Kann Prävention Fraud verhindern? Eine Analyse der eingesetzten Methoden

2. Wirtschaftskriminalität und Fraud in Unternehmen

Eine allgemein gültige Definition für Wirtschaftskriminalität existiert nicht, da das Problem der Interdisziplinarität zu groß ist.^[1] Aus betriebswirtschaftlicher Sicht steht bei Wirtschaftskriminalität für eine Unternehmung eine vorsätzliche geschäftsschädigende Handlung von Mitarbeitern im Vordergrund.^[2] Kirsten Sell unterscheidet dabei noch Handlungen, die das Bilanzrecht betreffen und solche, die das Bilanzrecht nicht tangieren.^[3] Das Bilanzrecht betreffende Verstöße werden als Bilanzdelikte bezeichnet. Dies sind „bewusste Verstöße gegen bilanzrechtliche Vorschriften sowohl auf der vorgelagerten ‚Erstellungsebene’ der Buchführung als auch auf der ‚Abbildungsebene‘ im Jahresabschluss.“^[4] Nicht das Bilanzrecht betreffende Wirtschaftsdelikte sind bewusst begangene Gesetzesverstöße oder kriminelle Handlungen, wobei die persönliche Bereicherung im Vordergrund steht. Diese werden auch als dolose Handlungen bezeichnet, die bewusst auf die Schädigung des Unternehmens und die persönliche Bereicherung des Täters abzielen.^[5]

Man bezeichnet diese bewusst begangenen Verstöße als „Fraud“. Der Begriff stammt aus dem Lateinischen fraus, fraudis und wird mit Betrug, Täuschung übersetzt. Im Englischen kommen ihm die Bedeutungen Betrug, Schwindel, Täuschung oder Unterschlagung zu.^[6]

2.1 Grundlegende Begriffe und inhaltliche Abgrenzung

Im Folgenden wird zunächst eine genauere Definition von Fraud gegeben und zwischen dem übergeordneten Accounting Fraud und Top Management Fraud sowie Employee Fraud differenziert. Im Anschluss folgt eine kurze Definition des Begriffs Prävention.

2.1.1 Accounting Fraud

Die Manipulation im Bereich der Rechnungslegung bezeichnet man als Accounting Fraud. Diese wird meistens von den gesetzlichen Vertretern, Aufsichtsorganen oder Mitarbeitern – leitenden oder nicht leitenden – des Unternehmens begangen.^[7] Wirken mehrere Täter zusammen, so spricht man von Kollusion.^[8] Eine Untergliederung lässt sich dabei in Täuschungen bzw. Manipulationen bei der Rechnungslegung, in Vermögensschädigungen und in Gesetzesverstöße vornehmen.^[9] Der Unterschied besteht hierbei in der Intention der Tat. Täuschungen und Manipulationen werden meist in Hinblick auf eine bessere Darstellung der Unternehmenssituation ausgeführt, während einer Vermögensschädigung meist eine persönliche Bereicherung zu Grunde liegt.

2.1.2 Top Management Fraud und Employee Fraud

In der anglo-amerikanischen Literatur wird zwischen dem Top Management Fraud, begangen durch Mitarbeiter auf Führungseben­en, und dem Employee Fraud, bewirkt durch Mitarbeiter auf der ausführenden Ebene, unterschieden. Die Delikte im Bereich des Employee Fraud stellen dabei den größten Anteil dar. Den meisten Tätern geht es um die persönliche Bereicherung. Die verursachten Schäden sind aufgrund des eingeschränkten Kompetenzbereichs vergleichsweise gering. Meistens handelt es sich hierbei um Bagatelldelikte wie z.B. Diebstahl von Büromaterial oder Diebstahl von Bargeld aus der Registrierkasse.

Top Manager können durch ihre weitreichenden Kompetenzen oft wesentlich höhere und schwerwiegendere Schäden verursachen. Aufgrund ihrer Machtposition im Unternehmen und der damit einhergehenden Verfügungsgewalt sind die Täter im Top Management in der Lage, gezielt interne Kontrollen zu umgehen oder gänzlich auszuschalten.^[10] Dies wird als Management Override of Internal Controls bezeichnet. Abbildung 1 (S. 6) verdeutlicht den Zusammenhang zwischen der hierarchischen Stellung im Unternehmen und der verursachten Schadenshöhe durch Fraud.

Die Studie der Association of Certified Fraud Examiners (ACFE) belegt, dass Täter der höchsten Führungsebene, also Geschäftsführer und Eigentümer, für nur vergleichsweise wenige Delikte verantwortlich sind (ca. 18 %). Durch Manager (ca. 38 %) und Employees (ca. 42 %)^[11] begangene Delikte machen im Gegensatz dazu den größten Teil aus. Der verursachte Schaden durch das Top Management ist in etwa zehnmal so hoch wie die durch Mitarbeiter auf der ausführenden Ebene begangenen Delikte.^[12]

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Top Management Fraud und Employee Fraud – Unternehmenshierarchie und Schadenshöhe

(eigene Darstellung in Anlehnung an Hofmann, S. (2008), S. 59.)

2.1.3 Prävention

Prävention kommt aus dem Lateinischen praevenire und bedeutet zuvorkommen, verhüten. Ganz allgemein bezeichnet Prävention vorbeugende Maßnahmen, um ein unerwünschtes Ergebnis oder eine unerwünschte Entwicklung zu verhindern. Im Kontext von deliktischen Handlungen wird überwiegend die kriminalistische Ausprägung verwendet.^[13] Demnach lassen sich drei Formen der Prävention unterscheiden: Prävention umfasst „alle Mittel, die erstens auf eine Beseitigung der tieferen Kriminalitätsursachen gerichtet sind, zweitens Maßnahmen zur Abschreckung potentieller Täter und drittens zielt Prävention auf die Sanktionierung, Behandlung sowie Resozialisierung zur Vermeidung von Rückfällen ab.“^[14]

Auf politisch-rechtlicher Ebene gab es im Zuge der großen Bilanzskandale, wie Enron und Worldcom, besonders in den USA verschärfte Regulierungen für Unternehmen. Der Sarbanese-Oxlay Act (SOA) soll das Vertrauen der Investoren und Anleger in die Richtigkeit und Verlässlichkeit der veröffentlichten Finanzdaten wiederherstellen. Die Geschäftsleitung und die Wirtschaftsprüfer werden in Section 404 des SOA verpflichtet, eine Beurteilung der Wirksamkeit des Internen Kontrollsystems für die Rechnungs-legung in jedem Jahresbericht abzugeben.

Auch in Europa reagierte die EU mit der Änderung der 4. und 7. EU-Richtlinie
(EU-Rechnungslegungsrichtlinie) auf die großen Bilanzskandale, wie Parmalat und Comroad. Die Bundesregierung in Deutschland verabschiedete ein 10-Punkte-Programm zur Stärkung der Unternehmensintegrität und des Anlegerschutzes.

Diese weltweit neuen und verschärften Regulierungen von Unternehmen rücken die Prävention von Fraud in den Mittelpunkt der Kontrollmaßnahmen.

2.2 Entstehungsgründe für Fraud in Unternehmen – relevante Forschungsansätze

Der US-amerikanische Soziologe Edwin H. Sutherland galt als einer der bedeutendsten Kriminologen des 20. Jahrhunderts. „Für die Wissenschaft im Bereich der Wirtschafts-kriminalität hat Sutherland in etwa den Stellenwert wie Freud für die Psychoanalyse.“^[15] Er prägte den Begriff des „White Collar Crime“ (Weisse-Kragen-Kriminalität) als erster Wissenschaftler um 1939. Damit meinte er ursprünglich „wirtschaftskriminelle Handlungen von Firmen und Personen, begangen im Zuge ihrer wirtschaftlichen Tätigkeit.“^[16] Sutherland bemerkte, dass Straftaten nicht nur von Angehörigen der sozialen Unterschicht begangen werden, sondern auch von solchen der Mittel- und Oberschicht – den Straftätern mit den „weißen Kragen“. Heutzutage wird dieser Begriff aber praktisch jeglicher Art von wirtschaftskriminellen Handlungen zugeordnet, welche „vom Schreibtisch aus“ begangen werden kann.^[17] Seine grundlegenden Forschungen bereiteten den Weg für zahlreiche weitere Arbeiten in dem von ihm neu geschaffenen Forschungsgebiet der Wirtschaftskriminalität.

2.2.1 Fraud-Triangle nach Cressey

Donald R. Cressey war in den 1940er Jahren einer von Sutherlands Studenten an der Universität von Indiana und betrieb im Gegenzug zu Sutherland, dessen Studien sich mit Wirtschaftskriminalität im Top Management befassten, Forschung an Fällen von Unterschlagungstätern.^[18] Cressey gilt ebenso wie Sutherland als Pionier im Bereich der Grundlagenforschung zur Wirtschaftskriminalität. Seine wesentliche Hypothese schrieb Cressey in seiner Dissertation Other People’s Money: A Study in the Social Psychology of Embezzlement nieder:

“Trusted persons become trust violators when they conceive of themselves as having a financial problem which is non-shareable, are aware that this problem can be secretly resolved by violation of the position of financial trust, and are able to apply to their own conduct in that situation verbalizations which enable them to adjust their conceptions of themselves as trusted persons with their conceptions of themselves as users of the entrusted funds or property.”^[19]

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: Fraud-Triangle

(eigene Darstellung in Anlehnung an: Cressey, D.R. (1973), Other People’s Money; Nimwegen, S. (2009), S. 18.)

