1. Startseite
  2. Winfried Hentrich, EY im Interview mit Audicon zum Thema Compliance und Fraud-Monitoring

Winfried Hentrich, EY im Interview mit Audicon zum Thema Compliance und Fraud-Monitoring

Interview mit Winfried Hentrich, Senior Manager, EY Fraud Investigation & Dispute Services zum Thema Compliance und Fraud Monitoring im digitalen Zeitalter

 „Aktuell ist vielmehr das gestiegene Bewusstsein, dass Technik und Daten eine immer zentralere Rolle in den Bereichen Prevent, Detect und Respond einnehmen müssen“

Herr Hentrich, wo sehen Sie aktuelle Herausforderungen in den Bereichen Fraud und Compliance?

Die aktuellen Herausforderungen sind eigentlich die bisherigen. Für den Bereich Compliance ist es nach wie vor eine grundlegende Herausforderung, den Überblick über alle compliancerelevanten Vorgaben zu behalten. Was wir in den letzten Jahren beobachtet haben, ist eine stetige Zunahme an nationalen wie auch internationalen regulatorischen Vorgaben, deren Umsetzung und Einhaltung Compliance-Verantwortliche zunehmend sicherstellen müssen. „Aktuell“ ist vielmehr das gestiegene Bewusstsein, dass Technik und Daten eine immer zentralere Rolle in den Bereichen Prevent, Detect und Respond einnehmen müssen, wenn man compliant bleiben bzw. Fehlentwicklungen frühzeitig erkennen und korrigieren möchte.

Auch im Bereich Fraud sind die aktuellen Herausforderungen die alten. Es wird immer Personen geben, deren Bereitschaft zur Vornahme doloser Handlungen hoch ist. Diese Personen können aus dem Unternehmen selbst kommen oder von außen. Ergibt sich bei diesen Personen eine Kombination aus Gelegenheit, Motivation und Rechtfertigung, dann besteht ein erhöhtes Betrugsrisiko. Zur Reduzierung dieses Risikos sind präventive Maßnahmen unabdingbar. Reduziert man jedoch allein durch Prävention die Gefahr, Opfer von dolosen Handlungen zu werden, auf Null? Wohl eher nicht! Unternehmen sind Opfer doloser Handlungen, und das wird auch in Zukunft so sein. Was sich auch hier aufgrund der technischen Entwicklung weiter verändern wird, ist zum einen das Vorgehen der Täter, aber zum anderen auch die Möglichkeiten, sie mithilfe von Technik und Datenanalysen schneller zu identifizieren und dadurch Schäden zu reduzieren.

 

Wo sehen Sie in den bestehenden Compliance-Systemen und Unternehmenskulturen besondere Schwächen und Nachholbedarf?

Ich bin der Meinung, dass ein Unternehmen sehr gut aufgestellt ist, wenn Verantwortliche für Compliance- und Betrugsbekämpfung den Dreiklang aus Prevent, Detect und Respond richtig verstanden haben und auch die Chance bekommen, entsprechend zu agieren. Wird jedoch eine dieser tragenden Säulen vernachlässigt oder sind sie nicht richtig aufeinander abgestimmt, wird es schwierig. Was wir im Rahmen von Sonderuntersuchungen zur Aufklärung doloser Handlungen häufig feststellen, ist, dass es einen Verhaltenskodex und Compliance-Richtlinien gibt und auch regelmäßig Compliance-Schulungen stattfinden, inwieweit aber Mitarbeiter die Vorgaben tatsächlich verstehen und umsetzen und Prozesse eingehalten werden, wird unzureichend nachverfolgt.

Im Rahmen unserer Sonderuntersuchung stellen wir bei der Analyse von Buchhaltungs- oder ERP-Daten regelmäßig fest, das „Soll“ und „Ist“ erheblich voneinander abweichen. Dann ist das Kind aber bereits in den Brunnen gefallen. Ich denke, gerade was die frühzeitige Entdeckung von Fehlentwicklungen und Auffälligkeiten bis hin zur Identifizierung von möglichen dolosen Handlungen angeht, sollten die in den Unternehmen vorhandenen Daten intensiver und regelmäßiger analysiert werden. Analysen mithilfe sogenannter Continuous-Monitoring-Systeme helfen nicht nur, Schäden zu reduzieren, sie unterstützen den Compliance-Verantwortlichen auch dabei, die Wirksamkeit des Compliance-Management-Systems zu bewerten und es gerade im Bereich Prävention zielgerichtet anzupassen.

 

Worauf kommt es bei der Einführung bzw. beim Rollout von Continuous-Monitoring-Systemen besonders an?

Dem Grunde nach ist es ganz einfach: Die richtigen Personen müssen von Anfang an in solch ein Projekt mit eingebunden sein. Die große, wenn nicht gar die größte Herausforderung ist es, die richtigen Personen zu identifizieren und dazu zu bewegen, in einem Team zusammenzuarbeiten. Aus meiner Erfahrung sollten folgende Personen bzw. Personengruppen zumindest involviert sein:

Als Erstes die Compliance-Abteilung und/oder die für die Betrugsbekämpfung verantwortliche Abteilung sowie Fachverantwortliche aus dem Bereich, in dem Prozesse betrachtet werden sollen. Das macht das Ganze bereits spannend. Des Weiteren benötigt man, zumindest zeitweise und gerade im Hinblick auf die EU-DSGVO, den Datenschutzbeauftragten und Vertreter des Betriebsrats, wenn Mitarbeiterdaten mit in die Analysen einbezogen werden sollen.

Und – last, but not least – Mitarbeiter der IT, gerade weil neben der rechtlichen auch die technische Machbarkeit stetig berücksichtigt werden muss. Zudem wird man den Monitoringansatz regelmäßig testen müssen, um die Identfizierung der richtigen Daten, die Herstellung der Datenqualität und die Entwicklung der passenden Analyseansätze sicherzustellen. Das Ganze erfordert ein agiles Projektvorgehen mit einem nicht minder agilen Projektmanager.

In der Summe herausfordernd, aber unbedingt lohnenswert!


Wenn Sie mehr Details zu einem möglichen Projektvorgehen erfahren möchten, empfehle ich Ihnen einen Artikel von Andreas Pyrcek (Partner EY, FIDS, Head of Corporate Compliance) und mir, erschienen im Betriebsberater („Compliance und Fraud Monitoring im Zeitalter von digitaler Transformation und Big Data", BB 2016 Heft 24, S. 1451–1455).

Bilder: © Winfried Hentrich

Dipl.-Finw. (FH) Winfried Hentrich, StB, ist Senior Manager im Bereich Fraud Investigation und Corporate Compliance bei EY. Zuvor war er in der Steuerfahndung, Innenrevision und als Experte für den Bereich Compliance & Fraud Management bei einem international führenden Hersteller für Datenanalysesoftware tätig.

 

Weitere Informationen zum Thema Continous Monitoring finden Sie auf unserer Website: