Mit der Verabschiedung der vierten EU-Geldwäscherichtlinie haben die Finanzinstitute die Verpflichtung übernommen, für die komplette Dauer der Kundenbeziehung dem Compliance-Risiko entsprechende Maßnahmen zu ergreifen, um gegen Geldwäsche vorzugehen. Diese sogenannten Sorgfaltspflichten, die im Wesentlichen durch die Compliance-Abteilung verantwortet werden, haben signifikante Auswirkungen auf die operativen Einheiten der Unternehmen. Dies verdeutlicht das Beispiel des Know Your Customer-Prozesses (KYC).
Gesetzliche Rahmenbedingungen fördern den risikoorientierten Ansatz
Am 25. Juni 2015 ist die vierte EU-Geldwäscherichtlinie in Kraft getreten, die den risikobasierten Ansatz in der Finanzindustrie weiter stärkt. Die Mitgliedsstaaten haben nun zwei Jahre Zeit, die neuen Regelungen in nationales Recht umzusetzen. Die weitreichendste Änderung betrifft den risikobasierten Ansatz, der schon in der dritten EU-Geldwäscherichtlinie gefordert wurde und jetzt eine deutliche Aufwertung erfährt. Aufgabe der Compliance ist es, das Risiko des einzelnen Kunden bezogen auf Geldwäsche abzuschätzen und entsprechende Sorgfaltsplichten zur Überwachung zu definieren. Die Daumenregel lautet in dem Fall: Je höher das potenzielle Risiko des Kunden ist, desto engmaschiger muss er beobachtet werden.
Üblicherweise wird das damit verbundene Verfahren als KYC-Prozess bezeichnet, wobei zwischen der Kundenannahme (Onboarding Customer Due Diligence) als einmaligem Vorfall und der laufenden Überwachung (Ongoing Customer Due Diligence) unterschieden wird.
Onboarding Customer Due Diligence (CDD)
Die Aufnahme einer neuen Kundenbeziehung ist von jeher ein zentraler Baustein bei den Finanzinstituten. Neben den klassischen Themen wie Personenidentifikation, Bonitätsprüfung, Embargo- und Sanktionslisten Check oder der Mittelherkunft der anzulegenden Gelder etc., werden mit der vierten EU-Geldwäscherichtlinie weitere Aspekte aufgegriffen.
Dazu gehört zum einen für die Unternehmenskunden der vollständige Nachweis der wirtschaftlich Berechtigten, inklusive Art und Umfang der wirtschaftlichen Berechtigung. Zum anderen werden durch den Wegfall von Positivlisten bei Drittländern oder die Reduktion der Sonderstellung inländischer PEPs (Politisch exponierter Personen) Automatismen bei der Beurteilung des Compliance-Risikos unterbunden, die eine individuelle Beurteilung notwendig machen.
Ein wichtiger Punkt ist die Erstellung eines SOLL-Profils, das, ausgehend von den zur Verfügung gestellten Informationen, das zukünftige Verhalten des Kunden widerspiegelt. Dort werden Aussagen über die Anzahl und Höhe von Auslandstransaktionen, Art und Anzahl zu nutzender Finanzprodukte etc. gespeichert.
Die im Rahmen dieses Prozesses erhobenen Daten, werden durch ein mathematisches Modell zu einer Zahl verdichtet, die das Compliance-Risiko des Kunden quantifiziert. Ausgehend von einer Einteilung in kleines, mittleres oder großes Risiko werden vereinfachte, allgemeine oder verstärkte Sorgfaltspflichten (Enhanced CDD) angewandt.
Ongoing Customer Due Diligence (CDD)
Die einmalige und wiederkehrende Neujustierung dieses Risikos findet Eingang in die operativen Systeme und Prozesse des Instituts. So ist bei der verstärkten Sorgfaltspflicht, die Überwachung des Transaktionsverhaltens zur Entdeckung von Auffälligkeiten in Bezug auf Geldwäsche strenger und engmaschiger und die Zeitzyklen für die regelmäßige Neukalkulation des Compliance-Risikos kürzer (vereinfachte Sorgfaltspflicht bis zu fünf Jahren, verstärkte Sorgfaltspflicht bis zu einem Jahr).
Auch unterliegen Hochrisikokunden einer gewissen „Management-Attention“, indem die, vom Kunden gewünschte Ausweitung der Geschäftsbeziehung beispielsweise durch die Hinzunahme neuer Finanzprodukte oder Zahlungstransaktionen einem eigens dafür definierten Genehmigungsprozess unterliegen.
