close

Willkommen auf unserer digitalen Leseplattform – Bitte wählen Sie Ihre gewünschte Region aus

The Magazine
Management. Expertise. Inspiration.

Date: 05/06/2019

Title: Neuerungen in der Geldwäscherei-Regulierung effizient umsetzen

Teaser: Für Schweizer Banken gelten schon bald neue Sorgfaltspflichten – sind Sie gut vorbereitet?

Button: Erfahren Sie hier mehr dazu

Image:

Neuerungen in der Geldwäscherei-Regulierung effizient umsetzen

Für Schweizer Banken gelten schon bald neue Sorgfaltspflichten – sind Sie gut vorbereitet?

Autoren: Tina Freund | Eric Stehli


Im nächsten Jahr treten in der Schweiz gleich mehrere gesetzliche Änderungen zur Bekämpfung von Geldwäscherei in Kraft. Revidiert wurde sowohl das «Geldwäschereigesetz» (GwG), die «Geldwäschereiverordnung» der Schweizer Finanzaufsicht FINMA (GwV-FINMA) und die «Vereinbarung über die Standesregeln zur Sorgfaltspflicht der Banken» (VSB). Der Entwurf des GwG mit der dazugehörigen Botschaft an das Parlament wird noch vor der Sommerpause erwartet. Nach Diskussion and Ablauf der 100-tägigen Referendumsfrist kann das neue Gesetz voraussichtlich ab Mitte 2020 in Kraft treten. Die Schweiz schließt damit mit den europäischen Anforderungen aus der vierten Geldwäscherichtlinie, die für europäische Banken seit Anfang 2018 anzuwenden sind, auf.

Auswirkungen auf die Banken in der Schweiz

Ab dem oben genannten Zeitpunkten müssen Banken sämtliche der für sie relevanten Neuerungen anwenden. Diese  betreffen u.a. die Ausweitung der regelmäßigen Verifikationspflicht, die Konkretisierung der gruppenweiten Einhaltung von Geldwäscherei-Gesetz-Prinzipien und die Erweiterung der Kriterien für Hochrisiko-Beziehungen. Haben europäische Banken die Anforderungen aus der vierten Geldwäscherichtlinie bereits weitgehend umgesetzt, wird es jetzt für Banken in der Schweiz höchste Zeit, sich mit den neuen Anforderungen auseinanderzusetzen. Finanzinstitute in anderen EU-Ländern standen im Rahmen der vierten Geldwäscherichtlinie vor ganz ähnlichen Herausforderungen, und nicht jedes Institut ist diese effizient angegangen. Wir analysieren, welche Punkte für die Finanzisntitute bei der Umsetzung besonders aufwändig werden:

  1. Regelmäßige Überprüfung der Kundendaten (Art. 7 Abs. 1 GwG),
  2. Gruppenweite Einhaltung der GwG-Prinzipien (Art. 6 Abs. 1 GwV-FINMA),
  3. Konkretisierung der Kriterien für Geschäftsbeziehungen mit erhöhten Risiken – insbesondere Berücksichtigung von häufigen Transaktionen mit erhöhtem Risiko (Art. 13 Abs. 2 GwV-FINMA).

Regelmäßige Überprüfung der Kundendaten

Als Antwort auf den im Financial Action Task Force (FATF Bericht) festgestellten Mangel, dass Finanzintermediäre bisher nicht sicherstellen müssen, dass Daten, die sie im Rahmen der Sorgfaltspflichten erheben, im Verlauf der Geschäftsbeziehung aktuell und relevant bleiben, führt das GwG die Pflicht ein, die im Rahmen der Sorgfaltspflichten eingeholten Dokumente und Angaben regelmäßig auf Aktualität zu überprüfen und bei Bedarf anzupassen. Damit wird die Überprüfungspflicht, die bereits heute für Beziehungen mit erhöhtem Risiko besteht, auf alle Beziehungen ausgedehnt. Ein risikobasierter Ansatz darf hinsichtlich der Frequenz der Überprüfung und des Umfangs der zu überprüfenden Daten gewählt werden. Grundsätzlich kommen für die Überprüfung der im Rahmen der Sorgfaltspflichten erhobenen Daten alle Angaben in Betracht, die im Rahmen der Art. 3-6 GwG eingeholt werden (im Folgenden «KYC-Angaben»).

