Hier ist eine Zahl, die jedem Kleinunternehmer Unbehagen bereiten sollte: Ein typischer Betrugsfall in einem Unternehmen mit weniger als 100 Mitarbeitern kostet 141.000 $. Das ist kein extremer Ausreißer im schlimmsten Fall. Es ist der Median – die Hälfte aller Betrugsfälle in kleinen Unternehmen kostet mehr. Und die Täter sind selten Fremde. Es ist die vertrauenswürdige Buchhaltungskraft, die seit Jahren dabei ist, der Büroleiter, der „sich um den ganzen Kram kümmert“, oder der eine Mitarbeiter, der genau weiß, wo alles zu finden ist.
Die Lehrbuchantwort auf dieses Risiko lautet Funktionstrennung (Segregation of Duties): Lassen Sie niemals eine einzelne Person eine Transaktion von Anfang bis Ende kontrollieren. Das Lehrbuch geht zudem davon aus, dass Sie eine Finanzabteilung haben. Sie haben drei Mitarbeiter. Vielleicht zwei. Vielleicht sind es nur Sie, eine Teilzeit-Buchhaltungskraft und eine Aushilfe am Telefon.
Die eigentliche Frage lautet also: Wie bauen Sie Kontrollen auf, die Diebstahl tatsächlich verhindern, wenn Sie schlichtweg nicht jede Aufgabe einer anderen Person übertragen können? Die Antwort lautet nicht „Aufgeben“. Sie lautet „Seien Sie gezielt“. Dieser Leitfaden zeigt Ihnen, wie das geht.
Warum kleine Unternehmen die einfachsten Ziele sind
Betrugsforscher stellen immer wieder fest, dass kleinere Organisationen überproportional leiden. Sie werden von demselben Median-Verlust getroffen wie viel größere Unternehmen, haben aber nur einen Bruchteil des Umsatzes, um dies abzufedern. Ein Verlust von 141.000 kann es den Unterschied zwischen der Gehaltszahlung und der Schließung bedeuten.
Der Grund ist nicht, dass Mitarbeiter in kleinen Unternehmen unehrlicher sind. Es ist die Gelegenheit. Kleine Unternehmen haben weniger Kontrollen zur Betrugsprävention, geringere Budgets, um in diese zu investieren, und eine Vertrauenskultur, in der sich Aufsicht wie eine Beleidigung anfühlt. Die Methoden, die in diesem Umfeld florieren, sind banal: Abrechnungsbetrug (Zahlung gefälschter oder überhöhter Rechnungen), Scheck- und Zahlungsmanipulation, aufgeblähte Reisekostenabrechnungen und das Abzweigen von Bargeld, bevor es überhaupt verbucht wird. Nichts davon erfordert Raffinesse. Es ist lediglich erforderlich, dass eine Person eine Aufgabe ausführen und diese gleichzeitig verbergen kann.
Dieser letzte Satz beschreibt das gesamte Konzept. Betrug benötigt sowohl die Tat als auch die Verschleierung. Die Funktionstrennung funktioniert, indem sie sicherstellt, dass die Person, die die Tat begehen könnte, nicht dieselbe ist, die sie verbergen könnte.
Die vier Funktionen, die Sie trennen müssen
Bevor Sie Aufgaben aufteilen können, müssen Sie wissen, was Sie überhaupt aufteilen. Buchhalter unterteilen jede Finanztransaktion in vier Funktionen, und das Ziel ist es, diese in verschiedenen Händen zu halten.
Genehmigung (Authorization) ist das Bestätigen, dass eine Transaktion stattfinden soll – die Freigabe einer Bestellung, die Zulassung eines neuen Lieferanten, die Bestätigung einer Rückerstattung.
Verwahrung (Custody) ist die physische oder digitale Kontrolle über den Vermögenswert selbst – der Umgang mit Bargeld, das Aufbewahren unterschriebener Schecks, der Besitz des Bank-Passworts, die Kontrolle über den Lagerbestand.
Buchführung (Recordkeeping) ist das Erfassen der Transaktion in den Büchern – das Buchen der Rechnung, das Erfassen der Zahlung, das Erstellen der Journalbuchung.
Abstimmung (Reconciliation) ist der Vergleich der Aufzeichnungen mit einer unabhängigen Quelle – der Abgleich des Buchhaltungskontos mit dem Bankauszug am Monatsende.
Das Prinzip ist einfach: Keine einzelne Person sollte mehr als eine dieser Funktionen für dieselbe Transaktion kontrollieren. Wenn Funktionen getrennt sind, wird ein Fehler oder Diebstahl, der in einer Funktion entstanden ist, von einer anderen Person bei einer Gegenprüfung entdeckt. Die Buchhaltungskraft, die eine gefälschte Zahlung erfasst, darf nicht auch diejenige sein, die das Bankkonto abstimmt, da die Abstimmung die Zahlung aufdecken würde.
Die gefährlichen Kombinationen sind vorhersehbar. Wer sowohl Verwahrung als auch Buchführung innehat, kann einen Vermögenswert stehlen und die Beweise löschen. Wer über Genehmigung und Verwahrung verfügt, kann eine Zahlung an sich selbst genehmigen und diese dann entgegennehmen. Wer Genehmigung und Buchführung vereint, kann eine fiktive Transaktion genehmigen und sie in den Büchern verschwinden lassen. Wenn Ihre einzige Buchhaltungskraft Schecks ausstellt, diese verbucht und das Konto abstimmt, hält diese Person alle vier Funktionen inne. Das ist keine Kontrollschwäche. Das ist gar keine Kontrolle.
Wie „Trennung“ mit drei Personen tatsächlich aussieht
Die klassische Aufteilung nach Lehrbuch benötigt vier oder fünf Personen. Die haben Sie nicht. Also trennen Sie die Funktionen, die Sie können, und akzeptieren Sie, dass der Rest eine andere Art von Kontrolle benötigt. Die gute Nachricht ist, dass selbst eine einzige saubere Trennung die gefährlichsten Türen schließt.
Die wichtigste einzelne Trennung in einem kleinen Unternehmen ist Verwahrung versus Buchführung. Wenn die Person, die das Geld anfasst, nicht die Person ist, die das Geld verbucht, haben Sie die häufigste Form der Unterschlagung mit einem Schlag eliminiert. In der Praxis:
- Die Buchhaltungskraft erfasst Transaktionen, hat aber keine Zeichnungsberechtigung für das Bankkonto und wickelt keine Bareinzahlungen ab.
- Der Inhaber (oder ein zweiter Mitarbeiter) unterschreibt Schecks, genehmigt den Zahlungslauf und verfügt über die Bank-Zugangsdaten.
- Wer die Post öffnet und eingehende Schecks protokolliert, ist nicht die Person, die Kundenzahlungen im Hauptbuch verbucht.
Die zweite Priorität ist es, die Abstimmung unabhängig zu halten. Die Bankabstimmung ist die Hauptkontrolle für alles. Wenn sie ehrlich von jemandem durchgeführt wird, der die Aufzeichnungen nicht erstellt hat, übersteht fast keine Betrugsmasche einen Monat. Daher sollte der Inhaber – nicht die Buchhaltung – den Bankauszug erhalten und die Abstimmung entweder selbst durchführen oder Zeile für Zeile prüfen. Diese eine Gewohnheit, die eine Stunde im Monat kostet, deckt Scheckmanipulationen, Geisterzahlungen und ungeklärte Überweisungen auf.
Ein praktikables Drei-Personen-Modell sieht oft so aus: Der Inhaber übernimmt die Genehmigung (Freigabe von Lieferanten, Zahlungen und Gehaltsänderungen) und die Abstimmung. Die Buchhaltungskraft übernimmt die Buchführung. Ein zweiter Mitarbeiter – oder wieder der Inhaber – übernimmt die Verwahrung von Bargeld und Schecks. Beachten Sie, dass der Inhaber zweimal vorkommt. Das ist in Ordnung. Dass der Inhaber sowohl für die Genehmigung als auch für die Abstimmung zuständig ist, ist weitaus weniger gefährlich, als wenn die Buchhaltung sowohl die Verwahrung als auch die Buchführung übernimmt, denn die Kombination aus Genehmigung und Abstimmung erlaubt es einem nicht, im normalen Arbeitsablauf sowohl zu stehlen als auch zu vertuschen.
Kompensierende Kontrollen: Das echte Werkzeugset
Wenn man eine Funktion nicht trennen kann, kompensiert man. Kompensierende Kontrollen verhindern nicht, dass eine Person eine Aufgabe erledigt – sie machen es überwältigend wahrscheinlich, dass Fehlverhalten bemerkt wird. Für kleine Unternehmen sind dies keine Notlösungen. Sie sind das Hauptereignis.
Überprüfung des ungeöffneten Kontoauszugs durch den Inhaber. Lassen Sie sich den Kontoauszug nach Hause schicken oder loggen Sie sich selbst ein, bevor es jemand anderes tut. Nehmen Sie sich zwanzig Minuten Zeit, um jedes Scheckbild und jede elektronische Zahlung zu scannen. Suchen Sie nach Zahlungsempfängern, die Sie nicht kennen, runden Beträgen, Zahlungen an Mitarbeiter und allem, was knapp unter einer Genehmigungsschwelle liegt. Betrugsstudien zeigen immer wieder, dass die Aufsicht auf Inhaberebene eine der wenigen Kontrollen ist, die Verluste in kleinen Unternehmen konsequent verringert.
Zweifache Genehmigung ab einem Schwellenwert. Verlangen Sie von zwei Personen die Genehmigung jeder Zahlung über einem festgelegten Betrag. Wählen Sie einen Schwellenwert basierend auf Ihrem Cashflow – viele kleine Unternehmen nutzen 1.000 €, Startups gehen oft niedriger. Die meisten Buchhaltungs- und Zahlungssoftware-Lösungen ermöglichen es, dies automatisch zu erzwingen, damit es nicht übersprungen werden kann.
