MA Hoedl
Transcrição
MA Hoedl
Master of Advanced Studies Economic Crime Investigation (MAS ECI) Enterprise Governance of IT zur Prävention von Wirtschaftskriminalitäts-Delikten, dargestellt an einem Betrugsfall Normative und strategische Führungsaspekte Masterarbeit Eingereicht am 04. Januar 2010 von Robert Hoedl MAS ECI 8 Betreut von Peter Cosandey (Tutor) Peter R. Bitterli (Masterarbeitsbetreuer) Inhaltsverzeichnis Inhaltsverzeichnis ..........................................................................................................................II Literaturverzeichnis ..................................................................................................................... IV Abkürzungen ................................................................................................................................ V Abbildungsverzeichnis ................................................................................................................ VI Tabellenverzeichnis ..................................................................................................................... VI Anmerkung .................................................................................................................................. VI Kurzfassung ................................................................................................................................ VII 1 Einleitung ................................................................................................................................ 1 1.1 Motivation ...................................................................................................................... 1 1.2 Ziel der Masterarbeit ...................................................................................................... 1 2 Enterprise Governance of IT ................................................................................................... 2 2.1 Der Governance-Begriff ................................................................................................ 2 2.2 Entstehung, Herkunft, Hintergrund ................................................................................ 3 2.3 Anforderungen an eine gute Enterprise Governance of IT ............................................ 5 2.4 'Enterprise Governance of IT'-Ziele ............................................................................... 6 2.5 Implementation .............................................................................................................. 6 2.6 Modelle für Enterprise Governance of IT ...................................................................... 7 2.6.1 Übersicht ............................................................................................................ 7 2.6.2 Modellauswahl................................................................................................... 8 3 Betrugsfall ............................................................................................................................. 10 3.1 Ausgangslage ............................................................................................................... 10 3.1.1 Geheimhaltung................................................................................................. 10 3.1.2 Umfeld ............................................................................................................. 10 3.2 Anfangsverdacht .......................................................................................................... 11 3.3 Die firmeninterne Untersuchung .................................................................................. 11 3.4 Das firmeninterne Ergebnis ......................................................................................... 12 3.4.1 Resultat ............................................................................................................ 12 3.4.2 Vorgehen des Verdächtigen ............................................................................. 12 3.5 Strafverfolgung und Gerichtsverhandlung ................................................................... 13 3.5.1 Ermittlungen der Strafverfolgungsbehörde ..................................................... 13 3.5.2 Gerichtsverhandlung ........................................................................................ 13 3.6 Das Urteil ..................................................................................................................... 14 3.6.1 Schuldsprechung .............................................................................................. 14 3.6.2 Strafzumessung ................................................................................................ 14 4 Methodik ............................................................................................................................... 15 4.1 Grundsätze ................................................................................................................... 15 4.2 Vorgehensweise ........................................................................................................... 15 5 Analyse .................................................................................................................................. 16 5.1 Motivation - Gelegenheiten - Rechtfertigung .............................................................. 16 5.2 Übersicht Gelegenheit > Zielauswirkung..................................................................... 17 5.3 Prävention durch Enterprise Governance of IT ........................................................... 18 Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite II von VII 5.3.1 Prinzip.............................................................................................................. 18 5.3.2 Präventive Massnahmen für Gelegenheitskomponente A ............................... 19 5.4 Zusammenfassung der Analyse-Resultate ................................................................... 27 6 Ergebnisse ............................................................................................................................. 28 6.1 Präventive Wirkung der Modelle COBIT und Val IT ................................................... 28 6.2 Wirkung auf die Ablauforganisation ............................................................................ 28 6.3 Lösungsansatz 'Prioritätentabelle' ................................................................................ 28 6.3.1 Vorgehen ......................................................................................................... 29 6.3.2 Prioritätentabelle .............................................................................................. 29 6.3.3 Vorgehensvorschlag ........................................................................................ 30 6.3.4 Kosten .............................................................................................................. 31 6.4 Voraussetzungen zur Realisierung des Wertes 'wirksame Prävention gegen Wirtschaftskriminalitätsfälle' ....................................................................................... 31 6.4.1 Erkennen des Wertes und Bewusstsein fördern ............................................... 31 6.4.2 Notwendigkeit einer guten Enterprise Governance of IT erkennen und fordern31 6.4.3 Gesamtgefährdung ermitteln und Aufträge für die Prävention formulieren .... 32 6.4.4 Enterprise Governance of IT strategisch umsetzen ......................................... 32 6.4.5 Enterprise Governance of IT kontinuierlich verbessern .................................. 32 6.5 Geprüfter Methodeneinsatz .......................................................................................... 32 7 Fazit und Ausblick ................................................................................................................ 33 Anhang 1: Kurzübersicht 'COBIT' ............................................................................................... 35 Anhang 2: Kurzübersicht 'Val IT' ................................................................................................ 36 Anhang 3: Relation der ITGI Produkte und ISO/IEC 38500 ...................................................... 37 Anhang 4: Gesamte Detailanalyse............................................................................................... 38 Anhang 5: Inhalt der CD ............................................................................................................. 38 Anhang 6: Vertrauliche Zusatzinformationen ............................................................................. 38 Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite III von VII Literaturverzeichnis Dieses Verzeichnis beinhaltet die gesamte referenzierte Literatur; auch jene vom Anhang 4, der in einem separaten Dokument und nur auf der CD abgegeben wird. Literatur aus Onlinequellen ist auch auf der abgegebenen CD abgelegt. AUINGER, R., BITTERLI, P. R., BRUNNER, D., EUGSTER, D., SCHÖBI, P., SCHWAB, S., SUTER, A.-M. & WEBER, R. H. (2003). Forensic Computing. Fachgruppe Security der Schweizerischen Informatikergesellschaft. BIENERT, P. & WILDHABER, B. (2007). IT-Governance. Glattzentrum: Forte Advisors. BITTERLI CONSULTING (2009). IT Governance von A bis Z. Zürich: ITACS Training. COSANDEY, P. (2009). Rahmenbedingungen für nicht hoheitliche Untersuchungen. Vorlesungsunterlagen zum Studium Master of Advanced Studies Economic Crime Investigation, Modul 'Untersuchungen ohne hoheitliche Rechte'. ECONOMIESUISSE (2007). Swiss Code of Best Practice for Corporate Governance (Version 2007). Online (15.12.2009): http://www.economiesuisse.ch/web/de/PDF%20Download%20Files/pospap_swiss-code_corpgovern_20080221_de.pdf FACG (1992). The Financial Aspects of Corporate Governance. London: Gee. Online (15.12.2009): http://www.ecgi.org/codes/documents/cadbury.pdf FASKE, M. (2009). Fallstudie: Die richtige Prävention und „abschreckende“ Bekämpfung. Vorlesungsunterlagen zum Studium Master of Advanced Studies Economic Crime Investigation, Modul 'Untersuchungen ohne hoheitliche Rechte'. GODSCHALK, D. (2007). Computer Related Occupational Deviance. Wiesbaden: Deutscher Universitätsverlag . IFC (2007). Serbian Corporate Governance Manual. Washington DC, USA: International Finance Corporation. Online (13.10.2009): http://www.ifc.org/ifcext/cgf.nsf/AttachmentsByTitle/CorporateGovernance_manual_Belgrade200 7/$FILE/Corporate_Governance_Manual_New.pdf ISACA (2009). Risk IT Framework. Rolling Meadows, IL USA: ISACA. Online (15.12.2009): http://www.isaca.org/Template.cfm?Section=Risk_IT&Template=/TaggedPage/TaggedPageDispl ay.cfm&TPLID=79&ContentID=48749 ISO (2008). ISO/IEC 38500:2008. Geneva: ISO Copyright Office. ITGI (2007). COBIT 4.1. Rolling Meadows, IL USA: IT Governance Institute. Online (15.12.2009): http://www.itgi.org ITGI (2008a). Val IT 2.0. Rolling Meadows, IL USA: IT Governance Institute. Online (15.12.2009): http://www.itgi.org ITGI (2008b). Unlocking Value. An Executive Primer on the Critical Role of IT Governance. Rolling Meadows, IL USA: IT Governance Institute. Online (30.08.2009): http://www.itgi.org/ContentManagement/ContentDisplay.cfm?ContentID=48247 ITGI (2008c). ITGI Enables ISO/IEC 38500:2008 Adoption. Online (15.12.2009): http://www.itgi.org/AMTemplate.cfm?Section=Deliverables&Template=/ContentManagement/Co ntentDisplay.cfm&ContentID=47865 Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite IV von VII JOHANNSEN, W. & GOEKEN, M. (2007). Referenzmodelle für IT-Governance (1.Auflage). Heidelberg: dpunkt.verlag. KAUER, T. (2009). Strafverfahren als Projekt. Vorlesungsunterlagen zum Studium Master of Advanced Studies Economic Crime Investigation, Modul Zwangsmassnahmen. KILLIAS, M. (2002). Grundriss der Kriminologie. Eine europäische Perspektive. Bern: Stämpfli Verlag. MALIK, F. (2008). Die richtige Corporate Governance. Frankfurt und New York: Campus Verlag. OECD (2004). OECD-Grundsätze der Corporate Governance (Neufassung 2004). Online (13.10.2009): http://www.oecd.org/dataoecd/57/19/32159487.pdf TARANTINO, A. (2008). Governance, Risk, and Compliance Handbook. Hoboken, NJ USA: John Wiley & Sons. VAN GREMBERGEN, W. & DE HAES, S. (2009). Enterprise Governance of Information Technology. New York: Springer Science + Business Media. VAN GREMBERGEN, W., DE HAES, S. & VAN BREMPT, W. (2008). Identifying and Aligning Business Goals and IT Goal. Full Research Report. Rolling Meadows, IL USA: IT Governance Institute. WEILL, P. & Ross, J. (2004). IT Governance. How Top PerformersManage IT Decision Rightsfor Superior Results. Boston: Harvard Business School Press. WIELAND, S. (2007). Fraud Management. Lektion 1: Kriminologie für Fraud Manager. Eschborn: Management Circle Verlag. Abkürzungen StGB Strafgesetzbuch COBIT Control Objectives for Information and Related Technology IT Information Technology. Diese wird inklusive der Communication Technology verstanden. Die Abkürzung ICT wird aus Gründen der Verständlichkeit nicht angewendet. MAS ECI Master of Advanced Studies 'Economic Crime Investigation' IFC International Finance Corporation ISACA Name einer unabhängigen, non-profit Organisation. Nach eigenen Angaben ein "leading global provider of knowledge, certifications, community, advocacy and education on information systems assurance and security, enterprise governance of IT, and IT-related risk and compliance." (Quelle: http://www.isaca.org . ISACA Fact Sheet); früher bekannt als 'Information Systems Audit and Control Association' ITGI IT Governance Institute OECD Organisation für Wirtschaftliche Zusammenarbeit und Entwicklung ISO International Organization for Standardization IEC International Engineering Consortium Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite V von VII Abbildungsverzeichnis Abbildung 1: Governance............................................................................................................................ 