a) Allgemeine Anforderungen an die Informationserhebung
26
Oberster Grundsatz der Informationsbeschaffung sollte die Originalität und Unveränderbarkeit von Informationen, Belegen und Dokumenten sein, die im Zuge der Ermittlungen erhoben werden, um eine maximal hohe Beweiskraft zu gewährleisten und, soweit erforderlich, eine gerichtliche Verwertbarkeit zu ermöglichen. Bei der Be- und Verarbeitung von Informationen ist ausschließlich die Verwendung von Duplikaten, Abschriften oder Kopien zu empfehlen. Die Unveränderbarkeit von Informationen setzt weiterhin ein striktes Informationsmanagement voraus. Dies bedeutet, dass einmal erhobene Informationen im Original gespeichert oder aufbewahrt werden und der Zugang hierzu nur ausgewählten Personen des Ermittlungsteams oder sogar nur unabhängigen Dritten zu gewähren ist.
27
Die Analyse digitaler Daten sollte sich in der Regel außerhalb des IT-Produktivsystems des untersuchten Unternehmens abspielen. Da in den meisten Fällen digitale Daten als Nachweise in der Beweiskette verwendet werden, stellt die Sicherung dieser Daten zumeist hohe Anforderungen an den Ermittlungsprozess. Die Bandbreite der Datensicherung reicht von der einfachen Datenextraktion aus den betrieblichen IT-Systemen bis hin zur Sicherung physikalischer Datenträger wie bspw. Festplatten, mobiler Speichermedien oder auch mobiler Telefone und Daten in der Cloud.
28
Primär gelten bei der Datensicherung neben der Unveränderbarkeit die Grundsätze der Richtigkeit und Vollständigkeit der extrahierten Daten.[1] Leicht können Fehler bei der Datenextraktion aus IT-Systemen durch Verwendung unvollständiger Abfragen, nicht gepflegter Tabellen und Mandanten oder falsch gewählter Parameter begangen werden. Werden bspw. Daten aus einem “ERP“-System[2] wie bspw. „SAP“[3] extrahiert, kann dies über Datenbankabfragen oder direkt über entsprechende Datenexportschnittstellen des SAP-Systems, wie bspw. DART, erfolgen.
29
Zur Erhöhung der Beweiskraft der exportierten Daten können forensische Verfahren wie bspw. der Einsatz sog. Writeblocker[4] oder Imaging Tools zum Einsatz kommen.[5] Writeblocker verhindern den physischen Schreibzugriff und vermeiden die unbeabsichtigte Löschung oder Verarbeitung von Daten. Imaging Tools ermöglichen die Anfertigung eines „Abbilds“ von Datenträgern. Mit speziellen Analysetools können auch Daten, die bereits gelöscht wurden, bzw. als gelöscht markiert wurden, sichtbar gemacht werden.
30
Der gesamte Ermittlungsprozess muss für Dritte nachvollziehbar und nachprüfbar sein. Grundsätzlich sollte ein Dritter bei Anwendung der dokumentierten Prüfungstechniken und -methoden dieselben Ergebnisse erzeugen können wie der Ermittler. Die Reproduzierbarkeit der Prüfungsergebnisse ist also ein entscheidender Faktor.
31
Die angewendeten Prüfungsmethoden, -techniken und –verfahren sollten in der Fachwelt akzeptiert und bestenfalls praktiziert worden sein. Der Einsatz neuer Prüfungsmethoden ist immer nachvollziehbar zu begründen.[6] Bspw. sollte bei der Anwendung von Stichprobenverfahren eine allgemein anerkannte Methode zur Anwendung kommen.
32
Der Prüfungsweg ist in angemessener Weise zu dokumentieren. Als „Best Practice“ erfolgt bereits während der Planung im Vorfeld der Ermittlungen eine strukturierte Dokumentation, die während der Ermittlungen im Sinne einer prozessbegleitenden Dokumentation und einer rollierenden Planung ausgebaut wird.[7]
aa) Self-Assessment im Unternehmen
33
Das sog. „Self-Assessment“ des Unternehmens kann eine wesentliche Grundlage für ein effektives Ermittlungsverfahren sein. Das Self-Assessment bietet dem untersuchten Unternehmen die Möglichkeit einer eigenen Ersteinschätzung hinsichtlich des Untersuchungsgegenstands und führt als Nebenprodukt zu einem besseren Verständnis von betrieblichen Funktionen, Prozessen und Geschäftsabläufen auf Seiten der Ermittler.
