Einleitung
In der BaFin Veröffentlichung: „Geldwäscheprävention: Erfahrungen aus Sonderprüfungen“ vom 13.01.2025 findet sich die klare Anforderung, die Bewertung der Terrorismusfinanzierung zu stärken.
In dem dortigen Abschnitt „Unternehmen vermischen Risiken“ befindet sich der Satz:
„Sie berücksichtigten die Risiken aus Terrorismusfinanzierung entweder gar nicht oder unzureichend. Besonders auffällig war dies, wenn Risiken aus der Geldwäsche und der Terrorismusfinanzierung gemeinsam analysiert und bewertet wurden.“
Derartige Anforderungen finden sich auch in dem BaFin-Beitrag „Terrorismusfinanzierung im Fokus” vom 06.02.2025.
Die Grundlagen dazu sind auch in den Unterlagen der UNODC und der FATF zu finden. Obwohl diese Unterlagen schon etwas älter sind, zeigen sie doch den Hintergrund dieser Anforderungen sehr gut auf.
Daraus leitet sich der klare Fokus ab, dass in Zukunft die Terrorismusfinanzierung, sowohl im Rahmen der Risikoanalyse als auch in der Risikobewertung, gesondert dargestellt werden muss. Damit ergeben sich eine Reihe von Fragen, auf die weiter unten näher eingegangen wird:
- Muss in Zukunft eine separate Bewertung zum Terrorismusfinanzierungs-Risiko erstellt werden?
- Werden hierfür neue Risikofaktoren (Felder) benötigt?
- Welche Indikatoren können dafür verwenden werden, d.h. woher kann man die Daten bekommen?
- Was bedeutet dies für die Gewichtung der Indikatoren in der Einwertung von Risikolisten?
- Welche Auswirkungen hat dies auf das Transaktions-Monitoring?
Anhand eigener persönlicher Erfahrungen des Autors sollen diese Fragen erörtert werden.
Muss in Zukunft eine separate Bewertung zum Terrorismusfinanzierungs-Risiko erstellt werden?
Es spricht einiges dafür, diese Frage mit einem klaren JA zu beantworten.
In der Risikoanalyse sollte der Verpflichtete daher zumindest eine separate Bewertung oder sogar jeweils eigene Unterkapitel für die Unterteilung der Bewertung von Risiken in Geldwäsche und Terrorismusfinanzierung erstellen. Von einer echten „Doppelung“ der Risikoanalyse ist eher abzuraten, da zu viele Teile redundant wären.
Als Ergebnis wird dann auch eine Kunden- (und auch Partner-) Risikobewertung (neben der Geldwäsche-Risikobewertung) für ein Terrorismusfinanzierungsrisiko zur Verfügung stehen.
Dabei ist die verwendete Methodik immer analog zum Geldwäscherisiko im Rahmen der bestehenden Risikoanalyse.
Benötige ich dafür neue Risikofaktoren (Felder)?
Diese Frage stellt sich vor allem in Verbindung mit der Frage nach den Daten-Quellen. Heute stehen leider relativ wenige Informationen, die quantitativ ein gewertet werden können, überhaupt zur Verfügung. Daher wäre ein Ansatz, erst einmal zu untersuchen welche (quantitativen) Informationen aus welchen (unabhängigen) Quellen überhaupt zur Verfügung stehen, und dann zu sehen, welche Informationen vom Kunden erlangt werden können, bevor versucht wird, diese in die Risikoanalyse (und in die spätere Bewertung) zu integrieren.
Hierbei gilt es zu beachten, dass sich der Fokus der allermeisten Veröffentlichungen auf den islamistischen Terror bezieht. Das Thema rechts- bzw. linksradikaler Terror wird meistens nicht oder nur sehr unzureichend dargestellt. Gerade bei Rechts-/Links-Terror ist dabei die fehlende Unterscheidung zwischen Extremismus und Terrorismus ein Thema. Wobei – laut Regulatorik – ausschließlich der Terrorismus im Fokus steht.
