Ordnung ins Chaos bringen
Big Data und die Bedeutung in internationalen Ermittlungen
Die exponentiell wachsende Menge an Daten, die von Unternehmen erzeugt und gespeichert werden, muss in geeigneter Weise strukturiert werden, um eine schnelle Wiedergewinnung und Analyse zu gewährleisten
Von Matthew Kinch, Senior Consultant, und Michael Müller, Leiter Consulting-Team - Control Risks Deutschland GmbH
(25.03.15) - Die Formen, die Betrug in Unternehmen heute annimmt, entwickeln sich ständig weiter und ebenso die Maßnahmen und Mittel, die zu ihrer Bekämpfung benötigt werden. Mit der Erschließung neuer Märkte und den sich ständig erweiternden internationalen Netzwerken an Lieferanten, Partnern und Kunden wachsen in gleichem Maße die operativen Risiken für Unternehmen. Eine veränderte Gesetzeslage und die verstärkte öffentliche Wahrnehmung, gepaart mit einem hohen medialen Interesse, führen dazu, dass Korruption und Bestechung nicht nur für multinationale Unternehmen, sondern auch für kleine und mittelständische Unternehmen ein stetig steigendes Reputations- und Finanzrisiko darstellen.
Die fast vollständige Abhängigkeit der Wertschöpfungsprozesse von Technologien schafft neue Schadenpotenziale, die die Unternehmen verwundbar machen. Die exponentiell wachsende Menge an Daten, die von Unternehmen erzeugt und gespeichert werden, muss in geeigneter Weise strukturiert werden, um eine schnelle Wiedergewinnung und Analyse zu gewährleisten. Dies ist insbesondere auch im Rahmen einer internen Ermittlung von erheblicher Bedeutung. Geschieht dies nicht, werden die Organisationen angreifbar und der Kampf gegen Betrug und Korruption wird erheblich erschwert.
Bei einer Ermittlung steht das Unternehmen in der Regel vor einer riesigen Datenmenge, die es zu analysieren gilt. Dabei handelt es sich nicht nur um unstrukturierte Daten wie E-Mails und Dokumente, sondern auch um Datenbankinformationen wie Buchhaltungs- und Bankaufzeichnungen, Kommunikationsaufzeichnungen und Interaktionen in sozialen Medien. Diese sind an unterschiedlichsten Orten und in unterschiedlichsten Formaten, zunehmend auch in der "Cloud", gespeichert.
Im Falle einer Ermittlung hat dies erhebliche Auswirkungen. Für die Ermittler wird es schwierig, sich schnell und effektiv einen Überblick zu erschaffen und das Kernproblem zu erkennen. Dies verlangsamt den Untersuchungsprozess und das wiederum kann teuer werden - sowohl finanziell als auch in Hinblick auf die Reputation des Unternehmens. Wenn ein Betrugsfall aufgedeckt wird, sind eine rasche Feststellung der Quelle, des Betrugsmusters und das Eingrenzen der sich daraus ergebenden operativen und finanziellen Risiken von wesentlicher Bedeutung. Nur so können weitere Schäden vermieden werden.
Die Zunahme der Datenmengen hat eine Reihe tiefgreifender Auswirkungen auf die Arbeitsweise der involvierten Experten (wie Anwälte, IT-Forensiker und forensische Wirtschaftsprüfer), die mit der Untersuchung schwerer Betrugsfälle befasst sind, mit sich gebracht. Die erste Aufgabe besteht darin, die relevanten Daten ausfindig zu machen und herauszufinden, wer sie verwahrt werden und welches Format sie haben. Sobald die Daten zugeordnet und die relevanten Quellen ermittelt sind, müssen die Daten beweiskräftig und vertretbar gesichert werden. Erst dann kann die Analyse mit dem Ziel erfolgen, eine rasche und wirksame Konzentration auf die Schlüsselfragen zu ermöglichen und irrelevante Informationen herauszufiltern.
Infolgedessen hat die Rolle der forensischen Wirtschaftsprüfer an Bedeutung gewonnen und der Bedarf an Fachkenntnissen im Bereich der Computerforensik erheblich zugenommen. Die riesigen Datenmengen, die Organisationen heute erzeugen, können dazu führen, dass die Ermittlung der Beweise, die für die Einleitung eines Gerichts- oder Disziplinarverfahrens notwendig sind, viel schwieriger, zeitaufwendiger und teurer wird. Spezielle Software-Tools zur Durchführung der eDiscovery ermöglichen es, die beweiskräftigen Transaktionen, Korrespondenz oder sonstigen Belege rasch zu identifizieren und sich auf diese zu konzentrieren. Dabei können die Ermittler und forensischen Wirtschaftsprüfer auch alle Schwächen und Sicherheitslücken in internen Systemen und Kontrollen feststellen, die den Betrugsfall oder ein anderes Fehlverhalten erst ermöglicht haben.
