Erhebliche Risiken lauern, wenn Überwachungssysteme im Wettlauf mit den sich ständig wandelnden Geldwäscherei-Bedrohungen versagen oder die Risiken nicht vollständig erfassen. Nachfolgend schildern wir die Bedeutung einer effektiven, zukunftsgerichteten und institutsspezifischen Definition von Kriterien sowie Systemparametrierung zur Erkennung und Überwachung von Transaktionen und Geschäftsbeziehungen mit erhöhten Risiken.
Die Aufsichtspraxis zeigt, dass die institutsspezifische Definition von Kriterien und Parametrierung von Überwachungssystemen zur Erkennung von Transaktionen und Geschäftsbeziehungen mit erhöhten Risiken (TmeR bzw. GmeR) regelmässig eine Herausforderung für Schweizer Banken darstellt. Zu oft bilden statische und rein limitenbasierte Kriterien die Ausgangslage, mit welchen dem raschen Wandel und der Veränderung der organisierten Kriminalität in der Schweiz und im Ausland begegnet wird. Dieser Tatsache können Systemlimitierungen oder nicht periodische aktualisierte TmeR- und GmeR-Kriterien zu Grunde liegen. Dieses Vorgehen wird den hohen inhärenten GwG-Risiken auf dem Schweizer Finanzmarkt nicht gerecht. Auch die FINMA ist in ihrem Jahresbericht 2024 mittels Erfahrungen aus den durchgeführten Vor-Ort-Kontrollen zu dieser Erkenntnis gelangt.
Nicht institutsspezifische Kriterien zur Erkennung von erhöhten Risiken resultieren in einer ineffektiven Risikoüberwachung und führen in der Folge zu verfälschten Kennzahlen und Abklärungspendenzen in Bezug auf die tatsächlich vorhandenen inhärenten Geldwäschereirisiken. Die Verkennung von tatsächlichen Risiken führt ebenfalls dazu, dass die Kontrollmassnahmen und die meist knappen Ressourcen der ersten und zweiten Verteidigungslinie zu wenig risikoadäquat eingesetzt werden können. Damit bleibt eine zentrale Frage aktuell offen. Haben Banken den Fokus auf die für sie individuell wesentlichen Geldwäschereirisiken angemessen gesetzt?
Die Parametrierung von IT-unterstützten Überwachungssystemen zur Geldwäschereibekämpfung von Banken ist von einer Vielzahl komplexer Herausforderungen geprägt: Jede Bank muss individuelle Risikoprofile berücksichtigen und die Systemintegration über die heterogene IT-Landschaften hinweg sicherstellen. Gleichzeitig müssen hohe Compliance-Standards erfüllt sein, um auf die dynamische Bedrohungslandschaft reagieren zu können. Die Strategie zur Optimierung der Erkennung von wesentlichen Risiken und Sicherstellung einer erhöhten Effektivität hat die Adressierung folgender Elemente als Ausgangslage:
Banken sind gemäss Art. 20 Abs. 1 und 2 GwV-FINMA verpflichtet, für eine wirksame systemische Überwachung von Geschäftsbeziehungen und Transaktionen zu sorgen und sicherzustellen, dass erhöhte Geldwäschereirisiken ermittelt und unverzüglich abgeklärt werden. Die Aufsichtspraxis sowie der Jahresbericht 2024 der FINMA zeigen, dass regelmässig Verbesserungspotenzial bei der Parametrierung von Überwachungssystemen besteht. GmeR- und/oder TmeR-Kriterien sind demnach zu wenig auf die institutsspezifischen Risiken und die sich in den letzten Jahren veränderten Umstände der Vortaten zur Geldwäscherei abgestimmt. Zudem können effektive Kriterien zur Erkennung von erhöhten Geldwäschereirisiken fehlen, respektive Limiten zu hoch und Kriterien zu allgemein oder Szenarien zu statisch sein, um eine tatsächliche Mitigierung der Risiken zu erlauben.[1] Die FINMA betont in ihrem Jahresbericht 2024 zudem ihre Erwartungshaltung. Demnach gilt, dass nur eine institutsspezifische Parametrierung, welche auf das Geschäftsmodell, die Geschäftsstrategie und die Kundenpopulation zugeschnitten ist, eine angemessene Umsetzung der regulatorischen Anforderungen an die Überwachungssysteme gemäss Art. 20 Abs. 1 und 2 GwV-FINMA darstellt.
Die FINMA unterstreicht die entscheidende Bedeutung, welche der systemischen Überwachung in der Geldwäschereibekämpfung zukommt. Die Parametrierung der Überwachungssysteme entscheidet zudem nicht nur über die Qualifikation von abklärungswürdigen Sachverhalten («ob»), sondern auch über die Zeitachse («wann») und die Eskalationen und Kollaborationen mittels Audit Trail («wie»).
Nicht institutsspezifische Kriterien und Szenarien zu TmeR und GmeR beinhalten u.a. folgende Risiken:
1 FINMA, Jahresbericht 2024, S. 42 f.
Die FINMA stellt Banken einen Kriterienkatalog zur Parametrierung von Überwachungssystemen zur Verfügung (Art. 13 Abs. 2 und Art. 14 Abs. 2 und 3 GwV-FINMA). Nur wenige dieser aufgeführten Kriterien sind zwingend, wobei deren Relevanz in der jährlichen GwG-Risikoanalyse analysiert werden muss. Die FINMA äussert sich ferner zum Vorgehen bei der Festlegung von angemessenen Risikokriterien (Art. 25 Abs. 2 GwV-FINMA und Ziff. 3.1.3.1.5. Erläuterungsbericht zur GwV-FINMA (2017)). Demnach soll der Kriterienkatalog keinesfalls als abschliessend verstanden werden. Vielmehr sollen Banken institutsspezifische Risikokriterien festlegen und in ihren Überwachungssystemen hinterlegen.
