"Wer beklaut wird, ist selber schuld!“ Das sage nicht ich, sondern Stephan Brannys, der in den 90er-Jahren seinem Arbeitgeber Hardware im Wert von ca. 31 Mio. EUR stahl. Das Spannende an den weiter zurückliegenden Fällen ist häufig, dass die Täter nach ihren Strafen etwas offener kommunizieren und somit Tathergang und Motivation verständlicher werden. Diese Gelegenheit hatte ich beispielsweise, als Herr Brannys auf einer Forensik Weiterbildung über sein Vorgehen und die Umstände sprach.
Für Firmen stellt sich jedoch die Frage,wie sie Begünstigungen von systematischen Entwendungen früher entdecken und frühzeitig abstellen können oder wie sie Unterschlagungen losgelöst von Stichtagsinventuren detektieren können.
Laut einer aktuellen Fraud-Studie der Association of Certified Fraud Examiners (ACFE) liegt die durchschnittliche Dauer der Detektion von Betrugsfällen zwischen 12 und 18 Monaten. Auch bei den größeren und öffentlich bekannten Entwendungen dauerte es einige Zeit, bevor sie festgestellt wurden. In Anbetracht der aktuellen wirtschaftlichen Lage in Folge von Pandemie, Krieg und Lieferkettenproblemen stellt sich die Frage, welchen Einfluss dies auf die Mitarbeiterkriminalität haben wird und wie bereits bestehende und bekannte Möglichkeiten nun verstärkt oder erstmalig genutzt werden.
Sind Unternehmen selbst schuld, wenn sie sich beklauen lassen?
Das ACFE bezieht sich in der Studie auf alle Betrugsarten. Darunter fallen auch Unterschlagungen von Vermögenswerten, unterteilt einerseits in liquide Mittel und andererseits in das Inventar und alle anderen Vermögenswerte. Solche Unterschlagungen sind keine Seltenheit, so erfolgte ein Betrug mit Einkaufsgutscheinen im Wert von 1,6 Millionen Euro beim Messgerätehersteller Testo zwischen 2010 und 2015 , eine Vielzahl von unberechtigten Bargeldabhebungen erfolgten in den 1980er Jahren bei der Metro AG in Höhe von umgerechnet rund 18 Millionen Euro und bei Hewlett-Packard (HP) durch Entwendung von Serverbauteilen im Wert von umgerechnet rund 31 Millionen Euro.
Das Spannende an den weiter zurückliegenden Fällen ist häufig, dass die Täter nach ihren Strafen etwas offener kommunizieren und somit Tathergang und Motivation noch verständlicher werden. Daraus lassen sich bessere Prä-ventionsmöglichkeiten ableiten. Zur Motivation berichtet Stephan Brannys über seinen täglichen 25-kg-Diebstahl bei HP: „Die Unternehmen sind selbst schuld, wenn sie sich beklauen lassen. Ich habe das damals gemacht, weil es möglich war. Aus keinem anderen Grund.“ Günter Schotte-Natscheff hatte dagegen Meinungsverschiedenheiten zur Sicherheit des Metro Zahlungssystems und beschwerte sich regelmäßig über seinen Vorgesetzten: „(…) der hat keine Ahnung, dem möchte ich gerne einen unter die Nase jubeln“. Kurz darauf startete er den Beweis beziehungsweise den Betrug.
Werden die obigen Aussagen im Fraud Triangle eingeordnet, so ist zu erkennen, dass die Gelegenheit und die eigene Rechtfertigung näher beisammen liegen als bei anderen Betrugsfällen. Wird die aktuelle Wirtschaftslage zusätzlich herangezogen, so ist anzunehmen, dass der Anreiz innerhalb der Fraud-Triangle-Bedingung aufgrund der Pandemie, der aktuellen Lieferkettenproblematik und der Folgen des Ukraine-Kriegs deutlich gestiegen ist.
Nach meiner Ansicht stellt sich die Schuldfrage im engen Sinne für die Unternehmen nicht. Allerdings könnte es sein, dass bei unterschiedlichen Betrugs- und Schadensfällen geprüft wird, ob das Interne Kontrollsystem (IKS) angemessen war, die Risikoeinschätzung korrekt erfolgte und die daraus abgeleiteten Kontrollen zielgerichtet waren. Je nach Prüfungsergebnis könnte dies dazu führen, dass sich eine Mithaftung für die Geschäftsführung oder das Management ergibt. Deshalb empfiehlt es sich, die betrieblichen Geschäftsprozesse und deren Daten auf systematische Entwendungsmöglichkeiten zu prüfen und bei den Risiko-Workshops gezielt auch Entwendungen anzusprechen.
Ablauf von Entwendungen
Werden die verschiedenen Betrugsszenarien zur Unterschlagung von Vermögenswerten verallgemeinert betrachtet, so lassen sich im Wesentlichen vier Bestandteile identifizieren: Aneignung, Vertuschung bzw. Verschleierung, Verflüssigung der Beute und Verwendung der Beute. Diese Ablauffolge orientiert sich dabei am Vorgehen bei physischen Gütern. Handelt es sich um eine Entwendung von liquiden Mitteln, so hat die Praxis gezeigt, dass die Vertuschungshandlungen bereits vor der Aneignung beginnen können und eine Verflüssigung nicht erfolgen muss.
Wird die Entwendung von liquiden Mitteln mit der Entwendung von physischen Gütern verglichen, so liegt der Vorteil bei den liquiden Mitteln darin, dass die Beute nicht veräußert werden muss. Der Nachteil bei den liquiden Mitteln (im Vergleich zu den physischen Gütern) liegt darin, dass der Zugang zu den Geschäftsprozessen und vor allem zur Finanzbuchhaltung verhältnismäßig wenigen Mitarbeitern gegeben und somit nur wenigen Personen „vorbehalten“ ist. Dagegen kann sich die Entwendung von physischen Gütern einer breiten Allgemeinheit „erfreuen“. Aus diesem Grund ergeben sich für unterschiedliche Szenarien auch unterschiedliche Prüf- und Kontrollmöglichkeiten bzw. -herausforderungen.
Die Entwendung von Finanzmittel
Bei der Entwendung von Finanzmitteln gibt es verschiedene Möglichkeiten, wovon einige Beispiele exemplarisch im Folgenden veranschaulicht werden. Dabei wird erkennbar, dass die Unterschlagung von liquiden Mitteln nicht nur durch Mitarbeiter in der Buchhaltung vorgenommen werden können.
Betrügerische Bestellvorgänge mit fiktiven Lieferanten werden häufig dazu verwendet, um größere Mengen an liquiden Mitteln aus einem Unternehmen zu schaffen. Dieses Geld wird im Anschluss entweder für private Zwecke oder weitere Betrugsmuster verwendet, etwa zur Bestechung. Die Haupttätigkeit liegt hierbei bei der Verschleierung des fiktiven Lieferanten und der Vortäuschung eines reellen Geschäftsvorgangs. Eine Spezialform der Vertuschung ist hierbei die (temporäre) Manipulation der Bankdaten von aktuellen oder ehemaligen Lieferanten, anstatt eine fiktive Neuanlage des Lieferanten zu erwirken. Je nach Täterprofil können die Beträge auch unter einer bestimmten Grenze bleiben, sodass erforderliche Freigabeprozesse umgangen werden können. Werden solche Vorgänge nicht detektiert, so wird die Anzahl der Kleinvorgänge die Höhe des Schadens bestimmen. Üblicherweise wird bei solchen betrügerischen Geschäftsvorgängen versucht, diese wie die reellen Vorgänge abzuwickeln, um in der Masse an Vorgängen zu verschwinden.
Um solche verschleierten Vorgänge zu entdecken, empfiehlt es sich die Bankstammdaten der Lieferanten und das Bestellverhalten näher zu betrachten. Prüfen Sie in einem ersten Schritt, ob es bei den Bankstammdaten Veränderungen von einer ursprünglichen Bankverbindung auf eine neue Bankverbindung gibt, welche kurz darauf wieder zurück auf die Ursprüngliche geändert wird. Identifizieren Sie so ein Änderungsmuster, dann prüfen Sie in einem zweiten Schritt die Transaktionen, welche zu dem Zeitpunkt getätigt wurden, als die veränderte Bankverbindung eingestellt war.
