Welche Themenfelder werden von "Fraud & Compliance Management" abgedeckt? Fraud ist zum einen die Göttin der Falschheit aus der griechischen und römischen Mythologie. Die Nähe zu dem aus der englischen Sprache übertragenen Begriff "fraud" ist offensichtlich. In der deutschen Sprache würde man von "Betrug", auch "betrügerische Handlung" oder "dolose Handlung" sprechen.
Compliance im rechtlichen Sinne umfasst die Einhaltung von Regeln in Form von Recht und Gesetz ("Regelkonformität"). Man spürt bereits die große Breite des Themas, die in diesem Herausgeberwerk abgedeckt wird.
Die Relevanz des Themas Betrug – insbesondere im Kontext der Wirtschaft – belegt ein Blick in die Statistik. Im Jahr 2017 wurden in der Polizeilichen Kriminalstatistik insgesamt 74.070 Fälle von Wirtschaftskriminalität registriert, das entsprach einem Anstieg um 28,7 % im Vergleich zum Vorjahr (57.546 Fälle). Die Dunkelziffer ist hierbei recht groß. Denn die Daten in der Polizeilichen Kriminalstatistik können das tatsächliche Ausmaß der Wirtschaftskriminalität nur eingeschränkt wiedergeben, da viele Wirtschaftsstraftaten nicht erfasst sind oder ohne Beteiligung der Polizei bearbeitet wurden.
Einhergehend mit der Gesamtentwicklung sind die Fallzahlen in einigen Teilbereichen der Wirtschaftskriminalität beträchtlich angestiegen. Besonders hervorzuheben sind die Bereiche Betrug/Untreue im Zusammenhang mit Kapitalanlagen (+252,7 %), Anlage- und Finanzierungsdelikte (+229,9 %), Abrechnungsbetrug im Gesundheitswesen (+126,7 %) sowie Wirtschaftskriminalität bei Betrug (+65,0 %).
Doch insbesondere ein Blick auf die Gesamtschadenssumme und den Anteil am wirtschaftlichen Gesamtschaden belegt die hohe Relevanz des Themas. Im Jahr 2017 entstand ein von der Statistik erfasster Schaden in Höhe von 3.738 Mio. Euro (2016: 2.970 Mio. Euro), was einem Anstieg um 25,9 % entspricht. Und der Anteil der durch Wirtschaftskriminalität verursachten Schäden am Gesamtschaden beträgt über 50 %.
Wirtschaftskriminalität weist viele unterschiedliche Facetten. Neben oder womöglich auch wegen der fortschreitenden Digitalisierung werden immer mehr Fälle bekannt, in denen moderne Formen der Wirtschaftskriminalität, wie Cyberkriminalität, eine wichtige Rolle spielen.
Die Herausgeber des Buches "Fraud & Compliance Management" sind sich darin einig, dass die Denkweise und das Handeln des Täters in den Vordergrund gestellt werden muss, um neue Methoden frühzeitig zu erkennen und zu bekämpfen. Fakt ist, dass sich die Täter aus psychologischer Sicht gleichartig verhalten. Dieses Muster dient als Schlüsselfaktor, so die Autoren. In dem Zusammenhang werden aus verschiedenen Perspektiven Einblicke in die Psyche des Täters gewährt. Diese Erkenntnisse können als Mittel zur Prävention dienen, um kriminelles Vorhaben zu durchschauen und hierdurch dem Ziel "vor die Tat" beziehungsweise zumindest "vor den Schaden" zu gelangen, kontinuierlich näher zu kommen. Um auch neuartige Methoden, wie die der Cyberkriminalität, zu erkennen und zu verhindern, werden verschiedene Angriffsszenarien und mögliche Abwehrmaßnahmen aufgeführt. Außerdem werden Datenanalyse-Tools und deren Möglichkeiten beschrieben, um Fraud frühzeitig aufzudecken.
Mit einem Schwerpunkt auf der Bearbeitung von Fraud-Fällen, werden ebenfalls die Themen Berichterstattung und Reporting aufgegriffen. In diesem Sinne werden Methoden zur professionellen Realisierung von Schadenersatz beschrieben. Parallel hierzu steht die Täterfahndung im Mittelpunkt. Oft liefern gerade Mitarbeiter wertvolle Hinweise zur Identifizierung und Überführung des Täters. Ein anonymisiertes Hinweisgebersystem kanalisiert diese Informationen und schützt gleichzeitig die Informanten (Whistleblower).