Wichtig ist in dem Zusammenhang, dass jederzeit eine spontane Neuprüfung des Kunden stattfinden kann. Dies kann beispielsweise verursacht werden durch die Aufnahme des Kunden auf einer Embargo- oder Sanktionsliste oder durch Abweichungen des Kundenverhaltens von seinem SOLL-Profil, insofern dies risikoerhöhenden Charakter hat.
IT-Unterstützung – kritischer Erfolgsfaktor?
Dieser Prozess muss für jeden Kunden durchgeführt werden: für den Privat- und Anlagekunden, der ein Sparkonto eröffnen oder ein Darlehen aufnehmen möchte über den Wealth – Management Kunden, der sein Vermögen weltweit investiert bis zum global agierenden Unternehmen, das eine Vielzahl verschiedener Finanzprodukte und -dienstleistungen nutzt.
Sicherlich wird der CDD-Prozess vom jeweiligen Kundensegment abhängen und daher braucht es entsprechend fachlich geschultes und erfahrenes Personal in der Compliance-Abteilung, um die notwendigen Maßnahmen mit den operativen Vertriebseinheiten abzusprechen und auf deren Belange einzugehen. Nur dann ist eine effiziente Umsetzung möglich. Im umgekehrten Fall würde die Compliance schnell als „Vertriebsverhinderer“ wahrgenommen und auf mangelnde Akzeptanz stoßen.
Es wird immer Vorgänge geben, die die Fachkenntniss der Compliance-Verantwortlichen voraussetzt und daher nur manuell durchgeführt werden können. Aus diesem Grund ist die Tool-gestützte Implementierung des Prozesses wichtig, immer da wo es möglich und sinnvoll ist, sonst ist der damit verbundene Aufwand nicht zu bewältigen. Gerade für Retail-Banken mit mehreren Millionen Kunden ist die Automatisierung unvermeidlich zur Sicherstellung der vollständigen Prüfung mit der dafür erforderlichen Qualität.
KYC als Chance
Wie so oft werden derartige, gesetzlich motivierte Aufgaben zu Beginn als „notwendiges Übel“ und damit eher unter Kosten- und nicht unter Nutzengesichtspunkten bewertet. Durch die Erhebung der Vielzahl an Informationen und deren Betrachtung im Zeitverlauf entsteht aber eine neue Betrachtungsweise auf den Kunden, der unter Reputationsgesichtspunkten hilft, möglichen Schaden vom Institut abzuwenden. Und die, in der Öffentlichkeit publik gemachten Fälle der jüngeren Vergangenheit zeigen, dass es sich für viele Finanzunternehmen auch betriebswirtschaftlich lohnt, sich dieses Themas ernsthaft zu stellen.
Fazit
Der KYC-Prozess wird die Finanzinstitute in den nächsten Jahren intensiv beschäftigen. Die „monolithische Insel“ der Compliance wird weiter aufgelöst, indem die Verzahnung mit den operativen Einheiten voranschreitet und die Compliance als integraler Bestandteil des Risikomanagements eines Instituts wahrgenommen wird. Hier liegt die Chance, Compliance als Thema gesamthaft in das Unternehmen zu transportieren und dort zu verankern.
Dabei können Unternehmen den sich bietenden Spielraum ausnutzen, den die gesetzgebenden Instanzen in der praktischen Umsetzung vorsehen. Sie sollten das Thema aber durchaus ernst nehmen, denn bei einem Regelverstoß gegen die erweiterten Prüfpflichten müssen Unternehmen künftig mit empfindlichen Sanktionen und Geldbußen (bis zu fünf Millionen Euro oder zehn Prozent des jährlichen Gesamtumsatzes) rechnen; den damit verbundenen Reputationsverlust nicht eingerechnet.
Und die Prüfung wird nicht auf die Kunden beschränkt bleiben. Im Bereich der Korrespondenzbanken rückt das Thema „Know Your Customers Customer“ (Kenne die Kunden deines Kunden) immer stärker in den Fokus. Gleiches gilt für die Prüfung von Drittparteien (Lieferanten, Dienstleistern, Joint-Venture Partnern etc.). Gesetzlich motiviert durch den UKBA (UK Bribery Act) und den amerikanischen FCPA (Foreign Corrupt Practices Act) ist die Frage, mit wem das (global agierende) Unternehmen zusammenarbeitet, aus Reputationsgesichtspunkten von großer Bedeutung.
