Anti-Financial Crime
Einführung und Rückblick
Ein wichtiger Katalysator für die Schaffung spezieller Sanktionsfunktionen waren die ersten US-Sanktionsgesetze, insbesondere der Trading with the Enemy Act (1917) [1] und die Einrichtung des Office of Foreign Assets Control (OFAC) [2] in den 1950er Jahren. Zusammen gaben sie der US-Regierung weitreichende Befugnisse zur Verwaltung und Durchsetzung von außenpolitisch motivierten Wirtschaftssanktionen. Im Laufe der Zeit erforderten diese Maßnahmen, dass Einzelpersonen oder sogar kleine Teams vor allem in den Banken den Überblick über die sich ständig ändernden Sanktionslisten behielten und dafür sorgten, dass keine verbotenen Parteien Zugang zum Finanzsystem hatten.
Zur gleichen Zeit begannen die ersten AML-Vorschriften Gestalt anzunehmen. In den Vereinigten Staaten wird der Bank Secrecy Act (1970) [3] oft als der erste wegweisende Rechtsakt zur Verhinderung von Geldwäsche genannt, da er die Institute verpflichtete, Aufzeichnungen zu führen und bestimmte Transaktionen zu melden. Auf der anderen Seite des Atlantiks verpflichtete die erste EU-Geldwäscherichtlinie (Richtlinie 91/308/EWG) [4] die Mitgliedstaaten, Maßnahmen zur Bekämpfung des Missbrauchs von Finanzsystemen für illegale Zwecke zu ergreifen. Beide Entwicklungen führten dazu, dass Finanzinstitute – zunächst im Bankensektor und später auch in der Versicherungsbranche und anderen Sektoren – spezialisierte Compliance-Funktionen einrichteten.
In den Anfängen der Prävention von Finanzkriminalität verfolgten viele Institute einen weitgehend reaktiven Ansatz, d.h. Sanktionslisten wurden nur bei auffälligen Transaktionen überprüft und der gelegentliche „Treffer“ wurde an einen Generalisten in der Rechts- oder Risikoabteilung weitergeleitet. Dieser reaktive Ansatz war die Norm, lange bevor umfassende Compliance-Rahmenwerke in Unternehmen geschaffen wurde.
In den 1990er Jahren wurde jedoch deutlich, dass ein einziger „Generalist“ als Compliance-Beauftragter mit der Zunahme der Vorschriften nicht mehr Schritt halten konnte. Die Unternehmen erkannten den Bedarf an speziellen Sanktionsbeauftragten, die sich auf Durchsetzungsmaßnahmen wie die des OFAC konzentrierten, sowie an speziellen AML-Beauftragten, deren Aufgaben von der Überwachung von Transaktionsmustern bis hin zur Durchführung einer erweiterten Sorgfaltspflicht reichten. Diese Ära markierte den Übergang von einer Handvoll benannter Beauftragter zu den formelleren, strukturierten Funktionen zur Bekämpfung der Finanzkriminalität, wie wir sie heute kennen, und spiegelt sowohl die Anforderungen der Aufsichtsbehörden als auch die immer ausgefeilteren kriminellen Taktiken wider.
Letztlich legten diese historischen Meilensteine den Grundstein für die spezialisierten und technologiegesteuerten Compliance-Teams, die heute in der gesamten Finanzbranche üblich sind. Was mit einem Flickenteppich aus reaktiven Maßnahmen und dünn besetzten Compliance-Teams begann, hat sich zu robusten, multidisziplinären Abteilungen entwickelt, die sich dem Schutz der Integrität des globalen Finanzsystems verschrieben haben.
Während die Banken – oft aufgrund strengerer aufsichtsrechtlicher Kontrollen – eine Vorreiterrolle übernommen haben, waren Versicherungsunternehmen und andere Finanzinstitute langsamer beim Aufbau ihrer AFC-Kapazitäten. Im Laufe der Zeit, als die Vorschriften weltweit verschärft wurden (z. B. EU-AML-Richtlinien, FATF-Empfehlungen), erkannten Versicherer und andere Finanzsektoren, dass sie einem ähnlichen Risiko ausgesetzt waren und begannen, ihre eigenen Compliance-Abteilungen zu formalisieren.
Vom Einzelkämpfer zu umfangreichen Compliance-Einheiten
Im Rahmen der ursprünglichen Vorschriften ernannten die Finanzinstitute in der Regel ein oder zwei Personen, die die Einhaltung der Vorschriften überwachen sollten. Diese Beauftragten verwalteten das Sanktionsscreening häufig manuell und überprüften oftmals nur einzelne Listen wie die der Specially Designated Nationals (SDN) des OFAC. Außerdem überprüften sie verdächtige Transaktionen auf Verdachtsfallbasis. Dieser Ansatz war eher reaktiv. Da nur relativ wenige Vorschriften durchzusetzen waren und es keinen umfassenden Rahmen für bewährte Praktiken gab, konnte ein kleiner Mitarbeiterstab (theoretisch) die Arbeitslast bewältigen. Insgesamt handelte es sich um manuelle Arbeit, die nicht standardisiert und schlecht dokumentiert war.
Mit der Entwicklung globaler und regionaler Vorschriften – z. B. der ersten EU-Geldwäscherichtlinie (Richtlinie 91/308/EWG des Rates, 1991) [5] und späteren Aktualisierungen – wurde die Einhaltung der Vorschriften zur Bekämpfung der Finanzkriminalität immer komplexer. Die Institutionen erkannten schnell, dass eine einzelne Person nicht ausreichte, denn:
- Know Your Customer und Client Due Diligence Programme erfordern spezialisiertes Personal und eine kontinuierliche Kundenüberwachung.
- Die kontinuierliche Überwachung von Transaktionen erforderte robuste IT-Systeme, permanente Datenflüsse und geschulte Monitoring-Analysten.
- Sich permanent weiterentwickelnde Sanktionslisten (z. B. mehrere Sanktionsregelungen der USA, der EU und der Vereinten Nationen) erforderten spezielle Teams, die sich mit den falschen Treffern und potenziellen echten Matches befassen.
Als Reaktion darauf begannen größere Banken und Versicherer, ganze Compliance-Abteilungen einzurichten. Diese Teams kombinierten traditionelles juristisches Fachwissen mit neuen Ermittlungs- und Analysefähigkeiten. Mit der Zeit entwickelte sich innerhalb dieser Strukturen das Konzept der ersten und zweiten Verteidigungslinie.
Das Modell der drei Verteidigungslinien
Ursprünglich waren in vielen Finanzinstituten sowohl die 1st LoD- als auch die 2nd LoD-Verantwortung für die Einhaltung der Vorschriften unter einem Dach untergebracht, insbesondere in kleineren Organisationen oder in der frühen Implementierungsphase. Als die Komplexität zunahm und die Best Practices ausgereifter wurden, trennten viele diese Bereiche klarer voneinander, obwohl einige Institute aus praktischen oder historischen Gründen immer noch die Zuständigkeiten für 1st LoD und 2nd LoD in einer einzigen großen Compliance-Abteilung zusammenfassen. Das heute weit verbreitete Three-Lines-of-Defense-Modell [6] veranschaulicht, wie Unternehmen die Verantwortung für das Risikomanagement aufteilen.
1. Erste Verteidigungslinie (1st LoD)
Im Zusammenhang mit AML und Sanktionen kümmern sie sich um alltägliche Aktivitäten wie die Sicherstellung, dass die KYC-Daten beim Onboarding korrekt sind, die Kennzeichnung ungewöhnlicher Transaktionen und die Erstprüfung von Sanktionstreffern.
2. Zweite Verteidigungslinie (2nd LoD)
Funktionen, die Aufsicht und Fachwissen bereitstellen – umfasst in der Regel Compliance und Risikomanagement. Bei AML und Sanktionen geht es in der Regel um die Auslegung von Vorschriften, die Entwicklung von Compliance-Rahmenwerken, Richtlinien und Überwachungsinstrumenten sowie die Anleitung der ersten Linie und die Eskalation von Problemen an die Geschäftsleitung und die intensive Überprüfung potentieller echter Treffer.
3. Dritte Verteidigungslinie (3. LoD)
Interne Auditfunktion, die unabhängig die Wirksamkeit der ersten und zweiten Verteidigungslinie bewertet.
Zusätzlich zu den drei Verteidigungslinien (Betrieb, Überwachung und interne Revision) gibt es noch eine vierte Verteidigungslinie. Zu dieser vierten Verteidigungslinie gehören in der Regel externe Kontrollinstanzen wie [7]
- Regulierungsbehörden, die gesetzliche und aufsichtsrechtliche Anforderungen durchsetzen (z. B. Zentralbanken, spezialisierte Behörden wie FinCEN in den USA oder BaFin in Deutschland).
- Externe Prüfer, unabhängige Unternehmen, die das Risiko- und Kontrollumfeld eines Finanzinstituts überprüfen. Ihre Prüfungen können Lücken in den AML-Systemen oder in der Einhaltung von Sanktionen aufdecken und zu Verbesserungen führen.
- Branchen- und Fachgremien wie die FATF, die Wolfsberg-Gruppe oder wichtige Wirtschaftsverbände, die Standards veröffentlichen und die Politikgestaltung auf nationaler und globaler Ebene beeinflussen.
Der vierte Bereich arbeitet nicht isoliert, sondern überprüft und validiert die Wirksamkeit der anderen drei Bereiche. [8]
Regulierungsbehörden und externe Prüfer erwarten eine nahtlose Zusammenarbeit zwischen diesen Bereichen. In der Praxis kann die vierte Linie zu neuen oder überarbeiteten AML/KYC-Prozessen führen, technologische Upgrades anregen (z. B. fortschrittlichere Software zur Transaktionsüberwachung) oder sogar die Umstrukturierung von Compliance-Teams vorantreiben. Daher kann das Modell als 3+1 Lines of Defense bezeichnet werden.
Nicht zuletzt sollten wir auch die Verantwortlichkeit der obersten Führungsebene nicht vergessen. Ein entscheidender Aspekt jedes Verteidigungsmodells ist eine klare Führung und Verantwortlichkeit auf der höchsten Ebene des Unternehmens.
Die oberste Verantwortung für die Compliance-Kultur, die Ressourcen und die Risikobereitschaft des Unternehmens liegt beim Vorstand bzw. der Geschäftsleitung. Ein designierter Chief Compliance Officer erstattet dem Vorstand und den Geschäftsführungsausschüssen regelmäßig Bericht und stellt sicher, dass die Führungsebene über die wichtigsten Risiken, größere Vorfälle und sich entwickelnde rechtliche Verpflichtungen informiert ist. Durch die Transparenz auf höchster Ebene stellen die Finanzinstitute sicher, dass Compliance nicht nur eine Back-Office-Funktion ist, sondern ein integraler Bestandteil der strategischen Entscheidungsfindung.
Kontinuierliche Weiterentwicklung
In den letzten Jahren haben wir verschiedene große Finanzinstitute unterstützt. Wir haben ihnen geholfen, die Struktur ihrer 1st und 2nd Lines of Defense neu zu aufzubauen und sich von der „All-in-one“-Compliance-Funktion zu lösen. Während einige Organisationen eine einzige, ganzheitliche Compliance-Abteilung unterhalten, die die Zuständigkeiten der 1st und 2nd LoD vereint, teilen andere die Zuständigkeiten der 1st LoD auf:
1. Dedizierte operative oder Front-Office-Teams
Geschäftseinheiten und operative Abteilungen werden häufig mit zentralen AML-Schritten wie der anfänglichen KYC-Datenerfassung, Ad-hoc- und regelmäßigen Due-Diligence-Prüfungen oder dem Abgleich der Ergebnisse von Watchlist-Screenings betraut. Indem die Finanzinstitute diese Aufgaben direkt in die Geschäftseinheiten verlagern, wollen sie die Verantwortung näher an die Quelle der Risiken bringen. Die sogenannten vereinfachten regelmäßigen CDD-Prüfungen können übrigens sogar automatisiert werden. Insbesondere Fintechs sind sehr offen für den Einsatz digitaler Lösungen anstelle der bestehenden übergroßen Teams der Großbanken.
