Zusammenfassung
Die letzte Phase eines prozessualen Risikomanagementsystems nimmt die Risikokontrolle beziehungsweise das Risikocontrolling, bei dem die Ist-Werte ins Verhältnis zu den Soll-Werten in Bezug auf die Risikohöhe gestellt werden, ein. Regelmäßig wird die Risikohöhe in Geldeinheiten gemessen.
Wenngleich die Begriffe von Risikokontrolle und Risikocontrolling häufig synonym verwendet werden, soll im Folgenden lediglich auf den Begriff des Risikocontrollings fokussiert werden. Denn das Risikocontrolling ist regelmäßig umfassender als die Risikokontrolle und im Gegensatz zur reinen Kontrolle nicht nur vergangenheits-, sondern auch zukunftsorientiert. So wird unter dem Controlling nämlich nicht nur die Kontrolle, sondern auch die Planung, Steuerung und Information subsumiert.
Wenngleich die Ausprägungsformen des Risikocontrollings sehr unterschiedlich sein können, sind die wesentlichen Bestandteile doch regelmäßig gleich. So ist vielfach festgelegt, wer der jeweilige Risk Owner ist und damit die Verantwortung für die kontinuierliche Überwachung des Risikos trägt. Auch werden die Risikosteuerungsmaßnahmen kritisch auf ihre Wirksamkeit hin geprüft. Dies geht so weit, dass beim Überschreiten bestimmter Schwellenwerte oder Frühwarnindikatoren Ad-hoc-Berichte und Sofortmaßnahmen ausgelöst werden.
Die letzte Phase eines prozessualen Risikomanagementsystems nimmt die Risikokontrolle beziehungsweise das Risikocontrolling, bei dem die Ist‐Werte ins Verhältnis zu den Soll‐Werten in Bezug auf die Risikohöhe gestellt werden, ein. Regelmäßig wird die Risikohöhe in Geldeinheiten gemessen. Abbildung 5.1 ordnet das Risikocontrolling in den idealtypischen Risikomanagementkreislauf ein.
Das Risikocontrolling im Risikomanagementkreislauf
Wenngleich die Begriffe von Risikokontrolle und Risikocontrolling häufig synonym verwendet, soll im Folgenden lediglich der Begriff des Risikocontrollings verwendet werden. Denn das Risikocontrolling ist regelmäßig umfassender als die Risikokontrolle und im Gegensatz zur reinen Kontrolle nicht nur vergangenheits‐, sondern auch zukunftsorientiert. So wird unter dem Controlling nämlich nicht nur die Kontrolle, sondern auch die Planung, Steuerung und Information subsumiert (vgl. Wolke 2008, S. 239).
Obwohl die Ausprägungsformen des Risikocontrollings sehr unterschiedlich sein können, sind die wesentlichen Bestandteile doch regelmäßig gleich. So ist vielfach festgelegt, wer der jeweilige Risk Owner ist und damit die Verantwortung für die kontinuierliche Überwachung des Risikos trägt. Auch werden die Risikosteuerungsmaßnahmen kritisch auf ihre Wirksamkeit hin geprüft. Dies geht so weit, dass beim Überschreiten bestimmter Schwellenwerte oder Frühwarnindikatoren Ad‐hoc‐Berichte und Sofortmaßnahmen ausgelöst werden.
Bei Leasinggesellschaften mit komplexen Geschäftsprozessen und ausgeprägten Risiken sind aufgrund des Proportionalitätsgrundsatzes verstärkte Anstrengungen im Risikocontrolling vorzunehmen. Dies kann sich beispielsweise darin äußern, dass die Risikolage ad hoc durch die Unternehmensleitung oder das Risikomanagement abrufbar ist. Unter Umständen sogar in unterschiedlichen Verdichtungsstufen und in Form einer vereinfachten und beliebig anpassbaren Sicht mittels einer Cockpit‐Lösung.
Eine Kerntätigkeit des Risikocontrollings, nämlich das Risikoreporting, wird der Übersichtlichkeit halber in Kap. 6 „Risikokommunikation“ näher dargestellt. Im Folgenden sollen vielmehr anhand der Auslagerungsinventur und der Gefährdungsanalyse zentrale praktische Ausprägungsformen des Risikocontrollings in ihren unterschiedlichen Facetten dargestellt werden.
5.1 Outsourcing‐Controlling
In Zeiten von schlanken Organisationsformen und dem sogenannten Lean Management lagern auch Leasinggesellschaften zahlreiche Prozesse und Kerntätigkeiten auf andere Unternehmen aus. Hierdurch sollen komparative Kostenvorteile genutzt und gleichzeitig die Flexibilität und das Reaktionsvermögen bei geänderten Marktbedingungen erhöht werden. Eng mit jeder Auslagerung sind aber auch zahlreiche Risiken verbunden, die es im Sinne der aufsichtsrechtlichen Vorgaben, aktiv zu steuern gilt. Zur Sicherstellung eines wirksamen Risikomanagements und einer ordnungsgemäßen Erbringung der notwendigen Dienstleistungen eignet sich neben dem Outsourcing‐Controlling insbesondere eine Auslagerungsinventur (Abschn. 5.1 basiert im Wesentlichen auf Glaser 2012a).
5.1.1 Definition Outsourcing
Gemäß AT 9 Tz. 1 der Mindestanforderungen an das Risikomanagement (MaRisk) liegt eine Auslagerung vor, wenn ein anderes Unternehmen Tätigkeiten übernimmt, die ansonsten typischerweise vom eigenen Institut selbst erbracht würden.
Ausdrücklich ausgenommen ist in dieser Definition aber der sogenannte sonstige Fremdbezug von Leistungen, der unter anderem den einmaligen oder gelegentlichen Fremdbezug von Gütern und Dienstleistungen, wie etwa den Kantinenbetrieb oder Beratungsleistungen, Aus‐ und Weiterbildung, Wach‐ und Reinigungsdienste etc., umfasst.
Darüber hinaus macht die Definition aus AT 9 Tz. 1 die Flexibilität des Begriffs Outsourcing deutlich. Sofern eine bestimmte Tätigkeit nun beispielsweise von den meisten Leasinggesellschaften nicht mehr selbst erbracht wird, kann es in Zukunft zu einer Umklassifizierung als sonstiger Fremdbezug kommen, sodass es sich nicht mehr um eine Auslagerung handelt (Hinweis: solche Tätigkeiten sind allerdings auch nicht gänzlich unreguliert, da sie wiederum unter das operationelle Risiko fallen).
5.1.2 Gründe für Outsourcing
Nahezu alle Tätigkeiten und Prozesse einer Leasinggesellschaft sind auslagerbar. In den letzten Jahren war ein starker Trend bei vielen Leasinggesellschaften hin zu einer Fokussierung auf die Kernkompetenzen unter Einbeziehung des externen Know‐hows und der Nutzung von Skaleneffekten bei Outsourcing‐Dienstleistern zu verzeichnen.
Zu den häufig ausgelagerten Tätigkeiten bei Leasinggesellschaften zählen etwa die IT‐Betreuung, die Rechtsabteilung, die Interne Revision sowie Call Center.
Neben einer Nutzung von Spezialwissen des Dienstleisters wird Outsourcing in den meisten Fällen aufgrund von Kostenüberlegungen forciert. Zum einen besteht die Möglichkeit, die Kosten aufgrund von Skaleneffekten der Dienstleister insgesamt zu senken. Zum anderen können Fixkosten variabilisiert und damit die Flexibilität der Leasinggesellschaft deutlich erhöht werden.
5.1.3 Risikoanalyse obligatorisch
Für die aktive Steuerung der ausgelagerten Prozesse und Tätigkeiten einer Leasinggesellschaft ist eine Risikoanalyse unerlässlich.
Auf Grundlage dieser Risikoanalyse gilt es nach AT 9 Tz. 2 der MaRisk für die Leasinggesellschaft, eigenverantwortlich festzulegen, ob es sich bei der untersuchten Auslagerung um eine wesentliche oder um eine nicht wesentliche Auslagerung handelt.
In die Risikoanalyse sind zudem alle maßgeblichen Organisationseinheiten, gegebenenfalls unter Einbezug der Internen Revision, einzubinden. Im Falle von Änderungen der Risikosituation ist die Risikoanalyse anzupassen.
Konkrete Vorgaben zur methodischen oder inhaltlichen Ausgestaltung einer Risikoanalyse werden in den MaRisk bewusst nicht getroffen, um die Methodenfreiheit und die individuelle Ausgestaltung in Anlehnung an das Proportionalitätsprinzip, zu gewährleisten.
Bei der Risikoanalyse gilt es unter anderem die Risiken der Auslagerung sowie auch die Eignung des Auslagerungsunternehmens zu berücksichtigen. Die Intensität der Analyse richtet sich gemäß dem Proportionalitätsprinzip insbesondere nach der Art, dem Umfang sowie der Komplexität und dem Risikogehalt der ausgelagerten Tätigkeit.
Inhaltlich muss die Analyse alle Aspekte umfassen, die für eine angemessene Einbindung der Auslagerungen in das Risikomanagement maßgeblich sind.
Klassische Risikofelder beim Outsourcing wesentlicher Tätigkeiten und Prozesse sind häufig starke Abhängigkeiten von den Unternehmen, auf die bestimmte Tätigkeiten ausgelagert werden, eine verschlechterte Kontrolle der Einhaltung von internen und externen Vorgaben sowie ein teils erheblicher Know‐how‐Verlust beim eigenen Institut.
Im Zuge der Risikoanalyse gilt es also zu klären, ob trotz der Auslagerung genügend Eigenwissen im Institut verbleibt, um den Vertragspartner beziehungsweise die Leistung (aktiv) steuern zu können oder ob die Leasinggesellschaft das Heft des Handelns komplett aus der Hand gibt. Abbildung 5.2 zeigt häufig auftretende Risiken im Zusammenhang mit Auslagerungen.
Outsourcing‐Risikoanalyse (Glaser 2012a, S. 205)
5.1.4 Ermittlung wesentlicher Auslagerungen
Die dargestellten strengen aufsichtsrechtlichen Vorgaben und Anforderungen beziehen sich hauptsächlich auf wesentliche Auslagerungen. Diese wesentlichen Auslagerungen gilt es auch in der Geschäfts‐ und Risikostrategie angemessen zu berücksichtigen.
Das Institut übernimmt durch die eigenverantwortlich durchgeführte und individuell ausgestaltete Risikoanalyse die Verantwortung sowohl für die Einstufung der Auslagerung als auch für deren Einbindung in das eigene unternehmensinterne Risikomanagement. Außerdem gilt es die wesentlichen Auslagerungen besonders im Notfallkonzept zu berücksichtigen und auch die erforderlichen Eskalations‐ und Kommunikationswege zu definieren.
Eine pauschale Aussage über die Wesentlichkeit von Auslagerungen ist sehr schwer, da die Wesentlichkeit häufig von Kleinigkeiten und konkreten institutsindividuellen Ausgestaltungsformen abhängt.
Sofern zentrale Geschäftsprozesse aufgrund von wesentlichen Auslagerungen gravierend geändert werden (müssen), sollte hierauf in der Geschäftsstrategie kurz eingegangen werden.
Bei nicht wesentlichen Auslagerungen gelten starke Vereinfachungen. Nichtsdestotrotz muss aber auch bei nicht wesentlichen Auslagerungen die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG gewährleistet sein.
Gemäß AT 9 Tz. 5 der MaRisk gilt es Vorkehrungen zu treffen, um die Kontinuität und Qualität der ausgelagerten Tätigkeiten auch bei einer beabsichtigten Beendigung zu gewährleisten.
Die regulatorischen Anforderungen an die Auslagerung gelten auch bei der Weiterverlagerung ausgelagerter Aktivitäten und Prozesse, also auch dann, wenn der Dienstleister wiederum die bereits ausgelagerten Tätigkeiten an eine weitere Stelle oder ein weiteres Unternehmen auslagert.
5.1.5 Grenzen der Auslagerung
Grundsätzlich können alle Tätigkeiten ausgelagert werden, sofern sich keine Beeinträchtigung der Ordnungsmäßigkeit der Geschäftsorganisation nach § 25a Abs. 1 KWG ergibt.
Es gilt allerdings zu berücksichtigen, dass es nicht zu einer Delegation der Verantwortung der Geschäftsleitung auf das Auslagerungsunternehmen kommen kann. Verantwortlich bleibt auch bei ausgelagerten Tätigkeiten stets die Geschäftsleitung.