Seine Theorie wurde im Lauf der Jahre besser als das “Fraud-Triangle” (siehe Abb. 2) bekannt. Die Dreiecksseite “Finanzieller Druck” repräsentiert dabei ein nicht mit anderen Personen kommunizierbares finanzielles Problem. Die linke Seite stellt die “Gelegenheit” zu einer wirtschaftskriminellen Handlung dar. Die rechte Seite repräsentiert schließlich die “Rationalisierung” der Tat.^[20]

Die wichtigste Seite des Dreiecks, stellt laut Cressey der finanzielle Druck dar:

“In all cases of trust violation encountered, the violator considered that a financial problem which confronted him could not be shared with persons who, from a more objective point of view, probably could have aided in the solution of the problem.“^[21]

Ob für einen Täter ein nicht mit anderen Personen kommunizierbares Problem vorliegt, ist individuell unterschiedlich. Cressey nennt als Beispiel die Wettsucht. Eine Person kann beim Pferderennen wiederholt erhebliche Summen an Geld verlieren, wobei daraus auch ein finanzielles Problem für diese Person entstehen kann. Dies bedeutet aber nicht, dass diese Person die Wettsucht nicht mit einer anderen Person besprechen kann. Ein anderer Wettsüchtiger schämt sich möglicherweise für seine Verluste und definiert für sich dasselbe Problem als ein nicht mit anderen Personen kommunizierbares. Diese Problemstellung lässt sich genauso auf Unternehmer anwenden, die finanzielle Probleme mit Geschäftspartnern oder Mitarbeitern besprechen können, im Gegensatz zu anderen Unternehmern, die das Problem geheim halten wollen.^[22] In seiner Forschungsarbeit stellt Cressey fest, dass es sechs verschiedene Grundtypen von nicht kommunizierbaren Problemen gibt:

(a) Unerfüllbarkeit bestehender Verpflichtungen

Finanzielle Probleme, die aus der Verletzung einer Vertrauensposition heraus entstehen, werden durch den Täter meistens als nicht kommunizierbar eingestuft. Dem Täter geht es um die Gefährdung seines persönlichen Status. Von Personen in finanziellen Vertrauenspositionen erwarten die meisten Arbeitgeber neben absoluter Ehrlichkeit und Vertrauenswürdigkeit, auch entsprechend weitere persönliche und charakterliche Verhaltensweisen.^[23] Damit ist beispielsweise gemeint, dass man von einem Kassenwart eines Vereins erwartet, sowohl die Finanzen des Vereins im Reinen zu halten, als auch seine persönlichen Finanzen im Griff zu haben. Kommt der Kassenwart nun privat aber in eine finanzielle Schieflage, stellt das für ihn ein nicht kommunizierbares Problem dar, da ihm dadurch der Vertrauensverlust der Vereinsmitglieder droht.

(b) Probleme aus persönlichem Fehlverhalten

Viele finanzielle Probleme entstehen durch wirtschaftliche Umstände oder negative wirtschaftliche Entwicklungen, die nicht im Machtbereich einer Person liegen. Im Gegenzug entstehen aber oft auch finanzielle Probleme durch schlechte Planung, Fehlentscheidungen oder gar eigene Dummheit.^[24] Der Täter fürchtet nun um den Verlust seines Status, wobei für ihn wiederrum ein nicht kommunizierbares Problem entsteht.

(c) Geschäftsprobleme

Durch Inflation, hohes Zinsniveau oder eine schlechte Auftragslage kommen Unternehmen häufig in finanzielle Schieflagen. Diese werden von den Unternehmern nicht selten als nicht beeinflussbar angesehen und resultieren oft im Scheitern der Unternehmung. Die meisten Menschen können und wollen das Scheitern ihrer Unternehmen aber nicht rechtzeitig akzeptieren und versuchen es mit „allen Mitteln“ am Laufen zu halten.^[25]

(d) Probleme aus physischer Isolation

Die physische Isolation ist laut Cressey ein weiteres Problem. Die Person mit finanziellen Problemen ist von anderen Personen isoliert, die ihr in dieser Situation helfen könnten.^[26] Es geht nicht darum, dass die Person Angst davor hätte, sich jemandem anzuvertrauen. Vielmehr hat sie schlichtweg keine Vertrauensperson mehr. Dies kommt beispielsweise häufig bei dem Tod des Ehepartners vor.

(e) Probleme durch Statusdenken

Das Erreichen oder Erhalten eines bestimmten gesellschaftlichen Status wird für viele Personen zum nicht kommunizierbaren Problem. Im Detail entsteht das Problem erst, wenn diese Person bemerkt, dass sie nicht in der Lage ist, diesen Status zu erreichen oder zu erhalten. In der Realität geht es für die betroffene Person darum, mit einem Freund oder Geschäftspartner „mithalten“ zu müssen und zum Beispiel die teure Mitgliedschaft in einem Golfclub nicht aufgegeben werden kann.^[27]

(f) Probleme aus Arbeitgeber-Arbeitnehmer-Beziehungen

Ein Mitarbeiter, der mit seinem aktuellen Status im Unternehmen nicht einverstanden ist, stellt laut Cressey ein nicht kommunizierbares Problem für die jeweilige Person dar. Ein negatives Empfinden entsteht beispielsweise durch eine ökonomische Ungleich-behandlung in Bezug auf das Gehalt.^[28] Daraus zieht diese Person in Betracht, ihr Gehalt auf andere Weise aufzubessern.

Zusammenfassend lässt sich sagen, dass es eine Reihe von Ausprägungen für nicht kommunizierbare Probleme gibt, die als Ursache des finanziellen Drucks dienen. Besonders relevant erscheint die Furcht, den eigenen Status unter Geschäftspartner und Freunden zu verlieren, aber auch das Vertrauen der eigenen Bezugspersonen.

Das zweite Element des Fraud-Triangle ist die „Gelegenheit“. Der Täter muss die Gelegenheit haben, seine kriminelle Handlung unentdeckt auszuführen. Wichtig ist dabei vor allem, dass der Täter das Wissen innehat, seine Handlungsspielräume zu seinen Gunsten zu gebrauchen. Außerdem muss er die technischen Fähigkeiten haben, diese Handlungsspielräume auch zu nutzen.^[29] Ein typisches Beispiel für eine solche Gelegenheit sind Schwächen im Internen Kontrollsystem.

Die „Rationalisierung“ der wirtschaftskriminellen Handlung komplettiert das Fraud-Triangle. Der Täter sucht nach Gründen, seine Tat zu rechtfertigen, bevor er die Tat dann auch tatsächlich ausführt. Cressey erschließt drei wesentliche Rechtfertigungs-kategorien: Die Täter erachten ihre Vorgehensweise nicht als kriminell, sie empfinden ihre Tat als gerechtfertigt, oder sie sehen sich für ihre Tat nicht in der Verantwortung.^[30]

Das Fraud-Triangle bietet wichtige Ansätze, die als Basis für die Methoden zur Prävention und Bekämpfung von Fraud, auf die in Punkt 3 näher eingegangen wird, herangezogen werden können.

2.2.2 Fraud-Scale nach Albrecht

Dr. W. Steve Albrecht ist ein weiterer renommierter Forscher im Bereich der Wirtschaftskriminalität. Im Unterschied zu Cressey hat Albrecht eine wirtschaftswissenschaftliche Ausbildung mit Schwerpunkt Rechnungswesen durchlaufen. Albrecht ist ehemaliger Präsident der American Accounting Association (AAA) und der Association of Certified Fraud Examiners (ACFE). Er selbst legte den Grundstein für den Certified Fraud Examiner (CFE), da er der Meinung war, dass der traditionelle Buchhalter, Steuerberater, Wirtschaftsprüfer und interne Revisor die falsche Ausbildung hätte, um Fraud zu bekämpfen. Ein CFE müsste eine Ausbildung in den Bereichen Rechnungswesen, Recht, Ermittlungsmethoden und Kriminologie durchlaufen.^[31]

In einer Studie befragte Albrecht interne Revisoren von Unternehmen, die Opfer von Wirtschaftskriminalität geworden sind. Der Umfang der Studie betrug 212 Fälle von Wirtschaftskriminalität. Der wohl interessanteste Bereich der Studie beschäftigt sich mit den Tätermotiven. Albrecht nimmt eine Klassifizierung in neun Typen vor: Ein Lebensstil über den eigenen finanziellen Möglichkeiten; ein unbändiger Wunsch nach dem persönlichen Vorteil; hohe persönliche Verschuldung; enge Verbindung mit Kunden; persönliche Auffassung, dass das Gehalt nicht mit der Verantwortung in Einklang sei; eine ‚Geschäfte um jeden Preis‘-Einstellung; starker Drang, das System zu überlisten; Spielsucht; übermäßiger Druck von Familie und Freundeskreis.^[32]

