Upload
others
View
6
Download
1
Embed Size (px)
Citation preview
Group Auditing Risk Management
Vom Mitarbeiter zum Täter: Faktoren und Beispiele aus dem Revisionsalltag
Thorsten Kuznik
Hamburg, 22.09.2016
Revisionstag
Group Auditing Risk Management
Gliederung
2
1. Revisionsarbeit in der DOUGLAS-Gruppe
1.1 Die DOUGLAS-Gruppe auf einen Blick
1.2 Aufgabenschwerpunkte
2. Faktoren für Wirtschaftskriminalität
2.1 Begriffsbestimmungen
2.2 Fraud Triangle
2.3 Täterbild
3. Praxisbeispiele
3.1 Kassenbereich
3.2 Back-Office
3.3 Warenwirtschaft
3.4 Rechnungswesen
3.5 Management
3.6 Präventionsmaßnahmen
4. Ausblick
Group Auditing Risk Management
3
1. Revisionsarbeit in der DOUGLAS-Gruppe
1.1 Die DOUGLAS-Gruppe auf einen Blick
Investor CVC,
Fam. Kreke
DOUGLAS GmbH,
DOUGLAS Holding AG
Service Gesellschaften
Parfümerie Douglas GmbH
Douglas Informatik & Service
BASE
Douglas Immobilien
Thalia Holding GmbH
Länder
Thalia Deutschland
Thalia Österreich
Thalia Schweiz
Parfümerie Douglas Deutschland
GmbH
Parfümerie Douglas International
GmbH
18 Länder
18.200
1.700
5.000
300
Mitarbeiter
Filialen
Herder Verlag,
Fam. Kreke
über DLV
Group Auditing Risk Management
4
Group Auditing & Risk Management
Fokus: Douglas Deutschland DOUGLAS Gruppe
StoreCheckAudits Interne Revision
IKS Audits AMORE-Modell
IT Audits StoreAuditSystem (SAS) continuous DataCheckAudit
Risk Management Risiko-Radar
Co
mp
lian
ce-B
oar
d
Lega
l, A
ud
it, H
R
1. Revisionsarbeit in der DOUGLAS-Gruppe
1.2 Aufgabenschwerpunkte
Group Auditing Risk Management
5
Im Jahr 2014 wurden in der Polizeilichen Kriminalstatistik
insgesamt 63.194 Fälle der Wirtschaftskriminalität registriert.
Erfasst wird ein Gesamtschaden in Höhe von 4,3 Mrd. €.
zusätzlich immaterielle Schäden, z.B.
Reputationsverluste
Wettbewerbsverzerrungen
gesunkene Arbeitsmoral
Beeinflussung des Aktienkurses
Bundeskriminalamt:
Quelle: BKA, Bundeslagebild Wirtschaftskriminalität 2014
2. Faktoren für Wirtschaftskriminalität
2.1 Begriffsbestimmungen
Group Auditing Risk Management
6
„Straftaten und Ordnungswidrigkeiten, bei denen das in
der Wirtschaft vorhandene Vertrauensprinzip
missbraucht und eine Schädigung des Unternehmens
beabsichtigt oder billigend in Kauf genommen wird.“*
(Synonym: Fraud)
* KPMG, Anti Fraud Management
Definition Wirtschaftskriminalität
2. Faktoren für Wirtschaftskriminalität
2.1 Begriffsbestimmungen
Group Auditing Risk Management
7
„Handlungen im unternehmerischen Bereich,
die zu absichtlichen Schädigungen
von Unternehmen oder Dritten führen“*:
- Diebstahl
- Betrug
- Untreue
- Urkundenfälschung
- Unterschlagung
- Computerkriminalität
- Korruption
- illegale Preisabsprachen
- …
* Forum Wirtschaftskriminalität
Definition doloser Handlungen
2. Faktoren für Wirtschaftskriminalität
2.1 Begriffsbestimmungen
Group Auditing Risk Management
8
Fraud Triangle*
* in Anlehnung an Donald R. Cressey
Gelegenheit Fehlende oder ineffiziente
Kontrollen
Motivation persönlich, finanziell,
tätigkeitsbezogen
Rechtfertigung Persönlich,
unternehmenskulturell
2. Faktoren für Wirtschaftskriminalität
2.2 Fraud Triangle
Group Auditing Risk Management
9
Risikokategorien, die Wirtschaftskriminalität begünstigen*:
2. Faktoren für Wirtschaftskriminalität
2.2 Fraud Triangle
* KPMG
Group Auditing Risk Management
10
.