Da der Umfang der potenziell zu überprüfenden KYC-Angaben enorm ist, ist eine durchdachte Risikoklassifizierung der Kundenbeziehungen im Hinblick auf den Datenumfang und die Periodizität der Überprüfung entscheidend. Deshalb sollten Banken, die noch nicht über eine mehrstufige Risikoklassifizierung verfügen, im ersten Schritt die Kriterien und Methodologie für eine umfassende KYC-Risikoklassifizierung definieren und im zweiten Schritt festlegen, für welche Risikoklasse welche KYC-Angaben wie häufig zu überprüfen sind.

Neben der Frage nach der Risikoklassifizierung und des Datenumfangs stellt sich die Frage, welche Quellen für eine Überprüfung der KYC-Angaben herangezogen werden können. Hier bieten sich verschiedene Möglichkeiten: Der Kunde selbst kann nach einer Bestätigung seiner Angaben gefragt werden oder sogar sein Anwalt, Steuerberater, o.ä. Daneben könnte der Kundenberater gefragt werden, KYC-Angaben hinsichtlich ihrer Aktualität zu überprüfen. Weiterhin stehen öffentliche Datenquellen zur Verfügung – wie zum Beispiel Datenbanken mit PEP (politically exposed person) Informationen, Informationen über Sanktionen und negative Nachrichten, Firmenregister oder Kreditdatenbanken. Darüber hinaus können auch bankinterne Datenquellen wie zum Beispiel der Zahlungsverkehr herangezogen werden. Da die Informationsgüte, der Umfang der zur Verfügung stehenden Informationen und der Aufwand für die verschiedenen Datenquellen unterschiedlich zu beurteilen ist, sollten je nach Risikoklassifizierung und damit Umfang und Periodizität der zu überprüfenden KYC-Angaben verschiedene Quellen herangezogen werden.

Gruppenweite Einhaltung der GwG-Prinzipien

Die Anforderungen an die gruppenweite Einhaltung der GwG-Prinzipien in Bezug auf ausländische Tochtergesellschaften und Zweigniederlassungen wurde wie folgt konkretisiert: Banken müssen neu auch für ihre Auslandsniederlassungen:

  1. eine Risikoklassifizierung von Geschäftsbeziehungen und Transaktionen vornehmen,
  2. regelmäßig eine global konsolidierte Risikoanalyse durchführen,
  3. mindestens einmal pro Jahr eine qualitative und quantitative Berichterstattung erstellen,
  4. sich von Auslandsniederlassungen über die Aufnahme und Weiterführung von Geschäftsbeziehungen mit hohem Risiko («bedeutend») informieren lassen,
  5. regelmäßig risikobasierte interne Kontrollen einschließlich Stichprobenkontrollen vor Ort durchführen.

Mit anderen Worten: Banken benötigen ein globales KYC-Risk-Control-Framework, gemäß dem sie für alle Länder eine einheitliche Methodologie zur Risikoklassifizierung von Beziehungen und Transaktionen anwenden, global konsistente KYC-Kontrollen durchführen, ein standardisiertes Berichtswesen entwickeln und die Effektivität der Kontrollen regelmäßig testen.

Konkretisierung der Kriterien für Geschäftsbeziehungen mit erhöhten Risiken – insbesondere Berücksichtigung von häufigen Transaktionen mit erhöhtem Risiko.

Dem Kriterienkatalog zu Klassifizierung einer Beziehung als eine Geschäftsbeziehung mit erhöhtem Risiko wurde mit der Revision der GwV-FINMA das Kriterium «häufige Transaktionen mit erhöhten Risiken» hinzugefügt. Damit rücken KYC («Know-your-customer») und KYT («Know-your-transaction») enger zusammen. Dies ist nachvollziehbar und gemäß des FATF-Berichts folgerichtig, bedeutet für die Banken jedoch eine große Herausforderung in der Umsetzung.