Zu den nicht auslagerbaren Leitungsaufgaben der Geschäftsleitung zählen allgemein die Aufgaben, die aufgrund gesetzlicher Vorgaben oder sonstiger Regelungen explizit der Geschäftsleitung vorbehalten sind. Nach AT 9 Tz. 4 der MaRisk umfasst dies unter anderem die Unternehmensplanung und ‐koordination sowie die Unternehmenskontrolle und die Besetzung der Führungskräfte. Eine Konkretisierung dieser Aufgaben stellt etwa die Festlegung von Strategien dar. Gemäß AT 4.2 Tz. 1 der MaRisk liegt der Inhalt der Strategie allein in der Verantwortung der Geschäftsleitung. Ebenso nicht (ohne Weiteres beziehungsweise ohne Zustimmung der BaFin an externe Dienstleister) auslagerbar ist beispielsweise das Controlling als integraler Bestandteil eines funktionierenden Risikomanagements sowie auch die Betrugsprävention im Sinne des § 25 h KWG.
5.1.6 Spezielle Pflichten bei der Auslagerung der Internen Revision
Die Interne Revision bildet eine sehr zentrale Tätigkeit im Internen Kontrollsystem einer Leasinggesellschaft. Daher ist eine (Voll‐)Auslagerung der Internen Revision mit einer erheblichen Tragweite verbunden und erfordert deshalb auch eine sehr detaillierte Prüfung durch das Risikomanagement.
Im Fall einer Auslagerung mit einer derart erheblichen Tragweite, muss sehr intensiv geprüft werden, ob und wie eine Einbeziehung der Auslagerung in das Risikomanagement der Leasinggesellschaft sichergestellt werden kann.
Außerdem muss bei einer (Voll‐)Auslagerung der Internen Revision ein Revisionsbeauftragter benannt werden, der etwa den Prüfungsplan gemeinsam mit dem beauftragten Dritten erstellt sowie auch prüft, ob die festgestellten Mängel beseitigt wurden.
5.1.7 Gruppeninterne Auslagerungen
Sofern Aktivitäten und Prozesse innerhalb einer Unternehmensgruppe ausgelagert werden, kann dies wiederum in der Risikoanalyse risikomindernd berücksichtigt werden, wenn ein wirksames Risikomanagement auf Gruppenebene etabliert ist und entsprechende Durchgriffsrechte bestehen.
Infolgedessen werden konzerninterne Auslagerungen regelmäßig als unter Risikogesichtspunkten nicht wesentlich eingestuft.
5.1.8 Praktische Umsetzung
5.1.8.1 Auslagerungsinventur
Zur Sicherstellung einer ständig aktuellen Risikoanalyse empfiehlt sich in der Praxis eine Auslagerungsinventur, die sich methodisch an die Risikoinventur zur Ermittlung der wesentlichen Risiken anlehnt. Hierbei gilt es regelmäßig (zumeist jährlich) sowie anlassbezogen sämtliche ausgelagerten Prozesse und Tätigkeiten zu überprüfen und die damit verbundenen Risiken zu katalogisieren und zu inventarisieren. Bei der anschließenden Risikoanalyse gilt es, die Wesentlichkeit der Auslagerung zu überprüfen und wesentliche von unwesentlichen Auslagerungen möglichst trennscharf voneinander zu unterscheiden.
Für die Steuerung und Überwachung der ausgelagerten Tätigkeiten gilt es im Risiko‐ bzw. im Outsourcing‐Inventar entsprechende Risk Owner festzulegen, die die Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien regelmäßig überprüfen und die Einhaltung der Risikostrategie sicherstellen.
Im Zuge der Erstellung oder Überprüfung der Auslagerungsinventur bietet es sich häufig zudem an, ein entsprechendes Eskalationsmanagement sowie eine Exit‐Strategie im Vorfeld zu erarbeiten. Hierdurch soll im Fall der Fälle ein effektives Eskalations‐ bzw. Change Management gewährleistet werden. Abbildung 5.3 zeigt einen möglichen Aufbau eines solchen Auslagerungsinventars.
Beispielhafter Aufbau eines Auslagerungsinventars (Glaser 2012a, S. 206)
5.1.8.2 Outsourcing‐Controlling
Ein regelmäßiges Outsourcing‐Controlling mit möglichst engen Jour‐Fixe‐Terminen soll dabei helfen, mögliche Probleme und Fehlerquellen beim Outsourcing so früh wie möglich zu identifizieren und zu beheben.
Durch eine Auslagerung darf es nicht zu einem Verlust der Risikokontrolle bei der auslagernden Leasinggesellschaft kommen. Es ist also stets ein funktionierendes Outsourcing‐Controlling zu implementieren, das in der Regel auf der Auslagerungsinventur basiert.
Darüber hinaus korreliert das Outsourcing‐Controlling eng mit der Qualität beziehungsweise der Leistungsfähigkeit des Auslagerungsunternehmens, dem vereinbarten Leistungsumfang und damit der Tiefe der Auslagerung sowie der Kenntnis und Einschätzung der mit der Auslagerung verbundenen Risiken. Abbildung 5.4 ordnet die unterschiedlichen Intensitätsstufen in das Outsourcing‐Controlling ein.
Intensitätsstufen im Outsourcing‐Controlling (eigene Darstellung, in Anlehnung an Goeke, Koch 2008, S. 793)
Der Aufbau eines umfassenden Outsourcing‐Controllings verläuft regelmäßig in mehreren, aufeinander aufbauenden Schritten. Hierbei bildet die Risikobeurteilung oder das Risk Assessment regelmäßig die Grundlage. In diesem Schritt wird neben der Risikoart und dem Risikogehalt unter Berücksichtigung der Komplexität sowie der Bedeutung der ausgelagerten Tätigkeit für die Leasinggesellschaft eine Risikobeurteilung vorgenommen.
Anschließend gilt es, entsprechende Kontrollaktivitäten zu etablieren. Hierbei werden unter anderem Zertifizierungen, etwa ISO‐Zertifizierungen, Erfahrungen und Referenzen im Allgemeinen sowie Prüfungsberichte von Wirtschaftsprüfern oder der Internen Revision herangezogen, um ein möglichst umfassendes Kontrollbewusstsein zu gewinnen. Hierbei gilt es, das Risiko der Auslagerung weiter zu präzisieren.
Anhand im Vorfeld definierter Eskalationsprozesse sowie kritischer Performance‐Indikatoren und einer möglichst standardisierten und unverzüglichen Informationsversorgung soll sichergestellt werden, dass mögliche Schwachpunkte schnellstmöglich erkannt und behoben werden können.
Das Monitoring beziehungsweise das umfassende Konzept des Outsourcing‐Controllings stellen die höchsten Leistungsanforderungen, insbesondere was die Qualität und die Menge der Daten angeht. Als sehr sinnvoll für eine aktive Steuerung haben sich in der Praxis kritische Performance Indikatoren erwiesen, die institutsindividuell und abhängig von der ausgelagerten Tätigkeit bzw. dem ausgelagerten Prozess, festgelegt werden.
Insbesondere bei komplexen Auslagerungen ergibt sich die zusätzliche Schwierigkeit, dass die Leasinggesellschaft die Qualität der Leistung häufig nicht oder nur mit einem gewissen zeitlichen Versatz beurteilen oder kontrollieren kann.
Zur Bestimmung des Umfangs der Kontrollmaßnahmen eignet sich die Unterlegung des Outsourcing‐Risikos jeder ausgelagerten Tätigkeit mit einer Eintrittswahrscheinlichkeit und dem möglichen Schadens‐ bzw. Verlustpotenzial.
Für alle ausgelagerten Tätigkeiten und Prozesse – egal ob es sich um eine wesentliche oder unwesentliche Auslagerung handelt – muss sichergestellt sein, dass die Anforderungen aus § 25a KWG an die Ordnungsmäßigkeit der Geschäftsorganisation eingehalten werden.
5.1.8.3 Auslagerungsvertrag
Im Auslagerungsvertrag gilt es, sehr präzise Vorgaben zu treffen, insbesondere was die Zuverlässigkeit und die Qualität der vereinbarten Tätigkeit betrifft. Es gilt die Faustformel: je wichtiger die ausgelagerte (Teil‐)Aktivität ist, umso präziser und detaillierter sollte das vereinbarte Service Level Agreement sein, in dem die wesentlichen Parameter der Auslagerung fixiert werden. Abbildung 5.5 stellt die wesentlichen Parameter eines Auslagerungsvertrags übersichtlich dar.
Inhalte eines Auslagerungsvertrags für wesentliche Auslagerungen (eigene Darstellung, in Anlehnung an AT 9 Tz.6 der MaRisk)
So müssen für wesentliche Auslagerungen Prüfungs‐ und Kontrollrechte vertraglich vereinbart sein. Aufgrund der begrenzten Einflussnahme auf die Dienstleister würden sich ohne entsprechende Prüfungen und Kontrollen „blinde Flecken“ ergeben, sodass wesentliche Risiken und Fehler möglicherweise unentdeckt blieben.
Zu den weiteren erforderlichen Elementen zählen unter anderem angemessene Kündigungsfristen und die Pflicht des Dienstleisters, über Entwicklungen, die die ordnungsgemäße Erledigung der ausgelagerten Aktivitäten und Prozesse gefährden können, zu informieren (vgl. AT 9 Tz. 6 der MaRisk).
Neben der Erstellung eines Auslagerungsvertrags gilt es zudem sämtliche Kontrollsysteme – auch und insbesondere bei den externen Dienstleistern – umfassend und detailliert zu dokumentieren, damit sich sowohl intern das eigene Risikomanagement und die Interne Revision sowie extern die Jahresabschlussprüfer mit der Qualität des Risikomanagements auseinander setzen können.
5.1.9 Fazit
Die Regelungen der MaRisk zum Themenkomplex der Auslagerungen stellen ein gelungenes Paradebeispiel für sehr flexibel und prinzipienorientiert ausgestaltete regulatorische Vorgaben dar. Gleichzeitig verlangen diese Anforderungen den Leasinggesellschaften aber auch sehr viel Eigenverantwortung ab, was sich insbesondere in der Risikoanalyse, die den Dreh‐ und Angelpunkt bildet, deutlich zeigt.
Ein professionelles Risikomanagement bewährt sich auch und insbesondere beim Outsourcing‐Controlling, wovon wiederum die dargestellte Auslagerungsinventur einen wesentlichen Bestandteil ausmacht.
Da die meisten ausgelagerten Tätigkeiten häufig nicht nur als eine einmalige und kurzfristige Kostensenkungsmaßnahme konzipiert sind und sich die eigentlichen Potenziale vielfach erst mittel‐ bis langfristig vollumfänglich realisieren, lohnt sich regelmäßig ein akribisch aufgebautes Outsourcing‐Controlling und ermöglicht die Nutzung von Optimierungspotenzialen bei gleichzeitiger Einhaltung der risikostrategischen Vorgaben.
5.2 Gefährdungsanalyse
In einer Gefährdungsanalyse findet eine möglichst vollständige Bestandsaufnahme der institutsspezifischen (Risiko)Situation beziehungsweise der realen Bedrohungslage statt. Erst durch eine entsprechend strukturierte Darstellung ist es überhaupt möglich, die weiteren Schritte im Risikomanagement hauptsächlich in Bezug auf die Prävention von Geldwäsche, Terrorismusfinanzierung und den sonstigen strafbaren Handlungen im Sinne des § 25 h KWG zu erfüllen (Abschn. 5.2 basiert im Wesentlichen auf Glaser 2012b und 2012c).
5.2.1 Gesetzlicher Ausgangspunkt
Es gibt zwar keine explizite gesetzliche Normierung für die Durchführung einer Gefährdungsanalyse, nach § 25 h Abs. 1 KWG i. V. m. § 9 Abs. 2 GwG stellt eine Gefährdungsanalyse aber die denknotwendige Voraussetzung einer jeden Geldwäsche‐ und Betrugsprävention sowie allgemein einer Prävention der sonstigen strafbaren Handlungen, die über den Tatbestand des Betrugs hinausgehen, dar. Die Prävention der Terrorismusfinanzierung wird durch die EU‐Finanztransaktionsverordnung rechtlich normiert.
Der Gefährdungsanalyse kommt außerdem im Aufsichtsrecht eine zentrale Rolle zu, wenngleich es keine expliziten gesetzlichen Vorgaben gibt, wie eine Gefährdungsanalyse konkret auszusehen hat. Der im Aufsichtsrecht häufig verwendete Terminus „Angemessenheit der Maßnahmen“ orientiert sich an der jeweiligen Risikosituation eines Instituts, insbesondere an der Größe, Organisation und Gefährdungssituation (vgl. BaFin RS 8/2005 GW) sowie auch an der Geschäfts‐ und Kundenstruktur, die in einer Gefährdungsanalyse dargestellt werden können beziehungsweise sollten. Eng daran schließen auch die von der Aufsicht eingeräumten Ermessensspielräume an, die sich durch eine risikoorientierte Ausgestaltung der „angemessenen“ Maßnahmen auf Basis der Gefährdungslage ergeben.
