- -
- 100%
- +
61
Inwieweit Informationen Dritter ungeprüft verwertet oder übernommen werden können, ist jeweils im Einzelfall zu entscheiden. Gerade bei der Entfaltung wesentlicher Beweisfunktionen wird der Ermittler nicht umhin kommen, die Hauptannahmen und -aussagen mindestens zu plausibilisieren.
a) IT-gestützte Auswertung digitaler Daten
62
Der Einsatz von IT-gestützten Analysewerkzeugen kann zu einem erheblichen Effizienz- und Effektivitätsgewinn bei der Datensammlung, -aufbereitung und -auswertung von Massendaten im Rahmen einer Ermittlung führen. Die als Analysewerkzeuge einzusetzenden Anwendungen reichen von einfachen Tabellenkalkulations- und Datenauswertungsprogrammen mit Basis-Analysefunktionen über speziell für die Massendatenanalyse strukturierter Daten entwickelter Softwarelösungen bis hin zu selbstlernenden Systemen.
63
Die Analyse und Auswertung von Massendaten ist ein Hauptanwendungsbereich von Softwarelösungen wie bspw. „WinIdea“, „ACL“[16], „FTK“[17] oder „Nuix“[18].
64
Die Verknüpfung von strukturierten Daten und unstrukturierten Inhalten, die manche Werkzeuge unterstützen, bietet dem Anwender die Möglichkeit grundverschiedene Informationsquellen integriert für die Analyse zu nutzen. Beispielsweise wäre die Suche nach einer personellen Identität in einem bestimmten Zeitintervall in Kombination mit handschriftlichen Notizen, E-Mails oder Telefonanrufen auf verschiedenen Datenträgern denkbar. Die Suchalgorithmen können hierbei bestimmte Zusammenhänge von Datensätzen aufzeigen, dokumentieren und den Analyseprozess entscheidend unterstützen.
65
Im Idealfall zeigen die Prüfungsergebnisse gewisse Risikomuster auf, die als Benchmarks selbstlernender Analysetools dienen, durch statistische Auffälligkeiten kenntlich gemacht sowie weiterentwickelt werden und somit auch auf unbekannte Risikomuster angewendet werden können.
66
Selbst Lösungen für den Fall, dass Informationen lediglich in Papierform oder in Form handschriftlicher Notizen zur Verfügung stehen, können von moderner Software geliefert werden. So können Scansysteme und professionelle OCR-Software eingesetzt werden, um Informationen zu digitalisieren, in verwertbare Formate zu konvertieren und somit elektronisch analysefähig zu machen.
b) WinIdea
67
WinIdea ist eine speziell für die Massendatenanalyse entwickelte Softwarelösung und findet hier aufgrund ihrer Verbreitung am Markt Beachtung. Sie wird in Deutschland seit 2002 von der Finanzverwaltung mittlerweile nahezu flächendeckend bei steuerlichen Außenprüfungen eingesetzt. Dies hat zur Folge, dass die steuerrelevanten Daten aufgrund der gesetzlichen Vorschriften regelmäßig in einer für IDEA lesbaren Form in Unternehmen vorliegen und grds. unverzüglich übergeben werden können (Z3-Zugriff). Das Programm bietet neben der individuellen Programmierung von Prüf-Makros standardisierte Funktionalitäten wie bspw. den Chi-Quadrat-Test oder die Benford-Analyse. Die Nutzung von Suchalgorithmen ist abhängig von den Prüffeldern und der Aufgabenstellung im Rahmen der internen Ermittlungen. Als Indikatoren für Unregelmäßigkeiten können hier exemplarisch Bankkonten im Ausland (Bankland ungleich Sitzland, Bankland in Steuerparadies), hohe Barzahlungen, glatte Buchungsbeträge oder andere mathematisch-statistische Auffälligkeiten auf den zu untersuchenden Konten genannt werden.
68
Datenanalysen mit Tools wie WinIdea unterstützen neben der Erkennung von kritischen Prüfungsgebieten auch die Identifikation von Unregelmäßigkeiten, die bspw. auf eine einseitige Einflussnahme des Managements auf die Rechnungslegung oder das Außerkraftsetzen von Kontrollmaßnahmen hinweisen können.[19]
69
Das Institut der Wirtschaftsprüfer („IDW“) zeigt in seinem Prüfungshinweis „IDW PH 9.330.3“ Einsatzbereiche der Massendatenanalyse auf, welche von der Feststellung von Risiken wesentlicher Fehler in der Rechnungslegung über die Beurteilung des internen Kontrollsystems (IKS) bis hin zum Einsatz von Datenanalysen im Rahmen von aussagebezogenen Prüfungshandlungen reichen.
70
Obwohl der IDW PH 9.330.3 primär für Datenanalysen im Rahmen von Abschlussprüfungen entwickelt wurde, ergeben sich insbesondere im Bereich der Analyseansätze zur Beurteilung der Wirksamkeit des internen Kontrollsystems wesentliche Überschneidungen mit Ermittlungsansätzen der IT-Forensik. Ferner werden nicht nur rechnungslegungsrelevante Daten betrachtet, sondern auch Daten zur Steuerung und Überwachung von IT-Systemen, wie bspw. der Parametrisierung von ERP-Systemen, Logprotokolle zu Änderungen von Systemeinstellungen, die Verwaltung von Benutzerrechten sowie der Belegfluss und die Kontrolle von Schnittstellen.
71
Für die Durchführung von Datenanalysen empfiehlt sich eine methodische Vorgehensweise, die typisiert in folgenden Teilschritten erfolgen kann:[20]
– Festlegung der Indikatoren, die mittels Datenanalysen identifiziert werden sollen; – Definition der erwarteten Analyseergebnisse i.S.v. Vergleichs- und Erwartungswerten oder von Schwellen- und Toleranzwerten; – Auswahl geeigneter Analysewerkzeuge sowie Definition und Extraktion der für die Datenanalyse benötigten Daten; – Abstimmung der erhaltenen Daten auf Integrität (Richtigkeit, Vollständigkeit); – Aufbereitung der Daten für die Datenanalyse (z.B. Erstellung einer Prüfungstabelle, die alle relevanten Datenfelder für die Prüfungsschritte enthält); – Durchführung und Dokumentation der Datenanalyse und ihrer Ergebnisse; – Interpretation der Ergebnisse in Bezug auf die zu treffenden Prüfungsaussagen.72
In der Praxis zeigt sich, dass der Prozess der Datenanalyse nicht linear, sondern eher rollierender bzw. evolutionärer Natur ist. Wurde bspw. bei einer Suche nach ungewöhnlichen Kassen- oder Bankabgängen eine verdächtige Buchung identifiziert, können ihre Spezifika (bspw. ein bestimmter Buchungstext, ein ungewöhnlicher User oder Buchungszeitpunkt, das Gegenkonto, etc.) als Ausgangspunkt für weitere Analyseschritte dienen.
73
Die Analyseergebnisse sind anschließend unter Berücksichtigung von Wesentlichkeitsaspekten, dem Grad der Korrelation unterstellter Zusammenhänge sowie der Verlässlichkeit des analysierten Datenmaterials kritisch zu hinterfragen. Grundsätzlich können Datenanalysen nur Hinweise auf die mögliche Existenz kritischer Sachverhalte liefern, wohingegen für eine gezielte Aufdeckung weitere Prüfungsschritte erforderlich sind.
c) Benford-Analyse und weitere Anwendungsbeispiele
74
Häufig führen gerade vorsätzliche manipulative Handlungen zu Auffälligkeiten im Buchungsstoff, die mit gängigen Analysemethoden durch Abhängigkeits- und Strukturanalysen sowie dem Aufzeigen von Zusammenhängen oder Relationen sichtbar gemacht werden können. Hierzu bieten Softwarelösungen auch mathematisch-statistische Verfahren, wie bspw. die Benford-Analyse, die Hinweise auf Auffälligkeiten innerhalb des analysierten Datenbestandes geben.[21]
75
Der Benford-Analyse liegt die Annahme zugrunde, dass Zahlen einer bestimmten Häufigkeitsverteilung folgen. Insbesondere konnte empirisch wie auch mathematisch nachgewiesen werden, dass das Auftreten von Zahlen einer bestimmten Häufigkeitsverteilung unterliegt. Zahlen mit der Anfangsziffer 1 treten etwa 6,5-mal so häufig auf wie solche mit der Anfangsziffer 9. Liegt eine ausreichend große Datenbasis zugrunde, kann eine Abweichung von der anzunehmenden Häufigkeitsverteilung ein Indiz für eine Manipulation der Rechnungslegung sein.
76
Ebenfalls konnte nachgewiesen werden, dass bestimmte Zahlen von Menschen unterbewusst und individuell favorisiert werden. Anwendungsfälle sind bspw. manipulierte Fahrten- oder Kassenbücher, in denen diese "Lieblingszahlen" entgegen der natürlichen statistischen Verteilung gehäuft auftreten. Die Finanzverwaltung setzt die Benford-Analyse sowie den der Benford-Analyse ähnelnden Chi-Quadrat-Test bei der Prüfung von Fahrten- und Kassenbüchern ein. Die Verfahren werden – sofern die Datenbasis den Anforderungen genügt – seitens der Finanzgerichte anerkannt.
77
Ein weiteres Beispiel für vorsätzliche manipulative Handlungsmuster, die durch eine Benford-Analyse aufgedeckt werden können, ist die sog. „Salamitaktik“. Diese wird häufig im Einkauf eines Unternehmens angewandt, um die im Rahmen des internen Kontrollsystems definierten und in den IT-Systemen über die Berechtigungskonzepte umgesetzten Genehmigungsverfahren zu umgehen. Ist bspw. für einen Einkauf ab einem Volumen von 10 000 EUR eine Genehmigung erforderlich und kann eine markante Häufung von Beträgen unterhalb dieses Schwellenwertes festgestellt werden, wäre dies ein starkes Indiz für eine Manipulation hinsichtlich einer Splittung von Beträgen oder zumindest einer bewussten Umgehung der implementierten Kontrolle.
78
Neben den oben dargestellten Fällen existieren selbstverständlich auch "natürliche" Ursachen für eine Häufung von Zahlen oder Beträgen, wie bspw. die Preispolitik eines Unternehmens oder die Lieferpolitik eines Lieferanten. Hier wird deutlich, dass die Massendatenanalyse nur Hinweise und Indizien liefern kann, jedoch für einen Nachweis und eine gezielte Aufdeckung doloser Handlungen weitere Prüfungshandlungen erforderlich sind.
79
Die Splittung von Beträgen wird bspw. auch bei Bargeldeinzahlungen auf Bankkonten praktiziert. Ab einer Betragshöhe von 15 000 EUR greifen die Sorgfaltspflichten nach § 3 Abs. 1 GWG. Die Geschäftsbeziehung mit dem Bankkunden wäre demnach einer kontinuierlichen Überwachung zu unterziehen. Ebenfalls könnte die Herkunft des Geldes erfragt werden.
80
Die gesetzlichen Anforderungen an Kreditinstitute hinsichtlich der Datenverarbeitung sind im Vergleich mit anderen Branchen besonders hoch. So haben Kreditinstitute nach § 25h Abs. 2 KWG i.V.m. §§ 3 Abs. 1 und 9 Abs. 2 GwG angemessene Datenverarbeitungssysteme zur Überwachung der Kundenbeziehungen und der Transaktionen ihrer Kunden einzurichten. Diese Systeme müssen in der Lage sein, Sachverhalte zu erkennen, die im Hinblick auf Geldwäsche, Terrorismusfinanzierung und sonstige strafbare Handlungen zweifelhaft oder ungewöhnlich erscheinen.
