Niemand wünscht sich diese Situation im eigenen Unternehmen: Ein langjähriger Mitarbeiter wird verdächtigt, Geld veruntreut zu haben. Doch welche Vorkehrungen kann man treffen, um es gar nicht erst so weit kommen zu lassen? Und wie reagiert man, wenn es doch zu einem Delikt kommt? Blickpunkt:KMU hatte die Gelegenheit, mit den KPMG-Experten Matthias Kiener und Lukas Fischer über schnelle Sportwagen, wertvollen Schrott und korrekt dimensionierte Kontrollsysteme zu sprechen.

Welches sind die grössten Deliktrisiken bei KMU?

Matthias Kiener

Kiener: Die grössten Risiken entstehen bei KMU meines Erachtens aus einem tendenziell schwachen internen Kontrollsystem, welches in der Regel nicht genügend auf das Thema eines möglichen Betrugs eingeht. Dabei spielt natürlich die Vertrauenskultur innerhalb des Unternehmens eine wichtige Rolle. Als Verantwortlicher muss man zwischen vollem Vertrauen und rigiden Kontrollen den passenden Weg finden. Wenn es eine sehr ausgeprägte Vertrauenskultur mit wenigen Kontrollen gibt, werden sich immer Menschen finden, die dies zu ihrem eigenen Vorteil ausnutzen. Welche Delikte kommen am häufigsten vor?

Fischer: Wir beobachten in der Praxis, dass bei KMU neben dem «Griff in die Kasse» hauptsächlich folgende Tatbestände im Vordergrund stehen: grössere und kleinere Betrugsfälle, Veruntreuungen und Diebstahl von Gesellschaftsvermögen. Auch Bestechungen im privaten wie im öffentlichen Geschäftsverkehr kommen vor. Ferner sehen wir die Preisgabe vertraulicher Daten in letzter Zeit immer öfter, beispielsweise Produktspezifikationen, Rezepte, Zeichnungspläne. Ausserdem kommt es immer wieder zu Konkursdelikten. Ich spreche hier nicht von offiziellen Statistiken des Bundes, sondern von unseren eigenen Erfahrungen mit KMU. Nicht zwingend bei den häufigsten, aber bei den Delikten, die den grössten materiellen und immateriellen Schaden verursachen, steht übrigens die Korruption weit vorne, ebenso wie Verstösse gegen Wettbewerbsrecht oder Kartellgesetze sowie Steuer- und grössere IT-Delikte.

Kiener: Ergänzend sei gesagt, dass bei KMU, die in wirtschaftliche Schieflage geraten, oft Manipulationen an der Jahresrechnung anzutreffen sind. Man darf nicht vergessen, dass es dabei oft um ganz spezielle, persönliche Situationen geht: Denken Sie an einen KMU-Betrieb auf dem Land, der dem Gemeindepräsidenten gehört, der zudem noch das schönste Haus im Ort besitzt und ein wichtiger lokaler Arbeitgeber ist. Hier gibt es ein massives Interesse, dass dieser Betrieb nicht in die Überschuldung abgleitet. Man unterliegt leicht der Versuchung, durch Manipulationen an der Jahresrechnung die Situation besser darzustellen als sie effektiv ist, oft gepaart mit einem unerschütterlichen Optimismus, dass nächstes Jahr sowieso alles besser wird. Es geht in einem solchen Moment ja nicht nur um einen möglichen Verlust der Firma und den darin gebundenen Vermögenswerten, sondern auch um die Reputation eines Einzelnen, um das soziale Netzwerk.

Gibt es bezüglich Delikten, die die Vertrauensbasis ausnützen, Unterschiede zwischen den klassischen inhabergeführten Familienunternehmen und dem Spin-off eines Technologiekonzerns, um das extreme Gegenbeispiel zu nennen?