Die zentrale Rolle der Gefährdungsanalyse wird auch dadurch hervorgehoben, dass die aufsichtsrechtlichen Vorgaben einen wichtigen Bestandteil in der Jahresabschlussprüfung, bei der die Einhaltung der Pflichten und die Angemessenheit der ergriffenen Maßnahmen auf Grundlage der Gefährdungsanalyse überprüft werden, einnehmen. Die Gefährdungsanalyse bildet damit regelmäßig den Dreh‐ und Angelpunkt der Sicherungs‐ und Präventionsmaßnahmen einer Leasinggesellschaft.
Das Ziel der Gefährdungsanalyse ist es also, die vorhandene Bedrohungslage für das eigene Institut und auch für die Aufsichtsbehörden beziehungsweise allgemein einen sachverständigen Dritten transparent zu machen und entsprechend zu dokumentieren.
5.2.2 Definitionen der zentralen Gefährdungsarten
Im Folgenden sollen kurz die wichtigsten Charakteristika der Begriffe Geldwäsche, Terrorismusfinanzierung und der sonstigen strafbaren Handlungen dargestellt werden.
Die Geldwäsche bildet häufig das Herzstück der organisierten Kriminalität. Das Ziel der Geldwäsche besteht darin, Gelder oder Vermögenswerte aus kriminellen Vortaten, etwa Drogenhandel, Betrug, Kreditkartenfälschung, Schutzgelderpressung, illegalem Waffenhandel, Menschenhandel etc., in den legalen Wirtschaftskreislauf einzuschleusen und die Herkunft zu verschleiern. Der Begriff der Geldwäsche (engl. Money Laundering) kann bis in die Zeiten Al Capones, also in die USA der 1920er Jahre zurückgeführt werden, als kriminelle Gruppen verstärkt Waschsalonbetriebe (sogenannte Laundromats) – deren Umsätze nur sehr schwer kontrollierbar waren – dazu nutzten, die illegal erzielten Gewinne von der Schatten‐ beziehungsweise Untergrundwirtschaft in die Realwirtschaft einzuschleusen. Auch heute noch werden gezielt Geschäftsbetriebe – wenn auch vorwiegend keine Waschsalonbetriebe mehr wie noch in der 1920er Jahren – mit nur schwer zu überblickenden Umsätzen, etwa Spielhallen, Wettbüros oder Gastronomiebetriebe, als Geldwäschemedium verwendet.
Die Geldwäsche bildet damit den Schnittpunkt zwischen illegalen Erlösen, die häufig noch sehr eng mit den Straftaten verbunden und diesen regelmäßig auch noch direkt zuordenbar sind und dem legalen Finanzkreislauf, bei dem insbesondere Banken beziehungsweise Kreditinstitute die zentrale Rolle einnehmen, aber auch Leasinggesellschaften, Versicherungen etc. betroffen sind.
Sehr eng mit der Geldwäsche ist der Bereich der Terrorismusfinanzierung verbunden. Ein zentraler Unterschied ist hierbei allerdings, dass die Terrorismusfinanzierung auch legal erworbene Gelder umfassen kann, etwa indem Terrornetzwerke Gelder oder Vermögensgegenstände erhalten, die legal erwirtschaftet wurden. Auch für kriminelle oder terroristische Vereinigungen zeigt sich, dass eine konstante Versorgung mit ausreichenden Vermögenswerten und Geldern existenziell wichtig ist.
Aufgrund ihrer Charakteristika wird die Terrorismusfinanzierung deshalb teilweise auch als „spiegelverkehrte Geldwäsche“ bezeichnet, da in einem ersten Schritt legale Gelder aus dem Finanzsystem entzogen werden, um in einem zweiten Schritt Straftaten mit diesen Geldern zu finanzieren.
Die Prävention der Terrorismusfinanzierung ist damit – etwa im Vergleich zur Geldwäsche – häufig noch deutlich komplexer und umfassender, da sämtliche Geldströme potenziell zur Terrorismusfinanzierung geeignet sind.
Die sonstigen strafbaren Handlungen, die durch die E‐Geldrichtlinie in § 25 h KWG geregelt werden, umfassen alle strafrechtlich sanktionierten Handlungen, die zu einer wesentlichen Gefährdung des Vermögens des jeweiligen Instituts führen können (vgl. BaFin 2011). Damit sind auch und insbesondere die Bereiche Betrug und Fraud Teil dieser sonstigen strafbaren Handlungen gemäß § 25 h Abs. 1 KWG. Abbildung 5.6 zeigt beispielhafte Ausprägungsformen der Geldwäsche, Terrorismusfinanzierung und der sonstigen strafbaren Handlungen i. S. d. § 25 h Abs. 1 KWG.
Zentrale Gefährdungsarten und exemplarische Ausprägungsformen von Geldwäsche, Terrorismusfinanzierung und den sonstigen strafbaren Handlungen (Glaser 2012b, S. 20)
Im Vergleich zur Geldwäsche oder Terrorismusfinanzierung zeigt sich insbesondere bei den sonstigen strafbaren Handlungen und im Speziellen bei Betrugsdelikten ein vergleichsweise hohes Mitarbeiterrisiko. Dieses kann sich dadurch äußern, dass der Mitarbeiter entweder als Alleintäter handelt oder mit einem anderen Mitarbeiter, einem Kunden beziehungsweise allgemein mit einem Geschäftspartner kollusiv zu Lasten des Instituts zusammenwirkt.
5.2.3 Geldwäsche, Terrorismusfinanzierung und sonstige strafbare Handlungen im Leasing
Im Bereich Leasing besteht nur ein sehr geringes Risiko für Geldwäsche und Terrorismusfinanzierung, da es sich beim Leasing um ein Finanzierungsinstrument handelt. Dies bedeutet, dass dem Kunden Geld zur Verfügung gestellt wird und die Kunden damit kein „überschüssiges“ beziehungsweise aus illegalen Vortaten oder aus Terrorismusvortaten erlangtes Geld in den Wirtschaftskreislauf einführen.
Außerdem werden Leasingtransaktionen für gewöhnlich unbar abgewickelt. Da auch die beteiligten Banken selbst den geldwäscherechtlichen Identifizierungspflichten unterliegen, findet in den meisten Fällen de facto eine doppelte geldwäscherechtliche Überprüfung des Kunden statt.
Durch die nach Höhe und Termin fest vereinbarten Zahlungen, die häufig per Lastschrift eingezogen werden, bestehen außerdem nur sehr geringe Spielräume für eine Zahlungsverschleierung.
Geldwäsche ist aber auch im Leasing möglich, etwa in einem Fall, in dem der Leasingnehmer ein hochpreisiges Objekt beispielsweise im Sale‐and‐Lease‐Back‐Verfahren mit Rückkaufoption least und dieses Objekt deutlich vor Ablauf der Vertragslaufzeit vorzeitig ablöst und das Objekt zurücknimmt. Unter wirtschaftlichen Gesichtspunkten erscheint dieser Vorgang zwar häufig unsinnig, die meisten Leasinggesellschaften würden sich diesem Anliegen aber aufgrund der zusätzlichen Marge wohl nicht verstellen.
Bei der Terrorismusfinanzierung gibt es auch die Fallkonstellation, dass das vorhandene illegale Kapital nicht in den wirtschaftlichen Kreislauf eingeschleust wird, sondern diesem nachhaltig entzogen wird, um terroristische Aktivitäten zu finanzieren.
So kann beispielsweise ein Leasingobjekt dazu dienen, auf legalem Wege finanzielle Mittel zu erwirtschaften, die dann anschließend an terroristische Vereinigungen weitergeleitet werden. Insbesondere Branchen mit gut verschleierbaren Einkünften sind hierfür prädestiniert.
Die Schäden der sonstigen strafbaren Handlungen unterscheiden sich von den Schäden durch Geldwäsche oder Terrorismusfinanzierung häufig dadurch, dass die erstgenannten regelmäßig unmittelbar gegen das Institut wirken.
Das häufig wesentlichste Risiko der sonstigen strafbaren Handlungen nimmt für Leasinggesellschaften regelmäßig das Betrugsrisiko ein, etwa in Form eines überhöhten Kaufpreises für das Leasingobjekt aufgrund gefälschter Wertnachweise, nur auf dem Papier existierender Liefervorgänge, sogenannte „Luftgeschäfte“ etc. Beim Fraud (abzugrenzen vom Error, also dem unbeabsichtigten Fehlverhalten) als weiterer zentraler sonstiger strafbarer Handlung, die auch den Betrug von innen, also durch eigene Mitarbeiter umfasst, können neben materiellen Schäden insbesondere auch immaterielle Schäden, etwa an der Reputation beziehungsweise dem Image des Instituts auftreten.
Abbildung 5.7 stellt nochmals die geläufigsten leasingtypischen Ausprägungsformen von Fraud und Betrug im Speziellen als zentralem Element der sonstigen strafbaren Handlungen dar.
Ausgewählte Betrugsdelikte im Leasingkontext (Glaser 2011b, S. 8)
5.2.4 Aufbau und Struktur der Gefährdungsanalyse
Anhand der Gefährdungsanalyse soll eine vollständige Bestandsaufnahme der institutsspezifischen Risiko‐ und Gefährdungslage und damit auch eine Herstellung von Transparenz ermöglicht werden. Abbildung 5.8 zeigt eine weit verbreitete Form des Aufbaus einer Gefährdungsanalyse.
Aufbau und Schritte einer Gefährdungsanalyse (Glaser 2012b, S. 22)
In einem ersten Teil werden häufig allgemeine (Rahmen‐)Informationen wie Angaben zur Leasinggesellschaft, die grundlegende Geschäftsstrategie, eine Umfeldbetrachtung mit allgemeinen Rahmenparametern der Wirtschaftsstruktur im Geschäfts‐ beziehungsweise Absatzgebiet, etwa auch unter Berücksichtigung einer SWOT‐Analyse (engl. Akronym für Strengths, Weaknesses, Opportunities und Threats), also einer Stärken‐Schwächen‐Chancen‐Risiken‐Analyse, getroffene wesentliche Outsourcing‐Vereinbarungen, die vorhandene Produkt‐, (Geschäfts‐)Partner‐ und Kundenstruktur, die Markt‐ und Geschäftsentwicklung, die institutsindividuelle Aufbau‐ und Ablauforganisation, vorhandene und geplante Präventions‐ und Sicherungsmaßnahmen etc. aufgeführt.
Als Kernstück der Gefährdungsanalyse werden im zweiten Teil die kunden‐, produkt‐ und transaktionsbezogenen Risiken im Hinblick auf Geldwäsche, Terrorismusfinanzierung und die sonstigen strafbaren Handlungen identifiziert und erfasst. Anschließend findet eine Kategorisierung und Gewichtung der identifizierten Risiken statt, auf deren Basis die Priorität für die abzuleitenden Präventions‐ und Sicherungsmaßnahmen ermittelt wird.
Diese Risiken werden anschließend in einem dritten Teil in Risikogruppen (häufig gruppiert nach hoch, mittel, normal und gering) unterteilt und den zugehörigen Präventionsmaßnahmen gegenübergestellt, ehe abschließend in einem vierten Schritt eine Einschätzung der Gefährdungslage – auch insbesondere unter Berücksichtigung des verbleibenden Restrisikos – vorgenommen wird. Außerdem werden hierbei auch häufig aktuelle, für die Analyse des Instituts relevante Entwicklungen berücksichtigt.
Der dargestellte Prozess sollte regelmäßig, beispielsweise mindestens jährlich sowie anlassbezogen im Falle für die Analyse wesentlicher Änderungen der äußeren und inneren Einflussfaktoren des Instituts, durchlaufen werden.
5.2.5 Identifikation der Gefährdungen
Den Ausgangspunkt der Identifikation der vorhandenen Gefährdungen bildet eine Erfassung sämtlicher Handlungen und Prozesse, die Spielraum für Geldwäsche, Terrorismusfinanzierung und sonstige strafbare Handlungen bilden, beispielsweise in Form eines „Gefährdungskatalogs“. Es muss hierbei zum einen geklärt werden, welche Schäden auf die einzelnen genannten Gefährdungen zurückzuführen sind und zum anderen, welche Prozesse und Unternehmensbereiche besonders anfällig für die untersuchten Bedrohungen sind. Von essenzieller Wichtigkeit auch insbesondere für die anschließenden Prozesse ist eine systematische Katalogisierung, um „blinde Flecken“ auf der Risiko‐ beziehungsweise Gefährdungslandkarte zu vermeiden. Neben einer Selbstevaluation der einzelnen Bereiche des Instituts, beispielsweise mittels standardisierter Fragebögen, werden hierbei auch weitere Informationen und Medien herangezogen. Hierzu gehören beispielsweise öffentlich verfügbare Informationen wie Embargo‐ und Sanktionslisten, Ausfuhrbestimmungen und öffentlich zugängliche Statistiken und Gutachten beziehungsweise Empfehlungen von nationalen und internationalen Organisationseinheiten, Gremien und Verbänden, aber auch die Erkenntnisse aus realisierten Verlusten oder Delikten aus Schadensfall‐ beziehungsweise Betrugsdatenbanken, Beanstandungen und/oder Erkenntnisse der Internen Revision oder auch externe Informationen von Datenkonsortien mit beteiligten Unternehmen, Typologiepapieren der Ermittlungs‐ und Strafverfolgungsbehörden sowie dem instituts‐ und gegebenenfalls sogar branchenübergreifenden Informationsaustausch. Die Erfassung der Risikosituation ist umso wirkungsvoller, je aktueller und lückenloser die verwendeten internen und externen Informationen sind.