Die Struktur des Buches folgt dem bekannten Demingkreis oder auch Deming-Rad, einem vierphasigen Prozess für Lernen und Verbesserung, die der US-amerikanische Physikers Walter Andrew Shewhart bereits in den 1930er Jahren entwickelt hatte. PDCA steht hierbei für "Plan – Do – Check – Act", also dem Planen, Umsetzen, Überprüfen und Handeln.
Nach einem einführende Kapitel (Initiative Wirtschaftsschutz – Wirtschaftsgrundschutz und Baustein "Umgang mit Wirtschaftskriminalität") und der Vorstellung eines Spezialistennetzwerks gegen Wirtschaftskriminalität beginnt die Phase "Plan" mit einem Überblick über aktuelle Entwicklungen und Trends im Bereich der Sanktionen gegen Unternehmen bei Compliance-Verstößen. Anschließend wird das Korruptionsstrafgesetz, der Foreign Corrupt Practices Act und der UK Bribery Act im Vergleich vorgestellt. Außerdem werden die Bedeutung und Funktion der Norm ISO 19600 diskutiert. Die ISO 19600 Compliance Management Systems ist ein generischer Standard, mit der Empfehlungen für die Einrichtung und Implementierung von Compliance Management Systemen (CMS) normiert werden. Anschließend wird die Einrichtung eines Fraud Management in Anlehnung an das Business Continuity Management nach ISO 22301:2012 präsentiert. Nach einer Einführung in das risikobasierte Pre-Employment-Screening und einem Artikel zur Bekämpfung von Arzneimittelfälschungen startet die Prozessphase "Do" mit einem Überblicksartikel zur unternehmensinternen Täterermittlung mit Unterstützung kriminalpsychologischer Methoden. Anschließend werden die Einflüsse auf die Zeugenaussage und deren Wahrheitsgehalt sowie die Überprüfung der Glaubhaftigkeit einer Aussage diskutiert. Ein weiterer Text beschäftigt sich Consulting Fraud und dem Vorliegen von Leistungsartefakten als Indikator für Scheinberatungsleistungen. Das hoch aktuelle Thema Cyberkriminalität sowie Angriffsszenarien durch CEO-Fraud werden in einem separaten Text präsentiert.
Die Forensische Datenanalyse untersucht die Daten Ihres Unternehmens nach Vorfällen wirtschaftskrimineller Handlungen. Die Möglichkeiten einer "Integrierte Datenanalytik im Fraud Management" werden in einem Artikel vorgestellt. Weitere Texte diskutieren die Themen "Beschäftigtendatenschutz und Mitarbeiterkriminalität" sowie die Umsetzung eines Governance, Risk und Compliance-Managements in kleinen und mittleren Unternehmen. Anschließend werden die Kapitalmarkt-Compliance, Interessenkonflikte in der Anlageberatung, die Schadenberechnung sowie die ziel- und empfängerorientierte Berichterstattung in einzelnen Autorenbeiträgen vorgestellt.
Im Prozessschritt "Check" wird der Wandel im Bereich Compliance vorgestellt sowie die Wirksamkeit fraud-spezifischer Kontrollpläne unter Nutzung des Internen Kontrollsystems diskutiert.
Der abschließende Prozessschritt "Act" liefert ein Beispiel für die Umsetzung eines Fraud Managements in einem Versicherungsunternehmen zur Steuerung und Messbarkeit innerhalb des Claims Managements.
Insgesamt fallen die beiden letzten Prozessschritt etwas dünn aus, obwohl in der Praxis sowohl der "Check"- als auch der "Act"-Prozessschritt eine hohe Relevanz aufweist.
Die Inhalte des Herausgeberwerkes präsentieren die breite Spannweite des Themas. Dies führt – notgedrungen – auch bei einigen Themen zu dem Ergebnis, dass Themen nur sehr grob und allgemein beschrieben werden. Dies gilt beispielsweise für die Ausführungen zum Thema GRC. Die angesprochene Zielgruppe der mittelständischen Unternehmen wird mit einem COSO-Würfel und dem Three-Lines-of-Defence-Modell nur sehr eingeschränkt etwas anfangen können. Bei ihren Ausführungen beschränken sich die Autoren primär auf ein Compliance-getriebenes Risikomanagement und weniger auf einen wertorientierten Ansatz. Hierbei sollte die Frage im Mittelpunkt stehen, welche Unterstützung ein Risiko-/Chancenmanagement in der Unternehmenssteuerung und der Wertgenerierung spielen kann (etwa in der Investitionsrechnung oder im Strategieprozess). Auch der von den Autoren angesprochene "Risikoausschuss" ist in der Mehrzahl der mittelständischen Unternehmen eben gerade kein Standard.
