Wie viel ist Vertrauen wert, wenn Kontrollen fehlen? Ein aktueller Praxisfall aus unserer Fraud-Analyse zeigt, wie schnell aus Vertrauen ein erhebliches Unternehmensrisiko werden kann.
Ein mittelständisches Modehaus wandte sich mit einer dringenden Anfrage an uns. Der Geschäftsführer bat um ein vertrauliches Gespräch und wirkte sichtlich verunsichert. Anlass war ein Geständnis seiner langjährigen Buchhalterin, die seit über 20 Jahren im Unternehmen tätig war.
Sie gab an, einmalig versucht zu haben, Geld vom Geschäftskonto auf ihr Privatkonto zu überweisen. Aufgrund eines Zahlendrehers in der IBAN wurde die Transaktion jedoch nicht ausgeführt und als Fehlermeldung im System zurückgespielt. Im Rahmen des Vier-Augen-Prinzips fiel dieser Vorgang unmittelbar auf. Die Mitarbeiterin suchte daraufhin das Gespräch und beteuerte, dass es sich um einen einmaligen Vorfall handele, ausgelöst durch private finanzielle Belastungen.
Der Geschäftsführer stand vor einer schwierigen Frage: Handelte es sich tatsächlich um einen einmaligen Fehltritt – oder um ein strukturelles Problem?
Unser Prüfungsansatz
Nach Freistellung der Mitarbeiterin erhielten wir Zugriff auf die SAP-Systemlandschaft und begannen mit einer umfassenden Fraud-/Auffälligkeitsanalyse.
Bereits zu Beginn zeigte sich ein gravierendes strukturelles Defizit:
Es existierten keine wirksamen systemseitigen Kontrollen. Weder Rollen- und Berechtigungskonzepte noch Zugriffsbeschränkungen oder dokumentierte Kontrollmechanismen waren implementiert. In den Modulen FI, CO und weiteren Bereichen bestand faktisch uneingeschränkter Zugriff.
Ein solches Umfeld schafft ideale Bedingungen für dolose Handlungen.
Die Feststellungen
Im Rahmen der datenanalytischen Prüfungen konnten wir nachvollziehbar belegen, dass über mehrere Jahre hinweg wiederholt Gelder auf das Privatkonto der Mitarbeiterin transferiert wurden. Der zunächst geschilderte „Einzelfall“ stellte sich somit als Teil eines systematischen Vorgehens dar.
Die Ergebnisse wurden anhand belastbarer Belege – darunter Transaktionsdaten, Kontobewegungen und Prüfberichte – dokumentiert und der Geschäftsführung vorgestellt.
Die Reaktion war geprägt von Schock und persönlicher Enttäuschung. Gerade in inhabergeführten oder mittelständischen Unternehmen ist das Vertrauen in langjährige Mitarbeitende oft besonders hoch – und genau das wird in solchen Fällen zur größten Schwachstelle.
Die menschliche Dimension
Neben aller fachlichen Nüchternheit zeigt dieser Fall deutlich:
Deliktrevision ist nicht nur Zahlenarbeit. Es geht immer auch um Menschen, Beziehungen und Vertrauen.
Für die Betroffenen ist der finanzielle Schaden häufig nur ein Teil des Problems – der Vertrauensbruch wiegt emotional oft schwerer.
Unsere Empfehlungen
* Aus diesem Fall lassen sich klare Handlungsempfehlungen ableiten:
* Einführung und konsequente Umsetzung eines strukturierten Berechtigungskonzepts
* Trennung von Funktionen (Segregation of Duties) in kritischen Prozessen
* Implementierung und Überwachung eines wirksamen Internen Kontrollsystems (IKS)
* Etablierung eines funktionierenden Mehr-Augen-Prinzips
* Regelmäßige Überprüfung und Rezertifizierung von Benutzerrechten
* Durchführung periodischer Auffälligkeits- und Fraud-Analysen in rechnungslegungsrelevanten Prozessen
Fazit
Finanzielle Schäden lassen sich in vielen Fällen beziffern und teilweise kompensieren. Der Verlust von Vertrauen hingegen ist meist irreversibel.
Unternehmen sollten sich daher nicht auf gewachsene Strukturen oder persönliche Loyalität verlassen, sondern auf funktionierende Systeme und Kontrollen setzen.
Unsere Erfahrung aus zahlreichen Projekten zeigt:
Dolose Handlungen entstehen selten spontan – sie entwickeln sich dort, wo Gelegenheiten bestehen und vor allem Kontrollen fehlen.
Oder anders gesagt:
Verantwortung zeigt sich nicht im Vertrauen allein, sondern in der konsequenten Gestaltung und
Überwachung von Kontrollsystemen.
Verantwortlicher für diese Pressemitteilung:
REVIDATA GmbH
Frau Brigitte Jordan
Postfach 10 42 27
40033 Düsseldorf
Deutschland
fon ..: +49 211 65584395
fax ..: +49 211 65584396
web ..: https://www.revidata.de/
email : datenschutz@revidata.de
REVIDATA GmbH mit ihrem Hauptsitz in Düsseldorf ist seit 1981 prüfend, beratend und schulend tätig. REVIDATA® ist ein auf dem Markt anerkannt führender und produktneutraler Anbieter von Dienstleistungen in den Bereichen betriebswirtschaftliche Prüfung, IT-Prüfung, Interne Revision, Datenschutz, Datensicherheit, (Massen-)Datenanalyse, Compliance-Audit, Risikomanagement und der jeweils damit verbundenen Beratung und Aus- und Weiterbildung. Unabhängigkeit, Neutralität und langjährige Praxiserfahrung in der Prüfung und Beratung sind das Rüstzeug der REVIDATA GmbH. Genauso wichtig wie die, jeweils zu beachtende aktuellste Gesetzgebung.
Der REVIDATA® Kundenkreis umfasst eine große Anzahl namhafter Unternehmen unterschiedlichster Größen und Branchen sowie Behörden und Ministerien. Hierzu gehören auch Wirtschaftsprüfungs- und Steuerberatungsgesellschaften und Rechtsanwaltskanzleien, die eng mit REVIDATA® verbunden sind und das Know-how im Rahmen ihrer Jahresabschlussprüfungen und/oder Sonderprüfungen nutzen.
Aus den zahlreich gewonnenen Projekterkenntnissen hat REVIDATA® zur Aus- und Weiterbildung ein besonders wegen seiner Praxisnähe anerkanntes Seminarangebot aufgebaut. Neben der grundsätzlichen Aus- und Weiterbildung in Bezug auf die Ordnungsmäßigkeit, Vollständigkeit, Nachvollziehbarkeit und Sicherheit der eingesetzten Informationstechnologie bietet REVIDATA® zusätzliche individuelle Spezialseminare an.
REVIDATA GmbH bietet, ausgerichtet auf Ihren tatsächlichen Bedarf, die Möglichkeiten der Unterstützungsformen in
– Beratung
– Prüfung
– Analyse und der
– Aus- und Weiterbildung
an und ist somit für Sie optimal auf Ihre Anforderungen von REVIDATA® flexibel umsetzbar. In der Zusammenarbeit mit Hochschulen und der Industrie bringt REVIDATA® Praxis und Theorie in neuen zukunftsweisenden Projekten zusammen.
Pressekontakt:
REVIDATA GmbH
Frau Brigitte Jordan
Postfach 10 42 27
40033 Düsseldorf
fon ..: +49 211 65584395
email : datenschutz@revidata.de