Ein Albtraum f\u00fcr Pr\u00fcfer:innen und Forensiker:innen ist, dass ein erstellter Bericht vor Gericht angefochten wird, weil das Ergebnis auf einer unvollst\u00e4ndigen Datenbasis beruht und somit zu fehlerhaften Schlussfolgerungen f\u00fchrt. Dieses Szenario kann schnell eintreten, wenn Datenforensiker:innen f\u00fcr unbekannte Unternehmen t\u00e4tig werden. Auch interne Revisor:innen sind vor diesem Risiko nicht gefeit.<\/p>\n
Das Erkennen von fehlerhaften oder betr\u00fcgerischen Vorg\u00e4ngen in umfangreichen Datenmengen der Gesch\u00e4ftsprozesssysteme ist eine Herausforderung. Die Mehrzahl der datenanalytischen Methoden entsprechen regelbasierten Pr\u00fcfverfahren. Hypothesenbasierte Testverfahren werden oft auf isolierte Prozessschritte angewandt und erm\u00f6glichen das Erkennen von Bestellungen ohne Bestellanforderung oder Buchungen au\u00dferhalb gew\u00f6hnlicher Arbeitszeiten. Praktische Erfahrungen zeigen, dass mit solchen Verfahren eine Vielzahl an Regelverst\u00f6\u00dfen und Prozessfehler aufgedeckt werden, jedoch unternehmenssch\u00e4digende Handlungsmuster unentdeckt bleiben k\u00f6nnen. Oft bleiben dabei IT forensische Betrachtungen au\u00dfen vor.<\/p>\n
Um sicherzustellen, dass keine betr\u00fcgerischen Vorg\u00e4nge unentdeckt bleiben, sind folgende Handlungsempfehlungen von Bedeutung:<\/p>\n
Forensische Vorgehensmodelle stellen sicher, dass alle relevanten Arbeitsschritte bedacht, durchgef\u00fchrt und dokumentiert werden. Dabei werden nicht nur datengetriebene Aspekte ber\u00fccksichtigt, sondern auch die Datenentstehung und die IT-Prozesse der Quellsysteme gepr\u00fcft. Dies soll sicherstellen, dass mit den vollst\u00e4ndigen und unver\u00e4nderten Rohdaten gearbeitet wird. Die Datenvalidierung beinhaltet u.a. Pr\u00fcfschritte zu dieser Sicherstellung. Dabei haben sich verschiedene explorative und regelbasierte Analysen etabliert. Wurden die Daten in dem analysierten System eingegeben oder \u00fcber Schnittstellen\/Automatisierungen kopiert? Im letzteren Fall k\u00f6nnen Spuren in Form von Zusatzinformationen verloren gegangen oder aufgrund des Kopierprozesses modifiziert worden sein. Diese Zusatzinformationen k\u00f6nnen besonders wichtig f\u00fcr Musterpr\u00fcfende oder -entdeckende Analyseverfahren sein.<\/p>\n
Regelbasierte Analysen lassen sich in verschiedene Teilgebiete unterteilen. Prozessanalysen \u00fcberpr\u00fcfen die Einhaltung der Prozessvorgaben, z.B. gibt es zu jeder Bestellung eine Bestellanforderung? Unternehmensregelanalysen pr\u00fcfen die Vorgaben zum Vier- oder Mehraugenprinzip und die Einhaltung der Funktionstrennung. Systemregelanalysen zielen auf die Arbeitsweisen des IT-Systems ab und identifizieren fehlende technische Referenzen und Vorg\u00e4nge, die durch Wartungsprogramme eingegeben wurden. Zudem gibt es noch weitere Regeln zu Red-Flag-Analysen (z.B. selten verwendete Anlieferadressen) oder Fraud-Analysen (z.B. kritische \u00c4nderung von Bankstammdaten). All diese Analysen lassen sich noch in sogenannten Scoring- oder Pattern-Analysen kombinieren.<\/p>\n
