Eine kurze Geschichte der Kontrollmechanismen im Finanzwesen

Seit Anbeginn des Handels haben Menschen einander betrogen. Die Verbreitung der Doppelten Buchführung, der forensischen Buchhaltung und Handelsregulierungen erzählen dabei stets dieselbe menschliche Geschichte: Es wird immer Leute geben, die stehlen, was nicht festgeschraubt ist.

Im letzten Jahrhundert sind Buchführung und Konten dank Technologie, Globalisierung und komplexeren Rechtslagen erheblich komplizierter geworden. Mit der steigenden Komplexität wuchsen auch die Methoden für skrupellose Mitarbeitende, Geld zu entwenden. Die Buchhaltungsbranche und die zugehörigen Regulierungsbehörden reagierten darauf mit der Entwicklung interner Kontrollen, die sich seit den 1960ern rasant entwickelten und heute ein kritischer Bestandteil jedes gut geführten Unternehmens sind. 

In den letzten 15 Jahren haben externe Bedrohungen massiv zugenommen. Steigende kriminelle Raffinesse, die wachsende Bedeutung der Business-IT und der Wandel zu schnellen elektronischen Zahlungen haben allesamt zum globalen Siegeszug von Betrugsmaschen, Erpressungen und Diebstählen in Unternehmen beigetragen.

Die Gefahr kommt von innen

Die wirkungsvollste Maßnahme gegen neue externe Bedrohungen besteht darin, die Kontrolle über die Mitarbeitenden zu verstärken – denn glauben Sie mir: Die größte Gefahr kommt „von innen“. 

„Wollen Sie damit sagen, mein Team ist nicht vertrauenswürdig?“

Nein – nicht immer und nicht absichtlich.

Früher bestand das Risiko des Zahlungsbetrugs hauptsächlich aus einer Kombination aus Gelegenheit, Bedürfnis und Zugang seitens der Mitarbeitenden. Wer Zugang zu Firmengeldern hat, wird leicht in Versuchung geführt – vor allem dann, wenn es die eigene persönliche Not lindert. So entsteht Betrug, der, sofern er unentdeckt bleibt, schnell zur Gewohnheit werden kann.

Heute kommt durch den externen Betrug ein weiterer Faktor hinzu: die Anfälligkeit Ihrer gutmeinenden Mitarbeitenden, hereingelegt zu werden. „Hacken“ ist keine Magie, mit der Geld wie von Zauberhand verschwindet; vielmehr verschaffen sich Kriminelle durch das Täuschen von Menschen oder Systemen Zugriff.

Auch wenn Sie Ihre Mitarbeitenden auf Angriffe sensibilisieren können, ist es eine der wirksamsten Gegenmaßnahmen, ihre Arbeit und die Systeme mit finanziellen Kontrollmechanismen zu schützen – gegen Betrugsversuche von innen wie von außen.

Allgemeine Strategien

Mit der Entwicklung der Betrugstrends sind klassische und interne Kontrollmechanismen in drei Hauptstrategien zur Bekämpfung von Zahlungsbetrug zusammengeführt worden.

Wie bei jeder Investition sollte man mit einem soliden Risikomanagement starten: Welche Bedrohungen sind für Ihr Unternehmen am wahrscheinlichsten und am gefährlichsten?

1. Einzelne Schwachstellen reduzieren

Dies ist die technische Entsprechung zu unserem alten Bekannten, der Trennung von Aufgaben (Segregation of Duties, SoD) – und dehnt das Prinzip von Personen auf Systeme und Tools aus. Das klassische SoD-Beispiel: Kann eine Einzelperson sowohl Zahlungen freigeben als auch Einträge im Hauptbuch anpassen, ist das gefährlich – denn sie stellt eine einzige Schwachstelle für Zahlungsbetrug dar. Immerhin genügt in diesem Fall ein einzelner Fehler (bei der Person oder ihrer Integrität), um einen Betrugsfall zu ermöglichen.

Mit den heutigen Bedrohungen gilt: Alles, was sie imitieren kann, wird ebenfalls zur Schwachstelle – also das Passwort, der Laptop oder sogar der E-Mail-Zugang dieser Person.

Beheben Sie einzelne Schwachstellen, indem Sie Zuständigkeiten auf Teams verteilen und zusätzliche Schritte einführen.

