Im Rahmen des Risikomanagements und auf der Grundlage des risikobasierten Ansatzes haben die geldwäscherechtlich Verpflichteten nach § 5 GwG eine Risikoanalyse zu erstellen und diese nach § 5 Abs. 2 GwG zu dokumentieren, regelmäßig zu überprüfen, gegebenenfalls zu aktualisieren und der Aufsichtsbehörde auf Verlangen die jeweils aktuelle Fassung zur Verfügung zu stellen.
Was muss bei einer Risikoanalyse dargestellt werden?
Inhaltsverzeichnis
Die Risikoanalyse soll die Gefährdungssituationen in Bezug auf Geldwäsche und Terrorismusfinanzierung im Geschäftsbetrieb der Verpflichteten darstellen.
Warum ist eine Risikoanalyse so wichtig?
Die analysierten Geldwäscherisiken sind maßgeblich für die zu treffenden internen Sicherungsmaßnahmen. Das Ergebnis der Risikoanalyse bildet also die Basis, um angemessene Maßnahmen zu definieren, welche von den Verpflichteten zur Risikominimierung implementiert werden müssen, seien sie organisatorischer, technischer oder personeller Art.
Warum fordert der Gesetzgeber eine unternehmensspezifische Risikoanalyse?
Durch eine unternehmensspezifische Risikoanalyse können Sicherungsmaßnahmen gezielter eingesetzt werden. Die Maßnahmen können dort konzentriert werden, wo tatsächlich Risiken bestehen. Eine konkrete Analyse und Evaluation der Gefährdungssituation ist daher deutlich wirksamer als bloße Alibimaßnahmen.
Wie detailliert muss die Risikoanalyse sein?
Wie detailliert die Risikoanalyse sein muss, richtet sich nach der Art und dem Umfang der Geschäftstätigkeit der Verpflichteten. Der Grundsatz lautet: je größer das Produkt- bzw. Dienstleistungsangebot, desto umfangreicher muss die Risikoanalyse ausfallen, ganz nach dem Verhältnismäßigkeitsprinzip.
Sind mehrere Risikoanalysen notwendig oder besteht die Möglichkeit alles in einer abzubilden?
Es ist möglich und durchaus vorzugswürdig, für jeden Verpflichteten lediglich eine Risikoanalyse anzufertigen. In Ausnahmefällen müssen für einen Verpflichteten mehrere Risikoanalysen angefertigt werden, sofern die Komplexität getrennte Analysen zwingend erfordert.
Aufbau der Risikoanalyse
Die grobe Vorgehensweise bei der Erstellung der Risikoanalyse lautet: Risiken ermitteln und bewerten. Zudem sollte die Ableitung risikoadäquater Sicherungsmaßnahmen wesentlicher Bestandteil des Konzepts der Risikoanalyse sein, denn im Ergebnis dient die Risikoanalyse dazu, ein geeignetes System zu etablieren, bestehende und entstehende Risiken zu erkennen und einzuschränken.
Risikoermittlung:
Damit das Risiko ermittelt werden kann, ist zunächst eine vollständige und lückenlose Bestandsaufnahme der spezifischen Situation im Geschäftsbetrieb notwendig.
Dabei sind sämtliche Risikofaktoren, die für oder gegen Geldwäsche sprechen, zu berücksichtigen. Relevante Risikofaktoren lassen sich aus verschiedenen Dokumenten entnehmen:
- Anlage 1 und 2 GwG
- Delegierte Verordnung (EU) 2018/1467 vom 27.07.2018
- erste Nationale Risikoanalyse zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung
- European Commission Supranational Risk Assessment Report
- Joint Guidelines on Risk Factors – ESAs Joint Committee
- BaFin Auslegungs- und Anwendungshinweise zum Geldwäschegesetz
- FATF High-risk and other monitored jurisdictions
- Lagebilder und Jahresberichte des Bundeskriminalamtes und der Landeskriminalämter
- Typologiepapiere der FIU
Folgende Risikogruppen sind darzulegen:
- Kundenrisiko;
- Länderrisiko;
- Produkt-, Dienstleistungs-, und Transaktionsrisiko
- Unternehmensrisiko
Diese Gruppen sind dann weiter zu unterteilen und jeweils in eine Risikostufe einzuordnen. Die Standard-Risikostufen lauten: gering, mittel und hoch. Mittlerweile sieht man aber auch häufiger die Einteilung in niedrig, mittel-niedrig, mittel-hoch und hoch.
Bei der Endgewichtung sind verschiedene Modelle denkbar, zum Beispiel ein Model, bei dem verschiedene Risikodimensionen sich gegenseitig ausgleichen können oder ein Model, das keine Kompensation erlaubt, sobald eine hohe Risikodimension vorliegt.
Die Ermittlung der Daten für eine Risikoanalyse erfolgt aus unterschiedlichen Quellen. Bewährt sind Fragebögen, geschützte Informationsgespräche und die Auswertung von Datenquellen. Empfohlen wird zudem auch eine Selbsteinschätzung der Verpflichteten einzuholen, im Idealfall können diese ihre Einschätzung auch plausibel darlegen.
Die verwendeten Datensätze haben dabei höchster Qualität zu entsprechen.