In der Summe besteht daher kein Bedarf für Risikofaktoren (Felder) außerhalb derjenigen, die bisher schon im Fokus standen.
Diese sind insbesondere:
- Länderrisiken (Wohnort/Sitzland, Staatsangehörigkeiten, Geburtsland, Nationalität, …)
- Branche bzw. Beruf
- Rechtsform
- Herkunft der Werte
- Art der Identitätsprüfung
- Sanktions-/PEP-/RCA-/Adverse-Media-Flag
- Produkte (+ z.B. Währung)
- … (Bitte schreiben Sie mir, falls Sie hier weitere sehen)
Welche Indikatoren kann ich dafür verwenden, d.h. woher kann ich Daten bekommen?
Diese Frage ist eine der Kern-Herausforderungen und zieht sich durch die gesamte Thematik.
Im Rahmen der Risikoanalyse wird eine Bewertung der Datenquelle selbst benötigt, mit der Ableitung auf welche Risikoliste sich das jeweils bezieht. Weiterhin muss bewertet werden, ob und mit welchem Gewicht diese Datenquelle als Indikator (somit als Spalten-Überschrift) in die Risikobewertung dieser Liste Eingang findet. Im letzten Schritt wird dann bestimmt, welches Gewicht die beiden Risiken AML und CTF (basierend auf dem Risiko Wert der Liste) auf das Einzel-Risiko haben.
Dies soll anhand von ein paar Beispielen dargestellt werden.
Der „Global Terrorism Index“ des IEP kann als Indikator für das CTF Länder Risiko verwendet werden. Im Geldwäscheumfeld wird diese Information allerdings keinen Einfluss (kein Gewicht) haben, während z.B. der Basler AML Index sich ausschließlich auf das Geldwäscherisiko auswirken wird und nicht bei der Terrorismusfinanzierung.
Als Resultat erhält man – je Land – nachher ein eigenes Geldwäsche- und ein Terrorismusfinanzierungsrisiko erhalten, welches dann bei der Berechnung des jeweiligen Kundenrisikos berücksichtigt werden muss.
In einen solchen Fall ist die Welt noch relativ einfach, da a) eine einfache, eindeutige Schlüsselangabe (der Ländercode) und b) eine quantitative Information vorliegen, welche „nur“ noch in die eigene Bewertungswelt umgerechnet werden muss.
Im anderen Fall wird die Welt noch deutlich komplexer. In vielen Berichten findet sich a) keine wirkliche Abgrenzung zwischen Geldwäsche und Terrorismusfinanzierung und b) keine „echten“ quantitativen Aussagen und c) keine einheitlichen Kataloge, auf die man sich beziehen kann.
Ein Beispiel hierfür sind die Lagebildanalysen des deutschen Bundeskriminalamts (BKA), in denen sich viele Informationen z.B. zu Risikobranchen finden, aber leider kein echter Bezug zu einen verwendbaren Branchenschlüssel. Außerdem sind diese Informationen in Fließtext untergebracht, der sich nicht einfach strukturieren lässt.
Was bedeutet dies für die Gewichtung der Indikatoren in der Einwertung von Riskolisten?
Im Wesentlichen müssen die gleichen Verfahren, welche für die Einwertung des Geldwäscherisiko verwendet wurden, ebenfalls für das Terrorismusfinanzierungsrisiko verwendet werden. Dabei ist darauf zu achten, dass jeweils 2 separate Risiken bewertetet werden und das auch nachvollziehbar dargestellt ist.
Am Ende kommt dann z.B. eine Darstellung in der Form heraus:
| Risikoliste | Indikator | Quelle | AML Gewicht | CTF Gewicht |
| Länderrisiko | … | |||
| Basel AML Index | Basel Governance | 1 | 0 | |
| Global Terrorism Index | IEP | 0 | 3 | |
| … | ||||
| Branchenrisiko | … |
Das gezeigte Gewicht (AML bzw. CTF) stellt dabei – als Multiplikator – ein Beispiel dar. Dieser Multiplikator muss institutsspezifisch definiert werden und obliegt keiner zwingenden Skala.
