Mit dem rasanten technologischen Fortschritt steigt die Bandbreite digitalisierbarer Geschäftsprozesse. Als zentrale Stelle bildet die externe Rechnungslegung den optimalen Ausgangspunkt für die Digitalisierung. Eine Schattenseite der zunehmenden Digitalisierung ist, dass sich die möglichen Betrugsszenarien im selben Tempo weiterentwickeln wie die Technologie.
Durch die Digitalisierung des Rechnungswesens, das heißt Automatisierung sämtlicher Buchungen, entstehen demzufolge neue Betrugsszenarien. Diese werden nicht mehr nur von internen Tätern, wie im traditionellen Rechnungswesen, sondern auch von externen Angreifern begangen. Mit der Komplexität der Rechnungswesen-Systeme nimmt auch die Komplexität der Schwachstellen zu. Eines der häufigsten Szenarien ist die Manipulation von Eingangsrechnungen bevor diese erfasst werden, um Zahlungen auf ein betrügerisches Konto umzuleiten. Zur Schließung dieser Schwachstellen ist der Einsatz technischer Maßnahmen unabdingbar.
Die Ausgangsbasis des theoretischen Teils bilden die Elemente des digitalen Rechnungswesens (Grundpfeiler, Geschäftsprozesse, technische und rechtliche Voraussetzungen). Anschließend erfolgt die Begriffsdefinition des Betrugs, unter anderem auf Basis des Fraud Diamond und des ACFE Fraud Tree. Aus den Erkenntnissen aktueller Studien zum Thema Wirtschaftsbetrug, werden die Betrugsszenarien in der externen Rechnungslegung definiert. Anhand des Aspektes der Mittelbarkeit werden diese in zwei Gruppen (Diebstahl von Barmitteln, Betrügerische Auszahlungen) eingeteilt und erarbeitet. Anschließend werden zwei Betrugsszenarien im digitalen Rechnungswesen erläutert, nämlich die Manipulation von Eingangsrechnungen und die Manipulation von Bankverbindungen.
Im ersten Teil der empirischen Arbeit werden die technischen Maßnahmen zur Vermeidung von Betrug durch die Manipulation von Eingangsrechnungen erarbeitet. Die Manipulation von Bankverbindungen wird nicht weiter behandelt, da dies den kontextuellen und kapazitiven Rahmen dieser Thesis sprengen würde. Im zweiten Teil werden drei ausgewählte Software-Lösungen untersucht und auf ihre Tauglichkeit für die Betrugsprävention geprüft. Die Unterbindung von Betrug im digitalen Rechnungswesen, insbesondere durch manipulierte Eingangsrechnungen, erfordert den Einsatz technischer Maßnahmen.
Inhaltsverzeichnis
Inhaltsverzeichnis
Abbildungsverzeichnis
Tabellenverzeichnis
Abkürzungsverzeichnis
Glossar
Personenbezogene Bezeichnungen
Kurzfassung
Abstract
1 Einleitung
1.1 Problemstellung
1.2 Zielsetzung
1.3 Aufbau und Struktur
2 Elemente des digitalen Rechnungswesens
2.1 Dokumentenmanagementsystem
2.2 Workflow
2.3 Schnittstellen
2.4 Buchungsvarianten
2.5 Automatisierung
2.5.1 Optische Zeichenerkennung
2.5.2 Robotergesteuerte Prozessautomatisierung
2.6 Prozessoptimierung
2.7 Rechtliche Rahmenbedingungen
2.8 Technische Voraussetzungen
2.9 Zusammenfassung
3 Betrugsszenarien in der externen Rechnungslegung
3.1 Diebstahl von Barmitteln
3.1.1 Abschöpfen von Zahlungseingängen
3.1.2 Rückerstattung
3.2 Betrügerische Auszahlung
3.2.1 Eingangsrechnung
3.2.2 Kostenrückerstattung
3.2.3 Lohn- und Gehaltsabrechnung
3.2.4 Geänderter Zahlungsempfänger
3.3 Zusammenfassung
4 Betrugsszenarien im digitalen Rechnungswesen
4.1 Manipulation der Eingangsrechnung
4.2 Manipulation der Bankverbindung
4.3 Zusammenfassung
5 Zwischenconclusio
6 Technische Maßnahmen zur Betrugsprävention
6.1 Elektronische Rechnung
6.1.1 Grundlagen
6.1.2 Standards
6.1.3 Formate
6.2 Sichere Übertragung
6.2.1 EDI
6.2.2 E-Procurement-Portal
6.2.3 Elektronische Signatur (Elektronisches Siegel)
6.3 Geotargeting
6.4 Zusammenfassung
7 Software-Lösungen zur Betrugsprävention
7.1 SAS®
7.1.1 Continuous Monitoring for Procurement Integrity
7.1.2 Fraud Detection and Investigation
7.2 Serrala
8 Fazit und Ausblick
9 Empirie
10 Literaturverzeichnis
Abbildungsverzeichnis
Abb. 1: Digitalisierungsgrad der End-to-End-Prozesse
Abb. 2: Priorisierung der zukünftigen Investitionen in End-to-End-Prozesse
Abb. 3: Grundlegende Fragestellungen bei Dokumentenmanagement-Systemen
Abb. 4: Bedeutung und Status Quo von Technologien zur Effizienzsteigerung
Abb. 5: Automatisierungswahrscheinlichkeit der Kompetenzbereiche im Finanzbereich
Abb. 6: Nutzung von Process Mining in End-to-End-Prozessen
Abb. 7: Marktanteil der ERP-Systeme in Österreich (alle Unternehmensgrößen)
Abb. 8: Fraud Diamond
Abb. 9: Kategorisierung der Betrugsszenarien
Abb. 10: Häufigkeit betrügerischer Auszahlungen nach Kategorie
Abb. 11: Mittlerer Verlust betrügerischer Auszahlungen nach Kategorie
Tabellenverzeichnis
Tabelle 1: Workflow-Arten
Tabelle 2: Beispiel betragsabhängige Genehmigung von Eingangsrechnungen
Tabelle 3: TIER-Topologie zur Klassifizierung von Rechenzentren
Tabelle 4: Gewichteter Anteil der Betrügerischen Auszahlungen
Tabelle 5: Beeinflussbarkeit der Komponenten des Fraud Diamond
Tabelle 6: Eignung der technischen Maßnahmen zur Betrugsprävention
Tabelle 7: Eignung der untersuchten Software-Lösungen zur Betrugsprävention
Abkürzungsverzeichnis
ABGB Allgemeines Bürgerliches Gesetzbuch 1812 der Republik Österreich
ACFE Association of Certified Fraud Examiners
CFO Chief Financial Officer
DMS Dokumentenmanagementsystem
EDI Electronic Data Interchange
eIDAS-VO Verordnung (EU) Nr. 910/2014 über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl. Nr. L 257/73 vom 28. August 2014
FTE Full-Time Equivalent
ICR Intelligent Character Recognition
IO Insolvenzordnung 1914 der Republik Österreich
KMU Kleine und mittelgroße Unternehmen
OASIS Organization for the Advancement of Structured Information Standards
OCR Optical Character Recognition
PEPPOL Pan-European Public Procurement OnLine
RPA Robotics Process Automation
StGB Strafgesetzbuch 1974 der Republik Österreich
UStG Umsatzsteuergesetz 1994 der Republik Österreich
UStR Umsatzsteuerrichtlinien 2000 des Bundesministeriums für Finanzen
VPN Virtual Private Network
ZUGFeRD Zentraler User Guide des Forums elektronische Rechnung Deutschland
Glossar
Advanced Analytics Datenanalyse durch hochentwickelte Technologien (z.B. Data-Mining, Text-Mining).
