AML-саясат және ақшаны жылыстатуға қарсы күрес

1) Мақсаты және қамту

AML-саясаттың мақсаты - қылмыстық кірістерді жылыстатудың және терроризмді қаржыландырудың алдын алу, реттеушілер талаптарына сәйкестікті қамтамасыз ету және платформаны, ойыншылар мен әріптестерді қорғау. Саясат топтың барлық заңды тұлғаларына, қызметкерлерге, аутсорс-командаларға, сондай-ақ ақша ағындарымен және клиенттердің деректерімен өзара іс-қимыл жасайтын үшінші тараптарға (PSP, аффилиаттар, контент провайдерлері) қолданылады.

• Өнімдер: казино/ставкалар, P2P-аударымдар, турнирлер, бонустар/кэшбек, маркетплейстік қызметтер.
• Арналар: веб, мобильді қосымшалар, API-интеграциялар, крипто-он/офф-рамп.
• География: жергілікті талаптарды ескере отырып, барлық қызмет көрсетілетін елдер/штаттар.

2) Нормативтік тірек және қағидаттар

Саясат негізі - FATF ұсынымдары (тәуекелге бағдарланған тәсіл, KYC/KYB, санкциялар, мониторинг, есептілік), AML/CFT жергілікті заңдары (Еуропа - AMLD директивалары, Ұлыбритания - MLR, АҚШ - BSA/Patriot Act және т.б.), сондай-ақ деректерді қорғау жөніндегі талаптар (GDPR/ұқсас).

• RBA (Risk-Based Approach): ресурстар неғұрлым жоғары тәуекелдерге шоғырланады.
• Proportionality: шаралар клиенттің/транзакцияның/өнімнің тәуекеліне сәйкес келеді.
• Accountability: шешімдерді белгілеу, аудит және трассалау.
• Privacy by Design: ең аз деректер, өңдеу заңдылығы, қауіпсіздік.

3) Рөлдер және жауапкершілік (басқару)

Board/Директорлар кеңесі: саясатты, тәуекел-тәбетті, мерзімді есепті бекітеді.
Senior Management: ресурстарды, KPI, енгізуді қамтамасыз етеді.
MLRO/AML Officer: процесс иесі, реттеушілерге есептілік, SAR/STR, мониторинг әдіснамасы, LEA-мен өзара іс-қимыл.
Compliance Team: KYC/KYB, санкциялар/РЕР, кейс-менеджмент, оқыту.
Risk & Analytics: скоринг модельдері, сценарийлер, ережелерді калибрлеу.
Engineering/Security: провайдерлердің интеграциясы, логтар, қолжетімділікті бақылау, шифрлау.
Operations/Payments: нәтижелерді бақылау, қолмен тексеру, деректер сапасы.

RACI (упрощенно): Board — A, MLRO — R/A, Compliance — R, Risk — R, Eng — C/R, Ops — C/R, Internal Audit — I/C.

4) RBA: тәуекелдер моделі

• Клиент (ел, резиденттік, кәсіп, ӨР/санкциялар, мінез-құлық тәуекелі).
• Өнім (казино/ставкалар, P2P, крипто, жоғары лимиттер, кросс-бордер).
• Арна (онлайн-онбординг, қатысуынсыз, жасырын құралдар).
• География (жоғары тәуекелді юрисдикциялар, санкциялар режимдері).
• Транзакциялар (көлем, айналым жылдамдығы, қолма-қол ақшаға айналдыру схемасы).

Бағалау: онбординг бойынша бастапқы жылдамдық + динамикалық факторлар (тарих, құрылғылар, төлем паттерндері) ⇒ төмен/орташа/жоғары тәуекелге сегменттеу және шаралар деңгейін таңдау: CDD/EDD/SOW.

5) KYC/KYB және санкциялық скрининг (AML-мен байланыс)

Жеке тұлғалар үшін KYC: құжат + liveness, мекенжайы, жасы, санкциялары/РЕР, Adverse Media.
Компаниялар/аффилиаттар/провайдерлер үшін KYB: тіркеу, UBO/директор, санкциялар/ТП, қызметті және қаражат көздерін тексеру.
Санкциялар/ӨӨ: бастапқы және мерзімді скрининг, фуззи-матч, қолмен клиринг.
SOW/SOF: жоғары лимиттер мен ауытқулар кезінде - қаражаттың/байлықтың шығу тегін растау.
Re-KYC: кесте бойынша және оқиғалық (триггерлер).

