5
(32)
Risikoanalyse Geldwaeschegesetz

Das Erstellen einer Risikoanalyse führt Sie durch den Dschungel an Vorgaben und Auflagen des Geldwäschegesetzes.

Im Rahmen des Risikomanagements und auf der Grundlage des risikobasierten Ansatzes haben die geldwäscherechtlich Verpflichteten nach § 5 GwG eine Risikoanalyse zu erstellen und diese nach § 5 Abs.2 GwG zu dokumentieren, regelmäßig zu überprüfen, gegebenenfalls zu aktualisieren und der Aufsichtsbehörde auf Verlangen die jeweils aktuelle Fassung zur Verfügung zu stellen.

Was muss bei einer Risikoanalyse dargestellt werden?

Die Risikoanalyse soll die Gefährdungssituation in Bezug auf Geldwäsche und Terrorismusfinanzierung im Geschäftsbetrieb der Verpflichteten darstellen.

 

Warum ist eine Risikoanalyse so wichtig?

Die analysierten Geldwäscherisiken sind maßgeblich für die zu treffenden internen Sicherungsmaßnahmen. Das Ergebnis der Risikoanalyse wird also als Basis genommen, um angemessene Maßnahmen zu definieren, welche von den Verpflichteten zur Risikominimierung implementiert werden müssen, seien sie organisatorischer, technischer oder personeller Art.

 

Sie möchten das Thema Geldwäscheprävention in professionelle Hände geben? Die PEQURIS Dienstleistungen im Überblick.

 

Warum fordert der Gesetzgeber eine institutsspezifische Risikoanalyse?

Durch eine institutsspezifische Risikoanalyse können Sicherungsmaßnahmen gezielter eingesetzt werden. Die Maßnahmen können dort konzentriert werden, wo tatsächlich Risiken bestehen. Eine konkrete Analyse und Evaluation der Gefährdungssituation wirkt somit bloßen Alibimaßnahmen entgegen.

 

Wie detailreich muss die Risikoanalyse sein?

Wie detailreich die Risikoanalyse sein muss, richtet sich nach der Art und dem Umfang der Geschäftstätigkeit der Verpflichteten. Der Grundsatz lautet: desto größer das Produkt- bzw. Dienstleistungsangebot, desto umfangreicher muss die die Risikoanalyse ausfallen, ganz nach dem Verhältnismäßigkeitsprinzip.

 

Sind mehrere Risikoanalysen notwendig oder besteht die Möglichkeit alles in einer abzubilden?

Es ist möglich und durchaus vorzugswürdig für jeden Verpflichteten lediglich eine Risikoanalyse anzufertigen. Ausnahmsweise müssen für einen Verpflichteten mehrere Risikoanalysen angefertigt werden, sofern die Komplexität getrennte Analysen zwingend erfordert.

 

Das hilft uns, Spam-Nachrichten zu verhindern.

 

 Aufbau der Risikoanalyse

Die grobe Vorgehensweise bei der Erstellung der Risikoanalyse lautet: Risiken ermitteln und bewerten. Zudem sollte die Ableitung risikoadäquater Sicherungsmaßnahmen wesentlicher Bestandteil des Konzepts der Risikoanalyse sein, denn im Ergebnis dient die Risikoanalyse dazu, ein geeignetes System zu etablieren, bestehende und entstehende Risiken zu erkennen und einzuschränken.

Damit das Risiko ermittelt werden kann, ist zunächst eine vollständige und lückenlose Bestandsaufnahme der spezifischen Situation im Geschäftsbetrieb notwendig.

Dabei sind sämtliche Risikofaktoren, die für oder gegen Geldwäsche sprechen, zu berücksichtigen. Relevante Risikofaktoren lassen sich aus verschiedenen Dokumenten entnehmen:

  • Anlage 1 und 2 GwG
  • Delegierte Verordnung (EU) 2018/1467 vom 27.07.2018
  • erste Nationale Risikoanalyse zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung
  • European Commission Supranational Risk Assessment Report
  • Joint Guidelines on Risk Factors – ESAs Joint Committee
  • BaFin Auslegungs- und Anwendungshinweise zum Geldwäschegesetz
  • FATF High-risk and other monitored jurisdictions
  • Lagebilder und Jahresberichte des Bundeskriminalamtes und der Landeskriminalämter
  • Typologiepapiere der FIU

 

Folgende Risikogruppen sind darzulegen:

  1. Kundenrisiko;
  2. Länderrisiko;
  3. Produkt-, Dienstleistungs-, und Transaktionsrisiko

Diese Gruppen sind dann weiter zu unterteilen und jeweils in eine Risikostufe einzuordnen. Die Standard Risikostufen lauten: gering, mittel und hoch. Mittlerweile sieht man aber auch häufiger die Einteilung in gering, mittel-gering, mittel-hoch und hoch.

Bei der Endgewichtung sind verschiedene Modelle denkbar, zum Beispiel ein Model bei dem verschiedene Risikodimensionen sich gegenseitig ausgleichen können oder ein Model, das keine Kompensation erlaubt, sobald eine hohe Risikodimension vorliegt.

Die Ermittlung der Daten für eine Risikoanalyse erfolgt aus unterschiedlichen Quellen. Bewährt sind Fragebögen, geschützte Informationsgespräche und die Auswertung von Datenquellen. Empfohlen wird zudem auch eine Selbsteinschätzung der Verpflichteten einzuholen, im Idealfall können diese ihre Einschätzung auch plausibel darlegen.

 

Die verwendeten Datensätze haben dabei höchster Qualität zu entsprechen.

