Kitabı oku: «Internal Investigations», sayfa 39

Dennis Bock, Sönke Gerhold, Tim Wybitul, Frank Schuster, Lutz Krüger Michael Tsambikakis Ole Mückenberger Oliver Kraft Christian Pelz Sebastian Wollschläger Jesco Idler Markus Mag.iur. Rübenstahl André-M. LL.M. Szesny Markus Adick Michael Racky Matthias Brockhaus Christof Püschel Antje Klötzer-Assion Christian Rosinus Philipp Beckers Folker Bittmann Florian Block Rainer Buchert Matthias LL.M. Dann Lucian E. Dervan Björn LL.M. Fiedler Dirk M.A. Fleischer Cornelia Gädigk Felix A. LL.M. Gloeckner Gina Greeve Sebastian M.I.Tax Hölscher Caroline Jacob-Hofbauer Gerwin LL.M. Janke Oliver K.-F. Klug Sven Köhnen Thomas C. Knierim Helmut Kranzmaier Carsten Laschet Jan Olaf Leisner Anja LL.M. Mengel Nina Nestler Hannah Milena Piel Harald W. Potinecke Martin Pröpper Frank Reutter Markus Ruttig Alexander Sättele Hellen Schilling Kathie Schröder André Strecker Marc J. Waeber Silvia Ziebell ve dahası

Yazı tipi:

aa) Red flags im betrieblichen Finanzwesen

Das Institut der Wirtschaftsprüfer („IDW“) zeigt in seinem Prüfungsstandard IDW PS 210 red flags auf, welche insbesondere im Finanzbereich eines Unternehmens auf potentielle Unregelmäßigkeiten oder Gesetzesverstöße hinweisen können. Der Einsatzbereich des IDW PS 210 liegt zwar ursprünglich in der traditionellen Abschlussprüfung, bietet jedoch allgemein verwertbare Anwendungsbeispiele für betriebliche Ermittlungen. Zu den red flags zählen u.a.:[4]

–	kritische Unternehmenssituationen, u.a. risikoreiche Ertragsquellen;
–	ungewöhnliche Geschäfte, u.a. Geschäfte mit nahestehenden Personen;
–	nicht protokollierte oder nicht genehmigte Änderungen von computergestützten Informationssystemen.

bb) Red flags im betrieblichen Einkauf

Die Weltbank hat für die betriebliche Funktion Einkauf die „Most Common Red Flags of Fraud and Corruption in Procurement“[5] erhoben. Die red flags stellen die, aus Sicht der Weltbank, zehn häufigsten Standardfälle und Warnzeichen von möglichen Unregelmäßigkeiten in Einkaufsprozessen dar. Bspw. werden ungewöhnliche Bietermuster und hiermit zusammenhängende mögliche Absprachen durch folgende Indizien operationalisiert:

–	die Höhe der abgegebenen Gebote unterscheidet sich systematisch anhand verschiedener linearer Abweichungen zueinander (bspw. 1 %, 10 % Abweichungen);
–	die abgegebenen Gebote stehen in einem auffälligen Missverhältnis zueinander und sind entweder zu hoch oder zu niedrig;
–	Verlierer von Angebotsverfahren werden Zulieferer der Gewinner der Angebotsverfahren;
–	offensichtliche Rotation von Gewinnern von Angebotsverfahren.

cc) Projektspezifische Entwicklung von Indikatoren

Die aus Literatur und Praxis bekannten red-flags können als theoretische Benchmarks im Sinne objektivierter Erfahrungswerte eine erste Orientierung in der Planung des Prüfungsprogramms geben und potentielle Risiken sowie praktische Ermittlungsschritte aufzeigen. Im Einzelfall sind diese Indikatoren grundsätzlich individuell auf den Arbeitsauftrag und die Komplexität des Einzelfalls anzupassen, weiterzuentwickeln und unter Berücksichtigung der Prüfungsziele zu gewichten.

