Fachbeitrag: „Der Fake-President-Trick & die Verantwortung von Vorstand und Aufsichtsrat“

Mag. Markus Trettnak, Partner der BDO Austria GmbH und Leiter des Bereichs Forensic, Risk & Compliance

Seit wann es „CEO-Fraud“ gibt
Einzelfälle dieser Betrugsart, die wie vieles andere aus den USA kommt, gibt es schon seit längerer Zeit. Seit dem Jahr 2013 kam es diesbezüglich jedoch zu einem sprunghaften Anstieg und Vorkommnisse aus Frankreich und Belgien wurden in den Medien kolportiert. Erste deutsche Pressemeldungen stammen von Ende 2014. Ab 2015 häufen sich die Medienberichte. Spätestens dann war der President Fake nicht mehr ein singuläres Delikt, sondern eine gängige Machenschaft.

Wir müssen auch davon ausgehen, dass die Fälle, die an die Öffentlichkeit dringen, nur die „Spitze des Eisbergs“ sind. Kaum eine Gesellschaft, die nicht börsennotiert und somit nicht Ad-hoc-meldepflichtig ist, wird die Öffentlichkeit darüber in Kenntnis setzen, dass sie zum Betrugsopfer geworden ist.

Die „Masche“ ist immer die gleiche
Hinter den Betrugsvorfällen stecken meist kriminelle Banden, die Mitarbeiter von international orientierten Unternehmen ins Visier nehmen. Zunächst kundschaften sie über das Internet und erste Telefonate aus, wer in der Finanzbuchhaltung das Pouvoir hat, elektronische Geldüberweisungen durchzuführen. Dann nehmen die Betrüger mit einem dieser Mitarbeiter im Namen des CEO oder CFO Kontakt auf und versuchen, die Geschichte mit dem hochgeheimen und eiligen Geschäft, von dem niemand anderer wissen dürfe, möglichst glaubhaft zu präsentieren. Ziel ist, dass der Mitarbeiter, häufig unter Außerachtlassung interner Kontrollmechanismen, Zahlungen auf ausländische „Fakekonten“, oftmals chinesische, vornimmt. Das gelingt zwar nicht immer, aber erstaunlich oft.

Worauf die Betrugsopfer hineinfallen
Das Manipulieren der Mitarbeiter hat System. Die Defraudanten setzen auf Autoritätsgläubigkeit und die Empfänglichkeit dafür, als auserwählte Person wichtig genommen, wertgeschätzt und ins Vertrauen gezogen zu werden. Es ist menschlich nachvollziehbar, dass man es mit Regeln und Kontrollmechanismen nicht so ernst nimmt, wenn man vom angeblichen Chef für so wichtige und zeitkritische Angelegenheiten als Vertrauensperson auserkoren wird. Auch der Gedanke an eine mögliche spätere unternehmensöffentliche Auszeichnung verbunden mit einer finanziellen Anerkennung mag dem einen oder anderen Mitarbeiter dabei durch den Kopf gehen.

Was man dem Vorstand anlasten kann
In einem Unternehmen mit einem guten Betriebsklima sowie einer offenen, vertrauensvollen und transparenten Kommunikation zwischen Management und Working Level und innerhalb der hierarchischen Ebenen haben es Dritte von vornherein schwer, von außen zu einzelnen Mitarbeitern vorzudringen und sie für unübliche Transaktionen zu gewinnen. Mitarbeiter, die es gewohnt sind, mit ihren Kollegen und Vorgesetzten zu reden und sich auszutauschen, werden eher misstrauisch, wenn sie mit Geheimprojekten befasst werden als solche, die in einem Umfeld mit schlechter Atmosphäre, Konkurrenzdenken, Neid und Missgunst arbeiten.

Weiß ein Mitarbeiter der Finanzbuchhaltung, dass sein Finanzvorstand und der CEO auf Augenhöhe miteinander verkehren, einen laufenden persönlichen und telefonischen Kontakt pflegen und einander über wesentliche Vorhaben, seien es geplante Firmenakquisitionen oder ausländische Investitionen, informieren, dann läuten bei ihm sofort die Alarmglocken, wenn er vom mutmaßlichen obersten Chef einen vertraulichen Auftrag erhält.

Wie es um die Kommunikationskultur in einem Unternehmen bestellt ist, wird maßgeblich vom „Tone from the top“ abhängen, also davon, was das oberste Management vorlebt. Das ist eine Angelegenheit, die nicht in eine Ressortzuständigkeit fällt, sondern in die Gesamtverantwortung des Vorstands und insbesondere jener Vorstandsmitglieder, die für die Außenkommunikation zuständig sind.

Auch wenn Betrugsfälle von außen nie gänzlich verhindert werden können, die Erfahrung zeigt, dass Mängel im konzernweiten Risiko- und Compliance-Management, dem internen Kontrollsystem und/oder der internen Revision CEO-Fraud begünstigen. Auch für Systemschwächen muss der Vorstand herhalten, wobei es hier – je nach Ressortzuständigkeit – eine abgestufte Verantwortung geben kann. Da es sich wie einleitend erwähnt beim President Fake um eine seit einiger Zeit gehäufte Betrugsart handelt, haben international tätige Unternehmen spätestens seit 2015 die Pflicht, entsprechende organisatorische Vorkehrungen dagegen zu treffen. Unkenntnis schützt auch hier vor Strafe nicht.

Auch den Aufsichtsrat kann es treffen
Zu den Hauptaufgaben des Aufsichtsrats gehört die Überwachung des Vorstands. Das umfasst die Kontrolle, ob dieser ein ständig ein Auge darauf hat, dass die implementierten Risikomanagement-Systeme state-of-the-art und wirksam sind. Ich gehe davon aus, dass sich Aufsichtsräte künftig generell mehr mit dieser Materie befassen werden und zwar unter aktiver Einbindung des Abschlussprüfers.

Auch was die gedeihliche Zusammenarbeit im Vorstand anbelangt, hat der Aufsichtsrat eine Aufsichtsverantwortung. Weiß er, dass das Verhältnis zwischen einzelnen Vorstandsmitgliedern so getrübt ist, dass eine negative Auswirkung auf die Mitarbeiter bzw. das Geschäft droht, dann muss er unverzüglich tätig werden.

Wo es Handlungsbedarf gibt
Effektive Risikomanagement-Systeme sind das eine, ein ständiger Informationsaustausch zwischen den im Unternehmen zuständigen Leitungsmitarbeitern das andere. Die Einrichtung von Risk Committees bestehend aus Vertretern der Abteilungen Risiko- und Compliance-Management, interne Kontrolle (IKS), interne Revision und Controlling hat sich in der Praxis bewährt. Regelmäßige Treffen stellen einen gleichen Wissensstand sicher und dienen der Vermeidung von Doppelgleisigkeiten und Systemlücken. Künftig sollten auch die IT-Verantwortlichen fix in diesen Boards vertreten sein.

Wir stellen immer wieder fest, dass die IT-Abteilungen der Unternehmen zwar meist über sehr breites Know-how verfügen, das Management dieses jedoch noch viel zu wenig nutzt. Auch CEOs und CFOs werden nicht umhinkönnen, mit ihren IT-Experten in laufendem Kontakt zu stehen, um einerseits selbst ein besseres Verständnis für diesen Bereich zu entwickeln und andererseits über drohende Gefahren auf dem Laufenden zu sein.

Mehr zur BDO: www.bdo.at
Die BDO ist Kooperationspartner von INARA.