Donnerstag, 12. März 2020

Basiswissen Compliance für die Geschäftsleitung: Betrug/Fraud

Sandra Leicht, Vorstand, FCH Gruppe AG 

 

Von Compliance über Geldwäsche bis hin zu Datenschutz, Betrugsprävention und Forensic Fraud – wie viel Fachwissen braucht die Geschäftsleitung? 

 

Im dritten Teil unserer Compliance-Reihe für die Geschäftsführung hatten wir notwendige Tätigkeiten im Bereich der Geldwäscheprävention beleuchtet und festgestellt, dass nach dem Geldwäschegesetz „Verpflichtete“ eben genau das sind: verpflichtet. Eng mit der Geldwäscheprävention ist die Betrugsprävention (Fraud oder auch Bekämpfung von Wirtschafts- und Unternehmenskriminalität) verbunden. 

 

Dabei lesen sich mögliche dolose Handlungen spannend wie ein Krimi – solange man nicht selbst betroffenes Unternehmen ist. Und einem Artikel der Welt (veröffentlicht am 05.07.2018) zufolge sind sechs von zehn deutschen Firmen von Betrug und Untreue betroffen. Wie stellen wir also fest, ob wir noch Zuschauer oder bereits Protagonisten sind? 

 

 

Welche Handlungen sind “dolos”? 

Dolose Handlung ist der Fachbegriff, der alle vorsätzlich (also mit Wissen und Wollen) durchgeführten Handlungen, die einem Unternehmen schaden, umfasst. 

Dabei ist „Wirtschaftskriminalität“ natürlich ein großes Wort für einen kleinen Mittelständler. Die bei mittelständischen Unternehmen am weitesten verbreiteten Delikte sind vermutlich Betrug und Untreue. 

In Frage kommen außerdem Diebstahl, Geldwäsche, Unterschlagung, Verletzung von Urheberrechten, Korruption, Verrat von Geschäftsgeheimnissen, kartellrechtliche Verstöße, Manipulationen des Jahresabschlusses und mehr. 

 

Wer begeht dolose Handlungen? 

Wir unterscheiden im Bereich der dolosen Handlungen zwischen internen und externen Tätern. Dabei können externe Täter Kooperationspartner, Kunden oder völlig Fremde sein. Intern sind es die Mitarbeiter. Den beiden Gruppen entsprechend müssen wir unser unternehmensinternes Vorgehen anpassen. 

 

Lassen Sie uns einige klassische Beispiele doloser Handlungen näher betrachten. 

 

Betrug durch Externe

Ein Dauerbrenner im Bereich der externen Betrugsmaschen ist der „Fake-President-Fall“, der sich nach wie vor großer Beliebtheit erfreut. 

Ihr Mitarbeiter bekommt von Ihnen als Geschäftsleitung eine Mail mit der Bitte, Geld zu überweisen. Wenn Sie diese Art der Mail aus früheren Zeiten noch kennen und belächeln, Vorsicht. Die Täter haben in ihren Recherchen wesentlich aufgerüstet. Der Mitarbeiter wird mit Namen angesprochen, es fließen teilweise korrekte persönliche Details (Frage nach dem Urlaub) ein. Außerdem kann mittlerweile Ihre Absenderadresse exakt kopiert werden. 

Vermeintlich Sie als Vorgesetzter bitten Ihren Mitarbeiter nun also um Vertraulichkeit und Stillschweigen und die entsprechende Überweisung auf ein ihm unbekanntes Konto. Sie ahnen es, tätigt ein Mitarbeiter die Überweisung, ist das Geld nicht mehr auffindbar. 

 

Eine weitere beliebte Methode doloser Handlungen Externer ist Phishing, also Cyberkriminalität. Dabei werden sensible Daten abgegriffen, z. B. Geschäftskreditkartendaten, um diese dann zum eigenen Nutzen weiterzuverwenden. Dieses Vorgehen sehen wir häufig, wenn Mitarbeiter sich im nicht-europäischen Ausland aufhalten und dort beispielsweise einen Wagen mit der Kreditkarte mieten. Die Kreditkartendaten werden dort in Sekunden abgefischt und weiterverwendet. 

 

Natürlich können auch Schäden durch dolose Handlungen entstehen, wenn Externe sich unbeaufsichtigt im Firmengebäude oder auf dem Firmengelände bewegen und sich so ggf. Zugriff auf Bargeld, IT oder Informationen beschaffen. 

 

BERATUNGSTIPP

Compliance-Coaching.

 

Wie schützen Sie Ihr Unternehmen? 

Zunächst indem Sie Ihre Mitarbeiter zu den Themen regelmäßig sensibilisieren. Wer die entsprechenden Fallkonstellationen kennt, reagiert sensibler auf ihm unbekannte Situationen. Außerdem schafft hier Vertrauen und Eigenverantwortung ebenfalls Sicherheit. Hinterfragen Mitarbeiter Anweisungen? 

Natürlich ist es mit Eigenverantwortung aber nicht getan. Haben Sie ausreichend Kontrollen implementiert um solche „Angriffe“ von außen abwehren zu können? Beispielsweise ein Vier-Augen-Freigabeprinzip bei höheren Überweisungsbeträgen? 

Außerdem sollten Sie sich technisch auf aktuellem Stand befinden, was beispielsweise die Firewall anbelangt. 

 

Tipp: Wenn Sie besonders sensible Daten im Unternehmen haben, lässt sich die Sicherheit von Server und Firewall durch externe Anbieter testen, die gezielt und sicher „Angriffe“ durchführen, um Lücken in der Sicherheit zu identifizieren. Achten Sie hier auf etablierte Anbieter, um nicht versehentlich sprichwörtlich den Bock zum Gärtner zu machen. 

Haben Sie ausreichende Zutrittsbeschränkungen? In Abhängigkeit der Branche ist Besuch an der Tagesordnung, sorgen Sie dennoch dafür, dass nicht jeder unbeachtet zu allen internen Bereichen Zutritt bekommen kann. 

 

Tipp: Bitten Sie vertrauenswürdige Dritte, sich Zutritt zu nicht öffentlichen Bereichen zu verschaffen. Häufig ist ein offensives Auftreten mit guter Kleidung dafür ausreichend und überrumpelt den einen oder anderen Mitarbeiter. Lassen Sie dem Testzutritt eine weitere Sensibilisierung folgen. 

 

Betrug durch Mitarbeiter 

Warum „betrügen“ unsere Mitarbeiter? Häufig werden Delikte aus einer Zwangslage heraus durchgeführt. Finanzielle Schwierigkeiten oder Suchtprobleme beispielsweise. Aber auch Leistungsdruck oder Unzufriedenheit können Mitarbeiter dazu bringen, dem Unternehmen bewusst Schaden oder sich bewusst einen Vorteil verschaffen zu wollen. 

Was der Mitarbeiter dazu aber vor allem braucht, ist eine Gelegenheit. In Präsenzveranstaltungen lassen wir an dieser Stelle gerne alle Mitarbeiter aufstehen. Dann dürfen sich alle Frauen wieder setzen (rein statistisch sind die Täter in diesen Fällen überwiegend männlich). Dann alle Kollegen unter 40 und zuletzt all die, die noch nicht über drei Jahre im Unternehmen sind. Wer jetzt noch steht ist erfahren, kennt sich im Unternehmen aus und hat häufig eine Vertrauensposition. Diese Kollegen wären also, sehr plakativ und rein hypothetisch betrachtet versteht sich, prädestiniert für interne dolose Handlungen. 

 

Ich gebe Ihnen ein Beispiel aus der Praxis. Eine für das Rechnungswesen zuständige Führungskraft zweigt über Jahre hinweg Geld auf ihr eigenes Konto ab. Die jahrelange Vertrauensbasis zum Wirtschaftsprüfer nutzt sie aus, um die Beträge zu verschleiern. Erst, als der Wirtschaftsprüfer wechselt, wird die Tat aufgedeckt. Der Schaden beläuft sich auf eine sechsstellige Summe. 

Eine zweite häufig identifizierte Personengruppe sind Azubis, die der Meinung sind, sie würden interne Strukturen ausreichend durchschauen, um sich einen persönlichen Vorteil zu verschaffen. In diesen Fällen werden die Delikte häufig frühzeitig aufgedeckt. 

 

Die dritte Personengruppe sind Mitarbeiter, die sich nicht direkt am Firmensitz und somit weniger unter zeitlicher und faktischer Kontrolle befinden, z. B. im Außendienst. 

Dazu ebenfalls ein Beispiel aus der Praxis. Der Außendienstmitarbeiter arbeitet unerkannt wöchentlich nur 35 statt 40 Stunden. Das sind rund 250 fehlende Stunden und überbezahlte Lohnkosten, aber auch entgangener Gewinn, weil er in dieser Zeit keine Kunden betreut hat. Natürlich kommt in diesem Fall auch noch eine gewisse Außenwirkung ins Spiel, Kunden werden ggf. nicht ausreichend oder qualitativ gut betreut. 

