Datenauswertungen und personenbezogene … Die vorliegende Ausarbeitung wurde in Kooperation des des...
-
Upload
vuongtuyen -
Category
Documents
-
view
214 -
download
1
Transcript of Datenauswertungen und personenbezogene … Die vorliegende Ausarbeitung wurde in Kooperation des des...
Datenauswertungen und personenbezogene Datenanalyse:Beispiele für den praktischen Umgang im Revisionsumfeld
3
InhaltsverzeichnisThematischer Hintergrund und Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71.1 Begriffsdefinition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71.2 Zielsetzung und Historie der Datenanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2 Die Verantwortung der Unternehmensleitung . . . . . . . . . . . . . . . . . . . . . . . . 93 Grundsätze der Revisionsarbeit und Zusammenarbeit mit anderen
betrieblichen Instanzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113.1 Wesentliche Grundsätze der Revisionsarbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113.2 Betrieblicher Datenschutzbeauftragter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123.3 Chief Information Security Officer (CISO) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143.4 Betriebsrat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
4 Handlungshinweise bei Auswertung personenbezogener Daten . . . . . . . . . . 174.1 Grundsätzlicher Abstimmungsbedarf des Vorgehens bei Datenanalysen . . . . . .174.2 Voraussetzung für die Auswertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .194.3 Datenanalysen: Zulässige und unzulässige Vorgehensweisen . . . . . . . . . . . . . . .20
5 Massendatenanalysen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235.1 Hintergrund . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235.2 Massendatenanalysen im Rahmen der rechtlichen Möglichkeiten . . . . . . . . . . .235.3 Analyseprozess und mögliche Prüfungsergebnisse. . . . . . . . . . . . . . . . . . . . . . . . .25
6 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Anhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29A .1 Vorgehensweise bei der Massendatenanalyse . . . . . . . . . . . . . . . . . . . . . . . . 29
A.1.1 Aufbau eines Prozessverständnisses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29A.1.2 Die Datenanalyse anhand von drei Beispielen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
A.1.2.1 Beispiel 1: Identifikation von Scheinlieferanten . . . . . . . . . . . . . . . . . . . . .30A.1.2.2 Beispiel 2: Rechnung ohne Bestellungen . . . . . . . . . . . . . . . . . . . . . . . . . .32A.1.2.3 Beispiel 3: Kostenlose Lieferungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34
A.1.3 Zusammenfassung der Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35A .2 Optimierung der Datenanalyse durch „Data Mining“ . . . . . . . . . . . . . . . . . . 36
4
Die vorliegende Ausarbeitung wurde in Kooperation des des DIIR – Deutsches Institut für Interne Revision e. V. und der GDD – Gesellschaft für Datenschutz und Datensicherung e. V. erstellt.
Mitglieder der Projektgruppe waren:Uwe Dieckmann, Vorstand der GDD Arno Bönner, Corporate Auditing der Bayer AG Thomas Keller, Deutsche Post DHL Peter Schiefer, Corporate Auditing der Bayer AG Volker Hampel, Geschäftsführer DIIR e. V.Daniela Weller, DIIR e. V.
Die vorliegende Ausarbeitung gibt die persönliche Einschätzung der Autoren wieder.
Verzeichnis der Abbildungen und Tabellen
Abbildung 1: Selektive Datenanalyse vs. Massendatenanalyse . . . . . . . . . . . . . . . . . . . . . . . . 8Abbildung 2: Prozessunabhängige Handlungsempfehlungen . . . . . . . . . . . . . . . . . . . . . . . .18Abbildung 3: Identifikation von Scheinlieferanten – risikoorientierte Fragestellungen . . .30Abbildung 4: Identifikation von Scheinlieferanten – Ergebnismatrix . . . . . . . . . . . . . . . . . .32Abbildung 5: Rechnungen ohne Bestellungen – risikoorientierte Fragestellungen . . . . . .33Abbildung 6: Rechnungen ohne Bestellungen – Ergebnismatrix . . . . . . . . . . . . . . . . . . . . . .34Abbildung 7: Kostenlose Lieferungen – risikoorientierte Fragestellungen . . . . . . . . . . . . . .34Abbildung 8: Kostenlose Lieferungen – Ergebnismatrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35Abbildung 9: Datenreduktion durch Massendatenauswertungen . . . . . . . . . . . . . . . . . . . . .35Abbildung 10: Datenquellen für Data Mining . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37Abbildung 11: Datenquellen für Data Mining . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37
Tabelle 1: Beispiele für die uneingeschränkte Zulässigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Tabelle 2: Beispiele für eingeschränkte Zulässigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Tabelle 3: Beispiele für kritische Prüfungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
5
Thematischer Hintergrund und MotivationDie Begriffe „Datenanalysen“ und „personenbezogene Daten“ beherrschen in Verbindung mit der Internen Revision seit geraumer Zeit die Negativschlagzeilen der Medienlandschaft. Beide Begriffe werden dabei häufig in einen engen Zusammenhang gerückt, der in der Realität in dieser Form nicht existiert. Datenauswertungen sind technologische Innovationen jüngeren Datums, deren Ziel die Auswertung von Geschäftsdaten ist. Die Analyse personenbezogener Daten hingegen ist ein Thema, das die Revisionsarbeit seit Jahrzehnten begleitet. Auswertungen umfangreicher Datenbestände und die Analyse personenbezogener Daten sind zwei grundsätzlich von einander zu trennende Begriffe, die nur in spezifischen Konstellationen Überschneidungen aufweisen. Der Umgang mit Datenbeständen und personenbezogenen Daten erfordert neben der gebotenen Sensibilität auch eine klare Regelung. Ob die Novelle des Bundesdatenschutzgesetzes vom 10. 07. 2009 dazu einen Beitrag geleistet hat, darf durchaus in Zweifel gezogen werden. Insbesondere die Ausrichtung des § 32 „Datenerhebung, verarbeitung und nutzung für Zwecke des Beschäftigungsverhältnisses“ auf den Begriff der Straftat erweist sich in der betrieblichen Realität als problematisch. Der vorliegende Beitrag zeigt pragmatisch auf, wie einerseits personenbezogene Datenschutzinteressen als auch Interessen des Unternehmens ausgewogen berücksichtigt werden können. Dabei darf nicht übersehen werden, dass insbesondere die „Datenaffären“ der jüngsten Zeit die Problematik des Abwägens zwischen verschiedenen Rechtsgütern lediglich an die mediale Oberfläche gespült hat. Das Kernproblem bestand bereits davor, so dass der Einsatz ITunterstützter Auswertungen dafür nicht ursächlich ist. Die Auswertung von umfangreichen Datenbeständen hat die Revisionsarbeit im Kern kaum geändert. Am Ende jeder Prüfung, die durch die ITgestützte Analyse von gespeicherten Datenbeständen unterstützt wird, steht das konventionelle Prüfen, das aus dem Sichten von Akten und Verträgen, dem Führen von Interviews, dem Durchführen von Wirtschaftlichkeitsbetrachtungen, etc. besteht. Hierbei müssen in allen Fällen sensible personenbezogene Daten – wie gesetzlich gefordert – geschützt werden. Im Folgenden werden zunächst Grundsätze der Revisionsarbeit definiert, um später anhand von praktischen Beispielen aufzuzeigen, wie mit Datenauswertungen und personenbezogenen Daten verfahren werden kann.Anlass für die Veröffentlichung dieses Dokuments ist der Wunsch vieler Revisorinnen und Revisoren, mehr praktische Hinweise für die Durchführung von automatisierten Datenanalysen und darüber hinaus gleichzeitig Leitlinien für die notwendige Beachtung regulatorischer Vorgaben im Zusammenhang mit der Analyse personenbezogener Daten zu erhalten. Für Letztere verweisen wir zusätzlich auf die Ausführungen „Handlungsempfehlungen beim Datenabgleich zur Aufdeckung wirtschaftskrimineller Handlungen durch die Interne Revision“ in der Zeitschrift Interne Revision, 3/2009, S. 99102. Neben der detaillierten Darstellung möglicher Vorgehensweisen befindet sich ergänzend in Kapitel 4.3 eine tabellarische Zusammenfassung unterschiedlicher Konstellationen bei der Datenanalyse mit einer Einordnung deren Anwendbarkeit.
7
1 Einführung1 .1 Begriffsdefinition
Massendaten sind die Grundgesamtheit der Unternehmensdaten, die für verschiedene Zwecke erhoben wurden (z. B. Kombination aus Kreditoren, Debitoren und Personaldaten); im Unterschied zur Gesamtheit aller Daten zu einem Prüfungsobjekt.Der Begriff „digitale Massendatenanalyse“ hat sich erst in jüngster Zeit herausgebildet; es steht noch keine umfangreiche Fachliteratur zu diesem Thema zur Verfügung. Darüber hinaus ist der Begriff gesetzlich nicht definiert oder geschützt. Unter digitalen Massendaten wird in der Betriebswirtschaft eine hohe Anzahl strukturierter, digital gespeicherter Daten verstanden. Die Analyse und Auswertung der Gesamtdatenmenge ist in Anbetracht der hohen Datenvolumina ökonomisch nur mithilfe computergestützter Methoden und Werkzeuge möglich. Anders ausgedrückt, kann die digitale betriebswirtschaftliche Massendatenanalyse auch als die
“Verwendung von computerunterstützten Methoden und Werkzeugen zur ökonomischen Analyse und Auswertung der Gesamtdatenmenge einer hohen Anzahl digital gespeicherter betriebswirtschaftlicher Daten”
definiert werden. Im Sinne einer pragmatischen Abgrenzung kann der Begriff „Massendaten“ auch als Datenmenge bezeichnet werden, die nicht mehr bspw. durch konventionelle MSExcelAnwendungen strukturiert und mit wechselnden Zielsetzungen bearbeitet werden kann.Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Der Begriff entstammt dem Datenschutzrecht, allerdings gibt es in den deutschsprachigen Ländern unterschiedliche gesetzliche Definitionen. In Deutschland fallen beispielsweise nur die Daten von natürlichen Personen (§ 3 Bundesdatenschutzgesetz – BDSG), in Österreich zusätzlich auch die von juristischen Personen (§ 4 Datenschutzgesetz 2000) in den Schutzbereich der entsprechenden Gesetze. Geschäftsdaten sind alle Daten, die ein Unternehmen für seine geschäftlichen Zwecke verwendet. Sie bestehen sowohl aus personenbezogenen Daten als auch aus nicht personenbezogenen Daten. Im Debitoren und Kreditorenbereich fallen Informationen und Daten hinsichtlich natürlicher Personen immer unter die Bestimmung des BDSG. Auch RechnungswesenDaten erscheinen oft auf den ersten Blick nicht wie personenbezogene Daten, enthalten in der Regel Angaben zu Beschäftigten, z. B. wer die Bestellung, Lieferung, Buchung der Rechnung oder Zahlungsfreigabe im System eingegeben hat, und fallen damit auch unter das BDSG.
1 .2 Zielsetzung und Historie der Datenanalyse
Im letzten Jahrzehnt hat die digitale Datenerfassung die Papierdokumentation immer weiter abgelöst. Um der Aufgabe der Internen Revision gerecht zu werden, müssen zur Vorbereitung und Prüfungsdurchführung entsprechende technische Werkzeuge eingesetzt werden, denn offensichtlich können sonst die methodischen Prüfungsansätze nicht mehr mit den technischen Gegebenheiten Schritt halten.Bereits seit vielen Jahren hat die Interne Revision – deckungsgleich mit anderen Berufszweigen – die Möglichkeit, die Revisionsarbeit durch die Analyse von ITgespeicherten Rechnungswesendaten zu unterstützen. Inwieweit das konventionelle Prüfvorgehen und
8
massendatenunterstützte Prüfvorgehen zusammenhängen, verdeutlicht das beigefügte Schaubild:Im Rechnungswesen werden kreditorische und debitorische Informations und Werteflüsse zusammengeführt und bilden die Rechnungswesendaten des Unternehmens. Die Transaktionen des Rechungswesens verzahnen die beschaffungsseitigen und vertriebs seitigen warenwirtschaftlichen Kreisläufe, so dass sich im Rechnungswesen indirekt alle Prozesse widerspiegeln. Die Daten des internen und externen Rechnungswesens stellen die Basis für Datenauswertungen dar. Die grundlegende Annahme der Datenanalyse lautet, dass Regelübertretungen und verstöße ihre Spuren in den digitalen Datenbe ständen hinterlassen. Aber auch formal regelkonforme Transaktionen können Auffälligkeiten aufweisen, die auf ein Risiko hindeuten (z. B. die Stückelung von Beiträgen zur Umgehung von Betragsgrenzen).Die große Menge an Daten aus dem operativen Tagesgeschäft – z. B. hunderttausende oder mehrere hundert Millionen Datensätze – fallen in unterschiedlichsten Unternehmensbereichen an:
• Daten des Rechnungswesens /der Finanzbuchhaltung – Stammdatenverwaltung – Kreditorenbuchhaltung – Debitorenbuchhaltung – Anlagenbuchhaltung
• Produktionsdaten/Vertriebsdaten • Einkaufsdaten• Kundeninformationenusw.In modernen ERPSystemen, wie z. B. SAP R/3, liegen in der Regel in Abhängigkeit von der Tätigkeit der Gesellschaft und Dauer des Einsatzes des Systems annähernd unbegrenzte Datenmengen vor. Diese Datenvolumina lassen sich mit konventionellen Mitteln nur sehr eingeschränkt analysieren.Ein Hauptmerkmal des konventionellen Prüfvorgehens ist, dass – bedingt durch technische Restriktionen – Daten nicht in ihrer Gesamtheit betrachtet werden können. Da eine Vollprüfung in der Realität nicht durchführbar ist, ist der Prüfer gezwungen, eine Auswahl vorzunehmen. Hierbei kann eine Zufallsstichprobe gezogen oder eine bewusste Auswahl getroffen werden. In jedem Fall basiert das Vorgehen auf Unkenntnis der Grundgesamtheit aller Daten.Genau an dieser Schwachstelle setzt die Massendatenanalyse an. Bei massendatenbasierten Analysen wird eine Grundgesamtheit von Daten, z. B. alle Bestellungen der vergangenen zwei Geschäftsjahre, betrachtet. Anstelle von Stichproben oder einer bewussten Auswahl werden risikoorientierte Fragestellungen auf die Grundgesamtheit der Daten abgebildet. Ziel ist es hier, bezogen auf vorher klar zu definierende Risikobereiche/felder und daraus abgeleiteten Fragestellungen, aus der Gesamtheit aller zur Verfügung stehenden Daten diejenigen Datensätze herauszufiltern, die auf Abweichungen, Ausreißer, Klumpenrisiken bzw. Regelverstöße hindeuten.