2 Abbildung 2: 'govern' .................................................................................................................................. 2 Abbildung 3: Governance in einem Unternehmen ...................................................................................... 4 Abbildung 4: 'Four Ares' ............................................................................................................................. 6 Abbildung 5: Produkt-Diagramm und Einsatzgebiete................................................................................. 9 Abbildung 6: Fraud Triangle nach Donald R. Cressey ............................................................................. 15 Abbildung 7: Fraud Triangle für den Betrugsfall bei der Opfer AG ......................................................... 16 Abbildung 8: Overall CobiT Framework .................................................................................................. 35 Abbildung 9: 'Val IT'-Prozesse.................................................................................................................. 36 Abbildung 10: Relation der ITGI Produkte und ISO/IEC 38500 .............................................................. 37 Tabellenverzeichnis Tabelle 1: Auswirkung der Gelegenheit auf die Geschäftsziele ................................................................ 17 Tabelle 2: Präventiv wirkende Prozesse (Uebersicht) ............................................................................... 27 Tabelle 3: Präventiv wirkende Prozesse (priorisiert) ................................................................................ 30 Anmerkung In dieser Masterarbeit wird der einfacheren Lesbarkeit wegen die männliche Form verwendet. Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite VI von VII Kurzfassung Die vorliegende Masterarbeit befasst sich mit der Prävention von Wirtschaftskriminalität in Unternehmen. Es wird am Beispiel eines realen Betrugsfalles untersucht, ob mit Enterprise Governance of IT vorbeugende Wirkung gegen diesen Fall hätte erzielt werden können. Der Betrugsfall, bei dem IT-Hilfsmittel zum Einsatz kamen, wird anonymisiert dargestellt. Der Verfasser hatte die Möglichkeit, als externer Consultant diesen Fall zu begleiten. Ein weiteres Ziel ist, auf die Abhängigkeiten bei den identifizierten 'Enterprise Governance of IT'Prozessen hinzuweisen. Der Grund für einen Missstand liegt möglicherweise in einer vorgelagerten Aktivität, der die notwendigen Informationen, Vorgaben oder Anweisungen nicht liefert. Dabei werden die Aspekte der normativen und strategischen Ebene der (IT-)Führung aufmerksam verfolgt. Kapitel 2 beinhaltet eine Einführung in die Enterprise Governance of IT. Dabei werden Begriffe erklärt, Modelle vorgestellt und die diesbezügliche Basis für die Analyse gelegt. Im Kapitel 3 wird der Betrugsfall geschildert. Die Beschreibung der firmeninternen Untersuchung und der nachfolgenden Strafverfolgung mit den zugehörigen Ergebnissen vervollständigen die Basis für die Analyse. Im nächsten Kapitel wird die Analysemethode vorgestellt. Die konkreten Analyseschritte werden in Kapitel 5 abgebildet. Anhand des von Donald R. Cressey1 entwickelten Fraud Triangle werden für den Betrugsfall die tatsächliche Motivation, die Gelegenheit und die Innere Rechtfertigung des Täters dargestellt. In den nächsten Schritten werden nur noch die Komponenten der Gelegenheit analysiert. Es werden jene Gelegenheitskomponenten bestimmt, die negative Auswirkungen auf die Unternehmensziele beinhalten. Anhand der 210 Control Objectives von COBIT2 und den 69 Key Management Principles von Val IT3 wird für jede der verbliebenen 11 Gelegenheitskomponenten geprüft, ob bei korrekter Durchführung der 'Enterprise Governance of IT'-Prozesse präventive Wirkung hätte erzielt werden können. Die Ergebnisse werden in Kapitel 6 beschrieben. Dabei wird auch ein Ansatz für die Behebung der Schwachstellen präsentiert. Eine kritische Diskussion und ein Ausblick mit Vorschlägen für weitere Diplomarbeiten schliessen die Arbeit ab. 1 Donald R. Cressey (USA, 1919-1987) gilt als ein Pionier in der Erforschung der Wirtschaftskriminalität. Für weitere Details zum Fraud Triangle wird auf FASKE (2009) verwiesen. 2 ITGI (2007) 3 ITGI (2008a) Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite VII von VII 1 Einleitung 1.1 Motivation Nach der Aufdeckung eines Wirtschaftskriminalitätsdeliktes in einem Unternehmen stellt sich spätestens nach Abschluss der Untersuchungen die Frage, ob dieser Fall auch hätte verhindert werden können. Weil heutzutage bei dolosen Handlungen in Unternehmen häufig die IT-Hilfsmittel eine Rolle spielen, könnte Enterprise Governance of IT einen Beitrag zur Prävention liefern. Dies an einem konkreten Betrugsfall zu untersuchen, ist die Aufgabenstellung für diese Arbeit. Dabei soll auch auf Abhängigkeiten zwischen den zur Prävention dienenden Massnahmen hingewiesen werden. Indirekt wird so auch aufgezeigt, welche Stellen im Unternehmen in dieser Sache gefordert sind. Eine weitere Motivation besteht darin, den Führungskräften von der Businessseite aufzuzeigen, dass IT-Investments keine reinen IT-Angelegenheiten sind. Beim Verfasser besteht die Hoffnung, dass der Zusatzaufwand für die Prävention durch Enterprise Governance of IT gering gehalten werden kann. Diese Hoffnung wird dadurch genährt, dass nach Ansicht des Verfassers der erfolgreiche IT-Einsatz in einem Unternehmen nur durch eine gute Enterprise Governance of IT sichergestellt werden kann. Im übrigen wurde dieser Betrugsfall gewählt, weil er für die Branche recht typisch ist und sich an der Schnittstelle zwischen dem IT- und dem Business-Bereich abspielt. Diese Arbeit soll auch dazu beitragen, diese beiden Bereiche (noch) näher zusammenzubringen. 1.2 Ziel der Masterarbeit Für diese Arbeit sind folgende Ziele festgelegt worden: Hauptziel Anhand der Analyse eines realen Betrugsfalles im IT-Umfeld soll aufgezeigt werden, in welchen Bereichen Enterprise Governance of IT hätte mithelfen können, den Fall aufzudecken und mit welchen Massnahmen der Fall eventuell hätte vermieden werden können. Dies soll primär aus Sicht der normativen und strategischen Ebenen der (IT-)Führung erfolgen. Untergeordnete Ziele Diese Arbeit soll dazu beitragen, ähnlich gelagerte Wirtschaftskriminalitäts-Fälle zu vermeiden. Die Resultate dieser Masterarbeit sollen so beschrieben werden, dass diese in der Praxis umgesetzt werden können. Wo dies den Rahmen der Arbeit sprengen würde, soll ein Lösungsansatz angedeutet werden. Abgrenzung Die Beschränkung auf die normative und strategische Ebene der IT-Führung bedeutet, dass auf die operative Ebene nur eingegangen wird, um das Gesamtverständnis sicherzustellen. Zwischen Enterprise Governance of IT und Corporate Governance besteht eine Interdisziplinarität. Auf diese Abhängigkeit wird soweit eingegangen, um den Zusammenhang aufzuzeigen. Der reale Betrugsfall darf nicht offen gelegt werden. Darum werden die Informationen dazu anonymisiert. Der Betrugsfall soll so weit beschrieben werden, wie es für die Behandlung des Themas notwendig ist. Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 1 von 38 2 Enterprise Governance of IT 2.1 Der Governance-Begriff Der Begriff 'Governance' beinhaltet je nach Sichtweise unterschiedliche Komponenten. In dieser Arbeit soll Governance gemäss folgendem Beispiel verstanden werden: "the governance of an association is responsible to its members". Dies bedeutet, dass Governance a) führende Personen, b) Beziehungen bzw. "Beziehungsgeflechte und c) die Tätigkeit 'govern' beinhaltet. In dieser Arbeit wird nur auf Corporate Governance und Enterprise Governance of IT eingegangen. Im Zusammenhang mit diesen beiden GovernanceAusprägungen werden als führende Personen meistens die Verwaltungsräte und Mitglieder der Geschäftsleitung, also das oberste Management, genannt. Wichtig für Umsetzung und Rückmeldungen sind aber auch die übrigen Führungspersonen des Linien- und des Fachkaders. Diese haben die jeweilige Governance in "verdauungsgerechten" Stücken auf ihre Untergebenen (untere Führungsstufe oder Mitarbeitende) wirken zu lassen. Abbildung 1: Governance (Quelle: http://www.visualthesaurus.com) Die Beziehungen finden sich innerhalb einer Unternehmung in deren Aufbau- und Ablauf-Organisation und ausserhalb zu den offensichtlichen Kontakten (z. B. Aktionäre, Gläubiger) wie auch solche die möglicherweise nur indirekt wirken (z. B. Aufsichtsorgane, Gesetzgeber). Verwandte Tätigkeiten von 'govern' zeigt die nebenstehende Grafik. Die prominente Vertretung von Tätigkeiten wie rule, regulate, regularise (regeln, regulieren) deutet darauf hin, dass normative und strategische Aspekte einen wesentlichen Anteil der Governance-Arbeit ausmachen. Enterprise Governance of IT So wie sich die Information Technology und deren Einsatz über die Jahre verändert haben, hat Abbildung 2: 'govern' (Quelle: http://www.visualthesaurus.com sich auch die Definition gesehen bei BITTERLI CONSULTING, 2009, S.1) von "IT Governance" gewandelt. Dies erkennt man auch an den vielen verschiedenen Definitionen für "IT Governance". Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 2 von 38 Im Speziellen seit den 90er-Jahren erhielt das Konzept "IT-Governance" immer grössere Bedeutung. Mit der Bezeichnung "IT-Governance" war für viele klar, dass sich dieses Thema in der IT-Abteilung abzuspielen hat. Dies, obwohl die Fachabteilung die Hauptverantwortung über das Geschäft (finanzielles Resultat, Prozesse, Verfahren etc.) und damit auch für das Hilfsmittel IT zu tragen hatte. Mit der steigenden IT-Abhängigkeit des Kerngeschäftes eines Unternehmens begann sich auch die Zuständigkeit der Governance für die IT zu ändern. Für das Unternehmen wichtige IT-bezogene Entscheide werden neu von der obersten Unternehmensführung gefällt. Zusätzlich erhalten die IT-abhängigen Geschäftsprozesse erhöhtes Augenmerk. Diese Veränderungen reflektiert die Bezeichnung 'Enterprise Governance of IT'. Eine passende, gebräuchliche deutsche Bezeichnung gibt es nicht. Für diese Arbeit wird darum folgende Definition verwendet: "Enterprise Governance of IT is an integral part of corporate governance and addresses the definition and implementation of processes, structures and relational mechanisms in the organisation that enable both business and IT people to execute their responsibilities in support of business/IT alignment and the creation of business value from IT-enabled business investments."4 2.2 Entstehung, Herkunft, Hintergrund Die moderne Corporate Governance geht wohl auf den Beginn der 90er Jahre zurück. Ausgelöst durch die kriminellen Ereignisse um die BCCI Bank, Polly Peck und Maxwell Communication, wurde der Ruf nach verbesserter Corporate Governance laut. Dies in erster Linie, um das Kapital der Investoren zu schützen. Das Cadbury Committee hat daraufhin den ersten Code on Corporate Governance mit dem Titel 'The Financial Aspects of Corporate Governance'5 publiziert. Getrieben durch weitere grosse Firmenzusammenbrüche aufgrund krimineller Handlungen der Verantwortlichen, wurden in vielen Ländern weitere Codes zum Thema Corporate Governance entwickelt. In der Schweiz war dies der 'Swiss Code of Best Practice for Corporate Governance'6. Der erste weltweit anerkannte Code, die 'OECD Principles of Corporate Governance'7, wurde 1999 publiziert und 2004 in einer überarbeiteten Version veröffentlicht. Dieses Corporate Governance Framework zielt auf die Personengruppen Aktionäre, das Aufsichtsorgan 'Verwaltungsrat' sowie sonstige Unternehmensbeteiligte und ist auf folgenden Werten aufgebaut8: Fairness (Rights and Fair of Shareholders), Verantwortlichkeit (Roles and Responsibilities of the Board of Directors), Transparenz (Financial Transparency and Disclosure) und Wahrnehmung der Aufgaben (Ethical and Professional Behaviour and Internal Controls). Dieser Fokus auf die einzelnen Interessengruppen wird aber z. B. von Prof. Fredmund Malik kritisiert. Er schlägt vor, das Unternehmen in den Mittelpunkt der Betrachtungen zu stellen. Dies begründet er damit, dass: "Was für das Unternehmen gut ist, kann für die verschiedenen Interessengruppen nicht schlecht sein. Was hingegen für die Interessengruppen gut sein mag, kann für das Unternehmen den Untergang bedeuten."9 Im Weiteren weist er darauf hin, dass: "Was gut für das Unternehmen ist, immer wieder zu Anpassungsnotwendigkeiten und für einzelne oder temporär auch alle Interessengruppen zu Opfern 4 VAN GREMBERGEN & DE HAES (2009), S. 3, Fig.1.2 5 FACG (1992) 6 ECONOMIESUISSE (2007) . Die erste Version vom Juli 2002 wurde 2007 aktualisiert. 