Dies ist ein Premium-Artikel
Dieser Artikel wurde Ihnen von einem unserer Premium-Mitglieder zur Verfügung gestellt. Mit Compliance-Praxis-Mitgliedschaften sind umfangreiche Leistungen verbunden. Informationen dazu erhalten Sie auf www.compliance-praxis.at unterhalb des Login-Bereichs.

Compliance Praxis

0 Kommentare

Wirtschaftskriminalität: Vorbereitungen auf den Ernstfall

01.06.2018 | Von Patrick Göschl MA MA, DI Alexander Schneider BSc

Schlagworte : Economic Crime | IT-Struktur | Wirtschaftskriminalität | Forensik | Fraud | Compliance | Whistleblowing

Erschienen in Compliance Praxis 2018, 22 (Heft 2)

Wie der aktuellen Global Economic Crime & Fraud Survey 2018 von PwC zu entnehmen ist, waren rund 49 Prozent der Unternehmen in den letzten zwei Jahren von Wirtschaftskriminalität betroffen. Eine forensische Sonderuntersuchung ist oftmals das probate Mittel, um Verdachtsfälle zu klären. Deren Erfolg hängt auch davon ab, wie sich Unternehmen auf die Aufklärung organisatorisch und in Bezug auf die IT-Struktur vorbereiten, noch bevor allfällige Vorwürfe bekannt werden.

Warum sollten sich Unternehmen schon vor dem Bekanntwerden eines Fraud-Falls auf dessen Aufarbeitung vorbereiten? Beispiele aus der Praxis zeigen, dass Vorfälle, bei denen Whistleblower die Unternehmensleitung zB eines schweren Betruges bezichtigen, nicht selten monetäre Verluste oder Reputationsschäden nach sich ziehen, sobald diese Informationen ungewollt an die Öffentlichkeit gelangen bzw auch nur einem breiteren Kreis im Unternehmen bekannt werden. Im Wissen um derartige Konsequenzen ist es für Unternehmen oft schwierig, in solchen Situationen einen kühlen Kopf zu bewahren. Dabei sind gerade zu Beginn der Aufarbeitung des Fraud-Falles Entscheidungen zu treffen, die den Ablauf und den Ausgang der Untersuchung maßgeblich beeinflussen können. Besonders wichtig sind in diesem Zusammenhang eine angemessene Kommunikation mit den verantwortlichen Personen im Unternehmen, wie der Internen Revision, den Compliance-Verantwortlichen und der Geschäftsführung sowie den verdächtigen Personen, aber auch die Einhaltung bestimmter organisatorischer und IT-technischer Grundlagen. Im Ernstfall können selbst diese grundlegenden Schritte zu einem Problem werden, wenn die zugehörigen Abläufe nicht im Voraus geplant bzw in der Unternehmensstruktur adäquat verankert sind. Eine mangelhafte Vorbereitung kann dazu führen, dass die benötigten Informationen nicht zeitnah gesichert oder an die untersuchenden Parteien übergeben werden können bzw vorschnell Entscheidungen auf Grundlage von unvollständigen Informationen getroffen werden. Der Start der konkreten (Daten-) Analyse(n) kann sich dadurch über Wochen verzögern, wird kostenintensiv und führt im schlechtesten Fall dazu, dass der Vorfall nicht vollständig aufgeklärt werden kann und dem Unternehmen zusätzlicher Schaden entsteht. Im folgenden Artikel wollen wir Ihnen einige Grundlagen der Aufarbeitung von Fraud-Fällen näher bringen und Ihnen Tipps geben, wie Sie sich optimal vorbereiten können, um die bestmöglichen Ergebnisse zu erzielen.

Konkrete Vorbereitungshandlungen

In der Praxis zeigt sich, dass der Ausnahmezustand bei Bekanntwerden eines Fraud-Falles rasch in eine strukturierte Sonderuntersuchung übergeleitet werden kann, wenn bereits im Vorfeld verschiedene Vorbereitungshandlungen getroffen wurden. Nachfolgend listen wir beispielhaft einige konkrete Punkte auf, die im Vorfeld geklärt bzw erledigt werden können:

  • Erstellung einer Liste der zuständigen Ansprechpersonen (zB Interne Revision, Compliance, Risk Management, Rechtsabteilung, Geschäftsführung/Vorstand, Rechtsanwaltskanzlei, Berater für forensische Sonderuntersuchungen, Aufsichtsrat, Betriebsrat, Steuerberater und Wirtschaftsprüfer, etc) inkl konkreter Abgrenzung der Zuständigkeiten und Klärung der Erreichbarkeiten der jeweiligen Ansprechpersonen;
  • Schulung der zuständigen Ansprechpersonen für den Kontakt mit Ermittlungs- und Aufsichtsbehörden;
  • Klärung der Frage, wo im Unternehmen Unterlagen sowohl in Papierform als auch in elektronischer Form archiviert sind und ob laufend eine automatische Löschung bzw Vernichtung dieser Dokumente erfolgt, die unmittelbar gestoppt werden müsste, um den Verlust relevanter Unterlagen zu verhindern;
  • Klärung der Frage, wo im Unternehmen Regularien inkl historischer Versionen abgelegt sind;
  • Festlegung konkreter Handlungsoptionen zum Umgang mit verdächtigen Mitarbeitern;
  • Erstellung eines Aktionsplans:Umfang der einzubeziehenden Personen und Organisationseinheiten;
  • Klärung von Erreichbarkeiten außerhalb der Dienstzeiten, um eine schnelle Entscheidungsfähigkeit zu gewährleisten;
  • Zeitnahe Sicherstellung relevanter Unterlagen.
Whistleblowing

In vielen Fällen werden Verdächtigungen, die zu einer Sonderuntersuchung führen, von Hinweisgebern offen oder anonym vorgebracht. Hier stellt sich jeweils die Frage des richtigen Verhaltens sowie der richtigen Kommunikation mit dem Whistleblower.

Technische Aspekte

In Zeiten der Digitalisierung hat sich der Fokus von forensischen Untersuchungen bezüglich der Datenquellen gewandelt. Die digitalen Daten haben in ihrem Wert den physisch vorhandenen Informationen den Rang abgelaufen. Wertvolle digitale Informationen finden sich oft auf Laptops und Mobilgeräten der Beschuldigten sowie auch in deren E­Mail-System und auf den Fileservern. Die Kommunikation liefert in einem Großteil der Fälle den entscheidenden Anhaltspunkt für ein Fehlverhalten oder zeigt oftmals auch neue Ansatzmöglichkeiten für die weitere Untersuchung auf. Die Erfahrung zeigt, dass in den wenigsten Fällen nur eine Person im Unternehmen über die Vorgänge Bescheid wusste. Dolose Handlungen erfordern vielfach eine Absprache unter mehreren Personen im Unternehmen. Die Analyse der digitalen Kommunikationen im Zuge der Untersuchung ermöglicht es, alle beteiligten Personen zu identifizieren und den Sachverhalt aufzuklären. Die Wichtigkeit der Analyse der im Unternehmen vorhandenen digitalen Daten zeigt sich auch daraus, dass laut der Global Economic Crime & Fraud Survey 2018 mehr als die Hälfte (52 Prozent) der Malversationen von den eigenen Mitarbeitern ausgeübt werden.

Verantwortlichkeiten und Entscheidungsgewalt

Physische Dokumente, wie Ordner oder Notizzettel, sind leicht greifbar und auf den ersten Blick ersichtlich. Deren Relevanz für den vorliegenden Fall kann in der Regel einfach festgestellt werden. Daten aus Computersystemen und deren Relevanz sind für den Untersuchungsleiter bedeutend schwieriger zu erfassen. Die Daten finden sich in den verschiedensten elektronischen Systemen, von E-Mail über Gruppenlaufwerken bis hin zu ERP-Systemen. Damit gehen oft unterschiedliche Verantwortlichkeiten und personelle Zuständigkeiten einher. Meist gibt es einen generellen IT-Verantwortlichen, die zuständigen Personen finden sich allerdings in kleineren Teams, die zB für den Mailserver (unstrukturierte Daten) oder das ERP-System (strukturierte Daten) verantwortlich sind. Kommt es zu einer forensischen Untersuchung und werden die elektronischen und physischen Daten dringend benötigt, sind Ansprechpartner oftmals nicht sofort verfügbar, was einer zeitnahen Datensicherung hinderlich ist. Deshalb ist es wichtig, konkrete Zuständigkeiten bereits vorab zu definieren. Dies gilt nicht nur für die Datenbereitstellung, sondern auch für Verantwortlichkeiten und Zuständigkeiten zu Themen, wie arbeitsrechtliche Aspekte, Risikomanagement und Unternehmensfortführung. Die Verantwortlichkeiten sollten auch außerhalb der Bürozeiten geregelt sein, um im Anlassfall sofort handlungsfähig zu sein. Je schneller potenziell relevante Daten an die untersuchenden Experten ausgehändigt werden können, umso rascher kann der Sachverhalt geklärt werden.

Datenflut

Neben den Verantwortlichkeiten sind in Unternehmen oft auch die für Nachforschungen nutzbaren Datenquellen unbekannt. Wissen Sie, welche Daten in Ihrem Unternehmen für eine Untersuchung relevante Informationen enthalten können? Bei der Fülle an Daten, die täglich von den Mitarbeitern produziert werden, kann der Datenbestand schnell unüberschaubar werden. Die gängigsten Datenquellen sind die E-Mail-Kommunikation und Daten auf Gruppen- bzw Abteilungslaufwerken. Wertvolle Informationen finden sich allerdings auch auf den Endgeräten der Benutzer, wie Laptops und Smartphones. Durch Analysen der ERP-Daten können zudem Unregelmäßigkeiten im Buchungsverhalten erkannt werden. In Backups können selbst historische Daten gefunden werden, sollten die Vorwürfe bereits länger zurückliegen. Forensische Experten helfen Ihnen, die notwendigen Datenquellen zu identifizieren, sicherzustellen und auszuwerten.