81
Kreditinstitute erfüllen diese Anforderungen durch den Einsatz von Systemen, die kontinuierlich Massendaten (Kunden-, Transaktions-, und Kontendaten) analysieren und die Analyseergebnisse in Form von Trefferlisten zur Verfügung stellen. Die Vielfalt der in diesen Systemen hinterlegten Prüfroutinen zeigt die Einsatzmöglichkeiten der Datenanalyse auf. So verfügen die führenden Systeme über weit mehr als einhundert Prüfungsschritte bereits im Auslieferungszustand. Mehrere Millionen täglicher Banktransaktionen können über entsprechend parametrisierte Systeme auf eine gut handhabbare Menge an Treffern reduziert werden.
d) Data Mining
82
Unter Data-Mining wird die systematische Anwendung statistisch-mathematischer Methoden auf einen meist sehr großen Datenbestand verstanden. Der Fokus beim Data-Mining liegt im automatisierten Erkennen neuer Muster, wohingegen bei der klassischen Datenanalyse der Schwerpunkt in der Identifizierung bereits bekannte Muster liegt. Typische Aufgabenstellungen des Data-Mining sind die Identifizierung von ungewöhnlichen Datensätzen (Ausreißer, Fehler, etc.), die Clusteranalyse (Gruppierung von Objekten aufgrund von Ähnlichkeiten) oder die Assoziationsanalyse unter der die Identifizierung von Zusammenhängen und Abhängigkeiten subsumiert wird.
e) Hürden und Grenzen der IT-gestützten Informationsauswertung
83
Wie bereits in den obigen Anwendungsbeispielen zur Benford-Analyse erläutert, liefern die Ergebnisse der Massendatenanalyse zunächst nur Hinweise und Indizien, nicht jedoch bereits einen Nachweis für eine dolose Handlung. Um diesen zu erbringen bedarf es weiterer Prüfungshandlungen. Praktisch ergeben sich beim Einsatz von Massendatenanalysen oftmals zusätzliche Schwierigkeiten, die spezifisches IT-Know-How erfordern können.
84
Hierzu zählen u.a.:
– Schnittstellenmanagement zu Alt-Systemen; – mangelnde Verfügbarkeit von Software oder Hardware für das Auslesen von Daten; – Anwenderwissen für aussortierte Software steht nicht mehr zur Verfügung; – wesentliche Informationen sind nur in Papierform oder handschriftlicher Form vorhanden; – Konvertierung von Daten in für die Analysen verwertbare Formate.[22]85
Der Erfolg des Einsatzes von Massendatenanalysen hängt insbesondere auch von der Qualität der zu Grunde liegenden Datenbasis ab. Wird bspw. die Finanzbuchhaltung hinsichtlich des Merkmals „Buchungstext“ per einfacher Schlagwortsuche analysiert und wurde der Buchungstext nur lückenhaft oder gar nicht gepflegt, führt eine entsprechende Analyse nicht zu verwertbaren Ergebnissen.
86
Letztendich bestimmt sich die Relevanz des Einsatzes von Massendatenanalyse-Tools aus der konkreten Aufgabenstellung im Rahmen der internen Ermittlungen. Bei einem großen Volumen an zu verarbeitenden Informationen ist eine wirtschaftliche und zeitnahe Fallbearbeitung ohne Einsatz technischer Hilfsmittel kaum mehr denkbar. So würde selbst der ambitionierteste Ermittler bei einer manuellen Schlagwortsuche im Buchungsstoff bei mehreren Millionen Datensätzen schnell an seine Grenzen stoßen.
87
Festzuhalten bleibt jedoch dass die Sachverhaltsaufklärung nicht bereits mit der Durchführung von Datenanalysen abgeschlossen ist. Gerade bei Sachverhaltsaufklärungen, bei denen es auf die wirtschaftliche und juristische Subsumtion ankommt, spielen Datenanalysen tendenziell eher in frühen Projektphasen eine gewichtige Rolle und dienen insbesondere auch der Identifikation und der Verdichtung relevanter Informationen. Bei der Beurteilung, der Einstufung oder der Verknüpfung einer Reihe von Informationen im Rahmen der Conclusio kann eine Software den sachverständigen Ermittler zwar unterstützen, nicht jedoch ersetzen.
3. Durchführung alternativer Prüfungshandlungen
88
Alternative Prüfungshandlungen sind Analysehandlungen und Plausibilitätsüberlegungen, mit Hilfe derer das Untersuchungsobjekt aus einer von der ursprünglichen Prüfungshandlung abweichenden Perspektive untersucht wird. Das primäre Ziel alternativer Prüfungshandlungen ist die Gewährleistung der Vollständigkeit und Richtigkeit der Arbeitsergebnisse, welche einen wichtigen Beitrag zur nochmaligen Validation und Überprüfung der primären Ermittlungsergebnisse leisten können.
89
Im Zusammenhang mit der Durchführung von alternativen Prüfungshandlungen werden Arbeitshypothesen und Annahmen formuliert, deren Überprüfung zum annähernd gleichen Ergebnis wie die der primären Prüfungshandlungen führen soll.
90
Beispiel:
Das Prüfungsziel besteht in der Ermittlung potentieller „Schmiergeldzahlungen“ an Dritte. Die Analyse der Zahlungsströme eines Unternehmens an einen Lieferanten führte bisher zu einem Zahlungsvolumen von 5 Mio. EUR ausgehend von der Untersuchung der Bankkonten. Als alternative Prüfungshandlungen werden zusätzlich Kreditorenbuchungen bilanzieller Personenkonten analysiert und mit den bereits identifizierten Zahlungen abgestimmt, um mögliche Verschleierungstransaktionen auf anderen Kreditorenkonten zu prüfen. Weiterhin wird mittels Gegenkontenanalyse einschlägiger Aufwandskonten und Lieferantenrechnungen die Vollständigkeit ausgehend von der Gewinn- und Verlustrechnung sichergestellt. Möglich wäre ebenfalls entsprechende Projektkalkulationen auf versteckte oder unplausible Aufwandsposten sowie Forderungen nach Erlösschmälerungen (bspw. Wertberichtigungen) hin zu untersuchen.
91
Zu den alternativen Prüfungshandlungen können auch Interviews zählen, welche die Datensammlung und –auswertung qualitativ abrunden und potentielle Beweise zusätzlich validieren.
Anmerkungen
[1]
Töller/Herde WPg 2012, 600.
[2]
Mit ERP (Enterprise-Resource-Planning: Software zur Planung von Unternehmenskapazitäten) wird vereinfachend die betriebswirtschaftliche Anwendungssoftware im Unternehmen abgekürzt, die sich üblicherweise aus zahlreichen unterschiedlichen Geschäftsanwendungsmodulen zusammensetzt.
[3]
Betriebswirtschaftliche Software der SAP AG, Walldorf.
[4]
Bundesamt für Sicherheit in der Informationstechnik S. 236.
[5]
Geschonneck S. 87 ff.
[6]
Geschonneck S. 62 ff.
[7]
Bundesamt für Sicherheit in der Informationstechnik S. 91.
[8]
BMF-Schreiben v. 14.11.2014.
[9]
BMF-Schreiben zur GDPdU v. 16.7.2001.
[10]
Interactive Data Extraction and Analysis, in Deutschland vertrieben von der Firma Audicon GmbH: www.audicon.net.
[11]
Bspw. www.dnbgermany.de.
[12]
Www.hoppenstedt.de.
[13]
Www.creditreform.de.
[14]
Www.genios.de.
[15]
Www.wlw.de.1; hinsichtlich der Problematik des Datenschutzes verweisen wir auf die Ausführungen im 12. Kap.
[16]
Www.acl.com.
[17]
Www.accessdata.com.
[18]
Www.nuix.com.
[19]
IDW PH 9.330.3 Rn. 13.
[20]
IDW PH 9.330.3 Rn. 27.
[21]
IDW PH 9.330.3 Rn. 38.
[22]
Bundesamt für Sicherheit in der Informationstechnik S. 90.
1. Teil Ermittlungen im Unternehmen › 6. Kapitel Ermittlungen und Beweissicherung – Unterlagen und EDV › IV. Ausgewählte Aspekte der Dokumentation des Ermittlungsprozesses
IV. Ausgewählte Aspekte der Dokumentation des Ermittlungsprozesses
92
Die Dokumentation des Ermittlungsprozesses umfasst grundsätzlich die drei Komponenten Dokumentation des Arbeitsablaufes, Berichtswesen und Dokumentation der Arbeitsergebnisse.[1]
1. Arbeitsablauf
93
Die Dokumentation des Arbeitsablaufs („Workflow“) ist zwingend notwendig, um den Ermittlungsprozess für Dritte nachvollziehbar zu erläutern und insbesondere auch die Ermittlungsergebnisse zu reproduzieren. Die Beschreibung des reinen Workflows beinhaltet hierbei die Konzeption des Ermittlungsprozesses im Allgemeinen, meist Aufgabe der Projektleitung, sowie die Ermittlungsaktivitäten im engeren Sinne.
