Identitätsrisiken beginnen im HR

Fraud-Risiken entlang des Employee Lifecycle – Identitätsrisiken beginnen im HR

Dieser Beitrag ist der erste Deep Dive in der Artikelserie Fraud-Risiken entlang des Employee Lifecycle.

Der Dachartikel hat den Employee Lifecycle als praktische Perspektive auf HR Fraud Risk eingeführt.

Die zentrale Überlegung dahinter lautet:

HR-Prozesse erzeugen organisatorische Wahrheit — und organisatorische Wahrheit bestimmt die Kontrollrealität.

Diese organisatorische Wahrheit beginnt mit Identität.

Bevor eine Person eine Rechnung freigeben, Spesen einreichen, auf Systeme zugreifen, Lohn erhalten, Kontrollen beeinflussen, ein Team führen oder das Unternehmen nach aussen vertreten kann, muss die Organisation eine einfache Frage beantworten:

Wer ist diese Person?

Diese Frage klingt administrativ.

Aus Fraud-Risk-Sicht ist sie das nicht.

Identität ist eine der ersten kontrollrelevanten Tatsachen im Employee Lifecycle. Sobald eine Organisation eine Person als Mitarbeitende, Contractor, Consultant, temporäre Arbeitskraft, externe Benutzerin oder privilegierten Insider akzeptiert, beginnen zahlreiche nachgelagerte Systeme auf dieser Annahme aufzubauen.

Payroll kann sich darauf stützen.

Identity and Access Management kann sich darauf stützen.

Freigabe-Workflows können sich darauf stützen.

Finance, Procurement, Expense Reimbursement, physischer Zutritt, Data Protection Law, Compliance und der Audit Trail können sich darauf stützen.

Genau deshalb beginnen Identitätsrisiken im HR.

Identität als organisatorische Wahrheit

In vielen Organisationen ist HR der erste Ort, an dem eine Person als organisatorischer Akteur sichtbar wird.

Aus einer Kandidatin wird ein Hire.

Aus einem Hire wird eine Mitarbeitende.

Aus einer Mitarbeitenden wird eine Benutzerin.

Eine Benutzerin erhält Zugriff, Arbeitsmittel, Reporting Lines, Kostenstellenzuordnungen und unter Umständen auch Genehmigungs- oder Entscheidungsbefugnisse.

Damit entsteht mehr als eine Personalakte. Es entsteht eine organisatorische Identität.

Diese organisatorische Identität umfasst typischerweise mehrere fraud-relevante Attribute:

Name und weitere Identifikationsmerkmale
Geburtsdatum oder andere personenbezogene Basisdaten
Beschäftigungsart
Eintrittsdatum
Organisationseinheit
Rolle oder Position
Vorgesetzte Person
Arbeitsort
Kostenstelle
Payroll-Status
Bankverbindung
Vertragsart
Berechtigungsgrundlage für Systemzugriffe
Austritts- oder Enddatum

Sobald diese Attribute erfasst sind, bleiben sie selten nur im HR-System.

Sie fliessen in andere Systeme, Prozesse und Kontrollen.

Sind sie korrekt, stärken sie die Kontrollumgebung.

Sind sie unvollständig, veraltet, manipuliert oder nie ausreichend verifiziert worden, kann die Kontrollumgebung auf einer falschen Grundlage beruhen.

Das Problem ist also nicht nur, dass HR Master Data falsch sein können.

Das tiefere Problem liegt darin, dass nachgelagerte Kontrollen formal korrekt funktionieren können, obwohl sie sich auf eine Identität stützen, die nie hätte angelegt werden dürfen, längst hätte hinterfragt werden müssen oder nicht mehr aktiv sein sollte.

Was mit Identitätsrisiko gemeint ist

Ein Identitätsrisiko entsteht, wenn eine Organisation nicht zuverlässig bestimmen kann, ob die in HR- und Folgesystemen abgebildete Person, Beschäftigungsbeziehung oder organisatorische Rolle echt, korrekt, autorisiert und aktuell ist.

Das kann sehr unterschiedliche Formen annehmen.