Diese Disziplin geht richtig in die Tiefe. Später im Artikel gehe ich auf die gängigsten Schwachstellen ein und darauf, wie man sie adressiert.

2. Angriffspunkt und Wirkung reduzieren

Es gibt zwei Hauptkomponenten, um das Risiko von Zahlungsbetrug zu verringern: Man muss die Quellen und das potenzielle Schadensausmaß im Auge behalten. 

Die Bekämpfung von Bedrohungsquellen funktioniert, indem die Wahrscheinlichkeit des Eintretens einer Bedrohung verringert wird; Maßnahmen zur Reduzierung der Auswirkungen minimieren potenzielle Verluste, falls sie doch eintreten. 

Nehmen wir zwei klassische Beispiele aus der Betrugsbekämpfung: Genehmigungslimits verringern den potenziellen Verlust durch betrügerische Ausgaben (Auswirkungen) und das Prinzip des geringsten Privilegs reduziert die Wahrscheinlichkeit von Betrug, indem es die Anzahl der Personen, die ihn initiieren könnten, begrenzt (Quellen).

Die Cyberbranche kennt ein verwandtes Konzept, die sogenannte Angriffsfläche, die üblicherweise zur Beschreibung von Systemen verwendet wird. Sie ist eine Kombination daraus, wie verwundbar ein System ist und wie viele Dinge sich mit ihm verbinden – und es somit angreifen – können. Cyber-Teams haben meist das größte Wissen darüber, wie Systeme typischerweise attackiert werden; ihre Herausforderung liegt meist darin, dieses Wissen mit tatsächlichen finanziellen Verlusten zu verknüpfen. Hier gab es im letzten Jahrzehnt große Fortschritte.

Nach meiner Erfahrung ist die Umsetzung dieser Strategie oft die Chance mit dem geringsten Aufwand für die meisten Organisationen, um ihre Sicherheit zu verbessern. Die meisten Betrugsmaschen bestehen aus mindestens fünf Schritten, und Betrüger müssen in allen erfolgreich sein, um ihr Ziel zu erreichen; Um sie zu stoppen, reicht es, sie bei einem der Schritte zu verhindern. Gehen Sie bei jedem Schritt eines potenziellen Betrugsszenarios gedanklich durch, wie sich sowohl die Ursachen als auch die Auswirkungen verringern lassen. Normalerweise bieten sich an fast allen Prozessschritten mehrere Möglichkeiten, viele davon kostenfrei (oder nahezu).

Erfolg bei dieser Strategie erfordert Gründlichkeit (bei der Ermittlung und Dokumentation von Prozessen) und Kreativität (bei der Entwicklung von Lösungsansätzen). Die Methode eignet sich hervorragend als moderierte Teambuilding-Übung und führt häufig auch zu Effizienzgewinnen.

3. Umsetzbare Warnmeldungen erstellen

Warnungen und Indikatoren in Prozesse und Systeme zu integrieren, kann Betrug stoppen, bevor es zu spät ist. In gewisser Weise ist das der älteste Trick der Welt: Doppelte Buchführung, Drei-Wege-Abgleich und die meisten GAAP setzen auf unabhängige Aufzeichnungen, um Probleme aufzudecken. 

Dieser Ansatz hat im letzten Jahrhundert in vielen anderen Branchen für bahnbrechende Veränderungen gesorgt – von der industriellen Revolution bei Toyota bis zum modernen Produktmanagement – mit Tech-Unternehmen an der Spitze, die diesen Ansatz in den letzten 15 Jahren vorangetrieben haben. Aus meiner Erfahrung und auch laut führender Finanz-Expert:innen beginnt diese Denkweise jetzt erst, sich flächendeckend durchzusetzen. In den letzten 5 Jahren haben viele kleine Unternehmen begonnen, sich nach Kennzahlen zu steuern, wobei meist der CFO die Leitung dieser Transformation übernimmt. Glückwunsch dazu.

Aber gehen Sie bedacht vor: Es gibt eine Schattenseite von Kennzahlen, Dashboards und Warnmeldungen. In der heutigen Geschäftswelt gibt es Unmengen an Daten. KPIs, SLAs und Statusübersichten erscheinen fix und fertig auf hübschen Dashboards. Doch wenn eine Kennzahl oder ein Alarm nicht zu einer konkreten Handlung führt (oder, schlimmer noch, das falsche Verhalten auslöst), ist er schlimmer als nutzlos.