Für das Transaction-Monitoring nutzen Banken in der Regel statische Szenarien, die sich durch verschiedene Ausprägungen der Kriterien für Hoch-Risiko-Transaktionen unterscheiden. Unglücklicherweise ist dieses Vorgehen oft nicht besonders effektiv: Bis zu 90% der so generierten Hits erweisen sich als «False Positives» – mit dem Ergebnis, dass richtige Treffer oft übersehen werden. So erfolgen zum Beispiel nur knapp 20% der Meldungen an die Meldestelle für Geldwäscherei (MROS) in der Schweiz aufgrund des internen Transaction-Monitoring. Noch problematischer als «False Positives» können Fälle von «Desired Negatives» – d.h. Fälle, in denen bei der Analyse eines Hits zwar gewisse Geldwäscherei-Indikatoren gesehen werden, aber das Geschäft zu attraktiv erscheint, als dass man es nicht genehmigen möchte. Dieses Syndrom lässt sich nur durch einen klaren Positionsbezug gegenüber geschäftlichen Risiken, eindeutige Verantwortlichkeiten und eine Dokumentation der Entscheidungswege adressieren.

Automatisierung als Lösung

Es ist offensichtlich, dass die meisten Banken die kommende Revision der KYC-Regulierung nicht mehr rein manuell umzusetzen werden – ebenso wie auch europäische Banken zunehmend die Möglichkeiten der Digitalisierung in der  Compliance nutzen. Deshalb stellt sich die Frage, welche technologischen Lösungen für die Umsetzung der neuen Geldwäschereianforderungen in Frage kommen.

Regelmäßige Überprüfung der Kundendaten

Im Mittelpunkt der regelmäßigen Überprüfung von Kundendaten steht die Risikoklassifizierung der Beziehung. Diese sollte zuverlässig, global konsistent, kalibrierbar und für Auditzwecke nachvollziehbar sein. Hierzu bietet sich der Einsatz von Rule-Engine-Technologien an, in denen sich dank visuellem Regel-Design Kriterien zur Risikoklassifizierung und deren Gewichtung einfach definieren und testen lassen. Außerdem erzeugen Rule-Engines für jede Klassifizierung einen Audit-Trail und unterstützen durch ihre Test-Funktionalität die Kalibrierung des Modells. Da je nach Risikoklassifizierung einer Beziehung unterschiedliche manuelle Schritte anfallen können – zum Beispiel eine Überprüfung durch den Kundenberater und eine Managemententscheidung – ist es empfehlenswert, die Rule-Engine in eine Workflow-Plattform einzubinden.

Auf Basis der Risikoklassifizierung können die KYC-Angaben dann in unterschiedlichem Umfang überprüft werden. Als Quelle zur Überprüfung können u.a. Informationen aus dem Zahlungsverkehr herangezogen werden. Wie das funktionieren kann, haben wir Gian Reto à Porta gefragt, Co-Founder & CEO der Contovista AG, einem Schweizer Whitelabel-Software-Anbieter, der Banken und Finanzdienstleistern mithilfe von Datenveredelung und Mashine Learning ein digital optimiertes Kundenerlebnis ermöglicht.


Interview mit Gian Reto à Porta, Co-Founder & CEO der Contovista AG

Synpulse: Herr à Porta, welche Informationen stehen im Rahmen des Zahlungsverkehrs zur Verfügung und wie könnten diese eingesetzt werden, um die Aktualität von KYC-Daten zu überprüfen?
Gian Reto à Porta: Dank unserem «Data Enrichment» stehen neben den gängigen Informationen wie Buchungstext oder Betrag auch folgende Informationen zur Verfügung:

  • Ausgaben-Kategorie, Geo-Informationen und ob die Gegenpartei ein Händler oder Privatperson ist
  • Erkennung des Arbeitgebers, Regelmäßigkeit und Höhe der Lohnzahlungen und Wechsel des Arbeitgebers
  • Erkennung von Wohnortwechsel des Kunden sowie regelmäßige Aufenthaltsorte, insbesondere in Risiko-Ländern
  • Erkennung von Transaktionen, welche für den Kunden oder die Peer Group des Kunden ungewöhnlich sind
  • Beziehungen zu Drittbanken, ungewöhnlich hohe Geldabflüsse via Geldwechselstuben oder Geldtransfer-Anbieter
  • Erkennung von Durchlauftransaktionen und Hin- und Her-Verschiebungen von Vermögenswerten

Synpulse: Wie funktioniert die Analyse und Auswertnug der Daten?
Gian Reto à Porta: Im ersten Schritt fügen wir den Transaktionen weitere Metainformationen wie Merchant, Ausgaben-Kategorie und Geo-Informationen an. In einem zweiten Schritt nutzen wir die erhöhte Informationslage um mit Hilfe von Algorithmen und Machine Learning kundenbezogene Schlussfolgerungen ableiten zu können. In einem finalen Schritt lassen sich die einzelnen Risiko-Indikatoren mit Hilfe eines Machine-Learning-Modells zu einem finalen Score zusammenfassen. Durch die manuelle Bearbeitung der Fälle kann das Modell in einem Feedbackprozess stetig hinzulernen, um somit die False-Positive-Quote über die Zeit weiter zu reduzieren. Dieser adaptive Ansatz ist selbst dann möglich, wenn einzelne Informationen in den Transaktionen fehlen und erlaubt es, nicht nur statische Informationen, sondern auch Veränderungen und ungewöhnliches Verhalten im Kontext des Kunden oder seiner Peer Group zu erkennen.


Gruppenweite Einhaltung der GwG-Prinzipien

Die Risikoklassifizierung der Kundenbeziehung ist die Basis für ein KYC-Risk-Control-Framework. Erfolgt diese mithilfe einer Rule-Engine, lassen sich die Klassifizierungsregeln als Service verschiedenen Ländern zur Verfügung stellen und dadurch eine konsistente Einstufung gewährleisten (ohne dass Kundendaten ausgetauscht werden müssten). Rule-Engine-Technologien vereinfachen dies, indem sich verschiedene Rule-Tables und damit globale und lokale Regeln kombinieren lassen.

Neben der Risikoklassifizierung der Beziehung lassen sich aber auch KYC-Kontrollen wie zum Beispiel Background-Checks oder «Reason-to-Know»-Kontrollen in einer Rule-Engine abbilden. Kontrollen, die auf einheitlichen Regeln basieren und an einem zentralen Ort abgelegt und dokumentiert sind, erleichtern das Testen und damit auch die Durchführung der regelmäßigen risikobasierten Kontrollen in den Auslandsniederlassungen. Da Rule-Engines verschiedene Reports über «ihre Arbeit» erstellen können, erleichtert eine Rule-Engine die regelmäßige global konsolidierte Risikoanalyse und Berichterstattung zu Rechts- und Reputationsrisiken.
Hier finden Sie mehr Information zum Einsatz von Rule-Engines – vom KYC Whitepaper über ein KYC Video bis zum Webinar.

Konkretisierung der Kriterien für Geschäftsbeziehungen mit erhöhten Risiken – insbesondere Berücksichtigung von häufigen Transaktionen mit erhöhtem Risiko.

