Czytaj książkę: «Internal Investigations», strona 40

Dennis Bock, Sönke Gerhold, Tim Wybitul, Frank Schuster, Lutz Krüger Michael Tsambikakis Ole Mückenberger Oliver Kraft Christian Pelz Sebastian Wollschläger Jesco Idler Markus Mag.iur. Rübenstahl André-M. LL.M. Szesny Markus Adick Michael Racky Matthias Brockhaus Christof Püschel Antje Klötzer-Assion Christian Rosinus Philipp Beckers Folker Bittmann Florian Block Rainer Buchert Matthias LL.M. Dann Lucian E. Dervan Björn LL.M. Fiedler Dirk M.A. Fleischer Cornelia Gädigk Felix A. LL.M. Gloeckner Gina Greeve Sebastian M.I.Tax Hölscher Caroline Jacob-Hofbauer Gerwin LL.M. Janke Oliver K.-F. Klug Sven Köhnen Thomas C. Knierim Helmut Kranzmaier Carsten Laschet Jan Olaf Leisner Anja LL.M. Mengel Nina Nestler Hannah Milena Piel Harald W. Potinecke Martin Pröpper Frank Reutter Markus Ruttig Alexander Sättele Hellen Schilling Kathie Schröder André Strecker Marc J. Waeber Silvia Ziebell i inni

Czcionka:

cc) Exkurs: Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)

Die GoBD[8] haben die Vorschriften zu den Grundsätzen zum Datenzugriff und zur Prüfbarkeit Digitaler Unterlagen („GDPdU[9]“) abgelöst. Sie begründen und konkretisieren umfangreiche Zugriffsrechte der Finanzverwaltung auf steuerrelevante Unternehmensdaten, die zu einem leicht abrufbaren und bereits aufbereiteten Datenpool führen. Durch die GoBD wird seitens der Finanzverwaltung für jedes steuerrelevante DV-System eine übersichtlich gegliederte Verfahrensdokumentation gefordert. Diese stellt für den Ermittler eine gute Informationsquelle zur Generierung eines ersten Verständnisses von den IT-gestützten Geschäftsprozessen, den Kontrollen im Rahmen des IKS sowie den gespeicherten Daten dar. Da mit einer fehlenden oder unzureichenden Verfahrensdokumentation weitreichende Sanktionsmechanismen verbunden wurden, ist in Zukunft mit einer entsprechenden Erfüllung dieser Anforderung zu rechnen. Das BMF-Schreiben gilt für Veranlagungszeiträume, die nach dem 31.12.2014 beginnen.

Auf Grund ihrer Relevanz für die Verfügbarkeit von Unternehmensdaten in einer für die Massendatenanalyse bereits aufbereiteten Form werden im Folgenden die wesentlichen Inhalte der GoBD hinsichtlich des Datenzugriffs und deren praktische Verwendung am Beispiel von SAP dargestellt.

Nach § 147 Abs. 6 AO ist der Finanzbehörde das Recht eingeräumt, die mit Hilfe eines Datenverarbeitungssystems erstellte Buchführung des Steuerpflichtigen durch Datenzugriff im Rahmen einer steuerlichen Außenprüfung zu prüfen. Dies betrifft alle ab dem 1.1.2002 generierten steuerrelevanten Daten sowie Daten, die sich nach dem 1.1.2002 in den IT-Produktivsystemen befanden, auch wenn sie vor diesem Stichtag generiert wurden. Zu den steuerrelevanten Daten zählen regelmäßig die Daten der Finanzbuchhaltung, der Anlagenbuchhaltung und der Lohnbuchhaltung sowie bestimmte Bestandteile der Materialwirtschaft.