Bei der Erfassung der Risikosituation sind insbesondere die Kunden‐, Produkt‐ und Transaktionsrisiken zu berücksichtigen. Während bei den Kundenrisiken häufig im Rahmen des Know‐Your‐Customer‐Prinzips gewonnene Informationen herangezogen werden, die beim Annahmeprozess beziehungsweise mit Begründung der Geschäftsbeziehung zum Kunden erhoben wurden (beispielsweise die Rechtsform, die Beteiligungsstruktur, die Branche, die Nationalität beziehungsweise das Herkunftsland, der wirtschaftlich Berechtigte oder die Zielgruppe des Kunden), werden bei der Einschätzung der Produktrisiken bestimmte Eigenschaften und Indikatoren der Produkte (beispielsweise Unterscheidung nach „klassischem“ Leasing in der Dreiecksbeziehung Leasingnehmer‐Leasinggeber und Hersteller/Händler mit drei unterschiedlichen Parteien, Mietkauf oder Sale‐and‐Lease‐Back) herangezogen. Bei den Transaktionsrisiken werden die Eigenschaften bestimmter Geschäftsprozesse näher untersucht (beispielsweise Leasinganfrage über Vermittler oder sonstigen Dritten angetragen, Sitz des Kunden oder Lieferanten im Ausland, Ausgangspunkt für die Anbahnung der Geschäftsbeziehung war der Kunde und nicht der Außendienstmitarbeiter etc.).
Neben der Analyse der Risiken sind insbesondere auch die vorhandenen Kontroll‐ und Präventionsmaßnahmen, wie beispielsweise eine mögliche Funktionstrennung beziehungsweise ein bestehendes Vier‐Augen‐Prinzip, regelmäßige Datensicherungen, technische Unterstützung durch forensische Musterprüfungen sowie Integritätsüberprüfungen der Mitarbeiter oder wichtiger Kunden und Geschäftspartner im Rahmen der datenschutzrechtlichen Vorschriften, zu berücksichtigen.
Mittels beispielsweise Szenariotechniken können darüber hinaus nicht nur bestehende Risiken systematisch ermittelt werden, sondern auch das zukünftige Gefahrenaufkommen antizipiert und abgeschätzt werden. Dadurch besteht die Möglichkeit eines präventiven Ansatzes sowohl bei der Ermittlung der Risikosituation als auch bei der Ableitung von notwendigen Steuerungsmaßnahmen. Grundlage für eine valide Ermittlung der Risikolage ist eine hohe Trennschärfe bei der Unterscheidung zwischen regulären und plausiblen Vorgängen und strafbaren Handlungen.
5.2.6 Bewertung der Risiken
Anhand einer Bewertung der Risiken, bei der neben den aktuellen in zahlreichen Instituten insbesondere auch die geplanten Maßnahmen miteinbezogen werden, können Risikoschwerpunkte ermittelt und unter Berücksichtigung von Soll‐Vorgaben aus der Risikostrategie oder aus Teilrisikostrategien ein entsprechender Handlungsbedarf aufgezeigt werden.
Häufig werden die identifizierten Risiken nach der Bewertung anhand der Eintrittswahrscheinlichkeit und dem potenziellen Schadensausmaß anhand ihrer Wesentlichkeit in Risiko‐ beziehungsweise Gefährdungsklassen eingeteilt, an der sich auch die konkreten Sicherungsmaßnahmen orientieren.
Durch den risikoorientierten Ansatz, der den MaRisk sowie auch der Geldwäsche‐, Terrorismusfinanzierungs‐ und Betrugsprävention, als zentralem Aspekt der sonstigen strafbaren Handlungen für Leasinggesellschaften, zugrunde liegt, werden die Priorisierungen der Präventionsmaßnahmen entsprechend der Kategorisierung und Gewichtung der identifizierten Risiken ergriffen.
Für die kategorisierte Bewertung der Risiken und auch für die Aufdeckung von tatbegünstigenden Schwachstellen bietet sich häufig eine matrixartige Darstellung mit den betrügerischen und im Rahmen der Geldwäsche und Terrorismusfinanzierung favorisierten Handlungen beziehungsweise bestimmten Risikoindikatoren einerseits und den Geschäftsfeldern und Prozessen andererseits an. In einer anschließenden Bewertung, beispielsweise über ein Ampelsystem, werden die Risikoarten priorisiert und nach Eintrittswahrscheinlichkeit und Verlusthöhe beurteilt. Zur Ermittlung der Eintrittswahrscheinlichkeit und Schadenshöhe werden die institutseigenen Erfahrungen (beispielsweise mittels Schadensfall‐ oder Betrugsdatenbanken) häufig auch um Expertenschätzungen oder statistische Erkenntnisse ergänzt.
Über eine Clusterung und eine entsprechende Aggregation der Risiken innerhalb des Instituts können zusammengehörige Risikobereiche dargestellt werden, beispielsweise in sogenannten „Heat Maps“ und den identifizierten Hochrisikobereichen die entsprechende Aufmerksamkeit und Priorität bei der Steuerung geschenkt werden. Auf dieser Basis können zudem relativ einfach Kriterien beziehungsweise Frühwarnindikatoren für bestimmte Risikoausprägungen dargestellt werden. Eine „Heat Map“ ist ähnlich aufgebaut wie eine Risikomatrix und bewertet die einzelnen Risiken in den farbig skalierten Prioritätsabstufungen hoch (dunkel), mittel (mittel) und niedrig (hell), wie Abb. 5.9 anhand ausgewählter Gefährdungen einer Leasinggesellschaft beispielhaft zeigt. Hierdurch werden Gefährdungsschwerpunkte bestimmt und dokumentiert. Häufig werden die in der Heat Map dargestellten Risiken mittels intelligenter IT‐Routinen ermittelt und entsprechend vollautomatisch aggregiert. Es findet dabei lediglich eine manuelle Nacharbeit, etwa in Form einer Plausibilisierung der Ergebnisse statt.
Heat Map für exemplarisch ausgewählte Gefährdungen einer Leasinggesellschaft (Glaser 2012b, S. 25)
5.2.7 Analyse der aktuellen Gefährdungssituation
Unter Berücksichtigung der Ergebnisse der Bewertung und Aggregation der vorhandenen Risikosituation wird das institutsspezifische Gefährdungspotenzial beurteilt. Hierbei wird das Bedrohungspotenzial unter Einbeziehung der bestehenden Gegenmaßnahmen ermittelt und untersucht, inwiefern das Institut in der Lage ist, Geldwäsche‐ und Terrorismusfinanzierungsrisiken sowie die sonstigen strafbaren Handlungen mit den Betrugs‐ und Fraud‐Risiken als zentraler Ausprägungsform bewusst zu steuern oder gar gänzlich präventiv zu vermeiden.
Neben empirischen Auswertungen, Aufzeichnungen in institutseigenen Datenbanken insbesondere bezüglich der sonstigen strafbaren Handlungen, etwa in Schadensfall‐ oder Betrugsdatenbanken und Erkenntnissen aus Verdachtsmeldungen bezüglich Geldwäsche oder Terrorismusfinanzierung, nimmt speziell die Expertenschätzung eine zentrale Rolle ein. Als Experten können sowohl institutsfremde als auch institutseigene Mitarbeiter herangezogen werden, je nach Erfahrungen und Hintergrundwissen auf den relevanten Gebieten und in Bezug auf die zu bewertenden Methoden und Ausprägungsformen sowie die Wirksamkeit der getroffenen Präventionsmaßnahmen.
5.2.8 Präventionsmaßnahmen und Risikoüberwachung
Es sollte eine laufende Kontrolle der ergriffenen und der gegebenenfalls geplanten beziehungsweise noch zu ergreifenden Präventionsmaßnahmen auf deren Effektivität, aber auch auf deren Effizienz hin durchgeführt werden.
In Verbindung mit der Veränderung beziehungsweise allgemein mit der Gefährdungslage kann damit auch eine Aussage über die Angemessenheit der ergriffenen Maßnahmen, aber auch die Notwendigkeit zusätzlicher Maßnahmen unter Berücksichtigung der verbleibenden Restrisiken, getroffen werden.
Nachdem im ersten Schritt die Bedrohung durch Geldwäsche, Terrorismusfinanzierung, die betrügerischen und sonstigen strafbaren Handlungen ermittelt und bewertet wurde, wird in einem abschließenden Schritt die spezifische Risikolandschaft durch Ableitung wirkungsvoller Steuerungsimpulse (pro)aktiv gestaltet. Hierbei sind unter Berücksichtigung der individuellen Risikosituation und auch unter Berücksichtigung der Risikostrategie ausgewählte Methoden und konkrete Handlungsvorgaben abzuleiten beziehungsweise bestehende Maßnahmen zu überprüfen und gegebenenfalls weiterzuentwickeln.
So sollen durch abzuleitende Maßnahmen sowie Notfallpläne für akute Krisenfälle, zum einen die Eintrittswahrscheinlichkeit für bestimmte Ereignisse reduziert und zum anderen die Auswirkungen des verbleibenden Restrisikos auf ein vordefiniertes Niveau gesenkt werden. Die Präventionsmaßnahmen für die im Rahmen der Gefährdungsanalyse dargestellten Risiken unterscheiden sich hierbei teilweise erheblich. Während in Bezug auf Geldwäsche und Terrorismusfinanzierung regelmäßig eine Null‐Toleranz‐Grenze angestrebt wird, kann es in Bezug auf sonstige strafbare Handlungen auch vorkommen, dass die Auswirkungen auf ein akzeptables Niveau gesenkt und teilweise bewusst selbst getragen oder gänzlich beziehungsweise in Teilen auf Dritte (beispielsweise Versicherungen) transferiert werden. Es können bestimmte Handlungsschritte vordefiniert werden, die bei Überschreitung der Akzeptanzgrenzen ergriffen werden müssen. Häufig entsteht der Trugschluss, dass bereits die Ermittlung und Bewertung der Gefährdungspotenziale aus dem ersten Schritt vor den Bedrohungen schützt. Dieser Schritt bildet allerdings nur die Basis für die Ableitung weiterer Maßnahmen und die aufgedeckten Schwachstellen können erst durch das Etablieren von Sicherungs‐ und Präventionsmaßnahmen geschlossen und die Risikolandschaft damit positiv verändert werden.
Im Mittelpunkt dieses zweiten Schritts steht hierbei die Entwicklung einer wirkungsvollen Präventionsstrategie, die auf die individuelle Gefährdungslage abgestimmt ist und Wechselwirkungen sowohl zwischen Risiken als auch zwischen den getroffenen beziehungsweise den zu treffenden Präventionsmaßnahmen berücksichtigen. Ein effektiver Schutz wird allerdings nur bei hoher Wirksamkeit der abgeleiteten Steuerungsimpulse ermöglicht.
Häufig wird ein Maßnahmen‐Mix aus den unterschiedlichsten Präventionsmaßnahmen, etwa Schulungen der Mitarbeiter und gegebenenfalls Vertriebspartner, ein EDV‐Research beziehungsweise Monitoring des Portfolios bezüglich Auffälligkeiten, Sanktionslistenabgleiche, weitere organisatorische Vorkehrungen und Einzelmaßnahmen je spezifisch identifiziertem Risiko etabliert.
In der Gefährdungsanalyse gilt es, die Sicherungsmaßnahmen vollständig zu berücksichtigen und die verbleibenden Risiken und zukünftige Entwicklungen angemessen darzustellen.
Abbildung 5.10 zeigt das besondere Zusammenspiel zwischen den abgeleiteten Maßnahmen und der Analyse der Gefährdungssituation. Die abgeleiteten Maßnahmen sind nur insoweit zweckmäßig, wie die durchgeführte Analyse der Gefährdungssituation umfassend ist. Im Umkehrschluss führt eine Fehleinschätzung der Gefährdungssituation des Instituts zwangsläufig zu einer lückenhaften und unvollständigen Risikosteuerung.
Zusammenspiel der einzelnen Prozesse der Gefährdungsanalyse (Glaser 2012b, S. 26)
Beteiligte Bereiche und Abteilungen eines wirkungsvollen und ganzheitlich umgesetzten Anti‐Fraud‐Managements und einer umfassenden Prävention von Geldwäsche und Terrorismusfinanzierung sind neben der zentralen Stelle insbesondere das Risikomanagement beziehungsweise die Compliance‐Abteilung, die IT‐Sicherheit, die Interne Revision, das Controlling, die Rechtsabteilung und die Kreditabteilung und ‐prüfung.
Den letzten und periodisch sowie anlassbezogen durchzuführenden Schritt beim Kreislauf der Erstellung und Ermittlung der Gefährdungsanalyse bildet die regelmäßige Überprüfung und Überarbeitung. Beim sogenannten „Proof of Concept“ sind die Analyseergebnisse und die getroffenen Sicherungsmaßnahmen regelmäßig auf ihre Wirksamkeit zu überprüfen. Es können in Verbindung mit den „Heat Maps“ die Hochrisikobereiche besonders penibel behandelt und überwacht werden und auch die Fachabteilungen stärker einbezogen werden.
Durch eine gut strukturierte und gelebte Gefährdungsanalyse kann nachhaltig zu einer verbesserten Früherkennung, erhöhten Transparenz und verbesserten Risikosteuerung im Sinne einer Effizienzsteigerung im Umgang mit dem vorhandenen Risikoportfolio beigetragen werden. Abbildung 5.11 zeigt nochmals praktische Maßnahmenbündel für ausgewählte Risikofelder, auf denen die Gefährdungsanalyse wesentlich basiert, auf.
Ausgewählte Präventionsmaßnahmen (Glaser 2012b, S. 27)
5.2.9 Inhalt einer integrierten Gefährdungsanalyse
Neben den Gefährdungen der Geldwäsche und Terrorismusfinanzierung gehören seit der in 2011 verabschiedeten E‐Geld‐Richtlinie auch der Betrug im Speziellen und die sonstigen strafbaren Handlungen gemäß § 25 h KWG im Allgemeinen zu einem funktionierenden Risikomanagement im Sinne einer ordnungsgemäßen Geschäftsorganisation nach § 25a KWG einer Leasinggesellschaft. Diese sind deshalb auch in die von der zentralen Stelle – die neben der Geldwäsche‐ und Terrorismusprävention insbesondere auch den Kampf gegen die sonstigen strafbaren Handlungen verantwortet – erstellte Gefährdungsanalyse einzubeziehen.
Da die zentrale Stelle sämtliche zweifelhaften und ungewöhnlichen Sachverhalte dieser Gefährdungen zu untersuchen hat, soll eine Effizienzsteigerung und ein noch effektiverer Schutz gegen diese Bedrohungen erfolgen. Bei zweifelhaften und ungewöhnlichen Sachverhalten sollte der komplette Fall genau durchleuchtet und „auf Herz und Nieren“ untersucht werden, die vorhandenen Informationen angemessen eingesetzt, aufgezeichnet und dokumentiert werden, um im Zweifelsfall nachzuweisen, dass angemessene Präventionsmaßnahmen ergriffen wurden.
Während vergleichsweise lange schon für die Gefahren von Geldwäsche und Terrorismusfinanzierung eigenständige Gefährdungsanalysen erstellt werden, kommt spätestens durch die Novellierung und die geänderten Vorgaben aus § 25 h KWG einer integrierten Gefährdungsanalyse, bei der neben den Gefahren von Geldwäsche und der Terrorismusfinanzierung auch die sonstigen strafbaren Handlungen beinhaltet sind, eine wichtige Rolle zu.
Nicht selten kam es aufgrund eigenständig und größtenteils komplett voneinander unabhängigen Gefährdungsanalysen dazu, dass zahlreiche Prozessschritte redundant durchgeführt werden mussten und – was aus Präventionsgesichtspunkten häufig viel schwerwiegender zu beurteilen ist – die einzelnen Prozesse nicht optimal aufeinander abgestimmt waren beziehungsweise noch erhebliche Verbesserungspotenziale durch eine zentrale Stelle, die sämtliche Präventionsmaßnahmen koordiniert und idealerweise in einer zentralen Gefährdungsanalyse hinterlegt, bestanden.
5.2.10 Schritte bei der Durchführung
In einem ersten Schritt findet regelmäßig eine (institutsindividuelle) Bestandsaufnahme der Gefährdungslage statt. Hierbei werden neben einer ausführlichen Beschreibung der Organisationsform und des Geschäftsmodells des eigenen Instituts insbesondere die Geschäfts‐ und Kundenstruktur, die relevanten Geschäftsbereiche und Unternehmensabläufe, die gängigsten Produkte und Dienstleistungen, die wesentlichen Vertriebswege, Kooperationen mit Service‐ und Absatzpartnern, getroffene und geplante Auslagerungsvereinbarungen und die allgemeine Kriminalitätslage innerhalb der Zielgruppe und der Absatzregion dargestellt und deren wichtigste Charakteristika aufgezeigt.
Bei der anschließenden Initialisierung werden die organisatorischen Rahmenbedingungen für die Gesamtanalyse der Gefährdungsanalyse festgelegt und die konkrete Vorgehensweise abgestimmt. Außerdem werden beispielsweise die quantitativen Methoden dargelegt, sofern hierdurch eine Risikobewertung stattfindet.
Danach findet eine Analyse der Gefährdungssituation statt. Dieser einzelne Schritt wird häufig fälschlicherweise als Gefährdungsanalyse bezeichnet, obwohl die eigentliche Gefährdungsanalyse noch viel umfangreicher ist.
Nachdem die Gefährdungssituation ermittelt und umfassend beschrieben sowie dokumentiert wurde, gilt es die Gefährdungssituation gemäß den Vorgaben aus der Risikostrategie zu gestalten. Dies umfasst beispielsweise die Ableitung von Gegenmaßnahmen, die Effektivitätsmessung der Präventionsmaßnahmen und die Ermittlung des vorhandenen Restrisikos.
Abbildung 5.12 stellt die unterschiedlichen Schritte in der Durchführung einer Gefährdungsanalyse für Geldwäsche, Terrorismusfinanzierung und die sonstigen strafbaren Handlungen idealtypisch dar.
Vereinfachte Vorgehensweise bei der Erstellung einer Gefährdungsanalyse (eigene Darstellung, modifiziert in Anlehnung an Lindner, Glebovskiy 2009, S. 32–37)
Bei der Analyse der Gefährdungssituation gilt es, möglichst homogene Kundengruppen zu bilden und unter Hinzuziehung und Auswertung sämtlicher Informationsquellen wie Typologiepapieren und Verdachtskatalogen sowie weiteren offiziellen Dokumenten, internem Know‐how als Ergebnis und Inhalt früherer Research‐Maßnahmen und Verdachts‐ oder Strafanzeigen sowie sonstigen Informationen aus Medien und von Ermittlungsbehörden auf die aktuelle Gefährdungssituation hin zu überprüfen.
Je nach praktischer Ausrichtung ergibt sich allerdings insbesondere bezüglich der eigenen Kundenbasis die Herausforderung, dass es zum einen sehr schwierig ist, genügend Informationen über die Kunden zu erhalten und das Know‐Your‐Customer‐Prinzip, also die Pflichten zur Identifikation der Kunden und möglichst auch deren Verhalten zur Verhinderung anonymer wirtschaftlicher Transaktionen, in ausgiebiger Form auch auf andere Bereiche als die Geldwäscheprävention auszuweiten. Zum anderen werden die Kundensystematiken häufig aus absatzpolitischen Aspekten oder in Anlehnung an bestimmte Wirtschaftszweige erstellt und sind deshalb nur teilweise für eine effektive Prävention von Geldwäsche, Terrorismusfinanzierung und der sonstigen strafbaren Handlungen geeignet.
Neben den kundenbezogenen Risiken gilt es in diesem Schritt zudem die produkt‐ und transaktionsbezogenen Gefährdungen zu identifizieren und zu erfassen sowie anschließend zu kategorisieren und zu gewichten.
Die Grundlage der Kundengruppenerstellung bildet gleichzeitig die Hinterlegung einer ermittelten Gefährdungsschätzung. Hierbei wird in einem vorgelagerten Schritt häufig zum einen anhand eines Verdachtskriterienkatalogs versucht, verdächtige von unverdächtigen Transaktionen und Kundengruppen sowie Produktbereichen abzugrenzen. Zum anderen gilt es hierbei durch systematisches Hinterfragen zu ermitteln, welche Transaktionsstrukturen für die jeweiligen Kundengruppen und Transaktionen üblich und damit unverdächtig sind.
Bei der Strategieentwicklung als weiterem zentralen Schritt einer Gefährdungsanalyse wird die Gefährdungssituation bewertet und darauf aufbauend strategische Vorgaben und Zielsetzungen formuliert. Die Ergebnisse der Gefährdungsanalyse werden dann unter Weiterentwicklung der Organisationsstruktur sowie der Grundsätze und Verfahren zur Gefährdungsprävention dokumentiert und bewertet. Darüber hinaus gilt es, auf Grundlage der Ergebnisse der Gefährdungsanalyse geeignete Parameter für Researchmaßnahmen zu entwickeln und die vorhandenen Präventionsmaßnahmen unter Berücksichtigung der Ergebnisse der Gefährdungsanalyse zu überprüfen und weiterzuentwickeln sowie gegebenenfalls weitere Präventionsvorkehrungen zu treffen.
In den strategischen Zielvorgaben werden die Anforderungen an die technischen Sicherungssysteme geregelt und festgelegt, welche zusätzlichen Maßnahmen zu treffen sind, der Umfang und der Zyklus der innerbetrieblichen Prüfungen der Gefährdungsbereiche dokumentiert und Angaben über bestehende oder geplante Schulungsmaßnahmen sowie zur Dokumentation und Berichterstattung an die Geschäftsleitung, sowohl hinsichtlich der Häufigkeit als auch hinsichtlich der Meldegrenzen, bei deren Überschreitung eine sofortige Ad‐hoc‐Meldung erfolgen muss, gemacht.
Den abschließenden Schritt einer umfassenden Gefährdungsanalyse bildet der sogenannte Proof of Concept. Hierbei findet ein Controlling der Aktivitäten hinsichtlich einer Änderung der Gefährdungssituation statt. Sofern beispielsweise Defizite in der laufenden Prävention, etwa bei den IT‐gestützten Researchsystemen festgestellt werden, gilt es diese regelmäßig anzupassen. Bei besonders hohen Gefährdungsstufen beziehungsweise allgemein bei nur wenig zufriedenstellenden Ergebnissen beim Proof of Concept, werden häufig die einzelnen relevanten Fachabteilungen durch eine besondere Art der Berichterstattung an die zentrale Stelle stärker qualitativ miteinbezogen.
5.2.11 Gefährdungsanalyse als Ausgangspunkt weiterer Maßnahmen
Die Ergebnisse der Gefährdungsanalyse werden bei zahlreichen weiteren Prozessen im Institut verwendet. Anhand einer sorgfältig durchgeführten Gefährdungsanalyse kann ein Institut dokumentieren, dass es die der Risikolage erforderlichen gesetzlichen Vorgaben mit der gebotenen Angemessenheit erfüllt hat.
Außerdem können sowohl eine risikobasierte Steuerung des Risikomanagements, als auch weiterer zentraler Unternehmensbereiche und ‐funktionen genauso ermöglicht werden wie eine gezielte Nutzung von aufsichtsrechtlichen Ermessensspielräumen, die regelmäßig eine vollständige Gefährdungsanalyse erfordern.
Darüber hinaus bildet eine umfassende Gefährdungsanalyse häufig den zentralen Dreh‐ und Angelpunkt der internen Sicherungs‐ und Präventions‐ beziehungsweise Kontrollsysteme. Die Ergebnisse werden zumeist unter anderem in Notfall‐ und Eskalationsmaßnahmenplänen, aber auch in den alltäglichen Prozessen, etwa im Kundenannahmeprozess berücksichtigt. Abbildung 5.13 zeigt die Einbettung der Gefährdungsanalyse in das interne Sicherungs‐ und Präventionssystem gegen Geldwäsche, Terrorismusfinanzierung und die sonstigen strafbaren Handlungen.
Einordnung der Gefährdungsanalyse in das institutsindividuelle Präventions‐ und Sicherungssystem (Glaser 2012c, S. 14)
5.2.12 Herausforderungen bei der Erstellung
Die Erstellung einer Gefährdungsanalyse birgt zahlreiche Herausforderungen und Problembereiche in sich. So lässt sich die Gefährdungslage nicht selten nur schwer objektiv darstellen und es werden fast zwangsläufig subjektive, teilweise auch zu pauschale und/oder nicht quantifizierbare Aussagen in Bezug auf die Gefährdungssituation getätigt.