Es lässt sich eine klare Parallele erkennen, die einst Cressey in seiner Hypothese formulierte. Die Motivation der Täter ähnelt sehr stark den nicht kommunizierbaren finanziellen Problemen von Cresseys Tätern. Albrecht untersuchte außerdem Zusammenhänge zwischen Motivation der Täter und dem verursachten wirtschaftlichen Schaden. So kam er zu dem Ergebnis, dass Täter, die an der sportlichen Herausforderung, das System zu überlisten, interessiert waren, vor allem in große Fraud-Fälle verwickelt waren. Ebenso in große Fraud-Fälle waren die Mitarbeiter involviert, die einen unverhältnismäßig hohen Vertrauensvorschuss bekamen, unrealistische Zielvorgaben erfüllen oder unter ständigem Druck arbeiten mussten. Im Gegenzug waren Täter, die der Meinung waren, unterbezahlt zu sein, eher in kleine Fraud-Fälle verwickelt.^[33] Die Ergebnisse seiner Untersuchungen ergaben, wie auch bei Cressey, dass drei Faktoren elementar für die Entstehung von Fraud sind: Der situative Druck, der mit Cresseys unkommunizierbarem finanziellen Druck gleich zu setzten ist, eine wahrgenommene Gelegenheit für Fraud und dessen Geheimhaltung, sowie die persönliche Integrität des Mitarbeiters, durch die jener die Tat rechtfertigt. Ist der situative Druck und gleichzeitig die wahrgenommene Gelegenheit hoch und die persönliche Integrität des Mitarbeiters niedrig, besteht ein erhöhtes Fraud Risiko, wie in

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3: Fraud-Maßstab

(eigene Darstellung in Anlehnung an: Albrecht, W.S./Howe, K.R./Romney, M.B. (1984), S. 6.)

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3 ersichtlich ist.

In seiner Studie kam Albrecht außerdem zu dem Ergebnis, dass Wirtschaftskriminelle nur sehr schwer in bestimmte Profile eingeordnet werden können, wodurch es schwierig ist Fraud, vorherzusagen. Auf der Basis von umfassenden Daten erstellte Albrecht eine Liste mit 82 möglichen Warnsignalen (Red Flags). Diese Red Flags werden im Kapitel 3.1.2 ausführlich behandelt.

3. Analyse ausgewählter Methoden zur Prävention und Bekämpfung von Fraud

Der Deutsche Corporate Governance Kodex (DCGK), der von einer Regierungskommission der Bundesregierung entwickelt wurde, beinhaltet Vorschläge für eine gute Unternehmensführung, die unter anderem ethische und moralische Verhaltensweisen zum Inhalt haben. Der DCGK gibt dabei auch Hinweise zur Prävention und Aufdeckung von Fraud. Um diesen wirksam bekämpfen zu können, ist ein Risikomanagementsystem nötig, welches das zentrale Instrument des Deutschen Corporate Governance Kodex ist.^[34] Ein Risikomanagementsystem beinhaltet ein Risikofrüherkennungssystem, ein Controlling und ein internes Überwachungssystem. Letzteres unterteilt sich wiederum in ein Internes Kontrollsystem und die Interne Revision.^[35] Verantwortlich für die Umsetzung und Funktionsfähigkeit des Risikomanagements ist der Vorstand eines Unternehmens. Er ist dazu verpflichtet, eine Risikoberichterstattung im Lagebericht nach § 289 HGB abzugeben. Diese wird sowohl vom Aufsichtsrat, als auch von dem Wirtschaftsprüfer des Unternehmens überprüft. Des Weiteren ist der Wirtschaftsprüfer gemäß § 317 Abs. 4 HGB verpflichtet, das Risiko-früherkennungssystem und das Überwachungssystem zu prüfen.^[36]

Die Prävention von Fraud muss also unternehmensintern, sowohl durch den Aufbau, als auch die Funktionsfähigkeit eines Risikomanagementsystems und des Weiteren durch dessen Kontrolle durch unternehmensexterne Organe gewährleistet werden.

3.1 Unternehmensinterne Maßnahmen

Da das Risikomanagement nicht primär auf die Verhinderung von Fraud abzielt, sondern in erster Linie Unternehmensrisiken aufdecken soll, die z.B. durch branchen-spezifische Gegebenheiten oder konjunkturelle Entwicklungen entstehen können, ist es wichtig, ein eigenständiges Anti-Fraud-Managementsystem im Unternehmen zu etablieren.^[37]

3.1.1 Code of Conduct

Die Basis eines funktionierenden Anti-Fraud-Managementsystems bilden unter-nehmensinterne Verhaltensrichtlinien. Besonders in US-amerikanischen Unternehmen ist der sog. Code of Conduct oder auch Code of Ethics bereits seit den 90er Jahren weit verbreitet.^[38] Einen Code of Conduct kann man als die Verfassung eines Unternehmens verstehen, wobei es in erster Linie darum geht, die „im Unternehmen gelebten Grundsätze zu formulieren, zu überdenken und allenfalls zu berichtigen.“^[39]

Bernd Noll formulierte dahingehend drei Funktionen, die ein Code of Ethics erfüllen muss. Ethik-Kodizes haben eine Orientierungsfunktion für alle Mitarbeiter auf sämtlichen Unternehmensebenen. Die dargelegten Verhaltensgrundsätze sind ethische Mindeststandards. Diese beschreiben die Wertegrundlage eines Unternehmens und formulieren Richtlinien in moralisch sensiblen Bereichen. Außerdem dienen sie als Orientierungspunkte bei ethisch heiklen Entscheidungen. Des Weiteren nehmen Ethik-Kodizes den Zweck einer Motivationsfunktion ein, indem sie stets zu ethik-konformem Verhalten anhalten. Ein solcher Verhaltenskodex gibt einem Unternehmen Profil in ethischer Hinsicht. Außerdem sind diese Regeln moralisches Identitätsmerkmal für das Unternehmen. Die formulierten Werte, denen sich das Unternehmen verpflichtet fühlt, führen zu Transparenz für alle Beteiligten. Zuletzt dienen Codes of Conduct noch als Legitimationsfunktion: Durch die Veröffentlichung der Verhaltensgrundsätze geht das Unternehmen eine freiwillige Selbstbindung hinsichtlich ethischer Wertevorstellungen ein. Damit wird gezeigt, wofür es eine moralische Verantwortung übernimmt.^[40]

Ein Code of Conduct muss in schriftlicher Form existieren und von allen Mitarbeiten akzeptiert sein, damit er befolgt wird. Um eine größtmögliche Akzeptanz im Unternehmen zu schaffen, ist es besonders wichtig, dass viele Mitarbeiter, wenn möglich sogar alle, an der Formulierung und Ausarbeitung des Kodex beteiligt werden.^[41] Auch heikle Bereiche (z.B. Bestechung von Mitarbeitern bei der Auftragsvergabe durch Kunden, Schmiergeldzahlungen an potentielle Kunden, etc.) müssen thematisiert werden, wobei es keine Tabus geben darf. Ein Code of Conduct muss ein ehrliches Bekenntnis der Unternehmung sein und darf „keine heuchlerischen Leerformeln oder Allgemeinplätze beinhalten.“^[42] Auch der Missbrauch als reines Marketinginstrument ist zu unterlassen. Oftmals streben Unternehmen nur einen Imagegewinn in der Öffentlichkeit an,^[43] wobei den Verhaltensrichtlinien intern tatsächlich aber nur eine untergeordnete Rolle zukommt. Ein gutes Beispiel dafür ist der Enron-Kodex, der zwar schriftlich existierte, jedoch unternehmensintern keinerlei Beachtung fand.^[44]

Um die Verhinderung von Fraud noch stärker in den Fokus der Unternehmung zu stellen, sollte – über den Code of Conduct hinausgehend – eine eigenständige, niedergeschriebene Fraud Policy erstellt werden, in der Standpunkte und Situationen klar umschrieben werden, wie der explizite Umgang mit Fraud im Unternehmen zu vollziehen ist. Diese Fraud Policy sollte kurz, präzise und für jeden Mitarbeiter verständlich sein. Dabei ist es unerlässlich, klare Formulierungen zu finden, was den Mitarbeitern erlaubt ist und was streng verboten ist. Auch ist es wichtig die Konsequenzen für Verstöße festzuhalten.^[45] Die Führungskräfte sind dafür verantwortlich, dass jeder Mitarbeiter Zugang zur Fraud Policy hat, und dass Fragen und Anregungen von Mitarbeitern Gehör finden.

Ein wichtiger Faktor für den Erfolg des Code of Conduct bzw. einer Fraud Policy ist, wie das Management mit den niedergelegten Regelungen umgeht. Der richtige Umgang der Führungskräfte mit den Kodizes ist entscheidend für deren Akzeptanz und Erfolg im Unternehmen. Das Management muss seine unternehmerische Führung auf die ethischen Leitlinien aufbauen und jeden Tag aufs Neue diese im Unternehmen „vorleben“. Dem Management kommt eine Vorbildfunktion für alle Mitarbeiter zu.

