Delitos Financieros

Transcripción

Delitos Financieros

SOLUCIONES SAS PARA LA
PREVENCION DE DELITOS FINANCIEROS
TOMANDO LA PREVENCION DE LAVADO DE DINERO COMO CASO PARTICULAR
Sergio Uassouf
Líder de Práctica de
Gestión de Integral de Riesgos
v1.0 20140514
C op yr i g h t © 2 0 1 2 , S A S I n s t i t u t e I n c . A l l r i g h t s r es er v e d .
CONCEPTOS GENERALES
DE LAVADO DE DINERO
¿QUÉ ES LAVADO DE DINERO?
Proceso para cambiar la
identidad de "dinero sucio"
proveniente de actividades
delictivas para que aparezca
como proveniente de
actividades legítimas.
¿CUALES SON SUS FUENTES?
Tráfico de drogas
 Tráfico de armas
 Comercio sexual
 Corrupción
 Fraudes
 Falsificaciones
 Robos

Negocios extorsivos
 Contrabando
 Tráfico de personas
 Fraudes impositivos
 Fraudes aduaneros
 Robo de obras
artísticas o antiguas

ETAPAS DEL PROCESO
1 - COLOCACION
2 – DIVERSIFICACION
u OCULTAMIENTO
Dinero sucio
3 - INTEGRACION
Ingresa al
sistema financiero
 Compra de
bienes de lujo
 Inversiones
financieras e
industriales
 Casinos, casas
de cambio,
turismo
Pago de
Empresa
YaX
Prestamo
a Empresa Y
Transferencia
bancaria
a Empresa X
Transferencia
electrónica a banco
offshore
CONCEPTOS GENERALES DE LA SOLUCION
SAS FRAUD
¿QUE ES?
FRAMEWORK
Conjunto de productos de
software diseñados para
desarrollar e implementar
Soluciones de Prevención y
Detección de Fraudes
SAS FRAUD
PRINCIPALES COMPONENTES
FRAMEWORK
SAS FRAUD FRAMEWORK
SAS
Data
Management
Server
SAS
Financial
Crimes
Monitor
SAS
Soluciones
Estadísticas
y de Minería
de Datos
SAS
Network &
Link Analytics
SAS
Enterprise
Case
Management
SAS
Enterprise
BI
Server
SAS FRAUD
FRAMEWORK PUNTOS A RESOLVER / COMPONENTES DE LA SOLUCION
Repositorio
Consolidado
(Data Mart)
Administración
de datos
- Accede e integra;
- Selecciona;
- Depura;
- Prepara para el
análisis;
Enfoque
Analítico
“Híbrido”
Modelado
Selección de
Alertas y
Análisis de
Casos
Detección
- Análisis exploratorio
y predictivo;
- Tablero de control
analítico;
- Minería de datos y
textos;
- Análisis de red de
relaciones;
- Almacena;
Estadísticos y
Analíticos
Investigación
Gestión
Ejecutiva
Gestión
- Monitoreo contínuo;
- Gerenciamiento de
procesos, flujos y
etapas;
- Gráficos, reportes y
tableros de control
dinámicos;
- Proceso de
generación de
alertas;
- Adjuntar
documentación y
pruebas;
- Performance de
analistas e
investigadores;
- Interfaz gráfica
flexible;
- Base para
investigaciones
exhaustivas y
certeras;
- Descubrimiento
temprano de nuevos
tipos de fraudes;
- Ruteo de alertas;
Administrador TI
Flujos de
Investigación
Analistas de
Fraudes
Investigadores
Gerentes y Directores
SAS FRAUD
FRAMEWORK PUNTOS A RESOLVER / COMPONENTES DE LA SOLUCION
SAS Data
Management
Server
Administración
de datos
- Accede e integra;
- Selecciona;
- Depura;
- Prepara para el
análisis;
SAS
Enterprise &
Text Miner
Forecast Server
Modelado
SAS Network
Analysis /
Link Analytics
Detección
- Análisis exploratorio
y predictivo;
- Tablero de control
analítico;
- Minería de datos y
textos;
- Análisis de red de
relaciones;
- Almacena;
Estadísticos y
Analíticos
Investigación
SAS Enterprise
BI Server
Gestión
- Monitoreo contínuo;
- Gerenciamiento de
procesos, flujos y
etapas;
- Gráficos, reportes y
tableros de control
dinámicos;
- Proceso de
generación de
alertas;
- Adjuntar
documentación y
pruebas;
- Performance de
analistas e
investigadores;
- Interfaz gráfica
flexible;
- Base para
investigaciones
exhaustivas y
certeras;
- Descubrimiento
temprano de nuevos
tipos de fraudes;
- Ruteo de alertas;
Administrador TI
SAS Enterprise
Case
Management
Analistas de
Fraudes
Investigadores
Gerentes y Directores
FRAUD FRAMEWORK
COMPARACION
Y AML
SAS Fraud
Framework
Admin.de
Escenarios
Modelo de
Datos
Escenarios:
Conjunto de
reglas
Escenarios:
Conjunto de
modelos
Admin.de
Alertas
Admin.de
Casos
Reportes
Financial
Crimes
Monitor
Modelo AGP
+
Ejemplo AML
SAS / Base
+
Ejemplo AML
Enterprise Miner
+
Ejemplos propios
+
Signatures AML
Social
Network
Analysis
ECM
(Integrado
pero no
incluído)
Ejemplo AML
Funcionalidad incluída en SAS Fraud Framework
Funcionalidad propia para SAS Anti-Money Laundering
SAS FRAUD
FRAMEWORK
SAS FRAUD FRAMEWORK
SAS
Data
Management
Server
SAS
Financial
Crimes
Monitor
SAS
Soluciones
Estadísticas
y de Minería
de Datos
SAS
Network &
Link Analytics
SAS
Enterprise
Case
Management
SAS
Enterprise
BI
Server
SFF: FINANCIAL ADMINISTRACIÓN DE ESCENARIOS
CRIMES MONITOR

Administra los escenarios y sus características.

Un escenario es un programa SAS que toma
acciones relacionadas con la detección de fraudes
(genera alertas, los suprime, eleva un factor de
riesgo, etc).

A los efectos funcionales los escenarios se
agrupan en proyectos.

Un escenario está caracterizado por:








Grupo de ejecución.
Modo de creación: Auto / Custom.
Estado: Activo / Inactivo.
Entidad sobre la que acciona: Cliente, Cuenta,
Transacción, Ubicación física.
Parámetros de ejecución: Variables de entrada.
Frecuencia de ejecución.
Severidad.
Peso.
SFF: FINANCIAL ADMINISTRACIÓN DE ESCENARIOS
CRIMES MONITOR
SFF: FINANCIAL ADMINISTRACIÓN DE REGLAS Y ESCENARIOS
CRIMES MONITOR SU AGRUPACIÓN EN PROYECTOS

El resultado de la ejecución de un
proyecto es poblar la tabla de
alertas.

Luego estas alertas serán mostradas
a los investigadores mediante SAS
Social Network Analysis Server
según las reglas de supresión y de
ruteo definidas para el proyecto.

