Die FINMA verlangt gestützt auf Art. 25 Abs. 2 GwV-FINMA, dass Finanzintermediäre eine Risikoanalyse unter den Aspekten der Geldwäscherei und der Terrorismusfinanzierung erstellen und deren periodische Überprüfung sicherstellen. Daraus ergibt sich die Pflicht die Geldwäschereirisiken, denen ein Finanzintermediär ausgesetzt ist, zu identifizieren, erfassen, analysieren und bemessen. Dies beinhaltet ebenfalls die Festlegung einer Risikotoleranz mit Schwellenwerten. Zur Umsetzung müssen sich die Betroffenen vertieft mit der Struktur ihrer Geschäftsbeziehungen und den Risiken, denen sie ausgesetzt sind, auseinandersetzen.

Im Frühjahr 2023 hat die FINMA eine Prüfung bei über 30 Banken zu deren Risikoanalysen durchgeführt. Dabei stellte sie fest, dass eine grosse Zahl der geprüften Risikoanalysen Defizite aufwiesen. Insbesondere wurden die folgenden Punkte bemängelt:

• Fehlender Ausschluss bestimmter Länder, Kundensegmente und Dienstleistungen und/oder Produkte
• Prozess zur Abweichung von der definierten Risikotoleranz («Exception-to-Policy») fehlt
• Keine Definition von Schlüsselrisikoindikatoren

Die FINMA erwartet von sämtlichen Finanzintermediären, dass sie sämtliche Geldwäschereirisiken, denen sie ausgesetzt sind, identifizieren, analysieren und bemessen. Basierend auf diesen Erkenntnissen hat der Finanzintermediär Massnahmen zur Bewirtschaftung, Steuerung, Kontrolle, Rapportierung und Überwachung zu definieren. Hierfür sind sämtliche in Art. 25 Abs. 2 GwV-FINMA genannten Kriterien heranzuziehen:

• Sitz oder Wohnsitz der Kunden oder des Kunden
• Kundensegment
• Produkte und Dienstleistungen
• geographische Präsenz des Instituts (genannt im Erläuterungsbericht zur Teilrevision der GwV-FINMA vom 11. Februar 2015)

Für jedes relevante Geldwäschereirisiko ist das inhärente Risiko, Kontrollrisiko und das residuale Risiko einzeln und nachvollziehbar aufzuzeigen. Hierfür sind Kennzahlen aus den durchgeführten Kontrollen beizuziehen.

Weiter hat der Finanzintermediär für die in Art. 13 Abs. 2 GwV-FINMA genannten Kriterien, die auf eine Geschäftsbeziehung mit erhöhten Risiken hinweisen, festzuhalten, ob diese für seine Geschäftstätigkeit relevant sind, und berücksichtigt die Relevanten für die Ermittlung seiner Geschäftsbeziehungen mit erhöhtem Risiko. Er hat mindestens die folgenden Risikokriterien heranzuziehen:

• Sitz oder Wohnsitz der Vertragspartei, Kontrollinhaber oder wirtschaftlich Berechtigten
• Art und Ort der Geschäftstätigkeit der Vertragspartei oder wirtschaftlich Berechtigten
• Fehlen eines persönlichen Kundenkontakt
• Angebotene Produkte und Dienstleistungen
• Höhe der eingebrachten Vermögenswerte
• Höhe der Zu- und Abflüsse von Vermögenswerten
• Herkunfts- und Zielländer häufiger Zahlungen
• Komplexität der Strukturen
• Häufigkeit der Transaktionen mit erhöhten Risiken

Ein Geldwäschereirisiko gilt dann als relevant, wenn eine bedeutende Anzahl von Geschäftsbeziehungen betroffen ist. Dafür sind Kennzahlen und Erkenntnisse hinsichtlich der Effektivität der durchgeführten Kontrollen beizuziehen. Diese Relevanzbeurteilung muss für Dritte nachvollziehbar sein.

Die GwG-Risikoanalyse ist schriftlich festzuhalten und durch das oberste Geschäftsführungsorgan oder den Verwaltungsrat zu verabschieden, da die Risikoanalyse auch für die Risikopolitik und die Festlegung der strategischen Zielmärkte und Kundensegmente relevant ist.

Die Risikoanalyse ist regelmässig zu überprüfen, indem Kennzahlen für die Bestimmung der jeweiligen Risikoexposition und Einhaltung der Strategie/Risikopolitik sowie Risikolimiten zur Überwachung der Risikotoleranz definiert werden. Falls die Risikotoleranz überschritten wird, sind erforderlichen Massnahmen zu ergreifen. Anhand des Vergleichs zum Vorjahr sind die Änderungen der Risiken nachvollziehbar darzulegen. Zudem hat sich der Finanzintermediär bezüglich der qualitativen und quantitativen benötigten Ressourcen zur Gewährleistung und Umsetzung des Geldwäschereidispositivs der Bank kritisch zu hinterfragen, damit dieser bei Bedarf angepasst werden kann.

Die Erstellung der GwG-Risikoanalyse obliegt der Geldwäschereifachstelle oder einer anderen unabhängigen Stelle. Obwohl sich die Aufsichtsmitteilung der FINMA in erster Linie an die Banken richtet, macht sie auch klar, dass diese Regelung auch für Institute nach dem FINIG gelten.

Finanzintermediäre sollten überprüfen, ob ihre GwG-Risikoanalysen den regulatorischen Anforderungen genügen und diese bei Bedarf anpassen.

Die Equilas AG unterstützt Banken und Vermögensverwalter in Legal & Compliance Belangen und stellt unter anderem eine Mustervorlage für die GwG-Risikoanalyse zur Verfügung. Hier geht’s zum Angebot.