Bedeutung von Fraud in bankbetrieblicher Praxis

Wenn Du mich einmal betrügst, ist es Deine Schuld; betrügst Du mich zweimal, liegt die Schuld bei mir.
Anaxagoras, 499 – 427 v. Chr. griechischer Philosoph aus Klazomenai, Freund des Perikles
„Meine Mitarbeiter machen so etwas nicht“ oder „das passiert in meiner Bank nicht“ sind typische Argumente und Antworten, die von Bankmanagern und Vorständen auf einen Hinweis zu internem und externem Betrug folgen. Die Bankenpraxis und Auswertung von Verlustdaten zeigt jedoch ein anderes Bild. Ein Großteil der operationellen Schäden, Compliance-relevanten Fälle und auch Kreditausfälle ist auf internen oder externen Betrug zurückzuführen. Das Thema Fraud ist in der bankbetrieblichen Praxis in den vergangenen Jahren zunehmend in Diskussion geraten, Prozesse zur Verminderung von Betrugsrisiken wurden eingerichtet sowie entsprechende Instrumente und Methoden entwickelt. Neben der ungewollten Aufmerksamkeit durch tatsächlich schlagend gewordene Betrugsfälle, ist Fraud auch vonseiten der Bankenaufsicht in den Fokus geraten. Nationale Gesetze wie KWG und GWG, Rundschreiben wie MaComp und MaRisk sowie auf internationaler Ebene unter anderem die CRR beinhalten Anforderungen an den Umgang mit Fraud. Eine Verhinderung und Mitigation von Betrugsrisiken ist daher nicht mehr allein betriebswirtschaftliches Eigeninteresse der Institute, sondern unterliegt auch regulatorischen Anforderungen. Diesbezüglich kommt es zu einer stetigen Verschärfung der Gesetze, Verordnungen und Richtlinien aus den relevanten Gremien. Die Sicherstellung der regulatorischen Konformität ist somit als externer Treiber ein weiterer Motivator für die Implementierung von Anti-Fraud-Lösungen in den Instituten.
FraudAbbildung 1: Gremien und regulatorische Anforderungen an Fraud – nehmen äquivalent zu Schadenshöhen zu

 

Fraud – en vogue, aber tatsächlich neu?

Aber was wird in der Bankenpraxis unter Fraud verstanden? Eine einheitliche Definition ist unter deutschen Banken kein Standard. Nach zeb-Erfahrung spiegelt die Definition des Bundesverbandes öffentlicher Banken verbreitete Erfahrungswerte im Umgang mit Fraud wider. Nach dieser ist „Fraud eine Handlung, die durch einen oder mehrere Externe und/oder Interne vorsätzlich (wissentlich oder absichtlich) ausgeübt wird, um sich rechtswidrige oder sonstige ungerechtfertigte Vorteile zu verschaffen und die zu vermeidbaren Vermögens-, Reputations- oder sonstigen Schäden für das Institut führen kann“[1].  Der Begriff Fraud leitet sich dabei in seinem Wortstamm aus dem Lateinischen ab und ist in der römischen Mythologie über Fraus, die Göttin der Falschheit, verankert.

Das Themenfeld und Management von Fraud scheint derzeit besonders „en vogue“ – jedoch ist der Umgang mit Betrugsrisiken nicht neu. Sowohl interner als auch externer Betrug gehören zu den typischen Verlustkategorien operationeller Risiken[2], auch Geldwäsche ist eine Form von Betrug und schon seit vielen Jahren im Fokus der Bankenaufsicht – nicht zuletzt durch die in 2015 in Kraft getretene 4. Geldwäscherichtline. Neben den großen Themenfeldern zu operationellen Risiken und Compliance sind die Anforderungen an den Umgang mit IT-Security eine dritte wesentliche Säule für Fraud – die Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) greifen als nationale Richtline Internetzahlungen erstmals als Fokusthema auf.

FraudAbbildung 2: Übersicht potenzieller Formen von Fraud

Management operationeller Risiken, Compliance, IT-Security – bei Betrachtung dieser Felder der Banksteuerung wird die Bedeutung des internen Kontrollsystems für die Steuerung von Betrugsrisiken für die Banken deutlich. Bei allen drei genannten Feldern der Banksteuerung spielt das Interne Kontrollsystem eine, wenn nicht sogar die, maßgebliche Rolle bei der Steuerung und Verminderung von zugehörigen Risiken. Je nach Art der Risiken sind entweder präventive oder detektive Kontrollen angemessen, um das Residualrisiko möglichst stark zu vermindern. Eine für den Kreditantragsbetrug angemessene Risikosteuerung hat idealerweise bereits vor dem Schlagendwerden des Risikos zu erfolgen, woraus die Notwendigkeit eines präventiven Maßnahmenmanagements folgt. Automatisierte, toolgestützte Kontrollen der Daten des Kreditantragsstellers bieten eine wirkungsvolle Indikation, um bei einem möglichen Betrugsfall eine manuelle und detailliertere Kontrolle anzuschließen.

Besonderheit Kreditantragsbetrug

Nun werden sicher viele denken, dass bei ihnen im Haus entsprechende und hinreichende Kontrollmechanismen eingerichtet sind. Vielfach stellen die bestehenden Kontrollmechanismen in der bankbetrieblichen Praxis jedoch auf real existierende Personen ab – Betrug von fiktiven Personen, wie es häufig beim Kreditantragsbetrug der Fall ist, wird hierdurch nicht aufgedeckt.

Das Zitat von Anaxagoras soll einen Denkanreiz geben – jede Bank kann Opfer von Betrug werden – aber spätestens, wenn eine Bank das zweite Mal einen Kredit an eine fiktive Person vergibt, hätte ein angemessenes Kontrollsystem den Verlust wahrscheinlich verhindert.

 

[1] Bundesverband Öffentlicher Banken Deutschlands (VÖB): Prävention und Bekämpfung von betrügerischen Handlungen/Wirtschaftskriminalität – Leitfaden zur praxisorientierten Einführung in die Gefährdungsanalyse und Maßnahmen (Stand: April 2010), S. 29.
[2] Basel II Anhang 7: Operationelle Risiken – Detaillierte Klassifikation von Verlustereignissen, S. 255-256

Sprechen Sie uns gerne an!

Jan-Hendrik Stosshoff

Autor Office Münster

Artikel teilen

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

BankingHub-Newsletter

Analysen, Artikel sowie Interviews rund um Trends und Innovationen
im Banking alle 2 Wochen direkt in Ihr Postfach