AML Risikomanagement - Der Faktor Mensch in der Compliance

Compliance-Manager in Finanzinstituten wissen, dass der Schutz vor operationellen Risiken mehr als nur eine Vorschrift ist. Die Verantwortung, die Geschäftstätigkeit und die regulatorischen Anforderungen in Einklang zu bringen, fordert Tag für Tag den Blick auf das grosse Ganze im 360° Blick. Doch wie lassen sich operationelle Risiken effektiv managen, wenn der Faktor Mensch immer wieder im Mittelpunkt steht?

Das Risikomanagement eines Finanzinstituts wird stark von operationellen Risiken beeinflusst. Diese umfassen alle Risiken, die sich aus internen Prozessen, Systemen, Menschen oder externen Ereignissen ergeben und die Stabilität und den Erfolg des Instituts gefährden können.

Die tägliche Arbeit von Compliance Verantwortlichen wird daher von Fragen zum operationellen Risiko bestimmt. Wie kann der gesamte Lebenszyklus einer Bank - von der Einstellung einer Mitarbeiterin oder eines Mitarbeiters bis zur Auflösung einer Kundenbeziehung - lückenlos und risikofrei überwacht werden? Welche Prozesse müssen eingehalten werden, um die Interessen der Bank, ihrer Kunden und ihrer Mitarbeitenden zu schützen? Wer trägt die Verantwortung, wenn Risiken eintreten? Sind alle Unwägbarkeiten kalkulierbar?  

Kunden, Zeichnungsberechtigte, Vertriebspartner, Käufer und Verkäufer von Gütern und Dienstleistungen, Mitarbeitende und viele andere Personen, die neudeutsch Ultimate Beneficial Owner, Stakeholder oder ähnlich genannt werden, sind ausserdem seit Jahren ein Thema für Unternehmen im Allgemeinen und für Banken im Besonderen. Diese zu verifizieren sind nun unumgänglich geworden. 

Risiken die Finanzinstitute im Blick haben sollten

Der Ruf einer Bank kann durch verschiedene Quellen in Verbindung mit politisch exponierten Personen (PEPs) erheblichen Schaden nehmen. PEPs sind hochrangige Amtsträger, ihre Familienmitglieder oder enge Vertraute, und stellen aufgrund ihrer Position ein erhöhtes Risiko für Korruption und Geldwäsche dar. Werden Banken mit fragwürdigen PEP-Transaktionen in Verbindung gebracht, drohen nicht nur finanzielle Strafen, sondern auch ein schwerer Imageschaden.

Risiko: Reputationsschäden

1. Mangelhafte Due Diligence
Wenn Banken bei der Aufnahme oder Betreuung von PEPs nicht sorgfältig genug prüfen, ob Risiken bestehen, kann das fatale Folgen haben. Wird eine Bank beispielsweise mit einer PEP in Verbindung gebracht, die später wegen Korruption angeklagt wird, leidet ihr Ansehen erheblich.

2. Unzureichende Transaktionsüberwachung
Verdächtige Geldströme müssen erkannt und gemeldet werden. Werden Banken nachlässig und übersehen auffällige Transaktionen von PEPs, kann dies Ermittlungen und negative Berichterstattung nach sich ziehen.

3. Verstösse gegen regulatorische Vorgaben

Finanzaufsichtsbehörden wie die BaFin, FINMA oder FCA haben strenge Vorschriften für den Umgang mit PEPs. Werden diese nicht eingehalten, drohen hohe Geldstrafen und ein erheblicher Vertrauensverlust bei Kunden und Investoren.

4. Negative Medienberichte und Whistleblower-Enthüllungen

Adverse Media, Social Media, künstliche Intelligenz, einschliesslich Fakes und Deep Fakes, stellen weitere Herausforderungen dar. Skandale rund um PEPs und Banken geraten schnell in die Schlagzeilen. Whistleblower, investigativer Journalismus und Leaks wie die „Panama Papers“ oder „FinCEN Files“ haben bereits mehrfach gezeigt, wie schädlich eine Verbindung zu fragwürdigen PEPs für Banken sein kann.

Machen Sie wirklich Geschäfte mit Personen, die zu Unrecht einen schlechten Ruf haben?

Risiko: unzählige PEPs weltweit

Die genaue Zahl der PEPs ist schwer zu bestimmen, da die Definition von PEPs je nach Land unterschiedlich ist. Schätzungen zufolge gibt es weltweit über 3,1 Millionen PEPs, die in spezialisierten Datenbanken wie denen von LSEG World-Check oder Dow Jones Factiva erfasst sind. Die Panama Papers, die Cyprus Papers und viele andere haben in den verschiedensten Branchen für negative Schlagzeilen gesorgt. Machen Sie tatsächlich Geschäfte mit Personen, die einen schlechten Ruf haben?

