Donnerstag, 26. März 2020

Der risikobasierte Ansatz eröffnet Handlungsspielräume für Unternehmen

Transparente und nachhaltige Prioritätensetzung im Umgang mit Compliance-Risiken durch Erstellung der individuellen Risikoanalyse.

Lars Baumgart, bis 08/2019: Compliance-Manager, Alphabet International GmbH (BMW Group), seit 09/2019: Spezialist Exportkontrolle, BMW AG

Die gesetzeskonforme Umsetzung des Geldwäschegesetzes mit dem Anspruch, die Risiken der Geldwäsche, der Terrorismusfinanzierung und der sonstigen strafbaren Handlungen zu bekämpfen, sorgt in der Unternehmenspraxis für Herausforderungen. Diese resultieren sowohl aus den nicht eindeutig festgelegten Vorgaben und Maßnahmen seitens des Gesetzgebers in dem Begriff des risikobasierten Ansatzes sowie aus den wirtschaftlich beschränkten Ressourcen jedes Unternehmens.



Effektiv, effizient und nachhaltig die Anforderungen in der Unternehmenspraxis umsetzen zu können, setzt die Kenntnis der Intention der Gesetzgebung voraus. Diese basiert auf den folgenden Annahmen:

  • Geldwäsche, Terrorismus und Betrug sind internationale Phänomene, die durch den Aufbau von Parallelstrukturen jede Gesellschaft negativ beeinflussen. 
  • Aufgrund hoher Renditen bei der Verschleierung, dem Platzieren und der Integration der illegalen Vermögensherkunft in den legalen Wirtschaftskreislauf werden marktwirtschaftliche Wettbewerbsgrundsätze außer Kraft gesetzt und eignen sich dazu, rechtskonforme Wirtschaftsteilnehmer aus dem Markt zu verdrängen. 
  • Zur Verschleierung der Vermögensherkunft werden Landesgrenzen und nationale Verantwortlichkeiten auch mithilfe von neuen Technologien mehrfach und in Sekundenbruchteilen übertreten, um eine Nachverfolgung zu erschweren. 
  • Die Gesetzgebung kann nicht proaktiv den Umgang mit jeder Technologie, Produkt, Prozess und Vertriebskanal für jedes Unternehmen regeln und verlangt von den verpflichteten Unternehmen, das individuelle Risiko, für dubiose Handlungen missbraucht zu werden, selbst zu bestimmen und zu managen
  • Diese Vorgaben sind Teil des risikobasierten Ansatzes und müssen immer vor der Einführung neuer Produkte, Vertriebskanäle oder Vertriebsgebiete auf die Wahrscheinlichkeit eines Missbrauchs analysiert und bewertet werden. Die Bewertung sowie die mitigierenden Maßnahmen sollen Bestandteil der Risikoanalyse sein (vgl. § 5 Geldwäschegesetz). 


SEMINARTIPP

Geldwäscheprävention in Autohäusern, 14.05.2020, Mannheim. 


Fachkonzeption zur Erstellung einer unternehmensinternen Risikoanalyse

Die Intention des Gesetzgebers sollte zunächst in einem Fachkonzept zur Erstellung der geforderten Risikoanalyse berücksichtigt werden. In diesem sollten neben dem Geldwäschegesetz vom Dezember 2019 sowohl die Erkenntnisse aus der nationalen Risikoanalyse für Deutschland vom Oktober 2019 und die relevanten BKA- Lagebilder als auch die vierte EU-Geldwäscherichtlinie und deren Umsetzungshinweise als Grundlage zur Anfertigung dienen. Wesentlicher Bestandteil der Fachkonzeption sollte die grundsätzliche Methodik und auch die konkrete Herleitung der relevanten Risikoindikatoren für das aktuelle Produktportfolio, die Unternehmensprozesse und zur Bewertung von Geschäftspartnern sein. Die Umsetzung dieser unternehmensinternen Fachkonzeption dient als Vorgabe für die regelmäßig zu erstellenden Risikoanalysen und ermöglicht eine transparente und objektiv nachvollziehbare Risikoeinschätzung. 

