![[Aufmachergrafik: heller, corporate design]](06-6-018-0.jpg)
Anti-Fraud-Management Organisation und Technik zur Betrugsabwehr Anti-Fraud-Management Organisation und Technik zur BetrugsabwehrAmbitionierte Zielvereinbarungen, missbräuchliche Ausnutzung von Handlungsspielräumen, unzureichendes Kontrollbewusstsein, blinder Gehorsam, externe Datenangriffe oder Mitarbeiter und Dritte mit krimineller Energie können in jedem Unternehmen erhebliche Schäden verursachen. Das Schlagwort "Fraud" (engl. für Betrug, Wirtschaftskriminalität) hat auch in Deutschland Einzug gehalten. Das Bundeskriminalamt (BKA) berichtet über Schäden durch Wirtschaftskriminalität in Höhe von 4,2 Mrd. Euro im Jahr 2005 – dabei ist in dieser Zahl die Dunkelziffer nicht enthalten, die nach Schätzungen 80–90 % der Gesamtschäden ausmacht.
Zusätzliche Motivation zur Einrichtung eines Anti-Fraud-Managements (AFM) liefern unter anderem persönliche Haftungsrisiken für Organmitglieder sowie Führungskräfte mit Personalverantwortung, die sich allein aufgrund ihrer Stellung ergeben können, wenn dolose Handlungen im Unternehmen begangen werden, selbst wenn sie davon keine konkrete Kenntnis hatten. Wer sich von der Haftung befreien will, muss nachweisen können, dass ihn kein Organisationsverschulden trifft. Dies setzt voraus, dass der Verantwortungsbereich ordnungsgemäß organisiert ist, Mitarbeiter ordnungsgemäß und sorgfältig ausgesucht und regelmäßig in angemessener Weise überwacht werden. Die Implementierung eines AFM enthält wesentliche Merkmale, die zur Exkulpation eines Verantwortlichen führen können.
Nach den Bestimmungen des US-amerikanischen Sarbanes-Oxley Act (SOX) ist das AFM eine Komponente des Kontrollumfelds eines Unternehmens. Mängel im AFM können eine Kontrollschwäche darstellen, über die im Rahmen der SOX-Berichterstattung an das Audit Committee und im Falle einer wesentlichen Kontrollschwäche sogar öffentlich im 20F-Report an die SEC berichtet werden muss. Über den SOX hinaus sind als Grundlage für die Einführung eines AFM auch die Prüfungsstandards IDW PS 210 und der internationale Prüfungsstandard ISA 240 zu nennen.
Ein wirksam implementiertes und kontinuierlich durchgeführtes AFM dient der Vermeidung, Aufdeckung und Verfolgung von bewussten Verstößen gegen kapitalmarktrechtliche Vorschriften sowie sonstige Gesetzesverstöße von Organen, Mitarbeitern oder Unternehmensfremden, die eine Schädigung der Vermögensinteressen eines Unternehmens zur Folge haben.
Ein AFM-Projekt umfasst die Komponenten Risiko- und Kontrollkultur (Control Environment), Risikoerfassung und -beurteilung (Fraud Risk Assessment), Präventions- und Aufklärungsmaßnahmen (Prevention und Detection), Implementierung eines Berichtswesens (Reporting) sowie eines Monitoring-Systems. Dabei müssen die Organmitglieder und die Beschäftigten eines Unternehmens für Fraud-Risiken und Compliance-Anforderungen im täglichen Geschäft sensibilisiert und ein sachgerechter Umgang mit diesen Risiken und Anforderungen sichergestellt werden. Grundlage für den Aufbau eines AFM-Systems ist der so genannte Fraud Circle (vgl. Abb.), der symbolisch darstellt, dass keine Maßnahme isoliert betrachtet werden kann.
![[Illustration]](06-6-018-1.jpg)
Der so genannte Fraud Circle stellt symbolisch dar, dass keine Maßnahme isoliert für sich betrachtet werden sollte.
Im Rahmen der Risikobewertung werden unternehmensweite potenzielle Fraud-Risiken identifiziert. Ein spezifisches AFM-Auswahlverfahren ermittelt hierbei die zu berücksichtigenden Prozesse und Organisationseinheiten, welche hierin einzubeziehen sind. Dabei sind besonders folgende Faktoren zu berücksichtigen:
Die Fraud-Risiken können dann mithilfe spezieller AFM-Workshops in den ausgewählten Prozessen beziehungsweise Organisationseinheiten validiert und konkretisiert werden. Hierbei hat sich eine Messung auf Basis der Realisierbarkeit sowie des Ausmaßes der Risiken als praktikabel herausgestellt. Die Teilnehmer der Workshops sollten unterschiedliche Prozessbereiche und Organisationseinheiten repräsentieren, um auch spezielle Schnittstellenprobleme in Bezug auf Fraud-Risiken herauszuarbeiten.
Als Vorbereitung hat sich in der Praxis der Einsatz von generischen Checklisten bei den Teilnehmern bewährt, um zu behandelnde allgemeine und spezielle Fraud-Risiken für die Workshops zu identifizieren. Der Checklisten-Einsatz erhöht gleichzeitig die Awareness für das Thema beim Management.
Aufbauend auf den Ergebnissen des Fraud-Risk-Assessments erfolgt die Implementierung korrespondierender Prevention- und Detection-Maßnahmen, um von einem zufallsgesteuerten, ungeplanten Bekanntwerden von Betrugs- oder Unterschlagungsfällen hin zu einer aktiven Vermeidung und Aufklärung durch geplante und zielgerichtete Maßnahmen überzugehen.
Lösungen zur Prävention beugen drohenden Risiken von Betrug, Unterschlagung sowie Vermögensverlusten vor und zielen darauf, die Eintrittswahrscheinlichkeit solcher Fälle und die resultierenden Folgeschäden zu minimieren. Die Ausrichtung der Unternehmenskultur anhand ethischer Richtlinien (Code of Conduct) stellt das Fundament präventiver Maßnahmen dar: Klare Vorgaben eliminieren Grauzonen und schaffen Handlungssicherheit für die Mitarbeiter. Ethik-Richtlinien werden dazu häufig arbeitsvertraglicher Bestandteil. In diesem Zusammenhang ist auch an die Einführung von Einkaufs- sowie Geschenkerichtlinien zu denken.
Ein weiterer wirksamer Schutz vor Schädigungen besteht in einem Screening von neuen Mitarbeitern, Kunden oder Lieferanten. Bei der Bewerberauswahl ist zum Beispiel an einen Hintergrundcheck sowie an die Einsichtnahme in Original-Dokumente im Rahmen des Bewerbungsprozesses zu denken. Eindeutige Regelungen in der Kundenbeziehung durch klare Vertragsgestaltungen erleichtern zudem in Zweifelsfragen die Einsichtnahme in die Bücher von Lieferanten oder Kunden (z. B. durch sog. Open-Book-Vereinbarungen). Falls im Rahmen des Fraud-Risk-Assessments eine Gefahr korrupten Verhaltens identifiziert worden ist, kann man auch die Aufnahme von Antikorruptionsklauseln in Lieferantenverträge erwägen.
Nicht zuletzt bietet der Einsatz eines Hinweisgebersystems eine gute Alternative für Fälle, in denen der normale Kommunikationsweg mit dem direkten Vorgesetzten nicht eingehalten werden kann (z. B. bei Management Fraud). Wesentliche Erfolgsfaktoren sind dabei die Unabhängigkeit des Hinweisgebersystems und die Gewährleistung der Anonymität von Hinweisen.
Anlass für den Einsatz von Fraud-Detection-Maßnahmen sollte im Rahmen des AFM die zielgerichtete Aufdeckung von Sachverhalten mittels quantitativer und qualitativer Methoden in potenziellen Risikofeldern sein. In diesem Zusammenhang können auch IT-Forensic-Tools elektronisch nach Auffälligkeiten im Buchungsstoff des Unternehmens fahnden (z. B. nach Buchungen zu ungewöhnlichen Zeiten oder Mitarbeiterkontonummern in den Kreditorenstammdaten). Eine gängige Vorgehensweise ist die Untersuchung des Buchungsstoffes auf Grundlage des so genannten Benford-Law: Diese eignet sich zur Analyse von Zahlenreihen auf Abweichungen zu der nach diesem Gesetz festgelegten relativen Häufigkeitsverteilung von Ziffern.
Die Einrichtung von wirksamen Detection-Maßnahmen dient im Wesentlichen der umfassenden Beantwortung von sieben "W-Fragen": Wer hat wann was wo mit wem wie und warum gemacht? Diese sieben Ws müssen mit einer nachweisbaren und gerichtsfesten Dokumentation geklärt werden. In diesem Zusammenhang leisten digitale Signaturen und Zeitstempel wertvolle Hilfe.
Digitale Signaturen und Zeitstempel ermöglichen es, elektronische Prozesse sicher abzubilden und langfristig nachweisbar zu dokumentieren. Gleichzeitig sind sie ein wichtiges IT-Werkzeug, um kostenintensive Papierprozesse durch elektronische abzulösen. Der Gesetzgeber hat Signaturen und Zeitstempel in verschiedenen Ausprägungen (Sicherheitsstufen) vorgesehen, die es ermöglichen, signierten Daten unterschiedliche rechtliche Relevanz zu geben. Dies geht soweit, dass signierten elektronischen Daten (Dokumenten) vor Gericht dieselbe rechtliche Bedeutung zukommen kann wie Papierdokumenten.
Die im Rahmen eines AFM eingeführten elektronischen Signaturen und Zeitstempel können schon präventiv als Abschreckungsmaßnahme gegenüber betrügerischen Handlungen dienen, da durch sie Manipulationen von Dokumenten oder Vorgängen personen- und zeitbezogen nachvollziehbar sind. Darüber hinaus entfalten sie eine Beweissicherungsfunktion: Denn sie erleichtern die detaillierte Darstellung von Tathandlungen unter Berücksichtigung des involvierten Personenkreises. Dies führt im Idealfall zu einer fast lückenlosen Beweiskette, die in einer möglichen gerichtlichen Auseinandersetzung die Beweisführung erheblich erleichtert.
Personenbezogene Signaturen dokumentieren das "Wer" und "Was", indem sie die Authentizität des Urhebers und die Integrität des Inhalts von Dateien beziehungsweise Vorgängen dokumentieren. Vielfach sind jedoch weitere Sachverhalte von Bedeutung: So kann das "Wann" durch einen digitalen Zeitstempel festgehalten werden, der eine verlässliche Zeitangabe für Daten und Signaturen liefert. Bei korrekter Implementierung können Zeitstempel nicht nachträglich erstellt, gelöscht oder ausgesetzt werden, und zwar unabhängig von der Mitwirkung der am Prozess beteiligten Mitarbeiter (inkl. Systemadministratoren).
Da im Rahmen der Corporate Governance versichert werden muss, dass Abschlüsse und interne Kontrollen geprüft wurden und keine wesentlichen Fehler vorhanden sind, benötigen Management und Geschäftsleitung ein verlässliches Instrument, um ein fundiertes Statement über Unternehmensprozesse abzugeben. Aufgrund deren stetig steigender Komplexität sind solche Aussagen von den Verantwortlichen häufig nur schwer zu machen, ohne sich auf die Aussagen Dritter (z. B. Systemadministratoren) zu verlassen.
Zeitstempel eignen sich daher besonders gut zur Implementierung übergeordneter Kontrollmechanismen. Mit ihnen lassen sich Prozesse automatisch und transparent dokumentieren und gleichzeitig wird dokumentiert, wo ein Prozess von der Norm abweicht. Ein solches autark arbeitendes Monitoring-Instrument ermöglicht zum einen das sofortige Aufdecken krimineller Handlungen und Einleiten von Gegenmaßnahmen und fungiert zum anderen wiederum als Abschreckungsmittel.
Bei Auswahl und Einsatz von Zeitstempel-Hard- und Software sollten zwei Kriterien im Vordergrund stehen: Die technische Sicherheit sowie die Anwenderfreundlichkeit und Integrationsfähigkeit in bereits bestehende Prozesse. Im Anti-Fraud-Kontext sollten Lösungen auf weltweit gebräuchliche Standards aufsetzen und hohe, anerkannte Sicherheitsanforderungen gewährleisten (z. B. mit Zertifizierung nach Common Criteria oder FIPS 140-2). Um eine hohe Manipulationssicherheit zu erzielen sind Hardware-Security-Module (HSMs) besonders geeignet, vor allem um Zeitstempel in einer abgeschotteten Spezial-Hardware zu erstellen. Der Einsatz eines "Zeitstempel-Server (HSM)" ist auch aus Sicht der Anwenderfreundlichkeit und Integrationsfähigkeit positiv zu bewerten, da nur minimale Eingriffe in bestehende IT-Infrastrukturen notwendig sind. Zudem ist auf eine hinreichende Performance der eingesetzten Lösung zu achten, um auch hochvolumige Prozesse ohne Zeitverzug zeitstempeln zu können.
Letztlich muss das Gesamtsystem so angelegt sein, dass man bei späteren Prüfungen einfach, schnell und über lange Zeiträume hinweg überzeugend die Übereinstimmung signierter Daten mit dem tatsächlichen Stand der Prozesse zum fraglichen Zeitpunkt nachweisen kann. Auch hier ist der Rückgriff auf eine von unabhängigen Dritten geprüfte Hardware ein wichtiges Kriterium.
Gleichzeitig ist die Verfügbarkeit der Prozess-Dokumentationen in elektronischer Form ein zusätzlicher Vorteil: Das Management kann damit effizient und von jedem Standort aus interne Kontrollen durchführen oder verifizieren. Für digitale Zeitstempel und Signaturen stehen heute verschiedene Tools zur Verfügung, mit denen man automatisiert und schnell auch große Volumen prüfen kann.
Christian Parsow ist Senior Manager Forensic & Dispute Services bei der Wirtschaftsprüfungsgesellschaft Deloitte & Touche GmbH (![[externer Link]](../../../../images/link.gif)
www.deloitte.com/de). Judith Balfanz ist Vice President Marketing der AuthentiDate International AG ( www.authentidate.de)
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#6, Seite 18
| 