Verwaltungsrats-Lexikon

Fraud Risk

Risiko vorsätzlicher Täuschung zum eigenen oder fremden Vorteil zu Lasten der Gesellschaft, von Bilanzfälschung über Vermögensdelikte bis zu externem Betrug und CEO-Fraud.

Definition

Fraud Risk ist das Risiko vorsätzlicher Täuschung zum eigenen oder fremden Vorteil zu Lasten der Gesellschaft. Charakteristisch ist die Absicht: Fraud unterscheidet sich vom unbeabsichtigten Fehler durch das Wissen und Wollen des Täters.

Fraud kann intern (durch Mitarbeitende, Geschäftsleitung, VR) oder extern (durch Lieferanten, Kunden, Cyberkriminelle) erfolgen. Häufig sind Kombinationen, etwa wenn interne Personen mit externen Komplizen kooperieren (Kollusion).

Fraud-Typen

Bilanzfälschung (Financial Statement Fraud)

  • Umsatzfälschung durch fiktive Verkäufe oder zu frühe Ertragsrealisierung.
  • Versteckte Verbindlichkeiten und Aufwendungen.
  • Bewertungsmanipulation (Vorräte, Forderungen, immaterielle Werte).
  • Verschleierung von Bargeschäften oder Auslandstöchtern.
  • Manipulation von Konzern-Konsolidierungen.

Vermögensdelikte (Asset Misappropriation)

  • Diebstahl von Bargeld, Waren, Vermögenswerten.
  • Fingierte Rechnungen an die Gesellschaft.
  • Spesenbetrug (private Auslagen, fiktive Reisen).
  • Lohnbetrug (Geisterangestellte, falsche Stundenangaben).
  • Skimming (Einnahmen abgeschöpft vor Verbuchung).
  • Missbrauch von Firmenkreditkarten.

Korruption

  • Bestechungsgelder an Entscheidungsträger.
  • Bestechlichkeit von Mitarbeitenden.
  • Kickbacks von Lieferanten oder Beratern.
  • Interessenkonflikte ohne Offenlegung.
  • Bid Rigging und Manipulation öffentlicher Aufträge.

Externer Betrug

  • CEO-Fraud (Business Email Compromise).
  • Lieferantenbetrug (gefälschte Rechnungen, falsche Bankverbindung).
  • Phishing und Identitätsmissbrauch.
  • Cyberbetrug (Manipulation von Zahlungsdaten).
  • Versicherungsbetrug.

Fraud Triangle

Cresseys Modell beschreibt drei Voraussetzungen, die zusammen Fraud ermöglichen:

Motivation

  • Finanzieller Druck (Schulden, Sucht, Lifestyle).
  • Zielvorgaben unter Druck (Bonus, Job-Sicherheit).
  • Rachegefühle, Frustration.
  • Erpressung durch Dritte.

Gelegenheit

  • Schwache interne Kontrollen.
  • Vertrauensposition ohne Aufsicht.
  • Fehlende Funktionstrennung.
  • Top-Management-Ausnahmen.
  • Komplexe Strukturen mit Unsichtbarkeit.

Rationalisierung

  • Sich-verdient-Mentalität ("die schulden mir das").
  • Schadenslosigkeit-Annahme ("die merken es nicht").
  • Notlage als Rechtfertigung.
  • Vorgesetzte machen es auch.

Prävention setzt am leichtesten an der Gelegenheit an, weil sie strukturell steuerbar ist.

Rechtsgrundlage

Strafrecht

  • StGB Art. 146: Betrug.
  • StGB Art. 158: Ungetreue Geschäftsbesorgung.
  • StGB Art. 138: Veruntreuung.
  • StGB Art. 251: Urkundenfälschung.
  • StGB Art. 322ter ff.: Bestechung im privaten und öffentlichen Sektor.

Aktienrecht

  • OR Art. 716a Abs. 1 Ziff. 3: Risiko-Management und Finanzkontrolle.
  • OR Art. 728a Abs. 1 Ziff. 3: IKS-Bestätigung durch Revisionsstelle.
  • OR Art. 754: Verantwortlichkeit der Organe.

Geldwäscherei

  • GwG: Sorgfaltspflichten, Meldepflichten an MROS.

Praxis Schweiz

KMU

Häufig hohe Vertrauenskultur, lange Zugehörigkeiten, kleine Teams ohne Funktionstrennung. Buchhalter mit alleinigem Zugriff auf Konten und Buchführung sind ein Klassiker. Periodische externe Treuhand-Reviews und Job-Rotation reduzieren das Risiko.

Konzerne

Komplexe Strukturen mit Auslandstöchtern bieten Spielraum für Fraud auf lokaler Ebene. Konzerninternes Audit, IT-gestützte Datenanalyse (Continuous Auditing) und gruppenweite Whistleblowing-Kanäle sind Standard.

Banken

GwG, Insiderrecht, FINMA-Vorgaben schaffen einen dichten regulatorischen Rahmen. Trotzdem sind interne Fraud-Vorfälle regelmässig dokumentiert (Rogue Trader, Insider Trading, Bilanzmanipulation).

Öffentliche Aufträge und Beschaffung

Korruption bei Vergabeverfahren ist ein wesentlicher Fraud-Bereich, sowohl als Geber wie als Empfänger. Compliance-Programme mit Schulungen, Vier-Augen-Prinzip und Whistleblowing sind essenziell.

IKS-Massnahmen gegen Fraud

Funktionstrennung

  • Buchung, Zahlung, Genehmigung getrennt.
  • Lagerverwaltung getrennt von Bestellung und Bezahlung.
  • Kundendaten getrennt von Zahlungsdaten.

Vier-Augen-Prinzip

  • Zahlungen über Schwellenwerten doppelt freigegeben.
  • Vertragsabschlüsse doppelt unterzeichnet.
  • Sensible Datenänderungen doppelt bestätigt.

Reconciliations

  • Bankabstimmung mit Belegabgleich.
  • Lagerinventur mit Buchhaltung.
  • Lieferanten- und Kundenkonten regelmässig abgleichen.

Approval-Workflows

  • Spesen mit Belegen und Kategorisierung.
  • Beschaffung mit Lieferanten-Stammdaten-Verifikation.
  • Auszahlungen an neue Lieferanten mit Verifikationsanruf.

Personal-Massnahmen

  • Job-Rotation in sensiblen Funktionen.
  • Obligatorische Ferien (Substitution deckt Fraud-Spuren auf).
  • Hintergrundprüfungen bei sensiblen Rollen.
  • Periodische Trainings.

Whistleblowing

  • Anonymer Kanal mit Schutz vor Repressalien.
  • Externe Ombudsperson für sensible Fälle.
  • Klar dokumentierte Untersuchungsprozesse.

IT-Kontrollen

  • Logging und Audit-Trails.
  • Zugriffsrechte nach Least-Privilege.
  • Continuous Auditing mit Datenanalyse.
  • Anti-Fraud-Software für Transaktionsmuster.

CEO-Fraud und Cyberbetrug

Eine wachsende Bedrohung sind externe Betrugsformen:

CEO-Fraud (Business Email Compromise)

  • Täter geben sich als CEO, CFO oder Top-Personen aus.
  • Anweisung an Mitarbeitende zu Zahlungen oder Datenherausgabe.
  • Dringlichkeit und Diskretion als psychologische Hebel.
  • Zunehmend mit Deepfake-Stimmen und -Videos.

Schutzmassnahmen

  • E-Mail-Filter und SPF/DKIM/DMARC.
  • Verifikation per Rückruf auf bekannter Nummer.
  • Klare Prozesse mit Zweitfreigabe.
  • Awareness-Trainings und Phishing-Simulationen.
  • Lieferanten-Stammdatenänderungen nur mit Verifikation.

