Foto: Adobe/ flyinger_

Massendatenanalysen durch die Interne Revision

Gezielte Kontrolle

Werden auffällige Rechnungen in einem Unternehmen entdeckt, muss abgeklärt werden, ob es sich eventuell um Korruptionszahlungen handelt. Dabei müssen die Unternehmensdaten untersucht werden, was ohne computergestützte Werkzeuge nicht zu bewältigen ist.

Massendaten sind eine hohe Anzahl (un)strukturierter, digital gespeicherter Daten; oder die Grundgesamtheit der Unternehmensdaten, die für verschiedene Zwecke erhoben wurden (zum Beispiel Forderungsbestände, Personaldaten, Liste aller Lieferanten von Speditionsleistungen), im Unterschied zur Gesamtheit aller Daten zu einem Prüfungsobjekt. Eine digitale Massendatenanalyse bezeichnet die Verwendung computergestützter Methoden und Werkzeuge zur Analyse und Auswertung einer hohen Anzahl digital gespeicherter betriebswirtschaftlicher Daten. Pragmatisch abgegrenzt ist es jene Datenmenge, die zum Beispiel nicht mehr durch konventionelle Tabellenkalkulationsprogramme strukturiert und bearbeitet werden kann, weil diese an ihre technischen Grenzen stoßen. Die hierfür eingesetzten Werkzeuge heißen in der Sprache der Internen Revision CAATs, vom amerikanischen Computer Aided Audit Tools. Häufig handelt es sich hierbei um Spezialsoftware, die Daten nach bestimmten Schlüsseln durchsuchen kann oder große Datenmengen unter einer oder mehrerer Fragestellungen strukturiert.

Eine forensische Ausgangslage

Ein mittelständisches Unternehmen entdeckt durch Zufall, dass eine fünfstellige Rechnung, gebucht auf einem Aufwandskonto, auf Grund der Rechnungsbeschreibung auffällig ist. Es stellt sich heraus, dass es sich möglicherweise um ein facilitation payment (Beschleunigungszahlung) oder aber eine Korruptionszahlung handeln könnte. Die Geschäftsführung ist alarmiert. Der Umstand, dass zur Zeit der Entdeckung der Rechnung eine steuerliche Betriebsprüfung im Gang ist, sorgt auch nicht für Entspannung. Die Interne Revision, beauftragt mit der Aufarbeitung des Sachverhaltes, definiert zwei Prüfungsziele:

  • Ausermittlung des der Rechnung zu Grunde liegenden Sachverhalts (möglicher Betrugsfall);
  • Überprüfung, ob und in welchem Umfang weitere Zahlungen dieser Art geleistet worden sind.

Massendaten ohne Analyse

Es gibt heute praktisch keine Organisation mehr, die ohne ERP (Enterprise-Resource-Planning)-System große Mengen an Daten erfasst und verarbeitet. Nicht immer können die Prüfer hier Schritt halten, was wiederum für die Interne Revision ein Geschäftsrisiko bedeuten kann. Unter Geschäftsrisiko der Internen Revision versteht man das Risiko, dass die Interne Revision auf Grund ihrer eigenen Aufbau- und Ablauforganisation nicht die von ihren Anspruchsgruppen geforderten Ergebnisse zu erbringen imstande ist. Konkrete Risiken sind das Nichterkennen von Verstößen gegen Gesetze, Normen, Richtlinien und Anweisungen, das Nichterkennen von dolosen Handlungen oder hohe Kosten der Internen Revision ohne erkennbaren Nutzen für die Organisation. Dieses Geschäftsrisiko kann auch zu einer Haftung der Internen Revision selbst führen, wenn sie nicht gemäß dem Stand der Technik prüft. Eine Vollprüfung ist bei Massendaten im Rahmen eines konventionellen Prüfvorgehens in der Regel nicht mehr durchführbar; daher ist der Prüfer gezwungen, eine Auswahl vorzunehmen: er kann eine Zufallsstichprobe ziehen oder eine bewusste Auswahl treffen. In jedem Fall besteht das Risiko, dass das Vorgehen auf Unkenntnis der Grundgesamtheit der Gesamtdatenmenge beruht und die Stichprobe darum nicht aussagefähig ist. Dazu kommt, dass eine manuelle Abdeckung über sporadische Stichproben aus einer Grundmenge von Tausenden Geschäftsfällen zu unvertretbar kleinen Stichprobenumfängen führt. Daher ist zu bezweifeln, dass den Vorgaben nach angemessener Überwachung und Kontrolle (zum Beispiel in § 91(2) AktG, § 25a (1) KWG, Punkte 4.1.3 und 4.1.4 im DCGK, § 130 OWiG) mittels manueller Stichproben noch entsprochen werden kann.

Aufarbeitung des Betrugsfalles

Im oben skizzierten Fall haben wir zunächst mit ganz konventioneller Revisionsmethodik den zu Grunde liegenden Geschäftsvorfall und die Zahlung untersucht. Es hat sich in Zusammenarbeit mit einem Rechts- und einem Steuerexperten herausgestellt, dass die Zahlung und auch weitere, die wir gefunden haben, aus den Konten der Gesellschaft herausgenommen werden mussten, sich also am Ende gewinn- und steuererhöhend ausgewirkt haben. Der zweite Teil der Prüfung war schwieriger, da er die wichtige Frage umfasste, ob es weitere potentiell fraudulente Zahlungen gab und welchen Umfang diese hatten. Hier haben wir mit verschiedenen Werkzeugen die relevanten Konten für den gesamten festgelegten kritischen Zeitraum von mehreren Jahren innerhalb weniger Tage untersuchen können. Es schloss sich eine kurze Belegprüfung zur Sicherstellung der Vollständigkeit der Prüfungsergebnisse an. Alle auffälligen Rechnungen wurden ermittelt und an die Rechts- und Steuerexperten zur Prüfung übergeben. Im Nachgang wurde ebenfalls eine Beurteilung der Sachverhalte auf mögliche arbeits-, straf- und sonstige rechtliche Konsequenzen durchgeführt. Im Rahmen dieses kleinen Projekts wurden folgende Daten untersucht:

  • Zehn Sachkonten mit über 50.000 Transaktionen
  • Sechs Kreditoren- und Debitorenkonten über drei Jahre
  • Zahlungsdateien für drei Jahre mit über 110.000 Zahlungsempfängern
  • Sieben SAP Standardreports

Es ist klar, dass eine solche Untersuchung ohne entsprechende Werkzeuge in dieser Form und in dieser Zeit nicht hätte umgesetzt werden können.

Projekt Babylon und Projekt Eichhörnchen

Spätestens seit dem unrühmlichen Vorgehen der Internen Revision der Deutschen Bahn unter den beiden genannten Projektnamen ist klargeworden, dass pauschale Untersuchungen (Rasteruntersuchungen) ohne konkretes Verdachtsmoment unzulässig sind und auch strafbar sein können. Die rechtlichen Rahmenbedingungen (die in anderen Ländern übrigens sehr viel schärfer und damit für den Prüfer auch viel gefährlicher sein können) müssen vor jedem Auftrag geklärt sein. Da es sich immer um eine rechtliche Einzelfallabwägung handelt, ist dieser Frage genügend Raum zu geben, bevor man loslegt. Gegebenenfalls kann eine Abstimmung mit dem Betriebsrat angebracht sein, wenn auch nicht immer aus rechtlichen Erwägungen heraus.

Aufarbeitung und Folgeaufgaben

Im Hinblick auf weitere wesentliche Probleme konnten wir unserem Mandanten Entwarnung geben. Es ergab sich allerdings die Notwendigkeit, dass weitere Prozessuntersuchungen notwendig waren, um das interne Kontrollsystem so weit zu verbessern, dass die Wahrscheinlichkeit für zweifelhafte Zahlungen verringert werden konnte. Ebenso war das interne Normen- und Anweisungssystem so zu verändern, dass die Präventivwirkung erhöht wurde und auf mögliche Täter abschreckend wirkte.

Massendatenanalysen bei Regelprüfungen

In forensischen Prüfungen kann man, vorausgesetzt, dass das zu Grunde liegende Betrugsschema bekannt ist, sehr gezielt große Datenmengen daraufhin analysieren. So ist eine gesicherte Aussage schnell machbar. Im Bereich der Regelprüfungen gibt es ebenfalls erhebliche Vorteile:

  • unterstützt das Fokussieren auf die richtigen Risikobereiche;
  • ermöglicht das Testen von 100 Prozent der Datenpopulation;
  • dient dem Ersatz für aufwendige Einzelfallprüfungen;
  • erleichtert das Klären von Feststellungen, da faktenbasierte Feststellungen schwerer wegzudiskutieren sind.

Richtig ist es allerdings auch, dass die möglichen Auffälligkeiten aus einer solchen Prüfung unter Umständen aufwendig untersucht werden müssen. Entweder durch die fachlich Verantwortlichen oder durch die Prüfer. In jedem Fall zeitigt das einen hohen Aufwand, den man mit einplanen muss – ein Datum, das in manchen Hochglanzbroschüren vergessen worden ist.

Elmar Schwager, Geschäftsführer The AuditFactory

Ein Compliance-Management-System dient dazu, Regelverstöße rechtzeitig zu erkennen, muss aber regelmäßig einer Prüfung unterzogen werden.
Foto: Sergej Khackimullin - Fotolia.com

Riskmanagement

Prüfung von Compliance-Management-Systemen

Prüfungen von Prozessen durch die Interne Revision dienen dem Ziel, Schwachstellen zu erkennen, was auch für Compliance-Management-Systeme (CMS) gilt.

Foto: Fotolia/M. Schuppich

Wirtschaftskriminalität

Betrugsradar entwickeln

Wirtschaftskriminalität – ein Delikt, das die deutsche Wirtschaft jährlich Milliarden Euro kostet. Seit Januar gibt es nun ein Projekt EWV (Erkennung von Wirtschaftskriminalität und Versicherungsbetrug), das versucht, Versicherungsbetrug und Geldwäsche auf die Schliche zu kommen. PROTECTOR befragte dazu Dr. Martin Steinebach vom Fraunhofer-Institut für Sichere Informationstechnologie SIT.

Foto: Pixelio.de/Rainer Sturm

Korruptionsrisiko-Analyse

Möglichen Missbrauch reduzieren

Die Baubranche gilt als eine der Branchen mit dem höchsten Risiko für Korruption. Der Gesamtschaden aufgrund von Wirtschaftsdelikten für die öffentliche Verwaltung in Deutschland wird laut einer aktuellen Studie von PwC zwei Milliarden Euro jährlich deutlich übersteigen.

Foto: Fotolia/highwaystarz

Betrug

„Klassiker“

Ein Delikt bleibt leider ein Dauerbrennerthema – der Callcenter-Betrug. Zum Phänomen des Telefonbetrugs aus türkischen Callcentern zum Nachteil älterer Mitbürger konnten seit 2008 über eine Million Geschädigte in Deutschland sowie ein Schaden in Höhe von kanpp 132 Millionen Euro festgestellt werden. Zusätzlich muss noch von einem erheblichen Dunkelfeld ausgegangen werden.