Die Etablierung dieser ethischen Verhaltensrichtlinien ist ein wenig kostenintensives Mittel,^[46] um besonders die Integrität der Mitarbeiter im Unternehmen zu stärken. Laut Albrecht ist eine hohe persönliche Integrität ein entscheidender Faktor für die Minimierung von Fraudrisiken.^[47]

3.1.2 Red Flagging Management

Der nächste Baustein eines gut funktionierenden Anti-Fraud-Managementsystems ist die Früherkennung, das sog. Red Flagging Management. Zur Identifikation von Red Flags eignet sich das Modell von Cressey hervorragend. Wie in Kapitel 2.2.1 bereits dargestellt, bilden finanzieller Druck, eine Gelegenheit zur Tat und die Rationalisierung dieser Tat, ein hohes Gefahrenpotential für Fraud (Fraud-Triangle). Der Aufsichtsrat, die Interne Revision und auch die Wirtschaftsprüfer können das Fraud-Triangle als Instrument nutzen, um Red Flags abzuleiten und Fraud frühzeitig zu erkennen.^[48] Hierbei müssen sie sich in eine Fraud-Triangle Situation in Bezug auf einzelne Mitarbeiter hineinversetzen und diese überprüfen.

Der US-amerikanische Statement of Auditing Standard (SAS) No. 99 beinhaltet 42 Red Flags, die ein Wirtschaftsprüfer benutzen muss, um einen eventuellen Betrug im Jahresabschluss aufdecken zu können.^[49] Diese Red Flags können im Anti-Fraud-Managementsystem verwendet werden und werden in der Folge den drei Gruppen des Fraud-Triangle zugewiesen.

Warnsignale, die den finanziellen Druck betreffen, sind z.B. die Bedrohung der finanziellen Stabilität eines Unternehmens. Ursächlich dafür können ein hartes Wettbewerbsumfeld oder eine Marktsättigung mit sinkenden Margen sein.^[50] Auch ein negativer Cash Flow trotz steigender Gewinne kann die finanzielle Stabilität bedrohen.^[51] Ein weiteres Warnsignal ist enormer Druck, um die Erwartungen von Dritten zu erfüllen.^[52] Immer wieder haben Investoren und Kreditgeber unrealistische Umsatz- und Gewinnerwartungen. Die Mitglieder des Top Managements sehen sich infolgedessen oftmals in ihrer persönlichen finanziellen Situation bedroht. Einkommenseinbußen sind besonders bei variablen Vergütungssystemen hinzunehmen, die auf dem Erfolg der Unternehmung beruhen.^[53]

Red Flags, die das Kriterium der Gelegenheit betreffen, liegen oft in einer komplexen und instabilen Unternehmensstruktur begründet. Dies zeigt sich z.B. in ungewöhnlichen rechtlichen Unternehmenseinheiten (wie etwa bei ausländischen Tochtergesellschaften in Steueroasen oder in speziellen Rechtsformen). Auch ein oft wechselndes Management ist ein Zeichen für eine instabile Unternehmensstruktur.^[54] Ist die Unternehmensüberwachung wirkungslos oder nicht in ausreichendem Maße ausgebaut, kann es zu Fraud kommen. Dies ist oft der Fall, wenn die Unternehmensleitung besonders durch eine oder wenige Personen dominiert wird.^[55] Auch eine Abhängigkeit der Internen Revision vom Top Management ist gefährlich. Der Aufsichtsrat sollte bei derartiger Sachlage regelmäßig seinen Aufsichtsfunktionen für die Rechnungslegung und deren Prüfung gemäß § 111 Abs. 1 und 2 AktG nachkommen.^[56]

Die Warnsignale, die das Kriterium der Rationalisierung der Tat betreffen, sind z.B. eine im Unternehmen bekannte geringe Moral der Entscheidungsträger. Dazu gehören die Missachtung ethischer Kodizes und Zweifel an der Integrität dieser Mitarbeiter.^[57] Oftmals sind ein ausschweifender privater Lebensstil und die damit einhergehende finanzielle Belastung Alarmzeichen für eventuelle Fraudrisiken. Existiert ein mangelndes Unrechtsbewusstsein, kann dies auch ein Hinweis auf fraudulentes Handeln sein. Manche Mitarbeiter fühlen sich ungerecht behandelt und agieren nach der Maxime: „Es steht mir zu.“ oder „Ich verdiene es.“^[58]

In einer Studie bewerteten 128 Wirtschaftsprüfer in den USA, die im SAS No. 99 definierten 42 Red Flags nach ihrer Effektivität, Fraud aufzudecken. Das Ergebnis dieser Befragung ist, dass Warnsignale, die die „Rationalisierung der Tat“ betreffen, mit 7 von 12 möglichen Red Flags als sehr effektiv eingestuft wurden. Die „Gelegenheit“ betreffend wurden insgesamt 6 von 14 Red Flags als sehr effektiv eingestuft. Lediglich der „Druck“ fällt mit nur 2 von 16 Red Flags, die als sehr effektiv eingestuft werden, aus der Reihe.^[59] Dies kann daran liegen, dass der „Druck“ von Person zu Person anders wahrgenommen wird und sich daher keine allgemein gültige Regel ableiten lässt.^[60] Die durchschnittliche Erfolgsbewertung der Red Flags lag bei 4.08 auf einer Skala von 1 bis 6, wobei 6 die größtmögliche Effektivität aufweist. Das Wissen über ein Vergehen eines Mitarbeiters oder Managers in der Vergangenheit wurde mit durchschnittlich 5.22 Punkten als der effektivste Warnhinweis von den Wirtschaftsprüfern angesehen, um Fraud aufzudecken.^[61]

Das Fraud-Triangle von Cressey und der Fraud-Scale von Albrecht eignen sich also sehr gut, um relevante Red Flags für Unternehmen abzuleiten. Die Wahrscheinlichkeit, Fraud damit aufzudecken, steigt deutlich, wobei die Kosten für die Aufdeckung relativ gering sind. In festen zeitlichen Abständen sollte eine Bewertung der Red Flags durchgeführt werden, um die Aufmerksamkeit des Top Managements für die Gefahr von Fraud zu gewährleisten und zu aktualisieren.^[62]

3.1.3 Internal Control Management

Der dritte Baustein eines Anti-Fraud-Managementsystems ist das Internal Control Management. In der anglo-amerikanischen Literatur werden sämtliche Überwachungs-aktivitäten, die unternehmensintern stattfinden, als Internal Control bezeichnet.^[63] Das populärste und am weitesten anerkannte Rahmenwerk zur Umsetzung einer Internal Control findet sich in COSO I, Internal Control – Integrated Framework, vom Committee of Sponsoring Organizations of the Threadway Commission. Demnach definiert sich Internal Control als ein Prozess, der vom Aufsichtsrat, dem Management und anderen Mitarbeitern durchgeführt wird. Dieser wurde entwickelt, um eine angemessene Sicherheit hinsichtlich der Erreichung der Unternehmensziele zu gewährleisten, ferner um effektive und effiziente Abläufe der Unternehmensprozesse zu realisieren sowie die Verlässlichkeit der Finanzberichterstattung und die Einhaltung der geltenden Gesetze und Vorschriften zu garantieren.^[64]

In Deutschland hat sich für Internal Control immer mehr die Bezeichnung Internes Kontrollsystem (IKS) etabliert.^[65] Dies ist jedoch nicht ganz korrekt, da neben dem Internen Kontrollsystem, welches prozessintegriert in Unternehmensabläufen eingesetzt wird, auch noch die Interne Revision als prozessunabhängiges Instrument zur Internal Control gezählt werden muss.^[66] Zur Rolle der Internen Revision wird auf Kapitel 4.1 verwiesen. Hier soll der Fokus auf dem Internen Kontrollsystems liegen.

