Umsetzung des risikobasierten Ansatzes gemäß der 4. EU-Geldwäscherichtlinie

Die Verwendung des Client-Risk-Ratings als zentrales Element des risikobasierten KYC-Prozesses

Von Ratheeskumar Ragunathan und Dr. Burkhard Eisele

Beitrag als PDF (Download)

Hintergrund
Zur Verhinderung der Nutzung des Finanzsystems zum Zweck der Geldwäsche und der Terrorismusfinanzierung fordert die 4. EU-Geldwäscherichtlinie (4. EU-GwR) seit ihrem Inkrafttreten im Juni 2017, dass Kredit- und Finanzinstitute ihre Kunden im Rahmen des Know-your-Customer (KYC)-Prozesses auf Basis eines risikobasierten Ansatzes zu bewerten haben.
Im Erwägungsgrund (22) zur 4. EU-Geldwäscherichtlinie wird hierzu dargelegt, dass „… nach einem ganzheitlichen, risikobasierten Ansatz verfahren werden (soll). (…) Er setzt eine faktengestützte Entscheidungsfindung voraus, die es ermöglicht, gezielter auf die (…) bestehenden Risiken der Geldwäsche und Terrorismusfinanzierung einzugehen.“
Den Geltungsbereich des risikobasierten Ansatzes beschreibt Art. 14 Abs. 5 4. EU-GwR: „Die Mitgliedstaaten schreiben vor, dass die Verpflichteten ihre Sorgfaltspflichten gegenüber Kunden nicht nur auf alle neuen Kunden, sondern zu geeigneter Zeit auch auf die bestehende Kundschaft auf risikobasierter Grundlage erfüllen, so auch dann, wenn sich bei einem Kunden maßgebliche Umstände ändern.“ (Der Begriff „geeignete Zeit“ bezieht sich hier nicht auf eine Übergangsfrist zur Einführung des risikobasierten Ansatzes bei Bestandskunden, sondern auf die zu wählende Frequenz, in der ein Bestandskunde erneut einer Review zu unterziehen ist).
Konkret bedeutet dies, dass der risikobasierte Ansatz im KYC-Prozess in den drei folgenden Situationen Anwendung findet:

  • im Rahmen des „Client-Onboardings“, also bei der Ermittlung des Geldwäscherisikos von Neukunden vor Vertragsabschluss
  • bei der „Regular Review“, also der zyklischen Ermittlung des Geldwäscherisikos von Bestandskunden, basierend auf der jeweiligen Risikoeinstufung „High Risk“, „Medium Risk“ bzw. „Low Risk“
  • im Fall einer erforderlichen „Event-driven Review“, also bei der Ad-hoc-Ermittlung des Geldwäscherisikos von Bestandskunden bei Eintreten von exogenen oder endogenen Ereignissen („Events“)

Knapp zwei Jahre nach Inkrafttreten der 4. EU-GwR und der Novelle 2017 des deutschen Geldwäschegesetzes (GwG) zeigt die Erfahrung, dass viele Institute auch heute noch über keine geschlossene Methodik verfügen, die den Anforderungen an eine umfassende Nutzung des risikobasierten Ansatzes Genüge leistet.

Risikofaktoren für ein potentiell höheres Risiko
Neben Risikofaktoren, die institutsspezifisch zu bestimmen sind (etwa aufgrund des besonderen Geschäftsmodells des Instituts), definiert die 4. EU-GwR in Art. 8 auf Basis einer nicht abschließenden Aufzählung Risikofaktoren, die im Client-Risk-Rating zu berücksichtigen sind. Hier heißt es:
„Die Mitgliedstaaten sorgen dafür, dass die Verpflichteten angemessene Schritte unternehmen, um die für sie bestehenden Risiken der Geldwäsche und Terrorismusfinanzierung unter Berücksichtigung von Risikofaktoren, einschließlich in Bezug auf ihre Kunden, Länder oder geografischen Gebiete, Produkte, Dienstleistungen, Transaktionen oder Vertriebskanäle, zu ermitteln und zu bewerten. Diese Schritte stehen in einem angemessenen Verhältnis zu Art und Größe der Verpflichteten.“
Die hier genannten Risikofaktoren werden in Anhang II zur 4. EU-GwR (Faktoren und mögliche Anzeichen für ein potentiell geringeres Risiko) und Anhang III zur 4. EU-GwR (Faktoren und mögliche Anzeichen für ein potentiell höheres Risiko) weiter konkretisiert.

