Wie verhindern Sie Betrug und Fehler durch ein Vier-Augen-Prinzip im Zahlungsverkehr?

Ein unbemerkter Klick, eine manipulierte Bankverbindung, eine freigegebene Zahlung – und schon können sechs- oder siebenstellige Beträge unwiederbringlich verloren sein. Für CFOs und Revisoren ist dieses Szenario kein theoretisches Risiko, sondern eine reale Bedrohung, die täglich an die Tür klopft. Viele Unternehmen wiegen sich in falscher Sicherheit, weil sie formal ein Vier-Augen-Prinzip implementiert haben. Doch die reine Anweisung, dass eine zweite Person eine Zahlung freigeben muss, ist oft ein zahnloser Tiger. Die gängige Praxis zeigt, dass die blosse Existenz einer Regel ohne ein dahinterliegendes, lückenloses System der Kontrolle und Funktionstrennung wertlos ist.

Die wahren Gefahren lauern nicht in der offensichtlichen Missachtung von Regeln, sondern in den subtilen Schwachstellen des Prozesses: Wer darf Lieferantenstammdaten ändern? Wer prüft die Integrität dieser Daten vor der Überweisung? Und was passiert, wenn der vorgesehene Prüfer im Urlaub ist? Ein robustes internes Kontrollsystem (IKS) beantwortet diese Fragen nicht mit vagen Richtlinien, sondern mit in der IT-Systemlandschaft verankerten, unumstösslichen Prozessen. Es geht nicht darum, ob jemand hinschaut, sondern darum, sicherzustellen, dass Manipulationen von vornherein systemisch unmöglich gemacht werden.

Dieser Leitfaden bricht daher mit der oberflächlichen Betrachtung des Vier-Augen-Prinzips. Stattdessen beleuchten wir die kritischen Kontrollpunkte, die in der Praxis über Sicherheit oder existenzbedrohenden Schaden entscheiden. Wir werden die untrennbare Verbindung zwischen einer GoBD-konformen Verfahrensdokumentation, der strikten Funktionstrennung und der technischen Absicherung von Zahlungsprozessen aufzeigen. Ziel ist es, Ihnen als Verantwortlichem die Werkzeuge an die Hand zu geben, um von einem reaktiven Kontrollgefühl zu einer proaktiven, audit-sicheren Prozesslandschaft zu gelangen und so das Unternehmen und sich selbst vor den Konsequenzen zu schützen.

Um diese kritischen Aspekte systematisch zu beleuchten, gliedert sich der Artikel in zentrale Fragestellungen, die jeden Bereich eines wirksamen internen Kontrollsystems für den Zahlungsverkehr abdecken. Die folgende Übersicht führt Sie durch die entscheidenden Kontrollpunkte.

Warum ist eine Verfahrensdokumentation für das Finanzamt überlebenswichtig?

Eine Verfahrensdokumentation nach den Grundsätzen zur ordnungsmässigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) ist kein optionales Verwaltungspapier, sondern das Fundament Ihres internen Kontrollsystems. Für das Finanzamt ist sie der Beweis, dass Ihre digitalen Prozesse – vom Rechnungseingang bis zur Zahlung – nachvollziehbar, vollständig, richtig, zeitgerecht, geordnet und unveränderbar sind. Fehlt diese Dokumentation oder ist sie mangelhaft, öffnet dies Tür und Tor für die schwerwiegendste Sanktion einer Betriebsprüfung: die Verwerfung der Buchführung. Dies kann, laut aktueller GoBD-Richtlinien 2024, zu empfindlichen Hinzuschätzungen führen, die die Steuerlast des Unternehmens drastisch erhöhen.

Die Dokumentation beschreibt exakt, welche Systeme im Einsatz sind, wer welche Berechtigungen hat und welche Kontrollmechanismen – wie das Vier-Augen-Prinzip – implementiert sind. Sie ist der schriftliche Nachweis Ihrer Sorgfaltspflicht. Ein Prüfer wird gezielt nach der Beschreibung des Prozesses zur Freigabe von Zahlungen fragen. Können Sie hier keinen dokumentierten, gelebten und kontrollierten Prozess vorweisen, gilt die Ordnungsmässigkeit Ihrer Buchführung als grundlegend gefährdet. Besonders kritisch wird es bei der digitalen Belegverarbeitung. Das Ersetzen des Papierbelegs durch einen Scan (ersetzendes Scannen) ist nur dann zulässig, wenn der Prozess in einer Verfahrensdokumentation exakt beschrieben und gegen Manipulationen gesichert ist.

Letztlich ist eine lückenlose Verfahrensdokumentation Ihre Versicherung gegen die schwerwiegendsten Vorwürfe eines Betriebsprüfers. Sie beweist, dass Sie Betrug und Fehler nicht dem Zufall überlassen, sondern systematisch bekämpfen.