Eine weitere Möglichkeit zur Identifikation von verschleierter Lieferantennutzung besteht, indem Sie einfache Bankstammdatenveränderungen von X auf Y suchen. Identifizieren Sie so ein Änderungsmuster, wovon wir erwartungsgemäß häufig ausgehen, dann vergleichen Sie das Bestellverhalten vor und nach diesen Veränderungen. Prüfen Sie, ob die gleichen Materialien, Produkte, Dienstleistungen geliefert werden, ob sich Volumen und Häufigkeiten ähneln, ob die Lieferungen an die gleichen Lieferorte gesendet werden oder ob die beauftragenden Geschäftseinheiten bzw. Abteilungen die gleichen sind.
Möchten Sie fiktive Lieferanten identifizieren, so eignet sich eine Prüfung von Lieferanten, die lediglich von einer oder wenigen Kostenstellen beauftragt werden und dabei keine Waren liefern, sondern Dienstleistungen erbringen. Gehen Sie bei Ihrer Prüfung so vor, dass Sie Bestellungen ausschließen, für welche Sie Warenlieferungen technisch identifizieren können und in Realität prüfen könnten. Suchen Sie bitte nicht ausschließlich nach bestimmten Mengeneinheiten wie beispielsweise Dienstleistungen, da Sie ansonsten relevante Mengeneinheiten auslassen könnten. Für die übrig gebliebenen Bestellungen prüfen Sie anschließend, ob die dahintersteckenden Lieferanten für eine oder wenige Geschäftseinheiten bzw. Abteilungen geliefert haben. Liegen solche Lieferanten vor, so ist empfehlenswert zum einen die Echtheit und Validität des Lieferanten zu prüfen. Bei Bestätigung der Echtheit so empfiehlt sich zum anderen die hinterlegte Bankverbindung sowie min. einen ausgewählten Vorgang exemplarisch von der Buchhaltung des Lieferanten bestätigen zu lassen.
Während in dem vorherigen Beispiel die Entwendung üblicherweise über die Bestellprozesse abgebildet wird, besteht zusätzlich noch die Möglichkeit, abseits der Prozesse eine manuelle Auszahlung in der Finanzbuchhaltung anzulegen und als Gegenbuchung eine häufig verwendete Aufwandsart zur Vertuschung zu verwenden. Dabei handelt es sich um eine hypothetische Möglichkeit, denn solche Vorgänge werden üblicherweise vom IKS, von der Internen Revision und vom Jahresabschlussprüfer validiert und hinterfragt.
Möchten Sie solche Vorgänge identifizieren, so können Sie zum einen über die Protokollierung der verwendeten Programme einsteigen, indem Sie die Zahlungen identifizieren, welche Ihren Ursprung nicht in den üblichen Bestell- bzw. Bezahlprozessen haben. Solche Identifikationen können Sie auf den Daten der Zahlläufe durchführen, aber auch der Finanzbuchhaltung. Zum anderen haben Sie die Möglichkeit eine Gegenkontenanalyse auf den Daten der Finanzbuchhaltung durchzuführen. Erwartungsgemäß sollten Sie dabei als Gegenkonten der Bankkonten solche Sachkonten identifizieren, welche von den ERP-Systemen verwaltet werden und nicht von natürlichen Personen bebucht werden können. Fallen Ihnen weitere Sachkonten auf, so sollten Sie diesen Vorgängen nachgehen und deren Ursprung prüfen.
