Know Your Customer (KYC) – Ein neuer Ansatz

Know Your Customer (KYC) – und warum es wichtig ist

Weltweit ist ein exponentieller Anstieg von Geldwäsche- und Terrorismusfinanzierungsaktivitäten zu verzeichnen, und COVID-19 hat diesen Trend zusätzlich verstärkt. Das Aufkommen App-basierter, grenzüberschreitender digitaler Kreditgeber, Peer-to-Peer-Kreditplattformen, E-Invoicing-Services sowie einer Vielzahl neuer Finanzprodukte und -services, die nur minimale Verfahren zur Kundenidentifizierung erfordern, befeuert diesen Anstieg illegaler Aktivitäten zusätzlich.

Finanzinstitute müssen daher ihre Verfahren zur kundenbezogenen Due Diligence deutlich stärken, um diesen neuen Herausforderungen und Bedrohungen wirksam zu begegnen.

Vorschriften zur Bekämpfung von Geldwäsche (Anti-Money Laundering, AML) zielen darauf ab, Geldwäsche zu verhindern. Eine der wichtigsten Maßnahmen dafür ist die Einführung eines robusten KYC-Frameworks. Das bedeutet, dass ein Unternehmen die Legitimität eines Kunden eindeutig feststellen können muss – und sicherstellen muss, dass dieser nicht durch politische oder kriminelle Verbindungen belastet ist und keine Vorgeschichte aufweist, die eine Geschäftsbeziehung zu riskant machen würde.

Dauerhaftes KYC für eine effektive und bessere kundenbezogene Due Diligence

Institute entwickeln sich zunehmend in Richtung dauerhafter KYC-Lösungen für die Durchführung der kundenbezogenen Due Diligence. Dabei werden Kunden – unabhängig von ihrem Risikoprofil – in Echtzeit oder nahezu in Echtzeit auf Grundlage von Trigger-Ereignissen überprüft.

Beispiele für Trigger-Ereignisse sind negative Nachrichten über eine Person bzw. Organisation, Änderungen des rechtlichen Status oder des Sitzes und ähnliche Ereignisse. Diese Auslöser starten den Due-Diligence-Prozess für Kunden, wenn festgelegte Schwellenwerte überschritten werden (zum Beispiel häufige negative Nachrichten). Dieser Ansatz ermöglicht es Finanzinstituten, Risiken im Vergleich zu periodischen Überprüfungen proaktiver und früher zu erkennen und darauf zu reagieren und so mögliche negative Auswirkungen auf Finanzinstitute und deren Reputation zu vermeiden.

Treiber für dauerhaftes KYC

Mit dem Anstieg von Geldwäschedelikten haben Banken erkannt, wie wichtig es ist, genaue und aktuelle KYC- sowie transaktionsbezogene Informationen über ihre Kunden zu pflegen. Dadurch können Risiken frühzeitig und über den gesamten Kundenlebenszyklus hinweg proaktiv gesteuert werden, indem Kunden kontinuierlich überwacht werden. Dies hat zu einer verstärkten Fokussierung auf das Konzept von einem dauerhaften Know Your Customer geführt.

Die Einführung von dauerhaftem KYC bedeutet einen grundlegenden Wandel in der Durchführung von KYC. Periodische Überprüfungen werden durch einen dynamischen Prozess ersetzt, bei dem Technologie der entscheidende Enabler ist. Die Verarbeitung und Kontextualisierung großer Datenmengen ist entscheidend, um jederzeit einen genauen und aktuellen Überblick über regulatorische Risiken zu behalten. Nachfolgend sind die wichtigsten Treiber für dauerhaftes KYC aufgeführt.

Regulatorische Treiber: Aufsichtsbehörden legen zunehmend Richtlinien fest, um den Due-Diligence-Prozess für Kunden auszuweiten. Beispielsweise müssen Unternehmen im Rahmen der erweiterten kundenbezogenen Due Diligence Recherchen zu negativer Berichterstattung durchführen, um die Empfehlungen der Financial Action Task Force einzuhalten. Solche Recherchen sind jedoch fehleranfällig und unterliegen eher Verzerrungen, wenn sie manuell durchgeführt werden, anstatt automatisiert Daten aus verschiedenen Medienquellen abzurufen und anhand definierter Regeln und Richtlinien auszuwerten.

Reputationsrisiko: Obwohl Aufsichtsbehörden eine regelmäßige Bewertung des Risikoprofils eines Kunden vorschreiben, können alle Unternehmen, die mit dem Kunden oder einer Transaktion verbunden sind, einem Reputationsrisiko ausgesetzt sein, wenn ein Kunde im Zeitraum zwischen zwei Prüfungen mit AML-Bußgeldern oder Sanktionen belegt wird. In solchen Fällen kann ein System, das Änderungen im Kundenprofil kontinuierlich überwacht und bei Überschreiten definierter Schwellenwerte eine kundenbezogene Due Diligence auslöst, dabei helfen, frühzeitig Warnsignale zu erkennen.

Technologische Weiterentwicklungen: Das Aufkommen von Technologien wie künstlicher Intelligenz und Machine Learning, kombiniert mit cloudbasierter Bereitstellung und Verarbeitung, hat neue Möglichkeiten und Anwendungsfälle im Bereich der AML-Compliance eröffnet. Kleine und mittelständische Unternehmen können diese Technologien nutzen, indem sie einen Software-as-a-Service-Ansatz verfolgen. Die für eine kontinuierliche kundenbezogene Due Diligence erforderlichen Technologien – wie Natural Language Processing, Optical Character Recognition, Web Scraping sowie hohe Rechen- und Speicherkapazitäten – sind heute leicht zugänglich und implementierbar und ermöglichen einen schnelleren Übergang zu diesem neuen Ansatz.

Kostenoptimierung: Obwohl die Einführung von dauerhaften KYC-Lösungen zunächst mit Kosten verbunden ist, überwiegen die Vorteile langfristig die Aufwendungen. Zu den Vorteilen zählen eine bessere Ressourcennutzung, weniger manuelle Eingriffe, geringerer Nachbearbeitungsaufwand, konsistente Prozesse und eine effektivere Compliance.

Bessere Kundenerfahrung: Im dauerhaften KYC-Prozess werden nur Kunden kontaktiert, bei denen Änderungen im Profil definierte Schwellenwerte überschreiten (zum Beispiel Kunden mit mehr als 25 % kontrollierendem Anteil). Dadurch werden Reibungspunkte an den Kundenkontaktstellen deutlich reduziert. Zudem ermöglicht die Erfassung zusätzlicher Informationen eine 360-Grad-Sicht auf den Kunden, die genutzt werden kann, um Produkte und Services gezielter anzupassen. All dies führt zu einer besseren Kundenerfahrung und zu einem effektiveren Risikomanagement.

Herausforderungen bei der Implementierung von dauerhaftem KYC

Wir haben die Faktoren und Vorteile betrachtet, die Finanzinstitute dazu bewegen, einen stabilen und skalierbaren dauerhaften KYC-Ansatz einzuführen. Gleichzeitig müssen Finanzinstitute jedoch auch die möglichen Herausforderungen bei der Implementierung eines solchen Frameworks berücksichtigen. Nachfolgend sind einige der wichtigsten Herausforderungen aufgeführt.

Unterschiedliche Systeme und Quellen

Die meisten Unternehmen verfügen nicht über integrierte Systeme, die eine ganzheitliche Sicht auf den Kunden ermöglichen und das Risikoprofil des Kunden intern überwachen. Dies stellt das größte Hindernis bei der Einführung einer unternehmensweiten dauerhaften KYC-Lösung dar.

Fehlende Standardisierung des KYC-Modells bzw. der Regulierung

Die globale Ausgestaltung von KYC- und AML-Vorschriften verhindert naturgemäß, dass Unternehmen ein einheitliches KYC-Modell anwenden können. In einem sich ständig wandelnden regulatorischen Umfeld ohne standardisiertes Modell unterscheiden sich Prozesse und Regeln zur Erfassung, Pflege und Aktualisierung von Kundendaten erheblich zwischen Bankinstituten.

Einschränkungen öffentlich verfügbarer Quellen

Kundendaten werden häufig aus öffentlich zugänglichen Quellen gesammelt, die ungenau, unvollständig oder nicht bestätigt sein können. Zudem fällt es Banken aufgrund zahlreicher Datenschutzvorschriften und zunehmender Bedenken der Kunden immer schwerer, die Richtigkeit der erhobenen Daten zu verifizieren.

Unvollständige Datenerfassung während des Onboarding-Prozesses

Banken erfassen während des Onboarding-Prozesses in der Regel nur Daten für die Pflichtfelder und vernachlässigen zusätzliche wertsteigernde Angaben. Dadurch kann die Genauigkeit von Treffern bei negativer Berichterstattung aufgrund der begrenzten verfügbaren Kundendatenpunkte verringert werden.

Ein robustes, permanentes KYC-Framework

Nachdem die Markttreiber berücksichtigt wurden, die zur Entwicklung der ständigen KYC-Anforderungen beitragen, besteht der nächste Schritt darin, zu untersuchen, wie ein Finanzinstitut ein stabiles, skalierbares, dauerhaftes KYC-Framework aufbauen kann. Die folgenden drei Schritte sind wesentliche Elemente eines robusten KYC-Frameworks:

Schritt 1: Prüfen Sie beim Erwerb eines Kunden dessen Ausweisdokumente, und stellen Sie sicher, dass der Kunde oder die Entität nicht Teil einer Sanktionsliste ist.

