Vorbeugen ist alles – Betrug im Unternehmen verhindern

Nennen wir das Ding beim Namen: Es geht um Betrug, kriminelle Handlungen! Es geschieht in Unternehmen aller Grössen und Branchen, die Dunkelziffer ist hoch. Leider werden oftmals keine Anzeigen bei den Strafverfolgungsbehörde erstattet, und- noch schlimmer - nicht einmal ein entsprechender Hinweis im Arbeitszeugnis gemacht. Dies ist ein Bärendienst für unsere Wirtschaft.

Jedermann kann ein Betrüger sein! Verabschieden wir uns von der Vorstellung, dass es d e n Betrüger gibt, mit einem ganz bestimmten Profil. Der Mitarbeiter, der Unregelmässigkeiten begeht, sitzt nebenan und hierarchisch überall, kann am Berufsanfang oder gerade vor der Pensionierung stehen. Obwohl das konsequente Einholen bei der Einstellung eines Mitarbeiters von Strafregisterauszug und Betreibungsauskunft ein Muss ist, ist es durch die vorgetäuschte Vollständigkeit nicht der Weisheit letzter Schluss. Oftmals sind es auch die ganz Fleissigen, die aus Angst vor der Entdeckung mittels Überstunden oder dem Verzicht von Ferien ständig in der Firma anwesend sind. Eines ist für mich klar, wer sich einmal an fremdem Eigentum in der Firma vergriffen hat, erhält keine zweite Chance.

Warum betrügt jemand in seinem Unternehmen? Gemäss Untersuchungen führen drei Elemente dazu):

a) Motiv oder Druck: tatsächliche finanzielle Nöte oder wünschbare finanzielle Mittel, Rachegefühle gegenüber dem Arbeitgeber.
b) Die Annahme, dass die betrügerische Handlung nicht entdeckt wird, insbesondere wenn keine oder nur schwache interne Kontrollen vorhanden sind.
c) Das Einreden einer moralischen Entschuldigung: „Ist nur ein Darlehen, ich zahle es dann wieder zurück“, „Niemand wird dabei verletzt“, „Jedermann würde mich verstehen“, am schlimmsten aber sicherlich „Jeder tut es!“.

Betrügerische Handlungen wie Unterschlagung durch einzelne oder mehrere Mitarbeiter können die Existenz eines Unternehmens gefährden. Was tun? Der wirkungsvollste Ansatzpunkt liegt beim Punkt b): Möglichst keine Gelegenheit zum Betrug geben, und gleichzeitig vermitteln beziehungsweise die notwendigen Vorkehrungen schaffen, dass die Wahrscheinlichkeit der Entdeckung sehr hoch ist, der Täter bestraft wird!

Aus den vorgenannten Gründen muss deshalb – auch in kleineren und mittleren Unternehmen - das Schwergewicht zur Verhütung von kriminellen Handlungen – und somit zur Existenzsicherung der Unternehmung - in einem zweckmässigen Internen Kontroll System (IKS) liegen. Es müssen Sicherungen in gefahrensensible Prozesse eingebaut und entsprechende Überlegungen, gerade auch qualitativer Art, zur Aufbauorganisation gemacht werden. Dabei kann die Effizienz leiden, darf aber die Geschäftstransaktionen nicht übermässig be- oder sogar verhindern. Mit einzelnen Aufgaben einer eigentlichen Internen Revision kann die externe Revision oder eine spezialisierte externe Organisation beauftragt werden.

In der Folge gebe ich einige – nicht abschliessende und ohne Anspruch auf ein vollständiges IKS-Konzept - Gedanken weiter zu Internen Kontroll Systemen. Dies aus der Sicht eines mehrfachen Verwaltungsrates kleinerer in- und ausländischer Unternehmen verschiedener Branchen, leitender Verbands- und Vereinstätigkeit oder deren eines Stabsoffiziers im Bereich Logistik sowie mit der Erfahrung aus 30-jähriger Tätigkeit in verantwortlichen Positionen in Banken, welche sicherlich über das ausgeprägteste und professionellste Interne Kontroll System verfügen.

