Betrug kündigt sich selten an. ISO 37003 bietet Ihnen den Rahmen, um ihn aufzudecken.

Der Aufbau eines Betrugsbekämpfungssystems gemäß ISO 37003 beginnt damit, zu verstehen, wo Ihr Unternehmen Betrugsrisiken ausgesetzt ist. Der Schwerpunkt liegt zunächst auf einer Betrugsrisikobewertung – dabei werden interne und externe Betrugsrisiken über alle Aktivitäten, Rechtsräume und Geschäftspartner hinweg identifiziert und bewertet, wie diese Risiken derzeit kontrolliert werden.

Diese Bewertung deckt häufig Kontrollmechanismen auf, die eher auf die Vermeidung von Fehlern als auf die absichtliche Verschleierung ausgerichtet sind, sowie eine unzureichende Aufgabentrennung, begrenzte Aufdeckungsmöglichkeiten und das Fehlen einer klaren Zuständigkeit für das Betrugsrisiko.

Die Norm ISO 37003 bietet einen strukturierten Rahmen, um diese Elemente miteinander zu verknüpfen: die Bewertung des Betrugsrisikos, die Umsetzung von Präventions- und Aufdeckungsmaßnahmen, die Einrichtung von Meldemechanismen sowie die Festlegung klarer Reaktions- und Abhilfemaßnahmen.

Unternehmen führen die Norm ISO 37003 aus ganz bestimmten Gründen ein: um Betrugsverluste zu reduzieren, die Kontrollen in Bereichen mit hohem Risiko zu verstärken, Vorstände und Investoren zu beruhigen und gegenüber Aufsichtsbehörden und Partnern ein proaktives Betrugsrisikomanagement unter Beweis zu stellen.

Die Dauer hängt von der Größe der Organisation, der Komplexität der Geschäftsabläufe und dem Reifegrad der bestehenden Kontrollmechanismen ab. Die Vorteile gehen über die Bewertung selbst hinaus – geringere Verluste, frühzeitigere Erkennung und gestärktes Vertrauen seitens der Vorstände, Investoren und Aufsichtsbehörden.

Eine wirksame Betrugsbekämpfung erfordert mehr als nur schriftliche Richtlinien – sie erfordert Mitarbeiter, die Betrugsrisiken erkennen und Kontrollmaßnahmen umsetzen können, die Betrug verhindern und aufdecken. Mitarbeiter in den Bereichen Finanzen, Beschaffung, interne Revision, operatives Geschäft und Führung benötigen praktische Fähigkeiten, um Betrugsrisiken einzuschätzen, Kontrollmaßnahmen zu konzipieren, Warnsignale zu erkennen und angemessen zu reagieren. Allgemeine Compliance-Schulungen vermitteln diese Fähigkeiten nur selten.

Speeki bietet gezielte Schulungsprogramme nach ISO 37003 an, die darauf ausgerichtet sind, echte Kompetenz im Umgang mit Betrugsrisiken aufzubauen. Jeder Bestandteil der Norm wird anhand von realistischen Szenarien, branchenspezifischen Beispielen und praktischen Übungen behandelt.

Die Teilnehmer sammeln praktische Erfahrungen in folgenden Bereichen:

• Durchführung von Betrugsrisikobewertungen für alle Aktivitäten und Partner
• Entwicklung von Präventivmaßnahmen wie der Aufgabentrennung und Autorisierungsgrenzen
• Einführung von Kontrollmaßnahmen und Überwachung zur Erkennung von Warnsignalen
• Einführung von Meldemechanismen bei Betrugsverdacht
• Planung von Maßnahmen, Untersuchung und Sanierung
• Aufbau einer Kultur der Integrität, die Betrug vorbeugt

Die erweiterten Programme umfassen Module zu Betrugsrisiken durch Dritte, zur Schnittstelle zu Ermittlungen sowie zur Vorbereitung auf Betrugsbekämpfungsprüfungen.

Diese Schulung versetzt Ihre Mitarbeiter in die Lage, Betrugsbekämpfungsmaßnahmen eigenständig durchzuführen und bei Warnsignalen einheitlich zu reagieren – wodurch die langfristige Abhängigkeit von externen Beratern verringert wird. Die Schulung findet vor Ort oder online statt und wird auf Ihre Branche und Ihr Risikoprofil zugeschnitten.

Die Norm ISO 37003 basiert auf einem risikobasierten Ansatz zur Betrugsbekämpfung – dem Prinzip, Kontrollmaßnahmen dort einzusetzen, wo Betrug am wahrscheinlichsten ist und den größten Schaden anrichtet. Die Stärke der eingesetzten Kontrollmaßnahmen sollte das tatsächliche Betrugsrisiko der jeweiligen Tätigkeit widerspiegeln und nicht jeden Prozess gleich behandeln.

Ein Finanzdienstleistungsunternehmen und ein Hersteller haben ganz unterschiedliche Schwerpunkte im Bereich Betrugsbekämpfung – Transaktions- und Identitätsbetrug einerseits, Beschaffungs- und Bestandsbetrug andererseits –, doch beide können wirksame Kontrollmechanismen aufbauen, indem sie ihre jeweiligen wesentlichen Betrugsrisiken angemessen angehen.

Die Priorisierung von Kontrollmaßnahmen erfordert eine systematische Bewertung folgender Aspekte:

• die Wahrscheinlichkeit und die potenziellen Auswirkungen der einzelnen Betrugsmaschen
• die Anfälligkeit von Prozessen für Vertuschung und geheime Absprachen
• Risiken durch Dritte und Geschäftspartner
• die Wirksamkeit bestehender Präventions- und Aufdeckungsmaßnahmen

Bereiche mit hohem Risiko erfordern eine strenge Trennung, strenge Berechtigungskontrollen, eine aktive Überwachung und die Aufsicht durch die Geschäftsleitung. Bereiche mit geringerem Risiko erfordern angemessene Kontrollen, die die Integrität gewährleisten, ohne unnötigen Aufwand zu verursachen.

Dieser risikobasierte Ansatz muss sich durch das gesamte System ziehen: Die Kontrollen sollten sich auf die Bereiche konzentrieren, in denen das Betrugsrisiko am größten ist, die Überwachung sollte auf die anfälligsten Prozesse abzielen und die Überprüfung durch die Geschäftsleitung sollte sich auf wesentliche Betrugsrisiken konzentrieren. Regelmäßige Neubewertungen sorgen dafür, dass das System auch dann wirksam bleibt, wenn sich Abläufe, Betrugsmaschen und Partner ändern.

Der Nachweis eines soliden Betrugsbekämpfungssystems hängt weniger davon ab, dass es nie zu Betrugsfällen kommt, als vielmehr von einer gründlichen Vorbereitung, durch die Kontrollschwächen vor der unabhängigen Prüfung behoben werden.

Unternehmen investieren oft in Richtlinien, stoßen dann aber auf vermeidbare Probleme: unvollständige oder veraltete Betrugsrisikobewertungen, Kontrollmaßnahmen, die zwar auf dem Papier existieren, aber nicht durchgesetzt werden, unzureichende Erkennungsmöglichkeiten und Meldemechanismen, die von den Mitarbeitern nicht genutzt werden.

Die Vorab-Bewertungsdienste von Speeki sind darauf ausgelegt, diese Risiken noch vor der unabhängigen Bewertung zu beseitigen. Im Rahmen unserer Lückenanalyse bewerten wir Ihr Betrugsbekämpfungssystem anhand der Empfehlungen der Norm ISO 37003 und identifizieren dabei unvollständige Risikobewertungen, schwache Kontrollmechanismen, unzureichende Erkennungsmaßnahmen sowie Lücken, die das Vertrauen untergraben würden.

Anschließend führen wir eine vollständige Simulationsprüfung durch, die den formellen Prozess widerspiegelt – dabei überprüfen wir Betrugsrisikobewertungen, testen Kontrollmaßnahmen und untersuchen die Erkennungs- und Reaktionsfähigkeit genau so, wie es die Prüfer tun würden. Dadurch werden nicht nur Lücken in der Dokumentation, sondern auch praktische Schwachstellen aufgedeckt: Kontrollmaßnahmen, die umgangen werden, Warnsignale, die unbemerkt bleiben, und Betrugsverdachtsfälle, die nicht eskaliert werden.

Klare, umsetzbare Empfehlungen zur Mängelbehebung ermöglichen gezielte Verbesserungen bereits vor der formellen Bewertung. Kunden, die die Unterstützung von Speeki im Vorfeld der Bewertung in Anspruch nehmen, weisen in der Regel solide Kontrollmechanismen auf und bauen gleichzeitig eine stärkere Kompetenz im Umgang mit Betrugsrisiken auf, die auch danach weiterhin einen Mehrwert liefert.

In den letzten Wochen vor einem ISO 37003-Audit ist eine disziplinierte Organisation der Nachweise erforderlich. Die gesamte Dokumentation zur Betrugsbekämpfung sollte für den Auditor einsehbar sein – die Betrugsrisikobewertung, Kontrollbeschreibungen, Matrizen zur Aufgabentrennung, Aufzeichnungen zu Überwachung und Aufdeckung, Meldewege, Reaktions- und Untersuchungsverfahren, Schulungsunterlagen sowie Nachweise für Überprüfungen und Verbesserungen. Lücken oder nicht durchgesetzte Kontrollen untergraben das Vertrauen.

Eine übersichtliche Referenzmatrix, die jedes Element der ISO 37003 mit den entsprechenden Kontrollmaßnahmen und Nachweisen verknüpft, hilft den Gutachtern dabei, sich effizient im System zurechtzufinden.

Die Bewertungsgespräche sollten mit Teilnehmern geplant werden, die aufgrund ihrer tatsächlichen Zuständigkeiten ausgewählt werden – in der Regel aus den Bereichen Finanzen, Beschaffung, interne Revision, Betrugs- oder Risikomanagement sowie der für die Aufsicht zuständigen Geschäftsleitung.

Alle Teilnehmer sollten wissen, worauf die Prüfer achten werden. Es ist mit detaillierten Fragen dazu zu rechnen, wie das Betrugsrisiko bewertet wird, wie präventive und aufdeckende Kontrollmaßnahmen in der Praxis funktionieren, wie Betrugsverdachtsfälle gemeldet werden und wie das Unternehmen darauf reagiert. Die Prüfer legen Wert auf Transparenz und stehen Kontrollmaßnahmen, die nur auf dem Papier existieren, skeptisch gegenüber. Es ist effektiver, Lücken einzuräumen und Korrekturmaßnahmen zu erläutern, als die Wirksamkeit der Kontrollen überzubewerten.

Der Aufwand für die Bewertung steigt mit der Größe der Organisation, dem Transaktionsvolumen sowie der Komplexität der Geschäftsabläufe und der Beziehungen zu Dritten.

Die Bewertung nach ISO 37003 folgt einem strukturierten Prozess aus Planung, Überprüfung und Bewertung. Der Gutachter legt zunächst den Umfang fest, überprüft dann die Betrugsrisikobewertung und das Kontrollrahmenwerk auf Übereinstimmung mit der Norm und bewertet anschließend, wie die Kontrollen in der Praxis funktionieren.

Bei einer ersten Überprüfung werden Lücken in der Risikobewertung, bei den Kontrollmaßnahmen oder bei der Erkennung festgestellt, die behoben werden müssen, bevor der Prüfer die Bewertung abschließen kann. Die Organisationen beheben anschließend diese Mängel und bestätigen, dass entsprechende Kontrollmaßnahmen vorhanden sind.

In der Bewertungsphase wird das System eingehend geprüft – dabei werden die Verantwortlichen für die Kontrollmaßnahmen befragt, die Funktionsweise der präventiven und aufdeckenden Kontrollmaßnahmen getestet und sichergestellt, dass mutmaßliche Betrugsfälle gemeldet, eskaliert und behoben werden. Der Prüfer untersucht, ob die Kontrollmaßnahmen tatsächlich wirksam sind und nicht nur auf dem Papier bestehen.

Im Anschluss an die Bewertung gibt der Gutachter eine Stellungnahme zur Übereinstimmung des Systems mit der Norm ISO 37003 ab. Organisationen wiederholen die Bewertung in der Regel in regelmäßigen Abständen, um ihre Glaubwürdigkeit zu wahren. Der Gesamtzeitrahmen hängt von der Größe der Organisation, der Komplexität der Transaktionen und dem Reifegrad der bestehenden Kontrollmechanismen ab.

