ArtmannWitte/iStock/Thinkstock/Getty Images

27.04.17
Risiko Management

Treasury in den Fängen von KYC und Cybercrime

500 Fragen für eine Kontoeröffnung: Die Compliance-Checks der Banken ufern immer weiter aus. Bei einer Veranstaltung des Verbands Deutscher Treasurer (VDT) richten die Treasurer deshalb klare Forderungen an die Banken. Doch ihre Macht ist begrenzt.

Es gibt derzeit wenige Themen, über die sich Treasurer so echauffieren, wie über die Compliance-Anforderungen seitens ihrer Banken. Das zeigte eine Veranstaltung des Verbands Deutscher Treasurer (VDT) am gestrigen Mittwoch, die sich mit Betrug im Zahlungsverkehr, Compliance und operationellem Risikomanagement befasste. Die anwesenden Treasurer klagten über intransparente Vorgaben, doppelte Abfragen und mangelnde Standardisierung der Know-Your-Customer-Prüfungen, kurz KYC. Eine vermeintliche einfache Kontoeröffnung kann so Monate in Anspruch nehmen. „Es kann doch nicht sein, dass verschiedene Banken dieselbe Regulierung so unterschiedlich auslegen“, ärgerte sich ein Treasury-Verantwortlicher.

Doch das ist der Fall. Nicht selten korreliert die Strenge, mit der Vorgaben interpretiert werden, mit der Höhe der Strafzahlungen, die Banken bereits für Verstöße gegen Geldwäsche- und Sanktionsvorschriften bezahlen mussten, berichten Treasurer. Deshalb versprechen sich die Anwesenden auch nicht besonders viel von Standardisierungsvorhaben. Diverse Anbieter arbeiten derzeit an Datenbanken und Plattformen, über KYC-relevante Dokumente ausgetauscht werden können. Die Idee: Die Information wird nur einmal zur Verfügung gestellt und jede Bank hat Zugriff. Allerdings sind viele Bankvertreter selbst skeptisch, dass sich ein Standard durchsetzen kann.

KYC: Bank stellt 500 Fragen für eine Kontoeröffnung

Auch anwesende Banker räumen Versäumnisse ein. Schuld daran ist – wie so oft – die veraltete IT-Infrastruktur vieler Kreditinstitute: „Weil die Daten manuell erfasst werden und es kein konsolidiertes KYC-System gibt, kommt es zu Fehlern und doppelten Anfragen“, erklärte der KYC-Verantwortliche einer großen internationalen Bank. Problematisch sei aber auch die schiere Menge der Daten, die die Bank laut Gesetzgeber über die Kunden sowie deren Geschäftspartner sammeln müsse. Habe man früher 30 Fragen gestellt, seien es heute etwa 500 Punkte, die das Haus potentiellen Neukunden klären müsse. Der Banker gelobte aber Besserung „beim Kundenerlebnis“. Mehr Klarheit und Effizienz im KYC-Prozess für beide Seiten – Bank und Unternehmen – seien das Ziel.

Viel Verhandlungsmacht haben die Treasurer bei dieser Frage aber nicht, allem Werben der Banken um deutsche Firmenkunden zum Trotz. Denn Abstriche bei Compliance will nach den empfindlichen Strafen der Vergangenheit kein Haus machen. Manch eine Treasury-Abteilung erhöht aber den Druck auf die Banken: So berichtet eine anwesende Finanzverantwortliche, sie habe drei Banken im Kontoeröffnungsprozess gegeneinander antreten lassen: „Als ein Haus fertig war, haben wir den anderen beiden eine Absage erteilt.“ Auch kritisch hinterfragen sei immer sinnvoll: „In vielen Fällen wissen die Banken selbst nicht, wofür sie die Dokumente benötigen und rudern zurück, wenn man nachfragt.“

Was bedeutet die 4. EU-Geldwäscherichtlinie für Treasurer?

Erleichterung ist beim Thema Compliance aber nicht in Sicht – im Gegenteil: Die nächste Regulierung steht mit der 4. EU-Geldwäscherichtlinie, die im Sommer in Kraft tritt, schon in den Startlöchern. Sie verschärft erneut die Anforderungen an die Banken, trifft aber auch die Unternehmen selbst. Denn Kernbestandteil der Richtlinie ist die Schaffung eines Transparenzregisters, in dem Unternehmen ihre Eigentümerstrukturen offenlegen müssen.

Inwiefern Corporates künftig selbst Geldwäsche-Checks vornehmen müssen, war unter den anwesenden Treasurern umstritten: Während manche davon ausgehen, dass dies nur für Bargeldtransaktionen gilt, waren andere der Meinung das Zahlungen für gewisse Produkte oder Dienstleistungen generell betroffen seien.

Betrüger im Treasury werden immer professioneller

Handlungsbedarf gibt es in jedem Fall beim Schutz vor Betrug und Cybercrime im Treasury, dem zweiten Schwerpunktthema der Konferenz. „Die Frage ist nicht ob, sondern wann es ihr Unternehmen trifft“, mahnt der Treasury-Chef eines SDax-Unternehmens. Der Konzern wäre 2012 beinahe eines der ersten Opfer der sogenannten Fake-President-Masche geworden, bei der sich Betrüger als CEO oder CFO des Unternehmens ausgeben und falsche Zahlungen in Auftrag geben.

Seither haben Betrüger so diverse Unternehmen geschröpft. Prominenteste Fälle waren der österreichische Flugzeugzulieferer FACC und der Automobilzulieferer Leoni, bei dem Betrüger 40 Millionen Euro erbeuteten. Dabei passen die Kriminellen ihre Masche immer wieder an. Im Zentrum steht das sogenannte Social Engineering, die gezielte Manipulation von Mitarbeitern, die Zahlungsfreigaben erteilen können. Diese Informationen erhalten Betrüger nicht selten über berufliche Netzwerke wie Xing oder LinkedIn – oder in Kombination mit Hacking-Angriffen. Einige Unternehmen schulen deshalb ihre Mitarbeiter speziell für solche Fälle.

Ein Treasury-Berater sieht allerdings noch ein ganz anderes Problem: „70 Prozent der Leute, die mit Treasury-Prozessen befasst sind, reporten nicht direkt an den Treasurer.“ Das liege beispielsweise an dezentralen Verantwortlichkeiten oder der Auslagerung von Zahlungsverkehrsaktivitäten in Shared Service Center. Das Problem: „Die Verantwortung, falls es zu einem Geldabfluss kommt, liegt aber nicht in der IT oder in der internen Revision, sondern bei Ihnen“, appellierte er an das Podium. Für Treasurer ist das ein besonders schwieriges Spannungsfeld.

Backhaus[at]derTreasurer.de

Fake-President-Masche, Cybercrime und Betrüger im eignen Haus - mehr dazu finden Sie auf der Themenseite Cybercrime im Treasury.