Aspekte der unternehmensinternen Bekämpfung von Fraud

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Anlagenverzeichnis

Abkürzungsverzeichnis

1. Einleitung
1.1 Problemstellung
1.2 Zielsetzung der Arbeit

2. Grundlagen Fraud
2.1 Begriff „Fraud“
2.2 Ursachen für Fraud
2.3 Fraud-Schema (Delikte)
2.4 Fraud und Compliance

3. Maßnahmen gegen Fraud
3.1 Risiken
3.1.1 Identifikation
3.1.2 Bewertung
3.1.3 Steuerung
3.2 Präventionsmaßnahmen
3.2.1 Organisatorische Sicherungsmaßnahmen
3.2.2 Unternehmenskultur
3.2.3 Fraud Schulungen
3.2.4 Vorkehrungen bei der Personalauswahl
3.2.5 Anreizsysteme
3.3 Proaktive Aufdeckungsmaßnahmen
3.3.1 Prozessunabhängige Überwachungsmaßnahmen
3.3.1.1 Prüfungsmethoden
3.3.1.2 Data Mining
3.3.2 Zwangsurlaub und Job-Rotationen
3.3.3 Austrittsinterview
3.3.4 Hinweisgebersystem (Whistleblowing-System)
3.3.5 Amnestieprogramme
3.4.6 Kommunikationswege

4. Fazit

Literaturverzeichnis

Anlagen

Abbildungsverzeichnis

Abbildung 1: Fraud-Triangle

Abbildung 2: Systematische Aufteilung von Fraud-Schemata

Abbildung 3: Unterschiede zwischen operativer und strategischer Früherkennung

Abbildung 4: Risikoportfolio

Abbildung 5: Risikosteuerung

Abbildung 6: SAP Einkaufsprozess

Abbildung 7: Knowledge Discovery in Database (KDD) Process

Abbildung 8: Benford und Hill Häufigkeitsverteilung für die 1. Ziffer

Tabellenverzeichnis

Tabelle 1: Gesetzliche Grundlagen für Governance-Organe

Tabelle 2: Beneish‘s Ratio

Tabelle 3: Ergebnisse Brazel et al. (2009)

Tabelle 4: Traditionelle Fraud-Aufdeckung versus Datengeleitete Fraud-Aufdeckung

Tabelle 5: Siemens Hinweise an Hinweisgebersysteme

Tabelle 6: Mögliche Gründe und Maßnahmen bei Differenzen zwischen Hinweisen und Disziplinarmaßnahmen

Anlagenverzeichnis

Anlage 1: Fraud-Tree nach der ACFE

Anlage 2: Begriff Wirtschaftskriminalität nach § 74c GVG

Anlage 3: Unterschied zwischen Fraud und Error nach dem IDW PS 210

Anlage 4: Beispiele Red Flags nach Schiel (2011, 267)

Anlage 5: 7 Fragen zur Analyse ethischer Dilemmata für Buchhalter nach Molyneaux

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

1.1 Problemstellung

Durch das öffentlich werden von Fällen wie z.B. Enron, WorldCom, HealthSouth, MAN, Siemens, Madoff, Parmalat, Libor-Manipulation, etc. wurde dem Thema Fraud in den letzten Jahren mehr Auf- merksamkeit geschenkt.

Nicht zuletzt wurden vor allem die externen Jahresabschlussprüfer dafür kritisiert diese Fälle nicht rechtzeitig aufgedeckt zu haben. Es entstand eine sog. Erwartungslücke zwischen der Öffentlichkeit und den durch die Standards für Abschlussprüfer festgelegten Anforderungen, Fraud im Unternehmen aufzudecken (Guggenberger 2012, 63). So ist nach dem IDW PS 210 Tz. 12 ff., das nachträgliche Aufdecken von Unregelmäßigkeiten kein Anzeichen dafür, dass der Abschlussprüfer die Grundsätze ordnungsgemäßer Abschlussprüfung nicht eingehalten hat. Ein erhöhtes Risiko der Nichtaufdeckung von Unregelmäßigkeiten ist insbesondere bei falschen Angaben auf Grund von Unrichtigkeiten und Verstößen oder der bewussten Umgehung des Internen Kontrollsystems gegeben. Denn nach IDW PS 210 Tz. 44 ff. kann der Abschlussprüfer grundsätzlich von der Echtheit von Dokumenten und Bu- chungsunterlagen sowie von der Korrektheit der erhaltenen Informationen ausgehen. Aber auch die Leistungsfähigkeit des Abschlussprüfers ist nach Orth et al. (2012) begrenzt. Dabei liegen die größten Herausforderungen zur Umsetzung des IDW Standards gegen Fraud, bei dem momentanen hohen Konkurrenzkampf in der Branche und damit verbunden sinkenden Honoraren (Budgetdruck), was wiederum zu einem erhöhten Zeitdruck führt. Zudem wird aus der Praxis befürchtet, dass ein zu kriti- sches Hinterfragen, das Verhältnis zum Mandanten belasten könnte.

Dies zeigt, dass die Abschlussprüfer momentan in einer schlechten Position sind, um auf Fraud im Unternehmen eingehen zu können. Doch ist vor allem das Unternehmen selbst für die Verhinderung und Aufdeckung von Fraud verantwortlich. So wurde bereits am 5. März 1998 das KonTraG (Gesetz zur Kontrolle und Transparenz) beschlossen. Aus den dadurch eingeführten § 91 Abs 2 AktG und dessen Begründung sowie aus der allgemeinen Begründung zum KonTraG, hat die Praxis die Pflicht zur Einführung eines Risikomanagement als auch eines Internes Kontrollsystem, das aus prozessab- hängigen als auch prozessunabhängigen Maßnahmen (z.B. Interne Revision) besteht, geschlossen. So soll der Vorstand Schaden vom Unternehmen abwenden. (Bär und Martin 2002, 130).

Nach § 111 AktG wird der Vorstand vom Aufsichtsrat überwacht, welcher nach § 107 Abs. 3 AktG einen Prüfungsausschuss (Audit Committee) einrichten kann, um ihn bei seinen Aufgaben z.B. den Rechnungslegungsprozess zu überwachen, die Wirksamkeit des internen Kontrollsystems, des Risi- komanagements und der Compliance im Unternehmen zu prüfen, helfen kann. Nach Ziffer 4.1.3 des DCGK (Deutschen Corporate Goverance Kodex) ist unter Compliance die Einhaltung der gesetzlichen Bestimmungen sowie der unternehmensinternen Richtlinien zu verstehen. Damit fällt die Bekämpfung von Fraud in diesen Bereich (nähere Erläuterungen dazu siehe Kapitel 2.4). Der Umfang eines Com- pliance Prozesses wird durch die Anzahl an Regulierungen, Empfehlungen, Standards, Gesetze etc. deutlich. Nach der Bundesrechtsdatenbank gibt es für Deutschland aktuell mehr als 4500 Gesetze und Verordnungen mit fast 80000 Einzelnormen, wozu noch die Ländergesetze kommen (Gillich 2012).