 

Eine personengruppenunabhängige und sehr häufige Art des internen Betrugs ist der Lohnfortzahlungsbetrug. Der Mitarbeiter – unabhängig von Position, Alter oder Geschlecht – täuscht vor, krank zu sein Er nutzt gezielt einzelne Tage ohne Notwendigkeit eines ärztlichen Attests, um beispielsweise das Wochenende zu verlängern. Oder lässt sich mit vorgetäuschten unklaren Symptomen krankschreiben. 

 

Auf welche Art und Weise Mitarbeiter das Unternehmen schädigen ist also so vielfältig wie die Unternehmen und ihre Mitarbeiter selbst. Was alle dolosen Handlungen aber gemeinsam haben, sind Gelegenheit und schwache Kontrollen. 

 

Wie schützen Sie Ihr Unternehmen? 

Wir müssen nicht alle Mitarbeiter unter Generalverdacht stellen. Behalten Sie aber trotzdem die möglichen Betrugsfälle im Blick. Denn leider deckt die meisten internen Fälle nach wie vor Kommissar Zufall auf. Und diese Situation kann, vor allem mit Blick auf Dauerdelikte, nicht befriedigend sein. 

Wenn wir uns die Fallbeispiele oben ansehen, hatten alle drei Mitarbeitergruppen zwei Dinge, Gelegenheit und mangelnde Kontrolle. Um die internen dolosen Handlungen zu vermeiden, gilt also: 

  • Vermeiden von Gelegenheiten 

Versuchen Sie Strukturen und Prozesse zu implementieren, die bereits vorab Verantwortungen teilen. Sorgen Sie dafür, dass Ihre Mitarbeiter jährlich zwei Wochen Urlaub am Stück machen, um Missstände durch die Stellvertreterregelung frühzeitig aufzudecken. 

  • Implementieren von Kontrollen 

Überprüfen Sie Ihre Prozesse auf anfällige Bereiche oder Abläufe und implementieren Sie Kontrollen und Vier-Augen-Prinzipien. Häufig ist es bereits hilfreich, wenn die Kollegen davon ausgehen, es würden regelmäßige Kontrollen stattfinden. 

 

Tipp: Vor allem jüngere Mitarbeiter neigen auch während der forcierten Krankheitsphase (wir sprechen hier nach wie vor nicht von tatsächlich kranken Kollegen) soziale Netzwerke mit Fotos ihrer Unternehmungen zu füllen. Ein Blick auf Facebook und ein Folgegespräch nach der Rückkehr kann hier Klarheit schaffen und kommende Fälle vermeiden. 

 

Wichtig ist, das Vorgehen sehr konkret auf Ihre individuelle Fraud-Anfälligkeit im Unternehmen anzupassen. 

Mögliches Vorgehen: 

- Erstellen Sie eine aussagefähige Liste, in welchen Bereichen Ihres Unternehmens welcher Fraud-Fall wahrscheinlich ist (beispielsweise Außendienstmitarbeiter, Lagern von Gütern, freier Zutritt zu Gebäuden,..). 

- Bewerten Sie die Folgen für Ihr Unternehmen (beispielsweise finanzielle Einbußen, Reputationsverlust,…). 

- Setzen Sie mit den Kontrollen bei den Risiken an, die Sie als am höchsten gewichtet haben. 

- Denken Sie bei strukturierten Kontrollen der Mitarbeiter daran, ggf. den Datenschutzbeauftragten (Kameraüberwachung,…) einzubinden. 

- Haben Sie einen Betriebsrat? Bitte auch in diesem Fall eine möglicherweise notwendige Einbindung beachten. 



 

PRAXISTIPPS

  • Achten Sie auf interne und externe Hinweise und Beschwerden. 
  • Denken Sie über die Möglichkeit eines Whistleblowing-Systems nach – in für Ihrem Unternehmen angemessenen Umfang. 
  • Sensibilisieren Sie die Kollegen regelmäßig und informieren Sie über die arbeitsrechtlichen und ggf. auch strafrechtlichen Konsequenzen. 
  • Wenn die Möglichkeit besteht, einen Mitarbeiter intern mit der Betrugsprävention zu betrauen, ziehen Sie das in Erwägung. 
  • Sollten Sie die Themen nicht selbst abdecken können, suchen Sie sich externe Hilfe – ein aufgedeckter Fall doloser Handlungen kann diese Kosten ggf. schon decken. 
  • Sollten Sie Verpflichteter aus dem Geldwäschegesetz sein, bietet es sich an, Geldwäsche- und Betrugsprävention zu kombinieren. 

Beitragsnummer: 6193

Hinterlassen Sie einen Kommentar

Kommentare:

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.