ResourcesPractical guidance and standards for financial crime compliance practitioners

Grundsätze für die Prüfung eines Risikomanagementprogramms für Finanzkriminalität auf seine Wirksamkeit unter Heranziehung der Wolfsberg-Faktoren

Die Wolfsberg-Gruppe (die Gruppe) ermutigt Finanzinstitute (FIs 1) und Aufsichtsbehörden, sich auf ein effektives Risikomanagement der Finanzkriminalität (FCRM) zu konzentrieren und die Wolfsberg-Faktoren zu nutzen:

  1. Einhaltung der Gesetze und Vorschriften zur Finanzkriminalität;

  2. Festlegung angemessener und risikobasierter Kontrollen, die das Risiko, dass ein Finanzinstitut zur Ausführung illegaler Aktivitäten genutzt wird, mindern sollen 2;

  3. Bereitstellung von Informationen in definierten Schwerpunktbereichen, die für die zuständigen Regierungsstellen 3 besonders nützlich sind.

Die Gruppe ist der Ansicht, dass die Innenrevision ihre FI bei der Bekämpfung von Finanzkriminalität unterstützen kann, indem sie zur Einschätzung der Effektivität des FCRM die Wolfsberg-Faktoren heranzieht. Die in diesem Papier zusammengefassten Grundsätze wurden in Zusammenarbeit der zweiten und dritten Verteidigungslinie der Mitgliedsbanken entwickelt, um den FI ein Rahmenwerk, für eine solche Bewertung an die Hand zu geben.

Die Innenrevision, eine unabhängige Funktion innerhalb eines FI, stellt die dritte Verteidigungslinie dar und sollte unabhängige Prüfungen [^4] objektiv, gründlich und unparteiisch im Einklang mit den Berufsstandards (z. B. des Institute of Internal Auditors) durchführen. Die Innenrevision sollte einen risikobasierten Ansatz verfolgen, der sich an den geltenden Gesetzen und Vorschriften sowie an den in der Risikobewertung des FI ermittelten Risiken orientiert.

Die Innenrevision spielt eine wichtige Rolle bei der Bewertung des Umfangs und der Wirksamkeit des FCRM-Programms, indem sie prüft, ob das Programm dynamisch ist und alle aufsichtsrechtlichen Anforderungen in einer sorgfältig dokumentierten Weise abdeckt. Ebenso sollte es die Aufgabe der Innenrevision sein, das FCRM-Programm eines FI darauf hin zu prüfen, ob es auf die risikorelevanten Tätigkeitbereiche ausgerichtet ist.

Die Innenrevision ist für die Beurteilung der Wirksamkeit der (Schlüssel-)Kontrollen des FI und der zugehörigen Einheiten [^5] verantwortlich und kann sich ohne Einschränkung auf die Ausführung ihrer Tätigkeiten konzentrieren. Außerdem sollte die Innenrevision einen risikobasierten Ansatz verfolgen, der sowohl interne als auch externe Anforderungen umfasst (z. B. Berücksichtigung bestimmter Anforderungen aus lokalen Vorschriften).

Die Innenrevision sollte die Wirksamkeit des FCRM-Programms des FI bewerten und insbesondere sicherstellen, dass die schriftlich fixierte Ordnung auch die geltenden Vorschriften, Regelungen, bewährten Praktiken und Leitlinien berücksichtigt, um damit einen wirksamen Betrieb, ein angemessenes Risikomanagement sowie einen relevanten und nachhaltigen Kontrollrahmen zu fördern. Die interne Revision sollte auch das Risikobewusstsein des FI bewerten. Schlussfolgerungen hinsichtlich der Einhaltung der Vorschriften, sind unter Heranziehung der etablierten Prüfungsmethodik und Berufsstandards abzugeben. Um ihren Auftrag gerecht zu werden, sollte die Innenrevision regelmäßig eine [^6] Risikobewertung durchführen, um Prüfungsprioritäten für jährliche und/oder mehrjährige Prüfungspläne festzulegen. Nach Abschluss ihrer Prüfungen sollte die Innenrevision im Einklang mit ihrer Methodik über die Prüfungsergebisse berichten, Themen nachverfolgen und festgestellte Kontrollmängel eskalieren. Unabhängig davon sollte die Innenrevision die Umsetzung der Maßnahmen zur Behebung von Kontrollmängeln und/oder zur Minderung des festgestellten Risikos validieren, auch dann, wenn solche Mängel von Parteien außerhalb der Innenrevision aufgeworfen wurden (z. B. aufsichtsrechtliche oder selbst erkannte Mängel).

