Compliance-Vorgaben beschreiben die gesetzlichen und die unternehmensinternen Richtlinien und Bestimmungen. Im Allgemeinen kann zwischen drei Bereichen von Vorgaben unterschieden werden: unternehmensinterne Richtlinien, unternehmensexterne Richtlinien und rechtliche Vorgaben. Zu den internen Richtlinien zählen unter anderem Verfahrensanweisungen oder Hausstandards. Die externen Richtlinien beinhalten Branchen- oder Verbandsstandards, wie zum Beispiel die Mindestanforderungen an das Credit Management (MaCM) des Bundesverbands Credit Management e. V., Kleve. Der dritte Bereich - die rechtlichen Vorgaben - basiert auf Gesetzen, Rechtsprechungen und weiteren Regelungen (siehe Abbildung 1, Seite 247).
Alle drei Bereiche haben auch einen direkten Einfluss auf das Kreditmanagement. Insbesondere bei der Vergabe von Kreditlimiten und der vorgeschalteten Bonitätsprüfung sind die internen und externen Regelungen zu berücksichtigen. So dürfen zum Beispiel nur Geschäfte mit Unternehmen getätigt werden, wenn diese in Ländern ansässig sind, die nicht auf einer der Embargo-Listen stehen. In den vergangenen Jahren ist zudem der Bereich zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung stärker in den Vordergrund gerückt.
Richtlinien und Verordnungen
Im Jahr 2017 ist die 4. EU-Geldwäscherichtlinie und die daraus resultierende nationale Gesetzgebung in Kraft getreten. Direkt betroffen sind Kredit- und Finanzinstitute, aber auch Dienstleister aus dem Nicht-Finanzsektor wie Notare, Rechtsanwälte und Anbieter von Glücksspieldiensten. Darüber hinaus sind die Mitgliedstaaten angehalten, die Gültigkeit der Richtlinie auszuweiten - und zwar auf diejenigen Berufe und Wirtschaftszweige, deren Tätigkeiten leicht für Geldwäsche oder Terrorismusfinanzierung genutzt werden können. Die neue Richtlinie verschärft diverse Regelungen und insbesondere Sanktionen. Beispielsweise müssen nun die einzelnen Risikofaktoren für alle Geschäftsbeziehungen und Transaktionen individuell betrachtet werden; die Möglichkeit zur pauschalen Bewertung entfällt. Die nationalen Regelungen, die bisher nicht einheitlich waren, wurden mit der Neuregelung harmonisiert. In der 3. EU-Geldwäscherichtlinie war bereits die Identitätsfeststellung des Kunden, des wirtschaftlich Berechtigten, die Definition der Art der Geschäftsbeziehung und das Monitoring vorgeschrieben.
Eine wesentliche Erweiterung der 4. EU-Geldwäscherichtlinie ist die Hinterlegung der wirtschaftlich Berechtigten in zentralen Melderegistern auf nationaler Ebene. Dadurch wird für Transparenz und übergreifenden Austausch gesorgt. Die deutlich erhöhten Geldstrafen sollen die Einhaltung der Sorgfaltspflicht zur Identität des "potenziellen" Geschäftspartners verbessern.
Die Compliance-Vorgaben berühren diverse unternehmerische Bereiche. Besondere Implikationen ergeben sich unter anderem für das Kreditmanagement. Zum einen sind dabei im Rahmen der Limitpflege Bonitätsprüfung und -überwachung unabdingbar. Zum anderen liegen diverse Informationen und Daten im Zusammenhang mit der Geschäftsbeziehung vor beziehungsweise müssen generiert werden. Vor allem bei Neuaber auch bei Bestandskunden spielt der Know-Your-Customer-Prozess (KYC) eine zentrale Rolle.
Herausforderungen durch "Know Your Customer"
Der KYC-Prozess ist eine definierte Abfolge verschiedener Tätigkeiten und Prüfvorgänge, um insbesondere Geldwäsche und Terrorismusfinanzierung zu verhindern (siehe Abbildung 2, Seite 248). Sämtliche Schritte und Akteure im Rahmen des KYC-Prozesses sind revisionssicher zu historisieren.
