Der Praktische Leitfaden „Internal Auditing and Fraud“ (Interne Revision und Fraud) gehört zu den dringend empfohlenen Richtlinien der internationalen Berufsgrundlagen (International Professional Practices Framework – IPPF) für die Interne Revision und enthält eine ausführliche Anleitung für die Durchführung von internen Revisionstätigkeiten sowie detaillierte Prozesse, Verfahren, Werkzeuge, Techniken, Programme, schrittweise Anleitungen und Ergebnisbeispiele. Ziel des Praktischen Leitfadens ist es, das Bewusstsein für Fraud zu erhöhen und das Fraud-Risiko bei internen Prüfungen zu berücksichtigen.

Der Praktische Leitfaden gibt Hilfestellung für die Anwendung folgender Standards:

• 1200 Fachkompetenz und berufliche Sorgfaltspflicht
• 1220 Berufliche Sorgfaltspflicht
• 2060 Berichterstattung an leitende Führungskräfte, Geschäftsleitung und Überwachungsorgan
• 2120 Risikomanagement
• 2210 Ziele des Auftrags

Das IPPF des Institute of Internal Auditors (IIA) definiert Fraud als jede gesetzeswidrige Handlung, gekennzeichnet durch Täuschung, Verheimlichung oder Verletzung von Vertrauen. Die Handlungen sind nicht abhängig von der Androhung körperlicher Gewalt. Fraud wird von Gruppen und Organisationen begangen, um Geld, Eigentum, oder Dienstleistungen zu erlangen, um Zahlungen oder den Verlust von Dienstleistungen zu vermeiden oder um sich persönliche Vorteile zu sichern.

Im Praktischen Leitfaden werden drei typische Charakteristiken von Fraud aufgezeigt. Das Fraud-Risiko ist hoch, wenn eine Person oder mehrere Personen durch einen privaten oder geschäftlichen Anreiz motiviert sind, eine Gelegenheit zur Tat haben und die Tat vor sich selbst rechtfertigen können. Zusätzlich werden Beispiele für Fraud und diverse Fraud-Indikatoren (sog. Red Flags) benannt, die als Warnsignal dienen können.

Die Verantwortung für die Prävention und Aufdeckung von Fraud teilen sich verschiedene Funktionen innerhalb der Organisation:

• Die Geschäftsleitung/das Überwachungsorgan sind verantwortlich für die Überwachung der Fraud-Risiko-Maßnahmen des Managements.
• Der Prüfungsausschuss ist verantwortlich für die Beurteilung der Identifikation von Fraud-Risiken durch das Management und die Implementierung von Anti-Fraud-Maßnahmen.
• Das Management ist verantwortlich für die Überwachung der Tätigkeit der Mitarbeiter; dies geschieht typischerweise durch die Einführung von Überwachungsprozessen und internen Kontrollen.
• Die Verantwortlichkeit des Rechtsbeistands hängt von der jeweiligen Gesetzgebung und dem Rechtsraum ab; generell arbeitet der Rechtsbeistand im besten Interesse der Organisation und unterliegt der Schweigepflicht, was im Falle von Fraud zu Interessenskonflikten führen kann.
• Die Interne Revision ist verantwortlich, die Risiken, denen die Organisation ausgesetzt ist, mittels angemessener Tests zu prüfen.
• Wirtschaftsprüfer sind verantwortlich für die Planung und Prüfung des Jahresabschlusses von Organisationen, um mit angemessener Sicherheit gewährleisten zu können, dass der Jahresabschluss frei von wesentlichen Fehlaussagen ist und um feststellen zu können, ob Fehlaussagen aufgrund von Fehlern oder Betrug bestehen.
• Schadensverhütungsmanager sind verantwortlich für die Handhabung von Geschäftsrisiken wie Kriminalität, Katastrophen, Unfällen oder Verschwendung, die zu unternehmerischem Scheitern führen können.
• Betrugsermittler sind für die Untersuchung und Aufdeckung von Betrug und die Rückgewinnung von Vermögenswerten verantwortlich.
• Mitarbeiter sind die Augen und Ohren der Organisation und sollten bestärkt werden, Integrität am Arbeitsplatz zu bewahren.

Von Internen Revisoren kann nicht erwartet werden, dass sie umfangreiches Wissen im Hinblick auf die Aufklärung von Fraud-Fällen haben. Jedoch können von der Internen Revision durchgeführte Prüfungen die Wahrscheinlichkeit erhöhen, dass wichtige Fraud-Indikatoren aufgedeckt werden und in weitere Prüfungen integriert werden können.

Die Aufgaben der Internen Revision im Hinblick auf Fraud sind die folgenden:

• Durchführung von Prüfungshandlungen
• Bewahrung von professioneller Skepsis
• Kommunikation mit dem Überwachungsorgan

Mittels einer Beurteilung des Fraud-Risikos können die Interne Revision und das Management identifizieren, wo und auf welche Weise Fraud auftreten könnte und wer sich in der Lage befindet, Betrug zu begehen.

Die Beurteilung des Fraud-Risikos umfasst im Allgemeinen fünf Schritte:

1. Identifikation relevanter Fraud-Risiko-Faktoren
2. Identifikation und Priorisierung möglicher Betrugsdelikte
3. Abbildung bestehender Kontrollen zu möglichen Betrugsvorhaben und zur Identifikation von Kontrolllücken
4. Test der Wirksamkeit von Präventions- und Aufdeckungskontrollen
5. Dokumentation und Berichterstattung der Fraud-Risiko-Beurteilung

Da Fraud in jeder Organisation vorkommen kann, ist es sinnvoll, angemessene Präventions-, Trainings- und Aufdeckungsmaßnahmen zu implementieren. Wichtig für die Prävention von Fraud ist der sog. „Tone at the Top“, sowie ein effektives und effizientes Internes Kontrollsystem (IKS). Mit dem „Internal Control – Integrated Framework“ des Committee of Sponsoring Organizations of the Treadway Commission (COSO-Report) liegt ein Rahmenwerk vor, mit dem das IKS verbessert und Fraud bekämpft werden kann.

Spezielles Training ist ein wichtiger Faktor, um Fraud zu vermeiden. Mitarbeiter einer Organisation müssen verstehen, welches Verhalten von ihnen erwartet wird, um sich gemäß den Regeln der Organisation zu verhalten. Fraud-Training muss sowohl auf die Organisation als auch auf die Position des einzelnen Mitarbeiters in der Organisation zugeschnitten sein. Regelmäßiges Training verstärkt das Bewusstsein für Fraud. Mittels Online-Umfragen kann festgestellt werden, ob die Mitarbeiter das nötige Wissen erlangt haben.

Aufdeckende Kontrollen können Beweise für Fraud liefern, sind aber nicht dazu geeignet, Fraud zu verhindern. Methoden zur Aufdeckung von Fraud müssen flexibel und anpassungsfähig sein, um mit den Änderungen im Risikoumfeld Schritt zu halten. Oft vertrauen Organisationen auf Berichte von Mitarbeitern über verdächtige Aktivitäten.

Es kann effektiv sein, Mitarbeitern und anderen Stakeholdern zu ermöglichen, auf verschiedene Art und Weise über mögliche illegale oder unethische Aktivitäten zu berichten; Wege, um solche Informationen zu sammeln, können beinhalten:

• Jährliche Bestätigung des Verhaltenskodex durch die Mitarbeiter
• Whistleblower Hotline
• Exit Interviews für ausscheidende Mitarbeiter
• Vorausschauende (proaktive) Mitarbeiterbefragung

Durch unangekündigte Prüfungen, durchgehende Überwachung kritischer Daten und verwandter Trends, Überwachung der Lieferantenliste und Dienstpläne sowie Abgleich von geschützten Daten mit relevanten Transaktionen kann Fraud ebenso aufgedeckt werden.

Die Fraud-Ermittlungen sollten versuchen, das ganze Ausmaß der betrügerischen Aktivität zu erfassen. Dabei arbeitet die Interne Revision zusammen mit Anwälten, Ermittlern, Sicherheitspersonal und anderen internen und externen Spezialisten. Ermittlungen müssen sorgsam in Übereinstimmung mit der jeweiligen Rechtslage durchgeführt werden. Das Management hat Befugnisse und Verantwortlichkeiten festzulegen (insb. das Verhältnis zwischen Ermittlern und dem Rechtsbeistand). Die Rolle der Internen Revision bei der Ermittlung von Fraud sollte sowohl in der Geschäftsordnung als auch in den Richtlinien und Verfahren zur Fraud-Ermittlung festgelegt sein.

Für jede Fraud-Ermittlung sollte ein Ermittlungsplan definiert werden, der die folgenden Aktivitäten zu erfassen hat:

• Informationssammlung durch Überwachung, Befragungen und schriftliche Stellungnahmen
• Dokumentation und Sicherung von Beweismitteln unter Einhaltung der rechtlichen Bestimmungen sowie Berücksichtigung der Bedeutung der Beweismittel
• Bestimmung des Fraud-Ausmaßes
• Feststellung, mit welchen Fraud-Techniken gearbeitet wurde
• Einschätzung der Fraud-Ursache
• Identifikation des Täters/der Täter

Der Stand der Ermittlung sollte regelmäßig an die Unternehmensführung oder das Überwachungsorgan kommuniziert werden. Nach der vollständigen Ermittlung muss das Management entscheiden, wie weiter vorgegangen werden soll, um den Fraud-Fall abzuschließen. Zudem können eine Information der internen Mitarbeiter und eine Veröffentlichung notwendig werden. Zuletzt sollten das Management und die Interne Revision überlegen, was geändert werden muss, um ähnliche Fraud-Fälle in Zukunft zu vermeiden.

Anhang A des Praktischen Leitfadens enthält wichtige Referenzen. Im Anhang B werden Fragen bezüglich Fraud genannt, die der Interne Revisor bei seinen regelmäßigen Treffen mit allen Hierarchieebenen der Organisation stellen kann, um Fraud-Risiken aktiv entgegenzutreten. Im letzten Teil des Anhangs ist eine Vorlage zur Beurteilung von Fraud-Risiken aufgeführt.

Für den vollständigen Text des Praktischen Leitfadens „Internal Auditing and Fraud“ (Interne Revision und Fraud) vgl. die Praktischen Leitfäden sowie die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de).

Literatur:

• The Institute of Internal Auditors (IIA): International Professional Practices Framework (IPPF) 2013, Altamonte Springs, Florida, USA
• IPPF – Practice Guide Internal Auditing and Fraud, December 2009, Altamonte Springs, Florida, USA