Umsetzung des risikobasierten Ansatzes gemäß der 4. EU-Geldwäscherichtlinie - Compliance Business Magazin
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
16 // Compliance & Financial Services
Ausgabe 1 // März 2019
Umsetzung des risikobasierten Ansatzes gemäß der
4. EU-Geldwäscherichtlinie
Die Verwendung des Client-Risk-Ratings als zentrales Element des risikobasierten KYC-Prozesses
Von Ratheeskumar Ragunathan und Dr. Burkhard Eisele
Hintergrund
Zur Verhinderung der Nutzung des Finanzsystems zum Das Client-Risk-Rating stellt
ein zentrales Element bei
Zweck der Geldwäsche und der Terrorismusfinanzie- der Umsetzung des soge-
rung fordert die 4. EU-Geldwäscherichtlinie (4. EU-GwR) nannten risikobasierten
Ansatzes nach der 4. EU-
seit ihrem Inkrafttreten im Juni 2017, dass Kredit- und Geldwäscherichtlinie (4.
Finanzinstitute ihre Kunden im Rahmen des Know-your- EU-GwR) dar.
Customer (KYC)-Prozesses auf Basis eines risikobasierten
Ansatzes zu bewerten haben.
© Stadtratte/Thinkstock/Getty Images
Im Erwägungsgrund (22) zur 4. EU-Geldwäscherichtlinie
wird hierzu dargelegt, dass „… nach einem ganzheitli-
chen, risikobasierten Ansatz verfahren werden (soll). (…)
Er setzt eine faktengestützte Entscheidungsfindung vo-
raus, die es ermöglicht, gezielter auf die (…) bestehenden
Risiken der Geldwäsche und Terrorismusfinanzierung
einzugehen.“
pflichten gegenüber Kunden nicht nur auf alle neuen liche Umstände ändern.“ (Der Begriff „geeignete Zeit“
Den Geltungsbereich des risikobasierten Ansatzes be- Kunden, sondern zu geeigneter Zeit auch auf die beste- bezieht sich hier nicht auf eine Übergangsfrist zur Ein-
schreibt Art. 14 Abs. 5 4. EU-GwR: „Die Mitgliedstaaten hende Kundschaft auf risikobasierter Grundlage erfül- führung des risikobasierten Ansatzes bei Bestandskun-
schreiben vor, dass die Verpflichteten ihre Sorgfalts- len, so auch dann, wenn sich bei einem Kunden maßgeb- 17 // Compliance & Financial Services
Ausgabe 1 // März 2019
den, sondern auf die zu wählende Frequenz, in der ein zu bewerten. Diese Schritte ste-
Bestandskunde erneut einer Review zu unterziehen ist). hen in einem angemessenen
Verhältnis zu Art und Größe der
Konkret bedeutet dies, dass der risikobasierte Ansatz im Verpflichteten.“
KYC-Prozess in den drei folgenden Situationen Anwen-
dung findet: Die hier genannten Risikofakto-
ren werden in Anhang II zur 4.
• im Rahmen des „Client-Onboardings“, also bei der Er- EU-GwR (Faktoren und mögli-
mittlung des Geldwäscherisikos von Neukunden vor che Anzeichen für ein potentiell
Vertragsabschluss geringeres Risiko) und Anhang
III zur 4. EU-GwR (Faktoren und
• bei der „Regular Review“, also der zyklischen Ermittlung mögliche Anzeichen für ein po-
des Geldwäscherisikos von Bestandskunden, basierend tentiell höheres Risiko) weiter
auf der jeweiligen Risikoeinstufung „High Risk“, „Medi- konkretisiert.
um Risk“ bzw. „Low Risk“
• im Fall einer erforderlichen „Event-driven Review“, also Methodische
bei der Ad-hoc-Ermittlung des Geldwäscherisikos von Vorgehensweise im Client-
Bestandskunden bei Eintreten von exogenen oder en- Onboarding-Prozess
dogenen Ereignissen („Events“) Abbildung 1: Faktoren und mögliche Anzeichen für ein potentiell höheres Risiko (Anhang III zur
4. EU-GwR)
Das Client-Risk-Rating ist inte-
Knapp zwei Jahre nach Inkrafttreten der 4. EU-GwR und dells des Instituts), definiert die 4. EU-GwR in Art. 8 auf graler Bestandteil des KYC-Onboarding-Prozesses und
der Novelle 2017 des deutschen Geldwäschegesetzes Basis einer nicht abschließenden Aufzählung Risikofak- bildet das Rückgrat des risikobasierten Ansatzes. Metho-
(GwG) zeigt die Erfahrung, dass viele Institute auch heu- toren, die im Client-Risk-Rating zu berücksichtigen sind. disch basiert das Client-Risk-Rating auf der Nutzung des
te noch über keine geschlossene Methodik verfügen, die Hier heißt es: sogenannten Risiko-Scoring-Modells. Damit gewähr-
den Anforderungen an eine umfassende Nutzung des leistet die Nutzung des Risiko-Scoring-Modells eine ri-
risikobasierten Ansatzes Genüge leistet. „Die Mitgliedstaaten sorgen dafür, dass die Verpflich- sikoadäquate und granulare Einschätzung des Geldwä-
teten angemessene Schritte unternehmen, um die für scherisikos.
