Skip to main content

BaFin Anforderungen an Monitoring-Systeme GwG

BaFin Anforderungen an Monitoring-Systeme GwG: In den Auslegungshinweisen der BaFin Besonderer Teil für Kreditinstitute werden die Anforderungen für Monitoringsysteme in Kapitel 6 festgelegt. Diese Auslegungshinweise haben auch Austrahlungswirkung auf andere Verpflichtete im Sinne des GwG.

Welche Anforderungen stellt die BaFin an die Angemessenheit von Monitoringsystemen zur Geldwäscheprävention?

# 1: Ist eine Ableitung aus der Risikoanalyse möglich?

# 2: Welche Daten fließen in das Monitoring ein?

# 3: Ist die jährliche Überprüfung erfolgt und dokumentiert worden?

# 4: Ist das System auf die institutsspezifische Geschäftstätigkeit sowie die Kundenstruktur ausreichend ausgerichtet? Wurden Anpassungen revisionssicher dokumentiert?

# 5: Ist die Angemessenheit der festgelegten Relevanzschwellen nachvollziehbar begründet worden?

# 6: Erfüllt die eingesetzte Software die Anforderungen an das Indizienmonitoring, EDD und Auswertungsfunktionen?

# 7: Deckt die Software die FIU Typologien, PeP-Listen, Sanktions- und Embargolisten ab? Erfolgt eine regelmäßige Aktualisierung dieser Listen?

# 8: Liegen Nachweise für eine Qualitätskontrolle vor?

# 9: Erfolgt eine revisionssicher nachvollziehbare Dokumentation der Trefferbearbeitung?

# 10: Sind die folgenden Zuständigkeiten festgelegt?

 

BaFin Anforderungen an Monitoring-Systeme GwG

 

BaFin Anforderungen an Monitoring-Systeme GwG

Bei der Auswahl und Beschaffenheit der Monitoring-Systeme GwG stellt die BaFin folgende Anforderungen:

# 1: Ist eine Ableitung aus der Risikoanalyse möglich?

Die Entscheidung, welches Datenverarbeitungssystem verwendet wird, und welche Geschäftsarten und Transaktionen unter Zugrundelegung der zuvor festgesetzten regelbasierten Indizien, Szenarien bzw. Parameter einer näheren Untersuchung unterfallen, hängt vom Umfang der Geschäftstätigkeit und von den Erkenntnissen der institutsspezifischen Risikoanalyse des jeweiligen Kreditinstituts ab.

Die eingesetzten Bewertungsparameter, wann ein im Verhältnis zu vergleichbaren Fällen als ungewöhnlich einzuschätzender Sachverhalt vorliegt, sind anhand der institutsspezifischen Risikolage zu definieren (vgl. § 6 Abs. 1 Satz 2 GwG).

 

# 2: Welche Daten fließen in das Monitoring ein?

Das eingesetzte Datenverarbeitungssystem ist mit den relevanten Daten aus den relevanten IT-Systemen, d.h. vor allem Zahlungsverkehrs- und Transaktionssystemen, und den Kundenstammdatenbanken des Kreditinstituts zu versorgen.

 

# 3: Ist die jährliche Überprüfung erfolgt und dokumentiert worden?

Jede Zahlungsverkehrstransaktion – intern, extern oder durchleitend – ist grundsätzlich durch das System zu prüfen. Jedoch können gewisse Fallkonstellationen ausgeschlossen werden, falls dem keine geldwäscherechtlichen Risiken entgegenstehen.

  • Dies ist bei internen Buchungen zu bankeigenen Zwecken ohne Kundenbezug regelmäßig gegeben.
  • Es ist sicherzustellen, dass die Ausschlüsse revisionssicher dokumentiert und mindestens jährlich auf ihre Angemessenheit überprüft werden.

Die persönliche Verantwortlichkeit des Geldwäschebeauftragten und des Vorstands für die  Erfüllung der Pflicht nach § 43 GwG bleibt unberührt.

 

# 4: Ist das System auf die institutsspezifische Geschäftstätigkeit sowie die Kundenstruktur ausreichend ausgerichtet? Wurden Anpassungen revisionssicher dokumentiert?

Um potentiell auffällige Geschäftsbeziehungen, Transaktionen oder Kontobewegungen aufzuspüren, muss das System auf die institutsspezifische Geschäftstätigkeit sowie die Kundenstruktur des Kreditinstituts ausgerichtet sein.

