CryptaCount
DE
EnglishENDeutschDEEspañolESFrançaisFRItalianoIT日本語JA한국어KONederlandsNLPolskiPLPortuguêsPT
Anmelden Kostenlos starten

Drei Verteidigungslinien: Das Governance-Modell, das regulierte Krypto-Firmen bereits brauchen

CryptaCount Editorial · · 10 Min. Lesezeit
GELDWÄSCHEPRÄVENTION / KYC / LIZENZIERUNG Drei Verteidigungslinien: DasGovernance-Modell, das regulierteKrypto-Firmen bereits brauchen

Die Aufsichtsbehörden in der EU, Großbritannien, den USA, Singapur, Hongkong, Japan, den VAE und darüber hinaus fragen nicht mehr nur, ob ein Kryptoasset-Unternehmen eine Compliance-Richtlinie hat. Sie verlangen von den Boards den Nachweis der dahinterstehenden Kontrollen, und sie machen die in diesen Kontrollen benannten Personen persönlich haftbar. Das Governance-Modell, das dieser Prüfung standhält, existiert bereits: Es ist das Drei-Verteidigungslinien-Rahmenwerk, das jede gut geführte Bank, jeder Broker-Dealer und jede Vermögensverwaltung seit Jahren nutzt.

Drei Verteidigungslinien: Das Governance-Modell, das regulierte Krypto-Firmen bereits brauchen

Warum das Argument „Krypto ist anders“ zu kurz greift

Eine wiederkehrende Position in der Kryptoasset-Branche besagt, dass Blockchain-native Geschäftsmodelle zu neuartig, zu schnelllebig oder strukturell zu ungewöhnlich seien, um in traditionelle Finanz-Governance-Rahmenwerke zu passen. Die praktische Erfahrung beim Aufbau und Betrieb von Finanzkriminalitäts-Compliance-Funktionen bei regulierten Kryptoasset-Unternehmen erzählt eine andere Geschichte.

Das Argument mangelt an Nuancen. Die Geschwindigkeit der Abläufe ist eine echte Variable, aber sie ist ein Grund, Governance präziser zu implementieren, nicht sie aufzugeben. Institutionelle Kunden, darunter Banken, Vermögensverwalter und Zahlungsinfrastrukturanbieter, kommen in großem Umfang in den Bereich der digitalen Vermögenswerte. Die Kryptoasset-Unternehmen, die ihr Geschäft gewinnen, werden diejenigen sein, deren Governance-Struktur für das Risikokomitee einer Bank, einen externen Prüfer oder eine Aufsichtsbehörde verständlich ist.

Was die Aufsichtsbehörden tatsächlich verlangen

Die Erwartungen der Aufsichtsbehörden haben sich deutlich verschoben. Token-Listings, Sanktionsrisiken, Kontrahentenrisiken und Treasury-Management sind jetzt Themen auf Vorstandsebene, nicht nur operative Themen. Fehler in diesen Bereichen führen zunehmend zu persönlicher Haftung für benannte Personen, nicht nur zu institutionellen Unannehmlichkeiten. Dieser Wandel macht eine strukturierte, dokumentierte Governance zu einer kommerziellen Notwendigkeit, nicht nur zu einer Compliance-Übung.

Die drei Verteidigungslinien: Wie sie für Krypto gelten

Das Rahmenwerk verteilt die Verantwortung auf drei unterschiedliche Ebenen. Sie zusammenzulegen, selbst teilweise, ist der Anfang der meisten Governance-Fehler bei Kryptoasset-Unternehmen.

Erste Linie: Das Geschäft

Die erste Linie umfasst alle, die die umsatzgenerierenden Aktivitäten des Unternehmens betreiben: Orderbuch- und OTC-Handelsdesks, Produkt- und Listing-Teams sowie kundennahe Rollen wie Relationship Manager. Sie sind der erste Kontaktpunkt für Risiken und dafür verantwortlich, diese zu identifizieren und zu mindern, bevor sie ins Unternehmen gelangen. Dazu gehören angemessene Schulungen, klare Eskalationswege und die tägliche Verantwortung für die von ihnen bedienten Kontrollen.

Zweite Linie: Risiko und Compliance

Die zweite Linie legt das unternehmensweite Risikorahmenwerk fest, überwacht die Einhaltung und sorgt für die unabhängige Sicht auf Risiken, die die erste Linie sich selbst nicht geben kann. In der Praxis kann diese Schicht als eine einzige Funktion oder aufgeteilt in thematische Teams für AML, Sanktionen, Betrug und Verhalten strukturiert sein, abhängig von Größe und Komplexität des Unternehmens.

