BaFin AuA-BT KI 6.2.3 Prüfung

BaFin AuA-BT KI 6.2.3 Prüfung für Kreditinstitute

Die BaFin AuA-BT KI 6.2.3 Prüfung ist eine unabhängige Funktionsprüfung von AML-Transaktionsmonitoring-Systemen in Kreditinstituten.

Nach § 25h Abs. 2 KWG sind Banken verpflichtet, geeignete Datenverarbeitungssysteme zur Erkennung verdächtiger Transaktionen zu betreiben. Diese Systeme müssen Transaktionen identifizieren, die beispielsweise

  • ungewöhnlich oder komplex strukturiert sind
  • kein offensichtliches wirtschaftliches Ziel haben
  • Hinweise auf Geldwäsche oder Terrorismusfinanzierung enthalten.

Die BaFin konkretisiert diese Anforderungen in den Auslegungs- und Anwendungshinweisen (AuA-BT) für Kreditinstitute.

Insbesondere Abschnitt 6.2.3 verlangt, dass Monitoring-Systeme

  • technisch funktionsfähig betrieben werden
  • regelmäßig gewartet und überprüft werden
  • vollständig mit Transaktionsdaten versorgt werden
  • einer unabhängigen Qualitätskontrolle unterliegen.

Die BaFin AuA-BT KI 6.2.3 Prüfung stellt sicher, dass Kreditinstitute diese Anforderungen nachvollziehbar erfüllen und sich auf BaFin-Prüfungen sowie Jahresabschlussprüfungen nach PrüfbV vorbereiten können.

Gesetzliche Grundlage der AuA-BT KI 6.2.3 Prüfung

Die regulatorischen Anforderungen für AML-Monitoring-Systeme ergeben sich aus mehreren Normen des Finanzaufsichtsrechts.

Die wichtigsten Rechtsgrundlagen sind:

  • § 25h Abs. 2 Kreditwesengesetz (KWG)
  • Geldwäschegesetz (GwG)
  • BaFin AuA-BT Kreditinstitute (Abschnitt 6.2.3)
  • § 27 PrüfbV – EDV-Monitoring im Rahmen der Jahresabschlussprüfung

Die BaFin erwartet ausdrücklich, dass Kreditinstitute die Funktionsfähigkeit ihrer Monitoring-Systeme regelmäßig überprüfen und dokumentieren.

Ziel der BaFin AuA-BT KI 6.2.3 Prüfung

Die Prüfung dient der unabhängigen Bewertung der technischen Funktionsfähigkeit eines AML-Monitoring-Systems.

Dabei wird insbesondere untersucht, ob

  • das Monitoring-System technisch stabil und funktionsfähig ist
  • alle relevanten Transaktionsdaten vollständig verarbeitet werden
  • Monitoring-Regeln und Schwellenwerte korrekt konfiguriert sind
  • Alerts ordnungsgemäß bearbeitet werden
  • das System End-to-End zuverlässig arbeitet.

Ziel ist sicherzustellen, dass das Monitoring-System tatsächlich in der Lage ist, verdächtige Transaktionen frühzeitig zu erkennen und an die Compliance-Organisation zu melden.

Prüfung nach ISAE 3000 und IDW PS 860

Die BaFin AuA-BT KI 6.2.3 Prüfung erfolgt nach international anerkannten Assurance-Standards:

  • ISAE 3000 (Revised)
  • IDW PS 860 – Prüfung von IT-Systemen außerhalb der Abschlussprüfung

Diese Standards ermöglichen eine unabhängige Prüfung von

  • IT-Systemen
  • Compliance-Kontrollen
  • regulatorischen Prozessen.

Im Gegensatz zu Software-Zertifizierungen wird hierbei nicht die Software selbst geprüft, sondern der tatsächliche Betrieb des Monitoring-Systems im Kreditinstitut.

Prüfungsbereiche der AuA-BT KI 6.2.3 Prüfung

Eine typische BaFin AuA-BT KI 6.2.3 Prüfung umfasst mehrere zentrale Prüfmodule.

Governance und organisatorische Einbindung

Die Prüfung analysiert zunächst die organisatorische Einbindung des Monitoring-Systems in die Compliance- und IT-Struktur des Instituts.

Dabei werden insbesondere geprüft:

  • Rollen und Verantwortlichkeiten
  • Berechtigungskonzepte
  • Schulungen der Monitoring-Mitarbeiter
  • Dokumentation der Monitoring-Prozesse.

Auch die Einbindung des Systems in das Notfallmanagement gemäß MaRisk AT 7.3 wird bewertet.

Datenbereitstellung und Datenqualität

Ein AML-Monitoring-System kann nur funktionieren, wenn es mit vollständigen und korrekten Daten versorgt wird.

Deshalb wird geprüft:

  • welche Quellsysteme Transaktionsdaten liefern
  • ob alle Transaktionen im Monitoring erfasst werden
  • welche Kontrollen zur Sicherstellung der Datenintegrität existieren.

Fehlerhafte Daten können dazu führen, dass verdächtige Transaktionen nicht erkannt werden.

Parametrisierung des Monitoring-Systems

Ein zentraler Bestandteil der Prüfung ist die Analyse der Monitoring-Regeln und Szenarien.

Dabei wird untersucht:

  • welche Regeln und Indikatoren im System hinterlegt sind
  • welche Schwellenwerte verwendet werden
  • wie Kundensegmente oder Peer-Gruppen gebildet werden.

Die Parametrisierung muss auf der institutsweiten Risikoanalyse gemäß GwG basieren.

Bearbeitung von Alerts

Das Monitoring-System generiert Alerts, wenn ungewöhnliche Transaktionen erkannt werden.

Die Prüfung analysiert deshalb:

  • Alert-Generierung
  • Bearbeitungsprozesse
  • Eskalationsmechanismen
  • Verdachtsfallbearbeitung.

Auch Qualitätssicherungsmaßnahmen wie Vier-Augen-Prinzip oder Stichprobenkontrollen werden bewertet.

Technische Funktionsfähigkeit des Systems

Der Kern der BaFin AuA-BT KI 6.2.3 Prüfung ist die technische Systemprüfung.

Dabei werden unter anderem analysiert:

  • Systemstabilität
  • Datenverarbeitung und Performance
  • Schnittstellen zwischen Systemkomponenten
  • End-to-End-Verarbeitung von Transaktionen.

Diese technische Qualitätskontrolle erfolgt häufig durch IT-Prüfer oder spezialisierte Sachverständige.

Prüfung gemeinsam mit Wirtschaftsprüfern

Leitner & Associates bietet die BaFin AuA-BT KI 6.2.3 Prüfung gemeinsam mit einem unabhängigen Abschlussprüfer bzw. Wirtschaftsprüfer an.

Die Prüfung erfolgt nach ISAE 3000 (Revised) und IDW PS 860.

Dabei kann der Wirtschaftsprüfer zwei Arten von Assurance-Bestätigungen ausstellen.

Reasonable Assurance (hinreichende Sicherheit)

Bei einer Prüfung mit hinreichender Sicherheit reduziert der Prüfer sein Prüfungsrisiko auf ein sehr niedriges Niveau.

Das Ergebnis ist ein positives Prüfungsurteil.

Beispiel:

„Nach unserer Beurteilung entspricht das geprüfte System in allen wesentlichen Belangen den festgelegten Anforderungen.“

Dieses Sicherheitsniveau entspricht in seiner Aussagekraft etwa einer Jahresabschlussprüfung.

Limited Assurance (begrenzte Sicherheit)

Alternativ kann eine Prüfung mit begrenzter Sicherheit erfolgen.

Der Prüfer bestätigt dabei, dass ihm keine Sachverhalte bekannt geworden sind, die darauf hindeuten, dass das System die Anforderungen nicht erfüllt.

Der Umfang der Prüfungshandlungen ist hierbei geringer.

Vorteile einer AuA-BT KI 6.2.3 Prüfung

Die Prüfung bietet Kreditinstituten mehrere Vorteile.

Sie ermöglicht insbesondere:

  • Vorbereitung auf BaFin-Sonderprüfungen nach §44 KWG
  • Unterstützung der PrüfbV-Jahresabschlussprüfung
  • unabhängige Bestätigung der Systemfunktion
  • Identifikation regulatorischer Schwachstellen
  • Verbesserung der Governance des AML-Monitorings.

Für welche Institute ist die Prüfung relevant?

Die BaFin AuA-BT KI 6.2.3 Prüfung ist insbesondere relevant für:

  • Kreditinstitute gemäß KWG
  • Zahlungsinstitute und E-Geld-Institute
  • Finanzdienstleistungsinstitute mit Transaktionsmonitoring-Systemen.

Alle Institute, die Monitoring-Systeme nach §25h KWG betreiben, müssen deren Funktionsfähigkeit regelmäßig überprüfen und dokumentieren.

FAQ zur BaFin AuA-BT KI 6.2.3 Prüfung

Was ist die BaFin AuA-BT KI 6.2.3 Prüfung?

Die BaFin AuA-BT KI 6.2.3 Prüfung ist eine unabhängige Prüfung der technischen Funktionsfähigkeit von AML-Transaktionsmonitoring-Systemen gemäß §25h KWG.

Wer muss ein Monitoring-System betreiben?

Alle Kreditinstitute und viele Finanzdienstleister sind verpflichtet, Systeme zur Erkennung verdächtiger Transaktionen zu betreiben.

Wer führt die Prüfung durch?

Die Prüfung kann von spezialisierten Beratungsunternehmen wie Leitner & Associates gemeinsam mit Wirtschaftsprüfern nach ISAE 3000 / IDW PS 860 durchgeführt werden.

Wie oft sollte ein Monitoring-System geprüft werden?

Die BaFin empfiehlt eine regelmäßige Qualitätskontrolle, typischerweise alle zwei Jahre oder bei wesentlichen Systemänderungen.