Die Risikobewertung i.R.d. Risikoanalyse gem. § 5 GwG
Die Erstellung einer Risikoanalyse ist seit der Novellierung des Geldwäschegesetzes (GwG) zum 26.07.2017 eine der wesentlichen Pflichten für Steuerberater und Steuerbevollmächtigte, die gem. § 2 Abs. 1 Nr. 12 GwG Verpflichtete nach dem Geldwäschegesetz sind.
Die Risikoanalyse ist das Herzstück einer funktionierenden Geldwäscheprävention und gibt den Kurs für die Umsetzung der sonstigen Verpflichtungen des GwG in der Steuerkanzlei vor. Ohne das Fundament einer sorgfältigen Risikoanalyse fehlen die Anknüpfungspunkte für alle darauf aufbauenden Verpflichtungen des GwG. Entsprechend stellt eine fehlende oder mängelbehaftete Risikoanalyse kein „Kavaliersdelikt“ dar, sondern ein massives – bußgeldbewehrtes – Versäumnis des Steuerberaters. Eine fundierte Risikoanalyse verdeutlicht, dass der Steuerberater die Zielsetzung des GwG, nämlich insbesondere die Anpassung der Sorgfaltspflichten an das jeweilige Risiko (sog. „risikoorientierter Ansatz“), verstanden hat und anzuwenden weiß.
1. Was ist eine Risikoanalyse?
Gem. § 5 Abs. 1 GwG haben Steuerberater diejenigen Risiken der Geldwäsche und Terrorismusfinanzierung zu ermitteln und zu bewerten, die in den von ihnen betriebenen Geschäften bestehen. Hierbei sind insbesondere die in den Anlagen 1 und 2 des GwG genannten Risikofaktoren zu berücksichtigen sowie die Informationen, die durch die nationale Risikoanalyse zur Verfügung gestellt werden.
Die Risikoanalyse ist gem. § 5 Abs. 2 GwG zu dokumentieren und regelmäßig – mindestens einmal im Jahr[1] – zu überprüfen und zu aktualisieren.
Die StBK Hessen hat auf ihrer Website[2] Arbeitshilfen zur Unterstützung bei der Erstellung einer Risikoanalyse zur Verfügung gestellt. Die Arbeitshilfen basieren auf den Empfehlungen der Auslegungs- und Anwendungshinweise zum GwG zur Erstellung einer Risikoanalyse und gliedern sich in 4 Bereiche: Analyse der Kanzleistruktur, Analyse der Mandantenstruktur, Bewertung der Geschäfts- und Mandantenrisiken und Umsetzung der Risikobewertung.
Die Analyse von Kanzlei- und Mandantenstruktur sollte relativ leicht von der Hand gehen, da es sich letztlich um eine Beschreibung des „Ist-Zustands“ handelt. Hier geht es darum, Feststellungen zu Kanzlei und Mandantenstamm zu treffen.
Zu den wesentlichen Faktoren der Kanzleistruktur gehören: Kanzleiform, Lage, Mitarbeiterstruktur, Tätigkeitsfelder und Umsatz. Bei der Mandantenstruktur sind Faktoren wie Mandantenanzahl, Branchen, Unternehmensgröße, Einzel- oder Dauermandate, Bargeldintensität eines Mandats, Auslandsbezug etc. zu thematisieren.
Eine gründliche Darstellung und Beschreibung von Kanzlei- und Mandantenstruktur ist unausweichlich, um im nächsten Schritt, aufbauend auf den getroffenen Feststellungen, die Geschäfts- und Mandantenrisiken zu bewerten. Wird zu oberflächlich vorgegangen, besteht die Gefahr, dass die Anknüpfungspunkte für die anschließende Risikobeurteilung nicht ausreichend herausgearbeitet werden.
Die eigentliche Bewertung der Geschäfts- und Mandantenrisiken erfolgt im nächsten Schritt. Sie bildet den wichtigsten Bestandteil der Risikoanalyse. Denn je nach Bewertung des Risikos eines bestimmten Mandats bzw. einer Mandatsgruppe ergeben sich hieraus die von dem Steuerberater im Kanzleialltag umzusetzenden Verpflichtungen.
2. Wie ist die Risikobewertung vorzunehmen?
§ 5 Abs. 1 GwG fordert die „Ermittlung“ und „Bewertung“ des jeweiligen Risikos. Hierfür bietet es sich an, anonymisierte Mandatsgruppen zu bilden soweit auf mehrere Mandanten einheitliche Kriterien zutreffen. Die Mandatsgruppen dürfen nicht zu groß und zu allgemein gefasst werden. Die Mandatsgruppe „Einkommensteuererklärung“ wäre z.B. zu allgemein, wenn Arbeitnehmer ohne Nebeneinkünfte und Arbeitnehmer mit Nebeneinkünften betreut werden. Hier sollten vielmehr Untergruppen gebildet werden, die gesondert betrachtet werden. Besonderheiten (z.B. Mandanten mit PEP-Eigenschaft) sind stets getrennt auszuweisen, auch wenn es sich um nur einen Mandanten handelt.
Zu beachten ist, dass die jeweiligen Kriterien zu benennen sind, da die Bewertung sonst für die StBK Hessen als Aufsichtsbehörde nicht nachvollziehbar ist. Die bloße Angabe, dass eine Mandatsgruppe ein geringes Risiko aufweist, ist nicht ausreichend, da die Dokumentation der Bewertungsgrundlage fehlt.
Die zu benennenden Kriterien müssen sachgerecht und nachvollziehbar sein und es müssen Differenzierungen erkennbar sein. Es erscheint insbesondere bei einer durchschnittlichen Kanzlei mit einer heterogenen Kanzleistruktur nicht plausibel, wenn sämtliche Mandanten bei unterschiedlichsten Branchen und Tätigkeitsgebieten dasselbe Risiko aufweisen – insbesondere, wenn durchweg ein geringes Risiko ausgewiesen wird.
Wird der StBK Hessen im Rahmen einer Überprüfung der Einhaltung der Verpflichtungen nach dem GwG eine solche Risikoanalyse vorgelegt, wird dies zu Rückfragen führen und ggfs. Anlass für eine Überprüfung im Rahmen einer Vorort-Prüfung bieten, da zu vermuten ist, dass die Analyse nicht sorgfältig genug erstellt worden ist oder sachfremde Kriterien zugrunde gelegt wurden.
Zu beachten ist insbesondere, dass ein persönliches Bekanntsein und/oder eine langjährige Mandatsbeziehung als solche nicht ausreichend sind, um die Annahme eines geringen Risikos zu begründen. Für sich genommen sagt die Dauer eines Mandatsverhältnisses nichts über das Risiko aus, das dem Mandanten zuzuordnen ist. So kann ein Steuerberater seit vielen Jahren ein Mandatsverhältnis zu einem Händler hochwertiger Kraftfahrzeuge unterhalten. Allein aufgrund der Branche ist dem Mandanten ein hohes Risiko zuzuordnen, das lediglich durch konkrete Umstände (z.B. keine Bargeldgeschäfte, keine Auslandsgeschäfte etc.) auf ein allgemeines Risiko gemindert werden kann. Die langjährige Mandatsbeziehung und das daraus resultierende Vertrauensverhältnis „stechen“ nicht die Risiken, die sich z.B. allgemein aus der Branche des Mandanten ergeben. Jedoch kann die langjährige Kenntnis, dass es keine Bargeldgeschäfte und keine Auslandsgeschäfte gibt, die deshalb vorgenommene Bewertung mit einem „normalen“ Risiko untermauern. Dies ist jedoch dann als Begründung zu dem Mandat zu hinterlegen und im Prüfungsfalle der Aufsicht vorzulegen.
Es mag seltsam anmuten, einen langjährigen Mandanten, mit dem eine vertrauensvolle Zusammenarbeit gepflegt wird, mit einem hohen Risiko zu belegen. Dieses „Störgefühl“ ist jedoch unbegründet. Die Zuordnung eines hohen Risikos ist weder Ausdruck eines gestörten Vertrauensverhältnisses noch wird damit unterstellt, dass der Mandant Geldwäsche betreibt. Die Risikoeinordnung hat sich an objektiven Kriterien zu orientieren und beschreibt lediglich abstrakt eine Gefahrgeneigtheit aufgrund bestehender Risikofaktoren.
3. Welche Faktoren sind risikoerhöhend zu berücksichtigen?
§ 5 Abs. 1 GwG normiert, dass bei der vorzunehmenden Risikoanalyse neben den Anlagen 1 und 2 zum GwG insbesondere die Informationen aus der nationalen Risikoanalyse zu berücksichtigen sind.
Der vom Bundesministerium der Finanzen erstellten nationalen Risikoanalyse[3] kommt eine Ausstrahlungswirkung zu, d.h. alle Verpflichteten des GwG haben bei ihren Feststellungen und Überlegungen im Rahmen ihrer Risikoanalyse die Bewertung der nationalen Risikoanalyse zu berücksichtigen. Als besonders risikobehaftet gelten hiernach alle bargeldintensiven Branchen, der Güterhandel (insbesondere Handel mit Luxusgütern) sowie die Bereiche Immobilien, Glücksspiel, Gastronomie/Hotellerie, Profisport, Im- und Export oder Geschäfte im Zusammenhang mit dem Einsatz neuer Zahlungsmittel (z.B. Kryptowährungen). Beratungen im Zusammenhang mit Share Deals oder das Führen von Treuhandkonten für Mandanten sind ebenfalls mit einem erhöhten Risiko verbunden.
Neben der nationalen Risikoanalyse sollten die Informationen der Financial Intelligence Unit (FIU) mit in die Überlegungen einbezogen werden. Hier ergeben sich insbesondere aus den Jahresberichten[4] Anhaltspunkte zu geldwäscheanfälligen Tatbeständen.
Auch wenn erst mit der Inbetriebnahme des neuen Informationsverbundes der FIU, spätestens aber zum 1. Januar 2024, für Steuerberater eine Registrierungspflicht bei dem Meldeportal für Verdachtsmeldungen „goAML“[5] besteht, ist bereits jetzt anzuraten, sich zu registrieren, da dort umfangreiche fachliche Informationen zu Typologien und Methoden der Geldwäsche zur Verfügung stehen, die nicht nur beim Erkennen melderelevanter Sachverhalte unterstützen, sondern auch Anhaltspunkte für die Einordnung von Risiken i.R.d. Risikoanalyse bieten.
4. Wofür der Aufwand?
Die Risikobewertung dient dazu, festzustellen, welche Sorgfaltspflichten der Verpflichtete bei den verschiedenen Mandaten bzw. Mandatsgruppen einzuhalten hat: bei mittlerem Risiko (Normalfall) sind gem. § 10 GwG die allgemeinen Sorgfaltspflichten umzusetzen, bei geringem Risiko gem. § 14 GwG die vereinfachten Sorgfaltspflichten und bei hohem Risiko gem. § 15 GwG die verstärkten Sorgfaltspflichten.
Ziel ist also die Zuordnung der Sorgfaltspflichten zu den festgestellten Risiken und im Anschluss die Umsetzung dieser Verpflichtungen im Kanzleialltag.
5. Aufsicht durch die StBK Hessen
Sofern noch keine Risikoanalyse erstellt oder dokumentiert wurde, sollte dies unverzüglich nachgeholt werden. Anfang 2023 wird die StBK Hessen ihren jährlichen Prüfumlauf starten, bei dem die nach dem Zufallsprinzip ausgewählten Steuerberater neben einem ausgefüllten Fragebogen stets auch die aktuelle Version ihrer Risikoanalyse vorzulegen haben.