Ein Beitrag von Robert Schneider, Head of Corporates & 3SKey, EMEA, SWIFT
Aufsichtsbehörden weltweit richten ihr Augenmerk zunehmend auch auf Unternehmen, um die Einhaltung der Auflagen zur Bekämpfung der Finanzkriminalität möglichst umfassend sicherzustellen. Viele Unternehmen sehen diese neue Verantwortung mit Skepsis und wollen sie auf ihre Banken übertragen. Doch ist dieser Weg wegen der Komplexität der jeweiligen Vorgaben weder zielführend noch ein Freibrief für die Zukunft. Wenn die Unternehmen sich des Themas annehmen und sich zügig darauf einstellen, können sie mögliche negative Einflüsse auf das Kerngeschäft vermeiden.
Für Finanzaufsichtsbörden weltweit ist die Compliance mit regulatorischen Auflagen zunehmend eine Angelegenheit, die nicht nur Finanzinstitutionen betrifft. Nach und nach haben sie ihr Blickfeld erweitert und Firmen in ihre Weltsicht der „Financial Crime Compliance“ einbezogen. Heutzutage kann die Nichtbeachtung von Compliance-Auflagen drastische Strafen und einen schweren Imageschaden für betroffene Unternehmen nach sich ziehen.
Finanzkriminalität umfasst eine ganze Bandbreite unterschiedlicher Aktivitäten wie Betrug, Cyber-Straftaten, Geldwäsche, Terrorismusfinanzierung, Bestechung, Korruption, Marktmissbrauch, Insiderhandel und Verstöße gegen den Informationsschutz. Auch Empfehlungen zu finanzkriminellen Handlungen können erhebliche Folgen haben. Das Datenleck bei der panamaischen Kanzlei Mossack Fonseca hat weltweite Aktionen zur Steuervermeidung und -hinterziehung sowie zur Umgehung von Embargovorschriften aufgedeckt. Dies führte zu einem öffentlichen Aufschrei und bewog einige Regierungen zur Überprüfung ihrer Besteuerungsgrundsätze.
Regulierungsmaßnahmen zur Bekämpfung der Finanzkriminalität umfassen Gesetze zur Bestrafung von Geldwäsche (AML – Anti-Money Laundering), Geldstrafen und die Überwachung bestimmter Risikopersonen (high-risk individuals). Entsprechende Instrumente wie Sanktionen beziehungsweise Embargos zählen bei der Bekämpfung von Finanzkriminalität zu den Auflagen, bei denen Unternehmen am stärksten gefordert sind. Zusätzlich zur rechtlichen Problematik müssen hier operationelle Entscheidungen über Dinge wie die Führung von Sanktionslisten, Nationalität von Kunden oder Angestellten, nationales Arbeitsrecht, Transaktionswährungen und das Routing von Transaktionen bedacht werden.
Hohe Anforderungen durch vielfältige Rechtsprechung
Die meisten Wirtschaftssanktionen gehen von den USA und Europa aus. Das „Office of Foreign Assets Control” (OFAC) des US-amerikanischen Finanzministeriums hat kürzlich eine Reihe von Unternehmen – auch solche außerhalb der USA – wegen Verstößen gegen Sanktionsgesetze mit einer Geldstrafe belegt. Drei von vier Rechtsträgern, die vom OFAC zwischen dem 20. Januar und dem 25. Februar 2016 für die Missachtung von Sanktionen bestraft wurden, waren Unternehmen. Die Gesamthöhe der Geldstrafen, die in diesem Zeitraum verhängt wurden, betrug mehr als 3,5 Millionen US-Dollar.
Compliance-Experten sind überzeugt, dass sowohl die Höhe als auch die Zahl der Geldstrafen für Unternehmen ähnlich ansteigen werden wie bereits bei Finanzinstitutionen. Das OFAC führt eine Reihe verschiedener Sanktionsprogramme, die Länder wie Syrien, Iran und Russland betreffen sowie „besonders ausgewiesene Staatsangehörige“ (‚specially designated nationals’ – SDNs), die in knapp 60 unterschiedlichen Listen erfasst sind. Die Sanktionen sind entweder umfassend oder selektiv angelegt; sie wirken über die Beschlagnahme von Vermögenswerten oder Handelsbeschränkungen, die helfen sollen, die Ziele der Auslands- und Sicherheitspolitik der USA zu erfüllen.