Eine Person kann real sein, aber falsch klassifiziert werden.

Eine Person kann korrekt eingestellt worden sein, aber in mehreren Datensätzen existieren.

Ein Contractor kann für Zugriffsentscheidungen faktisch wie ein Employee behandelt werden.

Ein externer Benutzer kann aktiv bleiben, obwohl kein fachlicher Owner mehr existiert.

Ein Payroll-Datensatz kann für eine Person bestehen, die keine legitime Leistung für die Organisation erbringt.

Eine remote eingestellte Person kann mit falschen, gestohlenen oder vorgeschobenen Identitätsinformationen auftreten.

Ein Onboarding-Prozess kann Dokumente prüfen, ohne ausreichend sicherzustellen, dass die Person im Bewerbungsprozess, die Person im HR-Datensatz und die Person hinter dem später genutzten Benutzerkonto tatsächlich dieselbe Person ist.

Nicht jede Schwäche in der Identitätsprüfung ist Betrug.

Aber schwache Identity Governance schafft Bedingungen, unter denen Fraud Risk leichter entstehen, verborgen oder über längere Zeit aufrechterhalten werden kann.

Die fraud-relevante Identitätsfrage

Klassische Einstellungsprozesse fragen häufig, ob eine Person für eine bestimmte Rolle geeignet ist.

Die Fraud-Risk-Frage ist etwas anders:

Welches organisatorische Vertrauen entsteht, wenn diese Identität akzeptiert wird?

Diese Frage verschiebt die Perspektive.

Eine Rolle mit geringem Zugriff und tiefer Entscheidungsmacht kann ein anderes Mass an Identitäts- und Hintergrundprüfung erfordern als eine privilegierte IT-Rolle, eine Finance-Funktion, eine Payroll-Rolle, eine Procurement-Funktion, eine Assistenz mit weitreichenden Vollmachten, ein externer Consultant, ein Systemadministrator oder ein remote tätiger Entwickler.

Es geht nicht darum, jeden Hiring-Prozess unnötig schwerfällig zu machen.

Es geht darum, Identitätssicherheit proportional zu dem Vertrauen, Zugriff, der Autorität und der Datenexposition zu gestalten, die mit einer Rolle verbunden sind.

Identität bedeutet nicht nur, ob eine Person existiert.

Identität bestimmt, was die Organisation dieser Person erlaubt, sobald sie als legitim anerkannt wurde.

Ghost Employees und Payroll-Identität

Ein besonders klares Beispiel für Identitätsrisiken ist Ghost Employee Fraud.

Bei einem Ghost-Employee-Schema wird eine nicht existente oder nicht legitim beschäftigte Person in Payroll geführt. Löhne, Vergütungen oder Leistungen fliessen dann an jemanden, der diesen Datensatz kontrolliert oder davon profitiert.

Die Association of Certified Fraud Examiners beschreibt Ghost Employee Fraud als eine Form von Occupational Fraud, bei der eine nicht existente Person in Payroll aufgenommen wird und Zahlungen an diese Scheinkraft abgeleitet werden.

Aus Sicht des Employee Lifecycle beginnt der Fraud nicht mit der Zahlung.

Er beginnt mit der Anlage oder Akzeptanz der Identität.

Der Payroll-Lauf kann technisch korrekt sein.

Die Banküberweisung kann ordnungsgemäss ausgeführt werden.

Der Buchungssatz kann formal stimmen.

Und trotzdem ist die zugrunde liegende organisatorische Tatsache falsch: Diese Person hätte in der Payroll-Population nicht existieren dürfen.

Das zeigt, weshalb Identität upstream von Finance liegt.

Wenn die betrügerische Lohnzahlung in den Finanzdaten sichtbar wird, kann der entscheidende Kontrollfehler längst vorher passiert sein: in HR Master Data, im Onboarding, bei Genehmigungsrechten oder in der Governance von Payroll-Identitäten.

Remote Hiring und Proxy Identity

Identitätsrisiken sind durch Remote Work und hybride Arbeitsformen sichtbarer geworden.

Remote Hiring ist legitim, notwendig und in vielen Bereichen selbstverständlich. Gleichzeitig können dabei informelle Identitätssignale wegfallen, auf die Organisationen früher oft stillschweigend vertraut haben: physische Präsenz, lokales Onboarding, persönliche Dokumentenprüfung, direkte Übergabe von Geräten oder der persönliche Kontakt mit Kolleginnen und Vorgesetzten.

Öffentliche Behördeninformationen zeigen, wie relevant dieses Thema geworden ist.

Das U.S. Department of Justice beschrieb 2025 Remote-IT-Worker-Schemes, bei denen Personen mit gestohlenen oder falschen Identitäten Remote-Anstellungen erlangten. Dabei spielten unter anderem vorgeschobene Identitäten, Vermittler, manipulierte Online-Profile, technische Infrastruktur und sogenannte Laptop Farms eine Rolle.

Das FBI warnte ebenfalls vor North Korean IT Worker Threats to U.S. Businesses und verwies unter anderem auf verschleierte Identitäten, Unterstützung bei virtuellen Interviews, Remote-Access-Infrastrukturen und die Bedeutung direkter Prüfungen von Ausbildung, Arbeitserfahrung und Identitätsinformationen.

Für Fraud Prevention ist diese spezifische Bedrohungslage nur ein Beispiel.

Die breitere Lehre ist wichtiger: Hiring, Identitätsprüfung, Gerätezustellung, Remote Access, Payroll und Datensicherheit sind keine getrennten Themen.

Sie hängen an einer gemeinsamen Kontrollfrage:

Ist die Person, die eingestellt wurde, dieselbe Person, die später mit Zugriff, Gerät und organisatorischem Vertrauen arbeitet?

HR, IAM und die Quelle der Identität

Identitätsrisiken werden häufig als IT- oder Cybersecurity-Thema behandelt.

Das ist nur teilweise richtig.

Identity and Access Management-Systeme können Benutzerkonten anlegen, Authentifizierung erzwingen, Gruppen zuweisen, Rollenvorlagen anwenden und Zugriffe deaktivieren.

Viele dieser technischen Prozesse hängen jedoch von HR Master Data ab.

Wenn HR-Daten anzeigen, dass eine Person aktiv beschäftigt ist, eine bestimmte Rolle innehat, zu einer Organisationseinheit gehört oder für bestimmte Zugriffe berechtigt ist, kann ein technisches System daraus korrekte Provisioning-Entscheidungen ableiten.

Das technische System kann also funktionieren wie vorgesehen.

Die zugrunde liegende Identitätsannahme kann trotzdem falsch sein.

Genau deshalb lassen sich HR und Identity and Access Management aus Fraud-Risk-Sicht nicht sauber trennen.

Die NIST SP 800-63-4 Digital Identity Guidelines behandeln unter anderem Identity Proofing, Authentication und Federation für Benutzer, einschliesslich Employees und Contractors.

NIST SP 800-63A-4 Identity Proofing and Enrollment fokussiert spezifisch auf Identity Proofing und Enrollment. Für Organisationen ist diese Unterscheidung praktisch relevant, weil Identitätsprüfung und Authentifizierung unterschiedliche Kontrollfragen beantworten.

Authentifizierung zeigt, dass jemand ein Credential nutzen kann.

Sie beweist nicht automatisch, dass die ursprüngliche HR-Identität korrekt, vollständig und fraud-risk-angemessen geprüft wurde.

Starke Authentifizierung ist wichtig.

Sie kann eine schwache Identitätsanlage aber nicht vollständig kompensieren.

Identitätsrisiko ist auch Data-Integrity-Risiko

Identitätsrisiko ist eng mit Data Integrity und der Integrität von HR Master Data verbunden.

Die Identität einer Person in der Organisation wird nicht durch ein einzelnes Feld definiert. Sie entsteht aus einer Kombination von Attributen.

Einige dieser Attribute sind personenbezogen.

Andere sind vertraglich.

Andere sind organisatorisch.

Andere sind technisch.

Wieder andere sind finanziell.

Ein Fraud Risk kann entstehen, wenn eines dieser Attribute falsch, manipuliert oder veraltet ist.