 

Diese Qualität kann nur erreicht werden, wenn die Datensätze:

  • Auf dem aktuellen Stand sind
  • Den Informationsgehalt aufweisen, der dem Informationsbedarf entspricht
  • Mit der Realität übereinstimmen
  • Keine Widersprüche aufweisen
  • Nachvollziehbar aufbereitet sind
  • Vollständig vorliegen
  • Eine einheitliche Struktur aufweisen

Obwohl der Aufbau der Risikoanalyse nicht im Detail vorgegeben ist, haben sich in der Praxis gewisse Best Practice Lösungen herauskristallisiert. Zur besseren Übersichtlichkeit ist es sinnvoll, die einzelnen Risikogruppen bzw. Risikoarten getrennt voneinander zu betrachten. Hierdurch wird sichergestellt, dass es sich um eine ganzheitliche Risikobetrachtung handelt. Außerdem erleichtert es die Darstellung.

Folgende Unterteilung wäre denkbar:

 

I  Kundenrisiko

1 ) Wie ist Ihre Kundenstruktur?

  • Privatkunden
  • Geschäftskunden
  • Öffentliche Kunden
  • Regulierte Kunden

2 ) Sollte es sich bei Ihren Kunden um Unternehmen handeln, sind diese:

  • An der Börse gelistet
  • Privat gehalten
  • aufgrund ihrer Eigentums- und Kontrollstruktur intransparent

 

II Produkt-/Dienstleistungsrisiko

Wie ist das Sortiment?

  • Grenzüberschreitend
  • Komplex
  • Vertriebs-/Kommunikationskanäle

 

III Länderrisiko

  • Wohnsitz und Staatsangehörigkeit der Kunden bzw. Investoren
  • Hochrisikoländer
  • Länder die sich auf EU-Sanktionslisten befinden

 

IV Transaktionsrisiko

  • Höhe der Transaktionen bzw. Transaktionsvolumen
  • Transaktion innerhalb oder außerhalb einer Geschäftsbeziehung
  • Zweck der Transaktion

Diese Liste ist im Einzelfall zu erweitern und verdeutlicht den individuellen Charakter der Risikoanalyse.

 

Als Beispiel für die Erweiterbarkeit seien hier folgende Punkte angeführt:

 

  • Beständigkeit der Kundenbasis,
  • Situation entscheidender IT-Systeme,
  • beabsichtigter Kundenwachstum,
  • geplanter Umsatzwachstum,
  • Inanspruchnahme von Dienstleistern,
  • personelle Kontinuität im Bereich der Geldwäscheprävention

 

Das hilft uns, Spam-Nachrichten zu verhindern.

 

Im nächsten Schritt sind die ermittelten Risiken zu bewerten. Dies hat nicht nach Gefühl zu erfolgen, sondern anhand von Quellen, Informationen und Analysen. Quellen, die für eine ordnungsgemäße Bewertung grundsätzlich herangezogen werden sollten, sind unter anderem:

  • Staatliche Risikoeinschätzungen
  • Schadensfalldatenbanken aus dem jeweiligen Branchenumfeld
  • FIU Berichte
  • Bundeslagebilder
  • Berufsverbandinformationen

Die Darlegung zeigt auf, wie wichtig ein strukturiertes Vorgehen bei der Erstellung der Risikoanalyse ist. Eine vollumfängliche Erfassung trägt dazu bei, über das Jahr hinweg ein möglichst konstantes Verfahren sicherzustellen. Das funktioniert schlussendlich nur durch die Mitarbeit aller relevanten Fachabteilungen.Eine Risikoanalyse sollte naturgemäß kritisch sein.

 

Nur wenn geklärt ist, welche Maßnahmen nicht vorhanden oder vorhanden, nicht ausreichend oder ausreichend, uneffektiv oder effektiv sind, lassen sich auch Handlungsnotwendigkeiten erkennen und Potential für Verbesserungen transparent machen.

 

 

Gefahren bei der Erstellung einer Risikoanalyse

Die Erstellung einer Risikoanalyse, ohne Einbezug entsprechender fachlicher Expertise, birgt aufgrund ihrer Komplexität Gefahren:

  • Es kann schnell passieren, dass wesentliche Änderungen innerhalb des Erstellungszeitraums übersehen und daher nicht zeitnah in die Risikoanalyse mit einbezogen werden
  • Die Risikoanalyse könnte unangemessen sein, so dass Risiken nicht ordnungsgemäß identifiziert werden
  • Weiter könnten Fehler bei der Klassifizierung der Risiken erfolgen
  • Eine nicht zu unterschätzende Gefahr ist auch eine mangelnde Datenqualität, weil bei der Vorbereitung bzw. Aufbereitung notwendiger Informationen und Unterlagen ungenau gearbeitet wurde

Die Risikoanalyse bildet Herzstück und Grundlage der Geldwäscheprävention für Ihr Unternehmen. Fehler, die hier gemacht werden, multiplizieren sich in alle Bereiche und führen im schlimmsten Fall zur Unwirksamkeit der getroffenen Maßnahmen und entsprechendem Bußgeld oder anderen Sanktionen seitens der Behörden. Im Rahmen unserer Dienstleistungen erstellt PEQURIS selbstverständlich auch Ihre Risikoanalyse – sprechen Sie uns darauf an!

 

Das hilft uns, Spam-Nachrichten zu verhindern.

War dieser Beitrag hilfreich?

Klicken Sie auf die Anzahl der Sterne, die Sie vergeben möchten.

Schade, dass Sie dieser Meinung sind.

Was können wir besser machen?

Bitte erläutern Sie kurz, wie wir diesen Beitrag verbessern können.