Umsetzung des risikobasierten Ansatzes
Um risikobehaftete Geschäftsvorfälle möglichst genau aufzudecken, ist es wichtig, Personen und Transaktionen differenziert zu analysieren. Private oder Retail Banking, Privatkunden- oder Firmenkundengeschäft, institutionelle Anleger oder Brokerage sind Geschäftsbeziehungen, die ein unterschiedliches Geschäftsverhalten aufweisen. Während bei Firmenkonten hohe Geldzu- und -abflüsse fast täglich auftreten, sind sie bei Privatkunden ungewöhnlich. Käme also bei einem Privatkunden eine außergewöhnlich hohe Transaktion vor, müsste sie vom Compliance Officer abgeklärt werden. Die besten Analyseergebnisse erhält ein Institut, wenn alle Kunden und Geschäftsbeziehungen mit einer Risikoklasse ausgestattet sind, die die Abklärung im Falle eines Risikos regelt. Beispielsweise kann die Analyse eines hohen Risikos bedeuten, dass die Verbuchung einer Zahlung so lange gestoppt wird, bis die Abklärung abgeschlossen ist. Wichtig ist auch die Zuordnung einer separaten Risikoklasse für politisch exponierte Personen, da sie aus Compliance-Sicht besondere Aufmerksamkeit erfordern und in der neuen Geldwäsche-Richtlinie als „Hochrisikosituation“ eingestuft werden.
Risikoklassifizierung im Know Your Customer (KYC)-Profil
KYC-Identitätsprüfungen sind nicht nur für die Risikoklassifizierung von Neu- sondern auch für Bestandskunden erforderlich. Zu den Mindestanforderungen zählen die Identifizierung des Vertragspartners, die Feststellung des wirtschaftlich Berechtigten (Beneficial Owner) und die Abklärung der wirtschaftlichen Hintergründe. Jede Geschäftsbeziehung unterliegt einer anderen Logik, z. B.
- Ist der Kunde im Private- oder Retail-Banking oder im Firmenkundengeschäft tätig?
- Handelt es sich um einen institutionellen Anleger oder Broker?
- Was für eine Art Geschäft erwartet die Bank von diesem Kunden (Kredit, Geldanlagen, Geschäfte mit den ausländischen Geschäftspartnern)?
Für die verschiedenen Banking-Aktivitäten gibt es ein unterschiedliches Geschäftsverhalten. So sind bei Firmenkonten hohe Zu- und Abflüsse von Geld üblich. Für ein Privatkonto wäre dieses Transaktionsmuster eher ungewöhnlich und würde als risikobehaftet eingestuft werden. Weitere Analysen pro Kundentyp sind beispielsweise Länderrisiko, Transaktionsverhalten, Rechtsform, Vermögensverhältnisse, Branche, politisch exponierte Person oder Beruf.
Prüfung von Kundendaten gegen Sanktionslisten-Einträge
Der Abgleich von Kundendaten gegen nationale und internationale Sanktionslisten gehört zu den Aufgaben im Risikomanagement eines Finanzinstituts. Auf dem Markt ist eine große Auswahl an öffentlichen und kommerziellen Sanktionslisten verfügbar. Viele Institute sind sogar dazu übergegangen, mehrere Listen parallel zu verwenden. Üblicherweise werden Namen, Alias-Namen, andere Namens-Schreibweisen, Geburtsdaten, Nationalität und Domizil für die automatische Prüfung herangezogen. Institute prüfen regelmäßig – meist einmal täglich – alle Kunden und Geschäftsbeziehungen. Um die Kosten für Abklärungen nicht explodieren zu lassen, ist es sinnvoll, die Ergebnisse so „feinzutunen“, dass das Institut nur die wirklich relevanten Risikotreffer erhält.
Know Your Transaction (KYT): Transaktionen überwachen
Zum KYT-Prinzip gehört die Überwachung des Zahlungsverkehrs. Um herauszufinden, ob eine Risikotransaktion vorliegt, muss analysiert werden, ob der Auftraggeber oder Empfänger auf einer internen oder externen Black List steht, ob das Limit eingehalten wird, welche Länder involviert sind, welchen Verwendungszweck die Zahlung hat und wie die Historie des Kunden aussieht. Zusätzlich ist es günstig, Transaktionsmuster zu analysieren. Das heißt: es wird nicht nur eine einzelne Transaktion betrachtet, sondern ein Zusammenhang mehrerer Zahlungen erkannt. Wenn Zu- und Abflüsse innerhalb kurzer Zeit erfolgen, kann dies ein Geldwäsche-Hinweis sein. Oder smurfing: hier werden große Transaktionen in kleinere Tranchen aufgeteilt. Die Anzahl an Finanztransaktionen unterliegt in der Praxis saisonalen Schwankungen. Besonders an Wochenenden, vor Feiertagen, am Monats- oder Jahresende werden im Vergleich zu normalen Tagen Spitzenwerte erreicht, die eine Bank zuverlässig analysieren muss.
Während der Laufzeit einer Kundenbeziehung ist es sinnvoll, aus dem Transaktionsverhalten Kennzahlen für die Risikoklassifizierung zu gewinnen, z. B.
- Vermögen und Anzahl der Transaktionen
- Gesamt- und Bar-Umsatz in einem definierten Zeitraum
- Gesamtumsatz im Verhältnis zum Vermögen
- Bar-Umsatz im Verhältnis zum Vermögen
- Transaktionen und die Höhe des Umsatzes mit Risikoländern innerhalb einer bestimmten Frist
Bei der finalen Ermittlung des Risikos ist es wichtig, die Zahlen in einen Kontext zu setzen. Zum Beispiel, nach Grenzwerten für Retail-, Firmen- oder Private-Banking-Kunden zu differenzieren. So können Transaktionen von Firmenkunden mit Risikoländern aufgrund der Geschäftstätigkeit unkritischer sein als Transaktionen mit Risikoländern, die von Privatpersonen durchgeführt werden.
Überwachungsregeln für Personen und Transaktionen
Alle Überwachungsszenarien, egal ob es um die Analyse von Personen- oder Transaktionsdaten geht, sind durch Regeln definiert. Beispiele sind:
- Wie hoch darf die maximale Transaktionshöhe im Privatkundengeschäft sein?
- Wie hoch ist der Grenzwert für Finanztransaktionen für Firmenkunden?
- Zu welcher Risikoklasse gehören die Kunden?
- Welche Klassifizierung erhält ein Risikokunde, z. B. PEP, Crime, Terrorist?
- Wie sieht der Zahlungsverkehr zwischen zwei Geschäftsbeziehungen intern in der Bank bzw. mit externen Zahlungsempfängern aus?
- Welche Länder sind auf einer Sanktionsliste?
Meilensteine der automatisierten Geldwäsche-Prävention
Aus Zeit- und Kostengründen sowie aufgrund der immer weiter steigenden Datenmengen muss die Geldwäsche-Prävention automatisiert erfolgen und möglichst nur wirklich relevante Treffer generieren. Die wichtigsten Meilensteine für wirksame Anti-Geldwäsche-Maßnahmen sind: Risikoklassifzierung, Überwachung, Abklärung und revisionssichere Dokumentation.