Schäden im Unternehmen durch Fraud

Verstöße gegen Gesetze die nicht das eigene sondern andere Unternehmen treffen (Corporte Mis- conduct) können zu hohen Strafzahlungen führen. So gibt es regelmäßig Strafzahlungen in den USA für Verstöße gegen den FCPA (Foreign Corrupt Practices Act), welcher auch für deutsche Unterneh- men gelten kann (Blechschmidt et al 2010). So musste bspw. Halliburton für die unterlassene Überwa- chung seiner Tochtergesellschaft USD 177 Mio. an die SEC zahlen und sein Compliance System unter Auflagen verbessern (SEC 2009).

In Deutschland könnte die Höhe der möglichen Strafen ebenfalls steigen. Zurzeit können juristische Personen und Personenvereinigungen nach §§ 30 und 130 OWiG bei Verletzung von Aufsichtsmaß- nahmen sanktioniert werden. Die Verbandsgeldbuße liegt dabei bei EUR 500.000 für fahrlässige Straftaten und bei EUR 1.000.000 für vorsätzliche Straftaten. Die OECD hat dies in einem Prüfbericht bemängelt (OECD 2011), woraufhin das Bundesministerium der Justiz, die Verschärfung auf EUR 10 Mio. durch den § 30 Abs. 2 S. 3 OWiG-E in Aussicht gestellt hat (BMJ 2012). Der Transparency In- ternational (2012) bemängelt aber weiterhin, dass das kein Unternehmensstrafrecht wie in Frankreich, Schweiz, UK oder USA darstellt und fordert eine 100-fache Verschärfung. So wurden die Ermittlun- gen der Staatsanwaltschaft München gegen Siemens für die Zahlung von EUR 201 Mio. (EUR 200 Mio. Gewinnabschöpfung und 1 Mio. Euro Geldbuße) eingestellt. Und erst im Juli 2012 musste ThyssenKrupp für seine Tochtergesellschaft der ThyssenKrupp GfT Gleistechnik GmbH we- gen Wettbewerbsverstößen (sog. Schienenkartell) EUR 103 Mio. zahlen (Bundeskartellamt 2012) und zudem 11 Mitarbeiter, einen Geschäftsführer und den Bereichsvorstand entlassen (ThyssenKrupp 2012).

Aber auch die Schäden, die durch die Vermögensschädigung im Unternehmen oder der Manipulation von Finanzinformationen entstehen, darf nicht unterschätzt werden. Der ACFE lässt durch seine welt- weiten Mitglieder (Certified Fraud Examiners) die durchschnittlichen Schäden, die durch „Occupatio- nal Fraud“ (siehe Kapitel 2.1) einem Unternehmen jährlich entstanden sind, schätzen. Dabei kam ein geschätzter Schadensprozentsatz von 5% der Umsatzerlöse heraus. Diese Schätzung enthält nur Fraud- Schemata, die sich dem Fraud-Tree der ACFE (siehe Anlage l) zuordnen lassen. Demnach sind z.B. Verstöße gegen das Geldwäschegesetz gar nicht erst beachtet worden. Des Weiteren hat die reine Vermögensschädigung im Durchschnitt dem betroffenen Unternehmen USD 120.000 gekostet. Der ACFE Report 2012 enthält 1388 Fälle (ACFE 2012). Jedoch werden solche Fraud-Fälle nicht immer vom betroffenen Unternehmen bekannt gemacht oder überhaupt aufgedeckt (Dunkelfeld). Als Haupt- gründe der Nichtanzeige werden die geringe Aussicht auf Schadensersatz und die häufigen Verfah- renseinstellungen, die langen Verfahrensdauern und eine negative öffentliche Wirkung genannt (Gug- genberger 2012). So berichten PwC (2011a) in ihrer Studie, dass die Unternehmen merken, dass Öf- fentlichkeit, Medien und Strafverfolgungsbehörden deutlich aufmerksamer geworden sind und das 40% der befragten Unternehmen einen Reputationsverlust erlitten haben. Dies könnte an dem Infor- mantenschutz bei Medien nach § 53 StPO Abs. 1 S. 1 Nr. 5 liegen. Das Problem ist, dass anhaftende Reputationsschäden an Fraud-Fällen schwer zu bewerten sind, da der Eintrittszeitpunkt nicht bestimmt werden kann und die Nachhaltigkeit von Schäden unterschiedlich ist. Dadurch schaffte das Reputati- onsrisiko es auf den ersten Platz beim „Corporate Risk Barometer“ des Economist (Kaiser et al 2007).

1.2 Zielsetzung der Arbeit

All diese Sachverhalte deuten darauf hin, dass Fraud für die Unternehmen eine Gefahr ist, die über die Jahre dennoch keinen Rückgang verzeichnet.

Aus diesem Grund, soll in dieser Arbeit die Möglichkeiten für Unternehmen hinsichtlich der internen Bekämpfung von Fraud mit Hilfe von bestehender Literatur, Statistiken und Beispielen aus der Praxis aufgezeigt sowie Probleme bei der möglichen Umsetzung oder Einführung identifiziert werden.

Um ein Verständnis für die Maßnahmen gegen Fraud zu bekommen, soll in dem nächsten Kapitel zu aller erst auf die Grundlagen für Fraud, wie z.B. der Begriffsdefinition oder der Ursachen für Fraud eingegangen werden. Daraufhin soll im dritten Kapitel schwerpunktmäßig auf Anti-Fraud Maßnahmen eingegangen werden. Dazu wird zu Erst auf die Ermittlung eines möglichen Fraud-Risikos im Unter- nehmen eingegangen, um dann Präventions- und proaktive Aufdeckungsmaßnahmen zu diskutieren. Das vierte Kapitel setzt anschließend mit einem kritischen Fazit des Themas den Schluss dieser Ba- chelorarbeit.

2. Grundlagen Fraud

Um gegen Fraud im Unternehmen vorgehen zu können, muss erst einmal verstanden werden was Fraud ist. Dies setzt eine Begriffsdefinition voraus sodass der Handlungsrahmen für die Bekämpfung von Fraud sowie die Art und Weise des Vorgehens festgestellt werden kann. Aus diesem Grund wird unter den folgenden Abschnitten der Begriff „Fraud“ näher erläutert sowie die bereits bekannten Cha- rakteristiken von Fraud dargestellt.

