Wie die Finanzindustrie mit dem zunehmenden Fokus auf Sanktionen umgeht

Caroline Bühler Regulatory and Compliance Services, PwC Switzerland 28 Mai 2019

Die Vereinten Nationen (UN) haben ungeachtet der Sanktionen gegen Nordkorea zu dringenden Lebensmittelhilfen für die hungernden Bewohner des Landes aufgerufen. Der Leiter des UN-Welternährungsprogramms appellierte ebenfalls, das Leben von Kindern durch die Finanzierung von Lebensmitteln für die unzähligen unterernährten Kinder des Landes über die Politik zu stellen. Gleichzeitig hat die Welt große Rechtsfälle mit hohen Bußgeldern gegen Finanzinstitute wegen Verletzung von Sanktionen erlebt. Die wichtigsten Akteure in diesem Bereich – die USA, die UN und Grossbritannien – haben Sanktionen mit hoher Priorität in die Agenda der Finanzbranche aufgenommen. Welche Mittel, Instrumente und digitalen Anstrengungen werden es der Finanzindustrie ermöglichen, dieses Thema angemessen anzugehen?

 

Wo es auf die Finanzinstitute ankommt

Sanktionsregime betreffen viele internationale und nationale Akteure im politischen, finanziellen und industriellen Bereich sowie Normalbürger. Die internationale Ausrichtung auf Sanktionen hat deutliche Auswirkungen auf den Schweizer Finanzmarkt.

Von der UN verabschiedete Resolutionen müssen von allen Mitgliedstaaten umgesetzt werden. Die Maßnahmen werden als Mittel zur Gefahrenabwehr angesehen und sichern den Frieden auf internationaler Ebene. In der Schweiz setzt das Staatssekretariat für Wirtschaft (SECO) die Sanktionsverordnungen um. Spezifische Listen enthalten die Namen von betroffenen Einzelpersonen, Gruppen und Unternehmen. Mit dem Bundesgesetz über die Durchsetzung von internationalen Sanktionen (Embargogesetz, EmbG) sorgt die Schweiz für die Um- und Durchsetzung international verhängter Sanktionen, darunter auch jene des UN-Sicherheitsrats. Andere Länder integrieren solche Listen entweder in die Gesetzgebung oder nehmen sie separat an. Die Regelung in den USA ist insofern spezifisch, als die Sanktionsvorschriften im Rahmen aller USD-Transaktionen einzuhalten sind. Damit hat die Sanktion eine extraterritoriale Wirkung und zeigt, wie wichtig es für Finanzinstitute ist, die rechtlichen Anforderungen des Landes, das die Sanktionen durchsetzt, zu analysieren, um deren Einhaltung sicherstellen zu können.

“With companies being increasingly interconnected and smart devices being further developed, new cyber risks will arise. Cyber risks come in many shapes and sizes, and they are evolving rapidly, with the ones we face today being outdated by tomorrow.”

 

Cybersecurity remains a major concern for the majority of companies when they launch new digital projects. According to the PwC 2019 Global Risk Management, Internal Audit & Compliance Study, 51% of those surveyed say cybersecurity is their main concern, ranking far higher than operational or technological risk or confidentiality issues.

This percentage will continue to increase as digitalisation rapidly spreads through the economy. Hand in hand with this development, cyber attacks will multiply at the same speed. Companies will have to step up their efforts if they are to be effectively protected.

Even more so with new cyber risks emerging as companies become more interconnected, but also with the development of smart devices. In fact, it is estimated that by 2020, there will be 200 billion smart devices on Earth:  smartphones, pacemakers, lifts and even toothbrushes... 

Cyber risks come in many shapes and sizes, and they are evolving rapidly, with the ones we face today being outdated by tomorrow. They may stem from social engineering, computer viruses or data leakages.

“With companies being increasingly interconnected and smart devices being further developed, new cyber risks will arise. Cyber risks come in many shapes and sizes, and they are evolving rapidly, with the ones we face today being outdated by tomorrow.”

 

Cybersecurity remains a major concern for the majority of companies when they launch new digital projects. According to the PwC 2019 Global Risk Management, Internal Audit & Compliance Study, 51% of those surveyed say cybersecurity is their main concern, ranking far higher than operational or technological risk or confidentiality issues.

This percentage will continue to increase as digitalisation rapidly spreads through the economy. Hand in hand with this development, cyber attacks will multiply at the same speed. Companies will have to step up their efforts if they are to be effectively protected.

Even more so with new cyber risks emerging as companies become more interconnected, but also with the development of smart devices. In fact, it is estimated that by 2020, there will be 200 billion smart devices on Earth:  smartphones, pacemakers, lifts and even toothbrushes... 

Cyber risks come in many shapes and sizes, and they are evolving rapidly, with the ones we face today being outdated by tomorrow. They may stem from social engineering, computer viruses or data leakages.

Banken und Finanzinstitute sind aufsichtsrechtlich verpflichtet, dafür zu sorgen, dass ein angemessener Kontroll- und Compliance-Rahmen vorhanden ist, um sanktionierte Parteien aufzudecken und sanktionsverletzende Transaktionen zu verhindern. In der Schweiz muss jeder Finanzakteur, der international tätig ist, sicherstellen, dass er die entsprechenden Sanktionspflichten einhält.

Banken und andere Finanzinstitute, die gegen Sanktionen verstossen, können, nebst anderen Auswirkungen, mit hohen Bussen belegt werden und einen Reputationsschaden erleiden. Sanktionen fallen in der Regel unter die Rubrik «Finanzkriminalität» wie auch die Bekämpfung von Bestechung und Korruption (ABC), Geldwäscherei (AML) und Terrorismusfinanzierung (CTF). Viele grössere Banken entscheiden sich dafür, ein spezifisches Sanktionsteam zu bilden, um sicherzustellen, dass korrekte Kontrollen durchgeführt, relevante Einschränkungen und Maßnahmen analysiert und umgesetzt werden.

Sanktionen gehen jedoch über ein spezifisches Team hinaus und sind Gegenstand des gesamten Kontrollrahmens und Compliance-Programms einer Bank. Für eine Bank ist es sicherlich angemessen diese Thematik innerhalb des internen Kontrollsystems (IKS), als Bestandteil der zentralen Kontrollen, anzusiedeln. Auf diese Weise wird der Bereich in den allgemeinen Risikomanagementprozess integriert und bei der jährlichen Risikoanalyse, den Gesprächen über das Budget und die Ressourcen, den regelmässigen Überprüfungen und der Berichterstattung berücksichtigt. Die Verpflichtung, einen angemessenen internen Kontrollrahmen zu gewährleisten, ist in Artikel 12 der Verordnung über die Banken und Sparkassen festgelegt.

Viele Banken prüfen die Möglichkeiten, die Prozesse mithilfe technischer und digitaler Unterstützung zu optimieren. Im Rahmen der globalen «PwC 2019 State of Compliance Study» haben wir ermittelt, wie weit die Technologie und Digitalisierung gemäss Compliance- und Risikofachleuten fortgeschritten ist. Die Mehrheit der Teilnehmer gab an, dass sie die Digitalisierung und Technologie einsetzen, um die Einhaltung rechtlicher und regulatorischer Anforderungen zu unterstützen. Dieser Trend ist auch in der Praxis zu beobachten.

Zu welcher Gruppe gehören Sie in Bezug auf den Einsatz Compliance-spezifischer Technologieanwendungen zur Unterstützung gesetzlicher und regulatorischer Anforderungen sowie für Überwachungs- und/oder Warnmeldungen?

Quelle: PwC 2019 Global Risk, Internal Audit and Compliance Survey

Digitale Lösungen für ein effizientes internes Kontrollsystem

Eine weitere Schwierigkeit für die Banken besteht in der Wahl eines bestimmten Screening Tools und den Möglichkeiten, die Anforderungen einer bestimmten Kundengruppe zu erfüllen. Banken stellen ferner die Auswahl der Sanktionen und der PEP-Screening-Listen (Listen politisch exponierter Personen) infrage. Wie erkennen Banken die für sie relevanten Sanktionslisten? Spezifische Bewertungen des Kundenstamms der Bank und eine gut analysierte Strategie, die auf das Kundenverhalten ausgerichtet ist, können als Grundlage für die Auswahl solcher Listen dienen. Es gibt bestimmte Listen, die verwendet werden müssen oder den Best Practices entsprechen, wie die Listen des SECO, der EU, der UN, von Grossbritannien und des Office of Foreign Assets Control (OFAC). Die Entwicklungen der Branchenpraxis können zudem mithilfe eines regulatorischen Radars wie jenem von PwC verfolgt werden.