Ein möglicher Ausgangspunkt der Entwicklung von Risikoindikatoren kann hierbei das sog. „Self-Assessment“ des betroffenen Unternehmens sein. Im Mittelpunkt steht hier zunächst die in der Eigenverantwortung des Unternehmens stehende Analyse und Auswertung von Problembereichen.

Die erarbeiteten Indikatoren sollen im Ergebnis zu einem erkenntnisrelevanten Risikoprofil führen, welches möglichst offen zu konzipieren ist, um auch vergleichbare Muster und Fälle zu erfassen, die eventuell noch nicht bekannt sind.[6] Ein Vorteil solcher red flag Systeme zeigt sich in der Analyse von standardisierten Massendaten. Wenn es gelingt, aus dem identifizierten Risikoprofil ein quantitatives Indikatormodell zu entwickeln und dieses handhabbar in die Arbeitsphase, u.a. der Datenanalyse und –auswertung, einzubringen, lässt sich eine hohe Datendichte mit relativ einfachen und standardisierten Mitteln effektiv untersuchen. Voraussetzung hierfür ist die Ableitung valider Indikatoren, wie bspw. atypische Merkmalshäufungen oder das Vorliegen eindeutiger Hinweiskombinationen.

Beispiel:

Ermittlungen im Kontext von Vertriebsunregelmäßigkeiten in einem Unternehmen führen zu einem möglichen Risikoprofil mit den folgenden red flags, die in der Phase der Informationsbeschaffung abgefragt werden sollen:

–	„Zahlungen an Lieferanten mit Sitz in Steueroasen“;
–	„Phantasienamen von Kunden mit ungewöhnlicher Rechtsform“;
–	„Sitz des Zahlungsempfängers weicht vom Bankland ab“;
–	„Zahlung ohne erkennbaren Leistungsgegenstand bzw. Bestellung“.

Art und Umfang von Prüfungshandlungen werden, abgesehen von einer Vollprüfung von Geschäftsvorfällen, durch das risikoorientierte Prüfungsprogramm bemessen. Grundsätzlich ist es sinnvoll, je Prüffeld einen Mindestprüfungskatalog zu planen, der in späteren Ermittlungsphasen neuen Erkenntnissen angepasst werden kann. Bei der Bestimmung des Umfangs von Prüfungshandlungen sind Stichprobenverfahren anzuwenden, um valide Prüfungsaussagen, bezogen auf die gewählte Stichprobengröße und Grundgesamtheit zu gewährleisten und insgesamt eine hohe Prüfsicherheit zu erreichen.

Begleitend zur Bestimmung der Prüfungshandlungen sind insbesondere der Einsatz von Ermittlungstools und Prüfungstechniken sowie die Art der Dokumentation und, soweit erforderlich, des Reportings zu planen. Weiterhin ist zu berücksichtigen, welche Arten von Informationsquellen im Unternehmen verfügbar sind und welche Zugänge sowie Verwertungsmöglichkeiten hierzu bestehen, da u.a. datenschutzrechtliche Bestimmungen die Verwertung von Informationen erheblich erschweren können.[7]

2. Personelle Planung

Hinsichtlich der personellen Planung liegt der wesentliche Schwerpunkt in der Zusammenstellung und Sicherstellung der Verfügbarkeit der für die Ermittlung erforderlichen Wissensressourcen. Dabei sind die Berücksichtigung ausreichender fachlicher Qualifikationen und beruflicher Erfahrungen Mindestvoraussetzungen bei der Planung. Abhängig von Art, Umfang und Komplexität des Ermittlungsauftrags kann die Personalplanung von der einfachen Einsatzplanung eines oder mehrerer Spezialisten bis hin zur Bildung von multidisziplinären Ermittlerteams reichen. Insbesondere ist der Grundsatz der Unabhängigkeit zu beachten, nach dem die am Ermittlungsprozess beteiligten Personen keine Interessenskonflikte, u.a. finanzielle oder persönliche, in Hinblick auf das Untersuchungsobjekt haben dürfen. Geeignete Maßnahmen zur Sicherung der Unabhängigkeit sind bei der Personalplanung im Vorfeld der eigentlichen Ermittlungstätigkeit zu berücksichtigen.

Eine sinnvolle Planungsdimension ist bei Überschreitung einer kritischen Auftragsgröße die Einbindung unternehmensinterner Spezialisten und Managementkapazitäten, die als Knowhow-Träger, Türöffner und Wegweiser im untersuchten Unternehmen fungieren können.

Weiterhin sind in Abhängigkeit vom Detailgrad der Planung verschiedene Aspekte vor der Untersuchung zu organisieren, um insbesondere die Ermittlerteams bei der Beweissicherung in den Unternehmensbereichen in einer Kurzschulung zu informieren. Hierzu gehören u.a.:

–	der Umfang der Befugnisse der Ermittler;
–	die während der Ermittlungen einzusetzenden Methoden der Datenanalyse und Datenauswertung;
–	die Anforderungen an das interne und externe Reporting;
–	zeitliche Restriktionen hinsichtlich der Prüffelder und Abgabe- sowie Berichtstermine.

Anmerkungen

[1]

Da der Schwerpunkt auf der sachlichen Planung liegt, wird auf die separate Darstellung der zeitlichen Planungsaspekte verzichtet. Soweit erforderlich, wird auf die zeitliche Planung an anderer Stelle eingegangen. Zur ausführlichen Darstellung des Planungsprozesses vgl. 4. Kap. Rn. 87 ff.

[2]

IDW PS 240, Rn. 19.

[3]

Ansätze für weitere betriebliche Funktionen und Branchen wurden bspw. vom OECD (www.oecd.org/governance/procurement/toolbox/indicatorsofprocurementrisk.htm) oder dem State of New York (http://apipa2010.pitiviti.org/files/fraud_redflats.pdf) vorgestellt.

[4]

IDW PS 210, Rn. 35 ff.

[5]

Weltbank http://siteresources.worldbank.org/INTDOII/Resources/Red_flags_reader_friendly.pdf.

[6]

Knabe/Mika/Müller/Rätsch/Schruff WPg 2004, 1059.

[7]

Hinsichtlich der Problematik des Datenschutzes verweisen wir auf die Ausführungen im 12. Kap.

1. Teil Ermittlungen im Unternehmen › 6. Kapitel Ermittlungen und Beweissicherung – Unterlagen und EDV › III. Durchführung der Ermittlungen im Unternehmen

III. Durchführung der Ermittlungen im Unternehmen

1. Informationserhebung und -strukturierung

Die Phase der Informationserhebung dient der Erarbeitung einer relevanten und vollständigen Datenbasis unter Berücksichtigung der in der Planung definierten Prüfungsziele und Prüffelder. Zu diesem Zeitpunkt steht die rein technische Beschaffung, Sicherung, Sichtung sowie Strukturierung und Dokumentation von Informationen im Vordergrund. Der ideale Output dieser Phase resultiert in einem IT-gestützten Datenpool, bspw. in Form einer strukturierten und indizierten Datenbank, die im weiteren Ermittlungsprozess neben dem reinen Dokumentationszweck für weitere Analysen und letztendlich zur Beweisführung zur Verfügung steht.

a) Allgemeine Anforderungen an die Informationserhebung

Oberster Grundsatz der Informationsbeschaffung sollte die Originalität und Unveränderbarkeit von Informationen, Belegen und Dokumenten sein, die im Zuge der Ermittlungen erhoben werden, um eine maximal hohe Beweiskraft zu gewährleisten und, soweit erforderlich, eine gerichtliche Verwertbarkeit zu ermöglichen. Bei der Be- und Verarbeitung von Informationen ist ausschließlich die Verwendung von Duplikaten, Abschriften oder Kopien zu empfehlen. Die Unveränderbarkeit von Informationen setzt weiterhin ein striktes Informationsmanagement voraus. Dies bedeutet, dass einmal erhobene Informationen im Original gespeichert oder aufbewahrt werden und der Zugang hierzu nur ausgewählten Personen des Ermittlungsteams oder sogar nur unabhängigen Dritten zu gewähren ist.

