Datenauswertungen und personenbezogene Datenanalyse:Beispiele für den praktischen Umgang im Revisionsumfeld

3

InhaltsverzeichnisThematischer Hintergrund und Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71.1 Begriffsdefinition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71.2 Zielsetzung und Historie der Datenanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2 Die Verantwortung der Unternehmensleitung . . . . . . . . . . . . . . . . . . . . . . . . 93 Grundsätze der Revisionsarbeit und Zusammenarbeit mit anderen

betrieblichen Instanzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113.1 Wesentliche Grundsätze der Revisionsarbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113.2 Betrieblicher Datenschutzbeauftragter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123.3 Chief Information Security Officer (CISO) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143.4 Betriebsrat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

4 Handlungshinweise bei Auswertung personenbezogener Daten . . . . . . . . . . 174.1 Grundsätzlicher Abstimmungsbedarf des Vorgehens bei Datenanalysen . . . . . .174.2 Voraussetzung für die Auswertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .194.3 Datenanalysen: Zulässige und unzulässige Vorgehensweisen . . . . . . . . . . . . . . .20

5 Massendatenanalysen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235.1 Hintergrund . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235.2 Massendatenanalysen im Rahmen der rechtlichen Möglichkeiten . . . . . . . . . . .235.3 Analyseprozess und mögliche Prüfungsergebnisse. . . . . . . . . . . . . . . . . . . . . . . . .25

6 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Anhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29A .1 Vorgehensweise bei der Massendatenanalyse . . . . . . . . . . . . . . . . . . . . . . . . 29

A.1.1 Aufbau eines Prozessverständnisses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29A.1.2 Die Datenanalyse anhand von drei Beispielen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30

A.1.2.1 Beispiel 1: Identifikation von Scheinlieferanten . . . . . . . . . . . . . . . . . . . . .30A.1.2.2 Beispiel 2: Rechnung ohne Bestellungen . . . . . . . . . . . . . . . . . . . . . . . . . .32A.1.2.3 Beispiel 3: Kostenlose Lieferungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

A.1.3 Zusammenfassung der Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35A .2 Optimierung der Datenanalyse durch „Data Mining“ . . . . . . . . . . . . . . . . . . 36

4

Die vorliegende Ausarbeitung wurde in Kooperation des des DIIR – Deutsches Institut für Interne Revision e. V. und der GDD – Gesellschaft für Datenschutz und Datensicherung e. V. erstellt.

Mitglieder der Projektgruppe waren:Uwe Dieckmann, Vorstand der GDD Arno Bönner, Corporate Auditing der Bayer AG Thomas Keller, Deutsche Post DHL Peter Schiefer, Corporate Auditing der Bayer AG Volker Hampel, Geschäftsführer DIIR e. V.Daniela Weller, DIIR e. V.

Die vorliegende Ausarbeitung gibt die persönliche Einschätzung der Autoren wieder.

Verzeichnis der Abbildungen und Tabellen

Abbildung 1: Selektive Datenanalyse vs. Massendatenanalyse . . . . . . . . . . . . . . . . . . . . . . . . 8Abbildung 2: Prozessunabhängige Handlungsempfehlungen . . . . . . . . . . . . . . . . . . . . . . . .18Abbildung 3: Identifikation von Scheinlieferanten – risikoorientierte Fragestellungen . . .30Abbildung 4: Identifikation von Scheinlieferanten – Ergebnismatrix . . . . . . . . . . . . . . . . . .32Abbildung 5: Rechnungen ohne Bestellungen – risikoorientierte Fragestellungen . . . . . .33Abbildung 6: Rechnungen ohne Bestellungen – Ergebnismatrix . . . . . . . . . . . . . . . . . . . . . .34Abbildung 7: Kostenlose Lieferungen – risikoorientierte Fragestellungen . . . . . . . . . . . . . .34Abbildung 8: Kostenlose Lieferungen – Ergebnismatrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35Abbildung 9: Datenreduktion durch Massendatenauswertungen . . . . . . . . . . . . . . . . . . . . .35Abbildung 10: Datenquellen für Data Mining . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37Abbildung 11: Datenquellen für Data Mining . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37

Tabelle 1: Beispiele für die uneingeschränkte Zulässigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Tabelle 2: Beispiele für eingeschränkte Zulässigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Tabelle 3: Beispiele für kritische Prüfungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

5

Thematischer Hintergrund und MotivationDie Begriffe „Datenanalysen“ und „personenbezogene Daten“ beherrschen in Verbindung mit der Internen Revision seit geraumer Zeit die Negativschlagzeilen der Medienland­schaft. Beide Begriffe werden dabei häufig in einen engen Zusammenhang gerückt, der in der Realität in dieser Form nicht existiert. Datenauswertungen sind technologische Innovationen jüngeren Datums, deren Ziel die Auswertung von Geschäftsdaten ist. Die Analyse personenbezogener Daten hingegen ist ein Thema, das die Revisionsarbeit seit Jahrzehnten begleitet. Auswertungen umfangreicher Datenbestände und die Analyse personenbezogener Daten sind zwei grundsätzlich von einander zu trennende Begriffe, die nur in spezifischen Konstellationen Überschneidungen aufweisen. Der Umgang mit Datenbeständen und personenbezogenen Daten erfordert neben der gebotenen Sensibil­ität auch eine klare Regelung. Ob die Novelle des Bundesdatenschutzgesetzes vom 10. 07. 2009 dazu einen Beitrag geleistet hat, darf durchaus in Zweifel gezogen werden. Insbesondere die Ausrichtung des § 32 „Datenerhebung, ­verarbeitung und ­nutzung für Zwecke des Beschäftigungsverhältnisses“ auf den Begriff der Straftat erweist sich in der betrieblichen Realität als problematisch. Der vorliegende Beitrag zeigt pragmatisch auf, wie einerseits personenbezogene Datenschutzinteressen als auch Interessen des Unter­nehmens ausgewogen berücksichtigt werden können. Dabei darf nicht übersehen werden, dass insbesondere die „Datenaffären“ der jüngsten Zeit die Problematik des Abwägens zwischen verschiedenen Rechtsgütern lediglich an die mediale Oberfläche gespült hat. Das Kernproblem bestand bereits davor, so dass der Einsatz IT­unterstützter Auswertungen dafür nicht ursächlich ist. Die Auswertung von umfangreichen Daten­beständen hat die Revisionsarbeit im Kern kaum geändert. Am Ende jeder Prüfung, die durch die IT­gestützte Analyse von gespeicherten Datenbeständen unterstützt wird, steht das konventionelle Prüfen, das aus dem Sichten von Akten und Verträgen, dem Führen von Interviews, dem Durchführen von Wirtschaftlichkeitsbetrachtungen, etc. besteht. Hierbei müssen in allen Fällen sensible personenbezogene Daten – wie gesetzlich gefor­dert – geschützt werden. Im Folgenden werden zunächst Grundsätze der Revisionsarbeit definiert, um später anhand von praktischen Beispielen aufzuzeigen, wie mit Datenaus­wertungen und personenbezogenen Daten verfahren werden kann.Anlass für die Veröffentlichung dieses Dokuments ist der Wunsch vieler Revisorinnen und Revisoren, mehr praktische Hinweise für die Durchführung von automatisierten Daten­analysen und darüber hinaus gleichzeitig Leitlinien für die notwendige Beachtung regulatorischer Vorgaben im Zusammenhang mit der Analyse personenbezogener Daten zu erhalten. Für Letztere verweisen wir zusätzlich auf die Ausführungen „Handlungsemp­fehlungen beim Datenabgleich zur Aufdeckung wirtschaftskrimineller Handlungen durch die Interne Revision“ in der Zeitschrift Interne Revision, 3/2009, S. 99­102. Neben der detaillierten Darstellung möglicher Vorgehensweisen befindet sich ergänzend in Kapitel 4.3 eine tabellarische Zusammenfassung unterschiedlicher Konstellationen bei der Datenanalyse mit einer Einordnung deren Anwendbarkeit.

7

1 Einführung1 .1 Begriffsdefinition

Massendaten sind die Grundgesamtheit der Unternehmensdaten, die für verschiedene Zwecke erhoben wurden (z. B. Kombination aus Kreditoren, Debitoren und Personal­daten); im Unterschied zur Gesamtheit aller Daten zu einem Prüfungsobjekt.Der Begriff „digitale Massendatenanalyse“ hat sich erst in jüngster Zeit herausgebildet; es steht noch keine umfangreiche Fachliteratur zu diesem Thema zur Verfügung. Darüber hinaus ist der Begriff gesetzlich nicht definiert oder geschützt. Unter digitalen Massen­daten wird in der Betriebswirtschaft eine hohe Anzahl strukturierter, digital gespeicherter Daten verstanden. Die Analyse und Auswertung der Gesamtdatenmenge ist in Anbetracht der hohen Datenvolumina ökonomisch nur mithilfe computergestützter Methoden und Werkzeuge möglich. Anders ausgedrückt, kann die digitale betriebswirtschaftliche Massendatenanalyse auch als die

“Verwendung von computerunterstützten Methoden und Werkzeugen zur ökonomischen Analyse und Auswertung der Gesamtdatenmenge einer hohen Anzahl digital gespeicherter betriebswirtschaftlicher Daten”

definiert werden. Im Sinne einer pragmatischen Abgrenzung kann der Begriff „Massen­daten“ auch als Datenmenge bezeichnet werden, die nicht mehr bspw. durch konventio­nelle MS­Excel­Anwendungen strukturiert und mit wechselnden Zielsetzungen bearbeitet werden kann.Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhält­nisse einer bestimmten oder bestimmbaren Person. Der Begriff entstammt dem Daten­schutzrecht, allerdings gibt es in den deutschsprachigen Ländern unterschiedliche gesetzliche Definitionen. In Deutschland fallen beispielsweise nur die Daten von natür­lichen Personen (§ 3 Bundesdatenschutzgesetz – BDSG), in Österreich zusätzlich auch die von juristischen Personen (§ 4 Datenschutzgesetz 2000) in den Schutzbereich der ent­sprechenden Gesetze. Geschäftsdaten sind alle Daten, die ein Unternehmen für seine geschäftlichen Zwecke verwendet. Sie bestehen sowohl aus personenbezogenen Daten als auch aus nicht perso­nenbezogenen Daten. Im Debitoren­ und Kreditorenbereich fallen Informationen und Daten hinsichtlich natürlicher Personen immer unter die Bestimmung des BDSG. Auch Rechnungswesen­Daten erscheinen oft auf den ersten Blick nicht wie personenbe­zogene Daten, enthalten in der Regel Angaben zu Beschäftigten, z. B. wer die Bestellung, Lieferung, Buchung der Rechnung oder Zahlungsfreigabe im System eingegeben hat, und fallen damit auch unter das BDSG.

1 .2 Zielsetzung und Historie der Datenanalyse

Im letzten Jahrzehnt hat die digitale Datenerfassung die Papierdokumentation immer weiter abgelöst. Um der Aufgabe der Internen Revision gerecht zu werden, müssen zur Vorbereitung und Prüfungsdurchführung entsprechende technische Werkzeuge einge­setzt werden, denn offensichtlich können sonst die methodischen Prüfungsansätze nicht mehr mit den technischen Gegebenheiten Schritt halten.Bereits seit vielen Jahren hat die Interne Revision – deckungsgleich mit anderen Berufs­zweigen – die Möglichkeit, die Revisionsarbeit durch die Analyse von IT­gespeicherten Rechnungswesendaten zu unterstützen. Inwieweit das konventionelle Prüfvorgehen und

8

massendatenunterstützte Prüfvorgehen zusammenhängen, verdeutlicht das beigefügte Schaubild:Im Rechnungswesen werden kreditorische und debitorische Informations­ und Werteflüsse zusammengeführt und bilden die Rechnungswesendaten des Unter­nehmens. Die Transaktionen des Rechungswesens verzahnen die beschaffungs­seitigen und vertriebs seitigen warenwirtschaftlichen Kreisläufe, so dass sich im Rechnungswesen indirekt alle Prozesse widerspiegeln. Die Daten des internen und externen Rechnungswesens stellen die Basis für Datenauswertungen dar. Die grundlegende Annahme der Datenanalyse lautet, dass Regelübertretungen und ­verstöße ihre Spuren in den digitalen Datenbe ständen hinterlassen. Aber auch formal regelkonforme Transaktionen können Auffälligkeiten aufweisen, die auf ein Risiko hindeuten (z. B. die Stückelung von Beiträgen zur Umgehung von Betragsgrenzen).Die große Menge an Daten aus dem operativen Tagesgeschäft – z. B. hundert­tausende oder mehrere hundert Millionen Datensätze – fallen in unterschied­lichsten Unternehmensbereichen an:

• Daten des Rechnungswesens /der Finanzbuchhaltung – Stammdatenverwaltung – Kreditorenbuchhaltung – Debitorenbuchhaltung – Anlagenbuchhaltung

• Produktionsdaten/Vertriebsdaten • Einkaufsdaten• Kundeninformationenusw.In modernen ERP­Systemen, wie z. B. SAP R/3, liegen in der Regel in Abhängigkeit von der Tätigkeit der Gesellschaft und Dauer des Einsatzes des Systems annähernd unbegrenzte Datenmengen vor. Diese Datenvolumina lassen sich mit konventionellen Mitteln nur sehr eingeschränkt analysieren.Ein Hauptmerkmal des konventionellen Prüfvorgehens ist, dass – bedingt durch tech­nische Restriktionen – Daten nicht in ihrer Gesamtheit betrachtet werden können. Da eine Vollprüfung in der Realität nicht durchführbar ist, ist der Prüfer gezwungen, eine Auswahl vorzunehmen. Hierbei kann eine Zufallsstichprobe gezogen oder eine bewusste Auswahl getroffen werden. In jedem Fall basiert das Vorgehen auf Unkenntnis der Grundgesamtheit aller Daten.Genau an dieser Schwachstelle setzt die Massendatenanalyse an. Bei massendaten­basierten Analysen wird eine Grundgesamtheit von Daten, z. B. alle Bestellungen der ver­gangenen zwei Geschäftsjahre, betrachtet. Anstelle von Stichproben oder einer bewuss­ten Auswahl werden risikoorientierte Fragestellungen auf die Grundgesamtheit der Daten abgebildet. Ziel ist es hier, bezogen auf vorher klar zu definierende Risikobereiche/­felder und daraus abgeleiteten Fragestellungen, aus der Gesamtheit aller zur Verfügung stehen­den Daten diejenigen Datensätze herauszufiltern, die auf Abweichungen, Ausreißer, Klumpenrisiken bzw. Regelverstöße hindeuten.

Abbildung 1: Selektive Datenanalyse vs. Massendatenanalyse

9

2 Die Verantwortung der Unternehmensleitung

Die Unternehmensleitungen (anzuführen sind hier insbesondere Kapitalgesellschaften – AG und GmbH – bzw. kapitalmarktorientierte Unternehmen, die Aktien oder andere Wert­papiere ausgegeben haben) unterliegen nach regulatorischen Vorschriften allgemeinen Sorgfaltspflichten. Dies erfordert das Setzen und Kommunizieren von Verhaltensnormen und Handlung s­anweisungen durch die Unternehmensleitung – zumindest für risikobehaftete Themen­felder –, um die Einhaltung rechtlicher und regulatorischer Vorgaben sicherzustellen. Im Deutschen Corporate Governance Kodex heißt es hierzu: „4.1.3 Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Com­pliance). 4.1.4 Der Vorstand sorgt für ein angemessenes Risikomanagement und Risiko­controlling im Unternehmen.“ Der vielzitierte § 91 (2) AktG fordert: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ Nach § 25a (1) KWG muss zudem ein Institut über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewähr­leistet.Dabei bestehen keine explizit definierten Anforderungen. In der Begründung des Gesetz­entwurfs der Bundesregierung zum Bilanzrechtsmodernisierungsgesetz (BilMoG) heißt es beispielsweise: „Es bleibt den geschäftsführenden Organen überlassen, ein internes Kon­trollsystem oder ein internes Risikomanagementsystem nach den vorhandenen Bedürf­nissen unter Berücksichtigung der Unternehmens­Strategie, des Geschäftsumfangs und anderer wichtiger Wirtschaftlichkeits­ und Effizienzgesichtspunkte einzurichten.“Bei Verstoß gegen die eingangs genannten Sorgfaltspflichten drohen allerdings unter­schiedliche Sanktionen:• nach § 93 AktG Schadensersatzzahlungen bei Pflichtverletzung: „(1) Die Vorstands­

mitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden … (2) Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig, ob sie die Sorgfalt eines ordent lichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast.“

• nach § 43 GmbHG: „(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. (2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft soli darisch für den entstandenen Schaden.“ Darüber hinaus gilt gem. § 52 GmbHG: „(1) Ist nach dem Gesellschaftsvertrag ein Aufsichtsrat zu bestellen, so sind … in Verbindung mit § 93 (1) und (2) des Aktiengesetzes entsprechend anzuwenden, soweit nicht im Gesellschaftsvertrag ein anderes bestimmt ist.“

• Das heißt, auch das GmbHG referenziert explizit Haftungsregelungen des Aktien­gesetzes.

• Nach § 130 OWiG (1): „Wer als Inhaber eines Betriebes oder Unternehmens vorsätz­lich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern …, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. ...“

10

Das OWiG ist hier konkret, wenn es um Kriterien der Ordnungswidrigkeit geht: die vorsätzliche oder fahrlässige Unterlassung von Aufsichtsmaßnahmen, wenn eine „gehörige“ Aufsicht Zuwiderhandlungen verhindert oder wesentlich erschwert hätte.

• Über die vorgenannte Sanktionierung hinaus dient auch der Arbeitsvertrag zur indivi­dualvertraglichen Regelung der Haftungsfolgen für den Fall der Nichteinhaltung von der Unternehmensleitung gesetzter oder rechtlicher Normen.

Die Interne Revision ist das wesentliche Überwachungsinstrument, mit dem sich die Unternehmensleitung von der Einhaltung der von ihr gesetzten Normen und der recht­lichen und regulatorischen Vorgaben überzeugt (Compliance; Ordnungsmäßigkeit = com­pliance oder correctness). Wichtigster Grund ist hier die prozessunabhängige Funktion der Internen Revision, die sie gegenüber anderen Unternehmensbereichen hervorhebt und unterscheidet. Aus dem gleichen Grund sollte die Interne Revision auch Ratgeber hinsichtlich der Anforderungen sein, die bei der Erstellung und Definition von Vorgaben hinsichtlich Compliance und Compliance­Regularien im Unternehmen festgelegt werden. Zur Untersuchung der Einhaltung vielfältiger Compliance Vorschriften ist die Analyse verfügbarer Datenbestände zielführend: beim heutigen Stand der IT­technischen Verar­beitung von Geschäftsvorfällen ist die Durchführung einer angemessenen Überwachung besonders risikobehafteter Bereiche ohne die Verwendung vergleichbarer technischer Methoden unrealistisch. Grund ist, dass die manuelle Abdeckung über sporadische Stich­proben aus einer Grundmenge von Tausenden von Geschäftsvorfällen oder Transaktionen bei der heute gegebenen umfassenden Durchdringung der Geschäftsprozesse mit elek­tronischen Datenbeständen häufig in Relation zu unvertretbar kleinen Stichproben­umfängen führt. Es ist daher zu bezweifeln, dass den Vorgaben nach angemessener Überwachung und Kontrolle mit eingangs beschriebenen Sanktionen für die Unterneh­mensleitungen über manuelle Stichproben entsprochen werden kann. Die Durchführung automatisierter Datenanalysen ist insofern ein unbestrittenes „Muss“. COSO als Trend­setter schreibt hier sogar noch weitergehend: “Breadth of Monitoring Processes – Organizations may select from a wide variety of monitoring procedures …, including but not limited to: …Continuous monitoring programs built into information systems …”In allen Fällen gilt aber aus der berufsständischen Sicht für die Revisoren: regulatorische Vorgaben, die für den Prüfenden auch hier den Compliance­Rahmen setzen – insbeson­dere den Datenschutz betreffend – sind notwendig zu beachten.Im Zeitalter des flächendeckenden Einsatzes großer ERP­Systeme bieten IT­unterstützte Analysen die Möglichkeit, dem Haftungsrisiko der Unternehmensleitung aktiv entgegen­zuwirken. Im Gegensatz zu stichprobenbasierten Prüfansätzen erlauben IT­unterstützte Prüfungsstrategien, dass auf Basis von Grundgesamtheiten ein hohes Maß an Daten­transparenz hergestellt werden kann. Auf dieser Grundlage können Risiken identifiziert und präventive Maßnahmen eingeleitet werden. Somit stellen massendatenbasierte Analysen auch eine wichtige Maßnahme zur Reduzierung des Haftungsrisikos von Vor ständen und Geschäftsführern dar.

11

In Bezug auf die Kernaufgaben und Prüfungsziele der Internen Revision ergeben sich Überschneidungen und Abstimmungsbedarf mit anderen betrieblichen Instanzen, die ebenfalls eigenständige Aufgaben im Rahmen der Gewährleistung der Ordnungsmäßig­keit haben. Neben den für die allgemeine Sicherheit (z. B. Arbeitsschutz, Werksschutz) oder Compliance (z. B. Compliance­Officer, Geldwäschebeauftragter) zuständigen Stellen sollen hier näher die Instanzen betrachtet werden, die mit Datenschutz und/oder Daten­sicherheit betraut sind. Das sind der betriebliche Datenschutzbeauftragte, der Chief Information Security Officer (CISO) und die Betriebsräte, mit denen es für die konven­tionelle Arbeit sinnvoll ist, eine gute Zusammenarbeit mit den genannten betrieblichen Instanzen zu etablieren.

3 .1 Wesentliche Grundsätze der Revisionsarbeit

Um Überschneidungen und gemeinsame Ziele der Internen Revision mit anderen betrieb­lichen Instanzen aufzuzeigen, wird zunächst eine Standortbestimmung der Revisions­arbeit – auch für interessierte Außenstehende – vorgenommen. Zu diesem Zweck werden im Folgenden die wesentlichen Grundsätze der Revisionsarbeit in einem kurzen Überblick zusammengetragen:• Die Interne Revision verfolgt einen risikoorientierten Prüfansatz.• Standardmäßig zählen folgende Prüfungsfelder zu den Arbeitsgebieten der Internen

Revision: – Rechnungswesen/Finanzbuchhaltung – Einkauf/Beschaffung – Vertrieb – Front­/Middle­ und Backoffice – Technik & Produktion – Personalbereich – Forschung und Entwicklung – IT

• Die wichtigsten Kernaufgaben und Prüfungsziele der Internen Revision sind die Prüfung – der Wirksamkeit des Internen Kontrollsystems (IKS), – der Wirtschaftlichkeit, – der Ordnungsmäßigkeit und dabei der Einhaltung von Gesetzen, Verordnungen

und internen Richtlinien, sowie – der (IT­)Sicherheit.

• Eine Kernaufgabe der Internen Revision ist auch der Schutz des Unternehmens vor Vermögensverlusten.

• Die Internen Revisionen haben im Rahmen des Prüfungsauftrages ein uneinge­schränktes Informationsrecht und damit die Möglichkeit des Zugriffs auf sämtliche Geschäfts- und Buchhaltungsdaten des Unternehmens.

• Prüfaufträge in den o. g. Prüffeldern werden auf Basis einer vorliegenden Prüfungs­planung unter Verwendung der Geschäftsdaten durchgeführt.

3 Grundsätze der Revisionsarbeit und Zusammenarbeit mit anderen betrieblichen Instanzen

12

• Beim Einsatz sämtlicher Prüfmethoden ist der Grundsatz der Verhältnismäßigkeit zu beachten.

Die Interne Revision führt bei dieser Tätigkeit keine Leistungs- und Verhaltens-kontrollen der Arbeitnehmer durch. IT-gestützte Analysen stellen ein zeitgemäßes Analysewerkzeug für Revisoren dar, das die Prüfarbeit in modernen ERP­Systemen, wie z. B. SAP R/3, erleichtert. Die bloße IT­unterstützte Analyse umfangreicher Datenbestände ersetzt in keinem Fall konven­tionelle Prüfhandlungen, sondern stellt eine wirkungsvolle Unterstützung dar.

3 .2 Betrieblicher Datenschutzbeauftragter

Unter Bezugnahme auf § 4g BDSG lassen sich die wesentlichen Aufgaben des betrieb­lichen Datenschutzbeauftragten wie folgt darstellen:• Vorbereitung von Managemententscheidungen zur Gewährleistung von Datenschutz

und Datensicherheit• Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme• Beratende Mitwirkung und Mitgestaltung der erforderlichen technischen und organi­

satorischen Maßnahmen gemäß § 9 BDSG und Anlagen• Kontrolle der Auftragsdatenverarbeiter entsprechend § 11 BDSG• Durchführung der Vorabkontrolle gemäß § 4d (5) BDSG• Sicherstellung der Verfügbarkeit des Verfahrensverzeichnisses für jedermann• Schulung und Verpflichtung der Mitarbeiter• Sicherstellung der Wahrung der Rechte BetroffenerIm Zusammenhang mit den Veröffentlichungen zu den „Datenaffären“ ist auch die Stel­lung der Internen Revision ins Rampenlicht gerückt worden. Die Revisionen überwachen die Geschäftsvorfälle sowie die Aufbau­ und Ablauforganisation der Unternehmen unter anderem unter den Aspekten Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit. Da unter „Ordnungsmäßigkeit“ die Einhaltung aller rechtlichen und aller betrieblichen Vorschriften und unter „Sicherheit“ die Sicherung des gesamten Vermögens einschließlich der Datenbestände verstanden wird, bestehen in der Überwachungsaufgabe Gemeinsam­keiten zwischen Revision und einem Datenschutzbeauftragten, der auf die Einhaltung datenschutzrechtlicher Vorschriften einschließlich Datensicherheit hinwirken soll. Das läuft darauf hinaus, dass beide Stellen Geschäftsprozesse auf ihre Zweckmäßigkeit im Hinblick auf die Ordnungsmäßigkeit und Sicherheit überprüfen. Auch der Aspekt der Wirtschaftlichkeit ist vom Datenschutzbeauftragten im Zusammenhang mit den Daten­sicherheitsmaßnahmen der Anlage zu § 9 BDSG zu beachten.Die direkte Unterstellung der Revision und des Datenschutzbeauftragten der Geschäfts­führung gegenüber bedeutet nicht, dass die Tätigkeit im Einzelnen durch die Geschäfts­führung beeinflusst wird. Sie soll eher sicherstellen, dass die berichteten Mängel durch die Geschäftsführung zur Kenntnis genommen und abgestellt werden.Die Vorgesetztenfunktion der Geschäftsführung ist eher disziplinarischer und nicht fachlicher Art.Während ein Datenschutzbeauftragter nach § 4 f BDSG gesetzlich zu bestellen ist, ist eine Revision nur in bestimmten Bereichen vorgeschrieben. Revision und Datenschutz­beauftragter haben den Status der Unabhängigkeit. Mit der fachlichen Weisungsfreiheit einher geht auch der Grundsatz, dass gegenüber anderen Stellen kein Weisungsrecht besteht, damit nicht eigene Weisungen bei späteren Prüfungen kritisch hinterfragt werden müssen. Wegen der sich überschneidenden Aufgabenbereiche liegt es auf der Hand, dass Unternehmen mit bestehenden Revisionen prüfen, ob Revision und Daten­schutz in einer Stelle geführt werden sollten.So gibt es dem Gebiet der Überwachung von IT­Abläufen, insbesondere wegen der in der Anlage zu § 9 BDSG sogenannten 8 Gebote zur Datensicherheit in hohem Maße

13

identische Prüfungsobjekte. Dies wird besonders deutlich bei der Prüfung der Ein­räumung und Nutzung von Zugriffsberechtigungen. Das Protokollieren von Daten verändernden und teilweise auch von lesenden Zugriffen ist handelsrechtlich, nach den Grundsätzen ordnungsmäßiger Buchführung, nach § 10 BDSG sowie nach Nr. 5 der An lage des § 9 BDSG in bestimmten Fällen vorgeschrieben.In Bezug zum Beauftragten für den Datenschutz finden sich in der IT­Revision weitere überschneidende Aufgaben. Im Hinblick auf die IT­Sicherheit des Unternehmens obliegt der IT­Revision dabei immer mehr die Prüfung des bestehenden IT­Sicherheitsniveaus und – daraus abgeleitet – auch die Aufgabe, Vorschläge zur Erhöhung der Sicherheit der Daten vor unbefugten Zugriffen und Zerstörung zu erstellen. Zu prüfen sind Systeme, Prozesse und Ergebnisse, und zwar dahingehend, ob sie die an sie gestellten unterneh­mensinternen und gesetzlichen Anforderungen erfüllen.1

Eine Zusammenarbeit zwischen betrieblichem Datenschutzbeauftragten und IT­Revision ist deshalb möglich und in vielen Fällen sinnvoll. Die IT­Revision prüft als unabhängiges Überwachungsinstrument der Unternehmensleitung sämtliche IT­Prozesse, DV­Anwen­dungen und IT­Systeme im Rahmen anstehender Prüfungen und Vorhaben. Die daraus resultierenden Ergebnisse geben Auskunft über das IT Sicherheitsniveau und wesentliche Datensicherheitsaspekte, die für den betrieblichen Datenschutzbeauftragten von hohem Interesse sind.Der betriebliche Datenschutzbeauftragte wiederum kann im Gegenzug der IT­Revision Anregungen für risikobehaftete Prüfungsthemen und ­inhalte liefern. Tatsache ist nun, dass eine stattliche Anzahl von Unternehmen den Datenschutz in der Revision angesiedelt hat. Der Vorteil war bei Personengleichheit offenbar der, dass man den Datenschutzbeauftragten einer bereits existierenden Stelle mit eingefahrenen Kom­munikationswegen zuordnen konnte. Die Aufnahme auch von Datenschutzmängeln in die Revisionsberichterstattung mit einem geordneten Follow­Up war ein weiterer Vorteil. Der Datenschutz bekommt dadurch mehr Gewicht. Fehlendes technisches Know­How kann durch die IT­Revision ausgeglichen werden.In Datenschutzaufsichtsbehörden wird deshalb auch durchaus die Meinung vertreten, es entstehe keine Interessenkollision, wenn Revision und Datenschutz in einer Stelle geführt werden. Bisher ist auch keine generelle Verlautbarung der BaFin zur Unvereinbarkeit von Datenschutz und Revision ergangen. Abweichende Meinungen gibt es in der Literatur. In Kreditinstituten (z. B. Sparkassen­sektor) hat sich teilweise die Meinung durchgesetzt, Revision und Datenschutz müsse getrennt sein. Maßgebend für diese Meinung war wohl auch, dass die BaFin bestimmte andere Funktionen (Geldwäschebeauftragte, Compliancebeauftragte) als nicht vereinbar mit der Revisionsfunktion ansah, weil jene Funktionen wiederum durch die Revision geprüft werden müssten. Diese Meinung verkennt jedoch den Umstand, dass der gesetzlich zu bestellende Beauf­tragte für den Datenschutz nicht der Kontrolle durch die Revision unterliegen kann, weil dies aufgrund seiner Aufgabenstellung nicht mit dem Datenschutzgesetz vereinbar wäre. Darüber hinaus gehört es nicht zu den Aufgaben der Revision, planmäßig unmittelbare Prüfungen von Personen durchzuführen, sondern Geschäftsvorfälle und Prozesse zu überprüfen. Falls sich dabei ergeben sollte, dass es bei Geschäftsvorfällen oder Prozessen zu Verletzungen des Datenschutzes gekommen ist, entsteht nicht etwa eine Interessen­kollision zwischen Revision und Datenschutz, sondern im Gegenteil können Synergien zwischen beiden Bereichen gehoben werden. Was die Zusammenarbeit der Revision mit dem betrieblichen Datenschutzbeauftragten anbetrifft, ist diese insbesondere bei personenbeziehbaren Datenanalysen von Vorteil. Eine frühzeitige Abstimmung des Vorgehens ist sinnvoll und notwendig, um rechtzeitig

1 Vgl. Kurt Ziener: „Betrieblicher Datenschutzbeauftragter und IT­Revisor – Kooperation oder Gegensätze?“ (http://www.datakontext.com/portal/dkpdb_produkte/dateien/probekapitel/9783895775154_leseprobe.pdf)

14

mögliche Auswirkungen auf personenbezogene Daten zu analysieren und die Zulässigkeit der gewünschten Vorgehensweise zu dokumentieren.

3 .3 Chief Information Security Officer (CISO)

Aus dem Prozessverständnis gemäß ISO/ IEC 27001 lassen sich folgende Ziele und An sätze für ein effektives Information Security Management ableiten:a) Verständnis der Information Security Anforderungen einer Organisation und die

daraus abgeleitete Etablierung geeigneter Richtlinien und Ziele für Informations­sicherheit

b) Die Implementierung und der Betrieb von Kontrollen, um dem Risiko hinsichtlich Informationssicherheit im Unternehmenskontext zu begegnen

c) Monitoring und Review der Performance und Effektivität des Information Security Management Systems

d) Kontinuierliche Verbesserung basierend auf objektiven Indikatoren2

Die Anforderungen aus ISO/ IEC 27001 knüpfen auch an die Anforderungen des Bundes­amtes für Sicherheit in der Informationstechnik (BSI) an Datensicherheit an. Darüber hinaus finden sie sich so auch im Schutzgedanken des BDSG wieder und lassen sich aus den Grundsätzen ordnungsgemäßer Buchführung in DV gestützten Systemen (GoBS) ableiten. Auch hier zeigt sich sehr deutlich, dass die Ziele eines Chief Information Security Officers sich teilweise mit den Zielen der Internen Revision überschneiden. Daher ist die Zusam­menarbeit zwischen CISO und der Internen Revision sinnvoll, da beide Stellen von Vorgehensweisen und Ergebnissen der jeweils anderen betrieblichen Instanz profitieren können.

3 .4 Betriebsrat

Nach § 75 (2) BetrVG haben Arbeitgeber und Betriebsrat die freie Entfaltung der Persön­lichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern. Damit hat der Betriebsrat eine gesetzlich definierte Aufgabe im Bereich des Arbeitnehmerdaten­schutzes. In diesem Zusammenhang zu sehen sind auch die Mitbestimmungsrechte nach § 87 (1) 6 BetrVG im Falle der Möglichkeiten der Verhaltens­ oder Leistungskontrolle. Deshalb sollten – nicht in Bezug auf jede einzelne Prüfung, sondern im Wege einer all gemeinen Übereinkunft – klare Regelungen zur grundsätzlichen Vorgehensweise bei computerunterstützten Datenanalysen mit dem Betriebsrat vereinbart werden. Hierzu zählt beispielsweise, wann und in welchen Fällen der Betriebsrat über die Durchführung einer Analyse informiert oder beteiligt werden muss. Wird das Verfahren in einer Be­triebsvereinbarung geregelt, kann dies als Zulässigkeitskriterium gemäß § 4 BDSG heran­gezogen werden, weil eine solche Vereinbarung als vorrangige Rechtsvorschrift im Sinne des BDSG gilt. Aus Datenschutzsicht ist der Abschluss einer entsprechenden Verfahrensanweisung zu empfehlen, denn diese setzt zum einen das Transparenzgebot des BDSG um und kann darüber hinaus die Interessensabwägung nach § 28 (1) BDSG dokumentieren. In einer solchen Verfahrensanweisung könnte die Revision z. B. wie folgt erwähnt werden:„Die Revision ist die vom Vorstand / von der Geschäftsführung aufgrund gesetzlicher Vorschriften (z. B. § 93 (1) AktG) eingesetzte unabhängige Instanz zur Überwachung.(…)

2 Vgl. ISO/ IEC 27001

15

Zu diesem Zweck hat sie unter den Aspekten Wirtschaftlichkeit, Zweckmäßigkeit, Sicher­heit und Ordnungsmäßigkeit die Aufbau­ und Ablauforganisation und sämtliche Geschäftsvorfälle turnusmäßig zu überprüfen. Die direkte Leistungs­ und Verhaltenskon­trolle von Mitarbeitern ist nicht Aufgabe der Revision. Soweit die Revision Programme einsetzt, die Geschäftsvorfälle auf ihre Ordnungsmäßigkeit untersuchen und dabei auch die dafür verantwortlichen Mitarbeiter erfassen, fällt die Konstellation nicht unter diese Vereinbarung. Ebenfalls nicht hierunter fallen Auswertungen, in der Mitarbeiter zu Gruppen zusammengefasst und nur über die Ergebnisse der Gruppe berichtet wird (…)“.Im Folgenden einige Hinweise für mögliche Inhalte einer Verfahrensanweisung:

Beispielhafte Inhalte für eine Verfahrensanweisung

• Die Revision ist eine unabhängige Überwachungsinstanz.• Die verwendeten Prüfungsinstrumentarien müssen fortlaufend angepasst und

zeitgemäß durch computergestützte Prüfungsverfahren verstärkt werden.• Ziel der Revisionsarbeit ist nicht die Leistungs­ oder Verhaltenskontrolle von

Mitarbeitern.• Revision prüft insbesondere unter Ordnungsmäßigkeitsgesichtspunkten

Geschäftsvorfälle.• Prüfungstätigkeiten der Internen Revision erfordern nicht die Abstimmung

mit Betriebsrat und Datenschutzbeauftragtem – es sei denn, es handelt sich um schutzwürdige personenbezogene Daten der Mitarbeiter.

• Auch bei sensitiven Kundendaten/Lieferantendaten sind die Vorschriften des BDSG einzuhalten.

• Weiterführende personenbezogene Analysen, die auf Basis eines begründeten, dokumentierten Verdachts hinsichtlich eines Regelverstoßes von der Revision durchgeführt werden, erfordern die Einbindung des Betriebsrats und Daten­schutzbeauftragten.

• Da zur allgemeinen Prüfung der Geschäftsvorfälle (reguläre Revisionsarbeit) automatisierte Analysen notwendig sind, werden diese für die Revisionsarbeit mit dieser Verfahrensanweisung als zulässiges Instrument freigegeben.

17

4 .1 Grundsätzlicher Abstimmungsbedarf des Vorgehens bei Datenanalysen

Für den Betrachtungsumfang der eigentlichen Revisionsprüfung gilt: die Revision darf für die Erfüllung der Sorgfaltspflicht als Unterstützungsfunktion der Unternehmens­leitung alle im Unternehmen vorhandenen Daten sehen und z. B. prüfen. Verwendet werden dürfen erhobene personenbezogene Daten allerdings nur für den Zweck, für den sie ursprünglich erhoben wurden.Das folgende Schaubild enthält eine Übersicht zu den alternativen Vorgehensweisen Datenanalyse „mit Personenbezug“ und „ohne Personenbezug“. Unabhängig vom relevan­ten Fall wird empfohlen, die im oberen Bereich des Schaubildes dargestellten „prozess­unabhängigen“ Handlungsempfehlungen grundsätzlich zu beachten. Diese bestehen in der Abklärung des grundsätzlichen Analysevorgehens für zukünftige Revisionsaufträge mit der Unternehmensleitung sowie – je nach Ausprägung im jeweiligen Unternehmen – den Instanzen Personal­ und Rechtsabteilung sowie Datenschutzbeauftragtem und Betriebsrat. Die definierte Vorgehensweise sollte schriftlich fixiert und als Verfahrensan­weisung bzw. als Betriebsvereinbarung abgefasst werden, um mehrfach wiederkehrende Abstimmungsprozeduren in Bezug auf einzelne Prüfungen zu vermeiden. Alle betroffe­nen Parteien bewegen sich dann auf einem vordefinierten und nachvollziehbaren Feld.Bei der Nutzung von Mitarbeiterdaten im Zusammenhang mit einer möglichen Leis­tungs­ oder Verhaltenskontrolle sind die Mitbestimmungsrechte des Betriebsrats zu beachten. Es gilt der Grundsatz, dass bei nicht erfolgter Mitbestimmung nach § 87 (1) Nr. 6 BetrVG die Datenauswertung auch datenschutzrechtlich nicht zulässig ist. Daher sind Regelungen zur grundsätzlichen Vorgehensweise bei derartigen Analysen mit dem Betriebsrat zu vereinbaren. Hierzu zählt beispielsweise, wann und in welchen Fällen der Betriebsrat über die Durchführung einer Analyse informiert oder beteiligt werden muss. Aus Datenschutzsicht ist der Abschluss einer entsprechenden Betriebsvereinbarung zu empfehlen, denn diese setzt zum einen das Transparenzgebot des BDSG um und kann darüber hinaus neben der genannten Interessensabwägung nach § 28 (1) BDSG als zusätzliches Zulässigkeitskriterium gemäß § 4 BDSG herangezogen werden.

