FINMA-Aufsichtsmitteilung 04/2026: Gestiegene Anforderungen an die GwG-Risikoanalyse
FINMA-Aufsichtsmitteilung 04/2026: Gestiegene Anforderungen an die GwG-Risikoanalyse
Die GwG-Risikoanalyse bildet das zentrale Steuerungsinstrument des Geldwäschereidispositivs eines Finanzintermediärs. Die Eidgenössische Finanzmarktaufsicht (FINMA) hat erneut eine Vielzahl von Geldwäschereirisikoanalysen geprüft. Mit der Aufsichtsmitteilung 04/2026 ergänzt sie die FINMA-Aufsichtsmitteilung 05/2023 um weitere Erkenntnisse und Beobachtungen für Banken sowie FINIG-Institute. Der nachfolgende Beitrag erläutert die von der FINMA identifizierten Schwachstellen und zeigt auf, welche Handlungsempfehlungen sich daraus für die Praxis ableiten lassen.
Anwendungsbereich der FINMA-Aufsichtsmitteilung
Während die Aufsichtsmitteilung für Banken direkte Anwendung findet, kann sie von FINIG-Instituten 1 Wertpapierhäuser (Art. 41 FINIG), Fondsleitungen (Art. 32 FINIG), Verwalter von Kollektivvermögen (Art. 24 FINIG), Vermögensverwalter und Trustees (Art. 17. FINIG) . sinngemäss als Orientierung herangezogen werden. Die Umsetzung hat unter Berücksichtigung der tatsächlichen Risikoexposition des jeweiligen Instituts zu erfolgen. Detaillierungsgrad und Ausgestaltung der Risikoanalyse sollten sich nach Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit richten. Je höher die inhärenten Risiken eines Instituts sind, desto detaillierter sollte die Risikoanalyse ausgestaltet werden.
Wurde die Risikotoleranz in Bezug auf die Geschäftstätigkeit definiert?
Die FINMA hat festgestellt, dass bei Finanzinstituten oft eine adäquate Definition der Risikotoleranz fehlt. Es sollten bewusste Ausschlüsse in Bezug auf bestimmte Länder, Kundensegmente, Dienstleistungen und Produkte festgelegt werden. Ein blosser Verweis auf zwingend auszuschliessende Risiken - beispielsweise Geschäftsbeziehungen mit Nordkorea oder Iran - genügt nicht. Die Risikotoleranz muss so dokumentiert werden, dass sie auch für einen Dritten nachvollziehbar ist.
Wurde ein angemessener Exception-to-Policy-(ETP)-Prozess definiert?
Werden Ausnahmen zur Risikotoleranz ermöglicht, ist ein formalisierter Exception-to-Policy-(ETP)-Prozess durchzuführen. Solche Ausnahmen müssen durch die Geschäftsleitung erteilt und vom Oberleitungsorgan überwacht werden. Der ETP-Prozess darf nur in Einzelfällen angewendet werden. Sämtliche ETP-Fälle sind zentral zu erfassen, laufend zu überwachen und dem Oberleitungsorgan regelmässig zu rapportieren.
Sind angemessene Schlüsselindikatoren festgelegt worden?
Der Fokus sollte auf denjenigen Kennzahlen liegen, die für die wesentlichen Risiken aussagekräftig sind. Diese Kennzahlen sind als Schlüsselindikatoren zu definieren. Nicht jede Kennzahl erfüllt diese Funktion.
Welche Risikokategorien sind in der Risikoanalyse zu berücksichtigen und wie sind die Risiken zu bewerten?
Für jedes identifizierte Geldwäschereirisiko innerhalb der jeweiligen Risikokategorie sind das inhärente Risiko, das Kontrollrisiko sowie das daraus resultierende Nettorisiko einzeln und nachvollziehbar zu beurteilen. Dabei müssen sämtliche relevanten Geldwäschereirisiken abgedeckt werden, unabhängig davon, ob die Risikoexposition als tief, mittel oder hoch eingestuft wird. Die Risikokategorien Kundensegmente, Sitz beziehungsweise Wohnsitz sowie Produkte und Dienstleistungen sind zwingend zu berücksichtigen (vgl. Art. 25 Abs. 2 GwV-FINMA). Gleichzeitig ist sicherzustellen, dass die spezifischen Risiken des jeweiligen Geschäftsmodells vollständig abgedeckt werden. Je höher die definierte Risikotoleranz, desto granularer sollten die Risikokriterien ausgestaltet sein.
Unterschiedliche Kritikalitäten eines Risikokriteriums sollten separat ausgewiesen werden, sofern unterschiedliche inhärente Risiken bestehen. Länder mit tiefem, mittlerem und hohem inhärentem Risiko sollten beispielsweise nicht pauschal unter der Kategorie «Länderrisiko (Sitz/Wohnsitz der Kundin bzw. des Kunden)» zusammengefasst werden.
Zudem ist sicherzustellen, dass die inhärenten Risiken einzelner Geldwäschereirisikokriterien hinsichtlich ihrer Kritikalität angemessen bewertet werden. Komplexe Strukturen, politisch exponierte Personen (PEP) sowie Krypto-Dienstleistungen sind grundsätzlich als Risiko mit hoher inhärenter Ausprägung einzustufen.
Weiter ist sicherzustellen, dass die Höhe des Nettorisikos korrekt bestimmt wird. Die entsprechende Methodik ergibt sich aus Anhang 3 der FINMA-Aufsichtsprüfverordnung vom 31. Oktober 2024.
Wie sind risikomindernde Massnahmen (Kontrollrisiko) zu dokumentieren?
Die risikomindernde Wirkung der getroffenen Massnahmen (Kontrollrisiko) auf die inhärenten Risiken ist mit einem angemessenen Detaillierungsgrad zu beschreiben. Hierfür sollten insbesondere Kennzahlen sowie Erkenntnisse zur Wirksamkeit der durchgeführten Kontrollen («Controls of Controls») berücksichtigt werden. Pauschale Verweise auf interne Weisungen oder Prozesse sind zu vermeiden. Stattdessen sind die risikomindernden Massnahmen konkret zu beschreiben oder mit den entsprechenden Kontrollen im Kontrollinventar zu verknüpfen.
Wie sind die Kennzahlen zur Überwachung der Risikoexposition festzulegen?
Zur Beurteilung der Risikoexposition sind geeignete Kennzahlen zu definieren. Diese sollen aufzeigen, wie hoch die jeweilige Risikoexposition im Gesamtbestand des Kundenstamms und der Dienstleistungspalette ist und inwieweit die Einhaltung der Geschäftsstrategie sowie der Risikopolitik gewährleistet wird.
Zur Erhöhung der Aussagekraft empfiehlt sich die Kombination verschiedener Kennzahlen. In der Regel sollten mindestens das verwaltete Vermögen (Assets under Management, AuM) sowie die Anzahl der Geschäftsbeziehungen berücksichtigt werden.
Wie sind Risikolimiten festzulegen und zu überwachen?
Zur Überwachung der definierten Risikotoleranz sind geeignete Risikolimiten festzulegen. Sie sollen sicherstellen, dass bei Überschreitung definierter Schwellenwerte angemessene Massnahmen ergriffen werden können.
Risikolimiten, die ausschliesslich auf Veränderungen gegenüber dem Vorjahr abstellen, sind zu vermeiden. Wird ein festgelegter Schwellenwert überschritten, sind risikomindernde Massnahmen zu ergreifen, um die Einhaltung der Risikotoleranz sicherzustellen. Eine ETP-Bewilligung stellt keine geeignete Massnahme zur Kompensation einer Überschreitung von Risikolimiten dar.
Wird das Nettorisiko mit der Risikotoleranz abgeglichen?
Das Nettorisiko ist stets mit der definierten Risikotoleranz abzugleichen. Ein solcher Abgleich ist erforderlich, um bei einer Überschreitung der Risikotoleranz geeignete Massnahmen einleiten zu können.
Neben der Beurteilung einzelner Risikokategorien ist auch ein gesamthaftes Geldwäscherei-Nettorisiko zu bestimmen und mit der festgelegten Geldwäschereirisikotoleranz zu vergleichen. Überschreitet entweder das Geldwäschereinettorisiko eines einzelnen Risikokriteriums oder das Gesamtnettorisiko die definierte Toleranz, sind in jedem Fall geeignete risikomindernde Massnahmen umzusetzen.
Wie sind Veränderungen der Geldwäschereirisiken gegenüber dem Vorjahr darzustellen?
Veränderungen der Risiken – insbesondere der inhärenten Risiken, des Kontrollrisikos und der Nettorisiken – sind gegenüber dem Vorjahr einzeln und nachvollziehbar darzustellen. Dies ist erforderlich, um den Handlungsbedarf und die notwendigen Massnahmen zur Überwachung der Risiken angemessen bestimmen zu können.
Welche Anforderungen bestehen an die Ressourcenanalyse?
Zur Sicherstellung einer wirksamen Umsetzung des Geldwäschereidispositivs ist im Rahmen der Risikoanalyse der qualitative und quantitative Ressourcenbestand kritisch zu überprüfen. Dadurch kann sichergestellt werden, dass die verfügbaren Ressourcen bei Bedarf rechtzeitig angepasst werden.
Die Ressourcenanalyse sollte mit geeigneten Kennzahlen unterlegt werden, um Entwicklungen und potenzielle Engpässe laufend überwachen zu können.
Was ist nun zu beachten?
Sowohl Banken als auch FINIG-Institute sollten ihre Geldwäschereirisikoanalyse vor dem Hintergrund der aktuellen FINMA-Anforderungen kritisch überprüfen. Dabei ist insbesondere sicherzustellen, dass sämtliche relevanten Risiken vollständig erfasst, nachvollziehbar bewertet und mit angemessenen risikomindernden Massnahmen hinterlegt werden. Besonderes Augenmerk ist auf die Definition von Kennzahlen und Risikolimiten zu legen.