Los alertas pueden incluir las
entidades involucradas (cuentas,
clientes, ubicaciones físicas,
transacciones relacionadas) según
se configure la solución para cada
cliente.
SAS FRAUD
FRAMEWORK
SAS FRAUD FRAMEWORK
SAS
Data
Management
Server
SAS
Financial
Crimes
Monitor
SAS
Soluciones
Estadísticas
y de Minería
de Datos
SAS
Network &
Link Analytics
SAS
Enterprise
Case
Management
SAS
Enterprise
BI
Server
ENFOQUE ANALÍTICO
HÍBRIDO
GENERACIÓN DE ALERTAS
El motor de clasificación y puntuación (scoring) de fraudes utiliza
una combinación de técnicas analíticas para determinar la
propensión al fraude.
Reglas de
Negocio
Detección
de
Anomalías
Análisis de
Relaciones
Analítica
Avanzada
El enfoque híbrido combina
4 métodos de análisis para
analizar diferentes patrones
y proporcionar una vision
integral de la propensión al
fraude.
ENFOQUE ANALÍTICO
HÍBRIDO
TÉCNICA ANALÍTICAS PARA PATRONES CONOCIDOS
La técnica de Reglas de Negocios aplica reglas lógicas para
filtrar transacciones fraudulentas.
Ejemplos
Reglas de
Negocio
Detección
de
Anomalías
Análisis de
Relaciones
Analítica
Avanzada

Dos transacciones ocurren en
diferentes regiones en un período
corto de tiempo.

Un reclamo excede un monto
determinado y fue realizado
después de la medianoche
Incluye un conjunto de reglas aplicables a cada solución particular
ENFOQUE ANALÍTICO
HÍBRIDO
TÉCNICA ANALÍTICAS PARA PATRONES DESCONOCIDOS
La técnica de Detección de Anomalías se basa en métodos no
supervisados que examinan el comportamiento de transacciones,
cuentas y clientes para detectar los que salen de lo "normal".
Ejemplos
Reglas de
Negocio
Detección
de
Anomalías
Análisis de
Relaciones
Analítica
Avanzada

La cantidad de cuentas para un
mismo domicilio exceden lo
normal.

El monto de un reclamo en
moneda extranjera excede lo
normal.

Detección de valores extremos
anormales
Se utilizan regresiones, clustering, análisis de tendencias y de
grupos; univariadas y multivariadas.
ENFOQUE ANAÍTICO
HÍBRIDO
TÉCNICA ANALÍTICAS PARA PATRONES COMPLEJOS
La técnica de Analítica Avanzada se basa en métodos
supervisados que usan información histórica de fraudes conocidos
para identificar patrones sospechosos similares.
Ejemplos
Reglas de
Negocio
Análisis de
Relaciones
Detección
de
Anomalías
Analítica
Avanzada

Patrones de apertura y cierre de
cuentas.

Patrones de crecimiento de uso de
recursos.

Casos conocidos indicados por los
expertos para la generación de alertas.

Alertas generados por el sistema y
eliminados por los expertos para la
reducción de falsos positivos.
Se utilizan modelos predictivos paramétricos y no paramétricos
como redes neuronales, árboles de decisión y modelos lineales
generalizados.
ENFOQUE ANALÍTICO
HÍBRIDO
TÉCNICA ANALÍTICAS PARA PATRONES DE RELACIONES
La técnica de Análisis de Relaciones identifica asociaciones entre
entidades tales como cuentas, clientes, transacciones,
proveedores, edificios.
Ejemplos
Reglas de
Negocio
Detección
de
Anomalías
Análisis de
Relaciones
Analítica
Avanzada

Manipulación de identidades.

Compartición de teléfonos y
direcciones.

Transacciones a contrapartes
sospechosas.

Combinaciones de proveedores
en común.

Rastreador de movimientos de
fondos.
SAS FRAUD
CONJUNTO DE SOLUCIONES
FRAMEWORK
SAS FRAUD FRAMEWORK
SAS FRAUD FRAMEWORK FOR INSURANCE
SAS FRAUD FRAMEWORK FOR GOVERNMENT
SAS FRAUD FRAMEWORK FOR HEALTH-CARE
SAS FRAUD FRAMEWORK FOR BANKING
(Proximamente)
SAS ANTI-MONEY LAUNDERING
SFF: SOLUCIONES MODELOS Y PREGUNTAS CRÍTICAS
ESTADISTICAS Y DE
MINERIA DE DATOS
Modelos
Descriptivos
Predictivos
¿QUE NECESITAMOS?
PREGUNTA
DE NEGOCIO
Agrupamiento
Asociación
Clasificación
Regresión
DATOS
HISTÓRICOS
HERRAMIENTA
DE MODELADO
Árboles de
Decisión
Regresiones
Redes
Neuronales
¿CON QUE MÉTODOS CONTAMOS?
A
1A
SFF: SAS
MODELOS DE ALTA COMPLEJIDAD
ENTERPRISE MINER
Sample
Explore
Modify
Model
Assess
Caso Modelo Fraude
Alta Complejidad
Clustering + Impacto
+ Tiempo + Secuencia
SAS FRAUD
FRAMEWORK
SAS FRAUD FRAMEWORK
SAS
Data
Management
Server
SAS
Financial
Crimes
Monitor
SAS
Soluciones
Estadísticas
y de Minería
de Datos
SAS
Network &
Link Analytics
SAS
Enterprise
Case
Management
SAS
Enterprise
BI
Server
SFF: SOCIAL ESQUEMA GENERAL DE PANTALLA DE INVESTIGADOR
NETWORK ANALYSIS
ALERTAS
DETALLE
DE ALERTAS
DETALLE DE
ENTIDADES
DIAGRAMAS
GRÁFICOS
INFORMACION
RELACIONADA
ANALISIS DE
RELACIONES
(SNA)
INTERFAZ DE
MINI-DEMO - RESUMEN DE DATOS
INVESTIGADOR
Datos
Nombre de Tabla
Cuentas
FSC_ACCOUNT_DIM
Clientes
FSC_PARTY_DIM
Transacciones FSC_CAS_FLOW_FACT
Fecha
20070801
20070802
20070803
Total
# Alertas
170
145
198
513
Volumen
13,947
27,018
106,836
Alertas Generados
ATM/Phone Activity
Insurance Policy Closing
Matched Transactions
Registration/Status Irregularities
Structuring and Obfuscation
Unusual Aggregate Behavior
Unexpected Transactions
Wire Activity






















ATM Usage in Multiple States
High Velocity ATM Withdrawals (SAS10002)
Excessive ATM Withdrawal Denials (SAS10003)
Excessive Balance Inquiries (SAS10004)
Early Termination of a Front-Loaded Product
Early Termination of a Product Paid Out to a Third Party
Transactions in Similar Amounts
Recurring Tax ID Number
Recurring Phone Number
Transfer of Ownership or Beneficiary to Unrelated Third Party
Structured Withdrawals (SAS10014)
Structured Deposits Across Locations
Structured Premiums
Payments Made Using High-Risk Instruments
Deposits Exceeding Income
Deposit Amount in Excess of Expectations
Withdrawal Amount in Excess of Expectations
Account Activity in Excess of Expectations
High-Velocity Funds in Excess of Expectations
Large Incoming Wires
High Velocity Funds - Wires Out (SAS10022)
Increase in Wire Activity
SAS FRAUD
FRAMEWORK
SAS FRAUD FRAMEWORK
SAS
Data
Management
Server
SAS
Financial
Crimes
Monitor
SAS
Soluciones
Estadísticas
y de Minería
de Datos
SAS
Network &
Link Analytics
SAS
Enterprise
Case
Management
SAS
Enterprise
BI
Server
ENTERPRISE CASE SAS WORKFLOW STUDIO
MANAGEMENT CUSTOMIZACION DE FLUJOS DE TRABAJO
ENTERPRISE CASE SAS WORKFLOW STUDIO
MANAGEMENT CUSTOMIZACION DE FLUJOS DE TRABAJO
ENTERPRISE CASE SAS CUSTOM PAGE BUILDER (XML)
MANAGEMENT CUSTOMIZACION DE PANTALLAS DE USUARIO
QUEDAMOS A SU DISPOSICION PARA HACER
UNA PRESENTACION Y DEMO EN SU EMPRESA
CON MAYOR NIVEL DE DETALLE
EJEMPLOS DE PANTALLAS
Nueva Interfaz de
Admin. de Escenarios
…. el usuario crea y
administra los
escenarios mediante
una interfaz web de
diseño moderno.
Lista de Escenarios
Página de Inicio /
Tablero de Control
…. punto de entrada
estándar que otorga
una visión gráfica
integral que favorece
el rápido acceso a los
alertas prioritarios.
Home Page de Analistas e Investigadores
Nueva Interfaz de
Administrador de Alertas
…. nueva versión de
la interfaz de usuario
de SAS AML que
provee un entorno
eficiente y
configurable en forma
dinámica para su
adaptación a la
modalidad de trabajo
de cada usuario.
Pantalla de Alertas – Lista de Alertas
Nueva Interfaz de
de SAS AML que
provee un entorno
eficiente y
dinámica para su
adaptación a la
de cada usuario.
Pantalla de Alertas – Filtros y Acciones
Nueva Interfaz de
de SAS AML que
provee un entorno
eficiente y
dinámica para su
adaptación a la
de cada usuario.
Pantalla de Alertas – Alertas Agrupadas por Subject Id
Nueva Interfaz de
de SAS AML que
provee un entorno
eficiente y
dinámica para su
adaptación a la
de cada usuario.
Pantalla de Alertas – Detalle de un Alerta
Nueva Interfaz de
de SAS AML que
provee un entorno
eficiente y
dinámica para su
adaptación a la
de cada usuario.
Pantalla de Alertas – Historial de un Alerta
Nueva Interfaz de
…. visualización
gráfica, dinámica, en
múltiples niveles de
las relaciones entre
las entidades que
operan en el banco.
Pantalla de Análisis de Relaciones
Flujos de Trabajo
Automatizados
…. provee una traza
detallada de las
actividades
ejecutadas en el
análisis de cada caso.
Visualización del Estado de un Caso
Tablero de Control
Indicadores Gráficos Estándar de la Solución y
Propios para cada Cliente
MODELO DE DATOS
ESQUEMA GENERAL DE LA SOLUCION Y
MODELO DE DATOS
MODELO DE DATOS
CORE

Modelo de datos en
estrella (dimensional) que
contiene los datos de
origen (fuente)
MODELO DE DATOS
KNOWLEDGE CENTER

Modelo de datos entidad –
relación que almacena los
escenarios, sus
componentes y la
información para su
investigación.
MODELO DE DATOS
CARACTERÍSTICAS DE LA BASE DE DATOS CORE

De miles a millones de cuentas y partes intervinientes.

De decenas de miles a miles de millones de transacciones.

Almacena los cambios de información en el tiempo (p.ej. direcciones,
teléfonos y otros datos descriptivos de las partes).

Retiene la historia de las definiciones realizadas.


Por defecto 13 meses de creación y modificaciones a escenarios.
La performance de carga de información y ejecución de consultas es
crítica.
MODELO DE DATOS
CORE

Modelo en estrella.

La tabla de transacciones
(facts) contiene los
movimientos realizados.

EJEMPLO DE DEPOSITO DE $ 2.000
FSC_ACCOUNT_DIM
account_key: 1234
account_number: BD1222
account_name: John’s Checking
etc...
Las tablas de dimensiones
contienen cuentas,
clientes, lugares de
residencia (casas,
edificios) y demás
dimensiones necesarias
para el análisis.
FSC_COUNTRY_DIM
country_key: 840
country_code_2: US
country_code_3: USA
country_name: United States
FSC_CASH_FLOW_FACT
transaction_key: 111212113
------------------------------------account_key: 1234
date_key: 20041123
time_key: 123
transaction_type_key: 2026
transaction_status_key: 1
country_key: 840
branch_key: 34566
currency_amount: 2,000
currency_amount_in_txn_ccy: 2,000
currency_amount_in_account_ccy: 2,000
transaction_currency_key: 840
posted_date_key: 20041123
associate_key: 5434
executing_party_key: -1
FSC_TRANSACTION_STATUS_DIM
transaction_status_key: 1
status_desc: Success
status_reason_desc: N/A
FSC_BRANCH_DIM
branch_key: 34566
branch_number: WEST444
branch_name: Westbridge Branch
FSC_DATE_DIM
date_key: 20041123
calendar_date: 11/23/2004
FSC_TIME_DIM
time_key: 123
time_hhmmss: 040359
FSC_TRANSACTION_TYPE_DIM
transaction_type_key: 2026
funds_securities_code: F
transaction_cdi_code: C
primary_medium_desc: CHECK
secondary_medium_desc: N/A
mechanism_desc: TELLER
FSC_TRANSACTION_DIM
transaction_key: 111212113
transaction_reference_number:
TX23FD432232BBB
transaction_description: Check Deposit
MODELO DE DATOS
CORE

Modelo en estrella.

La tabla de transacciones
(facts) contiene los
movimientos realizados.

Las tablas de dimensiones
contienen cuentas,
residencia (casas,
edificios) y demás
para el análisis.
EJEMPLO DE TRANSFERENCIA INTERNACIONAL
MODELO DE DATOS
KNOWLEDGE CENTER

Modelo de relaciones entre
entidades.

Almacena los escenarios y
factores de riesgo que
definimos

Almacena las alertas y
clasificaciones de riesgos
generados.

Almacena la replica de los
datos vinculados a cada
alerta.
ALMACENA LOS ESCENARIOS QUE DEFINIMOS...
MODELO DE DATOS
KNOWLEDGE CENTER

Modelo de relaciones entre
entidades.

Almacena los escenarios y
factores de riesgo que
definimos

Almacena las alertas y
clasificaciones de riesgos
generados.

