Der AML Compliance Lifecycle: Six Stages Jedes geregelte Team muss Cover: AML-Compliance wird oft als Onboarding-Task behandelt. Führen Sie das Screening aus, geben Sie den Scheck ein und fahren Sie fort. Das Problem ist, dass Geldwäsche im Moment des Onboardings nicht passiert – es passiert über die Lebensdauer der Beziehung. Hier sieht ein kompletter Lebenszyklus aus.
HubSecure ist relevant, wenn Teams sichere Client-Aufzeichnungen, Dokumentensammlung, Workflow-Besitz, rollenbasierter Zugriff und audit-ready-Anweisungen in einem geregelten Workspace benötigen.
Bei der Prüfung eines AML-Programms prüfen die Aufsichtsbehörden nicht nur, ob Sie ein Screening haben. Sie betrachten den End-to-End-Prozess: von der Identifizierung von Kunden zu Beginn der Beziehung, durch wie Sie sie während ihr überwachen, wie Sie reagieren, wenn etwas schief geht und wie Sie die Beziehung schließen, wenn nötig.
Die meisten Lücken sind nicht in der Bordprüfung. Sie sind in dem, was danach passiert. Diese Anleitung stellt die sechs Stufen des AML-Compliance-Lebenszyklus dar, was jeder benötigt, und die häufigsten Ausfallpunkte auf jeder Stufe.
Verwandter HubSecure-Kaufpfad
AML/KYC- und Onboarding-Leitfaden Kunden-Onboarding-Software AML/KYC-Modul Sumsub-Vergleich AML/KYC-Compliance-Software-Leitfaden Leitfaden Bibliothek Buchen Sie eine Workflow-Demo
Verwandte AML/KYC- und Compliance-Überwachungsressourcen
Fahren Sie fort mit dem AML/KYC-Überwachungsmodul, Compliance-Workflows, HubSecure für Rechtsteams, HubSecure für Finanzteams, Sicherheit und Trust Center.
Verwandter Anwendungsfall
Dieser Leitfaden gehört zum Cluster AML and KYC Guides. Fahren Sie mit dem Produkt-Hub für aml und kyc fort.
Warum die meisten Compliance-Programme Lücken haben
Der AML-Compliance-Lebenszyklus bricht zusammen, nicht weil es den Unternehmen egal ist, sondern weil die Tools keine Verbindung herstellen. Das Onboarding wird in einem System abgewickelt, das Fallmanagement in einem anderen, die Überwachung in einem dritten und die behördliche Einreichung in einem vierten (oft eine Tabellenkalkulation). Jede Übergabe zwischen Systemen birgt die Möglichkeit, dass Informationen verloren gehen, Zeitpläne verschoben werden und das Risiko besteht, dass nicht reagiert wird.
Die Unternehmen mit den vertretbarsten Compliance-Programmen verfügen nicht unbedingt auch über die fortschrittlichsten Tools. Sie sind diejenigen, bei denen der Prozess ununterbrochen ist – wo Informationen aus Onboarding-Feeds direkt in die Risikobewertung einfließen, Risikobewertungen in Überwachungsentscheidungen, Überwachungs-Feeds in das Fallmanagement und Fallmanagement-Feeds in die behördliche Einreichung, mit einem vollständigen Prüfpfad, der jeden Schritt verbindet.
Die sechs Stufen
Identifizieren – Wissen Sie, mit wem Sie es zu tun haben, bevor die Beziehung beginnt
Die Grundlage der AML-Compliance ist die korrekte Identifizierung des Kunden. Dies bedeutet, Ausweisdokumente zu sammeln, sie zu überprüfen, zu bestätigen, dass die Person, die sie vorlegt, tatsächlich der Inhaber des Dokuments ist, und die rechtliche Struktur jeder Unternehmenseinheit festzulegen.