Abbildung 1: Selektive Datenanalyse vs. Massendatenanalyse
9
2 Die Verantwortung der Unternehmensleitung
Die Unternehmensleitungen (anzuführen sind hier insbesondere Kapitalgesellschaften – AG und GmbH – bzw. kapitalmarktorientierte Unternehmen, die Aktien oder andere Wertpapiere ausgegeben haben) unterliegen nach regulatorischen Vorschriften allgemeinen Sorgfaltspflichten. Dies erfordert das Setzen und Kommunizieren von Verhaltensnormen und Handlung sanweisungen durch die Unternehmensleitung – zumindest für risikobehaftete Themenfelder –, um die Einhaltung rechtlicher und regulatorischer Vorgaben sicherzustellen. Im Deutschen Corporate Governance Kodex heißt es hierzu: „4.1.3 Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance). 4.1.4 Der Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen.“ Der vielzitierte § 91 (2) AktG fordert: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ Nach § 25a (1) KWG muss zudem ein Institut über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet.Dabei bestehen keine explizit definierten Anforderungen. In der Begründung des Gesetzentwurfs der Bundesregierung zum Bilanzrechtsmodernisierungsgesetz (BilMoG) heißt es beispielsweise: „Es bleibt den geschäftsführenden Organen überlassen, ein internes Kontrollsystem oder ein internes Risikomanagementsystem nach den vorhandenen Bedürfnissen unter Berücksichtigung der UnternehmensStrategie, des Geschäftsumfangs und anderer wichtiger Wirtschaftlichkeits und Effizienzgesichtspunkte einzurichten.“Bei Verstoß gegen die eingangs genannten Sorgfaltspflichten drohen allerdings unterschiedliche Sanktionen:• nach § 93 AktG Schadensersatzzahlungen bei Pflichtverletzung: „(1) Die Vorstands
mitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden … (2) Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig, ob sie die Sorgfalt eines ordent lichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast.“
• nach § 43 GmbHG: „(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. (2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft soli darisch für den entstandenen Schaden.“ Darüber hinaus gilt gem. § 52 GmbHG: „(1) Ist nach dem Gesellschaftsvertrag ein Aufsichtsrat zu bestellen, so sind … in Verbindung mit § 93 (1) und (2) des Aktiengesetzes entsprechend anzuwenden, soweit nicht im Gesellschaftsvertrag ein anderes bestimmt ist.“
• Das heißt, auch das GmbHG referenziert explizit Haftungsregelungen des Aktiengesetzes.
• Nach § 130 OWiG (1): „Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern …, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. ...“
10
Das OWiG ist hier konkret, wenn es um Kriterien der Ordnungswidrigkeit geht: die vorsätzliche oder fahrlässige Unterlassung von Aufsichtsmaßnahmen, wenn eine „gehörige“ Aufsicht Zuwiderhandlungen verhindert oder wesentlich erschwert hätte.
• Über die vorgenannte Sanktionierung hinaus dient auch der Arbeitsvertrag zur individualvertraglichen Regelung der Haftungsfolgen für den Fall der Nichteinhaltung von der Unternehmensleitung gesetzter oder rechtlicher Normen.
Die Interne Revision ist das wesentliche Überwachungsinstrument, mit dem sich die Unternehmensleitung von der Einhaltung der von ihr gesetzten Normen und der rechtlichen und regulatorischen Vorgaben überzeugt (Compliance; Ordnungsmäßigkeit = compliance oder correctness). Wichtigster Grund ist hier die prozessunabhängige Funktion der Internen Revision, die sie gegenüber anderen Unternehmensbereichen hervorhebt und unterscheidet. Aus dem gleichen Grund sollte die Interne Revision auch Ratgeber hinsichtlich der Anforderungen sein, die bei der Erstellung und Definition von Vorgaben hinsichtlich Compliance und ComplianceRegularien im Unternehmen festgelegt werden. Zur Untersuchung der Einhaltung vielfältiger Compliance Vorschriften ist die Analyse verfügbarer Datenbestände zielführend: beim heutigen Stand der ITtechnischen Verarbeitung von Geschäftsvorfällen ist die Durchführung einer angemessenen Überwachung besonders risikobehafteter Bereiche ohne die Verwendung vergleichbarer technischer Methoden unrealistisch. Grund ist, dass die manuelle Abdeckung über sporadische Stichproben aus einer Grundmenge von Tausenden von Geschäftsvorfällen oder Transaktionen bei der heute gegebenen umfassenden Durchdringung der Geschäftsprozesse mit elektronischen Datenbeständen häufig in Relation zu unvertretbar kleinen Stichprobenumfängen führt. Es ist daher zu bezweifeln, dass den Vorgaben nach angemessener Überwachung und Kontrolle mit eingangs beschriebenen Sanktionen für die Unternehmensleitungen über manuelle Stichproben entsprochen werden kann. Die Durchführung automatisierter Datenanalysen ist insofern ein unbestrittenes „Muss“. COSO als Trendsetter schreibt hier sogar noch weitergehend: “Breadth of Monitoring Processes – Organizations may select from a wide variety of monitoring procedures …, including but not limited to: …Continuous monitoring programs built into information systems …”In allen Fällen gilt aber aus der berufsständischen Sicht für die Revisoren: regulatorische Vorgaben, die für den Prüfenden auch hier den ComplianceRahmen setzen – insbesondere den Datenschutz betreffend – sind notwendig zu beachten.Im Zeitalter des flächendeckenden Einsatzes großer ERPSysteme bieten ITunterstützte Analysen die Möglichkeit, dem Haftungsrisiko der Unternehmensleitung aktiv entgegenzuwirken. Im Gegensatz zu stichprobenbasierten Prüfansätzen erlauben ITunterstützte Prüfungsstrategien, dass auf Basis von Grundgesamtheiten ein hohes Maß an Datentransparenz hergestellt werden kann. Auf dieser Grundlage können Risiken identifiziert und präventive Maßnahmen eingeleitet werden. Somit stellen massendatenbasierte Analysen auch eine wichtige Maßnahme zur Reduzierung des Haftungsrisikos von Vor ständen und Geschäftsführern dar.
11
In Bezug auf die Kernaufgaben und Prüfungsziele der Internen Revision ergeben sich Überschneidungen und Abstimmungsbedarf mit anderen betrieblichen Instanzen, die ebenfalls eigenständige Aufgaben im Rahmen der Gewährleistung der Ordnungsmäßigkeit haben. Neben den für die allgemeine Sicherheit (z. B. Arbeitsschutz, Werksschutz) oder Compliance (z. B. ComplianceOfficer, Geldwäschebeauftragter) zuständigen Stellen sollen hier näher die Instanzen betrachtet werden, die mit Datenschutz und/oder Datensicherheit betraut sind. Das sind der betriebliche Datenschutzbeauftragte, der Chief Information Security Officer (CISO) und die Betriebsräte, mit denen es für die konventionelle Arbeit sinnvoll ist, eine gute Zusammenarbeit mit den genannten betrieblichen Instanzen zu etablieren.
3 .1 Wesentliche Grundsätze der Revisionsarbeit
Um Überschneidungen und gemeinsame Ziele der Internen Revision mit anderen betrieblichen Instanzen aufzuzeigen, wird zunächst eine Standortbestimmung der Revisionsarbeit – auch für interessierte Außenstehende – vorgenommen. Zu diesem Zweck werden im Folgenden die wesentlichen Grundsätze der Revisionsarbeit in einem kurzen Überblick zusammengetragen:• Die Interne Revision verfolgt einen risikoorientierten Prüfansatz.• Standardmäßig zählen folgende Prüfungsfelder zu den Arbeitsgebieten der Internen
Revision: – Rechnungswesen/Finanzbuchhaltung – Einkauf/Beschaffung – Vertrieb – Front/Middle und Backoffice – Technik & Produktion – Personalbereich – Forschung und Entwicklung – IT
• Die wichtigsten Kernaufgaben und Prüfungsziele der Internen Revision sind die Prüfung – der Wirksamkeit des Internen Kontrollsystems (IKS), – der Wirtschaftlichkeit, – der Ordnungsmäßigkeit und dabei der Einhaltung von Gesetzen, Verordnungen
und internen Richtlinien, sowie – der (IT)Sicherheit.
• Eine Kernaufgabe der Internen Revision ist auch der Schutz des Unternehmens vor Vermögensverlusten.
• Die Internen Revisionen haben im Rahmen des Prüfungsauftrages ein uneingeschränktes Informationsrecht und damit die Möglichkeit des Zugriffs auf sämtliche Geschäfts- und Buchhaltungsdaten des Unternehmens.
• Prüfaufträge in den o. g. Prüffeldern werden auf Basis einer vorliegenden Prüfungsplanung unter Verwendung der Geschäftsdaten durchgeführt.
3 Grundsätze der Revisionsarbeit und Zusammenarbeit mit anderen betrieblichen Instanzen
12
• Beim Einsatz sämtlicher Prüfmethoden ist der Grundsatz der Verhältnismäßigkeit zu beachten.
Die Interne Revision führt bei dieser Tätigkeit keine Leistungs- und Verhaltens-kontrollen der Arbeitnehmer durch. IT-gestützte Analysen stellen ein zeitgemäßes Analysewerkzeug für Revisoren dar, das die Prüfarbeit in modernen ERPSystemen, wie z. B. SAP R/3, erleichtert. Die bloße ITunterstützte Analyse umfangreicher Datenbestände ersetzt in keinem Fall konventionelle Prüfhandlungen, sondern stellt eine wirkungsvolle Unterstützung dar.
