Die Themen Geldwäschebekämpfung (AML) und Know Your Customer (KYC) stehen nach der Veröffentlichung der 6. EU-Geldwäscherichtlinie (AMLD6) bei Banken weit oben auf der Agenda. Für große Häuser sind sie kosten- und personalintensiv, für kleinere Institute eine echte Herausforderung.
Nur fünf Monate nach der letzten Geldwäscherichtlinie veröffentlichte die EU mit der AMLD6 eine neue Version, die den gesetzlichen Rahmen noch einmal deutlich erweitert und die Fähigkeit der Mitgliedsstaaten zur Bekämpfung von Finanzkriminalität stärkt. Seit Februar 2021 gilt sie in Deutschland. Dass Aufdeckung und Bekämpfung von Finanzbetrug bei Regulierungsbehörden hohe Priorität besitzen, verwundert wenig: Der Internationale Währungsfonds schätzt das jährliche Geldwäschevolumen weltweit auf vier Billionen US-Dollar. Allein in der EU sind es mehrere Hundert Milliarden Euro oder rund 1,3 Prozent des Bruttoinlandprodukts. Und gerade einmal ein Prozent dieser Beträge können die Behörden sicherstellen.
Grundsätzlich ist das Problem der Geldwäsche nicht neu - aber der Druck auf die Institute steigt. Es existieren Methoden und Werkzeuge, um die nationalen und internationalen AML-Richtlinien und KYC-Prozesse effektiv abzubilden und Compliance herzustellen. Kleine und mittlere Banken stecken allerdings in einem Dilemma fest. Die umfassenden analytisch-datenbasierten Lösungen, wie sie Großbanken einsetzen, kommen aus wirtschaftlichen Gründen oft nicht infrage. Bei einem begrenzten Kundenportfolio sind die Kosten für ihre Implementierung vielfach nicht zu rechtfertigen.
Die konventionellen, starren Verfahren - im Allgemeinen mit viel manueller Arbeit verbunden - produzieren andererseits einen Aufwand, der sich mit den vorhandenen Ressourcen kaum stemmen lässt. Dazu kommt in diesem Fall eine geringere Zuverlässigkeit der Warnmeldungen sowie mangelnde Flexibilität bei der Anpassung von Regelwerken an regulatorische Veränderungen und neue Betrugsmethoden.
Kleine Banken kämpfen mit großer Zahl falsch-positiver Meldungen
Tatsache ist, dass das unmittelbare Problem vieler kleinerer und mittlerer Banken im Hinblick auf Geldwäschebekämpfung ganz einfach beschrieben werden kann: eine beträchtliche Anzahl von falsch-positiven Meldungen. Die Verpflichtung, jedem einzelnen Alert nachzugehen, schafft eine hohe und unproduktive Arbeitsbelastung für Sachbearbeiter. Eine Erhöhung der Alarmschwellen bei statischen, regelbasierten Prozessen zur Geldwäscheerkennung ist aber im Sinne der Compliance nicht opportun.
Fakt ist aber auch, dass die Regularien im Hinblick auf KYC und AML, zum Beispiel im Rahmen einer Kreditvergabe, äußerst komplex sind. Sie lassen sich nur dann wirtschaftlich abbilden, wenn viele Prozesse automatisiert ablaufen, etwa der Abgleich von Antragsstellern mit sogenannten Watchlists. Andere Prozesse wie die Erkennung auffälliger Zahlungsströme sind manuell fast gar nicht zu realisieren. Hier kommen aktuell verstärkt Verfahren auf der Basis von KI und ML zum Einsatz - Technologien, die bislang vor allem großen Instituten vorbehalten waren.
Anfroderungen an AML- und KYC-Technologien
Die Anforderungsprofile kleinerer Finanzinstitute weichen allerdings nicht drastisch von denen größerer Mitstreiter ab. Wie Letztere benötigen sie:
- Skalierbare Methodiken
Auch wenn es nicht um Millionen, sondern nur um Tausende oder Hunderte von Kunden und Konten geht, dürfen Banken bei der Methodik keine Abstriche machen. Sie brauchen erprobte Regelwerke hinsichtlich Risikoklassifizierung und Transaktions- und Verhaltensmonitoring, die transparent und revisionssicher gestaltet und regulatorisch, zum Beispiel Bafin-konform, sind, beispielsweise bezüglich der Verfolgung eines risikobasierten Ansatzes. Als vorteilhaft haben sich außerdem präproduktive Simulationsmöglichkeiten für neue Regeln erwiesen. - Ein System für die gesamte AML-Wertschöpfungskette
Von Know Your Customer über Customer Due Diligence bis hin zu Transaktionsmonitoring und Reporting. Das erlaubt eine kundenzentrische Trefferanalyse auch auf Transaktionspartnerebene (Nicht-Kunden). Damit wird zum Beispiel die Aufdeckung von Mule-Accounts möglich. - Ein benutzerfreundliches Alert- und Case-Management
Je weniger dedizierte Spezialisten zur Verfügung stehen, die sich in komplexe Systeme einarbeiten können, desto einfacher und möglichst automatisiert muss sich die Bedienung gestalten. - Einfach konfigurierbare und aussagekräftige Reportingfunktionalitäten für Management und FIU
Besonders wichtig sind dabei Schnittstellen zu relevanten Meldestellen, zum Beispiel via goAML für effiziente regulatorische Berichterstattung sowie übersichtliche Dashboards für das institutseigene Management. - Einen flexiblen Implementierungsansat
Gerade kleinere Häuser brauchen eine Ready-to-Use-Lösung, weitestgehend vorkonfiguriert, die bei Bedarf auch in der Cloud ausgeführt werden kann und so interne Ressourcen schont.
90 Prozent weniger Fehlalarme
Wie die Unterstützung kleinerer und mittlerer Finanzinstitute durch IT-Unternehmen wie SAS in der Praxis aussieht, zeigt das Beispiel der isländischen Landsbankinn mit rund 120.000 Retail- und etwa 14.000 Firmenkunden. Das Institut nutzte ein Screening-System, das jeden Tag etwa 1.000 falsch-positive Transaktionen meldete. Eine Menge, die eine manuelle Kontrolle fast unmöglich machte. Ziel der Bank war es, sich mit einem risikobasierten Ansatz auf wirklich verdächtige Fälle konzentrieren zu können. Das ist mit Advanced Analytics gelungen: Innerhalb von Monaten sank die Zahl auf etwa 100 Meldungen pro Tag. Dadurch kann sich die Bank jetzt gezielter den True Positives widmen.