Die 3 wichtigsten Bereiche der Betrugsprävention im Treasury-Management

Ist es endlich so weit? Können Corporate Treasurer und Cash-Manager sich jetzt etwas zurücklehnen, wenn es um die Betrugsprävention geht? Immerhin ist laut einer AFP-Studie aus dem Jahr 2022 nicht nur der Betrug im Zahlungsverkehr seit 2018 zurückgegangen. Und auch das Arbeiten im Homeoffice spielte bei dieser Art von Betrug 2021 offenbar keine nennenswerte Rolle. Heißt das also, das Treasury-Management kann sich nun anderen Geschäftsprioritäten zuwenden?

Die Antwort lautet eindeutig nein. Eine drohende Rezession kann das Betrugsrisiko erhöhen und Treasurer und Cash-Manager in eine schwierige Lage bringen. So sind etwa Entlassungen oft eine echte Belastungsprobe für die internen Kontrollsysteme. Und wenn der finanzielle Druck steigt, greift so mancher im Unternehmen mitunter zu verzweifelten oder sogar skrupellosen Maßnahmen, um im Budget zu bleiben.

Treasurer und Cash-Manager wissen, dass sie sich dem Thema Betrugsprävention stellen müssen. Das Angebot an Tools zur Betrugsbekämpfung war noch nie so groß wie heute. Zuallererst sollte bei den Systemen, Prozessen und Beschäftigten im Unternehmen angesetzt werden. Sehen wir uns diese wichtigen Bereiche einmal näher an.

1. Systeme

Ein Treasury-Management-System (TMS) im Unternehmen garantiert nicht automatisch eine hieb- und stichfeste Betrugsprävention. Zunächst sollte man zwei Dinge kennen: die zentralen und dezentralen Abläufe der Zahlungsabwicklung und die Systemlandschaft des Unternehmens. Stellen Sie sich folgende Fragen:

• Welche Systeme existieren und wie sind die Arbeitsabläufe? (Gibt es zum Beispiel ein System für die Zahlungsverarbeitung und eins für das Liquiditätsmanagement? Können bestimmte Abläufe unterbrochen oder gestoppt werden?) 
• Haben Sie volle Transparenz über alle Transaktionen im Unternehmen? (Treasurer und Cash-Manager müssen wissen, was reinkommt und was rausgeht.) 
• Was wird derzeit getan, um Betrug zu unterbinden? (Das können beispielsweise prozessbezogene oder technische Maßnahmen wie die Trennung von Funktionen oder eine mehrstufige Authentifizierung und IP-Beschränkungen sein.) 

Wenn ein zentrales System mit vielen anderen lokalen Tools kombiniert wird, erschwert dies die Einrichtung und Durchsetzung verlässlicher unternehmensweiter Kontrollen. Werden lokale Gesellschaften und Bankkonten nicht in einem TMS verwaltet, ist es ein Leichtes, Marktdaten, Kontoauszüge und Geschäftsprotokolle zu manipulieren. Ist das System nicht vernetzt (oder gar kein System vorhanden), können Kriminelle Bankkonten eröffnen und unbemerkt Zahlungen vornehmen, da man am Firmensitz nichts von dem Konto weiß und keine Kontrollen einrichten kann. Prozesse lassen sich zwar je nach Betriebsmodell zentralisieren oder dezentralisieren, aber eine zentralisierte Transparenz ist entscheidend.

Bei Coupa Treasury wissen wir zudem aus Erfahrung, dass ein Großteil des Betrugsrisikos auf einem geringen Anteil des Unternehmens — nämlich auf den lokalen Gesellschaften — lastet. Denn die Wahrscheinlichkeit, in das Visier von Hackern und anderen Tätern zu geraten, ist bei lokalen Gesellschaften deutlich höher als beim Firmensitz.

Unregelmäßigkeiten oder Schwachstellen im Unternehmen lassen sich nur schwer erkennen, wenn der Überblick über Cashflows begrenzt ist. Eine integrierte Plattform für das Business Spend Management (BSM), die der Kreditorenbuchhaltung Zahlungsdaten in Echtzeit bereitstellt, bietet Treasurern und Cash-Managern Einblick in Ausgabemuster. Und was am wichtigsten ist: Ein System ohne geeignete mehrstufige Authentifizierung — wie strenge SSO-Zugriffssteuerungen gekoppelt mit IP-Beschränkungen und einer tokenbasierten Anmeldung — schafft Schwachstellen. Wenn das System also nicht auf dem neuesten Stand ist, kann das Treasury auch keine risikoarmen Prozesse gewährleisten.

