Was ist Risikomanagement für Finanzkriminalität (Financial Crime Risk Management, FCRM)?

Risikomanagement für Finanzkriminalität (Financial Crime Risk Management, FCRM) ist die Praxis, proaktiv nach Finanzkriminalität zu suchen. Dazu gehören die Untersuchung und Analyse verdächtiger Aktivitäten, das Aufspüren von Schwachstellen sowie das Ergreifen von Maßnahmen, um das Risiko eines Unternehmens zu senken, Opfer zu werden.

Eine FCRM-Strategie war noch nie so wichtig wie heute. Dies gilt für Unternehmen aller Branchen weltweit, denn fast alle wickeln Geschäfte online ab, was die Angriffsfläche vergrößert und Unternehmen zur leichten Zielscheibe für Cyberbedrohungen und Cyberkriminelle macht. Letztere wenden immer raffiniertere und schwerer aufzudeckende Methoden an, um kritische Finanzdaten abzugreifen und anschließend ihre Spuren zu verwischen.

Laut der 2023 Global Economic Crime and Fraud Survey von Kroll rechnen 60 % der befragten Führungskräfte damit, dass Finanzvergehen in den nächsten 12 Monaten weltweit zunehmen werden. Unternehmen stehen daher unter Druck, ihre Daten vor externen und internen Bedrohungen zu schützen und die Einhaltung regulatorischer Vorschriften sicherzustellen. Unternehmen, die die nötigen Schritte zur Erkennung und Abwehr von Finanzkriminalität versäumen, setzen sich dem Risiko hoher Bußgelder in Millionen- oder sogar Milliardenhöhe aus.

In diesem Blog befassen wir uns mit folgenden Themen:

• Welche Arten von Finanzkriminalität es gibt und welche Kosten sie verursachen
• Welche Rolle Geldwäschebekämpfung und Compliance spielen
• Wie ihr eine finanzielle Risikobewertung vornehmt
• Wie FCRM-Lösungen euch dabei helfen können, Finanzkriminalität zu bekämpfen

Außerdem sehen wir uns an, welche Schutzvorkehrungen ihr treffen könnt, um das Risiko zu senken, dass euer Unternehmen Finanzkriminalität zum Opfer fällt.

Welche Arten von Finanzkriminalität gibt es?

Vereinfacht ausgedrückt ist Finanzkriminalität die Praxis, illegalerweise Geld oder Eigentum einer anderen Person oder Organisation zum eigenen Vorteil zu entwenden.

Zu den wichtigsten Arten der Finanzkriminalität gehören: 

• Geldwäsche
• Terrorfinanzierung
• Betrug
• Bestechung 
• Korruption
• Marktmissbrauch 
• Insiderhandel
• Steuerhinterziehung 
• Veruntreuung 
• Counterfeiting
• Identitätsdiebstahl 
• Cyberkriminalität

Diese Straftaten können sowohl von externen Angreifern als auch von internen Mitarbeitern, einschließlich Führungskräften an der Unternehmensspitze, verübt werden.

Finanzkriminalität umfasst auch eine Reihe von weniger schwerwiegenden kriminellen Aktivitäten. Auch wenn die Kosten oder rechtlichen Konsequenzen nicht so hoch sind wie bei den oben aufgeführten Hauptarten, fallen die folgenden Verhaltensweisen unter den Begriff der Finanzkriminalität:

• Persönliche Einkäufe: Mitarbeiter verwenden Firmengelder, um Dinge zu kaufen, die nichts mit ihrer Arbeit zu tun haben.
• Diebstahl: Mitarbeiter stehlen Geld (z. B. aus einer Registrierkasse oder einem Safe) oder Gegenstände aus dem Geschäft, um sie gegen Bargeld zu verkaufen.
• Skimming: Mitarbeiter schöpfen bei jeder Transaktion einen kleinen Betrag ab. In der Regel sind diese Beträge so klein, dass sie leicht übersehen werden, summieren sich aber im Lauf der Zeit – ein Problem speziell in Einzelhandelsgeschäften, in denen häufig in bar gezahlt wird.
• Gehaltsabrechnungsbetrug: Ein Mitarbeiter der Lohnbuchhaltung erstellt einen gefälschten Mitarbeiter und leitet dann die Gehaltsschecks des gefälschten Mitarbeiters auf ein Bankkonto um, auf das er Zugriff hat. In anderen Fällen stellt die Lohnbuchhaltung nicht genehmigte Schecks oder Boni aus oder gibt die Stunden eines Mitarbeiters zu hoch an.
• Abrechnungsbetrug: Mitarbeiter reichen falsche Rechnungen ein, die das Unternehmen dann bezahlt, und der Mitarbeiter oder ein Komplize erhält die Zahlung.
• Fälschung: Mitarbeiter unterschreiben oder vervielfältigen Dokumente mit der Unterschrift einer anderen Person. Zu den Dokumenten können Zeiterfassungsbögen, Spesenabrechnungen, Verträge und sogar Schecks gehören.

