אם מערכות ניטור מבוססות-חוקים מייצרות כ-95% התראות כוזבות, כיצד ניתן להבטיח ציות אפקטיבי ועקבי להוראות איסור הלבנת הון ומניעת מימון טרור?
רקע
הצורך של גופים פיננסיים במערכות ניטור פעילות בלתי-רגילה לעניין איסור הלבנת הון ומניעת מימון טרור ("AML/CFT") בקרב לקוחותיהם, הוא תולדה של שתי תמורות משמעותיות שהתרחשו בעשור הראשון של שנות האלפיים.
התמורה הראשונה שהתרחשה הייתה התעוררות רגולטורית בתחום ה-AML/CFT אשר החלה זמן קצר לאחר אירועי 9/11 שפקדו את ארה"ב בשנת 2001. לשם המחשה, לפני אירועי הטרור של 9/11, אגף ציות AML בבנק בינ"ל טיפוסי הכיל לא יותר מ 10-15 עובדים. עם זאת, אירועי 9/11 היוו קטליזטור משמעותי (אם לא המשמעותי ביותר) להגברת האסדרה והאכיפה הבינ"ל בתחום ה-AML/CFT, הן בעולם[1] והן בישראל[2]. ואכן, כמעט עשרים שנים לאחר מכן, העלויות בגין תפעול אגף ציות בבנקים בינ"ל בינוניים עד גדולים נאמדות כ -10%-15% מהתקציב השנתי הכולל של הארגון.
התמורה השנייה שחלה בערך באותה התקופה כאמור הייתה צמיחה טכנולוגית, ובפרט, צמיחה בתחומי התוכנה והאינטרנט (בניגוד לתחום החומרה, אשר צמח בקצב ניכר בשנות ה-90).
לאור העובדה ששתי התמורות כאמור התרחשו בערך באותה תקופה, לא עבר זמן רב עד שרשויות מוסמכות ומחוקקים ביקשו להרחיב את מתווה ההנחיות הנדרשות ע"פ הצווים והחקיקה דאז (אשר הוגבלו באותה תקופה לניהול סיכונים בעיקר ע"י תהליכי זיהוי ואימות זהות הלקוח ע"י עובדי הבנק), מתוך התפיסה כי המגזר הפיננסי יכול, ואף צריך, לבחון את האימוץ של יישומי תוכנה קיימים בשוק לשם זיהוי פעולות בחשבון באופן שוטף, ולהחליט האם הן מחייבות דיווח לרשות המוסמכת על-סמך מאפייני דמיון לדפוסי הלבנת הון / מימון טרור שהיו ידועים באותה תקופה. ואכן, גם התמורה הטכנולוגית הטביעה את חותמה, ומערכות הניטור שפותחו בעשור האחרון הפכו לכלי מרכזי בתוכניות ציות AML/CFT של תאגידים בנקאיים בפרט וגופים פיננסיים בכלל.
מערכות ניטור מבוססות חוקים בתחום ה-AML/CFT – אליה וקוץ בה
כיום, עיקר המערכות המשמשות לשם ניטור פעילות בלתי-רגילה הן מערכות מבוססות-חוקים – קרי, מערכות המייצרות התראה בגין פעולה בחשבון על סמך תמהיל של תבחיני פעילות אופייניים לדפוסי הלבנת הון ומימון טרור נפוצים, כגון פעולות בסכום גבוה, פיצולים[3], תנועות סיבוביות, פעילות מול מקלטי מס, פעולות ללא הגיון כלכלי, שימוש בהסדרים משפטיים להסתרת בעלות, ועוד.
מצד אחד, מערכות אלה מאפשרות ניתוח שוטף של מאסה גדולה מאוד של פעילויות וזיהוי של אלו הנחזות כחשודות תוך זמן קצר מאוד. כמו כן, מערכות מבוססות חוקים הן קלות להבנה וניתן להתאים את הפונקציונליות שלהן לציפיות הרגולציה ושינויים בדפוסי הלבנת הון ומימון טרור נפוצים די בקלות. הנפוצות בשוק היו, ונשארו, עם זאת, ישנו חיסרון אחד מרכזי במערכת ניטור מבוססת חוקים אשר מעפיל במקרים רבים על חלק נרחב מיתרונותיה, והוא שיעור גבוה של התראות כוזבות[4].
על-פי נתונים של גופי מחקר בינ"ל שפורסמו בשנתיים האחרונות, עולה כי ממוצע ההתראות הכוזבות במערכות ניטור AML/CFT עומד על 95% או יותר. כלומר, רק ב-5% מהמקרים (לכל היותר), מוסדות פיננסיים מחליטים לדווח לרשות המוסמכת על פעולה בלתי-רגילה שזוהתה באמצעות מערכת הניטור שלהם.
מספרים אלו אינם צריכים להפתיע – בדיוק כפי שקורלציה לא מעידה בהכרח על סיבתיות, כך גם התראה אודות פעולה בלתי רגילה אינה מעידה בהכרח על ניסיון הלבנת הון /מימון טרור. על-מנת לבסס קביעה מסוג זה, אין מנוס מבחינה יסודית ומקצועית של העסקה ע"י גורם אנושי מוסמך.
כמות גדולה של התראות כוזבות היא תופעה עם מספר השפעות שליליות הכוללות עומסי עבודה מתמשכים, גידול בעלויות תפעוליות וכ"א, וכן פגיעה מתמשכת באיכות הבדיקות של התראות ע"י עובדים מיומנים, לפעמים עד-כדי כך שהארגון נחשף לכשלי ציות. אם-כן, בעולם שבו מערכות מבוססות חוקים מהוות חלק אינטגרלי של תוכניות ציות AML/CFT, מוסדות פיננסיים צריכים לשאול את עצמם שאלה אחת חשובה – מה ניתן לעשות על-מנת לרתום את מלוא הפוטנציאל של מערכת אלו?
במאמר זה, אנו ננסה לתת תשובה אפשרית לשאלה זו ע"י סקירה של אחד מתוך מספר יישומים בולטים המאפשרים אופטימיזציה של כמות ההתראות הכוזבות במערכות ניטור מבוססות-חוקי AML/CFT. נדגיש כי תחום האופטימיזציה של מערכות מסוג זה הינו תחום עניין הולך וגובר בשנים האחרונות, ואנו צופים כי בשנים הקרובות תהיה ציפייה רגולטורית ברורה ממוסדות פיננסים לאמץ גישה פרו-אקטיבית לנושא זה.
פתרון מוצע - ניבוי הסיכוי להתראות כוזבות ע"י שימוש בלמידת מכונה
במאמר זה בחרנו להציג יישום אפשרי של מודל למידת מכונה מפוקחת (Supervised Machine Learning) ככלי ניבוי המאפשר להעריך מהי הסבירות שהתראה אקראית ממערכת הסריקה תתברר כהתראה כוזבת.
למידת מכונה מפוקחת היא מונח המתייחס לאוסף של מודלים מתמטיים וסטטיסטיים המאפשרים לנבא ערך או תוצאה של משתנה מטרה מסוים (בין אם בדיד או רציף) על-סמך סט של הנחות יסוד אודות התפלגות המשתנים המסבירים, שונות הנתונים, סוג הנתונים, קשרי גומלין ועוד. ישנם מספר סוגים מרכזיים של למידת מכונה מפוקחת בהם נעשה כיום שימוש ע"י פונקציות ציות במגזר הפיננסי:
- רגרסיה (לינארית או לוגיסטית) – מודל רגרסיה הוא מודל אשר מניח על קיום קשר לינארי בין אוסף של משתנים מסבירים למשתנה מטרה אחד (ברגרסיה לינארית, משתנה המטרה מקבל ערך רציף, בעוד שבמודל הלוגיסטי הוא מקבל בד"כ ערך בדיד, כגון אפס או אחד). על-מנת לאמוד את ביצועי המודל, ישנם מספר מדדי שגיאות/דיוק בהם נהוג לעשות שימוש, כגון Mean Absolute Error (MSE).
- עצי החלטה – עצי החלטה הם אוסף רחב של מודלים אשר מפצלים את בסיס הנתונים המסבירים (כמו ענפים של עץ) אל צמתים שונים, כאשר בכל צומת כאמור יש ערך אפשרי למשתנה המטרה (כמו עלים הנתלים על ענפי העץ). כאשר משתנה המטרה אמור לקבל ערך רציף, נהוג להגיד שמדובר בעץ רגרסיה, וכאשר מדובר במשתנה החלטה בדיד, נהוג להגיד כי מדובר בעץ סיווג. ניתן לבדוק את רמת הדיוק של המודל על ידי מספר מדדים מקובלים, כגון מדד GINI/Entropy לעצי סיווג, או Root Mean Squared Error לעצי רגרסיה.
- יער אקראי (Random Forest) – כשמו הוא, מודל זה הוא למעשה אוסף של עצי החלטה אקראיים המהווים יחדיו יער אקראי. עצים אלו נוצרים על ידי דגימות של משתנים מסוימים מתוך תצפיות מידע זמינות, וביצוע סימולציה של קומבינציות שונות בין העצים מכל דגימה. באופן זה, ניתן להשיג רמת דיוק גבוהה מזו של עץ החלטה בודד, על-ידי "מיצוע" של סכום הטעויות מכל העצים ביער האקראי.
- רשתות נוירונים (Neural Networks) – מודלים מסוג זה נקראים על שם הנוירונים במוח האדם, וזאת מאחר והם באים לחקות את האופן שבו מוח האדם מסיק מסקנה אודות משתנה מטרה מסוים על סמך אוסף של משתנים מסבירים מסוגים שונים ומגוונים. העקרון שעומד מאחורי רשת נוירונים הוא שימוש בפונקציות הפעלה שונות אשר יוצרות קשר בעל משקל מסוים בין שכבת נתוני קלט אחת לשנייה, עד שלבסוף מגיעים אל שכבת משתנה המטרה. לאחר מכן, נעשה תהליך חזרתי של למידה בגין טעויות ניבוי וחישוב מחדש של הקשרים בין הנוירונים בשכבות השונות של הרשת. היתרון הבולט של מודלים מסוג זה על פני הקודמים הוא שהם יודעים להתמודד היטב עם מגוון רחב של מידע וללא ידע מקדים אודות מאפייניו (הכול בכפוף לכך שהמידע מהימן ועדכני). החיסרון המרכזי הוא שקשה לפרש את הלוגיקה העומדת מאחורי עקרונות המודל ומסקנותיו, אפילו במקרים בהם המודל מצליח לתת ניבוי מדויק מאוד.
כמו כן, נציין כי ישנה קטגוריה נוספת של למידת מכונה הנקראת למידה לא-מפוקחת (Unsupervised Learning) אשר גם היא כוללת מודלים המשמשים ליישומים רבים במגזר הפיננסי בתחום הציות. מודלים מסוג זה אינם עושים שימוש במשתנה מטרה כזה או אחר, ואינם מונחים על ידי הנחות יסוד אודות הנתונים הנבדקים. במקום זאת, מודלים מסוג זה באים להצביע על דפוסי דמיון/שוני לא-ידועים במרחב הנתונים, או להצביע על אנומליות שונות.
תיאור הפתרון המוצע
במאמר זה בחרנו להציג את תוצאות היישום של מודל רגרסיה מבוססת אוסף עצי החלטה ("Random Forest Regressor") אשר בוצע כפיילוט במוסד פיננסי הפועל בישראל. הפלט של מודל (משתנה המטרה) הוגדר בתור ההסתברות להתראה כוזבת (ב%).
הטמעת המודל בוצעה בשני שלבים – יישום ראשוני ותפעול שוטף.
א. יישום ראשוני: היישום הראשוני של המודל כאמור כלל את השלבים הבאים:
- יבוא נתונים אודות התראות היסטוריות וכן מידע KYC זמין אודות החשבון/הלקוח המצוי בכל התראה.
- הרכבת בסיס נתונים הכולל שילוב של פרטי ליבה אודות התראות (תאריך התראה, סוג/חוק מזהה של התראה, ציון התראה וכד'), משתנים בינאריים המעידים על גורמי סיכון ייחודיים ללקוח (אישיות חשופה מבחינה ציבורית, תושב חוץ, נותן שירותי מטבע וכד'), מידע מילולי אודות סוג הפעולה המצויה בהתראה (העברה, זיכוי וכד'), וכן מידע נומרי אודות הפעולה המצויה בהתראה (סכום הפעולה, תאריך הפעולה וכד')
- הגדרת משתנה מטרה על ידי שימוש בסטאטוס הטיפול בהתראות היסטוריות. סטאטוס הטיפול נחלק בין "דיווח לרשות", "ממתין לתשובה" ו"תקין". אולם בפועל, סטאטוס הטיפול הוגדר מחדש כך שיעשה אבחנה בין "דיווח לרשות" לבין "תקין" בלבד.
- הרצה של המודל על 75% ממרחב הנתונים כאמור (אקראית) תוך סימולציה של ערכים אפשריים של משתני העל במודל (כגון כמות העצים המקסימלית, סוג המדד לבדיקת ביצועים ודיוק, כמות צמתים מקסימלית של ענפים בכל עץ, וכד'), וכן קומבינציות שונות של משתנים בבסיס הנתונים (סה"כ היו מעל 90 משתנים במודל)(5)
- בחירת המודל הטוב ביותר על סמך משתני-על במודל ומשתנים בבסיס הנתונים אשר הניבו יחדיו את סכום הFalse Positives ו-False Negatives הנמוך ביותר.
תוצאות המודל הטוב ביותר היו כמפורט להלן:- רמת דיוק של 96% – נדגיש כי רמת הדיוק של המודל שווה ליחס בין סכום הניבויים הנכונים של התראות כוזבות והתראות שהסתיימו בדיווח לרשות, לבין סך כמות ההתראות שנבדקו על ידי המודל.
- ניבוי תוצאות הטיפול בהתראות על סמך שישה משתנים בלבד – המשתנים כאמור התייחסו להיבטים הקשורים לרמת הסיכון של הלקוח, סכום וסוג הפעילות המצויה בהתראה, וניקוד פנימי של רמת המהותיות של ההתראה על סמך החוק העסקי שלה .
ב. תפעול שוטף
במסגרת השימוש היום-יומי במודל, יש לייצר את הפלט של המודל לאחר שנוצרת התראה ע"י מערכת הניטור, אך לפני השיוך בפועל של אותה התראה לנציג המטפל. לאחר מכן, יש להגדיר רמת סף מינימלית לדיכוי התראות הנחזות כהתראות כוזבות. פעולה זו מאפשרת לבצע תיעדוף בזמן-אמת של טיפול בהתראות (6) כמו כן, מומלץ לעדכן את המודל על ידי הרצה תקופתית מעת לעת, על-מנת לשקף שינויים אפשריים בפעילות הארגון ו/או לקוחותיו, וכן מאפייני סיכון שונים ברמת כל חשבון.
סיכום
כפי שניתן לראות, הפתרון המוצע שהוצג במאמר זה מסוגל לתת ניבוי ברמת דיוק גבוהה מאוד של תוצאות הטיפול בהתראות ממערכת ניטור מבוססת-חוקי AML/CFT טיפוסיים. בהינתן רמות דיוק טובות מספיק, ניתן להכניס מודל מסוג זה לסביבת ייצור ולהקים תהליך עבודה שוטף המתרחש בין יצירת התראה לבין שיוך ההתראה אל נציג מטפל.
אנו מאמינים כי שימוש במודלים מסוג למידת מכונה מפוקחת כאמצעי לאופטימיזציה של יעילות מערכות ניטור קיימות הינו תהליך בעל כדאיות כלכלית גבוהה, ועשוי להפחית משמעותית את סיכון הבקרה הנשקף לתאגידים בנקאיים כתוצאה מעומסי עבודה הנצברים על-פני זמן ופגיעה מתמשכת באיכות הבדיקות המתבצעות על ידי גורמים מיומנים.
הערות שוליים
(1) בין האירועים הבולטים, נמנים הוספת המנדט לFATF לעניין מניעת מימון טרור וכן חקיקת הUSA Patriot Act שהיווה אבן דרך משמעותית לניהול סיכוני ציות בהעברות בינ"ל ובנקאות קורספונדנטית.
(2) בשנת 2001, ממשלת ישראל החליטה לעגן לראשונה צו איסור הלבנת הון ומניעת מימון טרור עם הנחיות ייעודיות למגזר הבנקאי.
(3) Smurfing, Structuring/Micro-Structuring
(4) , נדגיש כי "התראה כוזבת" היא אינה "False-Positive", אם כי מדובר במושגים דומים. “False-Positive” מתייחס לנסיבות בהן התראה אודות פעולה בלתי רגילה לא הסתיימה בדיווח לרשות המוסמכת, בין אם כתוצאה מכשלים לוגיים בהגדרת חוקי הניטור, כשלים בקלט או בפלט, או כתוצאה מבדיקת העסקה על ידי גורם אנושי. מנגד, המונח "התראה כוזבת" מתייחס אך ורק לתרחיש האחרון כאמור.
(5) השיטה שנבחרה נקראת Recursive Feature Elimination Cross-Validation או RFECV
(6) כך למשל, ניתן לקבוע כי התראות הנחזות ככוזבות בסבירות של מעל 90% ייסגרו אוטומטית ויישמרו בארכיון למטרות Audit Trail, התראות הנחזות ככוזבות בסבירות של 80%-90% יעוכבו למשך חמישה ימי עסקים, ויתר ההתראות יועברו לבדיקה על ידי נציג מטפל תוך יום עסקים אחד.