Kiener: Ich glaube zu spüren, dass in inhabergeführten Betrieben ein ganz anderes Commitment besteht: Die Inhaber glauben oft, alles zu wissen und alles kontrollieren zu können, was in ihrem Betrieb vor sich geht. Auch die Ausrichtung ist eine völlig andere: Während inhabergeführte Unternehmen meistens langfristig orientiert handeln, steht bei anderen Betrieben oft die kurzfristige Zielerreichung im Vordergrund.

Folgeschäden nicht unterschätzen

Welche Abteilungen oder Prozesse sind am meisten betroffen von Betrug?

Lukas Fischer

Fischer: Zuallererst ist die Finanzbuchhaltung zu nennen, daneben sind Ein- und Verkauf gefährdete Punkte. Hier liegt die Gefahr vor allem darin, dass der Kontakt mit dem Kunden oder Lieferanten ausserhalb des Unternehmens stattfindet, so dass Absprachen getroffen werden können – und eine Kontrolle nur schwer möglich ist.

Kiener: Das Warenlager darf man auch nicht ausser Acht lassen. Ich habe Fälle miterlebt, in denen Mitarbeiter abgeschriebene Ware gestohlen haben, weil sie wussten, dass diese bereits mit einem Franken in der Bilanz steht und deshalb im Rahmen von periodisch durchgeführten physischen Inventuraufnahmen kaum mehr gezählt wird. Verkauft wurde die Ware dann beispielsweise über ein Online-Auktionshaus, und der Erlös ging direkt in die Tasche der Mitarbeiter. Obwohl man jetzt zu Recht einwenden kann, dass damit typischerweise keine grossen Beträge im Spiel sein können, darf man die indirekten Schäden, die dadurch entstehen können, nicht verharmlosen: Solche Machenschaften können das Entstehen von Graumärkten fördern und zu einer Preiserosion von Produkten führen, oder eine Firma könnte mit wesentlichen Schadenersatzforderungen aufgrund fehlerhafter Produkte konfrontiert werden. Ebenfalls heikel kann die Handhabung von wertvollem Schrott und Abfall werden, vor allem wenn es beispielsweise um Metalle wie Kupfer geht. Gewisse Menschen realisieren schnell, welche Werte hier vorhanden sind, und verkaufen den «Abfall» ihres Arbeitgebers auf eigene Rechnung oder aber eine Firma setzt die daraus gewonnenen finanziellen Mittel ausserhalb der Bücher beispielsweise zur Bestechung ein.

Um noch einmal auf die Buchhaltung zurückzukommen: Vor allem die Applikationen, die zur Abwicklung von elektronischen Geldüberweisungen eingesetzt werden, sollte man eingehender unter die Lupe nehmen. Wenn beispielsweise eine Software zum Einsatz kommt, die eher rudimentäre Sicherheitsstandards aufweist, kann sich schnell ein grösseres Risiko ergeben. Bei Betrugsfällen im KMU-Umfeld treffen wir immer wieder auf Applikationen, die den idealen Sicherheitsanforderungen nicht gerecht werden.

Auch wenn Fälle von fingierten Überweisungen nicht immer leicht aufzuklären sind, kann man doch eindeutig sagen, mit welchem Verhalten ein Mitarbeiter Grenzen überschreitet. Beim Thema Ein- und Verkauf gestaltet sich dies schwieriger: Wo hört die gebotene Höflichkeit auf und wo fängt die Bestechung an?

Fischer: Das handhabt jedes Unternehmen anders. Im Strafrecht gilt die Grenze von wenigen hundert Franken – doch diese muss man relativ betrachten: Sobald jemand durch ein «Geschenk» dazu bewogen wird, einen Auftrag zu erteilen, was er nicht getan hätte ohne beschenkt zu werden, kann man unter Umständen schon von Korruption sprechen. So gesehen kann das gleiche Geschenk je nach Situation eine strafrechtliche Relevanz hervorbringen. In der Regel geben Unternehmen diesbezüglich Richtlinien vor.

Kiener: Am Ende liegt die Grenze aber auch im persönlichen Ermessen. Ich weiss selbst am besten, ab wann ich meine Entscheidungsfreiheit aufgebe.

