FINMA konkretisiert Anforderungen an die Geldwäschereirisikoanalyse

Einordnung¹

¹ _{Es handelt sich um eine stark vereinfachte Darstellung, welche eine rasche erste Einordnung der Thematik ermöglichen soll. Jedes Institut sollte die Relevanz und den konkreten Handlungsbedarf individuell-konkret bestimmen.}

Einordnung und Zielsetzung

Die FINMA unterstreicht, dass die Geldwäschereirisikoanalyse das zentrale Steuerungsinstrument des Risikomanagements darstellt. Sie bildet den Ausgangspunkt für die Ausgestaltung des Geldwäschereidispositivs, indem sie die Risikotoleranz definiert und verbindliche Leitplanken für Organisation, Prozesse und Kontrollen festlegt. Ziel der aktualisierten Mitteilung ist es insbesondere,

• bestehende methodische Unklarheiten zu beseitigen;
• die Vergleichbarkeit und Kohärenz der Risikoanalysen zu erhöhen;
• sowie deren tatsächliche Steuerungswirkung im Institut zu stärken.

Zentrale Feststellungen aus der FINMA-Aufsichtspraxis

Die FINMA anerkennt, dass Institute seit 2023 Fortschritte erzielt haben, insbesondere bei der Strukturierung der Risikoanalysen und der Definition der Risikotoleranz. Gleichzeitig bestehen weiterhin wiederkehrende Schwachstellen:

• Risikotoleranz nicht hinreichend konkretisiert:
  Häufig fehlen klare Festlegungen, welche Risiken explizit ausgeschlossen werden (z. B. Länder, Kundensegmente oder Produkte), oder diese stehen nicht im Einklang mit dem Geschäftsmodell.
  
  
• Methodische Defizite bei der Risikoermittlung:
  Die Abgrenzung zwischen inhärentem Risiko, Kontrollen und Restrisiko ist teilweise unklar oder inkonsistent, was die Aussagekraft der Risikoanalyse erheblich einschränkt.
  
  
• Unzureichende Erfassung erhöhter Risiken:
  Bestimmte Risikofelder, insbesondere PEP, komplexe Strukturen oder krypto-bezogene Geschäftsmodelle, werden teilweise nicht angemessen als Hochrisiko klassifiziert. 
  
  
• Schwächen in der Operationalisierung:
  Risikoindikatoren (KRIs), Limiten und Überwachungsmechanismen sind häufig nicht ausreichend aussagekräftig oder nicht konsequent mit der Risikotoleranz verknüpft. 
  
  
• Zu grosszügige Ausnahmeprozesse:
  „Exception-to-policy“-Bewilligungen werden teilweise zu häufig gewährt und unterlaufen faktisch die definierte Risikopolitik.

Präzisierte Erwartungen der FINMA

Auf Basis dieser Feststellungen konkretisiert die FINMA ihre Erwartungen entlang der wesentlichen Elemente der Risikoanalyse:

• Klare Definition der Risikotoleranz:
  Institute müssen explizit festlegen, welche Risiken sie akzeptieren und welche ausgeschlossen sind. Risikomindernde Massnahmen ersetzen keine bewussten Risikoausschlüsse.
  Beispiel: Ein Vermögensverwalter schliesst systematisch Geschäftsbeziehungen mit Kunden aus Hochrisikoländern aus, anstatt diese lediglich durch erhöhte Sorgfaltspflichten zu mitigieren.
  
  
• Systematische Identifikation inhärenter Risiken:
  Die Risikoanalyse hat sämtliche relevanten Risikotreiber des Geschäftsmodells vollständig und granular zu erfassen (Kunden, Produkte, Märkte, Vertriebskanäle).
  Beispiel: Separate Bewertung der Risiken von PEP-Kunden, komplexen Strukturen und digital angebahnten Geschäftsbeziehungen anstelle einer aggregierten Gesamteinschätzung „Kundensegment Privatkunden“.
  
  
• Saubere methodische Trennung:
  Inhärente Risiken, Kontrollqualität und Restrisiken sind klar zu unterscheiden und nachvollziehbar zu bewerten. 
  Beispiel: Ein Institut bewertet zunächst das inhärente Risiko eines PEP-Kunden als „hoch“, reduziert dieses durch effektive Kontrollen und weist das verbleibende Restrisiko transparent aus, anstatt direkt ein „mittleres Gesamtrisiko“ zu vergeben.
  
  
• Stärkere Steuerungsorientierung:
  Risikoanalyse, Geschäftsstrategie, Risikopolitik und operative Umsetzung müssen konsistent miteinander verknüpft sein. Insbesondere sind KRIs, Limiten und Eskalationsmechanismen wirksam zu definieren.
  Beispiel: Definition eines KRI für den Anteil von Hochrisikobeziehungen am Gesamtportfolio, z. B. 10% des Kundenstamms oder AuM, mit klaren Eskalationsmechanismen bei Überschreitung.
  
  
• Überwachung und Governance:
  Die Einhaltung der Risikotoleranz ist laufend zu überwachen. Abweichungen müssen systematisch erfasst, genehmigt und kontrolliert werden. 
  Beispiel: Einführung eines formalisierten „Exception-to-Policy“-Prozesses mit Genehmigung auf Stufe Geschäftsleitung bei Überschreitung definierter Risikolimiten und regelmässigem Reporting an den Verwaltungsrat.

Bedeutung für FINIG-Institute (insb. Vermögensverwalter)

Die FINMA hält ausdrücklich fest, dass die methodischen Grundsätze der Risikoanalyse auch für FINIG-Institute gelten. Unterschiede bestehen lediglich in der Detailtiefe im Sinne des Proportionalitätsprinzips, nicht jedoch in der Qualität oder Systematik.

Für Vermögensverwalter bedeutet dies insbesondere:

• Risikoanalysen müssen gleichwertig robust und methodisch fundiert sein wie bei Banken.
• Explizite Risikoausschlüsse und klare Risikotoleranz sind zwingend erforderlich.
• Die Risikoanalyse muss als aktives Steuerungsinstrument genutzt werden und darf nicht nur formalen Charakter haben.

Fazit

Mit der Aufsichtsmitteilung 04/2026 verschärft die FINMA zwar keine formellen regulatorischen Anforderungen, sie definiert jedoch eine deutlich klarere aufsichtliche Erwartungshaltung an die Qualität von Geldwäschereirisikoanalysen. Die Mitteilung verdeutlicht, dass die FINMA die Geldwäschereirisikoanalyse künftig noch stärker als zentrales Governance- und Steuerungsinstrument beurteilt. Institute sind daher angehalten, ihre bestehenden Risikoanalysen kritisch zu überprüfen und insbesondere deren Methodik, Granularität und operative Wirksamkeit gezielt zu stärken.

Wie wir Sie unterstützen

Grant Thornton begleitet Unternehmen bei der Einordnung regulatorischer Neuerungen und unterstützt sie bei deren konkreter Umsetzung und Implementierung. Dabei stehen wir auch als Ansprechpartner für konzeptionelle und technologische Fragestellungen zur Verfügung.