Von den meisten Banken wird erwartet, dass sie über ein automatisiertes Screening vor und nach dem Onboarding der Kunden verfügen. Dies hängt von der Grösse der Bank und ihrem Kundenstamm ab. Zudem entspricht es den Best Practices, die Kunden einem Screening zu unterziehen, bevor die Beziehung ausgebaut wird.

Im Rahmen von regelmässigen Überprüfungen und Compliance-Tests haben Banken Fehler und Unzulänglichkeiten ihrer Kontrollen und Systeme entdeckt Für die zweite Verteidigungslinie wird es zunehmend zur Branchenpraxis, Überprüfungen und Kontrollen des internen Kontrollsystems durchzuführen, um Mängel und mögliche Lücken zu erkennen und die Wirksamkeit der Kontrolle zu gewährleisten.

Heute konzentrieren sich die meisten Banken auf die Handhabung der enormen Menge an Treffern und die Ressourcen, die für die Bewältigung des Volumens und zur Aufrechterhaltung der hohen Qualität erforderlich sind. Es ist zu einem zentralen Anliegen geworden, die Kontrollen, Prozesse und Richtlinien festzulegen, die umzusetzen sind, damit sowohl die erste als auch die zweite Verteidigungslinie über ausreichende Instrumente verfügen, um die Einhaltung der Sanktionen zu gewährleisten.

Für die Vielzahl von Sanktionstreffern bei Transaktionen - und um zu beurteilen, welche spezifischen Sanktionslisten verwendet werden sollten - können spezifische digitale Tools wie die Robotik helfen, falsche und wahre Treffer zu gruppieren. Diese Tools stellen zudem Informationen zum Transaktionsverhalten bereit. Die Technologie kann bei der Handhabung der Sanktionstreffer auch einen risikobasierten Ansatz verfolgen, um spezifische Gruppen zu bilden. Auf diese Weise können priorisierte Hits zeitig bearbeitet werden.

36% der Schweizer Befragten gaben im Rahmen der «PwC 2019 State of Compliance Study», dass ihre Funktion bereits mit digitalen Roadmaps arbeitet. Gleichzeitig planen weitere 32%, solche in den nächsten zwei Jahren einzuführen. Innerhalb der Compliance-Funktion besteht eine klare Tendenz, auf Fragen der Effizienz mit digitalen Lösungen zu reagieren.

Sind Sie dabei oder planen Sie, eine Roadmap für die gewünschten Ergebnisse der digitalen Investitionen und Technologien zu erstellen und zu bewirtschaften?

Quelle: PwC 2019 Global Risk, Internal Audit and Compliance Survey

Der Trend zur Reduzierung der Risikobereitschaft im Bereich der Sanktionen ist offenkundig. Er zeigt sich daran, dass sich viele Banken für ein besseres Screening Tool entscheiden, um ihre Prozesse zu automatisieren oder bestimmte Arten von Geschäftsbeziehungen zu beenden. Allerdings lässt sich das Risiko auch verringern, wenn sich Banken und ihre Mitarbeiter über die Auswirkungen der Sanktionen auf ihr Geschäft bewusst sind.

Für den Erfolg benötigen Bankangestellte sowohl Geschäftskompetenz als auch Kenntnisse der regulatorischen Anforderungen. Sie müssen die Risiken der von ihnen verkauften Produkte und Dienstleistungen verstehen und in der Lage sein, ihre Kundenkenntnis (KYC) einzusetzen, um einen falschen von einem echten Treffer zu unterscheiden. Im Allgemeinen sollte ein Unternehmen als sanktionierte Partei betrachtet werden, wenn es sich zu 50% oder mehr im Besitz sanktionierter Personen oder Unternehmen befindet. Diese Erwägungen müssen von Fall zu Fall untersucht werden. Um eine solche sanktionierte Partei bei einer Transaktion erkennen zu können, muss die Bank den Kunden und die zugrunde liegende wirtschaftliche Berechtigung kennen.

Die Sicherstellung einer soliden und angemessenen Handhabung von Sanktionen beginnt jedoch an der Unternehmensspitze. Die Kultur und Sensibilität der Geschäftsleitung einer Bank und die Bereitschaft, den Sanktionen und der Compliance einen hohen Stellenwert innerhalb des Unternehmens einzuräumen, ist ausschlaggebend für den Erfolg der Bank.

Die FINMA verfolgt die Sanktionen aufmerksam

Der Trend zu stärkerem Risikobewusstsein bei Sanktionen hat nicht nur Banken und andere Finanzakteure erfasst, sondern auch die Eidgenössische Finanzmarktaufsicht (FINMA).

Angesichts der höheren Rechts- und Reputationsrisiken, die internationale Sanktionen mit sich bringen, ist die FINMA sehr wachsam. Aus diesem Grund führen Wirtschaftsprüfungsgesellschaften im Rahmen ihrer Prüfungsverfahren eingehendere Kontrollen diesbezüglich durch. Finanzinstitute müssen in der Lage sein nachzuweisen, dass sie die mit den Sanktionen verbundenen Risiken ordnungsgemäss bewerten, begrenzen und kontrollieren.

Die Angemessenheit der ausgewählten Systeme und deren möglichen Schwächen werden von den Wirtschaftsprüfungsgesellschaften untersucht. Die Effizienz der Überprüfungs- und Genehmigungsprozesse einer Bank, die strategische Bewertung der Sanktionsrisiken und die Handhabung bestimmter Sanktionsfälle, die Einbeziehung bankspezifischer Produkte in das Screening und die Auswahl der Sanktionslisten sind nur einige der Elemente, die von den Behörden und Aufsichtsbehörden im Laufe des nächsten Jahres enger überwacht werden.

Ein solides und angemessenes Sanktionsprogramm

Um über die wachsenden Herausforderungen im Zusammenhang mit Sanktionen auf dem Laufenden zu bleiben und über eine Grundlage für den Aufbau eines soliden und angemessenen Sanktionsprogramms zu verfügen, müssen Banken Folgendes berücksichtigen:

  • Einsatz einer Strategie im Hinblick auf Zielmärkte mit einer spezifischen Beurteilung der sanktionierten Länder. Sicherstellen, dass eine Herangehensweise besteht, wie mit potenziellen Kunden und den betroffenen Transaktionen umzugehen ist.
  • Verfolgen eines klaren kulturellen Ansatz bei der Einhaltung von Sanktionen in der gesamten Organisation. Um eine Unternehmenskultur zu schaffen, in der die Einhaltung der Sanktionsvorschriften gross geschrieben wird, muss das gewünschte Verhalten von der Unternehmensleitung vorgelebt werden.
  • Bewertung der regulatorischen Anforderungen welche Sanktionen für Bankkunden und –produkte relevant sind. Diese Bewertung ist entscheidend für die Festlegung der geltenden Sanktionslisten und die Kategorisierung der Bankkunden nach Risiko
  • Bewertung der Auswirkungen von Sanktionen auf das Geschäft und Gewährleistung der Transparenz der Kundenbeziehungen mit guter und aktueller Kundenkenntnis (KYC), um die relevanten und erforderlichen Namen zu untersuchen und die Treffer beurteilen zu können.
  • Gewährleistung, dass die Kontrollumgebung nicht beeinträchtigt werden kann, indem im Rahmen des internen Kontrollsystems ein klarer Fokus auf die Kontrollen der Sanktionen gelegt wird.
  • Einstellung von Personal, welches über das entsprechende Wissen im aufsichtsrechtlichen, geschäftlichen und technologischen Bereich verfügt.
  • Gewährleistung eines soliden Sanktionsprogramms mit regelmässigen Überprüfungen, einer klaren und regelmässigen Berichterstattung, aktuellen Richtlinien und Verfahren sowie Schulungen.
  • Beurteilung der entsprechenden Kontrollen und Rahmen durch regelmässige Überprüfung ihrer Wirksamkeit und Effizienz.

Ein besonderer Schwerpunkt sollte auf die Technologie und die digitalen Optionen gelegt werden, um effiziente Prozesse zu gewährleisten. Wie aus der «PwC 2019 State of Compliance Study» hervorgeht, besteht ein wachsender Trend bei Compliance-Funktionen, Systemoptionen und Tools zur Digitalisierung zu prüfen, um das Risiko manueller Fehler zu mindern und die Effizienz zu steigern.

 

Kontaktieren Sie uns

Caroline Bühler

Caroline Bühler

Regulatory and Compliance Services, PwC Switzerland

Tel.: +41 58 792 4673