KÖLN, 15.5.2009. Unterschlagung, Korruption und andere wirtschaftskriminelle Handlungen nehmen weiter zu. Amtliche Statistiken gehen jährlich von Milliardenschäden für die deutsche Wirtschaft aus. Das Bundeskriminalamt (BKA) schätzt allein für das Jahr 2007 einen Schaden in Höhe von 4,2 Mrd. Euro. Es wird daher kaum verwundern, dass die Bedeutung von Kontrollsystemen in Unternehmen in der jüngeren Vergangenheit erheblich gestiegen ist.

Die deutsche Legislative sowie der deutsche Corporate Governance Kodex fordern von Unternehmensleitungen die Einrichtung leistungsfähiger Kontrollsysteme, die eine ordnungsgemäße Unternehmensführung gewährleisten. Einschlägige Kontrollsysteme müssen interne vermögensschädigende Handlungen aufdecken können und Maßnahmen zu deren Prävention vorsehen. Eine herausragende Rolle bei der Überwachung der Einhaltung gesetzlicher und unternehmensinterner Richtlinien spielt die Interne Revision. Sie prüft als prozessunabhängige Instanz die Funktionsfähigkeit der betreffenden Kontrollsysteme und führt Kontrollen im Hinblick auf vermögensschädigende Handlungen durch; sie unterstützt die Unternehmensleitung damit bei der gesetzlich vorgeschriebenen Wahrnehmung ihrer Kontrollfunktion. Im Rahmen so genannter Vollprüfungen durchsucht die Interne Revision auch umfangreiche Datenbestände nach bestimmten Kriterien. Eine manuelle beziehungsweise physische Analyse ist hier aufgrund der verfügbaren Zeit oder der zu bewältigenden Informationsmengen oft unmöglich. Zudem sind häufig komplexe Zusammenhänge über unterschiedliche Quellen zu identifizieren – hier stoßen die menschlichen „Verarbeitungs-“ Kapazitäten in der Regel an ihre Grenzen. Technische Hilfsmittel in Form spezieller Softwarelösungen sind aus diesem Grund seit vielen Jahren eine unabdingbare Voraussetzung für die Arbeit von Prüfern unterschiedlicher Berufszweige. Trotz verschiedener Funktionalitätsschwerpunkte haben alle Software-Instrumente eines gemeinsam: Sie machen komplexe Analysen möglich und dienen der Aufdeckung vermögensschädigender Handlungen.

Gleichwohl findet der Einsatz aller softwaregestützten Methoden ihre Grenzen in der Berücksichtigung besonders schützenswerter Daten. Eine Analyse unterschiedlicher betrieblicher Parameter (z. B. Eingangsrechnungen) mag zunächst unproblematisch sein. Beim Umgang mit mitarbeiterbezogenen Daten setzen rechtliche Rahmenbedingungen wie das Bundesdatenschutzgesetz sowie spezifische betriebliche Vereinbarungen jedoch Schranken. Daher ist es in der Regel für den Internen Revisor erforderlich – abhängig von der Größe des jeweiligen Unternehmens – Einheiten wie die Personal- und Rechtsabteilung in die geplanten Analysen personenbezogener Daten einzubeziehen oder die geplanten Verfahren mit diesen Abteilungen abzugleichen. Das Bundesdatenschutzgesetz fordert eindeutig die Abstimmung solcher Vorhaben mit dem Datenschutzbeauftragten des Unternehmens. Die Einbeziehung der Mitarbeitervertretung des betreffenden Unternehmens ist notwendig - insbesondere auch bei arbeitsrechtlichen Konsequenzen für den Fall der Bestätigung von Verdachtsmomenten.

Das Deutsches Institut für Interne Revision (DIIR), der Branchenverband der Internen Revisoren, sieht in der Anwendung softwaregestützter analytischer Methoden und in deren Verwendung für die Analyse von Massendaten eine hoch effiziente, umfassend akzeptierte und unverzichtbare Praxis. Auch in anderen Berufszweigen gehören diese analytischen Methoden zum Tagesgeschäft. Der Verband distanziert sich allerdings von der Nichtbeachtung gesetzlicher oder regulatorischer Vorgaben, die gerade im Zusammenhang mit der Nutzung personenbezogener Daten bestehen. Er empfiehlt seinen Mitgliedern vielmehr dringend die Beachtung der einschlägigen berufsständischen Standards sowie aktuell publizierter Handlungsempfehlungen.