Die Überarbeitung der Fachkonzeption sollte vor jeder Erstellung der Risikoanalyse geprüft und angepasst werden. Vor allem Modifikationen in der Herleitung und Bewertung von einzelnen Risikoparametern müssen nachvollziehbar dokumentiert werden, da diese einen unmittelbaren Einfluss auf die Risikosituation des Unternehmens hat. 

BUCHTIPP

von Drahten (Hrsg.): Bearbeitungs- und Prüfungsleitfaden: Risikoorientierte Prävention von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen, 4. Aufl. 2020.

 

Verdachtsmomente des Missbrauchs bedürfen einer beständigen Überprüfung und Weiterentwicklung

Jedes Unternehmen muss sich seine Verdachtsmomente herleiten, die auf Geldwäsche, des Betrugs oder der Terrorismusfinanzierung hindeuten. Die Herleitung sollte unter anderem das Unternehmensumfeld, die Unternehmenskultur, die Vertriebsregionen, das Produktportfolio, das Branchenumfeld sowie die Nutzung von innovativen Informationstechnologien berücksichtigen, um jede Abweichung vom Standard analysieren und in die Bewertung einfließen lassen zu können. Förderlich für die Herleitung ist zunächst die Erstellung von Risikoszenarien, die mehrere Verdachtsmomente zugrunde legen können.

Beispiel-Szenario: Begründung einer Geschäftsbeziehung mit einer Mantelfirma mit dem Risiko des Verzichts auf offene Forderungen. 

Bei diesem Szenario sollten Verdachtsmomente beim Geschäftspartner wie das Gründungsdatum des Unternehmens, die Anzahl der Mitarbeiter und die Anzahl von gemeldeten Firmen an der Firmenadresse in die Risikobewertung eingehen. Wenn bereits eine Geschäftsbeziehung existiert, sollten zudem offene Forderungen abhängig von deren Höhe eine risikoerhöhende Wirkung entfalten. 

Weitere Verdachtsmomente, die zwingend zu einem hohen Risiko oder eventuell auch zu einer Risikominimierung des Geschäftspartners führen, sind in den ersten beiden Anlagen des Geldwäschegesetzes aufgelistet.  

Beispiel-Verdachtsmoment: Kauf des Leasinggutes durch einen Vertragspartner vor Ablauf der Vertragslaufzeit (vorzeitige Ablösung).

Das Szenario hierfür wäre die Ausnutzung eines als gering klassifizierten Produktes (Leasing). Diese Abänderung der Produkteigenschaft hätte ein höheres Risiko dieser Geschäftspartner zur Folge. 

Die Kündigung eines Leasingvertrages direkt nach Vertragsbeginn verbunden mit dem Herauskaufen des Leasinggutes unterminiert die Annahme einer langfristigen Geschäftsbeziehung mit der vereinbarten Rückgabe des Leasinggutes nach der Vertragslaufzeit. Vertragsstrafen sind kein Hinderungsgrund für die Verschleierung von illegalen Vermögensherkünften. Bei diesem Verdachtsmoment sollten folgende Risikoindikatoren bei dem Geschäftspartner bewertet werden: 

  • Vertragsbeendigung innerhalb den ersten zehn Prozent der terminierten Vertragslaufzeit, 
  • Hohe Anzahl bei Vertragsbeginn, 
  • Kauf des Leasinggutes, 
  • Volumen und Dauer der Geschäftsbeziehung  

Im Umkehrschluss werden Kundenbeziehungen, bei denen dieses Verdachtsmoment nicht zutrifft, in diesen Risikoindikatoren mit einem geringeren Geldwäscherisiko bewertet. 


FILMTIPP

Einhaltung neuer Vorschriften zur Geldwäschebekämpfung.