Zwei Rollen sind explizit in der zweiten Linie angesiedelt und tragen spezifisches regulatorisches Gewicht: der Money Laundering Reporting Officer (MLRO) und der Compliance Officer. Ihre Verantwortlichkeiten sind unterschiedlich, und dieser Unterschied ist bei Kryptoasset-Unternehmen oft wichtiger, als ihm zugeschrieben wird.

Dritte Linie: Interne und externe Prüfung

Die dritte Linie bietet eine unabhängige Bestätigung, dass die ersten beiden Linien wie vorgesehen funktionieren. In vielen Rechtsordnungen ist die Verpflichtung zur Aufrechterhaltung einer unabhängigen Prüfungsfunktion direkt in den Geldwäschevorschriften oder allgemeinen Aufsichtsregeln verankert. Sie ist nicht optional und kann nicht von Personen besetzt werden, die auch in den von ihnen geprüften Funktionen tätig sind.

Der strukturelle Fehler: Zusammenlegen der Linien

Die Versuchung bei neueren Kryptoasset-Firmen besteht darin, die Trennung zwischen den Linien aufzuheben. Manchmal verschmelzen die erste und zweite Linie zu einem einzigen Team, das sowohl eine Aktivität ausführt als auch beaufsichtigt. Manchmal übernimmt Compliance Entscheidungen, die dem Geschäft gehören sollten, was den risikotragenden Personen die Verantwortung entzieht.

Warum Kompression zu vorhersehbaren Ergebnissen führt

Beide Szenarien führen zum gleichen Ergebnis. Es gibt keine unabhängige Funktion mehr, die das Geschäft hinterfragt, weil das Team, das dies tun sollte, entweder darin eingebettet ist oder es leitet. Ein Rahmenwerk, das dazu gedacht ist, Probleme durch zwei separate Überprüfungen zu erkennen, bricht auf eine zusammen, und eine einzige Fehlentscheidung reicht aus, damit ein Risiko ungehindert das Unternehmen durchläuft.

Größere Firmen setzen manchmal lokale Compliance-Leiter ein, die in Geschäftseinheiten eingebettet sind. Das ist ein anerkanntes Modell, erfordert aber dennoch eine separate Compliance-Linie, die von der kommerziellen Berichtslinie unabhängig ist. Einbettung ohne Unabhängigkeit ist keine Governance der zweiten Linie, sondern Governance der ersten Linie mit einem Compliance-Jobtitel.

MLRO und Compliance Officer: Warum die Unterscheidung wichtig ist

Beide Rollen sitzen in der zweiten Linie und berichten an den Vorstand über den Prüfungs-, Risiko- und Compliance-Ausschuss (ARCC) oder ein spezielles Ausschuss für Finanzkriminalität, das in den ARCC einfließt. Keiner berichtet an die kommerzielle Führung. Diese Berichtslinie ist eine verbindliche regulatorische Anforderung unter den meisten AML-Regimen weltweit, einschließlich in APAC, EMEA und dem Nahen Osten.

MLRO-Verantwortlichkeiten und persönliche Haftung

Der MLRO trägt die Verantwortung für AML, Terrorismusfinanzierung (CTF), Proliferationsfinanzierung (CPF) und illegale Finanzströme, einschließlich der KYC- (Know Your Customer) und KYB-Programme (Know Your Business). Die persönliche Haftung für diese Verpflichtungen liegt in den meisten Rechtsordnungen beim MLRO gemäß dem lokalen AML-Gesetz. Die Rolle ist in der Regel eine kontrollierte Funktion, die eine regulatorische Genehmigung und eine Fitness- und Zuverlässigkeitsprüfung erfordert, die sowohl den Charakter als auch die wesentliche Erfahrung umfasst, die zur Ausübung der Funktion erforderlich ist. Die Aufsichtsbehörden im Nahen Osten und im APAC-Raum formalisieren zunehmend die Trennung zwischen den Rollen des MLRO und des Compliance Officers in ihren Lizenzanforderungen, auch wenn in kleineren Firmen eine einzelne Person beide Positionen ohne Interessenkonflikt innehaben kann.

Verantwortlichkeiten des Compliance Officers

Der Compliance Officer verantwortet das umfassendere Compliance-Programm: Governance-Architektur, Richtlinien und Verfahren, Markt- und Verhaltensüberwachung, Kontrolltests, Schulungen und regulatorische Berichterstattung. In Gruppen, die in mehreren Rechtsordnungen tätig sind, sitzt in der Regel ein Chief Compliance Officer auf Gruppenebene, der die regulierten Einheiten koordiniert und die wichtigsten Regulierungsbeziehungen verwaltet. Der Chief Compliance Officer trägt in der Regel nicht die persönliche AML-Haftung, die in jeder Rechtsordnung, in der regulierte Tätigkeiten ausgeübt werden, beim lokalen MLRO liegt. Diese Haftung verbleibt beim lokalen Beauftragten.

Diese Verantwortungsstruktur ist direkt relevant für die Art und Weise, wie Firmen Digital-Asset-Accounting-Software und Crypto Bookkeeping Software einsetzen: Die von diesen Systemen produzierten Daten speisen die Compliance-Berichtskette, und die Kette hat benannte Verantwortliche auf jeder Ebene.

Risikoappetit: Das Dokument, das alles andere operationalisiert

Eine dokumentierte Risikoappetit-Erklärung verwandelt ein Governance-Rahmenwerk von einem Strukturdiagramm in ein operatives Werkzeug. Sie beginnt mit der allgemeinen Haltung des Unternehmens gegenüber nichtfinanziellen Risikokategorien, einschließlich Compliance, AML/CTF/CPF, Technologie- und Betriebsrisiken, sowie finanziellen Risikokategorien wie Liquidität, Markt und Kredit.

Aufbau und Pflege

Jede Kategorie erhält eine Position, typischerweise ausgedrückt als Nulltoleranz, geringe Toleranz oder mittlere Toleranz mit einem definierten Puffer. Jede Position ist mit spezifischen Kontrollen verknüpft. Die Erklärung sollte mindestens jährlich sowie bei Bedarf überprüft werden, wenn eine wesentliche Änderung im Geschäft oder im regulatorischen Umfeld das Risikoprofil des Unternehmens verändert.

Wenn der Risikoappetit dokumentiert und aktuell ist, können Entscheidungen innerhalb dieses Rahmens schnell getroffen werden. Entscheidungen, die außerhalb liegen, müssen gekennzeichnet, begründet oder eskaliert werden, bevor sie umgesetzt werden. Ohne diesen Referenzpunkt ist jede Beurteilung ad hoc, und die Geschwindigkeit, mit der Kryptoasset-Firmen arbeiten, verstärkt die Folgen eines einzigen Fehlurteils. Definierte Entscheidungsrechte für wesentliche Ereignisse, wie Token-Listings und Kontrahenten-Ausbuchungen, sind ein direktes Ergebnis einer funktionierenden Risikoappetit-Erklärung.

Datengetriebene Entscheidungsfindung und die Rolle von Analysen

Objektive, datengetriebene Entscheidungsfindung ist in diesem Rahmenwerk kein Nice-to-have; sie ist der Mechanismus, mit dem Kontrollen konsistent operationalisiert werden. On-Chain-Kontrollen benötigen eine strukturierte Datenebene darunter. Das bedeutet, Blockchain-Analyseanbieter durch einen rigorosen Prozess auszuwählen und sicherzustellen, dass die Ergebnisse, die sie liefern, gegenüber Aufsichtsbehörden, Prüfern und Gegenparteien verteidigbar sind.

Unsere Abdeckung der Due Diligence zur Datenqualität von Blockchain-Analysen legt die Fragen dar, die Firmen stellen sollten, bevor sie sich bei einer Compliance-Entscheidung auf die Daten eines Anbieters verlassen. Die Qualität dieser Daten wirkt sich direkt auf die Integrität der Überwachungsergebnisse der zweiten Linie und die Fähigkeit der dritten Linie aus, aussagekräftige Prüfungen durchzuführen.

Die gleiche Datendisziplin gilt für Crypto-Accounting-Software, die für die Meldung von Finanzkriminalität verwendet wird. Systeme, die Wallet-Aktivitäten, Transaktionskategorisierung und Treasury-Bewegungen aufzeichnen, speisen direkt in die Compliance-Berichterstattung, die jetzt von Vorständen und Aufsichtsbehörden geprüft wird. Lücken in dieser Aufzeichnung schaffen Lücken in der Beweiskraft.

Berichterstattung an den Vorstand: Format und Rhythmus

Jede regulierte Rechtsordnung verlangt vierteljährliche Vorstandssitzungen, und das Format spiegelt die TradFi-Best Practice wider. Die Sitzungen beginnen mit dem kommerziellen Überblick des CFO, gefolgt vom vierteljährlichen Compliance-Bericht. Dieser Bericht sollte die Compliance-Risikoposition des Unternehmens im Verhältnis zum erklärten Risikoappetit, etwaige wesentliche Ereignisse oder Grenzwertüberschreitungen im Berichtszeitraum sowie ergriffene oder ausstehende Maßnahmen abdecken. Der Vorstand ist kein passiver Empfänger dieser Informationen; er ist das verantwortliche Gremium für die im Bericht beschriebene Risikoposition.

