KYC: Datensätze, Risikowert-Information, Struktur – die technische Seite der 4. EU-Geldwäscherichtlinie

Karl-Friedrich Preß ist Solution & Product Manager bei UniservUniserv

Gemäß der 4. EU-Geldwäscherichtlinie, die Mitte 2015 in Kraft getreten ist, sind Finanzinstitute verpflichtet, für die gesamte Dauer einer Kundenbeziehung einem Compliance-Prozess zu folgen und anhand einer Risikobewertung entsprechende Schritte einzuleiten. Dieser Prozess wird auch „Know Your Customer“ (KYC) genannt. Wie das in der Praxis umgesetzt werden kann, erklären Karl-Friedrich Preß und Holger Stelz (beide Uniserv).

von Karl-Friedrich Preß und Holger Stelz, Uniserv

Die EU-Prüfungsrichtlinien gelten für Prozesse, wenn es um die Aufnahme von Neukunden geht oder um Zubuchungen und Kündigungen von Bestandskunden. Neukunden eines Finanzinstituts müssen im Rahmen des Onboarding-Prozesses dann entweder als eine natürliche Person oder eine juristische Person gekennzeichnet werden. Je nach Klassifizierung sind hierbei unterschiedliche Daten durch das Finanzinstitut zu erheben:

1. Natürliche Personen: Art der Berufstätigkeit und Zweck der Geschäftsbeziehung

2. Juristische Personen: Art der Gesellschaftsform, Tätigkeit, Branche, Branchencode, Anzahl der Mitarbeiter, Besitzverhältnisse, Firmenstruktur, vollständiger Nachweis der wirtschaftlich Berechtigten sowie der Umfang der Berechtigungen.

Hochrisikokunden müssen korrekt identifiziert werden

Hat ein Finanzinstitut diese Daten vollständig, korrekt und aktuell erhoben, erfolgt eine weitere Überprüfung der Person gegen gängige Sanktionslisten, wie beispielsweise die Liste des Bundesanzeigers. Laut Geldwäschegesetz ist zudem ein Quercheck mit der Liste der Politically Exposed Persons (PEP) Pflicht, etwa über die Dow-Jones-Liste. PEPs sind Personen, die aktuell oder ehemalig wichtige öffentliche Ämter bekleidet haben beziehungsweise im nahen Umfeld einer solchen Person standen. Diese Personen gelten durch die Geldwäscherichtlinie automatisch als Hochrisikokunden und müssen entsprechend markiert sowie mit einer angemessenen Sorgfaltspflicht bearbeitet werden. Für die Prüfung gegen diverse Sanktionslisten sollte eine speziell dafür geeignete Software eingesetzt werden. Diese prüft mit Hilfe unterschiedlicher Algorithmen, ob ein Neukunde in diesen Listen geführt ist. Die Herausforderung dabei ist, Falschidentifikationen zu vermeiden. Der anschließend so geprüfte und erweiterte Datensatz sollte dann in ein zentrales Datenrepository übertragen und von dort aus allen weiteren, nachfolgenden Prozessen und IT-Systemen zur Verfügung gestellt werden, um Dubletten und falsche Datensätze zu vermeiden.

Uniserv Smart Customer MDM

Für das Zusammenführen der Informationen in einem zentralen Kundenprofil, das dann in alle weiteren Compliance-Schritte integriert wird, ist das Uniserv Smart Customer MDM in Kombination mit dem Sanktionslisten-Check und den integrierten Prozessen für die Nachbearbeitung geeignet. Beide Lösungen seien sind sowohl in Echtzeit bei der Eingabe als auch für eine Bestandsbereinigung als Massenverarbeitung nutzbar.

Speziell für SAP-Anwender sei das Uniserv Caution and Compliance Framework verfügbar, mit dem Kunden den KYC-Prozess und auch alle anderen wichtigen Compliance-Themen bereits umgesetzt hätten. Außerdem können PEPs und sanktionierte Personen automatisch identifiziert und deren Datensätze in die für sie vorgesehenen Prozesse übergeben werden.

Zur Identifikation können sowohl bereits öffentlich vorhandene als auch spezielle für Finanzinstitute vorhandene Listen genutzt werden. Zusätzlich können auch weitere Anforderungen zur Betrugsprävention abgedeckt werden. Uniserv Identity Resolution verhindert zudem Mehrfacheinträge für Kunden und stellt daher sicher, dass beim Neukundenprozess ein Kunde nicht mehrfach angelegt wird.

Bei den Bestandskundenprozessen, wie Zubuchung oder Kündigung eines Produkts wird dadurch dafür gesorgt, dass einem bestehenden Kunden kein Geschäft angeboten wird, das er schon hat. Außerdem werde verhindert, dass ein bereits durch den Risikowert klassifizierter Kundendatensatz erneut die aufwändigen Prozesse durchlaufe. Die Lösungen können sowohl lokal als auch in der Cloud eingesetzt werden, bei Bedarf seien auch hybride Modelle umsetzbar.