Im ersten Schritt sind sämtliche (zukünftige) Vertragspartner zu identifizieren, mit denen eine Geschäftsbeziehung eingegangen werden soll. Juristische und natürliche Personen sind gleichermaßen betroffen. Die Identifikation erfolgt anhand der jeweiligen Angaben des Geschäftspartners. Neben zentralen Stammdaten steht bei natürlichen Personen unter anderem Berufstätigkeit und Grund der Geschäftsbeziehung im Vordergrund. Juristische Personen müssen insbesondere Auskunft zu Branche, Rechtsform, Firmenstruktur, Besitzverhältnissen sowie zentralen unternehmerischen Kennzahlen geben.
Grundsätzlich ist die Herkunft von liquiden Mitteln und Vermögenswerten zu benennen und die konkrete Gestaltung der aufzunehmenden Geschäftsbeziehung zu beschreiben. Art und Umfang der Tätigkeit müssen definiert und relevante Zahlungsarten benannt werden. Anschließend sind die Angaben des Kunden beziehungsweise Geschäftspartners zu verifizieren, indem entsprechende Unterlagen vorgelegt und eingesehen werden. Bei natürlichen Personen erfolgt die Verifikation über qualifizierte Legitimationsdokumente wie amtlich gültige Lichtbildausweise. Bei juristischen Personen sind Registerauszüge oder andere gleichwertige beweiskräftige Unterlagen beizubringen und entsprechend zu prüfen.
Nach Klärung der zweifelsfreien Identität des Geschäftspartners ist der wirtschaftlich Berechtigte zu ermitteln. KYC soll anonyme wirtschaftliche Transaktionen unterbinden und den wahren, wirtschaftlich Begünstigten festhalten. Der wirtschaftlich Berechtigte ist stets eine natürliche Person, die hinsichtlich des Geschäftsbeziehungsweise Vertragspartners Kontroll- und/oder Eigentumsrechte hat. Derartige Rechte sind entsprechend zu belegen, zum Beispiel durch Registerauskünfte oder Auskunfteien. Der wirtschaftlich Berechtigte kann selbst die Geschäftsbeziehung begründen und die Transaktion durchführen oder aber schlicht hauptsächlich Begünstigter einer Transaktion sein. Im Rahmen des KYC-Prozesses ist also stets zu klären, ob die Geschäftsbeziehung auf Veranlassung eines Dritten beruht. Schwierigkeiten bereiten typischerweise komplexe Beteiligungsstrukturen, bei denen oftmals über mehrere Ebenen geprüft werden muss.
Weiterhin sind politisch exponierte Personen (PeP) zu identifizieren, da für sie erhöhte Anforderungen bei der Geldwäscheprävention zu erfüllen sind. Unter anderem müssen Funktion und Ausübungsort festgehalten werden. Von Relevanz sind Politiker, deren Engagement über die regionale Ebene hinausgeht. Für sie sind dann gleichermaßen enge Familienmitglieder sowie nahestehende Personen ohne Verwandtschaftsverhältnis zu erfassen.
Überwachungs- und Meldepflichten ergeben sich für Banken, Versicherungen, Finanzdienstleister et cetera direkt aus den Vor gaben des Geldwäschegesetzes. Eine laufende dynamische Überwachung, bei der regelmäßig gegen relevante Listen, wie PeP-, aber auch Terrorismus- und Embargolisten, geprüft wird, lässt sich umfänglich nur mit angemessener IT-Unterstützung abbilden.
KYC als Bestandteil im Kreditmanagement
Die zweifelsfreie Identifikation von Interessenten und Kunden gehört zu den zentralen Aufgaben des Kreditmanagements. Schließlich sollen Limite für ein und dasselbe Risiko nicht doppelt vergeben werden. Zur Identifikation stehen in modernen Kreditrisikomanagement-Lösungen verschiedene Funktionen zur Verfügung. Je nach Rechtsform des potenziellen Kunden unterscheiden sich die Verfahren zur Identifikation. Bei Unternehmen ist im Regelfall ein Registerauszug zur Identifikation ausreichend. Bei Privatpersonen muss eine Identifikation über das Post- oder das Videoident-Verfahren herbeigeführt werden. Alternativ ist eine persönliche Überprüfung möglich. Diese Möglichkeit verliert jedoch zunehmend an Bedeutung.
