WhitePaper: Kriminelle Handlungen im Unternehmen verhindern mit Segregation of Duties („SOD“)

von | Dez. 19, 2022 | Cyber Security

Hacker sitzt vor dem Laptop, im Hintergrund Bankomat und Geldscheine

Kriminelle Handlungen im Unternehmen verhindern

Betrugsidentifikation und Betrugsprävention
in der neuen, digitalen Welt des «Value Chain Control Systems» (“VCCS”)

Autorin: Priska Altorfer, Managing Partner wikima4 Ltd.

Oktober 2021, update November 2022

Download White Paper "Kriminelle Handlungen im Unternehmen verindern"

1. Warum es wichtig ist, sich mit dem Thema auseinanderzusetzen

 Die verheerenden Kosten krimineller Handlungen und Betrug in Unternehmen

Es kann ein Unternehmen – egal welcher Grösse – an sein Existenzende bringen: Betrug. Laut einer globalen Studie der “Association of Certified Fraud Examiners” („Occupational Fraud 2022: A Report to the nations ® /ACFE“) haben Betrug in über 2’100 Fälle in 2021/2022 Unternehmen 3,6 Milliarden Dollar gekostet. Dazu gehören Vermögensunterschlagung, finanzielle Falschaussagen und Korruption.  Schätzungsweise 5 Prozent des Jahresumsatzes gehen Unternehmen alleine durch betrügerischen Tätigkeiten verloren, die von Mitarbeitern, Managern, Eigentümern und Führungskräften begangen werden.

Die unternehmerische Herausforderung

Betrug ist also eine monumentale Herausforderung und gleichzeitig geschäftskritisch. In den USA haben Studien gezeigt, dass Betrug für eines von drei Unternehmen Konkursursache ist. So gesehen bedeutet Betrugsbekämpfung, den Fortbestand des Unternehmens zu sichern.

Der Betrugsbericht 2022 der ACFE hat mehr als 2’110 Fälle weltweit untersucht. In fast 29% der untersuchten Fälle kam es zu Betrug aufgrund mangelnder interner Kontrolle. Weitere 20% dieser Vorfälle zeigten eine Übersteuerung der internen Kontrollen.

Das Beratungsunternehmen PwC hat auch im Jahre 2022 die „Global Economic Crime and Fraud Survey „** durchgeführt. Dieser Bericht vereinigt Daten von mehr als 7.200 Befragten in 123 verschiedenen Regionen weltweit.  46% der befragten Unternehmen gaben an, dass sie Opfer von Betrug und Wirtschaftskriminalität geworden sind. Tatsache ist, dass die gemeldete Rate der Wirtschaftskriminalität in allen Gebieten der Welt zugenommen hat.

Die Rolle des CFO

Betrug ist einerseits ein grosses finanzielles Risiko und bedeutet gleichzeitig auch ein ebenso grosses Reputationsrisiko für das Unternehmen. Die Verantwortlichen in Unternehmen verlassen sich auf die CFOs. Deren Aufgabe ist es, den Vorstand laufend über Risiken im digitalen Umfeld des Unternehmens aufzuklären, wie Betrug innerhalb des Unternehmens verhindert wird und wie Verluste im schlimmsten Fall minimiert werden. Verwaltungs-/Aufsichtsräte und das Managementboard erwarten, dass die Systeme so geschützt sind, dass Betrug ausgeschlossen ist und dafür im Unternehmen die entsprechenden Prozesse und Systeme eingeführt und etabliert sind. Der Schlüssel dazu ist die Beherrschung von Data Governance. Dies ist nicht nur innerhalb des Unternehmens von entscheidender Bedeutung, sondern gilt für das gesamte wirtschaftliche und soziale Ökosystem eines Unternehmens, von der Strategie über die Umsetzung bis hin zu Reporting und Audit, vom Lieferanten bis zum Kunden.

Der lange Weg zur Betrugserkennung

CFOs liefern heute ein breites Spektrum an Informationen und Unterstützung für die verantwortlichen Gremien. Es ist jedoch schwierig, über die Überwachung und Verhinderung von Betrug zu berichten, da es meist keinen etablierten Echtzeitprozess gibt. Die Analyse erfolgt unregelmäßig, oft auch manuell. Doch nur regelmäßige Berichte sind bei Betrug aussagekräftig und ermöglichen eine faktenbasierte Entscheidungsfindung. 

