IKS – Mit vier sehenden Augen in den Betrugsfall


 

Zwei wesentliche Prinzipien eines gut funktionierenden internen Kontrollsystems sind das 4-Augen-Prinzip und das Prinzip der Funktionstrennung. Doch eine Trennung der Aufgaben sorgt nicht automatisch für ein angemessen kontrolliertes Umfeld, wie  zahlreiche Betrugsfälle trotz Funktionstrennung zeigen.

Somit stellt sich die Frage, ob die Funktionstrennung und das 4-Augen-Prinzip alleine schon eine wirksame Kontrolle darstellen.

 



 

Zwei wesentliche Prinzipien eines gut funktionierenden internen Kontrollsystems sind das 4-Augen-Prinzip und das Prinzip der Funktionstrennung:

  • Das 4-Augen-Prinzip besagt: Kein wesentlicher Betriebsvorgang soll ohne unabhängige Kontrolle bleiben.
  • Gemäß dem Prinzip der Funktionstrennung sind vollziehende, verbuchende und verwaltende Tätigkeiten zu trennen.

Vor allem kleine und mittlere Unternehmen haben jedoch oft Mühe, die notwendigen (personellen) Ressourcen für eine effektive Funktionstrennung und die Beachtung des 4-Augen-Prinzips zu finden. Ein Paradebeispiel ist der Office Manager, der für eingehende und ausgehende Schecks sowie für die Buchhaltung und den Abgleich der Kontoauszüge verantwortlich ist.

Da die Botschaft über die Bedeutung einer angemessenen Funktionstrennung immer wieder in die Unternehmenswelt gesendet wird, entsteht die Wahrnehmung, dass eine Trennung der Aufgaben automatisch für ein angemessen kontrolliertes Umfeld sorgt. Aber das ist nicht der Fall, wie die zahlreichen Betrugsfälle trotz Funktionstrennung zeigen.

 

 

Bedeutung des Prozessdesigns

Somit stellt sich die Frage, ob die Funktionstrennung und das 4-Augen-Prinzip alleine schon eine wirksame Kontrolle darstellen. Die Antwort auf diese Frage hängt im Wesentlichen vom Prozessdesign und von der kontrollierenden Person ab.

 

 

Beispiel Grenzen des 4-Augen-Prinzips:

Eine typische Ausprägung des 4-Augen-Prinzips ist die Anforderung, zwei Unterschriften für eine Bestellung über einem bestimmten Wert zu fordern. Verschiedene Szenarien sind möglich:

  • Der zweite Unterzeichner ist ein direkter Untergebener des ersten Unterzeichners (z.B. der Controller als zweiter Unterzeichner des kaufmännischen Geschäftsführers).
  • Der zweite Unterzeichner unterschreibt einfach ohne weitere Überprüfung.
  • Der zweite Unterzeichner verfügt nicht über das nötige Fachwissen, um eine Überprüfung durchzuführen. Dies kann z.B. der Fall sein, wenn sich die Auswahl der Unterschrift nach der Unternehmenshierarchie richtet (z.B. Prokura) und nun der Leiter Personal seine Unterschrift zu einer komplexen IT-Equipment-Bestellung geben soll.

Alle drei der vorgestellten Szenarien beachten das 4-Augen-Prinzip. In allen drei Fällen stärkt dieses jedoch nicht das interne Kontrollsystem.

 

 

Es reicht somit nicht aus, einen Geschäftsprozess auf verschiedene Personen zu verteilen. Hierdurch könnte sich sogar das Betrugsrisiko erhöhen, da mehr Menschen involviert sind und infolgedessen Übersicht und Kontrolle verloren gehen. Um eine wirksame Risikominderung zu gewährleisten, muss eine Aufgabentrennung so gestaltet sein, dass ein tatsächliches Kontrollelement beteiligt ist. Im obigen Beispiel muss der zweite Unterzeichner fachlich und unabhängig die Gültigkeit der Bestellung überprüfen, bevor er seine Unterschrift erteilt. Nur dann mindert die Aufgabentrennung das Betrugsrisiko. Dies bedeutet: Die Kontrolle als eigenständiges Element gehört zu den Aufgaben des Ausführenden, und ihm wird dementsprechend dafür auch genügend Zeit eingeräumt.

 

 

Typische Probleme

Aber selbst eine gut durchdachte Funktionstrennung bzw. Beachtung des 4-Augen-Prinzips kann versagen. Typische Probleme sind:

  • Teamgeist: Es wird viel Zeit und Geld darauf verwendet, einen „Teamgeist“ zu schaffen und die Zusammenarbeit in der Abteilung zu fördern. Wenn wir ein Team sind, warum sollte ich meinen Teamkollegen kontrollieren? Würde es mich nicht zu einem Außenseiter machen?
  • Vertrauen: Täter sind oft langjährige Mitarbeiter mit einem guten Ruf und Ansehen im Unternehmen. Daher gibt es ein starkes Element des Vertrauens, das eine skeptische Denkweise bei der Durchführung der Kontrolle verhindern könnte.
  • Informationsasymmetrie: Verfügt der Kontrollierende über das nötige Wissens- und Informationsniveau, um eine angemessene Kontrolle auszuüben? Ein gutes Beispiel sind die komplexen Finanzmodelle, die die Finanzkrisen von 2008 zumindest teilweise verursacht haben. Die Kontrollfunktionen und -gremien hatten hier die von hochqualifizierten Spezialisten entwickelten Modelle oftmals nicht verstanden. Aber nur wenige wagten es, dies zuzugeben und die Modelle zu hinterfragen.
  • Eigeninteresse: Es kann passieren, dass die korrekte Durchführung der Kontrolle den Eigeninteressen des Kontrollierenden zuwiderläuft. Ein Vorgesetzter könnte das Gefühl haben, er würde durch seine eigene Kontrollmaßnahme „beweisen“, dass er beispielsweise eine falsche Einstellungsentscheidung getroffen hat, wenn ein neuer Mitarbeiter seine Reisekostenabrechnung manipulieren würde. Da der Manager aber der Auffassung ist, dass er keine Fehler macht, muss er die richtige Person eingestellt haben. Daher bedarf es keiner genauen Überprüfung der Reisekostenabrechnungen.
  • Social-Engineering-Taktiken: Betrüger verwenden häufig dieselben Taktiken wie Verkäufer, um die Kontrollfunktion zu überlisten. Beispiele sind die Erzeugung eines Gefühls der Dringlichkeit (daher keine Zeit für eine sorgfältige Kontrolle) oder die Taktik, dem Kontrollierenden einen Gefallen zu tun, wie z.B. einen kostenlosen Kaffee anzubieten, und dann um eine Art „Rückgabe“ zu bitten („Kannst du mir einfach eine schnelle Unterschrift geben?“).

 

 

Fazit

Obwohl 4-Augen-Prinzip und Funktionstrennung wichtige Elemente des internen Kontrollsystems sind, handelt es sich hierbei nicht um eine Wunderwaffe. Entscheidend ist, durch entsprechendes Prozessdesign die Unabhängigkeit der kontrollierenden Person zu gewährleisten und die kontrollierenden Mitarbeiter zu schulen sowie die Kontrollarbeit angemessen zu honorieren.

 

Christian Thurow, Dipl.-Betriebsw. (BA), Senior Business Audit Manager, London (E-Mail: Thurow@virginmedia.com)

 

 

BC 10/2018