Methodische Vorgehensweise im Client-Onboarding-Prozess
Das Client-Risk-Rating ist integraler Bestandteil des KYC-Onboarding-Prozesses und bildet das Rückgrat des risikobasierten Ansatzes. Methodisch basiert das Client-Risk-Rating auf der Nutzung des sogenannten Risiko-Scoring-Modells. Damit gewährleistet die Nutzung des Risiko-Scoring-Modells eine risikoadäquate und granulare Einschätzung des Geldwäscherisikos.
Die nachfolgende Beschreibung skizziert eine gängige Methodik für einen risikobasierten KYC-Ansatz im Client-Onboarding.

  • Ermittlung des Client-Risk-Ratings

Im Rahmen der Onboarding-Prüfung werden für einen Neukunden neben der Identifikation und Legitimation des Kunden Informationen zur Mittelherkunft, zum Zweck der Geschäftsbeziehung und zum wirtschaftlichen Berechtigten erhoben. Das Risiko-Scoring-Modell verwendet diese Informationen sowie die ­obengenannten Risikofaktoren, um das Client-Risk-Rating, das sich aus dem Zusammenwirken vom „Initial-Risk-Rating“ und dem Einfluss der „prohibitiven Risikofaktoren“ ergibt, zu bestimmen.

  • Initial-Client-Risk-Rating

Zur Ermittlung des Client-Risk-Ratings werden die Informationen, die im Rahmen des Onboardings über den Neukunden erhoben werden, genutzt. Dazu werden spezifische KYC-Daten und Kundendokumente, wie oben dargestellt, als Risikofaktoren erhoben und in einem KYC-Workflow-System erfasst.
Das Risiko-Scoring-Modell bewertet die spezifischen Ausprägungen der Risikofaktoren und gewichtet diese unter Nutzung eines ökonometrischen Modells.
Das Ergebnis ist der Initial-Risk-Score. Dieser Score kann Ausprägungen von 0 bis 100 erreichen. Der ermittelte Risk-Score wird in eine der drei Risikoeinstufungen „Low Risk“, „Medium Risk “ und „High Risk“ überführt.

Prohibitive Risikofaktoren

Das anhand des Initial-Risk-Scorings ermittelte Initial-Client-Risk-Rating stellt den Ausgangswert für das finale Client-Risk-Rating dar. Im Folgeschritt werden die prohibitiven Risikofaktoren einbezogen.
Das PeP-Kennzeichen [Politisch exponierte Person im Sinne dieses Gesetzes ist jede natürliche Person, die ein hochrangiges wichtiges öffentliches Amt auf internationaler, europäischer oder nationaler Ebene ausübt oder ausgeübt hat oder ein öffentliches Amt unterhalb der nationalen Ebene, dessen politische Bedeutung vergleichbar ist, ausübt oder ausgeübt hat (vgl. § 6 Abs. 2 Nr. 1 GwG), das Vorliegen von auffälligen Informationen (sogenannten, Negative News) sowie eine Verbindung des Kunden zu Sanktions- und/oder Embargoländern werden bei den prohibitiven Risikofaktoren einbezogen].
Sobald einer der prohibitiven Faktoren als zutreffend bewertet wird, wird das finale Client-Risk-Rating auf „High Risk“ gesetzt; es erfolgt ein „Overruling“ des Initial-Risk-Ratings. Wird kein prohibitiver Faktor als zutreffend bewertet, entspricht das finale Client-Risk-Rating dem Initial-Client-Risk-Rating.

Kundenannahme und Konsultationsprozess für High-Risk-Kunden
Das im Rahmen des Onboardings ermittelte Client-Risk-Rating ist ein zentraler Faktor, der entscheidet, ob das operative Kundenmanagement (First Line of Defense) und die Compliancefunktion (Second Line of Defense) vereinfachte oder verschärfte Sorgfaltspflichten gegenüber Kunden anzuwenden haben. Institute sind gemäß Art. 18 4. EU-GwR verpflichtet, bei verstärkten Sorgfaltspflichten den konkreten Umfang der zu ergreifenden Maßnahmen entsprechend dem jeweiligen höheren Risiko zu bestimmen.
Für Kunden mit einem Client-Risk-Rating von „Low Risk“ oder „Medium Risk“ sind vereinfachte Sorgfaltspflichten durchzuführen; es bedarf keiner expliziten Einbeziehung der Compliancefunktion für die Annahme als Kunden im Rahmen des Onboarding-Prozesses. Kunden, die im Client-Risk-Rating als High-Risk-Kunden eingestuft sind, sind zur Annahmeentscheidung an die Compliancefunktion weiterzuleiten. Im Konsultationsprozess wird das Risikopotential des Kunden bewertet und auf Basis eines gemeinsamen Votums der Compliancefunktion mit dem Management entschieden, ob der Kunde (1) angenommen, (2) mit Auflagen als Kunde angenommen oder (3) nicht als Kunde angenommen wird.

Regular Review
Wie bereits zuvor beschrieben, sind Institute nach ­­Art. 14 ­Abs. 5 4. EU-GwR verpflichtet, Bestandskunden zu „geeigneter Zeit“ neu zu bewerten. Ausschlaggebend für den Zeitpunkt der Wiedervorlage ist die gegenwärtige Risikoeinstufung des Kunden. Die Wiedervorlage der Kunden und die Neubewertung/Neuermittlung des Client-Risk-Ratings erfolgt in drei typischen Regelzyklen:

  • Low-Risk-Kundengruppe: Neubewertung/Neuermittlung des Client-Risk-Ratings alle fünf Jahre
  • Medium-Risk-Kundengruppe: Neubewertung/Neuermittlung des Client-Risk-Ratings alle zwei Jahre
  • High-Risk-Kundengruppe: Neubewertung/Neuermittlung des Client-Risk-Ratings jedes Jahr

Mit dieser Abstufung soll sichergestellt werden, dass die Bewertung des Client-Risk-Ratings stets aktuell ist.

Idealerweise wird die Regular Review zur Verhinderung von Bearbeitungsspitzen nicht für alle Kunden einer der obengenannten Gruppen zu einem einheitlichen Zeitpunkt durchgeführt, sondern verteilt über den gesamten Zyklus.

Event-driven Review
Neben der Neubewertung eines Bestandskunden im Regelzyklus ist dieser unverzüglich neu zu bewerten, falls die Veränderung der Ausprägung exogener oder endogener Faktoren die Erhöhung des Geldwäscherisikos eines Kunden wahrscheinlich erscheinen lässt. Hierzu zählen insbesondere Ereignisse wie:

  • die Veränderung von Länderrisiken gemäß Korruptionsindex (englisch Corruption Perceptions Index, abgekürzt CPI),
  • die Aufnahme in die Sanktions- und Embargolisten,
  • die Veränderung der Risikoeinstufung von Branchen gemäß Geldwäscherichtlinie,
  • das Eintreten der Voraussetzungen für den PeP-Status,
  • die wesentliche Erhöhung der Transaktionsvolumina.

Die Event-driven Review stellt sicher, dass sämtliche Kunden, die aufgrund der Veränderung der Ausprägung exogener oder endogener Faktoren ein hohes Geldwäscherisiko darstellen, unmittelbar verschärften Sorgfaltspflichten unterliegen. (Gleichfalls muss sichergestellt werden, dass im Fall von zurückgehendem Risiko Kunden auch wieder in die vereinfachten Sorgfaltspflichten wechseln. Ansonsten entsteht die Konstellation, dass die Gruppe der Kunden mit verschärfter Sorgfaltspflicht kontinuierlich akkumuliert).

Integrierte KYC-Plattform und Client-Risk-Rating
Durch den Einsatz geeigneter Workflowsysteme lässt sich eine qualitativ hochwertige und zielgerichtete Ermittlung des Client-Risk-Ratings erreichen. Eine integrierte, technische KYC-Plattform unterstützt das operative Kundenmanagement bei der Eingabe der Kundendaten, der Bewertung der Risikofaktoren und bei der Ermittlung des Client-Risk-Ratings während des Onboarding-Prozesses.
Zugleich kann eine integrierte KYC-Plattform für die Regular Review in erheblichen Effizienzgewinnen resultieren. Das Workflowsystem bereitet auf Basis des hinterlegten Wiederbewertungsdatums die zur Durchsicht anstehenden Kundenakten vor; idealerweise werden Informationen zu exogenen Faktoren etwa durch Zugriff auf externe Informationsquellen automatisch zur Verfügung gestellt.
Im Rahmen der Event-driven Review selektiert das Workflowsystem jene Kundenakten, bei denen sich Veränderungen exogener und endogener Faktoren potentiell auf den Client-Risiko-Score sowie das Client-Risk-Rating auswirken.
Aufgrund der Entwicklung der technologischen Möglichkeiten („Big Data“, „Artificial Intelligence“) gibt es gegenwärtig in führenden Instituten Überlegungen, eine tägliche Neuermittlung des Client-Risk-Ratings für alle Bestandskunden über Nacht in einem Batch-Lauf durchzuführen. Damit fallen die Regular Review und die Event-driven Review zusammen; jeden Tag liegen aktualisierte Risikobewertungen sämtlicher Kunden vor.
Wichtig ist dennoch, dass erfahrene Kundenverantwortliche und Complianceexperten weiterhin aktiv die High-Risk-Fälle überwachen. Dies soll sicherstellen, dass tatsächliche Veränderungen des Risikoprofils eines Kunden auch dann in der Risikobewertung reflektiert werden, wenn Veränderungen von Risikofaktoren eines Kunden keine öffentlichen Informationen darstellen und damit nicht durch das Workflowsystem erkannt werden.
Bei den Medium-Risk- und Low-Risk-Kunden genügt in der Regel eine stichprobenbasierte Überwachung der Kundendaten, sofern seitens des Workflowsystems Kundenakten nach dem Durchlaufen der automatischen Review als vollständig bearbeitet kennzeichnet werden.

Auf den Punkt gebracht: Ausblick
Das Client-Risk-Rating stellt ein zentrales Element bei der Umsetzung des sogenannten risikobasierten Ansatzes nach der 4. EU-Geldwäscherichtlinie (4. EU-GwR) dar.
Im risikobasierten Ansatz werden Kunden-/KYC-Daten, die Institute zur Verhinderung von Geldwäsche und Terrorismusfinanzierung erheben, erstmals konsequent und in einer geschlossenen Methodik bewertet.
Je nach Risikoeinstufung eines potentiellen Neukunden oder eines Bestandskunden sind unterschiedliche Sorgfaltspflichten zu erfüllen. In Abhängigkeit vom Client-Risk-Rating werden unterschiedlich enge „Kontrollnetze“ gespannt.
Ein aussagekräftiger risikobasierter Ansatz bedeutet allerdings nicht nur, dass Bestandskunden regelmäßig einer Regular Review sowie ereignisbezogen einer Event-driven Review zu unterziehen sind.
Von Bedeutung ist auch, dass das zugrunde gelegte Risiko-Scoring-Modell stets in der Lage ist, trennscharfe Aussagen zur Risikoeinstufung des Kunden abzugeben. Insofern stellen eine regelmäßige Hinterfragung des verwendeten risikobasierten Ansatzes mit einem Backtesting der Risiko-Scoring-Modell-Methodik sowie gegebenenfalls die Rekalibrierung der Methodik zentrale Forderungen an einen funktionsfähigen risikobasierten Ansatz dar.
Das konsequente Ausrollen des Client-Risk-Ratings in Kredit- und Finanzinstituten, insbesondere bei Instituten mit verzweigten Konzernstrukturen, sowie eine Integration des Modells in einer workflowbasierten, einheitlichen Complianceplattform stellen die Herausforderungen der kommenden Jahre dar.

rragunathan@kpmg.com

beisele@kpmg.com