«Je regulierter eine Branche ist, umso mehr Fälle treten auf.»

Interview mit Cristina Ferraris Gloor, Director, Advisory, Forensic KPMG Schweiz

Hierzu muss ich gleich festhalten: kriminelle Energie wird es immer geben – aber man kann versuchen, sich bestmöglich davor zu schützen.

Drei Massnahmen stehen aus unserer Sicht im Zentrum. Erstens: klare Regeln, wie sie beispielsweise in einem «Code of Conduct» oder in den Unternehmensrichtlinien festgelegt sind, sowie regelmässige Kontrollen. Zweitens müssen die Strukturen und Prozesse regelmässig überprüft werden, da Betrüger anpassungsfähig und ständig auf der Suche nach neuen Lücken sind. So können auch ungeahnte oder neue Lücken erkannt und behoben werden. Technische Mittel wie Analysetools können diesen Prozess unterstützen, indem sie unter anderem Muster wie regelmässig auftretende Zahlungen erkennen. Drittens sollten Backgroundchecks der Lebensläufe der Mitarbeitenden durchgeführt werden.

Fälle, die wir betreuen, zeigen auf, dass viele Unternehmen bei einem korrekten Pre-Screening der Lebensläufe von zukünftigen Mitarbeitenden den einen oder anderen Fall von Wirtschaftskriminalität vermutlich verhindern hätten können. 

Ja. Je regulierter eine Branche ist, umso mehr Fälle treten auf. Dies trifft insbesondere auf die Finanz- und Bankenbranche sowie auf den Life-Sciences-Sektor zu. Andererseits sehen wir, dass auch die öffentliche Verwaltung und Non-Profit-Organisationen häufig von Wirtschaftskriminalität betroffen sind. Hier fliesst oft viel Geld, das in die falschen Hände geraten kann oder nicht für die vorgesehenen Projekte eingesetzt wird.

Idealerweise besitzt ein Unternehmen einen «Fraud Response Plan», der bei Verdachtsfällen von Wirtschaftskriminalität – darunter fallen beispielsweise Delikte wie Korruption und Geldwäscherei – in Kraft tritt. Wichtig ist, Ruhe zu bewahren und in einem ersten Schritt zu klären, um welche Tat es überhaupt gehen könnte und welche Anschuldigungen erhoben wurden. Dann sollte man die Zuständigkeiten und den Kreis der zu informierenden Personen definieren.

Je nach Konstellation wird zudem eine externe Firma mit der Untersuchung beauftragt. Anschliessend muss geklärt werden, welche Informationen notwendig sind beziehungsweise zur Verfügung stehen, um den Fall zu bearbeiten. Sobald diese Punkte geklärt sind, müssen umgehend Massnahmen zur Schadensbegrenzung getroffen werden. Dabei ist es besonders wichtig, dass die betroffene Person zum Beispiel keinen Zugriff mehr auf die Systeme hat. Bestenfalls gibt es bereits einen Stellvertreter, der die Aufgaben sofort übernehmen kann und die gleichen Zugriffsrechte hat. Wir hatten einen Fall, in dem ein Betrüger umgehend das Unternehmen verlassen musste, aber als einziger Zugang zu den Bankdaten hatte.

In einem ersten Gespräch ordnen wir den Sachverhalt ein und klären, ob wir wegen Unabhängigkeitsvorschriften das Mandat annehmen dürfen. Dabei schildert uns der Kunde das Problem und nennt die involvierten Personen. So können wir sicherstellen, dass wir unabhängig arbeiten. Sobald die Rahmenbedingungen und der Umfang unserer Untersuchungen mit dem Kunden festgelegt wurden, sammeln wir die dazugehörigen Fakten, wie z.B. Dokumente, E-Mails sowie weitere relevante Daten.

Ausserdem führen wir standardisierte Interviews mit den Mitarbeitenden durch aber auch Befragungen, bei denen wir die in Verdacht stehenden Mitarbeiter direkt konfrontieren. Nach Abschluss jeder Arbeitsphase präsentieren wir die Ergebnisse dem Kunden und er entscheidet dann, ob wir die Untersuchung weiterführen oder abschliessen. Wir übermitteln dem Kunden schliesslich einen Untersuchungsbericht, der entweder für interne Zwecke oder auch für ein Gerichtsverfahren verwendet wird.

Dank modernsten Technologien und IT-Systemen: Unser Forensic-Technology-Team ist mithilfe von künstlicher Intelligenz in der Lage, enorme Datenmengen effektiv und schnell auf bestimmte Muster oder Schlüsselwörter zu untersuchen und auszuwerten. Natürlich arbeiten die Betrüger*innen ebenfalls mit modernen Technologien. Deshalb ist es unabdingbar, auf dem neusten technologischen Stand zu sein.

Beim Fraud Risk Assessment geht es darum, die Risiken für wirtschaftskriminelle Handlungen oder Möglichkeiten aufzudecken. Unser Auftrag besteht in der Regel darin, alle möglichen Betrugsrisiken zu finden, aufzulisten und zu priorisieren. Anschliessend verknüpfen wir diese Risiken mit den internen Kontrollmechanismen, um so herauszufinden, wo mögliche Lücken vorhanden sind. Fraud Risk Assessments sind sehr wichtig für die Prävention von Wirtschaftskriminalität, weshalb Unternehmen es grundsätzlich einmal im Jahr durchführen sollten.