BaFin Anforderungen an Monitoring-Systeme GwG
BaFin Anforderungen an Monitoring-Systeme GwG: In den Auslegungshinweisen der BaFin Besonderer Teil fĂŒr Kreditinstitute werden die Anforderungen fĂŒr Monitoringsysteme in Kapitel 6 festgelegt. Diese Auslegungshinweise haben auch Austrahlungswirkung auf andere Verpflichtete im Sinne des GwG.
Welche Anforderungen stellt die BaFin an die Angemessenheit von Monitoringsystemen zur GeldwÀscheprÀvention?
# 1: Ist eine Ableitung aus der Risikoanalyse möglich?
# 2: Welche Daten flieĂen in das Monitoring ein?
# 3: Ist die jĂ€hrliche ĂberprĂŒfung erfolgt und dokumentiert worden?
# 4: Ist das System auf die institutsspezifische GeschÀftstÀtigkeit sowie die Kundenstruktur ausreichend ausgerichtet? Wurden Anpassungen revisionssicher dokumentiert?
# 5: Ist die Angemessenheit der festgelegten Relevanzschwellen nachvollziehbar begrĂŒndet worden?
# 6: ErfĂŒllt die eingesetzte Software die Anforderungen an das Indizienmonitoring, EDD und Auswertungsfunktionen?
# 7: Deckt die Software die FIU Typologien, PeP-Listen, Sanktions- und Embargolisten ab? Erfolgt eine regelmĂ€Ăige Aktualisierung dieser Listen?
# 8: Liegen Nachweise fĂŒr eine QualitĂ€tskontrolle vor?
# 9: Erfolgt eine revisionssicher nachvollziehbare Dokumentation der Trefferbearbeitung?
# 10: Sind die folgenden ZustÀndigkeiten festgelegt?
BaFin Anforderungen an Monitoring-Systeme GwG
Bei der Auswahl und Beschaffenheit der Monitoring-Systeme GwG stellt die BaFin folgende Anforderungen:
# 1: Ist eine Ableitung aus der Risikoanalyse möglich?
Die Entscheidung, welches Datenverarbeitungssystem verwendet wird, und welche GeschÀftsarten und Transaktionen unter Zugrundelegung der zuvor festgesetzten regelbasierten Indizien, Szenarien bzw. Parameter einer nÀheren Untersuchung unterfallen, hÀngt vom Umfang der GeschÀftstÀtigkeit und von den Erkenntnissen der institutsspezifischen Risikoanalyse des jeweiligen Kreditinstituts ab.
Die eingesetzten Bewertungsparameter, wann ein im VerhÀltnis zu vergleichbaren FÀllen als ungewöhnlich einzuschÀtzender Sachverhalt vorliegt, sind anhand der institutsspezifischen Risikolage zu definieren (vgl. § 6 Abs. 1 Satz 2 GwG).
# 2: Welche Daten flieĂen in das Monitoring ein?
Das eingesetzte Datenverarbeitungssystem ist mit den relevanten Daten aus den relevanten IT-Systemen, d.h. vor allem Zahlungsverkehrs- und Transaktionssystemen, und den Kundenstammdatenbanken des Kreditinstituts zu versorgen.
# 3: Ist die jĂ€hrliche ĂberprĂŒfung erfolgt und dokumentiert worden?
Jede Zahlungsverkehrstransaktion – intern, extern oder durchleitend â ist grundsĂ€tzlich durch das System zu prĂŒfen. Jedoch können gewisse Fallkonstellationen ausgeschlossen werden, falls dem keine geldwĂ€scherechtlichen Risiken entgegenstehen.
- Dies ist bei internen Buchungen zu bankeigenen Zwecken ohne Kundenbezug regelmĂ€Ăig gegeben.
- Es ist sicherzustellen, dass die AusschlĂŒsse revisionssicher dokumentiert und mindestens jĂ€hrlich auf ihre Angemessenheit ĂŒberprĂŒft werden.
Die persönliche Verantwortlichkeit des GeldwĂ€schebeauftragten und des Vorstands fĂŒr die ErfĂŒllung der Pflicht nach § 43 GwG bleibt unberĂŒhrt.
# 4: Ist das System auf die institutsspezifische GeschÀftstÀtigkeit sowie die Kundenstruktur ausreichend ausgerichtet? Wurden Anpassungen revisionssicher dokumentiert?
Um potentiell auffĂ€llige GeschĂ€ftsbeziehungen, Transaktionen oder Kontobewegungen aufzuspĂŒren, muss das System auf die institutsspezifische GeschĂ€ftstĂ€tigkeit sowie die Kundenstruktur des Kreditinstituts ausgerichtet sein.