Dies geschieht auf zwei Arten. Erstens: Gibt es zu viele Fehlalarme, werden die Teams abstumpfen und sie ignorieren.

Zweitens: Manche wählen Kennzahlen, die keine direkte Handlung auslösen. Diese werden oft als "Vanity Metrics" (Eitelkeitskennzahlen) bezeichnet und können im schlimmsten Fall eine falsche Sicherheit vermitteln und vom Wesentlichen ablenken. Wie die Juristen sagen ...

Wenn Sie Warnmeldungen erstellen, wählen Sie Ereignisse, die mit hoher Wahrscheinlichkeit ein echtes Problem anzeigen. Als Faustregel gilt: Nur dann Kennzahlen verfolgen und alarmieren, wenn alle Beteiligten der Meinung sind, dass das Risiko den Aufwand für die Überprüfung wert ist. 

Join our Community

Join North America’s most innovative collective of Tech CFOs.

Sign up with:

LinkedInGoogleMicrosoft

Or sign up with email:

URL

This field is for validation purposes and should be left unchanged.

Name*

First name Last name

Business email*

This field is hidden when viewing the form

Free Account Module

Bottom BarLanding PageFooterInlinePop UpSidebarSSO

LinkedIn profile

Seniority*

Select an optionExecutive / C-suiteVPDirectorManagerIndividual ContributorOther

Company's AI adoption maturity*

Select an optionExploring opportunitiesRunning pilotsScaling adoptionEmbedded in the business model

Taktiken zur Vermeidung von Zahlungsbetrug

Auch wenn bewährte klassische interne Kontrollen nach wie vor von großem Wert sind, sind sie für alle außer die größten Organisationen oft zu aufwändig. Ich habe festgestellt, dass die folgenden Mechanismen besonders effektiv dabei sind, modernen Betrug in kleineren Organisationen zu stoppen – oft mit erstaunlich wenig Aufwand. Die nachstehenden Kontrollen sind grob priorisiert, der Aufwand und der Nutzen schwanken jedoch stark zwischen Unternehmen. 

1. Konten segmentieren

Strategie: Exponiertheit verringern

Diese Maßnahme ist ein bewährter Standard, aber bei wachsenden Unternehmen noch zu selten genutzt. Die Isolation von Bankkonten für Zahlungen kann enorme Verluste verhindern. Führen Sie ein dediziertes Konto für Einmalzahlungen, ein weiteres Konto für regelmäßige monatliche Ausgaben und ein Treasury-Konto für andere Mittel. 

Halten Sie den Saldo auf dem Konto für regelmäßige Zahlungen niedrig, überweisen Sie manuell Gelder auf das Einmal-Konto und zahlen Sie niemals aus dem Treasury-Konto aus. Jeglicher Betrug, der eines der Zahlungskonten trifft, verursacht entweder nur geringe Verluste oder schlägt komplett fehl.

Dieses Kontrollinstrument lässt sich leicht mit AP-Automatisierungsplattformen umsetzen.

2. Registrierung bei Wirtschaftsauskunfteien

Strategie: Reduzierung der Gefährdung

Dies ist einfach und behandelt eine andere Art von Betrug: Identitätsdiebstahl Ihres Unternehmens. Falsche Kreditaufnahme kann im Namen Ihres Unternehmens erfolgen und die Bereinigung ist aufwendig. Wenn Sie Ihr Unternehmen zuerst bei Wirtschaftsauskunfteien registrieren, machen Sie es Kriminellen deutlich schwerer, Sie auf diese Weise auszunutzen.

3. Weg von der E-Mail

Strategie: Single Points of Failure reduzieren

E-Mail ermöglicht eine enorme Menge an Betrug und Kriminalität. Kein Wunder, denn viele Unternehmen wickeln beinahe alles darüber ab. Trifft dies auf Ihr Unternehmen zu, ist die E-Mail vermutlich ein Single Point of Failure: Wenn ein Betrüger Zugang zu Ihrem E-Mail-Account bekommt, kann er großen Schaden anrichten und dabei seine Spuren verwischen.

Die Lösung ist einfach: Nutzen Sie für risikoreiche Aktivitäten ausschließlich spezialisierte Systeme.  

