E-Discovery und forensische Datenanalyse - ey.comFILE/... · 10 Ernst & Young Enabling Compliance |...

Enabling ComplianceWelche Rolle spielt

Technologie?

Inhalt

Editorial

Executive Summary

Die unterschätzte Herausforderung

Ergebnisse der Studie

Unkenntnis und Unsicherheit

Exkurs: Compliance als Chefsache

Fehleinschätzung der eigenen Vorbereitung

Gefahr der Kostenexplosion bei fehlender Vorbereitung

Ausblick: Steigende Bedeutung von E-Discovery und Datenanalyse

Vorbereitung mindert die Risiken

Das FTDS-Team von Ernst & Young

Die Studie

Impressum

4

6

8

12

13

18

20

26

32

34

36

38

43

Ernst & Young Enabling Compliance | Welche Rolle spielt Technologie? 3

Editorial

Martin RiedelPartner Ernst & Young Eschborn/FrankfurtFraud Investigation & Dispute Services/Forensic Technology & Discovery ServicesTelefon +49 6196 996 [email protected]

Renato FazzoneSenior Manager Ernst & Young DüsseldorfFraud Investigation & Dispute Services/Forensic Technology & Discovery ServicesTelefon +49 211 9352 [email protected]


Wirtschaftskriminalität stellt einen stetig wachsenden Risikofaktor für Unterneh-men dar. Im Jahr 2010 ist die angerichtete Schadensumme um ein Drittel auf 4,6 Mrd. Euro gestiegen. Jedoch ist die Anzahl der Wirtschaftsdelikte nur um 1,5 % gestiegen. Wirtschaftskriminalität im Internet hat sich nach Aussage des Bundeskriminalamtes sogar verdreifacht.

Korruptions-, Betrugs- und Bilanzdelikte, Datenmissbrauch und Kartellverstöße – die Bedrohungen kommen aus den unter-schiedlichsten Bereichen, intern wie extern. Weltweit verschärfen die Gesetz-geber durch immer strengere Regularien die Anforderungen an nationale und inter-nationale Geschäftstätigkeit, auch über die jeweiligen Landesgrenzen hinaus. Compli-ance (Regelkonformität) und Due Dili-gence (Sorgfaltspflicht) erhalten damit höchste Bedeutung für jedes Unterneh-men. Sie werden zur Chefsache, denn selbst Vorstände und Aufsichtsräte sind und werden zunehmend auch persönlich für Compliance-Verstöße haftbar gemacht.

Die Einrichtung von Compliance-Manage-ment-Systemen (CMS) ist die Vorausset-zung zum Schutz des Unternehmens und zur Sicherung einer guten Unterneh-mensführung (Corporate Governance).

Teil eines solchen CMS ist die Durchfüh-rung von präventiven und reaktiven Unter-suchungen, um Fakten zum Stand des CMS im Unternehmen zu sammeln. Hier-bei wird unterschieden zwischen Verstö-ßen (reaktiv) und Maßnahmen zur Präven-tion (proaktiv). Für die Analyse von Daten wie E-Mail (E-Discovery) und Unterneh-mensdaten ((forensische) Datenanalyse) gibt es effektive und effiziente Tools und Vorgehensweisen. Diese bieten damit die entsprechenden Werkzeuge, um sowohl präventiv als auch reaktiv aktiv werden zu können. Die Anwendung geschieht etwa bei routinemäßigen Screenings zur Verhin-derung oder zum frühzeitigen Erkennen von regelwidrigen Handlungen. Auch im Zuge laufender Ermittlungen aufgrund konkreter Verdachtsmomente oder bei Gerichtsverfahren werden E-Discovery und Datenanalyse eingesetzt.

Doch sind den Unternehmen diese Werk-zeuge bekannt bzw. sind sie auf den Einsatz solcher Instrumente vorbereitet? Kennen die Unternehmen ihre Anwendungsberei-che und Analysemöglichkeiten? Stehen die erforderlichen Ressourcen zur Durchfüh-rung von E-Discoverys oder Datenanalysen in Form von Know-how, Personalkapazität und Budgets zur Verfügung?

In einer umfangreichen Studie haben wir hierzu 871 Unternehmen hauptsächlich aus Deutschland, Österreich und der Schweiz befragt – Unternehmen unter-schiedlicher Größe, aus verschiedenen Branchen, national wie international tätig. Die Ergebnisse unserer Befragung lassen den Schluss zu, dass die meisten Unter-nehmen die eigene Vorbereitung auf E-Discoverys und Datenanalysen falsch einschätzen. Außerdem unterliegen sie Unsicherheiten in der Durchführung und Defiziten bei der Bewältigung der damit verbundenen Herausforderungen.

Ergebnis: Jedes Unternehmen sollte sehr kritisch den eigenen Grad der Vorbereitung einschätzen und bei Bedarf die entspre-chenden, korrigierenden Maßnahmen einleiten.

Vergleichen Sie die nachfolgend zusam-mengefassten Ergebnisse unserer Studie mit der Situation in Ihrem Unternehmen. Und wenn Sie auch bei sich Optimierungs-bedarf erkennen, wenden Sie sich an uns. Unser Team steht mit dem notwendigen Fachwissen und den geeigneten Instrumen-ten zu Ihrer Unterstützung bereit.

Executive Summary


Die StudieDie Studie „Enabling Compliance – Welche Rolle spielt Technologie?“ basiert auf einer Befragung im Jahr 2011 von insgesamt 871 Unternehmen, zumeist aus Deutsch-land, Österreich und der Schweiz. Diese Unternehmen sind meist international bzw. weltweit tätig, vor allem in den Branchen Handel, Investitionsgüterherstellung und Banken. Die Bandbreite von Umsatz und Mitarbeiterzahl ist groß. Befragt wurde in erster Linie das Management der Unter - nehmen.

Hintergrund der Befragung Hintergrund der Befragung war die zuneh-mende Bedeutung der Themen Corporate Governance, Compliance, die zunehmende Anzahl an Fraud Fällen, die steigende Scha-denssumme durch Wirtschaftskriminalität sowie die weiteren technischen Möglich-keiten wie E-Discovery oder Datenanalyse. Die wachsende Bedrohung durch wirt-schaftskriminelle Aktivitäten verschiedens-ter Art und verschärfte rechtliche Regu-larien (z. B. FCPA, UKBA – siehe Seite 10 und 11) machen solche technischen Instru-mente zu einem wichtigen Teil von Compli-ance-Management-Systemen. Hier werden sie sowohl präventiv eingesetzt, z. B. bei routinemäßigen Kontrollanalysen, als auch reaktiv, etwa im Zuge von laufenden Gerichtsverfahren.

Die wichtigsten Erkenntnisse der Studie:Unkenntnis und UnsicherheitSchon die beiden Lösungsansätze „E-Disco-very“ und „forensische Datenanalyse“ waren einem großen Teil der Befragten nicht oder kaum bekannt, ebenso fehlten detailliertere Kenntnisse über ihre Bedeu-tung und die Anwendungsmöglichkeiten der Instrumente.

Die Risiken für das Unternehmen kein effi-zientes Compliance-Management-System einzusetzen wurden richtig eingeschätzt (hohe Kosten, Schäden der Reputation). Trotzdem herrscht große Unsicherheit und Unkenntnis bei den Befragten z. B. über die Rechtmäßigkeit von möglichen und sogar

bereits bestehenden Maßnahmen, insbe-sondere mit Blick auf die Rechte der betrof-fenen Mitarbeiter. Auffallend ist in diesem Zusammenhang, dass Datenschutzbeauf-tragte und unternehmensinterne Rechtsex-perten relativ selten zu den Untersuchun-gen hinzugezogen wurden.

Informationen über die getroffenen Maßnahmen werden in den meisten Fällen eher restriktiv an Betroffene und andere Mitarbeiter vermittelt.

Generell ergab sich der Eindruck, dass es selten klare Richtlinien und Prozesse zur Durchführung der Untersuchungen gibt; gerade auch bei präventiven Maßnahmen.

Fehleinschätzung der eigenen Vor - bereitungDie Bedeutung von Compliance wird in den Unternehmen sehr hoch eingeschätzt – aber nur bei der Hälfte gibt es einen spezi-ellen Compliance-Verantwortlichen, bei immerhin 21 % keine festgelegten Compli-ance-Richtlinien. Ein Drittel der Befrag-ten schätzt die eigene Vorbereitung auf die Herausforderungen einer E-Discovery (Prozesse, Kommunikation, Datenschutz, Personalressourcen, technisches Know-how und Budgets) als nicht ausreichend ein. Bestehende organisatorische Vorkehrungen bezüglich der Risiken und Konsequenzen aus ihrer Durchführung sind vor allem Schu-lungen der Mitarbeiter und das Erstellen von Notfallplänen für den Einsatzfall.

Die Vorbereitung auf strukturierte Daten-analysen ist im Allgemeinen weiter fortge-schritten als diejenige auf E-Discoverys. Großteils wird angenommen, dass die (forensische) Datenanalyse in den routine-mäßigen Kontrollen z. B. durch die Interne Revision bereits teilweise vorgesehen ist.

Gefahr der Kostenexplosion bei fehlender VorbereitungWährend präventive Maßnahmen haupt-sächlich aus der Vorbereitung (z. B. über Checklisten) und der Verhinde-rung von Fraud Fällen bestehen, liegt

das Hauptaugenmerk reaktiver Maßnah-men auf der Aufklärung von Fraud Fällen. Sowohl Prävention als auch Reaktion sind mit finanziellen Aufwendungen verbunden – allerdings lassen sich diese im reaktiven Fall gerade auch mangels fehlender Prozesse und Richtlinien weitaus schwerer eingrenzen.

In den durchgeführten Fällen lagen die Kosten für eine E-Discovery größtenteils (70 %) bei bis zu 100.000 €, diejenigen für eine (forensische) Datenanalyse bei bis zu 20.000 € (in 58 % der Fälle).

Bei unerwarteten Untersuchungen treiben zahlreiche Unwägbarkeiten das Kostenri-siko in die Höhe. Die Eingrenzung relevanter Datenbereiche, sehr hohe Datenvolumina, Erfassung strukturierter und unstruk-turierter Daten – all das erfordert ange-messene personelle Ressourcen und den Einsatz spezialisierter Analyseinstrumente. In vielen Fällen sind diese Leistungen vom Unternehmen selbst nicht zu erbringen und es droht weiterer Schaden mit hohen Folgeaufwendungen.

Ausblick und FazitE-Discoverys und Datenanalysen werden nach Einschätzung der Befragten in Zukunft immer größere Bedeutung zukommen, einerseits als reaktive Maßnahmen in Verdachtsfällen oder laufenden Gerichts-verfahren, andererseits aber auch als fester Bestandteil eines umfassenden Compliance-Management-Systems. Hier dienen sie vor allem im präventiven Einsatz zur Vorbeu-gung von Compliance-Verstößen und zur Vermeidung unvorhersehbarer und kosten-intensiver forensischer Untersuchungen.

Anfordung an Ihr UnternehmenSowohl bei der individuellen Planung, Imple-mentierung und Umsetzung solcher vorbeu-genden Maßnahmen als auch bei reakti-ver Aufklärung benötigen Sie den richtigen Partner – mit spezialisiertem Know-how, modernsten IT-Instrumenten und umfang-reicher Erfahrung in Ihrer Branche und Unternehmensform.


Zunehmende Gefahr der Wirtschafts- kriminalität Jedes Unternehmen, ganz gleich welcher Branche, Größe oder Rechtsform, kann Opfer von Wirtschaftsdelikten werden. Dies gilt besonders für Compliance-Verstöße. Der Druck auf die Unterneh-men, nach den Jahren der Krise wieder zu expandieren, liefert so manches Motiv für ungesetzliche Aktivitäten wie Korruption, Betrug oder Industriespionage.

Zusätzlich wird der Handlungsspiel-raum von Unternehmen durch erweiterte Gesetze und Regulierungen immer enger. Unternehmen sind zu immer mehr Trans-parenz und Aufklärung verpflichtet; gleich-zeitig verschärfen sich jedoch die Rahmen-bedingungen zum Schutz privater Daten.

Der soziale Werteverfall bei den Mitar-beitern – insbesondere hinsichtlich der Betriebszugehörigkeit – ist immer häufiger Thematik in Bezug auf Data Leakage und private Bereicherung. Hierbei bieten Social Media Kanäle wie Facebook oder LinkedIn eine sehr einfache und schwer kontrol-lierbare Möglichkeit, Informationen und Daten auszutauschen. Auch die fahrlässige Verwendung der neuen Technologien kann zu internen Sicherheitslücken führen. Werden unternehmensinterne Daten z. B. auf webbasierten (privaten) Email Accounts gespeichert, reicht die logische Löschung der Daten (durch ein Klick auf den „Entfernen-Button“) nicht aus, denn physisch existieren die Informationen weiter auf Servern der Anbieter oder Datenspeichern in der Cloud. Diese können dann nicht mehr zurückverfolgt werden.

In diesem Zusammenhang müssen Unter-nehmen ihre eigene Vorbereitung auf die neuen technischen Möglichkeiten deutlich ausbauen. Schon heute wird ein vorbild-liches Compliance-Management-System als sehr relevanter Wettbewerbsvorteil bei der Positionierung im Markt betrachtet.

Aufgedeckte Wirtschaftsdelikte führen oft zu großem finanziellen Verlust und zu lang-fristiger Rufschädigung. Management und Gesellschaften stehen in größerem Maße als je zuvor im Blickpunkt von Aufsichts- und Strafverfolgungsbehörden – und dies über Landesgrenzen hinweg. Gerade dort, wo unternehmerischer Erfolg besonders von Vertrauen abhängt, kommt es deshalb darauf an, Risiken früh zu erkennen, Verdachtsmomente schnell zu klären und den gesetzlichen Vorschriften zur Unter-stützung laufender Verfahren sofort nach-zukommen. Die wichtigste Quelle bei der Untersuchung sind interne Unternehmens-daten. Angesichts des explodierenden Anstiegs eingesetzter Datenmengen, ihrer zunehmenden Nutzung auf Notebooks und ihrer Verbreitung über moderne Kommu-nikationsmedien sind Daten als Informati-onsgrundlage allerdings kaum noch ohne spezialisierte Methoden nutzbar.

Sowohl präventive Maßnahmen zur Sicherung und Analyse von Daten und Prozessen als auch Möglichkeiten zur Durchführung kurzfristiger Maßnahmen sind gefordert.

Sind Sie vorbereitet? Das Management eines jeden Unterneh-mens, ob national oder international tätig,

sollte den eigenen Grad der Vorbereitung auf diese Herausforderungen selbstkritisch hinterfragen: • Kennen Unternehmen die Risiken und Bedrohungen für Datensicherheit? • Gibt es Krisenpläne zur angemessenen Reaktion auf Verdachts- oder gerade aufgedeckte Betrugsfälle? • Sind Unternehmen sich ihrer Verantwor- tung bewusst, Sicherheitslücken nicht fahrlässig in Kauf zu nehmen? • Sind Unternehmen gewappnet für kurz- fristige Untersuchungen ihrer Daten und deren Sicherung als gerichtsfähige Beweise? • Haben die Unternehmen ausreichende Ressourcen an qualifizierten Mitarbei- tern oder externen Dienstleistern, um präventive oder reaktive Datenanalysen vornehmen zu können? • Haben Unternehmen die notwendigen Instrumente dafür?

Der rechtliche Rahmen wird immer schärferAngesichts ständig zunehmender Bedro-hungen für die Sicherheit sensibler Geschäfts- und Mitarbeiterdaten und der wachsenden Tendenz wirtschaftskrimi-neller Aktivitäten hat sich der rechtliche Rahmen in den letzten Jahren deutlich verschärft. Neben gesetzlichen Bestim-mungen gelten in vielen Wirtschafts-räumen eigene Gesetze und Richtlinien, die zusätzlich regulatorisch wirken. Mit diesen Instrumenten haben Aufsichts- und Strafverfolgungsbehörden umfangrei-che Möglichkeiten, Untersuchungen anzu-ordnen – auch bei Unternehmen, die im Ausland ansässig sind.

Montagmorgen im Büro.Sie erhalten die Information, dass ein leitender Angestellter Ihres Unternehmens zur Erlangung eines Großauftrags unter der Hand Gelder an Auftraggeber vergeben haben soll. Ein Gericht fordert kurzfristig umfangreiches Datenmaterial von Ihnen, insbesondere die vollständige E-Mail-Korrespondenz des beschuldigten Mitarbeiters. Und da der Verdacht besteht, dass es bereits seit Längerem zu verdeckten Zahlungen gekommen ist, müssen Sie nun auch Ihre gesamten Finanzbuch haltungsdaten der letzten zwei Jahre hinsichtlich Fraud prüfen. Die Woche fängt gut an ...

10 Ernst & Young Enabling Compliance | Welche Rolle spielt Technologie?


Im Verdachtsfall: Forensische Daten analyse von strukturierten und unstrukturierten DatenKorruptions- oder Betrugsverdacht, die Beteiligung an einem Kartell-, Haftungs- oder anderen Gerichtsverfahren oder präventive Prüfungsmaßnahmen – alle diese Fälle bringen die Notwendigkeit der Analyse interner Unternehmensdaten mit sich. Hierfür stehen je nach Datenkatego-rie unterschiedliche forensische Möglich-keiten zur Verfügung: • Auswertung unstrukturierter Daten (z. B. E-Mails oder andere Text- dokumente): E-Discovery • Auswertung strukturierter Daten (z. B. Kundendaten, Daten aus SAP- Systemen): (forensische) Datenanalyse • Aufbereitung und Wiederherstellung von Daten: Computer Forensics

Mit Blick auf Prävention und Reaktion sind in erster Linie die Instrumente E-Discovery und Datenanalyse interessant. Was ver - birgt sich dahinter genau?

E-DiscoveryUnter E-Discovery (Discovery of evidence in electronic records) versteht man die Sichtung und Analyse unstrukturierter Daten, besonders von Kommunikations-mitteln (E-Mails, Instant Messaging) und elektronischen Dokumenten („Office“-Dateien). Ziel dabei ist es, alle für den Anlass einer Untersuchung oder eines Verfahrens relevanten Daten • zu identifizieren, • beweisfähig zu sichern, • nach Relevanz auszuwählen, • gegebenenfalls zu rekonstruieren, • zu analysieren und • der Untersuchungsinstanz zu über - geben.

Hierfür stehen spezielle Such- und Filter-programme sowie analytisch strukturierte Methoden zur Aufdeckung von Unregelmä-ßigkeiten auch in unstrukturierten Daten zur Verfügung. Zur Wahrung der Persön-lichkeitsrechte von Mitarbeitern kommt dem Datenschutz bei E-Discoverys eine besondere Bedeutung zu.

DatenanalyseUnter (forensischer) Datenanalyse versteht man die Untersuchung von struk-turierten elektronischen Stamm- und Bewegungsdaten aus Systemen, die die Geschäftsprozesse des Unternehmens unmittelbar unterstützen, insbesondere Finanzbuchhaltungsdaten. Ziel hierbei ist es, Auffälligkeiten zu identifizieren und daraus Rückschlüsse zu ziehen. Dabei geht es nicht nur um vorsätzliche Verstöße gegen externe oder interne Vorschriften, sondern es kann sich auch um prozess-bedingte Sonderfälle handeln, die Risiken ohne manipulierendes Handeln enthal-ten. Eine (forensische) Datenanalyse wird unter den jeweils zu berücksichtigen-den Datenschutzrichtlinien durchgeführt und erzielt gerichtsverwertbare Ergeb-nisse. Zum Einsatz kommen dabei neben Programmen der Daten- und Textanalyse auch Trendanalysen sowie speziell ent-wickelte Fraud Score-Systeme zur Ermitt-lung von Unregelmäßigkeiten.

FCPA – Foreign Corrupt Practices ActDas FCPA ist ein Bundesgesetz der USA von 1977, das sämtliche Zahlungen und Wertgeschenke an ausländische staatliche Amtsträger verbietet, sofern sie den Zweck haben, den Zuschlag für ein Geschäft zu bekommen oder eine Geschäftsbeziehung aufrechtzuerhalten. Außerdem verpflichtet das Gesetz Unternehmen, die in den USA börsennotiert sind, ihre Buchführung nach den US-amerikanischen Auflagen durchzuführen, die auf die Antikorruptionsregeln des FCPA abgestimmt sind.Bei Verstößen gegen das FCPA können Unternehmen und beteiligte Mitarbeiter mit (zum Teil) hohen Geld- und Freiheitsstrafen belegt werden.

Rechtlicher Rahmen für Wirtschaftskriminalität in der Bundesrepublik DeutschlandDer Begriff „Wirtschaftskriminalität“ kann nicht mit Hilfe eines eindeutigen rechtlichen Rahmens abgegrenzt werden, so dass auch keine allgemein anerkannte Definition existiert. Wirtschafts-kriminalität umfasst maßgebend alle wirtschaftlich motivierten Delikte. So sind relevante Straf-vorschriften beispielsweise im Strafgesetzbuch, Wertpapierhandelsgesetz oder dem Gesetz gegen Wettbewerbsbeschränkungen geregelt. Dabei kann in sogenannte „Unternehmens- und Verbands-kriminalität“ (corporate crime) sowie „Berufskriminalität“ (occupational crime) in Abhängigkeit von den handelnden Akteuren unterschieden werden. Das deutsche Strafrecht basiert auf dem Grundsatz der persönlichen Schuld, so dass eine Verfolgung von Gruppierungen prinzipielle Hürden mit sich bringt.


E-Discovery und (forensische) Daten-analyse im Fokus Ziel der Studie war es herauszufinden, inwieweit das Verständnis über Risiken und Instrumente zur Reaktion und Prävention im Bewusstsein deutscher Unternehmen positioniert sind.

Gefragt wurde nach • der Einschätzung ihrer Relevanz und künftigen Bedeutung im Datenschutz • der eigenen Vorbereitung auf Unter- suchungen dieser Art • Erkenntnissen betroffener Unternehmen aus bereits vollzogenen Untersuchungen

Die gewonnenen Erkenntnisse ergaben ein interessantes, aber keineswegs beruhigen-des Bild vom Stand der Dinge.

UKBA – United Kingdom Bribery ActDas UKBA ist ein erst im Juli 2011 in Kraft getretenes Antikorruptionsgesetz in Großbritannien, das weltweit für alle Unternehmen gilt, die mit britischen Firmen in Geschäftsverbindung stehen bzw. die auf dem britischen Markt tätig sind. Es sanktioniert die Bestechung und Bestechlichkeit im privaten und öffentlichen Sektor, geht aber in seinen Bestimmungen zum Teil deutlich über das FCPA hinaus. So ist z. B. schon die Kenntnis und Duldung einer Bestechung strafbar. Außerdem verlangt das UKBA einen verbindlichen Nachweis der aktiven Korruptionsprävention – de facto also ein im Unternehmen fest verankertes Compliance-Programm.Die Strafen für Verstöße reichen bis zu 10 Jahren Haft und unbegrenzten Strafzahlungen.


Der Umgang mit Verfahren wie E-Disco-very und (forensischer) Datenanalyse ist offensichtlich vielen Unternehmen neu. Schon die Antwort auf die grundsätzliche Frage nach den Begriffen selbst erstaunt: 79 % aller Befragten, immerhin vor allem das Management der Unternehmen, haben den Begriff „E-Discovery“ bislang noch

Unkenntnis und Unsicherheit

Begriff und Möglichkeiten von E-Discovery und Datenanalysen

█ Ja

█ Nein

Seit einigen Jahren bekommen E-Discoverys fürUnternehmen eine steigende Bedeutung. Welcher Anteil der befragten Unternehmen hat schon von dem Begriff E-Discovery gehört?

78,9 %

21,1 %

nicht gehört. Bei „forensischer Datenana-lyse“ sind es noch 32 %, denen der Begriff unbekannt ist.

Entsprechend unsicher ist man in den befragten Unternehmen darüber, ob ausreichende Kenntnisse über die Verfah-ren selbst vorhanden sind: 70 % verneinen

█ Ja

█ Nein

Haben die befragten Unternehmen ausreichend Kenntnisse über (forensische) Datenanalysen?

40,6 %

59,4 %

dies für E-Discovery-Verfahren und 41 % geben an, nicht die Möglichkeiten zu kennen, die sich durch (forensische) Datenanalysen etwa im Rahmen regel-mäßiger Revisionen oder zur Prävention von Betrugsversuchen eröffnen.


Einschätzung der Bedrohung durch forensische Datenanalyse Dementsprechend unsicher sind die meis-ten Befragten auch über die möglichen Gründe, die eine E-Discovery oder struktu-rierte Datenanalyse auslösen könnten.

Bei Unternehmen, die bisher nicht betrof-fen waren, werden vor allem Rechtsstreitig-keiten als Hauptanlass für E-Discovery-Untersuchungen vermutet (61 %), gefolgt von Korruptionsverfahren (insbesondere durch FCPA-Untersuchungen; 28 %) und Kartellverfahren (11 %).

Die Praxis sieht anders aus: Bei 10 % der befragten Unternehmen wurden in den letz-ten zwei Jahren eine oder mehrere E-Disco-verys durchgeführt. Tatsächlich lagen hier nur in acht Fällen Rechtsstreitigkeiten zugrunde. Vielmehr handelte es sich in erster Linie um interne Untersuchungen, um eigene Nachforschungen bei bestimm-ten Mitarbeitern und in konkreten Korrup-tionsfällen. Dieses Ergebnis wird durch die Tatsache unterstrichen, dass drei Viertel aller E-Discoverys durch interne Hinweise ausgelöst und nicht von außen in das Unter-nehmen getragen wurden.

Auch bei (forensischer) Datenanalyse ver- muten über 30 % Rechtsstreitigkeiten als Auslöser, dicht gefolgt von internen Anläs-sen wie Betrug durch eigene Mitarbeiter oder die Umgehung interner Kontrollsys-teme. Tatsächlich kamen die in 83 der befragten Unternehmen durchgeführten strukturierte Datenanalysen vor allem aufgrund regelmäßiger Untersuchungen durch die Interne Revision oder bei der Abschluss-prüfung (66 %) zustande. In einem Viertel der Fälle lagen gezielte interne Hinweise zugrunde, aber nur fünf (forensische) Daten-analysen resultierten aus Rechtsstreitig-keiten. Der hohe Anteil selbst ausgelöster (forensischer) Datenanalysen spricht für den Einsatz eines entsprechenden Compli-ance-Management-Systems mit vorbeu-genden Kontrollen bei den betroffenen

Unternehmen.

Unbestritten sind die generell aus solchen Untersuchungen resultierenden Gefahren

Was war der Anlass/die Anlässe für eine (forensische) Datenanalyse?

Steuerfahndung

Kartellverfahren

Disputes (Liability, Arbitration undLitigation): Rechtsstreitigkeiten

Korruption/FCPASonderuntersuchung

Unstimmigkeiten bei Banksalden/Kassenständen/Inventar/Vorräten

Verdacht auf Vermögensschädigung

Untersuchung im üblichen Rahmen der Auditierung durch den Abschlussprüfer

Im Rahmen der regelmäßigen internen Unter-suchungen durch Interne Revision o. ä. Abteil.

0 %

1,2 %

6,0 %

6,0 %

9,6 %

9,6 %

13,3 %

31,3 %

66,3 %

10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 %

Was war der Anlass/waren die Anlässe für eine E-Discovery?

Kartellverfahren

Korruption

Disputes (Liability, Arbitration undLitigation): Rechtsstreitigkeiten

Mitarbeiter

Interne Untersuchungen

0 %

4,6 %

9,2 %

10,3 %

14,9 %

10 % 20 % 30 % 40 % 50 % 60 %

55,2 %

70 %

für ein Unternehmen, von den explodieren-den Kosten für Untersuchungen bis hin zu Reputationsschäden bei Geschäftspart-nern, Kunden und nicht zuletzt den eigenen Mitarbeitern.

Anlässe für E-Discovery-Untersuchungen und (forensische) Datenanalysen


25,3 % machten keine Angaben (Mehrfachnennungen möglich)



Sind die Untersuchungen rechtmäßig? In eine typische E-Discovery werden umfangreiche Datenmengen aus den unter-schiedlichsten Quellen einbezogen, vor allem E-Mails. Die Nutzung eines firmenei-genen Mailsystems unterliegt enstprechen-den unternehmensinternen Richtlinien. Wichtige Fragestellungen dieser Thema-tik sind grundsätzlich, inwiefern die private Nutzung verboten oder nur implizit festge-legt ist und – entscheidend – ab wann die Daten bei den gegebenen Richtlinien dem persönlichen Datenschutz unterliegen. Bei einer E-Discovery kann man somit auf persönliche Daten der Mitarbeiter stoßen – und steht damit unmittelbar auf der schwer zu definierenden Linie zwischen Recht- und Unrechtmäßigkeit einer Analyse dieser Daten.

Umfangreiche und vielfach unübersicht-liche gesetzliche Vorgaben beim Daten-schutz und insbesondere Beschäftigten-schutz ziehen einen engen Rahmen, der ohne professionelle Rechtsberatung kaum einzuhalten ist.

Immerhin 20 % bzw. 25 % der Befragten äußerten eigene Bedenken über die recht-liche Zulässigkeit der durchgeführten E-Discovery bzw. strukturierter Datenana-lyse – ein deutliches Zeichen mangelnder fachlicher Kenntnisse.

In den meisten Unternehmen wird die Privatnutzung von PC, Laptop oder E-Mail-Account durch allgemeine Firmenpoli-cys oder Klauseln im Arbeitsvertrag gere-gelt. Die private Nutzung ist allerdings auch vielfach gestattet (vgl. Grafik unten), sodass sich fast überall in den Daten und Accounts private Inhalte befinden können. Dies beschränkt eine umfassende Unter-suchung auf Einzelpersonen im konkreten

Verdachtsfall. Zusätzlich wird die Einhal-tung der Compliance Richtlinien durch Themen wie die Nutzung von Social Media, andere Webmail Accounts und damit verbundenen Cloud Computing Technolo-gien erschwert. Diese Entwicklung stellt Unternehmen vor neue Herausforderun-gen, deren Risiken und Gefahren noch unterschätzt werden.

Die private Nutzung folgender Hilfsmittel ist in den befragten Unternehmen gestattet

Privater Email-Account

Email-Account des Unternehmens

PC

Internet

0 %

27,8 %

36,9 %

43,5 %

10 % 20 % 30 % 40 % 50 % 60 %

56,1 %

70 %

Private Nutzung von Kommunikationsmitteln



Defizite in der Durchführung erhöhen das Risiko In mehr als 77 % der befragten Unterneh-men wird die Relevanz des Datenschutzes als sehr wichtig oder wichtig angesehen – bleiben mehr als 20 %, bei denen dies nicht der Fall ist. Es gibt in den meisten Betrie-ben (87 %) einen Datenschutzbeauftrag-ten, verantwortlich für die Sicherheit inter-ner Daten, inklusive Mitarbeiterdaten, vor missbräuchlicher Nutzung. Und doch wurde dieser Datenschutzbeauftragte lediglich in knapp drei Vierteln aller E-Discoverys und sogar nur in zwei Dritteln aller (foren-sischen) Datenanalysen in die Untersu-chungen einbezogen. Noch auffallender ist der geringe Anteil der Fälle, in denen der Rechtsausschuss des Unternehmens einbe-zogen wurde: lediglich bei 18 % bzw. 34 %. Hier offenbart sich eine Nachlässigkeit, die gefährliche Folgen haben kann.

Für höhere Rechtssicherheit bei einer Untersuchung können vertragliche Rege-lungen vor Ablauf der Untersuchung zwischen den beteiligten Personen sorgen. Diese sind offenbar kein Standard, sondern bei 44 % ein eher selten genutztes Mittel zur rechtlichen Absicherung. In nur 65 %


der Fälle wurde die Zustimmung der Mitar-beiter zur Erhebung und weiteren Verarbei-tung von Daten eingeholt. Lag in dem rest-lichen Drittel der Fälle wirklich die Gefahr der Verdunkelung vor? Sobald nämlich der Zweck der Verarbeitung personenbezoge-ner Daten, also zum Beispiel die Sicherung von Beweisen, nicht mehr gefährdet ist, besteht eine Informationspflicht gegenüber betroffenen Mitarbeitern. Immerhin sind laut unserer Umfrage 74 % davon generell bereit zu kooperieren, bei (forensischen) Datenanalysen sogar 84 %. Oder drückt sich nicht auch hierin eine weitere, womög-lich unabsichtliche Unsicherheit bezüglich der rechtlichen Vorschriften aus?

Generelle Prozessanalysen von Stamm- und Bewegungsdaten der Geschäftsprozesse werden von der Internen Revision durchge-führt und sind damit ein bereits häufig inte-grierter Kontrollmechanismus. Die Gefahr auf private Daten zu stoßen, besteht nicht – im Vergleich zur E-Discovery. Jedoch müssen die Unternehmen diese Kontroll-funktionen kritisch bewerten, denn es besteht ein Unterschied zwischen der Über-prüfung auf Korrektheit der Prozesse oder auf das Risiko eines Fraud Falles.

Sehr uneinheitlich wird auch die generelle Information aller Mitarbeiter über die Durchführung einer Untersuchung im eigenen Hause gehandhabt. 55 % der Unternehmen wahrten eine weitgehende Geheimhaltung der E-Discovery, bei den (forensischen) Datenanalysen waren es mit 49 % geringfügig weniger. Auch ange-sichts dieser weitgehend restriktiven Hand-habung der internen Kommunikation kann man fragen, ob sie nicht zu einem großen Teil durch Unsicherheit begründet ist. Eine höhere Transparenz und bessere Kommu-nikation würde die rechtliche Unsicher-heit verringern und eine Verbesserung der Prozesse fördern.

Zusammenfassend lassen sich in vielen Unternehmen gravierende Informations-defizite bezüglich der formalen und juris-tisch einwandfreien Durchführung von E-Discoverys und (forensischen) Daten-analysen erkennen – ein deutliches Zeichen dafür, dass klare Richtlinien und definierte Prozesse für den „Fall der Fälle“ meist fehlen.


(Chief) Information Officer

Legal Council (Rechtsausschuss)

Mitarbeiter Interne Revision

(Chief) Compliance Officer/Compliance Abteilung

Betriebsrat

Leiter Interne Revision

Unternehmensleitung

Datenschutzbeauftragte

0 %

21,7 %

33,7 %

36,1 %

39,8 %

41,0 %

53,0 %

60,2 %

63,9 %

10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 %

Welche Mitarbeiter bzw. Stellen waren an der Durchführung derUntersuchung beteiligt?

Legal Council (Rechtsausschuss)

(Chief) Information Officer

Betriebsrat

(Chief) Compliance Officer/Compliance Abteilungen

Unternehmensleitung

Datenschutzbeauftragte

0 %

32,2 %

18,4 %

35,6 %

48,3 %

62,1 %

10 % 20 % 30 % 40 % 50 % 60 %

71,3 %

80 %70 %

Beteiligung von Datenschutzbeauftragten oder Rechtsexperten bei Untersuchungen


E-Discovery

(Forensische) Datenanalyse

Die Gewährleistung der Datensicherheit und die Absicherung des Unternehmens vor Korruption, Betrug, Bilanzdelikten und Kartellverstößen sind Aufgabe des obers-ten Managements.

Die Sicherstellung der Compliance gilt als wesentlicher Bestandteil guter Unterneh-mensführung (Corporate Governance) – und wird immer wichtiger. Vorstände und Aufsichtsräte können auch persönlich dafür juristisch zur Verantwortung gezo-gen werden, wenn Fälle von Non-Compli-ance auf organisatorische Mängel und mangelnde Kontrolle zurückzuführen sind. Hiervor schützen Compliance-Manage-ment-Systeme (CMS), die den Rahmen organisatorischer und prozessualer Art schaffen, um Verstöße zu vermeiden.

