– | angemessen – 1; |
– | genügend – 3; |
und
– | nicht genügend – 6. |
203
Als nächstes sind die internen Sicherungsmaßnahmen zu gewichten. Hierbei erhalten die Sicherungsmaßnahmen, die aus Sicht des Instituts in besonderem Maße zur Risikoreduzierung beitragen, wie zum Beispiel der KYC Prozess, eine hohe Gewichtung. Andere Maßnahmen, wie zum Beispiel die Aufzeichnung von Informationen und die Aufbewahrung von Dokumenten nach § 8 GwG, die tendenziell weniger risikoreduzierend wirken, erhalten eine verhältnismäßig geringere Gewichtung. Während die Gewichtung institutsspezifisch erfolgen sollte, kann ein Beispiel für eine mögliche Gewichtung den „Frequently Asked Questions on Risk Assessments for Money Laundering, Sanctions and Bribery & Corruption“ der Wolfsberg-Gruppe aus 2017 entnommen werden.
204
Schließlich müssen Intervalle festgelegt werden, die eine Rückführung der Gesamtscores auf die Beurteilungskategorien erlauben. Ein mögliches Beispiel für die von uns gewählten Scores findet sich in Abbildung 9.
Abb. 9: Beispielhafte Intervalle je Beurteilungskategorie
Beurteilungskategorien | Gesamtscore |
---|---|
Angemessen | 1 < Score < 2,5 |
Genügend | 2,5 ≤ Score < 4 |
Nicht genügend | 4 ≤ Score < 6 |
2. Kapitel Risikoanalyse nach § 5 GwG: Identifizierung der Risiken der Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen › C. Durchführung der Risikoanalyse › VII. Schritt 5: Überprüfung und Weiterentwicklung bestehender Maßnahmen
VII. Schritt 5: Überprüfung und Weiterentwicklung bestehender Maßnahmen
205
Im fünften und letzten Schritt der Risikoanalyse erfolgen zwei Dinge: Erstens wird das Residual-, also das Nettorisiko nach Berücksichtigung der internen Sicherungsmaßnahmen ermittelt. Zweitens wird erläutert, wie man mit eventuell in Schritt 4 identifizierten Schwachstellen bestehender Maßnahmen umgeht.
2. Kapitel Risikoanalyse nach § 5 GwG: Identifizierung der Risiken der Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen › C. Durchführung der Risikoanalyse › VII. Schritt 5: Überprüfung und Weiterentwicklung bestehender Maßnahmen › 1. Ermittlung des Residualrisikos
1. Ermittlung des Residualrisikos
206
Um das Geldwäscheresidual- bzw. Nettorisiko der Bank zu ermitteln, werden die in Schritt 3 ermittelten inhärenten Risiken in Kombination mit den in Schritt 4 betrachteten internen Sicherungsmaßnahmen betrachtet. Im Normalfall sollten die internen Sicherungsmaßnahmen angemessen ausgestaltet sein und so zu einer Minderung des Gesamtrisikos beitragen.
Abb. 10:
Residualrisikomatrix
207
Berücksichtigt man also die internen Sicherungsmaßnahmen, so kommt es wie in Abbildung 9 dargestellt zu einer Verschiebung des Risikos. Hat sich ein Institut für mehr oder weniger als drei Kategorien zur Bewertung des inhärenten Risikos und der internen Sicherungsmaßnahmen entschieden, so muss die Residualrisikomatrix entsprechend angepasst werden.
208
Risikoaverse Institute können außerdem entscheiden, dass das inhärente Risiko mit der Beurteilung „Hoch“ auch bei angemessenen internen Sicherungsmaßnahmen hoch bleibt.
209
Geschäftsbeziehungen mit dem Residualrisiko „Sehr hoch/Kritisch“ sollten besonders vorsichtig betrachtet werden. Ggf. sollte die Beendigung der Geschäftsbeziehung in Betracht gezogen werden.
2. Kapitel Risikoanalyse nach § 5 GwG: Identifizierung der Risiken der Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen › C. Durchführung der Risikoanalyse › VII. Schritt 5: Überprüfung und Weiterentwicklung bestehender Maßnahmen › 2. Weiterentwicklung bestehender Maßnahmen
2. Weiterentwicklung bestehender Maßnahmen
210
Zusätzlich zur Ermittlung des Residualrisikos ist abschließend darauf einzugehen, wie sich das Institut in Zukunft noch besser vor den Risiken der Geldwäsche schützen möchte. Auch wenn ein Institut insgesamt ein Profil mit niedrigem Risiko hat, gibt es dennoch meist die eine oder andere interne Sicherungsmaßnahme, die nicht in allen Punkten als „Angemessen“ eingestuft wurde.
211
Wir schlagen daher vor, für jede interne Sicherungsmaßnahme auf die Punkte einzugehen, in denen sie nur mit „Genügend“ oder sogar mit „Nicht genügend“ abgeschnitten hat. Das Institut sollte darlegen, wie es plant, betroffene Maßnahmen zu verbessern und bis wann die geplanten Anpassungen zeitlich erfolgen sollen.
212
Darüber hinaus können die Ergebnisse der Risikoanalyse auch dazu dienen, den Kontrollumfang und -turnus für die internen Sicherungsmaßnahmen festzulegen. Im Rahmen des internen Kontrollsystems sollten Institute die Angemessenheit und Wirksamkeit der implementierten Sicherungsmaßnahmen regelmäßig kontrollieren. Sicherungsmaßnahmen, die im Zuge der Risikoanalyse vergleichsweise schlecht abgeschnitten haben, oder Sicherungsmaßnahmen, die gegen hohe Risiken wirken sollen, sollten dabei besonders häufig überprüft werden.
Anmerkungen
Im weiteren Verlauf dieses Kap. der besseren Lesbarkeit halber als „Geldwäsche“ bzw. „Geldwäscheprävention“ bezeichnet, wenn nicht explizite Aussagen zu (der Prävention von) Geldwäsche, Terrorismusfinanzierung oder sonstigen strafbaren Handlungen im Einzelnen getroffen werden.
Im