3 .2 Betrieblicher Datenschutzbeauftragter
Unter Bezugnahme auf § 4g BDSG lassen sich die wesentlichen Aufgaben des betrieblichen Datenschutzbeauftragten wie folgt darstellen:• Vorbereitung von Managemententscheidungen zur Gewährleistung von Datenschutz
und Datensicherheit• Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme• Beratende Mitwirkung und Mitgestaltung der erforderlichen technischen und organi
satorischen Maßnahmen gemäß § 9 BDSG und Anlagen• Kontrolle der Auftragsdatenverarbeiter entsprechend § 11 BDSG• Durchführung der Vorabkontrolle gemäß § 4d (5) BDSG• Sicherstellung der Verfügbarkeit des Verfahrensverzeichnisses für jedermann• Schulung und Verpflichtung der Mitarbeiter• Sicherstellung der Wahrung der Rechte BetroffenerIm Zusammenhang mit den Veröffentlichungen zu den „Datenaffären“ ist auch die Stellung der Internen Revision ins Rampenlicht gerückt worden. Die Revisionen überwachen die Geschäftsvorfälle sowie die Aufbau und Ablauforganisation der Unternehmen unter anderem unter den Aspekten Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit. Da unter „Ordnungsmäßigkeit“ die Einhaltung aller rechtlichen und aller betrieblichen Vorschriften und unter „Sicherheit“ die Sicherung des gesamten Vermögens einschließlich der Datenbestände verstanden wird, bestehen in der Überwachungsaufgabe Gemeinsamkeiten zwischen Revision und einem Datenschutzbeauftragten, der auf die Einhaltung datenschutzrechtlicher Vorschriften einschließlich Datensicherheit hinwirken soll. Das läuft darauf hinaus, dass beide Stellen Geschäftsprozesse auf ihre Zweckmäßigkeit im Hinblick auf die Ordnungsmäßigkeit und Sicherheit überprüfen. Auch der Aspekt der Wirtschaftlichkeit ist vom Datenschutzbeauftragten im Zusammenhang mit den Datensicherheitsmaßnahmen der Anlage zu § 9 BDSG zu beachten.Die direkte Unterstellung der Revision und des Datenschutzbeauftragten der Geschäftsführung gegenüber bedeutet nicht, dass die Tätigkeit im Einzelnen durch die Geschäftsführung beeinflusst wird. Sie soll eher sicherstellen, dass die berichteten Mängel durch die Geschäftsführung zur Kenntnis genommen und abgestellt werden.Die Vorgesetztenfunktion der Geschäftsführung ist eher disziplinarischer und nicht fachlicher Art.Während ein Datenschutzbeauftragter nach § 4 f BDSG gesetzlich zu bestellen ist, ist eine Revision nur in bestimmten Bereichen vorgeschrieben. Revision und Datenschutzbeauftragter haben den Status der Unabhängigkeit. Mit der fachlichen Weisungsfreiheit einher geht auch der Grundsatz, dass gegenüber anderen Stellen kein Weisungsrecht besteht, damit nicht eigene Weisungen bei späteren Prüfungen kritisch hinterfragt werden müssen. Wegen der sich überschneidenden Aufgabenbereiche liegt es auf der Hand, dass Unternehmen mit bestehenden Revisionen prüfen, ob Revision und Datenschutz in einer Stelle geführt werden sollten.So gibt es dem Gebiet der Überwachung von ITAbläufen, insbesondere wegen der in der Anlage zu § 9 BDSG sogenannten 8 Gebote zur Datensicherheit in hohem Maße
13
identische Prüfungsobjekte. Dies wird besonders deutlich bei der Prüfung der Einräumung und Nutzung von Zugriffsberechtigungen. Das Protokollieren von Daten verändernden und teilweise auch von lesenden Zugriffen ist handelsrechtlich, nach den Grundsätzen ordnungsmäßiger Buchführung, nach § 10 BDSG sowie nach Nr. 5 der An lage des § 9 BDSG in bestimmten Fällen vorgeschrieben.In Bezug zum Beauftragten für den Datenschutz finden sich in der ITRevision weitere überschneidende Aufgaben. Im Hinblick auf die ITSicherheit des Unternehmens obliegt der ITRevision dabei immer mehr die Prüfung des bestehenden ITSicherheitsniveaus und – daraus abgeleitet – auch die Aufgabe, Vorschläge zur Erhöhung der Sicherheit der Daten vor unbefugten Zugriffen und Zerstörung zu erstellen. Zu prüfen sind Systeme, Prozesse und Ergebnisse, und zwar dahingehend, ob sie die an sie gestellten unternehmensinternen und gesetzlichen Anforderungen erfüllen.1
Eine Zusammenarbeit zwischen betrieblichem Datenschutzbeauftragten und ITRevision ist deshalb möglich und in vielen Fällen sinnvoll. Die ITRevision prüft als unabhängiges Überwachungsinstrument der Unternehmensleitung sämtliche ITProzesse, DVAnwendungen und ITSysteme im Rahmen anstehender Prüfungen und Vorhaben. Die daraus resultierenden Ergebnisse geben Auskunft über das IT Sicherheitsniveau und wesentliche Datensicherheitsaspekte, die für den betrieblichen Datenschutzbeauftragten von hohem Interesse sind.Der betriebliche Datenschutzbeauftragte wiederum kann im Gegenzug der ITRevision Anregungen für risikobehaftete Prüfungsthemen und inhalte liefern. Tatsache ist nun, dass eine stattliche Anzahl von Unternehmen den Datenschutz in der Revision angesiedelt hat. Der Vorteil war bei Personengleichheit offenbar der, dass man den Datenschutzbeauftragten einer bereits existierenden Stelle mit eingefahrenen Kommunikationswegen zuordnen konnte. Die Aufnahme auch von Datenschutzmängeln in die Revisionsberichterstattung mit einem geordneten FollowUp war ein weiterer Vorteil. Der Datenschutz bekommt dadurch mehr Gewicht. Fehlendes technisches KnowHow kann durch die ITRevision ausgeglichen werden.In Datenschutzaufsichtsbehörden wird deshalb auch durchaus die Meinung vertreten, es entstehe keine Interessenkollision, wenn Revision und Datenschutz in einer Stelle geführt werden. Bisher ist auch keine generelle Verlautbarung der BaFin zur Unvereinbarkeit von Datenschutz und Revision ergangen. Abweichende Meinungen gibt es in der Literatur. In Kreditinstituten (z. B. Sparkassensektor) hat sich teilweise die Meinung durchgesetzt, Revision und Datenschutz müsse getrennt sein. Maßgebend für diese Meinung war wohl auch, dass die BaFin bestimmte andere Funktionen (Geldwäschebeauftragte, Compliancebeauftragte) als nicht vereinbar mit der Revisionsfunktion ansah, weil jene Funktionen wiederum durch die Revision geprüft werden müssten. Diese Meinung verkennt jedoch den Umstand, dass der gesetzlich zu bestellende Beauftragte für den Datenschutz nicht der Kontrolle durch die Revision unterliegen kann, weil dies aufgrund seiner Aufgabenstellung nicht mit dem Datenschutzgesetz vereinbar wäre. Darüber hinaus gehört es nicht zu den Aufgaben der Revision, planmäßig unmittelbare Prüfungen von Personen durchzuführen, sondern Geschäftsvorfälle und Prozesse zu überprüfen. Falls sich dabei ergeben sollte, dass es bei Geschäftsvorfällen oder Prozessen zu Verletzungen des Datenschutzes gekommen ist, entsteht nicht etwa eine Interessenkollision zwischen Revision und Datenschutz, sondern im Gegenteil können Synergien zwischen beiden Bereichen gehoben werden. Was die Zusammenarbeit der Revision mit dem betrieblichen Datenschutzbeauftragten anbetrifft, ist diese insbesondere bei personenbeziehbaren Datenanalysen von Vorteil. Eine frühzeitige Abstimmung des Vorgehens ist sinnvoll und notwendig, um rechtzeitig
1 Vgl. Kurt Ziener: „Betrieblicher Datenschutzbeauftragter und ITRevisor – Kooperation oder Gegensätze?“ (http://www.datakontext.com/portal/dkpdb_produkte/dateien/probekapitel/9783895775154_leseprobe.pdf)
14
mögliche Auswirkungen auf personenbezogene Daten zu analysieren und die Zulässigkeit der gewünschten Vorgehensweise zu dokumentieren.
3 .3 Chief Information Security Officer (CISO)
Aus dem Prozessverständnis gemäß ISO/ IEC 27001 lassen sich folgende Ziele und An sätze für ein effektives Information Security Management ableiten:a) Verständnis der Information Security Anforderungen einer Organisation und die
daraus abgeleitete Etablierung geeigneter Richtlinien und Ziele für Informationssicherheit
b) Die Implementierung und der Betrieb von Kontrollen, um dem Risiko hinsichtlich Informationssicherheit im Unternehmenskontext zu begegnen
c) Monitoring und Review der Performance und Effektivität des Information Security Management Systems
d) Kontinuierliche Verbesserung basierend auf objektiven Indikatoren2
Die Anforderungen aus ISO/ IEC 27001 knüpfen auch an die Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) an Datensicherheit an. Darüber hinaus finden sie sich so auch im Schutzgedanken des BDSG wieder und lassen sich aus den Grundsätzen ordnungsgemäßer Buchführung in DV gestützten Systemen (GoBS) ableiten. Auch hier zeigt sich sehr deutlich, dass die Ziele eines Chief Information Security Officers sich teilweise mit den Zielen der Internen Revision überschneiden. Daher ist die Zusammenarbeit zwischen CISO und der Internen Revision sinnvoll, da beide Stellen von Vorgehensweisen und Ergebnissen der jeweils anderen betrieblichen Instanz profitieren können.
3 .4 Betriebsrat
Nach § 75 (2) BetrVG haben Arbeitgeber und Betriebsrat die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern. Damit hat der Betriebsrat eine gesetzlich definierte Aufgabe im Bereich des Arbeitnehmerdatenschutzes. In diesem Zusammenhang zu sehen sind auch die Mitbestimmungsrechte nach § 87 (1) 6 BetrVG im Falle der Möglichkeiten der Verhaltens oder Leistungskontrolle. Deshalb sollten – nicht in Bezug auf jede einzelne Prüfung, sondern im Wege einer all gemeinen Übereinkunft – klare Regelungen zur grundsätzlichen Vorgehensweise bei computerunterstützten Datenanalysen mit dem Betriebsrat vereinbart werden. Hierzu zählt beispielsweise, wann und in welchen Fällen der Betriebsrat über die Durchführung einer Analyse informiert oder beteiligt werden muss. Wird das Verfahren in einer Betriebsvereinbarung geregelt, kann dies als Zulässigkeitskriterium gemäß § 4 BDSG herangezogen werden, weil eine solche Vereinbarung als vorrangige Rechtsvorschrift im Sinne des BDSG gilt. Aus Datenschutzsicht ist der Abschluss einer entsprechenden Verfahrensanweisung zu empfehlen, denn diese setzt zum einen das Transparenzgebot des BDSG um und kann darüber hinaus die Interessensabwägung nach § 28 (1) BDSG dokumentieren. In einer solchen Verfahrensanweisung könnte die Revision z. B. wie folgt erwähnt werden:„Die Revision ist die vom Vorstand / von der Geschäftsführung aufgrund gesetzlicher Vorschriften (z. B. § 93 (1) AktG) eingesetzte unabhängige Instanz zur Überwachung.(…)
2 Vgl. ISO/ IEC 27001
15
Zu diesem Zweck hat sie unter den Aspekten Wirtschaftlichkeit, Zweckmäßigkeit, Sicherheit und Ordnungsmäßigkeit die Aufbau und Ablauforganisation und sämtliche Geschäftsvorfälle turnusmäßig zu überprüfen. Die direkte Leistungs und Verhaltenskontrolle von Mitarbeitern ist nicht Aufgabe der Revision. Soweit die Revision Programme einsetzt, die Geschäftsvorfälle auf ihre Ordnungsmäßigkeit untersuchen und dabei auch die dafür verantwortlichen Mitarbeiter erfassen, fällt die Konstellation nicht unter diese Vereinbarung. Ebenfalls nicht hierunter fallen Auswertungen, in der Mitarbeiter zu Gruppen zusammengefasst und nur über die Ergebnisse der Gruppe berichtet wird (…)“.Im Folgenden einige Hinweise für mögliche Inhalte einer Verfahrensanweisung:
Beispielhafte Inhalte für eine Verfahrensanweisung
• Die Revision ist eine unabhängige Überwachungsinstanz.• Die verwendeten Prüfungsinstrumentarien müssen fortlaufend angepasst und
zeitgemäß durch computergestützte Prüfungsverfahren verstärkt werden.• Ziel der Revisionsarbeit ist nicht die Leistungs oder Verhaltenskontrolle von
Mitarbeitern.• Revision prüft insbesondere unter Ordnungsmäßigkeitsgesichtspunkten
Geschäftsvorfälle.• Prüfungstätigkeiten der Internen Revision erfordern nicht die Abstimmung
mit Betriebsrat und Datenschutzbeauftragtem – es sei denn, es handelt sich um schutzwürdige personenbezogene Daten der Mitarbeiter.
• Auch bei sensitiven Kundendaten/Lieferantendaten sind die Vorschriften des BDSG einzuhalten.
• Weiterführende personenbezogene Analysen, die auf Basis eines begründeten, dokumentierten Verdachts hinsichtlich eines Regelverstoßes von der Revision durchgeführt werden, erfordern die Einbindung des Betriebsrats und Datenschutzbeauftragten.
• Da zur allgemeinen Prüfung der Geschäftsvorfälle (reguläre Revisionsarbeit) automatisierte Analysen notwendig sind, werden diese für die Revisionsarbeit mit dieser Verfahrensanweisung als zulässiges Instrument freigegeben.
17
4 .1 Grundsätzlicher Abstimmungsbedarf des Vorgehens bei Datenanalysen
Für den Betrachtungsumfang der eigentlichen Revisionsprüfung gilt: die Revision darf für die Erfüllung der Sorgfaltspflicht als Unterstützungsfunktion der Unternehmensleitung alle im Unternehmen vorhandenen Daten sehen und z. B. prüfen. Verwendet werden dürfen erhobene personenbezogene Daten allerdings nur für den Zweck, für den sie ursprünglich erhoben wurden.Das folgende Schaubild enthält eine Übersicht zu den alternativen Vorgehensweisen Datenanalyse „mit Personenbezug“ und „ohne Personenbezug“. Unabhängig vom relevanten Fall wird empfohlen, die im oberen Bereich des Schaubildes dargestellten „prozessunabhängigen“ Handlungsempfehlungen grundsätzlich zu beachten. Diese bestehen in der Abklärung des grundsätzlichen Analysevorgehens für zukünftige Revisionsaufträge mit der Unternehmensleitung sowie – je nach Ausprägung im jeweiligen Unternehmen – den Instanzen Personal und Rechtsabteilung sowie Datenschutzbeauftragtem und Betriebsrat. Die definierte Vorgehensweise sollte schriftlich fixiert und als Verfahrensanweisung bzw. als Betriebsvereinbarung abgefasst werden, um mehrfach wiederkehrende Abstimmungsprozeduren in Bezug auf einzelne Prüfungen zu vermeiden. Alle betroffenen Parteien bewegen sich dann auf einem vordefinierten und nachvollziehbaren Feld.Bei der Nutzung von Mitarbeiterdaten im Zusammenhang mit einer möglichen Leistungs oder Verhaltenskontrolle sind die Mitbestimmungsrechte des Betriebsrats zu beachten. Es gilt der Grundsatz, dass bei nicht erfolgter Mitbestimmung nach § 87 (1) Nr. 6 BetrVG die Datenauswertung auch datenschutzrechtlich nicht zulässig ist. Daher sind Regelungen zur grundsätzlichen Vorgehensweise bei derartigen Analysen mit dem Betriebsrat zu vereinbaren. Hierzu zählt beispielsweise, wann und in welchen Fällen der Betriebsrat über die Durchführung einer Analyse informiert oder beteiligt werden muss. Aus Datenschutzsicht ist der Abschluss einer entsprechenden Betriebsvereinbarung zu empfehlen, denn diese setzt zum einen das Transparenzgebot des BDSG um und kann darüber hinaus neben der genannten Interessensabwägung nach § 28 (1) BDSG als zusätzliches Zulässigkeitskriterium gemäß § 4 BDSG herangezogen werden.