Folgende Darstellung würde sich auf Ebene des Kunden- bzw. Partner-Risiko anbieten, wobei die gezeigten Werte individuell angepasst werden müssen:
| Risikofaktor | Risikoliste | Natürliche Person | Juristische Person | Partner Institut | |||
| AML | CTF | AML | CTF | AML | CTF | ||
| Wohnort/Sitz | Länderliste | 1 | 1 | 2 | 1 | 2 | 2 |
| Staatsangehörigkeit | Länderliste | 1 | 2 | ||||
| … | Länderliste | ||||||
| Branche | Branchenliste | 1 | 1 | 1 | 0 | ||
| Beruf | Berufsliste | 1 | 1 | ||||
Im finalen Schritt muss sichergestellt werden, dass die oben dargestellte Konfiguration auch im eigenen technischen Risikomodell je Kunden Typ implementiert werden kann, damit sowohl ein Geldwäsche- als auch ein Terrorismusfinanzierungsrisiko je Kunde/Partner bewertet werden kann. Schließlich hat dies in einer Form zu geschehen, die es einem Auditor ermöglicht, die Bewertung nachzuvollziehen.
Welche Auswirkungen hat dies auf das Transaktions-Monitoring?
Das vorher errechnete Terrorismusfinanzierungsrisiko wird ebenfalls im Transaktions-Monitoring benötigt. Hintergrund ist die Notwendigkeit a) eigene Szenarien für Geldwäsche und Terrorismusfinanzierung abbilden und b) separate goAML Meldungen dafür erstellen zu können.
Dabei ist wesentlich, dass es zwar eine Reihe von Szenarien mit Überlappung gibt, aber auch einige, welche spezifisch sind. So kann z.B. eine Spendenstruktur relevant sein für Terrorismusfinanzierung, aber wohl weniger für Geldwäsche.
Zusammenfassung
Aufgrund der Veröffentlichungen der Regulatoren ist zu befürchten, dass dieses Thema ein neuer Fokus im Rahmen der kommenden Prüfungen werden wird. Hierauf gilt es sich gut vorzubereiten.
Derzeit wird die Risikoanalyse bei vielen Instituten – auf Grund des hohen Aufwandes – nur einmal im Jahr aktualisiert, obwohl die anlassbezogene Aktualisierung bereits vorgeschrieben ist.
Es zeigt sich auch, dass die Risikoanalyse sich wohl immer mehr zum „lebenden“ Dokument entwickelt wird und nicht mehr „nur“ einmal im Jahr für die kommende Prüfung aktualisiert werden sollte.
Somit wird ein Prozess benötigt der beschreibt: was sind alles Anlässe, die eine Aktualisierung der Risikoanalyse zur Folge habe; welche Kapitel sind von dem jeweiligen Anlass betroffen und welche Statistiken im Anhang müssen dabei aktualisiert werden. Damit können dann auch einige Prozessschritte (teil-)automatisiert werden, um den Aufwand in Grenzen zu halten.
Trotzdem sind immer noch eine ganze Reihe von Fragen offen:
- Welche Indikatoren / Datenquellen wären noch denkbar, und wie kann man daraus eine quantitative Bewertung ableiten?
- Existieren noch weitere relevante Risikofaktoren (Felder), die miteinbezogen werden sollten?
- Welche TM-Szenarien (außer Spendenstrukturen) sind noch relevant?
Diese Fragestellungen gilt es zu diskutieren. Sollten Sie hierzu Anmerkungen haben, freut sich der Autor über eine Mitteilung unter: frank@moser-karben.de
Der Autor:
Frank Moser ist derzeit als Produkt Manager bei der Firma GFT Software Solutions GmbH tätig und dort u.a. der Spezialist für die regulatorische Beobachtung und Analyse. Er arbeitet bereits seit mehr als 15 Jahren in der Branche bei verschiedenen Software-Anbietern und Beratern.
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Dann können Sie sich hier für unseren Newsletter anmelden – kostenlos und unverbindlich) |