Prävention beginnt auf der Chefetage

Claude Jung dipl. Wirtschaftsprüfer, MAS ECI, CFE, Fachrat Competence Center für Forensic und Wirtschaftskriminalistik, Mitglied der Geschäftsleitung Küng Treuhand AG, Luzern claude.jung@kueng-treuhandag.ch www.kueng-treuhandag.ch

Dazu kommt, dass viele moderne Mechanismen es Tätern einfach machen. Die heutigen globalen wirtschaftlichen Netzwerke und ­Verflechtungen erleichtern das Vertuschen bestimmter Delikte wie Betrug oder Veruntreuung und moderne Kommunikationsmittel die Ausführung von Delikten. Weiter tragen die potenziellen Opfer selber dazu bei, indem sie beim Aufbau interner Kontroll- und Risiko­systeme die aktive Prävention von Betrug ausblenden. Geschädigte Unternehmen wiederum tun tendenziell alles, damit nichts publik wird. Dies ermutigt Anschlusstäter und verhindert, Lehren zu ziehen.

Typische Fehlurteile

Meist gehen Schweizer Manager wie selbstverständlich davon aus, dass ihr Unternehmen weder betroffen noch gefährdet ist. Dem steht die harte Realität gegenüber: Diebstahl, Betrug, Veruntreuung und Unterschlagung sowie andere Delikte gehören immer häufiger zum betrieblichen Alltag der Schweiz. Erhebungen belegen, dass in den vergangenen zwei Jahren jedes vierte Schweizer Unternehmen ­betroffen war. Infolge solcher Übergriffe verlieren Schweizer Unternehmen jedes Jahr 3 bis 5 Milliarden Franken, was gegen 2% des Bruttoinlandprodukts entspricht. Die Dunkelziffer ist hoch. In über 40% der Fälle ist die Aufdeckung dem Zufall zu verdanken.

– Problem von Grossunternehmen
Die Meinung, nur Grossunternehmen und insbesondere die Finanz- und Versicherungsbranche seien betroffen, ist weit verbreitet und verleitet zu einem ungerechtfertigten Sicherheitsgefühl: Die Erfahrung zeigt, dass Klein-, Mittel- und Grossbetriebe der Wirtschafts­kriminalität gleichermassen ausgesetzt sind. Im Gegensatz zu grossen Unternehmen treffen KMU kaum präventive Massnahmen.

– Unsere Mitarbeitenden sind integer
Überspitzt ausgedrückt sind Mitarbeitende der Risikofaktor Nummer eins. In zwei von drei Fällen sind sie die Täter oder zumindest involviert. Am weitesten verbreitet sind Vermögensdelikte wie Veruntreuung, die von einem Einzeltäter verübt werden. In der Regel sind es bislang unbescholtene Männer zwischen 42 und 52 Jahren, oft Kader, verheiratet, sozial integriert und bei anderen beliebt. Sie nutzen ihr Fachwissen aus und missbrauchen das Vertrauen der Firma.

– Täter handeln aus Not
Die Täter handeln in der Tat aus einer Notlage heraus. Allerdings geht es meist weniger um eine finanzielle denn um eine psychische Notlage. Die Täter sind fast ausnahmslos Bereicherungstäter. Lediglich eine Handvoll handelt aus purer Not. Was den Täter zum Verbrechen antreibt, ist eine Kombination aus Hunger nach Anerkennung, Enttäuschung sowie ­Lücken in der Kontrolle. Dies kann wie Doping auf einen Menschen wirken, der über kriminelle Energie verfügt.

– Uns ist niemand bekannt
Wie viele entdeckte Delikte werden aus Angst, sich vor Mitarbeitenden, Geschäftspartnern und Öffentlichkeit zu blamieren, geheim ­gehalten? Die Entdeckung von kriminellen Handlungen ist für die Geschädigten in aller Regel eine aussergewöhnliche und emotionsgeladene Situation. Übertretungen werden oft intern durch goldenen Handschlag geregelt. Würden betroffene Unternehmen gegenüber Delinquenten Härte zeigen und mit Behörden zusammenarbeiten, wäre unserer Volkswirtschaft mehr gedient.

– Wir haben ein Risikomanagement
Viele Unternehmen besitzen Überwachungssysteme mit Interner Kontrolle und Risiko­management. Diese schliessen aber einen verlässlichen Schutz gegen wirtschaftskriminelle Angriffe nicht automatisch mit ein. Die meisten Manager beurteilen Debitorenausfälle, Garantieleistungen, Wechselkursentwicklungen und andere Risiken als dringlicher und wahrscheinlicher. Das Schadenspotenzial von Wirtschaftskriminalität wird massiv unterschätzt.