Drei Dimensionen des Betrugs

Welche Vorkehrungen können KMU sinnvollerweise im Bereich der Deliktprävention, -aufdeckung und -untersuchung treffen?

Kiener: Laut der Theorie des amerikanischen Kriminologen Donald Cressey hat das «Betrugsdreieck» drei Dimensionen: Damit es zu einer Tat kommt, braucht es ein Motiv – beispielsweise private finanzielle Probleme. Ausserdem ist eine Rechtfertigung nötig, denn Wirtschaftskriminelle sind normalerweise keine gewalttätigen Menschen, sie möchten sich und ihrer Familie weiterhin in die Augen sehen können. Als Rechtfertigung dient beispielsweise das Gefühl, für die eigene Leistung nicht entsprechend belohnt zu werden. Die gefühlte Differenz nimmt man sich dann selbst, weil sie einem «ja zusteht ». Die dritte Dimension schliesslich ist die Gelegenheit. Und nur hier kann ein KMU überhaupt gezielt proaktiv ansetzen, indem es diese soweit wie möglich einschränkt. Im Idealfall müsste ein Delinquent ständig damit rechnen, dass sein deliktisches Handeln jederzeit auffliegen kann.

Womit wir wieder beim eingangs erwähnten internen Kontrollsystem wären. Primär adressieren die aufgrund der Gesetzesanpassungen eingeführten internen Kontrollsysteme insbesondere das Risiko der falschen finanziellen Berichterstattung. Bisher habe ich jedoch noch selten erlebt, dass auch Risiken wie Korruption oder Diebstahl im Rahmen eines internen Kontrollsystems adressiert werden. Wenn ein Unternehmen schon ein solches System einführt, wäre es doch mehr als sinnvoll, sämtliche wesentlichen Deliktsrisiken sowie Risiken aus Verstössen gegen weitere staatliche Normen und regulatorische Vorgaben zu berücksichtigen.

Womit man langjährige, loyale Mitarbeiter vor den Kopf stossen könnte, mit allen denkbaren Konsequenzen …

Kiener: Dazu sei gesagt: Sie können ein Kontrollsystem mit Bezug auf die Mitarbeiterkriminalität auch so ausgestalten, dass sie im Betrieb ein passives Netz an Kontrollpunkten auslegen, so dass es nicht immer direkt ersichtlich ist, wozu die gewonnen Informationen auch noch genutzt werden können. Auch KMU verfügen heute im Rahmen des Management-Information-Systems über eine Vielzahl von betriebsinternen Statistiken und Analysen, die gezielte Risikokontrollen zulassen würden, ohne dass zusätzliche spezifische Analysen oder Auswertungen erstellt werden müssen. Wichtig ist aber, dass die vorhandenen Informationen zentral bei immer der gleichen Stelle zusammenfliessen und dort systematisch ausgewertet werden. Ein KMU muss seine systemischen Risiken im Griff haben, und wenn zu diesem Zweck eine Anpassung im internen Kon-trollsystem nötig ist, dann muss man diesen Schritt eben gehen. Oft kommt der Einwand, dass KMU werden weder die personellen noch die finanziellen Ressourcen haben, ein Kontrollsystem zu fahren – dies sei nur etwas für Grossunternehmen. Damit bin ich nicht ganz einverstanden. Man kann sich weniger Kontrollpunkte setzen, diese dann aber konsequent überprüfen. Der Aufwand lässt sich im Rahmen halten, wenn man entsprechend plant und die zentralen Gefahrenpunkte für sich selbst erkennt.

«Das hätte man sehen müssen…»

Was sind die Verdachtsmomente, welche auf einen möglichen Betrug hinweisen? Gibt es tatsächlich Fälle, in denen ein einfacher Mitarbeiter plötzlich mit dem dicken Sportwagen vorfährt?

Fischer: Solche «red flags» gibt es wirklich, ich habe selbst solche Fälle erlebt. Beispielsweise hat sich in einem Fall ein Buchhalter aus der Beute seines Betrugs an der Firma einen Maserati gekauft und kam mit diesem auch zur Arbeit. Plumper geht es kaum. Wir müssen aber auch sehen: Autos kann man leasen, eine solche «red flag» sollte einen Alarm auslösen, aber noch nicht zu einer Vorverurteilung führen.