4. Single Sign-on, Multi-Faktor-Authentifizierung

Strategie: Single Points of Failure reduzieren

Dies ist etwas technischer, aber sehr sinnvoll. Die beste Lösung für Passwörter, Föderation, beseitigt zahlreiche Single Points of Failure für kriminelle Identitätsanmaßung in Ihren Systemen. Was Sie benötigen, ist ein modernes, zentrales System, das als Identitätsanbieter für Ihre Mitarbeitenden fungiert; alle anderen von Ihnen genutzten Systeme vertrauen diesem dann. Mitarbeiter melden sich beim Identitätsprovider an, danach funktioniert alles andere wie von selbst. 

Wie erwähnt ist dies technisch, daher muss Ihr IT-Team die Anbindungen herstellen.

Passwörter sind eine häufige Schwachstelle. Wenn Sie starke Multi-Faktor-Authentifizierung (MFA) verpflichtend einführen, wird dieses Risiko beseitigt. Jeder seriöse Föderationsanbieter wird Ihnen das dringend empfehlen.

5. Honeypots

Strategie: Handlungsfähige Warnungen

Honeypots (manchmal auch Canary Tokens genannt) sind ein Ansatz, der Sie darüber informiert, wenn ein Cyberkrimineller all Ihre Schutzmaßnahmen überwunden und Zugriff auf etwas erlangt hat, das er nicht sollte. Honeypots sind Köder, die bei Zugriff automatisch warnen. Am häufigsten werden sie in der IT genutzt, können aber auch für Zahlungsdaten eingesetzt werden. Besonders effektiv funktioniert dies bei automatisierten Finanzplattformen, wie ich in Strategie Nr. 10 erkläre.

Technische Honeypots sind einfach und kostenlos einzurichten. 

6. Auslagern an einen Dienstleister

Strategie: Single Points of Failure reduzieren

Die Zusammenarbeit mit einem Dienstleister ist oft nicht nur günstiger als eine eigene Umsetzung, sondern zugleich auch widerstandsfähiger. Das Outsourcing kann viele Single Points of Failure beseitigen, da die Anforderungen Ihres Unternehmens auf ein größeres Team und System verteilt werden. 

Viele Unternehmen stellen fest, dass ein Dienst für Kreditorenbuchhaltung zur günstigeren Option wird, sobald die Kreditorenbuchhaltung die Hälfte der Arbeitszeit eines Mitarbeitenden in Anspruch nimmt. Da diese Rechnung die Kosten für Betrugsfälle außer Acht lässt, empfehle ich Unternehmen, schon deutlich früher über diesen Schritt nachzudenken. Einige Automatisierungsplattformen erlauben es einem Finanzteam, das Arbeitsvolumen um das Hundertfache zu steigern – ohne zusätzliches Personal oder Kontrollverlust. 

Auch das Auslagern Ihrer IT-Systeme auf eine Webplattform kann ein ausgezeichneter Weg sein, Single Points of Failure zu vermeiden. Die externen Anbieter werden Verschlüsselung, Erkennung von Schadsoftware und Schwachstellen, Schutz vor Datenlecks und Phishing üblicherweise besser abdecken, als es intern möglich ist.

Das funktioniert allerdings nur, wenn der Outsourcing-Dienstleister tatsächlich wenige oder keine Single Points of Failure aufweist. Viele Finanz-Outsourcing-Anbieter stellen eine einzige, alles erledigende Buchhaltungskraft bereit, die in Ihren Systemen mit Ihren Prozessen arbeitet – keine sinnvolle Option, wenn Sie Risiken reduzieren möchten. Ebenso setzen zahlreiche Webplattformen weiter auf die gleichen fragilen Architekturen aus 2006, schmücken sich mit Cloud-Begriffen im Marketing und hoffen, dass niemand genauer hinschaut. Klar ist: Keine dieser Lösungen bietet wirkliche Sicherheitsvorteile. 

7. Virtuelle Karten

Strategie: Reduzierung der Gefährdung

Mit einem Anbieter virtueller Karten steuern Sie granular, wen Sie bezahlen und wie viel Sie bezahlen können. Ich habe virtuelle Karten bereits in meinem Artikel erläutert, der sich mit der Sicherung von B2B-Zahlungen befasst. Die meisten automatisierten AP-Plattformen bieten virtuelle Karten an.

