Legal information. Volent er ad modions equatum doluptatio dit augrtion sequamet ullan ullamco nsequam, velit, vercil et iusto dolore velduipsuscing eriure tat nummodiam quat dolIm in hendio et wis nim alis nulput volor aliquat ullaorting euipsumsan vercidui blaorting eugiamet lor accum iliquisi. Ting essequat. Volent er ad modions equatum doluptatio dit augrtion sequamet ullan ullamco nsequam, velit, vercil et iusto dolore velduipsuscing eriure tat nummodiam quat dolIm in hendio et wis nim alis nulput volor aliquat ullaorting euipsumsan vercidui blaorting eugiamet lor accum iliquisi.

Ting essequat. Volent er ad modions equatum doluptatio dit augrtion sequamet ullan ullamco nsequam, velit, vercil et iusto dolore velduipsuscing eriure tat nummodiam quat dolIm in hendio et wis nim alis nulput volor aliquat ullaorting euipsumsan vercidui blaorting eugiamet lor accum iliquisi. Ting essequat. Volent er ad modions equatum doluptatio dit augrtion sequamet ullan ullamco nsequam, velit, vercil

Contact us

Name SurnameSector nameT: + 44 (0) 00 0000 0000 E: n.surname@kpmg.comName SurnameSector nameT: + 44 (0) 00 0000 0000 E: n.surname@kpmg.comName SurnameSector nameT: + 44 (0) 00 0000 0000 E: n.surname@kpmg.comLorem ipsum et www.kpmg.com

FORENSIC

Verbesserung des Fraud Risk Managements in

Zentral- und OsteuropaErfahrungen bei deutschen und

österreichischen Unternehmen

kpmg.com/cee

KPMG in Zentral- und Osteuropa

© 2014 KPMG Central & Eastern Europe Limited, eine Gesellschaft mit begrenzter Haftung und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind.

PräventivmaßnahmenDie meisten Unternehmen waren der Ansicht, klare Ethikrichtlinien zu besitzen. In vielen Fällen wurden diese nicht regelmäßig an die Mitarbeiter kommuniziert. Richtlinien zur Vermeidung fraudulenter Handlungen wurden im Allgemeinen als eindeutig formuliert eingeschätzt. Auch hier unterblieben Schulungsmaßnahmen. Zudem besaßen die Mitarbeiter in der Regel keine Kenntnis über diese Richtlinien.

Nach Aussage der meisten Befragten fand zwar vor Aufnahme einer Geschäftsbeziehung zu Drittparteien in gewisser Weise eine Bewertung des Fraud-Risikos statt. Die Vorgehensweise ist jedoch weder einheitlich geregelt noch wird sie dokumentiert. Zudem wurden laufende Geschäftsbeziehungen zu Drittparteien in den wenigsten Unternehmen kontinuierlich überprüft.

Ein Fraud Risk Assessment wurde nur in den seltensten Fällen durch die befragten Unternehmen durchgeführt.

AufdeckungsmaßnahmenNach Aussage der meisten Befragten sind Whistleblowing Systeme in ihren Unternehmen vorhanden. Das Bewusstsein im Hinblick auf deren Existenz und richtiger Anwendung ist innerhalb der Unternehmen jedoch oftmals gering, wodurch deren Effizienz beträchtlich eingeschränkt wird.

ReaktionsmaßnahmenWir stellten fest, dass die Reaktions-Mechanismen vieler Unternehmen nicht angemessen sind.

Grundlage der Bewertung war das von KPMG entwickelte Fraud Management Strategy Assessment Tool (FMSAT). Bei diesem auf Umfragen basierenden Tool wird das Fraud Risk Management der befragten Unternehmen mit der international angewendeten “best practice“ verglichen. Im Fokus des Tools stehen die unternehmensweit eingerichteten Kontrollen. Ziel ist es, ihre Effektivität im Hinblick auf die Prävention, Erkennung und Reaktion auf Fraud zu betrachten.

Durch die Selbsteinschätzung der Unternehmensvorstände kann so ein Einblick in die Stärken und Schwächen ihrer bestehenden Fraud Risk Management Systeme verschafft werden.

In den nachfolgenden Ausführungen wurden die Antworten der befragten Tochterunternehmen analysiert. Dabei wurden Schwachstellen identifiziert, bei denen die Fraud Risk Management Strategien der Unternehmen verbessert werden könnten.

Wesentliche ErgebnisseUnternehmensübergreifende wirtschaftskriminelle HandlungenFraudulente Handlungen, die nach Angabe der an der FMSAT Umfrage teilnehmenden deutschen und österreichischen Unternehmen am häufigsten gemeldet wurden, sind in den Kreisdiagrammen unten dargestellt.

In den vergangenen zwei Jahren wurde das Fraud Risk

Management System von über 100 in Zentral- und

Osteuropa tätigen Unternehmen durch KPMG CEE

bewertet. Bei 35 dieser Unternehmen handelte es sich

um Tochterunternehmen deutscher und österreichischer

Gesellschaften.

Unternehmensübergreifende wirtschaftskriminelle Handlungen

40% 37% 20% 17%20% 20%

Diebstahl von Unternehmensvermögen

Interessenkonflikte Widerrechtliche Zuwendungen

Bestechung und Schmiergeldzahlungen

Vetternwirtschaft Missbrauch von Unternehmensvermögen

© 2014 KPMG Central & Eastern Europe Limited, eine Gesellschaft mit begrenzter Haftung und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind.

Detaillierte ErgebnisseKPMG ordnete den Antworten der FMSAT Umfrage verschiedene, farblich gekennzeichnete Bemessungsgrößen zu. Diese können wie folgt interpretiert werden:

Positive Einschätzung der Fraud Risk Management Strategie der Organisation.

Einigermaßen positive Einschätzung der Fraud Risk Management Strategie der Organisation.

Eher negative Einschätzung der Fraud Risk Management Strategie der Organisation.

Negative Einschätzung der Fraud Risk Management Strategie der Organisation.

Die meisten der befragten Unternehmen verfügen über einige schriftlich fixierte Fraud Risk Management Richtlinien und Verfahren, vernachlässigen aber deren praktische Umsetzung. Dadurch können sich selbst adäquate Richtlinien und Verfahren als völlig unwirksam erweisen.

In Folgegesprächen begründeten mehrere Unternehmen die begrenzte Umsetzung von Fraud Risk Management Maßnahmen damit, dass die Entscheidungsbefugnisse für zentrale Prozessschritte bei ihrer Muttergesellschaft liegen.

Beurteilung der PräventionsmaßnahmenEthikrichtlinien sind zwar in den meisten befragten Unternehmen implementiert. Ihre Effizienz wird allerdings durch die unzureichende Kommunikation an die Mitarbeiter und fehlende inhaltliche Klarheit eingeschränkt.

Eindeutige Ethikrichtlinien:

Kommunikation der Richtlinien und Häufigkeit von Schulungsmaßnahmen:

Die Umfrage zeigt ein ähnliches Bild im Bezug auf die Richtlinien zur Fraud-Bekämpfung. Zwar gaben die meisten Befragten an, klare Richtlinien zur Fraud-Bekämpfung in ihren Unternehmen zu haben, die Mitarbeiter werden jedoch nicht hinreichend über ihre eigenen Verantwortlichkeiten hinsichtlich der Prävention und Aufdeckung fraudulenter Handlungen aufgeklärt. Dies deutet darauf hin, dass die Unternehmen unter Umständen nicht in der Lage sind, von ihrem größten Kapital im Bereich des Fraud Risk Managements, nämlich einer aufmerksamen Belegschaft, zu profitieren.

Eindeutige Fraud-Richtlinien:

Regelmäßige Kommunikation der Fraud Richtlinien:

Häufigkeit von allgemeinen Fraud Schulungsmaßnahmen:

Schulung neuer Mitarbeiter:

Schulungsmaßnahmen zur Prävention und Aufdeckung von Fraud:

© 2014 KPMG Central & Eastern Europe Limited, eine Gesellschaft mit begrenzter Haftung und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind.

Fallbeispiel – Beschaffungsbetrug Die betriebseigene Revision eines unserer Mandanten bat um Unterstützung bei der Untersuchung von Vorwürfen, die von einem externen Whistleblower gegen den Vorstand seiner rumänischen Tochtergesellschaft erhoben wurden.

Unsere Untersuchung ergab folgenden Sachverhalt:

• Fälschung von Informationen über die Mengen des während des Produktionsverlaufes produzierten Abfalls.