Almacena la replica de los
datos vinculados a cada
alerta.
LOS ALERTAS QUE SE GENERAN A PARTIR DE ESOS
ESCENARIOS...
MODELO DE DATOS
KNOWLEDGE CENTER

Cuando se crea un alerta
todas las transacciones
(facts) asociadas son
copiadas desde el Core
Data Model en la tabla de
transacciones replicadas
(Replicated Facts) del
Knowledge Center.

De este modo el sistema
retiene todos las
transacciones para poder
auditarlas, permitiendo la
depuración periódica de la
información más antigua
del Core Data Model.
Y UNA REPLICA DE TODAS LAS TRANSACCIONES
VINCULADAS A CADA ALERTA...
MODELO DE DATOS


CORE: Contiene las
transacciones,
operaciones, cuentas,
residencia (casas,
edificios) y demás
para el análisis.
KNOWLEDGE CENTER:
Contiene los escenarios y
factores de riesgo, los
alertas generados por los
escenarios y una réplica
de las transacciones
asociados a cada alerta.
RESUMIENDO...
CORE
KNOWLEDGE CENTER
Contiene datos fuente.
Contiene información
relevante para AML.
La solución los modifica
sólo excepcionalmente.
La solución los modifica
frecuentemente.
Almacena varios meses
de transacciones.
Almacena
indefinidamente la
réplica de transacciones
sospechosas.
ESCENARIOS
ESCENARIOS
PRINCIPALES TÉRMINOS

Escenario: Programa que representa una situación indicativa de
propensión al lavado de dinero. El escenario chequea la información
relacionada con el escenario. Si las condiciones del escenario
ocurrieron, genera un alerta.

Alerta: Aviso de una situación que puede ser indicativa de lavado de
dinero.

Escenario de Factor de Riesgo: Es un tipo de escenario que no
genera un alerta porque representa situaciones que si bien pueden ser
indicativas de lavado de dinero, su ocurrencia es también común en
transacciones lícitas. Eleva el score de riesgo de los alertas
relacionados.
1
120010010
Zhi Chen
2
120010180
Gloria Boring
3
120010773
Francois Soleil
4
120012274
Cassio M Marobella
5
120012869
Patricia F Williams
6
120013357
Ripley Anderson
7
120014083
Harry Wong
8
120015870
BUI Inc
Score de Riesgo
Afecta
Score de Riesgo
SAS10038
Periodo inactivo
Nombre
SAS10032
Nuevo cliente
Número de
Cliente
SAS10029
Activ.fuera de zona
BREVE EJEMPLO...
SAS10007
Depós.estructurado
ESCENARIOS
ESCENARIOS
ASUMAMOS QUE EJECUTAMOS 4 ESCENARIOS...
Severity
Scenario Name
Short Description
Description
Escenario
SAS10007
Estructura de Depósitos en
Efectivo
El monto total de depósitos
en efectivo de un cliente
resulta consistentemente
sobre el umbral diario
establecido (Currency
Transaction Report
threshold).
Escenario de
Factor de
Riesgo
SAS10029
Actividad Fuera de Zona
Una cuenta tiene un
volumen significativo de
actividad fuera de su zona
habitual y/o de residencia.
Escenario de
Factor de
Riesgo
SAS10032
Cliente Nuevo
Un cliente ingresó al banco
hace poco tiempo.
Escenario de
Factor de
Riesgo
SAS10038
Período de Inactividad
Una cuenta tiene un
extendido período de
inactividad.
1
120010010
Zhi Chen
2
120010180
Gloria Boring
3
120010773
Francois Soleil
4
120012274
Cassio M Marobella
5
120012869
Patricia F Williams
6
120013357
Ripley Anderson
7
120014083
Harry Wong
8
120015870
BUI Inc
Score de Riesgo
Afecta
Score de Riesgo
SAS10038
Periodo inactivo
Nombre
SAS10032
Nuevo cliente
Número de
Cliente
SAS10029
Activ.fuera de zona
VEREMOS COMO IMPACTAN EN ESTOS 8 CLIENTES...
SAS10007
Estructura dep.efect.
ESCENARIOS
Score de Riesgo
Nuevo
700
Patricia F Williams
X
Nuevo
700
120013357
Ripley Anderson
X
Nuevo
700
7
120014083
Harry Wong
8
120015870
BUI Inc
Nombre
1
120010010
Zhi Chen
2
120010180
Gloria Boring
3
120010773
Francois Soleil
4
120012274
Cassio M Marobella
5
120012869
6
SAS10038
Periodo inactivo
X
Número de
Cliente
SAS10032
Nuevo cliente
Afecta
Score de Riesgo
SAS10029
Activ.fuera de zona
3 CLIENTES APAREAN CON EL ESCENARIO SAS10007,
GENERÁNDOSE UN ALERTA PARA CADA UNO DE ELLOS...
SAS10007
ESCENARIOS
Afecta
Score de Riesgo
Score de Riesgo
X
X
▲
725
X
No
SAS10038
Periodo inactivo
Nombre
SAS10032
Nuevo cliente
Número de
Cliente
SAS10029
Activ.fuera de zona
3 CLIENTES APAREAN EL ESCENARIO DE FACTOR DE
RIESGO SAS10029. NO SE GENERA NINGÚN ALERTA PERO
AFECTA EL SCORE DE RIESGO DE LA FILA 2...
SAS10007
ESCENARIOS
1
120010010
Zhi Chen
2
120010180
Gloria Boring
3
120010773
Francois Soleil
4
120012274
Cassio M Marobella
5
120012869
Patricia F Williams
X
700
6
120013357
Ripley Anderson
X
700
7
120014083
Harry Wong
8
120015870
BUI Inc
X
No
Score de Riesgo
Afecta
Score de Riesgo
1
120010010
Zhi Chen
2
120010180
Gloria Boring
3
120010773
Francois Soleil
4
120012274
Cassio M Marobella
5
120012869
Patricia F Williams
X
700
6
120013357
Ripley Anderson
X
700
7
120014083
Harry Wong
8
120015870
BUI Inc
X
SAS10038
Periodo inactivo
Nombre
SAS10032
Nuevo cliente
Número de
Cliente
SAS10029
Activ.fuera de zona
RIESGO SAS10032. NO SE GENERA NINGÚN ALERTA NI SE
AFECTA NINGÚN SCORE DE RIESGO...
SAS10007
ESCENARIOS
X
No
X
725
X
X
X
No
X
No
Zhi Chen
2
120010180
Gloria Boring
3
120010773
Francois Soleil
4
120012274
Cassio M Marobella
5
120012869
Patricia F Williams
X
6
120013357
Ripley Anderson
X
7
120014083
Harry Wong
8
120015870
BUI Inc
Score de Riesgo
120010010
Afecta
Score de Riesgo
1
SAS10038
Periodo inactivo
Nombre
SAS10032
Nuevo cliente
Número de
Cliente
SAS10029
Activ.fuera de zona
RIESGO SAS10038. NO SE GENERA NINGÚN ALERTA PERO
AFECTA EL SCORE DE RIESGO DE LAS FILAS 2 Y 6...
SAS10007
ESCENARIOS
▲
745
X
X
X
X
X
700
X
X
X
X
▲
720
ESCENARIOS
PRINCIPALES TÉRMINOS

Existen muchos factores que no están considerados en el ejemplo y que
influyen fuertemente en el proceso de generación de alertas.

Algunos ejemplos son:

Otros alertas generados y su tiempo de vida;

Reglas de supresión;

Pesos bayesianos;

Probabilidad de ejecución.
ESCENARIOS
ESQUEMA DE FUNCIONAMIENTO
CLIENTES
TRANSACCIONES
PERFILES
RELACIONES
KYC
FILTTROS
CUENTAS
Alerta score bajo
Alerta score medio
Posible alerta
Alerta score alto
NIVEL DE RIESGO
= Apareo de escenarios y factores de riesgo
ESCENARIOS
ESCENARIOS PROVISTOS
SEGÚN DIFERENTES CLASIFICACIONES
Por Severidad
Por Categoría
Actividad en teléfonos y ATMs
Actividad en efectivo
Cuentas inactivas
Seguros
Actividad en préstamos
Apareo de transacciones
Irregularidad de estado
Aparición en lista de riesgos
Estructura y ofuscación
Transacciones inusuales
Comportamiento agregado inusual
Entidades en Watch lists
Actividad en transferencias
Manual
Otras
6
6
2
4
3
1
4
1
5
7
12
9
9
1
2
Escenario
Factores de riesgo
49
23
Por Tipo de Entidad
Cuentas
Clientes
Transacciones
Otras
35
34
2
1
Por Frecuencia de Ejecución
Diaria
Semanal
Mensual
No aplicable
54
4
13
1
ESCENARIOS
LISTA PARCIAL DE ESCENARIOS PROVISTOS
SAS00000 - Manually Created Alert
SAS10001 - ATM Usage in Multiple States
SAS10002 - High Velocity ATM Withdrawals
SAS10003 - Excessive ATM Withdrawal Denials
SAS10004 - Excessive Balance Inquiries
SAS10005 - Large Cash Deposits
SAS10006 - Large Total Cash Transactions
SAS10007 - Structured Cash Deposits
SAS10008 - Activity in an Inactive Account
SAS10009 - Transactions in Similar Amounts
SAS10011 - Recurring Tax ID Number
SAS10012 - Recurring Phone Number
SAS10014 - Structured Withdrawals
SAS10015 - Multiple Location Usage
SAS10016 - Structured Deposits Across Locations
SAS10017 - Deposits Exceeding Income
SAS10018 - High-Risk Countries
SAS10019 - Bidirectional Wires
SAS10020 - Large Incoming Wires
SAS10021 - High Velocity Funds - Wires In
SAS10022 - High Velocity Funds - Wires Out
SAS10023 - Low Total Assets
SAS10024 - High Velocity Funds
SAS10025 - Transactions in Round Amounts
SAS10026 - ATM Deposits at Multiple Locations
SAS10027 - ATM Withdrawals and Inquiries at Multiple Locations
SAS10028 - Multiple Branch Usage
SAS10029 - Out-of-State Activity
SAS10030 - Activity Dominated by Wires
SAS10031 - Foreign Wire Activity
SAS10032 - New Customer
SAS10033 - Politically Exposed Person (PEP) Indicator
SAS10034 - Recent Suspicious Activity Report (SAR) Activity
SAS10035 - Recent Currency Transaction Report (CTR) Activity
SAS10036 - High Account Turnover
SAS10038 - Period of Dormancy
SAS10039 - Large Wires Relative to Net Worth
SAS10040 - High-Risk Deposits
SAS10041 - High-Risk Withdrawals
SAS10049 - Payments Using Third Party Check
SAS10050 - Payments Made Using High-Risk Instruments
SAS10052 - Loan Disbursement From a Recently Opened Single-Premium Policy
SAS10056 - Structured Premiums
SAS10059 - Early Termination of a Front-Loaded Product
SAS10060 - Early Termination of an Insurance Product Purchased with High-Risk
Instruments
SAS10061 - Early Termination of a Product Paid Out to a Third Party
SAS10064 - Transfer of Ownership or Beneficiary to Unrelated Third Party
SAS10074 - Excessive Transfer Activity with Unrelated Parties
SAS10076 - Increase in Wire Activity
SAS10078 - Transactions Involving Countries on a Watch List
SAS10079 - Politically Exposed Person (PEP) on Watch List
SAS10080 - Non-Terrorist on Watch List
SAS10081 - High-Risk Currencies
ESCENARIOS

EJEMPLO CATEGORÍA TRANSACCIONES INUSUALES
Perfilado de transacciones respecto al comportamiento histórico:

Incluye "perfil de comportamiento dinámico, también conocido
como firma.

Detecta desviaciones respecto a normales determinados.

Define máximos para umbrales y "expectativas".

Actualiza los perfiles regularmente, típicamente en frecuencia
mensual.
ESCENARIOS


EJEMPLO CATEGORÍA TRANSACCIONES INUSUALES
También conocidos como...

Escenarios de comportamientos inusuales,

Escenarios dinámicos o

Escenario de perfiles.
Se genera un alerta cuando los valores obtenidos son mucho mayores
que los esperados...

SAS10086 – Monto depositado en exceso (mensual)

SAS10087 – Monto retirado en exceso (mensual)

SAS10088 – Cantidad de depósitos en exceso (mensual)

SAS10089 – Cantidad de retiros en exceso (mensual)

SAS10090 – Actividad de la cuenta en exceso (mensual)

SAS10091 – Velocidad de rotación de fondos en exceso (diario)
PROCESOS COMPLEMENTARIOS
VECINOS CERCANOS (NEAR NEIGHBORS)
RASTREADOR DE FONDOS (FUNDS TRACKER)
CLASIFICACIÓN DE RIESGOS
VECINOS CERCANOS
(NEAR NEIGHBOR)

DESCRIPCION DEL PROCESO
Proceso analítico para determinar comportamiento similares a los de las
alertas actuales.

Utiliza suma de cuadrados para determinar la distancia. A menor
distancia, mayor similitud de comportamiento.

Se requieren 6 meses de historia de transacciones.

Los vecinos cercanos son determinados estrictamente por la
actividad transaccional, no por las características de clientes y
cuentas.
VECINOS CERCANOS
(NEAR NEIGHBOR)
PANTALLA EJEMPLO
Se seleccionan alertas.
La funcionalidad Vecino
Cercano muestra
información general de la
cuenta objetivo, que es
aquella alcanzada por los
alertas seleccionados
La distancia expresa la
"similitud" de cada vecino
respecto a la cuenta
objetivo.
Los vecinos son
mostrados según su
ranking de similitud
A mayor distancia, menor
similitud. Si la distancia es
0 el vecino es igual a la
cuenta objetivo.
RASTREADOR
DE FONDOS
(FUNDS TRACKER)

Representación gráfica del movimiento de fondos dentro y hacia el
exterior de la institución.

Construye redes de actividad a partir de las transacciones
individuales.

Pone en evidencia relaciones entre cuentas, que quedaban ocultas
sin este análisis.

Requiere como mínimo dos meses de transferencias internas y/o
externas.
RASTREADOR
DE FONDOS
(FUNDS TRACKER)
PANTALLA EJEMPLO
CLASIFICACION
DE RIESGOS

Proceso analítico para asignar clientes a diferentes categorías de riesgo
según sus atributos y comportamiento.

Permite el cumplimiento regulatorio satisfaciendo los "due diligence" de
clientes requeridos por diferentes regulaciones y el principio "Conozca a
su Cliente".

Ejecución mensual del proceso de clasificación de riesgos, que analiza
la información de clientes respecto a los clasificadores de riesgos.

Ejecución frecuente del proceso de evaluación de riesgos, que envía las
evaluaciones de clientes a los investigadores en función del perfil de
riesgos determinado por el proceso de clasificación.
CLASIFICACION
DE RIESGOS
DESCRIPCION DE CLASIFICADORES DE RIESGO

Identificadores de clientes y cuentas: Comparan los identificadores de los
clientes y/o cuentas objetivo con listas de clientes y/o cuentas. Estas listas son
administradas por la interfaz de investigador de AML.

Información de cuentas y clientes: Estos clasificadores de riesgos utilizan
listas de atributos potencialmente predictores de clientes y cuentas, tales como
tipo de actividad o códigos postales. Estas listas son administradas por la interfaz
de investigador de AML.

Perfil de clientes: Estos clasificadores analizan los perfiles de clientes
comparandolos con umbrales pre-establecidos. Por ejemplo: la cantidad y monto
de operaciones en efectivo y de transferencias de fondos.

Indicadores de clientes y cuentas: Estos clasificadores analizan indicadores
generalmente binarios (Si o No) establecidos en cualquiera de los procesos de
análisis (Generación de alertas, Análisis de escenarios y factores de riesgo, etc).
CLASIFICACION
DE RIESGOS

Identificadores de clientes y cuentas:


Productos/SASRC10205 – Servicios Utilizados (No Cuentas de Depósitos)
Perfil de clientes:


Clientes/SASRC10001 – Personas Internas Políticamente Expuestas
Información de cuentas y clientes:


EJEMPLOS DE CLASIFICADORES DE RIESGO
Servicios/SASRC10401 – Transferencias
Indicadores de clientes y cuentas:

Clientes/SASRC10604 – Personas Políticamente Expuestas
GRACIAS POR SU INTERÉS EN SAS
ANEXO - DETALLE TÉCNICO
PROCESO DE GENERACIÓN DE ALERTAS
PROCESO DE
GENERACION DE GENERACIÓN DE CÓDIGO
ALERTAS (AGP)
Para Scenarios y Headers escritos utilizando SAS Data Step, en la
generación de código...

El Header representa la sentencia Data, carga de variables e
inicialización (First.) y finalización (Last.) del módulo.

El Scenario contiene la lógica del Data Step.

Múltiples scenarios pueden ser incluídos en el mismo header (o sea
utilizando el mismo Data Step).
PROCESO DE
GENERACION DE RELACION DE INPUT, HEADERS Y SCENARIOS
ALERTAS (AGP)
Scenario
Header
PROCESO DE
GENERACION DE EJEMPLO DE CODIGO GENERADO
ALERTAS (AGP)
data alert_tablename (keep=list of vars);
Declare Arrays
array transaction_type {10000} $1 _temporary_;
Load Transactions
set scenario_prep_file end=eof;
by account_number;
Begin FIRST. LAST. Processing
if first.account_number then
n=0;
Load Arrays
n+1
if n<=&array_dimension then do;
transaction_type{n} = transaction_indicator;
end;
if ^last.account_number then
return;
Scenario Processing
scenario_id = 5;
%SAS10005 (
p10005_account_type_desc='P' ,
p10005_cdi_indicator='C' ,
p10005_ctr_amount=10000 ,
p10005_currency_acct='N' ,
p10005_pri_medium_desc='CASH' ,
p10005_status_desc='SUCCESS'
);
run;
PROCESO DE
LOGICA DEL ESCENARIO SAS10005
GENERACION DE
DEPÓSITOS EN EFECTIVO DE MONTO ELEVADO
ALERTAS (AGP)
PROCESO DE
GENERACION DE MODULARIZACIÓN DE COMPONENTES
ALERTAS (AGP)

Implementado utilizando macros SAS.

Proceso de errores estándar (Global Return Codes).

Lógica estándar para éxito o falla de ejecución (AMLSUCCESS Y
AMLFAILURE)

Algunos módulos contienen una interfaz pre y post ejecución del
mismo.

Las interfaces pre y post módulos son denominadas con prefijo PRE y
POST. Por ejemplo el módulo COMBINE_ALERTS contiene interfaces
PRECOMBINE_ALERTS y POSTCOMBINE_ALERTS.
PROCESO DE
GENERACION DE DIAGRAMA DE EJECUCION
ALERTAS (AGP)
Scenario Code
Generation
Scenario
Execution
Funds Tracker
Prep
Combine Alerts
Funds Tracker
Risk Ranking
Suppression
Load Networks
Get Entity Info
Near Neighbor
Prep
Near Neighbor
Routing
Load Alerts
Replicate
Transactions
Update Alert
History
Replicate Profile
Send Alert
Reminder
Load Risk Factors
Notify Manager
PROCESO DE
GENERACION DE IMPLEMENTACION DE UN NUEVO ESCENARIO PROPIO
ALERTAS (AGP)
MODELO DE DETECCIÓN
DE COMPORTAMIENTOS BANCARIOS ATÍPICOS
DETECCION DE
COMPORTAMIENTOS FLUJO DE PROCESOS
ATÍPICOS
El proceso de ejecución del modelo consta de los siguientes pasos:
1. Proceso ETL para poblado de la ABT
2. Segmentación estructural
3. Clustering
4. Cálculo de distancias y score de anomalía
5. Reporting de los casos de comportamiento atípico
DETECCION DE
COMPORTAMIENTOS 1. PROCESO DE ETL PARA CONSTRUCCION DE LA ABT
ATÍPICOS
Incluye todos los campos relevantes en cuanto a:

Características del cliente (personas físicas y jurídicas)

Detalle de su operatoria histórica y reciente (montos y cantidades de
transacciones por tipo)
Se alimenta con información proveniente de los datos demográficos y
transaccionales del cliente, mediante un proceso de ETL (extracción,
transformación y carga de datos) diseñado por SAS, adaptado a la base
transaccional de cada Entidad.
DETECCION DE
COMPORTAMIENTOS 1. PROCESO DE ETL PARA CONSTRUCCION DE LA ABT
ATÍPICOS

4 tablas principales: Datos recientes e históricos de personas físicas y
jurídicas.

4 atributos principales: Transacciones y Montos operados por cada
concepto, Días y Sucursales en las que operó.

43 conceptos considerados, entre otros:
Cobro de exportaciones; Compra de títulos; Depósitos de efectivo y cheques en
cajas de ahorro y ctas.ctes; Giros y transferencias recibidos y enviados en el país
y en el exterior; Pagos de cheques por caja y por cámara; Pago de importaciones;
Pases activos moneda extranjera, títulos y valores; Retiros de efectivo por ATM.
DETECCION DE
1. PROCESO DE ETL PARA CONSTRUCCION DE LA ABT
COMPORTAMIENTOS
VARIABLES CONSIDERADAS
ATÍPICOS
VARIABLE
MONTO_DIA_Cxx
Q_DIAS_Cxx
Q_SUC_Cxx
Q_TRX_DIA_Cxx
MONTO_DIA_Cxx_std
Q_DIAS_Cxx_std
Q_SUC_Cxx_std
Q_TRX_DIA_Cxx_std
MONTO_DIA_Cxx
Q_DIAS_Cxx
Q_SUC_Cxx
Q_TRX_DIA_Cxx
MONTO_DIA_Cxx_std
Q_DIAS_Cxx_std
Q_SUC_Cxx_std
Q_TRX_DIA_Cxx_std
DESCRIPCIÓN
Suma de los promedios
diarios, por persona y
mes
Promedios diarios
estandarizados
Promedio diario por
persona
Promedio diario
estandarizado por
persona
VARIABLE
DESCRIPCION
ALERTAS_MES
Cantidad de alertas
ANT_CLIENTE
Antigüedad del cliente
BANCA_ID
CANAL_ATM
CANAL_EBANK
Indica transacciones por
CANAL_IVR
ese canal
CANAL_OTROS
CANAL_TAS
CANT_MESES
CANT_CLIENTES
COMPRA_LIMITE_std
DEUDA_LIMITE_std
Límites estandarizados
PAGO_SALDO_std
SALDO_LIMITE_std
INDICADOR_PEP
Variables booleanas
INDICADOR_STAFF_BANCO
DETECCION DE
COMPORTAMIENTOS 2. SEGMENTACION ESTRUCTURAL
ATÍPICOS
En este paso se conforman diversos grupos de clientes como primer fase de
segmentación:

PERSONAS FISICAS


PERSONAS JURIDICAS



Banca personas
Banca pymes
Banca empresas
Banca pymes








Servicios
Sector primario
Transporte
Empresas monopersonales
Industria manufacturera
Construcción
Comercio
Otros
La lógica en este paso es separar comportamientos estructuralmente
diferentes como el de una persona física versus el de una empresa, o el de
una empresa comercial de la de una agropecuaria.
DETECCION DE
2. SEGMENTACION ESTRUCTURAL
COMPORTAMIENTOS
PERFILADO PERSONAS JURÍDICAS - COMERCIOS
ATÍPICOS

Cluster 1



Cluster 2:



Bajos montos en promedio.
Uso intenso de cuenta corriente.
Cluster 3:





Alta cantidad de días, transacciones y sucursales.
Alta cantidad de días en que opera C2 (Depósito de
cheques en Cta Cte).
Poco uso de cuenta corriente.
Alto uso de giros y transacciones.
Pocos días operando C2 (Depósito de cheques en
Cta Cte).
Baja cantidad de sucursales.
Altos montos en C101 (G. y T. emit. del país).
DETECCION DE
COMPORTAMIENTOS 3. CLUSTERING
ATÍPICOS

Una vez conformados los segmentos estructurales en el paso
anterior, se aplica una sub-segmentación dentro de cada uno de
ellos, aplicando técnicas clustering de data mining.

El objetivo es generar grupos de pares homogéneos a nivel
intra-grupo, en el sentido de agrupar clientes de igual porte
económico, tamaño, y estilo de operaciones.

Los comportamientos medios de estos sub-segmentos,
denominados centroides, se utilizan como puntos de referencia
contra los cuales luego se realizan las comparaciones del
comportamiento de cada cliente.
DETECCION DE
COMPORTAMIENTOS 3. CLUSTERING
ATÍPICOS
TABLA
Aml_main_pj/pf_rec
FUNCION
Para decidir a qué segmento corresponde un
cliente, consideramos los datos de su
operatoria reciente, que se encuentran en esta
tabla
Centroides
Este vector contiene la información
fundamental sobre los segmentos, contra el
que se medirá la diferencia entre el
comportamiento de la persona y el del
segmento.
Medias
Para estandarizar los datos utilizados.
Desvíos
Para estandarizar los datos utilizados.
x: valor de la variable que se quiere
estandarizar.
m: media de la variable considerada.
s: desvío estándar de la variable considerada.
DETECCION DE
COMPORTAMIENTOS 4. CALCULO DE DISTANCIA Y SCORE DE ANOMALIAS
ATÍPICOS

Para cada cliente bancario, se calculan las dos «distancias»
correspondientes a los dos sub-scores de anomalías.

Utiliza la medida de distancia multidimensional de Mahalanobis.

Esa medida de distancia, a diferencia de la distancia euclídea,
contempla la correlación existente entre las diversas
dimensiones que se computan (en este caso, las dimensiones
consisten en conceptos de operatoria bancaria ej. depósitos,
extracciones, pagos, etc.)
Distancia Euclídea bidim.:
Distancia de Mahalanobis:
DETECCION DE
ATÍPICOS

Se calcula la medida de la distancia total y la distancia exhibida en cada
uno de los conceptos de operatoria. Por esto se crea una tabla
(D_XXX_XXXX) en la que se guardan tanto la distancia como cada uno de
los sumandos que constituyen la distancia al cuadrado:
d(p,q) 2 = (p1 − q1)2 + (p2 − q2)2 + ... + (pi − qi)2 + ... + (pn − qn)2.

Las distancias obtenidas se estandarizan para que sea posible su
comparación según la fórmula mencionada anteriormente.

Finalmente se transforma la distancia estandarizada en una magnitud que
sea positiva y de rango amplio para facilitar la lectura. La transformación
elegida es una transformación logística, que transforma las distancias
estandarizadas en un número entre cero y mil.
DETECCION DE
ATÍPICOS

Se repite un procedimiento similar de distancia respecto a los valores
históricos de las mismas variables del propio cliente.

Finalmente se establecen los scores de anomalía respecto a su segmento y
respecto a su historia según la sgte. tabla de valoración:
SCORE
GRADO DE ANOMALIA
Hasta 550
Sin señales de anomalía
550 - 700
Escasa evidencia de anomalía
700 - 850
Evidencia de anomalías leves
850 – 950
Evidencia de anomalías medias
Mayor a 950
Importantes señales de anomalía
DETECCION DE
COMPORTAMIENTOS 5. REPORTING
ATÍPICOS

El resultado final del sistema es el score de anomalía para cada caso,
permitiendo ordenar a los clientes de mayor a menor índice de anomalía.
De este modo focalizaremos la investigación en los casos con mayor score.
ID_Cliente
ABC001
JXZ024
WQA781
…
Score de anomalía
902
894
859
…
DETECCION DE
COMPORTAMIENTOS 5. REPORTING
ATÍPICOS

A su vez, para cada caso, se puede obtener un reporte individual de ayuda
para el analista, que muestra el ranking de operatorias con mayor
contribución al score de anomalía, lo que permite orientar la investigación.
MODELO DE REDUCCIÓN DE
ALERTAS FALSOS POSITIVOS
(COMPLIANCE ANALYTICS)
REDUCCIÓN DE
ALERTAS DESCRIPCION DE FUNCIONALIDAD
FALSOS POSITIVOS

Compliance Analytics es un proceso utilizado para suprimir en forma
automática alertas cuyo perfil sea similar al perfil de los alertas
suprimidos históricamente.

Compliance Analytics utiliza modelos para crear Códigos de Score
(también llamados Clasificadores) que califican los alertas. Los
Clasificadores proporcionan la probabilidad (porcentaje) de que un
alerta sea verdadero o un falso positivo, basándose en la firma
(signature) del alerta.

La probabilidad es convertida a un score que se compara con criterios
definidos por el cliente para marcar los alertas como suprimibles.

Se requiere como mínimo 6 meses de datos para la ejecución de este
modelo.
REDUCCIÓN DE
ALERTAS ¿QUE ES UNA FIRMA DE ALERTA? (ALERT SIGNATURE)
FALSOS POSITIVOS

Cada alerta y su conjunto de variables asociadas es denominado una
Firma de Alerta (Alert Signature).

Los alertas históricos, su destino final, perfil de la cuenta y/o del
clientes y demás información relacionada es parte de su "firma"

Cada observación del dataset es referida como una "firma".



Toma en cuenta más de 100 tipos diferentes de transacciones y variables.
Mayor poder predictivo que el perfilado batch tradicional.
Del mismo modo se determina la firma de cada cuenta y de cada
contraparte. Estas firmas de cuenta y contraparte se agregan a la firma
de los alertas como variables del modelo.
Cuenta 1
Cuenta 2
…..
REDUCCIÓN DE
ALERTAS ¿QUE ES UN MODELO?
FALSOS POSITIVOS

¿Qué es un modelo?



Herramienta analítica que "entrenamos" para que
aprenda de los alertas historicos y cual fue su destino
final.
¿Cuáles son los tipos de modelos disponibles?.

Árboles de decisión.

Regresiones.

Redes neuronales.

Varios más...
¿Cómo seleccionamos el modelo más apropiado?.

Facilidad de uso.

Experiencia de resultados obtenidos en su utilización.

Familiaridad de la organización.
REDUCCIÓN DE
ALERTAS ¿QUE ES UN CLASIFICADOR?
FALSOS POSITIVOS
Código de Score generado por SAS Enterprise Miner
REDUCCIÓN DE
ALERTAS ¿QUE HACE SAS ENTERPRISE MINER?
FALSOS POSITIVOS

Para cada objetivo planteado, crea múltiples
modelos utilizando diferentes técnicas.

Compara el poder predictivo de los modelos
generados.

Hace recomendaciones según la performance
del modelo.

Ver documento "Getting Started with SAS
Enterprise Miner" o asistir a algunos de los
workshops ofrecidos por SAS Argentina.
REDUCCIÓN DE
ALERTAS PROCESO DE MODELADO
FALSOS POSITIVOS
Create
Model(s)
AML CORE
AML KC
SAS®
Enterprise Miner
Regression
Historical
Alert Extraction
with Signature
Historical Alerts
w/ Signature
Decision
Tree
Neural
Network
Create
Classifier(s)
Classifier
A
Classifier
B
Classifier
C
aml_ca_modeling.sas – six months | modeling_event_descriptions.csv |
aml_ca_account_signature.sas | aml_ca_party_signature.sas | aml_ca_modeling.sas |
aml_ca_sum_party_trans.sas | aml_ca_sum_party_trans.sas
REDUCCIÓN DE
ALERTAS PROCESO DE SCORING Y SUPRESION DE ALERTAS
FALSOS POSITIVOS
AML CORE
AML KC
Extract Today’s
Alerts with
Signature
Today’s Alerts
with Signature
Classifier Classifier Classifier
A
B
C
Risk Scored
Alerts
Update alert suppression
and insert new comments
Business
Rule
Pass-Thru
Alerts for
Suppression
Classifiers_scenario_account.csv | classifiers_scenario_party.csv |
business rules – aml_ca_execute_classifier.sas
False Positive
Pass-Thru
Risk Score
Suppression
REDUCCIÓN DE EN RESUMEN EL PROCESO DE REDUCCIÓN DE FALSOS
ALERTAS POSITIVOS (COMPLIANCE ANALYTICS) EJECUTA LAS
FALSOS POSITIVOS SGTES. FUNCIONES

Crear modelos y firma de alertas diarias.

Crear clasificadores del modelo de clasificación de firmas de alertas.

Ejecutar clasificadores contra los alertas generados por el proceso diario de
clasificación de alertas.

Suprimir en forma automática los alertas con bajo score. Permitir el paso de
algunos alertas suprimibles basandose en reglas para su re-inclusión.

Pasar algunos alertas suprimibles que serán utilizados como pilotos para
verificar la continuidad de la efectividad del modelo.

Emisión de reportes.
RESUMEN DE DATOS DE LA DEMOSTRACION
DEMOSTRACION
RESUMEN DE DATOS DE LA DEMO
SAS AML
Datos
Nombre de Tabla
Cuentas
FSC_ACCOUNT_DIM
Clientes
FSC_PARTY_DIM
Transacciones FSC_CAS_FLOW_FACT
Fecha
20070801
20070802
20070803
Total
# Alertas
170
145
198
513
Volumen
13,947
27,018
106,836
Alertas Generados
ATM/Phone Activity
Insurance Policy Closing
Matched Transactions
Registration/Status Irregularities
Structuring and Obfuscation
Unusual Aggregate Behavior
Unexpected Transactions
Wire Activity






















ATM Usage in Multiple States
High Velocity ATM Withdrawals (SAS10002)
Excessive ATM Withdrawal Denials (SAS10003)
Excessive Balance Inquiries (SAS10004)
Early Termination of a Front-Loaded Product
Early Termination of a Product Paid Out to a Third Party
Transactions in Similar Amounts
Recurring Tax ID Number
Recurring Phone Number
Transfer of Ownership or Beneficiary to Unrelated Third Party
Structured Withdrawals (SAS10014)
Structured Deposits Across Locations
Structured Premiums
Payments Made Using High-Risk Instruments
Deposits Exceeding Income
Deposit Amount in Excess of Expectations
Withdrawal Amount in Excess of Expectations
Account Activity in Excess of Expectations
High-Velocity Funds in Excess of Expectations
Large Incoming Wires
High Velocity Funds - Wires Out (SAS10022)
Increase in Wire Activity

Delitos Financieros

Transcripción

Documentos relacionados

www.ivanbohman.com.ec 203 AIR CENTER Compresores

hotel quinta avenida - cacenor sas

HOTEL BOUTIQUE LA FONT