Dieser Beitrag entstand während des Weiterbildungslehrgangs MAS Economic Crime Investigation und wurde von der Studienleitung als überdurchschnittlich bewertet.

Von Manuel Küffer

«Viel wichtiger als ausgeklügelte Sicherheitssysteme ist die Integrität der Mitarbeitenden»

(Johannes J. Schraner, Der Feind in der Bank, Schweizer Bank, März 2012)

Sind IT-Systeme effektiver in der Verhinderung von Deliktsfällen als der Mensch? Kann man diese Frage überhaupt beantworten? Was spricht für den Menschen? Diese Fragen haben den Autoren während seiner beruflichen Tätigkeit in einer Schweizer Bank häufig beschäftigt. In einer zweiteiligen Serie geht er ausführlich den Fragen nach.

Was ist Wirtschaftskriminalität?

Um über Wirtschaftskriminalität reden zu können, bedarf es einer kurzen Begriffsbestimmung. Zimmerli definiert Wirtschaftskriminalität als «Kriminalphänomenologische Sammelbezeichnung, welche diejenigen Delikte erfasst, die zu einer bestimmten Zeit, in einem bestimmten Rechtsraum bei der Abwicklung kaufmännisch-wirtschaftlicher Aktivitäten begangen werden»[1]. Es geht also um deliktische Verhaltensweisen in einem wirtschaftlichen Umfeld. In der Literatur wird oft von «white collar crime» gesprochen. Dieser Ausdruck wurde vom Kriminologen Edwin H. Sutherland eingeführt und bezeichnet Straftaten, die von Personen mit hohem Status im Rahmen ihrer beruflichen Tätigkeit begangen würden. Wirtschaftskriminelle Delikte weisen folgende Charakteristika auf: Sie geschehen in einem wirtschaftlichen Kontext, erfolgen ohne körperliche Gewalt, handeln gegen das vorherrschende Treu- und Glauben-Prinzip der Wirtschaft und richten gravierende materielle und immaterielle Schäden an[2].

Der Mensch als Schlüsselfaktor bei der Aufdeckung von Wirtschaftskriminalität

Zuerst wurde im Internet nach Studien gesucht, die Erkenntnisse liefern könnten. Das Prüfungs- und Beratungsunternehmen PwC untersuchte in einer Studie 2011 Wirtschaftskriminalität bei Banken und anderen Finanzdienstleistern in Deutschland. Die Resultate sind erstaunlich: 73 Prozent der Fälle wurden durch Zufall und durch interne oder externe Hinweisgeber entdeckt. Das Risiko-Management oder elektronische, automatisierte Berichtsysteme deckten lediglich 7 Prozent der Fälle auf[3].

Eine Fraud-Studie der Association of Certified Fraud Examiners ACFE belegt, dass 39,1 Prozent der untersuchten Delikte durch Hinweise und 5,6 Prozent durch Zufall aufgedeckt wurden. Die Hinweise erfolgten zu 51,5 Prozent von internen Mitarbeitern, gefolgt von Kunden (17,8 Prozent) und anonymen Meldern (14 Prozent)[4]. Die Verfasser der Studie haben nicht nur Finanzdienstleister befragt.

Diese Resultate belegen, dass der Mensch bei der Aufdeckung von Deliktsfällen eine wichtige Rolle spielt. Gilt dies auch für die Prävention? In der Literatur fanden sich hierzu keine wissenschaftlichen Erkenntnisse. Dies ist nachvollziehbar: Fälle, die gar nicht oder beinahe eingetreten sind, sind nirgends erfasst. Nichtsdestotrotz vertritt der Autor die Meinung, dass der Mensch bei der Präventionsarbeit die wichtigste Komponente in einer Bank ist.

Wieso ist der Faktor Mensch wichtig?

Banken sind gemäss dem «Three Lines of Defence Modell» aufgestellt. Das Modell veranschaulicht, wie Banken versuchen, Risikofälle und Delikte zu verhindern. Risiken und Delikte erst im Nachhinein, dafür so schnell wie möglich aufzudecken, ist bloss sekundäres Ziel. Die unterste Ebene stellt den Kunden dar. Die erste Verteidigungslinie bilden die Frontmitarbeiter (Linie 1a) und das Risiko Management (Linie 1b). Compliance und Legal bilden die zweite Verteidigungslinie. Verteidigungslinie drei ist die interne Revision.