Anhand der in der Praxis etablierten Pr\u00fcfung der Funktionstrennung der vollst\u00e4ndigen Prozesskette zeigt sich, wieso eine Vollst\u00e4ndigkeitspr\u00fcfung essenziell ist. Beispielsweise werden f\u00fcr den Einkaufsprozess die involvierten Benutzer der einzelnen Arbeitsschritte gepr\u00fcft: Wer erfasste die Bestellanforderung, die Bestellung, den optionalen Wareneingang sowie die Rechnung und Zahlung? Anhand der verschiedenen Benutzerkennungen wird gepr\u00fcft, ob eine Verletzung der Funktionstrennung vorliegt. Wurden Teile der Daten von Prozessvarianten aus Seit- oder Vorsystemen kopiert, besteht die M\u00f6glichkeit, dass die technischen Benutzerkennungen des Kopiervorgangs hinterlegt sind und Funktionstrennungskonflikte nicht mehr aufgedeckt werden k\u00f6nnen.<\/p>\n
Neuartige Methoden der KI \u2013 wie z.B. Deep Learning \u2013 k\u00f6nnen eine hilfreiche Erg\u00e4nzung klassischer hypothesenbasierter Testverfahren darstellen. Dies gilt im Besonderen vor dem Hintergrund der ver\u00e4nderten Anforderungen an das pr\u00fcferische Vorgehen bedingt durch fortschreitende Digitalisierung von Unternehmensprozessen. Das Paradigma KI basierter Pr\u00fcfverfahren unterscheidet sich grundlegend von klassischen analytischen Pr\u00fcfungshandlungen und lautet: \u00ablernen statt programmieren\u00bb. Im Vordergrund stehen hierbei Lernverfahren, die selbst\u00e4ndig, d.h. \u201eun\u00fcberwacht\u201c ohne eine menschliche Vorgabe, Regelm\u00e4\u00dfigkeiten in Daten erkennen und diese von Unregelm\u00e4\u00dfigkeiten, sog. \u201eAnomalien\u201c, unterscheiden k\u00f6nnen. Die Erkenntnisse solch KI basierter Pr\u00fcfverfahren k\u00f6nnen beispielsweise im Nachgang in die zuvor genannten regelbasierten Pr\u00fcfverfahren \u00fcberf\u00fchrt werden.<\/p>\n
F\u00fcr die Vorgehensweisen ist es wichtig, dass Analysen auf den detailreichen Rohdaten erfolgen. Werden z.B. in den Kopierprozessen Datens\u00e4tze konsolidiert, so besteht die M\u00f6glichkeit, dass f\u00fcr die Sachverhaltsaufkl\u00e4rung wichtige Merkmale in den Daten verloren gehen. Unregelm\u00e4\u00dfigkeiten k\u00f6nnen so trotz moderner und korrekt ausgef\u00fchrter Analysen unbemerkt bleiben.<\/p>\n
Nicht jede Datenanalyse muss vor einem Ausschuss oder Gericht verteidigt werden, jedoch ben\u00f6tigen datenanalytische Pr\u00fcfergebnisse eine hohe Verl\u00e4sslichkeit. Datenvalidierung und Musterpr\u00fcfung ist sowohl f\u00fcr Mitarbeiter:innen aus Revision, Risikomanagement<\/a>, dem IKS, Compliance<\/a> als auch f\u00fcr Rechtsanw\u00e4lt:innen und Wirtschaftspr\u00fcfer:innen relevant. Unser Kurs \u201eCertified Audit Data Scientist\u201c<\/a> behandelt praxisnahe Beispiele neuester technologischer Fortschritte und deren Einsatz, wie z.B. \u201eVisual Analytics\u201c (kontinuierliche Pr\u00fcfung) und \u201eDeep Learning\u201c (Anomalieerkennung).<\/p>\n