Die anschließenden Ausführungen zeigen auf, mit welchen Mitteln Datenanalysen möglichst umfassend ohne Personenbezug (entsprechend Zweig „ohne Personenbezug“ im Schaubild) betrieben werden können.

4 Handlungshinweise bei Auswertung personenbezogener Daten

18

Prozessunabhängige Handlungsempfehlungen

I) Abstimmung des Vorgehens bei personenbezogenen Datenanalysen mit Unternehmensleitung, Personal­abteilung, Rechtsabteilung, Datenschutzbeauftragtem, Betriebsrat

Mit Personenbezug

DATEN

II) Abfassung einer Verfahrensanweisung oder Betriebs­vereinbarung zum Vorgehen bei personenbezogenen Datenanalysen

Ohne Personenbezug

Prozessabhängige Handlungsempfehlungen

1 • Untersuchungsobjekt eindeutig defi nieren und abgrenzen

2 • Betrachtungsobjekt maximal einschränken (mi­nimale Verwendung personenbezogener Daten)

3 • Einbezogene personenbezogene Daten anonymisieren/pseudonymisieren

4 • Beteiligte an Untersuchung einweisen (Datenschutzbeauftragter)

5 • Dokumentationsregeln festlegen (idealerweise in o. g. Verfahrensanweisung)

6 • Analysen durchführen

7 • Analysen dokumentieren (Bezug herstellen für spätere Rekonstruierbarkeit etc.)

8 • Nicht risikobehaftete Daten unverzüglich löschen

9 • Abstimmung mit eventuell einzubeziehenden Einheiten (Recht, Personal, Betriebsrat) bei auffälligen Ergebnissen

10 • Zur Einbeziehung externer Dienstleister: direkte Entnahme der Rahmenbedingungen aus dem BDSG

Keine spezifi schen Anforderungen zu berücksichtigen

Abbildung 2: Prozessunabhängige Handlungsempfehlungen

19

4 .2 Voraussetzung für die Auswertung

Beim reinen Bezug einer Datenanalyse auf Geschäftsfälle bzw. Rechnungswesendaten ist von unproblematischen Konstellationen auszugehen. Da diese Auswertungen grundsätz­lich jedoch einen Bezug zu den Mitarbeitern herstellen können, welche die Geschäfts­vorfälle veranlasst oder gebucht haben, ist – wie schon zuvor erwähnt – eine allgemeine Information von Betriebsrat und Datenschutzbeauftragtem über die Zielsetzung der Auswertungen und die generelle Vorgehensweise zu empfehlen. In allen Fällen sind beim Abgleich oder der Auswertung personenbezogener Daten, die unmittelbar konkreten Personen zugeordnet werden sollen oder zur Leistungs­ oder Verhaltenskontrolle der Arbeitnehmer geeignet sein können, strenge Regeln einzuhalten. Unabhängig davon, ob dazu zusätzlich zu den unternehmenseigenen auch unterneh­mensfremde Daten (wie unter „Data Mining“ ausgeführt) in die Analyse einfließen. Im Folgenden hierzu einige wichtige Passagen aus dem Bundesdatenschutzgesetz:

§ 32 (1) Satz 1 BDSG (Datenerhebung, ­verarbeitung und ­nutzung für Zwecke des Beschäftigungsverhältnisses)

„Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäfti­gungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.“

verdrängt nach der Gesetzesbegründung die Bestimmungen von § 28 (1) Satz 1 Nr. 1 und Satz 2 BDSG. Durch seine derzeitige Ausrichtung auf Straftaten in Satz 2

„Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäf­tigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumen­tierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbei­tung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“

wird seine Anwendung für die Analyse von im Unternehmen bereits vorhandenen Daten vermutlich beschränkt bleiben. Nach der Gesetzesbegründung zum § 32 BDSG darf der Arbeitgeber seine im Zusammen­hang mit der Durchführung des Beschäftigungsverhältnisses bestehenden Rechte weiter wahrnehmen, z. B. durch Ausübung des Weisungsrechts oder durch Kontrollen der Leistung oder des Verhaltens des Beschäftigten.Im Übrigen stellt § 32 (1) BDSG keine abschließende Regelung dar, so dass bei Daten­analysen – wenn sie nicht schon über die Kontrollrechte innerhalb des Beschäftigungs­verhältnisses zulässig sind – in der Regel weiterhin die Interessensabwägung nach § 28 (1) BDSG• für alle Personen, die nicht unter dem Begriff „Beschäftigte“ subsumiert werden

können, also Kunden und Lieferanten, sowie• für Beschäftigte, soweit die Datenverwendung nicht im Zusammenhang mit der

Aufklärung einer im Beschäftigungsverhältnis begangenen erkannten oder konkret vermuteten Straftat steht,

Anwendung finden kann.

20

4 .3 Datenanalysen: Zulässige und unzulässige Vorgehensweisen

Die Fragestellung nach der Zulässigkeit oder Unzulässigkeit einer Datenanalyse lässt sich oft nicht pauschal beantworten, da neben den allgemein gültigen Gesetzen wie bspw. AktG, GmbHG, BDSG oft auch branchenspezifische Gesetze, z. B. KWG (hier bspw. Vorkeh­rungen gegen Betrug und Geldwäsche), TKG etc. zu beachten sind. Die folgende Tabelle enthält eine Reihe unterschiedlicher Prüfungs­Konstellationen unter dem Aspekt des Datenschutzes. Je nach Prüfungsergebnis einer Datenanalyse sind unter Umständen weitergehende Untersuchen notwendig: Beispiele für die uneingeschränkte Zulässigkeit (grün) von Prüfungen sind alle pro­zessabhängigen Prüfungen von Geschäftsvorfällen in den Bereichen Einkauf von Waren­ und Dienstleistungen, Lagerhaltung, Kreditoren­ und Debitorenbuchhaltung, Lohn­ und Gehaltsabrechnung, Vertrieb, Logistik sowie der Reisekostenabrechnung. Ebenso können alle geschäftlichen Briefe uneingeschränkt überprüft werden.Beispiele für die eingeschränkte Zulässigkeit (gelb) von Prüfungen sind solche, in denen personenbezogene Daten direkt oder indirekt betroffen sind und daher daten­schutzrechtliche Regelungen beachtet werden müssen.Beispiele für kritische Prüfungen (rot) sind solche, die entweder unzulässig sind (1. Beispiel) bzw. explizit einer Freigabe des Datenschutzbeauftragten – nach einer Vorabkontrolle und unter Beachtung der Beteiligungsrechte des Betriebsrates – bedürfen. Denn hier könnten beispielsweise direkt die schutzwürdigen Interessen von Personen betroffen sein oder für die Zwecke der Analyse unverhältnismäßige Verfahren angewen­det werden. Die Autoren weisen ausdrücklich darauf hin, dass die folgenden Angaben keine rechts-verbindliche Aussage darstellen. Vielmehr geben sie die persönliche Meinung der Auto­ren unter Interpretation der bestehenden Rechtsnormen wieder. Daher ist im Einzelfall bei einer Prüfung nochmals eine entsprechende Absicherung je nach gegebener Kon­stellation des Einzelfalles erforderlich.

21

Analyseobjekte Anwendbarkeit Erläuterungen/Betrachtungsobjekt

Geschäftliche Briefe Zulässig Einschränkung bei verschlossenen Briefen, wenn nicht eindeutig als Geschäfts­ oder Privatbrief er­kennbar und/oder wenn Brief in verschlossenem Behältnis

Datenanalyse von Kundendaten (z.B. Adress­ und Kontoänderungen unmittelbar vor/nach Stichtag)

Zulässig Zu beachten: wenn schutzwürdiges Interesse der Betroffenen nicht nach § 28 (1) Nr.2 BDSG über­wiegt und das Verfahren mit DSB abgestimmt wird.

Datenanalyse von Lieferantendaten (z. B. Suche von Scheinlieferanten)

Zulässig; Daten sind grundsätzlich als Geschäftsdaten einzustufen.

Falls mögliche Fraud­Fälle auf einzelne Mitarbeiter zurückzuführen sind, sind bei weiterer Prüfung (bspw. bei Zugriff auf Protokolldateien) die Vor­schriften des BDSG (insb. § 31 BDSG) sowie die Beteiligungsrechte des Betriebsrat zu beachten. Daten anonymisieren/ pseudonymisieren, nicht relevante Daten unverzüglich aus Suchlauf aus­scheiden/löschen

Analyseobjekte Anwendbarkeit Erläuterungen/Betrachtungsobjekt

Einkauf (Waren und Dienstleistungen) Zulässig Einhaltung der vorgeschriebenen Prozesse

Lagerhaltung Zulässig Ordnungsmäßige Inventur/Bestandsführung

Zahlungsverkehr Zulässig Ordnungsmäßige Abwicklung der Überweisungen

Kreditoren­/Debitorenbuchhaltung Zulässig Ordnungsmäßige Abbildung der Geschäftsvorfälle

Lohn­ und Gehaltsabrechnung Zulässig Ordnungsmäßige Abrechnung

Vertrieb Zulässig Ordnungsmäßige Provisionierung und Rabattierung

Logistik/Fracht Zulässig Ordnungsmäßige Abrechnung

Projekte/Projektmanagement Zulässig Einhaltung der vorgeschriebenen Prozesse/Wirtschaftlichkeit

Reisekosten Zulässig Richtlinieneinhaltung und Ordnungsmäßigkeit

Analyse anonymiserter/pseudonymisierter Datenbestände (personenbezogene Angaben wur­den vor der Analyse entfernt), z. B. Rechnungswesendaten

Zulässig; personenbezogene Daten bei organisatorisch getrenntem Bereich (Personal) aufbewahren

Vorgehen bei der Analyse definieren. Z. B. Prozessoptimierung – keine Einschränkung. Aufdeckung von Fraud­Fällen: Abstimmung mit Juristen sinnvoll.

Geschäftliche E­Mails Grundsätzlich möglich, wenn als geschäftliche Korrespondenz kategori­siert

Einschränkung bei E­Mails mit einem Betreff, der auf privaten Inhalt schließen lässt. Empfehlung: ­ klare betriebliche Regelungen für den Umgang mit privaten E­Mails und ­ klare Vertreterregelungen

Tabelle 1: Beispiele für die uneingeschränkte Zulässigkeit

22

Analyseobjekte Anwendbarkeit Erläuterungen/ Betrachtungsobjekt

Daten­Screening aller Mitarbeiter oder großer Teile der Belegschaft eines Unternehmens (Datenabgleich wie Kunden/Mitarbeiter oder Lieferanten/Mitarbeiter)

Nicht zulässig Verhältnismäßigkeit ist nicht gewahrt. Screening aller Mitarbeiter ist nicht risikoorientiert i. S. des BDSG

Bildaufnahmen, Videoüberwachung Nur außerhalb Privat­sphäre möglich, wenn kein milderes Mittel an­wendbar.

Vorabkontrolle durch Datenschutzbeauftragten, Zustimmung des Betriebsrates notwendig.

Tabelle 3: Beispiele für kritische Prüfungen

Analyseobjekte Anwendbarkeit Erläuterungen/Betrachtungsobjekt

Datenabgleiche von Mitarbeitern aus sensiblen Unternehmensbereichen (bspw. Einkauf). Dies ggf. auch als Folge einer reinen Geschäfts­vorfallsprüfung

Zulässig, wenn schutz­würdiges Interesse der Betroffenen nicht nach § 28 (1) Nr.2 BDSG über­wiegt und das Verfahren mit Datenschutzbeauf­tragten und Betriebsrat abgestimmt wird.

Vorgehensweise ggf. als Betriebsvereinbarung festlegen• (Beschreibung des Risikos und der Auswer­

tungszwecke,• der Untersuchungskriterien,• der betroffenen Dateien,• der zu extrahierenden möglichst anonymisier­

ten oder pseudonymisierten Daten,• des Auswertungssuchlaufs,• Sichtung und ggf. Löschung der Datensätze mit

plausiblen Fallkonstellationen,• Klärung der Restfälle mit Wiederherstellung

des Personenbezugs)Bei Verdacht: Abstimmung mit Juristen.

Datenanalyse von Kundendaten, bei denen Mitarbeiter die Kunden sind (z. B. Prüfung auf unzulässige Rabatte)

Zulässig, wenn schutz­würdiges Interesse der Betroffenen nicht nach § 28 (1) Nr.2 BDSG über­wiegt und das Verfahren mit Datenschutzbeauf­tragtem und Betriebsrat abgestimmt wird.