2. IT- und Systemunterstützung
AML-Prozesse werden zunehmend durch Technologie unterstützt, von Transaktionsüberwachungssystemen über digitale KYC-Fragebögen bis hin zur automatischen Überprüfung von Namenslisten. Einige Unternehmen unterstellen AFC-spezifische IT-Teams einer eigenen Compliance-Abteilung, während andere sie in allgemeine Technologieabteilungen integrieren, um die unternehmensweiten Ressourcen besser zu nutzen. Dies bedeutet, dass spezialisierte AML-Softwareentwickler oder Datenanalysten außerhalb der Compliance-Abteilung untergebracht sein können, aber dennoch eng mit den Compliance-Beauftragten an Systemverbesserungen und Modelloptimierungen arbeiten.
Zusammenfassung
Diese Änderungen in der Organisationsstruktur sind alles andere als einheitlich. Einige Großbanken entscheiden sich nach wie vor für zentrale AFC-Funktionen, die das gesamte Compliance-Thema überwachen. Andere wählen einen dezentralen Ansatz und verteilen die AML-Aufgaben auf verschiedene operative und technologische Einheiten. Versicherungsunternehmen haben ähnlich unterschiedliche Konfigurationen, oft nach dem Vorbild von Banken, aber mit Anpassungen an ihre spezifischen Produktlinien und Risikoprofile.
Die laufenden Umstrukturierungen der Compliance-Einheiten spiegelt das branchenweite Streben nach mehr Effizienz, Eigenverantwortung und technologischer Innovation im Kampf gegen Finanzkriminalität wider. Während die Aufsichtsbehörden weiterhin robuste Kontrollen fordern, experimentieren die großen Finanzinstitute damit, wie sie ihre personellen und technologischen Ressourcen am besten einsetzen können – was zu einem ständigen Zyklus der Umstrukturierung führt. Aus der Sicht einer AML-Compliance-Beratung können wir bestätigen, dass jede Variante dieser Modelle in der Praxis existiert, jedes mit seinen eigenen Stärken und Herausforderungen. Letztendlich hängt die richtige Struktur von der Größe, der Produktkomplexität und der Risikobereitschaft eines Instituts ab, wobei auch ein Gleichgewicht mit den sich entwickelnden globalen AML- und Sanktionsvorschriften gefunden werden muss.
Weitere Artikel
Anti-Financial Crime Der Autor Andreas Winde Managing Director Inhalt Einführung und Rückblick Ein wichtiger Katalysator für die Schaffung spezieller Sanktionsfunktionen waren die ersten US-Sanktionsgesetze, insbesondere der Trading with the Enemy Act (1917) [1] und die Einrichtung des Office of Foreign Assets Control (OFAC) [2] in den 1950er Jahren. Zusammen gaben sie der US-Regierung weitreichende Befugnisse […]
Quellen und Verweise
[1] https://uscode.house.gov/view.xhtml?path=/prelim@title50/chapter53&edition=prelim
[2] https://ofac.treasury.gov/
[3] https://www.fincen.gov/history-anti-money-laundering-laws
[4] https://finance.ec.europa.eu/financial-crime/anti-money-laundering-and-countering-financing-terrorism-eu-level_en
[5] https://eur-lex.europa.eu/eli/dir/1991/308/oj
[6] https://www.theiia.org/globalassets/documents/resources/the-iias-three-lines-model-an-update-of-the-three-lines-of-defense-july-2020/three-lines-model-updated-english.pdf
[7] https://www.fatf-gafi.org/en/topics/fatf-recommendations.html
[8] https://www.bis.org/bcbs/publ/d328.pdf