Die Analyse digitaler Daten sollte sich in der Regel außerhalb des IT-Produktivsystems des untersuchten Unternehmens abspielen. Da in den meisten Fällen digitale Daten als Nachweise in der Beweiskette verwendet werden, stellt die Sicherung dieser Daten zumeist hohe Anforderungen an den Ermittlungsprozess. Die Bandbreite der Datensicherung reicht von der einfachen Datenextraktion aus den betrieblichen IT-Systemen bis hin zur Sicherung physikalischer Datenträger wie bspw. Festplatten, mobiler Speichermedien oder auch mobiler Telefone und Daten in der Cloud.

Primär gelten bei der Datensicherung neben der Unveränderbarkeit die Grundsätze der Richtigkeit und Vollständigkeit der extrahierten Daten.[1] Leicht können Fehler bei der Datenextraktion aus IT-Systemen durch Verwendung unvollständiger Abfragen, nicht gepflegter Tabellen und Mandanten oder falsch gewählter Parameter begangen werden. Werden bspw. Daten aus einem “ERP“-System[2] wie bspw. „SAP“[3] extrahiert, kann dies über Datenbankabfragen oder direkt über entsprechende Datenexportschnittstellen des SAP-Systems, wie bspw. DART, erfolgen.

Zur Erhöhung der Beweiskraft der exportierten Daten können forensische Verfahren wie bspw. der Einsatz sog. Writeblocker[4] oder Imaging Tools zum Einsatz kommen.[5] Writeblocker verhindern den physischen Schreibzugriff und vermeiden die unbeabsichtigte Löschung oder Verarbeitung von Daten. Imaging Tools ermöglichen die Anfertigung eines „Abbilds“ von Datenträgern. Mit speziellen Analysetools können auch Daten, die bereits gelöscht wurden, bzw. als gelöscht markiert wurden, sichtbar gemacht werden.

Der gesamte Ermittlungsprozess muss für Dritte nachvollziehbar und nachprüfbar sein. Grundsätzlich sollte ein Dritter bei Anwendung der dokumentierten Prüfungstechniken und -methoden dieselben Ergebnisse erzeugen können wie der Ermittler. Die Reproduzierbarkeit der Prüfungsergebnisse ist also ein entscheidender Faktor.

Die angewendeten Prüfungsmethoden, -techniken und –verfahren sollten in der Fachwelt akzeptiert und bestenfalls praktiziert worden sein. Der Einsatz neuer Prüfungsmethoden ist immer nachvollziehbar zu begründen.[6] Bspw. sollte bei der Anwendung von Stichprobenverfahren eine allgemein anerkannte Methode zur Anwendung kommen.

Der Prüfungsweg ist in angemessener Weise zu dokumentieren. Als „Best Practice“ erfolgt bereits während der Planung im Vorfeld der Ermittlungen eine strukturierte Dokumentation, die während der Ermittlungen im Sinne einer prozessbegleitenden Dokumentation und einer rollierenden Planung ausgebaut wird.[7]

b) Informationsquellen

aa) Self-Assessment im Unternehmen

Das sog. „Self-Assessment“ des Unternehmens kann eine wesentliche Grundlage für ein effektives Ermittlungsverfahren sein. Das Self-Assessment bietet dem untersuchten Unternehmen die Möglichkeit einer eigenen Ersteinschätzung hinsichtlich des Untersuchungsgegenstands und führt als Nebenprodukt zu einem besseren Verständnis von betrieblichen Funktionen, Prozessen und Geschäftsabläufen auf Seiten der Ermittler.

