Magazin

iStock.com/Claudia Nass

Kampf gegen Geldwäsche: KYC mit neuen Techniken unterstützen

Banken müssen und wollen immer beides: die gesetzlichen und regulatorischen Anforderungen erfüllen und den Aufwand bei den relevanten Prozessen möglichst gering halten. In den Abteilungen für Anti-Financial Crime (AFC) wurden in den vergangenen Jahren Budgets und Ressourcen aufgestockt, um die verschärften Vorgaben zu erfüllen. 

Diese von einem AFC- und Compliance-Verantwortlichen als „Wachstums-Case Compliance“ bezeichnete Entwicklung ist vorbei. Bei KYC-Prozessen wie auch bei anderen Aufgaben zur Prävention und Aufdeckung von Geldwäsche rückt die Frage in den Fokus, wie der Einsatz neuer Technologien den Kampf gegen Geldwäsche unterstützen kann. Dazu gehören im Fall von KYC sowohl die Überprüfung bei der Annahme von Kunden als auch die fortlaufenden Review-Prozesse. 

An technischen Lösungen mangelt es dabei nicht. Etablierte Anbieter, FinTechs und RegTechs bieten spannende und verlässliche Lösungen an. Die BaFin hat sich diesbezüglich ebenfalls geöffnet. In ihrer Studie Big Data trifft auf Künstliche Intelligenz hat die Finanzdienstleistungsaufsicht grundsätzlich festgehalten, dass durch den Einsatz neuer Technologien Compliance-Prozesse wie z. B. die Geldwäsche- und Betrugsprävention effektiver und effizienter würden.

Dennoch ist bislang wenig geschehen. Fast drängt sich der Eindruck auf, dass trotz des generellen Willens zu mehr Automatisierung und Investitionen in Künstliche Intelligenz (KI) vielen Beteiligten der Mut fehlt, eine Entscheidung zu treffen und vertraute Compliance-Prozesse zu verändern oder sogar komplett abzulösen. Der Schluss liegt nahe, dass viele Banken lieber auf etablierte und vom Regulator abgenommene Prozesse vertrauen, als mit der Veränderung zu beginnen und den Austausch mit der Aufsicht zu suchen.

Dass die Regulierungsbehörden einen solchen Wandel bremsen oder blockieren, lässt sich aus unserer Sicht nicht erkennen. Die derzeitigen gesetzlichen Vorgaben erlauben beispielsweise für das jeweilige Institut abgestimmte risikobasierte Prozesse. Das schließt den Einsatz geeigneter technischer Lösungen nicht aus.

Der KYC-Prozess des regelmäßigen Reviews von Firmenkunden drängt sich für Verbesserungen geradezu auf. Die Überprüfungen werden heute – je nach Risikoklassifizierung – nach bestimmten Prüffristen vorgenommen, zum Beispiel fünf Jahre für Low-Risk-, drei Jahre für Medium-Risk- und ein Jahr für High-Risk-Kunden. Das geschieht vorwiegend von Hand durch eigene Mitarbeiterinnen und Mitarbeiter oder ein externer Dienstleister übernimmt die Arbeit. 

Diese Prozesse stellen die Banken weder betriebswirtschaftlich zufrieden, noch führen sie bei der Geldwäschebekämpfung wirklich zum Ziel. Der Grund ist das grobmaschige Vorgehen mit zu weit auseinanderliegenden Stichtagen. Kundenprofile bleiben über Jahre hinweg unbeobachtet. Etwaige KYC-relevante Veränderungen, z. B. in der Gesellschafterstruktur, fallen in dieser Zeit nicht auf. Am Stichtag werden wiederum hunderte und tausende Kundenprofile manuell geprüft, ohne dass das bei einer Vielzahl der Kunden notwendig wäre. Die Folge ist eine administrative Scheinsicherheit, die niemandem hilft.


Risikobasierter Review-Prozess auf Basis eines KYC-Monitorings
Banken sollten hier tätig werden und KYC-Daten genauso monitoren, wie das heute bei Transaktionen selbstverständlich ist. Ein permanentes Monitoring aller relevanten KYC-Informationen lässt sich zum Beispiel über ein intelligentes Case Management System (CMS) erreichen. Alle relevanten Kundendaten werden aus den Banksystemen angebunden und über Schnittstellen zu Datenlieferanten mit Daten aus Registern, Risikolisten und Social Media angereichert. 

Ein solcher Ansatz einer reinen Verknüpfung von Informationen und ihrem permanenten Abgleich wäre nicht mal eine Form von KI, bei der Banken sich um die Erklärbarkeit (Explainable AI) bemühen müssten. Die Kundenbetreuer und die Compliance Officer erhielten bei relevanten Veränderungen der KYC-Daten eine automatisierte Mitteilung und müssten auch nur dann tätig werden. Die IT würde Risikoklassifizierungen auf Basis neuer Informationen automatisch anpassen. 

