Das ist ein gewaltiger Sprung, der bei jedem Wirtschaftsprüfer die Erwartung keimen lässt, dass ein solches Wachstum in einer Finanzdienstleistungsbranche seine Spuren zumindest in der Struktur des Unternehmens hinterlassen muss.

Die Prüfung einer solchen Unternehmung, bei der dann angeblich wesentliche Vermögensteile auf den Philippinen lagern, verschiedene Gazetten von Betrugsverdacht berichten, ist schon eine Herausforderung, die sich auch hoffentlich in der Höhe des Honorars wiederspiegelt. Der Partner, der dieses Mandat annimmt, muss sich darüber klar sein, dass es sich hier um keine Routineprüfung handeln kann. Bei diesem Job brennt die Hütte! Alle, die eine solche Prüfung annehmen, müssen ihr Prüfer-Geschäft verstehen und das Geschäft des Kunden intensiv durchdenken, wobei sie sich stets fragen, wie müsste das Geschäft geführt werden, wenn es seriös ablaufen soll.

Machen wir einen kleinen Sprung: Vor etwa 20 Jahren gab es auch schon ähnliche Fälle und der Berufsstand sah sich gezwungen, eine „Qualitätsoffensive“ zu starten. Die Rettung sahen viele in der Digitalisierung. Man griff die amerikanische Methode der Standardprüfungsprogramme aus den 60iger oder 70iger Jahren auf und modernisierte diesen Ansatz durch eine digital gesteuerte Erfassung und Verarbeitung ähnlich einem Algorithmus. Jeder wesentliche Schritt erhielt vom Prüfer einen optischen Hinweis, ob das Prüfungsergebnis zu dieser Frage zufriedenstellend ausfiel oder nicht. Wenn der Prüfer auf dem Ergebnis „nicht zufriedenstellend“ beharrte, wurden vom Algorithmus automatisch weitere Prüfungsmaßnahmen ausgelöst. Das klingt ganz toll und viele (auch ich) waren begeistert, weil nicht mehr der innere Schweinehund überwunden werden musste, sondern das „System“ den Prüfer vor sich hertrieb. Das Problem war nur, dass bei einem entsprechend engen Budget der Fall „nicht zufriedenstellend“ kaum vorkam. Wir haben vor Jahren mit einer Ampel gearbeitet und unsere Ampeln waren am Ende immer „grün“ für freie Fahrt! Der Prüfer, von dem man annahm, er würde von dem „System“ vorwärts getrieben, drehte den Spieß um: er hatte von Stund‘ an nur noch grüne Ampeln in seinen Arbeitspapieren. Damit lief die Qualitätsoffensive weitgehend ins Leere und keiner der profitorientieren Kollegen wollte damals diese Tatsache mental akzeptieren.

Gehen wir zurück zu Wirecard: Die Prüfung bei Wirecard wurde mit hinreichender Sicherheit über ein vergleichbares Qualitätssicherungssystem abgewickelt und die Prüfer der Prüfer werden nachträglich feststellen, dass das auch alles haarklein abgearbeitet und sauber dokumentiert wurde. Aber die Prüfung ist trotzdem richtig schief gelaufen und der Schaden für den Berufsstand ist immens.

Bei Prüfungen von Unternehmungen, die personell schnell wachsen, die ein Geschäftsmodell verfolgen, das unübersichtlich ist, bei dem nicht jedem sofort klar wird, wo und wie hier das Geld verdient wird, bei Unternehmungen der (Finanz-)Dienstleistungsbranche, bei der die Leistung meist ohne Einsatz von „Hardware“ wahrgenommen werden kann, ist es extrem schwierig, die vielfältigen Aktivitätslinien im Auge zu behalten. Da steigt natürlich das Risiko, aber wir kennen es alle, es ist schon so oft gut gegangen! Und damit verliert der Vorfall unter dem Primat des Ertrages die notwendige Aufmerksamkeit.

