Risikomanagement und Risikoanalyse §§ 4 und 5 GwG

Was müssen Sie für ein prüfungssicheres Risikomanagement § 4 GwG und bei der Risikoanalyse § 5 GwG beachten? Risikomanagement und Risikoanalyse §§ 4 und 5 GwG: Die Auslegungs- und Anwendungshinweise 2018 der BaFin zum neuen Geldwäschegesetz geben hierzu detaillierte Hinweise und Vorgaben.

Der Inhalt des bisherigen BaFin-Rundschreibens 8/2005 (GW) ist in der gesetzlichen Regelung aufgegangen. Die Risikoanalyse ist in angemessenem Umfang zu erstellen, mithin abhängig von Art und Umfang der Geschäftstätigkeit des Verpflichteten (§ 4 Abs. 1 GwG). Die dabei zu berücksichtigenden Anhänge 1 und 2 zum GwG (§ 5 Abs. 1 GwG) enthalten beispielhafte Aufzählungen von Faktoren und mögliche Anzeichen für ein potentiell geringeres oder höheres Risiko.

Die wichtigsten Anforderungen an das Risikomanagement § 4 GwG und die Risikoanalyse § 5 GwG haben wir Ihnen in unserem S+P Informationsblog Geldwäscheprävention zusammengefasst.

Risikomanagement und Risikoanalyse §§ 4 und 5 GwG

Die Verpflichteten haben bei der Erstellung einer Risikoanalyse die Gemeinsamen Leitlinien der europäischen Aufsichtsbehörden (im Folgenden: Leitlinien zu Risikofaktoren) vom 04.01.2018 zu beachten (Art. 17 Abs. 4 und Art. 18 der Richtlinie (EU) 2015/849 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung (im Folgenden: Vierte Geldwäscherichtlinie)).

Es handelt sich bei diesen Leitlinien um ein Kernstück der Implementierung des risikobasierten Ansatzes. Die Leitlinien zu Risikofaktoren sind von den Verpflichteten und den Aufsichtsbehörden zu beachten. Sie sind seit dem 26.6.2018 anwendbar.

Sie enthalten Beispiele für Risikofaktoren, welche die verpflichteten Unternehmen berücksichtigen müssen, wenn sie die mit einer Transaktion verbundenen Geldwäsche- und Terrorismusfinanzierungsrisiken prüfen und bewerten. Darüber hinaus beschreiben die Leitlinien, wie die Verpflichteten den Umfang ihrer Kundensorgfaltspflichten entsprechend den identifizierten Risiken anpassen können, um die vorhandenen Ressourcen bestmöglich einzusetzen. Die Leitlinien ergänzen für die Verpflichteten die in den Anhängen zum GwG enthaltenen Risikofaktoren.

Die Leitlinien umfassen zwei inhaltliche Teile:

• Abschnitt II enthält allgemeine Ausführungen und zu berücksichtigende Faktoren, die für alle Unternehmen gelten, die den geldwäscherechtlichen Pflichten unterliegen. Die Hinweise sollen die verpflichteten Unternehmen in die Lage versetzen, fundierte und risikoorientierte Entscheidungen im Zusammenhang mit der Identifizierung, Bewertung und Behandlung von Geldwäsche- und Terrorismusfinanzierungsrisiken zu treffen, die im Rahmen von Geschäftsbeziehungen sowie sonstiger, gelegentlich erfolgender Transaktionen bestehen können.
• Abschnitt III gliedert sich dagegen in verschiedene bereichsspezifische Unterabschnitte und unterstützt die Unternehmen dabei, ihre jeweiligen Kundensorgfaltspflichten risikoorientiert anzuwenden.

Die Leitlinien zu Risikofaktoren haben eine besondere Bedeutung, da das neue GwG – anders als das bisherige Recht – keine Fallkonstellationen nennt, in denen vereinfachte Sorgfaltspflichten zur Anwendung kommen könnten. Ähnliches gilt in Bezug auf Konstellationen, in denen ein erhöhtes Risiko vorliegt und die nicht in § 15 Abs. 3 GwG ausdrücklich genannt werden.

