Risikoanalyse im Rahmen der Geldwäscheprävention: Neue Anforderungen und Änderungen in den BaFin-AuAs 2024
Die Risikoanalyse ist ein zentraler Bestandteil der Geldwäscheprävention, der den Verpflichteten hilft, die spezifischen Risiken im Zusammenhang mit Geldwäsche und Terrorismusfinanzierung zu identifizieren und zu bewerten. Die neuen Auslegungs- und Anwendungshinweise (AuAs) der BaFin für 2024 bringen in diesem Bereich einige bedeutende Änderungen mit sich, die über die bisherigen Anforderungen hinausgehen. Dieser Artikel erläutert die wichtigsten Schritte der Risikoanalyse und hebt die Unterschiede zwischen den alten und den neuen AuAs hervor.
1. Vollständige Bestandsaufnahme der unternehmensspezifischen Situation (Schritt 1)
Vorherige Anforderungen:
In den bisherigen AuAs war die Bestandsaufnahme der spezifischen Unternehmenssituation zwar ein fester Bestandteil der Risikoanalyse, jedoch wurde der Fokus weniger auf eine umfassende und systematische Erfassung aller relevanten Daten gelegt.
Neue Anforderungen:
Die neuen AuAs 2024 betonen die Notwendigkeit einer noch detaillierteren Bestandsaufnahme. Unternehmen müssen nun sicherstellen, dass sie eine vollständige Erfassung ihrer Kundenstruktur, Geschäftsbereiche, Produkte und Dienstleistungen sowie ihrer gesamten Organisationsstruktur vornehmen. Die neuen Vorschriften verlangen zudem, dass ein einheitlicher Erfassungsstichtag für statistische Angaben verwendet wird, um eine konsistente und vergleichbare Datenerhebung sicherzustellen.
2. Risikoidentifizierung (Schritt 2)
Vorherige Anforderungen:
Früher war die Risikoidentifizierung hauptsächlich auf die in § 5 GwG genannten Risikofaktoren und die Nationale Risikoanalyse (NRA) beschränkt. Die Verpflichteten nutzten zumeist nur die explizit genannten Informationsquellen zur Identifizierung von Risikofaktoren.
Neue Anforderungen:
Die neuen AuAs 2024 erweitern die Pflicht zur Risikoidentifizierung erheblich. Unternehmen müssen nun zusätzlich alle ihnen zugänglichen Erkenntnisse, wie internes Wissen, Medienauswertungen und Erfahrungen aus Verdachtsfällen, heranziehen, um mögliche Risikofaktoren umfassend zu identifizieren. Darüber hinaus wird eine klare Trennung zwischen Geldwäsche- und Terrorismusfinanzierungsrisiken gefordert, einschließlich der Berücksichtigung, dass Mittel zur Terrorismusfinanzierung auch aus legalen Quellen stammen können.
Verschärfte BaFin Anforderung: Nutzung vielfältiger Quellen
- Die neuen BaFin-Auslegungs- und Anwendungshinweise 2024 betonen die Bedeutung der Nutzung vielfältiger Quellen bei der Erstellung einer Risikoanalyse.
- Neben den gesetzlich vorgeschriebenen Informationsquellen wie den Anlagen 1 und 2 zum GwG und der Nationalen Risikoanalyse (NRA) sollen Unternehmen zusätzliche Quellen heranziehen, um eine fundierte Risikoidentifizierung zu gewährleisten.
- Dazu gehören beispielsweise die „Leitlinien zu den Risikofaktoren für Geldwäsche und Terrorismusfinanzierung“ der Europäischen Bankenaufsichtsbehörde (EBA), die supranationale Risikoanalyse (SNRA) der EU-Kommission sowie die subnationalen Risikoanalysen (SRA) der BaFin.
- Weitere wertvolle Informationsquellen sind die Veröffentlichungen der Zentralstelle für Finanztransaktionsuntersuchungen (FIU) und die Empfehlungen der Financial Action Task Force (FATF).
- Diese zusätzlichen Erkenntnisquellen ermöglichen es den Verpflichteten, spezifische Risikofaktoren besser zu identifizieren und ihre Risikoanalyse umfassender und präziser zu gestalten.
3. Risikobewertung (Schritt 3)
Vorherige Anforderungen:
Die bisherige Risikobewertung war in der Regel weniger differenziert und ließ den Unternehmen größere Freiheiten bei der Klassifizierung der Risiken. Eine dreistufige Risikoeinstufung (hoch, mittel, gering) war häufig ausreichend.
Neue Anforderungen:
Die neuen AuAs 2024 fordern eine präzisere und differenzierte Bewertung der identifizierten Risiken. Unternehmen müssen nun verschiedene Bewertungsmethoden in Betracht ziehen, bei denen unterschiedliche Risikofaktoren unterschiedlich gewichtet werden können.
Zudem wird mehr Wert auf die Dokumentation und Begründung der Risikobewertung gelegt, insbesondere wenn es um die Entscheidung über das verbleibende Restrisiko geht. Diese Bewertung muss von der Leitungsebene genehmigt und regelmäßig überprüft werden.
4. Ableitung angemessener Sicherungsmaßnahmen (Schritte 4 und 5)
Vorherige Anforderungen:
Früher lag der Schwerpunkt auf der Entwicklung interner Sicherungsmaßnahmen auf Basis der Risikoanalyse, jedoch ohne die detaillierte Anleitung zur ständigen Überprüfung und Anpassung dieser Maßnahmen.
Neue Anforderungen:
Die neuen AuAs 2024 gehen weiter und verlangen nicht nur die Implementierung, sondern auch die ständige Überwachung und Anpassung der internen Sicherungsmaßnahmen. Diese Maßnahmen müssen spezifisch auf die identifizierten Risiken zugeschnitten und regelmäßig aktualisiert werden, um eine wirksame Risikominderung sicherzustellen.
Unternehmen müssen dokumentieren, wie diese Maßnahmen aus den Ergebnissen der Risikoanalyse abgeleitet wurden.
5. Pflicht zur Dokumentation und Aktualisierung
Vorherige Anforderungen:
Die bisherige Dokumentationspflicht der Risikoanalyse war weniger strukturiert und ließ Spielraum für individuelle Auslegungen.
Neue Anforderungen:
Die neuen AuAs 2024 verschärfen die Dokumentations- und Aktualisierungspflichten erheblich. Unternehmen müssen ihre Risikoanalyse mindestens einmal jährlich überprüfen und bei Bedarf aktualisieren.
Alle Änderungen müssen nachvollziehbar dokumentiert und die Risikosituation vor und nach der Aktualisierung klar erkennbar dargestellt werden. Zudem ist die aktualisierte Risikoanalyse unverzüglich der Leitungsebene zur Genehmigung vorzulegen und der BaFin auf Verlangen vorzulegen.
Schlussfolgerung:
Die neuen BaFin-Auslegungs- und Anwendungshinweise 2024 bringen erhebliche Änderungen in der Art und Weise, wie Unternehmen ihre Risikoanalyse im Rahmen der Geldwäscheprävention durchführen müssen.
Durch die verschärften Anforderungen an die Bestandsaufnahme, Risikoidentifizierung, Risikobewertung, Ableitung von Sicherungsmaßnahmen sowie die Dokumentation und Aktualisierung müssen Unternehmen ihre internen Prozesse und Kontrollmechanismen deutlich verbessern.
Diese Änderungen zielen darauf ab, die Präventionsmaßnahmen effektiver zu gestalten und den Schutz vor Geldwäsche und Terrorismusfinanzierung weiter zu stärken. Es ist daher unerlässlich, dass Unternehmen sich frühzeitig auf diese neuen Anforderungen einstellen und ihre Compliance-Systeme entsprechend anpassen.