Um die Integrität der Bewertung zu gewährleisten, müssen die Unterstützung bei der Umsetzung und die unabhängige Bewertung voneinander getrennt bleiben. Speeki unterstützt Ihr Betrugsbekämpfungssystem durch fachkundige Schulungen und den Einsatz von Technologie und stärkt so Ihre Kompetenzen, ohne die Unabhängigkeit der Prüfer zu beeinträchtigen.

Speeki bietet gezielte Schulungsprogramme zur Norm ISO 37003 an, die die erforderlichen Fähigkeiten zur Auslegung der Norm und zur Umsetzung wirksamer Betrugsbekämpfungsmaßnahmen vermitteln. Dabei werden Kompetenzen in den Bereichen Finanzen, Beschaffung, interne Revision und Führung aufgebaut, damit Unternehmen das Betrugsrisiko intern bewältigen können, ohne langfristig auf Berater angewiesen zu sein.

Über Schulungen hinaus benötigen Unternehmen Systeme, die die Betrugsbekämpfung in großem Maßstab wiederholbar, nachvollziehbar und überprüfbar machen. Die Speeki Engage®-Plattform digitalisiert Prozesse zur Betrugsbekämpfung, die in der Regel manuell abgewickelt werden. Die Plattform:

• strukturiert die Betrugsrisikobewertungen über alle Aktivitäten und Partner hinweg
• stellt einen Zusammenhang zwischen Risiken und präventiven sowie aufdeckenden Kontrollmaßnahmen her
• Überwacht die Leistungsfähigkeit der Steuerung und Warnindikatoren
• ist für die Meldung von Betrugsverdachtsfällen und die Bearbeitung der Fälle zuständig
• dokumentiert Untersuchungen, Sanierungsmaßnahmen und gewonnene Erkenntnisse
• erfasst Qualifikationen und Schulungen und führt Prüfpfade
• bietet Dashboards, die einen Überblick über das Betrugsrisiko und den Status der Kontrollmaßnahmen geben

Automatisierte Warnmeldungen verringern das Risiko, dass Kontrollen nicht überwacht werden, Warnsignale übersehen oder Verdachtsfälle nicht eskaliert werden, was zu Verlusten führen kann. In Kombination bilden Schulungen zum Aufbau interner Kompetenzen und Technologien zur aktiven Überwachung von Kontrollen eine solide Grundlage für die Norm ISO 37003 und eine Kultur der Integrität.

Die Bewertung nach ISO 37003 stützt sich auf strukturierte Methoden, wodurch die Preise verschiedener Anbieter vergleichbar sind. Die wichtigsten Kostenfaktoren sind die Tagessätze der Gutachter – die je nach Anbieter, Fachgebiet und Region variieren – in Verbindung mit dem erforderlichen Gesamtaufwand, der von der Unternehmensgröße und der betrieblichen Komplexität abhängt.

Der Aufwand für die Bewertung hängt von der Mitarbeiterzahl, der Anzahl und dem Standort der Standorte, dem Transaktionsvolumen, der Komplexität der Geschäftsabläufe und den Risiken durch Dritte ab. Ein kleines Unternehmen mit nur einem Standort erfordert weniger Aufwand; ein großes Unternehmen mit mehreren Standorten, komplexen Transaktionen und vielen Partnern erfordert hingegen mehr Aufwand.

Neben den Bewertungsgebühren sollten Unternehmen auch entsprechende Investitionen einplanen, wie zum Beispiel:

• ISO 37003-Schulung für Teams aus den Bereichen Finanzen, Beschaffung und Revision
• Stärkung der präventiven und aufdeckenden Kontrollen dort, wo diese unzureichend sind
• Technologieplattformen wie Speeki Engage® beim Ersatz manueller oder auf Tabellenkalkulationen basierender Kontrollprozesse

Zu den laufenden Kosten gehört die regelmäßige Neubewertung, um die Glaubwürdigkeit zu wahren. Viele Organisationen stellen fest, dass die vermiedenen Betrugsverluste und die frühzeitigere Aufdeckung die Investition bei weitem überwiegen. Die frühzeitige Einholung detaillierter Angebote ermöglicht eine genaue Abschätzung des Aufwands und eine realistische Budgetplanung.