Die neue Welt des Value Chain Control Systems („VCCS“)

Die fortschreitende technologische Integration innerhalb der Wertschöpfungsprozesse erzeugt digitale Daten. Tatsache ist, dass in dieser vernetzten Welt nicht nur Mitarbeiter auf diese Daten zugreifen. Andere am Wertschöpfungsprozess beteiligte Parteien, wie z.B. externer Support oder Kunden, interagieren mit den Systemen, in denen Datenströme fließen. Die digitale Transformation erfordert deshalb ein starkes Management entlang der Wertschöpfungskette zum Schutz vor Betrug. Die Zugriffsregeln für digitale Daten und Prozesse sind für alle Beteiligten zu verwalten – und erfordern eine Überwachung in Echtzeit.

2. Die Säulen der Betrugsbekämfpung

Die ACFE-Studie hat gezeigt, dass fehlende oder ungenügende interne Kontrollen ein Grund für Betrug in Unternehmen ist.  Der Aufbau von internen Kontrollen löst diese Herausforderung. Sie umfassen 4 strategische Hauptaufgaben:

  • Datenspeicherung, denn Daten in den verschiedenen IT Systemen und Anwendungen sind die wertvollsten Assets jeder Unternehmung.
  • Workflows, die eine Trennung von Aufgaben und Prozessen vollzieht («Vier – Augen – Prinzip»).
  • Echtzeitanalysen, die Unregelmässigkeiten erkennen, wenn sie auftreten.
  • Systematische Kontrollen, so dass potenzielle Betrugsmöglichkeiten erkannt und verhindert werden. 

Zur Vereinfachung: die Segregation-of-Duty Reise

Wenn es um Betrug geht, ist das Timing entscheidend. Die Echtzeitüberwachung umfasst Workflows, Systeme und Anwendungen gleichermassen. Die Trennung der Aufgaben («Separation of Duties») ist dafür die Grundlage. In jeder komplexen Umgebung ist die Technologie der Schlüssel zur Vereinfachung. Eine solide interne Kontrollumgebung baut auf den richtigen Systemen auf, kombiniert mit dem Wissen, welche Daten wo verwendet werden. Schliesslich soll der CFO wissen, wie die eingesetzten Systeme und Tools dem Unternehmen einen Mehrwert liefern.

Das Ziel der Aufgabentrennung („SOD“) ist immer der Schutz vor Betrug. Eine manuelle Steuerung bedeutet immer auch eine mangelnde Zuverlässigkeit. Zudem dauert es Monate, bis Ergebnisse da sind. Unter Umständen beinträchtigen sie die Produktivität der Unternehmen.

3. Die 3 wichtigsten Kontrollkategorien: analysierend, präventiv, reaktiv

Die Schlüsselfähigkeiten der „SOD“-Monitoring-Tools lassen sich weitgehend in drei Hauptkontrollen einteilen

  • Analysierend: Hier geht es um die Erkennung bestehender SOD-Verletzungen auf der Grundlage von Regelwerken, Audits, Berichten und Zugriffszertifizierungen. Typischerweise folgt zur Behebung eine risikobasierte Klassifizierung der identifizierten SOD-Konflikte.
  • Vorbeugend: Kontrollen, wie konforme Benutzerbereitstellung und das Rollenmanagement, stellen sicher, dass potenzielle SOD-Konflikte erkannt und behoben werden, bevor sie in Systemen implementiert werden
  • Reaktiv: Kontrollen, wie z.B. die Transaktionsüberwachung, erkennen SOD-Verletzungen und machen Reaktion und die Behebung möglich.

 

Die Implementierung von Echtzeitkontrollen, um Betrug zu vermeiden

Automatisierte Kontrollen bringen das Thema „Betrugsprävention“ für Unternehmen, Mitarbeiter, Vorstände und CFOs auf die nächste Stufe.  Eine ausnahmebasierte Überwachung in Echtzeit kontrolliert Unregelmässigkeiten. Dieser Lösungsansatz reduziert auch die zeitintensiven, manuellen Kontrollen.  Sie umfassen die Analyse von Geschäftsvorfällen und Benutzeraktivitäten über die verschiedenen Geschäftsanwendungen hinweg. Ein automatisiertes Reporting ermöglicht es auch, die Diskussionen mit dem Management und dem Vorstand auf die nächste Ebene zu bringen.

4. Best Practice – vom internen Kontrollsystem bis zu «VCCS», dem Value Chain Control System

Der SoD Projektumfang setzt den Fokus auf regulatorische Anforderungen innerhalb eines internen Kontrollsystems. In verschiedenen Branchen, insbesondere in der Industrie, erfordern SoD Projekte erhebliche Anstrengungen, um das angestrebte Qualitätsniveau zu erreichen.

Der digitale Lösungsansatz in der Software Suite

Unter diesen typischen Projektvoraussetzungen deckt die Software-Suite die folgenden Aspekte ab, um «GRC» (Governance, Risk & Compliance) ganzheitlich zu implementieren und zu verwalten.

  • Die Software-Suite ist „Easy-to-use“ für alle Arten von Benutzern und Interessengruppen.
  • Niedrige Lizenzgebühren, User-basierend und tiefe Ste-up Kosten durch die einfache Implementierung
  • Echtzeit-Monitoring, Data Mining und Reporting-Funktionalitäten müssen in einem Tool abgedeckt werden, idealerweise ausserhalb der vom Unternehmen eingesetzten Business Suite wie zum Beispiel SAP.

Best Practice: kurze Implementierungszeit

Im folgenden Projekt wurde die GRC-Software „wikima4 Mesaforte“ bei einem Schweizer Luftfahrthersteller implementiert. Der Projektumfang als solcher, die Herausforderungen und der Nutzen nach erfolgter Implementierung bleiben gleich – egal in welcher Branche.

Ziel dieses Projekts war es, die Trennung von Aufgabenkonflikten, kritischen Transaktionen und Profilparametern in Geschäftsprozessen (z.B. Procure to Pay und Order to Cash) sowie IT-Prozesse zu überwachen und zu automatisieren. Insgesamt wurden rund 120 Risikobereiche ausschliesslich nach den Mesaforte-Standardregeln überwacht.

Alle identifizierten Konflikte werden von einem Sachbearbeiter im Rechnungswesen bearbeitet, der sich ausserhalb der IT-Abteilung befindet. Widersprüchliche Rollen werden nicht in die Produktion überführt, es sei denn, es gibt eine Ausgleichsmaßnahme, die vom Compliance Officer genehmigt wird. Sowohl die Ausgleichsmassnahme als auch die formale Genehmigung werden mit dem gemeldeten Konflikt in Mesaforte dokumentiert und durch einen Rechtfertigungsdialog unterstützt.

Mesaforte aktualisiert täglich ein «SAP Controls Management Cockpit». In diesem Cockpit wird der aktuelle Stand der Aufgabentrennung, unerwartete Werte in Profilparametern sowie Sicherheitsvorfälle (z.B. wiederholte fehlgeschlagene Anmeldeversuche bestimmter Benutzer) grafisch als Dashboard zusammengefasst. Das Cockpit verfügt über eine Drill-Down-Funktionalität zur weiteren Analyse. Für jedes überwachte Element werden die zutreffende Regel, der Ist-Wert und der erwartete Wert angezeigt. Darüber hinaus steht ein Änderungsprotokoll für Zugriffsrechte für Auditzwecke zur Verfügung.

Durch die Überwachung von Zugriffsrechten und Profilparametern werden Sicherheitsvorfälle täglich überwacht. Die Systemadministration von Mesaforte erfordert nur minimalen Aufwand. Upgrades werden über FTP bereitgestellt und sind in 2 bis 4 Stunden installiert.

Die Hauptvorteile dieser eingesetzten Lösung sind:

  • mehr Transparenz, unterstützt durch ein leicht verständliches Cockpit,
  • reduzierter Aufwand zur Sicherstellung der Einhaltung der erforderlichen Aufgabentrennung,
  • die Betrugsbekämpfung durch „Verriegeln von Türen nur wenn nötig» zu verstärken.

Über die Autorin Priska Altorfer, Managing Partner wikima4 AG

Priska Altorfer ist verantwortlich für Produkt-Innovation, den weltweiten Vertrieb und das Marketing der Softwareprodukte und Dienstleistungen von wikima4.  Sie ist als Projektmanagerin, Risiko-, Compliance- und Sicherheitsspezialistin und für die Datenanalyse von Lizenzmethoden tätig. In vielen Bereichen unterstützt sie Unternehmen auch im Bereich «Diversity». Priska Altorfer ist Vorstandsmitglied der Swiss Informatics Society SI, verantwortlich für «Diversity», «Industrie 4.0» sowie die Interessengruppe „donna informatica“. Als Mitglied der Europäischen Frauengruppe der CEPIS in Brüssel unterstützt sie die europäische Organisation bei der Steigerung der Vielfalt in der digitalen Transformation. Zum Thema Digitalisierung führt sie gemeinsam mit der Schweizerischen Informatikgesellschaft SI eine internationale Studie zu Managementansätzen in der digitalen Transformation durch.
Kontakt: priska.altofer@wikima4.com

Zitierte Datenquellen

* Bericht an die Nationen, 2022 GLOBAL STUDY ON OCCUPATIONAL FRAUD AND ABUSE, durch ACFE (Association of Certified Fraud Examiners)

https://acfepublic.s3.us-west-2.amazonaws.com/2022+Report+to+the+Nations.pdf

** Betrug aus dem Schatten ziehen Global Economic Crime and Fraud Survey 2018 von PWC
https://www.pwc.ch/en/insights/economic-crime-survey.html