Ein kürzlich veröffentlichter Bericht der Association of Certified Fraud Examiners zeigt das ganze Bild. Für den Bericht wurden zwischen Ende April und Anfang Mai mehr als 1.800 Fachleute im Bereich Betrugsbekämpfung zu den folgenden zehn Betrugsarten befragt:

1. Cyberbetrug
2. Betrug durch Lieferanten und Verkäufer
3. Zahlungsbetrug
4. Betrug im Gesundheitswesen
5. Identitätsdiebstahl
6. Versicherungsbetrug
7. Kredit- und Bankbetrug
8. Bestechung und Korruption
9. Veruntreuung durch Mitarbeiter
10. Betrug bei Jahresabschlüssen

Die Befragten erklärten, sie hätten bereits einen Anstieg in jeder einzelnen dieser Kategorien festgestellt. Daraus ergab sich folgendes Bild:

• 68 % der Befragten erkannten seit Beginn der COVID-19-Krise einen Anstieg der Betrugsaktivitäten in ihren Organisationen.
• 93 % erwarten, dass Betrugsfälle in den nächsten 12 Monaten zunehmen werden, und 51 % erwarten sogar eine deutliche Zunahme.
• Cyberbetrug (also E-Mail-Exploits, Malware und Ransomware) führten die Liste an, wobei 81 % der Befragten in den letzten drei Monaten einen Anstieg feststellten, gefolgt von Betrug durch Lieferanten (68 %), Zahlungsbetrug (60 %) und Betrug im Gesundheitswesen (59 %).

Nichts von all dem kommt überraschend. Mit Blick auf die drei Seiten des berühmten Betrugsdreiecks – Motivation, Rechtfertigung und Gelegenheit – sorgt COVID-19 zunehmend für Bedrohungen. Die Pandemie schafft ideale Bedingungen für ein steigendes Betrugsrisiko, und interne Audit-Führungskräfte werden mit allen ihnen zur Verfügung stehenden Mitteln reagieren müssen.

Bekämpfung der durch COVID-19 bedingten Betrugsfälle

Audit-Führungskräfte sollten zunächst entweder eine neue Bewertung des Betrugsrisikos vornehmen oder dem Betrugsrisiko in ihrem bestehenden Prüfungsplan eine höhere Priorität einräumen. Das größere Geschäftsumfeld der Unternehmen, die Betriebsabläufe und internen Kontrollen haben sich alle geändert – daher sollte die Sensibilität für Betrugsrisiken nicht hinterherhinken.

Die gute Nachricht ist, dass dies bei Prüfungsteams bereits Berücksichtigung findet. Das Institute of Internal Auditors veröffentlichte kürzlich eine Umfrage unter ca. 500 Audit-Führungskräften. 53 % sagten aus, dass sie die Häufigkeit ihrer Risikobewertungen in den kommenden 12 Monaten erhöhen werden. Darüber hinaus äußerten 68 % die Absicht, ihre Prüfungspläne häufiger zu aktualisieren.

Bei dieser neuen Risikobewertung muss der Druck in Betracht gezogen werden, den Mitarbeiter und Führungskräfte hinsichtlich des Erreichens ihrer Leistungsziele empfinden, sowie die Betrugsmöglichkeiten, die sie aufgrund von spontanen Geschäftsprozessen bei unvollständigen oder unwirksamen Kontrollen zur Betrugsbekämpfung haben könnten.

Zur Abwendung von Betrugsfällen sollten Prüfer Folgendes bewerten:

• Leistungsziele. Einige Ziele sind in der gegenwärtigen Wirtschaftslage möglicherweise unerreichbar geworden, etwa höhere Absatzquoten, etwa wenn Ihre Zielkunden selbst ohne Aufträge sind oder Ausgabenkürzungen beschlossen haben. Der entstehende Druck kann dazu verleiten, die Zielvorgaben auf jede erdenkliche Weise zu erlangen.
• Mitarbeitervergütungspläne. Vergütungspläne, bei denen die Mitarbeiter gegeneinander ausgespielt werden, können dazu führen, dass Arbeitnehmer aus Angst vor Arbeitsplatz- oder Einkommensverlust das System betrügen.
• Genehmigungsprozesse für Lieferanten. COVID-19 hat die Lieferketten auf der ganzen Welt unterbrochen, sodass einige Unternehmen ihr Material schnell von neuen Lieferanten beziehen müssen. Das gibt Mitarbeitern die Möglichkeit, fiktive Anbieter anzulegen oder „bevorzugte Lieferanten“ anzuwerben, bei denen sich Interessenkonflikte herausstellen können.
• Genehmigungen durch die Geschäftsleitung. Da ein Großteil der Belegschaft im Homeoffice arbeitet, kann das Dokumentieren von Kontrollen, Saldenlisten, Abstimmungen etc. langwieriger sein. Dies ermöglicht es, betrügerische Aktivitäten zu verbergen oder zu verschleiern.
• Rechnungslegungsbezogene Schätzungen. Das Verfälschen von Schätzungen von langlebigen Wirtschaftsgütern, Außenständen und anderen Posten ist eine traditionsreiche Art des Betrugs. Auch hier erschwert unsere Homeoffice-Welt die Verifizierung solcher Schätzungen.

Dies sind nur einige wenige Beispiele dafür, wie sich das Betrugsrisiko in Ihrer Organisation als Folge der Pandemie entwickeln könnte.

Jedes Prüfungsteam muss eine eigene Liste der für seine Organisation zutreffenden neuen oder sich abzeichnenden Betrugsprobleme entwickeln – aber die Fähigkeiten, die die Auditfunktion zum Gewinnen von Erkenntnissen benötigt, bleiben konstant.

Die Aufgaben des Prüfers zur Verhinderung von Betrug

Kommunikation
Prüfungsteams müssen mit allen Teilen des Unternehmens zusammenarbeiten, um die Betrugsrisiken zu bewerten. Einige dieser Gespräche könnten heikel sein; einige könnten sich in entfernteren Bereichen des Unternehmens abspielen, die vorher nicht viel Kontakt mit dem Prüfungsteam hatten. Die meisten werden wahrscheinlich durch virtuelle Mittel wie Videogespräche, Instant Messaging oder E-Mail erfolgen müssen.

Testen und Dokumentieren
Tests und Dokumentation spielen eine große Rolle, weil Betrugsfälle auf neue Art und Weise oder in größerem Umfang als bisher auftreten können. Beispielsweise könnte ein Betrugsrisiko nun eine Signifikanzschwelle erreichen oder die Veröffentlichung einer wesentlichen Schwachstelle nach sich ziehen – das muss dokumentiert und den Prüfern und dem Prüfungsausschuss unverzüglich zur Kenntnis gebracht werden.

Beilegen
Betrugsrisiken müssen beseitigt werden. Prüfungsteams müssen Beilegungspläne entwickeln, die Verantwortlichkeiten für diese Abhilfemaßnahmen zuweisen und schließlich sicherstellen, dass diese Schritte rechtzeitig erfolgen.

Tiefer liegende Probleme nicht ignorieren
Im Hinblick auf die Beilegung schwacher interner Kontrollen, die Täuschungen Vorschub leisten könnten, sollten Audit-Führungskräfte auch die tieferen Ursachen für Betrugsfälle untersuchen, die eventuell in der Unternehmenskultur liegen. Wie vermitteln beispielsweise leitende Führungskräfte die Bedeutung von ehrlichem Verhalten und Befolgung der Vorgaben bei Finanzprozessen? Wenn die Unternehmenskultur auf „Gewinn um jeden Preis“ ausgerichtet ist, kann das eher Ängste, arglistige oder Verzweiflungstaten hervorrufen als herausragende Leistungen.

Selbst wenn die Unternehmenskultur vorbildliches Verhalten unterstützt, so haben die Mitarbeiter auch ein Leben außerhalb des Unternehmens. Sollten sie in ihrem Privatleben unter Druck stehen (etwa wegen einer Scheidung, Krankheit des Ehepartners, Spielschulden, Studiengebühren), würden sie sich dann wohl dabei fühlen, ihre Ängste und ihre Verletzbarkeit gegenüber Vorgesetzten oder Kollegen zu äußern?

Solche Fragen sind schwieriger zu ergründen, aber sie eröffnen einen wertvollen Blick in die Unternehmenskultur. Sie geben dem Chief Audit Executive und dem Prüfungsausschuss außerdem die Gelegenheit, abzuwägen, auf welche Weise die Kultur und die Grundwerte des Unternehmens Betrugsrisiken zurückdrängen – wenn sie widerstandsfähig sind und die Werte sich der Rationalisierung widersetzen, gestaltet sich die Entwicklung leistungsfähiger interner Kontrollen wesentlich einfacher.