Ein risikobasierter Review-Prozess auf Basis eines KYC-Monitorings könnte so aussehen: 

  • Bei Low-Risk-Kunden verlässt sich die Bank ausschließlich auf die technische Unterstützung und wird nur tätig, wenn sich KYC-relevante Informationen verändert haben. Ein manueller Review ganzer Kunden-Portfolios per Stichtag entfällt. 
  • Bei Medium-Risk-Kunden verfährt die Bank analog zu Low-Risk-Kunden. Zusätzlich werden allerdings manuelle Stichproben definiert und durchgeführt.
  • Bei High-Risk-Kunden behält die Bank die bisherigen (manuellen) Verfahren bei, wird allerdings zusätzlich durch das technische KYC-Monitoring unterstützt.

Ein derartiger Prozess würde manuelle und rein administrative Arbeiten signifikant reduzieren oder überflüssig machen. Der Mehrwert liegt jedoch gar nicht so sehr in Effizienz und Kosteneinsparungen. Vor allem geht es darum, gesetzliche Anforderungen zur Geldwäschebekämpfung noch wirksamer zu erfüllen als bisher. Das Netz, durch das KYC-relevante Veränderungen unentdeckt durchschlüpfen können, wird deutlich engmaschiger.

Noch weiter gedacht, können Banken ihren Compliance-Apparat reformieren, indem sie Prozesse und Einheiten zusammenführen. Andere Initiativen gegen kriminelle Aktivitäten – beispielsweise Financial Crime, Fraud, Sanktionsbetrug – basieren auf ähnlichen Systemen und Logiken wie die Geldwäschebekämpfung: 

  • Nach dem Onboarding verfügt eine Bank über viele Daten zu dem Kunden, seinen Geschäftspartnern und Gesellschaftsstrukturen. Diese stammen, möglichst bequem für den Kunden, von internationalen KYC-Providern wie Dun & Bradstreet, SWIFT KYC, Company House sowie aus dem Handelsregister. 
  • Mit einer einfachen Update-Funktion bleiben die Daten aktuell, und durch Alerts behalten Banken einen Überblick über Veränderungen der Eigentums- und Beherrschungsstrukturen von Unternehmenskunden. In einigen Instituten werden KYC-Prüfungen so bereits ausgelöst.
  • Zur selben Zeit laufen in anderen Bereichen der Bank ähnliche Überwachungen ab, zum Beispiel das Transaktionsmonitoring. Häufig sind die Einheiten in Fraud Detection und AML Monitoring getrennt. Gleichzeitig werden Daten über das sogenannte Adverse Media Screening und das Sanction Screening eingespielt, meist wieder in anderen Abteilungen des Hauses.

Führen Banken diese Themen zusammen, erhalten sie ein integriertes Financial Crime Monitoring. Sämtliche Alerts aus dem Monitoring und den Screening-Aktivitäten laufen in einer Art Leitstelle zusammen, werden automatisiert in Risikoprofile eingeteilt und je nach Risikoeinstufung an die passende Stelle zur Kontrolle und Abarbeitung weitergeleitet. Banken erhalten im Ergebnis einen vollständigen Überblick über den Kunden sowie seine Verbindungen und Aktivitäten und können die Informationen kontinuierlich und transparent an berechtigte Empfänger verteilen. Siehe dazu auch die Abbildung ► 1


 

Für die praktische Umsetzung eines ganzheitlichen Case Managements sind eine Reihe von Details zu beachten:

  • Auswahl des Case Tools: Jeder Vorgang sollte separat gestartet, gelenkt und monitort werden können.
  • Regelwerk: Es sollte gesetzliche Anforderungen verschiedener Bereiche enthalten plus bankspezifische Themen, die je nach Institut anders ausfallen.
  • Technologie: idealerweise eine KI-Lösung mit lernenden Algorithmen, die Alerts immer zuverlässiger zuordnen können.
  • Schnittstellen: automatischer Datenupload mit Verbindungen zu Datenlieferanten.
  • Security: sichere Online-Plattformen für den Upload und die Eingabe von Daten (eKYC) – auch vor der Einrichtung eines eigenen Online-Bankings.
  • Kommunikation: Lösung für Daten und Formulare, die nicht von den Lieferanten bezogen werden können (OCR, NLP, RPA, Rules Upload).
  • Funktionalität: SLA Monitoring im System, um kritische Vorgänge zu priorisieren.
  • Kompatibilität: Schnittstellen zu anderen Systemen, DX API Layer und Omnichannel-Fähigkeit.


Fazit 
Noch schärfere Anforderungen und die schiere Menge auftretender Alerts verlangen künftig von Banken nach einer regelbasierten Lösung sowie einer Risikoklassifizierung – in der modernen Ausbaustufe auf Basis lernender Algorithmen. Banken wird es damit deutlich besser gelingen, regulatorische Anforderungen zu erfüllen, mögliche Strafzahlungen zu vermeiden sowie ihre eigenen Risiken und Bedrohungspotenziale deutlich zu verringern.
 

 

Autoren



Michael Baldauf ist Ambassador Customer Risk & Due Diligence EMEA bei Pegasystems.

 

Thomas Seidel ist Senior Manager für AFC & Compliance bei Sopra Steria.

Stichworte

Verwandte Artikel

Anzeige

Lexikoneinträge