Attack Schadhafte Manipulation eines IT-Systems.
Blockchain Dezentralisiertes Register zur Datenverarbeitung.
End-to-End-Prozess Prozess, der alle Teilprozesse chronologisch darstellt, die zur Erfüllung eines Kundenbedürfnisses notwendig sind.
ERP-System Standardsoftware zur Ressourcenplanung und -allokation.
Event-Logs Aufzeichnung aller Software-Aktivitäten.
Exploit Ausnützen einer Schwachstelle in einem IT-System.
Firewall Software zur Überwachung des ein- und ausgehenden Datenverkehrs mit dem Internet.
Full-Time Equivalent Gesamtarbeitsleistung in Vollzeit-Einheiten.
Infection Verbreitung von Schadsoftware in einem Computernetzwerk.
Keylogger Software zur Aufzeichnung von Tastatureingaben.
Malware Überbegriff für jegliche Art von Schadsoftware.
Managed Service Auslagerung von wiederkehrenden IT-Dienstleistungen.
Man-In-The-Middle-Angriff Angriff durch abfangen und manipulieren von Daten.
Master-Data-Management Zentrales Stammdatenmanagement.
Network-Attached Storage Unabhängiger Speicher in einem Computernetzwerk.
Order-to-Cash End-to-End-Auftragsprozess, vom Bestell- bis zum Zahlungseingang.
Payload Datei zur Initiierung der Installation von Schadsoftware.
Phishing Unspezifisches abgreifen (abfischen) von Passwörtern mittels betrügerischer E-Mails.
Purchase-to-Pay End-to-End-Einkaufprozess, von der Bestellanforderung bis zum Zahlungsausgang.
Software as a Service Miet-Modell für Software, die in der Cloud betrieben wird.
Vulnerabilitly Technische oder menschliche Schwachstelle.
Personenbezogene Bezeichnungen
Sämtliche personenbezogene Bezeichnungen in diesem Dokument sind geschlechtsneutral zu verstehen. Sie werden aus Gründen der Kürze und besseren Lesbarkeit verwendet und drücken damit keinerlei Geschlechterpräferenz aus.
Kurzfassung
Mit dem rasanten technologischen Fortschritt steigt die Bandbreite digitalisierbarer Geschäftsprozesse. Als zentrale Stelle bildet die externe Rechnungslegung den optimalen Ausgangspunkt für die Digitalisierung.
Eine Schattenseite der zunehmenden Digitalisierung ist, dass sich die möglichen Betrugsszenarien im selben Tempo weiterentwickeln wie die Technologie. Durch die Digitalisierung des Rechnungswesens, d. h. Automatisierung sämtlicher Buchungen, entstehen demzufolge neue Betrugsszenarien. Diese werden nicht mehr nur von internen Tätern, wie im traditionellen Rechnungswesen, sondern auch von externen Angreifern begangen.
Mit der Komplexität der Rechnungswesen-Systeme nimmt auch die Komplexität der Schwachstellen zu. Eines der häufigsten Szenarien ist die Manipulation von Eingangsrechnungen bevor diese erfasst werden, um Zahlungen auf ein betrügerisches Konto umzuleiten. Zur Schließung dieser Schwachstellen ist der Einsatz technischer Maßnahmen unabdingbar.
Die Ausgangsbasis des theoretischen Teils bilden die Elemente des digitalen Rechnungswesens (Grundpfeiler, Geschäftsprozesse, technische und rechtliche Voraussetzungen). Anschließend erfolgt die Begriffsdefinition des Betrugs, unter anderem auf Basis des Fraud Diamond und des ACFE Fraud Tree. Aus den Erkenntnissen aktueller Studien zum Thema Wirtschaftsbetrug, werden die Betrugsszenarien in der externen Rechnungslegung definiert. Anhand des Aspektes der Mittelbarkeit werden diese in zwei Gruppen (Diebstahl von Barmitteln, Betrügerische Auszahlungen) eingeteilt und erarbeitet. Im nächsten Kapitel werden zwei Betrugsszenarien im digitalen Rechnungswesen erläutert, nämlich die Manipulation von Eingangsrechnungen und die Manipulation von Bankverbindungen.