Beispiele:

Eine Person wird als Employee geführt, obwohl sie tatsächlich ein externer Contractor ist.
Ein Eintrittsdatum wird erfasst, bevor die Identitätsprüfung abgeschlossen ist.
Ein Austrittsdatum fehlt oder ist falsch.
Eine Bankverbindung wird ohne ausreichende Freigabe geändert.
Das Manager-Feld ist falsch.
Eine Kostenstelle wird manipuliert.
Ein externer Benutzer hat keinen benannten fachlichen Owner.
Für dieselbe Person bestehen mehrere HR-Datensätze.
Eine privilegierte Rolle wird aufgrund einer veralteten Position vergeben.
Eine Notfall-Ausnahme im Onboarding wird nie nachträglich überprüft.

In jedem dieser Fälle kann der Sachverhalt administrativ wirken.

Die Kontrollwirkung kann trotzdem erheblich sein.

Ein falsches HR-Attribut kann den falschen Zugriff, die falsche Zahlung, den falschen Genehmigungsweg, die falsche Reporting Line oder den falschen Kontrollverantwortlichen auslösen.

Deshalb ist die nächste Ebene der Employee Lifecycle Fraud Risk Lens das Thema HR Master Data.

Identität wird zuerst geschaffen.

HR Master Data bestimmen danach, wie sich diese Identität in der Kontrollumgebung verhält.

Typische Szenarien für Identitätsrisiken

Identitätsrisiken können an unterschiedlichen Stellen im Hiring- und Onboarding-Prozess entstehen.

1. Nicht existente oder nicht legitime Mitarbeitende

Die Organisation legt einen Personal- oder Payroll-Datensatz für eine Person an oder hält ihn aktiv, obwohl diese Person nicht legitim für die Organisation arbeitet.

Das kann Ghost Employee Fraud, Payroll Fraud oder unberechtigte Leistungszahlungen ermöglichen.

2. Doppelte Identitäten

Dieselbe Person erscheint in mehreren Datensätzen, Systemen oder Beschäftigungskategorien.

Doppelte Identitäten können zu Unklarheiten bei Zugriff, Zahlung, Reporting, Audit Trail und Verantwortlichkeit führen.

3. Falsche oder gestohlene Identitätsinformationen

Eine Person nutzt Identitätsinformationen, die ihr nicht gehören, oder kombiniert echte und falsche Angaben, um Onboarding-Kontrollen zu bestehen.

Dieses Risiko ist besonders relevant bei Remote Hiring, Contractor Onboarding und ausgelagerten Staffing-Modellen.

4. Proxy Identity oder geliehene Identität

Eine Person besteht den Bewerbungs- oder Onboarding-Prozess, aber eine andere Person erbringt später die Leistung, nutzt das Benutzerkonto oder kontrolliert das Gerät.

Damit entsteht eine Lücke zwischen der geprüften Person und dem tatsächlichen operativen Akteur.

5. Falsch klassifizierte Beschäftigungsbeziehung

Ein externer Contractor, Consultant, Temporärmitarbeitender oder Vendor User wird faktisch wie ein Employee behandelt, ohne dass vergleichbare Governance, Verantwortlichkeit oder Enddatum-Disziplin besteht.

Das kann übermässige Zugriffe, Access Rights Abuse oder schwache Accountability begünstigen.

6. Unvollständige Identitätsprüfung

Eine Person wird eingestellt oder aktiviert, bevor erforderliche Identitätsprüfungen, Background Checks, Referenzprüfungen oder Conflict of Interest-Erklärungen abgeschlossen sind.

Solche Ausnahmen können im Einzelfall begründet sein. Sie werden jedoch selbst zum Kontrollrisiko, wenn sie nicht genehmigt, dokumentiert, überwacht und geschlossen werden.

7. Unklare Verantwortung für Identität

Keine Funktion fühlt sich vollständig verantwortlich für die Integrität des Personendatensatzes über HR, Payroll, Identity and Access Management, physischen Zutritt, Vendor-Systeme und Kollaborationsplattformen hinweg.

Das Ergebnis ist fragmentierte Identity Governance.

