Читать книгу Internal Investigations - Dennis Bock - Страница 350

35

Die Istanalyse und Sondierung der internen Informationsquellen des Unternehmens stellt den ersten Schritt der Informationsbeschaffung dar. Es sind in der Regel immer mehr Informationen vorhanden, auch bereits in strukturierter und aufbereiteter Form, als zu Beginn der Ermittlungen angenommen. Die einfachsten Zugänge zu möglichen Informationen sollten, soweit erheblich für den Ermittlungsprozess, zuerst genutzt werden. Diese betreffen üblicherweise sämtliche unternehmensbezogenen Informationen, die sich aus gesetzlichen Aufbewahrungs- und Dokumentationspflichten sowie statistischen Pflichtmeldungen für Unternehmen ergeben.

36

Hierzu gehören insbesondere rechnungslegungs- und steuerrelevante Unternehmensdaten wie bspw. der Finanz- und Anlagenbuchhaltung, der Materialwirtschaft oder auch der Lohnbuchhaltung, die regelmäßig elektronisch in den zentralen ERP-Systemen wie bspw. SAP bzw. deren vor- und nachgelagerten Systemen (Nebenbücher, Online-Banking-Software, etc.) vorliegen. Auch aus zollrechtlichen- bzw. umsatzsteuerlichen Informationspflichten hinsichtlich der Aufbewahrung bspw. von Rechnungen und Lieferscheinen sowie aus allgemeinen Aufbewahrungspflichten, u.a. für Geschäftsbriefe, sollte sich die potentielle Verfügbarkeit von Informationen und Dokumenten ergeben.

37

In diesem Zusammenhang können auch Prüfungsergebnisse Dritter verwertet werden. Dabei kommen regelmäßig punktuelle oder turnusmäßige Prüfungen in Betracht wie bspw. jegliche Arten von Steuerprüfungen wie die steuerliche Betriebsprüfung oder die Zollprüfung.

38

Problembereiche können sich überall dort ergeben, wo gesetzliche Aufbewahrungsfristen bereits abgelaufen sind und, wie in der Praxis nicht unüblich, nicht eingehalten oder Beweise vorsätzlich vernichtet werden. Für rechnungslegungs- und steuerrelevante Daten beträgt der gesetzlich vorgeschriebene Aufbewahrungszeitraum nach § 147 AO und § 257 HGB grundsätzlich zehn Jahre; dieser kann sich durch An- und/oder Ablaufhemmungen entsprechend verlängern. Erstreckt sich ein Prüfungszeitraum über gesetzliche Aufbewahrungsfristen hinaus, sind Probleme vorprogrammiert und zusätzliche Informationsalternativen zu suchen.

39

Insbesondere die heutige Vielfalt von in Unternehmen eingesetzten IT-Systemen setzt eine profunde Kenntnis und Analyse der IT-Landschaft des Unternehmens voraus. Praktisch stellt sich die Frage, welche IT-Systeme welche Informationen verarbeiten und speichern und wie auf diese Informationen in welcher Weise zugegriffen werden kann. Spätestens an diesem Punkt ist die Analyse der IT-Infrastruktur unabdingbar, um Erkenntnisse über die Möglichkeiten und Grenzen der Datenerhebung bestehender Systeme zu erlangen. Von besonderer Bedeutung ist eine Aufnahme des Datenflusses zwischen dem zentralen ERP-System und der jeweils vor- und nachgelagerten Systeme.

Abb. 1:

Rechnungslegungsrelevanter Datenfluss in einer typischen SAP-Systemlandschaft

[Bild vergrößern]

40

Nicht in obiger Abbildung enthalten sind die mittlerweile weit verbreiteten, revisionssicheren Archivsysteme. Diese dienen u.a. der manipulationssicheren Aufbewahrung von originär digitalen, aufbewahrungspflichtigen Unterlagen, wie bspw. elektronischen Eingangsrechnungen oder geschäftlichen E-Mails. Änderungen an Daten und Dokumenten in solchen Archivsystemen sind zwar grundsätzlich technisch möglich, werden jedoch protokolliert und sind somit nachvollziehbar.

41

In der Praxis kommt zu Zwecken der Identifikation des Datenflusses häufig die retrograde Prüfungsmethode zum Einsatz. Als Ausgangspunkt bietet sich für rechnungslegungs- und steuerrelevante Daten die (Steuer-)Bilanz oder GuV an. Über die Konten wird der Datenfluss bis hin zum Beleg verfolgt. Bezogen auf die IT-System-Landschaft bedeutet dies eine Analyse technischer Schnittstellen von vorgelagerten Systemen zur Finanz-, Anlagen- oder Lohnbuchhaltung (Datenflussanalyse). Gleiches gilt, wenn die Finanzbuchhaltung eines ERP-Systems zu anderen Modulen dieses Systems oder zu nachgelagerten Anwendungen eine direkte Verbindung bietet.

42

Im Kontext der Identifikation des Datenflusses ist für einen zielgerichteten und effizienten Einsatz von Datenanalysen das Verständnis der Geschäftsprozesse und der Kontrollen im Rahmen des internen Kontrollsystems („IKS“) von besonderer Relevanz. Zu diesem Zweck sind bei dem zu prüfenden Unternehmen Informationen über die IT-gestützten Geschäftsprozesse und die hierfür eingesetzten IT-Anwendungen, das IT-Kontrollsystem sowie die geschäftsprozessbezogenen Kontrollen und Datenstrukturen zu erheben. Bezüglich der Datenstrukturen steht die Frage im Vordergrund, welche Informationen in Form von strukturierten Daten vorliegen und in welcher Beziehung sie zueinander stehen.

43

Zu beachten ist hierbei, dass selbst in Zeiten weitverbreiteter betriebswirtschaftlicher Standardsoftware noch immer mit zahlreichen IT-Insellösungen wie bspw. Projektdatenbanken, heterogenen Personalabrechnungssystemen, proprietärer Zahlungsabwicklungsprogramme oder sonstigen nicht integrierten Management-Informationssystemen gearbeitet wird, welche in die Datenauswertung eingebunden werden. Diese Insellösungen gilt es im individuellen Fall für IT-Analysen nutzungsfähig zu machen, in dem Zugänge bereitgestellt und Daten in verwertungsfähige Formate konvertiert werden. In den letzten Jahren war jedoch zu beobachten, dass der Trend hin zum Einsatz integrierter Systeme „aus einer Hand“ geht, insbesondere um die Komplexität zu reduzieren und die Betreuungsstruktur zu optimieren; Insellösungen werden seltener.

44

Neben den vorgenannten Informationsquellen liegen gerade in größeren Unternehmen eine Reihe von Erkenntnissen und Ergebnissen interner Analysen oder Untersuchungen vor. Hierzu gehören bspw. Verfahrensdokumentationen aus den operativen Unternehmensbereichen, die Dokumentation des unternehmensinternen Kontrollsystems, Prüfungen der internen Revision oder der Aufbau des Compliance Management Systems sowie Erläuterungen zum Risikomanagementsystem eines Unternehmens.

45

Des Weiteren können sogenannte schlecht strukturierte interne Informationsquellen einen wesentlichen Beitrag zum Ermittlungserfolg leisten. Zu dieser Kategorie zählen vorwiegend persönliche Aufzeichnungen, E-Mails, (Kunden-)Verträge, sonstige Korrespondenz, Befragungen, Kalkulationsgrundlagen, private Datenverzeichnisse oder auch Papierarchive. Immer mehr tragen auch versteckte elektronische Spuren wie bspw. lokale log-files und temporäre Verzeichnisse, Netzwerkprotokolle, IP-Aufzeichnungen, Kameraaufzeichnungen oder in der Cloud gespeicherte Daten zur Aufklärung oder Überführung von Nutzerverhalten bei.