Die anschließenden Ausführungen zeigen auf, mit welchen Mitteln Datenanalysen möglichst umfassend ohne Personenbezug (entsprechend Zweig „ohne Personenbezug“ im Schaubild) betrieben werden können.
4 Handlungshinweise bei Auswertung personenbezogener Daten
18
Prozessunabhängige Handlungsempfehlungen
I) Abstimmung des Vorgehens bei personenbezogenen Datenanalysen mit Unternehmensleitung, Personalabteilung, Rechtsabteilung, Datenschutzbeauftragtem, Betriebsrat
Mit Personenbezug
DATEN
II) Abfassung einer Verfahrensanweisung oder Betriebsvereinbarung zum Vorgehen bei personenbezogenen Datenanalysen
Ohne Personenbezug
Prozessabhängige Handlungsempfehlungen
1 • Untersuchungsobjekt eindeutig defi nieren und abgrenzen
2 • Betrachtungsobjekt maximal einschränken (minimale Verwendung personenbezogener Daten)
3 • Einbezogene personenbezogene Daten anonymisieren/pseudonymisieren
4 • Beteiligte an Untersuchung einweisen (Datenschutzbeauftragter)
5 • Dokumentationsregeln festlegen (idealerweise in o. g. Verfahrensanweisung)
6 • Analysen durchführen
7 • Analysen dokumentieren (Bezug herstellen für spätere Rekonstruierbarkeit etc.)
8 • Nicht risikobehaftete Daten unverzüglich löschen
9 • Abstimmung mit eventuell einzubeziehenden Einheiten (Recht, Personal, Betriebsrat) bei auffälligen Ergebnissen
10 • Zur Einbeziehung externer Dienstleister: direkte Entnahme der Rahmenbedingungen aus dem BDSG
Keine spezifi schen Anforderungen zu berücksichtigen
Abbildung 2: Prozessunabhängige Handlungsempfehlungen
19
4 .2 Voraussetzung für die Auswertung
Beim reinen Bezug einer Datenanalyse auf Geschäftsfälle bzw. Rechnungswesendaten ist von unproblematischen Konstellationen auszugehen. Da diese Auswertungen grundsätzlich jedoch einen Bezug zu den Mitarbeitern herstellen können, welche die Geschäftsvorfälle veranlasst oder gebucht haben, ist – wie schon zuvor erwähnt – eine allgemeine Information von Betriebsrat und Datenschutzbeauftragtem über die Zielsetzung der Auswertungen und die generelle Vorgehensweise zu empfehlen. In allen Fällen sind beim Abgleich oder der Auswertung personenbezogener Daten, die unmittelbar konkreten Personen zugeordnet werden sollen oder zur Leistungs oder Verhaltenskontrolle der Arbeitnehmer geeignet sein können, strenge Regeln einzuhalten. Unabhängig davon, ob dazu zusätzlich zu den unternehmenseigenen auch unternehmensfremde Daten (wie unter „Data Mining“ ausgeführt) in die Analyse einfließen. Im Folgenden hierzu einige wichtige Passagen aus dem Bundesdatenschutzgesetz:
§ 32 (1) Satz 1 BDSG (Datenerhebung, verarbeitung und nutzung für Zwecke des Beschäftigungsverhältnisses)
„Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.“
verdrängt nach der Gesetzesbegründung die Bestimmungen von § 28 (1) Satz 1 Nr. 1 und Satz 2 BDSG. Durch seine derzeitige Ausrichtung auf Straftaten in Satz 2
„Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“
wird seine Anwendung für die Analyse von im Unternehmen bereits vorhandenen Daten vermutlich beschränkt bleiben. Nach der Gesetzesbegründung zum § 32 BDSG darf der Arbeitgeber seine im Zusammenhang mit der Durchführung des Beschäftigungsverhältnisses bestehenden Rechte weiter wahrnehmen, z. B. durch Ausübung des Weisungsrechts oder durch Kontrollen der Leistung oder des Verhaltens des Beschäftigten.Im Übrigen stellt § 32 (1) BDSG keine abschließende Regelung dar, so dass bei Datenanalysen – wenn sie nicht schon über die Kontrollrechte innerhalb des Beschäftigungsverhältnisses zulässig sind – in der Regel weiterhin die Interessensabwägung nach § 28 (1) BDSG• für alle Personen, die nicht unter dem Begriff „Beschäftigte“ subsumiert werden
können, also Kunden und Lieferanten, sowie• für Beschäftigte, soweit die Datenverwendung nicht im Zusammenhang mit der
Aufklärung einer im Beschäftigungsverhältnis begangenen erkannten oder konkret vermuteten Straftat steht,
Anwendung finden kann.
20
4 .3 Datenanalysen: Zulässige und unzulässige Vorgehensweisen
Die Fragestellung nach der Zulässigkeit oder Unzulässigkeit einer Datenanalyse lässt sich oft nicht pauschal beantworten, da neben den allgemein gültigen Gesetzen wie bspw. AktG, GmbHG, BDSG oft auch branchenspezifische Gesetze, z. B. KWG (hier bspw. Vorkehrungen gegen Betrug und Geldwäsche), TKG etc. zu beachten sind. Die folgende Tabelle enthält eine Reihe unterschiedlicher PrüfungsKonstellationen unter dem Aspekt des Datenschutzes. Je nach Prüfungsergebnis einer Datenanalyse sind unter Umständen weitergehende Untersuchen notwendig: Beispiele für die uneingeschränkte Zulässigkeit (grün) von Prüfungen sind alle prozessabhängigen Prüfungen von Geschäftsvorfällen in den Bereichen Einkauf von Waren und Dienstleistungen, Lagerhaltung, Kreditoren und Debitorenbuchhaltung, Lohn und Gehaltsabrechnung, Vertrieb, Logistik sowie der Reisekostenabrechnung. Ebenso können alle geschäftlichen Briefe uneingeschränkt überprüft werden.Beispiele für die eingeschränkte Zulässigkeit (gelb) von Prüfungen sind solche, in denen personenbezogene Daten direkt oder indirekt betroffen sind und daher datenschutzrechtliche Regelungen beachtet werden müssen.Beispiele für kritische Prüfungen (rot) sind solche, die entweder unzulässig sind (1. Beispiel) bzw. explizit einer Freigabe des Datenschutzbeauftragten – nach einer Vorabkontrolle und unter Beachtung der Beteiligungsrechte des Betriebsrates – bedürfen. Denn hier könnten beispielsweise direkt die schutzwürdigen Interessen von Personen betroffen sein oder für die Zwecke der Analyse unverhältnismäßige Verfahren angewendet werden. Die Autoren weisen ausdrücklich darauf hin, dass die folgenden Angaben keine rechts-verbindliche Aussage darstellen. Vielmehr geben sie die persönliche Meinung der Autoren unter Interpretation der bestehenden Rechtsnormen wieder. Daher ist im Einzelfall bei einer Prüfung nochmals eine entsprechende Absicherung je nach gegebener Konstellation des Einzelfalles erforderlich.
21
Analyseobjekte Anwendbarkeit Erläuterungen/Betrachtungsobjekt
Geschäftliche Briefe Zulässig Einschränkung bei verschlossenen Briefen, wenn nicht eindeutig als Geschäfts oder Privatbrief erkennbar und/oder wenn Brief in verschlossenem Behältnis
Datenanalyse von Kundendaten (z.B. Adress und Kontoänderungen unmittelbar vor/nach Stichtag)
Zulässig Zu beachten: wenn schutzwürdiges Interesse der Betroffenen nicht nach § 28 (1) Nr.2 BDSG überwiegt und das Verfahren mit DSB abgestimmt wird.
Datenanalyse von Lieferantendaten (z. B. Suche von Scheinlieferanten)
Zulässig; Daten sind grundsätzlich als Geschäftsdaten einzustufen.
Falls mögliche FraudFälle auf einzelne Mitarbeiter zurückzuführen sind, sind bei weiterer Prüfung (bspw. bei Zugriff auf Protokolldateien) die Vorschriften des BDSG (insb. § 31 BDSG) sowie die Beteiligungsrechte des Betriebsrat zu beachten. Daten anonymisieren/ pseudonymisieren, nicht relevante Daten unverzüglich aus Suchlauf ausscheiden/löschen
Analyseobjekte Anwendbarkeit Erläuterungen/Betrachtungsobjekt
Einkauf (Waren und Dienstleistungen) Zulässig Einhaltung der vorgeschriebenen Prozesse
Lagerhaltung Zulässig Ordnungsmäßige Inventur/Bestandsführung
Zahlungsverkehr Zulässig Ordnungsmäßige Abwicklung der Überweisungen
Kreditoren/Debitorenbuchhaltung Zulässig Ordnungsmäßige Abbildung der Geschäftsvorfälle
Lohn und Gehaltsabrechnung Zulässig Ordnungsmäßige Abrechnung
Vertrieb Zulässig Ordnungsmäßige Provisionierung und Rabattierung
Logistik/Fracht Zulässig Ordnungsmäßige Abrechnung
Projekte/Projektmanagement Zulässig Einhaltung der vorgeschriebenen Prozesse/Wirtschaftlichkeit
Reisekosten Zulässig Richtlinieneinhaltung und Ordnungsmäßigkeit
Analyse anonymiserter/pseudonymisierter Datenbestände (personenbezogene Angaben wurden vor der Analyse entfernt), z. B. Rechnungswesendaten
Zulässig; personenbezogene Daten bei organisatorisch getrenntem Bereich (Personal) aufbewahren
Vorgehen bei der Analyse definieren. Z. B. Prozessoptimierung – keine Einschränkung. Aufdeckung von FraudFällen: Abstimmung mit Juristen sinnvoll.
Geschäftliche EMails Grundsätzlich möglich, wenn als geschäftliche Korrespondenz kategorisiert
Einschränkung bei EMails mit einem Betreff, der auf privaten Inhalt schließen lässt. Empfehlung: klare betriebliche Regelungen für den Umgang mit privaten EMails und klare Vertreterregelungen
Tabelle 1: Beispiele für die uneingeschränkte Zulässigkeit
22
Analyseobjekte Anwendbarkeit Erläuterungen/ Betrachtungsobjekt
DatenScreening aller Mitarbeiter oder großer Teile der Belegschaft eines Unternehmens (Datenabgleich wie Kunden/Mitarbeiter oder Lieferanten/Mitarbeiter)
Nicht zulässig Verhältnismäßigkeit ist nicht gewahrt. Screening aller Mitarbeiter ist nicht risikoorientiert i. S. des BDSG
Bildaufnahmen, Videoüberwachung Nur außerhalb Privatsphäre möglich, wenn kein milderes Mittel anwendbar.
Vorabkontrolle durch Datenschutzbeauftragten, Zustimmung des Betriebsrates notwendig.
Tabelle 3: Beispiele für kritische Prüfungen
Analyseobjekte Anwendbarkeit Erläuterungen/Betrachtungsobjekt
Datenabgleiche von Mitarbeitern aus sensiblen Unternehmensbereichen (bspw. Einkauf). Dies ggf. auch als Folge einer reinen Geschäftsvorfallsprüfung
Zulässig, wenn schutzwürdiges Interesse der Betroffenen nicht nach § 28 (1) Nr.2 BDSG überwiegt und das Verfahren mit Datenschutzbeauftragten und Betriebsrat abgestimmt wird.
Vorgehensweise ggf. als Betriebsvereinbarung festlegen• (Beschreibung des Risikos und der Auswer
tungszwecke,• der Untersuchungskriterien,• der betroffenen Dateien,• der zu extrahierenden möglichst anonymisier
ten oder pseudonymisierten Daten,• des Auswertungssuchlaufs,• Sichtung und ggf. Löschung der Datensätze mit
plausiblen Fallkonstellationen,• Klärung der Restfälle mit Wiederherstellung
des Personenbezugs)Bei Verdacht: Abstimmung mit Juristen.
Datenanalyse von Kundendaten, bei denen Mitarbeiter die Kunden sind (z. B. Prüfung auf unzulässige Rabatte)
Zulässig, wenn schutzwürdiges Interesse der Betroffenen nicht nach § 28 (1) Nr.2 BDSG überwiegt und das Verfahren mit Datenschutzbeauftragtem und Betriebsrat abgestimmt wird.
Mögliche FraudFälle sind auf einzelne Mitarbeiter zurückzuführen. Bei Zugriff auf Protokolldateien Beteiligungsrechte des Betriebsrats beachten, auch hinsichtlich der protokollierten MitarbeiterKürzel. Daten anonymisieren/pseudonymisieren, nicht relevante Daten unverzüglich aus Suchlauf ausscheiden/löschen
Auswertung von GruppenLaufwerken, Dateien etc.
Ohne Personenbezug unbedenklich
Bei personenbezogenen Daten Abstimmung Datenschutzbeauftragter/Betriebsrat und mit Juristen notwendig
Überprüfung von MitarbeiterPCs nur bei konkreten Regelverstößen
Bei personenbezogenen Daten Abstimmung Datenschutzbeauftragter/Betriebsrat und mit Juristen notwendig
Tabelle 2: Beispiele für eingeschränkte Zulässigkeit
23
5 Massendatenanalysen5 .1 Hintergrund
Die folgenden Ausführungen sollen aufzeigen, auf welchen Wegen die Analyse umfangreicher Datenbestände unter Beachtung der rechtlichen Vorgaben sinnvoll durchgeführt werden können. Dies erfolgt grundsätzlich auf Basis der Auswertung von Geschäfts- oder Rechnungswesendaten. Es wird darauf hingewiesen, dass eine allgemeine Information an Betriebsrat und Datenschutzbeauftragten über die Zielsetzung der Auswertungen und die generelle Vorgehensweise zu empfehlen ist. Bewegen sich die Datenanalysen nicht mehr rein im Bereich der RechnungswesenDaten oder explizit in der Auswertung Arbeitnehmerdaten, so sind strenge Regularien einzuhalten – s. hierzu „Auswertung personenbezogener Daten“. Dies gilt unabhängig davon, ob zusätzlich zu den unternehmenseigenen auch unternehmensfremde Daten, wie später im Kapitel „Data Mining“) ausgeführt, in die Analyse einfließen. Für die Thematik der Massendatenanalysen zeigt der aktuelle Beschluss des Bundesverfassungsgerichts (BVerfG, 2 BvR 1372/07 vom 17. 2. 2009, Absatz Nr. 19) einen denkbaren Weg auf. Demnach stellt eine maschinelle Überprüfung von Überweisungsdaten keine Verletzung des informationellen Selbstbestimmungsrechts Betroffener dar, wenn die Datensätze beispielsweise nicht potenziell Tatverdächtiger im Rahmen der Analyse anonym und spurenlos bei den zuvor beschriebenen Prozessen beim eigentlichen „Suchlauf“ extrahiert werden. Es ging um die auf Veranlassung einer Staatsanwaltschaft durchgeführte Abfrage von Kreditkartenunternehmen, ob bestimmte Kreditkartenumsätze von 20 Millionen Kreditkarteninhabern drei definierten Suchkriterien (Betrag, Empfänger, Zeitraum) entsprechen. Im Ergebnis wurden final 322 Datensätze extrahiert, d. h. mehrere Millionen Datensätze wurden „überlesen“ oder im Wortlaut des Bundesverfassungsgerichts „spurenlos aus dem Suchlauf ausgeschieden“. Dies stellt keine Verletzung des informationellen Selbstbestimmungsrechts Betroffener dar, was in den Unternehmen insbesondere dann Bedeutung erlangt, wenn die Zulässigkeit der Datenanalyse sich auf die Abwägung der Interessen zwischen Unternehmen und den Betroffenen stützt.
5 .2 Massendatenanalysen im Rahmen der rechtlichen Möglichkeiten
Die Analyse umfangreicher Datenbestände ist eine wichtige Unterstützung bei Prüfungen, die z. B. das IKS, die Ordnungsmäßigkeit oder die Identifikation prozessualer Schwachstellen in einem Unternehmen betreffen. Wie beim Einsatz jeder Prüfmethode ergibt sich auch hier die Verpflichtung für jedes Unternehmen beim Einsatz von IT gestützten Auswertungen im Vorfeld die rechtlichen und regulatorischen Rahmenbedingungen zu prüfen.Nach § 28 (1) Nr. 2 BDSG sind Auswertungen zur Wahrung der berechtigten Interessen des Unternehmens nur zulässig, wenn kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Aufgrund des allgemeinen Persönlichkeitsrechts der Betroffenen ist dabei die Verhältnismäßigkeit des verfolgten Zwecks zur Schwere des Eingriffs für die Zulässigkeit der Analyse entscheidend. Bei der Auswertung von RechnungswesenDaten von Kunden und Lieferanten besteht in jedem Fall ein berechtigtes überwiegendes Interesse des Unternehmens. In allen anderen Fällen sollte zur Beurteilung dieser Fragestellung der Datenschutzbeauftragte immer frühzeitig einbezogen werden; empfehlenswert
24
ist die aktive Freigabe umfangreicher Datenanalysen durch den Datenschutzbeauftragten. Für die Abwägung der Interessen ist dem Datenschutzbeauftragten von der durchführenden Einheit eine ausreichende Dokumentation zur Zielsetzung der Analyse sowie zur Verwendung und anschließenden Löschung der dabei benötigten Daten zur Verfügung zu stellen. Aufgrund des Minimalitätsprinzips des BDSG sollten in allen Fällen möglichst wenige, also nur die erforderlichen, Datenfelder für eine Analyse herangezogen werden, wobei aus Vertraulichkeitsgründen grundsätzlich keine Namen verwendet werden sollten. Darüber hinaus, sofern im ersten Schritt der Analyse ein konkreter Personenbezug nicht notwendig ist, sollte die durchführende Stelle auf den Ausweis insbesondere von Mitarbeiterdaten im AnalyseErgebnis verzichten. Schritt II erfolgt analog zu den oben genannten „Prüfungsergebnissen“, bei der die Prüfung der Einzelfälle und deren Zuordnung zu konkreten Personen unter Einbindung der ComplianceOrganisation, der Rechtsabteilung, des Datenschutzbeauftragten und (bei Mitarbeiterfällen) des Betriebsrates durchzuführen ist. Zunächst ist es erforderlich, die generelle Zielsetzung und Vorgehensweise für den Fall personenbezogener Datenanalysen dem Betriebsrat und dem Datenschutzbeauftragten vorzustellen. Empfohlen wird hier, dabei die Zustimmung für den betreffenden Typus der Untersuchung einzuholen und schriftlich zu fixieren (Verfahrensanweisung, möglicherweise sogar als Betriebsvereinbarung). Neben der Beachtung der Mitbestimmungsrechte nach § 87 (1) Nr. 6 BetrVG kann so eine möglichst breite Akzeptanz für derartige Untersuchungen erreicht werden. Insbesondere erfordert die Einbeziehung personenbezogener Daten, die einem besonderen gesetzlichen Schutz unterliegen, die präzise Einhaltung von Gesetzen, Richtlinien und Vereinbarungen, wie z. B. dem Bundesdatenschutzgesetz, dem Betriebsverfassungsgesetz, innerbetrieblichen Richtlinien und ggf. Betriebsvereinbarungen. In der Regel sind Daten des Rechnungswesens Ausgangspunkt von Prüfungen. Bei Buchungen ist ein Personenbezug im Hinblick auf die verantwortlichen Personen für die Entstehung und Buchung des Geschäftsvorfalles gegeben. Darüber hinaus betreffen die meisten Buchungen natürliche Personen wie Debitoren, Kreditoren oder Mitarbeiter. Soweit sich bei der Prüfung der Verdacht auf etwaige dolose Handlungen verhärtet, sind je nach dem Kreis der betroffenen Personen und der Ausgestaltung der betrieblichen Regelungen Datenschutzbeauftragte, das Personalwesen, Arbeitnehmervertreter (Betriebsrat, Personalrat) und – falls vorhanden – die ComplianceOrganisation zu informieren bzw. einzuschalten. Dabei ist zu berücksichtigen, dass personenbezogene Daten nicht nur in ITSystemen vorhanden sind; selbstverständlich zählen auch Personalakten zu den besonders zu schützenden Personaldaten. Im Falle etwaiger Unklarheiten bzw. Zweifel ist es empfehlenswert, die Rechtsabteilung einzubinden, um festzustellen, ob ggf. allen inner und außerbetrieblichen Regularien entsprochen wird.Das Verfahren, wie mit Massendatenauswertungen und personenbezogenen Daten umgegangen wird, sollte abgestimmt, rechtlich abgesichert und durch den Vorstand bzw. die Geschäftsführung des Unternehmens genehmigt sein. Die getroffenen Vereinbarungen sollten bspw. im Rahmen einer Verfahrensanweisung definiert werden. Somit ist ein Höchstmaß an Sicherheit und Transparenz gewährleistet. Folgende Punkte sollten für die auf Basis der Verfahrensanweisung durchzuführenden Prüfungen jeweils im Vorfeld klar dokumentiert werden:• Zielsetzung der Datenanalyse• Beschreibung des Risikos bzw. des Ziels, gegen das bzw. für das die Analyse eingesetzt
werden soll. • Festlegung der zu analysierenden DatenAuch wenn die untersuchten Datensätze personenbeziehbar sind im Hinblick auf die Vertragspartner (Kunde, Lieferant, Mitarbeiter) und die im Unternehmen für den Geschäfts
25
vorfall und seine Verbuchung verantwortlichen Personen, stehen solche Personen nicht im Vordergrund der Auswertung – sondern lediglich die Frage, ob die zu Grunde liegenden gespeicherten Geschäftsvorfälle plausibel sind. Anders sieht es jedoch aus, wenn ein Personenkreis bezogen auf das zu untersuchende Risiko in die Analyse einbezogen werden muss (z. B. weil nur von einer bestimmten Personengruppe veranlasste Buchungen untersucht werden sollen). In allen Fällen gilt: es sollen so wenig personenbezogene Daten wie möglich und so lange wie möglich anonymisiert verwendet werden; wenn es nach dem Analysezweck möglich ist, sollte zunächst die Auswertung grundsätzlich nur anhand anonymisierter oder pseudonymisierter Daten durchgeführt werden.Im Rahmen der Möglichkeiten des jeweiligen ITSystems sollten alle Personen, die nicht Gegenstand der Untersuchung sind, „herausgefiltert“ bzw. zumindest anonymisiert oder pseudonymisiert werden. Hierbei ist zwingend zu beachten, dass nicht alle ITSysteme über die Möglichkeit verfügen, Personenkreise speziell zu selektieren bzw. auszuschließen. In diesen Fällen ist die Anonymisierung oder Pseudonymisierung umso wichtiger.• Festlegung des Verfahrens zur Datenbeschaffung• Festlegung des Verfahrens zur Datenanalyse• Festlegung des Personenkreises, der die Analysen durchführt• Bei sensiblen Auswertungen ist vorab eine besondere Unterweisung in der Vertrau
lichkeitsverpflichtung für diesen Personenkreis vorzunehmen und der Personenkreis nach § 5 BDSG ggf. unter Einbeziehung des Datenschutzbeauftragten schriftlich zu verpflichten.
• Festlegung des Verfahrens zur gesicherten Aufbewahrung der Daten, z. B. Verschlüsselung zur Vermeidung der Nutzung durch Unbefugte
• Ggf. Festlegung des Verfahrens zur Anonymisierung oder Pseudonymisierung von personenbezogenen Daten
• Festlegung eines ReportingVerfahrens zur Information über die Ergebnisse unter Berücksichtigung folgender Fragen: – Wer soll informiert werden? – Auf welche Weise soll das geschehen? – In welchem Zeitabstand soll das geschehen?
5 .3 Analyseprozess und mögliche Prüfungsergebnisse
Bei der Analyse der verdichteten Daten ist Vorsicht geboten: Die hierbei selektierten Datensätze weisen lediglich im weitesten Sinne auf Schwachstellen bzw. Abweichungen vom Regelprozess hin. Diese zunächst widersprüchlich erscheinende Aussage kann am besten anhand eines Beispiels verdeutlicht werden: Rechnungen ohne zugrunde liegende Bestellungen wie auch die Bezahlung von Rechnungen ohne nachweislichen Eingang der Lieferung bergen für sich grundsätzlich ein hohes Risiko. Mittels einer ITbasierten Analyse ist es mit geringem Aufwand möglich, die Rechnungen zu identifizieren, die nicht auf eine Bestellung referenzieren bzw. fehlende Lieferscheine nachzuweisen. Allerdings basieren bei weitem nicht alle Rechnungen oder Zahlungen auf einer Bestellung – oder präziser formuliert – können nicht auf einer Bestellung basieren, wie z. B. kommunale Abgaben und Gebühren oder Versicherungsbeiträge. Um die Aussagekraft der Ergebnisse abzusichern, ist es unabdingbar, weitere Recherchen in Form der Sichtung von Dokumenten (Verträge, Belege, Nachweise usw.) und der Durchführung von Interviews zu betreiben. Umgekehrt lautet die Schlussfolgerung, dass das konventionelle Prüfen durch Massendatenauswertungen nicht ersetzt werden kann. Entsprechende Prüfungsansätze können allerdings wesentlich effektiver und schneller zum Prüfungsziel führen.