Ein angemessenes Vorgehen zur effektiven Festlegung und Implementierung der Risikokriterien in Überwachungssystemen gestaltet sich in sechs Schritten wie folgt:
Die Erwartungshaltung an eine effektive und institutsspezifische Parametrierung von Überwachungssystemen zu Erkennung von erhöhten Risiken ist in den letzten Jahren kontinuierlich gestiegen. Dies zeigt die FINMA mit ihren Erwartungshaltung in ihrem Jahresbericht 2024. Neben einer jährlichen Wiederbeurteilung legen folgende Indikatoren sowie Situationen u.a. eine vertieftere Auseinandersetzung mit der Parametrierung nahe:
Die Feststellungen der FINMA, der Prüfgesellschaften sowie die internen Berichterstattungen der Banken verdeutlichen, dass das Volumen an systemisch identifizierten Abklärungspendenzen sowie die daraus resultierenden sog. «false-positives» (sehr) hoch sind. Die vorhandenen Ressourcen zur kritischen Abklärung dieser TmeR & GmeR Treffer sind hingegen meist limitiert. Dem gesellen sich weitere Abklärungspendenzen hinzu wie jene zur periodischen Überprüfung der Kundendaten und -belege (Art. 7 Abs. 1bis GwG) oder Abklärungen im Bereich Sanktionen. Symptomatisch zeigt sich diese Herausforderung in der Qualität und Geschwindigkeit der Abarbeitung der Abklärungspendenzen. Übermässig lang andauernde Transaktionsabklärungen und eine mangelnde kritische Grundhaltung, eine ungenügende Abklärungs- und Dokumentationstiefe bei erhöhten Risiken oder zu lange Zeitspannen bis zum Absetzen einer Verdachtsmeldung an MROS sind keine Seltenheit.
Um dieser Belastung zu begegnen, ist es zentral, die Kriterien und Szenarien zur Erkennung von GmeR und TmeR auf die Bank abzustimmen. Neben der Erfassung von sämtlichen Geldwäschereirisiken sollen auch institutsspezifisch nicht (länger) zielführende Kriterien (z.B. nach einer Veränderung im Geschäftsmodell) eruiert und angepasst werden. Die Menge an Abklärungspendenzen soll sich soweit möglich auf die tatsächlichen Geldwäschereirisiken beschränken.
Darüber hinaus können – und sollen – Banken den Einsatz neuer Technologien zur Verbesserung der Systemüberwachung prüfen, um der Menge an Abklärungspendenzen zu begegnen. Der Einsatz namentlich von KI nimmt im Schweizer Finanzmarkt an Fahrt auf. Erste Banken befinden sich aktuell in der Implementierung von KI in der Transaktionsüberwachung. Zusätzlich finden KI-unterstützte Prozesse in der Trefferoptimierung und Auswertung im Bereich Screening von Sanktionen, PEP und negativen Medienmitteilungen Anwendung.
KI bietet die Möglichkeit, namentlich am Beispiel der Transaktionsüberwachung, effektive und institutsspezifische dynamische und szenariobasierte Kriterien zur Erkennung von TmeR anzuwenden. Möglich ist auch, dass KI in der Form eines intelligenten Assistenten die bestehenden Überwachungsprozesse mit dem Ziel der Effizienzsteigerung durch eine Erstbeurteilung oder -triage ergänzt. In der Transaktionsüberwachung lassen sich dadurch TmeR mit einer erhärteten Wahrscheinlichkeit auf Geldwäscherei ermitteln und Ressourcen gezielt zuweisen. Dadurch besteht das Potenzial, dass sich die von Mitarbeitenden zu beurteilenden Abklärungspendenzen sowie die Anzahl an false-positives wesentlich minimieren lassen. Eine fokussierte KI-Strategie ist dabei der erste Schritt.
Es ist zu erwarten, dass die Erwartungshaltung der FINMA an eine effektive und institutsspezifische Parametrierung von Überwachungssystemen in den nächsten Jahren weiter ansteigt. Dies nicht zuletzt aufgrund der technologischen Entwicklung und Möglichkeiten für eine gestärkte systemunterstützte Überwachung. Mit Blick auf die steigenden regulatorischen Anforderungen im Bereich der Geldwäschereibekämpfung und andere Finanzmarktregularien sowie die Ressourcenauslastung bleibt die Effizienz und Effektivität von Überwachungssystemen im Fokus.
Als Ihr verlässlicher Partner stehen wir Ihnen bei der Neueinführung sowie Evaluation der bestehenden Überwachungssysteme zur Seite. Wir beraten Sie rund um Ihre individuellen Bedürfnisse basierend auf der Fach- und Branchenkenntnis aus unserer Prüf- und Beratungspraxis. Gemeinsam entwickeln wir mit Ihnen risikogerechte und massgeschneiderte Lösungen zur nachhaltigen Stärkung Ihrer Bank. Gerne stehen wir Ihnen für ein ausführliches Gespräch zur Verfügung.