Auch die Rolle anderer an der Untersuchung von Betrugsfällen beteiligter Berufsgruppen, insbesondere die der Rechtsanwälte, ist einem raschen Wandel unterworfen. Juristen sind jetzt an der gesamten Untersuchung vom Anfang bis zum Ende beteiligt, denn viele Geschäftsdaten sind inzwischen über eine Vielzahl von Gerichtsbarkeiten verteilt und die Datenschutzbestimmungen sind von Land zu Land entsprechend unterschiedlich. Während es beispielsweise in manchen Ländern eine Straftat sein kann, Daten ins Ausland zu transferieren, kann es in anderen Ländern rechtswidrig sein, ohne Gerichtsbeschluss Daten auf Geräten von Arbeitnehmern wiederherzustellen – selbst wenn sowohl das Gerät als auch die Daten, die sich darauf befinden, Eigentum des Unternehmens sind.
Daher ist zu Beginn einer Ermittlung eine rechtliche Beratung erforderlich, um sicherzustellen, dass die Untersuchungen rechtmäßig und korrekt durchgeführt werden, um ihre Integrität für Beweiszwecke zu gewährleisten.
Vorbereitung auf den Ernstfall
Dies alles hat seinen Preis. Je mehr Zeit von Fachleuten für die Untersuchung von Betrugsfällen aufgewendet werden muss, umso höher sind die anfallenden Kosten. Es gibt jedoch einiges, was Unternehmen tun können, damit die Untersuchungen in Betrugsfällen effizient erfolgen können.
Als erstes müssen die Unternehmen Erkenntnisse darüber erlangen, wo – und von wem – ihre Informationen bereitgehalten werden, und eine klare Vorstellung darüber haben, wie und wo neue Daten erzeugt und wie historische Daten gehandhabt werden. Unternehmen haben im Allgemeinen gute Kenntnisse über diese Dinge, doch die Geschwindigkeit, mit der die Informationsinfrastruktur sich weiterentwickelt, bedeutet, dass die Daten-Landkarte regelmäßig neu gezeichnet werden muss. Immer wieder passiert es, dass relevante Daten im Ernstfall nicht vorhanden sind, weil Backupdaten gelöscht worden sind, sich nicht mehr dort befinden, wo sie vermutet wurden, oder die um die Daten auszulesen benötigte Software nicht mehr im Unternehmen angewendet wird.
Zweitens ist es enorm wichtig, über klare Richtlinien zu verfügen, wie Arbeitnehmer Daten speichern und was sie mit ihren Geräten tun dürfen und was nicht. Wenn die Sammlung von Daten im Falle einer Untersuchung effizient erfolgen soll, kommt es nicht nur darauf an, dass solche Richtlinien vorhanden sind, sondern auch darauf, dass die Arbeitnehmer die Richtlinien kennen und ihnen bewusst zugestimmt haben.
Bei multinationalen Unternehmen müssen diese Richtlinien den jeweiligen Datenschutzbestimmungen und den Gesetzen zum Schutz von Persönlichkeitsrechten sowie des Arbeitsrechts der Rechtsordnungen, in denen sie tätig sind, entsprechen. In vielen Fällen ist zusätzlich die Nutzung privater Geräte für geschäftliche Zwecke zu berücksichtigen. In letzterer Hinsicht stehen technische Lösungen zur Trennung der privaten von den geschäftlichen Daten zur Verfügung, die eine Wiederherstellung der Unternehmensinformationen ermöglichen, ohne die Privatsphäre bezüglich privater Informationen zu verletzen.
Schließlich sollte man sich bewusst sein, dass Daten als kritisches Element im Rahmen des Krisenmanagements und der Notfallplanung eines Unternehmens zu betrachten sind. Indem die Informationsverwaltung als potenzielle Angelegenheit des "Krisenmanagements" behandelt wird, kann der durch Betrug und Korruption entstehende Reputations- und Finanzschaden erheblich reduziert werden. Wer den Überblick über seine Daten behält, kann zudem den erfreulichen Nebeneffekt verzeichnen, dass eine gute Informationsverwaltung zeitgleich das Betrugsrisiko wesentlich verringert. (Control Risks: ra)
Control Risks: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>