Im ersten Teil der empirischen Arbeit werden die technischen Maßnahmen zur Vermeidung von Betrug durch die Manipulation von Eingangsrechnungen erarbeitet. Die Manipulation von Bankverbindungen wird nicht weiter behandelt, da dies den kontextuellen und kapazitiven Rahmen dieser Thesis sprengen würde. Im zweiten Teil werden drei ausgewählte Software-Lösungen untersucht und auf ihre Tauglichkeit für die Betrugsprävention geprüft.
Die Unterbindung von Betrug im digitalen Rechnungswesen, insbesondere durch manipulierte Eingangsrechnungen, erfordert den Einsatz technischer Maßnahmen. Die effektivsten Methoden sind die Verwendung elektronischer Rechnungsformate (XRechnung, ZUGFeRD) und die sichere Übertragung (EDI, Elektronische Signatur, E-Procurement-Portal).
Von den drei untersuchten Software-Lösungen kann lediglich eine zur Betrugsprävention beitragen, jedoch nicht vor der Erfassung der Eingangsrechnung, sondern erst an der kritischsten Stelle des Betrugs, der Auszahlung.
Abstract
With the rapid technological progress, the range of digitalizable business processes is increasing. As a central department, external accounting is the optimal starting point for digitalization.
A downside of increasing digitalization is that potential fraud scenarios are developing at the same pace as technology. Consequently, the digitalization of accounting, i.e. the automatization of all bookings, creates new fraud scenarios. These are no longer committed not only by internal offenders, as in traditional accounting, but by external perpetrators too.
As the complexity of accounting systems increases, so does the complexity of the weak spots. Hence, one of the most common scenarios is the manipulation of incoming invoices before they are registered, in order to divert payments to a fraudulent account. To close these vulnerabilities, the use of technical measures is indispensable.
The starting point of the theoretical part is made up of the elements of digital accounting (fundamentals, business processes, technical and legal requirements). This is followed by the definition of fraud, based, among others, on the Fraud Diamond and the ACFE Fraud Tree. From the findings of current studies on economic fraud, the fraud scenarios in external accounting are defined. These are divided into two groups (theft of cash, fraudulent disbursements), based on the aspect of directness.
In the next chapter, two fraud scenarios in digital accounting are illustrated, namely the manipulation of incoming invoices and the manipulation of bank details.
The first part of the empirical work is devoted to technical measures to prevent fraud caused by the manipulation of incoming invoices. The manipulation of bank details will not be dealt with further, as this would go far beyond the contextual and capacitive scope of this thesis. In the second part, three well-chosen software solutions are examined and their suitability for fraud prevention is assessed.
The prevention of fraud in digital accounting, in particular through manipulated incoming invoices, requires the use of technical measures. The most effective methods are the use of electronic invoice formats (XRechnung, ZUGFeRD) and secure transmission (EDI, electronic signature, e-procurement portal).
Only one out of the three examined software solutions can contribute to fraud prevention, though not before the incoming invoice is recorded, but only at the most critical point of the fraud, the payment.
1 Einleitung
Mit fortschreitender Technologisierung und damit einhergehender Digitalisierung verändern sich viele betriebliche Abläufe. Unter anderem im externen Rechnungswesen werden zunehmend Prozesse automatisiert, dies entlastet einerseits die Angestellten und kann andererseits Potenzial für Kostensenkungen im Personalbereich bergen. Wurden derartige Projekte bis vor kurzem hauptsächlich von großen Unternehmen und Konzernen umgesetzt, so erfreuen sich diese Methoden zunehmender Beliebtheit und Verbreitung bei kleinen und mittelgroßen Unternehmen.