Für Einzelpersonen bedeutet dies Ausweisdokument + Lebendigkeitsbestätigung + Sanktionen und PEP-Überprüfung. Für Unternehmen bedeutet das Unternehmensregistrierung + Geschäftsführer + UBO-Kette (Ultimate Economic Ownership) – nachverfolgt, verifiziert und dokumentiert.
Bildschirm – Vergleichen Sie den Kunden mit allen relevanten Risikodatenbanken
Screening bedeutet, die Identität des Kunden – und aller verbundenen Parteien – anhand von Sanktionslisten, PEP-Datenbanken, unerwünschten Medienquellen und etwaigen branchenspezifischen Beobachtungslisten zu überprüfen. Es sollte beim Onboarding, aber auch bei allen benannten Parteien laufen: Direktoren, UBOs, Zeichnungsberechtigte.
Ein Treffer in dieser Phase bedeutet nicht unbedingt eine Ablehnung – es bedeutet, dass der Treffer überprüft, dokumentiert und entweder geklärt oder eskaliert werden muss. Das Ergebnis und die Begründung müssen unabhängig von der Entscheidung aufgezeichnet werden.
Bewertung – Weisen Sie eine Risikobewertung zu und dokumentieren Sie die Grundlage dafür
Jede Kundenbeziehung benötigt eine dokumentierte Risikobewertung – niedrig, mittel, hoch oder detaillierter. Die Bewertung sollte Folgendes widerspiegeln: Kundentyp, Gerichtsbarkeit, Industriesektor, verwendetes Produkt oder Dienst, Finanzierungsquelle und etwaige Überprüfungsergebnisse. Diese Bewertung bestimmt den Grad der erforderlichen Sorgfaltspflicht und den darauffolgenden Überwachungsrhythmus.
Kunden mit höherem Risiko benötigen eine erweiterte Due Diligence (EDD): eine eingehendere Untersuchung der Herkunft von Vermögen und Geldern, eine zusätzliche Prüfung der Geschäftsgründe und in vielen Gerichtsbarkeiten eine Genehmigung durch die Geschäftsleitung.
Entscheiden – Überprüfen Sie den Fall und treffen Sie eine dokumentierte Entscheidung
Für Fälle, die menschliches Urteilsvermögen erfordern – erhöhte Risikobewertungen, Screening-Treffer, ungewöhnliche Transaktionsmuster – muss ein dokumentierter Überprüfungsprozess vorhanden sein. Der Prüfer muss Zugriff auf alle relevanten Informationen haben: Ausweisdokumente, Überprüfungsergebnisse, Transaktionshistorie, frühere Entscheidungen und alle vom Kunden bereitgestellten Erklärungen.
Die Entscheidung – annehmen, ablehnen, eskalieren, weitere Informationen anfordern – muss mit der Begründung dokumentiert werden. „Vom Compliance-Beauftragten genehmigt“ ist kein Entscheidungsprotokoll. Der Grund ist wichtig, denn eine Aufsichtsbehörde wird danach fragen.
Überwachen – Überprüfen Sie die Beziehung während der gesamten Beziehung kontinuierlich erneut
Dies ist die Phase, die am häufigsten als optional angesehen wird und in der Vorgesetzte am häufigsten Fehler feststellen. Eine laufende Überwachung ist gemäß den AML-Richtlinien und den FATF-Empfehlungen eine gesetzliche Verpflichtung – kein „nice-to-have“. Jeder aktive Kunde muss in einer seinem Risikoniveau angemessenen Häufigkeit einer erneuten Überprüfung unterzogen werden.
Die Überwachung sollte Folgendes umfassen: Sanktionen und PEP-Listenänderungen, unerwünschte Medien, Anomalien im Transaktionsverhalten im Vergleich zum erwarteten Profil des Kunden und alle wesentlichen Änderungen der Umstände des Kunden (neue Direktoren, Eigentümerwechsel, neue Gerichtsbarkeiten).