2. Prozesse

Der Begriff „Prozess“ deckt einen großen Bereich des Treasury-Managements ab. Generell lassen sich Treasury-Management-Prozesse in drei große Gruppen unterteilen. Und in jeder dieser Gruppen spielt Sicherheit eine wesentliche Rolle:

• Erstellung der Zahlungsdatei: Woher stammt die Datei? Wer war an der Erstellung und Versendung beteiligt? Wie werden Lieferanteninformationen von den Beschäftigten geprüft und bestätigt?
• Genehmigung von Zahlungen und Zahlungsdateien: Wer genehmigt die Dateien und Zahlungen? Welche Beschäftigten haben welche Genehmigungsrechte? Befolgen alle mindestens das Vier-Augen-Prinzip?  
• Zahlungsablauf vom Treasury des Unternehmens zur Bank: Welche Sicherheitselemente und Barrieren wurden eingerichtet? Wer von den Beschäftigten hat über Bankvollmachten und Zeichnungsrechte „Zugriff“ auf eine Zahlung? 

Prozesse können nur dann sicher sein, wenn sie von vornherein auf Transparenz ausgelegt sind. Durch eine klare Funktionstrennung (Segregation of Duties, SOD) lässt sich verhindern, dass Beschäftigte Betrügereien und Fehler begehen oder diese vertuschen können. Die meisten Unternehmen mit Treasury-Abteilungen haben sich für diesen Ansatz entschieden. Neue Benutzer müssen danach sowohl vom Leiter des Treasury als auch von einem separaten Administrator aus der HR- oder IT-Abteilung im System genehmigt werden, bevor sie auf das TMS zugreifen können — und zwar unabhängig von den Modulen, mit denen sie tatsächlich arbeiten werden (z. B. für Cash-Transparenz, Zahlungen, Devisengeschäfte und Schulden).

Eine unternehmensweite Plattform hilft außerdem, Transparenz zu schaffen und durchzusetzen. Treasurer und Cash-Manager können damit Prozesse standardisieren. Außerdem werden Betrugsversuche an sämtlichen Bankzugängen durch systematische Kontrollmechanismen verhindert. Maßnahmen wie dynamische Allowlists, die Nutzung von KI und Community-Daten sowie eine strenge Überwachung sind schneller, wirksamer und kostengünstiger als stichprobenartige, manuelle Überprüfungen nach einem konkreten Betrugsfall.

Dynamische Allowlists

Mit zunehmender Unternehmensgröße wächst auch die Komplexität der Banken- und Lieferantenlandschaft. Aufgaben, die früher manuell erledigt werden konnten, werden dann extrem zeitaufwändig und fehleranfällig, sei es die Empfängerangaben von Lieferanten zu überprüfen, sicherzustellen, dass keine falschen Begünstigten zum Stammdatensatz hinzugefügt wurden oder Zahlungen in Regionen zu stoppen, die von Sanktionen betroffen sind. Dynamische und KI-gestützte Allowlists können die Betrugsprävention in wachsenden Unternehmen tatsächlich tiefgreifend verändern.

Solche Listen stellen sicher, dass vom System nur Zahlungen an überprüfte Zahlungsempfänger auf der Liste durchgeführt werden. Alle weiteren Zahlungen erfordern eine zusätzliche Prüfung. Zum Erstellen von Allowlists werden alle als vertrauenswürdig eingestuften Bankkontoverbindungen des Konzerns zusammengeführt und diese Informationen dann als Filter genutzt. Optimale Allowlists sind dynamisch — das heißt, sie gehen über die reine Filterung hinaus. So lassen sich beispielsweise über zusätzliche, im System integrierte Prüfmechanismen Zahlungen mit Sanktions- und Embargolisten abgleichen, bevor vor einer möglichen illegalen Zahlung gewarnt wird.

KI und Community-Daten

KI-gestützte TMS gewährleisten eine leistungsstarke Betrugserkennung. Damit können große Zahlungsmengen proaktiv und extrem schnell überprüft werden. Manuelle Prozesse können da nicht mithalten. Die von Coupa entwickelte KI ermittelt Transaktionen, die einzeln betrachtet nicht verdächtig erscheinen, bei einer Gesamtprüfung jedoch auf regelwidriges Verhalten hinweisen.

Diese künstliche Intelligenz steht auch hinter der einzigartigen Community.ai-Funktion von Coupa. Dabei handelt es sich um eine Reihe von Innovationen, die Transaktionsdaten von mehr als 3.000 Kunden und über die Plattform abgewickelte Ausgaben in Höhe von insgesamt 4 Billionen Dollar zusammenfasst, anonymisiert und analysiert. Die Community-Daten liefern Treasurern und Cash-Managern Einblicke in Anbieterbewertungen, mit deren Hilfe sie beispielsweise riskante Lieferanten ermitteln oder abweichende und möglicherweise betrügerische Zahlungsangaben ans Licht bringen können.

