ERP-Betrieb

Betrug und Manipulationen in Informationssystemen

Eine wissenschaftliche Aufarbeitung des Statusquo

12. Oktober 2020 von Anna Fuchs und Fabian Gwinner und Axel Winkelmann

Betrug und Manipulationen in Informationssystemen

Betrug ist ein weltweites Problem, das jedes Unternehmen egal welcher Größe betrifft. Durch die Medien sind externe, digitale Angriffe auf Unternehmen, wie Cyberattacken sehr präsent, doch Schaden entsteht oft vor allem durch interne Akteure, die bewusst oder unbewusst Datenanomalien oder manipulierte Informationen verursachen. Dies hängt nicht zuletzt mit dem zunehmenden Einsatz von Informationssystemen und dem immer größer werdenden Datenfundament zusammen. Obgleich Informationssysteme maßgeblich für den Erfolg eines Unternehmens verantwortlich sein können, da sie Vorteile, wie die Integration unterschiedlicher Unternehmensbereiche und eine durchgängige Prozessführung bieten, sollten Unternehmer stets darauf achten, interne Betrugsmöglichkeiten durch die Umsetzung und Einhaltung von Compliance-Vorschriften und Kontrollmechanismen zu verhindern.

Unternehmensdatenfundament wächst rasant

ERP-Systeme verfolgen seit ihrer Entwicklung vorrangig das Ziel einer funktionalen und datenbasierten Integration der Unternehmen [1]. Im Sinne der horizontalen Integration werden hierdurch verschiedene Funktionsbereiche eines Unternehmens im Informationssystem mitein-ander verknüpft und so alle Unternehmensbereiche durch die Daten und Funktionen eines Systems versorgt [2, 3]. In Deutschland setzten mit Stand 2019 77 % aller Großunternehmen (mit mehr als 250 Mitarbeitern) ein übergreifendes, integratives ERP-System ein [1]. Je größer der funktionale Umfang solcher ERP-Systeme ist, desto mehr Vorteile ergeben sich aus der Anwendung der Software (Verbundeffekte), da so bspw. Berichte und Auswertungen auf einer vollumfänglichen Datenbasis beruhen [4]. Die Datenmengen in diesen Systemen sind von Grund auf sehr hoch. Hinzu kommt, dass vor allem im industriellen Produktionsumfeld der Einsatz von IoT zunimmt, wodurch permanent neue Informationen und Daten generiert werden [5]. So steigen das Datenfundament und damit die Grundgesamtheit der zu analysierenden Daten stetig weiter an.

Um die Vollständigkeit und Genauigkeit der Daten sicherzustellen, verwenden ERP-Systeme interne Kontrollmechanismen [6]. Diese Prüfungen sind entscheidend für die Erhöhung der Qualität von Daten im Informationssystem, speziell aber natürlich nicht ausschließlich im Rechnungswesen und im Controlling [7]. Dennoch finden sich immer wieder Datenanomalien oder manipulierte Daten in den Systemen. Nutzen beispielsweise einzelne Mitarbeiter ihre Position im Unternehmen aus, um sich bspw. individuell zu bereichern, wird von internem Fraud gesprochen. Dieses findet zunehmend nicht nur ausschließlich in der physischen Welt, sondern auch in der virtuellen statt, auch wenn sich nachträglich (wenn es schon zu spät ist), Spuren eines Betrugs in den Daten wiederfinden lassen. Konkret handelt es sich bei Fraud um eine wissentliche Verfälschung von Daten, um andere absichtlich zu täuschen und sich selbst zu bereichern [8].

 

Tabelle 1: Häufige Betrugsmuster.

Dass Betrug jedes Unternehmen treffen kann, zeigt auch die „2018 Global Economic Crime and Fraud Survey“, die im Abstand von zwei Jahren von PwC durchgeführt wird. Von den über 7.000 Teilnehmern gaben 52 % an, dass interne Akteure für den Fraud verantwortlich waren. Es liegt daher im Interesse der Unternehmen diese betrügerischen Aktivitäten aufzudecken. Durch die Überwachung der Prozesse und Systeme sowie mit Hilfe von IT-Kontrollmechanismen werden lediglich ca. 5 % der Fälle aufgedeckt [9]. In der aktiven Prüfung durch IT steckt demnach großes Potenzial.