Eine weitere Möglichkeit zur Entwendung von liquiden Mitteln besteht im Vertriebsprozess durch den Betrüger-in-der-Mitte-Angriff (englisch „man in the middle schema“, kurz: skimming), indem Gelder, die dem Unternehmen zustehen, zu Teilen abgeleitet werden. Hierzu kann ein Vertriebsmitarbeiter über eine zwischengeschaltete Firma einen Teil des Verkaufspreises zum einen direkt abzweigen. Zum anderen besteht die Möglichkeit, über die Bündelung von mehreren Verkäufen eine volumenbasierte Bonusgutschrift am Jahresende zu erhalten.
Möchten Sie solche Vorgänge identifizieren, so können Sie beispielsweise die Kunden mit Streckengeschäften auswählen, bei denen Rechnungs- und Lieferanschrift sich wesentlich unterscheiden. Liegen solche Kunden vor, so prüfen Sie zum einen die Echtheit und Validität des Kunden. Bei Bestätigung der Echtheit sollten Sie zum anderen einen ausgewählten Vorgang exemplarisch von der Buchhaltung des Kunden bestätigen lassen.
Abschließend lässt sich verallgemeinert sagen, dass in Abhängigkeit von der gewählten Form der Entwendung eine buchhalterische Begleitung und Verbuchung des Vorgangs häufig sehr eng mit dem Szenario der Entwendung verknüpft ist. Im Folgenden wird die Entwendung von physischen Gütern vorgestellt. Dabei wird zu sehen sein, dass Aneignung und buchhalterische beziehungsweise IT-systemseitige Verschleierung zwei voneinander getrennte Tatvorgänge sind.
Die Entwendung von physischen Gütern
Anders als bei der Entwendung von Finanzmitteln können physische Güter nicht überwiesen werden, sondern müssen im Sinne eines klassischen Diebstahls zuerst angeeignet und anschließend aus dem Firmengebäude und vom Firmengelände transportiert werden. In der Theorie ist es einfach mit Personen- und Fahrzeugkontrollen entgegenzuwirken, jedoch zeigt die Praxis, dass dies mit hohem Aufwand und teilweise rechtlichen Hürden verbunden ist, weswegen auf vollumfängliche Kontrollen des Sicherheitsdienstes verzichtet wird oder stichprobenhafte Kontrollen erfolgen. Die Praxis hat zudem gezeigt, dass auch systematische Entwendungen trotz vorhandener Sicherheitsvorkehrungen erfolgten und dabei Schlupflöcher ausgenutzt wurden. Ähnlich wie bei betrügerischen Geschäftsvorgängen versuchen Täter in der Masse des Normalen unterzugehen und haben z.B. an ca. 220 Arbeitstagen im Jahr die Möglichkeit Schwachstellen beim Verlassen des Geländes vorsätzlich zu testen, ohne ein Diebesgut mitzuführen. Werden sie erwischt drohen meistens keine nennenswerten Konsequenzen.
Oftmals gilt auch die Redewendung „Gelegenheit macht Diebe“, so wie in dem Fall von Stephan Brannys bei HP, der erstmal unbewusst und ohne Vorsatz eine Schwachstelle entdeckte und später ausnutzte.
Um solche Schwachstellen zu identifizieren, werden zwar häufig externe Sicherheitsberatungsfirmen beauftragt, jedoch wird auf die Befragung von engagierten Mitarbeitern selten gesetzt. Diese zusätzliche Einbindung sollte nicht unterschätzt werden, denn kennen die eigenen Mitarbeiter die Probleme von Prozessen und Systemen.
Verschleierung der Entwendung eines physischen Gutes
Als Ergänzung zu den Maßnahmen gegen die physischen Entwendungen bietet sich die Analyse der Möglichkeiten zur Verschleierung nach den Entwendungen an. Anders als bei der eingangs diskutierten Entwendung von Finanzmittel durch die Verwendung von fiktiven Geschäftsvorfällen, fehlen betraglich signifikante Güter nach der Entwendung in den Beständen oder Inventaren. Um nicht aufzufallen und weitere Entwendungen vornehmen zu können werden nach der Entwendung Möglichkeiten genutzt, um die Bestände an die betrügerisch reduzierte Realität anzupassen. Hierzu werden häufig mangelnde Qualität, Verschrottungen, kostenlose Muster vorgetäuscht oder durch bewusstes Aushebeln der Bestandsführung vorsätzlich eine Intransparenz geschaffen, sodass unterjährige Inventurdifferenzen zur Bestandsanpassung gebucht werden können.
Möchten Sie Verschleierungsbuchungen in der Warenwirtschaft identifizieren, so können Sie beispielsweise die verwendeten Kombinationen von sogenannten Bewegungsarten, sprich so eine Art warenwirtschaftlicher Grund für die Bestandsveränderung, für die jeweiligen Materialien betrachten und mit den für die Buchung verwendeten Programmen, Funktionen und Benutzertypen kombinieren. Letzteres ist deswegen empfehlenswert, da in der Warenwirtschaft auch Terminalstationen ohne personenbezogene Benutzerkennung eingesetzt werden.
Wenn Sie die Kombinationen erstellt haben, dann ist es empfehlenswert zum einen seltene Kombinationen mit hohen betraglichen Auswirkungen zu prüfen und zum anderen bei den Sonderprozesse wie z.B. Verschrottung und Inventurdifferenzbuchungen die korrespondierenden Materialien zu hinterfragen und auf eine leichte Veräußerung prüfen.
Wie eingangs aufgeführt, müssen physische Güter üblicherweise verflüssigt werden. Aus diesem Grund sind Güter mit hoher Wiederverkaufschance besonders gefährdet. Dazu zählen üblicherweise fertige Endkonsumentenprodukte oder Rohstoffe. Mit Bezug auf die HP-Entwendungen sei dabei jedoch angemerkt, dass es mit entsprechendem kriminalistischem Unternehmertum auch möglich ist, dass Serverbauteile für primär Geschäftskunden so überarbeitet werden, dass sie in herkömmlichen Computern Anwendung finden und somit an Endkonsumenten veräußert werden können. Aus diesem Grund sollten die Bestände von solchen Gütern besonders im Fokus der Prüfung stehen.
Möchten Sie auffällige Bestandsveränderungen identifizieren, so empfiehlt es sich auch eine Trendanalyse vorzunehmen. Werden Entwendungen nicht durch Korrekturbuchungen verschleiert, so bauen sich buchhalterisch ungewöhnlich hohe Bestände auf. Mit einer Massendatenanalyse können Sie beispielsweise die Bestände pro Tag, Material und Standort berechnen. Dabei sind höhere Schwankungen zu erwarten und primär nicht auffällig. Betrachtet werden sollten dagegen solche Materialien, bei denen grundsätzlich hohe Bestände geführt werden oder der langfristig erwartete Trend deutlich nach oben zeigt und evtl. sogar von der Masse abweicht.
Besonders einfach zu veräußern sind auch Transportmittel wie Euro-Paletten und Gitterboxen, für die es externe Tauschmärkte gibt. Bei diesen Transportmitteln kommt es zudem dazu, dass aufgrund der Umschlaghäufigkeit und des Tauschgebare zwischen Unternehmen und Speditionen es häufig dazu führt, dass diese Transportmittel entweder nicht bestandsgeführt sind oder ohne Buchwert erfasst werden. Die tatsächliche Bestandsermittlung erfolgt dann üblicherweise über die Inventur zum Bilanzstichtag. Etwaige Entwendungen werden dabei mitverbucht.
In diesem Zusammenhang ist zu erwähnen, dass Tagesschau.de Anfang April 2022 davon berichtete, dass Drahtstahl dringend benötigt wird und es nun dazu kommen könnte, dass die Paletten ausgehen. Neben einer weiteren Herausforderung auf die sowieso schon stark beanspruchten Lieferketten, könnte dies auch dazu führen, dass der Schwarzmarkt für Transportmittel noch stärker floriert. Somit ist zu empfehlen, auch diese Güter physisch und systemseitig im Blick zu haben.
Möchten Sie solchen Entwendungen entgegenwirken, so sollten Sie die etablierte Bestandsführung und evtl. die Stichtage der Bestandsermittlung auf den Prüfstand bringen und die Bestände dieser Güter mit Trendanalysen absichern.
Sonderfall: Anschaffung ohne tatsächlichen Bedarf zur direkten Entwendung
In dem Betrugsfall beim Messgerätehersteller Testo kam es zu einer besonders raffinierten Form der Entwendung. Dort wurden Gutscheine entwendet und selbst verwendet, die eigentlich vom Vertrieb an potenzielle Neukunden oder zur Kundenpflege von Bestandskunden hätten ausgegeben werden sollen. Da eine vollständige Nachvollziehbarkeit der Gutscheinempfänger nur selten gegeben ist und die Einlösung mit Verknüpfung zum Täter bei einem Drittunternehmen erfolgt, lassen sich solche Vorgänge häufig nur sehr aufwendig durch Kontaktaufnahme mit den vermeintlichen Gutscheinempfängern prüfen.
Dieser Betrugsfall kann dahingehend verallgemeinert werden, dass Anschaffung ohne tatsächlichen Bedarf zur direkten Entwendung getätigt werden. Ähnlich wie bei den liquiden Mitteln erfolgen solche Anschaffungen üblicherweise nur durch eine sehr begrenzte Anzahl an Mitarbeitern, sodass für solche Vorgänge zusätzliche Verfahrensweisen und Kontrollen diskutiert und implementiert werden können.
Die Herausforderung liegt dabei häufig bei der rechtzeitigen Identifikation solcher Vorgänge. Möchten Sie diese identifizieren, so können Sie ähnlich vorgehen, wie bereits bei der Prüfung von Finanzmittelentwendungen vorgestellt. Dieses Mal analysieren Sie jedoch Bestellungen mit erwarteten Warenlieferungen, bei denen die Mengeneinheiten beispielsweise in Stück sind, wofür es keine Buchungen in der Warenwirtschaft gibt, sondern der Wareneingang andersartig bestätigt wird. Erwartungsgemäß erhalten Sie hierbei sehr viele Ergebnisse, weswegen Sie diese identifizierten Bestellungen nun hinsichtlich der referenzierten oder textlich beschriebenen Produkte oder Produkt-klassen analysieren sollten. Hilfreich ist dabei auch die Verknüpfung der Bestellungen mit den in der Finanzbuchhaltung korrespondierenden Aufwandskonten. Zum einen können Sie dann pro Aufwandskonto mittels deskriptiver Statistik Ausreißer identifizieren und zum anderen aufgrund der Sachkontenbezeichnung risikobehaftete Verwendungsarten mit hohen Beträgen identifizieren.
Wie zuvor geschildert besteht nachträglich häufig ein unverhältnismäßig hoher Prüfaufwand, sodass zu empfehlen ist, solche Analysen regelmäßig durchzuführen, um wiederkehrende Vorgänge oder betraglich hohe Vorgänge rechtzeitig zu identifizieren, sodass eine individuelle Risikobewertung vorgenommen werden kann und beispielsweise beim Versand von solchen Gutscheinen ein Vieraugenprinzip zu implementieren.
Zusammenfassende Empfehlungen:
➡️ Association of Certified Fraud Examiners, Occupational Fraud 2022: A Report to the Nations
➡️ Badische Zeitung, Angestellte soll Testo um 1,6 Millionen Euro betrogen haben
➡️ Dokumentarfilm von WDR „Die Millionendiebe der Metro – Ein spektakulärer Coup“
➡️ Tagesschau.de, Russischer Stahl fehlt: Wehe, wenn die Paletten ausgehen
➡️ Welt.de, „Beklaute Unternehmen sind selbst schuld“
📘 Odenthal, Korruption und Mitarbeiterkriminalität, Wiesbaden, 2009
Verwandeln Sie Daten in EBIT, verhindern Sie Betrug und steigern Sie Ihre Rentabilität mit unserem maßgeschneiderten Data & Analytics- und IT-Coaching. Wir unterstützen Sie bei der Optimierung und Sicherung Ihrer Geschäftsprozesse und IT-Systeme.
Noch keine Kommentare vorhanden
Was denken Sie?