendar_date: 11/23/2004 FSC_TIME_DIM time_key: 123 time_hhmmss: 040359 FSC_TRANSACTION_TYPE_DIM transaction_type_key: 2026 funds_securities_code: F transaction_cdi_code: C primary_medium_desc: CHECK secondary_medium_desc: N/A mechanism_desc: TELLER FSC_TRANSACTION_DIM transaction_key: 111212113 transaction_reference_number: TX23FD432232BBB transaction_description: Check Deposit MODELO DE DATOS CORE Modelo en estrella. La tabla de transacciones (facts) contiene los movimientos realizados. Las tablas de dimensiones contienen cuentas, clientes, lugares de residencia (casas, edificios) y demás dimensiones necesarias para el análisis. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . EJEMPLO DE TRANSFERENCIA INTERNACIONAL MODELO DE DATOS KNOWLEDGE CENTER Modelo de relaciones entre entidades. Almacena los escenarios y factores de riesgo que definimos Almacena las alertas y clasificaciones de riesgos generados. Almacena la replica de los datos vinculados a cada alerta. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . ALMACENA LOS ESCENARIOS QUE DEFINIMOS... MODELO DE DATOS KNOWLEDGE CENTER Modelo de relaciones entre entidades. Almacena los escenarios y factores de riesgo que definimos Almacena las alertas y clasificaciones de riesgos generados. Almacena la replica de los datos vinculados a cada alerta. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . LOS ALERTAS QUE SE GENERAN A PARTIR DE ESOS ESCENARIOS... MODELO DE DATOS KNOWLEDGE CENTER Cuando se crea un alerta todas las transacciones (facts) asociadas son copiadas desde el Core Data Model en la tabla de transacciones replicadas (Replicated Facts) del Knowledge Center. De este modo el sistema retiene todos las transacciones para poder auditarlas, permitiendo la depuración periódica de la información más antigua del Core Data Model. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Y UNA REPLICA DE TODAS LAS TRANSACCIONES VINCULADAS A CADA ALERTA... MODELO DE DATOS CORE: Contiene las transacciones, operaciones, cuentas, clientes, lugares de residencia (casas, edificios) y demás dimensiones necesarias para el análisis. KNOWLEDGE CENTER: Contiene los escenarios y factores de riesgo, los alertas generados por los escenarios y una réplica de las transacciones asociados a cada alerta. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . RESUMIENDO... CORE KNOWLEDGE CENTER Contiene datos fuente. Contiene información relevante para AML. La solución los modifica sólo excepcionalmente. La solución los modifica frecuentemente. Almacena varios meses de transacciones. Almacena indefinidamente la réplica de transacciones sospechosas. ESCENARIOS C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . ESCENARIOS PRINCIPALES TÉRMINOS Escenario: Programa que representa una situación indicativa de propensión al lavado de dinero. El escenario chequea la información relacionada con el escenario. Si las condiciones del escenario ocurrieron, genera un alerta. Alerta: Aviso de una situación que puede ser indicativa de lavado de dinero. Escenario de Factor de Riesgo: Es un tipo de escenario que no genera un alerta porque representa situaciones que si bien pueden ser indicativas de lavado de dinero, su ocurrencia es también común en transacciones lícitas. Eleva el score de riesgo de los alertas relacionados. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . 1 120010010 Zhi Chen 2 120010180 Gloria Boring 3 120010773 Francois Soleil 4 120012274 Cassio M Marobella 5 120012869 Patricia F Williams 6 120013357 Ripley Anderson 7 120014083 Harry Wong 8 120015870 BUI Inc C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Score de Riesgo Afecta Score de Riesgo SAS10038 Periodo inactivo Nombre SAS10032 Nuevo cliente Número de Cliente SAS10029 Activ.fuera de zona BREVE EJEMPLO... SAS10007 Depós.estructurado ESCENARIOS ESCENARIOS ASUMAMOS QUE EJECUTAMOS 4 ESCENARIOS... Severity Scenario Name Short Description Description Escenario SAS10007 Estructura de Depósitos en Efectivo El monto total de depósitos en efectivo de un cliente resulta consistentemente sobre el umbral diario establecido (Currency Transaction Report threshold). Escenario de Factor de Riesgo SAS10029 Actividad Fuera de Zona Una cuenta tiene un volumen significativo de actividad fuera de su zona habitual y/o de residencia. Escenario de Factor de Riesgo SAS10032 Cliente Nuevo Un cliente ingresó al banco hace poco tiempo. Escenario de Factor de Riesgo SAS10038 Período de Inactividad Una cuenta tiene un extendido período de inactividad. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . 1 120010010 Zhi Chen 2 120010180 Gloria Boring 3 120010773 Francois Soleil 4 120012274 Cassio M Marobella 5 120012869 Patricia F Williams 6 120013357 Ripley Anderson 7 120014083 Harry Wong 8 120015870 BUI Inc C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Score de Riesgo Afecta Score de Riesgo SAS10038 Periodo inactivo Nombre SAS10032 Nuevo cliente Número de Cliente SAS10029 Activ.fuera de zona VEREMOS COMO IMPACTAN EN ESTOS 8 CLIENTES... SAS10007 Estructura dep.efect. ESCENARIOS Score de Riesgo Nuevo 700 Patricia F Williams X Nuevo 700 120013357 Ripley Anderson X Nuevo 700 7 120014083 Harry Wong 8 120015870 BUI Inc Nombre 1 120010010 Zhi Chen 2 120010180 Gloria Boring 3 120010773 Francois Soleil 4 120012274 Cassio M Marobella 5 120012869 6 C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . SAS10038 Periodo inactivo X Número de Cliente SAS10032 Nuevo cliente Afecta Score de Riesgo SAS10029 Activ.fuera de zona 3 CLIENTES APAREAN CON EL ESCENARIO SAS10007, GENERÁNDOSE UN ALERTA PARA CADA UNO DE ELLOS... SAS10007 Estructura dep.efect. ESCENARIOS Afecta Score de Riesgo Score de Riesgo X X ▲ 725 X No SAS10038 Periodo inactivo Nombre SAS10032 Nuevo cliente Número de Cliente SAS10029 Activ.fuera de zona 3 CLIENTES APAREAN EL ESCENARIO DE FACTOR DE RIESGO SAS10029. NO SE GENERA NINGÚN ALERTA PERO AFECTA EL SCORE DE RIESGO DE LA FILA 2... SAS10007 Estructura dep.efect. ESCENARIOS 1 120010010 Zhi Chen 2 120010180 Gloria Boring 3 120010773 Francois Soleil 4 120012274 Cassio M Marobella 5 120012869 Patricia F Williams X 700 6 120013357 Ripley Anderson X 700 7 120014083 Harry Wong 8 120015870 BUI Inc C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . X No Score de Riesgo Afecta Score de Riesgo 1 120010010 Zhi Chen 2 120010180 Gloria Boring 3 120010773 Francois Soleil 4 120012274 Cassio M Marobella 5 120012869 Patricia F Williams X 700 6 120013357 Ripley Anderson X 700 7 120014083 Harry Wong 8 120015870 BUI Inc C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . X SAS10038 Periodo inactivo Nombre SAS10032 Nuevo cliente Número de Cliente SAS10029 Activ.fuera de zona 3 CLIENTES APAREAN EL ESCENARIO DE FACTOR DE RIESGO SAS10032. NO SE GENERA NINGÚN ALERTA NI SE AFECTA NINGÚN SCORE DE RIESGO... SAS10007 Estructura dep.efect. ESCENARIOS X No X 725 X X X No X No Zhi Chen 2 120010180 Gloria Boring 3 120010773 Francois Soleil 4 120012274 Cassio M Marobella 5 120012869 Patricia F Williams X 6 120013357 Ripley Anderson X 7 120014083 Harry Wong 8 120015870 BUI Inc C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Score de Riesgo 120010010 Afecta Score de Riesgo 1 SAS10038 Periodo inactivo Nombre SAS10032 Nuevo cliente Número de Cliente SAS10029 Activ.fuera de zona 3 CLIENTES APAREAN EL ESCENARIO DE FACTOR DE RIESGO SAS10038. NO SE GENERA NINGÚN ALERTA PERO AFECTA EL SCORE DE RIESGO DE LAS FILAS 2 Y 6... SAS10007 Estructura dep.efect. ESCENARIOS ▲ 745 X X X X X 700 X X X X ▲ 720 ESCENARIOS PRINCIPALES TÉRMINOS Existen muchos factores que no están considerados en el ejemplo y que influyen fuertemente en el proceso de generación de alertas. Algunos ejemplos son: Otros alertas generados y su tiempo de vida; Reglas de supresión; Pesos bayesianos; Probabilidad de ejecución. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . ESCENARIOS ESQUEMA DE FUNCIONAMIENTO CLIENTES TRANSACCIONES PERFILES RELACIONES KYC FILTTROS CUENTAS Alerta score bajo Alerta score medio Posible alerta Alerta score alto NIVEL DE RIESGO = Apareo de escenarios y factores de riesgo C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . ESCENARIOS ESCENARIOS PROVISTOS SEGÚN DIFERENTES CLASIFICACIONES Por Severidad Por Categoría Actividad en teléfonos y ATMs Actividad en efectivo Cuentas inactivas Seguros Actividad en préstamos Apareo de transacciones Irregularidad de estado Aparición en lista de riesgos Estructura y ofuscación Transacciones inusuales Comportamiento agregado inusual Entidades en Watch lists Actividad en transferencias Manual Otras C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . 6 6 2 4 3 1 4 1 5 7 12 9 9 1 2 Escenario Factores de riesgo 49 23 Por Tipo de Entidad Cuentas Clientes Transacciones Otras 35 34 2 1 Por Frecuencia de Ejecución Diaria Semanal Mensual No aplicable 54 4 13 1 ESCENARIOS LISTA PARCIAL DE ESCENARIOS PROVISTOS SAS00000 - Manually Created Alert SAS10001 - ATM Usage in Multiple States SAS10002 - High Velocity ATM Withdrawals SAS10003 - Excessive ATM Withdrawal Denials SAS10004 - Excessive Balance Inquiries SAS10005 - Large Cash Deposits SAS10006 - Large Total Cash Transactions SAS10007 - Structured Cash Deposits SAS10008 - Activity in an Inactive Account SAS10009 - Transactions in Similar Amounts SAS10011 - Recurring Tax ID Number SAS10012 - Recurring Phone Number SAS10014 - Structured Withdrawals SAS10015 - Multiple Location Usage SAS10016 - Structured Deposits Across Locations SAS10017 - Deposits Exceeding Income SAS10018 - High-Risk Countries SAS10019 - Bidirectional Wires SAS10020 - Large Incoming Wires SAS10021 - High Velocity Funds - Wires In SAS10022 - High Velocity Funds - Wires Out SAS10023 - Low Total Assets SAS10024 - High Velocity Funds SAS10025 - Transactions in Round Amounts SAS10026 - ATM Deposits at Multiple Locations SAS10027 - ATM Withdrawals and Inquiries at Multiple Locations SAS10028 - Multiple Branch Usage C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . SAS10029 - Out-of-State Activity SAS10030 - Activity Dominated by Wires SAS10031 - Foreign Wire Activity SAS10032 - New Customer SAS10033 - Politically Exposed Person (PEP) Indicator SAS10034 - Recent Suspicious Activity Report (SAR) Activity SAS10035 - Recent Currency Transaction Report (CTR) Activity SAS10036 - High Account Turnover SAS10038 - Period of Dormancy SAS10039 - Large Wires Relative to Net Worth SAS10040 - High-Risk Deposits SAS10041 - High-Risk Withdrawals SAS10049 - Payments Using Third Party Check SAS10050 - Payments Made Using High-Risk Instruments SAS10052 - Loan Disbursement From a Recently Opened Single-Premium Policy SAS10056 - Structured Premiums SAS10059 - Early Termination of a Front-Loaded Product SAS10060 - Early Termination of an Insurance Product Purchased with High-Risk Instruments SAS10061 - Early Termination of a Product Paid Out to a Third Party SAS10064 - Transfer of Ownership or Beneficiary to Unrelated Third Party SAS10074 - Excessive Transfer Activity with Unrelated Parties SAS10076 - Increase in Wire Activity SAS10078 - Transactions Involving Countries on a Watch List SAS10079 - Politically Exposed Person (PEP) on Watch List SAS10080 - Non-Terrorist on Watch List SAS10081 - High-Risk Currencies ESCENARIOS ESCENARIOS PROVISTOS EJEMPLO CATEGORÍA TRANSACCIONES INUSUALES Perfilado de transacciones respecto al comportamiento histórico: Incluye "perfil de comportamiento dinámico, también conocido como firma. Detecta desviaciones respecto a normales determinados. Define máximos para umbrales y "expectativas". Actualiza los perfiles regularmente, típicamente en frecuencia mensual. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . ESCENARIOS ESCENARIOS PROVISTOS EJEMPLO CATEGORÍA TRANSACCIONES INUSUALES También conocidos como... Escenarios de comportamientos inusuales, Escenarios dinámicos o Escenario de perfiles. Se genera un alerta cuando los valores obtenidos son mucho mayores que los esperados... SAS10086 – Monto depositado en exceso (mensual) SAS10087 – Monto retirado en exceso (mensual) SAS10088 – Cantidad de depósitos en exceso (mensual) SAS10089 – Cantidad de retiros en exceso (mensual) SAS10090 – Actividad de la cuenta en exceso (mensual) SAS10091 – Velocidad de rotación de fondos en exceso (diario) C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . PROCESOS COMPLEMENTARIOS VECINOS CERCANOS (NEAR NEIGHBORS) RASTREADOR DE FONDOS (FUNDS TRACKER) CLASIFICACIÓN DE RIESGOS C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . VECINOS CERCANOS (NEAR NEIGHBOR) DESCRIPCION DEL PROCESO Proceso analítico para determinar comportamiento similares a los de las alertas actuales. Utiliza suma de cuadrados para determinar la distancia. A menor distancia, mayor similitud de comportamiento. Se requieren 6 meses de historia de transacciones. Los vecinos cercanos son determinados estrictamente por la actividad transaccional, no por las características de clientes y cuentas. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . VECINOS CERCANOS (NEAR NEIGHBOR) PANTALLA EJEMPLO Se seleccionan alertas. La funcionalidad Vecino Cercano muestra información general de la cuenta objetivo, que es aquella alcanzada por los alertas seleccionados La distancia expresa la "similitud" de cada vecino respecto a la cuenta objetivo. Los vecinos son mostrados según su ranking de similitud C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . A mayor distancia, menor similitud. Si la distancia es 0 el vecino es igual a la cuenta objetivo. RASTREADOR DE FONDOS (FUNDS TRACKER) DESCRIPCION DEL PROCESO Representación gráfica del movimiento de fondos dentro y hacia el exterior de la institución. Construye redes de actividad a partir de las transacciones individuales. Pone en evidencia relaciones entre cuentas, que quedaban ocultas sin este análisis. Requiere como mínimo dos meses de transferencias internas y/o externas. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . RASTREADOR DE FONDOS (FUNDS TRACKER) C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . PANTALLA EJEMPLO CLASIFICACION DE RIESGOS DESCRIPCION DEL PROCESO Proceso analítico para asignar clientes a diferentes categorías de riesgo según sus atributos y comportamiento. Permite el cumplimiento regulatorio satisfaciendo los "due diligence" de clientes requeridos por diferentes regulaciones y el principio "Conozca a su Cliente". Ejecución mensual del proceso de clasificación de riesgos, que analiza la información de clientes respecto a los clasificadores de riesgos. Ejecución frecuente del proceso de evaluación de riesgos, que envía las evaluaciones de clientes a los investigadores en función del perfil de riesgos determinado por el proceso de clasificación. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . CLASIFICACION DE RIESGOS DESCRIPCION DE CLASIFICADORES DE RIESGO Identificadores de clientes y cuentas: Comparan los identificadores de los clientes y/o cuentas objetivo con listas de clientes y/o cuentas. Estas listas son administradas por la interfaz de investigador de AML. Información de cuentas y clientes: Estos clasificadores de riesgos utilizan listas de atributos potencialmente predictores de clientes y cuentas, tales como tipo de actividad o códigos postales. Estas listas son administradas por la interfaz de investigador de AML. Perfil de clientes: Estos clasificadores analizan los perfiles de clientes comparandolos con umbrales pre-establecidos. Por ejemplo: la cantidad y monto de operaciones en efectivo y de transferencias de fondos. Indicadores de clientes y cuentas: Estos clasificadores analizan indicadores generalmente binarios (Si o No) establecidos en cualquiera de los procesos de análisis (Generación de alertas, Análisis de escenarios y factores de riesgo, etc). C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . CLASIFICACION DE RIESGOS Identificadores de clientes y cuentas: Productos/SASRC10205 – Servicios Utilizados (No Cuentas de Depósitos) Perfil de clientes: Clientes/SASRC10001 – Personas Internas Políticamente Expuestas Información de cuentas y clientes: EJEMPLOS DE CLASIFICADORES DE RIESGO Servicios/SASRC10401 – Transferencias Indicadores de clientes y cuentas: Clientes/SASRC10604 – Personas Políticamente Expuestas C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . GRACIAS POR SU INTERÉS EN SAS C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . ANEXO - DETALLE TÉCNICO PROCESO DE GENERACIÓN DE ALERTAS C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . PROCESO DE GENERACION DE GENERACIÓN DE CÓDIGO ALERTAS (AGP) Para Scenarios y