Red Flags

Identitätsbezogene Red Flags zeigen sich häufig als kleine Inkonsistenzen.

Einzeln betrachtet wirken sie oft harmlos.

In Kombination können sie jedoch auf eine schwache Identitätskontrollumgebung hinweisen.

Relevante Red Flags sind unter anderem:

HR-Datensätze werden ohne vollständige Identitätsnachweise angelegt.
Payroll wird aktiviert, bevor Onboarding-Prüfungen abgeschlossen sind.
Dieselbe Bankverbindung, Adresse, Telefonnummer oder Notfallkontaktperson erscheint bei mehreren Employees oder Contractors.
Doppelte Personaldatensätze enthalten ähnliche Stammdaten.
Name, Bankdaten, Geburtsdatum, Beschäftigungsart oder Eintrittsdatum werden ungewöhnlich häufig manuell geändert.
Notfall-Ausnahmen im Onboarding treten wiederholt auf.
Externe Benutzer haben keinen benannten fachlichen Owner oder kein Enddatum.
Contractors erhalten employee-ähnliche Zugriffe ohne vergleichbare Prüfung.
Geräte werden an Adressen versendet, die nicht zum Hiring- oder HR-Datensatz passen.
Remote-Kandidaten vermeiden Live-Interaktion, sofern solche Prüfungen rechtlich und operativ zulässig sind.
Angaben in CV, Identitätsdokumenten, Payroll-Daten, Online-Profilen und Referenzen passen nicht zusammen.
Manager übersteuern Standardkontrollen ohne dokumentierte Begründung.
Benutzerkonten sind aktiv, bevor die Beschäftigungsbeziehung formal genehmigt ist.
HR-Status, IAM-Status, Payroll-Status und physischer Zutrittsstatus stimmen nicht überein.

Keine dieser Red Flags beweist für sich allein Fraud.

Jede davon sollte aber eine Kontrollfrage auslösen.

Kontrollfragen

Ein praktisches Fraud Risk Assessment kann bei Identität mit einfachen Fragen beginnen.

Anlage der Identität

Wer darf im HR-System einen Personendatensatz anlegen?
Welche Nachweise sind erforderlich, bevor ein Employee, Contractor oder externer Benutzer aktiv wird?
Gibt es unterschiedliche Assurance Levels für Rollen mit unterschiedlichem Risiko?
Sind Identitätsprüfungen abgeschlossen, bevor Payroll, Zugriff und Arbeitsmittel aktiviert werden?
Wie werden dringende Onboarding-Ausnahmen genehmigt, verfolgt und nachträglich geschlossen?

Identitätsattribute

Welche HR-Attribute steuern nachgelagerte Kontrollen?
Welche Systeme verlassen sich auf HR als Quelle für Beschäftigungsstatus, Rolle, Manager, Kostenstelle, Standort oder Access Eligibility?
Wer darf sensible Identitätsattribute ändern?
Werden Änderungen an Bankdaten, Beschäftigungsart, Manager, Rolle oder Eintrittsdatum protokolliert und überprüft?

Duplikate und Auffälligkeiten

Werden doppelte Datensätze aktiv erkannt?
Werden geteilte Bankverbindungen, Adressen, Telefonnummern oder Notfallkontakte geprüft?
Werden inaktive, unvollständige oder ruhende Datensätze regelmässig bereinigt?
Werden Contractor- und Employee-Populationen miteinander abgeglichen?

Remote und externe Benutzer

Wie stellt die Organisation sicher, dass interviewte Person, vertraglich gebundene Person und systemnutzende Person identisch sind?
Wer ist für die Identität externer Benutzer verantwortlich?
Haben externe Benutzer definierte Sponsoren, Zugriffszwecke und Enddaten?
Unterliegen Staffing Agencies, Outsourcing-Partner und Hiring-Plattformen vergleichbaren Anforderungen an Identity Governance?