Firmen, die dem endgültigen Krypto-Regulierungsrahmen der FCA für das Vereinigte Königreich unterliegen, werden diesen Rhythmus als konsistent mit den Erwartungen der FCA an autorisierte Firmen erkennen. Ähnliche Erwartungen sind in der MiCA, den MAS-Richtlinien in Singapur, den VARA-Anforderungen in den VAE und den bestehenden Bank Secrecy Act- und FinCEN-Rahmenwerken in den USA verankert.

Quelle: Elliptic

Was ist das Drei-Verteidigungslinien-Modell im Kontext von Kryptoasset-Firmen?

Es ist dasselbe Governance-Rahmenwerk, das im gesamten traditionellen Finanzdienstleistungssektor verwendet wird. Die erste Linie umfasst Geschäfts- und Betriebsteams, die das Risiko am Ort der Aktivität tragen. Die zweite Linie umfasst Risiko- und Compliance-Funktionen, die das Rahmenwerk festlegen und es unabhängig überwachen. Die dritte Linie ist die interne und externe Prüfung, die eine unabhängige Bestätigung liefert, dass die ersten beiden Linien korrekt funktionieren.

Hat der MLRO bei einer Krypto-Firma eine persönliche Haftung?

Ja, in den meisten Rechtsordnungen. Die MLRO-Rolle ist in der Regel eine kontrollierte Funktion, die eine behördliche Genehmigung erfordert. Die persönliche Haftung für AML-, CTF- und CPF-Verpflichtungen liegt bei der benannten Person, nicht bei der Firma als Institution. Die Aufsichtsbehörden in APAC, EMEA und dem Nahen Osten formalisieren dies weiter.

Was ist eine Risikoappetit-Erklärung und warum ist sie für die Krypto-Compliance wichtig?

Eine Risikoappetit-Erklärung dokumentiert die definierte Toleranz des Unternehmens für jede Risikokategorie, die Kontrollen, die diese Toleranz aufrechterhalten, und die Schwellenwerte, die eine Eskalation auslösen. Ohne sie werden Entscheidungen ad hoc getroffen. Mit ihr hat das Unternehmen einen dokumentierten Referenzpunkt, den Aufsichtsbehörden, Prüfer und Vorstandsmitglieder alle hinterfragen können.

Können der MLRO und der Compliance Officer bei einer Krypto-Firma dieselbe Person sein?

In kleineren Firmen ja, sofern kein Interessenkonflikt zwischen den Verantwortlichkeiten besteht. Die Aufsichtsbehörden im Nahen Osten und im APAC-Raum formalisieren die Unterscheidung zunehmend in den Lizenzanforderungen. In größeren oder multinationalen Gruppen sind separate Bestellungen die erwartete Struktur, wobei der lokale MLRO die AML-Haftung in jeder regulierten Rechtsordnung trägt.

Wie hängt Crypto-Accounting-Software mit Governance-Verpflichtungen zusammen?

Digital-Asset-Accounting-Software und Crypto-Bookkeeping-Software generieren die Transaktionsaufzeichnungen, die Compliance-Berichte, Vorstandsunterlagen und Prüfpfade untermauern. Die Integrität dieser Daten wirkt sich direkt auf die Fähigkeit des Unternehmens aus, Kontrollen gegenüber Aufsichtsbehörden und Prüfern nachzuweisen. Lücken in der Buchhaltung erzeugen Lücken in der Governance-Kette.

EUUKUSAllgemeinIn KraftAML/KYC & Lizenzierung

Verwandte Artikel

AML/KYC & Lizenzierung
KI-Governance in der Compliance: Die Rechenschafts- und Kontrolllücke, die die Aufsicht bereits beobachtet
AML/KYC & Lizenzierung
Dubai VARA veröffentlicht Rahmenwerk für digitale Vermögenswerte inklusive Verbot von Privacy Coins
AML/KYC & Lizenzierung
Vier Finanzzentren im Wettlauf um die Führung bei der Krypto-Regulierung
AML/KYC & Lizenzierung
NYDFS-EBA Stablecoin-MOU, HK-VATP-Regeln und CFTC-Perps: Was Unternehmen wissen müssen