Fraud: Im Rahmen eines Internen Kontrollsystems
Passende Arbeitshilfen
Eigenschaften von Risiken
Fehler in der finanziellen Berichterstattung zu vermeiden gehört zu den Kernaufgaben eines Internen Kontrollsystems gemäss dem Verständnis des Schweizer Gesetzgebers. Grundsätzlich können nicht wahrheitsgemässe Reportings durch Fehler oder Fraud hervor gerufen werden. Der entscheidende Faktor der Differenzierung ist, ob die zur Falschaussage geführte Handlung unabsichtlich oder absichtlich getätigt wurde.
Der Begriff Fehler referenziert alle unabsichtlichen Falschaussagen in der Jahresrechnung, die beispielsweise durch falsche Bewertungen von Aktiven oder einem Fehler in der Aufbereitung von Buchhaltungsdaten resultieren. Hingegen bezeichnet Fraud alle Handlungen, die absichtlich getätigt werden, um sich unrechtlich Vorteile zu verschaffen. Beispielsweise sind die Fälschungen von Buchhaltungsdaten, Buchungen ohne das Vorliegen eines Geschäftsvorfalls oder die bewusst unrechtliche Anwendung von Rechnungslegungsgrundsätzen. Selbstverständlich gehören dazu auch widerrechtliche Aneignungen von Geschäftsvermögen durch Unterschlagung oder Diebstahl.
Betrügerisches finanzielles Reporting wird oft durch so genanntes Management Override hervorgerufen. Man bezeichnet mit diesem Begriff insbesondere in der Wirtschaftsprüfung und der internen Revision die bewusste Ausserkraftsetzung von internen Kontrollmechanismen durch das Management eines Unternehmens. Hier wird schnell deutlich, dass ein Internes Kontrollsystem nur begrenzt wirken kann. Obwohl das Kontrollsystem eigentlich angemessen ausgestaltet ist und Kontrollen wirksam funktionieren, liegt dennoch eine inhärente Schwäche vor – sie können durch leitende Angestellte übersteuert oder übergangen werden. So können beispielsweise Einträge ins Grundbuch (Journal) kurz vor Ende einer Buchungsperiode getätigt werden, um das operative Ergebnis kurzfristig fiktiv zu verbessern. Andererseits könnten Aufwände, die in der aktuellen Periode angefallen sind, in die nächste Rechnungsperiode verschoben werden, oder unangemessene Bewertungsgrundlagen angewendet werden, um Bilanzpositionen verfälscht darzustellen.
Eine Besonderheit von Fraud-Risiken ist, dass anders als im Umgang mit finanziellen oder operativen Risiken im Rahmen eines Internen Kontrollsystems, Wesentlichkeitskriterien keine Rolle spielen. Eine absichtlicher Verstoss gegen Gesetze, Weisungen oder sonstigen Regelungen muss möglichst rasch verfolgt werden, unabhängig vom Schadensausmass. Denn oft stellt das Aufdecken einer kleineren Straftat nur die Spitze des Eisberges eines grösseren Sachverhaltes dar.
Schlüsselfaktoren – Das Fraud-Triangle
Das Fraud-Triangle zeigt auf, unter welchen Voraussetzungen Mitarbeiter oder Führungspersonen Fraud begehen können. Bereits vor einem halben Jahrhundert versuchte Donald R. Cressey, ein Pionier der Wirtschaftskriminologie, diese Fragen zu beantworten. Gemäss seinen Forschungsergebnissen sind drei Schlüsselfaktoren (die kumulativ zutreffen müssen) für ein potentielles Risiko von Wirtschaftsstraftaten ausschlaggebend:
- Anreiz/Druck
- Gelegenheit
- Rechtfertigung/Einstellung
Als Beispiele für den Faktor Anreiz/Druck kann etwa die hohe Erwartungshaltung des Verwaltungsrates an das Management bezüglich finanzieller Ziele genannt werden, aber auch persönliche Verpflichtungen einzelner Mitarbeiter können Anreiz sein für Unterschlagung oder Diebstahl sein, vor allem dann, wenn der Zugang zu Bargeld oder Vermögensgegenständen möglich ist. Weiter sind möglicherweise Informationen verfügbar, aus denen gefolgert werden kann, dass die persönliche Vermögenssituation der Führungskräfte durch eine negative Ertragsentwicklung gefährdet ist; beispielsweise dann, wenn bedeutende Vergütungsbestandteile wie Bonuszahlungen vom erwirtschafteten Ertrag abhängig sind. Selbstverständlich gibt es unzählige weitere Anreizsituationen, die auf ein potentielles Risiko von Fraud hinweisen könnten.