2.1 Begriff „Fraud“

Der Begriff „Fraud“ ist ein englischer Begriff, der sich aus dem lateinischen Begriffen Fraus (Betrug) und fraudare (betrügen) abgeleitet hat. Im deutschen gibt es keinen einheitlichen Begriff wie Fraud. Er tritt in der deutschen Literatur durch mehrere Begriffe in Erscheinung wie z.B. Täuschung, Betrug, Unterschlagung, Schwindel, dolose Handlung, Wirtschaftskriminalität, Wirtschaftsdelikte etc. Diese Auflistung kann nahezu endlos weiter geführt werden, da es sich um einen abstrakten Begriff handelt, ohne feste Definition.

In der deutschen Literatur wird der Begriff „Fraud“ bspw. bei Jackmuth et al (2012) auch verwendet. Eine Legaldefinition dafür gibt es aber in Deutschland keine. Aus diesem Grund weist das Bundes- kriminalamt (2010) Straftaten mit Hilfe des Katalogs von §74c Abs. 1 Nr. 1 bis 6b GVG der Wirt- schaftskriminalität zu. Dieser legt fest, für welche Straftaten die Wirtschaftsstrafkammer bei den je- weiligen Landgerichten zuständig ist, da bei der Bearbeitung besondere Kenntnisse des Wirtschaftsle- bens vorhanden sein müssen. Diese „Definition“ umfasst ein sehr breites Deliktsspektrum (siehe An- lage 2).

Die Wahl der Definition für Fraud nach strafrechtlichen Gesichtspunkten ist für ein Unternehmen nicht schlecht, wenn es zu gerichtlichen Auseinandersetzungen kommt, da nur die Fälle welche die Voraussetzungen erfüllen auch vor Gericht bestand haben werden (Singleton und Singleton 2011, 41).

Nichtsdestotrotz sollte der Begriff „Fraud“ für ein Unternehmen anders gefasst sein als die einzelnen Merkmale der verschiedenen Straftatbestände. Bei „Fraud“ aus Unternehmenssicht geht es auch um Handlungen die gegen die finanziellen Interessen eines Unternehmens geschehen, die für sich aber noch keine Straftat darstellen (Kopetzky und Wells 2012).

Nach dem FBI (2010) ist unter Fraud folgendes zu verstehen:

„Fraud ist die vorsätzliche Verdrehung der Wahrheit, um eine andere Person oder eine vertraute Or- ganisation dazu zu bringen sich von etwas mit Wert zu trennen oder auf Rechte zu verzichten.“

Der Begriff Fraud kommt auch im IDW PS 210, welcher sich aus den ISA 240 und ISA 250 ergeben hat, vor (Melcher 2009). Dort bezeichnet das IDW Fraud als Verstöße i. S. v. „beabsichtigen Hand- lungen, die zu falschen Angaben in der Rechnungslegung führen“. Der Standard differenziert dabei Fraud in „ Täuschungen “ und „ Vermögensschädigungen und Gesetzesverstöße “. Demnach be- schreibt der Standard nur zwei Formen von Fraud die nach Boecker und Zwirner (2012) als „ Ac- counting Fraud“ bezeichnet werden, da der Begriff Fraud neben den Auswirkungen in der Rech- nungslegung noch weitere Bedeutungen hat. Singleton und Singleton (2011, 40) haben beispielsweise noch andere Begriffe für die Definition von Fraud mitaufgeführt, wie z.B. „Corporate Fraud (Unter- nehmenskriminalität)“. Dieser beschreibt jede dolose Handlung, die von, für oder gegen ein Unter- nehmen begangen worden ist. Oder auch „Management Fraud“, was die vorsätzliche Fehldarstellung der Gesamten Unternehmensperformance oder die Performance eines Unternehmensteils durch einen Manager, welcher durch sein Handeln nach Begünstigungen in Form von Beförderungen, Bonuszah- lungen oder andere wirtschaftlichen Statussymbole sucht, darstellt.

Auch die Association of Certified Fraud Examiners (ACFE) in den USA versucht in ihrem „Report to the Nations on Occupational Fraud and Abuse“ „Fraud“ zu definieren (ACFE 2012). Sie sagt, dass die Legaldefinitionen zu spezifisch sind und dass nach h. M. (Gesetzgeber, Medien, Anti-Fraud Experten, Öffentlichkeit) „Fraud“ jeden Versuch beschreibt, bei dem eine Partei eine andere belügt, um einen Vorteil zu erzielen. Die ACFE benutzt für ihre Berichte, bei denen sie Fraud-Fälle statistisch aufarbei- ten eine Definition die sich als „Occupational Fraud“ bezeichnen lässt. Occupational Fraud ist demnach:

„The use of one’s occupation for personal enrichment through the deliberate misuse or misapplication of the employing organization’s resources or assets “

Der Gebrauch dieser Fraud Definition ist vom ACFE dadurch begründet, dass Occupational Fraud eine breite Fläche von Fehlverhalten der Angestellten einer Organisation abdeckt und dass es ein As- pekt beschreibt der alle Organisationen auf der Welt betrifft (ACFE 2012). Dadurch schließen sie aber auch Delikte durch Dritte aus, obwohl dies ebenfalls im Interesse des Unternehmens liegen könnte.

Eine weitere Definition liefert das Deutsche Institut der Internen Revision (DIIR) mit seinem Revisi- onsstandard Nr. 5 (DIIR 2012). Demnach ist Fraud „eine beabsichtigte Handlung einer oder mehrerer Personen – Mitglieder des für die Leitung und Überwachung einer Organisation verantwortlichen

Managements, (sonstige) Mitarbeiter oder Dritte – bezeichnet, mit der ein ungerechtfertigter oder rechtswidriger Vorteil erlangt werden soll. “ Diese Definition ist weiter gefasst, da sie nicht nur Ver- gehen aus einer Organisation selbst (Internal Fraud) erfasst, sondern auch durch dritte von außen (Ex- ternal Fraud) gegen das Unternehmen.

Eine allgemeingültige Begriffsdefinition lässt sich nicht finden. Es handelt sich aber immer um ein wissentliches Fehlverhalten, das zu Fraud führt. Somit verlangt es von dem Unternehmen im Vorfeld der Fraud-Bekämpfungsüberlegungen von dem Unternehmen selbst, eine eigene Begriffsdefinition, um so die Forschung nach weiteren Schritten und einer fehlerfreien Kommunikation sicher zu stellen. Demnach wird jedes Unternehmen je nach dessen Umständen und Einstellung eine andere Definition für Fraud für sich finden müssen, um so Fraud bekämpfen zu können. Dies macht es wichtig die be- reits bekannten Charakteristiken von „Fraud“ zu kennen, um einschätzen zu können, wo die Gefahren im Unternehmen liegen.

