Betrugsskandal und Polit-Thriller

Und täglich grüßt… Wirecard!


Und täglich grüßt… Wirecard!Kolumne

Der Fall Wirecard ist längst mehr als der bis dato größte deutsche Bilanzskandal. Er entwickelt sich zu einem Wirtschafts-Thriller mit immer neuen Wendungen. Und das letzte Kapitel, so scheint es, ist immer noch nicht geschrieben. Nahezu täglich kommt es zu neuen Entwicklungen.

Wer ist Opfer und wer ist Täter?

Ende Oktober 2021 wartete der ehemalige Chefredakteur des Handelsblatts, Gabor Steingart, in einem Gastbeitrag im Focus mit der These auf, dass mit Markus Braun seit 15 Monaten der "falsche Schattenmann" hinter Gittern sitzen könne. In seinem Beitrag werden viele Fragen aufgeworfen: 

  • Warum liefert die Staatsanwaltschaft nicht schon längst die Anklageschrift, wenn doch eigentlich alles klar sein müsste? 
  • Warum wird der Ex-CEO Braun von keiner Seite – nicht mal vom Kronzeugen B. – beschuldigt, an den Schattenstrukturen beteiligt gewesen zu sein, von denen in zahlreichen Medienberichten die Rede ist?
  • Der Kronzeuge B. hat sich in den Vernehmungen (scheinbar) in massive Widersprüche verstrickt: Ist er ein klassischer Kronzeuge oder doch sogar Mittäter?
  • Das Vermögen von Braun bestand überwiegend aus Wirecard-Aktien. Zwischen 2015 und 2018 wurden massiv Aktien (teilweise sogar auf Pump) gekauft. Der letzte Aktienkauf im Mai 2020 erfolgte sogar in Kenntnis der Tatsache, dass ein Testat unter den Jahresabschluss zum 31.12.2019 nur unter Vorbehalt erteilt werden sollte. Bis zum Zusammenbruch des Unternehmens wurde nach aktuellem Kenntnisstand keine einzige Aktie verkauft oder auf Angehörige übertragen. – Handelt so ein Mann, der alle hinters Licht geführt hat?

All diese Fragen können Stand heute nicht ganzheitlich beantwortet werden. Es bleibt zu hoffen, dass in einem gerichtlichen Prozess eine vollumfängliche Aufarbeitung stattfindet. – Und dass der größte deutsche Bilanzskandal nicht versucht wird, in großen Teilen, unter den Teppich zu kehren.

Aus eben diesem Grund hat sich das Handelsblatt entschlossen, am 11. November 2011 den "Wambach-Report" zu veröffentlichen, obwohl dieser eigentlich vom Bundestag als "geheim" klassifiziert war. Der Bundestag war hierbei übrigens "der Selbsteinstufung der dokumentenherausgebenden Stelle" – namentlich EY – gefolgt.

Veröffentlichung des Wirecard-Geheimberichts 

Der Wirecard-Geheimbericht wurde von einem 40-köpfigen Team um Martin Wambach, seines Zeichens Vorstandsmitglied des IDW und Geschäftsführer bei Rödl & Partner, nach einer intensiven, vierwöchigen Sonderprüfung erstellt. Er umfasst 168 Seiten und kommt einer "Vernichtung" der Prüfungspraktiken des Wirtschaftsprüfers EY gleich. EY hatte seit 2009 die Bilanzen der Wirecard AG geprüft und Jahr für Jahr testiert – bis zum 18. Juni 2020, als das Testat für das Jahr 2019 endgültig verweigert wurde.

Bei der Beurteilung der Arbeit von EY wurden jeweils die vorgeschriebenen und gängigen Standards des Instituts der Wirtschaftsprüfer (IDW) für Abschlussprüfungen herangezogen. Bereits ein kurzer Auszug macht deutlich, wie eklatant die Missstände gemäß des Sonderprüfungsberichts gewesen sein müssen:

I. Bluff mit den Treuhandkonten bzw. "Qualität der Prüfungsnachweise" (S.41ff.)

Gemäß IDW PS 300 (2014) muss der Abschlussprüfer die Bildung des Prüfungsurteils auf Prüfungsnachweise, die angemessen und ausreichend sein müssen, stützen. Er muss die Relevanz und Verlässlichkeit der Informationen berücksichtigen, die er als Prüfungsnachweise verwendet. 