Das oberste Ziel des Internen Kontroll Systems ist die Existenzsicherung des Unternehmens: es sind die (Vorsichts)Massnahmen zu treffen um einen unberechtigten, kriminellen Mittelabfluss (Geld, Wertschriften, Inventar, der Firma zustehende Erträge usw.) aus der Firma zu verunmöglichen, beziehungsweise die Hürde für potentielle Täter sehr hoch anzusetzen. Die Gefahren gründen immer auf einem menschlichen Fehlverhalten. Ich bin immer wieder erstaunt, wie gegen die einfachsten Grundsätze verstossen wird. Teilweise aus Unwissenheit über mögliche Gefahren oder Bequemlichkeit, teilweise aber auch weil das Durchsetzen von kontrollierenden Massnahmen besonders im personellen Bereich unangenehm ist, mit Misstrauen verwechselt werden könnte, aber es hat keinen Platz für blindes Vertrauen!

Die Verantwortung für das Interne Kontroll System liegt beim obersten Aufsichtsorgan einer Organisation und ist nicht delegierbar. Mindestens ein Mitglied des obersten Organs muss mit dessen Gedankengut und Konzeptionen vertraut sein und über entsprechende Erfahrung in der Einführung und Umsetzung verfügen. Funktioniert das Aufsichtsorgan aber in sich selbst nicht, wird auch kein noch so ausgeklügeltes Internes Kontroll System leben und greifen können. Und funktionieren und damit seiner Aufgabe gerecht wird es nur, wenn seine Mitglieder mit Sorgfalt ausgewählt werden und sich ergänzen. Nebst fachlichen Anforderungen muss eine Kultur herrschen, die aufbauende Kritik und Zivilcourage zulässt. Und: Sie müssen das Geschäft des Unternehmens verstehen. Eine mögliche Lösung ist die Beiziehung eines anerkannten externen Fachmanns. Für die Durchsetzung und ständige Überwachung sind aber alle Mitglieder verantwortlich.

Ist ein Internes Inspektorat vorhanden, muss dieses unbedingt dem Organ der Oberaufsicht direkt unterstellt sein, ebenso ist dieses Auftraggeber und erster Berichtsempfänger bei Delegation von Aufgaben im Bereich IKS an die externe Revisionsstelle oder andere Auftragnehmer. Ebenso wichtig wie die Berichte selbst sind in der Regel die (Abschluss)besprechungen mit den beauftragten Fachleuten. Deshalb muss hier unbedingt auch ein Vertreter des obersten Organs dabei sein.

Beherzigt die Unternehmung nicht den Grundsatz „Ordnung ist das halbe Leben“, kann die Saat eines IKS nicht aufgehen! Und zu dieser Ordnung gehört zu aller erst, dass Verantwortung und Kompetenzen in der Unternehmung klar und schriftlich geregelt sind. Damit spreche ich mich übrigens nicht für bürokratische Stellenbeschreibungen aus, die schon beim Schreiben veraltet sind und niemanden interessieren. Grundlagen für das IKS sind Statuten, Organisations- und Kompetenzreglemente, Weisungswesen, Aufbauorganisation, schriftliches Festhalten der wichtigsten Prozesse im Unternehmen. Immer wieder erstaunt es mich, wie oft gegen das Vier-Augen-Prinzip verstossen wird. Es muss in sensible Prozesse als Kontrollfunktion eingebaut werden, verlangt von den Beteiligten aber viel Selbstdisziplin. Von noch viel höherer Wichtigkeit ist es im Bereich Geld- und Vermögenstransaktionen sowie das Unternehmen verpflichtende Korrespondenz. Hier kann es nur Regelungen mit Kollektivunterschrift zu zweien geben. Aufgepasst beim elektronischen Zahlungsverkehr, da werden Passwörter oftmals fahrlässig aufbewahrt oder aus Bequemlichkeitsgründen weitergegeben. Das Einholen regelmässiger Bankbestätigungen, mit Zustellung direkt an die externe Revision, sollte eine Selbstverständlichkeit sein.