Die Bedeutung der Compliance wird noch nicht überall realisiert Die enorme Bedeutung der Compliance scheint unseren Befragten zwar größten-teils bewusst zu sein, 63 % sehen sie als wichtig bis sehr wichtig an; aber immer-hin noch 32 % ordnen ihre Relevanz für das Unternehmen nur im mittleren Bereich der Antwortskala ein.

Unternehmensrichtlinien beim Verdacht auf Compliance-Verstöße gibt es in 78 % der befragten Unternehmen – aber bei 21 % eben nicht. Und einen offiziellen Compli-ance-Beauftragten oder eine Compliance-Abteilung findet man sogar nur in 50 % der Unternehmen. Vielleicht liegt auch deshalb der Anteil an E-Discovery-Fällen, bei denen ein Compliance-Beauftragter hinzuge-zogen wurde, nur bei niedrigen 48 % – in vielen Unternehmen gibt es einen solchen gar nicht.

Exkurs: Compliance als Chefsache

Compliancebedeutet die Einhaltung von Gesetzen, regulatorischen Anforderungen, Organisationsgrundsätzen, internen Kodizes und Richtlinien durch das Unternehmen, seine Organe und Mitarbeiter.

Compliance-Verantwortliche in den Unternehmen

█ Ja

█ Nein

█ Keine Angabe

Gibt es einen Compliance Officer/eine Compliance Abteilung in den befragten Unternehmen?

48,8 % 50,2 %

1,0 %



Wir müssen feststellen, dass noch ein vergleichsweise hoher Anteil der befragten Unternehmen das große Risiko zu unter-schätzen scheint, das aus Fällen von Non-Compliance erwachsen kann. Dazu gehö-ren auch die hohen Strafzahlungen, die bei Verstößen drohen. Ebenfalls zu beach-ten sind daraus entstehende erhebliche

Reputationsschäden, die Geschäftsver-hältnisse auch zwischen jahrelangen Part-ner zerstören können. Compliance ist heut-zutage nicht mehr nur die Einhaltung von Richtlinien und Regularien, sondern hat sich zu einem echten Unterscheidungs-merkmal im Wettbewerb entwickelt.


Eine E-Discovery-Order, d. h. die gerichtliche Aufforderung zur Bereitstellung von Daten, kommt meist ohne Vorwarnung. Häufig erfahren Unternehmen erst durch die aus- lösenden Behörden, dass ein Verdachtsfall von Betrug, Korruption oder Kartellab-sprachen vorliegt. Eine E-Discovery muss im Regelfall sehr kurzfristig durchgeführt werden. Sind die Unternehmen organisato- risch und personell ausreichend auf diesen Fall vorbereitet?

Eingeschränktes ProblembewusstseinDie Relevanz der E-Discovery-Readiness für das eigene Unternehmen wird nur von 28 % der Befragten als „sehr wichtig“ oder „wichtig“ eingestuft. Die Mehrheit, rund 58 %, schätzt die Bedeutung eher mittel-wichtig ein, 11 % sogar „weniger wichtig“ oder „unwichtig“. Diese Einschätzung verkennt die möglichen Folgen einer E-Discovery für das betroffene Unternehmen, in finanzieller wie in organisatorischer


Fehleinschätzung der eigenen Vorbereitung

Einschätzung der Relevanz von E-Discovery-Readiness für das Unternehmen

█ 1 (sehr wichtg)

█ 2

█ 3

█ 4

█ 5

█ 6 (unwichtig)

█ Keine Angabe

Wie schätzen die befragten Unternehmen die Relevanz von E-Discovery Readiness ein?

3,3 %

9,6 %8 %

40,4 %

17,1 %

2,7 %

18,9 %

Hinsicht. Das geringe Problembewusstsein mag auch daraus resultieren, dass E-Disco-verys bei den Unternehmen der Befragten relativ selten vorkamen. Wir haben schon gesehen (vgl. Seite 14), dass bei 90 % der befragten Unternehmen wurde in den letzten beiden Jahren keine E-Discovery durchgeführt. Hier konnten also auch keine Erfahrungen gesammelt, die Veranlas-sung zur weiter gehenden Vorbereitung

für künftige Fälle hätten führen können. Jedoch ist die Dunkelziffer der nicht auf- gedeckten Fraud Fälle nach Angabe des Bundeskriminal amtes hoch. Durch immer stärkere regulatorische Vorgaben muss sich jedes Unternehmen die Frage stellen, ob alles Nötige unternommen wurde, um zum einen einen Fraud Fall zu verhindern und mögliche, vorhandene Fraud Muster aufzu- decken.


E-Discovery-Readiness umfasst• die schnelle, effiziente und angemessene Reaktion auf eine E-Discovery-Order• das Vorgehen auf Grundlage eines Notfallplans: • Wer ist zu benachrichtigen (Kommunikationswege)? • Welche Stellen werden involviert (Vorstand, Betriebsrat, Abteilungen)? • Welche Datenschutzbelange gilt es zu berücksichtigen? • Benötigen wir Rechtsberatung zur geplanten Vorgehensweise? • Welche Kriterien sprechen für eine offene oder eher verdeckte Durchführung? • Welche Daten sind überhaupt relevant?• die Aktualisierung des Notfallplans in regelmäßigen Abständen• eine grundsätzliche Vorbereitung des Unternehmens auf die Vermeidung von Compliance- Verstößen (durch klare Unternehmensprinzipien, interne Regelungen zum Umgang mit Daten und Kommunikationsmedien, Schulungen zu korrektem Verhalten, Schaffung technischer Voraussetzungen, Datenüberprüfung, etc..)



Ausreichende Vorbereitung?In ihrer eigenen Einschätzung sehen sich 59 % der Befragten ausreichend auf eine E-Discovery vorbereitet, sei es durch organisatorische (27 %) oder durch technische Maßnahmen (32 %). Der Rest allerdings bewertet die Vorkehrungen im eigenen Unternehmen noch nicht als aus-reichend. Und unter den weltweit tätigen Firmen sind es sogar rund die Hälfte, die Unzulänglichkeiten in der Vorbereitung auf eine E-Discovery eingestehen. Aus diesem Grund entscheiden sich 28 % der Befragten für einen Abschluss von Rahmen-verträgen mit einem externen Dienst-leister, um dieses Defizit zu beseitigen.

Unter den Maßnahmen, die bereits zur Schaffung der E-Discovery-Readiness und zur Erhaltung des Datenschutzes getroffen wurden, rangieren Schulungen der Mitarbeiter an oberster Stelle, dicht gefolgt vom Erstellen eines Notfallplans und der Anpassung interner Regelungen z. B. zur Privatnutzung von E-Mails.

Welche organisatorischen Vorkehrungen haben die befragten Unternehmen getroffen, um auf die Risiken durch E-Discoverys vorbereitet zu sein?

Implementierung eines Daten- und Dokumentenmanagement Systems

Abschluss von Rahmenverträgen mit externen Dienstleistern

Erstellen einer Liste von potenziell einzubeziehenden Datenquellen

Anpassung von Policies (z. B. Privatnutzung von Email, ...)

Erstellen eines Notfallplans

Schulungsmaßnahmen

0 %

24,6 %

27,5 %

36,6 %

47,5 %

55,6 %

60,3 %

10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 %

Organisatorische Vorkehrungen zur E-Discovery-Readiness

6 % machten keine Angaben (Mehrfachnennungen möglich)


Konsequenzen zur Verbesserung der E-Discovery-Readiness Sehr interessant ist ein Blick auf die Kon-sequenzen, die betroffene Unternehmen nach Durchführung einer E-Discovery in ihrem Betrieb gezogen haben: An erster Stelle stehen hier zusätzliche Schulungen, dicht gefolgt von stärkeren Kontrollen z. B. durch erweiterte Zugangs-berechtigungen und zusätzlichen internen Prozessen. Unternehmen, die weltweit aktiv sind, haben aufgrund ihrer Erfahrun-gen Maßnahmen wie Schulungen und die Entwicklung eigener Policys zur Nutzung von Daten und Kommunikationsmitteln überproportional stärker vorangetrieben als national tätige – ein Indiz dafür, dass mit zunehmender Internationalität die Anforderungen gerade in diesen Bereichen steigen (siehe FCPA und UK Bribery Act).In 17 % der Fälle hatten die Untersuchun-gen sogar arbeitsrechtliche Konsequenzen zur Folge bis hin zu der Entlassung von Mitarbeitern. Unternehmen müssen ihre Mitarbeiter mehr denn je über Regeln und Richtlinien informieren, da der rechtliche Rahmen vor allem in den letzten Jahren stark verschärft wurde und von einem Einzelnen häufig nur schwer überschaut werden kann.

Welche internen Konsequenzen haben die befragten Unternehmen aus der E-Discovery gezogen?