PayEasy Solutions Ltd. war einer der zentralen Zahlungsdienstleister, die eine wichtige Rolle im Treuhandsystem eingenommen hatten. Die EY-Forensiker (FIDS) überprüften u. a. den Forderungsbestand zum 31.12.2014 gegenüber PayEasy. Dieser belief sich auf 62,5 Mio. EUR bzw. 18% der Konzernforderungen.
Im weiteren Verlauf wird es dann abenteuerlich… 

Die Website http://www.payeasysolutions.com/ des Unternehmens funktioniert(e) nicht. Auch eine alternative Website (http://www.mypayeasycard.com/) funktionierte nicht. Nachdem die philippinischen FIDS-Mitarbeiter nicht erfolgreich waren, gelang es auch den deutschen FIDS-Mitarbeitern nicht, die Existenz von PayEasy zu verifizieren. Eine abschließende Klärung der offenen Fragen zur Existenz von PayEasy ist in den Arbeitspapieren von EY nicht ersichtlich. Stattdessen ist eine E-Mail-Korrespondenz mit dem Vorstand, Jan Marsalek, abgelegt. Die E-Mail stammt dabei von Carol Sy, Senior Financial Controller von PayEasy Solutions – die allerdings davor nie maßgeblich in Erscheinung trat.

Der Wambach-Bericht fasst die Versäumnisse im Zusammenhang mit PayEasy wie folgt zusammen (Tz.216, S.45):

Die Einbindung von FIDS sollte mithilfe weiterer Prüfungsnachweise zu erhöhter Prüfungssicherheit führen. Die neuen Prüfungsnachweise sind jedoch weniger verlässlich und weniger relevant und die Ergebnisse des Philippinischen FIDS Kollegen bleiben unberücksichtigt. Den Arbeitspapieren ist auch nicht zu entnehmen, dass diese schwachen Prüfungsnachweise und die Ungereimtheiten rund um die Rückmeldung von PayEasy als einzelne und auch kumulative Warnsignale wahrgenommen wurden und die kritische Grundhaltung des Abschlussprüfers verändert hätten. Folgende Aspekte können aus Sicht eines Abschlussprüfers als Warnhinweise verstanden werden:

PayEasy ist ein bedeutsamer TPA-Geschäftspartner. Warnsignale sind, dass:
a. Wirecard dem Abschlussprüfer eine falsche Adresse gibt,
b. die Website nicht erreichbar ist,
c. telefonisch keine Ansprechpartner erreichbar sind,
d. keine (geprüften) Jahresabschlüsse zur Verfügung gestellt werden,
e. finanzielle Eckdaten erbeten werden müssen, obwohl Wirecard ein bedeutsamer Kunde von PayEasy ist,
f. zwei Vorstandsmitglieder von Wirecard sich persönlich um die Einholung der Prüfungsnachweise bemühen,
g. die Informationen scheibchenweise per E-Mail und kurz vor dem Testat vom 07.04.2015 erlangt werden,
h. die Rückmeldungen von PayEasy über den Vorstand von Wirecard stellen keine Drittbestätigungen im eigentlichen Sinne dar, sondern sind interne Unternehmens-E-Mails und Korrespondenz,
i. auf dem Debitorenkonto von PayEasy werden Zahlungen von unbekannten Dritten ausgewiesen.

II. Milliardengeschäfte mit den Third Party Acquirern (TPA) bzw. "Verstehen des TPA-Geschäftsmodells" (S.11ff.) und "Umgang mit Betrugsindikatoren" (S.47ff.)

Für eine Prüfung ist es essenziell, das zugrundeliegende Geschäftsmodell zu verstehen. Und im Falle von Wirecard kommt den TPAs eine zentrale Rolle zu. Der Wambach-Bericht bestätigt einerseits, dass sich EY intensiv mit dem TPA-Geschäft und dessen Bilanzierung beschäftigt hat (Tz.81, S.21). In diesem Zusammenhang wurde am 03.03.2016 sogar ein Concurrence-Memorandum erstellt, das wiederum von allen an der Prüfung beteiligten Wirtschaftsprüfern zur Kenntnis genommen und per Unterschrift bestätigt wurde. 

Andererseits wurden beim Umgang mit Betrugsindikatoren Mängel offensichtlich. 