8. Lieferantenvalidierung und Drei-Wege-Abgleich

Strategie: Exponierung verringern

Die Einschränkung von Zahlungen auf eine Liste autorisierter Lieferanten, die Validierung von Zahlungsinformationen und das Abgleichen von Rechnungen mit Bestellungen können viele der weniger ausgeklügelten Betrugsversuche ausschließen. Viele Anbieter bieten Abgleiche mit einer Liste geprüfter Lieferanten an; dies kann überraschend kostengünstig sein.

9. Positive Pay

More Articles

• 14 B2B-Expertentipps zur Zahlungssicherheit, die Sie diesen Monat umsetzen können
• ChatGPT-Risiken treiben Cyberkriminalität zu Rekordwachstum
• Geschäftsprozess-Audit: Warum der CFO sich kümmern muss (+ wie es geht)

Strategie: Exponierung verringern

Mit dieser Funktion können Sie Ihrer Bank monatlich eine Liste autorisierter Bestellungen zusenden. Die Bank blockiert dann ACH- und Scheckzahlungen, die nicht übereinstimmen, und benachrichtigt das Unternehmen im Bedarfsfall. Früher galt dieser Mechanismus als sehr aufwändig, aber inzwischen wurden die meisten Probleme durch die Anbieter gelöst.

10. Automatisierte Finanzprozesse

Strategie: Handlungsempfehlungen & Reduktion von Single Points of Failure

Eine automatisierte Finanzplattform ermöglicht Ihnen eine sehr detaillierte Kontrolle darüber, wie Geld in Ihrem Unternehmen bewegt wird, und das mit einem Bruchteil des Personals. Das kann enorm wertvoll sein, ist aber häufig mit einem teuren Umstieg verbunden. Bedenken Sie dabei:

• Automatische Zahlungen an konstante, langjährige Lieferanten. In der Regel können Sie die Zahlungsdetails im Lieferantenstamm hinterlegen.
• Automatisierte Rechnungsstellung und Mahnwesen
• Automatisierte Überweisungen und Debitorenprozesse
• Benachrichtigungen bei unerwarteten Transaktionen und Salden
• Automatisierte Rechnungs- und 3-Wege- oder 2-Wege-Abgleiche
• KI-/Anomalie-Erkennung (weitere Informationen unten)

Manche Plattformen benachrichtigen Sie automatisch über riskante Transaktionen, basierend auf aktuellen Bedrohungen in der Branche und dem, was in Ihrer Buchhaltung als normal gilt. Mein Tipp? Wenn Sie ein Produkt wegen seiner Anomalieerkennung möchten, probieren Sie es unbedingt aus. KI-Produkte sind immer "Blackbox", sodass sich die Qualität objektiv kaum bewerten lässt. Die Effektivität solcher Blackbox-Produkte nimmt außerdem über die Jahre meist ab, da sich Bedrohungen und Marktbedingungen weiterentwickeln.

Technologielösungen für Kreditorenbuchhaltung

Hier folgt eine Auswahl neuer und etablierter Kreditoren-Plattformen mit den Funktionen, die ich in diesem Artikel erwähnt habe. Banken bieten ebenfalls ausgelagerte Kreditoren- (AP) und Debitorenprozesse (AR) an (oft als "Remittance Processing" bezeichnet), meist als White-Label-Lösung eines spezialisierten Anbieters.

Betrug ist vermeidbar

Sie können viele Schäden durch Internetkriminalität verhindern, indem Sie starke interne Kontrollen in der Kreditorenbuchhaltung einführen. Während externe Bedrohungen in den letzten zehn Jahren massiv zugenommen haben, sind ebenso die Werkzeuge zu ihrer Erkennung und Vermeidung gewachsen (einer der Vorteile von mobilen Zahlungs-Apps ist, dass sie hierbei unterstützen).

Weitere Tipps für Finanzverantwortliche, unter anderem wie Sie Ihr Unternehmen vor Online-Bedrohungen schützen, erhalten Sie im Newsletter des CFO Clubs.

Ich würde gerne von Ihnen hören: Welche Kontrollen waren bei Ihnen am wirksamsten gegen Betrug? Haben Sie etwas hiervon umgesetzt? Lassen Sie es mich in den Kommentaren oder in den sozialen Medien wissen.