- Eine Anpassung der Parameter an die individuelle Risikosituation des Kreditinstitutes bzw. die institutseigene Risikoanalyse hat immer dann zu erfolgen, wenn die in der Risikoanalyse festgestellten Risiken nicht durch bereits vorhandene Indizien angemessen abgedeckt werden.
- Eine Anpassung kann auch in der Deaktivierung bestimmter Parameter bestehen.
- Anpassungen der Parameter mĂŒssen revisionssicher dokumentiert werden.
Das Datenverarbeitungssystem muss in seiner Gesamtheit in Bezug auf Daten, Konsistenz, AktualitĂ€t und Schnittstellen inhaltlich korrekt, vollstĂ€ndig und aktuell sein. Auch die Zuliefersysteme mĂŒssen in ihrer Gesamtheit in Bezug auf Daten, Konsistenz, AktualitĂ€t und Schnittstellen inhaltlich korrekt, vollstĂ€ndig und aktuell sein.
Das Datenverarbeitungssystem muss die generierten Treffer vollstÀndig anzeigen (vgl. § 6 Abs. 1 Satz 2 GwG).
# 5: Ist die Angemessenheit der festgelegten Relevanzschwellen nachvollziehbar begrĂŒndet worden?
Gewichtet das Datenverarbeitungssystem die Indizien, hat das Kreditinstitut eine angemessene Relevanzschwelle festzulegen, ab der Transaktionen als auffÀllig anzusehen sind und vom System angezeigt werden.
IT-basierte Entscheidungen des Datenverarbeitungssystems mĂŒssen erklĂ€rbar und nachvollziehbar sein. Es mĂŒssen die fĂŒr das System und die generierten Treffer wesentlichen Einflussfaktoren aufgezeigt werden können und das Zustandekommen des Trefferergebnisses muss plausibel sein (Verbot von Blackboxen).
Bei fehlenden Daten sind die fehlenden Werte klar zu kennzeichnen und zeitnah durch Echtdaten zu ersetzen. Bis die Daten ersetzt wurden, sind risikosensitive default-Werte (âErsatzwerteâ) zu setzen.
Das Datenverarbeitungssystem ist mit den fĂŒr die einzelnen Indizien und Szenarien relevanten historischen Daten zu versorgen.
Â
Geeignetheit der Software als Monitoring-System GwG + BaFin Anforderungen an Monitoring-Systeme GwG
# 6: ErfĂŒllt die eingesetzte Software die Anforderungen an das Indizienmonitoring, EDD und Auswertungsfunktionen?
Die fĂŒr die Datenverarbeitungssysteme eingesetzte Software ist insbesondere dann geeignet, wenn sie
- das Kreditinstitut grundsÀtzlich in die Lage versetzt, Transaktionsmuster, AuffÀlligkeiten und Abweichungen zu erkennen,
- ein Indizienmodell enthÀlt, das individuelle Konfigurierungen ermöglicht,
- neben Kunden– und Produktrisiken auch LĂ€nderrisiken (z.B. Verwendung aktueller LĂ€nderrisikolisten) und Terrorismusfinanzierungsrisiken (z.B. Verwendung aktueller Embargo- und Sanktionslisten; die Verwendung unterschiedlicher Software fĂŒr die Datenverarbeitungssysteme im Hinblick auf GeldwĂ€sche, sonstige strafbare Handlungen und Terrorismusfinanzierung sowie SanktionsĂŒberwachung ist zulĂ€ssig) enthĂ€lt,
- mit der Gesamtheit der verwendeten Indizien sowohl Aspekte der GeldwĂ€scheprĂ€vention, der PrĂ€vention von Terrorismusfinanzierung, und â soweit geboten â der Verhinderung sonstiger strafbarer Handlungen, enthĂ€lt,
- die erhöhten Risiken im Sinne des § 15 Abs. 3 GwG adÀquat abdeckt,
- die ĂberprĂŒfung von Namen auf Ăhnlichkeiten mittels unscharfer Suchlogik (âfuzzy logicâ) im Rahmen des Sanktionsscreenings zulĂ€sst und
- Auswertungs- und Statistikfunktionen enthĂ€lt oder von diesen unterstĂŒtzt wird, die das Kreditinstitut in die Lage versetzen, Ad-hoc Recherchen durchzufĂŒhren und auf Auswertungen zur regelmĂ€Ăigen Aktualisierung und Weiterentwicklung der Risikoanalyse zurĂŒckzugreifen.
- Auswertungs- und Statistikfunktionen können sich auch auĂerhalb der Datenverarbeitungssysteme befinden.
Die BaFin Anforderungen an Monitoring-Systeme GwG erfordern auch die Umsetzung des § 15 Abs. 3 GwG im laufenden Monitoring. Folgende Anforderungen regelt § 15 Abs. 3 GwG:
Ein höheres Risiko liegt insbesondere vor, wenn es sich
- bei einem Vertragspartner des Verpflichteten oder bei einem wirtschaftlich Berechtigten um eine politisch exponierte Person, ein Familienmitglied oder um eine bekanntermaĂen nahestehende Person handelt,
- um eine GeschĂ€ftsbeziehung oder Transaktion handelt, an der ein von der EuropĂ€ischen Kommission nach Artikel 9 Absatz 2 der Richtlinie (EU) 2015/849, der durch Artikel 1 Nummer 5 der Richtlinie (EU) 2018/843 geĂ€ndert worden ist, ermittelter Drittstaat mit hohem Risiko oder eine in diesem Drittstaat ansĂ€ssige natĂŒrliche oder juristische Person beteiligt ist; dies gilt nicht fĂŒr Zweigstellen von in der EuropĂ€ischen Union niedergelassenen Verpflichteten nach Artikel 2 Absatz 1 der Richtlinie (EU) 2015/849, der durch Artikel 1 Nummer 1 der Richtlinie (EU) 2018/843 geĂ€ndert worden ist, und fĂŒr mehrheitlich im Besitz dieser Verpflichteten befindliche Tochterunternehmen, die ihren Standort in einem Drittstaat mit hohem Risiko haben, sofern sich diese Zweigstellen und Tochterunternehmen uneingeschrĂ€nkt an die von ihnen anzuwendenden gruppenweiten Strategien und Verfahren nach Artikel 45 Absatz 1 der Richtlinie (EU) 2015/849 halten,
- um eine Transaktion handelt, die im Vergleich zu Àhnlichen FÀllen
   a) besonders komplex oder ungewöhnlich groà ist,
   b) einem ungewöhnlichen Transaktionsmuster folgt oder
   c) keinen offensichtlichen wirtschaftlichen oder rechtmĂ€Ăigen Zweck hat, oder
- fĂŒr Verpflichtete nach § 2 Absatz 1 Nummer 1 bis 3 und 6 bis 8 um eine grenzĂŒberschreitende Korrespondenzbeziehung mit Respondenten mit Sitz in einem Drittstaat oder, vorbehaltlich einer Beurteilung durch die Verpflichteten als erhöhtes Risiko, in einem Staat des EuropĂ€ischen Wirtschaftsraums handelt.
# 7: Deckt die Software die FIU Typologien, PeP-Listen, Sanktions- und Embargolisten ab? Erfolgt eine regelmĂ€Ăige Aktualisierung dieser Listen?
Die verwendeten Datenverarbeitungssysteme haben bei ihren Einstellungen, Regeln und Indizien unter BerĂŒcksichtigung der Risikolage des jeweiligen Kreditinstituts einschlĂ€gige Typologien im Bereich GeldwĂ€sche, TerrorismusbekĂ€mpfung und sonstiger strafbarer Handlungen abzudecken, um auffĂ€llige Kundenbeziehungen oder Transaktionen erkennen zu können.
DarĂŒber hinaus haben sie geeignete Szenarien vorzuweisen, die mindestens die aktuellen Erkenntnisse und Veröffentlichungen der FIU abbilden sowie weiteres öffentlich verfĂŒgbares Wissen ĂŒber GeldwĂ€sche, Terrorismusfinanzierung und sonstige strafbare Handlungen zugrunde legen.
- Die Verwendung aller die gesetzlichen Vorgaben abbildenden Listen, insbesondere Sanktionslisten, Embargolisten und PeP-Listen, muss seitens der Datenverarbeitungssysteme gewÀhrleistet sein.
- SĂ€mtliche Listen mĂŒssen anlassbezogen bzw. regelmĂ€Ăig ĂŒberprĂŒft und aktualisiert werden. Die Möglichkeit von Peer-Group-Vergleichen (insbesondere bei groĂen Kundengruppen) ist bei Geeignetheit zu nutzen.
FunktionsfÀhigkeit der Datenverarbeitungssysteme als Monitoring-Systeme GwG
# 8: Liegen Nachweise fĂŒr eine QualitĂ€tskontrolle vor?
Die Richtigkeit und AktualitĂ€t der Indizien, Regeln, Schwellenwerte, Scores und Risikoklassifizierungssysteme muss unter besonderer BerĂŒcksichtigung aller relevanter gesetzlicher Ănderungen, regulatorischer Vorgaben, Warnungen und Informationen regelmĂ€Ăig und anlassbezogen ĂŒberprĂŒft werden.
- Wesentliche Ănderungen in der Risikoanalyse des Instituts sind in der Kalibrierung des Monitoring-Systems zu berĂŒcksichtigen.
- RegelmĂ€Ăige fachgerechte Wartung, Ăberholung und – soweit nötig – technische AufrĂŒstung der Hardware des Datenverarbeitungssystems zur Sicherung seiner FunktionsfĂ€higkeit hat stattzufinden.