Kiener: Besonders interessant finde ich, dass man immer nach Aufarbeitung der Fälle Punkte erkennt, die lange vorher einen Verdacht hätten auslösen müssen. Oft passiert dies auch, und es wird beim verdächtigen Mitarbeiter nachgefragt – doch ein Täter rechnet ja damit, dass man ihn eines Tages auf einen Sachverhalt ansprechen wird, und hat sich längst vorbereitet, um den Verdacht entkräften zu können. Wenn er dann entsprechende «schöne» Unterlagen aus der Schublade zieht, müsste man diese mitnehmen und in aller Ruhe neutral überprüfen. Genau dieser Schritt bleibt in den meisten Fällen aber aus. Man lebt ja in einer Vertrauenskultur, und der Mitarbeiter gehört dem Unternehmen schon lange an, es ist ein sympathischer Arbeitskollege, und schon wird einem möglichen Verdacht zu wenig Beachtung geschenkt.

Fischer: Beinahe bei allen Delikten stossen wir auf fehlende oder fehlerhafte Unterlagen, beziehungsweise auf Verträge, die betriebswirtschaftlich keinen Sinn ergeben. Oft erleben wir auch, dass grundsätzlich keine Originaldokumente, sondern nur Kopien vorhanden sind. Dies muss nicht zwingend auf einen Verdacht hinweisen, aber es gehört oft dazu. Ebenfalls als Anhaltspunkt gelten uns unnötig komplexe Strukturen. Eine relativ einfache Transaktion, die ohne offensichtlichen Grund über vier verschiedene Bankkonten läuft, sollte nachdenklich stimmen. Besonders hellhörig sollte man werden, wenn der Zugriff auf Dokumente mit fadenscheinigen Begründungen verweigert wird.

Kiener: Grundsätzlich sollte man sich bei Verdachtsfällen fragen: Würde ein vorsichtig handelnder Kaufmann so vorgehen? Lautet die Antwort «nein», so lohnt es sich sicher, ein wenig tiefer zu graben.

Ruhe bewahren!

Welches sind die Sofortmassnahmen bei einem Betrugsverdacht?

Fischer: Das hängt vom Verbrechen ab, das man vermutet. Geht es beispielsweise um einen grösseren Betrag, von dem man annimmt, dass er veruntreut wurde, und könnte auch die Reputation des Unternehmens leiden, wollen die nächsten Schritte enorm gut durchdacht sein. Vor allem sollte man auf keinen Fall selbst nach Beweisen suchen oder den Verdächtigen direkt ansprechen, da dieser sonst belastende Unterlagen verschwinden lassen kann. Ein gutes Interview kann man erst führen, wenn man viele Antworten aufgrund von Belegen bereits kennt. Denn nur dann weiss man, wenn man belogen wird. Professionelle Hilfe ist also definitiv angebracht. Wenn Gesundheit oder Leben gefährdet sind, sollte sofort die Polizei gerufen werden. Wiegt der Fall weniger schwer, kann man einen speziell ausgebildeten und erfahrenen Forensiker hinzuziehen, der professionelle Ermittlungen durchführt.

Kiener: Wir beobachten häufig den Fehler, dass in der ersten emotionalen Aufregung beispielsweise zu viele Personen informiert werden. Doch genau diesen «Kreis der Informierten» sollte man klein halten, und unbegründete Vorverurteilungen sind völlig fehl am Platz. Einen solchen Stempel wird ein zu Unrecht Verdächtigter im Nachgang nie mehr los. Deswegen gilt als oberste Regel: Ruhe bewahren! Idealerweise sollte ein Unternehmen über einen «Fraud Response Plan» verfügen, der das weitere Vorgehen im Deliktsfall genau definiert.

Herr Kiener, Herr Fischer, vielen Dank für dieses spannende Gespräch! tw