34
Die Analyse und Beurteilung aus Sicht des Unternehmens ist allerdings immer nur ein erster Baustein der Datenerhebung und möglicher Wegweiser für weitere Untersuchungen. Auch aus Kosten- und Effektivitätsgesichtspunkten bietet sich ein Self-Assessment an. In der Regel wird eine Prüfung der in dieser Phase vom Unternehmen zusammengestellten Informationen unerlässlich sein.
bb) Unternehmensinterne Daten
35
Die Istanalyse und Sondierung der internen Informationsquellen des Unternehmens stellt den ersten Schritt der Informationsbeschaffung dar. Es sind in der Regel immer mehr Informationen vorhanden, auch bereits in strukturierter und aufbereiteter Form, als zu Beginn der Ermittlungen angenommen. Die einfachsten Zugänge zu möglichen Informationen sollten, soweit erheblich für den Ermittlungsprozess, zuerst genutzt werden. Diese betreffen üblicherweise sämtliche unternehmensbezogenen Informationen, die sich aus gesetzlichen Aufbewahrungs- und Dokumentationspflichten sowie statistischen Pflichtmeldungen für Unternehmen ergeben.
36
Hierzu gehören insbesondere rechnungslegungs- und steuerrelevante Unternehmensdaten wie bspw. der Finanz- und Anlagenbuchhaltung, der Materialwirtschaft oder auch der Lohnbuchhaltung, die regelmäßig elektronisch in den zentralen ERP-Systemen wie bspw. SAP bzw. deren vor- und nachgelagerten Systemen (Nebenbücher, Online-Banking-Software, etc.) vorliegen. Auch aus zollrechtlichen- bzw. umsatzsteuerlichen Informationspflichten hinsichtlich der Aufbewahrung bspw. von Rechnungen und Lieferscheinen sowie aus allgemeinen Aufbewahrungspflichten, u.a. für Geschäftsbriefe, sollte sich die potentielle Verfügbarkeit von Informationen und Dokumenten ergeben.
37
In diesem Zusammenhang können auch Prüfungsergebnisse Dritter verwertet werden. Dabei kommen regelmäßig punktuelle oder turnusmäßige Prüfungen in Betracht wie bspw. jegliche Arten von Steuerprüfungen wie die steuerliche Betriebsprüfung oder die Zollprüfung.
38
Problembereiche können sich überall dort ergeben, wo gesetzliche Aufbewahrungsfristen bereits abgelaufen sind und, wie in der Praxis nicht unüblich, nicht eingehalten oder Beweise vorsätzlich vernichtet werden. Für rechnungslegungs- und steuerrelevante Daten beträgt der gesetzlich vorgeschriebene Aufbewahrungszeitraum nach § 147 AO und § 257 HGB grundsätzlich zehn Jahre; dieser kann sich durch An- und/oder Ablaufhemmungen entsprechend verlängern. Erstreckt sich ein Prüfungszeitraum über gesetzliche Aufbewahrungsfristen hinaus, sind Probleme vorprogrammiert und zusätzliche Informationsalternativen zu suchen.
39
Insbesondere die heutige Vielfalt von in Unternehmen eingesetzten IT-Systemen setzt eine profunde Kenntnis und Analyse der IT-Landschaft des Unternehmens voraus. Praktisch stellt sich die Frage, welche IT-Systeme welche Informationen verarbeiten und speichern und wie auf diese Informationen in welcher Weise zugegriffen werden kann. Spätestens an diesem Punkt ist die Analyse der IT-Infrastruktur unabdingbar, um Erkenntnisse über die Möglichkeiten und Grenzen der Datenerhebung bestehender Systeme zu erlangen. Von besonderer Bedeutung ist eine Aufnahme des Datenflusses zwischen dem zentralen ERP-System und der jeweils vor- und nachgelagerten Systeme.
Abb. 1:
Rechnungslegungsrelevanter Datenfluss in einer typischen SAP-Systemlandschaft
40
Nicht in obiger Abbildung enthalten sind die mittlerweile weit verbreiteten, revisionssicheren