Risikoanalyse in 5 Schritten – FM-GwG
Risikoanalyse in 5 Schritten – FM-GwG – Die Finanzmarktaufsicht Österreich hat für die Risikoanalyse zur Prävention von Geldwäscherei und Terrorismusfinanzierung ein Rundschreiben am 13.03.2018 mit den wesentlichen Regelungen veröffentlicht.
In unserem Informationsblog Risikoanalyse in 5 Schritten – FM-GwG erhalten Sie die wesentlichen Empfehlungen auf einen Blick:
- Nationale Risikoanalyse – Inhalt
- Bedrohungen und Bedrohungsfaktoren
- Subkategorie: Kreditinstitute
- Subkategorie: Versicherungsunternehmen
- Kapitalmarkt/Wertpapierdienstleistungen
- Risikoanalyse auf Unternehmensebene
- Schritt 1: Definition sämtlicher relevanter Risikofaktoren
- Schritt 2: Analyse der definierten Risikofaktoren
- Schritt 3: Bewertung der definierten Risikofaktoren
- Schritt 4: Ableitung eines Gesamtrisikos auf Unternehmensebene
- Schritt 5: Risikominimierende Maßnahmen
- Risikoanalyse auf Einzelkundenebene
- Identifizierung und Bewertung der Risiken von Geldwäscherei und Terrorismusfinanzierung
Risikoanalyse in 5 Schritten – FM-GwG
Schritt 1:Definition sämtlicher relevanter Risikofaktoren
In einem ersten Schritt ist zu definieren, welche Risikofaktoren für die Verpflichteten im Hinblick auf die konkrete institutsspezifische Situation bzw. auf die Geschäftsstrategie relevant sind. 39 Basierend auf der dargelegten institutsspezifischen Situation sind sämtliche für den Verpflichteten relevanten Risikofaktoren zu erheben. Einzugehen ist dabei zumindest auf jene Risikofaktoren, die demonstrativ in § 4 Abs. 1 FM-GwG aufgezählt werden, und zwar in Bezug auf
a. Kunden, b. Länder oder geografische Gebiete, c. Produkte, d. Dienstleistungen, e. Transaktionen, f. Vertriebskanäle sowie g. sonstige neue oder sich entwickelnde Technologien.
Schritt 1: Definition sämtlicher relevanter Risikofaktoren
Schritt 2: Analyse der in Schritt 1 definierten Risikofaktoren
Schritt 3: Bewertung der definierten Risikofaktoren anhand institutsspezifischer Kennzahlen
Schritt 4: Ableitung eines Gesamtrisikos auf Unternehmensebene auf Basis der in Schritt 3 ermittelten Einzelergebnisse
Schritt 5: Definition von risikominimierenden Maßnahmen auf Basis der in Schritt 3 und 4 ermittelten Ergebnisse 40 Grundsätzlich hat der Fokus bei der Definition dieser Risikofaktoren – wie auch bei der weiteren Bewertung und Mitigierung – auf der konkret durchgeführten Tätigkeit des Verpflichteten zu liegen. Entsprechend kurz kann – in einem angemessenen Verhältnis zu Art und Größe der Verpflichteten – die Risikoanalyse ausfallen, wenn lediglich ein sehr eingeschränktes Geschäftsfeld vorliegt.
Schritt 2: Analyse der definierten Risikofaktoren
41 In einem zweiten Schritt sind die ermittelten Risikofaktoren zu analysieren. Das bedeutet, dass (zumindest) sämtliche in RZ 39 aufgezählten Risikofaktoren sowie die jeweils relevanten Subkriterien bzw. ihre Bedeutung für die Bewertung des jeweiligen Risikos sowie ihre grundsätzliche Auswirkung auf das Unternehmensrisiko zu erfassen sind.
42 Für die Beurteilung des Länderrisikos sind einzelne Länder, z.B. nach dem Entwicklungsstand und der Transparenz ihres Rechtssystems, des Maßes an Rechtssicherheit, der Stabilität ihrer wirtschaftlichen und politischen Verhältnisse, der Kriminalitätsrate, der Stabilität ihres Finanzmarktes, dem Korruptionsgrad sowie den landesüblichen Firmenregistern sowie Offenlegungs- und Transparenzerfordernissen zu beurteilen. Dabei können etwa verschiedene Länderlisten herangezogen werden, vgl. RZ 83 und RZ 98f. Aufgrund dieser Beurteilung können Länder z.B. in EU-Mitgliedstaaten, gleichwertige Drittländer, Drittländer mit hohem Risiko gemäß § 2 Z 16 FM-GwG, von Sanktionen betroffene Staaten, Offshore-Länder, Länder mit hoher Korruption kategorisiert werden. Offshore-Ländern oder Ländern mit ausgeprägter Korruption ist z.B. ein hohes Risiko zuzuweisen.
Das Produktrisiko hängt u.a. von dem Missbrauchspotential ab, das mit dem angebotenen Produkt im Hinblick auf Geldwäscherei bzw. Terrorismusfinanzierung verbunden ist. Abzustellen ist dabei auf den Grad der Anonymität, den Bargeldcharakter, die Liquidität, die Vertriebskanäle sowie die Komplexität der Produkte. Eine anonyme Nutzungsmöglichkeit (z.B. Prepaidkarten, etc.), eine erhöhte Bargeldintensität, eine jederzeitige Verfügbarkeit von Liquidität sowie komplexe Produkte (z.B. Back-to-back-Treuhandgeschäftsmodell, Derivate, strukturierte oder gehebelte Produkte, etc.) erhöhen im Hinblick auf die damit verbundenen mangelnden oder erschwerten Kontrollmöglichkeiten das Risiko, für die Zwecke der Geldwäscherei oder Terrorismusfinanzierung missbraucht zu werden.
Hinsichtlich des Transaktionsrisikos erfolgt eine Zuordnung anhand der Nachvollziehbarkeit bzw. der Möglichkeit, die Nachvollziehbarkeit der Transaktionen zu unterbrechen („paper trail“). So wirken etwa Transaktionen über Durchlaufkonten, gelegentliche Transaktionen, Transaktionen iZm Offshore-Konstrukten oder ein hoher Anteil des Auslandszahlungsverkehrs iZm Ländern mit erhöhtem Risiko aufgrund der Verschleierungsmöglichkeit bzw. der möglichen Anonymität risikoerhöhend. Ebenso sind Bartransaktionen und grenzüberschreitende Transaktionen, insbesondere sofern involvierte Institute keine gleichwertigen Sorgfaltspflichten einzuhalten haben, als risikoerhöhend zu erachten.
Das Kundenrisiko ist u.a. anhand der Kundeneigenschaften, wie z.B. natürliche oder juristische Person inklusive des wirtschaftlichen Eigentümers, Wohnsitz/Sitz, Rechtsform, Private-BankingKunde, PEP sowie Branche des Kunden (Bargeldintensität, Transaktionsintensität, Auslandsbezug) zu beurteilen. Dabei ist etwa komplexen Eigentums- und Kontrollstrukturen, die eine Möglichkeit zur Anonymisierung bzw. Verschleierung der Eigentumsstruktur und/oder der Mittelherkunft begünstigen, oder bestimmten Branchen, die ein hohes Maß an Bargeld bzw. Transaktionen aufweisen, hohes Risiko zuzuweisen.
46 Das Risiko in Bezug auf Vertriebskanäle ist u.a. unter Berücksichtigung der Intensität des Kundenkontaktes bei Erfüllung der Sorgfaltspflichten zur Prävention von Geldwäscherei und Terrorismusfinanzierung zu beurteilen. So ist Vertriebskanälen, im Rahmen derer etwa Vermittler zum Einsatz kommen, z.B. ein höheres Risiko zuzuweisen (vgl. auch RZ 72 ff sowie RZ 84 ff).
47 Zu beurteilen ist weiters das Risiko in Bezug auf neue oder sich entwickelnde Technologien, wobei – entsprechend der FATF-Empfehlung 15 – sowohl Risiken, die sich aus der Entwicklung neuer Produkte oder neuer Geschäftspraktiken ergeben, als auch solche, die aus dem Gebrauch neuer Technologien resultieren, zu berücksichtigen sind. Das sich aus neuen oder sich entwickelnden Technologien ergebende Risiko ist seitens der Verpflichteten jedenfalls bereits vor der Einführung der jeweiligen Produkte oder Geschäftspraktiken zu evaluieren.
