Gezielte Kontrolle

Massendaten sind eine hohe Anzahl (un)strukturierter, digital gespeicherter Daten; oder die Grundgesamtheit der Unternehmensdaten, die für verschiedene Zwecke erhoben wurden (zum Beispiel Forderungsbestände, Personaldaten, Liste aller Lieferanten von Speditionsleistungen), im Unterschied zur Gesamtheit aller Daten zu einem Prüfungsobjekt. Eine digitale Massendatenanalyse bezeichnet die Verwendung computergestützter Methoden und Werkzeuge zur Analyse und Auswertung einer hohen Anzahl digital gespeicherter betriebswirtschaftlicher Daten. Pragmatisch abgegrenzt ist es jene Datenmenge, die zum Beispiel nicht mehr durch konventionelle Tabellenkalkulationsprogramme strukturiert und bearbeitet werden kann, weil diese an ihre technischen Grenzen stoßen. Die hierfür eingesetzten Werkzeuge heißen in der Sprache der Internen Revision CAATs, vom amerikanischen Computer Aided Audit Tools. Häufig handelt es sich hierbei um Spezialsoftware, die Daten nach bestimmten Schlüsseln durchsuchen kann oder große Datenmengen unter einer oder mehrerer Fragestellungen strukturiert.

Ein mittelständisches Unternehmen entdeckt durch Zufall, dass eine fünfstellige Rechnung, gebucht auf einem Aufwandskonto, auf Grund der Rechnungsbeschreibung auffällig ist. Es stellt sich heraus, dass es sich möglicherweise um ein facilitation payment (Beschleunigungszahlung) oder aber eine Korruptionszahlung handeln könnte. Die Geschäftsführung ist alarmiert. Der Umstand, dass zur Zeit der Entdeckung der Rechnung eine steuerliche Betriebsprüfung im Gang ist, sorgt auch nicht für Entspannung. Die Interne Revision, beauftragt mit der Aufarbeitung des Sachverhaltes, definiert zwei Prüfungsziele:

• Ausermittlung des der Rechnung zu Grunde liegenden Sachverhalts (möglicher Betrugsfall);
• Überprüfung, ob und in welchem Umfang weitere Zahlungen dieser Art geleistet worden sind.

Es gibt heute praktisch keine Organisation mehr, die ohne ERP (Enterprise-Resource-Planning)-System große Mengen an Daten erfasst und verarbeitet. Nicht immer können die Prüfer hier Schritt halten, was wiederum für die Interne Revision ein Geschäftsrisiko bedeuten kann. Unter Geschäftsrisiko der Internen Revision versteht man das Risiko, dass die Interne Revision auf Grund ihrer eigenen Aufbau- und Ablauforganisation nicht die von ihren Anspruchsgruppen geforderten Ergebnisse zu erbringen imstande ist. Konkrete Risiken sind das Nichterkennen von Verstößen gegen Gesetze, Normen, Richtlinien und Anweisungen, das Nichterkennen von dolosen Handlungen oder hohe Kosten der Internen Revision ohne erkennbaren Nutzen für die Organisation. Dieses Geschäftsrisiko kann auch zu einer Haftung der Internen Revision selbst führen, wenn sie nicht gemäß dem Stand der Technik prüft. Eine Vollprüfung ist bei Massendaten im Rahmen eines konventionellen Prüfvorgehens in der Regel nicht mehr durchführbar; daher ist der Prüfer gezwungen, eine Auswahl vorzunehmen: er kann eine Zufallsstichprobe ziehen oder eine bewusste Auswahl treffen. In jedem Fall besteht das Risiko, dass das Vorgehen auf Unkenntnis der Grundgesamtheit der Gesamtdatenmenge beruht und die Stichprobe darum nicht aussagefähig ist. Dazu kommt, dass eine manuelle Abdeckung über sporadische Stichproben aus einer Grundmenge von Tausenden Geschäftsfällen zu unvertretbar kleinen Stichprobenumfängen führt. Daher ist zu bezweifeln, dass den Vorgaben nach angemessener Überwachung und Kontrolle (zum Beispiel in § 91(2) AktG, § 25a (1) KWG, Punkte 4.1.3 und 4.1.4 im DCGK, § 130 OWiG) mittels manueller Stichproben noch entsprochen werden kann.

