Montag, 29. April 2024

Die Stichprobenauswahl bei Kontrollen im Einkauf

Wie kann eine angemessene Stichprobenauswahl bei Kontrollen im Einkauf erfolgen?

Florian Fuhrig, Stellv. Gruppen-Geldwäschebeauftragter, Stab Unternehmenscompliance, Investitionsbank Berlin

 

Die Verpflichteten nach dem Geldwäschegesetz haben eine institutsspezifische Risikoanalyse zu erstellen und regelmäßig (mindestens jährlich) zu aktualisieren. Dies geschieht in Abhängigkeit von Art und Umfang der jeweiligen Geschäftstätigkeit des Verpflichteten. Der Zweck der Risikoanalyse ist es, die individuellen Risiken in Bezug auf

  • Geldwäsche,
  • Terrorismusfinanzierung
  • (und strafbare Handlungen zulasten des Institutes, sofern § 25h KWG einschlägig)

zu erfassen, zu identifizieren, zu kategorisieren und zu gewichten.

Aus der Risikoanalyse wird dann für Dritte nachvollziehbar ein Kontrollplan abgeleitet. Dessen Ziel wiederum ist es, nach Kontrolldurchführung eine valide Aussage darüber zu treffen, ob die internen geschäfts- und kundenbezogenen Sicherungsmaßnahmen tatsächlich angemessen und wirksam sind, um die Risiken zu steuern und bestenfalls zu mitigieren.

In diesem Beitrag soll es jedoch weder um die Risikoanalyse als solche, noch um den Kontrollplan und die damit verbundenen Herausforderungen gehen.

 

Die Herleitung der Stichprobe bei einer speziellen Kontrollhandlung

Bei der Stichprobenart gibt es verschiedene Varianten, bspw.: Zufallsstichprobe, bewusste Auswahl, willkürliche Auswahl.

Möglicherweise ergibt der risikobasierte Kontrollplan ein Prüffeld im Bereich der strafbaren Handlungen bzgl. der Beschaffungsvorgänge im Einkauf. Hier kann auch die gesellschaftsrechtliche Struktur des Verpflichteten einen nennenswerten Einfluss haben. Die Träger der in Deutschland ansässigen Förderbanken sind bspw. die jeweiligen Länder. Im Einkauf werden daher öffentliche Mittel verwendet. Die Angestellten der Förderbanken sind weiterhin regelmäßig Amtsträger, hier sei auf § 839 BGB Haftung bei Amtspflichtverletzung verwiesen. Neben Betrugs- und Untreuetatbeständen besteht hier auch ein nicht zu unterschätzendes Reputationsrisiko für das Unternehmen.

Neben der Prüfung auf Einhaltung der SFO ergeben sich daher besonders bei der Auswahl der Kontrollfälle einige individuelle Ansätze bei der bewussten Auswahl. Einige werden nachfolgend aufgelistet. Selbstverständlich sind die Ausführungen auch für Unternehmen anwendbar, welche nicht den Pflichten des § 25h KWG unterliegen:

  • Es ging nur ein Angebot ein, obwohl der Auftragswert nicht als gering einzustufen ist.
    • Bsp.: Beschaffung von 1.000 Notebooks zu je 700 €
  • Eine angebliche „Alleinstellung“ lässt sich ad hoc nur schwer/nicht nachvollziehen.
    • Bsp.: Beschaffung einer HR-Software
  • Die Preise (pro Stück, pro Stunde, pro Einheit, etc.), speziell bei Direktvergaben, entsprechen nicht den Marktpreisen.
    • Bsp.: T-Shirt mit Firmenlogo für 100 € pro Stück, Stundensatz für Junior-Berater so hoch wie sonst für einen Partner üblich
  • Die Anzahl der bestellten Einheiten (Stück, Stunden, etc.) scheint nicht plausibel.
    • Bsp.: 300 Bürotische bei nur 100 Mitarbeitenden
  • Es erhält immer derselbe Lieferant den Zuschlag. Ggf. wurde das Angebot auch jeweils kurz vor Fristende eingereicht.
    • Bsp.: Bei externer Unterstützung des Fachbereichs wird immer dasselbe Unternehmen beauftragt und kurz vor Fristende wird das Angebot so abgegeben, dass der Auftragnehmer „nur knapp gewinnt“.
  • Die am Ende gelieferten/gezahlten Einheiten (Stück, Stunden, etc.) weichen massiv von der Bestellung ab.
    • Bsp.: Es sollten Türen für 500 € pro Stück beschafft werden und dann für 950 € pro Stück geliefert.
  • Es ergab sich eine erhebliche Differenz zwischen dem anfänglichen Schätzwert und dem tatsächlichen Auftragswert.
    • Bsp.: Bei der Beauftragung eines Externen werden 5.000 € geschätzt 
  • Aufträge werden seit Jahren ausschließlich einem Dienstleister zugeteilt.
    • Bsp.: Für regelmäßige Events wird immer derselbe Fotograf beauftragt.
  • Auftragnehmer werden mit „Diverse“ oder „Sonstige“ angegeben.
    • Bsp.: Der Auftrag für eine Dienstleistung wird nicht nachvollziehbar an „Diverse“ oder „Sonstige“ vergeben.
  • Die Anschrift des Auftragnehmers scheint auffällig (bspw. Postfach, Briefkastenadresse).
    • Bsp.: Die Firmenanschrift ist lediglich ein Postfach oder das Unternehmen hat seinen Sitz an einer für mietbare Briefkastenadressen bekannten Anschrift.

Diese Aufzählung ist selbstverständlich nicht abschließend, bietet jedoch erste Ansätze.

Weiterhin können sich die genannten Auffälligkeiten ggf. auch relativ schnell und nachvollziehbar begründen lassen, sodass nicht zwangsweise eine dolose Handlung vorliegt.

 

PRAXISTIPPS

  • Zusammenfassend lässt sich feststellen, dass durch eine bewusste Auswahl der Kontrollfälle die Wirksamkeit der Sicherungsmaßnahmen deutlich besser nachgewiesen werden kann.
  • Dies wiederum erhöht das Schutzniveau des Unternehmens und dessen Belegschaft.
  • Von einer standardisierten Auswahl wie „jeder x-te Fall“ ist folglich abzuraten.
  • Selbstverständlich ist die Durchführung der Kontrollhandlung, für Dritte nachvollziehbar, schriftlich zu dokumentieren.

Beitragsnummer: 22593

Beitrag teilen:

Produkte zum Thema:

Produkticon
Arbeitsbuch Prüfung Beauftragtenwesen 2. Auflage

89,00 € inkl. 7 %

Produkticon
TOP 10 Geldwäsche-Prüfungsfeststellungen 2024

399,00 € exkl. 19 %

28.05.2024

Beiträge zum Thema:

Beitragsicon
Cybersicherheit im Fokus: DORA und BCM als Säulen der Resilienz

In einer Welt, die zunehmend von digitalen Technologien geprägt ist, rücken Cybersicherheit und Resilienz immer stärker in den Mittelpunkt der strategischen U

02.05.2024

Beitragsicon
Aufbau eines effizienten IKS im IT-Bereich

Kontrollaspekte auf Basis BAIT, mit besonderem Fokus auf Rezertifizierung und den „High Level Controls“ für die Administratoren

29.08.2023

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.