Positionen/Tätigkeiten geschaffen (z. B. Daten-schutzbeauftragten, Complianceabteilung)

E-Discovery Readiness priorisiert

Entlassungen/arbeitsrechtliche Konsequenzen

Policychange/Policydevelopment

Physische Kontrollen (z. B. Zutrittsberechtigungen)

Administrative Kontrollen(Kontrollen im Ablauf, z. B. Vier-Augen-Prinzip)

Logische Kontrollen (z. B. Berechtigungen in Software)

Schulungen

0 %

10,3 %

10,3 %

17,2 %

21,8 %

27,6 %

28,7 %

39,1 %

44,8 %

10 % 20 % 30 % 40 % 50 % 60 %

Interne Konsequenzen nach einer E-Discovery

Nur 20 % der Befragten planen, in ihren Unternehmen eigene E-Discovery-Lösungen einzurichten, d. h. selbst umfassende E-Discovery-Readiness zu erreichen. Auch den Abschluss von Rahmenverträgen mit

externen Dienstleistern zur Vorbereitung von E-Discoverys ziehen nur 18 % in Er-wägung. Hier wartet also die überwiegende Mehrheit weiter auf den „Fall der Fälle“.




Herausforderungen strukturierter (forensischer) Datenanalysen Die meisten der befragten Unternehmen sind sich der Herausforderungen bewusst, die eine (forensische) Datenanalyse an das Unternehmen stellt, insbesondere im Hinblick auf das große Datenvolumen, komplexe Datenstrukturen und die not-wendigen systemseitigen Voraussetzun-gen (Grafik rechts). Zumeist existieren bereits routinemäßige Datenanalysen, etwa im Rahmen der jährlichen Revision. Diese erfassen allerdings in erster Linie Routineabläufe und nicht ohne Weiteres kriminell motivierte Unregelmäßigkeiten.

In knapp einem Fünftel der befragten Unter-nehmen wurden in den letzten zwei Jahren (forensische) Datenanalysen durchgeführt, bei denen konkrete Verdachtsmomente vor-lagen. Größtenteils erfolgten auch diese Un-tersuchungen im Rahmen der regelmäßigen Überprüfungen durch die Interne Revision. In so gut wie allen Fällen konnten die benö-tigten Daten zur Verfügung gestellt werden.

Wo sehen die befragten Unternehmen die größte Herausforderung, um eine (forensische) Datenanalyse durchzuführen?

Die größten Herausforderungen im Rahmen einer (forensischen) Datenanalyse

Notwendige Software nicht vorhanden

Heterogene Systemlandschaft

Fehlendes Know-how

Großes Datenvolumen

Komplexe Datenstrukturen

0 %

25,1 %

25,6 %

25,8 %

39,3 %

10 % 20 % 30 % 40 %

39,8 %

50 %



Besser vorbereitetUm den bereits angesprochenen Risiken zur Auslösung einer (forensischen) Datenanalyse (Rechtsstreitigkeiten, Betrug durch Mitarbeiter, Umgehung interner Kontroll systeme, etc.) zuvor-zukommen, haben die Unternehmen zahlreiche eigene Maßnahmen ergriffen (siehe Grafik rechts). Regelmäßige Da-tenanalysen außerhalb des forensischen Bereichs, etwa durch ein Continuous Transaction Monitoring, werden aber nur von 16 % der Unternehmen geplant.

Insgesamt ist die Vorbereitung auf eine (forensische) Datenanalyse in den meisten Unternehmen durch bereits vorhandene regelmäßige Untersuchungsroutinen weiter fortgeschritten als bei E-Discoverys. Jedoch bleibt fragwürdig, ob die Prozessprüfung des internen Kontrollsystems (71 %) eine effektive und effiziente Überprüfung kri-minell motivierte Handlungen einschließt.

Welche Maßnahmen ergreifen die befragten Unternehmen derzeit, um diesen Anlässen vorzubeugen?

Filter, Virenschutzsoftware

Compliance-Schulungen der Mitarbeiter

Whistle Blower Hotline für die Mitarbeiter

Regelmäßige „Red-Flag Analyse“ der Buchhal-tungsdaten (Continous Transaction Monitoring)

Ausarbeitung Code of Conduct

Klassifizierung von Lieferanten/Kunden nach Risikokriterien

Stichprobenbasierte Prüfung bestimmter Unter-nehmensbereiche, z. B. Spesenkonten/Zeit

Projekte durch Interne Revision

Prozessprüfung des internen Kontrollsystems

0 %

2,1 %

8,0 %

15,8 %

24,0 %

30,7 %

39,8 %

52,5 %

70,5 %

10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 %

1,3 %

Maßnahmen zur Vorbeugung der Risiken einer (forensischen) Datenanalyse

7 % machten keine Angaben (Mehrfachnennungen möglich)


Die Sicherung und Sichtung von Daten verursacht Kosten, seien es regelmäßige Aufwendungen für routinemäßige Kon-trollen durch firmeneigene Prüfer und/oder externe Unternehmen (z. B. Wirt-schaftsprüfer) oder Kosten für Prüfun-gen nach einem Verdachtsmoment bzw. einem tatsächlichen Wirtschaftsdelikt. Die Kosten von Präventivmaßnahmen zur Vorbereitung der Durchführung von (forensischer) Datenanalyse und zur Ver-hinderung von Fraud durch die Sicherung der E-Discovery-Readiness, Datenschutz oder regelmäßiger (forensischer) Daten-analysen lassen sich, abhängig von den zugrunde liegenden Datenmengen, relativ sicher einschätzen und kontrollieren. Im Falle unerwarteter Verdachtsmomente ist dies weitaus schwieriger, da sowohl die Zielrichtung als auch das einzubeziehende Datenvolumen zunächst auf Vermutungen basieren und eingegrenzt werden müssen.

An Aufwendungen für die Einrichtung von Sicherheitssystemen und für präventive Datenanalysen zu sparen, kann sich also im Falle kurzfristiger forensischer Unter- su chungen als ein kostspieliger Fehler erweisen.

Gefahr der Kostenexplosion bei fehlender Vorbereitung

Über 100.000 Euro

Bis 100.000 Euro

Bis 50.000 Euro

Bis 20.000 Euro

0 %

3,6 %

3,6 %

9,6 %

10 % 20 % 30 % 40 % 50 % 60 %

57,8 %

70 %

Tatsächlicher Kostenaufwand für E-Discoverys und (forensische) Datenanalysen

Wie hoch war der (durchschnittliche) finanzielle Aufwand derE-Discovery in den befragten Unternehmen?

Über 500.000 Euro

Bis 500.000 Euro

Bis 100.000 Euro

0 %

10,3 %

71,3 %

10 % 20 % 30 % 40 % 50 % 60 %

6,9 %

80 %70 %

Wie hoch war der (durchschnittliche) finanzielle Aufwandder (forensischen) Datenanalyse in den befragten Unternehmen?

Im Normalfall überschaubare KostenDie Einschätzung der anfallenden Kosten für eine E-Discovery und eine (forensi-sche) Datenanalyse durch nicht betroffe-ne Unternehmen deckte sich in unserer Untersuchung weitgehend mit den tatsäch-lich angegebenen Kosten bei betroffenen Befragten. Danach reichten die Aufwen-dungen für eine E-Discovery bei mehr als 70 % bis an die 100.000-Euro-Grenze.

Eine (forensische) Datenanalyse ließ sich bei 58 % mit weniger als 20.000 Euro durchführen. Hierbei wirkt sich der hohe Grad an routinemäßig vorgenomme-nen präventiven Untersuchungen in den Unternehmen positiv aus (siehe Grafiken unten). Unternehmen, die nicht proaktiv vorbereitet sind, müssen allerdings mit weit aus größeren finanziellen Aufwendungen für die reaktive Durchführung rechnen.


11,5 % machten keine Angaben



Vorteile präventiver Datenüberprüfung• Wettbewerbsvorteil durch „Konsequenz in Compliance“• geringere Schadenswahrscheinlichkeit• Transparenz und damit Reaktionsmöglichkeit, um das Unternehmensklima zu verbessern• routinemäßige Untersuchung auf Betrugsmuster zur frühzeitigen Feststellung von Regel- oder Gesetzesverstößen• einfache Eingrenzung des zu untersuchenden Datenvolumens bei Verdachtsfällen • schnelle Reaktionsmöglichkeit bei externen Untersuchungen• Förderung der Einhaltung von Compliance-Richtlinien • Nachweis der Einhaltung der unternehmerischen Sorgfaltspflicht zur Vorbeugung von Regel- oder Gesetzesverstößen

Reichen Vorsorgeaufwendungen aus?Die Höhe der jährlichen Aufwendungen für Präventionsmaßnahmen liegt bei 68 % der befragten Unternehmen unter 100.000 Euro, bei einem Viertel sogar unter 10.000 Euro. Noch interessanter

Präventionsausgaben

█ Mehr als 1 Million Euro

█ Bis 1 Million Euro

█ Bis 250.000 Euro

█ Bis 100.000 Euro

█ Bis 50.000 Euro

█ Bis 10.000 Euro

100 %

90 %

80 %

70 %

60 %

50 %

40 %

30 %

20 %

10 %

0 %9,0

Über 5 Mrd. EuroBis 100 Mio. Euro 101 bis 500 Mio. Euro 501 Mio. bis 5 Mrd. Euro

Unternehmen geordnet nach Unternehmensumsätzen

wird es, wenn man die Höhe der Aufwen-dungen ins Verhältnis zum Unternehmens-umsatz setzt (siehe Grafik unten):Bei einem Umsatz bis 100 Millionen Euro kommen über 80 % der Unternehmen mit Vorsorgeaufwendungen unter 100.000

Euro aus. Die gleiche Summe genügt auch bei mehr als der Hälfte der Unternehmen, die über 5 Milliarden Euro Umsatz realisieren.