Ziel und Anfertigung der Risikoanalyse

Ziel der Risikoanalyse ist es, die spezifischen Risiken in Bezug auf Geldwäsche und Terrorismusfinanzierung im Geschäftsbetrieb des Verpflichteten umfassend und vollständig zu erfassen, zu identifizieren, zu kategorisieren und zu gewichten. Darauf aufbauend sind geeignete Geldwäsche-Präventionsmaßnahmen, insbesondere interne Sicherungsmaßnahmen, zu treffen. Alle Präventionsmaßnahmen müssen sich aus der Risikoanalyse ableiten lassen und der Risikosituation entsprechen.

Was angemessen ist, beurteilt sich auf der Grundlage der eigenen Risikoanalyse des Verpflichteten bezüglich der Risikostruktur der von ihm angebotenen Dienstleistungen. Die Systeme sind laufend neuen Erkenntnissen und Gefährdungslagen anzupassen.

Bei der Anfertigung einer internen Risikoanalyse und der damit verbundenen Herleitung der erforderlichen Maßnahmen sind insbesondere folgende Schritte notwendig:

• die vollständige Bestandsaufnahme der unternehmensspezifischen Situation,
• die Erfassung und Identifizierung der kunden-, produkt- und transaktionsbezogenen sowie der geografischen Risiken,
• die Kategorisierung, d.h. Einteilung in Risikogruppen, und ggf. zusätzliche Gewichtung, d.h. Bewertung, der identifizierten Risiken,
• die Entwicklung und Umsetzung angemessener interner Sicherungsmaßnahmen, die im Rahmen der erforderlichen Geldwäsche-Präventionsmaßnahmen aufgrund des Ergebnisses der Risikoanalyse verwendet werden,
• die Überprüfung und Weiterentwicklung der bisher getroffenen internen Sicherungsmaßnahmen unter Berücksichtigung des Ergebnisses der Risikoanalyse.

Risikomanagement § 4 GwG und Risikoanalyse § 5 GwG – 5 Schritte

Schritt 1

Für die Bestandsaufnahme der spezifischen Situation ist die jeweilige Geschäftsstruktur des Verpflichteten von Belang. Im Rahmen der Bestandsaufnahme kommt es insbesondere auf die Erfassung der im Unternehmen vorhandenen grundlegenden Kundenstruktur, der Geschäftsbereiche und -abläufe, der angebotenen Produkte, der Vertriebswege sowie der Organisationsstruktur des Unternehmens an.

Risikomanagement und Risikoanalyse §§ 4 und 5 GwG – 5 Schritte

Schritt 2

Die Risiken lassen sich mit Hilfe des im Finanzsektor vorhandenen Erfahrungswissens über Techniken der Geldwäsche und der Finanzierung des Terrorismus erfassen und identifizieren.

Das hierfür erforderliche Erfahrungswissen kann aufgrund

• nationaler und internationaler Anhalts- bzw. Typologienpapiere und Verdachtskataloge (z.B. die von der FIU erstellten und für die Verpflichteten im internen Bereich der Website der FIU www.fiu.bund.de zugänglichen Typologiepapiere, jeweils für die Bereiche „Geldwäsche“ und „Terrorismusfinanzierung“, oder
• vergleichbare Papiere der FATF auf deren Homepage www.fatf-gafi.org),
• des im Unternehmen vorhandenen bzw. zu gewinnenden Wissens (etwa aus lokalen Presseauswertungen),
• der allgemeinen Analyse von Verdachtsfällen, die das Unternehmen in der Vergangenheit tangierten, oder
• des Erfahrungsaustauschs mit Geldwäschebeauftragten anderer Verpflichteter gewonnen bzw. aktualisiert werden.

Risikomanagement § 4 GwG und Risikoanalyse § 5 GwG – 5 Schritte

Schritt 3
Die identifizierten Risiken sind zu kategorisieren, das heißt in verschiedene Risikogruppen einzuteilen, und jeweils hinsichtlich ihrer Bedeutung zu bewerten.