Die IDW-Prüfungsgrundsätze fordern, […] dass sich der Abschlussprüfer im Rahmen seiner Prüfung gewahr sein muss (kritische Grundhaltung), mit dolosen Handlungen konfrontiert zu werden. […] Der Abschlussprüfer darf entsprechend den Berufsgrundsätzen von der Echtheit der vom geprüften Unternehmen zur Verfügung gestellten Dokumente ausgehen, solange keine Anzeichen vorliegen, die Zweifel an der Echtheit nähren könnten (IDW PS 210 (2012) Tz. 18).

EY hatte die Risiken "überhöhte Umsätze und Gewinne" sowie "Management Override" bereits im Standard-Fraud-Risiko genannt. Allerdings ist keine weitergehende Analyse der "Fraud-Indikatoren des IDW PS 210" dokumentiert: "Die erlangten unternehmensinternen Prüfungsnachweise sind nach unserer Auffassung schwach" (Tz.218, S.46). Der Wambach-Bericht stellt ferner klar, dass eine systematische Analyse der Betrugsindikatoren zu einer erhöhten kritischen Grundhaltung in Bezug auf das TPA-Geschäft sowie zu weiteren Prüfungshandlungen hätte führen können.

Dies wäre wohl auch allein aufgrund zahlreicher ungewöhnlicher ökonomischer Vorgänge zu rechtfertigen gewesen. Hierzu zwei Beispiele:

  • Erhebliche Abweichung der gelebten Geschäftspraxis mit Blick auf das vereinbarte Abrechnungs- und Zahlungsprozedere bei der Umwidmung von Forderungen aus LuL aus Acquiring-Dienstleistungen nach 6-9 Monaten in Forderungen aus Sicherheitenstellung (Tz.65, S.17).
  • Weitergehende Gestellung von Sicherheiten durch Umwidmung von Forderungen entgegen der vertraglichen Regelung und geschäftlichen Erfahrung, sodass Wirecard aus diesem Geschäftsmodell kaum Geld zufließt (Tz.244, S.51).

III. Grundsätzliche Fragen zu Prüfungshandlungen bzw. Auffälligkeiten bei PayEasy

Insbesondere zum Zahlungsdienstleister PayEasy gab es zahlreiche Ungereimtheiten. Für die Geschäftsjahre 2014 bis 2018 konnte der Anstieg der Umsatzerlöse von 72,2 Mio. EUR auf 666,1 Mio. EUR nicht vollumfänglich nachvollzogen werden. Der Wambach-Bericht fasst dies so zusammen: "Der starke Anstieg der Umsatzerlöse innerhalb von fünf Jahren von EUR 72,2 Mio. auf EUR 666,1 Mio. ist auffällig. Im Jahresabschluss 2018 findet sich keine Erläuterung dieser Entwicklung." (Tz.81, S.25ii).

Auch konnte nicht geklärt werden, wie die Umsatzerlöse und Materialaufwendungen von über PayEasy abgewickeltes Geschäft verprobt werden können. So waren beispielsweise "im Jahr 2014 die Umsatzerlöse von Wirecard mit PayEasy (EUR 75,8 Mio.) höher als der Umsatz von PayEasy (EUR 72,2 Mio.) alleine" (Tz.82, S.26ii). Aufgrund eines massiven Buchungsfehlers sind die Umsätze zu hoch ausgewiesen (Tz.81, S.21).

Darüber hinaus fehlten andere Informationen im Zusammenhang mit PayEasy gänzlich. So wird für die Prüfung 2018 festgestellt: "Aus Sicht der Abschlussprüfung 2018 liegen dem Abschlussprüfer nur lückenhafte Finanzinformationen für die Jahre 2014 bis 2017 und nur ein geprüfter Abschluss für das Jahr 2018 vor, die zusammen kein stimmiges Bild der Vermögens-, Finanz- und Ertragslage von PayEasy geben. Den Arbeitspapieren des Abschlussprüfers ist keine Analyse und Aufklärung dieser Auffälligkeiten in den Finanzinformationen von PayEasy zu entnehmen." (Tz.88 und 89, S.27ii).

Beim TPA Al Alam waren die Transaktionsvolumina in den ersten beiden Quartalen 2016 und 2017 völlig identisch. Den Arbeitspapieren von EY war hierzu "keine Prüfungshandlung oder Verprobung zu entnehmen" (Tz.94, S.29ii). Allesamt erhöhte Warnsignale für Ungereimtheiten.