2.2 Ursachen für Fraud

Das in der Literatur weitverbreitetste Model zur Erklärung von Fraud, ist das Fraud-Triangle von Do- nald R. Cressey. Dieses hatte er während seiner Dissertation in dem Fach Kriminologie an der Univer- sität von Indiana in den 1940er-Jahren aufgestellt, als er Unterschlagungstäter zu ihren Motiven be- fragte (Kopetzky und Wells, 2012, 7).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung l: Fraud-Triangle (Quelle: eigene Darstellung)

Fraud/ Vertrauensbruch tritt nach Cressey dann auf, wenn drei Faktoren gleichzeitig erfüllt sind. Es muss eine Gelegenheit/ Möglichkeit zur Tat (Opportunity) geben. Cressey hatte sich extra Unter- schlagungstäter denen Vertrauen entgegen gebracht wurde - welches sie dann ausnutzten - für seine Studie ausgewählt. Er nannte sie „Trust-Violators“. Damit war die Gelegenheit zur Tat gegeben. In aktuellerer Literatur gelten vor allem schwache oder keine Prozesskontrollen als Gelegenheit für Fraud.

Zudem muss der Täter einen Anreiz/ Motivation für die Tat gehabt haben (Pressure). Nach Cressey handelte es sich bei dieser Dimension um finanzielle Probleme des Täters, die er nicht preisgeben konnte. In späteren Studien kamen neben finanziellem Druck durch plötzliche Schulden, Gier, die Unfähigkeit finanzielle Vorgaben zu erreichen etc. auch nicht finanzieller Druck wie die Herausforde- rung ein System zu umgehen oder bessere Resultate berichten zu müssen als sie in Wirklichkeit waren, hinzu.

Außerdem muss die Tat im Nachgang vom Täter selbst gerechtfertigt (Rationalisation) werden kön- nen. Bei Cressey’s Befragungen haben die meisten Täter die Theorie aufgestellt, dass sie wussten, dass ihre Handlung illegal war, sie es sich aber eingeredet hatten, dass sie es nicht ist. Auch heute gel- ten Aussagen wie „es ist das Beste für das Unternehmen“ als innere Rechtfertigung (Kassam 2012).

Die letzten beiden Dimensionen haben ganz offensichtlich eine erhebliche individuelle personelle Komponente, wohingegen die Opportunity noch der durch das Unternehmen einfachste zu beeinflus- sende Faktor zu sein scheint.

Es wurden auch verschiedene Versuche unternommen, das Fraud Triangle zu einem Fraud Diamond zu erweitern. Dabei wurde aber nur immer eine bereits bestehende Kategorie nochmals unterteilt, ohne inhaltlich einen Mehrwert generiert zu haben. Die vierte Seite konnte sich demnach bisher nicht in der Literatur etablieren (Schiel 2011, 104).

2.3 Fraud-Schema (Delikte)

Unabhängig von der Größe oder der Branche eines Unternehmens gibt es stets Fraud-Risiken, die das Unternehmen grundsätzlich bedrohen. Die Bedrohung kann allerdings hinsichtlich der verschiedenen denkbaren Deliktarten oder auch Fraud-Schemata genannt, höchst unterschiedlich sein. Ein Schema beschreibt wie eine Möglichkeit genutzt werden kann, um sein Problem (Pressure) zu lösen. Mit ver- änderten Gegebenheiten, ändern sich auch die Schemata. Die meisten Fraud-Schemata können aber anhand einer einfachen Aufteilung systematisiert werden:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Systematische Aufteilung von Fraud-Schemata (Quelle: eigene Darstellung)

Die klassischen Fraud-Schemata sind Vermögensschäden sowie die Manipulation von Finanzinforma- tionen und Jahresabschlüssen. Fraud im Bereich Corporate Misconduct wie z.B. Korruption, Geldwä- sche oder Kartellrechtsverstöße führen zunächst nicht zu Schäden im Unternehmen. Es wird vielmehr dadurch versucht, die Wettbewerbssituation des eigenen Unternehmens zu beeinflussen.

Die ACFE hatte für die Kategorisierung einen Fraud-Tree erstellt, der einen Großteil aller bereits be- kannten Fraud-Schemata enthält (siehe Anlage l).

2.4 Fraud und Compliance

Wie eine Benchmark Studie der DAX-Unternehmen von KPMG (2011) zu Compliance zeigte, haben viele Unternehmensleiter in der jüngsten Vergangenheit reagiert und wollten sich mit einem Compli- ance-Management System (CMS), vor möglichen Sanktionen, Vermögensverlusten und den damit verbunden Haftungs- und Reputationsrisiken schützen. Aus diesem Grund soll hier kurz auf den Zu- sammenhang zwischen Fraud und Compliance eingegangen werden.

Die Ziffer 4.1.3 des DCGK (2012) beschreibt Compliance als die Einhaltung der gesetzlichen Best- immungen und der unternehmensinternen Richtlinien. So versteht auch die BaFin (2012) in ihrem Rundschreiben zu den „Mindestanforderungen der Compliance-Funktion (MaComp)“ unter ihrer ge- forderten Compliance-Funktion für Wertpapierdienstleistungsunternehmen im Sinne des § 2 Abs. 4 WpHG lediglich die Pflicht zur Einhaltung der Vorgaben die sich im Wertpapierhandelsgesetz befin- den. Sie gibt unter Ziffer BT 1.3.3.2 Nr. 1 aber zu dem an, dass die Compliance Funktion an andere Kontrolleinheiten angebunden werden kann, welche zur Compliance im weiteren Sinne gehören kön- nen z.B. Geldwäscheprävention. Nach Wolf (2011) kann Compliance im weitesten Sinne aber auch die Einhaltung von Gesetzen, unternehmensinterne Richtlinien und akzeptierten Standards bedeuten.

Nach anfänglicher Unsicherheit der Wirtschaft, wie ein CMS aufgebaut sein muss, hat das Institut der Wirtschaftsprüfer (IDW) seinen Standard IDW PS 980 im März 2010 veröffentlicht, sodass es einem Unternehmen nun möglich ist sein CMS freiwillig von einem Wirtschaftsprüfer prüfen zu lassen (Schulz und Renz 2012). Nach dem IDW PS 980 ist ein CMS angemessen, wenn es mit hinreichender Sicherheit gewährleistet, dass Risiken für wesentliche Verstöße gegen die betreffenden Regeln recht- zeitig erkannt und Verstöße verhindert werden.