Die Wirksamkeit eines IKS kann durch die Beachtung von grundlegenden Kontrollprinzipien ermöglicht werden. Häufig lässt sich Fraud auf elementare Prozessschwächen in den Unternehmensabläufen zurückführen. Durch eine Funktionstrennung in den Aufgaben einzelner Mitarbeiter wird eine gute Kontrolle durch einen oder mehrere weitere Mitarbeiter gewährleistet (z.B. Trennung im Bereich des Einkaufs von der Auftragserteilung an Lieferanten und der Zahlung der jeweiligen Lieferantenrechnung). Es darf nicht sein, dass ein Mitarbeiter einen Geschäftsvorgang von Anfang bis zum Ende, ohne Einwirkung durch mindestens einen weiteren Mitarbeiter, erledigen kann. „Anweisende, ausführende und überwachende Aufgaben sind zu trennen.“^[67] Durch das sog. Vier-Augen-Prinzip wird gewährleistet, dass mindestens zwei Mitarbeiter Einblick in eine Aufgabe erhalten. Dadurch kann zwar nicht vermieden werden, dass Fraud gemeinschaftlich begangen werden kann; auf Dauer lassen sich Delikte aber schwerer verheimlichen.^[68] Durch Job-Rotation kann ein dauerhaftes Ausnutzen von Schwächen bzw. Lücken des IKS verhindert werden. Oftmals sind langjährige Führungskräfte oder Mitarbeiter sehr gut über diese Schwächen und Lücken des IKS informiert und können diese leicht missbrauchen.^[69] Nicht selten besitzen Mitarbeiter Berechtigungen für Bereiche, in denen sie nicht zwingend eine Berechtigung brauchen. Solche Überberechtigungen sollten vermieden werden. Außerdem ist die Dokumentation aller unternehmerischen Transaktionen zu gewährleisten. Täter suchen gezielt Bereiche ohne Dokumentation aus und können so leicht fraudulente Handlungen ausführen.^[70]

Um die optimale Kontrollintensität im Unternehmen herauszufinden, sollte eine Kosten-Nutzen-Überlegung zu Grunde gelegt werden. Nach Gerhard Schewe kann grundlegend davon ausgegangen werden, dass der Kontrollertrag mit zunehmender Kontrollintensität nur mit abnehmenden Zuwachsraten steigen wird. Der Kontrollaufwand wird aber gleichzeitig überproportional zunehmen.^[71]

Das Interne Kontrollsystem dient vorwiegend als Instrument für die Unternehmens-leitung. Dadurch wird die Unternehmensleitung aber selbst in der Regel nicht durch die Kontrollen des IKS erfasst oder kann diese gezielt umgehen. Dies wird als Management Override bezeichnet.^[72] Es stellt die „Achillesverse“ des IKS dar,^[73] da hierbei jegliche Kontrolle über die Führungsebene verloren geht. „Gegenüber krimineller Energie von Top Managern ist jedes IKS machtlos; die bewusste Umgehung von Kontrollen durch Anweisung qua hierarchischer Position ist durch kein Kontrollsystem zu verhindern.“^[74]

Zusammenfassend lässt sich festhalten, dass ein Internal Control Management die Gelegenheit zu einer fraudulenten Handlung wirkungsvoll einschränken kann. Um Albrechts Fraud-Scale aufzugreifen, kann man festhalten, dass je besser die Funktionalität des Internen Kontrollsystems ausgeprägt ist, desto geringer die Gelegenheit für den Täter besteht, Fraud zu begehen. Das Fraud-Risiko im Fraud-Scale sinkt also. Dieser Ansatz lässt sich genauso auf Cresseys Fraud-Triangle anwenden.

3.1.4 Whistleblowing Hotlines

Ein weiterer Schritt zu einem umfassenden und funktionierenden Anti-Fraud-Management bildet ein sog. Whistleblowing-System. Das Whistleblowing kommt zum Tragen, wenn die Vermutung für Fraud besteht oder es bereits zu Fraud gekommen ist. Man kann es also zu einem Notfallmanagementplan zählen, der bei begangen Fraud-Delikten greift.

In der anglo-amerikanischen Literatur wird whistle blowing, als das unternehmensinterne Vorbringen von Kritik verstanden.^[75] Weitere Definitionen beschreiben Whistleblowing als die Meldung von Fehlentwicklungen bis hin zu illegalen Aktivitäten, die sowohl an interne Unternehmensstellen gemeldet werden können, aber auch an unternehmensexterne Stellen, wie z.B. Abschlussprüfer, aber auch Staatsanwaltschaften oder sogar die Medien.^[76] Im deutschen Sprachgebrauch hat sich vor allem die Bezeichnung als „Hinweisgeber“ etabliert. Auch „Verpfeifen“ oder „Anschwärzen“ wird oft im Sprachgebrauch verwendet, jedoch mit negativer Konnotation, was dem System des Whistleblowing, hinter welchem eine positiven Idee steckt, nicht gerecht wird.^[77]

Unternehmensintern existieren zwei Ebenen des Whistleblowings. Das Hinweisgeben auf der gleichen hierarchischen Ebene umschreibt hierbei Delikte auf der Employee Ebene. Wertmäßig handelt es sich dabei um die Aufdeckung vergleichsweise irrelevanter Bagatelldelikte. Als Beispiel kann man hier das Kopieren von privaten Unterlagen in einem Unternehmen nennen. Ein potentieller Whistleblower muss immer die Verhältnismäßigkeit der Tat abwägen, da die Konsequenzen weitreichend sein können.^[78]

Auf unterschiedlichen hierarchischen Ebenen spielt sich das Whistleblowing ab, wenn es gegen Vorgesetzte gerichtet ist. Hierbei geben Mitarbeiter Hinweise über direkte Vorgesetzte, über die sie Informationen gesammelt haben, die Fehlverhalten oder illegale Handlungen betreffen, an die nächsthöhere Instanz weiter. Findet der Hinweis keinen Anklang auf der gemeldeten Ebene, so ist sich an die nächsthöhere Instanz zu wenden.^[79] Der direkte Gang zur obersten Ebene in einem Unternehmen empfiehlt sich nur in seltenen Fällen, es sei denn, das Top Management selbst ist in illegale Handlungen verwickelt.

Als Unternehmensangehöriger wird man als Zeuge von Fehlverhalten stetig einem persönlichen und moralischen Konflikt ausgesetzt sein. Soll ein geschätzter Kollege gemeldet werden, der dadurch vermutlich seine Stelle verliert, oder wird stillschweigend zugesehen, wie das Unternehmen geschädigt wird? Die Einrichtung einer anonymen Whistleblowing-Hotline löst dieses Problem. Vorfälle können so an eine Stelle gemeldet werden, die am besten außerhalb der aktiven Unternehmenshierarchie angesiedelt ist.^[80] Diese Aufgabe kann vom Aufsichtsrat oder auch von den Wirtschaftsprüfern übernommen werden. Sie ist zudem ein relativ kostengünstiges Mittel zur Aufdeckung von Fraud, da beide Institutionen ohnehin regulär im Unternehmen aktiv werden. Um ein wirksames Whistleblowing-System zu etablieren, ist die Kommunikation auf allen Unternehmensebenen entscheidend. Durch spezielle Schulungen, sowohl für die ausführenden Mitarbeiter, als auch für das Top Management, muss die Akzeptanz und das Vertrauen in die Stelle, die Hinweise entgegen nimmt, geschaffen werden.

Gibt es keine interne Anlaufstelle, ist häufig nur der Hinweis an Unternehmensexterne möglich. Dies kann in Form einer Anzeige bei der Staatsanwaltschaft erfolgen oder durch das Zuspielen von wichtigen Informationen an die Medien. Im Falle Flowtex kam der Betrug ans Licht, weil ein ehemaliger Geschäftspartner bei der Staatsanwaltschaft Anzeige erstattete. Aus Unternehmenssicht ist dies der schlimmste Fall des Whistleblowing, der eintreten kann, da der Ansehensverlust für das Unternehmen beträchtlich sein kann. Grundsätzlich sollte die Regel gelten, Fraud-Vorfälle erst einmal intern zu lösen.

Einen besonderen Problemkreis stellt die rechtliche Zulässigkeit von Whistleblowing dar. In den USA ist das Whistleblowing bereits seit Jahren gesetzlich geschützt. Es gibt durch den Staat sogar finanzielle Anreize zum Whistleblowing, da es für Hinweisgeber Belohnungen gibt, falls es zu einer Aufdeckung eines Betrugsfalls kommt, bei dem der Staat benachteiligt worden ist.^[81] In Deutschland sieht der Schutz für Hinweisgeber hingegen wesentlich schlechter aus. Durch das Hinweisgeben an Staatsanwaltschaft oder Medien werden meistens unternehmensspezifische Informationen, die dem Datenschutz des Unternehmens unterliegen, veröffentlicht. Dies stellt für den Hinweisgeber zunächst einen Verstoß gegen Datenschutzbestimmungen dar, was nicht selten zur sofortigen Entlassung des Mitarbeiters führt. Der Anreiz, Fehlverhalten oder Fraud zu melden, ist also oftmals aus Angst vor Sanktionen stark beeinträchtigt.

Zusammenfassend lässt sich das Whistleblowing-System unternehmensintern als probates Mittel zur Aufdeckung von Fraud verwenden. Entscheidend sind die Akzeptanz der Mitarbeiter und deren Wille, Fehlverhalten zu melden. Whistleblowing an unternehmensexterne Institutionen, die nicht verhindern können, dass Fraud-Probleme öffentlich bekannt werden, kann dem Unternehmen möglicherweise mehr schaden als nützen.

3.1.5 IT-gestützte Maßnahmen

Im größten Teil aller Unternehmen weltweit wird heutzutage mit PCs und damit einhergehender Software gearbeitet. Eine händisch geführte Buchhaltung beispielsweise ist in der heutigen Zeit aufgrund der Masse und Komplexität an Geschäftsvorfällen nahezu unmöglich. Daher gibt es spezielle Software, mit der sich jegliche Art von Geschäftsvorfällen in Unternehmen, sei es die Buchhaltung, die Personalverwaltung oder Kunden- und Lieferanteninformationen erstellen und abbilden lassen. Durch ein firmeninternes Netzwerk kann auf alle relevanten Unternehmensdaten von jedem PC aus, der in das Netzwerk integriert ist, zugegriffen werden. Über das Internet lassen sich auch eventuell Informationen von außerhalb abrufen, wenn ein legaler oder illegaler Zugriff auf das firmeninterne Netzwerk möglich ist. Diese neuen Technologien haben ein Umfeld geschaffen, in dem Fraud ein erhöhtes Risiko einnimmt.^[82] Jeder Benutzer muss im Netzwerk einen persönlichen Zugang haben, der mit einem Passwort geschützt ist. Dieses Passwort sollte regelmäßig geändert werden und auf keinen Fall, wie bei vielen Mitarbeitern üblich, aufgeschrieben und in der Nähe des Computers aufbewahrt werden.^[83] Durch eine Firewall wird das Unternehmen durch Angriffe von außerhalb des Netzwerks geschützt.^[84]

Ein wichtiges Kriterium zur Prävention von Fraud sind personenbezogene Einschränkungen im Netzwerk. Nicht jeder Mitarbeiter soll und darf Zugriff auf alle Bereiche des Unternehmens haben. Ein großes Fraud-Risiko gäbe es z.B., wenn ein Mitarbeiter im Einkauf arbeitet und zugleich die Netzwerkberechtigung hätte, Rechnungen zu erstellen und zu bezahlen. Es wäre beispielsweise ebenfalls fatal, wenn alle internen Stellen oder gar Unternehmensexterne per Computer auf Informationen aus dem Top Management Zugriff bekommen würden, wenn dort strategisch wichtige Entscheidungen gefällt werden.

Mithilfe geeigneter Software kann sich Fraud in einem Unternehmen aber auch aufspüren lassen. Zum Beispiel durch den Abgleich von Mitarbeiterdaten mit Lieferantendaten könnte man schnell herausfinden, ob Mitarbeiter auch als Lieferanten des Unternehmens agieren und welche Zahlungen hier abgerechnet werden.^[85] Eine Analyse der Abfolge aller getätigten Transaktionen gäbe Aufschluss über unbekannte Lieferantennamen und der damit in Zusammenhang stehenden Bezahlung von Rechnungen für einen möglicherweise nicht erfolgten Bezug von Waren oder Dienstleistungen. Eine weitere Prüfung der Lieferantenadressen auf verschiedene Lieferantennummern kann ergeben, dass es sich vielleicht um Phantomlieferanten handelt, über die Geldzahlungen unrechtmäßig abgerechnet werden.^[86]

Solche Fälle werden in der Regel systematisch ausgeführt und lassen häufig ein Muster erkennen. Frank Benford formulierte eine Regel, bei der der Zusammenhang zwischen einer Ziffer und deren relativen Häufigkeit ihres Auftretens beschrieben wird. Die als „Benfords Law“ bekannte Regel gibt an, wie häufig die Ziffern 1 bis 9 an erster Stelle einer Zahl erwartungsgemäß auftreten. Zahlen die mit der Ziffer 1 beginnen sind dabei mit einem Anteil von rund 30 % signifikant höher, als diejenigen die mit einer 9 an erster Stelle beginnen. Deren Anteil liegt bei nur etwa 5 %. Die Häufigkeit des Auftretens nimmt also von 1 nach 9 sukzessive ab.^[87]

Ergibt eine Analyse der Rechnungsdaten beispielsweise, dass der Anteil der Ziffern 8 und 9 signifikant höher ist als die 5 % laut Benfords Law, kann dies ein Zeichen für Fraud sein. Manager haben meistens einen festgelegten maximalen Verfügungsbetrag, den sie ohne weitere Zustimmung begleichen dürfen. So kann es sein, dass Manager Rechnungen begleichen können, die bis zu ihrem Verfügungslimit von beispielsweise
€ 100.000,00 begrenzt sind. Ein Defraudant wird aber nie einen runden Betrag von
€ 100.000,00 unterschlagen, sondern öfter Beträge, die knapp unter seiner Verfügungs-grenze liegen, wie etwa € 99.875,87, um nicht aufzufallen.^[88] Hier zeigt nun ein Soll-/Ist-Vergleich der Benford‘schen Regel an, ob es im Unternehmen Unrichtigkeiten gibt.

Die oben genannten IT-Maßnahmen schließen ein wirkungsvolles Anti-Fraud-Managementsystem ab. Computergestützte Fraudanalysen sollten auf der gesamten Unternehmensebene eingesetzt werden, um eine größtmögliche Aufdeckung und Präventionswirkung zu erzielen.

3.1.6 Zwischenfazit

Die Implementierung eines eigenen Anti-Fraud-Managementsystems (AFM) im Unternehmen neben dem Risikomanagementsystem bietet eine sehr gute Möglichkeit, Fraud präventiv einzudämmen und auch aufzudecken. Dabei ist es besonders wichtig, dass die einzelnen oben vorgestellten Teile nicht als eigenständige isolierte Komponenten im AFM existieren, sondern einen ganzheitlichen, miteinander verknüpften Block darstellen, um eine größtmögliche Effektivität gegen Fraud zu entfalten.^[89] Ein mögliches Modell für ein Anti-Fraud-Managementsystem ist in Abb. 4 dargestellt. Abbildung in dieser Leseprobe nicht enthalten

Abb. 4: Modell eines Anti-Fraud-Managementsystems

(eigene Darstellung in Anlehnung an: Hofmann, S. (2008), S. 387.)

3.2 Unternehmensexterne Maßnahmen

Im Gegensatz zu den unternehmensinternen Maßnahmen nimmt die Einschätzung von unternehmensexternen Institutionen, wie z.B. des Abschlussprüfers, bezüglich Fraud und dessen Prävention, eine wichtige Rolle für Investoren und potentielle Anleger ein. Im Rahmen der Abschlussprüfung ist der Wirtschaftsprüfer dazu verpflichtet, einerseits den Jahresabschluss auf Richtigkeit und korrekte Darstellung der wirtschaftlichen Lage des Unternehmens zu prüfen und andererseits das Risikomanagementsystem auf Funktionalität und Wirksamkeit zu beurteilen sowie eine Einschätzung darüber abzugeben. Gibt es Hinweise auf fraudulente Handlungen, kann die Abschlussprüfung zu einem sog. Fraud Auditing erweitert werden, was ein probates Mittel zur Prävention und Aufdeckung von Fraud sein kann.

3.2.1 Abschlussprüfung

Im Rahmen der Abschlussprüfung ist der jeweilige Wirtschaftsprüfer dazu verpflichtet, die Prüfung so anzusetzen, „dass Unrichtigkeiten und Verstöße, die sich auf die Darstellung des sich nach § 264 Abs. 2 HGB ergebenden Bildes der Vermögens-, Finanz- und Ertragslage des Unternehmens wesentlich auswirken, bei gewissenhafter Berufsausübung erkannt werden.“^[90] Damit fällt die Aufdeckung von fraudulenten Handlungen des Top Managements unter anderem in den Aufgabenbereich des Abschlussprüfers.

Die Abschlussprüfung muss mit einer kritischen Grundhaltung geplant und durchgeführt werden. Der Abschlussprüfer muss sich darüber bewusst werden, dass durch das Management bewirkte Fehler, Täuschungen, Vermögensschädigungen oder sonstige Gesetzesverstöße existieren können, die den Jahresabschluss und die damit einhergehende Abbildung der Vermögens-, Finanz- und Ertragslage des Unternehmens verfälschen können. Ein besonderes Misstrauen gegenüber dem Management, das über die kritische Grundhaltung hinausgeht, ist allerdings in der Regel nicht erforderlich.^[91]

Der Abschlussprüfung liegt ein risikoorientierter Prüfungsansatz zugrunde. Dieser Ansatz basiert auf der Erkenntnis, dass sich Prüfungen aufgrund der zunehmenden Komplexität der Unternehmensumwelt und Unternehmensstrukturen nicht mehr am Einzelfall orientieren können, sondern der Jahresabschluss das Ergebnis der gesamten Geschäftstätigkeit des Mandanten ist und deshalb die Angemessenheit und Wirksamkeit von dessen Systemen zu überprüfen ist.^[92] Das bedeutet, dass vom Abschlussprüfer eine Prüfungsplanung erstellt wird, in der von ihm eine vorläufige Risikoeinschätzung durchgeführt wird und damit einhergehend wesentliche Prüffelder, Prüfschwerpunkte und die Prüfungsstrategie formuliert werden.^[93] Bei der eigentlichen Prüfung wird mithilfe von sog. Systemprüfungen die sachgerechte Bearbeitung der angefallenen Geschäftsvorfälle unter der Berücksichtigung der Systemziele untersucht. Die sog. Aufbauprüfung untersucht die Einhaltung der allgemeinen Grundsätze zum Systemaufbau. Durch eine sog. Funktionsprüfung wird die Funktionalität der eingerichteten Maßnahmen überprüft. Dabei werden die Verarbeitungs- und Kontrollprozesse von vorgefallenen Geschäftsvorfällen genauer betrachtet.^[94]

In Hinblick auf die Aufdeckung von Top Management Fraud liegt ein besonderer Fokus auf der Prüfung des Risikomanagementsystems. Hierbei ist besonders das interne rechnungslegungsbezogene Kontrollsystem von entscheidender Bedeutung für den Abschlussprüfer. Dieses interne Überwachungssystem dient dem Schutz des vorhandenen Vermögens, wobei die Verhinderung und Aufdeckung von Vermögensschäden beinhaltet ist. Es gewährleistet die Ordnungsmäßigkeit der internen und externen Rechnungslegung und sorgt für die Einhaltung der maßgeblichen Rechtsvorschriften und der festgelegten Geschäftspolitik. Außerdem fördert es die betriebliche Effizienz durch die Auswertung und Analyse von Aufzeichnungen der internen Kontrolle.^[95] Da das Risikomanagementsystem durch das Top Management implementiert ist, besteht immer das Risiko, dass die Sicherheitsmaßnahmen durch das Management umgangen werden können. Daher ist von Seiten des Abschlussprüfers die kritische Grundhaltung gegenüber dem Management sehr wichtig.

