Sie benötigen einen Flash Player, um diesen Film sehen zu können.

Gefährdungsanalysen nach § 25c KWG

Gefährdungsanalysen sind Untersuchungen der Aufbau- und Ablauforganisation in einer Bank, um

  • Einfallstore für dolose Handlungen zu identifizieren,
  • bestehende (IT-)Kontrollen zu evaluieren,
  • vorhandene Kontrollschwächen zu beheben und
  • gegebenenfalls die Ausrichtung und die Prozesse der Internen Revision anzupassen

und auf diese Weise das bestehende Gefährdungsrisiko für dolose Handlungen zu verringern. Sie sind damit in erster Line ein Präventionsinstrument, das ein Auftreten von dolosen Handlungen verhindern soll.

Die Anforderungen an eine Gefährdungsanalyse werden bereits im BaFin-Rundschreiben 8/2005 vom 24. März 2005 beschrieben und die Neufassung des § 25c ist eine Konsequenz aus der Umsetzung der 3. EU-Geldwäscherichtlinie in nationales deutsches Recht. Sie hebt die zukünftige Bedeutung der Thematik ‚betrügerische Handlung’ und das Erfordernis ausreichender Sicherungsmaßnahmen auch gegen dolose Handlungen verstärkter als bisher hervor.

Im Gesetzeswortlaut des § 25c KWG-E werden insbesondere folgende Untersuchungsobjekte einer Gefährdungsanalyse (Interne Sicherungsmaßnahmen) genannt:

  • Interne Grundsätze (sprich: eine Dokumentation von Prozessen und Kontrollen)
  • Geschäfts- und kundenbezogene Sicherungssysteme (sprich: Ausgestaltung kunden- und mitarbeiterbezogener IT-Prozesse und manueller Sicherungen wie beispielsweise das Vier-Augen-Prinzip)
  • sowie Kontrollen (sprich: manuelle oder maschinelle Soll-Ist-Vergleiche bzw. Maßnahmen zur Sicherstellung definierter Kontrollziele).

Ziel interner Sicherungsmaßnahmen ist der Schutz des Instituts vor betrügerischen Handlungen. Sowohl der Text des Gesetzentwurfs wie auch der Gesetzesbegründung lassen diesen zentralen Begriff allerdings inhaltlich offen. Insofern obliegt es dem einzelnen Institut, für den Schutz seiner Organisation eine adäquate Vorgehensweise zu finden und sie umzusetzen.

Auf Grund unserer Erfahrung halten wir einen Ansatz für sinnvoll, der sowohl interne wie auch externe Täter umfasst. Hierbei sind Kollusionen besonders zu berücksichtigen. Unter Kollusionen versteht man die Zusammenarbeit zwischen internen und externen Tätern zum Nachteil des Instituts.

Von der Gefährdungsanalyse auszugrenzen sind v.a. solche Bereiche, in denen es nicht zu wesentlichen materiellen Schäden oder Reputationsverlusten für das Institut kommen kann. Dies sind beispielsweise private Nutzungen von Institutseigentum oder IT-Einrichtungen (Internet, Personal Computers, etc.).

Reputationsrisiken, die aus betrügerischen Handlungen einzelner oder mehrerer Täter resultieren können, sind dabei in der Außenwirkung für eine Bank von nicht zu unterschätzender Bedeutung. Sie sollten darum ganz besonders berücksichtigt werden.

Eine Gefährdungsanalyse dient dazu, mit Hilfe verschiedener methodischer Ansätze das Gefährdungspotential der einzelnen Prozesse für betrügerische Handlungen zu untersuchen, zu kategorisieren und zu bewerten sowie ausgehend hiervon diejenigen Prozesse zu identifizieren, die besonders gefährdet für dolose Handlungen sind. Weil es sich hierbei um ein individuelles Vorgehen handelt und institutsspezifische Gegebenheiten zu berücksichtigen sind, kann nicht von vornherein gesagt werden, wo sich solche spezifischen Einfallstore befinden.

Beeinflusst wird die Analyse durch verschiedene Faktoren, von denen man die wichtigsten in die Beurteilung und Planung der Analyse einfließen lassen muss:

  • Ausprägung des Anti Fraud Management Systems
  • Reifegrad und Ausprägung des Internen Kontrollsystems (IKS)
  • Tatsächlicher Prüfungsdruck für potentielle Täter durch interne oder externe Prüfungen
  • Unterschiedliche Vergangenheitserfahrungen des Instituts

Die bereits im Institut vorhandenen Elemente eines Anti Fraud Management Systems sowie deren Ergebnisse aus den Teilaktivitäten Prävention, Aufdeckung und Aufarbeitung sollten aus Gründen der Projekteffizienz in die Ist-Aufnahme einfließen.

Weiter zu einem möglichen Projektansatz...