Maschinelle Lernverfahren zur Aufdeckung von Betrugsfällen

Um den aktuellen Stand zur Erkennung von Anomalien und Betrugsversuchen in ERP-Systemen aufzuarbeiten, wurde sowohl die theoretische Sichtweise in Form von aktuellen Publikationen als auch auf Aussagen und Erfahrungen von Systembetreuern und -verantwortlichen aus der Praxis zurückgegriffen. Die wissenschaftliche Seite stellt derzeitig vor allem Finanzsysteme, Banken, Kreditkarten und Buchhaltungssysteme in den Fokus von Fraud-Untersuchung, da hier direkte monetäre Risiken und Folgen existieren. Mit Hilfe einer strukturierten Analyse der wissenschaftlichen Literatur konnten auch einige wenige Forschungsarbeiten ermittelt werden, die sich im speziellen mit Fraud in ERP-Systemen beschäftigen. In diesem Zusammenhang lassen sich diverse methodische Vorgehensweisen finden, um Betrug in Informationssystemen, speziell ERP, zu verhindern. Diese reichen von regelbasierten Ansätzen, bis hin zu Process Mining und Data Mining [10, 11, 12]. Bei regelbasierten Ansätzen können nur vorab definierte Bedingungen geprüft werden. Process Mining hingegen kann im Audit- und Compliance-Kontext dabei helfen, Geschäftsprozesse hinsichtlich irregulärer Aktivitäten zu überwachen. Mit Hilfe von Data Mining ist es möglich große Datenmengen effizient zu analysieren und auszuwerten, sodass Anomalien im Datensatz erkennbar werden. Mit Process Mining und Data Mining werden sogenannte holistische Ansätze verfolgt, sodass nicht mehr nur einzelne Datensamples untersucht werden, sondern eine ganzheitliche Sicht entsteht und die Prüfung aller Prozesse und Daten des Unternehmens ermöglich wird.

Das Problem der bekannten Verfahren ist jedoch, dass nur bestimmte (oftmals vorab definierte Fälle) aufgedeckt werden können und diese nur als a posteriori Hinweis dienen. So bedarf eine Anomalie, im Sinne eines Red-Flag-Ansatzes, im Nachgang stets einer manuellen Überprüfung durch entsprechende Mitarbeiter [13]. Im Hinblick auf das hohe Schadenspotenzial und die durch Manipulation verursachten Langzeitschäden ist daher eine kontinuierliche Auswertung und Analyse der Prozesse wünschenswert, um hohe finanzielle Verluste zu vermeiden. Frühere Umfragen evaluierten auch das Aktivitätsniveau und damit den Zeitpunkt der Analyse der Daten [14]. An dieser Stelle setzen neuste Algorithmen und maschinelle Lernverfahren, wie in unserem aktuellen Forschungsprojekt DeepScan zur ERP-Anomalie-Detektion an, die zum einen in der Lage sind, anhand verfügbarer Daten im Vorfeld Vorhersagen zu treffen, zum anderen aber auch eingesetzt werden können, um Daten in Informationssystemen in Echtzeit zu analysieren, sodass die Eingabe von manipulierten oder falschen Informationen direkt erkannt wird. Die Wahl der verwendeten Algorithmen und Methoden ist dabei entscheidend für die Leistungsfähigkeit und Effizienz der Betrugserkennung. 

Tabelle 2: Methoden und Maßnahmen zur Betrugsaufdeckung.