IV. "Projekt Ring"

Im Jahr 2017 schien sich das Blatt bei Wirecard endgültig zu wenden. Im Jahr 2015 hatte Wirecard in Indien die Unternehmensgruppe Hermes für 315 Mio. EUR übernommen, nachdem diese erst kurz vorher für 35 Mio. EUR den Besitzer gewechselt hatte. Ein halbes Jahr danach meldete sich ein indischer Prüfungspartner bei EY und erhob schwere Vorwürfe, wonach Wirecard Manager an dem Deal beteiligt und große Teile des Kaufpreises eingesteckt hätten. Außerdem hätte der CFO von Hermes versucht, seinen Prüfer zu bestechen (Tz.86ff., S.24).

Am 29. März 2017 fand deshalb ein dokumentiertes Meeting von EY und dem Aufsichtsrat statt, in dem aufgezeigt wurde, dass nach aktuellem Stand der Prüfung kein uneingeschränkter Bestätigungsvermerk erteilt werden könne.

Unter dem Codenamen "Projekt Ring" hatte sich der Wirecard-Vorstand mit den Prüfern von EY bereits zuvor getroffen, um ausreichende und angemessene Prüfungsnachweise zu erhalten (Tz.103, S.27). Markus Braun schlug infolgedessen persönliche, unterjährige Treffen vor, um sicherzustellen, dass "alle Themen adäquat adressiert werden". Sein "Commitment" sei, dass auch EY "gut schlafen können muss (arbeitszeitmäßig und auch vom Content)" (Tz.110, S.28).

Die Sonderermittler kritisieren, dass eine Aufklärung der offenen Punkte im Wesentlichen nicht erfolgte (Tz.142, S.32), dass das Involvement des Senior Managements (Tz.133, S.31 und 136, S.32) nicht angemessen gewürdigt wurde und auch dass nicht kritisch hinterfragt wurde, warum wesentliche Prüfungsnachweise erst kurz vor dem Datum des Bestätigungsvermerks erteilt wurden (Tz.119, S.29). Und der wohl weitreichendste Vorwurf: "Die notwendige kritische Grundhaltung und die aus der speziellen Situation heraus resultierende höhere Risikoeinschätzung eines Abschlussprüfers, sowie die damit gestiegenen Anforderungen an die Prüfungsnachweise ist […] nicht erkennbar." (Tz.139, S.32).

EY hatte gemäß dem Bericht das Wirecard-Mandat auch im Jahr 2017 als "moderate risk" eingestuft und entsprechend auch geprüft. Und dies, obwohl die Vorwürfe aus den Zatarra Reports und dem Manager Magazin im Raum standen (Tz.140, S.32).
EY hatte gegenüber dem Handelsblatt zahlreiche der genannten Vorwürfe zurückgewiesen. Eine weitere Aufarbeitung der Vorkommnisse dürfte wohl noch einige Gerichte für längere Zeit beschäftigen.

Was passiert als Nächstes?

Diese Frage ist wohl eine der spannendsten und lässt sich – wie in einem richtigen Hollywood-Blockbuster – bis zum Schluss nicht beantworten. Es könnte sein, dass Jan Marsalek doch noch festgenommen wird und Lichts ins Dunkel bringt, genauso gut möglich wäre aber auch, dass es neue politische Seilschaften gibt, die ans Tageslicht kommen. Oder eine völlig neue Wendung. Ausgeschlossen ist bei Wirecard nichts. Es bleibt also spannend…

P.S.: Wenn Sie nochmals die gesamte Wirecard-Chronologie oder auch die erstaunlichen Parallelen zu anderen großen Betrugsfällen nachvollziehen wollen, sei Ihnen das Buch "Wirecard & Co." empfohlen.

 

Autor

Dr. Christian Glaser
ist promovierter Risikomanager und als Generalbevollmächtigter der Würth Leasing GmbH & Co. KG tätig. Er ist außerdem Dozent an mehreren Hochschulen und Buchautor mehrerer Fachbücher sowie zahlreicher Fachveröffentlichungen in den Bereichen Finanzdienstleistungen, Unternehmensführung und Management, Controlling sowie Risikomanagement.

 

[vimeo:645800354]

 

[ Bildquelle Titelbild: Betrugsskandal und Polit-Thriller: Adobe Stock.com / Nutlegal ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.