7 OECD (2004) 8 IFC (2007), S.12 9 MALIK (2008), S.132 unten Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 3 von 38 führt." Er schlägt vor, davon auszugehen, dass ein Unternehmen nicht dazu da ist, Interessengruppen zu befriedigen, sondern eine produktive Leistung für den Markt zu erbringen.10 Nach Einschätzung des Verfassers wird die von Prof. Fredmund Malik vorgeschlagene Sichtweise bei der Weiterentwicklung der Corporate Governance wesentlich werden. Dies speziell nachdem im Zusammenhang mit der aktuellen Finanzkrise viele Unternehmen, sogar Banken, in ernste Schwierigkeiten geraten sind oder sogar Konkurs anmelden mussten. Besonders kritische Situationen entstehen für die Weltwirtschaft, wenn es sich dabei um Unternehmen handelt, die für das Funktionieren eines Wirtschafts-Teilsystems, z. B. des Finanzsystems, entscheidend sind. Im Gegensatz zu dem in angloamerikanischen Ländern stark verbreiteten Modell, bei dem die Interessen der Shareholder, die einen absoluten persönlichen finanziellen Vorteil anstreben, Priorität geniessen, ist in Europa das koordinierte Modell11 vorherrschend. Dieses akzeptiert zwar die Rolle des Aktionärs, gibt aber den Interessen verschiedener Personengruppen12 den Vorzug: Kunden wollen einen langfristig vertrauenswürdigen Partner, der seine Versprechungen einhält. Alle Mitglieder eines am Unternehmen interessierten Kreises (Stakeholder) wollen eine langfristig erfolgreiche Unternehmung (Aktionäre wollen ihre Investitionen sicher und ertragreich angelegt wissen; Mitarbeitende wollen für ihre Arbeit entlöhnt werden; Lieferanten wollen ihre Leistungen bezahlt bekommen) Regulatoren wollen sicher sein, dass die Unternehmung die relevanten Bestimmungen heute und zukünftig einhält. Board Member und Mitarbeiter wollen sich mit einer erfolgreichen Tätigkeit eine Referenz für ihre zukünftige Karriere schaffen. Die Entwicklung in diesen letzten 20 Jahren zeigt, dass die Corporate Governance kein statisches Gebilde ist, sondern von den Kulturen, dem Zeitgeist und den Wertvorstellungen abhängt. Im Laufe der Zeit hat in den Unternehmen der Stellenwert bzw. die Abhängigkeit von der IT stetig zugenommen. Für sehr viele Unternehmen hat eine funktionierende IT inzwischen eine existenzielle Bedeutung. Die IT als wichtiger Enabler für die Unternehmensentwicklung ist in den meisten Fällen aber teuer, nicht einfach zu handhaben und zudem benötigen Vorhaben, bis sie produktiv genutzt werden können, oft eine lange Vorlaufzeit. Dies bewirkt, dass die Aufgabenstellung der Governance für die IT als Bestandteil der Corporate Governance primär auf der Ebene des obersten Managements angesiedelt werden muss. Für eine erfolgreiche Erledigung dieser Aufgabe wird in diesen Gremien auch umfassende IT-Kompetenz vor allem auf der normativen und strategischen Ebene verlangt. Corporate Governance Enterprise Governance of IT Financial Governance (weitere Key Asset Governance) Abbildung 3: Governance in einem Unternehmen (abgeleitet von WEILL & ROSS, 2004, S.5) Welche Anforderungen der Unternehmung an die IT und die IT-unterstützten Geschäftsprozesse auch gestellt werden, ohne eine gute Enterprise Governance of IT können diese nicht Erfolg versprechend erfüllt werden. 10 MALIK (2008), S.51 oben 11 TARANTINO (2008), S.11 12 TARANTINO (2008), S.163 Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 4 von 38 2.3 Anforderungen an eine gute Enterprise Governance of IT Gute Enterprise Governance of IT folgt den Grundsätzen der Corporate Governance. Doch es ist festzustellen, dass die darüber hinaus gehenden Anforderungen für gute Enterprise Governance of IT erheblich auseinandergehen. Dies hängt nach Ansicht des Verfassers wesentlich damit zusammen, wie die Führungsorgane die Rolle der IT einschätzen. BIENERT & WILDHABER13 diskutieren dazu vier Managementthesen zur IT: 1 2 3 4 "IT ist Commodity und erfordert keine spezifische Kompetenz" "IT ist als Kernkompetenz unserer Wertschöpfung zu komplex" "IT ist wichtig, nicht aber auf der Ebene der Unternehmensführung" "IT ist als Führungsaufgabe externalisierbar" Der Verfasser vertritt die Ansicht, dass bei vielen Unternehmen These 1 leider (bei einzelnen Disziplinen der IT, z. B. Operating, wäre es allerdings wünschenswert) oder zum Glück (speziell bei den "kreativen" IT-Disziplinen die WettbewerbsvorteilPotenzial beinhalten) noch nicht erreicht ist. These 2 dafür sorgt, dass man sich mit der Möglichkeit der Wertschöpfung über IT auseinandersetzt. Dies in der Annahme, dass, wenn die Komplexität erfolgreich bewältigt werden könnte, man diese Chance nutzen würde. Das möglichst problemlose Bewältigen der komplexen Vorgänge in der IT bzw. um den IT-Einsatz kann für Unternehmen, in denen die Information eine grosse Bedeutung hat einen wesentlichen Wettbewerbsvorteil bedeuten, der sich für die Betriebe auf verschiedensten Gebieten positiv auswirkt. bei These 3 die Möglichkeit, einen Wettbewerbsvorteil auch über IT zu realisieren, nicht erkannt wird. Weiter stellt sie ein Alibi dar, sich auf der obersten Führungsebene nicht oder möglichst wenig mit der IT beschäftigen zu müssen; z. B. aus Mangel an persönlicher IT-Kompetenz. bei These 4 eine grosse Gefahr besteht, dass die Interessen des Unternehmens zu Lasten jener des externen, mit dem Auftrag betrauten Unternehmens, nicht genügend berücksichtigt werden. Gegebenenfalls können interne Führungskräfte die Tragweite "ihrer" Entscheide nicht erkennen, weil sie mangels IT-Kompetenz dazu nicht in der Lage sind. Möglicherweise verlassen über die externen Berater Unternehmensgeheimnisse ungewollt die Unternehmensgrenzen. Einige zentrale Anforderungen an die Enterprise Governance of IT lassen sich aber definieren, unabhängig davon, welche These vertreten wird.14: Der komplette Prozess von Mittelvergabe und Kontrolle der Mittelanwendung ist das wichtigste Verbindungsglied für die Einflussnahme der normativen Unternehmensführung auf die strategischen Teile des Informationssystems. Die dafür nötigen Prozessmuster und Werkzeuge müssen in jedem Fall auch auf höchster Führungsebene verstanden werden. Mit einem guten Verständnis für IT muss die Führungsebene in der Lage sein, die Rolle der IT für verschiedene Segmente der eigenen Wertschöpfung korrekt einzuordnen. Für das Geschäftsmodell vieler Unternehmen mag die Einschätzung von IT als Begleitkompetenz tatsächlich korrekt sein. Erfahrungsgemäss können die wenigsten Verantwortungsträger in Aufsichts- oder Verwaltungsräten dies aber begründen. Nach unseren Erfahrungen wird in Aufsichts- und Verwaltungsräten die Bedeutung der Informationssysteme für die eigene Wertschöpfung in der Mehrzahl der Fälle eher unterschätzt. Wird diese Tatsache eingesehen, führt dies aber nicht automatisch zur Erhöhung der IT-Budgets, 13 BIENERT & WILDHABER (2007), S.12f 14 BIENERT & WILDHABER (2007), S.29f Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 5 von 38 sondern zu einem Selbstverständnis als IT-Investor. In dieser Rolle sorgen Verwaltungs- und Aufsichtsräte für ein zwischen Risiko und Sicherheit ausgewogenes Portfolio an IT-Investments. Die Vernachlässigung der Pflege der eigenen strategischen Kompetenz hat zur Abhängigkeit ganzer Branchensegmente vom Know-how externer Berater geführt. Deren zunehmende Nähe zu und gesellschaftliche Verflechtung mit den grossen Anbietern für Informatik verschlechtert die Ausgangsposition für Kunden, denen es an eigener IT-Kompetenz mangelt. Weiter sollen im Speziellen die Vorgaben auf der normativen und strategischen Ebene verständlich, weitreichend und doch auf die wichtigen Punkte möglichst konkret hinweisend, ebenengerecht und schriftlich abgefasst sein. 2.4 'Enterprise Governance of IT'-Ziele Aus diesen Anforderungen kann das Ziel für gute Enterprise Governance of IT folgendermassen formuliert werden: Das oberste Management muss die Herausforderung 'Enterprise Governance of IT' annehmen. Durch entsprechende Äusserungen und Verhalten ist der wegweisende Tone-at-the-top anzuschlagen. Dies ist Teil der Zielkomponente 'Übernahme der Verantwortlichkeiten durch die Beteiligten'. Weiter ist darauf zu achten, dass die Handlungen auf Performance und Conformance ausgerichtet sind sowie sorgfältige, transparente Entscheidungen beim Mitteleinsatz gefällt werden. Dies erfordert auch Rücksichtnahme auf die Eigenheiten der Ressource Mensch. Hierbei sind natürliche Grenzen gesetzt. Eine strategische Ausrichtung soll den langfristigen Erfolg sichern und Flexibilität für die operative Ausrichtung geben. Mit guter Enterprise Governance of IT soll sichergestellt werden, dass die IT ihren Beitrag an die Unternehmenszielsetzung heute und in Zukunft liefert. In der Vergangenheit (und leider auch in der Gegenwart) ist es im Zusammenhang mit IT-Vorhaben und dem IT-Betrieb zu oft zu grossen negativen Zielabweichungen gekommen. Exponenten sprechen in diesem Zusammenhang auch von einem ITChaos. Dieses IT-Chaos soll durch gute Enterprise Governance of IT gelöst werden. 2.5 Implementation Das Modell von Enterprise Governance of IT zu verstehen ist der erste Schritt, Wirksamkeit über alle Ebenen der Unternehmensorganisation zu erzeugen, die darauf folgende Herausforderung. Aufgrund vielfältiger Anforderungen und Ausprägungen guter Enterprise Governance of IT sowie unterschiedlichen Organisationen gibt es für die Implementation und die Weiterentwicklung keinen Königsweg. Die Implementation ist eine Aufgabe, die konzern- bzw. firmenindividuell gelöst werden muss. Die Implementation sollte aufgrund eines Implementationsplanes möglichst als Projekt erfolgen. Sie sollte durch die Beantwortung folgender Fragestellungen15 getrieben werden: Are we doing the right things? (the strategic question) Are we doing them the right way? (the architecture question) Are we getting them done well? (the delivery question) Are we getting the benefits? (the value question) Abbildung 4: 'Four Ares' 15 Basiert auf den 'Four Ares', beschrieben von John Thorp in seinem Buch 'The Information Paradox', herausgegeben zusammen mit Fujitsu, zuerst publiziert von McGraw Hill (USA) in 1998 und überarbeitet in 2003. Gesehen in ITGI (2008b) S. 7. Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 6 von 38 Ein wichtiger Baustein für ein erfolgreiches Implementationsvorhabens ist die Schaffung von Bewusstsein für Enterprise Governance of IT beim gesamten Business- und IT-Management. Diese Führungspersonen sollen in das Vorhaben einbezogen werden. Damit auch sichergestellt ist, dass das gewählte Modell die gewünschte Wirkung erzielt, ist darauf zu achten, dass die Wirkung gemessen wird; z. B. mit Hilfe von Balanced Scorecard für Enterprise Governance of IT16. Um Erfahrungen aus anderen Unternehmen für die eigene Implementation zu nutzen, sei auf den Full Research Report 'Identifying and Aligning Business Goals and IT Goals'17 hingewiesen. Ein Beispiel einer fundierten Anleitung für die Implementation von Enterprise Governance of IT enthält VAN GREMBERGEN & DE HAES (2009), Kapitel 8. Für die Bewältigung der umfangreichen Aufgaben der Enterprise Governance of IT bieten verschiedene Modelle Hilfestellung. Es gilt das oder die für das Unternehmen passendste auszuwählen. 2.6 Modelle für Enterprise Governance of IT 2.6.1 Übersicht Zur Sicherstellung der Enterprise Governance of IT werden meistens folgende Modelle genannt: 'Control Objectives for Information and Related Technology (COBIT)'18 von ITGI ist international als Good Practice für die Steuerung und Kontrolle von Informationen, IT und den entsprechenden Risiken weitgehend akzeptiert. Die Anleitung ermöglicht einer Unternehmung die Implementierung von guter, effektiver Governance für IT. 'Val IT'19, ebenfalls von ITGI, ist ein Framework, das dem oberen und obersten Management einer Unternehmung zu erschwinglichen Kosten und kalkulierbaren Risiken helfen soll, den Nutzen ihrer Investitionen und die IT zu optimieren. Val IT basiert auf COBIT. Integrierte Frameworks vom Committee of Sponsoring Organizations of the Treadway Commission (COSO). Diese Anleitungen unterstützen Unternehmen bei der Internen Kontrolle (COSO-IC) und dem Risikomanagement (COSO-ERM). 'Information Technology Infrastructure Library (ITIL)' vom Office of Government Commerce (OGC) ist ein integriertes Set von Best Practice Empfehlungen für IT Management. ISO/IEC 20000 von ISO ist der erste internationale Standard für IT Service Management. Er basiert schwergewichtig auf ITIL. ISO/IEC 27002:2005 (vormals: ISO/IEC 17799:2005), von ISO, ist ein internationaler Code of Best Practice für Informationssicherheit. ISO/IEC 27001:2005 ist der internationale Standard, nach welchem Organisationen ihr Informations-Sicherheits-Management-System (ISMS) auf Übereinstimmung zertifizieren lassen können. Das 'Capability Maturity Model Integration (CMMI)' ist ein Referenzmodell zur Verbesserung von Prozessen, die der Beschaffung, der Entwicklung sowie dem Betrieb und der Wartung von Software dienen. Es wurde vom Software Engineering Institute (SEI) an der Carnegie Mellon University in Pittsburgh, USA, entwickelt. 