Qualitative Studie zur Ermittlung häufiger Betrugsmuster

Um den aktuellen Stand in der Praxis abzufragen und diesen der theoretischen wissenschaftlichen Ausarbeitung gegenüberzustellen wurden im vergangenen Jahr qualitative Tiefeninterviews mit ausgewählten Fachverantwortlichen aus unterschiedlichen Unternehmen und verschiedener Branchen durchgeführt. Ziel der Studie war es herauszufinden, wie Unternehmen in der Praxis mit Betrug und betrügerischem Verhalten in Informationssystemen umgehen. Hierfür wurde unter anderem nach aktuellen Betrugsbeispielen und Beispielen manipulierter Daten gefragt. Zudem wurde abgefragt, wie sich Unternehmen derzeit vor internen Betrug schützen und Systeme und Prozesse dagegen absichern. Daraus haben sich die in folgender Tabelle 1 beschriebenen Betrugsmuster sehr häufig in deutschen Unternehmen ermitteln lassen, welche eine direkte Rolle im Informationssystemkontext spielen:

Ein typisches, weit verbreitetes Beispiel (#1) sind gefälschte Auslagenrückerstattungen. Dabei handelt es sich um einen Fall, der fast jedem Wirtschaftsprüfer und Auditor wohl bekannt sein wird und in der Praxis a posteriori sehr häufig aufgedeckt wird. Mitarbeiter, meist des mittleren und höheren Managements, stellen dem Unternehmen Auslagen in Rechnung, die entweder so nie ausgegeben oder für private Zwecke genutzt werden. Das kann bspw. vom Tankbeleg bis zur Beschaffung geringwertiger Güter fast alles sein. Ein weiteres oft genanntes Betrugsmuster, das nach Angaben der Befragten immer mehr auftritt, ist die eigene Bereicherung. Dabei werden Waren, z. B. rabattiert, an sich selbst oder bspw.  Dritte verkauft (#3) oder, es werden Lieferungen, die für Kunden bestimmt waren, durch den Versandt an falsche Adressen oder Postfächer entwendet. Darüber hinaus wurden die Fachverantwortlichen in den Interviews nach Methoden, Systemen und anderweitigen Maßnahmen gefragt, die sie derzeit zur Verhinderung oder Aufdeckung von Betrugsfällen in ihrem ERP-System einsetzen. Die Ergebnisse in Tabelle 2 zeigen zusammengefasst, welche Methoden und Software derzeit im Einsatz ist. Dabei ist anzumerken, dass mit Ausnahme des Rollen- und Berechtigungsmanagements alle Maßnahmen nur einmal jährlich oder mit längeren Abständen umgesetzt werden.

Beim Vergleich von Theorie bzw. Forschungsansätzen und der Praxis fällt auf, dass eingesetzte Methoden nahezu dem aktuellen Forschungsstand entsprechen und Unternehmen im Bereich Betrugserkennung innovativ agieren. Obwohl Informationssysteme, wie ERP- und CRM-Systeme heute bereits Prüfregeln implementieren, lassen sich bspw. durch Muster- oder Anomalie-Erkennung immer noch neue Erkenntnisse generieren. Eine manuelle Implementierung von Regeln soll damit in Zukunft der Vergangenheit angehören. In der Praxis fehlt jedoch ein Ansatz, um die Daten zum Zeitpunkt ihrer Entstehung und Eingabe im System auf Richtigkeit zu überprüfen. Hier können bspw. erklärbare Deep-Learning-Verfahren zum Einsatz kommen, die nicht nur Muster erkennen, sondern auch in der Lage sind selbstlernend Anomalien in ERP-Systemen aufzudecken und die Anomalie für den Menschen verständlich zu formulieren.

Um an dieser Stelle anzusetzen ist es das Ziel des Forschungsprojekts „DeepScan“, vom Lehrstuhl für BWL und Wirtschaftsinformatik und dem Lehrstuhl für Data Science der Julius-Maximilians-Universität, ein Add-On in Form einer „Machine-Learning-Toolbox“ zu entwickeln, um Daten in Echtzeit zu prüfen, betrügerisches Verhalten frühzeitig zu erkennen und negative Folgen zu vermeiden. Wenn Sie mehr über unser Projekt erfahren möchten, können Sie sich jederzeit über die Projektwebsite http://projekt-deepscan.de/ informieren oder direkt Kontakt zu uns aufnehmen. Über eine Teilnahme an der aktuell laufenden Umfrage zum Thema „Fraud in ERP-Systemen“ freuen wir uns ebenfalls sehr.

