Die wirtschaftlichen Auswirkungen der Corona-Krise sind enorm. Kurzarbeit ist vielerorts angesagt. Auch in der Revision. Dies vernachlässigt allerdings einen Aspekt: in dieser Ausnahmesituation sind Unternehmen – im Gegensatz zu „normalen“ Zeiten – jetzt ganz besonderen Risiken ausgesetzt. Und die Revision macht „Pause“? Das passt nicht zusammen! Wir haben uns umgehört und 8 erwähnenswerte Risiken zusammengetragen. Reflektieren Sie selbst und machen Sie den Check!
In diesen Zeiten ist viel verteiltes Arbeiten angesagt, etwa durch Home-Office. An Dienstreisen ist ehedem nicht zu denken. Das kann dazu führen, dass gewohnte und vorgeschriebene Arbeitsabläufe nicht mehr wie immer durchgeführt werden können. Es besteht also sozusagen ein latentes Prozessrisiko, welches auch den „Output“ der Geschäftsprozesse (negativ) beeinflussen kann.
Wir haben zunächst drei Phänomene betreffend die Beeinflussung der Arbeitsorganisation in Zeiten des Ausnahmezustands formuliert. Beurteilen Sie doch einmal selbst, wie Sie diese Phänomene in Ihrem Unternehmenskontext einschätzen.
Wie denken Sie über die folgenden Phänomene in Ihrer Firma? Mitarbeiter sehen sich nicht mehr persönlich, um sich rückzuversichern, dass Sachverhalte korrekt sind.*
- Kein Problem bei uns
- Kann schon ein Problem sein
- Definitiv ein Problem bei uns
Mitarbeiter kommen im Home-Office technisch oder prozessual nicht klar, weil es ungewohnt ist.*
- Kein Problem bei uns
- Kann schon ein Problem sein
- Definitiv ein Problem bei uns
Mitarbeiter nutzen die „Gunst der Stunde“ für opportunistisches Verhalten (Vernachlässigung der Arbeitszeit, unbeobachtete Momente in der Firma, etc.).*
- Kein Problem bei uns
- Kann schon ein Problem sein
- Definitiv ein Problem bei uns
Kommen wir nun zu den gesteigerten Risiken in den Firmen. Wir haben uns umgehört, um relevante Risiken in Erfahrung zu bringen. Dabei haben wir 8 Risiken in Unternehmensabläufen identifiziert, die in der Krise von gesteigerter Bedeutung sein könnten.
An dieser Stelle sei nochmal darauf hingewiesen, dass Sie den Großteil der nachfolgend dargestellten Risiken problemlos mit zap Audit analysieren können. Um Sie in diesen Zeiten zu unterstützen, bieten wir Ihnen eine zap Audit Professional Lizenz kostenfrei an (Angebot abgelaufen).
Risiko 1: Vermehre Nutzung von CPD (Conto-pro-Diverse) Kreditorenkonten
In der Krise müssen schnell mal unterschiedliche Dinge beschafft werden, die womöglich früher so nicht beschafft wurden. Bei neuen Lieferanten muss für gewöhnlich erstmal ein Kreditorenstammsatz samt Bankstammdaten angelegt werden. Alle im Home-Office, keiner da zum Fragen … schnell die Abkürzung nehmen und das Anlegen des Kreditorenstammsatzes erstmal auslassen und stattdessen die Verbindlichkeit über ein CPD-Sammelkonto abwickeln. CPD-Vorgänge sind jedoch häufig intransparent, weil ein Sammelkonto eben viele verschiedene Geschäftsvorfälle zusammenfasst. Wie schätzen Sie das Risiko der vermehren Nutzung von CPD Kreditorenkonten bei Ihnen im Unternehmen ein?
- Nicht höher als sonst
- Gesteigertes Risiko
- Stark gesteigertes Risiko
Risiko 2: Umgehung des Kreditorenprozesses (direkte Buchung Aufwand an Bank)
Beschaffungen können auch gänzlich ohne kreditorische Verbindlichkeiten und offene Posten durchgeführt werden. Wenn’s mal ganz schnell gehen muss, bar bezahlen oder auslegen und dann direkt Aufwand gegen Bank buchen. Dieses Vorgehen dürfte den Beschaffungsprozess nahezu vollständig „links liegenlassen“ und damit auch alle internen Kontrollen des Beschaffungswesens. Wie schätzen Sie das Risiko zur Umgehung von Kreditorenprozessen (direkte Buchung Aufwand an Bank) in Ihrem Unternehmen ein?
- Nicht höher als sonst
- Gesteigertes Risiko
- Stark gesteigertes Risiko
Risiko 3: Umgehung von Freigabeprozessen bei Beschaffungen
Dieses Risiko besteht am Anfang des Beschaffungsprozesses. Freigebene Personen sind nicht verfügbar wegen Kurzarbeit, Überstunden abbummeln oder was auch immer, aber das Geschäft muss weitergehen. Schon werden Genehmigungen übergangen. Wie schätzen Sie das Risiko zur Umgehung von Freigabeprozessen bei Beschaffungen in Ihrem Unternehmen ein?
- Nicht höher als sonst
- Gesteigertes Risiko
- Stark gesteigertes Risiko
Risiko 4: Vermehrte Fake Rechnungen
Vielen Geschäftsleuten steht das Wasser derzeit bis zum Hals. Wer weiß was alles passiert, wenn die Geschäftspartner von der Not getrieben wurden. Liquidität ist das Gebot der Stunde. Vielleicht schicken Lieferanten, die eine oder andere Fake-Rechnung und keiner bemerkt das in Zeiten des Ausnahmezustandes. Wie schätzen Sie das Risiko zu vermehrten Fake-Rechnungen in Ihrem Unternehmen ein?
- Nicht höher als sonst
- Gesteigertes Risiko
- Stark gesteigertes Risiko
Risiko 5: Manipulation von Bankstammdaten der Kreditoren
Auch Mitarbeiter merken schnell, dass die ökonomischen Einschläge näherkommen. Dies könnte die Moral „lockern“ und im Sinne des Fraud Triangles ein Motiv hergeben, um sich ein wenig Liquidität abzuzwacken und sich mal selber wie ein Lieferant bezahlen zu lassen. Im Chaos der Krise wird es eben auch Gelegenheit dazu geben. Wie schätzen Sie das Risiko zur Manipulation von Bankstammdaten der Kreditoren in Ihrem Unternehmen ein?
- Nicht höher als sonst
- Gesteigertes Risiko
- Stark gesteigertes Risiko
Risiko 6: CEO-Fraud (schnell einen hohen Betrag zahlen durch ad-hoc Anweisung)
CEO-Fraud ist der große Bruder des Enkeltricks. Nur geht es beim CEO-Fraud um größere Beträge. Plötzlich muss was bezahlt werden, denn es drängt in der Krise: Liquidität ist alles. Der CEO schreibt dem Buchhalter eine E-Mail mit dringender Bitte um Überweisung an z.B. eine seriöse Rechtsanwaltskanzlei. Normale Zahlprozesse und Kontrollen werden hektisch übergangen. Nur leider war es nicht der CEO der anfragte, obwohl die E-Mail sehr authentisch aussah. Das Geld ist auf jeden Fall erstmal weg. Wie schätzen Sie das Risiko zum CEO-Fraud (schnell einen hohen Betrag zahlen durch ad-hoc Anweisung) in Ihrem Unternehmen ein?
- Nicht höher als sonst
- Gesteigertes Risiko
- Stark gesteigertes Risiko
Risiko 7: Cyber-Attacken (insb. Phishing und Passwortklau)
Alle sind im Home-Office und müssen remote auf die Systeme zugreifen. Mit Kollegen wird über E-Mail kommuniziert und nicht mehr persönlich. Da kann man schon mal auf E-Mails reinfallen, die zum Ändern des Passworts für ein bestimmtes System auffordern. Und schon ist das Passwort beim Hacker gelandet, in diesem Fall bei der arglistigen Sorte von Hackern. Wie schätzen Sie das Risiko zu Cyber-Attacken (insb. Phishing und Passwortklau) in Ihrem Unternehmen ein?
- Nicht höher als sonst
- Gesteigertes Risiko
- Stark gesteigertes Risiko
Risiko 8: Diebstahl von Umlaufvermögen
Alle die können mussten ins Home-Office gehen. Eine Notbesetzung vor Ort braucht man aber dann doch im Lager. Fast keine Kollegen sind da, die Situation ist unbeobachtet. Da kann schon mal was wegkommen. Merkt ja eh keiner… Wie schätzen Sie das Risiko zu Diebstahl von Umlaufvermögen in Ihrem Unternehmen ein?
- Nicht höher als sonst
- Gesteigertes Risiko
- Stark gesteigertes Risiko
Jetzt sind Sie nochmal dran: Haben Sie weitere Ideen für gesteigerte Risiken? Sehen Sie noch weitere besondere Risiken in diesen Zeiten? Lassen Sie es uns wissen!
Wir freuen und über Ihre Teilnahme und werden bei reger Teilnahme mit einer Auswertung in einem der nächsten Blog Beiträge auf Sie zurückkommen.
Bleiben Sie gesund!
Nick Gehrke