Headers escritos utilizando SAS Data Step, en la generación de código... El Header representa la sentencia Data, carga de variables e inicialización (First.) y finalización (Last.) del módulo. El Scenario contiene la lógica del Data Step. Múltiples scenarios pueden ser incluídos en el mismo header (o sea utilizando el mismo Data Step). C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . PROCESO DE GENERACION DE RELACION DE INPUT, HEADERS Y SCENARIOS ALERTAS (AGP) C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Scenario Header PROCESO DE GENERACION DE EJEMPLO DE CODIGO GENERADO ALERTAS (AGP) C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . data alert_tablename (keep=list of vars); Declare Arrays array transaction_type {10000} $1 _temporary_; Load Transactions set scenario_prep_file end=eof; by account_number; Begin FIRST. LAST. Processing if first.account_number then n=0; Load Arrays n+1 if n<=&array_dimension then do; transaction_type{n} = transaction_indicator; end; if ^last.account_number then return; Scenario Processing scenario_id = 5; %SAS10005 ( p10005_account_type_desc='P' , p10005_cdi_indicator='C' , p10005_ctr_amount=10000 , p10005_currency_acct='N' , p10005_pri_medium_desc='CASH' , p10005_status_desc='SUCCESS' ); run; PROCESO DE LOGICA DEL ESCENARIO SAS10005 GENERACION DE DEPÓSITOS EN EFECTIVO DE MONTO ELEVADO ALERTAS (AGP) C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . PROCESO DE GENERACION DE MODULARIZACIÓN DE COMPONENTES ALERTAS (AGP) Implementado utilizando macros SAS. Proceso de errores estándar (Global Return Codes). Lógica estándar para éxito o falla de ejecución (AMLSUCCESS Y AMLFAILURE) Algunos módulos contienen una interfaz pre y post ejecución del mismo. Las interfaces pre y post módulos son denominadas con prefijo PRE y POST. Por ejemplo el módulo COMBINE_ALERTS contiene interfaces PRECOMBINE_ALERTS y POSTCOMBINE_ALERTS. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . PROCESO DE GENERACION DE DIAGRAMA DE EJECUCION ALERTAS (AGP) Scenario Code Generation Scenario Execution Funds Tracker Prep Combine Alerts Funds Tracker Risk Ranking Suppression Load Networks Get Entity Info Near Neighbor Prep Near Neighbor Routing Load Alerts Replicate Transactions C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Update Alert History Replicate Profile Send Alert Reminder Load Risk Factors Notify Manager PROCESO DE GENERACION DE IMPLEMENTACION DE UN NUEVO ESCENARIO PROPIO ALERTAS (AGP) C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . MODELO DE DETECCIÓN DE COMPORTAMIENTOS BANCARIOS ATÍPICOS C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . DETECCION DE COMPORTAMIENTOS FLUJO DE PROCESOS ATÍPICOS El proceso de ejecución del modelo consta de los siguientes pasos: 1. Proceso ETL para poblado de la ABT 2. Segmentación estructural 3. Clustering 4. Cálculo de distancias y score de anomalía 5. Reporting de los casos de comportamiento atípico C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . DETECCION DE COMPORTAMIENTOS 1. PROCESO DE ETL PARA CONSTRUCCION DE LA ABT ATÍPICOS Incluye todos los campos relevantes en cuanto a: Características del cliente (personas físicas y jurídicas) Detalle de su operatoria histórica y reciente (montos y cantidades de transacciones por tipo) Se alimenta con información proveniente de los datos demográficos y transaccionales del cliente, mediante un proceso de ETL (extracción, transformación y carga de datos) diseñado por SAS, adaptado a la base transaccional de cada Entidad. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . DETECCION DE COMPORTAMIENTOS 1. PROCESO DE ETL PARA CONSTRUCCION DE LA ABT ATÍPICOS 4 tablas principales: Datos recientes e históricos de personas físicas y jurídicas. 4 atributos principales: Transacciones y Montos operados por cada concepto, Días y Sucursales en las que operó. 43 conceptos considerados, entre otros: Cobro de exportaciones; Compra de títulos; Depósitos de efectivo y cheques en cajas de ahorro y ctas.ctes; Giros y transferencias recibidos y enviados en el país y en el exterior; Pagos de cheques por caja y por cámara; Pago de importaciones; Pases activos moneda extranjera, títulos y valores; Retiros de efectivo por ATM. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . DETECCION DE 1. PROCESO DE ETL PARA CONSTRUCCION DE LA ABT COMPORTAMIENTOS VARIABLES CONSIDERADAS ATÍPICOS VARIABLE MONTO_DIA_Cxx Q_DIAS_Cxx Q_SUC_Cxx Q_TRX_DIA_Cxx MONTO_DIA_Cxx_std Q_DIAS_Cxx_std Q_SUC_Cxx_std Q_TRX_DIA_Cxx_std MONTO_DIA_Cxx Q_DIAS_Cxx Q_SUC_Cxx Q_TRX_DIA_Cxx MONTO_DIA_Cxx_std Q_DIAS_Cxx_std Q_SUC_Cxx_std Q_TRX_DIA_Cxx_std C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . DESCRIPCIÓN Suma de los promedios diarios, por persona y mes Promedios diarios estandarizados Promedio diario por persona Promedio diario estandarizado por persona VARIABLE DESCRIPCION ALERTAS_MES Cantidad de alertas ANT_CLIENTE Antigüedad del cliente BANCA_ID CANAL_ATM CANAL_EBANK Indica transacciones por CANAL_IVR ese canal CANAL_OTROS CANAL_TAS CANT_MESES CANT_CLIENTES COMPRA_LIMITE_std DEUDA_LIMITE_std Límites estandarizados PAGO_SALDO_std SALDO_LIMITE_std INDICADOR_PEP Variables booleanas INDICADOR_STAFF_BANCO DETECCION DE COMPORTAMIENTOS 2. SEGMENTACION ESTRUCTURAL ATÍPICOS En este paso se conforman diversos grupos de clientes como primer fase de segmentación: PERSONAS FISICAS PERSONAS JURIDICAS Banca personas Banca pymes Banca empresas Banca pymes Servicios Sector primario Transporte Empresas monopersonales Industria manufacturera Construcción Comercio Otros La lógica en este paso es separar comportamientos estructuralmente diferentes como el de una persona física versus el de una empresa, o el de una empresa comercial de la de una agropecuaria. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . DETECCION DE 2. SEGMENTACION ESTRUCTURAL COMPORTAMIENTOS PERFILADO PERSONAS JURÍDICAS - COMERCIOS ATÍPICOS Cluster 1 Cluster 2: Bajos montos en promedio. Uso intenso de cuenta corriente. Cluster 3: C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Alta cantidad de días, transacciones y sucursales. Alta cantidad de días en que opera C2 (Depósito de cheques en Cta Cte). Poco uso de cuenta corriente. Alto uso de giros y transacciones. Pocos días operando C2 (Depósito de cheques en Cta Cte). Baja cantidad de sucursales. Altos montos en C101 (G. y T. emit. del país). DETECCION DE COMPORTAMIENTOS 3. CLUSTERING ATÍPICOS Una vez conformados los segmentos estructurales en el paso anterior, se aplica una sub-segmentación dentro de cada uno de ellos, aplicando técnicas clustering de data mining. El objetivo es generar grupos de pares homogéneos a nivel intra-grupo, en el sentido de agrupar clientes de igual porte económico, tamaño, y estilo de operaciones. Los comportamientos medios de estos sub-segmentos, denominados centroides, se utilizan como puntos de referencia contra los cuales luego se realizan las comparaciones del comportamiento de cada cliente. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . DETECCION DE COMPORTAMIENTOS 3. CLUSTERING ATÍPICOS TABLA Aml_main_pj/pf_rec FUNCION Para decidir a qué segmento corresponde un cliente, consideramos los datos de su operatoria reciente, que se encuentran en esta tabla Centroides Este vector contiene la información fundamental sobre los segmentos, contra el que se medirá la diferencia entre el comportamiento de la persona y el del segmento. Medias Para estandarizar los datos utilizados. Desvíos Para estandarizar los datos utilizados. x: valor de la variable que se quiere estandarizar. m: media de la variable considerada. s: desvío estándar de la variable considerada. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . DETECCION DE COMPORTAMIENTOS 4. CALCULO DE DISTANCIA Y SCORE DE ANOMALIAS ATÍPICOS Para cada cliente bancario, se calculan las dos «distancias» correspondientes a los dos sub-scores de anomalías. Utiliza la medida de distancia multidimensional de Mahalanobis. Esa medida de distancia, a diferencia de la distancia euclídea, contempla la correlación existente entre las diversas dimensiones que se computan (en este caso, las dimensiones consisten en conceptos de operatoria bancaria ej. depósitos, extracciones, pagos, etc.) Distancia Euclídea bidim.: Distancia de