Strenge Überwachung

Natürlich können Banken und Unternehmen Betrugsfälle gemeinsam eindämmen und verhindern, doch die Unternehmen müssen hier die Initiative ergreifen. Und zwar aus zwei Gründen: Banken überprüfen natürlich bestimmte Zahlungen, doch am Ende verlieren Unternehmen das Geld und nicht die Bank. Außerdem verlassen sich Banken auf Bankvollmachten. Wenn eine Zahlungsanweisung eingeht und die Vollmacht gültig ist, wird sie von der Bank ausgeführt, denn schließlich können Bankangestellte nicht überprüfen, ob die bevollmächtigte Person noch im Unternehmen tätig ist oder nicht.

Eine strenge, transparente Überwachung ist unerlässlich, und sie sollte Genehmigungsprozesse und Bankvollmachten einschließen. 

Zahlungsgenehmigungen sollten mindestens Folgendes vorsehen:

• Klare Funktionstrennung/SOD (wie oben erklärt), um riskante Praktiken wie die Eingabe von Einzelzahlungen durch die Beschäftigten zu verhindern
• Einführung von Pflichtformularen, um Tippfehlern oder Änderungen an internationalen Kontonummern (IBAN) vorzubeugen 
• Festlegung, wer welche Ausgaben ausführen darf, zum Beispiel reine Eingabe von Zahlungen, Eingabe und Genehmigung von Zahlungen sowie Eingabe oder Änderung von Formularen für Zahlungsanweisungen
• Festlegung von Grenzen für Zahlungsgenehmigungen und Zeichnungsrechte (etwa das Zuweisen von Rechten auf Ebene des Bankkontos, das Festlegen von Obergrenzen für Beschäftigte, Buchhalter und Devisen und das Einrichten verschiedener Unterschriftsebenen auf der Bankvollmacht)

Ein System wie Coupa Treasury verbessert mit zusätzlichen doppelten Genehmigungsketten die Sicherheit. Hierzu gehören beispielsweise mehrere Zugangsebenen mit eingeschränkten Zeichnungsrechten für Benutzer sowie Zahlungslimits. Ein weiterer Schritt sind Token-Anmeldungen und zweistufige Authentifizierungen, die greifen, wenn Beschäftigte versuchen, Zahlungsdaten einzugeben.

Unternehmen können das Betrugsrisiko auch mit einer proaktiven Verwaltung von Bankvollmachten reduzieren. Treasury-Abteilungen sollten sicherstellen, dass:

• Bankvollmachten sofort gesperrt werden, wenn die betreffenden Beschäftigten das Unternehmen verlassen
• Zeichnungsrechte wie das Hinzufügen eines neuen Bankkontos, das Ändern der Art des Bankkontos und das Hinzufügen von Bankdienstleistungen in der Vollmacht klar zugewiesen sind 

3. Beschäftigte 

Betrug wird letzten Endes von Menschen begangen — und häufiger noch von den Beschäftigten des Unternehmens. Wie etwa von einem Mann, der – inspiriert vom Film „Alles Routine“ – mit einem Computervirus kleine Summen vom Konto seines Arbeitgebers auf sein persönliches Konto überwiesen hat. Er konnte damit insgesamt 300.000 Dollar erbeuten, bevor er aufflog. Dieses Beispiel zeigt, warum sich die Betrugsprävention im Unternehmen vorrangig auf die Beschäftigten konzentrieren sollte. Und das ganz besonders, wenn es um die Veruntreuung von Vermögenswerten geht. Der oben geschilderte Fall setzt natürlich ein vorsätzliches Handeln von Beschäftigten voraus. Andere Methoden setzen auf die Leichtgläubigkeit Einzelner, wie etwa bei der immer beliebter werdenden Betrugsmethode Business Email Compromise (BEC), mit der gefälschte geschäftliche Phishing-Mails gesendet werden.

Veruntreuung von Vermögenswerten verhindern

Die häufigste Form von internem Betrug durch Beschäftigte ist die Veruntreuung von Vermögenswerten. Laut einer von der Association of Certified Fraud Examiners (ACFE) durchgeführten Studie machte diese 2022 insgesamt 86 % der Betrugsfälle aus. Gängige Taktiken sind Falschabrechnungen, das Entwenden von Lagerbeständen, Diebstahl von durchlaufenden Zahlungen sowie Scheckfälschungen.