Außerdem kann eine nur unvollständige Reflektion des tatsächlichen Gefährdungspotenzials dadurch bedingt werden, dass Aussagen zu institutsinternen und ‐externen Abläufen, Vertriebswegen und der Organisation im Allgemeinen fehlerhaft oder nicht hinreichend konkret ausgestaltet werden. Fehlende detaillierte Angaben zu Kunden‐, Produkt‐ und Transaktionsrisiken führen ebenfalls dazu, dass die Gefährdungsanalyse fehlerhaft oder nicht vollständig ist und damit Fehlsteuerungsimpulse entstehen können.
5.2.13 Beispielhafte praktische Ausgestaltung
Abbildung 5.12 hat einen idealtypischen Prozess und eine vereinfachte Vorgehensweise bei der praktischen Ausgestaltung einer Gefährdungsanalyse einer Leasinggesellschaft gezeigt.
5.2.14 Informationserhebung
Kundenrisiken werden in der Praxis häufig anhand von Typologiepapieren, öffentlichen Polizeistatistiken etc. und unterteilt nach zugewiesenem Kundensegment, Vermittlerbeteiligung, Nationalität, Wohnsitz, Branche und Rechtsform sowie der Kennzahl aus dem institutsinternen Rating ermittelt. Auf Grundlage dieser Parameter erhält jeder Kunde einen Risiko‐Score‐Wert, der wiederum die Grundlage für die Auswahl der risikoorientierten Präventionsmaßnahmen bildet.
Die Produktrisiken werden häufig analog zu den Kundenrisiken ebenfalls mit einem Score‐Wert ermittelt. Grundlage bildet hierbei etwa die Unterscheidung zwischen Cross‐Border und Domestic Leasing, Sale‐and‐Lease‐Back, Operate und Finance Leasing etc. Darüber hinaus kann auch eine Unterscheidung nach Objekttyp, also etwa Kfz, maschinelle Anlagen, Software etc. sowie eine Unterteilung nach Mobilien und Immobilien vorgenommen werden.
Für die Ermittlung des Transaktionsrisikos wird regelmäßig die Art der Zahlungsabwicklung herangezogen. Es wird hierbei etwa zwischen bar und unbar, also Bezahlung per Überweisung oder Lastschrift, Zahlung vom Schuldner oder Bedienung der Zahlungen durch einen Dritten, Bestellung des Leasingobjekts und Eigentumsübergang an die Leasinggesellschaft vom Leasingnehmer direkt (bei Sale‐and‐Lease‐Back‐Abwicklung), von einem mit dem Leasingnehmer verbundenen Unternehmen oder einem unabhängigen Dritten als Lieferanten, unterschieden.
Zur Ermittlung einer praxisnahen und möglichst realistischen Gefährdungslage wird häufig das Kombinationsrisiko, als Verknüpfung der einzelnen Risiken in Bezug auf den Kunden, das Produkt und die Transaktion, wie dies in einer Geschäftsbeziehung idealtypisch vorzufinden ist, ermittelt.
5.2.15 Klassifizierung und Einteilung in Risikogruppen
Die Kategorisierung basiert nicht selten auf dem vorhandenen Erfahrungswissen der zentralen Stelle sowie insbesondere der Compliance‐ und Risikomanagement‐Abteilung und unterteilt sich in den einzelnen Kategorien nach dem erwarteten Risikoausmaß. Sämtliche Kunden, Produkte und Transaktionen werden analysiert, strukturiert und in relevante Risikogruppen aufgeteilt. Hierdurch soll ein risikobasiertes Vorgehen ermöglicht werden, bei dem den jeweiligen Risikokategorien angemessene Präventionsmaßnahmen und damit die entsprechende Sorgfalt entgegengebracht werden.
Hierfür ist allerdings notwendig, dass sämtliche Risikogruppen aus verschiedenen Perspektiven betrachtet werden, beispielsweise die Kundenstruktur unterteilt nach Geschäfts‐ oder Privatkunden, aber auch soziale Kriterien unterschieden werden, etwa beim Terrorismusrisiko, bei dem Nationalitäten und Herkunftsländer (etwa nicht kooperierende Länder gemäß der FATF‐Liste) unterschieden werden.
Bei der Klassifizierung sollte die Grundregel lauten: „weniger ist mehr“. Dies heißt, es sollte unbedingt eine trügerische Scheingenauigkeit über trennscharfe Gruppierungen vermieden werden. Häufig können bereits durch eine Unterteilung in 3–4 Gefährdungsklassen, beispielsweise anhand der qualitativen Einschätzungen „hoch“, „mittel“, „normal“ und „niedrig“ sehr effektive Ergebnisse erzielt werden.
5.2.16 Einleitung geeigneter Sicherungsmaßnahmen anhand von Scores
In zahlreichen Instituten hat sich ein Scoringsystem etabliert, wonach analog zum internen Rating eines Instituts den unterschiedlichen identifizierten Risiko‐Clustern unterschiedliche Gefährdungsstufen oder Scoringklassen zugeordnet werden. Anhand der differenzierten Kunden‐Risikoprofile wird sichergestellt, dass ein risikobasierter Ansatz gewährleistet wird, also Kunden mit einem erhöhten Risiko beispielsweise ständig im Fokus der Sicherungsmaßnahmen sind, während Kunden mit einem niedrigen Risiko nur anlassbezogen oder zumindest in deutlich geringem Umfang verschärften Präventionsmaßnahmen unterworfen werden. Wichtig ist hierbei allerdings, dass sich die Scores neben den Kunden insbesondere auch auf die Produkte und auf die Transaktionsarten beziehen. Häufig ermöglicht erst eine kombinierte Ermittlung des konkreten Falls unter Berücksichtigung des Kunden‐, Produkt‐ und Transaktions‐Scores ein valides Bild für die Beurteilung der Gefährdungslage.
Abbildung 5.14 zeigt eine beispielhafte Gefährdungsmatrix als Kombination von praktischen Ausprägungsformen auf der Ebene von Kunden, Produkten und Transaktionen. Häufig wird darüber hinaus auch die nationale oder internationale Ausrichtung des Instituts berücksichtigt.
Exemplarische Gefährdungsmatrix mit Zuordnung zu den Risikogruppen (Glaser 2012c, S. 17)
Auf Kundenebene kommt insbesondere politisch exponierten Personen (PEP) – also etwa Staats‐ und Regierungschefs sowie Inhabern ranghoher öffentlicher Ämter (sowohl aus dem In‐ als auch aus dem Ausland), Diplomaten und Militärangehörigen hohen Ranges aufgrund der diesen Personengruppen regelmäßig zugestandenen Immunität beziehungsweise Straffreiheit – ein grundsätzlich erhöhtes Gefährdungspotenzial zu. Diese Personen sind ebenso wie Kunden, zu denen im Annahmeprozess kein persönlicher Kontakt besteht sowie Kunden aus nicht kooperierenden Ländern gemäß der FATF‐Liste (Financial Action Task Force) und Personen auf einschlägigen Listen, etwa aufgrund von Vorstrafen insbesondere im Sinne sonstiger strafbarer Handlungen oder einschlägiger Wirtschaftsdelikte, aber auch auf Fahndungs‐ oder Terrorismuslisten in den meisten Fällen der Risikogruppe 4, also einer hohen Gefährdungsstufe zuzuordnen.
Zu einer mittleren Gefährdungsstufe und damit zur Risikogruppe 3 werden häufig besonders bargeldintensive Unternehmen, also etwa Gaststätten wie Pizzerien oder Gastronomie‐Kleinbetriebe, Wettbüros und Spielhallen sowie Im‐ und Exportunternehmen gezählt. Da Umsätze und Mittelherkünfte in diesen Branchen nur sehr schwer nachvollziehbar sind, eignen sie sich in besonderem Maße für Geldwäsche und Terrorismusfinanzierung. Aufgrund ihrer Intransparenz durch eine fehlende Registereintragung sind zudem Gesellschaften bürgerlichen Rechts, mit Ausnahme von Rechtsanwälten, Steuerberatern und Wirtschaftsprüfern, ebenfalls zur mittleren Gefährdungsklasse zu zählen. Darüber hinaus sind dieser Gruppe auch Kunden mit einem sprunghaften Anstieg an Voranfragen von Wirtschaftsauskünften, also einer deutlichen Zunahme der Finanzierungsnachfrage, sofern hierfür keine plausible Begründung vorliegt sowie Fälle, in denen die Finanzierungsanfrage stark vom eigentlichen Geschäftsmodell des Kunden abweicht, zuzuordnen.
Aufgrund der für sie geltenden relativ hohen Transparenzanforderungen sind börsennotierte Gesellschaften, Kredit‐ und Finanzinstitute innerhalb der Europäischen Union und vergleichbaren Drittländern sowie auch inländische Behörden idealtypisch der Risikogruppe 1 mit einem niedrigen Gefährdungsrisiko zuzuordnen.
Sämtliche weiteren, nicht den Gruppen 1, 3 und 4 zugewiesenen Kunden werden regelmäßig zur Risikogruppe 2 und damit zu einem normalen Risiko gezählt.
Das Produktrisiko ist von Leasinggesellschaft zu Leasinggesellschaft häufig stark abweichend, was insbesondere vom angebotenen Produktportfolio und dem Absatzmarkt sowie der Absatzregion abhängt. Eine klassische Leasingabwicklung in der Dreiecksbeziehung Leasingnehmer, Leasinggesellschaft und Lieferant/Hersteller, der in keiner Beziehung zum Leasingnehmer steht, wird häufig mit einem niedrigen Gefährdungsrisiko klassifiziert. Je nach Konstellation kann eine Sale‐and‐Lease‐Back‐Abwicklung aufgrund des häufig erhöhten Betrugsrisikos allerdings auch als normales bis mittleres Risiko gesehen werden. Sofern es beispielsweise selbsthergestellte Leasingobjekte sind, die vom Leasingnehmer im Sale‐and‐Lease‐Back‐Verfahren an die Leasinggesellschaft verkauft werden sollen, ohne dass ein hinreichender Nachweis zu den Einsatzkosten beziehungsweise zur Existenz der Objekte möglich ist, wird diesem Produkt häufig eine erhöhte Risikoklassifizierung zugewiesen. Dies gilt ebenso für Cross‐Border‐Leasing, sofern beispielsweise Vertragsparteien involviert sind, die ihren Sitz in einem nicht kooperativen Land gemäß der aktuellsten Fassung der FATF‐Liste haben.
Auf Ebene des Transaktionsrisikos werden insbesondere Transaktionen beziehungsweise Geldüberweisungen von oder an Personen auf einschlägigen Listen, insbesondere auf Terror‐ oder Embargolisten sowie anderen „Black Lists“ als erhöhte Gefährdung und damit als Risikogruppe 4 eingestuft.
Zur Risikoklasse 3 und damit als mittlere Gefährdung werden häufig sehr frühzeitige Ablösungen oder Rückzahlungen sowie Teilrückzahlungen in großem Umfang (i. d. R. unmittelbar nach Leasingbeginn), hohe und ausdrücklich vom Kunden gewünschte Kautionszahlungen oder Anzahlungen (insbesondere sofern es sich nicht um eine explizite Genehmigungsauflage handelt), organisatorische und rechtliche Verflechtungen zwischen dem Leasingnehmer und dem Lieferant/Hersteller (Hinweis: kann auch wie in der Gefährdungsmatrix in Abb. 5.14 ersichtlich, dem Produktrisiko zugeordnet werden), kein direkter Kundenkontakt aufgrund Vermittlergeschäft, zugeordnet.
Aus Geldwäsche‐ und Terrorismusfinanzierungsgesichtspunkten werden insbesondere Transaktionen unter Einbeziehung von Kredit‐ und Finanzdienstleistungsinstituten mit Sitz im Inland, in der Europäischen Union oder einem Drittstaat mit gleichwertigen Präventionsanforderungen an Geldwäsche und Terrorismusfinanzierung gezählt, da hier de facto eine doppelte Prüfung stattfindet.
Alle weiteren nicht in den Risikogruppen 1, 3 und 4 genannten Transaktionen werden regelmäßig der Risikoklasse 2 zugerechnet.
Die für die weitere Steuerung und für die Priorisierung der Präventionsmaßnahmen notwendige Anforderung der Ermittlung einer Einschätzung der Risikosituation ergibt sich als Kombination der Risikodimensionen Kunde, Produkt und Transaktion. So findet sich in § 3 Abs. 4 GwG die Generalklausel für den risikobasierten Ansatz, wonach sich der konkrete Umfang der Maßnahmen am Risiko der jeweiligen Kunden, der Transaktion oder der Geschäftsbeziehung sowie des Produkts orientiert.
Zur Verdeutlichung des kombinierten Gefährdungsrisikos wird eine Gesellschaft mit beschränkter Haftung aus dem Automobilbereich betrachtet, die einen Standard‐Leasingvertrag mit einem externen Dritten als Lieferanten abgeschlossen hat und aufgrund strategischer Überlegungen das Leasingobjekt kurzzeitig nach Vertragsbeginn wieder vorzeitig ablösen möchte.
Das Kundenrisiko wäre in diesem Fall als normal einzustufen (Klasse 2), das Produktrisiko als eher niedrig (Klasse 1) und das Transaktionsrisiko als mittel (Klasse 3). Sofern nun alle drei betrachteten Risikodimensionen bei der Ermittlung des kombinierten Gefährdungsrisikos gleichgewichtet werden sollen, ergibt sich eine aggregierte Risikogruppe von 2, also ein normales Risiko.
Es sollte allerdings unbedingt eine institutsindividuelle Gewichtung erarbeitet werden, anhand derer das aggregierte und kombinierte Gefährdungsrisiko ermittelt wird. So kann es durchaus vorkommen, dass in der aufgeführten beispielhaften Konstellation in einigen Instituten ein aufgrund der vorzeitigen Ablöse erhöhtes kombiniertes Gefährdungsrisiko analysiert wird und unmittelbar entsprechende Sicherungsmaßnahmen ergriffen werden.
Während aufgrund der risikobasierten Steuerungsvorgaben für Geschäftsbeziehungen mit einem erhöhten Risiko, also der Klasse 4, regelmäßig verstärkte Sorgfaltspflichten, etwa nach § 25k KWG und § 6 GwG zwingend erforderlich sind, können für ein niedriges Risiko, also Klasse 1, vereinfachte Sorgfaltspflichten nach § 25i KWG und § 5 GwG getroffen werden. Für die Risikoklassen 2 und 3 werden regelmäßig normale beziehungsweise „allgemeine“ Sorgfaltspflichten angewandt, die sich allerdings teilweise auch aufgrund individueller Risikoeinschätzungen oder unterschiedlicher Gewichtungen der einzelnen Risikodimensionen eher an den vereinfachten oder den verstärkten Sorgfaltspflichten orientieren können.
Durch eine konsequente Steuerung anhand des Risikogrades ergibt sich eine hohe Effizienz aufgrund dem Risiko angepasster Maßnahmen. Die dargestellten Risikograde je unterschiedlicher Ausprägungsform beziehungsweise je Risikodimension (Kunde, Transaktion, Produkt) werden häufig in einem Gefährdungsinventar, das analog zum Risikoinventar aufgebaut ist, gruppiert und übersichtlich dargestellt.
Nichtsdestotrotz gilt es aber zu berücksichtigen, dass den Mitarbeitern auch weiterhin eine zentrale Bedeutung bei der Prävention von Geldwäsche, Terrorismusfinanzierung und dem Kampf gegen die sonstigen strafbaren Handlungen zukommt. Dies betrifft sowohl einerseits die Gefahr, dass eigene Mitarbeiter durch kollusives Handeln mit Lieferanten, Leasingnehmern oder anderen Geschäftspartnern zu Lasten der Leasinggesellschaft handeln, aber auch die Identifikation erhöhter Gefährdungen andererseits. Insbesondere bei neuartigen Gefährdungsmustern, wenn automatisierte Mustererkennungen noch nicht anschlagen sowie allgemein in Fällen, in denen aufgrund zahlreicher in der Regel kleinerer Ungereimtheiten, die von der Mustererkennung häufig unerkannt bleiben, lediglich ein flaues „Bauchgefühl“ beim Mitarbeiter zu verzeichnen ist, kommt dies zum Tragen.
5.2.17 Spezifische Präventions‐ und Sicherungsmaßnahmen
Die Präventions‐ und Sicherungsmaßnahmen werden regelmäßig risikobasiert durchgeführt. Das heißt, es finden keine für sämtliche Geschäftsprozesse, Kunden und Produkte komplett identischen Präventionsmaßnahmen, sondern beispielsweise besonders penible Kontrollen von als hochriskant klassifizierten Transaktionen, Kunden und Produkten, statt.
Auf Kunden‐Ebene erfolgt häufig ein Abgleich mit PEP‐, Embargo‐ oder allgemeinen Schurken‐ beziehungsweise Black‐Lists, auf denen besonders risikobehaftete Kunden oder Kundengruppen hinterlegt sind. Je nach institutsindividueller Risikostrategie kann als Ultima Ratio ein Geschäft mit diesen Kunden auch gänzlich ausgeschlossen oder zumindest sehr stark kontrolliert und reglementiert werden. Außerdem finden sich häufig auch bestimmte Geschäftsbeschränkungen, etwa das Verbot von Bargeldtransaktionen etc., in zahlreichen Instituten vor.
Zur Sicherstellung einer höchstmöglichen Effektivität der getroffenen Sicherungsmaßnahmen sollten diese instituts‐ bzw. konzernweit möglichst einheitlich und penibel umgesetzt werden und auch einen regelmäßigen Prüfungsgegenstand der Internen Revision sowie weiterer Prüfungen, bilden.
Ein besonders ausgereiftes Sicherungssystem kann in Form eines individuell zugeschnittenen Monitorings stattfinden. Anhand der risikobasierten Klassifizierung kann ein laufendes und anlassbezogenes Monitoring nachhaltig gefördert und unterstützt werden. Mit einem Tracking‐System kann außerdem die Einhaltung der Präventionsmaßnahmen, die für einzelne Gefährdungsstufen obligatorisch vorgeschrieben sind, kontrolliert und sichergestellt werden.
Das Ziel ist es, hochrisikoträchtige Personen oder Transaktionen und Produkte zu identifizieren und gemäß der jeweiligen Sorgfaltspflicht sowie der institutsinternen Vorgehensweise bei dieser Gefährdungslage, angemessen über den kompletten Prozess beziehungsweise den kompletten Kunden‐ oder Transaktionslebenszyklus zu steuern und im Auge zu behalten.
Abbildung 5.15 zeigt als Zusammenfassung der bisherigen Punkte einen exemplarischen Ausschnitt einer Gefährdungsanalyse. Hierbei werden zum einen die möglichen Gefährdungen durch die betrachtete Risikoart, hier beispielhaft Geldwäsche, aufgeführt, aktuelle Entwicklungen im Kundenportfolio betrachtet und unter Berücksichtigung der getroffenen Präventionsmaßnahmen und einer Bewertung der Effektivität und gegebenenfalls auch der Effizienz der Maßnahmen das vorhandene Restrisiko dargestellt.
Beispielhafte praktische Ausgestaltung einer Gefährdungsanalyse (Glaser 2012c, S. 20)
5.2.18 Zeitpunkt der Überarbeitung und beteiligte Bereiche bei der Durchführung
Die Durchführung und die Festlegung eines Erstellungsrhythmus der Gefährdungsanalyse sind regelmäßig im Verantwortungsbereich der zentralen Stelle, die hauptverantwortlich für die Prävention von Geldwäsche, Terrorismusfinanzierung und die Bekämpfung der sonstigen strafbaren Handlungen tätig ist. Tatkräftig unterstützt wird die zentrale Stelle häufig von angrenzenden Fachbereichen wie dem Risikomanagement, der Compliance‐Abteilung, der IT‐Sicherheit etc.
In der Praxis hat sich außerdem ein Zeitraum von etwa einem Jahr als Obergrenze bis zur erneuten Aktualisierung und Überarbeitung der bestehenden Gefährdungsanalyse etabliert. Darüber hinaus sollte aber auch sichergestellt werden, dass im Falle geänderter Einflussgrößen und Rahmenparameter auch anlassbezogen eine schnelle und effektive Anpassung stattfindet.
5.2.19 Dokumentation und Kommunikation der Ergebnisse
Der Dokumentation und Kommunikation der Ergebnisse der Gefährdungsanalyse kommt insbesondere auch im Hinblick auf die aufsichtsrechtlichen Vorgaben eine zentrale Rolle zu. So ist auch für die Jahresabschlussprüfer und die Interne Revision nachvollziehbar darzulegen und zu dokumentieren, dass der Gefährdungssituation angemessene Maßnahmen ergriffen wurden. Außerdem gilt es, die angewandten Methoden entsprechend darzustellen und auch mögliche Schwachstellen sowie vorgenommene Aktualisierungen und Validierungen beziehungsweise Kalibrierungen ebenfalls entsprechend zu dokumentieren.
Für die einzelnen Ausprägungsformen der Kunden‐, Transaktions‐ und Produktrisiken eignet sich etwa ein Gefährdungsinventar, in dem zum einen einzelne, für die betrachtete Leasinggesellschaft relevante, Gefährdungen dargestellt werden und unter Berücksichtigung von bereits getroffenen oder geplanten Sicherungsmaßnahmen zum anderen die aktuelle Gefährdungssituation im Sinne einer Kombination aus der Eintrittswahrscheinlichkeit des Risikos und der Schadenshöhe bei Eintritt des Risikos ermittelt wird. Außerdem können in einem Gefährdungsinventar relativ übersichtlich Wechselwirkungen zwischen einzelnen Risiken, die entsprechenden Verantwortlichkeiten für die zu ergreifenden Maßnahmen und die Überwachung der Risikolage sowie mögliche Frühwarnindikatoren beziehungsweise allgemein Indizien, die auf ein erhöhtes Risiko hinweisen können, niedergelegt werden.
5.2.20 Ableitung von Strategien und konkreten Handlungsvorgaben
Im Mittelpunkt der Handlungsvorgaben und der Präventionsstrategien steht regelmäßig die Risikoangemessenheit der Maßnahmen, bei deren Beurteilung die Ergebnisse der Gefährdungsanalyse die Basis bilden.
Prinzipiell gilt: je konkreter und anschaulicher die Handlungsvorgaben – idealerweise auch unter enger Berücksichtigung der praktischen Umsetzbarkeit – sind, umso größer ist auch die Wahrscheinlichkeit der erfolgreichen Prävention und damit einer nachhaltigen Reduktion der institutsindividuellen Gefährdungssituation.
5.2.21 IT‐Unterstützung
Um die in der Praxis häufig sehr umfassenden Datenvolumina effektiv und insbesondere effizient handhaben zu können und auch den manuellen Bearbeitungsaufwand zu minimieren, ist zumeist eine individuell angepasste IT‐Unterstützung notwendig. Für eine ganzheitliche, effiziente und zuverlässige Bewertung der instituts‐ und unternehmensspezifischen Risikosituation führt häufig kein Weg an leistungsstarken IT‐Systemen vorbei.
In Schadensfall‐ und Betrugsdatenbanken werden häufig realisierte oder versuchte Schadensfälle insbesondere aus den sonstigen strafbaren Handlungen sowie teilweise auch aus den Bereichen der Geldwäsche und Terrorismusfinanzierung dokumentiert und entsprechend aufbereitet. Diese Instrumente fördern damit zwar eine Verhinderung von bekannten kriminellen Methoden, eine Prävention – die auch gegen neue, teilweise sogar noch unbekannte Methoden wirkt – wäre allerdings bedeutend wichtiger. So können beispielsweise durch ein aussagekräftiges und leistungsfähiges IT‐gestütztes Researchsystem Auffälligkeiten beim Kundenverhalten, etwa beim Zahlungsverhalten, mit einer sogenannten „Pattern Recognition“ identifiziert und entsprechend bewertet werden. Wirtschaftlich auf den ersten Blick nicht verbundene Unternehmen können darüber hinaus mit einer „Link Analysis“ ermittelt werden und anhand eines „Adaptive Profiling“ können homogene Cluster und risikobasierte Segmente erzeugt werden.
Selbst bei den ausgereiftesten IT‐gestützten Instrumenten und Methoden bilden allerdings häufig die Mitarbeiter die letzte Entscheidungsinstanz im Researchprozess. So beurteilen die Mitarbeiter nicht selten im Rahmen ihrer Kompetenzen, ob beziehungsweise inwieweit die ermittelten Auffälligkeiten weiter verfolgt und mit welcher Priorität diese an bestimmte, häufig vordefinierte, Stellen kommuniziert werden.
Darüber hinaus gilt es häufig bei IT‐basierten Maßnahmen eine valide Kalibrierung der Instrumente sicherzustellen. Sofern etwa die Maschen im „digitalen Fahndungsnetz“ zu eng sind, werden zu viele unnötige Systemmeldungen erzeugt, die durch eine manuelle Nachbearbeitung kompensiert und als Falschmeldung erkannt werden. Bei zu weitläufigen Maschen besteht kein effektiver Schutz mehr vor den Gefahren von Geldwäsche, Terrorismusfinanzierung und den sonstigen strafbaren Handlungen. Im Extremfall kann zudem eine trügerische Sicherheit entstehen, da die institutsindividuelle Gefährdungslage aufgrund ausbleibender Verdachtsmeldungen als niedrig eingeschätzt wird und damit auch keine Notwendigkeit zur Anpassung der Präventionsmaßnahmen gesehen wird.