6) Транзакциялар мониторингі және мінез-құлық талдауы

• Жылдам цикл депозит → нақты ойын тәуекелсіз шығару.
• Сома/жиілік бойынша дәнекерлеу, төлемдерді бөлшектеу («smurfing»).
• Елдің IP/BIN/мекенжайы сәйкес келмеуі, төлем әдістерінің жиі өзгеруі.
• Типтік емес түнгі/жаппай трафик, құрылғылар кластерлері (device graph).
• Анонимайзерлерді/VPN, прокси-фермаларды, OS/браузерді ауыстыруды пайдалану.
• Күдікті бонустық паттерндер, мультиаккаунтинг, чарджбек-циклдер.

ML/мінез-құлық модельдері: ықтималдық аномалиялары, графикалық байланыстар, ойыншылардың/аффилиаттардың тәуекел-скоры, high-roller сегментациясы.

Кейс-менеджмент: алерт генерациясы → біліктілік → құжаттарды/түсініктемелерді сұрау → шешім (эскалация/блоктау/SAR).

7) «Қызыл жалаулар» (iGaming-ерекшелігі)

Үшінші тұлғалардан тұрақты депозиттер/бір ойыншыға бірлі-жарым карталар көп.
Р2Р/байланысты аккаунттар арасындағы турнирлік аударымдар.
Бейіндер бойынша қатты келіспеушілік (жасы, кәсібі vs айналым).
Түсінікті себепсіз юрисдикциялар арасындағы көші-қон.
Ойын белсенділігінсіз немесе ең аз маржамен жүйелі түрде қолма-қол ақшаға айналдыру.
АКҚ/қорытындылар/бонустар, «ферма» аккаунттар лимиттерін айналып өту әрекеттері.
Трафик көзі белгісіз немесе аномальды жоғары CR → WD афилиаттар.

8) SAR/STR: ішкі тергеу және есептілік

Күдік шегі: сомасына қарамастан «негізді күдік».
Процесс: алерт → фактілерді жинау → MLRO шешімі → мерзімінде SAR/STR беру, «tipping-off» жоқ.
Эскалация: уақытша бұғаттау, LEA/реттеушінің талабы бойынша құралдарды мұздату, клиентпен коммуникация жоспары.
Құжаттау: таймлайн оқиғалар, деректер көздері, команда әрекеттері, шешімдер және негіздеме.

9) Деректерді сақтау және қауіпсіздік

Мерзімдері: әдетте, қатынастар тоқтатылғаннан кейін кемінде 5 жыл (жергілікті түрде нақтыланады).
Мақсатты сақтау: профильдер, құжаттар, алерталар, SAR/STR, кіру журналы, дәлелдеу базасы.
Қауіпсіздік: at-rest/in-transit шифрлау, HSM/құпия сақтау орны, RBAC/ABAC, өзгермейтін журналдар (WORM), қызметкерлердің қолжетімділігі мен іс-қимылының мониторингі.

10) Оқыту, сапаны бақылау және аудит

Оқыту: барлығына арналған жыл сайынғы, қызметкерлерге - тәуекел функциялары үшін тереңдетілген; тестілер және сертификаттау.
QA/диагностика: істерді іріктеп тексеру, екі рет тексеру (4-eyes), қате шешімдер бойынша ретро.
Ішкі аудит: саясатқа, реттеуші талаптарға және үдерістердің тиімділігіне сәйкестігін тәуелсіз бағалау.
Stress-tests: оқыс оқиғалар бойынша жаттығулар (санкциялар, үлкен типология, жаппай алерта).

11) Крипто және VASP (егер қолданылатын болса)

Travel Rule: провайдерлер арасында жіберуші/алушы атрибуттарын алмасу.
Blockchain-талдау: тәуекел-іздеу мекенжайлары, кластер, санкциялық/миксер-белгілер.
Ол/офф-рамп бақылау: әмиян иесінің сәйкестігі, деректердің сәйкестігі, лимиттер және сыртқы мекенжайлар журналы.
Баға динамикасы/құбылмалылығы: сома бойынша арнайы ережелер, «әдеттен тыс» айырбастауларды таңбалау.

12) Үшінші тараптармен өзара іс-қимыл

PSP/банктер/KYC провайдерлері: шарттар, SLA, DPIA, істен шығу тұрақтылығының тест-жоспарлары.
Аффилиаттар: KYB, трафик сапасының мониторингі, тәуекел көздеріне тыйым салу, пост-басу аудиті.
Корреспонденттік қатынастар: әріптестерді тереңдетілген тексеру, мерзімді шолу.

13) AML-шешімнің архитектурасы (ұсынымдар)

Интеграция: КБК/санкциялар, PSP, антифрод, блокчейн-аналитика провайдерлері.
Оқиғалар шинасы: барлық транзакциялар/оқиғалар өзгермейтін сақтау орны бар ағынға (Kafka/аналог) түседі.
Ережелер қозғалтқышы + ML: онлайн-скоринг (миллисекундтар) және офлайн-қайта қарау (батч/near-real-time).
Кейс-жүйе: басымдықпен кезектер, клиентке сұрау үлгілері, SLA, поштамен/мессенджерлермен интеграция.
Бақылау қабілеті: логи, метрика, трассировка; ережелер/модельдер нұсқасы және олардың әсері.
Деградация: қауіпсіз оңайлату (саясат бойынша fail-open/close), бэкап-провайдерлер, ретраи/кворум.

14) Тиімділік өлшемдері мен KPI

SAR Conversion Rate: SAR/STR болған тәуекелдердің үлесі.
Time-to-Alert/Time-to-Decision: детектордың жылдамдығы мен шешімі.
False Positive Rate/Precision-Recall.
Coverage: мониторинг/скринингтен өткен транзакциялардың үлесі.
Rework/Appeals: шешімді қайта қарайтын кейстердің үлесі.
Training Completion: өзекті оқуы бар қызметкерлердің%.
Vendor SLA: провайдерлер аптайымы, ТТВ КБК/санкциялар бойынша.

15) Чек парақтары

• KYC/KYB, жасы/гео, санкциялар/РЕР, Adverse Media.
• RBA-скоринг, базалық лимиттер, құрылғының фингерпринті.
• Келісім, құпиялылық, тексерулер туралы ақпарат беру.

• Қайталама санкциялық скрининг, SOF/SOW қажет болған жағдайда.
• Төлем құралының иесін салыстыру.
• Мінез-құлықты тексеру және транзакция тарихы.

• Фактілер мен құжаттарды жинау.
• MLRO-ның ішкі қорытындысы.
• Есепті мерзімінде беру; tipping-off тыйым салу.
• Теңіз-пост, ережелерді/модельдерді жаңарту.

16) Типтік қателер және олардан қашу

RBA жоқ KYC соқыр «белгісі»: динамикалық талдау мен лимиттерді күшейтіңіз.
Үлгілерде кері байланыстың болмауы: оқыту ілмегін енгізіңіз (decision → outcome).
Тәуекелді басқарудың орнына аса қатаң «дерискинг»: EDD/SOW және бақыланатын лимиттерді пайдаланыңыз.
Өңірлік ережелерді/санкцияларды есепке алмау: «гео-профильдерді» қолдаңыз.
Шешімдердің әлсіз журналы: артефактілердің негіздемелері мен сақталуын стандарттаңыз.

17) AML саясаты құрылымының үлгісі (сіздің wiki үшін)

1. Кіріспе және қолданыс аясы

2. Анықтамалар мен терминдер (AML/CFT, CDD/EDD, SOF/SOW, PEP және т.б.)

3. Нормативтік база және жергілікті заңдарға сілтемелер

4. Басқару және рөлдер (Board, MLRO, RACI)

5. RBA-әдіснамасы және тәуекел-тәбеті

6. KYC/KYB және санкциялық скрининг

7. Транзакциялар мониторингі (rules + ML) және кейс-менеджмент

8. «Қызыл жалаулар» және iGaming сценарийлері

9. SAR/STR-рәсімдер және реттеуіштермен өзара іс-қимыл/LEA

10. Деректерді сақтау, құпиялылық, қауіпсіздік

11. Персоналды оқыту және хабардар болу

12. Вендорлар және үшінші тараптар (SLA, аудит)

13. Аудит, QA және үздіксіз жақсарту

14. Қосымшалар: чек-парақтар, пішіндер, хат үлгілері, метрика

18) Тәуекелдер матрицасының мысалы (фрагмент)

Нәтиже: төмен/орташа/жоғары тәуекел → шаралар: CDD/EDD + SOF/SOW/шектеулер/шығу.

19) Енгізу және қолдау жоспары

Процесс және SLA иелерін анықтау.
Интеграция картасы (PSP, KYC, санкциялар, талдау).
Негізгі ережелер жиынымен қосу + FP/FN бақылау.
Сценарийлерді тоқсан сайын калибрлеу, саясатты жыл сайын қайта қарау.
Оқу бағдарламалары және өтуін бақылау.
Тұрақты Board/менеджмент есептері (KPI, оқыс оқиғалар, тәуекелдердегі өзгерістер).

Жиынтығы

Тиімді AML саясаты - бұл «сөредегі құжат» емес, тірі цикл: тәуекелді бағалау → бақылау шаралары → мониторинг → тексеру → есептілік → жақсарту. RBA айналасында үдеріс құрыңыз, күшті KYC/KYB және санкциялық контурды қамтамасыз етіңіз, кейс-менеджменті бар транзакциялардың сапалы мониторингін енгізіңіз және деректерді сақтау, оқыту және аудит тәртібін сақтаңыз - осылайша сіз бизнестің конверсиясы мен тұрақтылығын сақтай отырып, реттеуші және беделді тәуекелдерді төмендетесіз.