Welche Beschäftigten sind am ehesten in Betrügereien verwickelt? Meist sind es solche in höheren Positionen, was überraschen mag. Wie gelingt es ihnen, zu betrügen? Fast die Hälfte der von Beschäftigten begangenen Betrugsfälle sind auf fehlende interne Kontrollen zurückzuführen – oder auf die Möglichkeit, solche Kontrollen zu umgehen. Betrug, selbst durch Führungskräfte, lässt sich am besten eindämmen, indem sichere Zahlungsvorgänge durch Maßnahmen wie Allowlists, KI und eine strenge Überwachung gewährleistet werden. Mit einer mehrfachen Prüfung durch verschiedene Personen auf allen Ebenen können Treasury-Abteilungen das Risiko veruntreuter Vermögenswerte reduzieren.

42 % der Betrugsfälle wurden durch Hinweise von Beschäftigten, Kunden, Lieferanten und anonymen Informanten aufgedeckt. Das sind fast dreimal so viel wie bei der zweitbeliebtesten Methode. Führt man sich dies vor Augen, wird klar, dass ein solider Zahlungsprozess mit einer Betrugshotline helfen kann, interne Betrugsversuche besser zu vereiteln.

Schutz vor Betrug durch gefälschte Mails

Mit der Verlagerung von Unternehmensabläufen ins Internet zu Beginn der Pandemie nutzten Betrüger verstärkt die BEC-Methode. Hierbei werden Beschäftigte über gehackte geschäftliche oder private E-Mailkonten per Mail aufgefordert, Geld zu überweisen.

Laut FBI sind solche Phishing-Angriffe durch BEC die weltweit am schnellsten wachsende Betrugsmethode. Und die Täter gehen dabei immer raffinierter vor. So nutzen Betrüger jetzt virtuelle Arbeitsbesprechungen, um Beschäftigte reinzulegen. Nachdem sie erfolgreich das E-Mail-Konto des CEO oder des Finanzleiters geknackt haben, laden sie Beschäftigte mit einer gefälschten Nachricht in eine virtuelle Besprechung ein, um die Überweisung anzustoßen. Sie verwenden ein Standbild der vermeintlichen Führungskraft und geben vor, dass der Ton nicht funktioniert, oder sie nutzen die „Deepfake“-Technik. Und diese Tricks scheinen zu funktionieren. Denn durch BEC-Betrügereien und gehackte E-Mail-Konten (Email Account Compromise, EAC) entstanden 2021 bei Unternehmen weltweit Verluste in Höhe von über zwei Milliarden Dollar. 

Was kann das Treasury tun, um dies zu verhindern? 

• Bewusstsein schaffen. Viele Beschäftigte sind sich der alarmierenden Anzahl an Cyberangriffen, denen sie täglich ausgesetzt sind, nicht bewusst. Führen Sie regelmäßig Schulungen durch oder versenden Sie quartalsweise Newsletter, um über neue Trends, Merkmale von bestimmten Betrügereien und Maßnahmen zu informieren, mit denen sich die Beschäftigten schützen können.  
• Phishing-Simulatoren verwenden. Am besten lernt man durch eine persönliche Erfahrung, wie sich Betrug verhindern lässt. Unternehmen können über einen Phishing-Simulator kontrollierte Phishing-Versuche an ihre Beschäftigten senden und die Reaktionen auswerten. Ein solches Tool hilft, diese Art von Betrugsversuchen besser zu erkennen.
• Zahlungsprozesse schützen. Betrugsmethoden wie diese lassen sich am besten durch eine klare Funktionstrennung bei den Zahlungsprozessen verhindern. Selbst wenn ein Beschäftigter unwissentlich eine erschlichene Zahlungsanweisung absendet, ist das Risiko, dass sie jemals ausgeführt wird, geringer, wenn eine separate Genehmigung erforderlich ist. Die Funktionstrennung kann wie das Vier-Augen-Prinzip einfach gehalten werden. Bei höheren Beträgen ist eine stärkere Differenzierung möglich, indem mehrere Personen verschiedener Gruppen einbezogen werden.

Unternehmen, die strukturelle und automatische Sicherheitsmaßnahmen einrichten und ihre Beschäftigten sensibilisieren, sind weniger anfällig für neue Betrugsmaschen.

Treasurer und Cash-Manager: Mit dem richtigen Tool immer einen Schritt voraus

In wirtschaftlich turbulenten Zeiten kann sich das Betrugsrisiko erhöhen. Deshalb ist es für Treasury-Abteilungen wichtiger denn je, die Systeme, Prozesse und Beschäftigten im Unternehmen genau zu prüfen – vom Firmensitz bis zum kleinsten Betrieb. Coupa Treasury hilft, alle drei Bereiche zu schützen und gleichzeitig Kosten zu senken. Zum Beispiel bei Bilfinger. Das Bauunternehmen konnte mit Coupa Treasury 15 % an Bankgebühren sparen und die Transparenz und Sicherheit der Unternehmensprozesse um 100 % steigern.