Drehen wir die Sache um: Wieviel Unternehmen betrügen? Das ist nach meiner Erfahrung nur ein sehr kleiner Teil. Dazu trägt sicher auch die regelmäßige Abschlussprüfung mit bei. Also verläuft ein extrem hoher Anteil von Abschlussprüfungen „standardmäßig“ ohne wesentliche Beanstandungen. Mögliche Einschränkungen oder Versagungen von Testaten sind in aller Regel keine Folge von Betrug. Also erscheint es gerechtfertigt, Prüfungen über Standardprüfungsprogramme abzuwickeln. Wir müssen uns aber, wie überall im Rahmen der Digitalisierung, darüber klar sein, dass der Standard nur das prüft und erfasst, was regelmäßig vorkommt. Der Algorithmus ist also nur so gut, wie seine Schöpfer ihn konstruieren. Es ist nicht realistisch, den nahezu unmöglichen Fall eines Betruges vorwegzunehmen, weil die kriminelle Kreativität der Betrüger keine Grenzen akzeptiert. Eine Gauß’sche Normalverteilung kann dem Fall eines Betruges keine Wahrscheinlichkeit zumessen, weil nahezu alle der Meinung sind, Betrug ist kriminell und indiskutabel. Der Betrug kommt statistisch aus einer „anderen Welt“. Nassim Taleb (2007) nennt dieses Ereignis einen „Schwarzen Schwan“.

Wir alle kennen den betrügerischen Versuch, z.B. in die Kasse zu greifen. Hierfür gibt es in geordneten Unternehmen Kontrollen, die derartige Versuche verhindern bzw. aufdecken. Der Schwarze Schwan tritt dann auf, wenn das ganze Unternehmen zu betrügerischen Machenschaften gegründet oder verwendet wird. „Der Fisch stinkt immer vom Kopf her“ ist eine alte Weisheit, die sich immer wieder bewahrheitet.

Mein Vorschlag: Lasst die Qualitätsoffensive bestehen. Sie sichert die Routine ab. Es muss aber in jeder größeren Einheit neben den Teams für die Routine und ein wenig darüber hinaus, einen „Risikojäger“ geben, der nicht die breitgetrampelten Pfade der klassischen Prüfung nutzt, sondern unabhängig vom Prüfungsteam das Unternehmen und seinen Markt durchleuchtet, mit dem alleinigen Ziel, sicherzustellen, dass das Prüfungsrisiko zu keinem „Schwarzer Schwan“ für die Prüfungseinheit wird. Diese Aufgabe ist relativ hochkarätig anzusiedeln. Wer diese Aufgabe übernimmt, sollte viele Jahre fachliche und menschliche Erfahrung mitbringen und entwickelt seine Strategie individuell und unabhängig vom Prüfungsteam und seinen digitalen Standardprüfprogrammen.

Er kommuniziert mit dem Prüfungsteam immer dann, wenn er seine Schwachstellenanalyse mit dem Prüfungsleiter durchspricht, um sicherzustellen, dass die Zusammenhänge in der Prüfung adäquat abgebildet werden. Der „Risikojäger“ sollte (unter anderer Bezeichnung) sich ein persönliches Bild von dem Unternehmen und seinem Personal, deren Haltung und Ziele machen. Wo sitzen die Unzufriedenen, die potenziellen Whistleblower? Was für Menschentypen bestimmen den Stil des Hauses. Er schaut sich auch die „kleinen Fische“ an, jene, die die tägliche Arbeit machen. Der „Risikojäger“ muss regelmäßig wechseln, um sicherzustellen, dass immer wieder ein unbefangener, frischer Blick auf die Zusammenhänge möglich ist. Er wird immer dann hinzugezogen, wenn sich wesentliche Veränderungen in der Struktur des Unternehmens, im Geschäftsmodell, in der Ertragslage (positiv wie negativ) eines zu prüfenden Unternehmens vollzogen haben. Sonst kommt er nur alle drei Jahre, wenn die Entwicklung des Unternehmens kontinuierlich verläuft.

Wir betrachten das Risiko meist von der falschen Seite her. Risiko, glauben wir, sei berechenbar. Wir merken aber nicht, dass wir uns auf dem Feld der Unsicherheit bewegen, auf dem es keine Mathematik der Welt schafft, eine sinnvolle Angabe zur Wahrscheinlichkeit eines Betruges zu machen. Der Betrug auf den unteren Etagen eines Unternehmens können wir durch sinnvolle Kontrollen minimieren und hier ist ein Risiko ermittelbar. Aber wenn sich die Spitze eines Unternehmens unterhakt und krumme Wege geht, wie wollen wir das jemals durch eine „Risikostatistik“ erfassen. Es ist extrem selten, aber es kann offensichtlich nicht ausgeschlossen werden.

» weniger zeigen