Dies schließt u.U. eine Gewichtung der jeweiligen Risiken/Risikogruppen ein. Die Bewertung der identifizierten Risiken soll im Rahmen der Risikoanalyse grundsätzlich in drei Risikostufen (hoch, mittel, niedrig) erfolgen.

Möglich ist aber sowohl eine weitere Spreizung/Abstufung mit mehr Risikostufen/-kategorien, als auch eine – auf freiwilliger Basis erfolgende – Reduzierung auf weniger Stufen/Kategorien (z.B. ausschließlich normale (mittlere) und erhöhte).

Beispiel für die dreistufige Risikoeinstufung/-klassifizierung:

• Hoch => alle Fallkonstellationen, die entweder unter die vom Gesetzgeber definierten Hochrisikoklassen (§ 15 GwG) oder aufgrund der eigenen Risiko-einschätzung des Verpflichteten unter Berücksichtigung der Anlage 2 zum GwG, der Leitlinien zu Risikofaktoren oder sonstiger konkreter Informationen ebenfalls in diese Klassifizierung fallen.
• Mittel => alle Fallkonstellationen, die aufgrund der eigenen Risikoeinschätzung des Verpflichteten nicht in die Klassifizierung „hoch“ oder „gering“ fallen.
• Gering => alle Fallkonstellationen, in denen unter Beachtung der Anforderungen des § 14 GwG, der Anlage 1 des GwG sowie der Leitlinien zu Risikofaktoren aufgrund einer nachvollziehbaren Risikoanalyse ein geringes Risiko angenommen werden kann.

Bei der Bewertung können unterschiedliche Bewertungsmethoden zum Ansatz kommen. Ein Bewertungssystem, bei dem verschiedene Risikofaktoren unterschiedlich gewichtet werden, ist ebenso denkbar wie ein starres System, bei dem ein hoher Risikowert bei einem Faktor für die Risikobewertung bindend ist und nicht durch Faktoren mit geringem Risiko kompensiert werden kann.

Zusätzlich können absolute Kriterien definiert werden, die die Kundenklassifizierung automatisch steuern und/oder automatisch eine besondere Sicherungsmaßnahme nach sich ziehen (z.B. besondere Entscheidungsprozesse bei der Aufnahme bestimmter neuer Kunden).

Risikobasierte Abweichungen bzw. Ausnahmen sind vorbehaltlich der vorstehenden Ausführungen mit Begründung zu dokumentieren.

Besonders relevante Risikofaktoren sind auf den Seiten 9-18 der Leitlinien zu Risikofaktoren genannt. Dies sind u.a.:

(Wohn-)Sitz des Kunden (Länderrisiko)

Ermittlung anhand externer Informationen, beispielsweise FATF-Veröffentlichungen, Delegierter Rechtsakt der EU-KOM, Transparency International-Index, OECD Listen, Sanktions-Listen. Bei (noch) nicht vorhandenen Einstufungen können Verpflichtete öffentlich zugängliche und eigene Informationen für eigene Risikoerwägungen nutzen.

Rechtsform des Kunden

Intransparente Rechtsformen können erhöhte Geldwäsche-, Terrorismus- oder Finanzkriminalitäts-Risiken enthalten, z.B. Trusts, Stiftungen, GbRs. Um hier eine geeignete Risikoklassifizierung vorzunehmen, sollen auf der Basis der Leitlinien zu Risikofaktoren angemessene Risikoindikatoren definiert werden, aus denen auf ein erhöhtes Risiko geschlossen werden kann. Mögliche Parameter können Intransparenz, Pflicht zur Führung eines zuverlässigen Registers, Möglichkeit einer schnellen Gründung/Schließung, Kapitaleinsatz usw. sein. Den Verpflichteten ist freigestellt, geeignete Gruppierungen vorzunehmen.