Die Innenrevision kann die nachfolgend erläuterten Grundsätze nutzen, um ihre bestehende Prüfungsmethodik zu ergänzen, wobei sie ihre Rolle als unabhängige Prüffunktion beibehält. Auf diese Weise wird die interne Revision ein wirksames Risikomanagement fördern und zu einem soliden Management des FCRM-Programms des Finanzinstituts beitragen. Darüber hinaus wird durch die Einhaltung dieser Grundsätze auch die Branche insgesamt bei der Aufdeckung, Verhütung und Meldung von Finanzkriminalität unterstützt.

Faktor 1: Einhaltung von Gesetzen und Vorschriften zur Finanzkriminalität

Die Einhaltung der geltenden Gesetze und Vorschriften ist die Grundlage eines FCRM-Programms unter der Verantwortung des FI-Managements und stellt den ersten der Wolfsberg-Faktoren dar. Folglich sollten die in Gesetzen und anderen Vorschriften dargelegten Anforderungen einen Schwerpunkt der Aktivitäten der Innenrevision bilden.

Grundsatz 1

Die Innenrevision sollte beurteilen, dass die schriftlich fixierte Ordnung bzw. die Governance-Dokumente [^7] alle relevanten Anforderungen lokaler Gesetze und Vorschriften erfüllt. Auch sollte sich die Innenrevision ein Bild davon machen, ob das FI über wirksame Kontrollen verfügt, um die Einhaltung dieser Anforderungen sicherzustellen.

Das FI sollte geeignete Vorkehrungen treffen, um die aktuellen rechtlichen Anforderungen an das FCRM stets im Blick zu haben. Die Anforderungen gelten für all FI, die ähnliche Tätigkeiten ausüben oder in denselben Rechtsgebieten tätig sind, gleichermaßen.

Maßnahmen

**1.1. Das FI kann nachweisen, dass die lokalen Gesetze und Vorschriften zur Finanzkriminalität in den Governance-Dokumenten des FI berücksichtigt wurden. **

Dies ist eine Aufgabe, die von einem FI entweder intern oder mit Hilfe von externem Fachwissen durchgeführt wird. Wenn ein FI beschlossen hat, eine weltweit einheitliche Richtlinie zu erstellen, die einen höheren Standard vorschreibt als die lokalen Gesetze oder Vorschriften, sollte der höhere Standard angewandt werden, es sei denn, es besteht ein Konflikt mit den lokalen Gesetzen oder regulatorischen Erwartungen. Bestimmte Rechtsordnungen können höhere oder niedrigere Standards als die Konzernrichtlinie haben, und die interne Revision sollte in der Lage sein, die Kontrollen jeder Einheit auf der Grundlage der für die jeweilige Rechtsordnung/Funktion geltenden Standards zu beurteilen. In Fällen, in denen die lokalen Anforderungen von den globalen Standards abweichen, sollte ein Verfahren eingeführt werden, um diese Abweichungen festzustellen, zu überwachen und nach zu verfolgen.

**1.2. Das FI kann nachweisen, dass die Kontrollen, die den Governance-Dokumenten zugeordnet sind, wirksam konzipiert und implementiert wurden. **

Das Grundprinzip besteht darin, dass das für die Steuerung der Risiken im Zusammenhang mit Finanzkriminalität verantwortliche Management des FI, angemessene und nachhaltige Kontrollen entwickelt und einführt. Diese werden dann durch die interne Revision geprüft. Das FI sollte in der Lage sein, nachzuweisen, dass ihr Kontrollrahmenwerk mit den Anforderungen der lokalen Gesetze und Vorschriften übereinstimmt und die grundlegenden regulatorischen Anforderungen erfüllt.

**1.3. Das FI ist in der Lage, einen geordneten Prozess nachweisen, durch den die Angemessenheit des FCRM-Programms mit Blick auf die regulatorischen Anforderungen beurteilt werden kann. **

Das unter 1.1 beschriebene Verfahren muss regelmäßig oder anlassbezogen aktualisiert werden, um z.B. regulatorische Änderungen zu berücksichtigen. Etwaige regulatorische Lücken sollten identifiziert und Aktionspläne zur Behebung entworfen werden. Die Abarbeitung sollte die identifizierte Lücke vollständig schließen. Die Aufsicht über diese Prozesse sollte von einem geeigneten Governance-Forum wahrgenommen werden.