Im oben skizzierten Fall haben wir zunächst mit ganz konventioneller Revisionsmethodik den zu Grunde liegenden Geschäftsvorfall und die Zahlung untersucht. Es hat sich in Zusammenarbeit mit einem Rechts- und einem Steuerexperten herausgestellt, dass die Zahlung und auch weitere, die wir gefunden haben, aus den Konten der Gesellschaft herausgenommen werden mussten, sich also am Ende gewinn- und steuererhöhend ausgewirkt haben. Der zweite Teil der Prüfung war schwieriger, da er die wichtige Frage umfasste, ob es weitere potentiell fraudulente Zahlungen gab und welchen Umfang diese hatten. Hier haben wir mit verschiedenen Werkzeugen die relevanten Konten für den gesamten festgelegten kritischen Zeitraum von mehreren Jahren innerhalb weniger Tage untersuchen können. Es schloss sich eine kurze Belegprüfung zur Sicherstellung der Vollständigkeit der Prüfungsergebnisse an. Alle auffälligen Rechnungen wurden ermittelt und an die Rechts- und Steuerexperten zur Prüfung übergeben. Im Nachgang wurde ebenfalls eine Beurteilung der Sachverhalte auf mögliche arbeits-, straf- und sonstige rechtliche Konsequenzen durchgeführt. Im Rahmen dieses kleinen Projekts wurden folgende Daten untersucht:

• Zehn Sachkonten mit über 50.000 Transaktionen
• Sechs Kreditoren- und Debitorenkonten über drei Jahre
• Zahlungsdateien für drei Jahre mit über 110.000 Zahlungsempfängern
• Sieben SAP Standardreports

Es ist klar, dass eine solche Untersuchung ohne entsprechende Werkzeuge in dieser Form und in dieser Zeit nicht hätte umgesetzt werden können.

Spätestens seit dem unrühmlichen Vorgehen der Internen Revision der Deutschen Bahn unter den beiden genannten Projektnamen ist klargeworden, dass pauschale Untersuchungen (Rasteruntersuchungen) ohne konkretes Verdachtsmoment unzulässig sind und auch strafbar sein können. Die rechtlichen Rahmenbedingungen (die in anderen Ländern übrigens sehr viel schärfer und damit für den Prüfer auch viel gefährlicher sein können) müssen vor jedem Auftrag geklärt sein. Da es sich immer um eine rechtliche Einzelfallabwägung handelt, ist dieser Frage genügend Raum zu geben, bevor man loslegt. Gegebenenfalls kann eine Abstimmung mit dem Betriebsrat angebracht sein, wenn auch nicht immer aus rechtlichen Erwägungen heraus.

Im Hinblick auf weitere wesentliche Probleme konnten wir unserem Mandanten Entwarnung geben. Es ergab sich allerdings die Notwendigkeit, dass weitere Prozessuntersuchungen notwendig waren, um das interne Kontrollsystem so weit zu verbessern, dass die Wahrscheinlichkeit für zweifelhafte Zahlungen verringert werden konnte. Ebenso war das interne Normen- und Anweisungssystem so zu verändern, dass die Präventivwirkung erhöht wurde und auf mögliche Täter abschreckend wirkte.

In forensischen Prüfungen kann man, vorausgesetzt, dass das zu Grunde liegende Betrugsschema bekannt ist, sehr gezielt große Datenmengen daraufhin analysieren. So ist eine gesicherte Aussage schnell machbar. Im Bereich der Regelprüfungen gibt es ebenfalls erhebliche Vorteile:

• unterstützt das Fokussieren auf die richtigen Risikobereiche;
• ermöglicht das Testen von 100 Prozent der Datenpopulation;
• dient dem Ersatz für aufwendige Einzelfallprüfungen;
• erleichtert das Klären von Feststellungen, da faktenbasierte Feststellungen schwerer wegzudiskutieren sind.

Richtig ist es allerdings auch, dass die möglichen Auffälligkeiten aus einer solchen Prüfung unter Umständen aufwendig untersucht werden müssen. Entweder durch die fachlich Verantwortlichen oder durch die Prüfer. In jedem Fall zeitigt das einen hohen Aufwand, den man mit einplanen muss – ein Datum, das in manchen Hochglanzbroschüren vergessen worden ist.

Elmar Schwager, Geschäftsführer The AuditFactory