2. Faktoren für Wirtschaftskriminalität
2.3 Täterbild
Group Auditing Risk Management
11
.
70 % der Täter waren zwischen 36 und 56 Jahren
85 % der Täter waren Männer
In 68 % der Fälle handelten sie als Alleintäter
In 89 % der Fälle handelte es sich um die eigenen Mitarbeiter
60 % sind Mitarbeiter aus dem oberen Management
In 36 % der Fälle arbeiteten die Täter seit 3 - 5 Jahren im Unternehmen
Der interne Täter arbeitete zumeist in der Finanzabteilung
(Controlling bzw. Rechnungswesen) oder im Vertriebsbereich
Quelle: KPMG, Profile of a Fraudster
2. Faktoren für Wirtschaftskriminalität
2.3 Täterbild
Group Auditing Risk Management
12
Fünf Prototypen von Wirtschaftsstraftätern
egozentrischer Visionär
frustrierter Visionär
narzisstischer Visionär
Abhängiger
Naiver
Quelle: PWC Wirtschaftskriminalität
2. Faktoren für Wirtschaftskriminalität
2.3 Täterbild
Group Auditing Risk Management
Private Taschen an der Kasse
Kassenschlüssel im Kassenumfeld
3. Praxisbeispiele
3.1 Kassenbereich
13
Group Auditing Risk Management
Abrechnung privater
Einkäufe
Nicht qualifizierte
Rechnungen/ Quittung
3. Praxisbeispiele
3.1 Kassenbereich
14
Group Auditing Risk Management
15
Geldentsorgung: Heros-Werttransporte:
Die Heros-Geschäftsführer hatten über Jahre hinweg ein Schneeball-
system betrieben, wobei sie das transportierte Geld dazu verwende-
ten, andere Verbindlichkeiten zu begleichen.
2006 kam es zum Zusammenbruch der Gruppe. Führende Mitarbeiter
wurden zum Teil zu langjährigen Haftstrafen wegen Untreue verurteilt.
Auszug aus dem Geschäftsbericht 2006/2007:
3. Praxisbeispiele
3.2 Back-Office
Group Auditing Risk Management
Unsichere Aufbewahrung Tresorschlüssel
3. Praxisbeispiele
3.2 Back-Office
16
Group Auditing Risk Management
Unvollständiges Schlüsselprotokoll
Verdeckte Geldentnahme
3. Praxisbeispiele
3.2 Back-Office
17
Group Auditing Risk Management
Nie geänderte Türcodes
3. Praxisbeispiele
3.2 Back-Office
18
Group Auditing Risk Management
Offen ausliegende Alarmcodes
19
3. Praxisbeispiele
3.2 Back-Office
Group Auditing Risk Management
20
Tester im privaten Umfeld einer Mitarbeiterin.
Privatfotos eines verprellten Lebensgefährten,
der die Revision informierte.
3. Praxisbeispiele
3.3 Warenwirtschaft
Group Auditing Risk Management
21
Ein Ring, der zuvor bei einer Inventur fehlte,
wurde in der Auslage eines nahegelegenen Juweliers entdeckt,
dekoriert in Originalverpackung inkl. Zertifikat (!)