Schritt 2: Implementieren Sie Due-Diligence-Maßnahmen für Kunden, wie die Erfassung aller verfügbaren Daten über den Kunden aus vertrauenswürdigen Quellen, die Bestimmung des Zwecks und der beabsichtigten Art der Geschäftsbeziehung und der wichtigsten Begünstigten sowie die kontinuierliche regelmäßige Überwachung von Beziehungen, um sicherzustellen, dass die Aktivitäten mit dem Risikoprofil des Kunden übereinstimmen.

Schritt 3: Planen Sie KYC-Wiederholungen basierend auf dem Risikoprofil des Kunden. Kunden mit dem höchsten Risiko werden häufig jährlich oder manchmal häufiger untersucht (je nach Risikoprofil und Gerichtsbarkeit), Kunden mit mittlerem Risiko werden in der Regel alle drei Jahre geprüft, und Kunden mit dem niedrigsten Risiko werden in der Regel alle fünf Jahre überprüft. Verbesserte Due-Diligence-Maßnahmen der Kunden, wie z. B. ein intensiveres Monitoring und tiefere Recherchen, wie sie in der ständigen KYC vorgeschrieben sind, werden durchgeführt, wenn das Unternehmen erkennt, dass das Verhalten des Kunden ein höheres Risiko als erwartet aufweist oder ein Auslöseereignis eingetreten ist.

Ein empfohlener Ansatz für die erfolgreiche Umsetzung des ewigen KYC

Trotz der Herausforderungen bei der Implementierung eines ständigen KYC-Frameworks ist es für Finanzinstitute immer noch möglich, ein erfolgreiches, kontinuierliches KYC-Programm zu etablieren. Hier sind die kritischen Elemente, die jedes Finanzinstitut in sein KYC-Programm einbauen muss.

Datenbeschaffung

Nach dem Onboarding müssen Kunden kontinuierlich anhand von internen und externen Datenänderungen überwacht werden, die sich auf ihr Kundenprofil auswirken könnten. Beispielsweise können Wahlregister Daten bereitstellen, die das Profil eines Kunden von einem Kunden mit geringem Risiko in einen PEP (politisch exponierte Person) ändern.

• Interne Datenquellen umfassen den Kundendatenspeicher, die interne Watchlist, Kontodetails usw. Vorwiegend liegen diese Daten in einem strukturierten Format vor, beispielsweise einer relationalen Datenbank, obwohl auch unstrukturierte Daten in vertraglichen Vereinbarungen und Identifikationsdokumenten vorhanden sind.
• Externe Datenquellen umfassen externe Beobachtungslisten, wie sie vom Office of Foreign Assets Control und World-Check veröffentlicht werden, sowie unerwünschte Medien und negative Nachrichten. Diese Daten sind im Allgemeinen unstrukturiert und benötigen die Anwendung von Technologie, um hilfreiche Informationen daraus zu extrahieren.

Datenkonsolidierung und -anreicherung

Die Daten werden aus verschiedenen Quellen sortiert, bereinigt und angereichert. Die Datenbereinigung ist einer der wichtigsten Schritte in diesem Prozess. Das Dataset ist riesig, und es muss nur eine Teilmenge von Benutzerdaten extrahiert werden, wobei überflüssige, überschüssige und doppelte Daten ignoriert werden.

Nutzung von Daten für die Due Diligence des Kunden

Der obige Prozess stellt Eingabedaten bereit, die für den Due-Diligence-Prozess des Kunden erforderlich sind, wie Geschäftsbeziehungen, wirtschaftliche Eigentümer des Unternehmens, Finanzierungsquellen und Kapitalstruktur. Darüber hinaus definieren Richtlinien und Verfahren auf Unternehmensebene die Risikofaktoren für den Due-Diligence-Prozess des Kunden – beispielsweise die prozentuale Schwelle für ein kontrollierendes Interesse, verifizierte Medienquellen und Schwellenwerte – entsprechend den gesetzlichen Anforderungen.

Kundenrisikobeurteilung

Die gesammelten Daten werden anhand definierter Ereignisse wie häufigen negativen Nachrichten, einer gerichtlichen Anordnung gegen das Unternehmen oder die Person und neuen Geschäftsbeziehungen mit sanktionierten Ländern überprüft. Wenn das Ereignis das Kundenprofil ändert und den definierten Schwellenwert überschreitet (z. B. die Anzahl negativer Nachrichtenpositionen), wird der Due-Diligence-Prozess des Kunden ausgelöst. Die aktualisierten Informationen werden zur Referenz und zukünftigen Verwendung im Kunden-Repository gespeichert, wenn die Änderung keine wesentliche Änderung ist. Kunden-Due-Diligence-Berichte werden generiert, und Alerts werden an das Fallmanagementsystem gesendet, um weitere Maßnahmen zu ergreifen.