94
Die Konzeption des Ermittlungsprozesses sollte zunächst den Arbeitsauftrag und den Prüfungsansatz klar beschreiben. Neben den bereits beschriebenen Planungsinhalten sind dies hauptsächlich die Hauptstationen der Ermittlungsaktivitäten sowie die Art und der Umfang an Ermittlungshandlungen. Hierzu gehört auch die Definition von Schwellenwerten, sofern keine Vollprüfung von Prüfungsfeldern durchgeführt wird, sondern der Grundsatz der Wesentlichkeit bei zu untersuchenden Sachverhalten angewendet wird. Des Weiteren ist auf die bei der Ermittlung getätigten wesentlichen Arbeitshypothesen, Annahmen und eingesetzten Arbeitsmittel einzugehen.
95
Neben der allgemeinen Dokumentation des Arbeitsablaufs sind auch Erkenntnisse aus der Dokumentation des Ermittlungsverfahrens hinsichtlich der Optimierung für andere Ermittler zu ziehen. Im Projektreview sollten hierfür erkannte Besonderheiten oder Ermittlungsfehler in eine Manöverkritik einfließen und als Optimierungspotential in den weiteren Ermittlungsschritten zur Verfügung gestellt werden.[2]
2. Berichtswesen
96
Je komplexer die Ermittlungen in personeller und zeitlicher sowie sachlicher Hinsicht, desto wichtiger wird der Informationsfluss zwischen den einzelnen Ermittlern und der Projektleitung (interne Kommunikation) sowie der Projektleitung und dem Auftraggeber (externe Kommunikation). Der Einsatz eines IT-gestützten Berichtswesens für die Installation eines Berichtswesens „auf Knopfdruck“ ist hierbei empfehlenswert. Der Benchmark stellt ein in den Dokumentationsprozess der Arbeitsergebnisse integriertes „Live-Berichtswesen“ dar, welches u.a. den aktuellen Ermittlungsstatus nebst Fortschritten, etwaiger Abweichungsanalysen sowie Angaben über die weitere Vorgehensweise der Ermittlungen beinhaltet.
3. Arbeitsergebnisse
97
Die Dokumentation der Arbeitsergebnisse muss nach den Grundsätzen der Klarheit, Übersichtlichkeit und Nachvollziehbarkeit aufgebaut werden, da die Dokumentation unterstützende Beweisfunktionen einnehmen kann. Die gesammelten Daten müssen von Dritten (u.a. Gericht, Staatsanwaltschaft, privatwirtschaftliche Auftraggeber) nachvollziehbar sein.[3] Hierzu gehört insbesondere auch der Nachweis, dass die gesammelten Daten und Unterlagen im Rahmen der Ermittlungen nicht manipuliert oder verändert wurden.
98
Die Dokumentationsformen reichen je nach Auftragskomplexität bis hin zur standardisierten und strukturierten Online-Projektdatenbank. Der Einsatz von elektronischen Datenbanken ist ab einer gewissen kritischen Größenordnung nahezu Pflicht, da die Einsatzmöglichkeiten der Informationseingabe und -auswertung, dem Grad an Standardisierung und der Schnelligkeit der zur Verfügung stehenden Daten Voraussetzung für die effektive Abwicklung von Ermittlungen sind. Zum Einsatz kommen Datenbankanwendungen wie bspw. Microsoft Access[4], aber auch – sofern die Datenmenge dies zulässt – Microsoft Excel[5] oder auch das Open Office-Werkzeug „Base“.[6]
Anmerkungen
[1]
Vgl. hierzu ausführlich 4. Kap. Rn. 122 ff.
[2]
Geschonneck S. 58.
[3]
Siehe hierzu detailliert Bundesamt für Sicherheit in der Informationstechnik S. 62.
[4]
Produkt der Microsoft Corporation, Redmond, USA.
[5]
Produkt der Microsoft Corporation, Redmond, USA.
[6]