Für den Abschlussprüfer ist es in der Regel schwer zu erkennen, ob er durch das Top Management getäuscht wird. Daher sollten gegebenenfalls auch Abschlussprüfer auf das Fraud-Triangle von Cressey zurückgreifen und das Management bei Verdachtsmomenten nach den drei Kriterien Druck, Gelegenheit und Rationalisierung einer möglichen Tat überprüfen.

Der erheblich gewachsene Erfolgsdruck des Kapitalmarkts auf das Top Management im Zusammenhang mit einem variablen Vergütungssystem kann als erhöhtes Risiko zur Täuschung und für fraudulente Handlungen im Rahmen der Rechnungslegung angesehen werden.^[96] Ein solcher Druck kann die Wahrscheinlichkeit für eine Rechtfertigung einer fraudulenten Tat durch das Management erheblich steigern. Mithilfe von Red Flags kann der Abschlussprüfer eine gute Einschätzung bezüglich von Fraudrisiken abgeben. Als Beispiele seien hier genannt: „Überambitionierte Ertragsziele, übermäßig komplexe Organisationsstrukturen, unzureichende Überwachung wesentlicher Kontrollen durch das Management, bekannt gewordene betrügerische Handlungen in der Vergangenheit, Indizien für besonderes Konfliktpotential auf oberster Leistungsebene, hoher variabler Anteil bei Managementvergütungen oder bekannt aufwendiger Lebensstil von Mitgliedern des Managements.“^[97]

Bei der Prüfungsplanung müssen die identifizierten Red Flags unbedingt mit aufgenommen werden und systematisch geprüft werden. Auf diese Weise lässt sich das Risiko eines fehlerhaften Jahresabschlusses deutlich minimieren und Fraud mit größerer Wahrscheinlichkeit aufdecken.

3.2.2 Fraud Audits

Ein weitergehender Ansatz als die traditionelle risikoorientierte Abschlussprüfung ist ein Fraud-orientierter Ansatz der Abschlussprüfung.^[98] Der risikoorientierte Prüfungsansatz hat unter anderem die Prüfung des Internen Kontrollsystems zur Grundlage, welches in der Vergangenheit oftmals durch das Top Management ausgehebelt oder umgangen wurde, und so Fraud durch das Management ausgeführt werden konnte.

Bei einem Fraud Audit steht die mögliche Existenz von Fraud in einem zu prüfenden Unternehmen viel stärker im Fokus der Abschlussprüfung. In der Praxis empfiehlt sich das Vorgehen in drei Schritten. Zunächst sollte im Vorfeld das Geschäftsfeld des Mandanten analysiert werden und die damit einhergehenden Geschäftsrisiken.^[99] Bei dieser strategischen Analyse muss zunächst die Branche des Mandanten und sein Umfeld untersucht werden. Des Weiteren muss die Wettbewerbsstrategie des Mandanten analysiert werden, die einen Ausblick auf die Unternehmensentwicklung verraten kann. Mithilfe bedeutsamer Analysetools wie SWOT-, PEST- und Portfolioanalyse lassen sich relevante Unternehmensinformationen ableiten.^[100] Man erkennt, dass ein Fraud Audit viel weiter geht als die reine Abschlussprüfung, die sich hauptsächlich mit dem Rechnungswesen beschäftigt.

Der zweite Schritt besteht in der Analyse der Unternehmensprozesse und der Unternehmenskontrollen. Bei einem Fraud Audit steht nicht so sehr die Prüfung der Bilanzpositionen im Vordergrund, als vielmehr das Verständnis der Abläufe im Unternehmen.^[101] Dabei wird in Kernprozesse unterschieden, welche unmittelbar die Wertschöpfung des Unternehmens betreffen. Dazu sind unter anderem die Beschaffung, Produktion und Absatz zu zählen. Unterstützungsprozesse, die die Infrastruktur des Unternehmens abbilden, stellen eine andere Art der Unternehmensabläufe dar.^[102] Hierzu zählen beispielsweise das Personalmanagement oder das Finanzmanagement. Durch die Analyse der Geschäftsprozesse kann der Abschlussprüfer herausfinden, welche Risiken auf der jeweiligen Prozessebene bestehen und er kann eine Einschätzung über die Wirksamkeit von Kontrollen auf den einzelnen Ebenen abgeben. Sind die Unternehmensprozesse fehlerfrei, so kann mit hinreichender Sicherheit auch die Fehlerfreiheit der Rechnungslegung gewährleistet werden. Dennoch besteht immer die Gefahr, dass sich das Management über die Kontrollen hinwegsetzt.^[103]

Daher muss der Abschlussprüfer in einem dritten Schritt Einzelfallprüfungen in Hinblick auf Management Override durchführen. Dabei sollen Prüfungshandlungen durchgeführt werden, die die Richtigkeit von nachträglich erfassten Buchungen bestätigen, wie z.B. im Rahmen der Abschlusserstellung vorgenommene Korrekturen, Stornierungen oder Anpassungen. Der Abschlussprüfer muss das Verständnis über bedeutsame Geschäftsvorfälle erlangen, die außerhalb der gewöhnlichen Geschäftstätigkeit vorgefallen sind oder ungewöhnlich erscheinen.^[104]

Da für den Mandanten Prüfungshandlungen aufgrund seiner Erfahrung häufig vorhersehbar sind, ist vom Abschlussprüfer öfters ein Überraschungsmoment in seinen Prüfungshandlungen einzuführen. Dies kann sich sowohl in einer Veränderung der Stichprobenauswahl z.B. bei Debitoren und Kreditoren äußern, wobei nicht nur die wichtigsten Salden abgefragt werden, sondern auch nicht besonders relevante Salden verifiziert werden können. Auch kann ein Überraschungsmoment z.B. durch eine Inventur in einem Lager erzeugt werden, welches vorher nicht bekannt gegeben wird.

Der Ansatz sog. Fraud-Brainstormings soll im Zuge der Prüfungsplanung mit dem gesamten Prüfungsteam erörtern, in welchen Bereichen des zu prüfenden Unternehmens Fraud stattfinden kann bzw. stattgefunden hat.^[105] Dabei ist besonders wichtig, dass jeder des Prüfungsteams – vom Prüfungsleiter über die Prüfungsassistenten bis hin zu den Praktikanten – integriert wird. Ein möglichst großer Input an Ideen ist von entscheidender Bedeutung für die Prüfungsansätze. Beim Brainstorming kann das Fraud-Triangle nützliche Ansatzpunkte geben, welche Bereiche oder welche Personen für Fraud zugänglich sind.

Ein weiteres probates Mittel zur Aufdeckung von Fraud sind Fraud-Interviews. Dabei werden gezielt geeignete Personen im Unternehmen identifiziert, die möglicherweise Auskunft über potentielle Fraud-Fälle bzw. Hinweise auf Fraud geben können. Dies sollte sich nicht unbedingt nur auf das Top Management beschränken.^[106] Auch die Erwägung, leitende Angestellte des Rechnungswesens oder Angehörige anderer wichtiger Unternehmensbereiche zu befragen, kann hilfreich sein. Oft kann auch ein Fraud-Interview mit einem Mitglied des Aufsichtsrats wertvolle Informationen ans Tageslicht bringen.^[107]

Mithilfe von alternativen Prüfungshandlungen ist eine weitere Möglichkeit gegeben, Fraud wirksam aufzudecken.^[108] Durch Plausibilitätsprüfungen können z.B. die Umsatzerlöse anhand von verkauften Mengen und Durchschnittserlösen überprüft werden. Mit Trendanalysen kann man über mehrere Perioden hinweg bestimmte Abschlusskonten miteinander vergleichen und auf diese Weise eventuell Unregelmäßigkeiten feststellen.^[109]

Durch ein Fraud Audit ist die Wahrscheinlichkeit, fraudulente Handlungen des Top Managements aufzudecken, durchaus höher als bei einer gewöhnlichen risiko-orientierten Abschlussprüfung.