Banken müssen den Umgang mit PEPs äusserst ernst nehmen. Eine solide Due-Diligence-Strategie, strenge interne Kontrollen und ein proaktiver Ansatz zur Einhaltung gesetzlicher Vorgaben sind entscheidend, um Reputationsrisiken zu minimieren. Wer hier fahrlässig handelt, riskiert nicht nur hohe Strafen, sondern auch den langfristigen Verlust von Kundenvertrauen.

Risiko: Rasant steigende Anzahl der Sanktionen 

Die genaue Anzahl der weltweit aktuell verhängten Sanktionen ist zwar schwer festzustellen, da sie ständig variiert und von verschiedenen Ländern und Organisationen unterschiedlich erfasst wird. Allerdings gibt es einige Schätzungen, die einen Überblick bieten:

• Gegen Russland: Bis zum Beginn des Krieges gegen die Ukraine am 24. Februar 2022 waren etwa 2.500 Sanktionen in Kraft; seither kamen bis Ende Februar 2024 in bis zu 14.500 weitere hinzu. Seit Juni 2024 hat die Europäische Union ihre Sanktionen gegen Russland weiter verschärft, um auf den anhaltenden Angriffskrieg in der Ukraine zu reagieren und die Umgehung bestehender Massnahmen zu verhindern. Dabei wurden auch gezielte Massnahmen gegen Unternehmen gestartet, die durch Finanztransaktionen und Lieferungen verbotener EU-Waren gegen die bestehenden Sanktionen verstossen haben. Im Dezember 2024 wurde das 15. Sanktionspaket erlassen. Sanktionen gegen 52 weitere Schiffe, die an der Umgehung von Ölsanktionen beteiligt sind, um den illegalen Transport von sanktionierten Gütern zu unterbinden. Die Sanktionsliste wurde durch die Listung von 84 zusätzlichen Personen und Einrichtungen erweitert, darunter erstmals auch chinesische Akteure, die Russland militärisch unterstützen.

• Weltweit: Etwa 70 Länder stehen derzeit unter Sanktionen, mit ungefähr 200 aktiven Sanktionsprogrammen. 

Diese Zahlen verdeutlichen die umfangreiche Anwendung von Sanktionen als Instrument der internationalen Politik. Und Sanktionen werden fortlaufend verschärft.

Machen Sie nun Geschäfte mit sanktionierten Personen?

Risiko: Interne und externe Faktoren, die das Risikomanagement beeinflussen

Zahlreiche interne und externe Faktoren beeinflussen das Risikomanagement eines Finanzinstituts. Diese Faktoren bestimmen, wie Risiken identifiziert, bewertet, gesteuert und überwacht werden. Nachfolgend ein Überblick:

1. Interne Faktoren

1.    Unternehmensstrategie
Die Risikobereitschaft (Risk Appetite) und die strategischen Ziele der Institution beeinflussen, welche Risiken sie eingeht.
2.    Organisationsstruktur
Zentralisierte oder dezentralisierte Strukturen können die Effizienz und Verantwortlichkeiten im Risikomanagement beeinflussen.
3.    Risikokultur
Die Einstellung der Mitarbeiter und Führungskräfte zu Risiken und zur Einhaltung von Vorschriften spielt eine Schlüsselrolle.
4.    IT-Systeme und Datenqualität
Hochentwickelte Systeme und verlässliche Daten sind entscheidend für die Risikomodellierung und das Berichtswesen.
5.    Finanzielle Ressourcen
Eine solide Kapitalausstattung und Liquiditätspuffer beeinflussen die Fähigkeit, Risiken zu tragen und abzufedern.

2. Externe Faktoren

1. Regulatorische / Compliance Anforderungen
Vorschriften wie Basel III, Solvency II, MiFID II oder die Anforderungen der Europäischen Zentralbank (EZB) und der BaFin (in Deutschland), FINMA (Schweiz), FMA (Liechtenstein), FMA (Österreich) setzen Rahmenbedingungen für das Risikomanagement. Und nun sorgt die neue Anti-Geldwäsche-Behörde der EU mit Sitz in Frankfurt, kurz AMLA, für die Bekämpfung der Geldwäsche und der Finanzierung des Terrorismus sowie das EU Single-Rulebook für eine verschärfte Kontrolle.