Faktor 2: Einrichtung eines angemessenen und risikobasierten Kontrollinventars

Ein FI muss die Anforderungen an das Risikomanagement erfüllen, die aus spezifischen und detaillierten rechtlichen Vorschriften resultieren (Grundsatz 1), sowie Anforderungen, die aus allgemeinen rechtlichen Grundsätzen ableitbar sind (Grundsatz 2). Ein FI muss sich im Klaren sein, (a) welchem Finanzkriminalitätsrisiko das FI aufgrund seiner Geschäftsstrategie und seinem Betriebsmodell ausgesetzt ist, (b) welche Erwartungen die Aufsichtsbehörden haben und c) was der Risiko Appetit des FI ist. Nur mit diesem umfassenden Verständnis und mit ausreichendem Fachwissen in allen drei Verteidigungslinien, wie ein wirksames und risikobasiertes FCRM-Programm aufgebaut und aufrechterhalten werden kann, ist das FI in der Lage, ein Kontrollinventar zu konzipieren, das risikobasiert und den Risiken angemessen ist und das es dem FI ermöglicht, innerhalb des festgelegten Risiko Appetits zu operieren. Auf diese Weise verringert ein FI das Risiko, dass seine Produkte und Dienstleistungen für kriminelle Aktivitäten genutzt werden, und erfüllt damit seine Rolle beim Schutz der Integrität des globalen Finanzsystems. Dies ist der zweite der Wolfsberg-Faktoren [^8].

Grundsatz 2

Die Innenrevision sollte beurteilen, ob das FI über gut konzipierte, angemessene und risikobasierte Kontrollen verfügt, und dann die Wirksamkeit der Kontrollen bewerten.

Das Risiko der Finanzkriminalität und die Risikobereitschaft variieren je nach FI, was sich auf die Prozesse und Kontrollen auswirkt, die ein FI einführt, um diese Risiken zu mindern und innerhalb seiner Risikobereitschaft zu operieren. Das FCRM ist ein dynamischer Bereich, der die kontinuierliche Anwendung solider Risikomanagementpraktiken mit einer Priorisierung der Ressourcen und einer angemessenen Finanzierung erfordert, um das Risiko im Einklang mit der Risikobereitschaft zu steuern. Das FI muss über genügend Fachleute verfügen, um ein proaktives, wirksames, risikobasiertes FCRM-Programm aufzubauen und zu betreiben. In diesem Zusammenhang ist der Begriff "Kontrollinventar" weitegfasst. Er beinhaltet den FI internen Kontrollrahmen des FCRM einschließlich Risikobereitschaft, schriftlich fixierte Ordnung, Verfahren, Prozesse und Kontrollen, die das Risiko von Finanzkriminalität mindern sollen.

Maßnahmen

**2.1 Das FI kann nachweisen, dass seine Kontrollen so konzipiert sind, dass sie die in der Risikoanalyse ermittelten und dokumentierten Risiken angemessen abdecken [^9]. **

Urteilsvermögen ist erforderlich bei der Entscheidung, wie die Kontrollabdeckung in einer sinnvollen und dem Risiko angemessenen Weise zu erfolgen hat und auch bei notwendigen Anpassungen dieser Abdeckung infolge einer veränderten Bedrohungslage oder veränderter regulatorischer Erwartungen.

**2.2 Das FI kann nachweisen, dass das Kontrollsystem wirksam ist. **

Zusammen mit Maßnahme 1.2 zielt diese Maßnahme auf die Prüfung der definierten Kontrollen durch die interne Revision ab. Maßnahme 1.2 zeigt die Übereinstimmung mit den relevanten Gesetzen und Vorschriften, während Maßnahme 2.2 die darlegt, wie die Gesetze und Vorschriften eingehalten werden. Es ist zwar nicht vorgeschrieben, Kontrollen den einzelnen Vorschriften zuzuordnen, aber hilfreich ist es doch, um frühzeitig Anpassungsbedarf bei der Kontrollstrategie zu erkennen.

**2.3 Das FI kann nachweisen, dass es einen ausreichend geregelten Prozess für Änderungen an seinen Kontrollmechanismen hat und dass dieser Prozess das Risiko der Finanzkriminalität angemessen berücksichtigt. **

Änderungen an den Kontrollen eines FI sind notwendig, um Veränderungen der Geschäftsstrategie, bei Gesetzen, Vorschriften und neuen Bedrohungen durch Finanzkriminalität gerecht zu werden. Darüber hinaus können Verbesserungen der Kontrollen das Ergebnis einer laufenden Prüfung sein, einschließlich der Identifizierung unwirksamer oder redundanter Kontrollen. Änderungen können die Ausweitung und die Einführung neuer Kontrollaktivitäten (z. B. im Zusammenhang mit einem neuen Produkt) oder die Beendigung, Reduzierung oder Umgestaltung bestehender Kontrollaktivitäten (z. B. solche, die redundant sind) umfassen. Die Innenrevision prüft und validiert die Änderungen unabhängig, um sicherzustellen, dass angemessene Governance-Prozesse eingehalten wurden, und um zu bestätigen, dass das FI ein angemessenes und risikobasiertes Kontrollinventar unterhält, das durch die Innenrevision kritisch hinterfragt wird. Im Rahmen ihrer Bewertung der Wirksamkeit der Kontrollen sollte die Innenrevision auch die Gelegenheit nutzen, darauf hinzuweisen, dass die Kontrollen nicht zu den beabsichtigten Ergebnissen des Risikomanagements führen oder einfach nicht mehr relevant sind.

Faktor 3: Bereitstellung von sehr nützlichen Informationen

Der dritte Wolfsberg-Faktor konzentriert sich auf die Rolle eines FI, das durch die Bereitstellung relevanter Informationen, die Strafverfolgungsbehörden und die zuständigen staatlichen Stellen unterstützt, die Gesellschaft vor Schaden zu bewahren. Der Faktor bezieht sich auf Informationen, die ein FI über gesetzliche Meldemechanismen wie das Verdachtsmeldewesen [^10], sowie über Kooperationen, wie staatlich geförderter Informationsaustausch mit der Industrie (d. h. öffentlich-private Partnerschaften (ÖPP)), bereitstellt. Der Schwerpunkt liegt hier auf der Bereitstellung nützlicher Informationen durch die FI. Mit anderen Worten: Es geht um die Qualität und den Nutzen der ausgetauschten Informationen und nicht um das Vorhandensein der Informationen oder die rein technische Konformität.

Grundsatz 3

Ein FI kann quantitative und/oder qualitative Indikatoren für die Weitergabe von besonders nützlichen Informationen an die zuständigen staatlichen Stellen festlegen.

Die FI können selbst definieren, was sie als besonders nützliche Informationen ansehen, und nach eigenem Ermessen Indikatoren entwickeln, die systematisch auf ihre Informationsaustausch- und Berichterstattungsaktivitäten angewendet werden können. Dazu können quantitative und qualitative Indikatoren zählen, und obwohl solche Indikatoren wahrscheinlich kein objectives Maß für die Nützlichkeit der zur Verfügung gestellten Informationen darstellen, können sie als Indikator für die Wirksamkeit des Informationsaustauschs herangezogen werden.

Es ist verständlich, dass die Einholung von Rückmeldungen von staatlichen Stellen zu den eingereichten Berichten eine Herausforderung darstellt. FI-Indikatoren können, wenn sie erstellt werden, Informationen liefern, die es der Innenrevision und den staatlichen Stellen ermöglichen, die Bemühungen einer Institution zur Erfüllung dieses Grundsatzes zu bewerten. Wenn sich ein FI für die Entwicklung dieser Indikatoren entscheidet, können die folgenden Maßnahmen bei ihrer Pflege und Verwendung hilfreich sein.

Maßnahmen

**3.1 Das FI kann die Entwicklung von verlässlichen und geeigneten Indikatoren in Erwägung ziehen, anhand derer seine Leistung bei der Bereitstellung nützlicher Informationen an die zuständigen staatlichen Stellen in bestimmten Schwerpunktbereichen bewertet werden kann. [^11] **

Die Entwicklung und Umsetzung solcher Indikatoren wird für viele FI, ihre Innenrevision und ihre Aufsichtsbehörden neu sein, so dass sich die anfängliche Bewertung möglicherweise auf die notwendigen Transformationsbestrebungen selbst konzentrieren muss. Für die Branche besteht die Möglichkeit, weitere Arbeiten durchzuführen, um bewährte Praktiken zu ermitteln und die Konsistenz der wichtigsten Indikatoren zu fördern, wo immer dies möglich ist.

**3.2 Das FI kann nachweisen, dass es die von ihm selbst festgelegten Indikatoren erhebt. Die FI können in Erwägung ziehen, interne Standards oder Leitlinien für die Erhebung dieser Form von Managementinformationen aufzustellen. **

Wenn das FI interne Standards und Richtlinien aufgestellt hat, kann die Innenrevision diese verwenden, um zu beurteilen, ob das FI die Informationen in Übereinstimmung mit diesen Standards und Richtlinien sammelt. Dies wird dem FI helfen, mit seinen Aufsichtsbehörden und Strafverfolgungsbehörden Gespräche über die Wirksamkeit des FCRM-Programms zu führen und auch die Ausgewogenheit der für die Erreichung jedes der drei Grundsätze notwendigen Ressourceneinsatzes zu hinterfragen.