Bei der Ausübung des Rechts auf Datenzugriff stehen der Finanzbehörde drei Möglichkeiten zur Verfügung:

–	unmittelbarer Zugriff auf das Datenverarbeitungssystem in Form eines Nur-Lesezugriffs unter Nutzung der durch das System gegebenen Auswertungsmöglichkeiten;
–	mittelbarer Zugriff durch einen durch das Unternehmen zur Verfügung gestellten Sachverständigen, der auf Anweisung des Außenprüfers Daten maschinell auswertet;
–	die Finanzverwaltung kann ferner verlangen, dass ihr die gespeicherten Unterlagen auf einem maschinell verwertbaren Datenträger zur Auswertung überlassen werden.

Aus diesen Anforderungen an Unternehmen ergibt sich in der Praxis die Konsequenz, dass für den mittel- und unmittelbaren Zugriff auf die betrieblichen IT-Systeme bereits entsprechende Nutzerrollen mit Nur-Leserechten eingerichtet sind, die weitgehenden, lesenden Zugriff auf die Unternehmensdaten für Prüfungszwecke erlauben. Ferner verfügen moderne ERP-Systeme zwecks Datenträgerüberlassung regelmäßig über explizit für Zwecke der GoBD bzw. GDPdU entwickelte Schnittstellen, die einen komfortablen und für Prüfungszwecke optimierten Zugriff auf steuerrelevante Unternehmensdaten ermöglichen.

Die explizite Entwicklung solcher Schnittstellen durch die Systemhersteller resultierte insbesondere aus der teilweisen Überforderung der Unternehmen steuerrelevante Daten in hochkomplexen Systemstrukturen zu identifizieren und abzugrenzen. Auch die Pflicht, Daten in einer bestimmten Form bzw. einem speziellen Format, angereichert mit sogenannten Metainformationen vorzuhalten und im Falle einer Prüfung unverzüglich auszuhändigen, fördert diese Entwicklung.

dd) Exkurs: Data Retention Tool („DART“)

Einer der Marktführer für ERP-Software, die SAP AG, hat mit dem Data Retention Tool (kurz „DART“) eine solche Schnittstelle geschaffen. Sie enthält bereits einen vordefinierten Feldkatalog mit – zumindest für die standardisierten Bestandteile – als steuerrelevant identifizierten Daten. Der Datenkatalog wird in einem wechselseitigen Abstimmungs- und Lernprozess zwischen Anwendern und Finanzverwaltung kontinuierlich fortentwickelt und an die aktuelle Rechtslage angepasst. Der Feldkatalog liefert eine gute erste Übersicht über die über die DART-Schnittstelle abrufbaren Daten.

Das Vorhandensein der DART-Schnittstelle ermöglicht es dem Prüfer quasi per Knopfdruck den gesamten Buchungsstoff eines oder mehrerer Geschäftsjahre zu exportieren und ohne größeren Aufwand in ein Tool zur Massendatenanalyse zu importieren. Anschließend kann der Buchungsstoff auf Unregelmäßigkeiten bzw. in der Planungsphase definierte red flags hin untersucht werden. Die Daten können in Massendatenanalyse-Tools, wie bspw. WinIDEA[10] und AIS TaxAudit zu sog. Standard-Prüfungstabellen aufbereitet werden, wodurch der Einsatz von vordefinierten Prüfmakros ermöglicht wird, die es auch unerfahreneren Prüfern erlauben Massendaten effizient zu verarbeiten.

Die Abfrage von Risikoprofilen im Ermittlungsverfahren, bspw. im Kontext von Vertriebsunregelmäßigkeiten (vgl. Rn. 19), ist u.a. durch die Kombination der Indikatoren „Zahlungen an Lieferanten mit Sitz in Steueroasen“ und „abweichender Sitz des Unternehmens und Bankland“, für nahezu unbegrenzt große Datenvolumina in kürzester Zeit durchführbar.

Das zu exportierende Datenvolumen kann sowohl zeitlich als auch inhaltlich eingegrenzt werden. Sollen bspw. aus datenschutzrechtlicher Sicht sensible Personalstammdaten mit Kreditorenstammdaten auf übereinstimmende Bankverbindungen untersucht werden, ist es leicht möglich, jeweils nur Datenfelder für Bankleitzahlen und Kontonummern zu exportieren. Ergibt sich ein konkreter Verdacht, können zur Wahrung berechtigter Interessen des Unternehmens die fehlenden Daten durch einen zweiten Export oder Abfrageroutinen in den IT-Systemen ermittelt werden. Durch diese zweistufige Vorgehensweise werden mögliche datenschutzrechtliche Konflikte vermieden.