Mahalanobis: C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . DETECCION DE COMPORTAMIENTOS 4. CALCULO DE DISTANCIA Y SCORE DE ANOMALIAS ATÍPICOS Se calcula la medida de la distancia total y la distancia exhibida en cada uno de los conceptos de operatoria. Por esto se crea una tabla (D_XXX_XXXX) en la que se guardan tanto la distancia como cada uno de los sumandos que constituyen la distancia al cuadrado: d(p,q) 2 = (p1 − q1)2 + (p2 − q2)2 + ... + (pi − qi)2 + ... + (pn − qn)2. Las distancias obtenidas se estandarizan para que sea posible su comparación según la fórmula mencionada anteriormente. Finalmente se transforma la distancia estandarizada en una magnitud que sea positiva y de rango amplio para facilitar la lectura. La transformación elegida es una transformación logística, que transforma las distancias estandarizadas en un número entre cero y mil. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . DETECCION DE COMPORTAMIENTOS 4. CALCULO DE DISTANCIA Y SCORE DE ANOMALIAS ATÍPICOS Se repite un procedimiento similar de distancia respecto a los valores históricos de las mismas variables del propio cliente. Finalmente se establecen los scores de anomalía respecto a su segmento y respecto a su historia según la sgte. tabla de valoración: C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . SCORE GRADO DE ANOMALIA Hasta 550 Sin señales de anomalía 550 - 700 Escasa evidencia de anomalía 700 - 850 Evidencia de anomalías leves 850 – 950 Evidencia de anomalías medias Mayor a 950 Importantes señales de anomalía DETECCION DE COMPORTAMIENTOS 5. REPORTING ATÍPICOS El resultado final del sistema es el score de anomalía para cada caso, permitiendo ordenar a los clientes de mayor a menor índice de anomalía. De este modo focalizaremos la investigación en los casos con mayor score. ID_Cliente ABC001 JXZ024 WQA781 … C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . Score de anomalía 902 894 859 … DETECCION DE COMPORTAMIENTOS 5. REPORTING ATÍPICOS A su vez, para cada caso, se puede obtener un reporte individual de ayuda para el analista, que muestra el ranking de operatorias con mayor contribución al score de anomalía, lo que permite orientar la investigación. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . MODELO DE REDUCCIÓN DE ALERTAS FALSOS POSITIVOS (COMPLIANCE ANALYTICS) C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . REDUCCIÓN DE ALERTAS DESCRIPCION DE FUNCIONALIDAD FALSOS POSITIVOS Compliance Analytics es un proceso utilizado para suprimir en forma automática alertas cuyo perfil sea similar al perfil de los alertas suprimidos históricamente. Compliance Analytics utiliza modelos para crear Códigos de Score (también llamados Clasificadores) que califican los alertas. Los Clasificadores proporcionan la probabilidad (porcentaje) de que un alerta sea verdadero o un falso positivo, basándose en la firma (signature) del alerta. La probabilidad es convertida a un score que se compara con criterios definidos por el cliente para marcar los alertas como suprimibles. Se requiere como mínimo 6 meses de datos para la ejecución de este modelo. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . REDUCCIÓN DE ALERTAS ¿QUE ES UNA FIRMA DE ALERTA? (ALERT SIGNATURE) FALSOS POSITIVOS Cada alerta y su conjunto de variables asociadas es denominado una Firma de Alerta (Alert Signature). Los alertas históricos, su destino final, perfil de la cuenta y/o del clientes y demás información relacionada es parte de su "firma" Cada observación del dataset es referida como una "firma". Toma en cuenta más de 100 tipos diferentes de transacciones y variables. Mayor poder predictivo que el perfilado batch tradicional. Del mismo modo se determina la firma de cada cuenta y de cada contraparte. Estas firmas de cuenta y contraparte se agregan a la firma de los alertas como variables del modelo. Cuenta 1 Cuenta 2 C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . ….. REDUCCIÓN DE ALERTAS ¿QUE ES UN MODELO? FALSOS POSITIVOS ¿Qué es un modelo? Herramienta analítica que "entrenamos" para que aprenda de los alertas historicos y cual fue su destino final. ¿Cuáles son los tipos de modelos disponibles?. Árboles de decisión. Regresiones. Redes neuronales. Varios más... ¿Cómo seleccionamos el modelo más apropiado?. Facilidad de uso. Experiencia de resultados obtenidos en su utilización. Familiaridad de la organización. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . REDUCCIÓN DE ALERTAS ¿QUE ES UN CLASIFICADOR? FALSOS POSITIVOS Código de Score generado por SAS Enterprise Miner C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . REDUCCIÓN DE ALERTAS ¿QUE HACE SAS ENTERPRISE MINER? FALSOS POSITIVOS Para cada objetivo planteado, crea múltiples modelos utilizando diferentes técnicas. Compara el poder predictivo de los modelos generados. Hace recomendaciones según la performance del modelo. Ver documento "Getting Started with SAS Enterprise Miner" o asistir a algunos de los workshops ofrecidos por SAS Argentina. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . REDUCCIÓN DE ALERTAS PROCESO DE MODELADO FALSOS POSITIVOS Create Model(s) AML CORE AML KC SAS® Enterprise Miner Regression Historical Alert Extraction with Signature Historical Alerts w/ Signature Decision Tree Neural Network Create Classifier(s) Classifier A Classifier B Classifier C aml_ca_modeling.sas – six months | modeling_event_descriptions.csv | aml_ca_account_signature.sas | aml_ca_party_signature.sas | aml_ca_modeling.sas | aml_ca_sum_party_trans.sas | aml_ca_sum_party_trans.sas C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . REDUCCIÓN DE ALERTAS PROCESO DE SCORING Y SUPRESION DE ALERTAS FALSOS POSITIVOS AML CORE AML KC Extract Today’s Alerts with Signature Today’s Alerts with Signature Classifier Classifier Classifier A B C Risk Scored Alerts Update alert suppression and insert new comments Business Rule Pass-Thru Alerts for Suppression Classifiers_scenario_account.csv | classifiers_scenario_party.csv | business rules – aml_ca_execute_classifier.sas C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . False Positive Pass-Thru Risk Score Suppression REDUCCIÓN DE EN RESUMEN EL PROCESO DE REDUCCIÓN DE FALSOS ALERTAS POSITIVOS (COMPLIANCE ANALYTICS) EJECUTA LAS FALSOS POSITIVOS SGTES. FUNCIONES Crear modelos y firma de alertas diarias. Crear clasificadores del modelo de clasificación de firmas de alertas. Ejecutar clasificadores contra los alertas generados por el proceso diario de clasificación de alertas. Suprimir en forma automática los alertas con bajo score. Permitir el paso de algunos alertas suprimibles basandose en reglas para su re-inclusión. Pasar algunos alertas suprimibles que serán utilizados como pilotos para verificar la continuidad de la efectividad del modelo. Emisión de reportes. C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . RESUMEN DE DATOS DE LA DEMOSTRACION C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . DEMOSTRACION RESUMEN DE DATOS DE LA DEMO SAS AML Datos Nombre de Tabla Cuentas FSC_ACCOUNT_DIM Clientes FSC_PARTY_DIM Transacciones FSC_CAS_FLOW_FACT Fecha 20070801 20070802 20070803 Total # Alertas 170 145 198 513 Volumen 13,947 27,018 106,836 Alertas Generados ATM/Phone Activity Insurance Policy Closing Matched Transactions Registration/Status Irregularities Structuring and Obfuscation Unusual Aggregate Behavior Unexpected Transactions Wire Activity C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d . ATM Usage in Multiple States High Velocity ATM Withdrawals (SAS10002) Excessive ATM Withdrawal Denials (SAS10003) Excessive Balance Inquiries (SAS10004) Early Termination of a Front-Loaded Product Early Termination of a Product Paid Out to a Third Party Transactions in Similar Amounts Recurring Tax ID Number Recurring Phone Number Transfer of Ownership or Beneficiary to Unrelated Third Party Structured Withdrawals (SAS10014) Structured Deposits Across Locations Structured Premiums Payments Made Using High-Risk Instruments Deposits Exceeding Income Deposit Amount in Excess of Expectations Withdrawal Amount in Excess of Expectations Account Activity in Excess of Expectations High-Velocity Funds in Excess of Expectations Large Incoming Wires High Velocity Funds - Wires Out (SAS10022) Increase in Wire Activity