Mit der zunehmenden Verbreitung steigt jedoch auch die Menge der potenziellen Opfer, die durch gezielte Hacker-Angriffe finanziell geschädigt werden können. Während große Unternehmen meist Maßnahmen zur Absicherung der IT-Landschaft treffen, so haben Klein- und Mittelbetriebe nur selten die erforderlichen finanziellen und personellen Ressourcen zur Verfügung. Die geringere zu erwartende Ausbeute wird durch die höhere Anzahl (ca. 99 Prozent aller Unternehmen sind KMUs) der möglichen Opfer kompensiert.
1.1 Problemstellung
Die Machenschaften eines Buchhalters mit ausreichend krimineller Energie werden in aller Regel früher oder später aufgedeckt. Betriebsfremden, technikversierten Betrügern aus dem Internet habhaft zu werden gestaltet sich jedoch ungemein schwieriger, da diese in der Regel viel subtiler operieren. Aus diesem Grund funktionieren auch herkömmliche Methoden zur Betrugsvermeidung bzw. Betrugsbekämpfung nicht.
Die Unternehmen sind jedoch nicht wehrlos den Angreifern aus dem Internet ausgeliefert, da diese Betrugsversuche heutzutage erfolgreich unterbunden werden können. Während die Täter immer ausgefeiltere und komplexere Angriffsmethoden entwickeln, leisten einige wenige Unternehmen Pionierarbeit und entwickeln Maßnahmen, mit welchen den Angreifern Einhalt geboten werden kann.
Um welche Maßnahmen es sich dabei handelt und anhand welcher bestehenden Lösungen diese erfolgreich eingesetzt werden können, wird im Rahmen dieses Papiers erarbeitet.
1.2 Zielsetzung
Das Ziel dieser Arbeit besteht darin, die Betrugsmöglichkeiten im digitalen Rechnungswesen sowie die technischen Gegenmaßnahmen zur Prävention zu erläutern. Nach der Lektüre dieser Thesis soll ein gutes Verständnis über die häufigsten Betrugsszenarien und die Gegenmaßnahmen gewährleistet sein.
Um dieses Ziel zu erreichen wird systematisch vorgegangen, die Methodik wird im folgenden Kapitel dargestellt.
1.3 Aufbau und Struktur
Zum Einstieg werden im ersten Kapitel die Bestandteile des digitalen Rechnungswesens, konkret der externen Rechnungslegung, bearbeitet. Der Bogen wird hierbei von den einzelnen Prozessen (Prozessgruppen) und Komponenten, über die Automatisierung und Prozessoptimierung, bis hin zu den rechtlichen Rahmenbedingungen und technischen Voraussetzungen gespannt.
Im nächsten Schritt werden die häufigsten Betrugsszenarien in der externen Rechnungslegung erläutert. Hierbei werden zuerst jene Szenarien behandelt, die von internen Tätern auch ohne Einsatz von digitalen Hilfsmitteln durchführbar sind, gefolgt von jenen, die erst durch die Digitalisierung möglich werden.
Die Erkenntnisse aus dem theoretischen Teil werden im Zwischenconclusio zusammengefasst.
Im empirischen Teil werden zunächst technische Maßnahmen erläutert, die zur Betrugsprävention beitragen können. Der Fokus liegt dabei auf der elektronischen Rechnung, der sicheren Übertragung von elektronischen Dokumenten und Dateien sowie der elektronischen Standortbestimmung. Diese Maßnahmen werden anschließend auf die Tauglichkeit zur Prävention der zuvor behandelten Betrugsszenarien im digitalen Rechnungswesen untersucht.
Anschließend werden drei ausgewählte Lösungen zweier renommierter Anbieter beleuchtet.
Aufgrund der Restriktionen im Zusammenhang mit COVID-19 konnten die ursprünglich geplanten Experteninterviews für den empirischen Teil nicht durchgeführt werden. Stattdessen wurden, unter anderem aufgrund des Mangels an einschlägiger Fachliteratur, die technischen Maßnahmen zur Betrugsprävention empirisch erarbeitet.
2 Elemente des digitalen Rechnungswesens
Während man unter computergestützter Finanzbuchhaltung schlicht die elektronische Verarbeitung und Buchung von Belegen diverser Natur versteht,1 so stehen im digitalen Rechnungswesen die Automatisierung und Optimierung der elektronischen Geschäftsprozesse sowie Effizienzsteigerung im Vordergrund. Bedingt durch die zunehmende digitale Durchdringung der externen Rechnungslegung ist es für Rechnungswesen-Angestellte unerlässlich, sich über das bereits vorhandene Fachwissen hinaus mit der Nutzung neuer Methoden und Technologien vertraut zu machen.2
Das Berufsbild des zukünftigen, modernen Finance-Angestellten wird sich vor allem im erweiterten Aufgabengebiet vom traditionellen unterscheiden. So zeichnen sich schon heute erfolgreiche Unternehmen unter anderem dadurch aus, dass die Abteilungen Finanzen und IT zunehmend verschmelzen.3
Generell geht die Skepsis gegenüber neuen Technologien zurück und sowohl CFOs als auch leitende Angestellte beschäftigen sich proaktiv mit den letzten Entwicklungen.4
Die Erfahrung zeigt, dass die Nutzung dieser Technologien einen generellen Kulturwandel erfordert, denn wenn die Organisation und die Führungskultur nicht auf demselben Niveau mitziehen, führt auch der Einsatz von gut geeigneten Werkzeugen zu keinem zufriedenstellenden Ergebnis.
Damit die Digitalisierungsprojekte nachhaltig sind, ist es notwendig, dass die erforderlichen Schritte und Entscheidungen von allen betroffenen Personen mitgetragen werden, vom Finanzvorstand bis zum Buchhalter.
Da in der Finanzabteilung eines Unternehmens in der Regel alle Fäden zusammenlaufen, steht diese im Zentrum der Digitalisierung. Um eine konsequente und flächendeckende Digitalisierung der Geschäftsprozesse zu erreichen, hat sich die Orientierung an End-to-End-Prozessen etabliert.5 Unter End-to-End-Prozessen versteht man:
„die Abfolge aller notwendigen und direkt mit dem Geschäftsfall verbundenen Tätigkeiten zur Erstellung einer Leistung (…) samt der Zuordnung der dafür notwendigen Ressourcen“. 6
Wie der untenstehenden Statistik zu entnehmen ist, haben bereits viele Unternehmen erste Lösungen zur Digitalisierung der beiden wichtigsten End-to-End-Prozesse Purchase-to-Pay und Order-to-Cash implementiert (1 = hoher, 5 = niedriger Digitalisierungsgrad).
Derzeit werden daher Projekte priorisiert, welche die Voraussetzungen für weiter Digitalisierungsschritte schaffen. Hierbei finden die Homogenisierung der Systemlandschaft, zentrale Datenbanken und die Standardisierung von Prozessen besondere Beachtung.7
[...]
1 Vgl. Lackes (2018) [Online].
2 Vgl. KPMG AG Wirtschaftsprüfungsgesellschaft (2018a), S. 35 f.; Vlk/Demelius (2018), S. 19 ff.
3 Vgl. KPMG AG Wirtschaftsprüfungsgesellschaft (2019a), S. 27.
4 Vgl. KPMG AG Wirtschaftsprüfungsgesellschaft (2019b), S. 9.
5 Vgl. Wagner u. a. (2019), S. 696.
6 Bergsmann (2012), S. 29.
7 Vgl. Wagner u. a. (2019), S. 697.
-
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X.