Der Risikokontrollplan dient der Nachhaltung des Risikomanagements 

Vergleichbar mit dem Vorgehen bei der Erstellung der Risikoanalyse, die nach den Vorgaben der Fachkonzeption angefertigt wird und nach der Erstellung ohne die Fachkonzeption kommuniziert werden kann, ist dies auch mit dem Risikokontrollplan gegenüber der Risikoanalyse. Der Risikokontrollplan enthält alle Maßnahmen und Kontrollen aus der jeweils gültigen Risikoanalyse und kann ohne Kenntnis der Risikoanalyse durch die Fachbereiche umgesetzt werden. Um die Akzeptanz bei der Umsetzung der Maßnahmen und die Kontrollergebnisse zu erhöhen, sollten alle Mitarbeiter zielgruppengerecht geschult werden, um auf deren Wissen über die Prozessschwächen oder Hinweise bei der Erstellung der Risikoanalyse zurückgreifen zu können. Zudem werden Mitarbeiter, die gegenüber diesem Risiko regelmäßig sensibilisiert werden, eher Auffälligkeiten bei den Compliance-Beauftragten melden als ohne dieses Vorwissen. 

Vor der Einführung von risikominimierenden Maßnahmen sollten vorhandene Prozessschritte und Synergien zu anderen internen Vorgaben genutzt werden. Dies schafft Akzeptanz, erhöht den Zielerreichungsgrad und kann die zusätzliche Arbeitsbelastung auf das Minimum beschränken. 

Der Daten- oder Informationsschutz fordert eigene Risikoanalysen an deren Beauftragte. Die abgeleiteten Risiken sollten in einem gemeinsamen Risikokontrollplan integriert werden. Dadurch können die einzelnen Fachbereiche mit deren Prozess- und Verfahrensabläufen ganzheitlich gegenüber allen bestehenden Risiken geschult und die notwendigen Änderungen abgestimmt veranlasst werden. So kann beispielsweise eine Änderung des Rollen- und Rechtekonzeptes sowohl risikominimierende Auswirkungen auf das Risiko im Informationsschutz als auch auf Betrugsrisiken haben. 

 

Mut zu Modifikationen

Die Umsetzung der gesetzlichen Anforderungen erfordert die Veränderungsbereitschaft aller Beteiligten, unter anderem bei der Erstellung der Risikoanalyse. Bestehende Denkmuster müssen kritisch hinterfragt und auf Änderungen überprüft werden, um neuen Methoden und Verfahren der Geldwäsche Rechnung tragen zu können. Die Veränderungsbereitschaft erfordert somit zu einem gewissen Maße unkonventionelles Denken (engl. „thinking outside the box“) und sollte unter Mitwirkung anderer fachfremder Abteilungen stattfinden, um nicht in bestehenden Denkmustern gefangen zu sein. 

Nur mit der Unterstützung des Managements kann der risikobasierte Ansatz im Unternehmen erfolgreich umgesetzt werden, da eventuelle Vorbehalte oder Widerstände in den Fachbereichen bei der Umsetzung von risikominimierenden Maßnahmen durch deren Verantwortung entkräftet werden können. Dies setzt eine regelmäßige Berichterstattung gegenüber dem Management bezüglich der Risikoanalyse und des abgeleiteten Risikomanagements voraus. 

 

