FINMA ergänzt AML-Risikoanalyse-Leitlinien für Banken und FinIA-Institute
Die Schweizer Finanzaufsicht hat ein Ergänzungsschreiben zu ihren zentralen Anti-Geldwäsche-Leitlinien veröffentlicht und Lücken aufgezeigt, die bei Banken und Vermögensverwaltern nach FinIA bestehen. Das Update ist bedeutsam, weil die Geldwäsche-Risikoanalyse die Grundlage jedes AML-Kontrollrahmens bildet, und die FINMA hat klargestellt, dass diese Grundlage solide sein muss.
Was die FINMA geprüft hat und was sie fand
Umfang der Prüfung
Seit der Veröffentlichung des Rundschreibens 05/2023 hat die FINMA erneut Risikoanalysen von über 30 Banken geprüft, die bereits im Frühjahr 2023 inspiziert wurden. Zudem bewertete sie die Risikoanalysen einer breiteren Gruppe weiterer Banken und FinIA-Institute, wodurch die Aufsichtsbehörde einen breiten Querschnitt der aktuellen Praxis im Schweizer Finanzsektor erhielt.
Fortschritte anerkannt
Die FINMA hat durchaus echte Verbesserungen anerkannt. Banken haben Fortschritte bei der Definition der Risikotoleranz und der allgemeinen Strukturierung ihrer Risikoanalysen gemacht. Die Aufsichtsbehörde stellte zudem fest, dass einige FinIA-Institute bereits Aspekte des Rundschreibens 05/2023 analog anwenden, was sie begrüßte. Sie bestätigte, dass die methodischen Grundsätze dieses Rundschreibens gleichermaßen für Vermögensverwalter und ähnliche Unternehmen gelten, auch wenn der erforderliche Detaillierungsgrad aufgrund ihres in der Regel geringeren Risikoexpositionsniveaus proportional niedriger sein kann.
Verbleibende Lücken
Trotz der Fortschritte identifizierte die FINMA in mehreren Bereichen Verbesserungspotenzial. Zwei Punkte stachen hervor. Erstens hatten Institute in einigen Fällen versäumt, explizite Ausschlüsse für bestimmte Länder, Kundensegmente, Dienstleistungen oder Produkte aufzunehmen. Wo Ausschlüsse existierten, entsprachen sie manchmal nicht ausreichend dem tatsächlichen Geschäftsmodell des Instituts, was ihren praktischen Schutz geringer ausfallen ließ als beabsichtigt. Zweitens wendeten Institute die erforderlichen methodischen Grundsätze bei der Durchführung der Risikoanalyse selbst nicht immer korrekt an. Dies sind keine kosmetischen Probleme: Beide Lücken untergraben direkt die Risikoanalyse als Führungsinstrument.
Warum die Risikoanalyse für Compliance-Rahmenwerke wichtig ist
Ihre Rolle in der AML-Struktur
Das Ergänzungsschreiben der FINMA bekräftigt etwas, das Praktiker bereits prinzipiell wissen, aber in der Praxis manchmal unterschätzen. Die Geldwäsche-Risikoanalyse ist keine Dokumentationsübung. Gemäß Art. 25 Abs. 2 der Geldwäschereiverordnung-FINMA (GwV-FINMA) ist sie das Instrument, mit dem ein Institut seine Risikotoleranz definiert und verbindliche interne Richtlinien für die Struktur, Organisation und das tägliche Management seines gesamten AML-Rahmenwerks festlegt.
Das bedeutet, dass die Risikoanalyse bestimmt, wo Ressourcen eingesetzt werden, wie Kontrollen kalibriert werden und welche Prozesse der genauesten Prüfung unterliegen. Ist die Analyse unvollständig oder methodisch fehlerhaft, ist jede darauf aufbauende nachgelagerte Kontrolle potenziell falsch kalibriert. Prüfungsgesellschaften und Compliance-Teams, die Schweizer Kunden prüfen, sollten die Risikoanalyse als Dokument erster Priorität behandeln, nicht als Hintergrundanhang.
Auswirkungen für FinIA-Institute
Die Bestätigung, dass FinIA-Institute das Rundschreiben 05/2023 analog anwenden sollten, ist bedeutsam. Vermögensverwalter und Fondsmanager, die das Rundschreiben möglicherweise primär als Bankenthema betrachtet haben, erhalten nun ein klareres Signal der FINMA, dass dieselbe methodische Strenge von ihnen erwartet wird – mit Proportionalität im Detail, aber nicht in der Disziplin. Für Buchhaltungsfirmen und Wirtschaftsprüfer, die diese Kunden betreuen, ist dies ein unmittelbarer Anstoß zu prüfen, ob die aktuelle Dokumentation zur Risikoanalyse diesem Standard entspricht.
Praktische Schritte für Firmen, die Schweizer Institute beraten
Überprüfung von Länder- und Kundenausschlüssen
Die Lücke bei expliziten Ausschlüssen ist einer der umsetzbarsten Befunde. Berater sollten prüfen, ob die Risikoanalyse des Instituts konkret die Länder, Kundenkategorien, Produkte und Dienstleistungen auflistet, die es nicht akzeptiert, und ob diese Ausschlüsse mit dem tatsächlichen Geschäft des Instituts kohärent sind. Eine allgemeine Liste von Hochrisikoländern, die aus einer Standardvorlage kopiert wurde, wird die Erwartungen der FINMA nicht erfüllen, wenn sie nicht den tatsächlichen Geschäftsumfang des Instituts widerspiegelt.
Testen der Methodik gegen das FINMA-Rahmenwerk
Die zweite Lücke, die methodische Korrektheit, erfordert eine detailliertere Überprüfung. Firmen sollten den Risikoanalyseprozess des Instituts mit den Schritten im Rundschreiben 05/2023 und dem neuen Ergänzungsschreiben abgleichen und auf eine konsistente Anwendung der Risikobewertung, Aggregationslogik und der Verknüpfung zwischen identifizierten Risiken und den zu deren Bewältigung entwickelten Kontrollen achten. Krypto-Buchhaltungssoftware und breitere digitale Asset-Buchhaltungssoftware, die von Instituten verwendet werden, sollten Transaktionsdaten auf granularer Ebene liefern können, die sauber in diesen Risikobewertungsprozess einfließen. Wenn die Datenpipeline inkonsistent ist, wird auch die Risikoanalyse inkonsistent sein.
Zuverlässige Crypto Accounting Software spielt hier eine unterstützende Rolle: Sie muss vollständige, prüfbare Aufzeichnungen liefern, die eine Risikokategorisierung auf Gegenpartei- und Transaktionsebene ermöglichen, sodass die Risikoanalyse des Instituts die betriebliche Realität und nicht theoretische Kategorien widerspiegelt. Für Schweizer Firmen, die digitale Vermögenswerte halten oder vermitteln, ist diese Datenqualitätsdimension unverhandelbar.
Für eine breitere Sicht darauf, wie sich Datenqualität auf die AML-Compliance-Arbeit auswirkt, siehe unseren Beitrag zu Fragen zur Sorgfaltspflicht bei der Datenqualität von Blockchain-Analysen, der die Fragen darlegt, die Firmen an jeden Analyseanbieter stellen sollten, der Compliance-Daten liefert.
Verbindung der Risikoanalyse mit Sanktionspflichten
Die Risikoanalyse steht nicht isoliert neben anderen FINMA-Pflichten. Länderausschlüsse müssen beispielsweise mit dem Ansatz des Instituts zum Sanktionsscreening konsistent sein. Unsere frühere Berichterstattung über FINMA-Sanktionspflichten für Schweizer Finanzintermediäre skizziert die spezifischen Schritte, die nach den jüngsten Aktualisierungen der Sanktionsliste der FINMA erforderlich sind, und sollte zusammen mit diesem AML-Leitlinien-Ergänzungsschreiben gelesen werden.
Was als nächstes zu beachten ist
Die FINMA hat eine nachgewiesene Erfolgsbilanz darin, Leitlinien mit aufsichtsrechtlichen Maßnahmen zu unterlegen. Institute, die während des Inspektionszyklus im Frühjahr 2023 Rückmeldungen erhalten haben und die identifizierten Lücken seither nicht behoben haben, sollten dieses Ergänzungsschreiben als Signal betrachten, dass eine erneute Inspektion eine realistische Aussicht ist. Das Ergänzungsschreiben deutet auch darauf hin, dass die FINMA künftig FinIA-Institute systematischer anhand desselben Rahmenwerks bewerten will.
Buchhaltungsfirmen, die Schweizer Banken und FinIA-Institute betreuen, sollten eine Überprüfung der Risikoanalyse in ihren nächsten Mandatszyklus einbauen, falls sie dies nicht bereits getan haben. Die Aufsichtsbehörde hat den Standard explizit gemacht. Die Lücke zwischen diesem Standard und der aktuellen Praxis bei einigen Instituten ist ebenfalls explizit. Diese Kombination bleibt selten lange unbearbeitet.
Quelle: FINMA
FAQ
Das Ergänzungsschreiben gilt für Banken, die der FINMA-Aufsicht unterstehen, sowie für Institute, die nach dem Finanzinstitutsgesetz (FinIA) lizenziert sind, einschließlich Vermögensverwalter und Fondsmanager. Die FINMA bestätigte, dass die methodischen Grundsätze des Rundschreibens 05/2023 analog auf FinIA-Institute anzuwenden sind, mit einem proportionalen Detaillierungsgrad, der ihrem in der Regel geringeren Risikoprofil Rechnung trägt.
Die FINMA stellte zwei Hauptprobleme fest. Einige Institute hatten keine expliziten Ausschlüsse für bestimmte Länder, Kundensegmente, Produkte oder Dienstleistungen aufgenommen, oder die von ihnen vorgenommenen Ausschlüsse entsprachen nicht ihrem tatsächlichen Geschäftsmodell. Andere wiederum wendeten die erforderlichen methodischen Grundsätze bei der Durchführung der Risikoanalyse selbst nicht korrekt an.
Die Anforderung ergibt sich aus Art. 25 Abs. 2 der Geldwäschereiverordnung-FINMA (GwV-FINMA). Die Risikoanalyse muss die Risikotoleranz des Instituts definieren und verbindliche interne Richtlinien für die Strukturierung und das Management seines AML-Rahmenwerks vorsehen.
Berater sollten prüfen, ob die Risikoanalyse des Kunden explizite, mit dem Geschäftsmodell konsistente Ausschlüsse enthält und ob die Methodik den Schritten des Rundschreibens 05/2023 und des neuen Ergänzungsschreibens folgt. Die Risikoanalyse sollte als primäres Compliance-Dokument behandelt werden, nicht als Hintergrundanhang, da jede nachgelagerte AML-Kontrolle darauf aufbaut.
Es handelt sich um ergänzende Leitlinien, die klarstellen, wie die FINMA erwartet, dass bestehende Pflichten in der Praxis erfüllt werden. Es führt keine neuen gesetzlichen Anforderungen ein, zeigt aber präziser auf, wo die derzeitige Praxis nach Ansicht der FINMA unter dem liegt, was sie nach geltenden Regeln für angemessen hält.
