8
Der risikoorientierte Prüfungsansatz steht gerade bei der Prüfung gesetzeswidriger Sachverhalte im Spannungsfeld zwischen einer idealen Vollprüfung und einer möglichst ökonomischen Aufarbeitung von Sachverhalten. Ein Gesetzesverstoß ist in der Regel nicht an die Intensität des Gesetzesbruchs geknüpft, so dass bspw. die Höhe von Korruptionszahlungen, mit Ausnahme von Bagatellfällen, für die Einordnung eines Straftatbestands rechtlich unerheblich ist. Jedoch ist auf der ersten Stufe der Planungs- und Ermittlungsaktivitäten eine Komplexitätsreduktion durch eine risikoorientierte Vorgehensweise in Abstimmung mit öffentlichen Ermittlern, wie bspw. der Staatsanwaltschaft oder steuerlichen Außenprüfern, üblich. Trivial verkürzt bedeutet dies bspw. im Falle von vermuteten Korruptionsgeschäften, dass zunächst internationale Großprojekte mit relativ hohen Vermittlungsprovisionen – ab einer mit mathematisch-statistischen Verfahren ermittelten Beitragsgrenze – geprüft würden.
9
Das Prüfungsprogramm wird hierzu in einzelne Untersuchungsgebiete, die sog. Prüffelder[2], aufgeteilt. Innerhalb der Prüffelder sind auf Grund der ersten Risikoeinschätzungen Prüfungsschwerpunkte zu bestimmen, um hieraus konkrete operationale Merkmale oder Indikatoren abzuleiten, die zunächst Gegenstand der Untersuchung sind. Den Prüffeldern werden Ermittlungshandlungen zugewiesen, deren Art und Umfang sich individuell je nach Risikogewichtung im Sinne eines Mindestprüfungskatalogs bemessen.
10
Beispiel:
Es werden Vermögensschädigungen eines Unternehmens durch die Geschäftsführung vermutet. Das Prüfungsziel besteht zunächst in der Analyse sämtlicher Transaktionen zwischen Geschäftsführung und Unternehmen. Hierauf aufbauend kann die sinnvolle Einteilung von Prüffeldern in die folgenden Untersuchungsgebiete sinnvoll sein:
| – | Geschäftsvorfälle, z.B. Verträge, zwischen dem Unternehmen und der Geschäftsführung oder der Geschäftsführung nahestehender Unternehmen oder Personen, wie bspw. Familienmitglieder; |
| – | Banktransaktionen und Kassenbewegungen; |
| – | Geschäftsvorfälle mit offensichtlich negativen Auswirkungen auf das Vermögen des Unternehmens wie bspw. der zu günstige Verkauf von Vermögensgegenständen; |
| – | Bewirtungs-, Spesen- und Reisekostenabrechnungen zur Beurteilung der Abrechnung von Privatkosten oder der Angemessenheit von Aufwendungen. |
11
Der Risiko- und Prüfungsschwerpunkt wird in der Praxis auf dem ersten Prüfungsfeld, den Transaktionen zwischen dem Unternehmen und der Geschäftsführung sowie dieser nahestehenden Unternehmen liegen. Das vorgenannte Prüfungsfeld bietet in der Regel den höchsten Verschleierungsgrad und das geringste Entdeckungsrisiko mit den „lukrativsten“ Einnahmemöglichkeiten des Schädigenden, ist jedoch von Art und Umfang der Prüfungshandlungen relativ arbeitsintensiv.
12
Zur Operationalisierung von Prüfungszielen und Abgrenzung von Prüfungsfeldern können in diesem Fall Indikatorsysteme mittels sog. „red flags“ herangezogen werden. Red flags sind Anzeichen, Indizien oder auch Warnhinweise, die auf Straftaten, andere Gesetzesverstöße oder betriebliche Unregelmäßigkeiten hinweisen können.
13
Zahlreiche typisierte red-flag-Modelle für verschiedene betriebliche Funktionen und Branchen resultieren aus Umfragen, Erfahrungswerten und empirischen Beobachtungen aus der Ermittlungspraxis. Diese Modelle zeigen potentielle Anzeichen für Straftaten, ordnungswidrige Handlungen oder sonstige Unregelmäßigkeiten an und können erste Ansatzpunkte für die Ermittlungsplanung aufzeigen. Exemplarisch werden im Folgenden red flags für die betrieblichen Funktionen Finanzen und Einkauf erläutert.[3]
aa) Red flags im betrieblichen Finanzwesen
14
Das Institut der Wirtschaftsprüfer („IDW“) zeigt in seinem Prüfungsstandard IDW PS 210 red flags auf, welche insbesondere im Finanzbereich eines Unternehmens auf potentielle Unregelmäßigkeiten oder Gesetzesverstöße hinweisen können. Der Einsatzbereich des IDW PS 210 liegt zwar ursprünglich in der traditionellen Abschlussprüfung, bietet jedoch allgemein verwertbare Anwendungsbeispiele für betriebliche Ermittlungen. Zu den red flags zählen u.a.:[4]
| – | kritische Unternehmenssituationen, u.a. risikoreiche Ertragsquellen; |
| – | ungewöhnliche Geschäfte, u.a. Geschäfte mit nahestehenden Personen; |
| – | nicht protokollierte oder nicht genehmigte Änderungen von computergestützten Informationssystemen. |
bb) Red flags im betrieblichen Einkauf
15
Die Weltbank hat für die betriebliche Funktion Einkauf die „Most Common Red Flags of Fraud and Corruption in Procurement“[5] erhoben. Die red flags stellen die, aus Sicht der Weltbank, zehn häufigsten Standardfälle und Warnzeichen von möglichen Unregelmäßigkeiten in Einkaufsprozessen dar. Bspw. werden ungewöhnliche Bietermuster und hiermit zusammenhängende mögliche Absprachen durch folgende Indizien operationalisiert:
| – | die Höhe der abgegebenen Gebote unterscheidet sich systematisch anhand verschiedener linearer Abweichungen zueinander (bspw. 1 %, 10 % Abweichungen); |
| – | die abgegebenen Gebote stehen in einem auffälligen Missverhältnis zueinander und sind entweder zu hoch oder zu niedrig; |
| – | Verlierer von Angebotsverfahren werden Zulieferer der Gewinner der Angebotsverfahren; |
| – | offensichtliche Rotation von Gewinnern von Angebotsverfahren. |
cc) Projektspezifische Entwicklung von Indikatoren
16
Die aus Literatur und Praxis bekannten red-flags können als theoretische Benchmarks im Sinne objektivierter Erfahrungswerte eine erste Orientierung in der Planung des Prüfungsprogramms geben und potentielle Risiken sowie praktische Ermittlungsschritte aufzeigen. Im Einzelfall sind diese Indikatoren grundsätzlich individuell auf den Arbeitsauftrag und die Komplexität des Einzelfalls anzupassen, weiterzuentwickeln und unter Berücksichtigung der Prüfungsziele zu gewichten.
17
Ein möglicher Ausgangspunkt der Entwicklung von Risikoindikatoren kann hierbei das sog. „Self-Assessment“ des betroffenen Unternehmens sein. Im Mittelpunkt steht hier zunächst die in der Eigenverantwortung des Unternehmens stehende Analyse und Auswertung von Problembereichen.
18
Die erarbeiteten Indikatoren sollen im Ergebnis zu einem erkenntnisrelevanten Risikoprofil führen, welches möglichst offen zu konzipieren ist, um auch vergleichbare Muster und Fälle zu erfassen, die eventuell noch nicht bekannt sind.[6] Ein Vorteil