Enhancing Anti-Money Laundering Efforts With Machine Learning - Identifying Closed Alarms to Improve Resource Allocation
Abstract
Hvitvasking utgjør en stor global utfordring, og internasjonale organisasjoner påpeker kontinuerlig viktigheten av anti-hvitvaskingsarbeid. Ettersom problemet er både omfattende og komplekst, kreves det tilsvarende omfattende mottiltak for å begrense finansiering av kriminell aktivitet. Banker og finansinstitusjoner er ansvarlige for en stor del av disse mottiltakene, noe som medfører betydelig ressursbruk for å holde tritt med kriminelle aktører og samsvare med gjeldende lover og regler. Bankenes systemer for transaksjons- og kundeovervåking genererer alarmer som indikerer mistenkelig atferd, og disse alarmene krever manuell behandling. Tidligere forskning på området forsøker å benytte maskinlæring til å identifisere observasjoner som har blitt rapportert som mistenkelige til myndighetene. I denne masteroppgaven argumenteres det imidlertid for å identifisere alarmer som etter manuell behandling klareres for mistenkelig atferd. I motsetning til rapporterte observasjoner som ikke er bekreftet som hvitvasking, representerer de lukkede alarmene en pålitelig avhengig variabel. Dette fordi det er bekreftet at disse ikke er relatert til hvitvasking.
Målet med denne masteroppgaven er å utforme en predikerende klassifiseringsmodell som kan forbedre dagens anti-hvitvaskingsarbeid, og dermed tilrettelegge for at bankene kan omfordele ressurser fra lav- til høyrisikosaker. For å undersøke dette benyttes anonymisert data fra en mellomstor norsk bank, som inneholder detaljerte månedlige observasjoner av 10 785 bedriftskunder over en periode på to år. Denne dataen anvendes i gradient boosting-klassifiseringsmodellene XGBoost, CatBoost og HistGB, supplert av en naïve Bayes-klassifiseringsmodell i et forsøk på å identifisere lukkede alarmer. Vi gjennomfører grundig testing av ulike variabler, egenskaper og konfigurasjoner kombinert med hyperparameteroptimalisering for å oppnå modeller med pålitelig ytelse.
Ved å evaluere modellene ved bruk av ROC- og PR-kurver observerer vi at ingen av modellene er i stand til å konsekvent skille lukkede alarmer fra rapporterte observasjoner. Vi argumenterer for at dette skyldes den begrensede datastørrelsen, som mangler tilstrekkelig variasjon for nøyaktig klassifisering. På den andre siden evner modellene delvis å skille de lukkede alarmene fra resten av utvalget, der CatBoost presterer best av de utvalgte algoritmene. Ettersom resultatene våre tyder på at de utvalgte maskinlæringsalgoritmene ikke er i stand til å ta beslutninger på egen hånd, diskuterer vi alternative bruksområder. Vi foreslår et digitalt støttesystem der den estimerte sannsynligheten for at en kunde genererer en alarm kan benyttes av AML-medarbeidere i manuell behandling av alarmer. Dette kan redusere tiden som benyttes på saker med lav risiko, samtidig som det er i samsvar med lover og regler. Money laundering remains a significant global challenge, with international bodies stressing the importance of anti-money laundering efforts. As the issue is both comprehensive and complex, so are the necessary countermeasures required to limit the financing of criminal activity. Banks and financial institutions are responsible for a large proportion of these precautions, demanding substantial resources to stay ahead of criminals and comply with laws and regulations. Systems for transaction and customer monitoring generate alarms that indicate suspicious behaviour, which must be addressed. The majority of previous research within this domain attempts to leverage machine learning techniques to identify the observations that have been reported as suspicious.This thesis, however, argues in favour of identifying alarms that are dismissed in manual investigation. In contrast to reported and unconfirmed suspicious observations, the dismissed alarms represent a certain dependent variable as they are confirmed as unrelated to money laundering.
This thesis aims to develop a predictive classification model that can enhance current anti-money laundering efforts, by enabling banks to reallocate their resources from low- to high-risk cases. To examine this, we utilize anonymised customer data provided by a mid-sized Norwegian bank, covering detailed monthly records on 10,785 corporate customers over two years. This data is employed in the three gradient boosting classifiers XGBoost, CatBoost and HistGB, supplemented by a baseline naïve Bayes classifier in an attempt to predict closed alarms. We conduct rigorous testing and comparison of several feature engineering techniques combined with hyperparameter optimisation to achieve reliable performance.
Model performance, evaluated using receiver operating characteristics and precision-recall curves, shows limited success in differentiating between closed and reported alarms, which we argue is likely due to insufficient sample variability. On the other hand, we achieve some success in differentiating closed alarms from the rest of the sample, with CatBoost protruding as the top-performing algorithm. As our results suggest that the selected machine learning algorithms are unable to make decisions on their own, we discuss a potential alternative operational contribution. We propose a novel digital support system where the estimated probability of a customer generating an alarm can be used by AML professionals in manual investigation, effectively reducing time spent on low-risk cases while keeping compliant with laws and regulations.