Navigation
Seiteninhalt

Risk Assessment aus forensischer Sicht

Unternehmenskrisen aufgrund von Fraud-Fällen können das Innerste eines Unternehmens erschüttern und den Fortbestand gefährden. Darüber hinaus können derartige Krisen auch zu einer permanenten Schädigung der Reputation und der Marke des Unternehmens führen. Durch eine Risikoanalyse, die einen ganzheitlichen und iterativen Ansatz verfolgt, können Bedrohungen im Hinblick auf Wirtschaftskriminalität identifiziert, bewertet und notwendige Gegenmaßnahmen abgeleitet werden.
Von Patrick Göschl MA MA, Mag. Louise-Marie Petrovic , Daniel Petsch BA
02. Dezember 2019 / Erschienen in Compliance Praxis 4/2019, S. 11

Wenn es um Betrug, Betrugsbekämpfung und Krisenmanagement geht, sprechen die Zahlen eine deutliche Sprache. Laut der PwC-Studie „Global Economic Crime and Fraud Survey 2018“1 gaben weltweit 49% der Unternehmen an, Opfer von Betrug und Wirtschaftskriminalität geworden zu sein. Dabei betrug der durchschnittliche Schaden in West-Europa je Wirtschaftskriminalitätsfall laut der ACFE Studie „Report to the Nations“2 rund 180.000 Euro. Darüber hinaus erwarten laut der PwC-CEO-Umfrage 20193 drei von vier CEOs mindestens eine Krise innerhalb der nächsten drei Jahre.

Können sich Unternehmen auf das Unvorhersehbare vorbereiten?

Um sich als Unternehmen auf das Unvorhersehbare möglichst gut vorzubereiten, ist adäquates Risk Assessment (zu Deutsch Risikoanalyse) ein wesentlicher Bestandteil der Vorbereitungen. Im Hinblick auf Fraud ist Risk Assessment als systematische Analyse zur Bewertung von Risiken anhand von Kriterien wie Eintrittswahrscheinlichkeit und potenzieller Schadenshöhe zu verstehen. Dadurch können negative Auswirkungen minimiert oder sogar im Vorhinein verhindert werden. Welche Faktoren dabei für Unternehmen relevant sind und welche Maßnahmen Sie setzen können, steht im Fokus dieses Artikels.

In einem Risk-Assessment-Prozess können Risiken nach externen und internen Faktoren eingestuft werden. Unternehmen können Opfer von externen Betrügern wie Hackern oder Opfer von internen Personen wie den eigenen Mitarbeitern werden. Die Forensik spricht im Zusammenhang mit Risk Assessment von Betrugsprävention und der Bekämpfung von Wirtschaftskriminalität. Der Sammelbegriff Fraud steht dabei für verschiedene Arten von Wirtschaftskriminalität. Fraud umfasst ein sehr breites Deliktspektrum, dazu zählen ua Computerkriminalität, Diebstahl geistigen Eigentums, Insiderdelikte, Bilanzfälschung, Korruption, Untreue, Geldwäsche und Spesenbetrug. Konkret handelt es sich um Taten, die innerhalb eines Unternehmens entweder im Zusammenhang mit der Überschreitung oder der Vortäuschung von Befugnissen und dem Ausnützen von gewonnenem Know-how oder durch Personen in Führungspositionen, die interne Kontrollmechanismen umgehen können, begangen werden.

Bewusstsein schaffen – Wirtschaftskriminalität verstehen

Bei einem Risk Assessment ist es aus forensischer Sicht notwendig, sich zunächst mit den Hinter­gründen von Fraud-Vorfällen auseinanderzusetzen. Um mehr über die Hintergründe und die Motive zu erfahren, hat sich als Erklärungsansatz das sogenannte „Fraud Triangle“ oder auch „Betrugs­dreieck“ durchgesetzt. Donald Ray Cressey, ein US-amerikanischer Soziologe und Kriminologe, hat hierfür drei generische Merkmale, die in Verbindung mit Wirtschaftskriminalität zum Tragen kommen, identifiziert. In diesem Modell gilt folgende Annahme: Für eine fraudulente Handlung ist die erste Voraussetzung, dass eine Person eine Motivation (bspw Schulden) hat, die sie zu einer dolosen Handlung verleitet. Zusätzlich muss die Gelegenheit zur Begehung der Tat gegeben sein (bspw nicht ausreichende Kontrollen). Das dritte Merkmal befasst sich mit der inneren Rechtfertigung (bspw „ich tue das nur einmal“) wodurch individuelle Hemmschwellen gesenkt werden können.

Abbildung 1: Fraud Triangle, © PwC Österreich GmbH
Abbildung 1: Fraud Triangle

Das nachfolgende Beispiel dient zur Visualisierung der Anwendungsmöglichkeiten des Betrugsdrei­ecks anhand eines fiktiven Falls. Ein langjähriger Mitarbeiter der Buchhaltung, der Spielschulden hat, wird bei einer Beförderung übergangen. Seiner Meinung nach steht ihm jedoch die Beförderung und die daraus resultierende Gehaltserhöhung zu. Durch diese persönliche Einstellung beginnt der Buchhalter seine innere Rechtfertigung für dolose Handlungen aufzubauen. Als langjährigem Mitarbeiter in der Buchhaltung sind ihm Lücken im internen Kontrollsystem („IKS“) bekannt, und er beginnt gefälschte Reisekostenabrechnungen zu verbuchen, die ihm auf sein privates Konto über­wiesen werden. Durch die Lücken im IKS bekommt er die Gelegenheit, dolose Handlungen durch­zuführen und das Unternehmen zu schädigen. Als Motivation für sein Vorgehen dient die Begleichung seiner Spielschulden, da er sonst keine andere Möglichkeit hat, diese zu bezahlen.

Weitere Ursachen von wirtschaftskriminellem Verhalten können zum Beispiel mangelndes Unrechtsbewusstsein, Erfolgsdruck, Zeitdruck, fehlende Trainings, finanzieller Druck, fehlende Leit- bzw Vorbilder im Management, keine, zu wenige oder mangelhafte Kontrollen, fehlende Sanktionierung von Fehlverhalten und mangelhafte oder gar fehlende Leitlinien sein.

Ein adäquates Risk Assessment kann in Unternehmen besonders den Faktor „Gelegenheit“ des Betrugsdreiecks adressieren. Durch die Auseinandersetzung mit potenziellen Schwachstellen, die es ermöglichen, dem Unternehmen Schaden zuzufügen, können dolose Handlungen bereits im Vorhinein verhindert bzw deren Auftreten minimiert werden. Auf die Faktoren „Motivation“ und „Rechtfertigung“ können Unternehmen schwerer Einfluss nehmen, da sie die persönliche Einstellung von Mitarbeitern betreffen und dem Unternehmen in den meisten Fällen nicht bekannt sind.

Fraud kann viele verschiedene Formen annehmen und wird nicht immer sofort erkannt. Ein gutes Risk Assessment kann jedoch Unternehmen dabei helfen, Risiken frühzeitig zu erkennen, diese richtig einzustufen und ihnen entgegenzuwirken.

Konkrete Analysen im Risk Assessment

Welche konkreten Risikofelder spielen im Risk Assessment eine Rolle? Je nach Unternehmen gibt es verschiedene Bereiche, die je nach Risiko Auswirkungen auf den Risk-Assessment-Prozess haben. Die nachfolgende Beschreibung gibt Ihnen eine Übersicht, wie ein gesamtheitlicher Risk-Assessment-Prozess durchgeführt werden kann. Der Risk-Assessment-Prozess (siehe Abbildung 2) ist iterativ und sollte in auf das Unternehmen abgestimmten Intervallen wiederholt bzw aktualisiert werden, da sich unternehmensspezifische Risiken schnell ändern können.

Abbildung 2: Iterative Risk Assessment Phasen, © PwC Österreich GmbH
Abbildung 2: Iterative Risk Assessment Phasen

In der ersten Phase müssen potenzielle Risiken für Fraud identifiziert werden. Diese sind je nach Unternehmen in unterschiedlichen Gebieten zu finden. Die nachfolgende Auflistung zeigt Ihnen exemplarisch einige Beispiele, die aus unserer Erfahrung wichtige Bereiche im Identifikationsprozess des Risk Assessment sind:

  • Freigabegrenzen: Welche Freigabegrenzen sind im Unternehmen implementiert? Können diese Grenzen „ausgehebelt“ bzw auf eine andere Art und Weise umgangen werden?

  • Interne Kontrollsysteme: Welche internen Kontrollsysteme kommen im Unternehmen zum Einsatz? Reichen die bereits implementierten Kontrollsysteme aus, oder müssen diese an neue Geschäftsprozesse angepasst werden? Wie hoch ist das Gesamtrisiko für das Worst-Case-Szenario, wenn ein internes Kontrollsystem versagt?

  • Provisionen: Gibt es Anreizsysteme für Mitarbeiter im Unternehmen? Von welchen Faktoren sind diese abhängig und wie sind die Faktoren gegen Manipulation gesichert?

  • Cyber-Risiken und Social Engineering: Wie gut ist das Unternehmen gegen Angriffe aus dem Cyberbereich geschützt? Gibt es Maßnahmen gegen einen sogenannten Fake President Fraud4 und wie effektiv sind diese umgesetzt?

Nach der Identifikation der potenziellen Risiken werden in einer zweiten Phase die Wahrscheinlichkeiten eingestuft. Als Empfehlung kann hier ein dreistufiger Ansatz angewendet werden. Risiken können ihrer Eintrittswahrscheinlichkeit nach als unwahrscheinlich, wahrscheinlich und sehr wahrscheinlich einstuft werden. Bei dieser Einstufung können Erfahrungswerte aus bisherigen Risk Assessments einfließen. Zudem können bereits implementierte Maßnahmen in der Einstufung berücksichtigt werden, womit die Eintrittswahrscheinlichkeit reduziert werden kann.

In der dritten Phase des Risk-Assessment-Prozesses werden die identifizierten Bedrohungen nach deren Vertretbarkeit eingestuft. Ein vertretbares Risiko ist, wenn das Risiko keinen wesentlichen monetären Schaden oder andere Schäden5 im Unternehmen im Eintrittsfall verursacht. Eine mögliche Skala der Einstufung wäre, Risiken und deren Schadenspotenzial nach geringfügig – mäßig – wesentlich einzustufen. Es obliegt jedem Unternehmen, diese Einstufung an die eigenen Prozesse und Gegebenheiten anzupassen. Die nachfolgende Grafik stellt exemplarisch eine Risk-Assessment-Matrix inklusive beispielhafter Risikofelder dar. Hier werden Risiken in die drei zuvor beschriebenen Kategorien der Eintrittswahrscheinlichkeit und Vertretbarkeit eingeteilt und dargestellt.

Abbildung 3: Risk Assessment Matrix inkl exemplarischer Risikofelder, © PwC Österreich GmbH
Abbildung 3: Risk Assessment Matrix inkl exemplarischer Risikofelder

Die aus dem Risk Assessment gewonnenen Erkenntnisse sollten in konkrete Maßnahmen umgesetzt werden. Dabei ist es ratsam, zunächst aus jenen Risiken, die eine hohe Eintrittswahrscheinlichkeit haben und zudem eine hohe Auswirkung haben können, Verbesserungsmaßnahmen abzuleiten. Der Risk-Assessment-Prozess ist ein iterativer Prozess, der in regelmäßigen Abständen gesamtheitlich durchgeführt werden sollte. Interne Kontrollsysteme sind langjährigen Mitarbeitern gut bekannt und können von diesen somit leichter umgangen werden. Eine kontinuierliche Auseinandersetzung mit bestehenden Kontrollen und Prozessen im Rahmen des Risk Assessment kann die Risiken im Bereich Fraud somit minimieren.