  • Eine Anpassung der Parameter an die individuelle Risikosituation des Kreditinstitutes bzw. die institutseigene Risikoanalyse hat immer dann zu erfolgen, wenn die in der Risikoanalyse festgestellten Risiken nicht durch bereits vorhandene Indizien angemessen abgedeckt werden.
  • Eine Anpassung kann auch in der Deaktivierung bestimmter Parameter bestehen.
  • Anpassungen der Parameter müssen revisionssicher dokumentiert werden.

 

Das Datenverarbeitungssystem muss in seiner Gesamtheit in Bezug auf Daten, Konsistenz, Aktualität und Schnittstellen inhaltlich korrekt, vollständig und aktuell sein. Auch die Zuliefersysteme müssen in ihrer Gesamtheit in Bezug auf Daten, Konsistenz, Aktualität und Schnittstellen inhaltlich korrekt, vollständig und aktuell sein.

Das Datenverarbeitungssystem muss die generierten Treffer vollständig anzeigen (vgl. § 6 Abs. 1 Satz 2 GwG).

 

# 5: Ist die Angemessenheit der festgelegten Relevanzschwellen nachvollziehbar begründet worden?

Gewichtet das Datenverarbeitungssystem die Indizien, hat das Kreditinstitut eine angemessene Relevanzschwelle festzulegen, ab der Transaktionen als auffällig anzusehen sind und vom System angezeigt werden.

IT-basierte Entscheidungen des Datenverarbeitungssystems müssen erklärbar und nachvollziehbar sein. Es müssen die für das System und die generierten Treffer wesentlichen Einflussfaktoren aufgezeigt werden können und das Zustandekommen des Trefferergebnisses muss plausibel sein (Verbot von Blackboxen).

Bei fehlenden Daten sind die fehlenden Werte klar zu kennzeichnen und zeitnah durch Echtdaten zu ersetzen. Bis die Daten ersetzt wurden, sind risikosensitive default-Werte („Ersatzwerte“) zu setzen.

Das Datenverarbeitungssystem ist mit den für die einzelnen Indizien und Szenarien relevanten historischen Daten zu versorgen.

 

Geeignetheit der Software als Monitoring-System GwG + BaFin Anforderungen an Monitoring-Systeme GwG

# 6: Erfüllt die eingesetzte Software die Anforderungen an das Indizienmonitoring, EDD und Auswertungsfunktionen?

Die für die Datenverarbeitungssysteme eingesetzte Software ist insbesondere dann geeignet, wenn sie

  • das Kreditinstitut grundsätzlich in die Lage versetzt, Transaktionsmuster, Auffälligkeiten und Abweichungen zu erkennen,
  • ein Indizienmodell enthält, das individuelle Konfigurierungen ermöglicht,
  • neben Kunden– und Produktrisiken auch Länderrisiken (z.B. Verwendung aktueller Länderrisikolisten) und Terrorismusfinanzierungsrisiken (z.B. Verwendung aktueller Embargo- und Sanktionslisten; die Verwendung unterschiedlicher Software für die Datenverarbeitungssysteme im Hinblick auf Geldwäsche, sonstige strafbare Handlungen und Terrorismusfinanzierung sowie Sanktionsüberwachung ist zulässig) enthält,
  • mit der Gesamtheit der verwendeten Indizien sowohl Aspekte der Geldwäscheprävention, der Prävention von Terrorismusfinanzierung, und – soweit geboten – der Verhinderung sonstiger strafbarer Handlungen, enthält,
  • die erhöhten Risiken im Sinne des § 15 Abs. 3 GwG adäquat abdeckt,
  • die Überprüfung von Namen auf Ähnlichkeiten mittels unscharfer Suchlogik („fuzzy logic“) im Rahmen des Sanktionsscreenings zulässt und
  • Auswertungs- und Statistikfunktionen enthält oder von diesen unterstützt wird, die das Kreditinstitut in die Lage versetzen, Ad-hoc Recherchen durchzuführen und auf Auswertungen zur regelmäßigen Aktualisierung und Weiterentwicklung der Risikoanalyse zurückzugreifen.
  • Auswertungs- und Statistikfunktionen können sich auch außerhalb der Datenverarbeitungssysteme befinden.