16 VAN GREMBERGEN & DE HAES (2009), Kap. 4 17 VAN GREMBERGEN, DE HAES & VAN BREMPT (2008) 18 ITGI (2007) 19 ITGI (2008a) Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 7 von 38 Mit dem Standard ISO/IEC 38500:200820 von ISO, wird dem obersten Management ein Framework von Prinzipien für das Beurteilen, Steuern und Überprüfen des Einsatz von IT in ihrer Organisation angeboten. Dieser Standard wurde in Australien als AS 8015:2005 von der dortigen Normierungsbehörde21 entwickelt und dann von ISO und IEC übernommen. Im November 2009, also während der Erstellung dieser Arbeit, wurde von ISACA das neu geschaffene RISK IT Framework22 veröffentlicht. Dieses könnte in Zukunft im Zusammenhang mit Enterprise Governance of IT auch eine prominente Rolle einnehmen. Es basiert wie Val IT auch auf COBIT und ergänzt diese Modelle. 2.6.2 Modellauswahl In dieser Arbeit wird von folgender Hypothese ausgegangen: 1. Der Verwaltungsrat hat sich aus folgenden Gründen für die Vorgaben gemäss der ISO/IEC 38500 entschieden: 23 Diese Norm bietet umfassende Prinzipien für die Direktoren einer Organisation (z. B. Eigentümer, Verwaltungsräte, Geschäftsleitung, Manager) für den effektiven, effizienten und tragfähigen Einsatz der IT innerhalb ihrer Organisation. ISO/IEC 38500 appliziert der Governance für IT- und technischen Kommunikations-Dienste die entsprechenden Prozesse und provoziert zugehörige Entscheidungen. Diese Prozesse können von IT Spezialisten innerhalb einer Organisation, auch innerhalb eines Geschäftsbereiches oder bei externen Dienstleistungsanbietern gesteuert und kontrolliert werden. Eine Anleitung bietet diese Norm auch dem beratenden, informierenden oder unterstützenden Management. Somit können auch folgende Spezialisten profitieren: - Senior Manager, z. B. mit Coaching-Aufgaben - Mitglieder von Organisationseinheiten mit Überwachungsaufgaben - Externe IT- oder Business-Spezialisten, wie z. B. Juristen, Rechnungslegungs- und Verkaufs-Spezialisten - Anbieter von Hardware, Software, Kommunikations- oder sonstigen IT-Produkten - Interne und externe Serviceanbieter, einschliesslich Consultants - IT-Revisoren 2. Für die Umsetzung dieser Vorgaben entschied sich die Geschäftsleitung für das Modell COBIT mit Val IT in den aktuellen Versionen 4.1 bzw. 2.0. Als Gründe wurden folgende angegeben: - Mit COBIT und Val IT können die Vorgaben aus ISO/IEC 38500:2008 umgesetzt werden. Zudem unterstützen umfangreiche, auf verschiedene Zielgruppen ausgerichtete Hilfsmittel der beiden Modelle die Implementation und den Einsatz24. In Anhang 3 wird aufgezeigt, wie und mit welchen Produkten COBIT und Val IT die Anforderungen von ISO/IEC 38500 abdecken. 20 ISO (2008) 21 SAI Global, http://www.standards.com.au 22 ISACA (2009) 23 ISO/IEC 38500 - Abstract. Online (15.12.2009) http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51639 24 Für COBIT: Online (15.12.2009): COBIT Publications and Products http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBIT6/COBIT_Publications/COBIT_Products.htm , für Val IT: Online (15.12.2009): Val IT - A framework and supporting publications addressing the governnance of IT-enabled business investments http://www.isaca.org/Template.cfm?Section=Val_IT4&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=80&ContentID=51867 Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 8 von 38 - COBIT integriert die Ansätze mehrerer anderer Referenzmodelle und Standards. Mit der Version 4.1 werden nun auch die Aspekte der Enterprise Governance of IT ausreichend angesprochen. "Das COBIT-Referenzmodell hat sich zu einer Ergänzung der Methoden des IT-Managements entwickelt, deren Zielsetzung über das Audit hinaus eine Vielzahl betriebswirtschaftlicher Aspekte adressiert."25 - COBIT ist weltweit anerkannt und wird wie Val IT vom unabhängigen IT Governance Institute stetig weiterentwickelt. - Für COBIT und Val IT sind in der Schweiz und weltweit ausgebildete Spezialisten verfügbar. Die CGEIT-Zertifizierung auf Unternehmungsführungsebene sorgt für einen geprüften Wissensstand. Zudem verfügen auch CISA-zertifizierte Spezialisten über fundiertes COBITKnow-how. - Val IT ist zurzeit das fortgeschrittenste Framework, das die IT-bezogenen Geschäftsprozesse adressiert. In Abbildung 5 werden die Einsatzgebiete einiger wichtiger Dokumente aus dem COBIT- und 'Val IT'Framework aufgezeigt. Abbildung 5: Produkt-Diagramm und Einsatzgebiete (Quelle: ITGI, 2007, S.7) Schlüsselelemente dieser Modelle für Enterprise Governance of IT sind: Strategic Alignment, Value Delivery, Risk Management, Resource Management und Performance Measurement. 25 JOHANNSEN & GOEKEN (2007), S. 40 mitte Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 9 von 38 3 Betrugsfall 3.1 Ausgangslage Dieses Kapitel wurde basierend auf den firmeninternen Unterlagen der Opfer AG sowie den Gerichtsunterlagen zusammengestellt. Diese sind nicht öffentlich einsehbar. 3.1.1 Geheimhaltung Nachstehend wird ein Fall geschildert, wie er sich tatsächlich zugetragen hat. Der Verfasser hatte während seiner Tätigkeit als externer Consultant Zugang zu allen Informationen, die diesen Fall betrafen. Aufgrund des Persönlichkeitsschutzes und der Geheimhaltungsverpflichtung werden Namen, genaue Daten, Ortsbezeichnungen usw. verändert wiedergegeben. 3.1.2 Umfeld In einer Versicherungsgesellschaft (Opfer AG) wurde 1998 ein neues EDV-System (ERPspez) eingeführt. Der verantwortliche Direktor bei der Opfer AG kannte das einzuführende System bereits von seiner Tätigkeit bei einem früheren Arbeitgeber. Durch diese Tatsache wurde das Evaluationsverfahren stark beeinflusst. Im Rahmen des ersten wirklich grossen Einzelprojektes der Opfer AG wurde das System eingeführt. Bestandteil des Projektes war auch eine umfassende Anpassung der Software des eingekauften Systems. Als Konsequenz erfuhren viele Geschäftsprozesse teilweise markante Veränderungen. Das Vorhaben wurde ohne anerkannte Projekt-Standards durchgeführt. Benutzertests wurden durchgeführt, allerdings ohne definierte Testfälle. Viele der Software-Tester übernahmen bei der Einführung und dem nachfolgenden Betrieb Ausbildungsaufgaben für die anderen Benutzer. Eingeführt wurde die neue Lösung ein Jahr nach dem geplanten Fertigstellungstermin. Wegen der grossen Verspätung wurden nur die wichtigsten Funktionen realisiert, so, dass die Kernprozesse der Opfer AG abgewickelt werden konnten. Die restlichen Funktionen sollten später laufend eingebaut werden. Nach der Inbetriebnahme wurden laufend Software-Fehler entdeckt. Viele davon mussten mit hoher Priorität behoben werden. Die korrigierte Software wurde immer schnellst möglich eingesetzt. Durch dieses Vorgehen wurde die Produktionsumgebung dauernd verändert. Auch kam es oft vor, dass auf der Datenbank Integritätsverletzungen entstanden. Diese mussten mit Spezialeingriffen ("Einmal-Jobs") behoben werden. Datenintegritätsverletzungen entstanden, weil die Eingabefelder ungenügend bzw. nicht plausibilisiert wurden. Die Software war in einer herstellerabhängigen Programmiersprache realisiert, die ihren Zenit schon um Jahre überschritten hatte. Langjährige Mitarbeiter waren gefragt, denn sie kannten sowohl die Programmiersprache als auch das Produkt. Für die Dokumentation blieb fast keine Zeit. Eine Benutzerdokumentation wurde nicht erstellt. Im Verlaufe der Jahre und mit vermehrtem Augenmerk auf gute Enterprise Governance of IT (diese wurde aber nicht explizit eingeführt) wurden unter anderem folgende Abläufe verbessert: Der Leiter der Informatik-Abteilung wurde Mitglied der Geschäftsleitung. Die Fehlerbehebungen wurden gebündelt und zuerst "nur" noch monatlich auf das produktive System gespielt. Später konnte auf ein Releaseverfahren umgestellt werden, d. h. zwei Mal jährlich eine grosse Software-Anpassung ggf. mit Funktionserweiterungen. Sofortige Fehlerbehebungen erfolgten nur noch selten. Testverfahren wurden mithilfe einer eigenen Testumgebung systematisiert. Bei der Passwortausgabe wurden zusätzliche Sicherungsstufen eingebaut. Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 10 von 38 3.2 Anfangsverdacht Grundsätzlich wurde im Management die Ansicht vertreten, dass die Opfer AG vertrauenswürdige Mitarbeitende angestellt hatte. Entsprechend waren die Internen Kontrollen nicht besonders ausgeprägt. Im Rahmen eines Audits im Jahre 2001 wurde unter anderem die Funktionentrennung überprüft. Dabei wurde festgestellt, dass Mitarbeitende der Leistungsauszahlungsgruppe auch Stammdaten von Versicherten ändern können. Bei der Abwicklung einer Leistungszahlung kann der Bearbeiter die Zahlungsadresse übersteuern. Dies ist bei korrekter Abwicklung eines Geschäftsfalles oftmals nötig, weil der Begünstigte nicht immer automatisch vom System vorgegeben werden kann. Nur im Rahmen der allgemeinen, nicht systemunterstützten Führungstätigkeit wurde überwacht, ob für die Zahlungen die richtige Adresse eingesetzt wurde. Erst 2004 wurde diese nicht akzeptierbare Situation entschärft. Das obere Management veranlasste zusätzliche Kontrollen bei der Leistungsabwicklung. Eine Massnahme war ein Report 'Auszahlungskontrolle'. Damit konnte das Auszahlungsverhalten der Sachbearbeitenden aufgezeigt werden. Die Überprüfung der Häufigkeiten auf eine bestimmte Zahlungsadresse weckte den Verdacht, dass ein Mitarbeiter möglicherweise nicht korrekt gehandelt hat. Im Zeitraum von 6 Jahren erfolgten 141 Zahlungen auf eine nicht registrierte Zahlungsadresse. Der Verdächtige war der Teamleiter einer Leistungsabrechnungsgruppe. Einige Einzelheiten aus seinem Lebenslauf: Jahrgang 1972 1993 - Eintritt bei der Opfer AG als Sachbearbeiter 1996 - Beförderung zum Teamleiter für eine Gruppe von 15 Mitarbeitern 2000 - Austritt aus der Opfer AG 7 Monaten danach - Wiedereintritt in die Opfer AG in derselben Funktion, wie vor dem Austritt Nebst der Teamleitung bestand seine Aufgabe, wie auch diejenige seiner Mitarbeiter hauptsächlich darin, Rechnungen zu überprüfen und die in Rechnung gestellten Arbeiten den Leistungserbringern oder den Versicherten zu vergüten. Bei der Systemeinführung von ERPspez wurde er aufgrund seiner guten Fachkenntnisse ohne weitere Ausbildung als Software-Tester eingesetzt. Auch war er als Ausbildner für zukünftige ERPspezAnwender im Einsatz. Bezüglich des IT-Vorhabens hatte er aber keine weiteren Einflussmöglichkeiten. Insbesondere hatte er keine erkennbare Schuld an den Schwierigkeiten bei der Systemeinführung. Von Seite der Opfer AG musste das weitere Vorgehen festgelegt werden26. Sie entschied sich, zuerst eine detaillierte firmeninterne Untersuchung durchzuführen. Ein gemischtes Team aus Juristen, Fachspezialisten und Revisoren sollte ermitteln, ob sich der Verdacht bestätigt. 3.3 Die firmeninterne Untersuchung Da die Zahlungsadresse auch den Namen des Begünstigten enthielt, war schnell klar, welche Person im Fokus der Untersuchung stand. Eine Zahlungsadresse war mit seinem Lohnkonto identisch. 26 Für detaillierte Fragestellungen und Lösungsansätze sei auf COSANDEY (2009) verwiesen. Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 11 von 38 Folgende Fragestellungen mussten primär beantwortet werden: a. Gibt es für die eruierten Zahlungen korrekte Grundlagen (z. B. Rechnungen von Ärzten, Therapeuten) und passen diese zum Geschäftsvorfall? Sind diese Zahlungen möglicherweise korrekt? Liegt eine Rechtsverletzung vor? b. Wie und durch wen wurden die zugehörigen Geschäftsfälle abgewickelt? Gibt es noch andere Beteiligte als den Verdächtigen? (Insbesondere sein Vorgesetzter, Teammitglieder sowie ein naher Verwandter, der auch bei der Opfer AG im selben Team angestellt ist.) c. Wurden vom Verdächtigen und eventuellen anderen Beteiligten noch weitere unkorrekte Zahlungen an andere Zahladressen (z. B. von Nahestehenden) initiiert? Wie hoch ist der gesamte Schaden? d. Wie können allfällige Verfehlungen so dokumentiert werden, dass die Unterlagen vor Gericht verwendet werden können? e. Müssen Sofortmassnahmen ergriffen werden? Die wichtigste Informationsquelle für diese Untersuchung war in der ersten Phase das System ERPspez. Dies vor allem, weil die Untersuchungen natürlich im Verborgenen zu erfolgen hatten. Danach wurden firmenintern Interviews mit dem Verdächtigen sowie möglichen Mitwissern durchgeführt. 3.4 Das firmeninterne Ergebnis 3.4.1 Resultat Firmenintern reifte die Überzeugung, dass der Verdächtige ohne Einbezug anderer Beteiligter Zahlungen illegalerweise an sich selbst vorgenommen hatte und dies auch bewiesen werden kann: Vom August 1998 bis zu seiner Kündigung per Ende Februar 2000, das heisst, während rund 19 Monaten, löste der Verdächtige auf die geschilderte Vorgehensweise 32 Zahlungen über einen Totalbetrag von CHF 189'755.20 aus. Nach seiner Rückkehr zur Opfer AG im September 2000 bis zu seiner sofortigen Freistellung im Dezember 2004 löste er während diesen 53 Monaten weitere 109 Zahlungen über einen Totalbetrag von CHF 417'133.15 aus. Der gesamte finanzielle Schaden betrug somit CHF 606'888.35. Die obersten Verantwortlichen der Opfer AG entschieden, dass gegen den Verdächtigen Strafanzeige eingereicht wird. Sie verfolgten hiermit dem Sinn nach die Linie, die sie selbst vorgegeben hatten, nämlich, dass die Unternehmung und damit auch ihre Mitarbeitenden die Gesetze einhalten. 