Datensatz des Neukunden um
Risikowert-Information erweitern

In einem weiteren Schritt wird empfohlen, dass das Finanzinstitut den Kundendatensatz um die Risikowert-Information ergänzt. Dieser Wert drückt aus, wie wahrscheinlich es ist, dass die neu aufgenommene Person aktuell oder in Zukunft mit Geldwäschegeschäften in Berührung kommt. Damit können Analysefunktionen wie Predictive-Analytics-Plattformen gefüttert werden. Anhand des Risikowertes wird abgeleitet, wie stark die Sorgfaltspflichten des jeweiligen Finanzinstituts in Bezug auf diesen Kunden sein müssen. Kunden mit hohem Risikowert erfordern zum Beispiel eine höhere Frequenz von Überwachungszyklen oder eine klare Aufgabendefinition, wie der Sachbearbeiter mit dem Kunden weiter umgehen kann. Auch können bestimmte Transaktionen von Hochrisikokunden gegebenenfalls eine gesonderte Freigabe durch das Management erfordern.

Im Falle einer Missachtung der Sorgfaltspflicht können schwerwiegende Folgen auf das Finanzinstitut zukommen. Diese reichen von beträchtlichen Geldstrafen über die öffentliche Bekanntgabe des Vergehens und des Schuldigen bis hin dazu, dass die Geschäftsfähigkeit des gesamten Unternehmens ausgesetzt werden kann. Eine derartige Überprüfung muss etwa immer bei Bargeschäften mit Gütern von über 10.000 Euro erfolgen. Dieser Aufwand muss für jeden Kunden geleistet werden, von der Privatperson mit Girokonto bis zum weltweit agierenden Unternehmen, das verschiedenste Finanzprodukte, Dienstleistungen und Transaktionen durchführt oder durchführen lässt. Unter dem Schwellwert von 10.000 Euro ist eine Überprüfung anhand des KYC-Prozesses nicht gesetzlich vorgeschrieben.

Risikobewertungen müssen auch strukturiert werden

Ist allen Kundenprofilen eine Risikobewertung zugeordnet, kann eine weitere Strukturierung nach Risikogruppen vorgenommen werden: Kunden mit geringem Risiko, Kunden mit erhöhtem Risiko und Hochrisikokunden. Das hilft, den manuellen Aufwand für die Nachbearbeitung durch Fachexperten zu verringern, sichert aber dennoch den erhöhten Risikokunden die notwendige Aufmerksamkeit zu. Wichtig zu wissen ist, dass alle Personen auf PEP-Listen automatisch als Hochrisikokunden gelten, weil diese durch Bekleidung eines öffentlichen Amtes oder die Vernetzung mit einem öffentlichen Amt für Korruption, Terrorismusfinanzierung und Geldwäschegeschäfte in einer prädestinierten Position stehen. Das heißt nicht, dass jeder gleich ein Krimineller ist, sondern nur, dass an dieser Stelle besondere Vorsicht geboten sein sollte. Das Gleiche gilt für Korrespondenzbanken, also Banken, die für Auslandsbanken Leistungen wie Bargeldüberweisungen oder Scheckverrechnungen anbieten. Schließlich sind alle Kunden aus Hochrisikoländern für Geldwäsche durch die Negativliste automatisch als Hochrisikokunden zu behandeln.

Je höher der vergebene Risikowert, desto häufiger ist eine Überprüfung der Daten und Transaktionen auch periodisch durchzuführen. Auch hierfür müssen neue Prozesse geschaffen werden, um den Risikowert gegebenenfalls anzupassen und daraus Tätigkeiten für die Sachbearbeiter abzuleiten.

Autor Karl-Friedrich Preß

Karl-Friedrich Preß ist Solution & Product Manager bei Uniserv. Seit 2011 steht für ihn die Digitalisierung der Kundenprozesse im Mittelpunkt. Ein Schwerpunkt ist dabei die Bereitstellung der benötigten Daten in der erforderlichen Qualität und Aktualität zur Implementierung von Compliance-Prozessen. Er engagiert sich dafür, Unternehmen mit leistungsfähigen und schnell zu implementierenden Lösungen zu helfen, datenbezogene Herausforderungen einfach zu bewältigen. Damit können diese sich voll und ganz auf den Erfolg ihres Geschäftes konzentrieren.