Mögliche Fraud­Fälle sind auf einzelne Mitarbeiter zurückzuführen. Bei Zugriff auf Protokolldateien Beteiligungsrechte des Betriebsrats beachten, auch hinsichtlich der protokollierten Mitarbeiter­Kürzel. Daten anonymisieren/pseudonymisieren, nicht relevante Daten unverzüglich aus Suchlauf aus­scheiden/löschen

Auswertung von Gruppen­Laufwerken, Dateien etc.

Ohne Personenbezug unbedenklich

Bei personenbezogenen Daten Abstimmung Daten­schutzbeauftragter/Betriebsrat und mit Juristen notwendig

Überprüfung von Mitarbeiter­PCs nur bei konkreten Regel­verstößen

Bei personenbezogenen Daten Abstimmung Daten­schutzbeauftragter/Betriebsrat und mit Juristen notwendig

Tabelle 2: Beispiele für eingeschränkte Zulässigkeit

23

5 Massendatenanalysen5 .1 Hintergrund

Die folgenden Ausführungen sollen aufzeigen, auf welchen Wegen die Analyse umfang­reicher Datenbestände unter Beachtung der rechtlichen Vorgaben sinnvoll durchgeführt werden können. Dies erfolgt grundsätzlich auf Basis der Auswertung von Geschäfts- oder Rechnungswesendaten. Es wird darauf hingewiesen, dass eine allgemeine Infor­mation an Betriebsrat und Datenschutzbeauftragten über die Zielsetzung der Auswertun­gen und die generelle Vorgehensweise zu empfehlen ist. Bewegen sich die Datenanalysen nicht mehr rein im Bereich der Rechnungswesen­Daten oder explizit in der Auswertung Arbeitnehmerdaten, so sind strenge Regularien einzuhal­ten – s. hierzu „Auswertung personenbezogener Daten“. Dies gilt unabhängig davon, ob zusätzlich zu den unternehmenseigenen auch unternehmensfremde Daten, wie später im Kapitel „Data Mining“) ausgeführt, in die Analyse einfließen. Für die Thematik der Massendatenanalysen zeigt der aktuelle Beschluss des Bundesver­fassungsgerichts (BVerfG, 2 BvR 1372/07 vom 17. 2. 2009, Absatz Nr. 19) einen denkbaren Weg auf. Demnach stellt eine maschinelle Überprüfung von Überweisungsdaten keine Verletzung des informationellen Selbstbestimmungsrechts Betroffener dar, wenn die Datensätze beispielsweise nicht potenziell Tatverdächtiger im Rahmen der Analyse ano­nym und spurenlos bei den zuvor beschriebenen Prozessen beim eigentlichen „Suchlauf“ extrahiert werden. Es ging um die auf Veranlassung einer Staatsanwaltschaft durch­geführte Abfrage von Kreditkartenunternehmen, ob bestimmte Kreditkartenumsätze von 20 Millionen Kreditkarteninhabern drei definierten Suchkriterien (Betrag, Empfänger, Zeitraum) entsprechen. Im Ergebnis wurden final 322 Datensätze extrahiert, d. h. mehrere Millionen Datensätze wurden „überlesen“ oder im Wortlaut des Bundesverfassungs­gerichts „spurenlos aus dem Suchlauf ausgeschieden“. Dies stellt keine Verletzung des informationellen Selbstbestimmungsrechts Betroffener dar, was in den Unternehmen insbesondere dann Bedeutung erlangt, wenn die Zulässigkeit der Datenanalyse sich auf die Abwägung der Interessen zwischen Unternehmen und den Betroffenen stützt.

5 .2 Massendatenanalysen im Rahmen der rechtlichen Möglichkeiten

Die Analyse umfangreicher Datenbestände ist eine wichtige Unterstützung bei Prü­fungen, die z. B. das IKS, die Ordnungsmäßigkeit oder die Identifikation prozessualer Schwachstellen in einem Unternehmen betreffen. Wie beim Einsatz jeder Prüfmethode ergibt sich auch hier die Verpflichtung für jedes Unternehmen beim Einsatz von IT­ gestützten Auswertungen im Vorfeld die rechtlichen und regulatorischen Rahmen­bedingungen zu prüfen.Nach § 28 (1) Nr. 2 BDSG sind Auswertungen zur Wahrung der berechtigten Interessen des Unternehmens nur zulässig, wenn kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Aufgrund des allgemeinen Persönlichkeitsrechts der Betroffenen ist dabei die Verhältnismäßigkeit des verfolgten Zwecks zur Schwere des Eingriffs für die Zulässigkeit der Analyse entscheidend. Bei der Auswertung von Rechnungswesen­Daten von Kunden und Lieferanten besteht in jedem Fall ein berechtigtes überwiegendes Inter­esse des Unternehmens. In allen anderen Fällen sollte zur Beurteilung dieser Fragestel­lung der Datenschutzbeauftragte immer frühzeitig einbezogen werden; empfehlenswert

24

ist die aktive Freigabe umfangreicher Datenanalysen durch den Datenschutzbeauf­tragten. Für die Abwägung der Interessen ist dem Datenschutzbeauftragten von der durchführen­den Einheit eine ausreichende Dokumentation zur Zielsetzung der Analyse sowie zur Verwendung und anschließenden Löschung der dabei benötigten Daten zur Verfügung zu stellen. Aufgrund des Minimalitätsprinzips des BDSG sollten in allen Fällen möglichst wenige, also nur die erforderlichen, Datenfelder für eine Analyse herangezogen werden, wobei aus Vertraulichkeitsgründen grundsätzlich keine Namen verwendet werden sollten. Darüber hinaus, sofern im ersten Schritt der Analyse ein konkreter Personenbezug nicht notwendig ist, sollte die durchführende Stelle auf den Ausweis insbesondere von Mit­arbeiterdaten im Analyse­Ergebnis verzichten. Schritt II erfolgt analog zu den oben genannten „Prüfungsergebnissen“, bei der die Prüfung der Einzelfälle und deren Zuordnung zu konkreten Personen unter Einbindung der Compliance­Organisation, der Rechtsabteilung, des Datenschutzbeauftragten und (bei Mitarbeiterfällen) des Betriebsrates durchzuführen ist. Zunächst ist es erforderlich, die generelle Zielsetzung und Vorgehensweise für den Fall personenbezogener Datenanalysen dem Betriebsrat und dem Datenschutzbeauftragten vorzustellen. Empfohlen wird hier, dabei die Zustimmung für den betreffenden Typus der Untersuchung einzuholen und schriftlich zu fixieren (Verfahrensanweisung, mög­licherweise sogar als Betriebsvereinbarung). Neben der Beachtung der Mitbestimmungs­rechte nach § 87 (1) Nr. 6 BetrVG kann so eine möglichst breite Akzeptanz für derartige Untersuchungen erreicht werden. Insbesondere erfordert die Einbeziehung personen­bezogener Daten, die einem besonderen gesetzlichen Schutz unterliegen, die präzise Einhaltung von Gesetzen, Richtlinien und Vereinbarungen, wie z. B. dem Bundesdaten­schutzgesetz, dem Betriebsverfassungsgesetz, innerbetrieblichen Richtlinien und ggf. Betriebsvereinbarungen. In der Regel sind Daten des Rechnungswesens Ausgangspunkt von Prüfungen. Bei Buchungen ist ein Personenbezug im Hinblick auf die verantwort­lichen Personen für die Entstehung und Buchung des Geschäftsvorfalles gegeben. Darüber hinaus betreffen die meisten Buchungen natürliche Personen wie Debitoren, Kreditoren oder Mitarbeiter. Soweit sich bei der Prüfung der Verdacht auf etwaige dolo­se Handlungen verhärtet, sind je nach dem Kreis der betroffenen Personen und der Aus­gestaltung der betrieblichen Regelungen Datenschutzbeauftragte, das Personalwesen, Arbeitnehmervertreter (Betriebsrat, Personalrat) und – falls vorhanden – die Compli­ance­Organisation zu informieren bzw. einzuschalten. Dabei ist zu berücksichtigen, dass personenbezogene Daten nicht nur in IT­Systemen vorhanden sind; selbstverständlich zählen auch Personalakten zu den besonders zu schützenden Personaldaten. Im Falle etwaiger Unklarheiten bzw. Zweifel ist es empfehlenswert, die Rechtsabteilung einzu­binden, um festzustellen, ob ggf. allen inner­ und außerbetrieblichen Regularien ent­sprochen wird.Das Verfahren, wie mit Massendatenauswertungen und personenbezogenen Daten um­gegangen wird, sollte abgestimmt, rechtlich abgesichert und durch den Vorstand bzw. die Geschäftsführung des Unternehmens genehmigt sein. Die getroffenen Vereinbarungen sollten bspw. im Rahmen einer Verfahrensanweisung definiert werden. Somit ist ein Höchstmaß an Sicherheit und Transparenz gewährleistet. Folgende Punkte sollten für die auf Basis der Verfahrensanweisung durchzuführenden Prüfungen jeweils im Vorfeld klar dokumentiert werden:• Zielsetzung der Datenanalyse• Beschreibung des Risikos bzw. des Ziels, gegen das bzw. für das die Analyse eingesetzt

werden soll. • Festlegung der zu analysierenden DatenAuch wenn die untersuchten Datensätze personenbeziehbar sind im Hinblick auf die Ver­tragspartner (Kunde, Lieferant, Mitarbeiter) und die im Unternehmen für den Geschäfts­

25

vorfall und seine Verbuchung verantwortlichen Personen, stehen solche Personen nicht im Vordergrund der Auswertung – sondern lediglich die Frage, ob die zu Grunde liegen­den gespeicherten Geschäftsvorfälle plausibel sind. Anders sieht es jedoch aus, wenn ein Personenkreis bezogen auf das zu untersuchende Risiko in die Analyse einbezogen werden muss (z. B. weil nur von einer bestimmten Perso­nengruppe veranlasste Buchungen untersucht werden sollen). In allen Fällen gilt: es sollen so wenig personenbezogene Daten wie möglich und so lange wie möglich anony­misiert verwendet werden; wenn es nach dem Analysezweck möglich ist, sollte zunächst die Auswertung grundsätzlich nur anhand anonymisierter oder pseudonymisierter Daten durchgeführt werden.Im Rahmen der Möglichkeiten des jeweiligen IT­Systems sollten alle Personen, die nicht Gegenstand der Untersuchung sind, „herausgefiltert“ bzw. zumindest anonymisiert oder pseudonymisiert werden. Hierbei ist zwingend zu beachten, dass nicht alle IT­Systeme über die Möglichkeit verfügen, Personenkreise speziell zu selektieren bzw. auszuschließen. In diesen Fällen ist die Anonymisierung oder Pseudonymisierung umso wichtiger.• Festlegung des Verfahrens zur Datenbeschaffung• Festlegung des Verfahrens zur Datenanalyse• Festlegung des Personenkreises, der die Analysen durchführt• Bei sensiblen Auswertungen ist vorab eine besondere Unterweisung in der Vertrau­

lichkeitsverpflichtung für diesen Personenkreis vorzunehmen und der Personenkreis nach § 5 BDSG ggf. unter Einbeziehung des Datenschutzbeauftragten schriftlich zu verpflichten.

• Festlegung des Verfahrens zur gesicherten Aufbewahrung der Daten, z. B. Verschlüs­selung zur Vermeidung der Nutzung durch Unbefugte

• Ggf. Festlegung des Verfahrens zur Anonymisierung oder Pseudonymisierung von personenbezogenen Daten

• Festlegung eines Reporting­Verfahrens zur Information über die Ergebnisse unter Berücksichtigung folgender Fragen: – Wer soll informiert werden? – Auf welche Weise soll das geschehen? – In welchem Zeitabstand soll das geschehen?

5 .3 Analyseprozess und mögliche Prüfungsergebnisse

Bei der Analyse der verdichteten Daten ist Vorsicht geboten: Die hierbei selektierten Datensätze weisen lediglich im weitesten Sinne auf Schwachstellen bzw. Abweichungen vom Regelprozess hin. Diese zunächst widersprüchlich erscheinende Aussage kann am besten anhand eines Beispiels verdeutlicht werden: Rechnungen ohne zugrunde liegende Bestellungen wie auch die Bezahlung von Rech­nungen ohne nachweislichen Eingang der Lieferung bergen für sich grundsätzlich ein hohes Risiko. Mittels einer IT­basierten Analyse ist es mit geringem Aufwand möglich, die Rechnungen zu identifizieren, die nicht auf eine Bestellung referenzieren bzw. fehlende Lieferscheine nachzuweisen. Allerdings basieren bei weitem nicht alle Rechnungen oder Zahlungen auf einer Bestellung – oder präziser formuliert – können nicht auf einer Bestellung basieren, wie z. B. kommunale Abgaben und Gebühren oder Versicherungs­beiträge. Um die Aussagekraft der Ergebnisse abzusichern, ist es unabdingbar, weitere Recherchen in Form der Sichtung von Dokumenten (Verträge, Belege, Nachweise usw.) und der Durchführung von Interviews zu betreiben. Umgekehrt lautet die Schlussfolgerung, dass das konventionelle Prüfen durch Massendatenauswertungen nicht ersetzt werden kann. Entsprechende Prüfungsansätze können allerdings wesentlich effektiver und schneller zum Prüfungsziel führen.