Die Täter aus dem Bereich der Finanzkriminalität reichen von kleinen Dieben bis hin zu schwergewichtigen globalen Verbrechersyndikaten:

• Organisierte Kriminelle: Hier geht es um groß angelegte Operationen, an denen mächtige, gefährliche Personen beteiligt sein können.
• Einzeltäter: Dazu zählen Hacker, die keine Verbindung zum Unternehmen haben, oder Kundinnen und Kunden, Lieferanten oder Auftragnehmer mit einigen Kenntnissen über das Unternehmen.
• Führungskräfte: Führungskräfte oder Vorstandsmitglieder, die das Unternehmen bestehlen oder die Leistung des Unternehmens falsch darstellen (Beispiel: Manipulation von Finanzdaten, um die Gewinne zu übertreiben).
• Mitarbeiter: Hier geht es in der Regel um den Diebstahl von Geldern auf irgendeine Art und Schritte zum Verwischen der Spuren (z. B. Skimming). Kriminelle von außen suchen sich oft Mitarbeiter als Partner, die ihnen bei der Durchführung dieser Aktivitäten helfen. Der Mitarbeiter kann in die kriminellen Machenschaften eingeweiht sein. Möglich ist aber auch, dass er unbewusst eingespannt wird – etwa, wenn er vertrauliche Informationen an jemanden weiterleitet, der sich als Führungskraft ausgibt (Phishing).

(Ein hohes Risiko birgt auch Wirtschaftsspionage – hier erfahrt ihr, wie ihr euch davor schützen könnt.)

Kostentrends zur Compliance im Hinblick auf Finanzkriminalität

Compliance im Hinblick auf Finanzkriminalität ist der Prozess, mit dem sichergestellt wird, dass euer Unternehmen die Standards, Richtlinien und Vorschriften (sowohl intern als auch extern) einhält, die für eure Branche und Organisation gelten.

Das US-Finanzministerium rief 1990 das Financial Crimes Enforcement Network (FinCEN) ins Leben und schuf damit das Fundament zur Einhaltung folgender Vorschriften:

• Der Bank Secrecy Act (BSA), auch bekannt als Currency and Foreign Transactions Reporting Act, verpflichtet Finanzinstitute zur Zusammenarbeit mit der US-Regierung in Fällen von vermuteter Geldwäsche und Betrug.
• Der USA PATRIOT Act sieht Maßnahmen vor, um „internationale Geldwäsche und Terrorismusfinanzierung zu verhindern, aufzudecken und strafrechtlich zu verfolgen“.
• Know Your Customer (KYC) ist ein Teil des PATRIOT Act, der von Unternehmen verlangt, die Identität von Kundinnen und Kunden zu überprüfen und die Art ihrer Aktivitäten zu verstehen.

Finanzverbrechen können sich stark auf den Umsatz eines Unternehmens auswirken, dasselbe gilt jedoch auch für die Compliance. So kam eine von LexisNexis durchgeführte Studie zu dem Ergebnis, dass die weltweiten Kosten der Compliance im Hinblick auf Finanzkriminalität 2022 einen Rekordwert von 274 Milliarden US-Dollar erreichten. 2020 waren es lediglich 213,9 Milliarden US-Dollar. Damit sind die weltweiten Kosten innerhalb von zwei Jahren um 28 % in die Höhe geschnellt.

(LexisNexis 2022 Global Summary)

Da die Finanzkriminalität zunimmt, dürften die Kosten auch 2023 weiter gestiegen sein.

Herausforderungen und Best Practices bei der Einhaltung von Anti-Geldwäsche-Vorschriften

Angesichts der rasanten technischen Entwicklung, zunehmender Finanzkriminalität und ständig neuer Vorschriften stellt die Compliance Unternehmen vor fortlaufende Probleme. Beispielsweise wird die Einhaltung von AML-Vorschriften (Anti-Money Laundering, Anti-Geldwäsche) durch aktuelle Trends deutlich erschwert.

Die Vereinten Nationen schätzen den Umfang der Geldwäsche auf 2 bis 5 % des globalen BIP pro Jahr oder rund 2 Billionen US-Dollar zu laufenden Preisen. Unternehmen müssen daher strenge AML-Compliance-Anforderungen erfüllen – anderenfalls drohen ihnen empfindliche Bußgelder.

Doch AML-Compliance ist aus verschiedenen Gründen immer schwieriger zu gewährleisten:

• Produkte und Services wurden auf den Onlinevertrieb umgestellt: Verbraucherfreundlichere Angebote, wie z. B. Online-Vorqualifikation und mobile Zahlungen, sind schwieriger zu überwachen als Bargeldtransaktionen.
• Die Priorität von Compliance wird heruntergestuft: Finanzinstitute kürzen die für Compliance bereitgestellten Ressourcen, um ihre Konkurrenten zu unterbieten und bessere Angebote zu machen.
• Die Einhaltung der Vorschriften stellt eine Herausforderung dar: Die schiere Menge an Kunden- und Transaktionsdaten ist für Unternehmen einfach zu groß, um sie vorschriftsmäßig zu verwalten, geschweige denn zu analysieren und für die Untersuchung verdächtiger Aktivitäten zu nutzen.

Um die AML-Compliance sicherzustellen, sollten Unternehmen daher folgende Maßnahmen ergreifen:

• Erstellen interner Richtlinien und Verfahren, die speziell auf die Verhinderung von Geldwäsche ausgelegt sind
• Einstellung von Geldwäscheermittlern und deren Unterstützung durch AML-Software, die Daten schnell und effizient verarbeiten kann
• Fortlaufende Schulung von Mitarbeitern, damit sie Geldwäsche sowohl verstehen als auch wissen, was im Verdachtsfall zu tun ist
• Strenge Einhaltung von Buchführungs- und Berichtspflichten

So bewertet ihr euer Risiko, Opfer von Finanzkriminalität zu werden 

Eine Risikobewertung im Hinblick auf Finanzkriminalität ist ein systematischer, schrittweiser Prozess zur Analyse der Anfälligkeit einer Organisation für Finanzkriminalität. Für eine vollständige Finanzrisikobewertung müsst ihr die folgenden Schritte ausführen:

Identifizieren eurer Risiken: Ihr müsst die Risiken sowohl verstehen als auch dokumentieren, ausgehend von der Komplexität eures Unternehmens, dem Markt, in dem ihr tätig seid, den Services und Produkten, die ihr anbietet, und dem Anteil eures Geschäfts, der online abgewickelt wird. Mit Blick auf frühere Vorfälle in eurem Unternehmen und die allgemeine Verbreitung dieser Finanzkriminalität auf dem Markt müsst ihr euer Risikoniveau für jeden der folgenden Punkte einschätzen:

• Geldwäsche
• Terrorfinanzierung
• Betrug
• Bestechung und Korruption
• Marktmissbrauch und Insiderhandel
• Steuerhinterziehung
• Veruntreuung
• Fälschung
• Counterfeiting
• Identitätsdiebstahl
• Cyberkriminalität
• Persönliche Einkäufe
• Diebstahl
• Skimming
• Lohnbuchhaltungsbetrug
• Rechnungsbetrug

Nachdem ihr eure Risiken dokumentiert habt, könnt ihr sie priorisieren, ausgehend von der größten Bedrohung.

Festlegen von Schutzmaßnahmen, um eure Risiken zu mindern: Sobald ihr die Punkte, an denen ihr besonders gefährdet seid, genau kennt, könnt ihr die Kontrollen und Systeme planen, die ihr zum Verhindern von Finanzkriminalität in eurem und gegen euer Unternehmen implementieren möchtet. Zu diesen Kontrollen können gehören:

• Zuweisen der Zuständigkeit für die Sicherstellung der Compliance an Einzelpersonen (z. B. übertragt ihr diese Aufgabe einem Mitglied des Sicherheitsteams oder stellt einen neuen Geldwäscheermittler ein)
• Festlegen organisationsweit gültiger Richtlinien und Vorgehensweisen
• Implementieren der allgemeinen Sorgfaltspflicht gegenüber Kundinnen und Kunden (Customer Due Diligence, CDD) und der erweiterten Sorgfaltspflicht (Enhanced Due Diligence, EDD), um sicherzustellen, dass ihr alle Kundeninformationen erfasst, die zur Beurteilung des Risikos erforderlich sind
• Erstellen effektiver Management-Informationsberichte (MI), die sowohl Daten als auch Kontext liefern
• Angemessene Schulung der Mitarbeiter in der gesamten Organisation über die IT hinaus, damit sie wissen, wie sie Finanzkriminalität erkennen und melden können

Überprüfen und Verbessern der Kontrollen: Euer Unternehmen sollte regelmäßig Audits durchführen, um sicherzustellen, dass die von euch eingerichteten Kontrollen neue Risiken abdecken. Wenn sich der Markt und das allgemeine Umfeld ändern, müsst ihr neue Verfahren und Richtlinien erstellen, um neue Probleme anzugehen und die Einhaltung der Vorschriften zu gewährleisten.

Monitoring und Berichterstellung: Es ist zwingend erforderlich, dass ihr die Effektivität eurer Kontrollen überwacht. Dokumentiert also verdächtige Aktivitäten und die Schritte, die ihr unternommen habt, um das Problem zu lösen. Eine ordnungsgemäße Berichterstattung ist im Rahmen verschiedener Compliance-Vorschriften erforderlich, daher ist es wichtig, dass diese Informationen jederzeit verfügbar sind.

Was ist ein FCRM-System?

FCRM-Tools ermöglichen es den Sicherheitsmitarbeitern, potenzielle Schwachstellen proaktiv zu identifizieren, Aktivitäten kontinuierlich zu untersuchen, laufende Risikobewertungen durchzuführen sowie fragwürdige Aktivitäten zu verwalten und auf sie zu reagieren. Hier ist eine Aufschlüsselung der geforderten Fähigkeiten:

• Erkennen von Bedrohungen in Echtzeit: FCRM-Systeme erkennen verdächtige Aktivitäten sofort – selbst bei großen Transaktionsvolumina – und senden Benachrichtigungen an die Security-Teams, die dann entscheiden können, welche Maßnahmen als nächstes zu ergreifen sind.
• Aufdecken von anomalem Benutzerverhalten: Einige FCRM-Tools nutzen erweiterte Verhaltensanalysen und Machine Learning, um bösartiges oder ungewöhnliches Verhalten in Bezug auf Benutzer, Geräte und Anwendungen zu erkennen.
• Verbessern der Effizienz und der Ergebnisse der Untersuchungen: Die besten FCRM-Lösungen ermöglichen es euch, schnell riesige Mengen aktueller oder historischer Maschinendaten zu durchsuchen, um Finanzkriminalität aufzudecken.
• Vermeiden von Over-Alerting: Ihr könnt benutzerdefinierte Regeln und Automatisierungsroutinen einrichten, um sich wiederholende Alarme und Fehlalarme zu reduzieren.
• Einhaltung der Compliancevorschriften zu Betrug und Geldwäsche: Die FCRM-Lösung bringt Ordnung in unstrukturierte Daten und ermöglicht es euch, die Vorschriften adäquat zu erfüllen.
• Bereitstellen von Analysen und Berichten: Mit FCRM-Lösungen könnt ihr die Gefahren durch Finanzkriminalität auf einfache Weise analysieren, messen und verwalten und wichtige Informationen mit den Beteiligten im gesamten Unternehmen teilen.

Finanzkriminalität mit FCRM-Systemen bekämpfen

FCRM-Lösungen unterstützen die Bekämpfung von Finanzkriminalität in zweierlei Hinsicht. Zum einen lichten sie den Datendschungel, sodass sich Analysten auf die Strategie zur Verhinderung von Finanzkriminalität und die Compliance konzentrieren können. Zum anderen bieten sie mehr Transparenz und bessere Erkenntnisse und benachrichtigen Analysten, wenn verdächtiges Verhalten auftritt.

Hier erfahrt ihr, wie die FCRM-Technologie dazu beiträgt, diese häufigen Verbrechen zu verhindern:

• Betrug im elektronischen Zahlungsverkehr: Mit FCRM-Lösungen könnt ihr Versuche, Gelder mittels ACH- und Überweisungstransaktionen (Fed und SWIFT) zu stehlen, leichter erkennen, untersuchen und aufklären. Studien legen nahe, dass FCRM-Lösungen wirken: Der prozentuale Anteil der Unternehmen, die Ziel eines erfolgreichen oder versuchten Zahlungsbetruges wurden, erreichte 2019 einen Höchststand und ist seitdem rückläufig.
• Betrug: FCRM-Tools sammeln kontinuierlich kanalübergreifende Daten zu Kundschaft und Konten, um Verhaltensprofile zu erstellen, und suchen dann automatisch nach ungewöhnlichen Verhaltensmustern und Schlüsselindikatoren für Betrugsrisiken.
• Elektronische Kriminalität: Ihr könnt benutzerdefinierte Regeln und Benachrichtigungen einrichten, um bestimmte Verhaltensweisen zu kennzeichnen, damit eure Analysten sie untersuchen können.
• Geldwäsche: FCRM-Tools mit Funktionen zur Geldwäschebekämpfung können verwendet werden, um Personen mit hohem Risiko zu identifizieren. Anhand historischer Daten lassen sich nämlich verdächtige Muster in Kundentransaktionen erkennen sowie bestimmte Transaktionen lokalisieren und identifizieren.
• Terrorismusfinanzierung: Starke FCRM-Lösungen bieten eine Sanktions- oder Sperrliste und gleichen die Kontobewegungen des Unternehmens damit ab. Bei Übereinstimmungen hält die Lösung Zahlungen zurück, bis eine autorisierte Person die Zahlung freigibt oder verweigert.
• Bestechung und Korruption: FCRM-Tools ermöglichen es Ermittlern, Verbindungen zwischen Auftragnehmern oder Amtsträgern zu identifizieren und ungewöhnliche Zahlungsmuster zu erkennen, die darauf hindeuten könnten, dass die Organisation Bestechungsgelder zahlt oder erhält.
• Marktmissbrauch und Insiderhandel: FCRM-Lösungen unterstützen euch bei der Verwaltung von Mitarbeiter-Trading und vergleichen dieses in Echtzeit mit Aktivitäten am Wertpapiermarkt, damit ihr potenziell illegalen Handel untersuchen könnt.

Best Practices für FCRM

Die geltenden Gesetze bilden den Rahmen dafür, wie euer Unternehmen Finanzkriminalität in den eigenen Reihen verhindern und bekämpfen kann. Deshalb müsst ihr wissen, welche Regeln für euch gelten, Gesetzesänderungen ständig im Blick behalten und unternehmensweit ein Bewusstsein für die geltenden Vorschriften schaffen.

Diese Best Practices helfen euch dabei, kriminelle Aktivitäten zu verhindern:

(Hier könnt ihr nachlesen, wie ihr mit Risiken bezüglich Drittanbietern umgeht und Sicherheitsautomatisierung umsetzt.)

Die Wahl der richtigen FCRM-Lösung

Welche FCRM-Lösung am besten zu eurer Organisation passt, hängt stark von euren Anforderungen ab. Vor der Suche nach Tools solltet ihr daher unbedingt eine gründliche Risikobewertung durchführen. Hier sind einige Features, die ihr darüber hinaus in Betracht ziehen solltet:

• Zuverlässige und vollständige Daten: Sucht nach Tools, mit denen ihr anhand fortschrittlicher Verhaltensanalysen und Machine Learning in Echtzeit gründliche 360-Grad-Profile eurer Geschäftspartner erstellen könnt.
• Maßgeschneiderte Dashboards und mühelose Berichterstellung: Ihr benötigt unter anderem allgemeine Übersichten, Statistiken zur Trendanalyse und workflowbasierte Berichte. Außerdem sollte das Tool die Möglichkeit bieten, Drilldowns durchzuführen, auf spezifische Daten für Untersuchungen zuzugreifen und Berichte zu erstellen, um Compliance-Anforderungen zu genügen.
• Features zur Einhaltung behördlicher Vorschriften: FCRM-Tools müssen euch die Einhaltung von Vorschriften aller Ebenen – lokal, national, international – ermöglichen. Wählt einen Anbieter, mit dem ihr Logdaten schnell abrufen und Berichte für Audit-Anfragen erstellen könnt.
• Benutzerfreundlichkeit: Ihr braucht eine unkomplizierte Plattform mit dem richtigen Funktionsumfang, einer intuitiven Oberfläche und individuellen Anpassungsmöglichkeiten. Vergewissert euch, dass der Anbieter, für den ihr euch entscheidet, auch kontinuierliche Schulungen und Support anbietet, damit ihr das Beste aus eurer Investition herausholen könnt.

Fazit: Nehmt Finanzkriminalität ernst

Kundinnen und Kunden erwarten eine auf allen Kanälen sichere und echtzeitfähige Umgebung. E-Commerce und digitale Datentransaktionen schaffen neue Herausforderungen für Bewertung und Management eurer Gefährdung durch Finanzkriminalität. Daher ist das kein Thema, das ihr aufschieben und ignorieren könnt.

Die Aufsichtsbehörden werden euer Unternehmen für alle Finanzdelikte verantwortlich machen, die unter eurer Aufsicht geschehen, auch für solche, die von außen kommen. Die Einführung einer FCRM-Lösung macht es einfacher, diese Bedrohungen zu erkennen, darauf zu reagieren und sie zu verhindern, während gleichzeitig sichergestellt wird, dass euer Unternehmen konform bleibt – selbst bei einer wachsenden und zunehmend komplexen Phalanx von Vorschriften.