Fraud-Risiken entlang des Employee Lifecycle

HR-Prozesse und HR-Systeme verwalten nicht nur Beschäftigungsverhältnisse. Sie definieren Identität, Rollen, Zugänge, Anreize, Berichtslinien und Austrittsbedingungen – und schaffen oder verändern damit kontrollrelevante Annahmen.

Fraud-Risiken werden häufig mit finanziellen Transaktionen, Buchungen, Spesenabrechnungen, Beschaffungsprozessen oder Vermögensbewegungen verbunden.

Diese Perspektive ist richtig, aber unvollständig.

In vielen Organisationen entstehen die Bedingungen, die später Betrug ermöglichen, deutlich früher. Sie entstehen, wenn eine Person eingestellt wird, wenn eine Rolle zugewiesen wird, wenn Zugänge vergeben werden, wenn Anreize gesetzt werden, wenn Verantwortlichkeiten wechseln oder wenn ein Beschäftigungsverhältnis endet.

Genau hier kann der Employee Lifecycle als Perspektive auf Fraud-Risiken hilfreich sein.

Nicht als formales Fraud-Modell. Nicht als Ersatz für etablierte Konzepte wie Fraud Triangle, Internal Controls oder Fraud Risk Assessment.

Vielmehr bietet der Employee Lifecycle eine praktische Struktur, um eine einfache Frage zu stellen:

An welchen Punkten im Beschäftigungsverhältnis können Identität, Befugnisse, Zugänge, Anreize oder Kontrollverantwortlichkeiten Fraud-Risiken erzeugen?

Der Employee Lifecycle als Risikoperspektive

Der Employee Lifecycle beschreibt die typischen Phasen eines Beschäftigungsverhältnisses – von Rekrutierung und Onboarding über Rollenwechsel, Performance Management, Vergütungsprozesse bis zum Austritt.

Im HR-Kontext wird der Lifecycle meist als administrative oder personalwirtschaftliche Struktur verstanden.

Aus Sicht der Wirtschaftsforensik kann er jedoch auch als Abfolge kontrollrelevanter Ereignisse gelesen werden.

Jede Phase erzeugt oder verändert wichtige organisatorische Fakten:

• Wer ist diese Person?
• Welche Rolle hat sie?
• Auf welche Systeme und Daten kann sie zugreifen?
• Wer genehmigt ihre Handlungen?
• Welche Anreize gelten?
• Wann müssen Zugriff und Befugnisse enden?

Diese Fragen sind nicht rein administrativ. Sie definieren Teile des Kontrollumfelds.

Wenn HR-Daten Identität, Rolle, Berichtslinie, Beschäftigungsstatus, Kostenstellenzuordnung, Zugangsberechtigung oder Genehmigungsbefugnis bestimmen, dann werden HR-Daten Teil der Fraud Control Surface.

Hire: Identität, Qualifikationen und Interessenkonflikte

Der erste Risikopunkt entsteht, bevor eine Person operativ tätig wird.

In der Einstellungsphase legt die Organisation Identität, Qualifikationen und organisatorische Zuordnung einer Person fest. Ist diese Grundlage schwach, können spätere Kontrollen auf falschen Annahmen beruhen.

Relevante Risiken sind unter anderem:

• unzureichende Identitätsprüfung
• nicht validierte Qualifikationen oder Nachweise
• nicht offengelegte Conflict of Interest
• voreingenommene oder manipulierte Auswahlprozesse
• unklare Abgrenzung zwischen Mitarbeitenden, Contractors und externen Nutzern

Forensische Relevanz entsteht dort, wo eine Organisation Vertrauen, Befugnisse oder Zugänge auf Basis unvollständiger oder fehlerhafter Informationen gewährt.

Das bedeutet nicht, dass jede Schwäche im Recruiting bereits Betrug ist. Aber die Einstellungsphase ist häufig der Moment, in dem die ersten Kontrollannahmen entstehen.

Onboard: Rollen, Zugänge und Segregation of Duties

Onboarding übersetzt den Beschäftigungsstatus in operative Handlungsfähigkeit.

In dieser Phase weist die Organisation Rollen zu, vergibt Zugänge, stellt Arbeitsmittel bereit, aktiviert Accounts und bindet die Person in Workflows, Genehmigungswege und Reporting-Strukturen ein.