3.4.2 Vorgehen des Verdächtigen Bei den firmeninternen Untersuchungen hat sich folgendes herausgestellt: Der Verdächtige besorgte sich Versichertennummern von verstorbenen Kunden. Im ERPspez gab er diese Versichertennummern, fiktive Daten einer Behandlung und einen frei erfundenen Rechnungsbetrag ein. Nachdem er zusätzlich die Identifikationsnummer eines Arztes und seine eigene Businesspartnernummer in diesem System erfasst hatte, wurde die Zahlung ausgelöst. Als Versicherungsnehmer bei seinem Arbeitgeber verfügte er über eine eigene Businesspartnernummer, bei welcher seine Zahlungsadressen hinterlegt waren. Um den Kontrollen zu entgehen, verwendete der Verdächtige immer ungerade Beträge und veranlasste Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 12 von 38 die Zahlungen jeweils gegen Ende Woche und damit kurz vor dem Zahlungslauf, welcher jeweils am Samstag ausgelöst wurde. Ab 2001 erforderte die Auslösung von Zahlungen zudem einen Strichcode. Daraufhin passte der Verdächtige sein Vorgehen an. Er behielt jeweils diejenigen Belege von Leistungserbringern, welche die Bezahlung ihrer Rechnungen gemahnt hatten, zurück. Diese Mahnungen wurden ihm als Teamleiter zugestellt. Im ERPspez prüfte er dann, ob diese Rechnungen schon bezahlt worden waren. Hatte sich die Zahlung mit der Mahnung gekreuzt, hätte er den Beleg wegwerfen können. Er nahm ihn aber, brachte einen Strichcode an und konnte damit die Auszahlung nach der oben beschriebenen Vorgehensweise auslösen. Bei den letzten vier Zahlungen verwendete der Verdächtige für die Abwicklung der fiktiven Schaden User-ID und erschlichene Passwörter von zwei Mitarbeitern aus seinem Team. Er veranlasste die Zahlungen über deren Benutzer-Account. Als Vorgesetzter dieser Mitarbeitenden war es danach seine Aufgabe, diese selbst vorgenommenen Geschäfte zu "kontrollieren". Er begründete diese angepasste Vorgehensweise damit, dass die Kontrollen bei der Opfer AG immer schärfer und intensiver geworden seien. 3.5 Strafverfolgung und Gerichtsverhandlung 3.5.1 Ermittlungen der Strafverfolgungsbehörde Im Rahmen der Ermittlungen wurde auch eine Hausdurchsuchung am Wohnort sowie am Arbeitsplatz des Angeklagten durchgeführt. Kontoauszüge der Privatkonten wurden per Editionsverfügung27 beschafft. Auf diesen Kontoauszügen sind sämtliche Zahlungseingänge ausgewiesen. Die ebenfalls per Editionsverfügung beschafften Unterlagen zu den Kreditkarten und Barkrediten, wie auch den ausgewiesenen Bargeldbezügen sowie die Aussagen des Beschuldigten und seiner Frau liessen darauf schliessen, dass der Angeschuldigte seinen Lohn und das zusätzliche illegale Einkommen vollumfänglich verprasste, um sich einen sehr gehobenen Lebensstandard zu finanzieren. 3.5.2 Gerichtsverhandlung Anlässlich der Hauptverhandlung sagt der Angeschuldigte aus, er habe immer weiter gemacht, nachdem es das erste Mal so einfach gegangen sei. Die Frage des Gerichtspräsidenten, ob er sich überlegt habe, dass er die Öffentlichkeit bzw. die Versicherten betrogen habe, verneinte der Angeschuldigte. Er habe sich dazu nicht wirklich Gedanken gemacht. Im übrigen war der Täter von Anfang an geständig und bereute seine Handlungen. 27 Eine Editionsverfügung ist keine Zwangsmassnahme und nicht beschwerdefähig. Eine Einsprache durch den Papierinhaber führt zu einer Versiegelung mit anschliessendem Entsiegelungsverfahren. Für weitere Details wird auf KAUER (2009), S. 55f verwiesen. Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 13 von 38 3.6 Das Urteil 3.6.1 Schuldsprechung Der Angeklagte wurde wegen Art.147 Abs.1 'Betrügerischer Missbrauch einer Datenverarbeitungsanlage' StGB verurteilt. "Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einen elektronischen oder vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines andern herbeiführt oder eine Vermögensverschiebung unmittelbar darnach verdeckt, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft." (Art. 147 Abs. 1 StGB) Diesen Tatbestand hat er im Wesentlichen erfüllt, weil er unbefugterweise Daten der Opfer AG sowie auch Passwort und User-ID von Mitarbeitern verwendete. Weiter unrichtige Daten, z. B. einen fiktiven Behandlungszeitraum sowie einen fiktiven Rechnungsbetrag, erfasste. Die Eingabe dieser Daten lösten beim nachfolgenden Zahlungslauf die einzelnen Zahlungen aus, was vorsätzlich zu einer unrechtmässigen Bereicherung des Angeklagten führte. Weiter war nach Ansicht des Gerichtes auch die Gewerbsmässigkeit nach Art. 146 Abs.2 StGB gegeben: "Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis zu zehn Jahren oder Geldstrafe nicht unter 90 Tagessätzen bestraft." (Art. 147 Abs. 2 StGB) Dieser Tatbestand ist erfüllt, weil für den Täter diese illegalen Einnahmen einen namhaften Beitrag an die Kosten seiner Lebensgestaltung darstellen28. Der Täter hätte nach jeder einzelnen Zahlung aufhören können, entschied sich aber 141 Mal dagegen und delinquierte weiter, bis sein Handeln vom Arbeitgeber aufgedeckt wurde. Da der Täter nach seiner Wiedereinstellung erneut einen Tatentschluss fasste und weiter delinquierte, liegen zwei im Vorsatz getrennte gewerbsmässige Deliktserien vor. 3.6.2 Strafzumessung Der Täter machte sich wegen mehrfachem gewerbsmässigem betrügerischem Missbrauchs einer Datenverarbeitungsanlage strafbar. Das Strafmass betrug im Wesentlichen eine Freiheitsstrafe vom 30 Monaten. Der vollziehbare Teil der Strafe wurde auf das gesetzliche Minimum von 6 Monaten festgelegt. Die restlichen 24 Monate der Freiheitsstrafe wurden aufgeschoben (Art. 46 Abs. 1 StGB). Die Probezeit wurde auf 3 Jahre festgelegt. Der Täter hat das Urteil akzeptiert. 28 Gemäss BGE 116 IV 319 Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 14 von 38 4 Methodik 4.1 Grundsätze a) Der Täter in seiner Funktion als Endanwender und Nutzer der IT als Arbeitsinstrument, als Softwaretester und Ausbildner für diverse IT-Systeme, insbesondere auch des Systems ERPspez, ist als solcher ein Adressat von Enterprise Governance of IT. b) COBIT und Val IT beanspruchen auf das Kerngeschäft der Unternehmung ausgerichtet zu sein und wollen dieses wirksam unterstützen. Deshalb werden die beiden Modelle so verstanden, dass sich für die erfolgreiche Erledigung der Aufgaben an der Schnittstelle 'IT <> Business' auch beide Seiten verantwortlich fühlen sollen und entsprechend mitdenken und -handeln. 4.2 Vorgehensweise In dieser Arbeit wird aufgezeigt wie Enterprise Governance of IT zur Prävention von Wirtschaftskriminalitäts-Delikten genutzt werden kann. Am Beispiel des geschilderten Betrugsfalls und dem Einsatz von COBIT (Version 4.1)und Val IT (Version 2.0) soll dies nachgewiesen werden. Dabei soll wie folgt vorgegangen werden: Druck, Motivation 29 1. Anhand des von Donald R. Cressey entwickelten Fraud Triangle (Betrugs-Dreieck) werden für den Betrugsfall für die Faktoren Motivation, Innere Rechtfertigung und Gelegenheit die konkreten Ausprägungen dargestellt. Dies, soweit sie für die Opfer AG, das Gericht oder den Verfasser dieser Arbeit sichtbar waren. Diese Auswirkungen werden mit dem Verantwortlichen der internen Untersuchung verifiziert. > Kapitel 5.1 Fraud Triangle Innere Rechtfertigung Gelegenheit Abbildung 6: Fraud Triangle nach Donald R. Cressey 2. Es werden nur noch die einzelnen Ausprägungen der Gelegenheiten weiter analysiert. Jede Ausprägung (=Gelegenheitskomponente) wird beurteilt, ob diese die Geschäfts- und IT-Ziele positiv oder negativ beeinflusst. Damit die Resultate der Arbeit allgemein verwendet werden können, werden für die Gegenüberstellung die Zieldefinitionen (Business und IT Goals) aus dem COBIT- und 'Val IT'-Framework verwendet. > Kapitel 5.2 3. Es werden nur jene Gelegenheitskomponenten weiterverfolgt, die sich mindestens auf ein Geschäftsziel negativ auswirken. Aus den 'Enterprise Governance of IT'-Modellen COBIT und Val IT werden jeder verbliebenen Gelegenheitskomponente ein oder mehrere Control Objectives bzw. Key Management Principles mit ihrem Prozess zugeordnet, die bei korrekter Durchführung auf die jeweilige Gelegenheitskomponente präventiv wirken. Anstelle einer, in diesem Fall unübersichtlichen Wirkungskette wird pro COBIT- oder 'Val IT'Prozess auf die fallweise erforderlichen Input-Informationen hingewiesen. So wird auch ersichtlich, dass die einzelnen Prozesse Abhängigkeiten zu Vorgängern haben und der Grund für einen Missstand möglicherweise in einem vorgelagerten Prozess liegt, der die notwendigen Informationen nicht liefert. > Kapitel 5.3 29 Donald R. Cressey (USA, 1919-1987) gilt als ein Pionier in der Erforschung der Wirtschaftskriminalität. Für weitere Details zum Fraud Triangle wird auf FASKE (2009) verwiesen. Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 15 von 38 5 Analyse 5.1 Motivation - Gelegenheiten - Rechtfertigung In der folgenden Abbildung werden für diesen Betrugsfall die Motivation des Täters und seine innere Rechtfertigung dargestellt. Weiter werden Gelegenheitskomponenten aufgeführt, die die Delinquenz in diesem Fall begünstigten. Abbildung 7: Fraud Triangle für den Betrugsfall bei der Opfer AG Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 16 von 38 5.2 Übersicht Gelegenheit > Zielauswirkung In diesem Kapitel werden die Gelegenheitskomponenten A bis P aus Kapitel 5.1 weiter analysiert. Ziel ist es zu bestimmen, bei welchen eine Gelegenheitsreduktion sinnvoll ist. Die einzelnen Komponenten können die IT-relevanten Geschäftsziele positiv unterstützen (p) oder negativ beeinflussen (n). Geschäftsziel30 Gelegenheitskomponente A Unzulässige Funktionenkumulation B Bearbeiten der Stammdaten C Bearbeiten von Schadenfällen D Auszahlen von Leistungen E Verwenden eigener Stammdaten F Bearbeiten von Schadenfällen mit speziellen Datenkonstellationen G Gute Systemkenntnisse H System ERPspez kompliziert und unverständlich J Systeme mit rudimentärer, applikatorischer Prüfspur K Fehlende Kontrolle der Geschäftsvorfälle L Einführung mangelhafter Software und Geschäftsprozesse M Zu langsamer Verbesserungsprozess N Personalselektion O Passwortvergabe nicht persönlich P Passwort preisgeben 1 2 4 7 p 8 9 10 11 12 n 13 n n n n n 15 16 p n p 17 p p p n p n p n p n n n n n n n n n n n n n n n Tabelle 1: Auswirkung der Gelegenheit auf die Geschäftsziele Die Gelegenheitskomponenten B, C, D und G beeinflussen die Geschäftsziele nur positiv. Diese werden nicht weiter berücksichtigt. 30 Zieldefinitionen (generisch, originalnummeriert) gemäss ITGI (2007) bereinigt gemäss VAN GREMBERGEN & DE HAES (2009), S. 12: Legende: 1 Gute Rendite auf (IT-unterstützten) Geschäftsinvestitionen erwirtschaften 2 (IT-bezogene) Geschäftsrisiken managen 4 Kunden- und Serviceorientierung erhöhen 7 Agilität bei Reaktion auf sich ändernde Geschäftsanforderungen 8 Kostenoptimierung bei Serviceerbringung 9 Verlässliche und nützliche Informationen für strategische Entscheidungen erlangen 10 Geschäftsprozess überarbeiten und verbessern 11 Prozesskosten reduzieren 12 Compliance mit Gesetzen und Regulativen 13 Compliance mit internen Regelungen 15 Betriebliche- und Mitarbeiterproduktivität steigern 16 Produkt-/Geschäftsinnovation 17 Qualifizierte und motivierte MitarbeiterInnen einstellen und entwickeln Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 17 von 38 5.3 Prävention durch Enterprise Governance of IT 5.3.1 Prinzip Die Prävention mit Hilfe von Enterprise Governance of IT soll durch Reduktion oder Elimination der Gelegenheit erfolgen. Dafür wurden vorgängig die Gelegenheitskomponenten ermittelt, bei denen es sich lohnt, Massnahmen zu ergreifen (vgl. Tabelle 1). Bezogen auf die einzelne Gelegenheitskomponente werden das COBIT- und 'Val IT'-Framework dahin gehend analysiert, welche Teile dieser 'Enterprise Governance of IT'-Modelle Reduktionen bewirken können. Dafür bieten sich die 'Control Objectives' von COBIT sowie die 'Key Management Practices' von Val IT an. In diesen beiden Elementen sind die entsprechenden Kontrollen und vor allem Steuerungen der notwendigen Aktivitäten enthalten. Es ist ein erklärtes Ziel dieser Arbeit, präventive Massnahmen zu bezeichnen, die Gelegenheiten möglichst gar nicht erst entstehen lassen.31 Im Kapitel 5.3.2 wird am Beispiel der Gelegenheitskomponente A aufgezeigt, wie diese Analyse konkret vorgenommen wurde. Für die gesamte Detailanalyse wird auf Anhang 4 verwiesen. Aus Kapazitätsgründen (76 Seiten) ist dieser in einem separaten Dokument auf der CD abgelegt. Das zusammengefasste Resultat der Analyse ist in Tabelle 2 in Kapitel 5.4 abgebildet. Das Beispiel in Kapitel 5.3.2 und die gesamte Detailanalyse im Anhang 4 sind wie folgt zu lesen: a) Zuerst wird die Gelegenheitskomponente detaillierter beschrieben. b) Darauf folgen in weiteren Subkapiteln die ausgewählten COBIT- oder 'Val IT'-Prozesse mit denen so auf die Gelegenheitskomponente eingewirkt werden kann, dass eine Reduktion der Gelegenheit entsteht. Bezogen auf die entsprechende Gelegenheitskomponente wird auch auf die zugehörigen Schlüsselelemente der Enterprise Governance of IT hingewiesen. Die Reihenfolge der Subkapitel hat keine Bedeutung. c) Die für den Prozess relevanten Control Objectives bzw. Key Management Practices werden im Originaltext32 aus COBIT bzw. Val IT aufgeführt (in der roten Box). Durch den Verfasser fett hervorgehoben sind die, für diese Gelegenheitskomponente relevanten Stellen. Analog erfolgt dies für den jeweiligen Prozess (blaue Box). d) Danach wird darauf hingewiesen, was hätte getan werden müssen, um eine Reduktion der Gelegenheit zu bewirken. e) Abgeschlossen wird das Kapitel mit einem Hinweis auf die fallweise erforderlichen InputInformationen für den jeweiligen COBIT- oder 'Val IT'-Prozess. Daraus wird ersichtlich, dass dieser Prozess Abhängigkeiten zu Vorgängern hat. Möglicherweise liegt der Grund für einen Missstand in einem vorgelagerten Prozess, der die notwendigen Informationen nicht liefert. Anmerkung zur Eigenleistung: Vorgängig beschriebene Handlungen (Auswahl der COBIT- bzw. 'Val IT'-Komponenten sowie Texthervorhebungen im Originaltext (in der roten und blauen Box), Erstellen der Beschreibungen und Hinweise) wurden durch den Verfasser erbracht. 31 Das Ziel der Arbeit ist, wichtige Zusammenhänge zwischen der Gelegenheit für den Betrugsfall und der Enterprise Governance of IT darzustellen. Dazu ist es nicht erforderlich, alle Möglichkeiten aus COBIT und Val IT aufzuführen. Dies würde auch den Umfang dieser Arbeit sprengen. 32 Es werden absichtlich die englischen Bezeichnungen und Definitionen verwendet, damit die Verbindung zum originalen Modell (COBIT oder Val IT) sichergestellt werden kann. Offizielle deutsche Übersetzungen der in dieser Arbeit verwendeten Versionen von COBIT und Val IT liegen zurzeit nicht vor. Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 18 von 38 5.3.2 A Präventive Massnahmen für Gelegenheitskomponente A Unzulässige Funktionenkumulation Eine Person ist berechtigt, Versicherten-Stammdaten zu mutieren und Schadenfälle (inkl. Leistungsauszahlung) zu bearbeiten. So besteht z. B. die Möglichkeit, dass sie Zahlungsadressen (kurzzeitig) so abändert, dass Zahlungen an Unberechtigte erfolgen. Damit diese Gelegenheit schon beim Design und der Realisierung einer Systemlösung weitgehend reduziert wird oder wenigstens später im Produktivbetrieb aufgedeckt wird, sind folgende Prozesse aus den gewählten Modellen für Enterprise Governance of IT zu durchlaufen. 5.3.2.1 PO4 Define the IT Processes, Organisation and Relationships Enterprise Governance of IT Schlüsselelemente: Risk Management, Resource Management PO4.11 Segregation of Duties Implement a division of roles and responsibilities that reduces the possibility for a single individual to compromise a critical process. Make sure that personnel are performing only authorised duties relevant to their respective jobs and positions. PO4 Define the IT Processes, Organisation and Relationships (COBIT 4.1) An IT organisation is defined by considering requirements for staff, skills, functions, accountability, authority, roles and responsibilities, and supervision. This organisation is embedded into an IT process framework that ensures transparency and control as well as the involvement of senior executives and business management. A strategy committee ensures board oversight of IT, and one or more steering committees in which business and IT participate determine the prioritisation of IT resources in line with business needs. Processes, administrative policies and procedures are in place for all functions, with specific attention to control, quality assurance, risk management, information security, data and systems ownership, and segregation of duties. To ensure timely support of business requirements, IT is to be involved in relevant decision processes. Auf den vorliegenden Betrugsfall bezogen, bedeutet dies, dass bei korrekter Durchführung des Prozesses PO4 die Funktionentrennung bereits während des Projektes für das System ERPspez in Zusammenarbeit zwischen IT und Business hätte sichergestellt werden können. Damit dieser Prozess bezogen auf die Gelegenheit A erfolgreich abgewickelt werden kann, muss folgendes erfüllt sein: Input 'Catalogue of legal and regulatory requirements related to IT service delivery' aus Prozess ME3 Input 'IT human resources policy and procedures, IT skills matrix, job descriptions' aus Prozess PO7 Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 19 von 38 5.3.2.2 ME3 Ensure Compliance With External Requirements Enterprise Governance of IT Schlüssel-Elemente: Strategic Alignment, Risk Management ME3.1 Identification of External Legal, Regulatory and Contractual Compliance Requirements Identify, on a continuous basis, local and international laws, regulations, and other external requirements that must be complied with for incorporation into the organisation’s IT policies, standards, procedures and methodologies. ME3.3 Evaluation of Compliance With External Requirements Confirm compliance of IT policies, standards, procedures and methodologies with legal and regulatory requirements. ME3 Ensure Compliance With External Requirements (COBIT 4.1) Effective oversight of compliance requires the establishment of a review process to ensure compliance with laws, regulations and contractual requirements. This process includes identifying compliance requirements, optimising and evaluating the response, obtaining assurance that the requirements have been complied with and, finally, integrating IT’s compliance reporting with the rest of the business. Auf den vorliegenden Betrugsfall bezogen, bedeutet dies, dass wenn die Berechtigungen nach den geltenden Regulierungen periodisch überprüft worden wären, eine Chance auf frühere Aufdeckung bestanden hätte. Damit dieser Prozess bezogen auf die Gelegenheit A erfolgreich abgewickelt werden kann, muss folgendes erfüllt sein: Input 'Legal and Regulatory compliance requirements' aus der Corporate Governance (z. B. Code of Conduct) Input 'IT policies' aus Prozess PO6 Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 20 von 38 5.3.2.3 PO6 Communicate Management Aims and Direction Enterprise Governance of IT Schlüssel-Elemente: Strategic Alignment, Risk Management PO6.1 IT Policy and Control Environment Define the elements of a control environment for IT, aligned with the enterprise’s management philosophy and operating style. These elements should include expectations/requirements regarding delivery of value from IT investments, appetite for risk, integrity, ethical values, staff competence, accountability and responsibility. The control environment should be based on a culture that supports value delivery whilst managing significant risks, encourages cross-divisional co-operation and teamwork, promotes compliance and continuous process improvement, and handles process deviations (including failure) well. PO6.4 Policy, Standard and Procedures Rollout Roll out and enforce IT policies to all relevant staff, so they are built into and are an integral part of enterprise operations. PO6.5 Communication of IT Objectives and Direction Communicate awareness and understanding of business and IT objectives and direction to appropriate stakeholders and users throughout the enterprise. PO6 Communicate Management Aims and Direction (COBIT 4.1) Management develops an enterprise IT control framework and defines and communicates policies. An ongoing communication programme is implemented to articulate the mission, service objectives, policies and procedures, etc., approved and supported by management. The communication supports achievement of IT objectives and ensures awareness and understanding of business and IT risks, objectives and direction. The process ensures compliance with relevant laws and regulations. Auf den vorliegenden Fall bezogen, bedeutet dies, dass bei korrekter Durchführung des Prozesses PO6 a) die Erwartungen und Anforderungen bzgl. Risikoappetit und Integrität der Opfer AG festgelegt werden. Diese basieren auf einer Kultur welche richtlinienkonformes Verhalten fördert. Veränderungen, die das Projekt für das System ERPspez bringt, wie z. B. die Umstellung auf Online-Erfassung der Geschäftsvorfälle eine Neubeurteilung des IT Kontroll- und Steuerumfeld auslöst. b) neue oder aktualisierte IT-Richtlinien allen relevanten Mitarbeitenden, auch jenen von der Businessseite, bekannt gemacht werden. Die Richtlinien offiziell in Kraft gesetzt und als ein integraler Bestandteil der Unternehmensabläufe behandelt werden. c) die wiederkehrende Information auch das Bewusstsein und Verständnis für interne Steuerung und Kontrolle, Qualität, Ethische- und Verfahrensgrundsätze sowie Richtlinien sichergestellt ist. Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 21 von 38 Damit dieser Prozess bezogen auf die Gelegenheit A erfolgreich abgewickelt werden kann, muss folgendes erfüllt sein: Input 'IT-related risk management guidelines' aus Prozess PO9 Input ' Report on effectiveness of IT controls ' aus Prozess ME2 5.3.2.4 PM3 Manage the Availability of Human Resources und PO7 Manage IT Human Resources Enterprise Governance of IT Schlüssel-Elemente: Resource Management, Strategic Alignment PM3.2 Understand the current and future demand (for business human resources). Understand the current and future demand for business human resources based on the current investment portfolio and a forward view of the investment portfolio. Identify and pay special attention to key business personnel who are in short supply and who might be needed, especially those personnel who undertake day-to-day functions who might also be needed for undertaking additional work on investment programmes. PM3.5 Monitor, review and adjust (business function allocation and staffing). Monitor, review and adjust business function staffing allocation and requirements for investment programmes and day-to-day functions, and review sourcing strategies so as to meet expected business objectives and respond to changing circumstances. PM3 Manage the Availability of Human Resources (Val IT 2.0) Create and maintain an inventory of business and IT human resources. Understand the current and future demand for human resources to support the IT-enabled investments and identify shortfalls and contention. Create and maintain tactical plans for HR management. Monitor and review the plans and the supporting organisational structures, and adjust where necessary. Anforderungen an das gesamte Personal sind auf der Ebene der Gesamtunternehmung zu erfüllen (PM3), aber auch speziell im IT-Bereich. Darum ist auch der folgend aufgeführte Prozess PO7 speziell zu beachten. Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 22 von 38 PO7.2 Personnel Competencies Regularly verify that personnel have the competencies to fulfil their roles on the basis of their education, training and/or experience. Define core IT competency requirements and verify that they are being maintained, using qualification and certification programmes where appropriate. PO7.4 Personnel Training Provide IT employees with appropriate orientation when hired and ongoing training to maintain their knowledge, skills, abilities, internal controls and security awareness at the level required to achieve organisational goals. PO7 Manage IT Human Resources (COBIT 4.1) A competent workforce is acquired and maintained for the creation and delivery of IT services to the business. This is achieved by following defined and agreed-upon practices supporting recruiting, training, evaluating performance, promoting and terminating. This process is critical, as people are important assets, and governance and the internal control environment are heavily dependent on the motivation and competence of personnel. Auf den vorliegenden Betrugsfall bezogen, bedeutet dies, dass bei korrekter Durchführung der Prozesse PM3 und PO7 auch Know-how über die Funktionentrennung verfügbar sein müsste. Dies auf Seiten der Geschäftsbereiche oder Stabseinheiten. Auch auf Seiten der IT müsste dieses Know-how verfügbar oder mindestens das Bewusstsein dafür vorhanden sein. Von welcher Seite der Anstoss zur Sicherstellung einer adäquaten Funktionentrennung kommt, ist letztlich nicht entscheidend. Hingegen müssen die Ressourcen verfügbar und einsetzbar sein. Damit der Prozess PM3 bezogen auf Gelegenheit A erfolgreich abgewickelt werden kann, muss folgendes erfüllt sein: Input 'Business HR demand' von ausserhalb Val IT und COBIT Input 'IT supply and demand' aus den Prozessen PO1 und PO7 Damit der Prozess PO7 bezogen auf Gelegenheit A erfolgreich abgewickelt werden kann, muss folgendes erfüllt sein: Input 'Tactical IT HR plans' aus Prozess PM3 Input 'IT organisation and relationships; documented roles and responsibilities' aus Prozess PO4 Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 23 von 38 5.3.2.5 PO9 Assess and Manage IT Risks Enterprise Governance of IT Schlüssel-Elemente: Risk Management, Strategic Alignment PO9.4 Risk Assessment Assess on a recurrent basis the likelihood and impact of all identified risks, using qualitative and quantitative methods. The likelihood and impact associated with inherent and residual risk should be determined individually, by category and on a portfolio basis. PO9.5 Risk Response Develop and maintain a risk response process designed to ensure that cost-effective controls mitigate exposure to risks on a continuing basis. The risk response process should identify risk strategies such as avoidance, reduction, sharing or acceptance; determine associated responsibilities; and consider risk tolerance levels. PO9 Assess and Manage IT Risks (COBIT 4.1) A risk management framework is created and maintained. The framework documents a common and agreed-upon level of IT risks, mitigation strategies and residual risks. Any potential impact on the goals of the organisation caused by an unplanned event is identified, analysed and assessed. Risk mitigation strategies are adopted to minimise residual risk to an accepted level. The result of the assessment is understandable to the stakeholders and expressed in financial terms, to enable stakeholders to align risk to an acceptable level of tolerance. Auf den vorliegenden Betrugsfall bezogen, bedeutet dies, dass bei korrekter Durchführung des Prozesses PO9 diese Gelegenheit als Risiko hätte erkannt werden müssen. Mit dem Einsatz von guter Enterprise Governance of IT