Über Schnittstellen zum Datenexport steuerrelevanter Daten auf Knopfdruck verfügen mittlerweile alle marktüblichen ERP-Systeme. Sollte eine solche Schnittstelle bei einem proprietären System nicht zur Verfügung stehen, bietet sich die Abfrage der Daten über sog. Queries (bspw. SQL) auf Datenbankebene an.

ee) Unternehmensexterne Daten

Unternehmensexterne Daten umfassen sämtliche Informationen Dritter, zu denen Fakten oder auch wertende Informationen zählen können. Hierzu gehören zunächst die teilweise öffentlich zugänglichen Unternehmensinformationen in Verbindung mit Berichts- und Offenlegungspflichten von Unternehmen, die in in- und ausländischen Handels- und Unternehmensregistern sowie dem Elektronischen Bundesanzeiger in Deutschland veröffentlicht werden müssen.

Weiterhin zu nennen sind Anfragen an professionelle Unternehmensdatenbanken wie bspw. Dun & Bradstreet,[11] Hoppenstedt[12] oder Creditreform[13] und spezialisierte Wirtschaftsdetekteien, die Auskünfte von Unternehmen in Dossiersform aufbereiten und selbst Besichtigungen und Researchmaßnahmen vor Ort, auch in den abgelegensten Steueroasen, vornehmen. Besonders effizient kann der Einsatz kostenpflichtiger Metasuchmaschinen wie bspw. „GENIOS“[14] sein, welche auf Wirtschaftsinformationen zahlreicher externer Datenbanken zugreift. Zu nennen sind ebenfalls spezialisierte Suchmaschinen wie „Wer liefert was?“[15].

Ein weiteres Mittel ist die direkte Ansprache externer Unternehmensbeteiligter wie bspw. wesentlicher Kunden, Lieferanten oder sonstiger Vertragspartner. Die Einholung von Informationen externer Unternehmensbeteiligter ist, gerade in einem öffentlich bekannten Untersuchungsumfeld, eine höchst sensible, aber keine seltene Angelegenheit und kommt überall dort zur Anwendung, wo die Klärung zweifelhafter Sachverhalte nicht mehr allein aus dem Belegnachweis erfolgen kann. Die Beweisfunktion externer Informationen steht und fällt hierbei mit der Integrität der angesprochenen Gegenseite, insbesondere wenn im Extremfall dort selbst Hinweise für Gesetzesverstöße vermutet werden.

Denkbar sind schriftliche positive oder negative Bestätigungen und offene Erklärungen sowie direkte Befragungen über geschäftliche Beziehungen. In praktizierten Ermittlungsfällen wurden u.a. schriftliche Bestätigungen über den rechtlichen und wirtschaftlichen Zusammenhang eines ausländischen Firmengeflechts von einem maßgeblich beteiligten Lieferanten eingeholt. Weitere praktizierte Anfragen wurden bspw. bei der Aufklärung potentieller Scheingeschäfte oder der Konkretisierung von Leistungsgegenständen von Vertragspartnern vorgenommen.

Inwieweit Informationen Dritter ungeprüft verwertet oder übernommen werden können, ist jeweils im Einzelfall zu entscheiden. Gerade bei der Entfaltung wesentlicher Beweisfunktionen wird der Ermittler nicht umhin kommen, die Hauptannahmen und -aussagen mindestens zu plausibilisieren.

2. Informationsaufbereitung und -auswertung

a) IT-gestützte Auswertung digitaler Daten

Der Einsatz von IT-gestützten Analysewerkzeugen kann zu einem erheblichen Effizienz- und Effektivitätsgewinn bei der Datensammlung, -aufbereitung und -auswertung von Massendaten im Rahmen einer Ermittlung führen. Die als Analysewerkzeuge einzusetzenden Anwendungen reichen von einfachen Tabellenkalkulations- und Datenauswertungsprogrammen mit Basis-Analysefunktionen über speziell für die Massendatenanalyse strukturierter Daten entwickelter Softwarelösungen bis hin zu selbstlernenden Systemen.

Die Analyse und Auswertung von Massendaten ist ein Hauptanwendungsbereich von Softwarelösungen wie bspw. „WinIdea“, „ACL“[16], „FTK“[17] oder „Nuix“[18].

Die Verknüpfung von strukturierten Daten und unstrukturierten Inhalten, die manche Werkzeuge unterstützen, bietet dem Anwender die Möglichkeit grundverschiedene Informationsquellen integriert für die Analyse zu nutzen. Beispielsweise wäre die Suche nach einer personellen Identität in einem bestimmten Zeitintervall in Kombination mit handschriftlichen Notizen, E-Mails oder Telefonanrufen auf verschiedenen Datenträgern denkbar. Die Suchalgorithmen können hierbei bestimmte Zusammenhänge von Datensätzen aufzeigen, dokumentieren und den Analyseprozess entscheidend unterstützen.

Im Idealfall zeigen die Prüfungsergebnisse gewisse Risikomuster auf, die als Benchmarks selbstlernender Analysetools dienen, durch statistische Auffälligkeiten kenntlich gemacht sowie weiterentwickelt werden und somit auch auf unbekannte Risikomuster angewendet werden können.

Selbst Lösungen für den Fall, dass Informationen lediglich in Papierform oder in Form handschriftlicher Notizen zur Verfügung stehen, können von moderner Software geliefert werden. So können Scansysteme und professionelle OCR-Software eingesetzt werden, um Informationen zu digitalisieren, in verwertbare Formate zu konvertieren und somit elektronisch analysefähig zu machen.

b) WinIdea

WinIdea ist eine speziell für die Massendatenanalyse entwickelte Softwarelösung und findet hier aufgrund ihrer Verbreitung am Markt Beachtung. Sie wird in Deutschland seit 2002 von der Finanzverwaltung mittlerweile nahezu flächendeckend bei steuerlichen Außenprüfungen eingesetzt. Dies hat zur Folge, dass die steuerrelevanten Daten aufgrund der gesetzlichen Vorschriften regelmäßig in einer für IDEA lesbaren Form in Unternehmen vorliegen und grds. unverzüglich übergeben werden können (Z3-Zugriff). Das Programm bietet neben der individuellen Programmierung von Prüf-Makros standardisierte Funktionalitäten wie bspw. den Chi-Quadrat-Test oder die Benford-Analyse. Die Nutzung von Suchalgorithmen ist abhängig von den Prüffeldern und der Aufgabenstellung im Rahmen der internen Ermittlungen. Als Indikatoren für Unregelmäßigkeiten können hier exemplarisch Bankkonten im Ausland (Bankland ungleich Sitzland, Bankland in Steuerparadies), hohe Barzahlungen, glatte Buchungsbeträge oder andere mathematisch-statistische Auffälligkeiten auf den zu untersuchenden Konten genannt werden.

Datenanalysen mit Tools wie WinIdea unterstützen neben der Erkennung von kritischen Prüfungsgebieten auch die Identifikation von Unregelmäßigkeiten, die bspw. auf eine einseitige Einflussnahme des Managements auf die Rechnungslegung oder das Außerkraftsetzen von Kontrollmaßnahmen hinweisen können.[19]

Das Institut der Wirtschaftsprüfer („IDW“) zeigt in seinem Prüfungshinweis „IDW PH 9.330.3“ Einsatzbereiche der Massendatenanalyse auf, welche von der Feststellung von Risiken wesentlicher Fehler in der Rechnungslegung über die Beurteilung des internen Kontrollsystems (IKS) bis hin zum Einsatz von Datenanalysen im Rahmen von aussagebezogenen Prüfungshandlungen reichen.

Obwohl der IDW PH 9.330.3 primär für Datenanalysen im Rahmen von Abschlussprüfungen entwickelt wurde, ergeben sich insbesondere im Bereich der Analyseansätze zur Beurteilung der Wirksamkeit des internen Kontrollsystems wesentliche Überschneidungen mit Ermittlungsansätzen der IT-Forensik. Ferner werden nicht nur rechnungslegungsrelevante Daten betrachtet, sondern auch Daten zur Steuerung und Überwachung von IT-Systemen, wie bspw. der Parametrisierung von ERP-Systemen, Logprotokolle zu Änderungen von Systemeinstellungen, die Verwaltung von Benutzerrechten sowie der Belegfluss und die Kontrolle von Schnittstellen.

Für die Durchführung von Datenanalysen empfiehlt sich eine methodische Vorgehensweise, die typisiert in folgenden Teilschritten erfolgen kann:[20]

–	Festlegung der Indikatoren, die mittels Datenanalysen identifiziert werden sollen;
–	Definition der erwarteten Analyseergebnisse i.S.v. Vergleichs- und Erwartungswerten oder von Schwellen- und Toleranzwerten;
–	Auswahl geeigneter Analysewerkzeuge sowie Definition und Extraktion der für die Datenanalyse benötigten Daten;
–	Abstimmung der erhaltenen Daten auf Integrität (Richtigkeit, Vollständigkeit);
–	Aufbereitung der Daten für die Datenanalyse (z.B. Erstellung einer Prüfungstabelle, die alle relevanten Datenfelder für die Prüfungsschritte enthält);
–	Durchführung und Dokumentation der Datenanalyse und ihrer Ergebnisse;
–	Interpretation der Ergebnisse in Bezug auf die zu treffenden Prüfungsaussagen.

In der Praxis zeigt sich, dass der Prozess der Datenanalyse nicht linear, sondern eher rollierender bzw. evolutionärer Natur ist. Wurde bspw. bei einer Suche nach ungewöhnlichen Kassen- oder Bankabgängen eine verdächtige Buchung identifiziert, können ihre Spezifika (bspw. ein bestimmter Buchungstext, ein ungewöhnlicher User oder Buchungszeitpunkt, das Gegenkonto, etc.) als Ausgangspunkt für weitere Analyseschritte dienen.

Die Analyseergebnisse sind anschließend unter Berücksichtigung von Wesentlichkeitsaspekten, dem Grad der Korrelation unterstellter Zusammenhänge sowie der Verlässlichkeit des analysierten Datenmaterials kritisch zu hinterfragen. Grundsätzlich können Datenanalysen nur Hinweise auf die mögliche Existenz kritischer Sachverhalte liefern, wohingegen für eine gezielte Aufdeckung weitere Prüfungsschritte erforderlich sind.

c) Benford-Analyse und weitere Anwendungsbeispiele

Häufig führen gerade vorsätzliche manipulative Handlungen zu Auffälligkeiten im Buchungsstoff, die mit gängigen Analysemethoden durch Abhängigkeits- und Strukturanalysen sowie dem Aufzeigen von Zusammenhängen oder Relationen sichtbar gemacht werden können. Hierzu bieten Softwarelösungen auch mathematisch-statistische Verfahren, wie bspw. die Benford-Analyse, die Hinweise auf Auffälligkeiten innerhalb des analysierten Datenbestandes geben.[21]

Der Benford-Analyse liegt die Annahme zugrunde, dass Zahlen einer bestimmten Häufigkeitsverteilung folgen. Insbesondere konnte empirisch wie auch mathematisch nachgewiesen werden, dass das Auftreten von Zahlen einer bestimmten Häufigkeitsverteilung unterliegt. Zahlen mit der Anfangsziffer 1 treten etwa 6,5-mal so häufig auf wie solche mit der Anfangsziffer 9. Liegt eine ausreichend große Datenbasis zugrunde, kann eine Abweichung von der anzunehmenden Häufigkeitsverteilung ein Indiz für eine Manipulation der Rechnungslegung sein.