26

Um weiterführende Informationen zur Verfügung zu stellen, finden sich im Anhang dieses Artikels umfassende praktische Beispiele. Sie sollen als Leitfaden dienen und können exemplarisch für andere Prüfungsfelder transformiert werden.Die Identifizierung von Prozessmängeln kann in diesem Zusammenhang ein Risiko aufzeigen, da im Prozess ggf. eine Schwachstelle mit negativen Auswirkungen für die geprüfte Einheit bzw. das Unternehmen besteht. Es kann sich aber auch eine Chance ergeben, indem die Datenanalyse Möglichkeiten zur Prozessoptimierung im Sinne von Effektivitäts­ oder Effizienzsteigerungen und Präventionsmöglichkeiten aufzeigt.Allgemein können Prüfungsergebnisse in folgender Weise klassifiziert werden:Es können keine Regelverstöße festgestellt werden.Festgestellte Regelverstöße sind erklärbar. So entpuppt sich z. B. eine Rechnung ohne Bestellung als Zahlungsaufforderung einer Kommune, die systemseitig nicht anders dargestellt werden kann. Das Vorgehen war unternehmensintern abgestimmt und stellt im eigentlichen Sinne keinen Verstoß gegen eine Richtlinie dar.Festgestellte Regelverstöße sind flächendeckend, so dass ein organisatorisches Prob­lem bzw. Missmanagement vermutet werden muss. Dies ist der Fall, wenn z. B. so gut wie keine Rechnung einer Bestellung zuzuordnen ist. Die Ursache des Problems ist struktu­reller Natur und möglicherweise in der Führungsebene zu suchen.Zu beachten ist hier in Bezug auf IT­Prüfungshandlungen, dass ein 4­Augen­Prinzip eventuell aufgrund personeller Ausstattungsbedingungen nicht immer möglich ist und sich dies risikoerhöhend auswirken kann.Die Regelverstöße sind nicht erklärbar. Analysen ergeben, dass Auffälligkeiten fest­zustellen sind. So werden regelmäßig werthaltige kostenlose Warenlieferungen an einen Kunden in einem kritischen Land durchgeführt. Diese Auffälligkeit muss durch die Interne Revision weiter analysiert und ggf. in Form einer Sonderprüfung aufgearbeitet werden.Regelverstöße wurden festgestellt. Konkrete Regelverstöße wurden festgestellt und erfordern eine spezielle Sonderprüfung seitens der Revision, die dann je nach dem gegen die Regel verstoßenden Personenkreis unter Einbindung einer existierenden Compliance­Organisation, der Rechtsabteilung, des Datenschutzbeauftragten und/oder des Betriebs­rates durchgeführt wird. Unter diesen Voraussetzungen kann dann auch die weitere fallbezogene Auswertung von personenbezogenen Daten möglich sein.

27

6 FazitAnalysen der unternehmerischen Geschäftsdaten gehören seit je her zu den Kernauf­gaben der Internen Revision und sind unter Beachtung des Datenschutzes in aller Regel unbedenklich. Allen an diesen Vorgängen Beteiligten ist bekannt, dass in jedem Unter­nehmen entsprechende Kontrollen (sog. Vorgangsüberwachung) zum Schutz des Unter­nehmens durchgeführt werden.Die Nutzung von umfangreichen Datenanalysen ist eine sinnvolle und im Hinblick auf die Kontrollvorschriften für Unternehmen (BilMoG, Basel II etc.) eine notwendige Ergänzung der Revisionsarbeit. Beispielsweise verlangt das KonTraG (Gesetz zur Kontrolle und Trans­parenz im Unternehmensbereich) / § 91 (2) des AktG ein existierendes, unternehmens­weites Risikofrüherkennungssystem.Darüber hinaus kann durch klare Regelungen und eine weitgehende Transparenz im Unternehmen sichergestellt werden, dass die betreffenden Verfahren über den Anwen­dungsbereich im Rechnungswesen hinaus auch in anderen Bereichen eingesetzt werden können. Im Hinblick auf die aktuelle Rechtsprechung des Bundesverfassungsgerichts sollte das Analyseergebnis möglichst wenige Daten enthalten, anhand der konkrete Personen direkt identifizierbar sind. Falls dies nicht möglich ist, sind Daten zu verwenden, die erst über zusätzliche, nicht allgemein verfügbare Referenztabellen einer Person zu­geordnet werden können (Anonymisierung/Pseudonymisierung).Um die Einhaltung der gesetzlichen Bestimmungen und innerbetrieblichen Regelungen sicher zu stellen, sind bei der Verwendung von Mitarbeiterdaten der Datenschutzbeauf­tragte und, soweit auch Arbeitnehmer betroffen sind, Personalabteilung und Betriebsrat frühzeitig einzubeziehen. Aus Datenschutzsicht ist eine ausreichende Dokumentation der Zielsetzung der Analyse und zur Verwendung und Löschung der hierzu bereitgestellten personenbezogenen Daten unverzichtbar.Wir verweisen an dieser Stelle auch nochmals auf die „Handlungsempfehlungen beim Datenabgleich zur Aufdeckung wirtschaftskrimineller Handlungen durch die Interne Revision“3 .

3 Hampel, Volker: Handlungsempfehlungen beim Datenabgleich zur Aufdeckung wirtschaftskrimineller Hand­lungen durch die Interne Revision. In: Zeitschrift Interne Revision, 3/2009, S. 99­102.

29

AnhangA .1 Vorgehensweise bei der Massendatenanalyse

A .1 .1 Aufbau eines ProzessverständnissesEine wesentliche Voraussetzung für eine erfolgreiche Bewertung von Ergebnissen aus der Analyse umfangreicher Datenbestände sind spezifische Kenntnisse der zugrunde liegen­den Prozesse und der zugehörigen Datenstrukturen. Diese Analysen können nicht aus dem betriebswirtschaftlichen Zusammenhang gerissen werden, sondern sind kontext­abhängig. Um den Kontext zu verstehen, muss der Prüfer wissen, wie z. B. die Kreditoren­buchhaltung organisiert ist, welche Prozesse dort implementiert sind und wie die Daten aufgebaut sind, die ausgewertet werden sollen. Um die Analysen vorzubereiten, empfiehlt es sich, in folgenden Stufen vorzugehen:

Stufe 1:Zunächst gilt es, den zugrunde liegenden angewandten Prozess zu verstehen. Im Folgen­den sind – am Beispiel des Einkaufsprozesses – einige grundlegende Fragen angeführt, die zunächst unabhängig von einer späteren Massendatenanalyse gesehen werden können. Sie sind an Fragen eines konventionellen Prüferhandbuchs orientiert und über den Aufbau eines Prozessverständnisses zu klären:• Erfolgt der Einkauf nach festgelegten Regeln?• Existiert eine Einkaufsrichtlinie?• Wie wird der Einkaufsprozess durchgeführt?• Wer ist daran mit welchen Befugnissen beteiligt?• Welche Dokumentationen sieht der Prozess vor?• Wie erfolgt die Stammdatenanlage?• Wie erfolgt die Wareneingangskontrolle?• Wie sind die Zuständigkeiten geregelt?• Wie wird die Leistungserbringung bei materiellen und immateriellen Gütern nach­

gewiesen?• Wie funktioniert die Rechnungsprüfung?• Wie sind Strukturen und Prozesse der Kreditorenbuchhaltung definiert?

Stufe 2:Nachdem ein grundlegendes Prozessverständnis erarbeitet wurde, kommen revisionsspe­zifische Fragestellungen ins Spiel, die aus der Kernfrage: „Ist das IKS wirksam installiert?“ (Ordnungsmäßigkeit) ableitbar sind:• Wie funktionieren die Prozesse in der Regel?• Wie kann der Regelprozess umgangen werden?• Welche Risiken beinhaltet der Prozess? • Reichen vorhandene Kontrollen aus, um den Risiken zu begegnen?• Wird auch das Management in Kontrollen einbezogen?• Wie werden Kontrollen dokumentiert?• Gibt es ein Vier­Augen­Prinzip/ Ist eine Funktionstrennung installiert?

Stufe 3:Die Fragestellungen der zweiten Stufe sind in Richtung Prüfung umfangreicher Daten­bestände weiter zu entwickeln und dienen der direkten Vorbereitung auf die eigentliche nachfolgende Datenanalyse:Im Zuge eines zielgerichteten Verständnisses über das Einsatzgebiet und die Vorgehens­weise bei der revisionsspezifischen Datenanalyse folgen einige Beispiele.

30

A .1 .2 Die Datenanalyse anhand von drei BeispielenMit der Massendatenanalyse wird häufig das Ziel verfolgt, den kompletten Datenbestand in eine Analyse einzubeziehen. Klar abzugrenzen ist hierbei der Begriff der Vollprüfung, da z. B. bei einer Analyse, die 25 Mio. Datensätze umfasst, nicht jeder Beleg und jede Transaktion einer Prüfung unterzogen werden können. Die Begriffe „Massendatenana­lyse“ und „Vollprüfung“ sind also keinesfalls gleichbedeutend.Ausgangslage des Analyseprozesses ist immer mindestens eine konkrete Fragestellung, unter deren Blickwinkel der Datenbestand analysiert werden soll. Diese Fragestellung kann durch weitere risikoorientierte Fragestellungen ergänzt werden. Hier erlangen Revisions­Know­How und Revisionserfahrung in Form analytischer Fragestellungen eine entscheidende Bedeutung, da es um die Identifikation risikoreicher Geschäftsvorfälle, Belege, Transaktionen, etc. geht. Ein wesentlicher Effekt des Vorgehens liegt dabei in einer erheblichen Reduktion des Datenvolumens, da die Daten­Grundmenge um nicht risikorele vante Geschäftsvorfälle reduziert werden soll.Die identifizierten, risikorelevanten Belege werden in der Folge einer ‚normalen’ Revi­sionsprüfung unterzogen. Dieses Vorgehen wird anschließend anhand der Beispiele „Identifikation von Scheinlieferanten“, „Rechnungen ohne Bestellungen“ und „kostenlose Lieferungen“ erläutert. Die Ergebnisse der Analysen werden dabei immer bezogen auf die sogenannten „Top Ten“ – also die risikoreichsten Transaktionen und Geschäftsvorfälle – in Form einer Matrix dargestellt.

A .1 .2 .1 Beispiel 1: Identifikation von ScheinlieferantenWir betreiben ein Unternehmen, bei dem pro Jahr Rechnungen von 100.000 Lieferanten in der Kreditorenbuchhaltung verarbeitet werden. Da sowohl in den involvierten Fachabteilungen, Einkauf und Buchhaltung verschiedene Mitarbeiter mit den unterschiedlichsten Verantwortlichkeiten und Kompetenzen am Pro­zess beteiligt sind, besteht ggf. das Risiko der Existenz sog. „Scheinlieferanten“. Darunter werden Lieferanten subsumiert, die keine tatsächlichen Leistungen – also lediglich Scheinleistungen – erbringen und dennoch fakturieren. Das Unternehmen leistet darauf­hin entsprechende Zahlungen und erleidet einen Vermögensschaden. Um das inhaltliche Ziel der Analyse festzulegen, sollte eine Kernfrage formuliert werden, die in diesem Beispiel lautet:

Wie können „gute“ Lieferanten von Scheinlieferanten unterschieden werden?Die Fragestellung wird vom Prüfungsteam in mehrere Teilaspekte gegliedert. Hieraus entstehen Fragestellungen, die danach auf den Datenbestand angewen­det werden. Die Fragestellungen werden im Folgenden kurz erläutert:

Frage 1: Welche Lieferanten haben ihren Umsatz in den letzten Jahren zumindest verdoppelt?Diese Fragestellung ist nicht rein analytisch, sondern rührt aus einer empirischen Erfahrung her. Verschiedene Vorfälle der jüngsten Vergangenheit haben gezeigt, dass die Fakturierung von Scheinleistungen in vielen Fällen mit bestimmten quantitativen Mustern einhergeht, wie z. B. der Entwicklung der Scheinumsätze.

Frage 2: Bei welchen Lieferanten findet die Buchung des kompletten Umsatzes in der ersten Buchungsperiode, also dem ersten Monat, statt?Ggf. werden die dolosen Aktivitäten zeitlich gebündelt, um so das vermeintliche Ent­deckungsrisiko zu minimieren.

Frage 3: Bei welchen Lieferanten wurden die Bankverbindungen häufig geändert?Ggf. werden Bankverbindungen bestehender Lieferanten kurzfristig geändert und danach wieder in den ursprünglichen Zustand zurück versetzt, um nicht ordnungsgemäße

Abbildung 3: Identifikation von Scheinlieferanten – risikoorientierte Fragestellungen

31

Überweisungen zu tätigen. Dies erfordert die Protokollierung von Stammdatenände­rungen.

Frage 4: Bei welchen Lieferanten fehlen die Bankverbindungen in den Stamm-daten? Ggf. werden hier Zahlungen immer manuell erzeugt.

Frage 5: Bei welchen Lieferanten wurde der Umsatz komplett innerhalb der ersten 30 Tage nach Anlage des Lieferantenstammsatzes gebucht?Grundsätzlich kann davon ausgegangen werden, dass erst nach Anlage des Stammsatzes das Verfahren der Bestellung, der Lieferung der bestellten Güter und Dienstleistungen und das Verfahren der Rechnungserstellung durchgeführt werden kann. Frühe, voll­ständige Umsatzbuchungen (innerhalb der ersten 30 Tage nach Stammsatzanlage) sind auffällig und weiter kritisch zu hinterfragen.