Dabei wurde bereits 2009 durch die Staatsanwaltschaft München I bei dem Bußgeldbescheid gegen MAN deutlich gemacht, was unter dem Begriff „Compliance“ zu verstehen ist. Demnach genügt eine reine Präventionsarbeit nicht aus, es müssen auch Auffälligkeiten verfolgt und Straftaten aufgedeckt werden (Moosmayer 2012). Und Busekist (2012) schlussfolgerte aus dem Wortlaut des IDW PS 980, dass die Unternehmensleitung einer Definitionspflicht unterliegt, bei der sie den Geltungsbereich eines CMS selber festzulegen hat.

Demnach scheint es sich bei dem Begriff „Compliance“ wie auch bei einem CMS und dem Begriff

„Fraud“ um einen abstrakten Begriff zu handelt, die je nach Sicht eng oder weit definiert werden kön- nen. So könnte auch geschlussfolgert werden, dass der Begriff „Compliance“ bei der weitesten Defini- tion auch Fraud mit einschließt, so dass Compliance die Summe aus Fraud und allen unwissentlich begangenen Fehlverhalten ist, so wie auch „Fraud und Error“ zu Unregelmäßigkeiten in der Jahresab- schlussprüfung führen können (siehe Anlage 3).

3. Maßnahmen gegen Fraud

3.1 Risiken

Die Bewertung des Risikos in einem Unternehmen nimmt immer mehr an Bedeutung zu. Denn nicht allein das Nichtstun, sondern auch das „Nichtwissenwollen“ kann zu Haftung führen (Schefold 2012). So fordert auch die BaFin (2012) die betroffenen Institute auf ihre wesentlichen Risiken zu beurteilen. Dazu hat sich die Geschäftsleitung regelmäßig und anlassbezogen im Rahmen einer Risikoinventur einen Überblick über die Risiken des Instituts zu verschaffen. Die Risiken sind auf der Ebene des ge- samten Instituts zu erfassen, unabhängig davon, in welcher Organisationseinheit die Risiken verur- sacht wurden. Nach Hinweisen in vielen Gerichtsurteilen zu § 130 OWiG ist zu schlussfolgern, dass der Umfang der erforderlichen Aufsichtsmaßnahmen nicht einfach festgelegt werden kann, sondern stets von den Umständen des Einzelfalles abhängt. Dabei kann dem Vorstand der Eintritt eines nicht identifizierten Risikos nicht vorgeworfen werden, solange er eine methodisch saubere und plausible Risikoanalyse vorweisen kann, die geeignet war die erkennbaren Risiken auch erkennbar zu machen (Busekist 2012). Daraus resultiert die erste Maßnahme gegen Fraud, Wissen zu schaffen, ob und wo das Fraud-Risiko im Unternehmen liegt.

Das Risiko wird als potentieller Vermögensverlust/Schaden, ohne Gegenüberstellung möglicher Ge- winne/Erträge definiert und das Risikomanagement wird häufig als Prozess betrachtet, in dem Risiken identifiziert, gemessen, gesteuert und überwacht werden (Wolke 2008, 3 f.). Neben vielen anderen Risikoarten die es in einem Unternehmen gibt, soll anhand dessen der mögliche Umgang mit Fraud- Risiken aufgezeigt werden.

3.1.1 Identifikation

In der Literatur zum Risikomanagement, lassen sich drei Methoden zur Risikoidentifikation finden: Kollektionsmethoden, analytische Methoden und Kreativitätsmethoden (Fiege 2006, 109).

Bezogen auf Fraud geht es insgesamt bei den Kollektionsmethoden darum bereits bekannte mögliche Risiken zu sammeln. Anhand von vorgefertigten Katalogen oder Checklisten können Risiken durch Befragungen oder Selbsteinschätzung identifiziert werden. Dies hätte den Nachteil, dass keine neuen Risiken identifiziert werden und dass die Listen ständig aktualisiert werden müssten (Ficher 2012, 27). So empfiehlt auch ein „best practice“ Schreiben des COSO, dass es bei großen Unternehmen sinnvoll wäre Befragungsbögen zu erstellen sowie Interviews oder Workshops in einzelnen Unternehmensbe- reichen durchzuführen (COSO 2012, 9). Dabei soll es aber nicht Ziel sein Fraud im Unternehmen auf- zudecken. Aus diesem Grund sollen diese Gespräche nicht im Stil einer „Investigation“ geführt wer- den, sondern Risiken im Dialog erarbeitet werden (Schefold 2012). Dennoch hat sich herausgestellt, dass bei klaren Fragen auf Verstöße teilweise offene und ehrliche Antworten kamen (Hofmann 2009, 537)

Zudem kann einschlägige Literatur oder das Wissen von Experten auf diesem Gebiet genutzt werden (Thurow 2010). Es können aber auch Vergleiche mit ähnlichen Unternehmen vorgenommen werden, wo ein Schaden bereits entstanden ist. Dieses Risiko ließe sich dann auch gut dem Management prä- sentieren (Romeike 2012, 227). So könnte sich ein Fraud-Risiko in einem Unternehmen aus Vorfällen der Vergangenheit ableiten. Dafür könnten auch Schadensstatistiken genutzt werden, welche gelegent- lich von Verbänden (z.B. ACFE, Transparency International oder DIIR), Wirtschaftsprüfungsgesell- schaften oder auch von staatlichen Stellen wie dem Bundeskriminalamt erfragt und zusammengefasst werden.

Unternehmen könnten zudem bereits bekannt gewordene Fraud-Schemata analysieren und entscheiden ob diese in ihrem Unternehmen ebenfalls auftreten könnten (Singleton und Singleton 2011). Es kön- nen aber ebenso vergangene Revisionsberichte oder Anmerkungen des Abschlussprüfers in die Über- legungen mit aufgenommen werden (Schefold 2012).Weitere Quellen können auch Presseberichte sein, da zwar viele Anschuldigungen öffentlich werden, ihnen jedoch häufig die belastenden Beweise oder der Wille dies anzuzeigen fehlen, als dass es je ein aufgedeckter Fraud-Fall würde. Ein Beispiel dafür ist ein Artikel über die Firma YouTailor (Kaczmarek 2012). Darin wird einer der Gründer durch einen anonymen Hinweisgeber beschuldigt, durch überhöhte Rechnungen Geld aus dem Unternehmen zu Unrecht bezogen zu haben, was zu dem ersten Insolvenzantrag des Unternehmens geführt haben soll. Aber auch wenn es sich dabei um bloße Anschuldigungen handelt, weil es vielleicht nie zu einem Gerichtsverfahren kommt, erhalten Unternehmen dadurch bereits eine erste Vorstellung wo die Kern- bereiche von Fraud liegen könnten.