5.2.22 Kritische Erfolgsfaktoren
Neben der Aktualität und Vollständigkeit bildet insbesondere die organisatorische Verzahnung einen weiteren kritischen Erfolgsfaktor. So bieten erst vollständig ineinander greifende Maßnahmen einen wirksamen Schutz beziehungsweise stellen eine wirksame Prävention in der Praxis dar.
Darüber hinaus ist die institutsindividuelle Ausgestaltung der Gefährdungsanalyse häufig Fluch und Segen zugleich. Einerseits bedeutet die Erarbeitung individueller Maßnahmen und Handlungsschritte ein erheblich höheres Maß an Arbeitsmehraufwand, als dies bei konkreten und standardisierten Vorgaben der Fall wäre – die häufig anhand einer Checkliste abgearbeitet werden können – und äußert sich nicht selten auch in relativ komplexen Zusammenhängen und Situationsbeschreibungen. Auf der anderen Seite besteht durch die individuelle Ausgestaltung eine sehr große Chance einer wirklich effektiven Prävention der betrachteten Risiken.
5.2.23 Aufbau eines umfassenden Compliance‐Managements
Eine umfassende und vollständige Gefährdungsanalyse wird häufig als Anlass genommen, ein ganzheitliches Compliance‐Management aufzubauen. Die Gefährdungsanalyse bildet hierbei häufig den Dreh‐ und Angelpunkt, wie auch Abb. 5.16 verdeutlicht.
Umfassendes Compliance‐Management (eigene Darstellung, in Anlehnung an Glebovskiy, Hinrichs 2010, S. 28)
Für ein ganzheitliches oder integriertes Compliance‐Management werden die bereits in der Gefährdungsanalyse adressierten und getroffenen Maßnahmen um noch fehlende zusätzliche Vorgaben eines vollständigen und möglichst lückenlosen Compliance‐Systems in der Regel nur noch punktuell ergänzt.
Abbildung 5.16 stellt ausgewählte Maßnahmen und organisatorische Rahmenbedingungen eines Compliance‐Managements dar, aus denen der enge Zusammenhang und die relativ große Schnittmenge mit einer umfassenden Gefährdungsanalyse ersichtlich sind.
5.2.24 Fazit
Trotz aller Erkenntnisse und Fortschritte, die bei der Ermittlung der Bedrohungslage anhand einer Gefährdungsanalyse möglich sind, muss berücksichtigt werden, dass die Ermittlung und Bewertung der Gefährdungssituation allein ein Institut noch nicht davor schützt, Opfer von kriminellen Handlungen in Form von Geldwäsche, Terrorismusfinanzierung und der sonstigen strafbaren Handlungen zu werden. Die Gefährdungsanalyse stellt lediglich eine Beschreibung der aktuellen Ist‐Situation dar. Zukünftige Entwicklungen können hiervon teilweise stark abweichen, sodass sich die Ist‐Situation schnell grundlegend ändern kann. Deshalb sollte versucht werden, insbesondere zukünftige Entwicklungen möglichst präzise zu schätzen.
Des Weiteren nimmt zwar das Bewusstsein für die Bedrohungslage einen wesentlichen Schritt in der nachhaltigen Optimierung der Gefährdungslage ein, es ist jedoch mindestens genauso wichtig, die aufgedeckten Schwachstellen beziehungsweise die vorhandenen Gefährdungspotenziale möglichst niedrig zu halten oder gänzlich zu eliminieren. Es gilt nämlich stets zu berücksichtigen, dass sich die Risikolandschaft erst durch das Etablieren von Sicherungs‐ und Präventionsmaßnahmen nachhaltig verändern lässt.
Einen wichtigen, häufig unterschätzten oder vergessenen Teilschritt der Gefährdungsanalyse bildet außerdem die Maßnahmenüberprüfung beziehungsweise ‐optimierung sowie gegebenenfalls die Neukonzeption von Maßnahmen. So sollte sichergestellt werden, dass die ergriffenen Maßnahmen auch zielführend sind. Das heißt, sie sollten auch die gewünschten Ergebnisse in Form einer nachhaltigen Senkung der Gefährdungs‐ beziehungsweise Bedrohungslage beisteuern.
Wie sich gezeigt hat, nimmt die Gefährdungsanalyse in der Prävention von Geldwäsche, Terrorismusfinanzierung und den sonstigen strafbaren Handlungen bei Finanz‐ und Kreditinstituten eine, wenn nicht sogar die zentrale Rolle ein. Dies bedeutet im Umkehrschluss aber auch, dass die Erstellung und akkurate Pflege und stetige Aktualisierung der Gefährdungsanalyse im Rahmen einer ordnungsgemäßen Geschäftsorganisation i. S. d. § 25a KWG vorausgesetzt wird. Deshalb ist es auch wenig verwunderlich, dass die Aufsicht beispielsweise bei einem gänzlichen Fehlen oder bei erheblichen Unzulänglichkeiten der Inhalte oder Methoden der Gefährdungsanalyse erhebliche Zweifel an einer wirksamen Organisation des Geschäftsbetriebs im Allgemeinen und der zentralen Stelle in Bezug auf die Abwehr der vorgenannten Gefährdungen im Speziellen haben dürfte.
Literatur
Becker A (2011) Wirkungsvolle Kontrolle und effiziente Kommunikation, Überwachung ausgelagerter Unternehmen durch die Revision. Betriebswirtschaftliche Blätter, 60. Jg., 1/2011, S. 25–26
Bolte D (2012) Ausgelagerte Aufgaben weiter kritisch beobachten, Interne Kontrollsysteme von Dienstleistern auf dem Prüfstand. Betriebswirtschaftliche Blätter, 61. Jg., 1/2012, S. 9–11
Brasch A, Glebovskiy (2009) Effektives Management von Betrugsrisiken in Kreditinstituten. Gefährdungsanalyse als Eckpfeiler der Betrugsprävention. Risiko Manager, 4. Jg., 17/2009
Bundesanstalt für Finanzdienstleistungsaufsicht (2005; BaFin) Rundschreiben 08/2005 (GW) ‐ Institutsinterne Implementierung angemessener Risikomanagementsysteme zur Verhinderung der Geldwäsche, Terrorismusfinanzierung und Betrug zu Lasten der Institute vom 23.03.2005. Bonn/Frankfurt am Main
Bundesanstalt für Finanzdienstleistungsaufsicht (2011; BaFin) Rundschreiben 7/2011 (GW) – Verwaltungspraxis zu § 25c Absätze 1 und 9 (sonstige strafbare Handlungen) vom 16.06.2011. Bonn/Frankfurt am Main
Bundesanstalt für Finanzdienstleistungsaufsicht (2012; BaFin) Mindestanforderungen an das Risikomanagement (BA) – MaRisk‐Novelle 2012 vom 14.12.2012. Bonn
Bundesverband Deutscher Leasing‐Unternehmen e. V. (2011; BDL) Leitfaden Gefährdungsanalyse zur Geldwäschebekämpfung und Betrugsprävention für Leasing‐Gesellschaften vom April 2011. Berlin
Glaser C (2011a) Aufbau einer Schadensfalldatenbank für operationelle Risiken. FLF Finanzierung Leasing Factoring, 58. Jg., 4/2011, S. 167–173
Glaser C (2011b) Anti‐Fraud‐Management als Drahtseilakt, Erfahrungsbericht einer Leasing‐Gesellschaft (Teil 1). Risiko Manager, 6. Jg., 21/2011, S. 1, 6–13
Glaser C (2011c) Anti‐Fraud‐Management als Drahtseilakt zwischen Kundenbeziehung und Kriminalitätsbekämpfung, Erfahrungsbericht einer Leasinggesellschaft (Teil 2). Risiko Manager, 6. Jg., 6/2011, S. 16–22
Glaser C (2012a) Risikomanagement: Outsourcing‐Controlling und Auslagerungsinventur, Dienstleister auf dem Prüfstand. FLF Finanzierung Leasing Factoring, 59. Jg., 5/2012, S. 204–208
Glaser C (2012b) Die Gefährdungsanalyse gemäß § 25c KWG, Erfahrungsbericht einer Leasing‐Gesellschaft (Teil 1). Risiko Manager, 7. Jg., 6/2012, S. 18–27
Glaser C (2012c) Die Gefährdungsanalyse gemäß § 25c KWG, Erfahrungsbericht einer Leasing‐Gesellschaft (Teil 2). Risiko Manager, 7. Jg., 7/2012, S. 12–22.
Glaser C (2012d) Am Anfang steht die Gefährdungsanalyse. Bank & compliance‐Newsletter, o. Jg., 3/2012, S. 2–4. http://www.bank-und-compliance.de/fileadmin/newsletter-archiv/Ausgabe_03-2012/bank_compliance_Monatsbrief_Ausgabe_03-2012.pdf. Zugriff: 03.05.2014
Glebovskiy A, Hinrichs J‐W (2010) Integriertes Compliance Management in Leasing und Factoring. FLF Finanzierung Leasing Factoring, 57. Jg., 1/2010, S. 26–31
Goeke U, Koch A (2008) Anforderungen an das Outsourcing‐Controlling von Kapitalanlagegesellschaften. Zeitschrift für das gesamte Kreditwesen, 61. Jg., 16/2008, S. 792–794
Hallermann U, Wybitul T (2011) Betrugsbekämpfung in Banken: neue Anforderungen aus § 25c KWG. Zeitschrift für das gesamte Kreditwesen, 64. Jg., 20/2011, S. 1056–1059
Ketessidis A (2007) Die neuen Outsourcing‐Regeln der BaFin – ein Überblick. Zeitschrift für das gesamte Kreditwesen, 60. Jg., 24/2007, S. 1340–1343
Kirch W, Stein G‐L (2008) Das Risiko bei Auslagerungen richtig überwachen. Zeitschrift für das gesamte Kreditwesen, Ausgabe Technik, 61. Jg., 3/2008, S. 33–35
Kriegsmann M (2006) Outsourcing unter Berücksichtigung von operationellen Risiken. Zeitschrift für das gesamte Kreditwesen, Ausgabe Technik, 59. Jg., 4/2006, S. 29–31
Lindner B M, Glebovskiy A (2009) Betrügerischen Handlungen vorbeugen. Die Bank, o. Jg., 10/2009, S. 32–37
Mihm O, Schüler K (2012) Outsourcing sichert Erträge im Konsumentenkreditgeschäft. FLF Finanzierung Leasing Factoring, 59. Jg., 3/2012, S. 115–118
Moerler C (2009) Anti‐Fraud‐Management zur Minimierung von Betrugsrisiken. Risiko Manager, 4. Jg., 03/2009
Rößler G (2011) Bekämpfung von Geldwäsche und Betrug. Die Bank, o. Jg., 05/2011, S. 62–65
Rott K, Schmitt H‐J (2005) Am Anfang steht eine Gefährdungsanalyse, Geldwäsche‐Prüfungen erfordern leistungsfähiges EDV‐Researchsystem. Betriebswirtschaftliche Blätter, 54. Jg., 10/2005, S. 571–572
Salvenmoser S, Kruse L‐H (2006) Abwehr durch Prävention. Die Bank, o. Jg., 02/2006, S. 78–82
Vaih J, Schmidt A (2003) Geldwäschebekämpfung: Stringente Gefährdungsanalyse erhöht Erfolgsquote. Die Bank, o. Jg., 9/2003, S. 622–625
Wolke T (2008) Risikomanagement. 2. Aufl. Oldenbourg, München
Zapatka M, Bahrmann R (2011) Die neue „Zentrale Stelle“ nach Paragraf 25c Kreditwesengesetz. Pflichten effizient erfüllen. FLF Finanzierung Leasing Factoring, 58. Jg., 6/2011, S. 278–281
Author information
Authors and Affiliations
Corresponding author
Rights and permissions
Copyright information
© 2015 Springer Fachmedien Wiesbaden
About this chapter
Cite this chapter
Glaser, C. (2015). Risikocontrolling. In: Risikomanagement im Leasing. Springer Gabler, Wiesbaden. https://doi.org/10.1007/978-3-658-05515-8_5
Download citation
DOI: https://doi.org/10.1007/978-3-658-05515-8_5
Published:
Publisher Name: Springer Gabler, Wiesbaden
Print ISBN: 978-3-658-05514-1
Online ISBN: 978-3-658-05515-8
eBook Packages: Business and Economics (German Language)