Geldwäscherei-Risikoanalyse 2.0

Einordnung ¹

_{¹Es handelt sich um eine stark vereinfachte Darstellung, welche eine rasche erste Einordnung der Thematik ermöglichen soll. Jedes Institut sollte die Relevanz und den konkreten Handlungsbedarf individuell-konkret bestimmen.}

Regulatorische Vorgaben

Seit dem 1. Januar 2016 enthält die GwV-FINMA eine explizite Vorgabe zur Erstellung einer Geldwäscherei-Risikoanalyse (heutiger Art. 25 Abs. 2 GwV-FINMA; basiert auf der FATF-Empfehlung 1). Demnach muss der Finanzintermediär unter Berücksichtigung seines Tätigkeitsgebietes und der Art geführter Geschäftsbeziehungen eine Risikoanalyse der damit verbundenen Geldwäscherei- und Terrorismusfinanzierungsrisiken erstellen. Als Hilfskriterien soll der Finanzintermediär insbesondere das Domizil der Zielkunden, die geografische Präsenz des Instituts, das Kundensegment und die angebotenen Produkte und Dienstleistungen beiziehen.

Seit dem 1. Januar 2020 müssen Finanzintermediäre zudem die festzulegenden Kriterien zur Risikokategorisierung ihrer Geschäftsbeziehungen analysieren (Art. 13 Abs. 2^bis GwV-FINMA). Für jedes der in Art. 13 Abs. 2 GwV-FINMA aufgeführten Kriterien muss einzeln festgehalten werden, ob es für die eigene Geschäftstätigkeit relevant ist oder nicht.

Komplettes Geldwäscherei-Risikomanagement inkl. Risikotoleranzen

Die von der FINMA im Frühjahr 2023 durchgeführte Erhebung von Risikoanalysen bei über 30 Banken zeigte, dass die meisten Analysen die Anforderungen nicht erfüllten. Nach Ansicht der FINMA gingen die spezifischen Anforderungen bereits aus den Bestimmungen und den Erläuterungsberichten hervor, wurden bis anhin jedoch von vielen Finanzintermediären nicht in der erwarteten Tiefe umgesetzt. Mit der Aufsichtsmitteilung 05/2023 schafft die FINMA Klarheit und kommuniziert ihre Erwartungen an Banken und sinngemäss auch an FINIG-Institute.

Die FINMA erwartet die Definition der Risikotoleranz und Schwellenwerte/Limiten, insbesondere unter Berücksichtigung der folgenden Punkte:

• Geschäftspolitischer Ausschluss bestimmter Länder, Kundensegmente und Dienstleistungen und/oder Produkte
• Festlegung eines «Exception-to-Policy»-Prozesses, um im Einzelfall Ausnahmen von der definierten Risikotoleranz zu ermöglichen
• Definition von Schlüsselrisikoindikatoren zur Überwachung der Einhaltung der Risikotoleranz durch GL und VR (anhand von Risikolimiten)

Bei der Risikoanalyse erwartet die FINMA, dass der Finanzintermediär sämtliche Geldwäschereirisiken, denen er ausgesetzt ist, identifiziert, erfasst, analysiert und bemisst sowie gestützt auf diese Erkenntnisse Massnahmen zur Bewirtschaftung, Steuerung, Kontrolle, Rapportierung und Überwachung dieser Risiken definiert. Folgende Punkte sind dabei zentral:

1. Geldwäschereirisiken

• • Erfassung, Analyse und Bemessung der einzelnen Risiken für jede Risikokategorie (insb. Sitz oder Wohnsitz der Kunden, Kundensegment, Produkte/Dienstleitungen und geografische Präsenz --> individuell zu ergänzen)
  • Inhärentes Risiko, Kontrollrisiko und Nettorisiko einzeln und nachvollziehbar für jedes relevante Geldwäschereirisiko aufzeigen
  • Beizug von Kennzahlen und Erkenntnissen aus den durchgeführten Kontrollen («Controls of controls»)

2. Umsetzung der Anforderungen nach Art. 13 Abs. 2^bis GwV-FINMA

• • Festhalten für jedes einzelne Kriterium nach Art. 13 Abs. 2^bis GwV-FINMA, ob dieses für die Geschäftsaktivität relevant ist oder nicht
  • Die erforderliche Relevanz ist als gegeben zu betrachten, wenn eine bedeutende Anzahl von Geschäftsbeziehungen betroffen ist
  • Die Relevanzbeurteilung muss sich auf definierte Kennzahlen stützen und für Dritte nachvollziehbar sein

