BWRA unter AMLR: Was sich jetzt ändert

Mit der AMLR und den geplanten AMLA-Leitlinien gewinnt die unternehmensweite Risikoanalyse (BWRA) erheblich an Bedeutung. Sie entwickelt sich von einer formalen Pflicht zur zentralen Steuerungsgröße für Governance und Geschäftsentscheidungen. Was das konkret für Leitungsorgane bedeutet, beleuchten wir im Überblick.

Auf einen Blick

BWRA wird unionsweit detailverbindlich
AMLA‑Leitlinien prägen Aufsichtsmaßstab unmittelbar
Methodik: inhärent, Kontrollen, Restrisiko trennen
Proportionalität heißt angepasst, nicht reduziert
TFS‑Risiken zwingend mitzudenken und steuern

Sachverhalt

Regulatorischer Rahmen: AMLR und AMLA

Mit der Geldwäscheverordnung (AMLR) und der Errichtung der AMLA verlagert sich die AML/CFT-Regulierung auf ein unmittelbar geltendes, stark technisiertes Unionsrecht. Art. 10 Abs. 4 AMLR verpflichtet alle Verpflichteten nach Art. 3 AMLR zur unternehmensweiten Risikoanalyse und ermächtigt AMLA, hierzu Leitlinien zu erlassen. Der Konsultationsentwurf der AMLA konkretisiert die BWRA entlang von vier Mindestanforderungen: Geschäfts- und Betriebsüberblick, Identifikation und Bewertung inhärenter Risiken, Beurteilung der Wirksamkeit der AML/CFT- und TFS-Kontrollen sowie Einstufung der Residualrisiken.

Verzahnung mit Aufsicht und Datenmeldungen

Die Leitlinien verknüpfen dieses interne Risikobild mit den Datenpunkten des RTS-Entwurfs zu Art. 40 Abs. 2 AMLD, der die risikobasierte Aufsichtsmethodik vorgibt. Damit entsteht ein durchgängiger Pfad von der internen BWRA über die Datenmeldung bis zur aufsichtsrechtlichen Risikoanalyse. Parallel werden die EBA-Risikofaktoren-Leitlinien inhaltlich fortgeschrieben und in den neuen Rechtsrahmen überführt.

Proportionalität und TFS-Risiken

Proportionalität wird ausdrücklich hervorgehoben; nicht komplexe Verpflichtete dürfen qualitative, weniger quantifizierte Methoden nutzen, müssen aber dieselben Risikobereiche abdecken. Neu ist die systematische Einbindung von Risiken der Nichtumsetzung und Umgehung gezielter Finanzsanktionen (TFS), die in die BWRA integriert oder in einem eng angebundenen separaten Assessment erfasst werden können.

Rechtliche Bewertung

Verbindlichkeit der Leitlinien und Verantwortung der Leitungsorgane

Die Leitlinien werden – über das Comply-or-explain der nationalen Aufseher – faktisch zu verbindlichen Auslegungsmaßstäben; Abweichungen werden begründungspflichtig und prüfungsrelevant. Für Leitungsorgane bedeutet dies eine qualifizierte Organisations- und Überwachungspflicht: Sie müssen sicherstellen, dass eine klar dokumentierte, intern verstandene BWRA-Methodik existiert, die auf die eigene Geschäftsstrategie abgestimmt ist und anschlussfähig zu AMLR-Anhängen sowie zu gruppenweiten Vorgaben bleibt. BWRA wird damit von der Pflichtübung zur zentralen Steuerungsgrundlage für Risikoappetit, Produktfreigabe, Kundenannahme und Ressourcenausstattung der Compliance-Funktion.