Die Frontmitarbeiter sind die ersten und wichtigsten Personen, die Fälle erkennen und intern weiter melden können. Sie haben Kontakt zu Kunden und Mitarbeitern und geraten im Tagesgeschäft direkt an potenzielle Deliktsfälle. Im Zusammenhang mit Kunden ist der Grundsatz «Know your customer» zentral: Man versucht, möglichst früh viel über einen Kunden zu erfahren und so zu erkennen, wenn dieser beispielsweise verbrecherisch erlangte Vermögenswerte in den Finanzkreislauf einzuschleusen versucht. Der Mensch verfügt über gesunden Menschenverstand und kann sich in jemanden hineinversetzen, Empathie empfinden, Chancen und Gefahren abwägen, einen Sachverhalt analysieren sowie Risiken abschätzen. Er kennt seine Kunden und Arbeitskollegen und kann Unstimmigkeiten erkennen und hinterfragen. Die Erfahrung des Autors zeigt, dass Frontmitarbeiter erstaunlich oft richtig liegen mit ihrem Bauchgefühl, dass «etwas nicht stimmt». Im Gegensatz dazu verfügen IT-Systeme über keinen «gesunden Systemverstand». Das System (zum Beispiel in Form von IKS-Kontrollen) erfasst nur Fälle, die (vom Menschen) voreingestellte Kriterien erfüllen und ignoriert die restlichen Fälle.

Um zu verstehen, wieso interne Betrugshandlungen begangen werden, kann das Modell des «Fraud Diamond» von Wolfe und Hermanson herangezogen werden[5]. Gemäss diesem begeht ein Mitarbeiter eine dolose Handlung, wenn folgende vier Elemente aufeinandertreffen:  Motivation, Gelegenheit, Rechtfertigung und Fähigkeit. Mit Motivation ist gemeint, dass der Täter einen finanziellen Bedarf hat. Dieser kann objektiv vorhanden (zum Beispiel eine effektive Notlage) als auch subjektiv empfunden (zum Beispiel Prestigebedürfnis, Habgier, mangelnde Loyalität) sein. Dem Täter müssen sich auch Gelegenheiten bieten, die Tat zu begehen. Dies können sein: Unzureichende Funktionentrennungen, unklarer «tone at the top», Personalknappheit, fehlende oder ineffektive Kontrolle, aber auch Unachtsamkeit[6]. Der Täter konstruiert oft eine Rechtfertigung, um sein schlechtes Gewissen auszuschalten und sich vor anderen zu erklären. Ein Beispiel hierfür ist die Ansicht, dass das Unternehmen einem etwas schulde[7]. Zudem brauche es für die Tatausführung die individuelle Befähigung des Täters[8]. Als das wesentlichste Merkmal nennt Schuchter den Druck. Interne Reibereien, ein zu forderndes Arbeitsklima, unrealistische Zielvorgaben, Mobbing oder zu starke Überwachung seien zu verhindern[9].

Im Teil zwei nächste Woche geht der Autor auf die Erfolgsfaktoren ein, auf die eine Bank achten muss und zieht ein Fazit zur Wichtigkeit des Faktors Mensch.

Über den Autor

Autor: Manuel Küffer

Manuel Küffer ist seit März 2018 Senior Compliance Officer bei der Aargauischen Kantonalbank. Davor war er 13 Jahre bei der UBS tätig, zuletzt 4 Jahre im Bereich operationelles Risiko Management. Er hat den Bachelor in Betriebsökonomie sowie den MAS in Economic Crime Investigation absolviert.

[1]/[2] Zimmerli, E. (2009). Skript: Wirtschaftskriminalität, Wirtschaftsstrafrecht, Prävention. Grundlagenpapier. Zug. Seite 4.
[3] PwC (2011). Wirtschaftskriminalität. Banken und andere Finanzdienstleister. Abgerufen am 09.02.2018. Seite 19-20.
[4] ACFE (2016). Report to the Nations on Occupational Fraud and Abuse. 2016 Global Fraud Study.Abgerufen am 09.02.2018. Seite 26.
[5] Wolfe, D. & Hermanson, D. (2004). The Fraud Diamond – Considering the Four Elements of Fraud. CPA Journal, 04(74.12), Seiten 38-42
[6] Schuchter, A. (2018). Wirtschaftskriminalität und Prävention. Wie Führungskräfte Täterwissen einsetzen können. Wiesbaden: Springer Fachmeiden. Seite 32.
[7] Nodon (2018). Das Betrugs-Dreieck. Abgerufen am 11.02.2018.
[8] Bundesverband öffentlicher Banken Deutschlands (2010). Prävention und Bekämpfung von betrügerischen Handlungen / Wirtschaftskriminalität. Leitfaden zur praxisorientierten Einführung.Abgerufen am 09.02.2018 von. Seiten 15-16.
[9] Schuchter, A. (2018). Wirtschaftskriminalität und Prävention. Wie Führungskräfte Täterwissen einsetzen können. Wiesbaden: Springer Fachmeiden. Seite 33.