Lieferantenbetrug

  • Gefälschte Rechnungen mit echten Lieferanten-Daten.
  • Bankverbindungs-Änderung ohne echte Bestätigung.
  • Doppelte Rechnungsstellung.

Fraud-Verdacht: Vorgehen

Bei Fraud-Verdacht ist disziplinierte Vorgehensweise entscheidend:

  1. Vertraulichkeit wahren, keine Vorab-Warnung an Verdächtige.
  2. Beweissicherung (Logs, E-Mails, Dokumente) durch Forensik.
  3. Externe Spezialisten (Wirtschaftsanwälte, Forensiker) einbeziehen.
  4. Untersuchungs-Leitung unabhängig vom Beschuldigten.
  5. VR und Audit Committee bei materiellen Verdachtsfällen informieren.
  6. Strafanzeige und Meldepflichten prüfen.
  7. Schadensbegrenzung durch sofortige Massnahmen (Konten sperren, Zugriffsrechte entziehen).
  8. Wiederherstellung der Kontrollen und Lessons Learned.

VR-Verantwortung

Der VR muss:

  • Anti-Fraud-Programm als Teil des Risikomanagements einfordern.
  • IKS-Wirksamkeit gegenüber Fraud-Szenarien prüfen.
  • Whistleblowing-System etablieren und überwachen.
  • Reporting zu Fraud-Vorfällen und Untersuchungen erhalten.
  • Materielle Verdachtsfälle behandeln.
  • Tone at the Top als Anti-Fraud-Kultur vorleben.

Häufige Fehler

  • Übertriebenes Vertrauen in langjährige Mitarbeitende.
  • Top-Management-Ausnahmen vom IKS.
  • Fehlende Funktionstrennung in kleinen Teams.
  • Mangelnde Spesen-Kontrolle.
  • Fehlendes Anti-Fraud-Training.
  • Unterressourcierte Internal Audit.
  • Whistleblowing-System ohne Wirkung.
  • Vertuschung statt Aufarbeitung mit kulturellen Folgen.
  • Fehlende forensische Spurensicherung bei Verdacht.
  • Ungeschützte Zahlungsprozesse gegen CEO-Fraud.

Abgrenzung

  • Risiko-Management ist Oberrahmen, Fraud Risk ist eine spezifische Kategorie.
  • IKS ist das operative Instrument zur Fraud-Verhinderung.
  • Compliance umfasst Regelverstösse breiter, Fraud ist absichtliche Täuschung.
  • Korruptionsprävention ist ein Teilbereich des Fraud Risk.
  • Cyberbetrug ist Fraud mit IT-Bezug.