Typische Risiken und Fehlerquellen

Rechtlich riskant ist jeder formalistische Ansatz, der lediglich Listen der AMLR-Anhänge reproduziert oder wirtschaftliche Zielsetzungen in der Gewichtung dominieren lässt. AMLA verlangt eine Trennung von inhärentem Risiko, Qualität der Kontrollen und Residualrisiko; vermischte Scorings ohne diese Logik werden es schwer haben, vor Aufsicht und Interner Revision zu bestehen. Besonders exponiert sind Institute, die gesetzlich vorgegebene Hochrisikokonstellationen faktisch „herunterrechnen“ oder TF- und TFS-Risiken bloß anhängen, ohne eigenständige Analyse der spezifischen Risikomuster. Hier drohen nicht nur Beanstandungen, sondern im Extremfall Feststellungen zu unzureichender Governance und persönlicher Verantwortlichkeit der Geschäftsleitenden.

Gestaltungsspielräume

Gleichzeitig eröffnet der Leitlinienentwurf Gestaltungsspielräume. Die Methodik bleibt technologieneutral; Institute können zwischen quantitativen Scorings, hybriden Modellen und qualitativ dominierten Ansätzen wählen, solange die Ergebnisse nachvollziehbar sind und zu konsistenten Risikoklassen führen. Die Option, sektorale BWRAs als Referenz zu nutzen, erleichtert insbesondere kleineren Häusern den Einstieg, setzt aber eine individuelle Adaption voraus. Auf Gruppenebene entsteht die Pflicht, heterogene lokale Risikoanalysen zu einem kohärenten Gesamtbild zu verdichten, ohne lokale Besonderheiten zu nivellieren – ein Spannungsfeld, das sorgfältiger Dokumentation von Annahmen und Aggregationslogik bedarf.

Bedeutung der Konsultationsphase

Die Konsultationsphase ist rechtlich als letzte Einflussmöglichkeit auf den künftigen Aufsichtsmaßstab zu verstehen. Wer jetzt keine Stellung nimmt, verliert später argumentativen Boden, wenn es um Verhältnismäßigkeit, Definition „nicht komplex“ oder den Zuschnitt von TFS-Anforderungen geht.

Fazit

Vorstände und Geschäftsleitende sollten die BWRA als strategisches Projekt im Rahmen der AMLR-Umsetzung verankern, nicht als IT- oder Compliance-Detail. Kurzfristig ist ein kritischer Review der bestehenden Risikoanalyse erforderlich: Stimmt die Trennung zwischen inhärentem Risiko, Kontrollen und Residualrisiko, sind TF- und TFS-Risiken eigenständig erfasst, ist die Verbindung zur Geschäftsstrategie erkennbar und von der Geschäftsleitung verantwortet. Parallel empfiehlt sich eine gezielte GAP-Analyse zum AMLA-Entwurf, deren Ergebnisse sowohl in Anpassungspläne als auch in eine fundierte Konsultationsstellungnahme einfließen sollten.

Governance-seitig ist zu klären, wie Geldwäschebeauftragte, Risikocontrolling, Compliance, Vertrieb und Geschäftsfeldverantwortliche in einem konfliktresistenten Prozess zusammenwirken, damit wirtschaftliche Interessen die Risikoanalyse nicht überlagern. Gruppenstrukturen erfordern klare Vorgaben, wie lokale BWRAs konsolidiert werden und welchen Mindeststandard Tochtergesellschaften einzuhalten haben.

Wer diese Weichen jetzt nicht stellt, riskiert in der Aufsichts- und Prüfungspraxis Feststellungen zu unzureichender Risikoanalyse, inkonsistenter Steuerung und mangelhafter Umsetzung des risikobasierten Ansatzes. Die Folge können verschärfte Aufsicht, zusätzliche Berichtsauflagen und persönliche Haftungsrisiken für Geschäftsleitende sein. Demgegenüber stärkt eine sauber konzipierte BWRA die Verteidigungsfähigkeit gegenüber der Aufsicht, erhöht die Konsistenz von Geschäftsentscheidungen und reduziert langfristig operative wie reputative Risiken im AML/CFT-Regime des Single Rulebook.