3.2.3 Zwischenfazit

Die Abschlussprüfung nimmt eine sehr wichtige Rolle bei der Aufdeckung und Bekämpfung von Fraud ein. Als unternehmensexternes Organ bekommt der Abschlussprüfer einen distanzierten und unternehmensneutralen Blick über die Vorgänge, die sich in einem Unternehmen über ein Geschäftsjahr hinweg abspielen. Mit einem risikoorientierten Ansatz der Abschlussprüfung ist ein adäquates Mittel vorhanden, um die Richtigkeit und Verlässlichkeit der Vermögens-, Finanz- und Ertragslage eines Unternehmens zu gewährleisten. Hebelt das Top Management jedoch interne Kontrollen aus, gerät das System oftmals an seine Grenzen, da es für den Abschlussprüfer nur schwer erkennbar ist, wenn er gezielt getäuscht wird. Ein Fraud Audit kann hier die entscheidenden Ansätze zur Aufdeckung von fraudulenten Handlungen des Managements liefern. Durch zielgerichtetes Analysieren des Managements ist die Wahrscheinlichkeit zur Aufdeckung von Fraud durch den Abschlussprüfer deutlich erhöht.

[...]

^[1] Vgl. Müller, C. (1995), S. 839.

^[2] Vgl. Müller, C. (1996), S. 578.

^[3] Vgl. Sell, K. (1999), S. 3 ff.

^[4] Peemöller, V.H./Hofmann, S. (2005), S. 21.

^[5] Vgl. Sell, K. (1999), S. 4.

^[6] Vgl. Wells, J.T./Kopetzky, M. (2012), S. 2.

^[7] Vgl. Boecker, C./Zwirner, C. (2012), S. 2.

^[8] Vgl. Hofmann, S. (2008), S. 58.

^[9] Vgl. Boecker, C. (2010), S. 22.

^[10] Vgl. Peemöller, V.H./Hofmann, S. (2005), S. 27.

^[11] Die restlichen 2 % entfallen dabei auf andere Personen.

^[12] Vgl. ACFE (2012), S. 39 f.

^[13] Vgl. Lechner, S. (2011), S. 42.

^[14] Lechner, S. (2011), S. 42.

^[15] Wells, J.T./Kopetzky, M. (2012), S. 5.

^[16] Wells, J.T./Kopetzky, M. (2012), S. 5.

^[17] Vgl. Wells, J.T./Kopetzky, M. (2012), S. 5.

^[18] Vgl. Dorminey, J. u.a. (2012), S. 557.

^[19] Cressey, D.R. (1973), S. 30.

^[20] Vgl. Cressey, D.R. (1973), S. 34.

^[21] Cressey, D.R. (1973), S. 34.

^[22] Vgl. Cressey, D.R. (1973), S. 34 f.

^[23] Vgl. Cressey, D.R. (1973), S. 36.

^[24] Vgl. Cressey, D.R. (1973), S. 42.

^[25] Vgl. Cressey, D.R. (1973), S. 47.

^[26] Vgl. Cressey, D.R. (1973), S. 52.

^[27] Vgl. Cressey, D.R. (1973), S. 54.

^[28] Vgl. Cressey, D.R. (1973), S. 57.

^[29] Vgl. Cressey, D.R. (1973), S. 81.

^[30] Vgl. Cressey, D.R. (1973), S. 93.

^[31] Vgl. Wells, J.T./Kopetzky, M. (2012), S. 18.

^[32] Vgl. Albrecht, W.S./Howe, K.R./Romney, M.B. (1984), S. XIV.

^[33] Vgl. Albrecht, W.S./Howe, K.R./Romney, M.B. (1984), S. XV.

^[34] Vgl. Nimwegen, S. (2009), S. 26.

^[35] Vgl. Giese, R. (1998), S. 451 f.

^[36] Vgl. Kajüter, P. (2004), S. 14.

^[37] Vgl. Hofmann, S. (2008), S. 386.

^[38] Vgl. Hofmann, S. (2008), S. 391.

^[39] Zünd, A. (2005), S. 9.

^[40] Vgl. Noll, B. (2002), S. 117.

^[41] Vgl. Zünd, A. (2005), S. 9.

^[42] Hofmann, S. (2008), S. 393.

^[43] Vgl. Maier, K. (2001), S. 163 ff.

^[44] Vgl. Hofmann, S. (2008), S. 392 f.

^[45] Vgl. Pacini, C./Brody, R. (2005), S. 61.

^[46] Vgl. Tysiac, K. (2012), S. 42.

^[47] Vgl. Albrecht, W.S./Howe, K.R./Romney, M.B. (1984), S. 6.

^[48] Vgl. Hofmann, S. (2008), S. 415.

^[49] Vgl. Moyes, G. (2008), S. 47.

^[50] Vgl. Romney, M.B./Albrecht, W.S./Cherrington, D. (1980), S. 53.

^[51] Vgl. Moyes, G. (2008), S. 55.

^[52] Vgl. Moyes, G./Lin, P./Landrey, R. (2005), S. 49.

^[53] Vgl. Peemöller, V.H./Hofmann, S. (2005), S. 147.

^[54] Vgl. Moyes, G./Lin, P./Landrey, R. (2005), S. 50.

^[55] Vgl. Moyes, G./Lin, P./Landrey, R. (2005), S. 49.

^[56] Vgl. Moyes, G./Lin, P./Landrey, R. (2005), S. 50.

^[57] Vgl. Moyes, G./Lin, P./Landrey, R. (2005), S. 51.

^[58] Hofmann, S. (2008), S. 417.

^[59] Vgl. Moyes, G. (2008), S. 52.

^[60] Vgl. Moyes, G./Lin, P./Landrey, R. (2005), S. 51.

^[61] Vgl. Moyes, G. (2008), S. 53.

^[62] Vgl. Romney, M.B./Albrecht, W.S./Cherrington, D. (1980), S. 57.

^[63] Vgl. Hofmann. S. (2008), S. 428.

^[64] Vgl. Rea, K./Subramaniam, N. (2008), S. 105.

^[65] Vgl. Schewe, G./Littkemann, J./Beckemeier, P.O. (1999), S. 1483 f.

^[66] Vgl. Hofmann, S. (2008), S. 429.

^[67] Hofmann, S. (2008), S. 437.

^[68] Vgl. Hofmann, S. (2008), S. 437.

^[69] Vgl. Hofmann, S. (2008), S. 437.

^[70] Vgl. Hofmann, S. (2008), S. 437.

^[71] Vgl. Schewe, G./Littkemann, J./Beckemeier, P.O. (1999), S. 1485.

^[72] Vgl. Sell, K. (1999), S. 155.

^[73] Vgl. AICPA (2005), S. 1.

^[74] Hofmann, S. (2008), S. 438.

^[75] Vgl. Leisinger, K. (2008), S. 172.

^[76] Vgl. Eaton, T.V./Akers, M.D. (2007), S. 67.

^[77] Vgl. Leisinger, K. (2008), S. 172.

^[78] Vgl. Leisinger, K. (2008), S. 173.

^[79] Vgl. Leisinger, K. (2008), S. 174.

^[80] Vgl. Bierstaker, J.L./Brody, R.G./Pacini, C. (2006), S. 523 f.

^[81] Vgl. Hofmann, S. (2008), S. 462.

^[82] Vgl. Christensen, J.A./Byington, J.R. (2003), S. 24.

^[83] Vgl. Gerard, G.J./Hillison, W./Pacini, C. (2004), S. 41.

^[84] Vgl. Bierstaker, J.L./Brody, R.G./Pacini, C. (2006), S. 526.

^[85] Vgl. Coderre, D.G./Warner, P.D. (1999), S. 57.

^[86] Vgl. Coderre, D.G. (2000), S. 25 f.

^[87] Vgl. Nigrini, M.J. (1999), S. 79.

^[88] Vgl. Nigrini, M.J. (1999), S. 82.

^[89] Vgl. KPMG (2006), S. 36.

^[90] § 317 I Satz 3 HGB.

^[91] Vgl. IDW PS 200, Tz. 17.

^[92] Vgl. Marten, K./Quick, R./Ruhnke, K. (2011), S. 254.

^[93] Vgl. Wiedmann, H. (1993), S. 14.

^[94] Vgl. Lechner, S. (2011), S. 244.

^[95] Vgl. Pfitzer, N./Schmidt, G. (2002), Sp. 2338.

^[96] Vgl. Schruff, W. (2003), S. 906.

^[97] Schruff, W. (2003), S. 908.

^[98] Vgl. Peemöller, V.H./Hofmann, S. (2005), S. 224.

^[99] Vgl. Wiedmann, H. (1998), S. 344.

^[100] Vgl. Wiedmann, H. (1998), S. 346.

^[101] Vgl. Wiedmann, H. (1998), S. 343.

^[102] Vgl. Wiedmann, H. (1998), S. 347.

^[103] Vgl. Schindler, J./Gärtner, M. (2004), S. 1236.

^[104] Vgl. Schindler, J./Gärtner, M. (2004), S. 1244.

^[105] Vgl. Schindler, J./Gärtner, M. (2004), S. 1239.

^[106] Vgl. Schindler, J./Gärtner, M. (2004), S. 1240.

^[107] Vgl. Schindler, J./Gärtner, M. (2004), S. 1241.

^[108] Vgl. Sell, K. (1999), S. 179 f.

^[109] Vgl. Sell, K. (1999), S. 184 ff.