Heutzutage sind Geschäftsbeziehungen längst nicht mehr durch räumliche Nähe der Geschäftspartner gekennzeichnet. In der Praxis hat sich das Videoident-Verfahren etabliert, welches mittlerweile auch von der Bundesanstalt für Finanzdienstleistungsaufsicht für Finanzdienstleister (zum Beispiel für Leasing- und Factoring-Unternehmen) zugelassen ist.
Die Validierung der Daten aus der Identifikation kann mit den professionellen IT-gestützten Systemen im Kreditmanagement (fast) vollständig automatisch erfolgen. Im Rahmen der Bonitätsprüfung werden im Regelfall Handelsauskünfte oder Privatpersonenauskünfte eingeholt. Bereits bei der Anfrage findet ein Abgleich der erfassten Stammdaten statt.
Oftmals beinhalten Wirtschaftsauskünfte der Auskunftei-Anbieter direkt den wirtschaftlich Begünstigten. Alternativ können die relevanten Informationen über die Angaben aus den jeweiligen Registern ermittelt werden. Da aber mittlerweile ganze Berufszweige damit betraut sind, beispielsweise zur Erzielung von Steuervorteilen, Vermögenverhältnisse sowie Beteiligungs- und Unternehmensstrukturen bewusst zu verschleiern, ist die Ermittlung des tatsächlich wirtschaftlich Begünstigten nicht immer trivial. Diesem Missstand soll mit den beschriebenen nationalen Datenbanken, auf die länderübergreifender Zugriff geplant ist, begegnet werden. Für diese Datenbanken hat jedes Unternehmen initial und fortlaufend seinen wirtschaftlich Berechtigten zu benennen und zu hinter legen. Bis zur Einführung dieser Datenbanken ist eine vollautomatische Ermittlung oftmals jedoch nicht möglich.
Neben der reinen Identifikation des Kunden und der Ermittlung des wirtschaftlich Berechtigten sieht der KYC-Prozess auch den Abgleich der Personen- und Unternehmensdaten mit PeP- und Sanktionslisten vor. Ein solcher Abgleich kann vollautomatisch durchgeführt werden. Die Listen werden von unterschiedlichen Anbietern bereitgestellt beziehungsweise die Aufgabe kann komplett als Service bei entsprechenden Dienstleistern eingekauft werden. Das IT-System schlägt bei einem Treffer verschiedene Handlungsoptionen vor. Greift die PeP-Liste, ist zwingend ein manueller Eingriff notwendig, da Geschäfte mit einer politisch exponierten Person grundsätzlich durch einen Mitarbeiter bestätigt werden müssen. Bei anderen Treffern, wie zum Beispiel auf einer Embargo-Liste, können automatische Folgeschritte eingeleitet werden. In der Regel darf das Geschäft nicht geschlossen werden.
Bestandteil des KYC-Prozesses ist weiterhin auch eine Risikoklassifizierung. Die Klassifizierung beinhaltet neben den Ergebnissen des Abgleichs gegen Listen auch die Bewertung von Stammdaten (zum Beispiel Land, Rechtsform, Branche) und des angestrebten Geschäfts. Eine solche Beurteilung ist vergleichbar mit einer klassischen Bonitätsbewertung und führt im Regelfall zu einem Score. Innerhalb der Bewertung wird das Risiko bestimmt, dass ein (potenzieller) Kunde im Rahmen des KYC-Prozesses auffällig wird.
Alle durchgeführten Prüfungen und Analysen sind je nach Einschätzung der Risikoklassifizierung regelmäßig erneut durchzuführen. Der KYC-Prozess nennt diesen Schritt Monitoring und dieser wird idealerweise vollautomatisch abgewickelt. Alle durchgeführten (Teil-)Prozesse werden revisionssicher historisiert, um eine spätere Auswertung zu gewährleisten und der Dokumentationspflicht zu genügen.
Konzeption einer KYC-Scorecard
Um systematisch Handlungsanweisungen ableiten zu können, sollten Compliance- und damit auch KYC-Prüf- und Beurteilungsprozesse nicht nur historisiert dokumentiert, sondern die Ergebnisse einer konkreten Bewertung zugeführt werden. In der Praxis wird dazu ein Compliance- beziehungsweise KYC-Score, -Indikator oder -Rating vergeben.
Sämtliche für den KYC-Score relevanten Einzelmerkmale sind dabei festzulegen und die jeweiligen Bewertungsmöglichkeiten zu definieren (Abbildung 3, Seite 248). Ergebnis ist dabei ein Zahlenwert, der gegebenenfalls im Anschluss in eine andere Bewertungsnomenklatur, zum Beispiel Buchstaben, überführt werden kann.
Anders als bei Scorecards, die eine Bonität beziehungsweise Ausfallwahrscheinlichkeit ermitteln, können bestimmte Einzelmerkmale bei der KYC-Prüfung nur zwei mögliche Ausprägungen einnehmen (siehe Abbildung 4, Seite 250). Beispielsweise kann eine Person einen PeP-Status haben oder eben nicht. In der Folge sind die betrachteten Einzelmerkmale weder sämtlich trennscharf noch umfasst die Bewertungsskala für alle dieselbe Range.
Trotz dieser Einschränkungen im Vergleich zu den ansonsten für das Kreditmanagement typischen Ratingsystemen ist es durchweg sinnvoll, das KYC- beziehungsweise Compliance-Risiko zu beurteilen. Für jedes Einzelmerkmal sollten sämtliche mögliche Ausprägungen festgelegt und separat beurteilt werden. Zwei verschiedene Varianten zur Aggregation der bewerteten Einzelmerkmale sind denkbar und praxistauglich. Entweder werden sämtliche Beurteilungen der Einzelmerkmale einer gewichteten Gesamtbewertung zugeführt. Dabei können einzelne Merkmale als dominant gesetzt werden. Beispielsweise sollte ein Treffer auf der Terrorismusliste stets zur schlechtesten Bewertung führen. Oder jedem Einzelmerkmal wird aufgrund seiner Ausprägung ein Zahlenwert auf einer Skala zum Beispiel von null bis 100 zugewiesen, wobei 100 für das höchste Compliance-Risiko steht. Für die Gesamtbeurteilung des Compliance-Risikos wird dann lediglich der höchste Wert genutzt.
Dieser Compliance- beziehungsweise KYC-Score beschreibt lediglich abstrakt das Risiko, dass der Kunde gemäß gesetzlicher und regulatorischer Vorgaben auffällig ist und einer besonderen Behandlung und gegebenenfalls Meldung bedarf. Neben diesen externen Anforderungen ist es für das prüfende Unternehmen sinnvoll zu wissen, welche ökonomischen Konsequenzen und vor allem Nachteile durch die betrachtete Geschäftsbeziehung beziehungsweise spezifische Transaktionen induziert werden können (siehe Abbildung 5). Dabei ist es einerseits interessant, das aktuelle Risiko in Geldeinheiten zu bewerten und andererseits unbedingt notwendig, bei Bedarf rasch konkrete Handlungsmaßnahmen einleiten zu können. In diesem Zusammenhang entsteht aus Unternehmenssicht ein Spannungsdreieck von Compliance-Risiko, Bonität und dem (strategischen) Wert des Kunden für das Unternehmen (Kundenwert).
