In den vergangenen zwölf Monaten hat die Bafin teilweise zu drastischen Mitteln gegriffen, um die Maßnahmen zur Prävention von Geldwäsche durchzusetzen. Oft ist ein mangelhaftes Risikomanagement der Auslöser. Doch auch die Datenqualität kann hierfür ein Grund sein.
Ist die Datengrundlage schlecht, führt das in den AML-Systemen von Finanzdienstleistern zu falschen Alarmmeldungen. Das verursacht unnötige Mehrarbeit und Kosten.
Thapana_Studio / stock.adobe.com
Bei der Liste der Bafin-Maßnahmen, die ein Fachmedium aufgeschlüsselt hat, werden diese häufig mit organisatorischen Mängeln in der Geldwäscheprävention oder Lücken im Risikomanagement bei diversen Finanzinstituten begründet, wobei die Behörde Details zu den gefundenen Verstößen diskret behandelt. Dennoch ist die Wahrscheinlichkeit hoch, dass hier auch eine mangelhafte Datenqualität eine Rolle spielt.
Banken haben vielfältige Compliance-Vorgaben
Unabhängig vom Hersteller des Kernbankensystems, der für die Gesamtbankensteuerung eingesetzten Lösung oder dem dahinterstehenden Datenmodell eint die lizenzierten Institute in Deutschland die Verpflichtung, den vielfältigen Vorgaben zur Compliance zu entsprechen. Konkrete Leitplanken setzen
- die Bankenaufsichtlichen Anforderungen an die IT (BAIT),
- die von der European Banking Authority herausgegebene Leitlinie Guidelines on internal governance (EBA/GL/2017),
- die Mindestanforderungen an das Risikomanagement (MaRisk) und
- das vom Basel Committee on Banking Supervision (BCBS) herausgegebene Papier #239, das Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung festlegt.
Ein Institut muss jederzeit seine Risiken abschätzen, steuern und dokumentieren können. Die regelmäßig zu erstellenden Reportings müssen die Realität widerspiegeln.
AML und Risk-Management benötigen korrekte Daten
Anti-Money-Laundering (AML)-Maßnahmen, also Mittel zur Geldwäschebekämpfung, sind ein wichtiger Teil der Risikoanalyse und Sorgfaltsverpflichtung eines jeden Finanzinstituts. Damit sie die AML-Vorschriften einhalten können, benötigen Kreditinstitute ein System, das Transaktionen überprüft: Es berechnet, wie hoch das Potenzial einer betrügerischen Transaktion ist, stellt daraus Risikowarnungen zusammen und bündelt diese zu Fällen. Damit das funktioniert, benötigen sie verlässliche Daten.
Eine Umfrage unter Compliance-Beauftragten in den USA ergab, dass 63 Prozent der Befragten ihren eigenen Daten nicht trauen. Und auch eine Befragung von Yougov im Auftrag von Uniserv unter Führungskräften bei Banken und Versicherungen bestätigt, dass Problemfelder im Datenmanagement einerseit im hohen Aufwand begründet sind, Daten manuell nacharbeiten zu müssen (40 Prozent). Zum anderen hapert es an der insgesamt eher schlechten Datenqualität (30 Prozent). Ein Grund dafür liegt in den in der Finanzwirtschaft verankerten IT-Landschaften, die noch immer zu komplex und häufig veraltet sind. Dies erschwert eine Zusammenführung der Geschäftspartnerdaten zu einer einheitlichen, validierten und qualitätsgesicherten Sicht enorm.
Schlechte Daten führen zu False Positives
Interne Reportings und AML-Instrumente nutzen automatisierte Prozesse und Systeme, um die Masse an Transaktionen bewältigen zu können. Entsprechend wichtig ist, dass sie sich auf die zugrundeliegenden Daten verlassen können. Unzureichende Datenqualität führt sonst zu unzutreffenden Alarmmeldungen, ob beim Abgleich mit Sanktionslisten oder auf Basis interner Prüfalgorithmen. Die unnötige Mehrarbeit, die sich aus solchen sogenannten False Positives ergibt, produziert Kosten durch den Mehraufwand und kann auch aufseiten der Kunden zu Verärgerung oder Irritationen führen, wenn ihre Transaktionen verzögert verarbeitet werden. Schlimmstenfalls leitet die Bank konkrete Maßnahmen auf der Basis des Prozesses ab, die nicht zwingend nötig oder korrekt sind.
So ausgefeilt Prozesse beim Onboarding neuer Kunden heute sein mögen, so viele Pflichtfelder bei der Erfassung von Informationen an den Arbeitsplätzen der Beschäftigten auch verlangt werden: Fehler sind nicht auszuschließen. Im Gegenteil: Häufig entstehen fehlerhafte Daten schon bei der Dateneingabe selbst. Zum anderen geht es nicht nur um aktuell erfasste Informationen. Institute greifen auf Datenbestände zu, die über Jahre - womöglich fehlerhaft - gewachsen sind. Zu False Positives können unter anderem auch falsch eingegebene oder fehlende Daten, Rechtschreibfehler, Ersetzungen und Unterschiede in der Schreibweise oder Daten in falschen Feldern führen. Ganz zu schweigen von einer isolierten Datenhaltung in Silos.
Aus den eingangs erwähnten Regularien lassen sich Prüfkriterien ableiten, um die Qualität der genutzten Daten zu bestimmen. Hier geht es um Aspekte wie Vollständigkeit, Korrektheit, Konsistenz, Eindeutigkeit, Konformität, Gültigkeit und Aktualität. Wie gut es um die Qualität der Daten bestellt ist, sollten Institute gemeinsam mit Datenexperten einmal initial untersuchen. Aus den Ergebnissen abgeleitet sollten sie dann die Datenqualität als kontinuierlichen Prozess implementieren.
Überprüfung der Geschäftspartnerdaten als Teil der AML
Insgesamt sollte die Überprüfung der Geschäftspartnerdaten ein Teil der AML-Maßnahmen werden. Die Verbesserung der Datenqualität im Rahmen der Data Governance kann in einzelnen Teilschritten erfolgen. Ein Master-Data-Management-System (MDM) kann Daten aus verschiedenen unternehmensinternen und externen Quellen konsolidieren, Dubletten bereinigen, Lücken vervollständigen und veraltete Informationen aktualisieren. Alle korrekten, aktuellen und vollständigen Informationen ergeben zusammengefasst eine einheitliche und zentral zur Verfügung stehende Datenbasis. Die unterstützt nicht nur AML-Prozesse oder das Reporting, sondern erlaubt auch ein besseres Verständnis der Kundinnen und Kunden.