Ein besonderes Augenmerk ist generell auf die Verhütung von Klumpenrisiken zu richten – insbesondere aber auch bezüglich IKS im Mitarbeiterbereich. Diese entstehen, wenn übermässig hohe Abhängigkeiten von einzelnen Mitarbeitern, sogenannte „key-people“, bestehen, welche bis zur Erpressbarkeit einer Organisation führen können. Überhaupt trägt ein gutes, offenes Unternehmensklima, gerechte Kompensationsmodelle, wie aber auch das ethische Verhalten (Problembereich wie Bestechung, Steuerumgehung, massloses Verhalten der Manager) der Firma selbst, einiges zur Verhinderung Betrug im Unternehmen bei.

Obwohl Controlling kein Bestandteil im eigentlichen Sinne des Internen Kontroll Systems ist, trägt es im Sinne eines „Frühwarnsystems“ einen wesentlichen Anteil zur Existenzsicherung einer Organisation bei. Controlling basiert immer auf dem kybernetischen Regelkreis: Ziele setzen – Anordnen – Kontrollieren – Korrigieren. Ziele müssen sowohl auf strategischer wie auf operativer Ebene vorhanden und miteinander verknüpft sein, da heisst operativen Ziele leiten sich aus den strategischen ab. Nebst dem Fehlen von Zielen – als wichtigsten Grund - sind oftmals zwei weitere Grundübel auszumachen: einerseits fehlt der Mut zur Kontrolle – der Controller als Kontroller – und andererseits werden keine korrigierenden Massnahmen getroffen. Das nahe, zeitgerechte Begleiten von Kennzahlen unterstützen ein Internes Kontroll System wesentlich: auffällig abweichende Kennzahlen (z.b. Margen) weisen oftmals frühzeitig auf Probleme hin bis zu kriminellen Machenschaften (wie Diebstahl, Unterschlagung), vorausgesetzt allerdings, dass mindestens ein „Zahlenmensch“ – der zudem das Geschäft versteht - im Aufsichtsorgan dies bemerkt und hartnäckig hinterfragt. Aber auch Ereignisse, welche nicht direkt in Zahlen resultieren, weisen in der Regel unmissverständlich auf existenzgefährdende Mängel in der Organisation hinweisen (Beispiele: Verlust innert kurzer Zeit von zwei Flugzeugen bei Crossair; hohe Fluktuation bei Schlüsselmitarbeitern, hohe Debitorenverluste, massive Marktanteilverluste).

Nicht Bestandteil des IKS, aber für mich von noch höherer Bedeutung bezüglich Existenzsicherung ist das Vorhandensein einer Strategie. Ich nehme nicht an, dass eine Swissair an ihrem IKS gescheitert ist, im Gegenteil, vielleicht sogar über ein hervorragendes verfügt hat! Wenn ein Unternehmen nicht weiss, wohin es will oder „welches die richtigen Dinge sind - doing the right things', wird es scheitern, auch wenn es „die Dinge richtig tut - doing the things right'. Dabei genügen im strategischen Bereich Zielsetzungen im Sinne einer Fortschreibung des Bestehenden nicht. Die drei strategischen Grundfragen „Was', „Wie' und „Womit' müssen immer wieder neu gestellt und beantwortet werden: Do the right things right, right now! Das oberste Führungsorgan ist für einen verbindlichen und systematischen Führungsrhythmus verantwortlich.
Betrug im Unternehmen: Wichtig ist die Sensibilisierung, dass es auch bei „uns“ geschehen kann! Und die beste Gegenmassnahme: Mit einem wirkungsvollen internen Kontroll System, mit dem entsprechenden Vorleben aller Führungsverantwortlichen, hohe Hürden aufbauen!