ZU DEN KURSEN!

Internes Kontrollsystem - Datenrisiken und Fraud-Risiken

Kursangebot | Internes Kontrollsystem | Datenrisiken und Fraud-Risiken

Internes Kontrollsystem

Datenrisiken und Fraud-Risiken

Inhaltsverzeichnis

Datenrisiken

Zunächst zu den Datenrisiken. Bei diesen muss sichergestellt werden, dass Diebstahl und Manipulation wirksam verhindert werden. Themen sind hierbei der Datenverlust und die Datensicherung.

Datenverlust

Beim Datenverlust ist zu sagen, dass Daten verloren gehen könnten, wodurch ein erheblicher Schaden für die Unternehmung ausgelöst werden könnte.

Dies kann durch einen technischen Defekt passieren, aber auch durch Katastrophen wie Brand oder einen Stromschaden. Außerdem könnten Bedienungsfehler von Mitarbeitern Grund für Datenverlust sein. Ebenfalls aber könnten Daten absichtlich gestohlen oder sabotiert werden.

Datensicherung

Die Datensicherung versucht wirksam gegen einen Datenverlust vorzugehen. Wir unterscheiden drei unterschiedliche Verfahren der Datensicherung, nämlich

  • die Volldatensicherung als auch die

  • inkrementelle Datensicherung und schließlich

  • die differenzielle Datensicherung.

Bei der Volldatensicherung werden die Daten, die gesichert werden sollen, auf einem sog. Datenträger gespeichert. Die Sicherung (= Back-up) ist vergleichsweise zeitintensiv und es wird viel Speicherplatz benötigt. Die inkrementelle Datensicherung wird nach einer Volldatensicherung durchgeführt und es werden jeweils nur jene Daten gesichert, welche sich seit der letzten inkrementellen Datensicherung verändert hatten.

Bei der differenziellen Datensicherung wiederum werden alle Daten gespeichert, welche sich seit der letzten Volldatensicherung (nicht der letzten inkrementellen Datensicherung) verändert haben.

Wichtig bei jeder Art von Datensicherung ist allerdings auch, dass sie in regelmäßigen Abständen durchgeführt wird und dass die gesicherten Daten an einem sicheren Ort aufbewahrt werden. Weiterhin muss man sie auf Vollständigkeit und Wiederherstellbarkeit überprüfen.

Merke

Hier klicken zum Ausklappen

Die Wiederherstellbarkeit ist auch gerade für steuerliche Betriebsprüfungen wichtig.

Fraud-Risiken

Nun zu den sog. Fraud-Risiken. Man versteht unter Fraud-Risiken gesetzeswidrige Handlungen wie Betrug bzw. Täuschung oder auch Unterschlagung. Unter Täuschungen versteht man bewusst falsche Angaben, aber auch Fälschungen einschließlich Manipulationen. Unrichtigkeiten sind hingegen nicht beabsichtigte, sondern unbeabsichtigt falsche Angaben. Diese können zum Beispiel entstehen, wenn ein Sachverhalt falsch eingeschätzt wird.

Ein Vermögensschaden wiederum entsteht, wenn Vermögensgegenstände widerrechtlich angeeignet werden (im Fall von Diebstahl) bzw. wenn Schulden widerrechtlich erhöht werden (was passiert, wenn eine Rechnung akzeptiert wird, ohne dass eine Gegenleistung erbracht wurde). Im Rahmen eines Anti-Fraud-Managementsystems soll nun den Fraud-Risiken, also den gesetzeswidrigen Handlungen, Einhalt geboten werden. Diese sollen vermieden bzw. entdeckt werden. Man unterscheidet hierbei

  • Fraud-Prevention,

  • Fraud-Auditing und

  • Fraud-Detection.

Fraud-Prevention hat zur Aufgabe, das Eintreten gesetzeswidriger Handlungen zu reduzieren.

Beispiel

Hier klicken zum Ausklappen

Interne Vorschriften und ethische Codices dienen dazu, Fraud-Prevention durchzuführen.

Sog. Fraud-Auditing soll arglistige Handlungen aufklären. Für diese arglistigen (= dolosen) Handlungen müssen die drei Bedingungen des sog. Fraud-Triangle erfüllt sein, die im Rahmen der Fraud-Detection identifiziert werden:

  • ein Motiv muss vorhanden sein,

  • der Täter muss Wissen und Wollen der Tat haben und

  • die Möglichkeit zur gesetzeswidrigen Handlung muss an sich gegeben sein.

Das Fraud-Triangle stellt die drei Bedingungen dar, die erfüllt sein müssen, damit von einer arglistigen Handlung zu sprechen ist. Es muss ein Motiv, eine Gelegenheit und eine Rechtfertigung für den Täter vorliegen.
Das Fraud-Triangle

Wie ist nun eine gesetzwidrige Handlung, also ein Fraud, zu messen? Hierfür existieren sog. Fraud-Indikatoren wie unklare Entscheidungsstränge in komplexen Organisationen oder aber einzelne Geschäfte, welche nicht routinemäßig bearbeitet werden. Weiterhin ist bei einer großen Zahl von Mitarbeitern eine geringe soziale Kontrolle zwischen den einzelnen Mitarbeitern möglich, so dass die Wahrscheinlichkeit für Fraud hierdurch steigt. Außerdem steigt die Wahrscheinlichkeit eines Frauds an, wenn Mitarbeiter erfolgsabhängig entlohnt werden. Hierdurch könnte der Anreiz zur gesetzwidrigen Handlungen steigen, um die eigene Entlohnung zu erhöhen. Wenn darüber hinaus Dokumentationen fehlen oder unzureichend aussehen bzw. Sicherungen im Bereich der EDV fehlen, so ist dies ein weiterer Hinweis auf (möglicherweise!) erfolgte gesetzwidrige Handlungen.