Typische Risiken sind:

• zu weitreichende initiale Zugriffsrechte
• Rollen-Templates, die ohne ausreichende Prüfung kopiert werden
• fehlende oder schwache Segregation of Duties
• unklare Genehmigungsverantwortlichkeiten
• externe Nutzer mit Zugängen über ihr tatsächliches Mandat hinaus

Zugriff wird häufig als IT-Thema behandelt. In der Praxis ist Zugriff jedoch ebenso ein HR- und Governance-Thema.

Zugriffsentscheidungen hängen häufig von HR-Stammdaten ab: Rolle, Position, Organisationseinheit, Führungskraft, Beschäftigungsart und Beschäftigungsstatus.

Wenn diese Daten falsch, unvollständig oder veraltet sind, können Zugriffskontrollen versagen, obwohl das technische System korrekt funktioniert.

Move: Rollenwechsel und Control Drift

Fraud-Risiken entstehen nicht nur beim Eintritt in eine Organisation. Sie können sich im Zeitverlauf ansammeln.

Interne Wechsel, Beförderungen, laterale Transfers, Projektzuweisungen und Reorganisationen können zu einem Zustand führen, den man als Control Drift bezeichnen kann.

Control Drift entsteht, wenn tatsächliche Befugnisse, Zugriffsrechte oder Verantwortlichkeiten einer Person nicht mehr zu ihrer aktuellen Rolle passen.

Typische Beispiele sind:

• alte Zugriffsrechte bleiben nach einem Rollenwechsel aktiv
• neue Rechte werden ergänzt, ohne veraltete Rechte zu entfernen
• temporäre Zugriffe werden dauerhaft
• Genehmigungswege werden nach Führungswechseln nicht angepasst
• Kostenstellen- oder Organisationszuordnungen entsprechen nicht mehr der operativen Realität

Dies ist besonders relevant für Access Rights Abuse.

Die betroffene Person hat den Zugriff möglicherweise nicht illegal erlangt. Das Risiko entsteht, weil legitimer Zugriff übermässig, veraltet oder unzureichend überprüft ist.

Reward: Anreize, Spesen und Verhaltensdruck

Vergütungsprozesse sind ein weiterer wichtiger Teil des Employee Lifecycle.

Vergütung, Boni, Vertriebsanreize, Spesenvergütung, Zeiterfassung und variable Lohnbestandteile beeinflussen Verhalten.

Anreize verursachen für sich allein keinen Betrug. Schlecht gestaltete Anreizsysteme können jedoch Druck erhöhen, Manipulation begünstigen oder schwache Kontrollen attraktiver machen.

Relevante Risiken sind unter anderem:

• Bonusmodelle, die Druck rund um Stichtage und Reporting Cut-offs erzeugen
• Vertriebsziele, die aggressives oder irreführendes Verhalten fördern
• Spesenprozesse mit schwachen Prüfmechanismen
• Zeit- oder Anwesenheitsdaten, die zahlungsrelevant sind, aber unzureichend validiert werden
• KPI-Strukturen, die kurzfristige Ergebnisse stärker belohnen als Kontrolldisziplin

Hier schneiden sich HR, Finance und Governance.

Expense Reimbursement Fraud, Expense Account Fraud oder die Manipulation leistungsbezogener Daten können in Finanz- oder Reporting-Systemen sichtbar werden. Die verhaltensbezogenen Bedingungen können jedoch aus Vergütungsdesign und organisatorischem Druck entstehen.

Manage: Kultur, Druck und Control Override

Die Managementphase des Employee Lifecycle umfasst Performance Management, Zielsetzung, disziplinarische Prozesse, Berichtslinien und Führungsverhalten.

Aus Fraud-Risk-Perspektive ist diese Phase relevant, weil sie das praktische Umfeld prägt, in dem Kontrollen wirken.

Formale Kontrollen können vorhanden sein. Ihre Wirksamkeit hängt jedoch davon ab, wie Menschen unter Druck handeln.

Relevante Risiken sind:

• Führungskräfte umgehen Genehmigungsprozesse
• Leistungsdruck führt zu fehlerhafter oder manipulierter Berichterstattung
• Warnhinweise oder Beschwerden werden ignoriert
• Mitarbeitende werden davon abgehalten, Bedenken zu melden
• informelle Machtstrukturen übersteuern formale Kontrollen

Dies steht in direktem Zusammenhang mit Tone at the Top, Control Override, Whistleblowing und Whistleblower Retaliation.

