Um den gesetzlichen und aufsichtsbehördlichen Anforderungen zu entsprechen, ist im Rahmen des Internen Kontrollsystems (IKS) ein Kontrollplan des AML-Beauftragten unverzichtbar.

Als „2nd Line of Defence“ sind von AML-Compliance einerseits eigene Kontrolltätigkeiten vorzunehmen, aber auch andererseits jene Kontrolltätigkeiten zu steuern, die andere Organisationseinheiten oder Personen des Unternehmens im Rahmen der Geldwäscheprävention durchführen. Von der „3rd Line of Defence“, der Internen Revision, aber auch den Wirtschaftsprüfern, ist hingegen das Vorhandensein eines effizienten Kontrollplans sowie die Abarbeitung der darin vorgesehenen Kontrollthemen zu prüfen. Die darüber angefertigten Dokumentationen dienen als Nachweis gegenüber der Aufsicht, dass ein wirksames IKS im Unternehmen vorhanden ist.

Basis für die Erstellung des Kontrollplans ist naturgemäß die Risiko-/Gefährdungsanalyse. Deren Ergebnisse dienen dazu, all jene Schlüsselpunkte zu definieren, an denen Kontrollen vorzusehen sind. Ebenfalls ist dabei Art und Tiefe der Kontrollen zu definieren, um letztendlich ein dichtes Sicherheitsnetz zur Minimierung der bestehenden Geldwäscherisiken zu spannen. Es versteht sich von selbst, dass der Kontrollplan – wie ja auch die zu Grunde liegende Risikoanalyse selbst – laufend zu aktualisieren und insbesondere wesentlichen Veränderungen im Unternehmen anzupassen ist.

Inhaltlich wird der Kontrollplan sowohl Prüftätigkeiten enthalten, die von Mitarbeitern der AML-Compliance aufgrund von Datenauswertungen und Akten vorgenommen werden können, als auch solche, die besser „vor Ort“, zum Beispiel in einer Filiale oder anderen Abteilung, durchzuführen sind. Sinnvoll ist es meist auch, bestimmte Kontrollen zu delegieren. Hier kann sowohl auf Dienstleister zurückgegriffen werden, als auch auf andere Abteilungen des Unternehmens, die Kontrollaufträge von AML-Compliance im Rahmen des Geldwäsche-Kontrollplans abzuarbeiten und darüber zu berichten haben. Neben den umfassenden Prüfungen, die teilweise „vor Ort“ vorgenommen werden und manchmal den Umfang von “Desk Reviews“ annehmen können, werden im Kontrollplan üblicherweise jene Prüfungen überwiegen, im Rahmen derer anhand von Stichproben geprüft wird. Die Zahl der zu erhebenden Stichproben ist im Plan vorzugeben und soll jedenfalls, zumindest im Jahresverlauf, einen repräsentativen Umfang haben.

Die Bearbeitung der vorgesehenen Kontrolltätigkeiten erstreckt sich am besten jeweils über ein ganzes Jahr. Aufgrund der von den Prüfern vorgenommenen Dokumentation sind die Ergebnisse gegebenenfalls mit den Fachbereichen zu besprechen. Auf jeden Fall sind dort, wo Mängel erkannt werden, konkrete Maßnahmen zur künftigen Vermeidung diese Mängel zu definieren. In der Folge ist von AML-Compliance zu beobachten und zu prüfen, ob die erkannten Mängel tatsächlich eliminiert sind oder ob sie allenfalls wieder auftauchen.

TIPPS:

• In der Praxis hat sich bewährt, „mehrstufige“ Tabellen zu verwenden. So können z.B. in den ersten Spalten das Risiko und in den weiteren Spalten die zur Vermeidung des Risikos festgelegten Maßnahmen beschrieben werden, während in den darauffolgenden Spalten die im Rahmen des Kontrollplans erfolgten Prüfungen und deren Ergebnisse dokumentiert werden. Das ergibt ein übersichtliches Risikomanagement-Tool, in das das „Defizit Management“ bereits integriert ist.
• Jedes in der Risikoanalyse erkannte Risiko muss zu Maßnahmen zu deren Vermeidung führen.
• Im Rahmen des Kontrollplans ist auch zu verfolgen, ob die definierten Maßnahmen zur Risikovermeidung auch ordnungsgemäß umgesetzt werden.
• Um Doppelgeleisigkeiten zu vermeiden und Synergien zu nutzen, sollte eine Abstimmung der Kontrollaufgaben zwischen AML-Compliance und Interner Revision jährlich vor Festlegung des neuen Kontrollplans erfolgen.