Die AMLA legt los – neue Behörde unterzieht Banken einem Daten-Stresstest

Einheitliche europaweite Standards, ein wirkungsvollerer Kampf gegen Geldwäsche und Terrorismusfinanzierung, eine bessere Zusammenarbeit zwischen den Financial Intelligence Units der EU-Mitgliedstaaten: Die Anti-Money Laundering Authority (AMLA) der Europäischen Union verfolgt ambitionierte Ziele. Mit der ersten größeren Maßnahme – der Datenerhebung zur Erprobung von Risikobewertungsmodellen seit Anfang März – erhalten Banken und andere gesetzlich Verpflichtete nun einen Eindruck davon, was die Arbeit der Behörde für sie bedeuten wird: Sie werden umfangreiche Daten benötigen und diese in kurzer Zeit – in diesem Fall bis Ende April – zur Verfügung stellen müssen.

Das Hauptziel der AMLA ist die Kalibrierung der Risikomodelle, die ab 2027 bestimmen sollen, welche Institute ab 2028 direkt durch die AMLA beaufsichtigt werden. Dafür werden Daten von potenziell direkt zu beaufsichtigenden Instituten sowie von einer Stichprobe national beaufsichtigter Häuser erhoben. Konkret bedeutet das: Die AMLA möchte mehr über die Geldwäscherisiken eines Instituts und im gesamten Markt lernen.

„Data Collection Exercise“ der AMLA schlägt in der Branche Wellen

Entsprechend hat die Post von der AMLA in der Branche Wellen geschlagen, führt sie den Verpflichteten doch die Erwartungen und die Entschlossenheit der neuen Behörde bei der Weiterentwicklung der datengetriebenen Aufsicht vor Augen. Schon mit der Eröffnung von Konsultationen zu mehreren Regulierungsstandards hatte die AMLA die Kundensorgfaltspflichten und Details zu Transaktionen und Sanktionen in den Blick genommen. Und nimmt man die steigenden Know-Your-Customer-Anforderungen (KYC) aus den neuen AML-Vorgaben der EU hinzu, deren Umsetzung die AMLA beaufsichtigt, entsteht ein umfangreicher Anforderungskatalog.

Die AMLA möchte zum Beispiel wissen, welche Kunden eine Bank hat (und zum Beispiel von einer möglichen zweiten Staatsbürgerschaft von Kundin oder Kunde erfahren). Gefordert ist auch eine häufigere Aktualisierung der Kundendaten. Unter dem Strich schlagen kürzere Aktualisierungsfristen und erweiterte Prüfpflichten zu Buche. Dazu kommt eine Erweiterung des Kreises der politisch exponierten Personen (PEP), für die besondere KYC-Pflichten gelten. Kunden mit erhöhtem Risiko müssen künftig mindestens einmal im Jahr aktualisiert werden, alle weiteren Kunden spätestens nach fünf Jahren – die bisherige Praxis zeigte deutlich längere Zyklen von bis zu 15 Jahren.

Compliance-Kosten steigen seit Jahren: Vorbereiten auf Datenabfragen

Damit kommen erneut zusätzliche Veränderungen auf die Banken zu. Es ist ja kein Geheimnis: Die Compliance-Kosten in den Finanzinstituten steigen seit Jahren. Die Auflagen haben zuletzt zusehends mehr finanzielle und personelle Ressourcen gebunden, ob mit Blick auf Finanzkriminalität oder in Sachen Geldwäschebekämpfung. Wie gut sind Banken also auf die erste große Datenabfrage zur Geldwäscheprävention der AMLA vorbereitet? Wie gut können sie die Aufgabe in der kurzen Frist meistern?

Das wird erst der Ausgang der Übung verdeutlichen, die für die Institute den Vorteil bieten soll, dass sie ihre Systeme für kommende Datenerhebungen testen und vorbereiten können. Aber bereits jetzt zeigt sich, ob das institutseigene Datenmanagement für die Geldwäscheprävention etabliert und effektiv ist. Die folgenden Faktoren machen ein wirksames Datenmanagement aus:

1. In einem Glossar oder Datenkatalog werden Datenfelder fachlich und technisch beschrieben, sodass die Bedeutung und die Definition der Daten bankenweit einheitlich festgeschrieben sind. Das erlaubt ein klares Verständnis vom jeweiligen Datenfeld und eine Einschätzung der Konsequenzen für den Fall, dass es fehlerhaft befüllt ist.
2. Der Datenfluss („Data Lineage“) zeigt die Verbindungen zwischen den Datenfeldern auf und macht so den Weg von der Datenquelle bis zur Verwendung nachvollziehbar.
3. Datenliefervereinbarungen zwischen Datenlieferanten und -konsumenten schaffen Klarheit im Hinblick auf Datenfehler oder Produktionsprobleme.
4. Qualitätskontrollen entlang des gesamten Datenflusses prüfen die verarbeiteten Informationen anhand definierter Kriterien wie Vollständigkeit, Genauigkeit und Aktualität.
5. Bei Abweichungen vom festgelegten Soll-Zustand, beispielsweise aus der Datenliefervereinbarung, sollte das daraus entstandene Datenqualitätsproblem mithilfe eines Standardprozesses untersucht und behoben werden.
6. Der Datenqualitätsstand und der Fortschritt beim Ausbau der Überwachungshandlungen werden durch das Datenqualitäts-Reporting kontinuierlich überwacht.

Nach dem Vorbild der EZB-Stresstests: ein Stresstest für AML-Daten

Wer das im Haus umgesetzt hat, ist gut vorbereitet. Und die Institute tun gut daran, denn klar ist auch: Datenabfragen von der Aufsicht werden künftig eine regelmäßige Übung sein. Die AMLA hat angekündigt, alle drei Jahre ein Update der Risikoeinschätzung vorzunehmen. Es bewahrheitet sich also, was die Vorsitzende der EZB-Bankenaufsicht, Claudia Buch, vor wenigen Wochen sagte: EZB und AMLA werden im engen Schulterschluss agieren – und die AMLA adaptiert bereits Vorgehensweisen.

Ein Programmplanungsdokument, analog zu den Aufsichtsschwerpunkten der EZB und für einen Zeithorizont von drei Jahren, hatte die AMLA kurz zuvor veröffentlicht. Auch eine weitere Methode der EZB scheint nun in der Praxis der AMLA anzukommen: regelmäßige Stresstests. Ein Stresstest für AML-Daten, nach dem Vorbild der Belastungsproben in Sachen Kapitalpuffer und ESG-Risiken, steht mit der aktuellen Datenabfrage in den Startlöchern.

––––––––––––––––––––

*Timo Purkott ist Partner bei KPMG im Geschäftsbereich Financial Services und einer der Leiter des KPMG AMLA Office – einer internationalen Experten-Einheit, die Banken dabei unterstützt, die sich entwickelnde Aufsichtspraxis in Sachen Geldwäschebekämpfung zu meistern. Er verantwortet im KPMG-Netzwerk außerdem weltweit die Beratung zu Fraud und Financial Crime. KPMG gehört zu den Content-Partnern von Finanz-Szene. Mehr zu unserem Partner-Modell erfahren Sie hier.