Wir danken dem BMBF, das unter dem FKZ 01IS18045A das Projekt „DeepScan“, in dessen Rahmen dieser Artikel entstand, unterstützt.

Link zur Umfrage: 

https://ww2.unipark.de/uc/BWL12/5a20/

ERP-SystemeFraudinterner BetrugManipulationen


[1] Thome, R.; Winkelmann, A.: Grundzüge der Wirtschaftsinformatik. Berlin, 2015.
[2] Gronau, N.: Enterprise Resource Planning. Architektur, Funktionen und Management von ERP-Systemen. 3. Aufl. München, 2014.
[3] Nikookar, G.; Safavi, S. Y.; Hakim, A.; Homayoun, A.: Competitive advantage of enterprise resource planning vendors in Iran. In: Information Systems, 35, 271–277, 2010.
[4] Tian, F.; Xu, S. X.: How do enterprise resource planning systems affect firm risk? Post-implementation impact. In: MIS Quarterly, 39, 39–60, 2015.
[5] Li, S.; Xu, L. D.; Zhao, S.: The internet of things: a survey. In: Information Systems Frontiers, 17, 243–259, 2015.
[6] Chang, S.-I.; Yen, D. C.; Chang, I.-C.; Jan, D.: Internal control framework for a compliant ERP system. In: Information & Management, 51, 187–205, 2014.
[7] Ashbaugh-Skaife, H.; Collins, D. W.; Kinney, W. R.; LaFond, R.: The Effect of Internal Control Deficiencies on Firm Risk and Cost of Equity Capital. In: Journal of Accounting Research, 47, 1–43, 2009.
[8] ACFE: Report to the Nations. 2020 Global Study on Occupational Fraud and Abuse.
[9] PwC: Pulling fraud out of the shadows. Global Economic Crime and Fraud Survey 2018.
[10] Chou, C. L.-y; Du, T. C.; Lai, V. S.: Continuous Auditing with a Multi-Agent System. In: Decision Support Systems, 42, 2274–2292, 2007.
[11] Hoyer, S.; Zakhariya, H.; Sandner, T.; and Breitner, M. H.: Fraud Prediction and the Human Factor: An Approach to Include Human Behavior in an Automated Fraud Audit. In: Proceedings of the Annual Hawaii International Conference on System Sciences, 2382–2391, 2012.
[12] Chan, P. K.; Fan, W.; Prodromidis, A. L.; Stolfo, S. J.: Distributed Data Mining in Credit Card Fraud Detection. In: IEEE Intelligent Systems and Their Applications 14, 67–74, 1999.
[13] Alles, M.; Brennan, G.; Kogan, A.; Vasarhelyi, M. A.: Continuous Monitoring of Business Process Controls: A Pilot Implementation of a Continuous Auditing System at Siemens1. In: International Journal of Accounting Information Systems, 7, 137–161, 2006.
[14] Abdallah, A.; Maarof, M. A.; Zainal, A.: Fraud Detection System: A Survey. In: Journal of Network and Computer Applications 68, 90–113, 2016.




Das könnte Sie auch interessieren

Anbieterportal


alle Anbieter
Sharer Icon: facebookSharer Icon: TwitterSharer Icon: LindekInSharer Icon: XingSharer Icon: EnvelopeSharer Icon: Print
Banner

Melden Sie sich zur Onlineveranstaltung an

16.11.2020: Finale Wettbewerb Fabriksoftware des Jahres

23.11.2020: Fachkongress Fabriksoftware

Wir verwenden Cookies, um die Nutzererfahrung stetig zu verbessern. Mehr Erfahren.

Essentielle Cookies

Cookie Settings
Speichert Einstellungen, die hier getroffen werden. (1 Jahr)

Statistik

Google Analytics | Google LLC | Datenschutz
Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt. Alle Informationen werden anonymisiert gespeichert. (2 Jahre)