Immer häufiger werden im Zuge von externen und internen Prüfungen - manchmal aber auch zufällig - betrügerische Handlungen aufgedeckt. Oftmals stellt sich sehr zur Überraschung der leitenden Organe heraus, dass der Betrug jahrelang unentdeckt bleiben konnte, weil Kontrollen entweder nicht existiert haben oder nicht ausreichend umgesetzt worden sind. Unter betrügerischen Handlungen ist dabei nicht nur der "Griff in die Kassa" zu verstehen, sondern alle Aktivitäten durch die dem Unternehmen ein Schaden in Form der Vorenthaltung von Einnahmen, der Annahme von Bestechungsgeldern, der unerlaubten privaten Nutzung von Firmeneigentum und dem Diebstahl von Betriebs- und Geschäftsgeheimnissen entsteht.

Neben der gesetzlich geregelten Verantwortung bei Kapitalgesellschaften (GmbH und AG), dass die Unternehmensleitung ein wirksames Internes Kontroll-System (IKS) aufzubauen und aufrecht zu erhalten hat, das ua eben die Sicherung des Vermögens gewährleisten soll, besteht auch eine betriebswirtschaftliche Notwendigkeit, geeignete Maßnahmen gegen betrügerische Handlungen und den damit verbundenen - teilweise enormen - Schaden zu ergreifen.

Am Beginn des Aufbaues eines Risikomanagements sollten mögliche Betrugsrisiken identifiziert werden. Zumeist ist es eine Kombination von Anreiz und Gelegenheit, die betrügerische Handlungen auslöst. Mögliche Anreize sind insbesondere:

• starker Erfolgsdruck und prämienabhängige Vergütungen,
• finanzielle Probleme von Mitarbeitern,
• schlechtes Arbeitsklima und damit verbundene fehlende Loyalität der Mitarbeiter,
• Toleranz der Unternehmensleitung für unbedeutende Diebstähle und unangemessene private Nutzung von Firmeneigentum für private Zwecke.

Kommen zu diesen Anreizen noch die passenden Gelegenheiten wie beispielsweise

• fehlende Kontrollen,
• komplexe oder instabile Organisationsstruktur,
• ungeklärte Zuständigkeiten,
• leichter Zugang zu Geld bzw zu leicht verwertbaren Gegenständen,
• fehlende Funktionstrennung usw

dazu, besteht eine erhebliche Betrugsgefahr. Anzeichen für mögliche Betrugsfälle sind ua "verloren" gegangene Unterlagen, Änderungen im Lebensstil von Mitarbeitern, regelmäßige Inventurdifferenzen, Abschluss von schwer durchschaubaren und komplexen Geschäften, Konzentration auf einzelne Lieferanten, nebenberufliche Aktivitäten von Mitarbeitern in der gleichen Branche, chaotische Zustände in der Buchhaltung etc.

Die Unternehmensleitung ist daher gefordert, derartige Risiken und Verdachtsmomente zu identifizieren und im zweiten Schritt entsprechende Gegenstrategien zu entwickeln. Wichtig ist insbesondere, dass die Unternehmensleitung selbst eine positive Einstellung gegenüber Kontrollen entwickelt und diese auch entsprechend an die Mitarbeiter kommuniziert. Dabei sollte klar zum Ausdruck kommen, dass es sich keinesfalls um ein "Kavaliersdelikt" handelt, sondern derartiges Verhalten nicht toleriert werden kann.

Mögliche Maßnahmen zur Vorbeugung von Betrugsfällen bzw zur Aufdeckung solcher sind insbesondere

• die Einführung von Funktionstrennungen (Vier-Augen-Prinzip),
• Aufgabentrennung durch technische Berechtigungskonzepte (EDV),
• Schutz von Vermögenswerten und Geschäftsgeheimnissen vor Diebstahl (zB Versperren, eingeschränkte Zugriffsberechtigungen auf gespeicherte Daten, weitgehende Abwicklung von bargeldlosen Geschäften),
• Durchführung von Kontrollen (Überprüfung abgeschlossener Verträge, Kontrollzählungen, Durchsicht Leistungserfassungen, Prüfung ungewöhnlicher Transaktionen),
• Regelmäßige Evaluierung der Funktionsfähigkeit der Kontrollen und Anpassung entsprechend gewonnener Erfahrungen,
• sofortige Reaktion bei Verdachtsmomenten (unabhängig davon, ob die Hinweise aus dem Unternehmen oder von Dritten kommen),
• Implementierung von Richtlinien und Verhaltensanweisungen,
• Gestaltung eines positiven Arbeitsklimas, das den Mitarbeitern Fehler zugesteht und dahingehend eine offene Kommunikation ermöglicht,
• Prüfung der Integrität bei der Einstellung neuer Mitarbeiter,
• faire und transparente Entlohnung und Beförderungspolitik,
• Prüfung ausgewählter Bereiche durch externe Spezialisten bzw Aufbau einer internen Revision,
• angemessene Reaktion bei Verstößen.

Idealerweise sollte die Implementierung der Kontrollen und die Durchführung der Kontrollmaßnahmen schriftlich dokumentiert werden und in das Risikomanagement des Unternehmens eingebettet werden.

Auch wenn der Aufbau von Kontrollmaßnahmen insbesondere am Beginn und auch laufend sicher Zeit und Geld kostet, kann mit Gewissheit davon ausgegangen werden, dass sich diese Investitionen langfristig rechnen und - wenn auch niemals 100%ige Sicherheit erlangt werden kann - dem Unternehmen erheblichen finanziellen Schaden und negative Berichterstattung ersparen. Selbstverständlich ist das Ausmaß der erforderlichen Kontrollmaßnahmen speziell auf das jeweilige Unternehmen abzustimmen und insbesondere von der Größe und Komplexität des Unternehmens, der Branche und der Autorität der Unternehmensleitung abhängig.

Bild: © Ljupco Smokovski - Fotolia