Ebenfalls konnte nachgewiesen werden, dass bestimmte Zahlen von Menschen unterbewusst und individuell favorisiert werden. Anwendungsfälle sind bspw. manipulierte Fahrten- oder Kassenbücher, in denen diese "Lieblingszahlen" entgegen der natürlichen statistischen Verteilung gehäuft auftreten. Die Finanzverwaltung setzt die Benford-Analyse sowie den der Benford-Analyse ähnelnden Chi-Quadrat-Test bei der Prüfung von Fahrten- und Kassenbüchern ein. Die Verfahren werden – sofern die Datenbasis den Anforderungen genügt – seitens der Finanzgerichte anerkannt.

Ein weiteres Beispiel für vorsätzliche manipulative Handlungsmuster, die durch eine Benford-Analyse aufgedeckt werden können, ist die sog. „Salamitaktik“. Diese wird häufig im Einkauf eines Unternehmens angewandt, um die im Rahmen des internen Kontrollsystems definierten und in den IT-Systemen über die Berechtigungskonzepte umgesetzten Genehmigungsverfahren zu umgehen. Ist bspw. für einen Einkauf ab einem Volumen von 10 000 EUR eine Genehmigung erforderlich und kann eine markante Häufung von Beträgen unterhalb dieses Schwellenwertes festgestellt werden, wäre dies ein starkes Indiz für eine Manipulation hinsichtlich einer Splittung von Beträgen oder zumindest einer bewussten Umgehung der implementierten Kontrolle.

Neben den oben dargestellten Fällen existieren selbstverständlich auch "natürliche" Ursachen für eine Häufung von Zahlen oder Beträgen, wie bspw. die Preispolitik eines Unternehmens oder die Lieferpolitik eines Lieferanten. Hier wird deutlich, dass die Massendatenanalyse nur Hinweise und Indizien liefern kann, jedoch für einen Nachweis und eine gezielte Aufdeckung doloser Handlungen weitere Prüfungshandlungen erforderlich sind.

Die Splittung von Beträgen wird bspw. auch bei Bargeldeinzahlungen auf Bankkonten praktiziert. Ab einer Betragshöhe von 15 000 EUR greifen die Sorgfaltspflichten nach § 3 Abs. 1 GWG. Die Geschäftsbeziehung mit dem Bankkunden wäre demnach einer kontinuierlichen Überwachung zu unterziehen. Ebenfalls könnte die Herkunft des Geldes erfragt werden.

Die gesetzlichen Anforderungen an Kreditinstitute hinsichtlich der Datenverarbeitung sind im Vergleich mit anderen Branchen besonders hoch. So haben Kreditinstitute nach § 25h Abs. 2 KWG i.V.m. §§ 3 Abs. 1 und 9 Abs. 2 GwG angemessene Datenverarbeitungssysteme zur Überwachung der Kundenbeziehungen und der Transaktionen ihrer Kunden einzurichten. Diese Systeme müssen in der Lage sein, Sachverhalte zu erkennen, die im Hinblick auf Geldwäsche, Terrorismusfinanzierung und sonstige strafbare Handlungen zweifelhaft oder ungewöhnlich erscheinen.

Kreditinstitute erfüllen diese Anforderungen durch den Einsatz von Systemen, die kontinuierlich Massendaten (Kunden-, Transaktions-, und Kontendaten) analysieren und die Analyseergebnisse in Form von Trefferlisten zur Verfügung stellen. Die Vielfalt der in diesen Systemen hinterlegten Prüfroutinen zeigt die Einsatzmöglichkeiten der Datenanalyse auf. So verfügen die führenden Systeme über weit mehr als einhundert Prüfungsschritte bereits im Auslieferungszustand. Mehrere Millionen täglicher Banktransaktionen können über entsprechend parametrisierte Systeme auf eine gut handhabbare Menge an Treffern reduziert werden.