Weitere Faktoren, die in diesem Zusammenhang hinsichtlich des Risikogehaltes aussagekräftig sein können, sind etwa auch rechtliche Anforderungen, Anforderungen der Aufsicht, Erkenntnisse aus Verdachtsfällen oder aktuelle Ereignisse.
Seitens der Verpflichteten ist die Analyse der Risikofaktoren und ihrer Subkriterien nach den dargelegten Grundsätzen im Rahmen der Risikoanalyse zu verschriftlichen und z.B. in folgender Form festzuhalten: „Geschäftsbeziehungen mit Offshore-Bezug sind als hohes Risiko anzusehen, weil…, Das Risiko im Hinblick auf Bartransaktionen ist als hoch anzusehen, weil…;“.
Schritt 3: Bewertung der definierten Risikofaktoren
50 Anknüpfend an die Definition und die Analyse der relevanten Risikofaktoren hat als Schritt 3 eine Bewertung der Risikofaktoren unter Berücksichtigung institutsspezifischer Kennzahlen zu erfolgen. In der Folge sind die einzelnen Risikofaktoren durch entsprechendes institutseigenes Zahlen- und Datenmaterial zu illustrieren bzw. in ein Verhältnis zu bringen und – als Zwischenergebnis – zu bewerten. So hat seitens der Verpflichteten eine Bewertung der einzelnen ermittelten Teilrisiken unter Berücksichtigung ihrer institutsspezifischen Kennzahlen zu erfolgen. 51 Eine zusammenfassende Bewertung der einzelnen Faktoren ohne vorherige detaillierte Analyse und Hinterlegung mit institutsspezifischen Kennzahlen ist jedenfalls nicht ausreichend. Vielmehr muss aus der Bewertung klar ersichtlich sein, wie viele – beispielsweise – Geschäftsbeziehungen zu Kunden, die gleichzeitig auch die PEP-Eigenschaft erfüllen und in welcher Relation dieser Risikofaktor zum Unternehmen bzw. zur Tätigkeit des Unternehmens steht. Anders formuliert: Es wirkt sich anders auf die Risikobewertung aus, ob beispielsweise 0,25 % oder 10 % des Gesamtkundenbestandes einen Offshore-Bezug aufweisen. Dieser Umstand muss aus der seitens des Verpflichteten vorgenommenen Bewertung ableit- und überprüfbar sein.
52 Eine nachvollziehbare Verschriftlichung der Bewertung des Transaktionsrisikos könnte beispielsweise folgende Form haben: „Rund 0,5 % des abgewickelten Transaktionsvolumens (dies entspricht EUR xxx) weisen einen Auslandsbezug in Länder innerhalb des EWR auf. Transaktionen in Drittländer stellen im vergangenen Jahr lediglich etwa 0,01 % des abgewickelten Transaktionsvolumens (dies entspricht EUR xxx) dar. Der Anteil von Bartransaktionen, deren Risiko grundsätzlich als hoch bewertet wurde, entspricht rund 0,2 % (dies entspricht EUR xxx) des abgewickelten Transaktionsvolumens, und spielt somit eine untergeordnete Rolle. Das transaktionsbezogene Risiko wird sohin als gering erachtet.“
53 Das Ergebnis der einzelnen Risikofaktoren muss letztlich plausibel sein: Ergibt etwa die Analyse des Kundenrisikos, dass ein hoher Prozentsatz des Gesamtkundenbestandes den Wohnsitz/Sitz in Ländern mit erhöhtem Risiko unterhält und ein weiterer beträchtlicher Teil der Geschäftsbeziehungen einen PEP-Bezug aufweist, wird auch das Kundenrisiko als hoch zu bewerten sein.
Schritt 4: Ableitung eines Gesamtrisikos auf Unternehmensebene
54 Als Schritt 4 ist aus den Teilergebnissen ein (schlüssiges) Gesamtrisiko abzuleiten. Dies bedeutet, wenn z.B. das Länderrisiko als gering, das Produktrisiko als mittel, das Transaktionsrisiko als hoch und das Kundenrisiko als mittel eingestuft wurde, daraus ein entsprechendes Gesamtrisiko auf Unternehmensebene für Zwecke der Geldwäscherei und der Terrorismusfinanzierung missbraucht zu werden, abzuleiten ist, in welchem sich die ermittelten Werte widerspiegeln.
Schritt 5: Risikominimierende Maßnahmen
55 Letztlich ist als Schritt 5 zu definieren bzw. abzubilden, welche risikoorientierten Maßnahmen auf Unternehmensebene gesetzt werden können, um das Risiko entsprechend zu minimieren. Davon umfasst sind z.B.:
a. angemessene Strategien und Verfahren zur Einhaltung der Sorgfaltspflichten inkl. entsprechender Verschriftlichung in Dienstanweisungen, Arbeitsbehelfen (wie z.B. Checklisten, Kundenannahmeprozessen, Formularen o.ä.); b. die Ausstattung der Funktion des Geldwäschebeauftragten (GWB) mit entsprechenden (ausreichenden) Ressourcen und Kompetenzen (z.B. Einbeziehung des GWB bei Begründung der Geschäftsbeziehung zu Kunden mit hohem Risiko); c. die zumindest jährliche Aktualisierung der Risikoanalyse; d. die Erhebung erforderlicher Daten inkl. Einbindung anderer Abteilungen sowie die Sicherung der Datenqualität (auch im Hinblick auf den Detailierungsgrad der Daten); e. regelmäßige Mitarbeiterschulungen und Sensibilisierung betreffend mögliche Risikosituationen; f. den Einsatz von IT-Systemen zur Prävention von Geldwäscherei und Terrorismusfinanzierung; g. Durchführung von Kontrollen inkl. Verschriftlichung im Rahmen eines Kontrollplanes;
Compliance & Geldwäschebeauftragter – Seminar Geldwäsche
Unsere Praxisseminare Geldwäsche und Fraud – Basisseminar, Geldwäsche und Fraud – Aufbauseminar, Geldwäsche & Fraud – Update und Geldwäsche & Fraud – Forum verschaffen Ihnen einen umfassenden Überblick zu den aktuellen gesetzlichen Neuerungen und unterstützen Sie dabei, Geldwäsche- und Betrugsstrukturen zu erkennen, zu bewerten und rechtzeitig zu verhindern. In den Compliance-Seminaren wie Compliance, Compliance für Vertriebsbeauftragte, Neue Compliance-Funktion gemäß MaRisk oder auch Compliance im Fokus der Bankenaufsicht werden Ihnen die Ausgestaltung der Schnittstellen zwischen Compliance, Datenschutz, IT, Zentrale Stelle und Interner Revision näher gebracht. Auch die Mindestanforderungen zum Aufbau eines Gesamt-IKS werden hier beispielsweise näher erläutert.
Zudem haben Sie die Chance, nach Teilnahme der Seminare die Zertifizierungslehrgänge zum Compliance Officer, zum AML & Fraud Officer oder zum Geldwäsche-Beauftragter zu absolvieren.
Depot A Management und Asset Management – Seminar Geldwäsche
Bauen Sie für Ihr Unternehmen eine eigenständige Kreditanalyse zur verlässlichen Beurteilung Ihrer Emittenten- und Kontrahentenlimite auf! In den Seminaren Depot A im Fokus der Bankenaufsicht, Depot A Management: Kompaktwissen für die Niedrigzinsphase und Depot A Management erhalten Sie Leitlinien für eine aufsichts- und haftungsrechtlich sichere Kreditanalyse und Limiteinräumung bei Eigenanlagen. Darüber hinaus helfen Ihnen anerkannte Beurteilungsstandards, Checklisten und Musterbeschlüsse bei einer fundierten und zuverlässigen Kreditanalyse im Depot A.
Neues Datenschutzgesetz DS-GVO – Seminar Geldwäsche
Wesentliche Neuerungen der Europäischen Datenschutzgrundverordnung (DS-GVO) sind folgende 10 Punkte. Künftig gelten das Marktortprinzip, sog. räumlicher Anwendungsbereich, neue Grundsätze der Datenverarbeitung, ein Verzeichnis aller Datenverarbeitungstätigkeiten, die Erweiterung der Informationspflichten, das Recht auf Vergessenwerden“, Schutz personenbezogener Daten von Kindern, Datenschutzfolgenabschätzung, das Prinzip des „One-Stop-Shop“, die verschärften Meldepflicht von „Datenpannen“ sowie deutlich verschärfte Sanktionen und Bußgelder. Mit unserer Seminarreihe Datenschutz im Unternehmen erhalten Sie alle Neuerungen kompakt aufbereitet.