Autorenprofil
Ein Albtraum für Prüfer:innen und Forensiker:innen ist, dass ein erstellter Bericht vor Gericht angefochten wird, weil das Ergebnis auf einer unvollständigen Datenbasis beruht und somit zu fehlerhaften Schlussfolgerungen führt. Dieses Szenario kann schnell eintreten, wenn Datenforensiker:innen für unbekannte Unternehmen tätig werden. Auch interne Revisor:innen sind vor diesem Risiko nicht gefeit.
Das Erkennen von fehlerhaften oder betrügerischen Vorgängen in umfangreichen Datenmengen der Geschäftsprozesssysteme ist eine Herausforderung. Die Mehrzahl der datenanalytischen Methoden entsprechen regelbasierten Prüfverfahren. Hypothesenbasierte Testverfahren werden oft auf isolierte Prozessschritte angewandt und ermöglichen das Erkennen von Bestellungen ohne Bestellanforderung oder Buchungen außerhalb gewöhnlicher Arbeitszeiten. Praktische Erfahrungen zeigen, dass mit solchen Verfahren eine Vielzahl an Regelverstößen und Prozessfehler aufgedeckt werden, jedoch unternehmensschädigende Handlungsmuster unentdeckt bleiben können. Oft bleiben dabei IT forensische Betrachtungen außen vor.
Um sicherzustellen, dass keine betrügerischen Vorgänge unentdeckt bleiben, sind folgende Handlungsempfehlungen von Bedeutung:
Forensische Vorgehensmodelle stellen sicher, dass alle relevanten Arbeitsschritte bedacht, durchgeführt und dokumentiert werden. Dabei werden nicht nur datengetriebene Aspekte berücksichtigt, sondern auch die Datenentstehung und die IT-Prozesse der Quellsysteme geprüft. Dies soll sicherstellen, dass mit den vollständigen und unveränderten Rohdaten gearbeitet wird. Die Datenvalidierung beinhaltet u.a. Prüfschritte zu dieser Sicherstellung. Dabei haben sich verschiedene explorative und regelbasierte Analysen etabliert. Wurden die Daten in dem analysierten System eingegeben oder über Schnittstellen/Automatisierungen kopiert? Im letzteren Fall können Spuren in Form von Zusatzinformationen verloren gegangen oder aufgrund des Kopierprozesses modifiziert worden sein. Diese Zusatzinformationen können besonders wichtig für Musterprüfende oder -entdeckende Analyseverfahren sein.
Regelbasierte Analysen lassen sich in verschiedene Teilgebiete unterteilen. Prozessanalysen überprüfen die Einhaltung der Prozessvorgaben, z.B. gibt es zu jeder Bestellung eine Bestellanforderung? Unternehmensregelanalysen prüfen die Vorgaben zum Vier- oder Mehraugenprinzip und die Einhaltung der Funktionstrennung. Systemregelanalysen zielen auf die Arbeitsweisen des IT-Systems ab und identifizieren fehlende technische Referenzen und Vorgänge, die durch Wartungsprogramme eingegeben wurden. Zudem gibt es noch weitere Regeln zu Red-Flag-Analysen (z.B. selten verwendete Anlieferadressen) oder Fraud-Analysen (z.B. kritische Änderung von Bankstammdaten). All diese Analysen lassen sich noch in sogenannten Scoring- oder Pattern-Analysen kombinieren.
Anhand der in der Praxis etablierten Prüfung der Funktionstrennung der vollständigen Prozesskette zeigt sich, wieso eine Vollständigkeitsprüfung essenziell ist. Beispielsweise werden für den Einkaufsprozess die involvierten Benutzer der einzelnen Arbeitsschritte geprüft: Wer erfasste die Bestellanforderung, die Bestellung, den optionalen Wareneingang sowie die Rechnung und Zahlung? Anhand der verschiedenen Benutzerkennungen wird geprüft, ob eine Verletzung der Funktionstrennung vorliegt. Wurden Teile der Daten von Prozessvarianten aus Seit- oder Vorsystemen kopiert, besteht die Möglichkeit, dass die technischen Benutzerkennungen des Kopiervorgangs hinterlegt sind und Funktionstrennungskonflikte nicht mehr aufgedeckt werden können.
Neuartige Methoden der KI – wie z.B. Deep Learning – können eine hilfreiche Ergänzung klassischer hypothesenbasierter Testverfahren darstellen. Dies gilt im Besonderen vor dem Hintergrund der veränderten Anforderungen an das prüferische Vorgehen bedingt durch fortschreitende Digitalisierung von Unternehmensprozessen. Das Paradigma KI basierter Prüfverfahren unterscheidet sich grundlegend von klassischen analytischen Prüfungshandlungen und lautet: «lernen statt programmieren». Im Vordergrund stehen hierbei Lernverfahren, die selbständig, d.h. „unüberwacht“ ohne eine menschliche Vorgabe, Regelmäßigkeiten in Daten erkennen und diese von Unregelmäßigkeiten, sog. „Anomalien“, unterscheiden können. Die Erkenntnisse solch KI basierter Prüfverfahren können beispielsweise im Nachgang in die zuvor genannten regelbasierten Prüfverfahren überführt werden.
Für die Vorgehensweisen ist es wichtig, dass Analysen auf den detailreichen Rohdaten erfolgen. Werden z.B. in den Kopierprozessen Datensätze konsolidiert, so besteht die Möglichkeit, dass für die Sachverhaltsaufklärung wichtige Merkmale in den Daten verloren gehen. Unregelmäßigkeiten können so trotz moderner und korrekt ausgeführter Analysen unbemerkt bleiben.
Nicht jede Datenanalyse muss vor einem Ausschuss oder Gericht verteidigt werden, jedoch benötigen datenanalytische Prüfergebnisse eine hohe Verlässlichkeit. Datenvalidierung und Musterprüfung ist sowohl für Mitarbeiter:innen aus Revision, Risikomanagement, dem IKS, Compliance als auch für Rechtsanwält:innen und Wirtschaftsprüfer:innen relevant. Unser Kurs „Certified Audit Data Scientist“ behandelt praxisnahe Beispiele neuester technologischer Fortschritte und deren Einsatz, wie z.B. „Visual Analytics“ (kontinuierliche Prüfung) und „Deep Learning“ (Anomalieerkennung).
Marco Schreyer ist CO-Author des Blogbeitrags und Dozent der beiden Zertifikatsstudiengänge „Certified Fraud Manager“ und „Certified Audit Data Scientist“ .
Frankfurt School gGmbH
Adickesallee 32-34
60322 Frankfurt am Main