Das Problem bei der Kollektionsmethode ist, dass die Risiken dem Unternehmen selbst bekannt sein müssen und es sich damit um keine neuen Risiken handeln kann.

Damit Fraud-Risiken aber nicht unterschätzt oder ignoriert werden, sollten im Unternehmen auch ana- lytische Methoden oder Kreativmethoden durchgeführt werden. Eine typische analytische Methode wäre ein Fragenkatalog, den es zu beantworten gilt und der dann auf einen oder mehrere Risikofakto- ren abzielt (Schiel 2011, 106). So stellt z.B. die ACFE auf ihrer Homepage einen Fraud- Präventionsfragenkatalog zur Verfügung. Es können aber auch Process-Walk-Through-Tests durchge- führt werden, um nach Gelegenheiten für Fraud zu suchen. Kreativmethoden wie z.B. ein Brainstor- ming helfen, mögliche Fraud-Risiken im Unternehmen in Betracht zu ziehen, die vielleicht auf keiner Checkliste waren. Dabei ist es wichtig, dass die Teilnehmer, die die Überlegungen anstellen, das Un- ternehmen, dessen Abläufe und Umfeld kennen. Es sollte vor allem auf neuere Unternehmenseinflüsse eingegangen werden, z.B. technische Möglichkeiten, neue Projekte, größere Investitionen, sodass po- tentielle neue Manipulationsmöglichkeiten aufgezeigt werden (Singleton und Singleton 2011, 114). Ein Brainstorming erfordert damit von den Teilnehmern Fachkenntnis und Kreativität und ist zu einem gewissen Teil zufallsgesteuert.

Die großen Skandale der letzten Jahre wie z.B. Enron haben aber gezeigt, dass Ereignisse die durch Fraud ausgelöst wurden, Extremereignisse für die betroffenen Unternehmen darstellten. Niemand hatte zur damaligen Zeit das Risiko entdeckt oder richtig eingeschätzt, dass Enron mit Hilfe eines undurch- schaubaren Netzes von Zweckgesellschaften seine Bilanzen manipuliert und mit Hilfe seines externen Jahresabschlussprüfers vertuscht (Cunningham und Harris, 2006). Deshalb und auf Grund der hohen Dunkelziffer bei Fraud-Fällen (Guggenberger 2012) sowie dem Aspekt, dass Fraud-Schemata sich ändern und auf jede denkbare Weise sowie in jedem Prozess im Unternehmen stattfinden können, ist es für viele Unternehmen schwierig und mühselig zukünftige sowie bisher unbekannte Risikopotentia- le zu suchen und in Erwägung zu ziehen, auch solche von denen sie bis dato nichts wussten.

Frühwarnsysteme

Aus dieser Problematik ergibt sich, dass die Suche nach Frühindikatoren, die auf Fraud im Unterneh- men hindeuten, ebenfalls ein Instrument der Risikoidentifikation ist. Sie sollen dem Unternehmen rechtzeitig Fraud signalisieren, so dass noch hinreichend Zeit für die Ergreifung von Maßnahmen ist (Romeike 2012, 227). Nach Brokmann und Weinrich (2012, 24 ff.) lassen sich Frühwarnsysteme auf Grund ihrer Entwicklung in drei Generationen einteilen. Die erste Generation sind die Kennzahlen. Sie haben die Fähigkeit die Realität in verdichteter Form auszudrücken. Um die Aussagekraft zu erhö- hen, werden auch Kennzahlensysteme gebildet. Sie stellen wie die 2. Generation operative Früherken- nungen dar. Die 2. Generation von Frühwarnsystemen sind die Indikatoren, die auf Basis statistischer Zusammenhänge Fraud signalisieren sollen. Ein Beispiel dafür wären die Beneish Ratio oder der Ver- gleich von Ertrag zu „Non-Financial Measures“ (siehe Kapitel 3.3.1.1).

Die Frühwarneigenschaften von Kennzahlen und Indikatoren sind jedoch nicht besonders hoch ausge- prägt, weil die Datengrundlage gegenwarts- bzw. vergangenheitsorientiert ist (Brokmann und Wein- rich (2012, 24 ff.). So könnte es bei den beiden Beispielen passieren, dass sich die Umstände in der Rechnungslegung, im Geschäftsmodell oder in den Vermögensgegenständen verändern können, so- dass die alten Erkenntnisse nicht mehr zu den neuen Gegebenheiten passen. Dazu kommt, das auf Grund der angenommenen hohen Dunkelziffer an Fraud-Fällen, die Basis für Früherkennungssysteme sehr schwierig ist (Schiel 2011, 64). So führte laut ACFE (2012, 63) nur jeder vierte Fall von Occupa- tional Fraud zu einem Zivilprozess, was bedeutet, dass neben den unentdeckten Fraud-Fällen, auch die nicht öffentlichen Fälle als Datenbasis für weitere Studien zur Ermittlung von Red-Flags nicht zur Verfügung stehen. Für weitere Aspekte zu statistischen Möglichkeiten der Fraud-Bekämpfung ver- gleiche Kapitel 3.3.1.

Die dritte Generation sind „ Schwache Signale “, die eher strategisch ausgelegt sind. Dies geht auf die Annahme zurück, dass Diskontinuitäten nicht einfach auftreten, sondern sich im Vorfeld bemerkbar machen und somit noch sehr viel Zeit bieten, um sich Maßnahmen zu überlegen. Nachfolgend soll kurz der Unterschied zu den beiden anderen Generationen dargestellt werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Unterschiede zwischen operativer und strategischer Früherkennung (Quelle: eigene Darstellung in Anlehnung an Krystek (2007, 52))

Die „Schwachen Signale“, zeichnen sich dadurch aus, dass es nur ein vages Gefühl ist, welches durch jegliche Art von Information entstehen kann (Brokmann und Weinrich (2012, 29). Im Hinblick auf Fraud würde dies eine kritische Sicht auf das Unternehmen sowie Kenntnisse über Ursachen für Fraud voraussetzen. Eine Befragung nach empfangenen Signalen die auf Fraud hinweisen, könnte somit ebenfalls in Workshops oder Interviews erfragt oder erarbeitet werden. Wie die Tabelle zeigt, ist die Aufgabe nicht delegierbar, d.h. es müssten die Signale der Prozessabhängigen Unternehmensangehö- rigen gesammelt werden. Doch ist das Hinweisen auf Fraud, auch wenn es nur ein Gefühl ist mit Prob- lemen verbunden (siehe dazu Kapitel 3.3.4).

Eine Auswahl an Beispielen, die ein solches Signal auslösen können, lassen sich z.B. im IDW PS 210 und ISA 240 finden. Die Signale werden in der Literatur „Red Flags“ genannt und sind meistens nach den drei Kategorien des Fraud-Triangles geordnet, da diese die Ursache für Fraud darstellen (siehe für einige Red Flags Anlage 4). In der Literatur finden sich einige Studien, die entweder Red-Flags identi- fizierten oder aus ihnen Modelle herstellten, um Fraud für Unternehmen ableiten zu können. Für die Identifikation wurden in den Studien entweder vergangene Fälle analysiert oder es wurden Experten, meistens Wirtschaftsprüfer oder interne Revisoren befragt. (Schiel 2011, 70 ff.). Zudem geben Alb- recht und Albrecht (2009) an, dass die Analyse von 50 möglichen Fraud-Schemata zu 250 – 500 mög- lichen Red Flags führt, auf die geachtet werden kann. Dies wiederum bedeutet, dass für diese Methode genügend Ressourcen vorausgesetzt werden müssen. Vergleicht man diesen Aspekt mit dem Zeitdruck dem Jahresabschlussprüfer unterliegen, zeigt es, dass diese Methode nicht mit der nötigen Sorgfalt während einer Jahresabschlussprüfung möglich ist. Aber auch die interne Verfolgung dieser Signale könnte problematisch sein (vgl. Kapitel 3.3.l)

Zu der Risikoidentifizierung gehört es auch, die Erkenntnisse in eine Liste mit folgenden Informatio- nen zusammenzufassen: eine Kurzbeschreibung, Daten zur Risikoart und Angaben zu Ursachen des Risikos (Ahrendts und Marton 2008). Fraud lässt sich immer auf Verhaltensrisiken als Ursache zu- rückführen, da Pressure und Rationalisation immer vorliegen, sodass Fraud zustande kommt. Dies hat wiederum Einfluss auf die Bewertung und die Steuerung der Fraud-Risiken.

3.1.2 Bewertung

Busekist und Schlitt (2012) schreiben in ihrem Artikel, dass Risiken gewichtet nach Eintrittswahr- scheinlichkeit und Schadenshöhe klassifiziert werden sollen, um so die Grundlage für Aufsichtsmaß- nahmen zu bilden. Dabei zeichnen sich wesentliche Risiken darin aus, dass wenigstens eins der beiden Kriterien einen vorher durch die Unternehmensleitung festgelegten Schwellenwert (risk appetite) überschreitet.

Um eine quantitative Eintrittswahrscheinlichkeit und Schadenshöhe bestimmen zu können, benötigt es einer objektiven Aussage. Anhand eines Beispiels soll dies für einen Prozess, der Fraud gefährdet ist aufgezeigt werden.

Beispiel: Ein Buchhalter darf Zahlungen anweisen die weniger als EUR 1.200 betragen. Einmal pro Monat wird ein Zahlungslauf durchgeführt. Im Durchschnitt gibt der Buchhalter Zahlungen

i. H. v. EUR 14.400 frei. Das Brutto-Risiko beträgt demnach EUR 172.800.

Es werden alle drei Monate stichprobenartige Kontrollen durchgeführt, bei der insgesamt jede dritte Zahlung betrachtet wird (weitere Ausführungen zum Kontrollrisiko siehe Kapitel 3.3.l.l). Ohne Kontrollrisiko beträgt die Aufdeckungswahrscheinlichkeit 33%, was eine Eintrittswahrscheinlichkeit von ca. 67% ergibt und eine mögliche Schadenshöhe von EUR 115.775 (172.800 * 67%).

Danach ist es von dem im Vorfeld festgelegtem „Risk-Appetite“ des Unternehmens abhängig, ob noch weitere Sicherungsmaßnahmen in den Prozess installiert werden müssen.

Die Beurteilung des Verhaltensrisikos des Buchhalters für Fraud, ist allerdings schwieriger. So nennt Fiege (2006) als weitere Beispiele für Verhaltensrisiken, den Fortgang von wichtigen Personen im Unternehmen und dem damit verbundenen Wissensverlust oder mögliche Imageschäden. Um diese Risiken dennoch zu bewerten, ist es notwendig, dass subjektive Eintrittswahrscheinlichkeiten gebildet werden, um so eine Quantifizierung zu ermöglichen. Qualitative Bewertungsansätze beschäftigen sich somit mit Risiken, die sich nicht mit Erwartungswerten und Eintrittswahrscheinlichkeiten beschreiben lassen. Damit sind auch die Schadenshöhe sowie das gesamte Schadenpotential für diese Art von Risi- ken nicht berechenbar.

Die Instrumente der subjektiven Risikobewertung sind Workshops, Fragebögen, Interviews oder eine Kombination aus diesen (Busekist und Schlitt 2012). Dabei könnten die Risiken durch die Befragten in Risikoklassen einsortiert oder wie unten abgebildet in ein Risikoportfolio eingetragen werden. Die Angaben hängen allerdings stark von den Erfahrungen der Befragten ab. Durch externe Berater oder mehrere interne Experten kann die Einteilung jedoch objektiver gestaltet werden. So können die im Vorfeld identifizierten Red Flags durch prozessunabhängige Prüfer (z.B. Interne Revision nach den Vorgaben des IIA) untersucht und bewertet werden (Wachter 2012, 463). Gezielte Schulungen und Weiterqualifizierungen erhöhen diesen Effekt, so dass eine Erhöhung der Genauigkeit bei der Klassi- fikation erreicht werden kann (Fiege 2006).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Risikoportfolio (Quelle: Fiege 2006, S. l80)

Beispiel: Wie soll das Risiko eingeschätzt werden, dass ein Einkaufsleiter korrupt ist und Lieferanten vorzieht, wenn sie ihn dafür bezahlen?