Die Analyse und Beurteilung aus Sicht des Unternehmens ist allerdings immer nur ein erster Baustein der Datenerhebung und möglicher Wegweiser für weitere Untersuchungen. Auch aus Kosten- und Effektivitätsgesichtspunkten bietet sich ein Self-Assessment an. In der Regel wird eine Prüfung der in dieser Phase vom Unternehmen zusammengestellten Informationen unerlässlich sein.

bb) Unternehmensinterne Daten

Die Istanalyse und Sondierung der internen Informationsquellen des Unternehmens stellt den ersten Schritt der Informationsbeschaffung dar. Es sind in der Regel immer mehr Informationen vorhanden, auch bereits in strukturierter und aufbereiteter Form, als zu Beginn der Ermittlungen angenommen. Die einfachsten Zugänge zu möglichen Informationen sollten, soweit erheblich für den Ermittlungsprozess, zuerst genutzt werden. Diese betreffen üblicherweise sämtliche unternehmensbezogenen Informationen, die sich aus gesetzlichen Aufbewahrungs- und Dokumentationspflichten sowie statistischen Pflichtmeldungen für Unternehmen ergeben.

Hierzu gehören insbesondere rechnungslegungs- und steuerrelevante Unternehmensdaten wie bspw. der Finanz- und Anlagenbuchhaltung, der Materialwirtschaft oder auch der Lohnbuchhaltung, die regelmäßig elektronisch in den zentralen ERP-Systemen wie bspw. SAP bzw. deren vor- und nachgelagerten Systemen (Nebenbücher, Online-Banking-Software, etc.) vorliegen. Auch aus zollrechtlichen- bzw. umsatzsteuerlichen Informationspflichten hinsichtlich der Aufbewahrung bspw. von Rechnungen und Lieferscheinen sowie aus allgemeinen Aufbewahrungspflichten, u.a. für Geschäftsbriefe, sollte sich die potentielle Verfügbarkeit von Informationen und Dokumenten ergeben.

In diesem Zusammenhang können auch Prüfungsergebnisse Dritter verwertet werden. Dabei kommen regelmäßig punktuelle oder turnusmäßige Prüfungen in Betracht wie bspw. jegliche Arten von Steuerprüfungen wie die steuerliche Betriebsprüfung oder die Zollprüfung.

Problembereiche können sich überall dort ergeben, wo gesetzliche Aufbewahrungsfristen bereits abgelaufen sind und, wie in der Praxis nicht unüblich, nicht eingehalten oder Beweise vorsätzlich vernichtet werden. Für rechnungslegungs- und steuerrelevante Daten beträgt der gesetzlich vorgeschriebene Aufbewahrungszeitraum nach § 147 AO und § 257 HGB grundsätzlich zehn Jahre; dieser kann sich durch An- und/oder Ablaufhemmungen entsprechend verlängern. Erstreckt sich ein Prüfungszeitraum über gesetzliche Aufbewahrungsfristen hinaus, sind Probleme vorprogrammiert und zusätzliche Informationsalternativen zu suchen.

Insbesondere die heutige Vielfalt von in Unternehmen eingesetzten IT-Systemen setzt eine profunde Kenntnis und Analyse der IT-Landschaft des Unternehmens voraus. Praktisch stellt sich die Frage, welche IT-Systeme welche Informationen verarbeiten und speichern und wie auf diese Informationen in welcher Weise zugegriffen werden kann. Spätestens an diesem Punkt ist die Analyse der IT-Infrastruktur unabdingbar, um Erkenntnisse über die Möglichkeiten und Grenzen der Datenerhebung bestehender Systeme zu erlangen. Von besonderer Bedeutung ist eine Aufnahme des Datenflusses zwischen dem zentralen ERP-System und der jeweils vor- und nachgelagerten Systeme.

Abb. 1:

Rechnungslegungsrelevanter Datenfluss in einer typischen SAP-Systemlandschaft

[Bild vergrößern]

Nicht in obiger Abbildung enthalten sind die mittlerweile weit verbreiteten, revisionssicheren Archivsysteme. Diese dienen u.a. der manipulationssicheren Aufbewahrung von originär digitalen, aufbewahrungspflichtigen Unterlagen, wie bspw. elektronischen Eingangsrechnungen oder geschäftlichen E-Mails. Änderungen an Daten und Dokumenten in solchen Archivsystemen sind zwar grundsätzlich technisch möglich, werden jedoch protokolliert und sind somit nachvollziehbar.