Banken haben heute bereits verschiedene Technologien zur Überwachung von Transaktionen im Einsatz. Dabei kamen historisch eher analytische bzw. regelbasierte Modelle zum Einsatz, die jedoch den Nachteil haben, dass die Regeln starr, schnell überholt und oft wenig geeignet sind, um den Umfang der «False Positives» in vernünftigem Rahmen zu halten. Deshalb analysieren Banken zunehmend algorithmusbasierte Anwendungen, die in der Lage sind, über die Zeit aus der manuellen Auswertung von falschen Treffern zu lernen und Muster zu erkennen. Hier jedoch erleben Banken häufig Herausforderungen bei der Validierung der Algorithmus-Güte und der Dokumentation der Methodik, da es den Lösungen an Transparenz und Nachvollziehbarkeit fehlt. Trotzdem erscheint der Einsatz von Algorithmen und Künstlicher Intelligenz ein vielversprechender Ansatz zur Auswertung von Hoch-Risiko-Transaktionen im Hinblick auf die Risikoklassifizierung einer Beziehung. Nach dem Einsatz von Technologien in der Geldwäschereibekämpungen haben wir Michael Mráz, Partner bei der auf Finanzmarktteilnehmer spezialisierten schwerizerischen Wirtschaftskanzlei, Wenger & Vieli AG, gefragt.


Interview mit Michael Mráz, Partner bei der Wirtschaftskanzlei Wenger & Vieli AG

Synpulse: Herr Mráz, KYC -Daten mithilfe von Zahlungsverkehrsinformationen überprüfen, ist das aus Ihrer Sicht ein gangbarer Weg?
Michael Mráz: Auf jeden Fall. Solche Informationen können bestehende oder aus anderen Quellen erlangte Informationen validieren oder in Frage stellen und so ggf. eine weitere Verifikation auslösen. Zahlungsverkehrsinformationen sind bei einem Finanzinstitut leicht greifbar und haben eine hohe Zuverlässigkeit. So können, um ein einfaches Beispiel zu nehmen, regelmäßige Bargeldbezüge oder Lebensmitteleinkäufe Hinweise auf einen Aufenthaltsort liefern, der nicht mit dem vom Kunden angegebenen Wohnort übereinstimmt.
Synpulse: Manch einer träumt vom wirklich intelligenten KYC-Roboter, der einen Großteil der Compliance Arbeit übernimmt. Wie sehen Sie die Zukunft im Compliance hinsichtlich Künstlicher Intelligenz?
Michael Mráz: Solange Verstöße gegen Geldwäschereivorschriften auch strafrechtlich geahndet werden, kann vom Konzept einer individuellen, d.h. menschlichen Verantwortlichkeit nicht abgerückt werden. Die Compliance-Arbeit wird auch nicht abnehmen, sondern sich – wie jetzt schon zu beobachten ist – vom Sammeln relevanter Daten verschieben hin zur anspruchsvollen Interpretation der mittels technischer Hilfsmittel aggregierten Resultate. Da das Transaction-Monitoring auf Grund des Zeitfaktors jedoch besonders hohe Anforderungen an die Qualität der verarbeiteten und auch der daraus generierten Daten stellt, liegt es nahe, gerade in diesem Bereich die Möglichkeiten von Künstlicher Intelligenz (KI) nutzbar zu machen. Es stellt sich insbesondere die Frage, ob bei der Geldwäschereiregulierung der Qualität vor der Quantität Vorzug gegeben wird. Wenn man diese Frage bejaht, sehe ich in der Tat ein Anwendungsgebiet für KI, namentlich dann, wenn in ein solches System Erkenntnisse aus der Strafverfolgung einfließen. Grundsätzlich gilt aber für den Einsatz von Technologien im Compliance: Blindes Vertrauen in das Funktionieren solcher Systeme ist gefährlich. Deren Pflege und Überwachung ihrer Resultate bleibt eine wichtige Aufgabe.


Zusammenfassend lässt sich festhalten, dass Workflow-Plattformen, Rule-Engines und Analyse-Tools zur Auswertung von Zahlungsverkehrsinformationen die Umsetzung der neuen GwG- und GwV-FINMA-Anforderungen erheblich erleichtern. Möchten Sie mehr über die neuen GwG-/GwV-FINMA-Anforderungen und den Einsatz dieser Technologien erfahren? Dann besuchen Sie unsere KYC-Webseite.

Kontakt

graphic

Eric Stehli

Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies setzen. Mehr erfahren.
OK