Kann Prävention Fraud verhindern? Eine Analyse der eingesetzten Methoden

Textprobe: Kapitel 3.1.3, Internal Control Management: Der dritte Baustein eines Anti-Fraud-Managementsystems ist das Internal Control Management. In der anglo-amerikanischen Literatur werden sämtliche Überwachungs-aktivitäten, die unternehmensintern stattfinden, als Internal Control bezeichnet. Das populärste und am weitesten anerkannte Rahmenwerk zur Umsetzung einer Internal Control findet sich in COSO I, Internal Control - Integrated Framework, vom Committee of Sponsoring Organizations of the Threadway Commission. Demnach definiert sich Internal Control als ein Prozess, der vom Aufsichtsrat, dem Management und anderen Mitarbeitern durchgeführt wird. Dieser wurde entwickelt, um eine angemessene Sicherheit hinsichtlich der Erreichung der Unternehmensziele zu gewährleisten, ferner um effektive und effiziente Abläufe der Unternehmensprozesse zu realisieren sowie die Verlässlichkeit der Finanzberichterstattung und die Einhaltung der geltenden Gesetze und Vorschriften zu garantieren. In Deutschland hat sich für Internal Control immer mehr die Bezeichnung Internes Kontrollsystem (IKS) etabliert. Dies ist jedoch nicht ganz korrekt, da neben dem Internen Kontrollsystem, welches prozessintegriert in Unternehmensabläufen eingesetzt wird, auch noch die Interne Revision als prozessunabhängiges Instrument zur Internal Control gezählt werden muss. Zur Rolle der Internen Revision wird auf Kapitel 4.1 verwiesen. Hier soll der Fokus auf dem Internen Kontrollsystems liegen. Die Wirksamkeit eines IKS kann durch die Beachtung von grundlegenden Kontrollprinzipien ermöglicht werden. Häufig lässt sich Fraud auf elementare Prozessschwächen in den Unternehmensabläufen zurückführen. Durch eine Funktionstrennung in den Aufgaben einzelner Mitarbeiter wird eine gute Kontrolle durch einen oder mehrere weitere Mitarbeiter gewährleistet (z.B. Trennung im Bereich des Einkaufs von der Auftragserteilung an Lieferanten und der Zahlung der jeweiligen Lieferantenrechnung). Es darf nicht sein, dass ein Mitarbeiter einen Geschäftsvorgang von Anfang bis zum Ende, ohne Einwirkung durch mindestens einen weiteren Mitarbeiter, erledigen kann. 'Anweisende, ausführende und überwachende Aufgaben sind zu trennen.' Durch das sog. Vier-Augen-Prinzip wird gewährleistet, dass mindestens zwei Mitarbeiter Einblick in eine Aufgabe erhalten. Dadurch kann zwar nicht vermieden werden, dass Fraud gemeinschaftlich begangen werden kann; auf Dauer lassen sich Delikte aber schwerer verheimlichen. Durch Job-Rotation kann ein dauerhaftes Ausnutzen von Schwächen bzw. Lücken des IKS verhindert werden. Oftmals sind langjährige Führungskräfte oder Mitarbeiter sehr gut über diese Schwächen und Lücken des IKS informiert und können diese leicht missbrauchen. Nicht selten besitzen Mitarbeiter Berechtigungen für Bereiche, in denen sie nicht zwingend eine Berechtigung brauchen. Solche Überberechtigungen sollten vermieden werden. Außerdem ist die Dokumentation aller unternehmerischen Transaktionen zu gewährleisten. Täter suchen gezielt Bereiche ohne Dokumentation aus und können so leicht fraudulente Handlungen ausführen. Um die optimale Kontrollintensität im Unternehmen herauszufinden, sollte eine Kosten-Nutzen-Überlegung zu Grunde gelegt werden. Nach Gerhard Schewe kann grundlegend davon ausgegangen werden, dass der Kontrollertrag mit zunehmender Kontrollintensität nur mit abnehmenden Zuwachsraten steigen wird. Der Kontrollaufwand wird aber gleichzeitig überproportional zunehmen. Das Interne Kontrollsystem dient vorwiegend als Instrument für die Unternehmens-leitung. Dadurch wird die Unternehmensleitung aber selbst in der Regel nicht durch die Kontrollen des IKS erfasst oder kann diese gezielt umgehen. Dies wird als Management Override bezeichnet. Es stellt die 'Achillesverse' des IKS dar, da hierbei jegliche Kontrolle über die Führungsebene verloren geht. 'Gegenüber krimineller Energie von Top Managern ist jedes IKS machtlos; die bewusste Umgehung von Kontrollen durch Anweisung qua hierarchischer Position ist durch kein Kontrollsystem zu verhindern.' Zusammenfassend lässt sich festhalten, dass ein Internal Control Management die Gelegenheit zu einer fraudulenten Handlung wirkungsvoll einschränken kann. Um Albrechts Fraud-Scale aufzugreifen, kann man festhalten, dass je besser die Funktionalität des Internen Kontrollsystems ausgeprägt ist, desto geringer die Gelegenheit für den Täter besteht, Fraud zu begehen. Das Fraud-Risiko im Fraud-Scale sinkt also. Dieser Ansatz lässt sich genauso auf Cresseys Fraud-Triangle anwenden.