Systemabgleich

Werden HR, Payroll, Identity and Access Management, physischer Zutritt und Finance-Daten regelmässig abgeglichen?
Kann eine Person in einem System aktiv und in einem anderen inaktiv sein?
Werden zurückgezogene, nie gestartete oder ausgeschiedene Personen aus verbundenen Systemen entfernt?
Gibt es einen Audit Trail von der Recruiting-Freigabe über die HR-Anlage bis zur Payroll-Aktivierung und Access Provisioning?

Praktische Kontrollmassnahmen

Identitätsrisiko lässt sich nicht durch eine einzelne Kontrolle eliminieren.

Es braucht eine Kontrollkette über HR, IT, Payroll, Legal, Compliance und Linienmanagement hinweg.

Identitätsanlage als Kontrollereignis behandeln

Die Anlage eines Personendatensatzes sollte nicht als reine Datenerfassung verstanden werden.

Sie ist der Moment, in dem die Organisation eine kontrollrelevante Identität schafft.

Anlage und Freigabe trennen

Bei risikobehafteten Identitäten sollte dieselbe Person nicht ohne unabhängige Prüfung Datensatz, Freigabe und Aktivierung kontrollieren.

Das ist besonders wichtig, wenn die Identität zu Payroll-Aktivierung, privilegiertem Zugriff oder finanzieller Autorität führt.

Risikobasierte Nachweise definieren

Nicht jede Rolle benötigt dieselbe Prüfintensität.

Für sensible Rollen sollten jedoch klare Standards für Identität, Arbeitsberechtigung, Referenzen, Qualifikationen, Conflict of Interest-Erklärungen und Background Checks bestehen.

HR-Aktivierung mit nachgelagertem Provisioning verbinden

Payroll-Aktivierung, Systemzugriffe und Gerätezuteilung sollten von einem definierten HR-Identitätsstatus abhängen.

Eine Person sollte keine operative Fähigkeit erhalten, bevor die Identitätskontrollen erfüllt sind oder eine genehmigte Ausnahme dokumentiert wurde.

Sensible Identitätsänderungen überwachen

Änderungen an Bankverbindung, Name, Beschäftigungsstatus, Rolle, Manager, Kostenstelle, Arbeitsort und Beschäftigungsart sollten protokolliert und risikobasiert überprüft werden.

Identitätspopulationen abgleichen

Regelmässige Reconciliations zwischen HR, Payroll, Identity and Access Management, physischem Zutritt, Contractor-Daten und Finance-Systemen können Abweichungen sichtbar machen, bevor daraus Fraud oder Kontrollversagen entsteht.

Externe Identitäten in die Governance einbeziehen

Contractors, Consultants, Temporärmitarbeitende, Vendor Users und andere Non-Employees sollten Teil des Identity-Governance-Modells sein.

Sie sind möglicherweise keine Mitarbeitenden im arbeitsrechtlichen Sinn. Trotzdem können sie employee-ähnliche Fraud Risks, Access Risks und Data Protection Risks schaffen.

Audit Trails sichern

Identitätsbezogene Entscheidungen sollten nachvollziehbar sein.

In einer späteren Untersuchung sollte rekonstruierbar sein, wer die Identität angelegt hat, welche Nachweise geprüft wurden, wer die Aktivierung freigegeben hat, welche Änderungen vorgenommen wurden und welche Systeme auf den Datensatz vertraut haben.

Das Identity Lifecycle Management Playbook zeigt den Lifecycle von Identitäten als fortlaufenden Prozess. Diese Perspektive ist hilfreich, weil Identitätsrisiko nicht endet, sobald ein Personendatensatz angelegt wurde.

Forensische Relevanz

Wenn ein Fall Payroll Fraud, Access Rights Abuse, Expense Reimbursement Fraud, Procurement Fraud oder unberechtigten Datenzugriff betrifft, beginnt die Untersuchung häufig downstream.

Wer hat die Transaktion freigegeben?

Wer hat das Konto genutzt?

Wer hat die Zahlung erhalten?

Wer hat die Bankverbindung geändert?

Diese Fragen sind notwendig.

Die Employee Lifecycle Fraud Risk Lens ergänzt sie jedoch um eine vorgelagerte Frage:

Wie wurde diese Person überhaupt zu einer vertrauenswürdigen organisatorischen Identität?