 

Die BaFin Anforderungen an Monitoring-Systeme GwG erfordern auch die Umsetzung des § 15 Abs. 3 GwG im laufenden Monitoring. Folgende Anforderungen regelt § 15 Abs. 3 GwG:

Ein höheres Risiko liegt insbesondere vor, wenn es sich

  1. bei einem Vertragspartner des Verpflichteten oder bei einem wirtschaftlich Berechtigten um eine politisch exponierte Person, ein Familienmitglied oder um eine bekanntermaßen nahestehende Person handelt,
  1. um eine Geschäftsbeziehung oder Transaktion handelt, an der ein von der Europäischen Kommission nach Artikel 9 Absatz 2 der Richtlinie (EU) 2015/849, der durch Artikel 1 Nummer 5 der Richtlinie (EU) 2018/843 geändert worden ist, ermittelter Drittstaat mit hohem Risiko oder eine in diesem Drittstaat ansässige natürliche oder juristische Person beteiligt ist; dies gilt nicht für Zweigstellen von in der Europäischen Union niedergelassenen Verpflichteten nach Artikel 2 Absatz 1 der Richtlinie (EU) 2015/849, der durch Artikel 1 Nummer 1 der Richtlinie (EU) 2018/843 geändert worden ist, und für mehrheitlich im Besitz dieser Verpflichteten befindliche Tochterunternehmen, die ihren Standort in einem Drittstaat mit hohem Risiko haben, sofern sich diese Zweigstellen und Tochterunternehmen uneingeschränkt an die von ihnen anzuwendenden gruppenweiten Strategien und Verfahren nach Artikel 45 Absatz 1 der Richtlinie (EU) 2015/849 halten,
  1. um eine Transaktion handelt, die im Vergleich zu ähnlichen Fällen

      a) besonders komplex oder ungewöhnlich groß ist,

      b) einem ungewöhnlichen Transaktionsmuster folgt oder

     c) keinen offensichtlichen wirtschaftlichen oder rechtmäßigen Zweck hat, oder

  1. für Verpflichtete nach § 2 Absatz 1 Nummer 1 bis 3 und 6 bis 8 um eine grenzüberschreitende Korrespondenzbeziehung mit Respondenten mit Sitz in einem Drittstaat oder, vorbehaltlich einer Beurteilung durch die Verpflichteten als erhöhtes Risiko, in einem Staat des Europäischen Wirtschaftsraums handelt.

 

# 7: Deckt die Software die FIU Typologien, PeP-Listen, Sanktions- und Embargolisten ab? Erfolgt eine regelmäßige Aktualisierung dieser Listen?

Die verwendeten Datenverarbeitungssysteme haben bei ihren Einstellungen, Regeln und Indizien unter Berücksichtigung der Risikolage des jeweiligen Kreditinstituts einschlägige Typologien im Bereich Geldwäsche, Terrorismusbekämpfung und sonstiger strafbarer Handlungen abzudecken, um auffällige Kundenbeziehungen oder Transaktionen erkennen zu können.

Darüber hinaus haben sie geeignete Szenarien vorzuweisen, die mindestens die aktuellen Erkenntnisse und Veröffentlichungen der FIU abbilden sowie weiteres öffentlich verfügbares Wissen über Geldwäsche, Terrorismusfinanzierung und sonstige strafbare Handlungen zugrunde legen.

  • Die Verwendung aller die gesetzlichen Vorgaben abbildenden Listen, insbesondere Sanktionslisten, Embargolisten und PeP-Listen, muss seitens der Datenverarbeitungssysteme gewährleistet sein.
  • Sämtliche Listen müssen anlassbezogen bzw. regelmäßig überprüft und aktualisiert werden. Die Möglichkeit von Peer-Group-Vergleichen (insbesondere bei großen Kundengruppen) ist bei Geeignetheit zu nutzen.

 

Funktionsfähigkeit der Datenverarbeitungssysteme als Monitoring-Systeme GwG

# 8: Liegen Nachweise für eine Qualitätskontrolle vor?

Die Richtigkeit und Aktualität der Indizien, Regeln, Schwellenwerte, Scores und Risikoklassifizierungssysteme muss unter besonderer Berücksichtigung aller relevanter gesetzlicher Änderungen, regulatorischer Vorgaben, Warnungen und Informationen regelmäßig und anlassbezogen überprüft werden.

  • Wesentliche Änderungen in der Risikoanalyse des Instituts sind in der Kalibrierung des Monitoring-Systems zu berücksichtigen.
  • Regelmäßige fachgerechte Wartung, Überholung und – soweit nötig – technische Aufrüstung der Hardware des Datenverarbeitungssystems zur Sicherung seiner Funktionsfähigkeit hat stattzufinden.