• Betrug beim Einkauf durch die überhöhte Mengenangabe der erworbenen Rohmaterialien und von Material, das nicht den Qualitätsvorgaben entsprach.

• Erstellung von fingierten Lieferantenrechnungen zur Vertuschung von Inventardiebstahl.

• Schmiergeldzahlungen von Lieferanten an Mitarbeiter im Einkauf.

Durch geeignete Schulungsmaßnahmen der Mitarbeiter sowie durch die effektive Überprüfung des Personals in Schlüsselpositionen und der Lieferanten hätte die Gesellschaft den auf EUR 300,000 geschätzten Schaden verhindern oder zumindest reduzieren können.

Viele Unternehmen könnten ihr Gefahrenpotential im Bezug auf fraudulente Handlungen erheblich verringern, indem sie potentielle Risiken im Hinblick auf ihre Mitarbeiter, Geschäftspartner und Lieferanten in ihre Risikobewertung einbeziehen. Tatsächlich zeigen die Ergebnisse unserer Umfrage, dass die meisten Unternehmen sich vor Beginn eines Geschäftsverhältnisses Gedanken über potentielle Fraud-Risiken machen. Die Beurteilung bezieht sich hauptsächlich auf finanzielle Risiken und erfolgt oft nicht nach einheitlichen Vorgaben. In den wenigsten Unternehmen werden standardisierte und dokumentierte Bewertungsmechanismen eingesetzt. Zudem werden laufende Geschäftsbeziehungen zu Drittparteien nicht regelmäßig überprüft. Dadurch besteht die Gefahr, erst nach Beginn der Geschäftsbeziehung auftretende Risiken, wie zum Beispiel einen Interessenkonflikt eines neuen Mitarbeiters, nicht zu erkennen.

Überprüfung der Referenzen von Führungskräften, Geschäftspartnern und Lieferanten:

Regelmäßige Überprüfung der Referenzen der Führungskräfte, Geschäftspartner und Lieferanten:

Bewertung des Fraud-Risikos vor Eingehung von Geschäftsbeziehungen:

Dokumentation der Risikobewertung:

Standardisierte Form der Risikobewertung:

Das Risikoprofil jedes Unternehmens ist eigenständig zu beurteilen und kann sich abhängig von internen und externen Faktoren verändern. Unternehmen sollten daher regelmäßig die Risiken, denen sie ausgesetzt sind, bewerten und die zur Minimierung dieser Risiken geeigneten Kontrollmaßnahmen berücksichtigen. Viele der befragten Gesellschaften führen solche Analysen offensichtlich nicht regelmäßig durch. Dies gilt selbst dann, wenn sich bereits fraudulente Handlungen ereignet haben.

Regelmäßige Fraud Risk Assessments:

Dokumentation von einzuleitenden Maßnahmen und Abarbeitungsfristen:

Formalisierte Überwachung der Kontrollen zur Reduzierung von Fraud Risiken:

Dokumentation der Verletzungen von Fraud Kontrollen:

Fallbeispiel – Interessenskonflikte Unser Mandant bat uns, Vorwürfe gegen den Geschäftsführer der slowakischen Tochtergesellschaft zu untersuchen. Der Geschäftsführer wurde bezichtigt, sich durch Geschäfte mit verbundenen Firmen bereichert zu haben.

Unsere Untersuchungen ergaben folgenden Sachverhalt:

• Nicht offengelegte Interessenkonflikte des Geschäftsführers.

• Vertragsvereinbarungen mit verbundenen Unternehmen zu überhöhten Preisen.

• Freigabe von Rechnungen von verbundenen Unternehmen für Dienstleistungen, die nicht geleistet wurden.

• Möglicher Diebstahl von Bargeld.

Durch die Überprüfung der Beziehungen der Mitarbeiter in Schlüsselpositionen zu den Lieferanten der Firma hätte die Gesellschaft einen geschätzten Schaden von EUR 420,000 verhindern können.

Beurteilung der AufdeckungsmaßnahmenNach Aussage der meisten Befragten sind Whistleblowing Systeme in ihren Unternehmen implementiert. Aufgrund mangelhafter Kommunikation sind sich die Mitarbeiter jedoch oftmals nicht über deren Existenz und richtige Nutzung bewusst. Dadurch kann die Wirksamkeit eines solchen Systems durchaus gemindert werden. Es ist Aufgabe der Unternehmen, das Bewusstsein der Mitarbeiter dahingehend zu stärken, Whistleblowing-Systeme eigenverantwortlich und ohne Angst vor Repressalien zu nutzen. Dies eröffnet den Unternehmen die Möglichkeit, Fraud früher aufzudecken und den verursachten Schaden einzugrenzen. Es ist sicherlich kein Zufall, dass unsere Mandanten in einem wesentlichen Teil der untersuchten Fraud-Fälle erstmals durch die Hinweise von Whistleblowern davon Kenntnis erlangten und diese nicht durch traditionelle Kontrollmechanismen1 aufgedeckt wurden.

1 2013, KPMG in Zentral- und Osteuropa, CEE profile of a fraudster

© 2014 KPMG Central & Eastern Europe Limited, eine Gesellschaft mit begrenzter Haftung und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind.

Verfahren zur Sicherung elektronischer Beweismittel:

Zuordnung der Zuständigkeiten, die Untersuchung und die Beweissicherung betreffen:

Durchführung unabhängiger Untersuchungen:

Dokumentation des Untersuchungsvorgehens:

Vorhandensein von Sanktionen im Code of Conduct:

Unangekündigte Fraud-Prüfungen (fraud audit):

SchlussfolgerungenDie soeben aufgeführten Erkenntnisse zeigen, dass sich die Bereitschaft der Tochterunternehmen deutscher und österreichischer Gesellschaften in Zentral- und Osteuropa in Grenzen hält, Fraud-Risiken zu bewältigen, die ihre Geschäftstätigkeit beeinträchtigen könnten. Dies trifft natürlich nicht nur auf deutsche und österreichische, sondern auch auf andere ausländische Gesellschaften zu.

Wir empfehlen daher den in Zentral- und Osteuropa tätigen Muttergesellschaften folgendes: Werfen Sie einen kritischen Blick auf Ihre Governance-Mechanismen. Überprüfen Sie, ob diese in Ihren ausländischen Tochterunternehmen auch angewandt werden. Die Existenz sorgfältig entworfener und den Anforderungen entsprechenden Richtlinien auf Gruppenebene bedeutet keineswegs, dass diese konzernweit umgesetzt werden.

Bewusststein über den „Governance Trend“, Whistleblowing Systeme zu implementieren:

Vorhandensein formalisierter Whistleblowing-Richtlinien:

Vorhandensein von Whistleblowing-Systemen:

Angemessene Kommunikation der Whistleblowing-Systeme:

Beurteilung der ReaktionsmaßnahmenDie Ausgestaltung der vorgesehenen Reaktionsmaßnahmen war den Befragten nicht ausreichendbewusst. Dies lässt sich unter anderem darauf zurückführen, dass diese in manchen Fällen auf Gruppenebene entschieden worden waren. Folgende zusätzliche Probleme können im Falle der Notwendigkeit von Fraud-Untersuchungen auftreten:

• Die Möglichkeiten der Unternehmen, effizient elektronische Beweise zu sichern, sind begrenzt. Dies könnte eine erfolgreiche Fraud-Untersuchung behindern, da heutzutage Unmengen von Geschäftsinformationen elektronisch gespeichert und übermittelt werden.

• Fraud-Vorfälle werden in den meisten Unternehmen eher vom Vorstand als von unabhängigen Compliance-Organisationen, wie zum Beispiel der Internen Revision oder durch externe Sachverständige, untersucht.

• Die Vorgehensweise, die bei einer notwendigen Untersuchung zu befolgen ist, ist in den meisten Unternehmen nicht dokumentiert. Dies erhöht das Risiko, dass wichtige Untersuchungshandlungen nicht durchgeführt werden.

Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation.

Der Name KPMG, das Logo und „cutting through complexity“ sind eingetragene Markenzeichen von KPMG International.

© 2014 KPMG Central & Eastern Europe Limited, eine Gesellschaft mit begrenzter Haftung und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind.

Kontakte:

Jimmy HelmPartner Forensic Zentral- und OsteuropaTel: +420 222 123 430jhelm@kpmg.com

Dimitar GeorgievManager Forensic Zentral- und Osteuropa Tel: +420 222 123 640dgueorguiev@kpmg.com

kpmg.com/cee