26
Um weiterführende Informationen zur Verfügung zu stellen, finden sich im Anhang dieses Artikels umfassende praktische Beispiele. Sie sollen als Leitfaden dienen und können exemplarisch für andere Prüfungsfelder transformiert werden.Die Identifizierung von Prozessmängeln kann in diesem Zusammenhang ein Risiko aufzeigen, da im Prozess ggf. eine Schwachstelle mit negativen Auswirkungen für die geprüfte Einheit bzw. das Unternehmen besteht. Es kann sich aber auch eine Chance ergeben, indem die Datenanalyse Möglichkeiten zur Prozessoptimierung im Sinne von Effektivitäts oder Effizienzsteigerungen und Präventionsmöglichkeiten aufzeigt.Allgemein können Prüfungsergebnisse in folgender Weise klassifiziert werden:Es können keine Regelverstöße festgestellt werden.Festgestellte Regelverstöße sind erklärbar. So entpuppt sich z. B. eine Rechnung ohne Bestellung als Zahlungsaufforderung einer Kommune, die systemseitig nicht anders dargestellt werden kann. Das Vorgehen war unternehmensintern abgestimmt und stellt im eigentlichen Sinne keinen Verstoß gegen eine Richtlinie dar.Festgestellte Regelverstöße sind flächendeckend, so dass ein organisatorisches Problem bzw. Missmanagement vermutet werden muss. Dies ist der Fall, wenn z. B. so gut wie keine Rechnung einer Bestellung zuzuordnen ist. Die Ursache des Problems ist struktureller Natur und möglicherweise in der Führungsebene zu suchen.Zu beachten ist hier in Bezug auf ITPrüfungshandlungen, dass ein 4AugenPrinzip eventuell aufgrund personeller Ausstattungsbedingungen nicht immer möglich ist und sich dies risikoerhöhend auswirken kann.Die Regelverstöße sind nicht erklärbar. Analysen ergeben, dass Auffälligkeiten festzustellen sind. So werden regelmäßig werthaltige kostenlose Warenlieferungen an einen Kunden in einem kritischen Land durchgeführt. Diese Auffälligkeit muss durch die Interne Revision weiter analysiert und ggf. in Form einer Sonderprüfung aufgearbeitet werden.Regelverstöße wurden festgestellt. Konkrete Regelverstöße wurden festgestellt und erfordern eine spezielle Sonderprüfung seitens der Revision, die dann je nach dem gegen die Regel verstoßenden Personenkreis unter Einbindung einer existierenden ComplianceOrganisation, der Rechtsabteilung, des Datenschutzbeauftragten und/oder des Betriebsrates durchgeführt wird. Unter diesen Voraussetzungen kann dann auch die weitere fallbezogene Auswertung von personenbezogenen Daten möglich sein.
27
6 FazitAnalysen der unternehmerischen Geschäftsdaten gehören seit je her zu den Kernaufgaben der Internen Revision und sind unter Beachtung des Datenschutzes in aller Regel unbedenklich. Allen an diesen Vorgängen Beteiligten ist bekannt, dass in jedem Unternehmen entsprechende Kontrollen (sog. Vorgangsüberwachung) zum Schutz des Unternehmens durchgeführt werden.Die Nutzung von umfangreichen Datenanalysen ist eine sinnvolle und im Hinblick auf die Kontrollvorschriften für Unternehmen (BilMoG, Basel II etc.) eine notwendige Ergänzung der Revisionsarbeit. Beispielsweise verlangt das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) / § 91 (2) des AktG ein existierendes, unternehmensweites Risikofrüherkennungssystem.Darüber hinaus kann durch klare Regelungen und eine weitgehende Transparenz im Unternehmen sichergestellt werden, dass die betreffenden Verfahren über den Anwendungsbereich im Rechnungswesen hinaus auch in anderen Bereichen eingesetzt werden können. Im Hinblick auf die aktuelle Rechtsprechung des Bundesverfassungsgerichts sollte das Analyseergebnis möglichst wenige Daten enthalten, anhand der konkrete Personen direkt identifizierbar sind. Falls dies nicht möglich ist, sind Daten zu verwenden, die erst über zusätzliche, nicht allgemein verfügbare Referenztabellen einer Person zugeordnet werden können (Anonymisierung/Pseudonymisierung).Um die Einhaltung der gesetzlichen Bestimmungen und innerbetrieblichen Regelungen sicher zu stellen, sind bei der Verwendung von Mitarbeiterdaten der Datenschutzbeauftragte und, soweit auch Arbeitnehmer betroffen sind, Personalabteilung und Betriebsrat frühzeitig einzubeziehen. Aus Datenschutzsicht ist eine ausreichende Dokumentation der Zielsetzung der Analyse und zur Verwendung und Löschung der hierzu bereitgestellten personenbezogenen Daten unverzichtbar.Wir verweisen an dieser Stelle auch nochmals auf die „Handlungsempfehlungen beim Datenabgleich zur Aufdeckung wirtschaftskrimineller Handlungen durch die Interne Revision“3 .
3 Hampel, Volker: Handlungsempfehlungen beim Datenabgleich zur Aufdeckung wirtschaftskrimineller Handlungen durch die Interne Revision. In: Zeitschrift Interne Revision, 3/2009, S. 99102.
29
AnhangA .1 Vorgehensweise bei der Massendatenanalyse
A .1 .1 Aufbau eines ProzessverständnissesEine wesentliche Voraussetzung für eine erfolgreiche Bewertung von Ergebnissen aus der Analyse umfangreicher Datenbestände sind spezifische Kenntnisse der zugrunde liegenden Prozesse und der zugehörigen Datenstrukturen. Diese Analysen können nicht aus dem betriebswirtschaftlichen Zusammenhang gerissen werden, sondern sind kontextabhängig. Um den Kontext zu verstehen, muss der Prüfer wissen, wie z. B. die Kreditorenbuchhaltung organisiert ist, welche Prozesse dort implementiert sind und wie die Daten aufgebaut sind, die ausgewertet werden sollen. Um die Analysen vorzubereiten, empfiehlt es sich, in folgenden Stufen vorzugehen:
Stufe 1:Zunächst gilt es, den zugrunde liegenden angewandten Prozess zu verstehen. Im Folgenden sind – am Beispiel des Einkaufsprozesses – einige grundlegende Fragen angeführt, die zunächst unabhängig von einer späteren Massendatenanalyse gesehen werden können. Sie sind an Fragen eines konventionellen Prüferhandbuchs orientiert und über den Aufbau eines Prozessverständnisses zu klären:• Erfolgt der Einkauf nach festgelegten Regeln?• Existiert eine Einkaufsrichtlinie?• Wie wird der Einkaufsprozess durchgeführt?• Wer ist daran mit welchen Befugnissen beteiligt?• Welche Dokumentationen sieht der Prozess vor?• Wie erfolgt die Stammdatenanlage?• Wie erfolgt die Wareneingangskontrolle?• Wie sind die Zuständigkeiten geregelt?• Wie wird die Leistungserbringung bei materiellen und immateriellen Gütern nach
gewiesen?• Wie funktioniert die Rechnungsprüfung?• Wie sind Strukturen und Prozesse der Kreditorenbuchhaltung definiert?
Stufe 2:Nachdem ein grundlegendes Prozessverständnis erarbeitet wurde, kommen revisionsspezifische Fragestellungen ins Spiel, die aus der Kernfrage: „Ist das IKS wirksam installiert?“ (Ordnungsmäßigkeit) ableitbar sind:• Wie funktionieren die Prozesse in der Regel?• Wie kann der Regelprozess umgangen werden?• Welche Risiken beinhaltet der Prozess? • Reichen vorhandene Kontrollen aus, um den Risiken zu begegnen?• Wird auch das Management in Kontrollen einbezogen?• Wie werden Kontrollen dokumentiert?• Gibt es ein VierAugenPrinzip/ Ist eine Funktionstrennung installiert?
Stufe 3:Die Fragestellungen der zweiten Stufe sind in Richtung Prüfung umfangreicher Datenbestände weiter zu entwickeln und dienen der direkten Vorbereitung auf die eigentliche nachfolgende Datenanalyse:Im Zuge eines zielgerichteten Verständnisses über das Einsatzgebiet und die Vorgehensweise bei der revisionsspezifischen Datenanalyse folgen einige Beispiele.
30
A .1 .2 Die Datenanalyse anhand von drei BeispielenMit der Massendatenanalyse wird häufig das Ziel verfolgt, den kompletten Datenbestand in eine Analyse einzubeziehen. Klar abzugrenzen ist hierbei der Begriff der Vollprüfung, da z. B. bei einer Analyse, die 25 Mio. Datensätze umfasst, nicht jeder Beleg und jede Transaktion einer Prüfung unterzogen werden können. Die Begriffe „Massendatenanalyse“ und „Vollprüfung“ sind also keinesfalls gleichbedeutend.Ausgangslage des Analyseprozesses ist immer mindestens eine konkrete Fragestellung, unter deren Blickwinkel der Datenbestand analysiert werden soll. Diese Fragestellung kann durch weitere risikoorientierte Fragestellungen ergänzt werden. Hier erlangen RevisionsKnowHow und Revisionserfahrung in Form analytischer Fragestellungen eine entscheidende Bedeutung, da es um die Identifikation risikoreicher Geschäftsvorfälle, Belege, Transaktionen, etc. geht. Ein wesentlicher Effekt des Vorgehens liegt dabei in einer erheblichen Reduktion des Datenvolumens, da die DatenGrundmenge um nicht risikorele vante Geschäftsvorfälle reduziert werden soll.Die identifizierten, risikorelevanten Belege werden in der Folge einer ‚normalen’ Revisionsprüfung unterzogen. Dieses Vorgehen wird anschließend anhand der Beispiele „Identifikation von Scheinlieferanten“, „Rechnungen ohne Bestellungen“ und „kostenlose Lieferungen“ erläutert. Die Ergebnisse der Analysen werden dabei immer bezogen auf die sogenannten „Top Ten“ – also die risikoreichsten Transaktionen und Geschäftsvorfälle – in Form einer Matrix dargestellt.
A .1 .2 .1 Beispiel 1: Identifikation von ScheinlieferantenWir betreiben ein Unternehmen, bei dem pro Jahr Rechnungen von 100.000 Lieferanten in der Kreditorenbuchhaltung verarbeitet werden. Da sowohl in den involvierten Fachabteilungen, Einkauf und Buchhaltung verschiedene Mitarbeiter mit den unterschiedlichsten Verantwortlichkeiten und Kompetenzen am Prozess beteiligt sind, besteht ggf. das Risiko der Existenz sog. „Scheinlieferanten“. Darunter werden Lieferanten subsumiert, die keine tatsächlichen Leistungen – also lediglich Scheinleistungen – erbringen und dennoch fakturieren. Das Unternehmen leistet daraufhin entsprechende Zahlungen und erleidet einen Vermögensschaden. Um das inhaltliche Ziel der Analyse festzulegen, sollte eine Kernfrage formuliert werden, die in diesem Beispiel lautet:
Wie können „gute“ Lieferanten von Scheinlieferanten unterschieden werden?Die Fragestellung wird vom Prüfungsteam in mehrere Teilaspekte gegliedert. Hieraus entstehen Fragestellungen, die danach auf den Datenbestand angewendet werden. Die Fragestellungen werden im Folgenden kurz erläutert:
Frage 1: Welche Lieferanten haben ihren Umsatz in den letzten Jahren zumindest verdoppelt?Diese Fragestellung ist nicht rein analytisch, sondern rührt aus einer empirischen Erfahrung her. Verschiedene Vorfälle der jüngsten Vergangenheit haben gezeigt, dass die Fakturierung von Scheinleistungen in vielen Fällen mit bestimmten quantitativen Mustern einhergeht, wie z. B. der Entwicklung der Scheinumsätze.
Frage 2: Bei welchen Lieferanten findet die Buchung des kompletten Umsatzes in der ersten Buchungsperiode, also dem ersten Monat, statt?Ggf. werden die dolosen Aktivitäten zeitlich gebündelt, um so das vermeintliche Entdeckungsrisiko zu minimieren.
Frage 3: Bei welchen Lieferanten wurden die Bankverbindungen häufig geändert?Ggf. werden Bankverbindungen bestehender Lieferanten kurzfristig geändert und danach wieder in den ursprünglichen Zustand zurück versetzt, um nicht ordnungsgemäße
Abbildung 3: Identifikation von Scheinlieferanten – risikoorientierte Fragestellungen
31
Überweisungen zu tätigen. Dies erfordert die Protokollierung von Stammdatenänderungen.
Frage 4: Bei welchen Lieferanten fehlen die Bankverbindungen in den Stamm-daten? Ggf. werden hier Zahlungen immer manuell erzeugt.
Frage 5: Bei welchen Lieferanten wurde der Umsatz komplett innerhalb der ersten 30 Tage nach Anlage des Lieferantenstammsatzes gebucht?Grundsätzlich kann davon ausgegangen werden, dass erst nach Anlage des Stammsatzes das Verfahren der Bestellung, der Lieferung der bestellten Güter und Dienstleistungen und das Verfahren der Rechnungserstellung durchgeführt werden kann. Frühe, vollständige Umsatzbuchungen (innerhalb der ersten 30 Tage nach Stammsatzanlage) sind auffällig und weiter kritisch zu hinterfragen.