Fraud Prevention ist deshalb nicht nur eine Frage von Richtlinien oder Workflow-Design. Sie hängt auch davon ab, ob eine Organisation Ausnahmen, Rationalisierungen und informelle Umgehungen toleriert.

Exit: Offboarding und verbleibender Zugriff

Das Ende eines Beschäftigungsverhältnisses wird häufig als administrativer Abschluss verstanden.

Aus Fraud-Risk-Perspektive ist es ein kritisches Kontrollereignis.

Wenn Zugriff, Befugnisse und Datenexposition nicht sauber beendet werden, können Risiken bestehen bleiben, obwohl das Beschäftigungsverhältnis formal beendet ist.

Typische Risiken sind:

• aktive Systemkonten nach Austritt
• externe Nutzer ohne klares Enddatum
• weiterbestehender Zugriff auf Shared Mailboxes oder Kollaborationstools
• nicht entzogene Administratorrechte
• unzureichende Rückgabe oder Deaktivierung von Geräten
• unklare Behandlung vertraulicher Informationen

Offboarding ist deshalb mehr als eine HR-Checkliste.

Es ist eine Kontrollaktivität, die HR, IT, Recht, Datenschutz und operatives Management verbindet.

Schwaches Offboarding kann Risiken für die Integrität des Audit Trail, Data Protection Law und GDPR / DSGVO erzeugen, insbesondere wenn Zugriff auf personenbezogene, finanzielle oder vertrauliche Geschäftsdaten weiterhin möglich bleibt.

Warum diese Perspektive für Fraud Prevention relevant ist

Der Employee Lifecycle hilft Organisationen, Fraud-Risiken zu erkennen, bevor sie als Transaktionen, Zahlungen, Buchungen oder Untersuchungsfälle sichtbar werden.

Er verlagert die Aufmerksamkeit nach vorne.

Statt nur zu fragen, ob eine Transaktion korrekt genehmigt wurde, können Organisationen zusätzlich fragen:

• Wurde die Person korrekt identifiziert?
• Wurde die Rolle korrekt zugewiesen?
• Waren die Zugriffsrechte angemessen?
• Erzeugen Anreize unangemessenen Druck?
• Sind Kontrollverantwortlichkeiten klar definiert?
• Wurde Zugriff beendet, als das Beschäftigungsverhältnis endete?

Diese Perspektive ersetzt keine klassischen Fraud-Risk-Konzepte.

Sie ergänzt sie, indem sie eine lifecycle-basierte Möglichkeit bietet, fraud-begünstigende Bedingungen zu lokalisieren.

Wenn HR-Daten definieren, wer eine Person ist, welche Rolle sie innehat, wer ihre Handlungen genehmigt und welche Zugänge sie erhält, dann werden HR-Daten Teil des Fraud-Kontrollumfelds.

Fazit

Der Employee Lifecycle ist keine Fraud-Theorie und kein formales Kontrollmodell.

Er ist eine praktische Struktur, um Risikopunkte entlang eines Beschäftigungsverhältnisses sichtbar zu machen.

Sein Wert liegt darin, dass er zeigt: Fraud-Risiken entstehen häufig, bevor Finance involviert ist.

Identität, Rollen, Zugänge, Anreize, Berichtslinien und Austrittsprozesse sind nicht nur administrative Details. Sie sind kontrollrelevante Fakten.

Den Employee Lifecycle als Fraud-Risk-Perspektive zu lesen, hilft Organisationen, Risikobedingungen früher zu erkennen, HR-Daten mit Kontrolllogik zu verbinden und zu verstehen, wie organisatorische Gestaltung Fraud-Risiken reduzieren oder ermöglichen kann.

Weitere Perspektiven

Dieser Artikel führt den Employee Lifecycle als praktische Struktur zur Identifikation von Fraud-Risiken ein. Weitere Beiträge werden ausgewählte Bereiche vertiefen, darunter Identitätsrisiken, HR-Stammdaten, Anreizsysteme, Zugriffsrechte, Qualifikations-Governance und Offboarding.

Verwandte Themen

• Fraud Triangle
• Internal Controls
• Segregation of Duties
• Access Rights Abuse
• Conflict of Interest
• Control Override
• Whistleblowing
• Identity Fraud

Quellen und Referenzen

• ACFE – Report to the Nations on Occupational Fraud and Abuse
• ACFE – Fraud Examiners Manual
• COSO – Internal Control Framework
• ISO 37301 – Compliance Management Systems