Die reibungsfreie Zusammenarbeit der Einzelkomponenten und deren Schnittstellen zu den Datenverarbeitungssystemen muss gewährleistet sein (End-to-End).

Das Kreditinstitut hat die ordnungsgemäße Funktionalität der Datenverarbeitungssysteme laufend zu überprüfen und hat darüber hinaus regelmäßig für eine Qualitätskontrolle der Datenverarbeitungssysteme durch einen unabhängigen Prüfer zu sorgen.

  • Diese Qualitätskontrolle kann im Rahmen der Jahresabschlussprüfung stattfinden.
  • Den Fall einer Störung oder des Ausfalls des Datenverarbeitungssystems hat das Kreditinstitut im Rahmen des Notfallkonzepts gemäß AT 7.3 der MaRisk zu berücksichtigen.

Änderungen der gesetzlichen Anforderungen hinsichtlich des Einsatzes von Datenverarbeitungssystem und deren Regelungsgegenstand sind unverzüglich nach deren Inkrafttreten umzusetzen.

 

Ordnungsgemäße und gesicherte Dokumentation der Monitoring-Systeme GwG

# 9: Erfolgt eine revisionssicher nachvollziehbare Dokumentation der Trefferbearbeitung?

Die Indizien, Regeln, Szenarien, Kalibrierungen, Nutzer, deren Berechtigungen und entsprechenden Veränderungen sowie die Treffer und deren Bearbeitung inklusive dem geplanten weiteren Vorgehen (z.B. Erstattung einer Verdachtsmeldung bei der FIU) sind für einen sachkundigen Dritten in angemessener Zeit nachvollziehbar zu dokumentieren und im Sinne des § 8 GwG zu archivieren.

  • Die Dokumentation der Trefferbearbeitung hat die inhaltliche Auseinandersetzung mit dem Einzelfall widerzuspiegeln.
  • Veränderungen der Dokumentation sind nur dann zulässig, wenn sie als solche erkennbar sind und sich die entsprechenden Verantwortlichkeiten nachvollziehen lassen.
  • Zusätzlich sind eine Begründung und der Zeitpunkt für eine solche Veränderung für einen sachkundigen Dritten nachvollziehbar zu dokumentieren.

 

Management, Personal und Berater – Diese Anforderungen gelten für Monitoring-Systeme GwG

# 10: Sind die folgenden Zuständigkeiten festgelegt?

Es muss sichergestellt sein, dass die IT-Berechtigungsvergabe bei Datenverarbeitungssystemen im Sinne des AT 7.2 der MaRisk erfolgt.

  • Aus dieser hat hervorzugehen, welche Personen mit der Trefferbearbeitung und Administrierung (inklusive Testen und Überprüfen) des Datenverarbeitungssystems befasst sind.
  • Die mit Zugangsberechtigungen ausgestatteten Personen (inklusive externer Berater) haben die erforderlichen fachlichen Qualifikationen und die nötige Expertise aufzuweisen. AT 7.1 Nr. 2 ist einschlägig.

Der Geldwäschebeauftragte ist für die fachliche Weiterentwicklung des Datenverarbeitungssystems, insbesondere die Änderung der vorhandenen Indizien, Regeln oder Szenarien, Schwellenwerte und Scores sowie deren Generierung und Kalibrierung verantwortlich und hat über entsprechende Kenntnisse zu verfügen.

  • Die technische Umsetzung kann durch spezialisierte Mitarbeiter anderer interner oder externer Einheiten oder Dienstleister erfolgen.
  • Mit der Nutzung des Datenverarbeitungssystems betraute Mitarbeiter sind hinreichend zu schulen.

Darüber hinaus ist eine fachliche Weiterbildung bei wesentlichen Veränderungen, wie z.B. der Generierung neuer Indizien oder Szenarien, erforderlich.

 

Zuständigkeiten sind festzulegen für

  • IT-Administrator: Benutzerberechtigungen
  • Zentrale Stelle: Kalibrierung für Risikomanagement
  • Schnittstellen zu den Datenverarbeitungssystemen (End-to-End): externe Datenanbieter

 

Sie suchen ein Update zu Monitoring-Systeme GwG: Die Teilnehmer haben auch folgende Seminare Geldwäsche + Online Schulung Geldwäsche gebucht:

Geldwäscheprävention Finanzunternehmen

Geldwäscheprävention Nicht-Finanzunternehmen

Führerschein für Geldwäsche Officer

Betrugsprävention

Geldwäscheprävention AddOn

 

BaFin Anforderungen an Monitoring-Systeme GwG