Frage 6: Bei welchen Lieferanten finden manuelle Buchungen (im Gegensatz zu automatischen Buchungen) statt?Bei manuellen Buchungen greift noch ein Buchhalter in den Prozess ein. Je nach Umfang seiner Berechtigungen im Buchhaltungssystem können dort ggf. noch Änderungen an den Bankverbindungen vorgenommen werden. Daraus ergibt sich ein Risiko, so dass der Prozess der „manuellen Zahlungen“ überprüft werden sollte.

Frage 7: Bei welchen Lieferanten finden sich häufig runde Beträge in den Rechnungen?In der einschlägigen Literatur zur Datenanalyse wird auf die Problematik von runden Rechnungsbeträgen und dem damit verbundenen Risiko von potentiellen dolosen Hand­lungen (Scheinrechnungen, etc.) hingewiesen. Dementsprechend sollte dieses Kriterium im Zuge der Prüfung mittels Datenanalyse berücksichtigt werden.

Frage 8: Welche Lieferanten werden über CpD-Konten (Conto pro Diverse) abgerechnet?Grundsätzlich sind über CpD­Konten nur Buchungen für Kreditoren abzuwickeln, die nur ein­ oder maximal zweimal pro Jahr Zahlungen erhalten (z. B. Begleichung von Unfall­schäden). Zudem ist bei CpD­Konten meist unternehmensintern eine Zahlungsobergrenze von z. B. 500,00 € vorgeschrieben, bis zu der eine Abrechnung über diesen Kontentyp erfolgen darf. Darüber hinaus ist die monatliche Abstimmung der offenen Posten auf den CpD­Konten die Regel.Bei dieser Art der Buchung liegen keine Stammdaten zugrunde, d. h., alle notwendigen Eingaben ins Buchhaltungssystem (Name, Zahlbetrag, Bankverbindung usw.) werden vom Buchhaltungsmitarbeiter vorgenommen. Hier besteht das Risiko von fehlerhaften Eingaben oder auch von Manipulationen.

Frage 9: Existieren Rechnungsbuchungen und -zahlungen ohne Bestellbezug?Bei Rechnungen, die keinen Bestellbezug haben, ist eine Kontrolle der empfangenen Lieferungen oder Leistungen nicht oder nur erschwert möglich. Daher ist das Risiko der Nichtlieferung bzw. Nichtleistung besonders groß.

Frage 10: Wurde ein Umsatz von mehr als 50 .000,00 € im ersten Geschäftsjahr getätigt?Mittels dieser Wertgröße wird eine frei wählbare Wertgrenze eingezogen, um bei der Vielzahl der Lieferanten nur die größten Lieferanten in die Auswertung einzubeziehen (Wesentlichkeitsaspekt). Diese Grenze muss jedoch pro Unternehmen individuell fest­gelegt werden.

32

Mit weiteren Fragen könnte bspw. ergründet werden, ob bei Outsourcingverträgen die zu erbringende Leistung überhaupt nachweislich erbracht werden. Letztlich sollten bei Rech­nungen, die die Leistungen aus Outsourcing honorieren, explizite Kontrollen vorgesehen sein und durchgeführt werden. Dabei muss gewährleistet sein, dass die empfangenen Leistungen zeitnah kontrolliert und die Risiken der Zahlungen für nicht erbrachte Leis­tungen minimiert werden.

In der folgenden Abbildung ist beispielhaft der zehn Lieferanten umfassende Ausschnitt einer insgesamt 100 kritische Lieferantennummern enthaltenen Ergeb­nismatrix abge bildet, in der die horizontale Achse die verschiedenen Lieferanten­nummern enthält und auf der vertikalen Achse die einzelnen Fragestellungen abge­tragen sind. Auf der rechten Seite ist eine zusätzliche Summenspalte pro Lieferant abgetragen, die die jeweiligen Übereinstimmungen mit den zehn Fragen anzeigt.Bei zehn Fragestellungen zu einem Risiko sind somit maximal zehn Übereinstim­mungen möglich. Die Lieferantennummer 7008765 weist die meisten Risikoindi­katorausschläge – acht von zehn möglichen – auf. Um dieses Vorgehen nicht un­nötig zu verkomplizieren, wird auf eine Gewichtung der Fragen verzichtet, so dass

jeder Fragestellung das gleiche Gewicht beigemessen wird.Im Ergebnis erhält man in diesem Analysestadium eine Ergebnismenge an Datensätzen – in unserem Beispielfall 100 –, die aufgrund ihrer Anzahl geeignet ist, im Rahmen von Einzelprüfungen im Detail auf ihre Ordnungsmäßigkeit untersucht zu werden.

A .1 .2 .2 Beispiel 2: Rechnung ohne BestellungenWir betreiben ein Unternehmen, bei dem pro Jahr 100.000 Eingangsrechnungen in der Kreditorenbuchhaltung verarbeitet werden. Rechnungen ohne Bestellungen stellen ein besonderes Risiko dar, da aufgrund der fehlen­den Bestellung eine wichtige Referenz für die sachliche Rechnungsprüfung und die preis­liche Anerkennung fehlt. Hier entsteht insbesondere das Risiko von Scheinleistungen, da nicht dokumentiert ist, was tatsächlich bestellt wurde. Dieses Risiko ist bei materiellen Lie­ferungen noch eingrenzbarer, da hier physische Wareneingänge feststellbar sind. Ungleich größer ist das Risiko bei immateriellen Dienstleistungen, da hier der Nachweis schwieriger zu führen ist. Aus diesem Grund stellen Rechnungen ohne Bestellungen ein großes Risiko dar, da sie zu wirtschaftlichen Nachteilen und Vermögensverlusten führen können.Bezogen auf das Thema der IT­gestützten Prüfung ist es nun die Aufgabe des Prüfers, die für die Analyse notwendigen Tabellen und Tabellenfelder im Buchhaltungssystem zu identifizieren und ggf. in Zusammenarbeit mit der Administration und IT­Abteilung für die Bereitstellung der Daten zu sorgen. Bezogen auf die Fragestellung sind also hier so­wohl kreditorische Buchhaltungsdaten aus dem Finanz­ und Rechnungswesen als auch Stamm­ und Bewegungsdaten aus dem Bereich der Warenwirtschaft zur Verfügung zu stellen. Ist das Datenmaterial beschafft, kann es mittels geeigneter Softwareanwen­dungen analysiert werden.Nach Identifikation und Bereitstellung der Daten gilt es nun, die risikoorientierten Frage­stellungen zu generieren. In diesem Schritt fließen das Know­How und die Erfahrungen der Revision in Form von Filtern, Ausschlusskriterien oder komplexeren Abfragen in den Prozess mit ein. Um das inhaltliche Ziel der Analyse festzulegen, sollte dieses in Form einer Kernfrage gefasst werden. In diesem Fall lautet die Kernfrage:

Wie können risikobehaftete Rechnungen ohne Bestellungen in risikoreichere bzw . risikoärmere kategorisiert werden?Um diese Kernfragestellung zu beantworten, muss sie in verschiedene risikoorientierte Fragestellungen aufgeteilt werden, die dann auf die Datenbestände angewendet werden können. Als Ergebnis entsteht aus einer hohen Anzahl eine reduzierte Anzahl von Daten­sätzen, die danach effizient bearbeitet werden können. Im Rahmen eines Brainstormings leitet das Prüferteam bspw. folgende zehn spezifische Risikoaspekte ab:

Abbildung 4: Identifikation von Scheinlieferanten – Ergebnismatrix

33

Die Risiken werden in Prüfungsfragen umgesetzt und analytisch auf alle 100.000 Rechnungen angewendet:

Frage 1: Wie viele Rechnungen ohne Bestellungen (keine Bestellung vor dem Rechnungsdatum) liegen vor?Durch diese Fragestellung findet eine erste wesentliche Reduktion der Daten­menge statt, da der weit überwiegende Teil der Rechnungen auf Bestellungen beruhen sollte. Da die verbleibenden Rechnungen aber zunächst vermutlich den­noch keiner Einzel prüfung unterzogen werden können, finden weitere Fragen Anwendung auf die Datenbestände.

Frage 2: Wie viele Rechnungen ohne Bestellungen (mit Bestellung nach dem Rechnungsdatum) liegen vor?Hiermit sollen die Rechnungen ermittelt werden, bei denen eventuell eine Bestellung „nachgereicht“ wurde. Diese erscheinen dann zumindest vordergründig formal korrekt.

Frage 3: Welche Rechnungen ohne Bestellungen wurden über CpD-Konten (Conto pro Diverse) abgerechnet?Die nichtbestimmungsgemäße Nutzung von CpD­Konten erhöht die Intransparenz aus­gehender Zahlungen erheblich.

Frage 4: Welche Rechnungen ohne Bestellungen wurden über manuelle Zahlungen abgewickelt?Diese Form der Zahlungsabwicklung ist in Abgrenzung zu automatischen Zahlläufen zu betrachten. Manuelle Zahlungen setzen in der Regel eine besondere Dringlichkeit voraus.

Frage 5: Welche Rechnungsbeträge von Rechnungen ohne Bestellungen weisen runde Beträge auf?Empirisch gesehen sind runde Beträge überproportional häufig von Unregelmäßigkeiten betroffen.

Frage 6: Welche Rechnungen ohne Bestellungen haben einen Rechnungsempfänger in einem sog . kritischen Land? Dazu können „Off­Shore­Zentren“ zählen, aber auch Staaten, die terroristische Organisa­tionen unterstützen.

Frage 7: Welche Rechnungen ohne Bestellungen wurden innerhalb von 24 Stunden nach ihrer Einbuchung beglichen?Da die standardmäßigen, systemseitigen und manuellen Prüfroutinen mehrere Arbeits­tage benötigen, stellt ein Begleichung einer Rechnung innerhalb eines Tages eine risiko­behaftete Auffälligkeit dar.

Frage 8: Bei welchen Rechnungen ohne Bestellungen liegt der Rechnungsbetrag zwischen 0,1 und 1,0 % unter der Freigabegrenze?Diese Frage stellt auf Häufungen knapp unterhalb der unternehmensintern festgelegten Freigabegrenze ab.

Frage 9: Bei welchen Rechnungen ohne Bestellungen fand die erste Begleichung innerhalb von fünf Werktagen nach Anlage des kreditorischen Stammsatzes statt?Das in der Unternehmensrichtlinie vorgesehene Prozedere hinsichtlich der Neuanlage und Freigabe von Kreditoren dauert häufig länger – bspw. zehn Werktage – so dass eine signifikante Abweichung nach unten eine Auffälligkeit darstellt.

Abbildung 5: Rechnungen ohne Bestellungen – risikoorientierte Fragestellungen

34

Frage 10: Wie viele Rechnungen ohne Bestellungen wurden mit unsicheren Zahlungsmitteln wie z . B . einem Scheck beglichen?Hiermit soll auch das Risiko des Zahlweges in die Betrachtung miteinbezogen werden.Überführt man die Einzelergebnisse in die Form einer Matrix, kann einfach fest­gestellt werden, bei welcher Rechnung ohne Bestellung die meisten Kriterien erfüllt werden. In der folgenden Ergebnismatrix sind von insgesamt 100 als sehr kritisch einzustufenden Rechnungen die „Top Ten“ aufgeführt. Als sehr kritisch werden bspw. solche Rechnungen ohne Bestellungen eingestuft, bei denen in Summe fünf oder mehr Kriterien zutreffen. Bei zehn Fragestellungen zu dem Risiko „Rechnungen ohne Bestellungen“ sind

somit maximal zehn Übereinstimmungen möglich. Im Bespiel treffen bei zwei Bestellun­gen bei sämtlichen zehn Fragen die Kriterien zu. Aus Gründen der Vereinfachung wird jede Frage gleichgewichtig in der Matrix berücksichtigt.

A .1 .2 .3 Beispiel 3: Kostenlose LieferungenWir betreiben ein Unternehmen, das pro Jahr 100.000 Warenlieferungen an Kunden durchführt. Kostenlose Lieferungen stellen ein zunächst grundsätzlich vermögensschädigendes Risiko dar, da das Rückgängigmachen einer fehlerhaften kostenlosen Lieferung in der Realität in der Regel schwierig ist. Legitime kostenlose Lieferungen können kostenlose Warenproben und Muster sein; auch die Versorgung von Vertriebsmitarbeitern mit Werbematerialien. Eine kostenlose Lieferung kann beispielsweise auch dann erfolgen, wenn z. B. eine mangelhafte Waren­lieferung durch eine einwandfreie Lieferung ersetzt wird. Das Problem kostenloser Liefe­rungen verdient besondere Beachtung, wenn bspw. das eingesetzte Finanzbuchhaltungs­system die Möglichkeit bietet, Preise bzw. Ausgangsrechnungen manuell zu ändern.Neben Identifikation und Bereitstellung der Daten gilt es, die risikoorientierten Frage­stellungen zu generieren. In diesem Schritt fließen das Know­How und die Erfahrungen der Revision in Form von Filtern, Ausschlusskriterien oder komplexeren Abfragen in den Prozess mit ein. Um das inhaltliche Ziel der Analyse festzulegen, sollte dieses in Form einer Kernfrage gefasst werden. In diesem Fall lautet die Kernfrage:

Wie können risikobehaftete kostenlose Lieferungen von weniger risiko-behafteten unterschieden werden?Um die Kernfragestellung zu beantworten, muss die Frage in verschiedene risiko­orientierte Fragestellungen aufgeteilt werden, die danach auf die Datenbestände angewendet werden können. Als Ergebnis entsteht aus einer hohen Anzahl eine reduzierte Anzahl von Datensätzen, die danach effizient bearbeitet werden können. Im Rahmen eines Brainstormings leitet das Prüferteam bspw. folgende zehn spezifische Risikoaspekte ab:Die Risiken werden in Prüfungsfragen umgesetzt und analytisch auf alle 100.000 Lieferungen angewandt:

Frage 1: Welche Lieferungen erfolgten zum Nullwert?Durch diese Fragestellung werden die Rechnungen in zwei Gruppen geteilt. Die nach­folgenden Fragen dienen der weiteren risikoorientierten Betrachtung der Lieferungen zum Nullwert. Aus Gründen der Vereinfachung werden Positionen einer Rechnung, die zum Nullwert abgerechnet werden, nicht berücksichtigt, sondern nur ganze Rechnungen.