Sicherstellung von Beweismitteln

Oftmals wird die Frage nach der rechtlichen Zulässigkeit der Sicherstellung von Daten bestimmter Personen oder Gruppen erst im Zuge der Datensicherung aufgeworfen. Die erstmalige Auseinandersetzung mit rechtlichen Aspekten der Datensicherung zu diesem Zeitpunkt führt meist zu Verzögerungen im gesamten Prozessablauf und im schlimmsten Fall entsteht dadurch für die Beschuldigten die Möglichkeit, Daten zu vernichten.

Um Daten für zukünftige Untersuchungen verwenden zu können, gilt der Grundsatz: Daten dürfen nicht verändert werden. Die Integrität der Daten, auch der Metadaten, muss gewährleistet werden können. Diese Metadaten sollen später gegebenenfalls Aufschluss über die Herkunft und die Erstellung der Dokumente geben. Eine Möglichkeit, Daten sicher zu verwahren, ist die Legal Hold Funktion in Exchange; diese Funktion dient der automatischen Aufbewahrung ausgewählter Postfächer im E-Mail-Server. Gelöschte Dokumente werden in einen für den Benutzer nicht sichtbaren Ordner verschoben. Sollten diese später doch verwertet werden müssen, können diese einfach wiederhergestellt und gelesen werden.

Privatnutzung von Unternehmenssystemen

Einige Unternehmen setzen auf BYOD, Bring your own Device. Ob und wie intensiv die Nutzung von Geräten für den privaten Gebrauch erlaubt ist, sollte in der Betriebsordnung der einzelnen Unternehmen geregelt sein. Für eine allenfalls durchzuführende eDiscovery (Review elektronischer Dokumente) ist dies insofern relevant, als diese je nach Sachverhalt auch Zugriff auf persönliche Daten erhält und diese auswerten darf. Sollten private Daten trotz Nutzungsverbot der firmeneigenen Devices für private Zwecke gefunden werden, dürfen nach einer rechtlichen Klärung des Einzelfalls auch private Dokumente auf deren Relevanz für den betreffenden Fall hin untersucht werden. Sofern die private Nutzung nicht untersagt ist, bedarf es einer weiteren Abklärung, ob private Dokumente in die forensische Untersuchung miteinbezogen werden dürfen. Eine Möglichkeit, diese Situation strukturiert zu klären, wäre einen definierten zentralen Speicherort zu wählen, an dem private Dokumente und Bilder abgelegt werden dürfen.

Vorteile für das Unternehmen

Die Vorteile einer Vorbereitung auf den Ernstfall ergeben sich für Unternehmen in mehreren Bereichen. Einerseits können durch eine strukturierte Planung insbesondere am Beginn einer Untersuchung sowohl interne als auch externe Ressourcen eingespart werden, andererseits kann dadurch rascher mit der eigentlichen Aufarbeitung des Fraud-Falles begonnen werden. Darüber hinaus wird durch eine gute Vorbereitung die zielgerichtete Aufarbeitung der Vorwürfe gefördert, was auf der einen Seite der Sicherung von Ansprüchen gegenüber natürlichen und juristischen Personen dienlich ist und auf der anderen Seite den Eindruck von Professionalität gegenüber Ermittlungs- und Aufsichtsbehörden sowie auch Gesellschaftern bzw Aktionären erweckt. Die professionelle und rasche interne Aufarbeitung von Vorfällen schafft somit auch eine bessere Basis für behördliche Anforderungen. Beispielsweise zeigen vergangene Fälle im Bereich von Kartellverstößen, dass die potenzielle Strafe erheblich reduziert werden kann, wenn das betroffene Unternehmen umfassend an der Aufarbeitung mitwirkt und durch eine eigene forensische Untersuchung wertvolle Informationen zur Aufklärung des Sachverhalts beiträgt.

Die Autoren

DI Alexander Schneider BSc

DI Alexander Schneider, BSc ist bei PwC Österreich im Bereich Forensic Services tätig. Er ist Mitarbeiter im Team Forensic Technology Solutions und betreut hier die Themen Digitale Forensik und eDiscovery, Cyber Forensics und Awareness. Vor seiner Tätigkeit bei PwC studierte er IT-Security und Information Security an der FH St. Pölten. Kontakt: alexander.schneider@pwc.com 

Foto: Patrick Göschl (c) PwC

Patrick Göschl MA MA

Patrick Göschl, MA MA, ist bei PwC Österreich im Bereich Forensic Services tätig und leitet Projekte bzgl der Prävention und Aufklärung von Wirtschaftskriminalität. Vor seiner Tätigkeit bei PwC sammelte er jahrelange Erfahrung in der Erstellung von Gerichtsgutachten bei einem namhaften österreichischen Gerichtssachverständigen in den Bereichen Buchhaltung, Unternehmensführung sowie der Aufarbeitung von Insolvenzfällen. Kontakt: patrick.goeschl@pwc.com

0 Kommentare RSS