2. Marktentwicklung
Zinsschwankungen, Währungsbewegungen und Volatilität auf den Kapitalmärkten beeinflussen die Risikopositionen.
3. Wirtschaftliches Umfeld
Faktoren wie Inflation, Rezession oder geopolitische Unsicherheiten wirken sich auf die Kreditqualität und andere Risiken aus.
4. Technologische Innovationen
Entwicklungen wie Künstliche Intelligenz (KI), Blockchain oder Cyberrisiken eröffnen neue Chancen, aber auch Herausforderungen.
5. Wettbewerbsdruck
Institutionen müssen innovative Produkte anbieten, was oft mit zusätzlichen Risiken verbunden ist.
6. Klimarisiken
Umwelt- und soziale Risiken, wie der Übergang zu einer CO₂-neutralen Wirtschaft, gewinnen an Bedeutung (ESG-Risiken).

Ein effektives Risikomanagement erfordert folglich die Berücksichtigung aller Faktoren und eine kontinuierliche Anpassung an die dynamischen Veränderungen. Transparenz, Resilienz und der Einsatz moderner Technologien stehen dabei im Mittelpunkt. Aber kommen wir zurück zu den operationellen Risiken.

Was sind operationelle Risiken?

Unter dem operationellen Risiko versteht man die Gefahr von Verlusten, die durch operationelle Risiken verursacht werden, wie z. B. durch:

• Unangemessene, fehlerhafte Prozesse: Unzureichende Kontrollen, ineffiziente Abläufe oder falsche Entscheidungen.
• Das Versagen von internen Verfahren, Systemen und technologischen Ausfällen: IT-Systemstörungen, Cyberangriffe oder veraltete Technologien.
• Menschliche Fehler: Unachtsamkeit, mangelnde Schulung oder absichtliches Fehlverhalten (z. B. Betrug).
• Externe Ereignisse: Naturkatastrophen, Pandemien oder geopolitische Ereignisse.

Wir halten es daher für notwendig, Prozesse zu implementieren, die die Angemessenheit von Entscheidungen sicherstellen, Fehler durch Menschen oder Systeme verhindern, externe Ereignisse so weit wie möglich abschwächen sowie eine korrekte und vollständige Erfassung und Berichterstattung von Risiken auf allen Ebenen einer Organisation ermöglichen.

Von aussen nach innen: Der Fokus auf Geschäftsbeziehungen

Legen wir den Fokus auf «operationelle Risiken im 360° Blick» und durchleuchten das Risikomanagement im Ansatz „von aussen nach innen“. Geschäftspartner und Drittbeziehungen einer Bank sollten genau auf mögliche Schwachstellen untersucht werden. Dies ist insbesondere im Rahmen der Third Party Due Diligence von zentraler Bedeutung, um die Bank vor unvorhergesehenen Risiken zu schützen. Doch der Blick geht weiter: Es gilt, das gesamte Compliance-Ökosystem zu beleuchten.

360°-Blick: Vom Onboarding bis zum Offboarding

Der Mensch im Mittelpunkt

Und was passiert, wenn wir das Risikomanagement umdrehen? Der Blick richtet sich nicht mehr nach aussen, sondern nach innen. Im Zentrum stehen die Menschen in der Bank. Das ermöglicht eine 360°-Sicht, denn jeder Compliance-Verantwortliche weiss: Die Mitarbeitenden und ihr Handeln stehen in direktem Zusammenhang mit Compliance. Vom Onboarding bis zum Offboarding gilt es sicherzustellen, dass Rechte und Pflichten klar sind, Interessenkonflikte vermieden und Compliance-Regeln eingehalten werden.

Die internen Einflussfaktoren auf operationelle Risiken im Überblick

1.    Komplexität der Organisation
Umfangreiche Geschäftsprozesse und internationale Aktivitäten erhöhen die Anfälligkeit für Prozess- und Systemfehler.
2.    Risikokultur
Fehlendes Bewusstsein oder mangelnde Kommunikation von Risiken auf allen Ebenen der Organisation kann zu erheblichen Schäden führen.
3.    IT- und Cyber-Risiken
Schwächen in der IT-Infrastruktur oder unzureichender Schutz vor Cyberangriffen stellen wesentliche Bedrohungen dar.
4.    Mitarbeiterqualifikation
Unzureichend geschultes Personal oder hohe Fluktuation erhöhen die Fehlerwahrscheinlichkeit.
5.    Kontrollsysteme
Ineffiziente oder lückenhafte Kontrollmechanismen erschweren die Früherkennung von Risiken.

Ein Praxisbeispiel zum Faktor Mensch

Wenn Vertrauen der Schlüssel ist

Stellen Sie sich vor, ein Mitarbeiter Ihrer Bank ist für das Onboarding eines neuen Geschäftspartners verantwortlich. Der Compliance-Prozess läuft ordnungsgemäss ab, aber die Transaktionsüberwachung zeigt später Unregelmässigkeiten. Ein Grund dafür kann sein, dass die Prüffristen zu lang sind und die Abarbeitung der Transaktionsalarme nicht risikoorientiert erfolgt. Hier zeigt sich die Bedeutung eines umfassenden Systems, das nicht nur den aktuellen Zeitpunkt, sondern den gesamten Lebenszyklus der Beziehung überwacht. Eine regelbasierte automatisierte Überwachung unterstützt den Compliance-Prozess und hilft dem Faktor Mensch definierte Fristen einzuhalten. Denn Vertrauen ist gut, Kontrolle ist notwendig.