Relevante Beweismittel können unter anderem sein:

Recruiting-Unterlagen
Onboarding-Dokumentation
Identitätsprüfungen
Background Checks
Conflict of Interest-Erklärungen
Änderungsprotokolle von HR Master Data
Payroll-Aktivierungsdaten
Änderungen von Bankverbindungen
Access Provisioning Logs
Geräteversand- oder Übergabeprotokolle
physische Zutrittsdaten
Contractor- oder Vendor-Onboarding-Unterlagen
Ausnahmegenehmigungen
Manager-Freigaben
Austritts-, Rückzugs- oder Never-Started-Datensätze

Besonders wichtig ist das dort, wo der Fall technisch gültig aussieht.

Eine Zahlung kann an eine aktive Person erfolgt sein.

Ein Benutzerkonto kann mit gültigen Credentials genutzt worden sein.

Eine Freigabe kann dem Workflow gefolgt sein.

Ein Gerät kann einer benannten Person zugewiesen worden sein.

Wenn jedoch das Identitätsfundament falsch ist, zeigt der nachgelagerte Kontrollpfad möglicherweise nur, dass die Organisation konsequent auf eine falsche oder manipulierte organisatorische Tatsache vertraut hat.

Warum das wichtig ist

Identitätsrisiken werden oft unterschätzt, weil sie früh, leise und administrativ erscheinen.

Sie sehen nicht immer aus wie Fraud.

Sie sehen aus wie Onboarding.

Sie sehen aus wie Datenerfassung.

Sie sehen aus wie ein fehlendes Dokument.

Sie sehen aus wie eine Ausnahme.

Sie sehen aus wie ein Contractor-Datensatz.

Sie sehen aus wie ein Benutzerkonto, das auf Aktivierung wartet.

Aber genau an diesen Punkten schafft die Organisation Vertrauen.

Sobald Identität akzeptiert ist, beginnen andere Kontrollen darauf aufzubauen.

Deshalb ist HR in der Fraud Prevention nicht nur Support-Funktion. HR ist Teil der Kontrollumgebung.

Und deshalb beginnt der erste Deep Dive der Employee Lifecycle Fraud Risk Lens an dieser Stelle:

Identitätsrisiken beginnen im HR.

Fazit

Fraud Risk beginnt nicht immer mit einer Transaktion.

Manchmal beginnt es damit, dass eine Organisation akzeptiert, dass eine Person diejenige ist, die sie vorgibt zu sein, an den richtigen Ort gehört und das Vertrauen erhalten soll, das mit einer Rolle verbunden ist.

Identität ist eine der ersten organisatorischen Tatsachen im Employee Lifecycle.

Sie bestimmt, wer bezahlt werden kann, wer Systeme nutzen darf, wer Arbeitsmittel erhält, wem Autorität zugewiesen wird und wer im Audit Trail erscheint.

Ist diese Identität falsch, unvollständig, doppelt vorhanden, falsch klassifiziert oder unzureichend kontrolliert, können nachgelagerte Kontrollen auf der falschen Realität operieren.

Die Employee Lifecycle Fraud Risk Lens hilft, diesen Zusammenhang sichtbar zu machen.

Bevor eine Organisation fragt, ob eine Transaktion korrekt freigegeben, ein Zugriff richtig genutzt oder eine Zahlung gerechtfertigt war, sollte sie auch fragen:

Wurde die Identität selbst korrekt angelegt, geprüft und gesteuert?

Weitere Perspektiven

Dieser Beitrag ist Teil der Artikelserie Fraud-Risiken entlang des Employee Lifecycle.

Der Dachartikel hat den Employee Lifecycle als praktische Perspektive auf Fraud Risk in Hiring, Onboarding, Rollenwechseln, Incentives, Access Rights und Offboarding eingeführt.

Dieser erste Deep Dive fokussierte auf Identitätsrisiken. Der nächste Beitrag wird zeigen, weshalb HR Master Data nicht nur administrative Daten sind, sondern eine Fraud Control Surface.

Quellen und Referenzen

Wie bewerten Sie diesen Beitrag?