Nur korrekte Daten erlauben Vorhersagen zu möglichem Kundenverhalten

Das angelegte Kundenprofil und die darin enthaltenen Daten bilden anschließend die Basis für die Vorhersagen des möglichen zukünftigen Verhaltens des Kunden. Im Kundenprofil werden die für das jeweilige Finanzinstitut relevanten Informationen gespeichert. Zum Beispiel: Anzahl der Transaktionen, Art der erworbenen Finanzprodukte, Höhe der Zahlungen oder Bargeldeinzahlungen. Die Zuverlässigkeit der Verhaltensvorhersage ist dabei stark abhängig, wie aktuell diese erhobenen Daten sind und ob diese auch den Vorgaben der Richtlinie entsprechen. Datenqualitätssoftware kann bei diesem Prozess unterstützen, also etwa bei der Überprüfung von Namen und Adressen, der Validierung von E-Mail-Adressen und den Sanktions- und PEP-Listen-Checks.

Aufwand für KYC-Einführung ist je nach Finanzinstitut unterschiedlich

Die Kosten für die Einführung des KYC-Prozesses und die Veränderung der bisherigen Prozesse sowie Anpassungen an Systeme haben unterschiedliche Auswirkungen je nach Größe der betroffenen Institution. Zuerst fallen Kosten für das eigentliche Umstellungsprojekt an, das heißt: Zusammenstellung und Arbeitsleistung des Teams, Re-Design der Geschäftsprozesse, die Implementierung und Roll-Out inklusive Schulung. Eventuell werden auch neue Systeme oder Anpassungen an bestehende Softwaresysteme benötigt. Je nach Änderung kann eine lokale Installation oder der Bezug eines externen Services sinnvoll sein. Für eine kleine Bank mit wenigen Systemen und Direktkundenkontakt genügen eine Bestandsaufnahme und eine einfache Anpassung der aktuellen Vorgehensweisen.

Bei einer großen nationalen oder internationalen Bank ist die Umstellung eine größere Aufgabe und erfordert das Mitwirken aller Abteilungen sowie einen Projektmanager, der das Projekt und das verfolgte Ziel im Blick hat. Zudem treibt er Compliance-Anpassungen auch innerhalb des Instituts voran und sorgt für die regelkonforme Umsetzung anhand der Gesetzesvorlage. Da es sich bei der Umsetzung um verbindliche Vorschriften handelt, ist es anzuraten, zur Projektleitung externe Experten für Compliance hinzuzuziehen.

Autor Holger Stelz

Holger Stelz ist Director Marketing & Business Development bei Uniserv. Seit 2010 leitet der Experte für Datenmanagement die Weiterentwicklung des Geschäftsfeldes Kundendatenmanagement und verantwortet zudem seit 2011 das weltweite Marketing. Im Zuge der Digitalisierung und der damit verbundenen Neuausrichtung von Kunden und Konsumenten bei der Informationsbeschaffung und -verarbeitung (Customer Journey) hat sich der Verantwortungsbereich von Herrn Stelz in den letzten zwei bis drei Jahren um das gesamte Kundenbeziehungs- und Leadmanagement erweitert.

Hinzu kommt das Einrichten und Verwalten von unterstützenden Softwaresystemen zur Sicherung des Betriebes und der Datenqualität. Dazu zählen beispielsweise eine Dublettenprüfung, ein effizienter Sanktionslistencheck und ein Datenrepository, in dem das Kundenprofil abgelegt werden kann. Die Anpassung und Integration zusätzlicher Softwaresysteme erfordert gegebenenfalls neben zusätzlichen Lizenz- und Nutzungsgebühren auch das Hinzuziehen von qualifizierten Lösungs- und Softwareexperten.

Strafzahlungen bei Nichteinhalten des KYC-Prozesses

Das finale Inkrafttreten der 4. Geldwäscherichtlinie erfolgt zwölf bis 24 Monate nach der Verabschiedung, das heißt zwischen Juni 2016 und 2017. Die daraus resultierende Gesetzgebung ist meist in allen EU-Ländern gleich, es gibt vereinzelt Ausnahmen. Da diese noch in der Umsetzung durch die einzelnen EU-Länder ist, müssen Firmen in den betroffenen Geschäftsfeldern darauf vorbereitet sein. Bei der Nichteinhaltung der Sorgfaltspflichten im Rahmen des KYC-Prozesses drohen erhebliche Geldstrafen von mindestens einer Million Euro für das Finanzinstitut. Dazu kommen noch Verwaltungsgeldstrafen, die entweder fünf Millionen Euro oder zehn Prozent des Gesamtfirmenumsatzes betragen.

Falls Finanzinstitute den KYC-Prozess bereits angestoßen haben, gibt es natürlich weiterhin Optimierungspotenzial, etwa wenn es Regeländerungen durch eine neue Interpretation der Richtlinie oder Änderungen an der Richtlinie selbst gibt.aj

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/39512