Trageschmuck (Auszug aus Revisionsbericht):
3. Praxisbeispiele
3.3 Warenwirtschaft
Group Auditing Risk Management
22
Ein Mitarbeiter der Buchhaltung verändert Kontodaten und
überweist Beträge an Familienangehörige
Fingierte Rechnungen für nicht erbrachte Leistungen
3. Praxisbeispiele
3.4 Rechnungswesen
Group Auditing Risk Management
23
Auszug aus dem Geschäftsbericht 2005/2006:
3. Praxisbeispiele
3.5 Management
Group Auditing Risk Management
24
Continuous Screening der Filialen nach revisionsrelevanten Kennzahlen (KPI),
hier: Auszug
3. Praxisbeispiele
3.6 Präventionsmaßnahmen
Group Auditing Risk Management
25
Automatisierte Auswertungen der KPI: StoreAuditSystem (SAS)
3. Praxisbeispiele
3.6 Präventionsmaßnahmen
SAS-Auswertung auf Filialbasis (Ausschnitt)
Beispielfiliale liegt mit einer prozentualen Inventurdifferenz von 0,69%
erfreulich weit unter dem Durchschnitt (1,37%) aller Filialen (fiktive Daten)
Group Auditing Risk Management
26
Interne Kontrollsysteme (IKS), insb. für Kassentransaktionen
Überprüfbare, aktualisierte Organisationsrichtlinien,
insb. Filial-Orgahandbücher
z.B.:
Organisationsvorgaben zur Bargeldübergabe (Geldentsorgung)
Tester-Erklärung der Mitarbeiter
Organisationsvorgabe zu Trageschmuck
…
3. Praxisbeispiele
3.6 Präventionsmaßnahmen
Group Auditing Risk Management
27
Videotechnik
Doorman
3. Praxisbeispiele
3.6 Präventionsmaßnahmen
Group Auditing Risk Management
28
Continuous DataCheckAudits der Buchhaltung
z.B. rd. 40 Prüfungsalgorithmen (Kreditoren)
siehe Übersicht Prüfungsablauf (Auszug Folie 30)
3. Praxisbeispiele
3.6 Präventionsmaßnahmen
Group Auditing Risk Management
29
SAP
Fi/Co
Datenextraktion mit
Caseware
SmartExporter
Datenanalyse mit
Caseware IDEA Automatisierung durch IDEA-Script
Schnittstelle
Steuerung
3. Praxisbeispiele
3.6 Präventionsmaßnahmen
Group Auditing Risk Management
30
Prüfung Name Beschreibung
KR01 Gesperrte Kreditoren ohne SAP Sperrkennzeichen Auflisten aller Kreditoren, die in den Stammdaten Hinweise auf Sperren oder auf andere SAP-Kreditorennummern enthalten.
KR02 Kreditoren mit Debitorenkonto Es wird geprüft, ob ein Kreditor in den Stammdaten einen Eintrag hat, der den Kreditor mit einem Debitor verknüpft.
KR03 Ungewöhnliche Bezeichnung von Kreditoren Es wird geprüft, ob die Namen der Kreditoren mit einer Liste von verdächtigen Begriffen übereinstimmen.
KR04 Abweichende Zahlungsempfänger Auflisten aller Kreditoren mit alternativem Zahlungsempfänger.
KR05 fehlendes Kennzeichen zur Prüfung auf Doppelbuchung Es wird geprüft, ob bei einem nicht gesperrten Kreditor das Feld <REPRF> in der Tabelle LFB1 leer ist.
KR06 falsche Kennzeichnung als CPD Es wird geprüft, ob Kreditorenkonten als CpD-Konten angelegt wurden.
KR07 Dubletten in Bankverbindung Es werden alle Kreditoren ermittelt, deren Bankleizahl, Kontonummer und Land der Bank gleich sind.
KR08 Dubletten in Steuernummer Es werden alle Kreditoren ermittelt, die nicht gesperrt sind und die gleiche Steuernummer besitzen.