liesse sich eine kostenwirksame Antwort auf diese Problemstellung finden. Wird bei der Entwicklung und dem Betrieb eines IT-Systems nach den Vorgaben aus COBIT und Val IT vorgegangen, dann können die präventiven Massnahmen gegen solche Gelegenheiten markant günstiger ausfallen, als der angerichtete Schaden dieses einen Betrugsfalles gekostet hat. Damit dieser Prozess bezogen auf Gelegenheit A erfolgreich abgewickelt werden kann, muss folgendes erfüllt sein: Input 'Enterprise appetite for IT risks' aus Prozess ME4 Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 24 von 38 5.3.2.6 ME4 Provide IT Governance Enterprise Governance of IT Schlüssel-Elemente: Strategic Management,Value Management, Risk Management ME4.1 Establishment of an IT Governance Framework Define, establish and align the IT governance framework with the overall enterprise governance and control environment. Base the framework on a suitable IT process and control model and provide for unambiguous accountability and practices to avoid a breakdown in internal control and oversight. Confirm that the IT governance framework ensures compliance with laws and regulations and is aligned with, and confirms delivery of, the enterprise’s strategies and objectives. Report IT governance status and issues. ME4.3 Value Delivery Manage IT-enabled investment programmes and other IT assets and services to ensure that they deliver the greatest possible value in supporting the enterprise’s strategy and objectives. Ensure that the expected business outcomes of IT-enabled investments and the full scope of effort required to achieve those outcomes are understood; that comprehensive and consistent business cases are created and approved by stakeholders; that assets and investments are managed throughout their economic life cycle; and that there is active management of the realisation of benefits, such as contribution to new services, efficiency gains and improved responsiveness to customer demands. Enforce a disciplined approach to portfolio, programme and project management, insisting that the business takes ownership of all IT-enabled investments and IT ensures optimisation of the costs of delivering IT capabilities and services. ME4.5 Risk Management Work with the board to define the enterprise’s appetite for IT risk, and obtain reasonable assurance that IT risk management practices are appropriate to ensure that the actual IT risk does not exceed the board’s risk appetite. Embed risk management responsibilities into the organisation, ensuring that the business and IT regularly assess and report IT-related risks and their impact and that the enterprise’s IT risk position is transparent to all stakeholders. ME4 Provide IT Governance (COBIT 4.1) Establishing an effective governance framework includes defining organisational structures, processes, leadership, roles and responsibilities to ensure that enterprise IT investments are aligned and delivered in accordance with enterprise strategies and objectives. Auf den vorliegenden Betrugsfall bezogen, bedeutet dies, dass bei eingeführtem Framework für Enterprise Governance of IT schon frühzeitig die Verantwortlichkeiten geklärt und ein Risikomanagement installiert gewesen wäre. Risiken im IT-Umfeld (inkl. der IT-unterstützten Geschäftsprozesse) und die Konformität zu den Regelungen wären thematisiert worden. Auch hätte sich die Opfer AG frühzeitig Überlegungen zu den gewünschten Werten, die aus dem ERPspez-Projekt resultieren sollten, gemacht. Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 25 von 38 Damit dieser Prozess bezogen auf Gelegenheit A erfolgreich abgewickelt werden kann, muss folgendes erfüllt sein: Auf der normativen und strategischen Führungsebene muss erkannt werden, dass Enterprise Governance of IT notwendig ist um IT-enabled Investment Programmes erfolgreich durchzuziehen. Input 'Risk assessment and reporting' aus Prozess PO9 5.3.2.7 AI1 Identify Automated Solutions Enterprise Governance of IT Schlüssel-Elemente: Value Delivery, Risk Management AI1.2 Risk Analysis Report.. Identify, document and analyse risks associated with the business requirements and solution design as part of the organisation’s process for the development of requirements. AI1 Identify Automated Solutions (COBIT 4.1) The need for a new application or function requires analysis before acquisition or creation to ensure that business requirements are satisfied in an effective and efficient approach. This process covers the definition of the needs, consideration of alternative sources, review of technological and economic feasibility, execution of a risk analysis and cost-benefit analysis, and conclusion of a final decision to ‘make’ or ‘buy’. All these steps enable organisations to minimise the cost to acquire and implement solutions whilst ensuring that they enable the business to achieve its objectives. Auf den vorliegenden Betrugsfall bezogen, bedeutet dies, dass aufgrund des Fehlens einer dokumentierten Risikoanalyse angenommen werden muss, dass eine solche nicht detailliert durchgeführt wurde. So wurde auch nicht bewusst geklärt, wie mit der Funktionentrennung umgegangen werden soll. Es ist auch nicht ersichtlich, ob eine korrekte Funktionentrennung als wertvoll für die Geschäftsabwicklung anerkannt wurde. Damit dieser Prozess bezogen auf Gelegenheit A erfolgreich abgewickelt werden kann, muss folgendes erfüllt sein: Input ' Tactical IT plans ' aus Prozess PO1 Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 26 von 38 5.4 Zusammenfassung der Analyse-Resultate Prozesse PO1 Define a strategic IT plan PO2 Define the information architecture PO4 Define the IT processes, organisation and relationships PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI6 Manage changes AI7 Install and accredit solutions and changes DS5 Ensure systems security DS7 Educate and train users. ME1 Monitor and evaluate IT performance ME3 Ensure compliance with external requirements ME4 Provide IT governance VG1 Establish informed and committed leadership PM3 Manage the availability of human resources IM1Develop and evaluate the initial programme concept business case IM9 Monitor and report on the programme ANZ 1 1 P Passwort preisgegeben O Prozess für Passwortvergabe nicht persönlich N Personalselektion x x 7 x x x x x 6 x x x x x 8 3 4 3 2 x x x x x x x x x x x x x x x x x x x x x x x 2 x x 1 x 2 3 x x 2 1 2 1 x x x x x x x x x 1 x 8 x x 2 8 M Zu langsamer Verbesserungsprozess L Einführung mangelhafter Software und Geschäftsprozesse K Fehlende Kontrolle der Geschäftsvorfälle J Systeme haben applikatorisch nur eine rudimentäre Prüfspur H System ERPspez wird von vielen Personen als kompliziert und unverständlich eingestuft F Bearbeiten von Schadenfällen mit speziellen Datenkonstellationen E Bearbeiten bzw. Verwenden "eigener" Stammdaten A Unzulässige Funktionenkumulation Gelegenheitskomponente Tabelle 2 zeigt auf, welche Prozesse aus dem COBIT- bzw. 'Val IT'-Framework auf welche Gelegenheitskomponente präventiv wirken. x x x x x x x x x x x x x x x x 1 x 2 x x Tabelle 2: Präventiv wirkende Prozesse (Übersicht) Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 27 von 38 Ergebnisbasis Die Untersuchung der 210 Control Objectives33 (COBIT ) und 69 Key Management Principles (Val IT) auf präventive Wirkung bei den 11 Gelegenheitskomponenten aus dem Betrugsfall ergab 130 Treffer. Ein Treffer bedeutet, dass ein Teil oder die gesamte Definition eines Control Objective oder Key Management Principle vorbeugende Wirkung gegenüber dem beschriebenen Betrugsfall erzeugt hätte. Diese 130 Treffer verteilen sich auf 23 Prozesse aus den 'Enterprise Governance of IT'-Modellen. 6 Ergebnisse 6.1 Präventive Wirkung der Modelle COBIT und Val IT Der Zusammenfassung der Analyse-Resultate (Tabelle 2) können wir entnehmen, dass bei diesem Betrugsfall 19 von 34 COBIT- und 4 von 22 'Val IT'-Prozesse bei korrekter Durchführung präventive Wirkung erzielt hätten. Dies primär indem die Entstehung von Gelegenheiten für diesen Betrugsfall reduziert oder vermieden worden wäre. Weiter wurde auch erkannt, dass beinahe alle in Tabelle 2 aufgeführten Prozesse Input von anderen Prozessen der 'Enterprise Governance of IT'-Modelle erhalten müssen, damit sie selbst ihre vorbeugende Wirkung erzielen können. Hätte die Analyse auch diese Prozesse erfasst, wäre eine grössere Anzahl an der Gelegenheits-Reduktion beteiligt gewesen. Von den ausgewiesenen Prozessen ist der Grossteil (19 von 23 bzw. über 80%) Bestandteil vom COBITFramework. Daran wird ersichtlich, dass dieses Modell bei einem solchen Betrugsfall eine wesentliche Rolle spielen kann. 6.2 Wirkung auf die Ablauforganisation In dieser Arbeit wurde die präventive Wirkung durch Enterprise Governance of IT für einen Betrugsfall mit Verwendung einer IT-Anlage in einem Geschäftsbereich (Schadenfallabwicklung) einer Unternehmung der Versicherungsbranche untersucht. Dabei handelt es sich um eine Organisationseinheit und eine Branche, die grundsätzlich einem höheren Risiko solch doloser Handlungen ausgesetzt sind, weil an dieser Stelle Zahlungen an Aussenstehende initiiert werden. Die Beurteilung der Grundlage für die Auszahlungen wird von Personen und nicht von einem IT-System vorgenommen. Die daraus folgende Konsequenz ist die des grösseren individuellen Spielraums bei der Abwicklung der Geschäftsfälle. Somit entfaltet Enterprise Governance of IT präventive Wirkung an einem kritischen Punkt der Ablauforganisation eines Kernprozesses. 6.3 Lösungsansatz 'Prioritätentabelle' Um aufgrund der Analyse-Resultate für das Unternehmen ein rasch wirksames Vorgehen für die Reduktion der Gelegenheit vorzuschlagen, wird nach den 'Enterprise Governance of IT'-Prozessen gesucht, die häufig bei einfach ergreifbaren Gelegenheitskomponenten auftreten. So können prioritär die COBIT- oder 'Val IT'-Prozesse verbessert werden, welche bei der Opfer AG die grösste Wirkung erzielen würden. 33 Detail Control Objectives Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 28 von 38 Option Wurden in der Opfer AG eventuell noch weitere Wirtschaftskriminalitätsdelikte mit Unterstützung der IT-Hilfsmittel begangen, könnten diese analog untersucht und gemäss Tabelle 2 dargestellt werden. Die Datenbasis für die Prioritätentabelle wäre umfassender und der Nutzen könnte erhöht werden. 6.3.1 Vorgehen Tabelle 2 wird dahin gehend erweitert, dass pro Gelegenheitskomponente die 'Einfachheit der Nutzung' beigefügt wird. Die 'Einfachheit der Nutzung' beinhaltet die Aussage, wie einfach der Täter diese Gelegenheitskomponente ausnutzen konnte. Dabei wird folgende Skala benutzt: 3 kann ohne spezielle bzw. nur mit unproblematischen Handlungen vom Täter genutzt werden 2 kann vom Täter nicht einfach vollständig beeinflusst werden oder ist eine Ausprägung, die er mit seinen Spezialkenntnissen nutzen konnte 1 Täter ist vollständig von anderen abhängig Danach wird jeder Schnittpunkt eines auf diese Gelegenheitskomponente präventiv wirksamen Prozess aus COBIT oder Val IT mit dem Wert der Einfachheit der Nutzung versehen. So kann mit der Summe pro Prozess ermittelt werden, bei welchem Prozess eine Verbesserung die grösste Wirkung erzielt. Es gilt: Je höher der Wert in der Spalte 'PRIO' für einen Prozess ist, desto grösser die Wirkung, wenn die zugehörigen Prozessmängel behoben werden (siehe Tabelle 3). Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern E Bearbeiten bzw. Verwenden "eigener" Stammdaten F Bearbeiten von Schadenfällen mit speziellen Datenkonstellationen H System ERPspez wird von vielen Personen als kompliziert und unverständlich eingestuft J Systeme haben applikatorisch nur eine rudimentäre Prüfspur K Fehlende Kontrolle der Geschäftsvorfälle L Einführung mangelhafter Software und Geschäftsprozesse M zu langsamer Verbesserungsprozess N Personalselektion O Prozess für Passwortvergabe nicht persönlich P Passwort preisgegeben Einfachheit der Nutzung Prozesse PRIO PO1 Define a strategic IT plan 3 PO2 Define the information architecture 3 PO4 Define the IT processes, 19 organisation and relationships PO6 Communicate management aims 15 and direction PO7 Manage IT human resources 19 PO8 Manage quality 7 PO9 Assess and manage IT risks 10 PO10 Manage projects 7 A Unzulässige Funktionenkumulation Prioritätentabelle Gelegenheitskomponente 6.3.2 3 3 2 2 2 3 3 2 1 3 2 3 3 3 3 2 2 3 3 3 2 2 3 3 3 2 2 3 2 3 3 2 3 3 2 3 3 2 2 3 2 1 2 2 Seite 29 von 38 5 4 N Personalselektion O Prozess für Passwortvergabe nicht persönlich P Passwort preisgegeben 2 2 M zu langsamer Verbesserungsprozess 2 L Einführung mangelhafter Software und Geschäftsprozesse 2 K Fehlende Kontrolle der Geschäftsvorfälle H System ERPspez wird von vielen Personen als kompliziert und unverständlich eingestuft 3 J Systeme haben applikatorisch nur eine rudimentäre Prüfspur F Bearbeiten von Schadenfällen mit speziellen Datenkonstellationen 3 3 E Bearbeiten bzw. Verwenden "eigener" Stammdaten A Unzulässige Funktionenkumulation Gelegenheitskomponente Einfachheit der Nutzung AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI6 Manage changes AI7 Install and accredit solutions and changes DS5 Ensure systems security DS7 Educate and train users ME1 Monitor and evaluate IT performance ME3 Ensure compliance with external requirements ME4 Provide IT governance VG1 Establish informed and committed leadership PM3 Manage the availability of human resources IM1 Develop and evaluate the initial programme concept business case IM9 Monitor and report on the programme 3 3 2 1 3 2 2 2 2 2 5 7 2 2 5 2 5 3 3 2 3 2 2 2 3 2 2 3 3 19 3 3 5 19 2 2 3 2 3 3 2 3 2 1 2 1 3 2 3 3 3 3 5 3 2 Tabelle 3: Präventiv wirkende Prozesse (priorisiert) 6.3.3 Vorgehensvorschlag Als die fünf grössten Schwachpunkte bei der Opfer AG wurden folgende ermittelt (vgl. Tabelle 3): 1 Skills-Management der Beteiligten auf IT- und Businessseite (PO7, PM3) 2 Definition der Organisation an der Schnittstelle IT<>Business für die detaillierte Ausprägung der Geschäftsprozesse (PO4) 3 Kommunikation (inklusive Tone-at-the-top) und nachhaltige Bewusstseinsbildung bezüglich der Erwartungen im Bereich des Risikoappetits (PO6) 4 Qualität des Risiko-Managements (PO9) 5 Einsatz von gesamtheitlicher Enterprise Governance of IT (ME4) Um in einem ersten Schritt eine wirksame Reduktion der Gelegenheit zu erzielen, könnte die Elimination der ersten vier Schwachpunkte angestrebt werden. Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 30 von 38 Ein strategischer Entscheid für den Einsatz von 'gesamtheitlicher Enterprise Governance of IT' unter Nutzung der COBIT- und 'Val IT'-Frameworks würde sich in verschiedenster Hinsicht über den gesamten Lebenszyklus der IT-Investitionen positiv auswirken. Darauf wird an dieser Stelle aber nicht weiter eingegangen. Die Prävention von Wirtschaftskriminalitätsfällen wäre nur ein Zusatznutzen. 6.3.4 Kosten Da die Aktivitäten dieser Prozesse (Tabelle 3) als Bestandteil einer guten Enterprise Governance of IT betrachtet werden müssen, entstünden nur geringe Mehrkosten. Wahrscheinlich wären diese bei Vermeidung oder wesentlich früherer Aufdeckung dieses einen aufgedeckten Betrugs mittels der vorgeschlagenen Massnahmen bereits amortisiert gewesen. 6.4 Voraussetzungen zur Realisierung des Wertes 'wirksame Prävention gegen Wirtschaftskriminalitätsfälle' Damit das Instrument einer guten Enterprise Governance of IT zur wirksamen Prävention gegen Wirtschaftskriminalitätsfälle genutzt werden kann, sind in einem Unternehmen wie der Opfer AG folgende Voraussetzungen zu erfüllen: 6.4.1 Erkennen des Wertes und Bewusstsein fördern Für das Unternehmen muss an oberster Stelle der Wert einer guten Prävention gegen Wirtschaftskriminalitätsfälle erkannt werden. Weiter muss der Wille vorhanden sein, diesen Wert auch zu realisieren und in die allgemeinen Zielvorgaben (z. B. Code of Conduct) für das Unternehmen einfliessen zu lassen. Das oberste Management muss sich zu dieser Zielsetzung bekennen. Der Tone-at-the-top soll dieses Bekenntnis in die Unternehmung und zu externen Partnern hinaus tragen. Innerhalb des Unternehmens soll auch kontrolliert werden, ob die Zielvorgabe eingehalten wird. 6.4.2 Notwendigkeit einer guten Enterprise Governance of IT erkennen und fordern Im obersten Management der Unternehmung muss eine gemeinsame Basis für die Einschätzung des Beitrages, den die Informationstechnologie und die IT-unterstützten Geschäftsprozesse für die Unternehmenszielsetzung bringen sollen, vorhanden sein. Um die Umsetzung in die richtige strategische Richtung zu steuern, kann z. B. eine Enterprise Governance of IT nach ISO/IEC 38500 gefordert werden. Compliance wird darin als Principle 5 explizit gefordert: IT complies with all mandatory legislation and regulations. Policies and practices are clearly defined, implemented and enforced. Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 31 von 38 6.4.3 Gesamtgefährdung ermitteln und Aufträge für die Prävention formulieren Eine fundierte Einschätzung der Bedrohungslage 'Wirtschaftskriminalität im IT Umfeld'34 mit Anerkennung des Risikos 'Mitarbeitende'35 soll als Basis für die Kosten-/Nutzen-Überlegungen dienen. Diese Einschätzung müsste aufgrund der Vorkommnisse um diesen Betrugsfall auch die Sensibilisierung für aktive Mitarbeiter-Führung und -Kontrolle schärfen. Unter Berücksichtigung dieser Informationen können die Aufträge für die Prävention zur Verhinderung von Wirtschaftskriminalität im Unternehmen formuliert werden. 6.4.4 Enterprise Governance of IT strategisch umsetzen Die normativ vorgegebenen Anforderungen an die Enterprise Governance of IT sollen strategisch so umgesetzt werden, dass sie für die operative Ebene konkrete Anweisungen und Ziele enthalten. Diese müssen von den Mitarbeitern und ihren Vorgesetzten verstanden werden. Dafür bieten z. B. Modelle wie COBIT und Val IT eine anerkannte Basis. 6.4.5 Enterprise Governance of IT kontinuierlich verbessern Der beschriebene Betrugsfall dauerte von 1998 bis Ende 2004. Speziell zu Beginn der Deliktserie waren der Stellenwert und der Inhalt einer Enterprise Governance of IT bei Weitem nicht so entwickelt, wie dies heute, 11 Jahre später, der Fall ist. Die Erkenntnisse um die Enterprise Governance of IT und die Corporate Governance entwickeln sich innerhalb und ausserhalb eines Unternehmens stetig weiter. Darum soll kontinuierlich geprüft werden, ob Anpassungen für das eigene Unternehmen sinnvoll sind. 6.5 Geprüfter Methodeneinsatz Die gewählte Methode (gemäss Kapitel 4) hat sich bei der Durchführung dieser Arbeit bewährt. Sie bietet eine einfache Wegleitung zur Beantwortung der Frage, wie weit ein 'Enterprise Governance of IT'Modell zur Prävention eines Wirtschaftskriminalitätsdeliktes beitragen kann, bei dem IT-Hilfsmittel eingesetzt wurden. Eine diesbezügliche Aussage ist nicht nur beim Ersteinsatz eines Modells wertvoll, sondern auch wenn ein bestehendes Modell ergänzt werden soll. Die Methode lässt sich an unternehmens- oder fallspezifische Gegebenheiten anpassen: Das Fraud Triangle (Abbildung 6) ist offen für die Darstellung verschiedenster Wirtschaftskriminalitätsfälle. Die Fälle können auf theoretischen Annahmen oder realen Vorkommnissen basieren. Unternehmensspezifische Eigenheiten können bei den Geschäfts- und IT-Zielen (Tabelle 1) einfliessen. Bei der Analyse auf vorbeugende Wirkung können auch nur einzelne Control Objectives bzw. Key Management Principles dem Wirtschaftskriminalitätsfall gegenübergestellt werden. Beschränkt bleibt die gewählte Methode allerdings auf die Anforderung, dass beim Wirtschaftskriminalitätsdelikt IT-Hilfsmittel verwendet wurden. 34 Für einen pragmatischen Ansatz zur Risikoanalyse in diesem Bereich, der eine Antwort auf die Frage der Gesamtgefährdung liefert, sei auf AUINGER, BITTERLI, BRUNNER, EUGSTER, SCHÖBI, SCHWAB, SUTER & WEBER (2003), Kapitel 3 'Gefährdungsanalyse' verwiesen. 35 WIELAND (2007) beabsichtigt mit seinem Werk bei Entscheidungsträgern und Anti-Fraud-Managern das Bewusstsein für ganzheitliche Bekämpfungsansätze zum Wohle ihrer Unternehmen zu schärfen. Er legt dabei den Schwerpunkt auf den sogenannten Innentäter, das heisst die Mitarbeitenden im Unternehmen. Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 32 von 38 7 Fazit und Ausblick In dieser Arbeit konnte aufgezeigt werden, dass Enterprise Governance of IT im Zusammenhang mit Wirtschaftskriminalität eine ernst zu nehmende Rolle spielen kann. Weil die Ursache für die präventive Wirkung von Enterprise Governance of IT auf den Betrugsfall schon bei den normativen und strategischen Vorgaben für die Durchführung der IT- und IT-abhängigen Business-Aufgaben einsetzt, ist dieser Zusammenhang nicht für jeden offensichtlich. Die optimale Darstellung wäre wahrscheinlich, den Zusammenhang mittels einer detaillierten Wirkungskette abzubilden. Da die verwendeten Modelle für Enterprise Governance of IT einen hohen Grad von Iterationen und eine grosse Anzahl Abhängigkeiten zu Vorgängerprozessen aufweisen, würde eine solche Darstellung den zeitlichen und mengenmässigen Rahmen dieser Arbeit sprengen. Eine detaillierte Wirkungskette wurde noch von niemandem nur für die Modelle COBIT und Val IT alleine (ohne Betrugsfall) erstellt. Auf den Einsatz einer vereinfachten Wirkungskette wurde verzichtet, weil dies zu viele Kompromisse verlangt hätte. Wahrscheinlich wäre damit die Glaubwürdigkeit der Ergebnisse in Zweifel gezogen worden. Unter diesen Umständen stellte der Weg über die Erwähnung des fallweise notwendigen Inputs bei den einzelnen COBIT- oder 'Val IT'-Prozessen (Kapitel 5.3) eine machbare und doch aussagekräftige Variante dar. Die anderen Schritte der gewählten Methode erscheinen zweckmässig. Eine Bedeutung für die betriebliche Praxis und weitere Forschungen hat diese Arbeit darin, dass sich auch auf den ersten Blick nicht offensichtliche Methoden auf die Prävention von Wirtschaftskriminalität positiv auswirken können. In diesem Fall profitiert die Prävention für Wirtschaftskriminalitätsfälle, bei denen IT-Hilfsmittel verwendet wurden. Bei der Beantwortung der Fragen für diese Arbeit entstanden an verschiedenen Stellen Anknüpfungspunkte für neue Problemstellungen, die in weiteren Diplomarbeiten untersucht werden könnten: (1) In dieser Arbeit wurden für den Faktor 'Gelegenheit' (aus dem Fraud Triangle, Kapitel 5.1) Möglichkeiten für Prävention gegen einen Betrugsfall untersucht. Es stellt sich die Frage, ob es auch für die Faktoren 'Motivation' und 'Innere Rechtfertigung' Modelle gibt, die nicht offensichtlich vorbeugende Wirkung gegen solche Delikte erzielen. (2) Diese Arbeit entstand für einen Betrugsfall mit Verwendung eines IT-Hilfsmittels in einer Unternehmung der Versicherungsbranche. Möglicherweise wäre es auch interessant festzustellen, ob und wie weit die präventive Wirkung dieser Ausprägung von Enterprise Governance of IT in analogen Betrugsfällen von anderen Branchen und Unternehmen abweicht. (3) In diesem Fall war der Täter ein Mann. In der heutigen Zeit steigt die Anzahl der berufstätigen Frauen auch im Dienstleistungssektor weiter an. Dazu stellt sich die Frage, ob sich dadurch das Täterbild verschiebt? Vor allem unter dem Gesichtspunkt, dass ein besonderes Merkmal bei Wirtschaftskriminalität das Fehlen von physischer Gewaltanwendung ist. Diese wird von Frauen im allgemeinen eher abgelehnt. Somit fällt diese Hürde für eine Tatbegehung weg. (4) Es gibt Unternehmen, die gesamte Geschäftsfälle outsourcen. Hierzu stellt sich die Frage, wie sich der Nutzen von Enterprise Governance of IT bezüglich präventiver Wirkung gegenüber Wirtschaftskriminalitätsfällen verhält, bei denen IT-Hilfsmittel verwendet werden. Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 33 von 38 Erklärung gemäss Art.6 des Masterarbeitsreglementes vom 01. Januar 2007: Ich erkläre hiermit, dass ich die vorliegende Arbeit resp. die von mir ausgewiesene Leistung selbstständig, ohne Mithilfe Dritter und nur unter Ausnutzung der angegebenen Quellen verfasst resp. erbracht habe. Ort, Datum: ...................................................................... Unterschrift: ...................................................................... Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 34 von 38 Anhang 1: Kurzübersicht 'COBIT' Die nachfolgende Abbildung bietet eine Auflistung aller COBIT-Prozesse. Abbildung 8: Overall COBIT Framework (Quelle: ITGI, 2007, S. 26) Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 35 von 38 Anhang 2: Kurzübersicht 'Val IT' Alle Prozesse von Val IT sind geordnet nach Domänen in Abbildung 9 aufgelistet. Abbildung 9: 'Val IT'-Prozesse (Quelle: ITGI, 2008a, S.15) Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 36 von 38 Anhang 3: Relation der ITGI Produkte und ISO/IEC 38500 Wie und mit welchen Produkten COBIT und Val IT die Anforderungen von ISO/IEC 38500 abdecken, kann der folgenden Tabelle entnommen werden: Human Behaviour Evaluate Direct Monitor √ √ √ √ √ Unlocking Value: An Executive Primer on the Critical Role of IT Governance √ √ √ √ √ √ COBIT √ √ √ √ √ √ √ √ √ Val IT √ √ √ √ √ √ √ √ √ √ √ √ Conformance √ Performance Strategy Board Briefing on IT Governance, 2nd Edition ITGI Product Acquisition Responsibility ISO/IEC 38500 Areas IT Governance Implementation Guide: Using COBIT and Val IT, 2nd Edition √ IT Assurance Guide: Using COBIT nd √ √ COBIT Quickstart, 2 Edition √ Enterprise Value: Governance of IT Investments, Getting Started With Value Management √ COBIT Security Baseline™, 2nd Edition Enterprise Value: Governance of IT Investments, The Business Case √ √ √ √ √ √ √ √ √ √ Abbildung 10: Relation der ITGI Produkte und ISO/IEC 38500 (Quelle: ITGI, 2008c) Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 37 von 38 Anhang 4: Gesamte Detailanalyse Die gesamte Detailanalyse umfasst 76 Seiten und wurde darum in ein eigenes Dokument ausgelagert. Dieses Dokument wird nach Absprache mit dem Tutor nur in elektronischer Form abgegeben. Es befindet sich auf der CD im Verzeichnis '1_Masterarbeit_oeffentlich'. Anhang 5: Inhalt der CD Die Dokumente auf der CD sind wie folgt organisiert: Verzeichnis '1_Masterarbeit_oeffentlich': - Masterarbeit (ohne Anhänge 4 und 6): - Anhang 4 der Masterarbeit: Datei: MA_EGITzurWKPraevention.pdf Datei: MA_EGITzurWKPraevention_Anhang4.pdf Verzeichnis '2_Anhang_vertraulich': - Anhang 6: Datei: MA_EGITzurWKPraevention_Anhang6.pdf Verzeichnis '3_Online_Literatur': - Unterverzeichnisse mit dem Namen der Literatur-Referenz - heruntergeladene Online-Dokumente mit den Original-Dateinamen Anhang 6: Vertrauliche Zusatzinformationen Anhang 6 beinhaltet vertrauliche Daten. Deshalb ist dieser Teil in der öffentlichen Version der Masterarbeit nicht enthalten. Master of Advanced Studies Economic Crime Investigation Diplomarbeit © Copyright IWI, Hochschule Luzern Seite 38 von 38