Datei – Melden Sie verdächtige Aktivitäten umgehend und vollständig
Wenn bei der Überwachung oder Fallprüfung Aktivitäten festgestellt werden, die nicht hinreichend erklärt werden können und die einen begründeten Verdacht auf Geldwäsche oder Terrorismusfinanzierung aufkommen lassen, ist das Unternehmen verpflichtet, einen Suspicious Activity Report (SAR) einzureichen. Dies ist nicht optional – die Meldepflicht entsteht, wenn ein Verdacht entsteht, nicht, wenn Gewissheit besteht.
Die Einreichung muss eine Beschreibung enthalten, die die Grundlage für den Verdacht, die beobachtete Aktivität und das bekannte Profil des Kunden klar erläutert. Währungstransaktionsberichte (CTRs) sind eine separate, schwellenwertbasierte Verpflichtung, die ab einem bestimmten Transaktionswert in den jeweiligen Gerichtsbarkeiten automatisch gilt.
Der gemeinsame Faden: Datenkontinuität
In jeder Phase dieses Lebenszyklus werden Informationen generiert, die in der nächsten Phase benötigt werden. Die Ausweisdokumente aus Stufe 1 dienen als Grundlage für die Prüfung in Stufe 2. Das Prüfergebnis prägt die Risikobewertung in Stufe 3. Die Risikobewertung bestimmt, wer den Fall in Stufe 4 überprüft. Die Überprüfungsentscheidung legt den Überwachungsrhythmus in Stufe 5 fest. Die Überwachungsausgabe steuert die SAR in Stufe 6.
Wenn diese Phasen isoliert sind – verschiedene Systeme, manuelle Exporte, E-Mail-Übergaben – gehen Daten verloren, Zeitpläne verschieben sich und das Compliance-Programm entwickelt unsichtbare Lücken. Wenn sie verbunden sind, fließen alle Informationen automatisch weiter und der Prüfpfad schreibt sich selbst.
Die Ansicht der Regulierungsbehörde: Aufsichtsbehörden prüfen nicht nur, ob jede Stufe isoliert existiert. Sie prüfen, ob die Phasen zusammenhängen – ob ein Überwachungstreffer tatsächlich zu einem Fall führt, ob ein Fall tatsächlich zu einer Entscheidung führt, ob eine Entscheidung dokumentiert wird und ob diese Dokumentation zeitnah erstellt werden kann. In den Lücken zwischen den Phasen entstehen die meisten Durchsetzungsmaßnahmen.
Eine Checkliste zur Selbstbewertung
Verwenden Sie diese Fragen, um herauszufinden, wo Ihr AML-Lebenszyklus Lücken aufweist:
- In Phase 1: Überprüfen wir UBOs für alle Firmenkunden, nicht nur für den Hauptkontakt?
- In Phase 2: Überprüfen wir alle genannten Parteien – Direktoren, Unterzeichner, UBOs – oder nur den Hauptkunden?
- In Phase 3: Werden die Risikobewertungen aktualisiert, wenn sich die Umstände des Kunden ändern, oder erst beim Onboarding?
- In Phase 4: Werden Genehmigungsentscheidungen in einem System mit Zeitstempel und einem benannten Entscheidungsträger erfasst?
- In Phase 5: Wird jeder aktive Kunde nach einem dokumentierten Zeitplan erneut überprüft? Können wir es beweisen?
- In Phase 6: Haben wir eine klare Richtlinie dafür, wann ein Verdacht ausreicht, um eine Verdachtsmeldung auszulösen? Werden Zeitpläne verfolgt?
Wenn eine dieser Fragen eine unsichere Antwort liefert, ist diese Phase eine Lücke – und es ist die Art von Lücke, die Vorgesetzte finden.
Alle sechs Bühnen auf einer Plattform
HubSecure Sentinel deckt den gesamten AML-Compliance-Lebenszyklus ab – von der Identitätssicherung beim Onboarding bis hin zur kontinuierlichen Überwachung und behördlichen Einreichung – mit einem verbundenen Datenmodell und einem vollständigen Prüfpfad.
Kostenlose Testversion starten → Sehen Sie es in Aktion