Die reibungsfreie Zusammenarbeit der Einzelkomponenten und deren Schnittstellen zu den Datenverarbeitungssystemen muss gewÀhrleistet sein (End-to-End).
Das Kreditinstitut hat die ordnungsgemĂ€Ăe FunktionalitĂ€t der Datenverarbeitungssysteme laufend zu ĂŒberprĂŒfen und hat darĂŒber hinaus regelmĂ€Ăig fĂŒr eine QualitĂ€tskontrolle der Datenverarbeitungssysteme durch einen unabhĂ€ngigen PrĂŒfer zu sorgen.
- Diese QualitĂ€tskontrolle kann im Rahmen der JahresabschlussprĂŒfung stattfinden.
- Den Fall einer Störung oder des Ausfalls des Datenverarbeitungssystems hat das Kreditinstitut im Rahmen des Notfallkonzepts gemÀà AT 7.3 der MaRisk zu berĂŒcksichtigen.
Ănderungen der gesetzlichen Anforderungen hinsichtlich des Einsatzes von Datenverarbeitungssystem und deren Regelungsgegenstand sind unverzĂŒglich nach deren Inkrafttreten umzusetzen.
OrdnungsgemĂ€Ăe und gesicherte Dokumentation der Monitoring-Systeme GwG
# 9: Erfolgt eine revisionssicher nachvollziehbare Dokumentation der Trefferbearbeitung?
Die Indizien, Regeln, Szenarien, Kalibrierungen, Nutzer, deren Berechtigungen und entsprechenden VerĂ€nderungen sowie die Treffer und deren Bearbeitung inklusive dem geplanten weiteren Vorgehen (z.B. Erstattung einer Verdachtsmeldung bei der FIU) sind fĂŒr einen sachkundigen Dritten in angemessener Zeit nachvollziehbar zu dokumentieren und im Sinne des § 8 GwG zu archivieren.
- Die Dokumentation der Trefferbearbeitung hat die inhaltliche Auseinandersetzung mit dem Einzelfall widerzuspiegeln.
- VerÀnderungen der Dokumentation sind nur dann zulÀssig, wenn sie als solche erkennbar sind und sich die entsprechenden Verantwortlichkeiten nachvollziehen lassen.
- ZusĂ€tzlich sind eine BegrĂŒndung und der Zeitpunkt fĂŒr eine solche VerĂ€nderung fĂŒr einen sachkundigen Dritten nachvollziehbar zu dokumentieren.
Management, Personal und Berater – Diese Anforderungen gelten fĂŒr Monitoring-Systeme GwG
# 10: Sind die folgenden ZustÀndigkeiten festgelegt?
Es muss sichergestellt sein, dass die IT-Berechtigungsvergabe bei Datenverarbeitungssystemen im Sinne des AT 7.2 der MaRisk erfolgt.
- Aus dieser hat hervorzugehen, welche Personen mit der Trefferbearbeitung und Administrierung (inklusive Testen und ĂberprĂŒfen) des Datenverarbeitungssystems befasst sind.
- Die mit Zugangsberechtigungen ausgestatteten Personen (inklusive externer Berater) haben die erforderlichen fachlichen Qualifikationen und die nötige Expertise aufzuweisen. AT 7.1 Nr. 2 ist einschlÀgig.
Der GeldwĂ€schebeauftragte ist fĂŒr die fachliche Weiterentwicklung des Datenverarbeitungssystems, insbesondere die Ănderung der vorhandenen Indizien, Regeln oder Szenarien, Schwellenwerte und Scores sowie deren Generierung und Kalibrierung verantwortlich und hat ĂŒber entsprechende Kenntnisse zu verfĂŒgen.
- Die technische Umsetzung kann durch spezialisierte Mitarbeiter anderer interner oder externer Einheiten oder Dienstleister erfolgen.
- Mit der Nutzung des Datenverarbeitungssystems betraute Mitarbeiter sind hinreichend zu schulen.
DarĂŒber hinaus ist eine fachliche Weiterbildung bei wesentlichen VerĂ€nderungen, wie z.B. der Generierung neuer Indizien oder Szenarien, erforderlich.
ZustĂ€ndigkeiten sind festzulegen fĂŒr
- IT-Administrator: Benutzerberechtigungen
- Zentrale Stelle: Kalibrierung fĂŒr Risikomanagement
- Schnittstellen zu den Datenverarbeitungssystemen (End-to-End): externe Datenanbieter
Sie suchen ein Update zu Monitoring-Systeme GwG: Die Teilnehmer haben auch folgende Seminare GeldwÀsche + Online Schulung GeldwÀsche gebucht:
GeldwÀscheprÀvention Finanzunternehmen
GeldwÀscheprÀvention Nicht-Finanzunternehmen
FĂŒhrerschein fĂŒr GeldwĂ€sche Officer