Häufige Fragen

Was ist Fraud Risk?
Fraud Risk ist das Risiko vorsätzlicher Täuschung zum eigenen oder fremden Vorteil zu Lasten der Gesellschaft. Dazu zählen Bilanzfälschung (Financial Statement Fraud), Vermögensdelikte (Asset Misappropriation) und Korruption. Externer Betrug (Lieferantenbetrug, CEO-Fraud, Cyberbetrug) ergänzt das Bild. Fraud ist absichtlich, was es vom unbeabsichtigten Fehler unterscheidet.
Welche Fraud-Typen werden unterschieden?
Drei Hauptkategorien nach ACFE: Bilanzfälschung (manipulierte Finanzberichterstattung, Umsatzfälschung, versteckte Verbindlichkeiten), Vermögensdelikte (Diebstahl, Veruntreuung, Spesenbetrug, fingierte Rechnungen) und Korruption (Bestechung, Bestechlichkeit, Kickbacks, Interessenkonflikte). Externer Betrug umfasst CEO-Fraud, Lieferantenbetrug, Phishing, Identitätsmissbrauch.
Was ist das Fraud Triangle?
Das Fraud Triangle nach Cressey beschreibt drei Voraussetzungen für Fraud: Motivation (finanzieller Druck, Sucht, Erpressung), Gelegenheit (schwache Kontrollen, Vertrauensposition, Funktionstrennungslücke), Rationalisierung (innere Rechtfertigung, Schadenslosigkeit-Wahn, sich-verdient-Mentalität). Prävention setzt vor allem an der Gelegenheit an, weil Kultur und Motivation schwerer steuerbar sind.
Welche Pflichten hat der Verwaltungsrat?
Der VR muss IKS und Anti-Fraud-Massnahmen einfordern, Risikobeurteilung mit Fraud-Szenarien sicherstellen, Whistleblowing-System etablieren, materielle Verdachtsfälle behandeln und Untersuchungen verantwortungsvoll führen lassen. Mangelhafte Fraud-Prävention ist regelmässiger Vorwurf in Verantwortlichkeitsklagen nach OR Art. 754, insbesondere wenn IKS-Schwächen offenkundig sind.
Welche IKS-Elemente verhindern Fraud?
Funktionstrennung (Segregation of Duties) zwischen Buchung, Zahlung, Genehmigung, Lagerverwaltung; Vier-Augen-Prinzip bei Transaktionen über Schwellenwerten; Reconciliations und Abgleiche; Spesen- und Approval-Workflows mit Belegen; Job-Rotation und obligatorische Ferien; Whistleblowing-Kanal; Sensibilisierungs-Trainings; Hintergrundprüfungen bei sensiblen Rollen.
Was ist CEO-Fraud?
CEO-Fraud (oder Business Email Compromise) ist ein externer Betrug, bei dem Täter sich als CEO, CFO oder anderer Topmanager ausgeben und Mitarbeitende zu Zahlungen oder Datenherausgaben anweisen. Häufig per E-Mail mit gefälschten Absendern, zunehmend mit Deepfake-Stimmen und -Videos. Schutz: technische Massnahmen (E-Mail-Filter, Verifikation), klare Prozesse mit Zweitfreigabe, Sensibilisierung.
Wie geht man bei Fraud-Verdacht vor?
Sofortige Sicherung relevanter Beweise (Logs, Dokumente, E-Mails), Vermeidung von Vorab-Warnung an Verdächtige, Engagement von Forensik-Experten und Wirtschaftsanwälten, klare Untersuchungs-Leitung getrennt vom Beschuldigten, Information an Audit Committee und VR bei wesentlichen Verdachtsfällen, Abklärung Strafanzeige und Meldepflichten, Schadensbegrenzung und Wiederherstellung.
Welche Fehler treten häufig auf?
Häufig sind übertriebenes Vertrauen in langjährige Mitarbeitende, Top-Management-Ausnahmen vom IKS, fehlende Funktionstrennung in kleinen Teams, mangelnde Spesen-Kontrolle, fehlendes Anti-Fraud-Training, unterressourcierte Internal Audit, Whistleblowing-System ohne Wirkung, Vertuschung statt Aufarbeitung, fehlende forensische Spurensicherung, ungeschützte Zahlungsprozesse gegen CEO-Fraud.

Verwandte Einträge

  • IKS (Internes Kontrollsystem)Firmeninternes System aus Kontrollmechanismen zur Sicherstellung der Zielerreichung, Compliance und ordnungsgemässen Berichterstattung — gesetzlich gefordert nach OR.
  • WhistleblowingGeschütztes Meldesystem für mutmassliche Unregelmässigkeiten innerhalb der Gesellschaft, ohne Nachteile für die meldenden Personen.
  • KorruptionspräventionSystematische Verhinderung von Bestechung und Bestechlichkeit im öffentlichen und privaten Sektor durch Policies, Kontrollen, Trainings und Reporting.
  • Risiko-ManagementSystematische Identifikation, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken einer Gesellschaft — Kernverantwortung des VR.

Fehlt etwas oder ist ein Fehler im Eintrag? Feedback zu diesem Begriff geben →