In der Praxis kommt zu Zwecken der Identifikation des Datenflusses häufig die retrograde Prüfungsmethode zum Einsatz. Als Ausgangspunkt bietet sich für rechnungslegungs- und steuerrelevante Daten die (Steuer-)Bilanz oder GuV an. Über die Konten wird der Datenfluss bis hin zum Beleg verfolgt. Bezogen auf die IT-System-Landschaft bedeutet dies eine Analyse technischer Schnittstellen von vorgelagerten Systemen zur Finanz-, Anlagen- oder Lohnbuchhaltung (Datenflussanalyse). Gleiches gilt, wenn die Finanzbuchhaltung eines ERP-Systems zu anderen Modulen dieses Systems oder zu nachgelagerten Anwendungen eine direkte Verbindung bietet.

Im Kontext der Identifikation des Datenflusses ist für einen zielgerichteten und effizienten Einsatz von Datenanalysen das Verständnis der Geschäftsprozesse und der Kontrollen im Rahmen des internen Kontrollsystems („IKS“) von besonderer Relevanz. Zu diesem Zweck sind bei dem zu prüfenden Unternehmen Informationen über die IT-gestützten Geschäftsprozesse und die hierfür eingesetzten IT-Anwendungen, das IT-Kontrollsystem sowie die geschäftsprozessbezogenen Kontrollen und Datenstrukturen zu erheben. Bezüglich der Datenstrukturen steht die Frage im Vordergrund, welche Informationen in Form von strukturierten Daten vorliegen und in welcher Beziehung sie zueinander stehen.

Zu beachten ist hierbei, dass selbst in Zeiten weitverbreiteter betriebswirtschaftlicher Standardsoftware noch immer mit zahlreichen IT-Insellösungen wie bspw. Projektdatenbanken, heterogenen Personalabrechnungssystemen, proprietärer Zahlungsabwicklungsprogramme oder sonstigen nicht integrierten Management-Informationssystemen gearbeitet wird, welche in die Datenauswertung eingebunden werden. Diese Insellösungen gilt es im individuellen Fall für IT-Analysen nutzungsfähig zu machen, in dem Zugänge bereitgestellt und Daten in verwertungsfähige Formate konvertiert werden. In den letzten Jahren war jedoch zu beobachten, dass der Trend hin zum Einsatz integrierter Systeme „aus einer Hand“ geht, insbesondere um die Komplexität zu reduzieren und die Betreuungsstruktur zu optimieren; Insellösungen werden seltener.

Neben den vorgenannten Informationsquellen liegen gerade in größeren Unternehmen eine Reihe von Erkenntnissen und Ergebnissen interner Analysen oder Untersuchungen vor. Hierzu gehören bspw. Verfahrensdokumentationen aus den operativen Unternehmensbereichen, die Dokumentation des unternehmensinternen Kontrollsystems, Prüfungen der internen Revision oder der Aufbau des Compliance Management Systems sowie Erläuterungen zum Risikomanagementsystem eines Unternehmens.

Des Weiteren können sogenannte schlecht strukturierte interne Informationsquellen einen wesentlichen Beitrag zum Ermittlungserfolg leisten. Zu dieser Kategorie zählen vorwiegend persönliche Aufzeichnungen, E-Mails, (Kunden-)Verträge, sonstige Korrespondenz, Befragungen, Kalkulationsgrundlagen, private Datenverzeichnisse oder auch Papierarchive. Immer mehr tragen auch versteckte elektronische Spuren wie bspw. lokale log-files und temporäre Verzeichnisse, Netzwerkprotokolle, IP-Aufzeichnungen, Kameraaufzeichnungen oder in der Cloud gespeicherte Daten zur Aufklärung oder Überführung von Nutzerverhalten bei.