Frage 2: Bei wie vielen Rechnungen liegt der Wert der nicht fakturierten Waren bei mehr als 3% des Gesamtumsatzvolumens?Die Festlegung der Betrachtungsgrenze von 3 % ist willkürlich und dient der Trennung von materiellen von weniger materiellen Geschäftsvorfällen.

Abbildung 7: Kostenlose Lieferungen – risikoorientierte Fragestellungen

Abbildung 6: Rechnungen ohne Bestellungen – Ergebnismatrix

35

Frage 3: Können bei den Kunden, bei denen die beiden vorhergehenden Fragen positiv beantwortet werden konnten, Zinsverluste aufgrund der Überschreitung des Zahlungsziels festgestellt werden?Diese Frage zielt darauf, ob neben Warenlieferungen zum Nullwert noch weitere außer­planmäßige Erlösschmälerungen zu verzeichnen sind.

Frage 4: Können Skontoverluste festgestellt werden?Ähnlich wie bei Frage 3 wird hier festgestellt, ob sich durch das Zahlverhalten des Kunden weitere wirtschaftliche Nachteile ergeben haben.

Frage 5: Hat der Kunde Gutschriften erhalten?Diese Fragestellung soll in Ergänzung zu Erlösschmälerungen – wie z. B. Rabatte oder Boni auf der debitorischen Seite – auch kreditorische Aktivitäten in das Gesamtbild mit einbeziehen.

Frage 6: Wurden dem Kunden mehr Boni gezahlt als vorgesehen? Mit dieser Fragestellung soll analysiert werden, ob planmäßige Erlösschmälerungen wie z. B. Boni vereinbarungsgemäß durchgeführt wurden.

Frage 7: War der wertmäßige Anteil retournierter Ware > 4 % des Gesamt-umsatzvolumens?Hiermit sind in Abgrenzung zu Rückgaben aufgrund von Mängeln Waren gemeint, die sich in einwandfreiem Zustand befanden.

Frage 8: Ist der Kunde im System gesperrt?Fanden kostenlose Lieferungen statt, obwohl der Kunde systemseitig gesperrt ist?

Frage 9: Wurde gegen den Kunden bereits ein Mahnverfahren eingeleitet?Fanden kostenlose Lieferungen statt, obwohl systemseitig bereits automatisch ein Mahnverfahren veranlasst wurde?

Frage 10: Wurden zweifelhafte Forderungen bereits wertberichtigt?Hier soll festgestellt werden, wie werthaltig bestehende oder ehemalige Forde­rungen tatsächlich des betreffenden Kunden tatsächlich sind.Auch hier werden die Einzelergebnisse in Form einer Matrix abgebildet, um einen ersten Überblick zu bekommen, wo möglicherweise risikoreiche Kundenbeziehun­gen vorliegen. In der folgenden Ergebnismatrix sind von insgesamt 100 als sehr kritisch einzustufenden kostenlosen Lieferungen die risikobehafteten „Top Ten“ aufgeführt: Abschließend werden die wichtigsten Merkmale von Massendatenauswertungen zusammengefasst.

A .1 .3 Zusammenfassung der ErgebnisseRückblickend kann der Effekt, der durch die Massendatenauswertung erzielt wurde, schematisch folgendermaßen dargestellt werden:Die Basisdatenmenge, die Grundlage der Analyse war, bestand aus 100.000 Liefe­ranten, Rechnungen und Ausgangslieferungen. Durch risikoorientierte Analysen konnte eine signifikante Datenreduktion durch risikoorientierte Fragestellungen erreicht werden, so dass im Ergebnis 100 Lieferanten, Rechnungen ohne Bestel­lungen und Ausgangslieferungen identifiziert wurden, die ein erhebliches Risiko in sich bergen. An dieser Stelle kann die Massendatenprüfung als abgeschlossen betrachtet werden. Im Folgenden finden konventionelle, von Datenanalysen unberührte Prüfschritte statt, wie z. B.

Abbildung 8: Kostenlose Lieferungen – Ergebnismatrix

Abbildung 9: Datenreduktion durch Massendatenauswertungen

36

• dem Sichten von Vertragsunterlagen und Dokumenten,• dem Führen von Interviews und• der Erstellung von Wirtschaftlichkeitsbetrachtungen usw.Abschließend ist festzustellen, dass die IT­gestützte Analyse umfangreicher Datenbestän­de eine sehr effiziente Möglichkeit bietet, kritische Transaktionen und Geschäftsvorfälle zu identifizieren. Ob diese Transaktionen und Geschäftsvorfälle tatsächlich gegen Prinzi­pien der Ordnungsmäßigkeit verstoßen, das Ergebnis von Missmanagement sind, etc. kann nur durch konventionelle Prüfungsmethoden in Form von Aktensichtung, Vertrags­analyse und Interviews festgestellt werden. Massendatenanalysen können nicht nur zum Zweck der Prüfungsunterstützung einge­setzt werden, sondern auch für Planungsaufgaben. Somit kann mittels der Auswertungen auch die Effektivität der Revisionstätigkeit gesteigert werden; dies wird im Folgenden verdeutlicht. Das obige Beispiel hat als Bezugsrahmen ein einziges Unternehmen. Ist das Unternehmen z. B. in einem Konzernverbund von fünf Unternehmen tätig, könnte man die Unternehmen zumindest hinsichtlich einer Fragestellung bzw. Merkmalsausprägung miteinander vergleichen. Bei Anwendung am Beispiel der Fragestellung „Wie groß ist das prozentuale Volumen von Rechnungen ohne Bestellungen?“ ist folgendes Ergebnis denkbar:

Unternehmen 1: 12 % Unternehmen 2: 34 % Unternehmen 3: 1 % Unternehmen 4: 76 % Unternehmen 5: 7 %

Unterstellt man, dass alle Unternehmen das gleiche Beschaffungsvolumen haben, kann anhand der Verhältniszahl auch das Unternehmen ausgewählt werden, welches dies­bezüglich mit dem größten potenziellen Risiko belastet ist. Im obigen Beispiel wäre dies Unternehmen 4 mit einem Anteil von 76 %. Folglich kann die Analyse auch eingesetzt werden, um gezielt das „richtige“ Untersuchungsobjekt, also die Gesellschaft mit dem höchsten Risikopotenzial auszuwählen und nachfolgend tiefer gehend zu überprüfen. Insofern wird eine Effektivitätssteigerung im Zuge des zu verfolgenden risikoorientier­ten Prüfungsansatzes erzielt.

A .2 Optimierung der Datenanalyse durch „Data Mining“

Die Analysequalität von umfangreichen Datenbeständen lässt sich erhöhen, indem der oben gewählte Ansatz durch eine weitere Methodik ergänzt wird. Wenn die zu analysie­renden Datensätze in einer um den Personenbezug bereinigten Form vorliegen, bietet sich hier z. B. das Data Mining an. Darunter wird der „Prozess des Entdeckens bedeut­samer neuer Zusammenhänge, Muster und Trends durch die Analyse großer Datensätze mittels Mustererkennung sowie statistischer und mathematischer Verfahren“ (Eric Brethenoux, Gartner Group) verstanden.Mustererkennung ist die Fähigkeit, in einer Menge von Daten • Regelmäßigkeiten,• Wiederholungen,• Ähnlichkeiten oder• Gesetzmäßigkeitenzu erkennen.Werden Muster festgestellt, die im Zusammenhang mit dem zu untersuchenden Risiko Bedeutung haben, können die betreffenden Datensätze gekennzeichnet werden. Um solche Vorgänge anschließend mittels konventioneller Prüfungsmethoden auf ihre

37

Ordnungsmäßigkeit hin kritisch zu hinterfragen, ist es notwendig, den Personen­bezug herzustellen. Im Falle der Kreditorenüberprüfung besteht nun die Gelegen­heit, neben den im Unternehmen verfügbaren unternehmenseigenen Daten­quellen (z. B. Stammdaten des Kreditors, Ausschreibungsunterlagen, Umsatzdaten) auch unternehmensfremde Daten in die Analysen mit einzubeziehen wie z. B. Handelsregisterdaten, Adressdaten von einer Telefon­ und Adressbuch­CD eines externen Anbieters, Daten des Internetauftritts etc. Werden diese verschiedenen Datenquellen miteinander kombiniert, können die Erkenntnisse der Datenanalyse erweitert werden und die Ergebnisse von revisorischen Frage stellungen hinsicht­lich ihrer Aussagekraft weiter optimiert werden. So kann auch die Frage interes­sant sein, wenn unterschiedliche Lieferanten die gleiche Adresse haben.Wir bleiben bei unseren o. a. Beispiel und unterstellen ein Unternehmen mit 100.000 Lieferanten unterschiedlicher Größe, bezogen auf unterschiedliche Geschäftsfelder. Uns beschäftigt weiterhin die Frage nach der Existenz von sogenannten„Scheinliefe ranten“. Unterstellt man, dass es für „Scheinlieferanten“ wenig wahrscheinlich ist, dass diese im Handelsregister verzeichnet sind, folgt daraus der Schritt, dass man die Kreditorenstammdaten mit den Daten der Handelsregister abgleicht. Es fallen diejenigen Liefe ranten aus der weiteren Analyse heraus, die im Handelsregister eingetragen sind. Je nach Lieferantenstruktur der eigenen Gesellschaft lassen sich ggf. weitere ex­terne Datenquellen erschließen, deren Nutzung dazu führen kann, die im Zuge der Einzelfallprüfung zu untersuchenden Lieferanten weiter einzugrenzen.

Abbildung 10: Datenquellen für Data Mining

Abbildung 11: Datenquellen für Data Mining

38

Die Aufgaben und Ziele des DIIRAls gemeinnützige Organisation vertritt das DIIR – Deutsches Institut für Interne Revision e.V. mit Sitz in Frankfurt/Main die Interessen der Revisoren. Hauptanliegen ist der ständige nationale und internationale Erfahrungsaustausch und die Weiterentwicklung in allen Bereichen der Internen Revision. Heute zählt das Institut über 2.000 Firmen­ und Einzelmitglieder aus Wirtschaft, Wissenschaft und Verwaltung. Es unterstützt die in der Internen Revision tätigen Fach­ bzw. Führungskräfte mit der Bereitstellung von Fach­informationen. Weitere Ziele und Aufgaben sind die wissenschaftliche Forschung sowie vor allem die Entwicklung von Grundsätzen und Methoden der Revision.

Das DIIR in Zahlen• Gegründet 1958• Ca. 2.200 Mitglieder• 26 Arbeitskreise und mehr als ein Dutzend (branchenspezifische) Erfahrungs­

austauschtage pro Jahr• Mehr als 160 Seminare, Tagungen und sonstige Weiterbildungsveranstaltungen

über die DIIR­Akademie

Nähere Informationen: DIIR e. V. · Ohmstraße 59 · 60486 Frankfurt am Main · Tel.: (069) 71 37 69­0 · Fax: (069) 71 37 69­69 · Internet: www.diir.de

Die Aufgaben und Ziele der GDDDie GDD tritt als gemeinnütziger Verein für einen sinnvollen, vertretbaren und technisch realisierbaren Datenschutz ein. Sie verfolgt das Ziel, die Daten verarbeitenden Stellen – insbesondere auch deren Datenschutzbeauftragte – bei der Umsetzung der vielfältigen mit Datenschutz und Datensicherung verbundenen rechtlichen, technischen und organisatorischen Anforderungen zu unterstützen. Die GDD wird getragen von mehr als 2.100 Unternehmen, Behörden und persönlichen Mitgliedern. Sie stellt damit die größte Vereinigung ihrer Art und zugleich einen der größten Verbände in der Informations­ und Kommunikationsbranche in Deutschland dar.

Die GDD in Zahlen• Gegründet 1977 – über 30 Jahre Datenschutz­Kompetenz• Mehr als 2.100 Mitglieder• Bundesweit 27 Erfahrungsaustauschkreise mit insgesamt mehr als 3.000 Teilnehmern• Ausbildung von mehr als 15.000 Datenschutzverantwortlichen

in der GDD­Datenschutz­Akademie

Nähere Informationen: GDD e.V. · Pariser Str. 37 · 53117 Bonn Tel.: (0228) 69 4313 · Fax: (0228) 69 56 38 · Internet: www.gdd.de

Ohmstraße 5960486 Frankfurt am MainTelefon: (069) 71 37 69­0Telefax: (069) 71 37 69­69www.diir.deinfo@diir.de