Frage 6: Bei welchen Lieferanten finden manuelle Buchungen (im Gegensatz zu automatischen Buchungen) statt?Bei manuellen Buchungen greift noch ein Buchhalter in den Prozess ein. Je nach Umfang seiner Berechtigungen im Buchhaltungssystem können dort ggf. noch Änderungen an den Bankverbindungen vorgenommen werden. Daraus ergibt sich ein Risiko, so dass der Prozess der „manuellen Zahlungen“ überprüft werden sollte.
Frage 7: Bei welchen Lieferanten finden sich häufig runde Beträge in den Rechnungen?In der einschlägigen Literatur zur Datenanalyse wird auf die Problematik von runden Rechnungsbeträgen und dem damit verbundenen Risiko von potentiellen dolosen Handlungen (Scheinrechnungen, etc.) hingewiesen. Dementsprechend sollte dieses Kriterium im Zuge der Prüfung mittels Datenanalyse berücksichtigt werden.
Frage 8: Welche Lieferanten werden über CpD-Konten (Conto pro Diverse) abgerechnet?Grundsätzlich sind über CpDKonten nur Buchungen für Kreditoren abzuwickeln, die nur ein oder maximal zweimal pro Jahr Zahlungen erhalten (z. B. Begleichung von Unfallschäden). Zudem ist bei CpDKonten meist unternehmensintern eine Zahlungsobergrenze von z. B. 500,00 € vorgeschrieben, bis zu der eine Abrechnung über diesen Kontentyp erfolgen darf. Darüber hinaus ist die monatliche Abstimmung der offenen Posten auf den CpDKonten die Regel.Bei dieser Art der Buchung liegen keine Stammdaten zugrunde, d. h., alle notwendigen Eingaben ins Buchhaltungssystem (Name, Zahlbetrag, Bankverbindung usw.) werden vom Buchhaltungsmitarbeiter vorgenommen. Hier besteht das Risiko von fehlerhaften Eingaben oder auch von Manipulationen.
Frage 9: Existieren Rechnungsbuchungen und -zahlungen ohne Bestellbezug?Bei Rechnungen, die keinen Bestellbezug haben, ist eine Kontrolle der empfangenen Lieferungen oder Leistungen nicht oder nur erschwert möglich. Daher ist das Risiko der Nichtlieferung bzw. Nichtleistung besonders groß.
Frage 10: Wurde ein Umsatz von mehr als 50 .000,00 € im ersten Geschäftsjahr getätigt?Mittels dieser Wertgröße wird eine frei wählbare Wertgrenze eingezogen, um bei der Vielzahl der Lieferanten nur die größten Lieferanten in die Auswertung einzubeziehen (Wesentlichkeitsaspekt). Diese Grenze muss jedoch pro Unternehmen individuell festgelegt werden.
32
Mit weiteren Fragen könnte bspw. ergründet werden, ob bei Outsourcingverträgen die zu erbringende Leistung überhaupt nachweislich erbracht werden. Letztlich sollten bei Rechnungen, die die Leistungen aus Outsourcing honorieren, explizite Kontrollen vorgesehen sein und durchgeführt werden. Dabei muss gewährleistet sein, dass die empfangenen Leistungen zeitnah kontrolliert und die Risiken der Zahlungen für nicht erbrachte Leistungen minimiert werden.
In der folgenden Abbildung ist beispielhaft der zehn Lieferanten umfassende Ausschnitt einer insgesamt 100 kritische Lieferantennummern enthaltenen Ergebnismatrix abge bildet, in der die horizontale Achse die verschiedenen Lieferantennummern enthält und auf der vertikalen Achse die einzelnen Fragestellungen abgetragen sind. Auf der rechten Seite ist eine zusätzliche Summenspalte pro Lieferant abgetragen, die die jeweiligen Übereinstimmungen mit den zehn Fragen anzeigt.Bei zehn Fragestellungen zu einem Risiko sind somit maximal zehn Übereinstimmungen möglich. Die Lieferantennummer 7008765 weist die meisten Risikoindikatorausschläge – acht von zehn möglichen – auf. Um dieses Vorgehen nicht unnötig zu verkomplizieren, wird auf eine Gewichtung der Fragen verzichtet, so dass
jeder Fragestellung das gleiche Gewicht beigemessen wird.Im Ergebnis erhält man in diesem Analysestadium eine Ergebnismenge an Datensätzen – in unserem Beispielfall 100 –, die aufgrund ihrer Anzahl geeignet ist, im Rahmen von Einzelprüfungen im Detail auf ihre Ordnungsmäßigkeit untersucht zu werden.
A .1 .2 .2 Beispiel 2: Rechnung ohne BestellungenWir betreiben ein Unternehmen, bei dem pro Jahr 100.000 Eingangsrechnungen in der Kreditorenbuchhaltung verarbeitet werden. Rechnungen ohne Bestellungen stellen ein besonderes Risiko dar, da aufgrund der fehlenden Bestellung eine wichtige Referenz für die sachliche Rechnungsprüfung und die preisliche Anerkennung fehlt. Hier entsteht insbesondere das Risiko von Scheinleistungen, da nicht dokumentiert ist, was tatsächlich bestellt wurde. Dieses Risiko ist bei materiellen Lieferungen noch eingrenzbarer, da hier physische Wareneingänge feststellbar sind. Ungleich größer ist das Risiko bei immateriellen Dienstleistungen, da hier der Nachweis schwieriger zu führen ist. Aus diesem Grund stellen Rechnungen ohne Bestellungen ein großes Risiko dar, da sie zu wirtschaftlichen Nachteilen und Vermögensverlusten führen können.Bezogen auf das Thema der ITgestützten Prüfung ist es nun die Aufgabe des Prüfers, die für die Analyse notwendigen Tabellen und Tabellenfelder im Buchhaltungssystem zu identifizieren und ggf. in Zusammenarbeit mit der Administration und ITAbteilung für die Bereitstellung der Daten zu sorgen. Bezogen auf die Fragestellung sind also hier sowohl kreditorische Buchhaltungsdaten aus dem Finanz und Rechnungswesen als auch Stamm und Bewegungsdaten aus dem Bereich der Warenwirtschaft zur Verfügung zu stellen. Ist das Datenmaterial beschafft, kann es mittels geeigneter Softwareanwendungen analysiert werden.Nach Identifikation und Bereitstellung der Daten gilt es nun, die risikoorientierten Fragestellungen zu generieren. In diesem Schritt fließen das KnowHow und die Erfahrungen der Revision in Form von Filtern, Ausschlusskriterien oder komplexeren Abfragen in den Prozess mit ein. Um das inhaltliche Ziel der Analyse festzulegen, sollte dieses in Form einer Kernfrage gefasst werden. In diesem Fall lautet die Kernfrage:
Wie können risikobehaftete Rechnungen ohne Bestellungen in risikoreichere bzw . risikoärmere kategorisiert werden?Um diese Kernfragestellung zu beantworten, muss sie in verschiedene risikoorientierte Fragestellungen aufgeteilt werden, die dann auf die Datenbestände angewendet werden können. Als Ergebnis entsteht aus einer hohen Anzahl eine reduzierte Anzahl von Datensätzen, die danach effizient bearbeitet werden können. Im Rahmen eines Brainstormings leitet das Prüferteam bspw. folgende zehn spezifische Risikoaspekte ab:
Abbildung 4: Identifikation von Scheinlieferanten – Ergebnismatrix
33
Die Risiken werden in Prüfungsfragen umgesetzt und analytisch auf alle 100.000 Rechnungen angewendet:
Frage 1: Wie viele Rechnungen ohne Bestellungen (keine Bestellung vor dem Rechnungsdatum) liegen vor?Durch diese Fragestellung findet eine erste wesentliche Reduktion der Datenmenge statt, da der weit überwiegende Teil der Rechnungen auf Bestellungen beruhen sollte. Da die verbleibenden Rechnungen aber zunächst vermutlich dennoch keiner Einzel prüfung unterzogen werden können, finden weitere Fragen Anwendung auf die Datenbestände.
Frage 2: Wie viele Rechnungen ohne Bestellungen (mit Bestellung nach dem Rechnungsdatum) liegen vor?Hiermit sollen die Rechnungen ermittelt werden, bei denen eventuell eine Bestellung „nachgereicht“ wurde. Diese erscheinen dann zumindest vordergründig formal korrekt.
Frage 3: Welche Rechnungen ohne Bestellungen wurden über CpD-Konten (Conto pro Diverse) abgerechnet?Die nichtbestimmungsgemäße Nutzung von CpDKonten erhöht die Intransparenz ausgehender Zahlungen erheblich.
Frage 4: Welche Rechnungen ohne Bestellungen wurden über manuelle Zahlungen abgewickelt?Diese Form der Zahlungsabwicklung ist in Abgrenzung zu automatischen Zahlläufen zu betrachten. Manuelle Zahlungen setzen in der Regel eine besondere Dringlichkeit voraus.
Frage 5: Welche Rechnungsbeträge von Rechnungen ohne Bestellungen weisen runde Beträge auf?Empirisch gesehen sind runde Beträge überproportional häufig von Unregelmäßigkeiten betroffen.
Frage 6: Welche Rechnungen ohne Bestellungen haben einen Rechnungsempfänger in einem sog . kritischen Land? Dazu können „OffShoreZentren“ zählen, aber auch Staaten, die terroristische Organisationen unterstützen.
Frage 7: Welche Rechnungen ohne Bestellungen wurden innerhalb von 24 Stunden nach ihrer Einbuchung beglichen?Da die standardmäßigen, systemseitigen und manuellen Prüfroutinen mehrere Arbeitstage benötigen, stellt ein Begleichung einer Rechnung innerhalb eines Tages eine risikobehaftete Auffälligkeit dar.
Frage 8: Bei welchen Rechnungen ohne Bestellungen liegt der Rechnungsbetrag zwischen 0,1 und 1,0 % unter der Freigabegrenze?Diese Frage stellt auf Häufungen knapp unterhalb der unternehmensintern festgelegten Freigabegrenze ab.
Frage 9: Bei welchen Rechnungen ohne Bestellungen fand die erste Begleichung innerhalb von fünf Werktagen nach Anlage des kreditorischen Stammsatzes statt?Das in der Unternehmensrichtlinie vorgesehene Prozedere hinsichtlich der Neuanlage und Freigabe von Kreditoren dauert häufig länger – bspw. zehn Werktage – so dass eine signifikante Abweichung nach unten eine Auffälligkeit darstellt.
Abbildung 5: Rechnungen ohne Bestellungen – risikoorientierte Fragestellungen
34
Frage 10: Wie viele Rechnungen ohne Bestellungen wurden mit unsicheren Zahlungsmitteln wie z . B . einem Scheck beglichen?Hiermit soll auch das Risiko des Zahlweges in die Betrachtung miteinbezogen werden.Überführt man die Einzelergebnisse in die Form einer Matrix, kann einfach festgestellt werden, bei welcher Rechnung ohne Bestellung die meisten Kriterien erfüllt werden. In der folgenden Ergebnismatrix sind von insgesamt 100 als sehr kritisch einzustufenden Rechnungen die „Top Ten“ aufgeführt. Als sehr kritisch werden bspw. solche Rechnungen ohne Bestellungen eingestuft, bei denen in Summe fünf oder mehr Kriterien zutreffen. Bei zehn Fragestellungen zu dem Risiko „Rechnungen ohne Bestellungen“ sind
somit maximal zehn Übereinstimmungen möglich. Im Bespiel treffen bei zwei Bestellungen bei sämtlichen zehn Fragen die Kriterien zu. Aus Gründen der Vereinfachung wird jede Frage gleichgewichtig in der Matrix berücksichtigt.
A .1 .2 .3 Beispiel 3: Kostenlose LieferungenWir betreiben ein Unternehmen, das pro Jahr 100.000 Warenlieferungen an Kunden durchführt. Kostenlose Lieferungen stellen ein zunächst grundsätzlich vermögensschädigendes Risiko dar, da das Rückgängigmachen einer fehlerhaften kostenlosen Lieferung in der Realität in der Regel schwierig ist. Legitime kostenlose Lieferungen können kostenlose Warenproben und Muster sein; auch die Versorgung von Vertriebsmitarbeitern mit Werbematerialien. Eine kostenlose Lieferung kann beispielsweise auch dann erfolgen, wenn z. B. eine mangelhafte Warenlieferung durch eine einwandfreie Lieferung ersetzt wird. Das Problem kostenloser Lieferungen verdient besondere Beachtung, wenn bspw. das eingesetzte Finanzbuchhaltungssystem die Möglichkeit bietet, Preise bzw. Ausgangsrechnungen manuell zu ändern.Neben Identifikation und Bereitstellung der Daten gilt es, die risikoorientierten Fragestellungen zu generieren. In diesem Schritt fließen das KnowHow und die Erfahrungen der Revision in Form von Filtern, Ausschlusskriterien oder komplexeren Abfragen in den Prozess mit ein. Um das inhaltliche Ziel der Analyse festzulegen, sollte dieses in Form einer Kernfrage gefasst werden. In diesem Fall lautet die Kernfrage:
Wie können risikobehaftete kostenlose Lieferungen von weniger risiko-behafteten unterschieden werden?Um die Kernfragestellung zu beantworten, muss die Frage in verschiedene risikoorientierte Fragestellungen aufgeteilt werden, die danach auf die Datenbestände angewendet werden können. Als Ergebnis entsteht aus einer hohen Anzahl eine reduzierte Anzahl von Datensätzen, die danach effizient bearbeitet werden können. Im Rahmen eines Brainstormings leitet das Prüferteam bspw. folgende zehn spezifische Risikoaspekte ab:Die Risiken werden in Prüfungsfragen umgesetzt und analytisch auf alle 100.000 Lieferungen angewandt:
Frage 1: Welche Lieferungen erfolgten zum Nullwert?Durch diese Fragestellung werden die Rechnungen in zwei Gruppen geteilt. Die nachfolgenden Fragen dienen der weiteren risikoorientierten Betrachtung der Lieferungen zum Nullwert. Aus Gründen der Vereinfachung werden Positionen einer Rechnung, die zum Nullwert abgerechnet werden, nicht berücksichtigt, sondern nur ganze Rechnungen.