– Viel Geld, wenig Nutzen
Geht es um Prävention von Wirtschaftskriminalität, lässt sich ein paradoxes Verhalten feststellen. Massnahmen gegen Wirtschaftskriminalität werden statt zur Verhinderung eines Vergehens erst als Folge eines Schadensfalls ergriffen. Woher diese widersprüchliche Situation rührt, ist offensichtlich: Risikoprävention produziert erst einmal Kosten, der Ertrag ist schwer messbar. Nachvollziehbar ist der Nutzen, sobald das Unternehmen einen Fall durchlebt hat. Wirtschaftskriminelle Straftaten haben eine besondere «Qualität»: Wenige ­Täter schädigen viele Opfer und verursachen massive materielle und immaterielle Schäden. Der tatsächliche Schaden für das Unter­nehmen geht weit über die unmittelbar feststellbaren finanziellen Kosten hinaus. Das Image wird nachhaltig beschädigt. Kunden und Belegschaft sind verunsichert. Der Schock, den die Mitarbeitenden erleiden, wirkt sich negativ auf das Arbeitsklima aus.

Zehn Überlegungen zur Prävention

Aus den genannten Irrtümern lassen sich Handlungsfelder für Unternehmen ableiten. In der Praxis orientiert sich ein umfassendes «Risk and Fraud Management (Fraud = Betrug) an der Gesellschaft und ihrem Rechtssystem, der Unternehmenskultur und -geschichte sowie an den moralischen Voraussetzungen des Individuums. Daher sind Unternehmen als Arbeitgeber in einer ­guten Position, um eine wirksame Prävention zu betreiben.

– Corporate Governance und Business Ethics
Das «Risk and Fraud Management» sollte in das interne Umfeld des jeweiligen Unternehmens eingebettet sein und unternehmens­spezifische Faktoren berücksichtigen. Diese haben massgeblichen Einfluss auf den Aufbau und das Funktionieren der Kontrollaktivitäten des Informations- und Kommunikations- ­sowie Überwachungssystems. Corporate Governance und Business Ethics sind entscheidende Faktoren. Die Kultur eines Unternehmens, seine Philosophie und die Unternehmenswerte bilden die Leitplanken für das «Risk and Fraud Management». Mitarbeitende halten sich im allgemeinen an Regeln, die von der Führungsebene glaubwürdig und überzeugend vorgelebt werden. Wo das gesprochene Wort und die Tat auseinanderklaffen, ändern sich jedoch die Einstellung und das Verhalten auf allen Hierarchiestufen. Fehlende soziale Werte im Unternehmen erhöhen das Risiko, dass kriminelle Energien einen Nährboden ­finden. Eine «Selbstbedienungsmentalität» im Management hat unweigerlich eine «Söldnermentalität» unter den Mitarbeitenden zur Folge.

Check-up 1
Sind im Unternehmen ethische Grundwerte vorhanden? Sind diese in Verhaltensrichtlinien festgehalten und allen Mitarbeitenden kommuniziert, um ethisches Verhalten zu fördern und unerwünschten Verhaltensweisen entgegenzuwirken?

Am Anfang jedes «Risk and Fraud Managements» steht der Entscheid des Unter­nehmens, sich aktiv mit dem Risiko Wirtschaftskriminalität auseinanderzusetzen. Ein wesentlicher Schritt in diesem Prozess ist das Festlegen von Verantwortlichkeiten. Wer ist für die systematische Beurteilung und die Einleitung der entsprechenden Massnahmen zuständig?

Check-up 2
Hat das Unternehmen einen Prozess etabliert zur Überwachung des Risikos Wirtschafts­kriminalität durch die Geschäftsleitung oder andere mit Führungsaufgaben betraute ­Organe bzw. zentral den Verwaltungsrat selbst damit beauftragt?

– Ziele definieren
Langfristig zielt die Unternehmensethik auf ­einen Verhaltens- und Bewusstseinswandel im Unternehmen ab. Dazu gehört es, die Aufdeckung und Bekämpfung von Unrecht­mässigkeiten zu thematisieren.

Check-up 3
Unternimmt das Unternehmen Schritte zur Förderung des Bewusstseins der Mitarbeitenden in Bezug auf kriminelle Machenschaften?

Ziel ist es, eine klare und ehrliche Werthaltung aufzubauen, die das Gute und den Einsatz ­belohnt, den Menschen ins Zentrum stellt und die offene Kommunikation mit den Mitar­beitenden pflegt. Die Auseinandersetzung mit ethisch anspruchsvollen Fragen wird vom ­Unternehmen begrüsst und gefördert.

Check-up 4
Setzt sich das Unternehmen dafür ein, dass die Kommunikation transparent ist – Bottom-up, Top-down und quer über die Abteilungs-, Funktions- und Divisionsgrenzen hinweg?

Die Wahrung und Förderung der Unter­nehmenswerte beginnt bei der Personalpolitik und beim Menschenbild. – Vertrauen oder ­eingehendes «Screening»? Die Beurteilung der Person und deren Kompetenzen soll im Fokus stehen. Angaben sollen auf ihren Wahrheitsgehalt geprüft werden, die Vorabklärungen dennoch nicht zu einer misstrauischen Integritätsevaluation verkommen. Vertrauen ist der Grundpfeiler jeder Arbeitsbeziehung. Die ­Loyalität der Mitarbeitenden gegenüber ihrem Betrieb ist eines der effizientesten Mittel gegen wirtschaftskriminelle Übertret­ungen.

Check-up 5
Pflegt das Unternehmen eine Personal­politik, welche die Loyalität zum Unternehmen und das «interne Branding» festigt?

Ein wichtiger Schritt ist die Bestimmung eines Verantwortlichen aus dem obersten Kader für das «Risk and Fraud Management». Ist die ­Zuständigkeit personell klar geregelt, wird für Mitarbeitende aller Hierarchiestufen klar, an wen sie sich wenden können.

Check-up 6
Ist ein Verantwortlicher für die Betrugs­kontrolle bestimmt?

– Schwachstellen überprüfen
Die Grundlage für jedes Risikosystem ist die systematische Erfassung und Beurteilung von risikoanfälligen Bereichen und Abläufen. Sonst erschöpfen sich präventive Massnahmen in ­einer reaktiven Vorgehensweise beim Auftreten oder Bekanntwerden von Risiken oder Kontrolllücken. Auch in bezug auf Wirtschaftskriminalität sind diese in jedem Unternehmen je nach Branche, Grösse und geographischer Geschäftstätigkeit unterschiedlich. Ein «Risk und Fraud Management» sollte interne und ­externe Einflussfaktoren berücksichtigen, die ihrerseits laufend Veränderungen ausgesetzt sind. Bestehende Kontrollen sollten regel­mässig überprüft und deren Einhaltung ­sichergestellt werden.

Check-up 7
Hat das Unternehmen einen Katalog der Risikofaktoren erstellt? Hat das Unternehmen ­einen laufenden Prozess zur regelmässigen Identifizierung und Überprüfung der wesentlichen Risikobereiche eingeführt?

– Risiken beurteilen
Einige Risiken mögen tolerierbare Kosten im Rahmen der allgemeinen Geschäftsführung darstellen, während andere die Existenz des Unternehmens aufs Spiel setzen. Deshalb lohnt es sich zu überlegen, welche Risiken vermieden werden sollen (z.B. indem auf ­bestimmte Business Opportunities verzichtet wird) und welche Risiken durch geeignete Massnahmen verringert werden können. Aus Kostengründen ist es häufig auch sinnvoll, für die verschiedenen Risikobereiche eine Toleranzgrenze zu definieren und zu bestimmen, in welchen Bereichen eine Null-Toleranz-Politik betrieben werden soll.

Check-up 8
Hat das Unternehmen mittels einer Policy ­definiert, wie das Unternehmen die Risiken managen will?

– Massnahmen einleiten
Hauptziel des «Risk and Fraud Managements» ist die konsequente Einschränkung von Gelegenheiten und Erhöhung der Aufdeckungsmöglichkeiten. Gerade in KMU ist es wichtig, Sicherheitslücken auszumerzen, ehe sie entdeckt und ausgenützt werden. Dazu reichen schon minimale und kostengünstige Massnahmen wie das Vier-Augen-Prinzip, ein ­konsequenter Passwortschutz und die folgerichtig angewandte Funktionentrennung.

Weiter ist eine stufengerechte Informations­politik zu definieren. Tangieren Informationen ­Risikobereiche, werden sie nur dort an Mitarbeitende weitergegeben, wo es für die Aufgabenerfüllung unabdingbar ist. Als erfolgreiches Instrument hat sich auch die Schaffung einer Anlaufstelle für «Whistleblowers» erwiesen, einer Einrichtung, wo Unrechtmässig­keiten anonym gemeldet werden können.

Check-up 9
Verfügt das Unternehmen über Systeme zur Betrugskontrolle? Wissen seine Mitarbeitenden, wohin sie sich wenden können, wenn sie rechtswidriges Verhalten melden ­möchten?

– Ernstfall vorbereiten
Teil des «Risk and Fraud Managements» ist schliesslich auch das Erarbeiten der wichtigsten Instrumente für den Ernstfall. Denn wenn es passiert ist, ist die Situation oft zu emo­tionsgeladen, als dass die nötige Ruhe für klare Gedanken vorhanden ist.

Check-up 10
Gibt es Richtlinien, die das Vorgehen bei ­Unstimmigkeiten festhalten?

Fazit: Vorbeugen lohnt sich

Ein intelligentes «Risk and Fraud Management» ist angesichts der wachsenden Wirtschaftskriminalität entscheidend für den langfristigen Schutz des Unternehmens. Prävention gegen Wirtschaftskriminalität und unnachgiebiges Vorgehen im konkreten ­Deliktfall sind unternehmerisch und gesellschaftspolitisch sinnvolle und weitsichtige Massnahmen. Führungskräfte sollten sich bewusster mit der Gefahr, Opfer wirtschafts­krimineller Angriffe zu werden, auseinandersetzen. Dazu gehört es, Risiken sorgfältig abzuwägen und die Massnahmen auf die ­unternehmensspezifischen Erfordernisse anzupassen.

zurück