Branche/Geschäftsart/Beruf des Kunden

Bestimmte Geschäftstätigkeiten können erhöhte Geldwäsche-, Terrorismus- oder Finanzkriminalitäts-Risiken enthalten, z.B. bargeldintensive Berufe, Import/Export in Hochrisikoländer etc. Um hier eine geeignete Risikoklassifizierung vorzunehmen, sollen Risikoindikatoren definiert werden, aus denen auf ein erhöhtes Risiko geschlossen werden kann.

Produkt

Das Produkt selbst und die Art seiner Nutzung, z.B. Transaktionen mit diesem Produkt, müssen in geeigneter Weise in die Risikobetrachtung des Kunden einfließen. Das Produkt kann dabei sowohl einen risikomindernden, als auch einen risikoerhöhenden Effekt haben. Aus der gesetzlichen Wertung des § 15 GwG ergibt sich, dass ein bestehendes höheres Risiko nicht durch anderweitig vorliegende geringere Risiken kompensiert werden kann (siehe dazu unter…).

Bei der Bewertung sind von den Verpflichteten auch die vorliegenden Ergebnisse der Nationalen Risikoanalyse in Bezug auf Geldwäsche und Terrorismusfinanzierung einzubeziehen.

Risikomanagement und Risikoanalyse §§ 4 und 5 GwG – 5 Schritte

Schritt 4

Die Ergebnisse der Identifizierung, Kategorisierung und Gewichtung der Risiken sind im Rahmen der einzelnen internen Sicherungsmaßnahmen umzusetzen, dies gilt auch in Bezug auf die im Rahmen von EDV-Monitoring verwendeten Parameter.

Wie im Risikomanagement generell ist auch bei der Umsetzung der einzelnen Präventionsmaßnahmen im jeweiligen Einzelfall umso sorgfältiger vorzugehen, je höher das Risikopotential ist.

Risikomanagement § 4 GwG und Risikoanalyse § 5 GwG – 5 Schritte

Schritt 5

Die getroffenen internen Sicherungsmaßnahmen sind unter Berücksichtigung des Ergebnisses der Risikoanalyse zu überprüfen und weiterzuentwickeln.

Pflicht zur Dokumentation und Aktualisierung, § 5 Abs. 2 GwG

Die Verpflichteten müssen ihre Risikoanalyse vorbehaltlich § 5 Abs. 4 GwG nachvollziehbar dokumentieren. Eingang in die Dokumentation muss daher die Abbildung der o.g. Schritte zur internen Risikoanalyse finden.

Die Risikoanalyse ist regelmäßig, zumindest einmal im Jahr, einer Überprüfung zu unterziehen und – soweit erforderlich – zu aktualisieren. Die Aktualisierung ist in einer synoptischen Darstellung der Risikoanalyse vorzuhalten.

Die Risikoanalyse ist der Innenrevision bzw. der externen Revision sowie der BaFin auf deren Verlangen in der jeweils aktuellen Fassung zur Verfügung zu stellen. Sie ist der Geschäftsleitung vom – sofern vorhandenen – GWB zusammen mit seinem Tätigkeitsbericht zumindest einmal jährlich vorzulegen. Dies ist revisionssicher zu dokumentieren.

Gruppenweite Risikoanalyse, § 5 Abs. 3 GwG

Die Verpflichtung zur Erstellung einer Risikoanalyse gilt nach § 5 Abs. 3 GwG auch für Mutterunternehmen einer Gruppe in Bezug auf die gesamte Gruppe.
Nach § 5 Abs. 4 GwG kann die BaFin Verpflichtete unter bestimmten Voraussetzungen von der Dokumentation der Risikoanalyse nach Abs. 1 (beachte: nicht von ihrer Durchführung oder gar von der Pflicht, angemessene interne Sicherungsmaßnahmen zu treffen) befreien.

Die Befreiung erfolgt auf Antrag des Verpflichteten. In seinem Antrag hat der Verpflichtete aufzuzeigen, dass die Risiken, die in seinem Geschäftsbereich geldwäscherechtlich bestehen, klar erkennbar sind und von ihm verstanden werden. Der Verpflichtete hat damit eine Pflicht zu einem entsprechenden Nachweis gegenüber der BaFin, da diese zur Erfüllung ihrer Aufgaben erkennen können muss, ob die getroffenen internen Sicherungsmaßnahmen unter Risikoaspekten angemessen und aus der Risikoanalyse ableitbar sind.