Überprüfung durch einen externen Buchhalter. Eine monatliche oder vierteljährliche Überprüfung durch einen externen Buchhalter oder einen Teilzeit-Controller ist eine wirksame kompensierende Kontrolle, gerade weil diese Person kein Interesse daran hat, etwas zu verbergen. Sie können den Kontenabgleich überprüfen, die Lieferantenliste auf Neuzugänge scannen und stichprobenartig Transaktionen prüfen. Dies ist oft der bestinvestierte Euro, den ein kleines Unternehmen für die Betrugsprävention ausgibt.
Zwangsurlaub und Vertretungsregelungen. Viele Betrugsfälle fliegen auf, wenn der Täter abwesend ist und jemand anderes seine Arbeit übernimmt. Verlangen Sie von Ihrem Buchhalter, eine ununterbrochene Woche Urlaub zu nehmen, und lassen Sie die Aufgabe von jemand anderem übernehmen. Betrug hängt von kontinuierlicher Kontrolle ab; eine erzwungene Unterbrechung bricht diese.
Eingeschränkte Stammdaten. Die Fähigkeit, einen neuen Lieferanten hinzuzufügen, die Bankverbindung eines Lieferanten zu ändern oder einen neuen Mitarbeiter anzulegen, ist eine eigene Form der Autorisierung. Schränken Sie dies ein. Eine überraschende Menge an Abrechnungsbetrug besteht lediglich aus einem echt aussehenden Lieferanten, den der Betrüger angelegt hat. Das Hinzufügen eines Lieferanten sollte die Freigabe durch jemanden erfordern, der nicht die Person ist, die die Zahlungen an Lieferanten vornimmt.
Systemgestützte Prüfpfade. Verwenden Sie Software, die protokolliert, wer jede Transaktion eingegeben, bearbeitet oder gelöscht hat, und machen Sie dieses Protokoll unveränderlich. Wenn jeder weiß, dass seine Handlungen dauerhaft unter seinem Namen aufgezeichnet werden, ändert sich die Kalkulation für Betrug. Verheimlichung wird viel schwieriger, und das ist die halbe Miete.
Eine praktische Checkliste für den Anfang
Sie müssen diese Woche nicht Ihren gesamten Betrieb umgestalten. Fangen Sie hier an:
- Listen Sie auf, wer was macht. Notieren Sie jede Person und welche der vier Funktionen sie berührt. Markieren Sie jeden, der sowohl die Verwahrung als auch die Buchführung innehat – das ist das erste Problem, das Sie lösen müssen.
- Entziehen Sie Ihrem Buchhalter den Bankzugang, wenn dieser auch Transaktionen erfasst. Der Inhaber behält die Verfügungsgewalt über die Bankzugangsdaten.
- Beanspruchen Sie den Kontoauszug. Ab nächstem Monat sehen Sie ihn zuerst und prüfen ihn, bevor jemand den Abgleich vornimmt.
- Legen Sie einen Schwellenwert für die zweifache Genehmigung fest und aktivieren Sie diesen in Ihrer Software.
- Sperren Sie die Anlage von Lieferanten und Lohnabrechnungen hinter einer Inhabergenehmigung.
- Planen Sie eine externe Überprüfung – selbst vierteljährlich ist sinnvoll.
- Tragen Sie einen echten Urlaub in den Kalender ein für denjenigen, der die Bücher führt.
Keiner dieser Schritte erfordert Neueinstellungen. Sie erfordern die Entscheidung, dass Vertrauen und Überprüfung keine Gegensätze sind – und dass die Überprüfung Ihres vertrauenswürdigsten Mitarbeiters eine Höflichkeit ihm gegenüber ist, da sie ihn ebenso vor Verdacht schützt, wie sie Sie vor Verlusten schützt.
Halten Sie Ihre Finanzen vom ersten Tag an organisiert
Starke interne Kontrollen hängen von Aufzeichnungen ab, die vollständig, zeitgestempelt und schwer unbemerkt zu ändern sind. Genau hier spielt Ihr Buchhaltungssystem eine Rolle: Wenn Ihre Bücher eine Blackbox sind, die nur eine Person versteht, kann keine kompensierende Kontrolle hineinsehen. Beancount.io bietet Plain-Text-Buchhaltung, die transparent und versionskontrolliert ist – jede Änderung wird nachverfolgt, jeder Eintrag ist lesbar und die gesamte Historie ist für jeden prüfbar, dem Sie vertrauen. Das macht unabhängige Überprüfungen, Abstimmungen und Prüfpfade in einem kleinen Team dramatisch einfacher durchsetzbar. Starten Sie kostenlos und sehen Sie, warum Entwickler und Finanzprofis auf Plain-Text-Buchhaltung umsteigen.
Quellen: ACFE Occupational Fraud 2024: A Report to the Nations; Improving Internal Controls in Departments with Limited Segregation of Duties — Lutz; Segregation of Duties — Hyperproof.