Andere Länder wie Großbritannien oder Frankreich verfügen über ähnliche Einrichtungen, um diejenigen zu überwachen, die unter dem Verdacht der Finanzkriminalität stehen. Anlässlich der Eröffnung des „Office of Financial Sanctions Implementation” (OFSI) am 31. März 2016 betonte der britische Finanzminister George Osborne: „Finanzsanktionen sind ein überaus wichtiges Instrument der Außenpolitik und der nationalen Sicherheit. Ihr wirksamer Einsatz und ihre Durchsetzung sind entscheidend für den Erfolg.” Das OFSI bietet Osborne zufolge daher „einen hochwertigen Service für den privatwirtschaftlichen Bereich und arbeitet eng mit den Strafverfolgungsbehörden zusammen. Es hilft somit sicherzustellen, dass finanzielle Sanktionen auch richtig verstanden, angewendet und durchgesetzt werden.“
Unternehmen haben Nachholbedarf
Die Aufsichtsbehörden haben somit ihre Absicht, sich die Compliance von Unternehmen bei internationalen Sanktionen genauer anzusehen, deutlich signalisiert. Deshalb kann die Annahme, die Banken seien für den Schutz ihrer Firmenkunden vor möglichen Verstößen verantwortlich, nicht mehr als Milderungsgrund bei regulatorischem Einschreiten gelten.
Das Risiko, gegen ein Sanktionsprogramm zu verstoßen, steigt erheblich mit der Ausweitung des grenzüberschreitenden Geschäfts. Sanktionen erfassen eine Vielzahl unterschiedlicher Ziele und können daher auch Offshore-Gesellschaften betreffen, so dass komplexe Risiken entstehen. Bis vor kurzem war vielen Unternehmen diese regulatorisch auferlegte Verantwortung jedoch gar nicht bewusst. Daher ist deren internes Compliance-Regelwerk häufig weniger gut entwickelt als das von Finanzinstitutionen.
Wie ein Unternehmen die Compliance bei Finanzkriminalität beachten muss, hängt in hohem Maß auch von der Ausrichtung des Industriebereichs ab, in dem es tätig ist. Einige Bereiche sind möglichen Verstößen stärker ausgesetzt aufgrund der Länder, in denen die Unternehmen aktiv sind, andere wegen der Personen oder Institutionen, mit denen sie Geschäfte machen. Stark global ausgerichtete Branchen wie Luftverkehr, Logistik, Ölförderung oder Pharmazie haben sich daher bereits als vergleichsweise initiativ erwiesen. Unternehmen, die vorwiegend in als risikoreich erkannten Rechtssystemen operieren, sind in ähnlicher Weise für die Bedeutung von Compliance sensibilisiert.
Eine der effektivsten Methoden zur Minderung der Risiken von Sanktionsverstößen ist das Screening von Finanztransaktionen. Dies hat den zusätzlichen Vorteil, dass Unternehmen sich nicht nur selbst von der Rechtskonformität der Transaktion überzeugen können. Sie vermeiden zudem eine Blockade von Zahlungen, wenn etwa die Reklamation einer einzelnen Transaktion alle anderen im Batch einer Sendung aufhält. So kann ein Transaktions-Screening durch das Treasury des Unternehmens den Zahlungsverkehr insgesamt beschleunigen und das Straight-Through-Processing verbessern.
Screening ist ein fortlaufender Prozess
Der vielleicht meistgenutzte Weg für Unternehmen, Sanktions-Compliance anzugehen, ist die einmalige Prüfung von Kunden und Zulieferern im Verlauf der Anbahnung einer Geschäftsbeziehung anhand von Listen verschiedener Körperschaften (darunter auch des OFAC). Dies soll sicherstellen, dass diejenigen Länder, Firmen oder Personen, mit denen sie Geschäfte tätigen wollen, keinen bestehenden Sanktionen unterliegen.
Aber obwohl das Screening von Kunden und Zulieferern während dieser Phase durchaus wichtig ist, kann eine solche Prüfung nicht nur als eine einmalige Angelegenheit gesehen werden. Allein das Führen von Sanktionslisten ist schon eine sehr anspruchsvolle Aufgabe. Diese Listen ändern sich regelmäßig, zuweilen täglich, wenn Namen von Rechtsträgern und Personen hinzugefügt oder herausgenommen werden. Daher müssen Kunden- und Zulieferer-Datenbanken ständig überprüft werden, um eine kontinuierliche Compliance aufrechtzuerhalten.
Optimales Vorgehen bedeutet ferner, dass Sanktions- beziehungsweise Embargofilter praktisch sofort nach der Veröffentlichung von Listen-Updates aktualisiert werden. Dennoch gibt es Verzögerungen wegen des Zeitaufwands, der für die Zusammenstellung und Neuformatierung der öffentlichen Listen zur Anpassung an die Filter eines einzelnen Unternehmens benötigt wird. All dies macht das Führen von Sanktionslisten und das Aktualisieren von Sanktionsfiltern äußerst komplex und zeitintensiv.
Umgang mit der Exterritorialität
Unternehmen müssen über ihre Grenzen hinaus denken, um die richtigen Regeln für ihr Vorgehen bei der „Financial Crime Compliance“ zu beachten. Die global aktive Finanz- und Unternehmenswelt muss sich mit dem Problem der Exterritorialität auseinandersetzen.
Während klar ist, dass in den USA tätige Unternehmen die Auflagen der US-Aufsichtsbehörden in ihrem Alltagsgeschäft zu erfüllen haben, war es bisher nicht ganz so klar, dass diese Verpflichtung sich auch auf Organisationen außerhalb der USA erstreckt – sofern sie US-Waren kaufen, Handel in US-Währung betreiben oder US-amerikanische Mitarbeiter beschäftigen, die mit der Abwicklung von Zahlungen zu tun haben.
Letztlich sind die Unternehmen in der Pflicht – gleich in welchem Rechtssystem sie ihren Sitz haben –, ihre Systeme und Prozesse anzupassen und sicherzustellen, dass sie nicht gegen US- oder andere Regulierungsauflagen verstoßen. Besonders kritisch ist zudem die Frage, inwieweit ein Unternehmen auch verpflichtet ist, den Lebenszyklus seines Produkts zu verfolgen und beispielsweise sicherzustellen, dass kein Weiterverkauf durch seinen Geschäftspartner an einen sanktionierten Käufer stattfindet.
Ein Regelwerk für die Zukunft schaffen
Die Bekämpfung der Finanzkriminalität wird auch künftig ihre hohe Priorität bei Aufsichtsbehörden und Regierungen weltweit behalten. Waren Regulatoren und Politik zunächst auf die Finanzindustrie konzentriert, so haben sie ihr Netz inzwischen weiter ausgeworfen und beziehen jetzt auch die Unternehmen umfassend mit ein.
Wie zuvor die Finanzinstitutionen müssen nun auch Unternehmen die Financial Crime Compliance in das Management ihres Tagesgeschäfts einbauen. Ob sie es wollen oder nicht, müssen sie mehr über ihre Kunden sowie die Kunden ihrer Kunden in Erfahrung bringen. Die Zulieferkette muss sich zwangsläufig zunehmend schärferen Prüfungen unterziehen. Bei den steigenden direkten und indirekten Compliance-Kosten sind die Banken viel weniger bereit, Risiken im Bereich weithin unbekannter Rechtssysteme und ungeprüfter Zulieferketten zu übernehmen. Diese gesunkene Risikobereitschaft dürfte sich auch als Anstoß für Unternehmen auswirken, wenn sie international expandieren wollen.
Unternehmen, die keine ausreichenden Kenntnisse über ihre Kunden und Zulieferer vorweisen können, müssen mit einer verminderten Absicherung von Seiten ihrer traditionellen Hausbanken rechnen. Unternehmen können jedoch indirekt Einfluss nehmen: Bei einem Zulieferer kann die Beantwortung von Fragen nach den internen Prozessen zur Einhaltung der rechtlichen Vorgaben bereits im Rahmen der Ausschreibung eine gewichtige Rolle spielen. Das gilt auch für Versicherungen, die neben den Banken ein erhebliches Risiko tragen, falls ihre Kunden keine eigenen Vorkehrungen zu ihrem Schutz vor Finanzkriminalität getroffen haben.
Dieses erweiterte regulatorische Umfeld hat Auswirkungen sowohl auf unternehmerische Expansionspläne und Fremdmittelbeschaffung als auch auf die IT und das operative Geschäft. Unternehmen, die jetzt prüfen, inwieweit sie und ihr Geschäftsmodell den Regulierungsauflagen zur Bekämpfung der Finanzkriminalität unterliegen – und die dann angemessene Maßnahmen zur dauerhaften Sicherung ihrer Compliance ergreifen –, sind bestens vorbereitet, auch in dieser neuen Business-Landschaft weiter zu wachsen.