sie bestehenden Risiken der Geldwäsche und Terroris-
Risikofaktoren für ein potentiell höheres Risiko musfinanzierung unter Berücksichtigung von Risikofak- Die nachfolgende Beschreibung skizziert eine gängige
toren, einschließlich in Bezug auf ihre Kunden, Länder Methodik für einen risikobasierten KYC-Ansatz im Cli-
Neben Risikofaktoren, die institutsspezifisch zu bestim- oder geografischen Gebiete, Produkte, Dienstleistungen, ent-Onboarding.
men sind (etwa aufgrund des besonderen Geschäftsmo- Transaktionen oder Vertriebskanäle, zu ermitteln und 18 // Compliance & Financial Services
Ausgabe 1 // März 2019
• Ermittlung des Client-Risk-Ratings Das Risiko-Scoring-Modell be-
wertet die spezifischen Ausprä-
Im Rahmen der Onboarding-Prüfung werden für ei- gungen der Risikofaktoren und
nen Neukunden neben der Identifikation und Legiti- gewichtet diese unter Nutzung
mation des Kunden Informationen zur Mittelherkunft, eines ökonometrischen Modells.
zum Zweck der Geschäftsbeziehung und zum wirt-
schaftlichen Berechtigten erhoben. Das Risiko-Sco- Das Ergebnis ist der Initial-Risk-
ring-Modell verwendet diese Informationen sowie die Score. Dieser Score kann Ausprä-
obengenannten Risikofaktoren, um das Client-Risk-Ra- gungen von 0 bis 100 erreichen.
ting, das sich aus dem Zusammenwirken vom „Initial- Der ermittelte Risk-Score wird in
Risk-Rating“ und dem Einfluss der „prohibitiven Risiko- eine der drei Risikoeinstufungen
faktoren“ ergibt, zu bestimmen. „Low Risk“, „Medium Risk “ und
„High Risk“ überführt.
• Initial-Client-Risk-Rating
Zur Ermittlung des Client-Risk-Ratings werden die In- Prohibitive Risikofaktoren
formationen, die im Rahmen des Onboardings über den
Neukunden erhoben werden, genutzt. Dazu werden spe- Das anhand des Initial-Risk-Sco-
zifische KYC-Daten und Kundendokumente, wie oben rings ermittelte Initial-Client-
dargestellt, als Risikofaktoren erhoben und in einem Risk-Rating stellt den Ausgangs- Abbildung 2: Ermittlung des Client-Risk-Ratings
KYC-Workflow-System erfasst. wert für das finale Client-Risk-Rating dar. Im Folgeschritt
werden die prohibitiven Risikofaktoren einbezogen. des Kunden zu Sanktions- und/oder Embargoländern
werden bei den prohibitiven Risikofaktoren einbezogen].
Das PeP-Kennzeichen [Politisch exponierte Person im
Initial-Risk-Score Initial-Client-Risk-Rating Sinne dieses Gesetzes ist jede natürliche Person, die Sobald einer der prohibitiven Faktoren als zutreffend be-
ein hochrangiges wichtiges öffentliches Amt auf inter- wertet wird, wird das finale Client-Risk-Rating auf „High
0 bis 30 Low Risk nationaler, europäischer oder nationaler Ebene ausübt Risk“ gesetzt; es erfolgt ein „Overruling“ des Initial-Risk-
>30 bis 60 Medium Risk oder ausgeübt hat oder ein öffentliches Amt unterhalb Ratings. Wird kein prohibitiver Faktor als zutreffend
>60 bis 100 High Risk der nationalen Ebene, dessen politische Bedeutung ver- bewertet, entspricht das finale Client-Risk-Rating dem
Quelle: KPMG
gleichbar ist, ausübt oder ausgeübt hat (vgl. § 6 Abs. 2 Initial-Client-Risk-Rating.
Überführungsmatrix Initial-Risk-Score zum Nr. 1 GwG), das Vorliegen von auffälligen Informationen
Initial-Client-Risk-Rating (sogenannten, Negative News) sowie eine Verbindung
19 // Compliance & Financial Services
Ausgabe 1 // März 2019
Kundenannahme und Konsultationsprozess für neter Zeit“ neu zu bewerten. Ausschlaggebend für den • die Veränderung von Länderrisiken gemäß Korrupti-
High-Risk-Kunden Zeitpunkt der Wiedervorlage ist die gegenwärtige Risiko- onsindex (englisch Corruption Perceptions Index, abge-
einstufung des Kunden. Die Wiedervorlage der Kunden kürzt CPI),
Das im Rahmen des Onboardings ermittelte Client-Risk- und die Neubewertung/Neuermittlung des Client-Risk-
Rating ist ein zentraler Faktor, der entscheidet, ob das Ratings erfolgt in drei typischen Regelzyklen: • die Aufnahme in die Sanktions- und Embargolisten,
operative Kundenmanagement (First Line of Defense)
und die Compliancefunktion (Second Line of Defense) • Low-Risk-Kundengruppe: Neubewertung/Neuermitt- • die Veränderung der Risikoeinstufung von Branchen
vereinfachte oder verschärfte Sorgfaltspflichten gegen- lung des Client-Risk-Ratings alle fünf Jahre gemäß Geldwäscherichtlinie,
über Kunden anzuwenden haben. Institute sind gemäß
Art. 18 4. EU-GwR verpflichtet, bei verstärkten Sorgfalts- • Medium-Risk-Kundengruppe: Neubewertung/Neuer- • das Eintreten der Voraussetzungen für den PeP-Status,
pflichten den konkreten Umfang der zu ergreifenden mittlung des Client-Risk-Ratings alle zwei Jahre
Maßnahmen entsprechend dem jeweiligen höheren Ri- • die wesentliche Erhöhung der Transaktionsvolumina.
siko zu bestimmen. • High-Risk-Kundengruppe: Neubewertung/Neuermitt-
lung des Client-Risk-Ratings jedes Jahr Die Event-driven Review stellt sicher, dass sämtliche
Für Kunden mit einem Client-Risk-Rating von „Low Risk“ Kunden, die aufgrund der Veränderung der Ausprägung
oder „Medium Risk“ sind vereinfachte Sorgfaltspflichten Mit dieser Abstufung soll sichergestellt werden, dass die exogener oder endogener Faktoren ein hohes Geldwä-
durchzuführen; es bedarf keiner expliziten Einbeziehung Bewertung des Client-Risk-Ratings stets aktuell ist. scherisiko darstellen, unmittelbar verschärften Sorg-
der Compliancefunktion für die Annahme als Kunden faltspflichten unterliegen. (Gleichfalls muss sicherge-
im Rahmen des Onboarding-Prozesses. Kunden, die im Idealerweise wird die Regular Review zur Verhinderung stellt werden, dass im Fall von zurückgehendem Risiko
Client-Risk-Rating als High-Risk-Kunden eingestuft sind, von Bearbeitungsspitzen nicht für alle Kunden einer der Kunden auch wieder in die vereinfachten Sorgfaltspflich-
sind zur Annahmeentscheidung an die Compliancefunk- obengenannten Gruppen zu einem einheitlichen Zeit- ten wechseln. Ansonsten entsteht die Konstellation, dass
tion weiterzuleiten. Im Konsultationsprozess wird das punkt durchgeführt, sondern verteilt über den gesam- die Gruppe der Kunden mit verschärfter Sorgfaltspflicht
Risikopotential des Kunden bewertet und auf Basis eines ten Zyklus. kontinuierlich akkumuliert).
gemeinsamen Votums der Compliancefunktion mit dem
Management entschieden, ob der Kunde (1) angenom-
men, (2) mit Auflagen als Kunde angenommen oder (3) Event-driven Review Integrierte KYC-Plattform und Client-Risk-Rating
nicht als Kunde angenommen wird.