KR09 Dubletten in Name und Ort Es werden alle Kreditoren ermittelt, die den gleichen/gleichklingenden Namen und Ort aufweisen.
KR10 Anderes Land in der Bankverbindung Auflisten aller Kreditoren, deren Bank nicht im Land des Firmensitzes ist.
KR11 Kreditoren mit Löschvormerkung Es werden alle zum Löschen gekennzeichneten Kreditoren erfasst, die kein Sperrkennzeichen besitzen.
KR12 Kreditoren mit Zahlsperre Es werden alle Kreditoren gelistet, die in den Stammdaten zur Zahlung gesperrt sind und deren Saldo nicht ausgeglichen ist.
KR13 Fehlende Zahlungsbedingungen Es werden die nicht gesperrten Kreditoren aufgelistet, die in den Stammdaten keine Zahlungsbedingungen eingetragen haben.
KR14 Unbebuchte Kreditoren Auflisten aller Kreditoren, die anhand der Tabelle LFC1 niemals bebucht wurden und deren Alter zwischen 1 und 5 Jahren liegt.
KR15 Zahlungen unterhalb kritischer Grenzen Auflisten der Buchungen knapp unterhalb kritischer Grenzen (45TEUR-50TEUR).
KR16 Skontoverluste Auflisten aller Zahlungen, bei denen es zu Skontoverlusten gekommen ist.
KR17 Zahlläufe an Sonntagen Auflisten aller Zahlläufe, die an einem Sonntag ausgeführt wurden. KR18 Änderungen am Zahllauf Auflisten Zahlläufe an denen Änderungen vorgenommen wurden.
3. Praxisbeispiele
3.6 Präventionsmaßnahmen
Group Auditing Risk Management
31
Erhöhung Transparenz von Reisekostenabrechnung
Anpassung der Reiserahmenrichtlinie
Überprüfung durch Konzernrevision
IKS (Flüge, Bahn, Bewirtung, Hotel):
Heimflüge
Flüge Externer auf Firmenkosten
Doppelbuchungen
Zielorte
Business-Class-Flüge
Hohe Flugkosten
Abweichung zur Gesellschaftszugehörigkeit
1.Klasse-Bahnfahrten
Hohe Bewirtungskosten
Hohe Übernachtungskosten
Monatlicher Report an Vorstand (über die dem Vorstand direkt unterstellten
Mitarbeiter)
3. Praxisbeispiele
3.6 Präventionsmaßnahmen
Group Auditing Risk Management
32
Red Flags weisen auf Bereiche hin,
die einem erhöhten Fraud-Risiko unterliegen:
- ungewöhnlich aufwendiger Lebensstil, der nicht zur Position passt
- finanzielle Schwierigkeiten im Privatbereich
- nahe Beziehung zum Lieferanten/ Kunden
- starker Druck durch das Unternehmen
- …
Quelle: Nimwegen, Vermeidung und Aufdeckung von Fraud
3. Praxisbeispiele
3.6 Präventionsmaßnahmen
Group Auditing Risk Management
33
Komplexer werdendes Compliance Umfeld erfordert den Fokus auf alle
Unternehmensprozesse (entlang der Wertschöpfungskette)
Steigende unternehmensweite IT Durchdringung erfordert
Einsatz entsprechender IT-Audit Tools (Prüfsoftware IDEA)
automatisierte IT-Audits
in höherer Frequenz („continuous“)
Projektbegleitende Audits (ex ante vs. ex post)
Zielgerichtetes Management Reporting
Gute Unternehmenskultur stützt das AFM mit Normen und Werten
Anforderungen an Revisoren steigen
fachlich
persönlich
4. Fazit
Group Auditing Risk Management
Herzlichen Dank
für Ihre
Aufmerksamkeit!
Dipl.-Kfm. Thorsten Kuznik