Die Dubai Virtual Asset Regulatory Authority (VARA) hat am 12. Juni die „Good-Practice Guidelines for the AML/CFT Business Risk Assessment (BRA) of VASPs“ veröffentlicht und verlangt darin ausdrücklich, dass alle lizenzierten Virtual-Asset-Service-Provider (VASP) alle drei Monate eine BRA-Überprüfung (AML/CFT Business Risk Assessment) durchführen und dabei eine formelle Genehmigung durch den Vorstand (oder eine gleichwertige Governance-Stelle) einholen müssen – eine Genehmigung allein durch das Senior Management erfüllt die Anforderungen nicht.
III.D BRA-Rechtspflichten, die von VARA bestätigt werden
Gemäß den in Abschnitt III.D des „VARA Compliance and Risk Management Rulebook“ bestätigten gesetzlichen Anforderungen:
Maximaler Prüfungsintervall: nicht länger als drei Monate (Rule III.D.3)
Auslöser für Aktualisierung bei wesentlichen Änderungen: Jede wesentliche Änderung in den von Rule III.D.2 genannten Bereichen muss sofort aktualisiert werden
Pflicht zur Wirksamkeitsverifikation: Der VASP muss gegenüber VARA nachweisen, dass die Ergebnisse der BRA die Entwicklung und Aktualisierung von AML/CFT-Policies, -Prozessen, -Systemen und -Kontrollen unmittelbar steuern (Rule III.D.4)
Umfang: Die BRA muss die konkreten Geschäftsaktivitäten, Kundensegmente, Produktpools, geografische Verteilung sowie das durch die VAE-National Risk Assessment (NRA) abgebildete Bedrohungsumfeld widerspiegeln
VARA bestätigt: Eine Genehmigung ausschließlich durch das Senior Management kann keine gleichwertige unabhängige Überprüfung oder Governance-Verantwortlichkeit ersetzen; die BRA muss formell durch den Vorstand genehmigt und unter Angabe der konkreten Genehmigungsdaten sowie der durch den Vorstand geführten tatsächlichen inhaltlichen Diskussion oder Herausforderung dokumentiert werden.
Three Lines of Defence Model und Bestätigungsanforderungen an die MLRO-Zuständigkeit
Die von VARA- guidelines bestätigten Governance-Anforderungen:
Erste Verteidigungslinie: Compliance- und MLRO-Funktionen sind für Vorbereitung und Inhaltsverantwortlichkeit der BRA zuständig
Zweite Verteidigungslinie: Risikofunktion oder Vorstand liefert eine unabhängige Herausforderung
Dritte Verteidigungslinie: Interne Revision prüft unabhängig die Methodik der BRA sowie die Wirksamkeit der Kontrollen; falls die Kapazitäten der internen Revision begrenzt sind, kann eine externe unabhängige Stelle beauftragt werden, diese Funktion im Rahmen eines risikoorientierten Zyklus auszuführen
Die Guidelines bestätigen zugleich: Die VARA BRA-Themenprüfung 2026 verfolgt einen Zweistufenansatz – ein strukturiertes Fragebogen-Format (mit Themen u. a. Governance und Verantwortlichkeit des Senior Managements, Umfang und Methodik, Datenquellen und Beweisgrundlage in insgesamt acht Kernbereichen) sowie eine detaillierte aufsichtsrechtliche Analyse der von VASPs eingereichten BRA-Dokumente.
Anforderungen an Methodik der quantitativen Bewertung und Datenintegration
Die von VARA- guidelines bestätigten Anforderungen an bewährte Praktiken Methodik:
Quantitativer Bewertungsrahmen: Verwendung numerischer Bewertungsmatrizen (typischerweise eine Fünf-Punkte-Wahrscheinlichkeits- und Folgen-Skala); Kontrollwirksamkeit mittels definierter mehrstufiger Bewertung; Bewertung einzelner Risikokategorien durch Zusammenfassung über eine dokumentierte Heatmap zum Gesamt-Risiko-Rating der BRA
Anforderungen an die Datenintegration: Einbeziehung der Verteilung der Kundenrisiko-Ratings, der Daten zu Transaktionsüberwachungs-Alarmen, STR/SAR-Trends und -Mengen, Ergebnisse der Sanktionsscreenings, Produkt-Transaktionsvolumina und geografische Verteilung sowie die Exponierung gegenüber Hochrisiko-Gerichtsbarkeiten
Externe Referenzquellen: UAE NRA, FATF-Liste der Hochrisiko-Gerichtsbarkeiten, FATF-Typologieberichte, MENAFATF-Guidelines sowie die strategischen Analyseunterlagen der UAE FIU müssen in der BRA ausdrücklich zitiert werden
Häufige Fragen
BRA-Quartalsupdates, die VARA verlangt: Wie spätestens müssen sie abgeschlossen sein?
Gemäß Abschnitt III.D.3 des „VARA Compliance and Risk Management Rulebook“ darf das Prüfintervall für BRA nicht länger als drei Monate betragen (d. h. mindestens einmal pro Quartal). Darüber hinaus gilt: Wenn in den von Rule III.D.2 genannten Bereichen eine wesentliche Änderung eintritt, ist unabhängig davon, wie lange die letzte Prüfung zurückliegt, eine sofortige Aktualisierung erforderlich.
Warum entspricht eine Genehmigung der BRA nur durch das Senior Management nicht den VARA-Anforderungen?
Laut VARA-Guidelines besteht die Kernaufgabe des Vorstands darin, eine unabhängige Herausforderung gegenüber den Schlussfolgerungen des MLRO bereitzustellen (insbesondere bei verbleibenden Risikoeinstufungen, Annahmen zur Wirksamkeit der Kontrollen und der Angemessenheit des Risk-Appetite-Rahmens). Eine Genehmigung ausschließlich durch das Senior Management kann keine unabhängige Überprüfung oder Governance-Verantwortlichkeit mit derselben Qualität liefern und erfüllt daher die Anforderungen nicht.
Deckt die VARA-BRA-Themenprüfung alle lizenzierten VASPs ab?
Laut den Ausführungen in den Guidelines führt VARA regelmäßig branchenweite BRA-Themenprüfungen für alle lizenzierten VASPs durch und nutzt dabei einen Zweistufenansatz: ein strukturierter Fragebogen (mit acht Themenbereichen) sowie eine detaillierte aufsichtsrechtliche Analyse der von VASPs eingereichten BRA-Dokumente. Diese Guidelines wurden genau auf Grundlage der aufsichtsrechtlichen Beobachtungen aus der BRA-Themenprüfung für 2026 veröffentlicht.