Unstrittig ist, dass regulatorische Vorgaben, also Prüf- und Meldepflichten ausnahmslos erfüllt werden müssen. Weiterhin sollten Kunden mit einer hohen Bonität, also einem geringen Ausfallrisiko, und einem hohen KYC-Risiko besonders beobachtet werden, vor allem wenn es sich um wesentliche Kunden, also Kunden mit einem hohen Kundenwert handelt. Mit diesen Kunden ist es hoch attraktiv Geschäft zu machen. Allerdings sollten die möglichen ökonomischen Folgen aus dem Compliance-Risiko überkompensiert werden. Kommen geringe Bonität und hohes Compliance-Risiko zusammen, besteht ebenfalls Handlungsbedarf, vor allem wenn es sich um einen Kunden mit hohem Kundenwert handelt. Unternehmen mit hohem Compliance-Risiko weisen ein höheres Risiko auf, in kriminelle Machenschaften verwickelt zu sein. Damit verbunden sind oftmals Sanktionen, Strafzahlungen und im Extremfall eine Gefährdung des Fortbestands des Unternehmens.
Einsatz professioneller KYC-Software
Bei der Umsetzung der Compliance-Vorgaben und somit auch bei der Abbildung des KYC-Prozesses ergibt sich naturgemäß das Problem, dass diejenigen Unternehmen, die den Regularien unterliegen, wie Banken, Versicherungen, Rechtsanwälte, Casinos und so weiter zunächst kein ureigenes Interesse an der Durchführung haben. Für sie steht oftmals im Vordergrund, den Verpflichtungen sorgfältig nachzukommen. Compliance-Abteilungen sind mit umfänglichen Aufgaben betraut. Regulatorische Zielsetzung und unternehmerische Kernziele sind selten komplementär. Zum einen muss also das Pflichtprogramm effizient und effektiv um gesetzt werden. Zum anderen sollten die Chancen der Compliance-Risiko-Beurteilung ergänzend zur Steuerung und Bearbeitung des Kundenport folios genutzt werden.
Mit dem Kampf gegen Geldwäsche, Finanzkriminalität und Terrorismusfinanzierung werden für die Compliance-Abteilungen der Banken, Versicherungen und Finanzdienstleister umfangreiche, komplexe Rechercheprozesse notwendig, die immense Kosten verursachen. Oftmals versuchen die Unternehmen mit betriebseigenen Lösungen die regulatorischen Anforderungen zu erfüllen. Dieser Ansatz greift jedoch zu kurz. Vielmehr bewährt sich an dieser Stelle eine professionelle KYC-Softwarekomponente, mit der nicht nur langfristig Kosten eingespart, sondern auch Compliance-Risiken deutlich reduziert werden können. Die standardisierte Anbindung der relevanten Dienstleister und Sanktionslisten erlaubt eine komfortable, lückenlose Prüfung und Überwachung der Neu- und Bestandskunden. Die zentralen Workflows werden definiert und soweit möglich idealerweise automatisiert durchlaufen.
Via Schnittstellen sind sämtliche relevanten Informationen im Zugriff. Dies erhöht die Qualität der Compliance-Risiko-Analyse und senkt die Kosten der Informationsbeschaffung. KYC-Tools sollten verschiedene Alphabete hinterlegt haben, damit die Abfragen beispielsweise in Russland, Ostasien und Deutschland gleichermaßen einer Bewertung zugeführt werden können. Das System muss unbedingt dezentral nutzbar sein, dies ist sowohl bei national tätigen, filialorganisierten Unternehmen als auch bei weltweit verteilt agierenden Konzernen notwendig. Die Einhaltung der europäischen Datenschutzgrundverordnung sowie die jeweils gültigen nationalen Regelungen sind selbstverständlich einzuhalten und in professionellen Lösungen direkt berücksichtigt. Sämtliche Prüfschritte, Entscheidungen, erfolgte Meldungen sowie manuelle Besonderheiten sind lückenlos dokumentiert und im Rahmen der gesetzlichen Vorgaben im Zeitablauf historisiert.
Neben der Abbildung der regulatorischen Vorgaben können die Unternehmen von der stets aktuellen Compliance-Risikoeinschätzung ihrer Kunden aber zusätzlich profitieren. Detaillierte Risikobetrachtungen und Deckungsbeitrags- sowie Kundenwertüberlegungen erlauben eine differenzierte Kundenbearbeitung.
