Dem Betrug analytisch und systematisch vorbeugen Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


05.08.2009 Edmund E. Lindau

Dem Betrug analytisch und systematisch vorbeugen

Ob der Fall Madoff oder "Unstimmigkeiten" der Stadtkasse Oberwart: Ohne IT-Einsatz oder Online-Banking wären sie nicht so leicht möglich gewesen.

Wie die großen Betrugsfälle der Vergangenheit immer wieder zeigen, verschafft gerade die IT die Möglichkeiten, betrügerische Aktivitäten durchzuführen und zu erleichtern sowie diese Aktivitäten gekonnt zu verschleiern. Bestimmte Tätigkeiten, an denen früher per Ablaufdefinition zahlreiche Mitarbeitende eines Unternehmens beteiligt waren, können durch den Einsatz von erfolgreichen Applikationen wie ERP von wenigen oder sogar von einer Einzelperson erledigt werden. Die Zugriffsrechte spielen dabei eine zentrale Rolle: Werden zu viele Rechte im System kombiniert, eröffnen sich «attraktive», weil verschleierbare Betrugsmöglichkeiten.

Um diese von vornherein zu verhindern – oder auch aufzudecken – ist die Funktionentrennung ein effizientes Mittel. Zum Prinzip der Funktionentrennung zählt zum Beispiel, dass die Mitarbeiter nicht ihre eigene Arbeit kontrollieren, sondern von einem zweiten Mitarbeiter kontrolliert werden. Sie kann – je nach den verwendeten Systemen – verhindernd (präventiv) und/oder aufdeckend (detektiv) definiert werden. Präventive Kontrollen sind in der Implementierung oft aufwendiger, dafür aber im täglichen Ablauf kostengünstiger und wirksamer als aufdeckende Kontrollen.

Das Management muss sicherstellen, dass wichtige unvereinbare Geschäftsvorfälle klar getrennt werden. Voraussetzung dafür ist auch die Größe einer Organisation, die solch eine Trennung zulässt. Die Verantwortung, was und wie getrennt wird, ist eine gemeinsame: Der Geschäftsbereich ist dafür zuständig, die organisatorischen Aufgaben voneinander zu trennen, während die IT dies durch die Bereitstellung und den Einsatz von Technologie ermöglicht. Die Kunst besteht darin, einerseits den Zugriff auf Daten so weit freizugeben, dass die Mitarbeitenden ihre Arbeit effizient erledigen können, und ihn andererseits so stark einzuschränken, dass Betrug verhindert wird.

Die Komplexität der Zugriffsstrukturen und die gleichzeitige Dynamik in organisatorischen Strukturen machen diese Aufgabe zu einer nicht zu unterschätzenden Herausforderung. In vielen Fällen ist die Kombination von präventiven und detektiven Techniken die wirtschaftlich sinnvollste weil auch pragmatischste Lösung.

ÜBERWACHUNG DURCH DATENANALYSE Auch die Datenanalyse ist ein wirksamer Weg, um allfällige kritische Aktivitäten zu erkennen und zu quantifizieren. Dieser Ansatz empfiehlt sich zum Beispiel bei kleineren Organisationen, die keine Funktionentrennung zulassen oder bei großzügig gewährten Zugriffsrechten – egal, ob absichtlich (um die Dynamik der Abwicklung nicht zu gefährden) oder aus Nachlässigkeit.

Die strukturierte Analyse der Transaktionsdaten erledigt eine eigenständige Prüfungs-Software. Im Rahmen einer Überprüfung der Funktionentrennung bzw. der Zugriffsrechte lässt sich durch eine solche Datenanalyse beispielsweise feststellen, ob Kontenverbindungen kurzzeitig umgehängt wurden oder ob Journaleinträge in der Hauptbuchhaltung vorgenommen wurden, um Unregelmäßigkeiten in Nebenbüchern zu verwischen. Die finanziellen Auswirkungen von Manipulationen und Einträgen können damit bis auf die Kontoebene der Hauptbuchhaltung analysiert werden.

KONTROLLSYSTEM IN MEHREREN STUFEN Um Risiken zu vermeiden, sollten die Unternehmen bei der Einführung eines solchen Kontrollsystems schrittweise vorgehen.

Zunächst gilt es, jene Bereiche zu identifizieren, in denen ein Betrugsrisiko besteht. Jedes Unternehmen hat spezifische Risiken, welche die Wahl der zu wählenden Lösung beeinflussen. So macht es einen gro-ßen Unterschied, ob die Funktionentrennung für Treasurer in einem Backoffice eingeführt wird, wo große Summen bewegt werden, oder ob es darum geht, eine Debitorenbuchhaltung zu organisieren, die eher mit vielen Kleinbeträgen arbeitet. Für einen überschaubaren Kreis von Benutzern sind andere Lösungen gefragt wie für große, möglicherweise über viele Standorte verteilte Gruppen von Mitarbeitern.

Im nächsten Schritt werden die Kontrollen zur Überwachung und zur Minderung der Risiken bestimmt. Dabei besteht die Wahl zwischen verhindernden und aufdeckenden Kontrollen. Davon hängt dann auch die Wahl der konkreten Lösung ab.

Der Software-Markt für die Implementierung und Überwachung von Funktionentrennung ist in den letzten Jahren in Bewegung geraten, und wie bei jeder Systemauswahl müssen Anforderungen und Leistungen detailliert analysiert werden.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.



Hosted by:    Security Monitoring by: