Um das Risiko und die potenziellen Schäden durch betrügerische Aktivitäten zu minimieren, gewinnt das Thema der Betrugsprävention immer mehr an Bedeutung. Die Schäden durch betriebsinterne Betrugsfälle sind weltweit erheblich. Unternehmen, die das Thema «Fraud» konsequent negieren resp. vernachlässigen, setzen sich erheblichen finanziellen und reputationsbezogenen Risiken aus. In den letzten Jahren hat sich die Landschaft der Unternehmensführung in Europa verändert, was den Handlungsdruck zusätzlich erhöht. Parallel dazu rückt das Thema wirtschaftskrimineller Handlungen auch immer mehr in den Fokus von Regulatoren.
Die Association of Certified Fraud Examiners (ACFE) schätzt, dass Unternehmen jährlich etwa 5% ihres Umsatzes aufgrund betrügerischer Aktivitäten ihrer Mitarbeitenden verlieren. Dieser erhebliche Verlust unterstreicht die Notwendigkeit präventiver Massnahmen.
Ein effektiver Schutz vor Betrug beginnt mit der Sensibilisierung der Mitarbeitenden. Ziel ist es, das Risiko der Aufdeckung für potenzielle Täter durch einen gezielten Mix an Instrumenten zu maximieren, wie etwa durch regelmässige Schulungen zur Erkennung betrügerischer Handlungen.
Ein weiterer zentraler Aspekt der Prävention ist ein effektiver Meldemechanismus und eine starke Unternehmenskultur. Mitarbeitende müssen wissen, wie sie verdächtige Aktivitäten anonym und ohne Angst vor Vergeltung melden können. Die Unternehmenskultur sollte von Integrität und Ehrlichkeit geprägt sein, wobei Führungskräfte als Vorbilder ein Klima des Vertrauens schaffen.
Auch entscheidend ist die Transparenz: Mitarbeitende sollten über Betrugspräventionsmassnahmen und Reaktionen auf entdeckte Fälle informiert werden. Dies sensibilisiert sie, schreckt potenzielle Betrüger ab und stärkt das Vertrauen in das Unternehmen.
Interne Kontrollsysteme (IKS) und Compliance-Massnahmen werden für die Erkennung und Steuerung von finanziellen, operativen sowie Compliance- und Betrugsrisiken benötigt. Besonders wertvoll hinsichtlich der Effektivität interner Kontrollsysteme sind datenbasierte End-to-End-Analysen, die es ermöglichen, ganze Zeiträume automatisch, vollumfänglich und kontinuierlich zu überwachen und potenziell schädliche Muster frühzeitig zu identifizieren.
Datenanalysen im Rahmen von internen Kontrollsystemen beziehen sich oftmals auf die klassischen wertschöpfenden und unterstützenden Unternehmensprozesse, wie beispielsweise den Einkauf.
Mit Hilfe von gezielten Datenanalysen lassen sich bspw. die folgenden betrugsrelevanten Aspekte im Bereich Einkauf analysieren:
- Gibt es Trends, die auf eine systematische Umgehung des Einkaufs hindeuten, wie etwa die verstärkte Nutzung von Einmal-Lieferanten-Konten?
- Werden Bestellungen erst nach dem Rechnungseingang erfasst?
- Werden risikoreiche und bedeutende Beschaffungsvorgänge von ein und derselben Person abgewickelt?
Datenanalysen können nur Hinweise auf mögliches Fehlverhalten liefern, aber keinen gerichtsbeständigen Beweis für Betrug erbringen. Dieser erfordert eine sorgfältige manuelle Analyse durch Fachkundige.
Getreu dem Motto „weniger ist mehr, führt eine zu breite Suche nach möglichen Anomalien erfahrungsgemäss zu einer unnötig hohen Anzahl „falscher Treffer“, sogenannter „false positives“, deren (manuelle) Analyse im Einzelfall wiederum unnötig viel Zeit und Ressourcen verschlingt.
Daher ist das enge Zusammenspiel von „Technikern“ für die Datenanalysen, der Fachexpertise von Personen des Unternehmens mit profunden Kenntnissen der zu analysierenden Geschäftsfelder und einem beigezogenen Fachpersonen aus Forensik, welche die in der Praxis üblichen Betrugsmaschen kennen, elementar.
Datenanalysen decken nicht nur wirtschaftskriminelle Handlungen auf, sondern auch Prozess-Schwachstellen und Ineffizienzen. Diese Schwachstellen können monetär bewertet und verbessert werden.
Schweizer Unternehmen, die sich proaktiv mit Betrugsprävention und den EU-Richtlinien bspw. hinsichtlich «Whistleblowing» auseinandersetzen, sind besser vorbereitet, um Risiken durch betrügerische Aktivitäten zu minimieren und gesetzliche Anforderungen zu erfüllen. Diese rechtlichen Anforderungen bieten nicht nur eine Pflicht, sondern auch eine Chance zur Verbesserung der Unternehmenssicherheit.
Ein effektives Kontrollsystem, welches auch datenbasierte End-to-End-Analysen nutzt, erkennt und steuert finanzielle, operative sowie Compliance- und Betrugsrisiken frühzeitig, identifiziert operative Schwachstellen und reduziert dadurch das Schadensrisiko erheblich.
Whistleblowing-Hotlines, kontinuierliche Datenanalysen an kritischen Stellen und umfassende Betrugsprävention sollten integrale Bestandteile der Unternehmensführung sein, um finanzielle Schäden zu verhindern und Vertrauen zu stärken.
Matthias Kiener, Partner, Leiter Forensic, Forvis Mazars in der Schweiz
Marc Michely, Executive Director, Digital Audit & Advisory, Forvis Mazars in der Schweiz