Befragte Unternehmen geordnet nach Umsatz und Höhe ihrer Präventionsausgaben


Zusätzliche KostenrisikenBei unerwartet angesetzten E-Discoverys oder (forensischen) Datenanalysen steigern viele Faktoren das Risiko hoher zusätzlicher Kosten. Die Eingrenzung zu untersuchender Datenbereiche, ob nun strukturierte oder unstrukturierte Daten, die vollständige Erfassung und Analyse dieser Daten, ihre beweiskräftige Sicherung und die Abstimmung bezüglich Daten-schutz Richtlinien – all das erfordert Zeit, passende IT-Instrumente und Know-how sowie Erfahrung bei den Durchführenden.

Die zu bewältigenden Datenmengen können insbesondere bei E-Discoverys erheblichen Umfang annehmen. Im Rahmen unserer Befragung bezifferten die betroffenen Un-ternehmen das akquirierte Datenvolumen mit 100 Gigabyte (32 %) bis zu einem Ter-abyte (33 %) und sogar darüber (14 %). Bei einer E-Discovery müssen durchschnitt-lich 20 Gigabyte an E-Mails verarbeitet werden und allein 250 Gigabyte bei den heute normalen Festplatten der in die Untersuchung einbezogenen Mitarbeiter. Dies erfordert hoch spezialisierte Instru-mente und Analyseverfahren, die jeweils auf dem neuesten Stand der Informations-technologie gehalten werden müssen.


20,7 %

13,8 %19,5 %

13,8 %

32,2 %

Datenvolumina bei E-Discovery und (forensischer) Datenanalyse

Wie groß war etwa das akquirierte Datenvolumen derE-Discovery in den befragten Unternehmen?

█ Bis 100.000 Datensätze


█ Bis 1 Mio. Datensätze


█ Über 5 Mio. Datensätze

█ Keine Angabe

22,9 %

8,4 %

15,7 %

10,8 %

27,7 %

14,5 %

Wie groß war etwa das Datenvolumen der strukturiertenDatenanalyse in den befragten Unternehmen?

█ Keine Angabe

█ Über 1 Terabyte

█ Bis 1 Terabyte

█ Bis 500 Gigabyte

█ Bis 100 Gigabyte

█ Keine Angabe

█ Über 5 Mio. Datensätze






Wer wird künftig die Untersuchungen durchführen?Im Falle (forensischer) Datenanalysen wurden bei der Hälfte der betroffenen Unternehmen bis zu 500.000 Datensätze untersucht. In knapp 20 % stieg diese Zahl auf mehr als eine Million bis über fünf Millionen. Nachvollziehbar ist auch hier: Wer keine regelmäßigen Untersuchun-gen durchführt, muss im Ernstfall einen erheblich längeren Zeitraum mit deutlich höheren Datenvolumina verarbeiten – und das treibt die Kosten schnell in die Höhe.

Wer wird künftig die Untersuchungen durchführen?Für die Unternehmensführung stellt sich die Frage, mit welchen personellen Ressourcen die wachsenden Anfor-derungen erfüllt werden können. Heute sind es in erster Linie interne Prüfer (64 % bei E-Discoverys und 69 % bei Datenanalysen), die die Analyse der betroffenen Daten durchführen. In einem Fünftel der Fälle wurden sie dabei von externen Kräften unterstützt, meist von Wirtschaftsprüfern oder Anwälten. Die internen Mitarbeiter stehen vor einem mehrfachen Dilemma: Die Untersuchungen richten sich gegen Abteilungen und Mit-arbeiter aus dem eigenen Hause und damit gegen Kolleginnen und Kollegen, bis hin zum obersten Management. Dies erschwert eine unabhängige und objektive Begutach- Unternehmensbereiche im Fokus einer forensischen Datenanalyse

█ Finanzbuchhaltung

█ Zeiterfassung &

Reisekostenabrechnung

█ HR & Gehaltsabrechnung

█ Kreditorenbuchhaltung

█ Debitorenbuchhaltung

Gegen welche Unternehmensbereiche richten sich (forensische) Datenanalysen?

25,3 %

14,5 %

13,3 %

13,3 %

4,8 %

4,8 %

2,4 %4,8 %

8,4 %

7,2 %1,2 %

tung. Weiter fehlt es angesichts der ge-ringen Häufigkeit von Untersuchungen an der notwendigen Erfahrung wie z. B. der Erfahrung mit Fraud Mustern und deren Bewertung, dem Umgang mit heterogenen und komplexen Datenstrukturen oder dem technischen und analytischen Know-how zur Durchführung solcher Datenanalysen. Und schließlich sind heutzutage fast sämt-liche Abteilungen von Personal- und Budgetreduzierungen betroffen, die eine Bewältigung steigender Anforderungen zunehmend erschweren.

Die Sicherung und Überprüfung interner Geschäftsdaten ist ein essentieller Bestand-teil des Compliance-Managements. Der dafür notwendige Einsatz ausreichen der Mittel trägt wesentlich zur Unternehmens- sicherung bei. Hier Kosten einzusparen und damit Verstöße gegen internationale Regelungen und Gesetze zu ermöglichen kann, einen weiteren sehr gravierenden Kostenfaktor nach sich ziehen: Strafzahlun-gen durch Unternehmen wie auch Einzel- personen, die in besonders prominenten Fällen der letzten Jahre in die Millionen Euro gegangen sind.

█ Einkauf

█ Vertrieb

█ Diensttelefonabrechnungen

█ Standardprüfung aller

Unternehmensbereiche

█ Sonstiges

█ Keine Angabe


Nur in gut 20 % der von uns befragten Unternehmen wurden in den letzten zwei Jahren eine oder mehrere E-Discoverys durchgeführt. Unabhängig von der Unter-nehmensgröße waren dies in erster Linie Unternehmen aus der Bauindustrie, Finanz-dienstleister, Energieversorger und Versi-cherungen. Regelmäßige (forensische) Datenanalysen durch die Interne Revision

Ausblick: Steigende Bedeutung von E-Discovery und (forensischer) Datenanalyse


Zukünftige Entwicklung von E-Discovery und (forensischer) Datenanalyse

Wie wird sich der Einschätzung der befragten Unternehmen nach die landesweite Häufigkeit von E-Discovery Verfahren in Unternehmen (z. B. wegen oben genannter Gründe) in den nächsten 3 Jahren entwickeln?

█ Wird sinken

█ Wird stagnieren

█ Wird steigen

█ Keine Angabe

27,6 %

1,8 % 2,8 %

67,7 %

Wie wird sich der Einschätzung der befragten Unternehmen nach die landesweite Häufigkeit von strukturierten Datenanalysen in Unternehmen (z. B. wegen oben genannter Gründe) in den nächsten 3 Jahren entwickeln?

gab es bei 12 % und solche aus anderen Gründen bei weiteren 11 % – auch hier fand also bei der Mehrheit der Unternehmen keine (forensische) Datenanalyse statt.Dass dies so nicht bleiben wird, davon ge-hen jedoch viele der Befragten aus: 70 % sind sich sicher, dass die Häufigkeit von E-Discoverys in den nächsten drei Jahren steigen wird, 68 % sehen dies auch für (forensische) Datenanalysen voraus.

Infolge einer zunehmenden Verschärfung des regulatorischen Rahmens zum Schutz vor Wirtschaftskriminalität muss man mit einer starken Zunahme von einer forensischen Untersuchungen ausgehen – E-Discovery und (forensische) Daten-analyse werden immer häufiger betroffene Unternehmen auf eine harte Probe stellen.

23,8 %

3,6 % 2,2 %

70,4 %

█ Wird sinken

█ Wird stagnieren

█ Wird steigen

█ Keine Angabe

34 Ernst & Young eDiscovery und forensischer Datenanalyse

Vorbereitung mindert die Risiken


Der wichtigste Schutz vor wirtschafts-kriminellen Handlungen wie Betrug, Korruption oder Kartellvergehen ist ein unternehmens individuelles Compliance-Management-System. Es basiert auf den drei Säulen Vermeidung (präventiv) – Früherkennung (präventiv) – Reaktion (reaktiv). Innerhalb eines passenden organisatorischen Rahmens und sinnvoller Prozesse zur Durchsetzung und Überprü-fung von Compliance-Regeln sinkt durch ein Compliance-Management-System auch das Risiko von Fraud und damit unvorher-gesehener forensischer Untersuchungen. Gleichzeitig wird das Mitarbeiter – Engage-ment gesteigert und der Fokus auf Vermei-dung statt Reaktion gesetzt. Hierdurch wird eine kontinuierliche Verbesserung der geschäftlichen Prozesse gefördert.

Prävention ist besser als Reaktion E-Discovery und (forensische) Datenana-lyse können sowohl präventiv als auch reaktiv eingesetzt werden. Allerdings unterscheiden sich Aufwand und damit auch Kosten der Untersuchungen erheb-lich, je nachdem wann sie zur Anwendung kommen: bei der routinemäßigen Prüfung der Einhaltung von Compliance oder bei Untersuchung konkreter Verdachts-momente bzw. im Rahmen laufender Gerichtsverfahren.

Präventive Analysen zur Vermeidung bzw. frühzeitigen Aufdeckung von Compliance-Verstößen • Prozessanalysen mit Prüfung interner Abläufe und Kontrollsysteme • Standardanalysen im Rahmen interner Audits mit konkreter Überprüfung auf Betrugsmuster und Auffälligkeiten • Zusätzliche punktuelle Analysen zur Risikoidentifizierung bei strukturierten und unstrukturierten Daten aus unter- schiedlichsten Quellen und Systemland- schaften (hierfür stehen mehr als 800 spezifische Testverfahren zur Verfügung) • Einrichtung von weitgehend auto- matisierten Prozessen zum Risk- Monitoring (z. B. Constinuous Transaction Monitoring)

Reaktive Analysen zur Aufklärung und Beweissicherung • Ad-hoc-Analysen mit kurzer Vorlaufzeit • gezielte Prozessanalysen zur Auf- deckung genutzter Sicherheitslücken • spezifische Verfahren (Data Mining, Text Mining, Trendanalysen) zur nach- träglichen Entdeckung von Auffällig- keiten in strukturierten und unstrukturierten Daten • Fraud Score mithilfe statistischer Modelle und flexibler Score-Systeme zur Bewertung großer Datenvolumina • Aufbereitung der Daten und Unter- suchungsergebnisse zur Visualisierung für das Management • Sicherung der Daten in beweisfähiger Form für laufende und zukünftige Gerichtsverfahren

Spezialisiertes Know-how und Erfahrung Die Berater im FTDS-Team (Forensic Technology & Discovery Services) von Ernst & Young verfügen über umfang-reiches Know-how in den Bereichen Compliance Management, Fraud Investi-gation und Fraud Detection. Auf der Basis hoch qualifizierter IT-Kenntnisse setzen sie neueste Analyseinstrumente ein, passen sie unternehmensspezifisch an und ent wickeln sie permanent weiter.

Langjährige Erfahrung in unterschied-lichen Industriezweigen ermöglicht den Einsatz branchenspezifischer Lösungen und die Erarbeitung unternehmensindivi-dueller Vorgehensweisen.

Umfangreiche juristische Kenntnisse sorgen für Rechtssicherheit bei der Untersuchung und Einhaltung sämtli-cher Vorschriften und Gesetze, z. B. zum Persönlichkeitsschutz betroffener Mitarbeiter.

Als Externe agieren die Berater von Ernst & Young unabhängig und unvorein-genommen gegenüber sämtlichen beteilig-ten Abteilungen und Personen.

36 Ernst & Young eDiscovery und forensischer Datenanalyse

Martin RiedelPartner Ernst & Young Eschborn/FrankfurtFraud Investigation & Dispute Services/Forensic Technology & Discovery ServicesTelefon +49 6196 996 [email protected]

Das FTDS-Team von Ernst & Young

Renato FazzoneSenior Manager Ernst & Young DüsseldorfFraud Investigation & Dispute Services/Forensic Technology & Discovery ServicesTelefon +49 211 9352 [email protected]

Ernst & Young eDiscovery und forensischer Datenanalyse 37

Ernst & Young eDiscovery und forensischer Datenanalyse

Die Studie


Die Studie „Enabling Compliance – Welche Rolle spielt Technologie?“ wurde im Jahr 2011 durch die VALID RESEARCH Marktforschung GmbH im Auftrag von Ernst & Young erstellt. Die Fragen wurden in Zusammenarbeit mit dem Forensic Technology & Discovery Services-Team von Ernst & Young entwickelt.

Insgesamt wurden 871 Unternehmen befragt.

Sonstige leitende Funktion

Leiter Controlling

Inhaber, Geschäftsführer

Leiter der Rechtsabteilung

(Chief) Information Officer/(Chief) Technology Officer

Datenschutzbeauftragter

Leiter interne Revision

(Chief) Compliance Officer

Head of Litigation oder E-Discovery Manager

0 %

1,3 %

1,8 %

4,0 %

21,2 %

39,3 %

3,7 %

10 % 20 % 30 % 50 %

12,3 %

14,5 %

1,8 %

40 %

Die Befragten – Position im Unternehmen

Sonstige

Genossenschaft

Offene Erwerbsgesell-schaft (OEG)

Kommanditgesellschaft (KG)

Kommanditerwerbs-gesellschaft (KEG)

Gesellschaft mit beschränkter Haftung (GmbH)

Gesellschaft bürgerlichen Rechts (GesBr)

Aktiengesellschaft (AG)

0 %

4,1 %

0,7 %

0,2 %

2,6 %

0,7 %

13,9 %

10 % 20 % 30 % 60 %

49,1 %

28,1 %

40 % 50 %

Die Unternehmen – Geschäftsform




Die Studie

Sonstige

Österreich

Schweiz

Deutschland

0 % 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 %

71,3 %

4,9 %

6,7 %

17,1 %

Die Unternehmen – Firmensitz

Consumer products

Pharma/Biotec

Power and Utilities

Handel und Transport

Versicherung

Investitionsgüter-Herstellung

Dienstleistungen

Bauindustrie/Bauwesen

Sonstige Organisationenund Institute

Finanzdiensleister und Banken

0 % 10 % 20 % 30 %

3,7 %

24,5 %

6,8 %

5,7 %

2,9 %

2,3 %

17,7 %

9,9 %

7,5 %

19,6 %

Die Unternehmen – Branchenzugehörigkeit

In Europa

Weltweit

National/im Lande

0 %

17,3 %

30,3 %

10 % 20 % 30 % 70 %

52,4 %

40 % 50 % 60 %

Die Unternehmen – Tätigkeitsbereich

5.000 Mitarbeiter und mehr

1001 bis 5.000 Mitarbeiter

501 bis 1.000 Mitarbeiter

251 bis 500 Mitarbeiter

Bis 250 Mitarbeiter

0 %

13,7 %

22,7 %

20,6 %

27,2 %

10 % 20 % 30 % 40 %

15,7 %

Die Unternehmen – Mitarbeiterzahl

Über 5 Mrd. Euro

501 Mio. bis 5 Mrd. Euro

101 bis 500 Mio. Euro

Bis 100 Mio. Euro

0 %

9,9 %

23,0 %

20,7 %

10 % 20 % 30 %

19,3 %

Die Unternehmen – Umsatz



HerausgeberErnst & Young GmbH Wirtschaftsprüfungsgesellschaft

BildquellenCorbis, Thinkstock

Impressum

Ernst & Young

Assurance | Tax | Transactions | Advisory

Die globale Ernst & Young-Organisation im ÜberblickDie globale Ernst & Young-Organisation ist einer der Marktführer in der Wirtschaftsprüfung, Steuerberatung und Transaktionsberatung sowie in den Advisory Services. Ihr Ziel ist es, das Potenzial ihrer Mitarbeiter und Mandanten zu erkennen und zu entfalten. Die 152.000 Mitarbeiter sind durch gemeinsame Werte und einen hohen Qualitätsanspruch verbunden.

Die globale Ernst & Young-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitglieds- unternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunter- nehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach britischem Recht und erbringt keine Leistungen für Mandanten. Weitere Informationen finden Sie unter www.de.ey.com

In Deutschland ist Ernst & Young mit über 7.000 Mitarbeitern an 22 Standorten präsent. „Ernst & Young“ und „wir“ beziehen sich in dieser Publikation auf alle deutschen Mitglieds- unternehmen von Ernst & Young Global Limited.

© 2012 Ernst & Young GmbH Witschaftsprüfungsgesellschaft All Rights Reserved.

BKR 0112

Ernst & Young ist bestrebt, die Umwelt so wenig wie möglich zu belasten. Diese Publikation wurde daher auf FSC®-zertifiziertem Papier gedruckt, das zu 60 % aus Recycling-Fasern besteht.

Diese Publikation ist lediglich als allgemeine, unverbindliche Information gedacht und kann daher nicht als Ersatz für eine detaillierte Recherche oder eine fachkundige Beratung oder Auskunft dienen. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurde, besteht kein Anspruch auf sachliche Richtigkeit, Vollstän-digkeit und/oder Aktualität; insbesondere kann diese Publikation nicht den besonderen Umständen des Einzelfalls Rechnung tragen. Eine Verwendung liegt damit in der eigenen Verantwortung des Lesers. Jegliche Haftung seitens der Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft und/oder anderer Mitglieds-unternehmen der globalen Ernst & Young-Organisation wird aus-geschlossen. Bei jedem spezifischen Anliegen sollte ein geeigneter Berater zurate gezogen werden.

E-Discovery und forensische Datenanalyse - ey.comFILE/... · 10 Ernst & Young Enabling Compliance |...

Documents

Transcript of E-Discovery und forensische Datenanalyse - ey.comFILE/... · 10 Ernst & Young Enabling Compliance |...