Leider enthält der Text auch einige Fehler, beispielsweise auf Seite 432: "[…] Dabei werden die Risiken monetär i.S.d. maximalen Schadenspotenzials bewertet und durch Multiplizierung mit der Eintrittswahrscheinlichkeit der Erwartungswert der jeweiligen Schäden ermittelt." Risikomanager und Unternehmen sollte sich eben gerade nicht für Erwartungswerte interessieren, da dieser lediglich die im Periodendurchschnitt anfallende Ergebnisbelastung darstellt. Risikomanager sollten sich auf Szenarien jenseits eines Erwartungswertes konzentrieren. Dies wird vor allem deutlich, wenn eine äußerst geringe Eintrittswahrscheinlichkeit eines Szenarios (ein sog. "grauer Schwan") mit einem extremen Schadensaumaß multipliziert wird. Das eigentlich Stressszenario wird bei einer Betrachtung des Erwartungswertes "wegmultipliziert". Das Erwachen ist groß, wenn am nächsten Tag exakt dieses Worst-Case-Szenario eintritt. Daher arbeiten professionelle Risikomanager, auch im Mittelstand, mit anderen und sinnvolleren Risikomaßen – jenseits des Erwartungswertes. Gängige Risikomaße sind beispielsweise ein realistischer Höchstschaden, deren Verluste durch Eigenkapital (Risikodeckungspotential des Unternehmens) gedeckt werden können. Andere in der Praxis verwendete Risikomaße sind "Risk Adjusted Capitel" (betriebsnotwendiges "Risikokapital"), "Value at Risk" oder "Expected Shortfall".
Außerdem gehen die Autoren in ihrem Beitrag davon aus, dass Risiken überhaupt sinnvoll durch eine Eintrittswahrscheinlichkeit und ein Schadensaumaß beschrieben werden können. Dies gilt jedoch offensichtlich nur dann, wenn diese – und genau diese – Parameter eine adäquate (möglichst vollständige) Beschreibung eines Risikos ermöglichen. Dies trifft speziell jedoch nur für einen bestimmten Verteilungstyp von Risiken zu, nämlich für binomialverteilte Risiken (genauer Bernoulli-Verteilung). Derartige binomialverteilte Risiken weisen genau zwei Zustände auf, entweder das Risiko tritt ein (dann tritt ein Schaden exakt in der angegebenen Schadenshöhe ein) oder es tritt nicht ein. Viele Risiken – auch solche die von den Autoren im Text erwähnt werden – können so nicht beschrieben werden. Alle schwankungsorientierten Risiken haben immer eine Eintrittswahrscheinlichkeit von 100 Prozent. Risiken werden über die Schwankungsbreite abgebildet. Compliance- und Fraudrisiken können nahezu perfekt mit einer sog. Compoundfunktion beschrieben werden. Zum einen wird die potenzielle Häufigkeit abgebildet (beispielsweise einmal im Jahr oder alle x Jahre einmal; beschrieben mit Hilfe einer Poissonverteilung) und zum anderen ein potenzielles Schadensszenario über eine Bandbreite (worst case, realistic case und best case). Unternehmen sollten Risiken so beschreiben und bewerten, wie sie tatsächlich potenziell in der Zukunft eintreten können. Unabhängig hiervon wird der vorgeschlagene Bewertungsansatz der Autor in der Praxis dazu führen, dass viele Risikoverantwortliche eine Eintrittswahrscheinlichkeit schlicht und einfach nicht abschätzen können, da die Dimension "Wahrscheinlichkeit" eine eher abstrakte und intuitiv nicht greifbare Größe darstellt (anders als Häufigkeiten, die besser abschätzbar sind und die in Wahrscheinlichkeiten transformiert werden können; siehe hierzu vertiefend Daniel Kahneman in seinem Buch "Schnelles Denken, langsames Denken").
Fazit: Das Buch "Fraud & Compliance Management" liefert eine kompakte und in weiten Teilen fundierte Einführung in die Welt der Wirtschaftskriminalität und der Compliancerisiken. Der Leser erhält ein buntes Puzzle an Themen, die er beliebig zusammenstellen kann. Vielleicht werden einige Leser die Heterogenität der Beiträge des Buches kritisieren. Doch gerade diese Heterogenität und Vielschichtigkeit zeichnet das Thema Fraud- und Compliancemanagement aus. Wie bei Herausgeberwerken nicht selten, ist auch die Qualität der einzelnen Beiträge sehr unterschiedlich. Die Mehrzahl der Leser wird sich jedoch in dieser Fundgrube an aktuellen und spannenden Themen wohlfühlen.