Strategien zur Bewältigung operationeller Risiken

Operationelle Risiken gehören zu den komplexesten Herausforderungen für Finanzinstitute, da sie nahezu alle Bereiche betreffen. Ein effektives Risikomanagement muss interne Schwachstellen identifizieren, externe Einflüsse antizipieren und gleichzeitig robuste Präventions- und Reaktionsmassnahmen implementieren. Die Kombination aus technologischen Lösungen und einer starken Risikokultur ist der Schlüssel zum erfolgreichen Management dieser Risiken.

Ansätze zur Lösung operationeller Risiken

1. Prozessoptimierung und Automatisierung
Klare und schlanke Prozesse reduzieren Fehlerquellen und steigern die Effizienz.
2. IT-Sicherheit und Datenschutz
Investitionen in robuste IT-Systeme und Cybersicherheitsmassnahmen minimieren technologische Risiken.
3. Schulung und Sensibilisierung
Regelmässige Trainings und eine starke Risikokultur fördern das Bewusstsein für operationelle Risiken.
4. Notfallpläne und Business Continuity Management
Proaktive Vorbereitung auf unerwartete Ereignisse sichert den Geschäftsbetrieb.
5. Überwachung und Reporting
Einsatz moderner Technologien zur Echtzeit-Überwachung und Analyse von Risiken.

Die Herausforderung

Die schiere Menge und der schnelle Fluss von Daten, die für ein effizientes Risikomanagement erforderlich sind, können für Finanzinstitute überwältigend sein. Dieser Datenzufluss erfordert ausgeklügelte Systeme, die in der Lage sind, grosse Mengen an Informationen in Echtzeit zu verarbeiten und zu analysieren. Ohne solche Systeme könnten Organisationen Schwierigkeiten haben, mit dem Tempo der Datengenerierung Schritt zu halten und möglicherweise kritische Erkenntnisse zu verpassen, die zur Risikominderung beitragen könnten. Die Herausforderung besteht nicht nur darin, das Datenvolumen zu bewältigen, sondern auch sicherzustellen, dass die Daten genau, relevant und zeitnah sind, was entscheidend für fundierte Entscheidungen und die Einhaltung regulatorischer Standards ist.

Die Lösung: Compliance-Software als Unterstützung

Mehr Quellen, weniger Risiko

Laut einer Studie von Forrester Consulting aus dem Jahr 2023 belaufen sich die Gesamtkosten für FinCrime Compliance in der EMEA-Region auf 85 Milliarden US-Dollar. Das ist eine beträchtliche Summe. Fast 500 Entscheidungsträger von Finanzinstituten in der EMEA-Region, die für die FinCrime-Compliance-Strategie verantwortlich sind, gaben laut der Studie an, dass die drei grössten Kostentreiber wachsende FinCrime-Regelungen und regulatorische Erwartungen, steigende Anforderungen an Automatisierung, zusätzliche Daten und Tools für FinCrime-Compliance sowie stark zunehmende kriminelle Bedrohungen sind. Wählen Sie eine Software, die Sie beim Risikomanagement unterstützt und nutzen Sie zuverlässige Datenquellen, um Risiken besser zu erkennen und zu vermeiden.

MCO Pythagoras kann Ihnen dabei helfen durch die regulatorische Landschaft zu navigieren und sich gegen AML Risiken in 2025 zu wappnen.  

Sind Sie bereit mehr darüber zu erfahren? Buchen Sie noch heute eine Demo mit uns!

Bleiben Sie informiert!

Klicken Sie einfach auf NEWSLETTER ABONNIEREN* !

* Achtung, seit unserem internen Systemwechsel, brauchen wir eine erneute Bestätigung von Ihnen. Kontaktieren Sie uns, wenn Sie schon lange keinen Newsletter von uns erhalten haben, wir erneuern Ihr Abo gerne. Oder abonnieren Sie den Newsletter erneut.

Bitte bestätigen Sie auf jeden Fall Ihre Zustimmung durch einen weiteren Klick in der Email, die Sie nach absenden des Formulars erhalten. Schauen Sie auch im Spam-Ordner nach. Sie können Ihr Newsletter Abo jederzeit anpassen.

Und keine Sorge, wir versenden Newsletter in grossen Abständen und bündeln Neuigkeiten, wichtige Informationen, hilfreiche Tipps oder andere wertvolle Beiträge für Sie.