Frage 2: Bei wie vielen Rechnungen liegt der Wert der nicht fakturierten Waren bei mehr als 3% des Gesamtumsatzvolumens?Die Festlegung der Betrachtungsgrenze von 3 % ist willkürlich und dient der Trennung von materiellen von weniger materiellen Geschäftsvorfällen.
Abbildung 7: Kostenlose Lieferungen – risikoorientierte Fragestellungen
Abbildung 6: Rechnungen ohne Bestellungen – Ergebnismatrix
35
Frage 3: Können bei den Kunden, bei denen die beiden vorhergehenden Fragen positiv beantwortet werden konnten, Zinsverluste aufgrund der Überschreitung des Zahlungsziels festgestellt werden?Diese Frage zielt darauf, ob neben Warenlieferungen zum Nullwert noch weitere außerplanmäßige Erlösschmälerungen zu verzeichnen sind.
Frage 4: Können Skontoverluste festgestellt werden?Ähnlich wie bei Frage 3 wird hier festgestellt, ob sich durch das Zahlverhalten des Kunden weitere wirtschaftliche Nachteile ergeben haben.
Frage 5: Hat der Kunde Gutschriften erhalten?Diese Fragestellung soll in Ergänzung zu Erlösschmälerungen – wie z. B. Rabatte oder Boni auf der debitorischen Seite – auch kreditorische Aktivitäten in das Gesamtbild mit einbeziehen.
Frage 6: Wurden dem Kunden mehr Boni gezahlt als vorgesehen? Mit dieser Fragestellung soll analysiert werden, ob planmäßige Erlösschmälerungen wie z. B. Boni vereinbarungsgemäß durchgeführt wurden.
Frage 7: War der wertmäßige Anteil retournierter Ware > 4 % des Gesamt-umsatzvolumens?Hiermit sind in Abgrenzung zu Rückgaben aufgrund von Mängeln Waren gemeint, die sich in einwandfreiem Zustand befanden.
Frage 8: Ist der Kunde im System gesperrt?Fanden kostenlose Lieferungen statt, obwohl der Kunde systemseitig gesperrt ist?
Frage 9: Wurde gegen den Kunden bereits ein Mahnverfahren eingeleitet?Fanden kostenlose Lieferungen statt, obwohl systemseitig bereits automatisch ein Mahnverfahren veranlasst wurde?
Frage 10: Wurden zweifelhafte Forderungen bereits wertberichtigt?Hier soll festgestellt werden, wie werthaltig bestehende oder ehemalige Forderungen tatsächlich des betreffenden Kunden tatsächlich sind.Auch hier werden die Einzelergebnisse in Form einer Matrix abgebildet, um einen ersten Überblick zu bekommen, wo möglicherweise risikoreiche Kundenbeziehungen vorliegen. In der folgenden Ergebnismatrix sind von insgesamt 100 als sehr kritisch einzustufenden kostenlosen Lieferungen die risikobehafteten „Top Ten“ aufgeführt: Abschließend werden die wichtigsten Merkmale von Massendatenauswertungen zusammengefasst.
A .1 .3 Zusammenfassung der ErgebnisseRückblickend kann der Effekt, der durch die Massendatenauswertung erzielt wurde, schematisch folgendermaßen dargestellt werden:Die Basisdatenmenge, die Grundlage der Analyse war, bestand aus 100.000 Lieferanten, Rechnungen und Ausgangslieferungen. Durch risikoorientierte Analysen konnte eine signifikante Datenreduktion durch risikoorientierte Fragestellungen erreicht werden, so dass im Ergebnis 100 Lieferanten, Rechnungen ohne Bestellungen und Ausgangslieferungen identifiziert wurden, die ein erhebliches Risiko in sich bergen. An dieser Stelle kann die Massendatenprüfung als abgeschlossen betrachtet werden. Im Folgenden finden konventionelle, von Datenanalysen unberührte Prüfschritte statt, wie z. B.
Abbildung 8: Kostenlose Lieferungen – Ergebnismatrix
Abbildung 9: Datenreduktion durch Massendatenauswertungen
36
• dem Sichten von Vertragsunterlagen und Dokumenten,• dem Führen von Interviews und• der Erstellung von Wirtschaftlichkeitsbetrachtungen usw.Abschließend ist festzustellen, dass die ITgestützte Analyse umfangreicher Datenbestände eine sehr effiziente Möglichkeit bietet, kritische Transaktionen und Geschäftsvorfälle zu identifizieren. Ob diese Transaktionen und Geschäftsvorfälle tatsächlich gegen Prinzipien der Ordnungsmäßigkeit verstoßen, das Ergebnis von Missmanagement sind, etc. kann nur durch konventionelle Prüfungsmethoden in Form von Aktensichtung, Vertragsanalyse und Interviews festgestellt werden. Massendatenanalysen können nicht nur zum Zweck der Prüfungsunterstützung eingesetzt werden, sondern auch für Planungsaufgaben. Somit kann mittels der Auswertungen auch die Effektivität der Revisionstätigkeit gesteigert werden; dies wird im Folgenden verdeutlicht. Das obige Beispiel hat als Bezugsrahmen ein einziges Unternehmen. Ist das Unternehmen z. B. in einem Konzernverbund von fünf Unternehmen tätig, könnte man die Unternehmen zumindest hinsichtlich einer Fragestellung bzw. Merkmalsausprägung miteinander vergleichen. Bei Anwendung am Beispiel der Fragestellung „Wie groß ist das prozentuale Volumen von Rechnungen ohne Bestellungen?“ ist folgendes Ergebnis denkbar:
Unternehmen 1: 12 % Unternehmen 2: 34 % Unternehmen 3: 1 % Unternehmen 4: 76 % Unternehmen 5: 7 %
Unterstellt man, dass alle Unternehmen das gleiche Beschaffungsvolumen haben, kann anhand der Verhältniszahl auch das Unternehmen ausgewählt werden, welches diesbezüglich mit dem größten potenziellen Risiko belastet ist. Im obigen Beispiel wäre dies Unternehmen 4 mit einem Anteil von 76 %. Folglich kann die Analyse auch eingesetzt werden, um gezielt das „richtige“ Untersuchungsobjekt, also die Gesellschaft mit dem höchsten Risikopotenzial auszuwählen und nachfolgend tiefer gehend zu überprüfen. Insofern wird eine Effektivitätssteigerung im Zuge des zu verfolgenden risikoorientierten Prüfungsansatzes erzielt.
A .2 Optimierung der Datenanalyse durch „Data Mining“
Die Analysequalität von umfangreichen Datenbeständen lässt sich erhöhen, indem der oben gewählte Ansatz durch eine weitere Methodik ergänzt wird. Wenn die zu analysierenden Datensätze in einer um den Personenbezug bereinigten Form vorliegen, bietet sich hier z. B. das Data Mining an. Darunter wird der „Prozess des Entdeckens bedeutsamer neuer Zusammenhänge, Muster und Trends durch die Analyse großer Datensätze mittels Mustererkennung sowie statistischer und mathematischer Verfahren“ (Eric Brethenoux, Gartner Group) verstanden.Mustererkennung ist die Fähigkeit, in einer Menge von Daten • Regelmäßigkeiten,• Wiederholungen,• Ähnlichkeiten oder• Gesetzmäßigkeitenzu erkennen.Werden Muster festgestellt, die im Zusammenhang mit dem zu untersuchenden Risiko Bedeutung haben, können die betreffenden Datensätze gekennzeichnet werden. Um solche Vorgänge anschließend mittels konventioneller Prüfungsmethoden auf ihre
37
Ordnungsmäßigkeit hin kritisch zu hinterfragen, ist es notwendig, den Personenbezug herzustellen. Im Falle der Kreditorenüberprüfung besteht nun die Gelegenheit, neben den im Unternehmen verfügbaren unternehmenseigenen Datenquellen (z. B. Stammdaten des Kreditors, Ausschreibungsunterlagen, Umsatzdaten) auch unternehmensfremde Daten in die Analysen mit einzubeziehen wie z. B. Handelsregisterdaten, Adressdaten von einer Telefon und AdressbuchCD eines externen Anbieters, Daten des Internetauftritts etc. Werden diese verschiedenen Datenquellen miteinander kombiniert, können die Erkenntnisse der Datenanalyse erweitert werden und die Ergebnisse von revisorischen Frage stellungen hinsichtlich ihrer Aussagekraft weiter optimiert werden. So kann auch die Frage interessant sein, wenn unterschiedliche Lieferanten die gleiche Adresse haben.Wir bleiben bei unseren o. a. Beispiel und unterstellen ein Unternehmen mit 100.000 Lieferanten unterschiedlicher Größe, bezogen auf unterschiedliche Geschäftsfelder. Uns beschäftigt weiterhin die Frage nach der Existenz von sogenannten„Scheinliefe ranten“. Unterstellt man, dass es für „Scheinlieferanten“ wenig wahrscheinlich ist, dass diese im Handelsregister verzeichnet sind, folgt daraus der Schritt, dass man die Kreditorenstammdaten mit den Daten der Handelsregister abgleicht. Es fallen diejenigen Liefe ranten aus der weiteren Analyse heraus, die im Handelsregister eingetragen sind. Je nach Lieferantenstruktur der eigenen Gesellschaft lassen sich ggf. weitere externe Datenquellen erschließen, deren Nutzung dazu führen kann, die im Zuge der Einzelfallprüfung zu untersuchenden Lieferanten weiter einzugrenzen.
Abbildung 10: Datenquellen für Data Mining
Abbildung 11: Datenquellen für Data Mining
38
Die Aufgaben und Ziele des DIIRAls gemeinnützige Organisation vertritt das DIIR – Deutsches Institut für Interne Revision e.V. mit Sitz in Frankfurt/Main die Interessen der Revisoren. Hauptanliegen ist der ständige nationale und internationale Erfahrungsaustausch und die Weiterentwicklung in allen Bereichen der Internen Revision. Heute zählt das Institut über 2.000 Firmen und Einzelmitglieder aus Wirtschaft, Wissenschaft und Verwaltung. Es unterstützt die in der Internen Revision tätigen Fach bzw. Führungskräfte mit der Bereitstellung von Fachinformationen. Weitere Ziele und Aufgaben sind die wissenschaftliche Forschung sowie vor allem die Entwicklung von Grundsätzen und Methoden der Revision.
Das DIIR in Zahlen• Gegründet 1958• Ca. 2.200 Mitglieder• 26 Arbeitskreise und mehr als ein Dutzend (branchenspezifische) Erfahrungs
austauschtage pro Jahr• Mehr als 160 Seminare, Tagungen und sonstige Weiterbildungsveranstaltungen
über die DIIRAkademie
Nähere Informationen: DIIR e. V. · Ohmstraße 59 · 60486 Frankfurt am Main · Tel.: (069) 71 37 690 · Fax: (069) 71 37 6969 · Internet: www.diir.de
Die Aufgaben und Ziele der GDDDie GDD tritt als gemeinnütziger Verein für einen sinnvollen, vertretbaren und technisch realisierbaren Datenschutz ein. Sie verfolgt das Ziel, die Daten verarbeitenden Stellen – insbesondere auch deren Datenschutzbeauftragte – bei der Umsetzung der vielfältigen mit Datenschutz und Datensicherung verbundenen rechtlichen, technischen und organisatorischen Anforderungen zu unterstützen. Die GDD wird getragen von mehr als 2.100 Unternehmen, Behörden und persönlichen Mitgliedern. Sie stellt damit die größte Vereinigung ihrer Art und zugleich einen der größten Verbände in der Informations und Kommunikationsbranche in Deutschland dar.
Die GDD in Zahlen• Gegründet 1977 – über 30 Jahre DatenschutzKompetenz• Mehr als 2.100 Mitglieder• Bundesweit 27 Erfahrungsaustauschkreise mit insgesamt mehr als 3.000 Teilnehmern• Ausbildung von mehr als 15.000 Datenschutzverantwortlichen
in der GDDDatenschutzAkademie
Nähere Informationen: GDD e.V. · Pariser Str. 37 · 53117 Bonn Tel.: (0228) 69 4313 · Fax: (0228) 69 56 38 · Internet: www.gdd.de
Ohmstraße 5960486 Frankfurt am MainTelefon: (069) 71 37 690Telefax: (069) 71 37 69[email protected]