Seien Sie den anderen einen Schritt voraus

Laut der Global Economic Crime and Fraud Survey 20186 gehen viele Unternehmen immer noch mit einem reaktiven, defensiven Ansatz gegen Betrug vor:

  • Nur 54% der Unternehmen gaben an, dass sie in den letzten zwei Jahren eine allgemeine Betrugs- oder Wirtschaftskriminalitätsrisikobewertung durchgeführt haben.

  • Weniger als die Hälfte gab an, eine Risikobewertung hinsichtlich Cyberkriminalität durchgeführt zu haben.

  • Weniger als ein Drittel sagte, dass ihr Unternehmen Risikobewertungen in den kritischen Bereichen Antikorruption, Anti-Geldwäsche oder Sanktionen und Exportkontrollen durchführt.

  • Jede/r zehnte Befragte führte in den letzten zwei Jahren überhaupt keine Risikobewertungen durch.

Je besser ein Unternehmen für den Umgang mit solchen Ereignissen gewappnet ist, desto geringer ist die Wahrscheinlichkeit, dass dieses Unternehmen Opfer einer weitreichenden Krise wird. Spezielle Business-Impact-Analysen bieten die Chance, potenzielle Risiken bzw Bedrohungen zu analysieren, professionell zu bewerten und erforderliche Maßnahmen abzuleiten. Durch Tests, Simulationen und Trainings sollten bereits bestehende Risk-Assessment-Systeme evaluiert und beurteilt werden. Auf Wirtschaftskriminalität spezialisierte forensische Expertinnen und Experten können dabei helfen, Notfallpläne zu erarbeiten, Abläufe zu trainieren und diese im Unternehmen zu kommunizieren.

Risk Assessment ist kein einmaliger Prozess. Die kontinuierliche Auseinandersetzung mit Risiken hilft Ihrem Unternehmen, Bewusstsein für potenzielle Fraud-Fälle zu schaffen und kann diese bei richtiger Identifizierung frühzeitig verhindern oder mögliche Schäden minimieren. 

Fußnoten

  1. PwC (2018) Global Economic Crime & Fraud Survey, www.pwc.com/crimesurvey.   ^
  2. ACFE (2018) Report to the Nations, www.acfe.com/report-to-the-nations/2018/.   ^
  3. PwC (2019) 22nd Annual Global CEO Survey, www.pwc.com/gx/en/ceo-agenda/ceosurvey/2019/at.   ^
  4. Beim „Fake President Fraud“ geben sich Betrügerinnen und Betrüger als Mitglied der Chefetage aus und versuchen so gefälschte Zahlungen anzuweisen.   ^
  5. Wie zB Reputationsschäden.   ^
  6. Siehe FN 1.   ^

Autoren

681_Goeschl_Webpage.jpg

Patrick Göschl MA MA

Patrick Göschl, MA MA ist Senior Manager im Bereich Forensics bei PwC und verfügt über umfangreiche Erfahrung in der Durchführung von forensischen Sonderuntersuchungen sowie in der Implementierung ...

Louise-Marie Petrovic.jpeg

Mag. Louise-Marie Petrovic

Louise-Marie Petrovic ist eine auf Straf- und Kriminalwissenschaften spezialisierte Juristin, zertifizierter Compliance Officer und zertifizierte Risikomanagerin. Aktuell ist sie beim Bundesamt zur...

1595952573885_Petsch-Daniel_pwc_web.jpg

Daniel Petsch BA

Daniel Petsch, BA ist bei PwC Österreich als Senior Associate im Bereich Forensic Services tätig. Er führte mehrere forensische Sonderuntersuchungen und Compliance Reviews im internationalen Umfeld...