PRAXISTIPPS

  • Die Anforderungen an den risikobasierten Ansatz wurden in der Vergangenheit vermehrt modifiziert und unterliegen aufgrund des volatilen Geschäftsmodells der Geldwäsche, der steigenden Anzahl von terroristischen Aktivitäten weltweit und der Veröffentlichung von neuen Betrugsdelikten einem steten Wandel. 
  • Der risikobasierte Ansatz muss mindestens einmal jährlich und beim Hinweis auf Änderungsbedarf aktualisiert und auf Wirksamkeit überprüft werden. Vorliegende interne und externe Compliance-Verstöße sollten anhand der aktuell verwendeten Parameter getestet werden. 
  • Eine Fachkonzeption sollte die Grundlage zur Erstellung einer unternehmensinternen Risikoanalyse sein. Diese beinhaltet sowohl die Herleitung der Risikoindikatoren zur Ermittlung der einzelnen Risikodimensionen in der Risikoanalyse als auch die Vorgaben zu den einzelnen Gliederungspunkten und deren Inhalte zur transparenten regelmäßigen Umsetzung. Durch Erstellung der Fachkonzeption können Bezüge in der jeweiligen Risikoanalyse erstellt und somit repetitive Erläuterungen entfernt werden. Dies dient der Lesbarkeit und ermöglicht eine bessere Vergleichbarkeit zwischen den Risikoanalysen. Eine sorgfältig erstellte und aktualisierte Fachkonzeption zur Erstellung der Risikoanalysen wird die initialen Aufwände in naher Zukunft mehr als kompensieren. 
  • Verstöße gegen gesetzliche Vorgaben oder die Nichterkennung von Indizien, die auf die Verstrickung in dubiose Handlungen hinweisen, werden strikter und konsequenter geahndet. Der Strafrahmen wurde mit jeder Novellierung des Geldwäschegesetzes erhöht. Die Geschäftsführung sollte sich dessen bewusst sein, um notwendige Anpassungen rechtzeitig einsteuern und umsetzen zu können (Reagieren statt agieren!), 
  • Der bewusste Umgang mit allen Risiken innerhalb des Unternehmens ist das erklärte Ziel des risikobasierten Ansatzes. Dies setzt voraus, dass mitigierende Maßnahmen auf deren Grad der Risikominimierung gegenüber dem festgestellten Risikowert bewertet werden sollen. Das verbleibende Restrisiko sollte immer abschließend bewertet werden, um gegebenenfalls weitere Maßnahmen einführen zu können. Die Geschäftsführung kann verbleibende Restrisiken auch eingehen. Dies sollte aber immer in der Risikoanalyse ausgewiesen werden.
  • Der risikobasierte Ansatz setzt eine offene und transparente Unternehmenskultur voraus. Risiken zu erkennen und zu managen setzt die aktive Mitarbeit und den Willen aller Beteiligten voraus. Bewusstes Weghören oder Nicht-Beachten verstößt gegen diesen Ansatz und wird von den Aufsichtsbehörden rigoros geahndet. 
  • Ein gutes Instrument zur Transparenz innerhalb des Unternehmens ist ein anonymisierter Whistleblowing-Prozess. Dieser sollte jedem Mitarbeiter bekannt, barrierefrei und intuitiv nutzbar sein. Dadurch wird die Hemmschwelle einer notwendigen Meldung an die Compliance-Verantwortlichen reduziert. Die Bearbeitung der Meldungen muss diskret und objektiv geschehen. Es muss immer der Wahrheitsgehalt der Meldung hinterfragt werden, um ungerechtfertigte Rufschädigungen von Mitarbeitern zu vermeiden. 
  • Die Ausgestaltung des risikobasierten Ansatzes sollte immer präventiven Maßnahmen, wie beispielsweise der Sensibilisierung der Mitarbeiter, den Vorrang gegenüber nachgelagerten Kontrollmaßnahmen einräumen. Bei der Investition von Unternehmensressourcen sind Präventionsmaßnahmen in der Praxis zielführender und ressourcenschonender als die akute Ermittlung von aufgetretenen Verstößen. Die Fachliteratur beziffert den Bekämpfungsgrad im Verhältnis von 10 zu 1. Nur im Zusammenspiel beider Maßnahmenarten (präventiv und reaktiv) kann ein effektives, effizientes und nachhaltiges Risikomanagement umgesetzt werden. 

 

 


Beitragsnummer: 6440

Hinterlassen Sie einen Kommentar

Kommentare:

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.