Erscheinung:23.03.2005 | Geschäftszeichen GW 1 - E 100 | Thema Geldwäschebekämpfung Anfertigung der institutsinternen Gefährdungsanalyse
Rundschreiben 8/2005 (GW) - Implementierung angemessener Risikomanagementsysteme zur Verhinderung von Geldwäsche, Terrorismusfinanzierung und Betrug
Institutsinterne Implementierung angemessener Risikomanagementsysteme zur Verhinderung der Geldwäsche, Terrorismusfinanzierung und Betrug zu Lasten der Institute gemäß §§ 25 a Abs. 1 Satz 3 Nr. 6, Abs. 1a KWG, 14 Abs. 2 Nr. 2 GwG
Sehr geehrte Damen und Herren,
in letzter Zeit sind an mich vermehrt Anfragen zur Anfertigung der institutsinternen Gefährdungsanalyse im Rahmen des Risikomanagements zur Verhinderung der Geldwäsche, Terrorismusfinanzierung sowie des Betruges zu Lasten der Institute herangetragen worden. Diese veranlassen mich, auf nachfolgende grundlegende Leitlinien für die Anfertigung der institutsinternen Gefährdungsanalyse einzugehen.
Dabei weise ich vorsorglich darauf hin, dass bezüglich der Bekämpfung der Geldwäsche, Terrorismusfinanzierung sowie des Betruges zu Lasten der Institute in hohem Maße gemeinsame Risiken bestehen. Ungeachtet ihrer unterschiedlichen Struktur erfordern sie ähnliche Präventionsmaßnahmen, die zum Großteil sogar deckungsgleich sind. Es ist daher nicht notwendig, für die einzelnen Bereiche getrennte Gefährdungsanalysen zu erstellen.
Gemäß § 25a Abs. 1 Satz 3 Nr. 6 KWG sowie § 14 Abs. 2 Nr. 2 GwG haben Institute angemessene geschäfts- und kundenbezogene Sicherungssysteme und Kontrollen zur Verhinderung der Geldwäsche, der Terrorismusfinanzierung sowie des Betruges zu Lasten der Institute zu schaffen.
"Angemessen" sind dabei solche Maßnahmen und Systeme, die der jeweiligen Risikosituation des einzelnen Institutes entsprechen und diese hinreichend abdecken. Die Sicherungssysteme haben sich insbesondere an der Größe, Organisation und Gefährdungssituation des einzelnen Institutes, insbesondere dessen Geschäfts- und Kundenstruktur, auszurichten (vgl. Ziffer 38 meiner Verlautbarung über "Maßnahmen der Kreditinstitute zur Bekämpfung und Verhinderung der Geldwäsche" vom 30.03.1998).
Was angemessen ist, beurteilt sich - wie sonst auch im Rahmen der Schaffung von Risiko Management Systemen - auf der Grundlage der eigenen Gefährdungsanalyse des Institutes bezüglich der Risikostruktur der von dem Institut angebotenen Dienstleistungen (so auch die Begründung zum 4. Finanzmarktförderungsgesetz in BT-Drs. 14/8017). Die Systeme sind laufend neuen Erkenntnissen und Gefährdungslagen anzupassen (s. ebenfalls BT-Drs. 14/8017).Ziel der institutsinternen Gefährdungsanalyse ist es, die institutsspezifischen Risiken zu Zwecken von Geldwäsche, Terrorismusfinanzierung sowie Betrug zu Lasten des Institutes zu erfassen, zu identifizieren, zu kategorisieren, zu gewichten sowie darauf aufbauend geeignete Geldwäsche-Präventionsmaßnahmen zu treffen.
Bei der Anfertigung der institutsinternen Gefährdungsanalyse und der damit verbundenen Herleitung der erforderlichen Maßnahmen halte ich insbesondere folgende Schritte für notwendig:
- die vollständige Bestandsaufnahme der institutsspezifischen Situation
- die Erfassung und Identifizierung der kunden-, produkt- und transaktionsbezogenen Risiken
- die Kategorisierung, d.h. Einteilung in Risikogruppen, und ggf. zusätzliche Gewichtung, d.h. Bewertung, der identifizierten Risiken
- die Entwicklung geeigneter Parameter für die erforderlichen Research-Maßnahmen (vor allem für EDV-Researchsysteme) aufgrund des Ergebnisses der institutsinternen Risikoanalyse
- die Überprüfung und Weiterentwicklung der bisher getroffenen Präventionsmaßnahmen unter Berücksichtigung des Ergebnisses der Gefährdungsanalyse
Für die Bestandsaufnahme der institutsspezifischen Situation ist die jeweilige Geschäftsstruktur des Institutes von Belang. Im Rahmen der Bestandsaufnahme kommt es insbesondere auf die Erfassung der im Institut vorhandenen grundlegenden Kundenstruktur, der Geschäftsbereiche- und -abläufe, der Produkte, darunter des Volumens und der Struktur des nationalen und internationalen Zahlungsverkehrs, der Vertriebswege sowie der Organisationssituation des Institutes an.
Die Identifizierung und Kategorisierung der Risiken lässt sich mit Hilfe des über Geldwäschetechniken im Bankensektor inzwischen vorhandenen Erfahrungswissens durchführen. Das hierfür erforderliche Erfahrungswissen kann aufgrund nationaler und internationaler Typologienpapiere und Verdachtskatalogen, dem im Institut vorhandenen bzw. zu gewinnenden Wissen (etwa aus lokalen Presseauswertungen), der allgemeinen Analyse von Verdachtsfällen, die das Institut in der Vergangenheit tangierten oder dem Erfahrungsaustausch mit Geldwäschebeauftragten anderer Institute gewonnen bzw. aktualisiert werden. Eine wichtige Rolle spielt in diesem Zusammenhang auch das von mir mit meinem Rundschreiben 25/2002 (Q) als Auslegungshilfe versandte Papier des Baseler Ausschusses für Bankenaufsicht zur "Sorgfaltspflicht der Banken bei der Feststellung der Kundenidentität".
Die Ergebnisse der Identifizierung, Kategorisierung und Gewichtung der Risiken sind im Rahmen der einzelnen Präventionsmaßnahmen umzusetzen, insbesondere sind die Parameter für die erforderlichen Research-Maßnahmen (vor allem für EDV-Researchsysteme) hieraus herzuleiten. Es ist zu überprüfen, ob die bereits bestehenden Systeme die identifizierten Risiken abdecken und Optimierungen vorzunehmen oder zusätzliche Maßnahmen zu treffen sind.
Wie im Risikomanagement generell ist auch bei der Umsetzung der einzelnen Präventionsmaßnahmen im jeweiligen Einzelfall um so sorgfältiger vorzugehen, je höher das Risikopotential ist. In Abhängigkeit von dem Risikopotential sind auch die Entscheidungsbefugnisse innerhalb des Institutes zu staffeln.Zum Zwecke der gruppenweiten Umsetzung des Geldwäsche-Risikomanagements gemäß § 25 a Abs. 1 Satz 3 Nr. 6, Abs. 1a KWG sowie § 15 GwG halte ich es zudem für erforderlich, die Gefährdungsanalyse gruppenweit anzufertigen und auf alle gruppenangehörigen Unternehmen im In- und Ausland (vgl. dazu § 10a Abs. 2 KWG und § 15 GwG) zu erstrecken. Dabei sind auch solche gruppenangehörigen Unternehmen in die Gefährdungsanalyse aufzunehmen, die selbst keine Finanztransaktionen durchführen oder sich an deren Durchführung direkt beteiligen, jedoch Geschäfte oder Dienstleistungen anbieten, die das Risiko in sich bergen, für die Nutzung zur Geldwäsche geeignet zu sein (wie z.B. die reine Vermögensberatung oder Vermögensbetreuung).
Wichtig ist zudem, dass die institutsinterne Gefährdungsanalyse für die interne bzw. externe Revision nachvollziehbar schriftlich fixiert wird. Dies ermöglicht es dem Geldwäschebeauftragten auch, die Gefährdungsanalyse - ggf. zusammen mit seinem Tätigkeitsbericht - zumindest einmal jährlich dem Vorstand vorzulegen.
- Im Hinblick auf den fortlaufenden Wandel der angebotenen Dienstleistungen sowie der Durchführung von Finanzgeschäften, den technischen Fortschritt sowie nicht zuletzt die sich laufend ändernden Methoden der Geldwäsche sollte die Gefährdungsanalyse regelmäßig, zumindest einmal im Jahr, einer Überprüfung unterzogen und - soweit erforderlich - aktualisiert werden.