Neben der Neubewertung eines Bestandskunden im Re- Durch den Einsatz geeigneter Workflowsysteme lässt
gelzyklus ist dieser unverzüglich neu zu bewerten, falls sich eine qualitativ hochwertige und zielgerichtete
Regular Review die Veränderung der Ausprägung exogener oder endo- Ermittlung des Client-Risk-Ratings erreichen. Eine in-
gener Faktoren die Erhöhung des Geldwäscherisikos ei- tegrierte, technische KYC-Plattform unterstützt das
Wie bereits zuvor beschrieben, sind Institute nach Art. 14 nes Kunden wahrscheinlich erscheinen lässt. Hierzu zäh- operative Kundenmanagement bei der Eingabe der
Abs. 5 4. EU-GwR verpflichtet, Bestandskunden zu „geeig- len insbesondere Ereignisse wie Kundendaten, der Bewertung der Risikofaktoren und 20 // Compliance & Financial Services
Ausgabe 1 // März 2019
bei der Ermittlung des Client-Risk-Ratings während des keine öffentlichen Informationen darstellen und damit Von Bedeutung ist auch, dass das zugrunde gelegte
Onboarding-Prozesses. nicht durch das Workflowsystem erkannt werden. Risiko-Scoring-Modell stets in der Lage ist, trennschar-
fe Aussagen zur Risikoeinstufung des Kunden abzuge-
Zugleich kann eine integrierte KYC-Plattform für die Bei den Medium-Risk- und Low-Risk-Kunden genügt in ben. Insofern stellen eine regelmäßige Hinterfragung
Regular Review in erheblichen Effizienzgewinnen resul- der Regel eine stichprobenbasierte Überwachung der des verwendeten risikobasierten Ansatzes mit einem
tieren. Das Workflowsystem bereitet auf Basis des hin- Kundendaten, sofern seitens des Workflowsystems Kun- Backtesting der Risiko-Scoring-Modell-Methodik sowie
terlegten Wiederbewertungsdatums die zur Durchsicht denakten nach dem Durchlaufen der automatischen gegebenenfalls die Rekalibrierung der Methodik zentrale
anstehenden Kundenakten vor; idealerweise werden In- Review als vollständig bearbeitet kennzeichnet werden. Forderungen an einen funktionsfähigen risikobasierten
formationen zu exogenen Faktoren etwa durch Zugriff Ansatz dar.
auf externe Informationsquellen automatisch zur Verfü-
gung gestellt. Auf den Punkt gebracht: Ausblick Das konsequente Ausrollen des Client-Risk-Ratings in
Kredit- und Finanzinstituten, insbesondere bei Instituten
Im Rahmen der Event-driven Review selektiert das Work- Das Client-Risk-Rating stellt ein zentrales Element bei mit verzweigten Konzernstrukturen, sowie eine Integra-
flowsystem jene Kundenakten, bei denen sich Verände- der Umsetzung des sogenannten risikobasierten Ansat- tion des Modells in einer workflowbasierten, einheitli-
rungen exogener und endogener Faktoren potentiell zes nach der 4. EU-Geldwäscherichtlinie (4. EU-GwR) dar. chen Complianceplattform stellen die Herausforderun-
auf den Client-Risiko-Score sowie das Client-Risk-Rating gen der kommenden Jahre dar
auswirken. Im risikobasierten Ansatz werden Kunden-/KYC-Daten,
die Institute zur Verhinderung von Geldwäsche und
Aufgrund der Entwicklung der technologischen Mög- Terrorismusfinanzierung erheben, erstmals konsequent
lichkeiten („Big Data“, „Artificial Intelligence“) gibt es ge- und in einer geschlossenen Methodik bewertet.
genwärtig in führenden Instituten Überlegungen, eine
tägliche Neuermittlung des Client-Risk-Ratings für alle Je nach Risikoeinstufung eines potentiellen Neukunden
Ratheeskumar Ragunathan
Bestandskunden über Nacht in einem Batch-Lauf durch- oder eines Bestandskunden sind unterschiedliche Sorg- Manager Financial Services Compliance, KPMG
zuführen. Damit fallen die Regular Review und die Event- faltspflichten zu erfüllen. In Abhängigkeit vom Client- AG Wirtschaftsprüfungsgesellschaft,
driven Review zusammen; jeden Tag liegen aktualisierte Risk-Rating werden unterschiedlich enge „Kontrollnetze“ Frankfurt am Main
Risikobewertungen sämtlicher Kunden vor. gespannt. rragunathan@kpmg.com
Wichtig ist dennoch, dass erfahrene Kundenverantwort- Ein aussagekräftiger risikobasierter Ansatz bedeutet
Dr. Burkhard Eisele
liche und Complianceexperten weiterhin aktiv die High- allerdings nicht nur, dass Bestandskunden regelmäßig Partner Financial Services Compliance, KPMG
Risk-Fälle überwachen. Dies soll sicherstellen, dass tat- einer Regular Review sowie ereignisbezogen einer Event- AG Wirtschaftsprüfungsgesellschaft,
sächliche Veränderungen des Risikoprofils eines Kunden driven Review zu unterziehen sind. Frankfurt am Main
auch dann in der Risikobewertung reflektiert werden, beisele@kpmg.com
wenn Veränderungen von Risikofaktoren eines Kunden www.kpmg.deSie können auch lesen