3. Überwachung der Einhaltung der Geschäftsstrategie und der Risikopolitik

• • Schriftliches Festhalten der Risikoanalyse, periodische Überprüfung, bei Bedarf Anpassung und jeweils Verabschiedung vom VR oder dem obersten Geschäftsführungsorgan
  • Regelmässige Überprüfung, inwieweit die Zusammensetzung des bestehenden Kundenstamms und Dienstleistungspalette mit der Geschäftsstrategie und Risikopolitik übereinstimmt
  • Definition von Kennzahlen für die Bestimmung der jeweiligen Risikoexposition und Einhaltung der Strategie/Risikopolitik
  • Definition von Risikolimiten zur Überwachung der Risikotoleranz
  • Abgleich des Nettorisikos mit der Risikotoleranz
  • Ergreifen von Massnahmen bei Nichteinhaltung der Schwellenwerte oder Risikotoleranz

4. Weitere zu berücksichtigende Elemente

• • Vorjahresvergleich: Sicherstellung der Nachvollziehbarkeit der Entwicklung der Risiken (inhärente Risiken, Kontrollrisiko und Nettorisiken)
  • Ressourcenbestand: Kritisches Hinterfragen der qualitativen und quantitativen Ressourcen für die Gewährleistung der Umsetzung des Geldwäschereidispositivs

Umsetzung

Um den umfangreichen Anforderungen der FINMA gerecht zu werden, ist es je nach Natur und Grösse des Finanzintermediärs angezeigt, den Geldwäscherei-Risikomanagement-Prozess mit Hilfe eines Risikokriterienkatalogs zu definieren. Darin müssen insbesondere die Einschätzungen zum inhärenten Risiko, zum Kontrollrisiko und zum Nettorisiko je Geldwäschereirisiko einzeln ersichtlich und nachvollziehbar sein. Zudem müssen ausreichend detaillierte Massnahmen sowie Kennzahlen und Risikolimiten je Geldwäschereirisiko definiert werden.

^{Auszug aus einem vereinfachten Beispiel eines Risikokriterienkatalogs; Quelle: FINMA}

Zuständig für die Durchführung und Erstellung der Geldwäscherei-Risikoanalyse ist in der Regel die Geldwäschereifachstelle. Die definierten Risikolimiten sollten von der Geschäftsleitung vernehmlasst und mit dem Verwaltungsrat abgestimmt werden (Akzeptanz der Restrisiken). Die (periodische) Verabschiedung erfolgt durch den Verwaltungsrat oder das oberste Geschäftsführungsorgan. Die Geldwäschereirisikoanalyse kann als Teil in die umfassende Compliance-Risikoanalyse eingebaut werden.

Anwendbarkeit für FINIG-Institute

Die FINMA adressiert ihre Erwartungen aus der Aufsichtsmitteilung 05/2023 klarerweise an die Banken. Sie macht darin auch eine direkte Verbindung zum Bankengesetz und -verordnung sowie zum FINMA-Rundschreiben 2017/1 «Corporate Governance – Banken». Lediglich an einer Stelle führt die FINMA aus, dass ihre Beobachtungen und Erfahrungen sinngemäss auch für FINIG-Institute herangezogen werden können.

Das FINIG enthält die explizite organisatorische Anforderung, dass das FINIG-Institut seine Risiken identifizieren, messen, steuern und überwachen muss (einschliesslich der Rechts- und Reputationsrisiken) und für wirksame interne Kontrollen sorgt. Die FINIV verlangt weiter, dass Risikotoleranzen bestimmt werden. Vor dem Hintergrund der gesetzlichen Grundlagen und der FINMA-Aufsichtsmitteilung 05/2023 ist klar, dass die Erwartungen der FINMA an die Geldwäscherei-Risikoanalyse und -Risikotoleranz grundsätzlich auch für FINIG-Institute gelten. Aus Gründen der Verhältnismässigkeit und informellen Gesprächen zufolge kann jedoch – im Vergleich zu den Banken – auch eine pragmatischere Umsetzung ausreichend sein (allenfalls beim Umfang der Risikokategorien/-kriterien und/oder Detaillierungsgrad zu Risikoeinschätzungen und Massnahmen).

Fazit

Die Geldwäscherei-Risikoanalyse soll ein strategisches Werkzeug zur Überprüfung der Einhaltung der Risiko- und Geschäftsstrategie (in Form von Risikolimiten) und des Geldwäscherei-Risikoappetits (in Form von Nettorisiken) sein. Die Definition des Risikoappetits und eine fundierte Risikoanalyse werden nun vermehrt im Fokus der Aufsichtsbehörde und der Prüfgesellschaften sein. Finanzintermediäre sollten prüfen, ob ihre Geldwäscherei-Risikoanalyse regulierungskonform ist und andernfalls zeitnah geeignete Schritte zur Behebung einleiten.