Einen Antrag auf Befreiung kann damit grundsätzlich jeder Verpflichtete stellen. Ob es sich dabei um einen Einzelunternehmer oder ein größeres Unternehmen handelt, ist dabei grundsätzlich unerheblich. Gleiches gilt für die Höhe der Bilanzsumme. Unerheblich ist ferner auch, ob sich die Risiken für den Verpflichteten insgesamt als gering darstellen.

Eine Befreiung kann nur bei kumulativem Vorliegen der im Gesetz genannten folgenden Voraussetzungen erteilt werden:

• Klare Erkennbarkeit der bestehenden konkreten Risiken des Verpflichteten: Diese Voraussetzung liegt insbesondere vor, wenn zu den Geschäften des Verpflichteten keine komplexen Geschäftstätigkeiten gehören, die von ihm durchgeführten Transaktionen einen überschaubaren Umfang aufweisen, seine Kundenstruktur homogen ist und keine sonstigen risikoerhöhenden Umstände vorliegen. Gemäß § 5 Abs. 1 Satz 3 GwG richtet sich der Umfang der Risikoanalyse nach Art und Umfang der Geschäftstätigkeit der Verpflichteten. Je weniger komplex die Geschäftstätigkeit ist, desto geringere Anforderungen werden seitens der BaFin an die Erstellung (und Dokumentation) einer Risikoanalyse gestellt. Umgekehrt folgt hieraus, dass, je umfangreicher und komplexer die Risiken sind, denen ein Verpflichteter ausgesetzt ist, desto weniger eine Befreiung von der Dokumentationspflicht in Betracht kommt. Vor diesem Hintergrund ist eine Befreiung nur dann in Erwägung zu ziehen, wenn sich auch bei Vorliegen des Proportionalitätsgesichtspunkts die Dokumentation der Risikoanalyse für die BaFin als nicht erforderlich und unangemessen darstellt.

• Hinreichendes Verständnis des Verpflichteten in Bezug auf die bestehen den Risiken: Abzustellen ist auf den GWB bzw. im Falle einer Befreiung von der Pflicht zur Be-stellung eines solchen auf das zuständige Mitglied der Leitungsebene. Von einem hinreichenden Verständnis ist auszugehen, wenn sich auf der Basis der vom Verpflichteten vorgetragenen Risikosituation die von ihm getroffenen internen Sicherungsmaßnahmen gemäß § 6 GwG als angemessen darstellen. Das Vorliegen der vorgenannten Voraussetzungen ist vom Verpflichteten gegenüber der BaFin in seinem Antrag in Textform nachvollziehbar und umfassend darzulegen.

Das könnte Sie als Compliance & Geldwäschebeauftragter auch interessieren…

Unsere Praxisseminare Geldwäsche und Fraud – Basisseminar, Geldwäsche und Fraud – Aufbauseminar, Geldwäsche & Fraud – Update und Geldwäsche & Fraud – Forum verschaffen Ihnen einen umfassenden Überblick zu den aktuellen gesetzlichen Neuerungen und unterstützen Sie dabei, Geldwäsche- und Betrugsstrukturen zu erkennen, zu bewerten und rechtzeitig zu verhindern. In den Compliance-Seminaren wie Compliance, Compliance für Vertriebsbeauftragte, Neue Compliance-Funktion gemäß MaRisk oder auch Compliance im Fokus der Bankenaufsicht werden Ihnen die Ausgestaltung der Schnittstellen zwischen Compliance, Datenschutz, IT, Zentrale Stelle und Interner Revision näher gebracht. Auch die Mindestanforderungen zum Aufbau eines Gesamt-IKS werden hier beispielsweise näher erläutert.

Zudem haben Sie die Chance, nach Teilnahme der Seminare die Zertifizierungslehrgänge zum Compliance Officer, zum AML & Fraud Officer oder zum Geldwäsche-Beauftragter zu absolvieren.