**3.3 Das FI kann der Aufsicht nachweisen, dass es eine formale Governance gibt, um die Bereitstellung besonders nützlicher Informationen an die staatlichen Stellen zu beurteilen. **

So könnte ein FI in seiner bestehenden Berichterstattung an den Vorstand und in den Gesprächen mit diesem auch erläutern, wie nützliche Informationen an die Strafverfolgungsbehörden weitergeleitet wurden, mit Beispielen dafür, wie die Informationen zum gesellschaftlichen Nutzen beigetragen haben. Dies könnte es einem FI ermöglichen, den Einfluss besser zu verstehen, den es in diesem wichtigen Bereich hat, in den es auch erhebliche Ressourcen investiert.

Schlussfolgerung

Bei der Festlegung dieser Grundsätze ist die Gruppe der Ansicht, dass die Innenrevision die jeweiligen FI bei der Bekämpfung der Finanzkriminalität bestmöglich unterstützen können, indem sie die Wirksamkeit des FCRM anhand der Wolfsberg-Faktoren beurteilen. Auf diese Weise wird die Innenrevision nicht nur ein effectives FCRM innerhalb der FI fördern, sondern auch die Aufsichtsbehörden dabei unterstützen, die das FCRM der beaufsichtigten Unternehmen und der Branche als Ganzes zu bewerten.

*Dieses Dokument wurde von einer Maschine übersetzt und von einem Muttersprachler Korrektur gelesen. Bei Unstimmigkeiten zwischen dieser und der englischen Fassung ist letztere maßgebend. *

[^4]: Innenrevisions--Funktionen können die Ergebnisse ihrer Arbeit auf unterschiedliche Art und Weise zum Ausdruck bringen, z. B. durch die Veröffentlichung von Audit-Berichten, die Durchführung einer kontinuierlichen Überwachung, das Berichten von Echtzeit-Feststellungen usw. [^5]: Die erste und zweite Verteidigungslinie sind auch für die Bewertung der Wirksamkeit der Kontrollen zuständig. [^6]: Der Industriestandard ist mindestens jährlich, gemäß Standard 2010.A1 der Internationalen Standards für die berufliche Praxis der Internen Revision, herausgegeben vom Institute of Internal Auditors. [^7]: Der Begriff "Governance-Dokumente" umfasst mindestens Richtlinien und Verfahren; weitere Dokumente hängen davon ab, wie jedes FI seine umfassenderen Anforderungen an die Governance-Dokumentation festgelegt hat; dazu könnten u. a. Standards, Leitfäden, Desktop-Betriebsanweisungen und technische Benutzerhandbücher gehören. [^8]: Siehe Fußnote 2 [^9]: Diese Maßnahme ist das Gegenstück zu Maßnahme 1.1, die sich auf die normativen Anforderungen von Gesetzen und Verordnungen konzentrierte und die auf dem Urteilsvermögen der Finanzintermediäre basierenden Anforderungen einbezieht (z. B. die Auslegung dessen, was es bedeutet, über "angemessene Kontrollen" zu verfügen, eine "Risikobereitschaft" zu definieren, die "Erwartungen der Aufsichtsbehörden" zu interpretieren und festzulegen, was "verdächtige Aktivitäten" sind). [^10]: Die Wirksamkeit der Unterstützung eines Finanzintermediärs für die nationale Sicherheit und außenpolitische Ziele kann auch dadurch belegt werden, dass keine Meldungen an die zuständigen Regierungsbehörden erfolgen, z. B. durch das Fehlen von nachgelagerten Verboten, Vorladungen oder Sperrung von Vermögenswerten. [^11]: Weitere Informationen zur Risikobewertung in bestimmten Schwerpunktbereichen finden Sie in der Erklärung der Wolfsberg-Gruppe zum Nachweis der Wirksamkeit.

Footnotes

  1. Der in den Grundsätzen und Maßnahmen verwendete Begriff "FI" bezieht sich auf die erste und zweite Verteidigungslinie im Unterschied zur Internen Revision.

  2. Die Reihenfolge der Faktoren zwei und drei wurde im Vergleich zur Erklärung zur Wirksamkeit der Wolfsberg-Gruppe 2019 umgedreht. Dies sorgt für einen kohärenteren Ablauf der Faktoren bei der Anwendung auf ein Auditprogramm in diesem Dokument.

  3. Der Begriff "staatliche Stellen" umfasst die Strafverfolgungs- und Sicherheitsbehörden sowie die Behörden, die für den Schutz ihrer Gemeinschaften vor den in den FI-Berichten genannten Schäden verantwortlich sind.

Back to Effectiveness