in Allgemein

“Forensic Accountants combine their accounting knowledge with investigative skills, using this unique combination in litigation support and investigative accounting settings. Forensic Accountants may be employed by public accounting firms’ forensic accounting divisions, by firms specializing in risk consulting and forensic accounting services, or by lawyers, law enforcement agencies, insurance companies, government organizations, or financial institutions. Due to society’s heightened awareness and growing intolerance of fraudulent activity, demand for forensic accountants is rapidly increasing.” [1]

So weit die offizielle Definition auf der englisch-sprachigen Seite der Wissensplattform Wikipedia.

Ein typischer Fall im heutigen Leben eines Forensic Accountants beginnt keinesfalls mit Accounting bzw. Rechnungswesen. Er beginnt mit der wichtigsten aller Fragen: Wie groß ist die Datenmenge und wo ist sie?

Der Fall: Ein europäischer Finanzdienstleister verdächtigt aufgrund nicht erklärbarer Verluste einer Tochtergesellschaft in Osteuropa die dortige Geschäftsführung in massive Betrugshandlungen gegen das eigene Unternehmen involviert zu sein. Das Problem ist die vor Ort gelagerte IT- und Serverlandschaft, die unkooperative Haltung des örtlichen Managements und die feindselige Einstellung der Geschäftsführung gegen die Konzernrevision. Ein klassischer Fall für Forensiker und Big Data Spezialisten.

Heute ist Forensic Accounting nur mehr ein (wenn auch sehr wichtiger) Teil eines viel größeren Bildes: „Big Data Analysis and Forensics“.

Die folgende Grafik[2] zeigt den Prozess, der heute „state of the art“ ist, um überhaupt zu dem Untersuchungsteil zu kommen, wo wir Forenisc Accounting praktizieren und substantielle und verständliche Ergebnisse erzielen können:

edrm

 

So sieht die Realität heute aus. Es ist daher erforderlich, dass forensiche und eDiscovery Dienstleister auch Expertise in den Bereichen Data Collection, IT Forensics, Cyber Security, Predictive Coding oder Content Analytical Software und Analytical Visualization Software besitzen. Insbesondere, wenn dies in enger und frühzeitiger Kombination mit Anwaltskanzleien passiert.

Nicht nur Interessenskonflikte großer Dienstleister sondern auch deren Verständnis Aufträge ausschließlich auf ein ihren internen Compliance Vorschriften zugrunde liegendes “Thinking in the box” auszuführen, erweisen sich als kostspielig und ineffizient.

Wenn man an einem kriminellen Sachverhalt auf den Grund gehen möchte, muss man den Kriminellen verstehen und die Compliance Vorschriften kennen und nicht umgekehrt.

“Above the waistline you follow the rules, below the waistline you solve the problems”, hat schon der ehemalige Meisterspion und jetzige Buchautor John Le Carré bestätigt.[3]

Die Lösung, den Regeln zu folgen und dennoch das Problem zu lösen, liegt im Denkansatz. Die konsequente Anwendung verschiedener Hypothesen, deren ständiges in Frage stellen und prüfen, die im Denkansatz unlimitierte Entwicklung von Szenarien und Möglichkeiten für und gegen Hypothesen führen den Litigation und eDiscovery Experten erst zur Lösung.

Im ersten Schritt wurde daher mit der Konzernrevision eine Arbeitshypothese entwickelt. Verdächtige Personen, deren Verknüpfungen untereinander, mit anderen Mitarbeitern, Verantwortlichkeitsbereichen und vorhandenen Bankdaten werden in der Arbeitshypothese visualisiert. Dies bedeutet, mit Hilfe einer „intelligenten Analyseumwelt“ Daten analytisch als Organigramm artiges Bild aufzubereiten.

„Data Collection“: Ein Team von IT-Forensik und Cyber Security Experten flog vor Ort, erhielt Zugang zu den Server Systemen und installiert die Technik für einen forensischen Data Collection Prozess. Das Team installierte das System so, dass es von Wien aus gesteuert werden konnte und nach einigen Tagen war der Transferprozess abgeschlossen. Sämtliche Daten sämtlicher Datenträger lagen auf unserem Server, welcher mit verschiedenen forensischen Tools bestückt ist.

„Identification“: Die Rechtsabteilung und die Konzernevision des Mandanten bestimmten gemeinsam mit unseren eDiscovery Experten welche Daten nun wie gesammelt und prozessiert werden sollen. Die zu treffenden Entscheidungen beziehen sich auf Personen, zeitliche Beschränkungen, Datenformate wie in diesem Fall Email Accounts und Lohnverrechnung.

„Process“: Die im Zuge der Datenidentifikation gesammelten Daten werden nun forensisch prozessiert. Seit der Data Collection wird jeder Schritt den wir mit bzw. auf diesen Daten durchführen protokolliert. Dies ist besonders im sogenannten Pre-Processing von höchster Bedeutung. In diesem Arbeitsschritt werden die Daten dedupliziert, kaputte und verseuchte Daten aussortiert und vernichtet und somit ein „sauberes“ Daten Set aufbereitet, dass dann effizient analysiert werden kann. Dieses Datenset ist nur mehr ein Bruchteil der Originaldatenmenge und die „Kunst“ von Big Data Spezialisten Datenmengen auf ein überschaubares Ausmaß zu reduzieren ohne die Qualität der Untersuchung zu gefährden.

„Review“: Aufgrund des Datenvolumens von immer noch über 1 Terrabyte, wurde in einem nächsten Schritt der Email-Verkehr mit einer Content Analytic software[4] bearbeitet. Diese, auf der Watson Technology basierende mit „künstlicher Intelligenz“ ausgestattete Software lernt mit ihrem Anwender. Sie erlernt welche Begriffe, Wortstämme, Phrasen, etc. für Untersuchungen relevant sind und stellt selbstständig Zusammenhänge zwischen Datensätzen her. Das Ergebnis dieser Content Analyse wurde in eine simple und effiziente Reviewplattform transferiert, in welcher die Forensiker bereits an der Analyse des Zahlenwerkes arbeiten.

Aufgrund von Datenschutz Themen, ist es ebenfalls von erheblicher Bedeutung, dass eine Review Plattform mobil ist. Die großen Lösungen sind auf Serverracks installiert und können üblicherweise nicht vor Ort gebracht werden. So hat zB vor kurzem die WKStA eine Dateneinsicht mit der Begründung von Datenschutz nur vor Ort zugelassen, um den Review kontrollieren zu können.

“Analysis”: Die Ergebnisse des Review und der Content Analyse sollten dann laufend in eine analytische Software eingespielt werden. Diese visualisiert unter dem Arbeitstitel “Netzwerkanalyse” sämtliche Zusammenhänge zwischen Unternehmen, Personen, Emails, Bankkonten, Zahlungsströmen, Bewegungsprofilen, etc. 80% aller Ermittlungsbehörden weltweit nutzen hierzu die Analysesoftware „i2 Analyst´s Notebook“ von IBM[5].

Diese Software is ein “visual intelligence analysis environment” und ersetzt den uns aus diversen Thrillern bekannten Ansatz von Ermittlern Photos, Notizen, Pläne, Telefonnummern händisch mit Bindfaden auf einer großen Pinwand zu verbinden und zu vernetzen. Zahlungsströme können bis auf 1/10 Sekunde heruntergebrochen werden und zahlreiche Filter ermöglichen jedes Detail eines Sachverhaltes hervor zu heben und unterschiedlich zu verknüpfen. Somit wird die Darstellung be- und entlastender Fakten extrem vereinfacht und beschleunigt.

Die vorgenannte Arbeitshypothese war das händische Modell, auf welchem die eigentliche Analyse nun laufend aufsetzt und automatisiert die Veränderungen und Fortschritte in der fortlaufenden Untersuchung aufzeigte. Dadurch konnten sehr schnell Verdächtige ausgeschlossen oder neue Verdächtige identifiziert werden.

Dies sieht am Beispiel eines komplexen Betrugssachverhaltes der zu untersuchenden Gesellschaft, dessen Sachverhaltsdarstellung 110 Seiten umfasste, dann auf einer A3 Seite so aus:[6]

analyst

“Production and Presentation”: Durch Anwendung der zuvor beschriebenen Methoden, speziell durch die am Laufenden gehaltenen Visualisierungen wurde die Konzernrevision des Mandanten, beigezogene Berater und andere Zugriffsberechtigte permanent in den Prozess einbezogen und waren laufend am aktuellsten Stand.

Die wie oben dargestellten Einzelfallvisualisierungen, die mittels Filter aus der gesamte Analyse jederzeit produziert, ergänzt und geändert werden können, ermöglichten der Konzernrevision jeden einzelnen Fall, Geldfluss, Beziehungen zu Personen und Firmen übersichtlich und klar darzustellen. Jede Darstellung ist mit den erforderlichen und per Mausklick aufrufbaren Beweisen hinterlegt und die Anwälte sind nun am Zug, die daraus entstandenen zivil- und strafrechtlichen Konsequenzen durch zu setzen.

[1] www.wikipedia.org

[2] EDRM Model by EDRM initiative www.edrm.net

[3] John Le Carre, author, aka David John Moore Comwell, former MI5 and MI6

[4] Content analysis is „a wide and heterogeneous set of manual or computer-assisted techniques for contextualized interpretations of documents produced by communication processes in the strict sense of that phrase (any kind of text, written, iconic, multimedia, etc.) or signification processes (traces and artifacts), having as ultimate goal the production of valid and trustworthy inferences.“

[5] http://www-03.ibm.com/software/products/en/analysts-notebook

[6] I2 The Analysts Notebook

Recent Posts

Kommentieren

Suchbegriff eingeben und Enter klicken