Leider kommt es immer wieder vor, dass Unternehmen Opfer von betrügerischen Handlungen werden, damit großen Schaden erleiden. Dies dürfte auch in einem aktuellen Fall in Graz/Steiermark 🇦🇹 passiert sein, der ORF berichtet aktuell darüber, 27.08.2022 https://steiermark.orf.at/stories/3170878/

Das Phänomen „CEO Fraud“ bezeichnet eine Form des Internetbetrugs, bei dem die Täter über eine manipulierte Email-Adresse, die der des Chefs gleicht oder sehr ähnlich sieht, überweisungsbefugte Mitarbeiter kontaktieren. In der Email wird der dringliche Transfer eines Geldbetrags auf ausländische Konten, meist in China oder Hongkong, gefordert. Die Überweisung wird oftmals unter strikter Geheimhaltung angeordnet. Einmal überwiesen, ist es sehr schwer, das Geld wieder zurückzubekommen bzw. die Betrüger ausfindig zu machen. https://www.wko.at/service/aussenwirtschaft/china-ceo-fraud-praeventivmassnahmen-vorgehen-betrugsfall.html

FRAUD (Betrug) ist nie gänzlich in Unternehmen auszuschließen, im obigen steirischen Fall dürfte es laut diesem Medienbericht durch betrügerische Handlungen von außenstehenden Personen per Internet oder gefälschter Mails gekommen, psychischer Druck dadurch auf Personen im Unternehmen aufgebaut, indem Horrorszenarien vorgegeben wurden.

Letztlich ist der Geldabfluss im Unternehmen erfolgt, der Schaden ist eingetreten.

Sollte es tatsächlich so abgelaufen sein, wie hier geschildert, so haben interne Kontrollmechanismen im Unternehmen versagt, Verantwortungstrennung wurde nicht wahrgenommen, grundsätzliche notwendige interne Prüfschritte nicht getätigt. Im Ergebnis ist ein klarer Workflow im Bereich Rechnungseingang, Rechnungsprüfung und -freigabe, damit auch Zahlungsfreigabe und die zusätzliche Stufe der Überweisung  nicht eindeutig abgebildet, trotzdem jedoch im System zulässig gewesen sein.

In welchen Bereichen des Unternehmens ist etwas schief gelaufen?

  • Rechnungseingang: eindeutige Definition des Zugangs einer Rechnung im Unternehmen.
  • Kaufmännische Rechnungsprüfung: stimmen sie angegebenen Rechnungs- und Überweisungsdaten mit den im Unternehmen für diesen Lieferanten freigegebenen Stammdaten überein?
  • Technische Rechnungsprüfung: entsprechen die Rechnungsdaten den Bestell- bzw. Lieferdaten ( nicht nur bei Waren, sondern auch bei Leistungen)?
  • Überweisungsvorgang: unter welchen Voraussetzungen darf eine Überweisung erfolgen?

  • Trennung von Funktionen: Rechnungseingang / Rechnungsprüfung / Überweisung – zumindest diese Funktionen sind von getrennten Personen wahrzunehmen.

Funktionstrennung:

Kontrollmechanismen:

  • In einer digitalen Rechnungsverarbeitung sind alle Bearbeitungsschritte dokumentiert.
  • Ein Schritt nach dem anderen ist abzuwickeln, keine Lücken oder Sprünge im Workflow zulässig.

FRAUD passiert – leider, doch in der Praxis kann es durch fehlende Kontrollmechanismen im Bereich Rechnungseingang / Rechnungsprüfung / Überweisung zu Compliance – Verletzungen kommen. Wir sehen hier als Wirtschaftsprüfer immer wieder, das zwar die obigen Grundprinzipien in Unternehmungen skizziert sind, jedoch in Einzelfällen umgangen werden, ohne diese abweichenden Vorgänge zu dokumentieren.

Durch den Einsatz entsprechender Rechnungsprüfungssoftware und eindeutiger organisatorischer Regelungen ist  ein eindeutiger Workflow gegeben. Alle Prüfschritte lassen sich jederzeit und von jedem Ort der Welt tätigen, sind somit dokumentiert.