Die Zumessung einer Eintrittswahrscheinlichkeit könnte eine Hemmschwelle darstellen, da das Formulieren geringer Integrität beim Einkaufsleiter mit langwierigen Erklärungen verbunden und möglicherweise als kränkende Einschätzung empfunden werden könnte und somit zu Spannungen führen kann (Romeike 2012). So bemerkte auch Schiel (2011, 211 f.) in seiner Studie, dass die Stu- dienteilnehmer den Red-Flags, die der Opportunity zugeordnet waren, die geringste Aussagekraft für das Fraud-Risiko zu gesprochen haben. Dennoch stammten 5 der Top 10 Red-Flags, die am meisten angewendet wurden, aus der Kategorie Opportunity und keines aus der Kategorie Rationalisation (sie- he Anlage 3). Schiel (2011) führte diese Erkenntnis darauf zurück, dass sich Red-Flags der Kategorie Rationalisation nicht so objektiv beurteilen lassen, wie Red-Flags der anderen beiden Kategorien. Das Beurteilen von Fraud-Risiken, die die Integrität von Mitarbeitern oder Dritten betrifft stellt damit ein Problem dar.

Zudem ist die Bestimmung der Schadenshöhe schwierig, da gleiche Risiken, z.B. die Möglichkeit der Anlage eines fiktiven Kreditors, Schäden in jeder denkbaren Höhe nach sich ziehen können. Und indi- rekte Schäden bei einem Korruptionsfall können auf Grund ihrer unbekannten Auswirkungen nur schwer eingeschätzt werden. (Romeike 2012).

Die aufgezeigten Probleme, die bei der Identifikation und der Bewertung von Fraud-Risiken entstehen, zeigen, dass Fraud-Risiken leicht ignoriert oder unterschätzt werden können, wenn sich nicht frühzei- tig mit dem Thema fachlich beschäftigt wird. Zusammenfassend ist festzustellen, dass gute Kenntnisse und Erfahrung mit Fraud wichtig sind, um die Herausforderung der Identifikation und der Beurteilung von Fraud anzugehen. Jedoch benötigt es viele Ressourcen um die subjektive Meinung aus dem Un- ternehmen zu holen und diesen dann nachzugehen. Dabei sind die Risikoidentifikation und - Bewertung der wichtigste Schritt zur Fraud-Bekämpfung, da sich die Einschätzung auf die Steuerung der Risiken und dadurch auf die eingesetzten Maßnahmen auswirkt.

3.1.3 Steuerung

Im Rahmen der Risikosteuerung muss das Unternehmen geeignete Maßnahmen gegen die identifizier- ten und bewerteten Risiken festlegen. Dies beinhaltet Maßnahmen zur Vermeidung, Reduktion, Über- tragung und Übernahme von Risiken.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Risikosteuerung (Quelle: Klempt 2007, 83)Quelle: Klempt (2007) S. 83

Die Risikovermeidung zeichnet sich dadurch aus, dass das Unternehmen gewisse Handlungen unter- lässt um ein Risiko, welches als sehr riskant eingestuft worden ist zu vermeiden (Wolke 2008, S. 210). Ein Unternehmen könnte bspw. eine Expansion in ein Land, welches vom Transparency International eine sehr niedrige Korruptionsbewertung erhalten hat, untersagen, da aus Unternehmenssicht das Fraud-Risiko für Korruption und dessen Folgen dort zu groß ist. Dadurch geht es kein Risiko ein, lässt sich aber auch die Chance von einem profitablen Markt entgehen, was gegen die Ziele der unterneh- merischen Tätigkeit wäre. Die Entscheidung zur kompletten Vermeidung ist demnach sehr stark von der möglichen Schadenshöhe abhängig. Durch die nur vage Möglichkeit der Schadensbewertung von Fraud-Risiken, könnten die besser kalkulierbaren Erträge aus der Handlung überwiegen und die Hand- lung, doch in diesem Land/ Markt einzutreten, rechtfertigen.

Die Risikoreduktion hingegen versucht nur Einfluss auf die Eintrittswahrscheinlichkeit oder die Schadenshöhe zu nehmen, umso zumindest ein Teil des Chancenpotentials der Handlung zu bewahren. Einige mögliche Maßnahmen die ein Unternehmen vornehmen kann werden ab Kapitel 3.2 beschrie- ben.

Die Risikoüberwälzung hingegen soll den möglichen negativen Teil des Risikos an einen dritten ab- geben und der positive Effekt voll genutzt werden. Dies lässt sich z.B. mit Versicherungen durchfüh- ren (Wolke 2008, S. 211). Die sog. Vertrauensschadenversicherung umfasst die Absicherung von Vermögensschäden, die Unternehmen durch vorsätzliche Handlungen eigener Mitarbeiter zugefügt werden sowie Schäden durch Computermissbrauch, Datenmissbrauch und Geheimnisverrat. Daneben ersetzt die Vertrauensschadenversicherung dem Unternehmen bestimmte Kosten. Diese sind haupt- sächlich IT-Kosten, Schadenermittlungs- und Rechtsverfolgungskosten oder Public-Relations-Kosten. Die Versicherung ist im Versicherungsvertragsgesetz nicht speziell gesetzlich geregelt, sodass weitge- hende Vertragsfreiheit besteht. Es gibt in Deutschland keine standardisierten Versicherungsbedingun- gen wie bspw. in den USA. Dort wird die Versicherung „Fidelity Insurance“ genannt und findet durch ihre Normung weitaus mehr Akzeptanz (Seitz 2011). Solche Versicherungen sind dadurch in Deutsch- land besonders schwer auf ihre Konditionen hin zu vergleichen und benötigen ausführliche Beratung. Im Hinblick auf die Personenabhängigkeit von Fraud-Risiken sowie Identifikation und Bewertungs- möglichkeiten könnte die Vertrauensschadenversicherung eine sinnvolle ergänzende Maßnahme dar- stellen, da die bewusste und unbewusste Übernahme von Fraud-Risiken noch eine hohe Zahl darstel- len kann. Eine Directors and Officers (D&O) Versicherung hingegen sichert keine Fraud-Risiken ab, da sie nur die Pflichtverletzungen von Aufsichtsrats- und Vorstandsmitgliedern absichert (Fehlerversi- cherung). Sie können jedoch ein Anreizverhalten bewirken, dass die Risikoneigung von D&O’s exzes- siv steigt und damit Fraud-Risiken weniger Beachtung geschenkt wird. Deswegen werden D&O- Versicherungen häufig durch Selbstbehalte ergänzt. Empfohlen werden Selbstbehalte i. H. v. bis zu eineinhalb Jahresgehältern (Offenhammer, 2013, 83). Kosten für diese Versicherung könnten sich durch ein Unternehmensstrafrecht in Deutschland oder Geschäften in Ländern mit höheren Sanktionen zunehmen.

3.2 Präventionsmaßnahmen

Auf der Grundlage der Beurteilung der Fraud-Risiken werden Grundsätze und Maßnahmen eingeführt, die auf die Begrenzung der Fraud-Risiken und damit auf die Reduzierung von Fraud ausgerichtet sind.

[...]