Der zweite Schlüsselfaktor – die Gelegenheit – stellt die Möglichkeit dar, Fraud relativ risikolos zu begehen. Die zentralen Bedingungen hierfür sind die vorhandene Informationsbasis des Mitarbeiters oder der Führungskraft und die technischen Fähigkeiten, eine Kontrolle umgehen zu können. Gelegenheiten können sich durch ein mangelhaftes Internes Kontrollsystem ergeben, getrieben beispielsweise durch die unzureichende Überwachung von Kontrollen, hohe Personalfluktuation oder Beschäftigung von ungeeigneten Mitarbeitern im Rechnungswesen und ineffektive Rechnungslegungs- und Informationssysteme. Auch Mängel in der Funktionentrennung oder fehlende unabhängige Kontrollen sowie das Fehlen eines vollständigen und regelmässigen Abgleichs der Inventurbestände mit den Buchbeständen sind Schwachstellen eines IKS, die Gelegenheiten für Fraud schaffen können.
Passende Produkt-Empfehlungen
Schliesslich identifizierte Donald Cressey die Rechtfertigung/Einstellung als dritten potentiellen Risikofaktor. Mangelhafte Vermittlung, Umsetzung oder Durchsetzung der Wertsysteme oder ethischer Normen durch das Top Management, schlechte Moral auf der obersten Führungsebene und ein fehlendes Bewusstsein für die Notwendigkeit, Risiken für Vermögensschädigungen zu überwachen sind nur einige Beispiele, die unter dem Kriterium Einstellung zusammen gefasst werden können.
Es drängt sich nun die Frage auf, wo innerhalb der drei identifizierten Schlüsselfaktoren ein Internes Kontrollsystem ansetzen kann, um präventiv potentiellen Fraud-Risiken entgegen wirken zu können. Unternehmen können insbesondere durch die organisatorische Gestaltung der Prozesse und darin enthaltenen Kontrollmechanismen die Gelegenheit durch den Einsatz eines effektiven Kontrollsystems signifikant reduzieren. Zusätzlich kann durch die Schaffung einer (Kontroll-)Kultur der Integrität und Vermitteln von ethischen Standards und Werten über einen Verhaltenskodex die Einstellung positiv beeinflusst werden.
Anti-Fraud-Aktivitäten
Nachfolgend soll der Zusammenhang zum IKS-Rahmenwerk COSO hergestellt werden. Es wird versucht, einige Anti-Fraud-Aktivitäten den einzelnen Komponenten des COSO-Modells zuzuordnen.
COSO- Komponente | Anti-Fraud-Aktivität |
Kontrollumfeld |
|
Risikobeurteilung
|
|
Kontrollaktivitäten
|
|
Information und
|
|
Überwachung
|
|
Fazit
Fraud-Risiken haben einen wichtigen Stellenwert im Rahmen eines Internen Kontrollsystems. Falls das Unternehmen die Treiber kennt, die solche potentiellen Risiken begünstigen, kann gezielt dagegen vorgegangen werden. Ein Anhaltspunkt für Schlüsselfaktoren beschreibt das Fraud-Triangle. Insbesondere die beiden Faktoren Gelegenheit und Einstellung können durch ein effektives IKS adressiert werden. Zentral scheinen eine angemessene Unternehmenskultur und die Vermittlung von moralischen Werten durch das Top Management. Als geeignete Hilfsmittel hierfür dienen ein gut ausformulierter Verhaltenskodex und das Vorleben von integrem Verhalten durch die Geschäftsleitung. Zusätzlich können Kontrollmechanismen ins IKS integriert werden, die spezifisch auf die Aufdeckung und Prävention von Fraud ausgerichtet sind. Selbstverständlich sind dem IKS auch Grenzen gesetzt – vor allem dann, wenn das Management Kontrollen übersteuert oder missachtet; diese Problematik ist unter dem Begriff Management Override zusammen zu fassen.
Quellenhinweise: Association of Certified Fraud Examiners (ACFE) et al. (Hrsg.): Managing the Business Risk of Fraud: A Practical Guide; International Federation of Accountants (IFAC) (Hrsg.): International Standard on Auditing 240: The Auditor’s Responsibility to Consider Fraud in an Audit of Financial Statements.