Diese Qualität kann nur erreicht werden, wenn die Datensätze:
- auf dem aktuellen Stand sind,
- den Informationsgehalt aufweisen, der dem Informationsbedarf entspricht,
- mit der Realität übereinstimmen,
- keine Widersprüche aufweisen,
- nachvollziehbar aufbereitet sind,
- vollständig vorliegen,
- eine einheitliche Struktur aufweisen.
Obwohl der Aufbau der Risikoanalyse nicht im Detail vorgegeben ist, haben sich in der Praxis gewisse Best Practice Lösungen herauskristallisiert. Zur besseren Übersichtlichkeit ist es sinnvoll, die einzelnen Risikogruppen bzw. Risikoarten getrennt voneinander zu betrachten. Hierdurch wird sichergestellt, dass es sich um eine ganzheitliche Risikobetrachtung handelt. Außerdem erleichtert es die Darstellung.
Folgende Unterteilung wäre denkbar:
I. Kundenrisiko
Wie setzt sich Ihre Kundenstruktur zusammen?
II. Produkt-/Dienstleistungsrisiko
Wie setzt sich das Produkt- oder Dienstleistungssortiment zusammen?
- Grenzüberschreitend
- Komplex
- Vertriebs-/Kommunikationskanäle
III. Geographisches Risiko
Gibt es Bezug zu (Hoch-) Risikoländern bei Kunden oder Transaktionen?
Gibt es geographische Risiken beim Unternehmensstandort (Nähe zu Gefährdungspunkten, Kriminalstatistik)?
IV. Transaktionsrisiko
Welche Risiken gibt es bei Transaktionen (Art, Höhe, Bargeldverkehr, Präsenz)?
V. Unternehmensrisiko
Welche Risiken gibt es innerhalb des Unternehmens (Geldwäscheprävention, Mitarbeiter)?
Diese Liste ist im Einzelfall zu erweitern und verdeutlicht den individuellen Charakter der Risikoanalyse.
Als Beispiel für die Erweiterbarkeit seien hier folgende Punkte angeführt:
- Beständigkeit der Kundenbasis,
- Situation entscheidender IT-Systeme,
- beabsichtigtes Kundenwachstum,
- geplantes Umsatzwachstum,
- Inanspruchnahme von Dienstleistern,
- personelle Kontinuität im Bereich der Geldwäscheprävention
Risikobewertung
Im nächsten Schritt sind die ermittelten Risiken zu bewerten. Dies hat nicht nach Gefühl zu erfolgen, sondern anhand von Quellen, Informationen und Analysen. Quellen, die für eine ordnungsgemäße Bewertung grundsätzlich herangezogen werden sollten, sind unter anderem:
- Staatliche Risikoeinschätzungen
- Schadensfalldatenbanken aus dem jeweiligen Branchenumfeld
- FIU Berichte
- Bundeslagebilder
- Berufsverbandinformationen
Die Darlegung zeigt auf, wie wichtig ein strukturiertes Vorgehen bei der Erstellung der Risikoanalyse ist. Eine vollumfängliche Erfassung trägt dazu bei, über das Jahr hinweg ein möglichst konstantes Verfahren sicherzustellen. Das funktioniert schlussendlich nur durch die Mitarbeit aller relevanten Fachabteilungen. Eine Risikoanalyse sollte naturgemäß kritisch sein.
Nur wenn geklärt ist, welche Maßnahmen nicht vorhanden oder vorhanden, nicht ausreichend oder ausreichend, uneffektiv oder effektiv sind, lassen sich auch Handlungsnotwendigkeiten erkennen und Potential für Verbesserungen transparent machen.
Gefahren bei der Erstellung einer Risikoanalyse
Die Erstellung einer Risikoanalyse – ohne Einbezug entsprechender fachlicher Expertise – birgt aufgrund ihrer Komplexität Gefahren:
- Es kann schnell passieren, dass wesentliche Änderungen innerhalb des Erstellungszeitraums übersehen und daher nicht zeitnah in die Risikoanalyse mit einbezogen werden.
- Die Risikoanalyse könnte unangemessen sein, so dass Risiken nicht ordnungsgemäß identifiziert werden.
- Weiterhin könnten Fehler bei der Klassifizierung der Risiken erfolgen.
- Eine nicht zu unterschätzende Gefahr ist auch eine mangelnde Datenqualität, weil bei der Vorbereitung bzw. Aufbereitung notwendiger Informationen und Unterlagen ungenau gearbeitet wurde.
Die Risikoanalyse bildet Herzstück und Grundlage der Geldwäscheprävention für Ihr Unternehmen. Fehler, die hier gemacht werden, multiplizieren sich in alle Bereiche und führen im schlimmsten Fall zur Unwirksamkeit der getroffenen Maßnahmen.
Des Weiteren birgt die Erstellung einer Risikoanalyse bei mangelhafter Durchführung zahlreiche Bußgeldtatbestände, von falscher Risikoidentifizierung und Bewertung über die Ableitung ineffektiver Gegenmaßnahmen bis hin zu mangelnder Dokumentation, um nur einige zu nennen.
Daher unser Rat: Setzen Sie auf Expertenwissen und Erfahrung!
Im Rahmen unserer Dienstleistungen erstellt PEQURIS selbstverständlich auch Ihre Risikoanalyse – sprechen Sie uns darauf an!