Wer darf bis zu welcher Summe allein bestellen oder überweisen?

Die Definition klarer Zahlungslimiten und Freigabekompetenzen ist das operative Herzstück jedes Vier-Augen-Prinzips. Es ist inakzeptabel, dass jeder Mitarbeiter potenziell unbegrenzte Summen anweisen kann. Eine gestaffelte Freigabematrix, die Zuständigkeiten an Betragshöhen koppelt, ist daher eine zwingende Anforderung für ein wirksames IKS. Diese Matrix regelt unmissverständlich, ab welchem Betrag eine Einzelfreigabe nicht mehr ausreicht und eine zweite, hierarchisch höhere oder funktional getrennte Instanz (z.B. Controlling) involviert werden muss. Ohne eine solche Regelung ist das Kontrollsystem willkürlich und im Ernstfall wertlos.

Die Festlegung dieser Grenzen ist eine strategische Entscheidung der Geschäftsführung. Sie muss eine Balance finden zwischen operativer Effizienz für kleinere, alltägliche Zahlungen und maximaler Sicherheit für Transaktionen mit hohem Volumen. Eine zu niedrige Schwelle für das Vier-Augen-Prinzip lähmt die Prozesse, während eine zu hohe Schwelle ein erhebliches Betrugsrisiko darstellt. Die Wirksamkeit hängt entscheidend von der systemseitigen Durchsetzung ab: Die Berechtigungen im ERP- oder Banking-System müssen exakt die in der Matrix definierten Regeln abbilden und dürfen nicht manuell umgangen werden können.

Die juristische und finanzielle Tragweite dieser Regelungen wird oft unterschätzt. Wie Steuerberater Michael Bissinger in seinem Fachbuch betont, ist die Implementierung und Überwachung dieser Limite eine zentrale organisatorische Pflicht. In seinem Werk „Verfahrensdokumentation nach GoBD“ stellt er klar:

Die Festlegung und Überwachung von Zahlungslimiten ist eine Kernpflicht der Geschäftsführung, deren Fehlen bei einem Betrugsfall zur persönlichen Haftung führen kann.

– Michael Bissinger, Verfahrensdokumentation nach GoBD – Schäffer-Poeschel Verlag 2024

Eine klar definierte Freigabematrix dient nicht nur der internen Kontrolle, sondern ist auch ein entscheidender Baustein zum Schutz der Geschäftsführung vor persönlicher Haftung.

Diese Matrix ist jedoch nur so stark wie ihre schwächste Stelle. Werden die Stammdaten eines Lieferanten manipuliert, laufen selbst die besten Freigabeprozesse ins Leere.

Wer hat die Stammdaten des Lieferanten kurz vor der Zahlung geändert?

Dies ist die kritischste Frage im gesamten Zahlungsprozess. Selbst das strengste Vier-Augen-Prinzip bei der Zahlungsfreigabe ist wirkungslos, wenn das Geld an eine vom Betrüger kontrollierte Bankverbindung fliesst. Die Manipulation von Lieferantenstammdaten, bekannt als „Payment Diversion“ und oft Teil eines „CEO-Frauds“, ist einer der häufigsten und erfolgreichsten Angriffsvektoren. Betrüger geben sich per E-Mail als bekannter Lieferant aus und bitten um die Änderung der Bankverbindung für zukünftige Zahlungen. Wird diese Änderung ohne strenge Verifikation im System vorgenommen, ist der finanzielle Schaden bei der nächsten Überweisung vorprogrammiert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt regelmässig vor dieser Masche, bei der organisierte Kriminelle gezielt Mitarbeiter im Finanz- und Rechnungswesen ins Visier nehmen. Die Ermittlungen des BSI zeigen das Ausmass der Bedrohung und die Professionalität der Täter.

Um diesen Manipulationsvektor zu schliessen, ist eine strikte Funktionstrennung zwischen der Stammdatenpflege und der Zahlungsabwicklung unerlässlich. Die Person, die eine Zahlung freigibt, darf unter keinen Umständen auch die Berechtigung haben, die Bankverbindung des Empfängers zu ändern. Jede Änderung einer IBAN muss einen separaten, eskalierten Verifikationsprozess auslösen. Das Vier-Augen-Prinzip muss hier zwingend zur Anwendung kommen und durch einen zweiten, unabhängigen Kommunikationskanal abgesichert werden.

Eine reine E-Mail-Bestätigung ist inakzeptabel. Der Goldstandard ist eine telefonische Rückbestätigung über eine dem Unternehmen bereits bekannte und verifizierte Telefonnummer des Lieferanten – niemals über eine in der betrügerischen E-Mail angegebene Nummer. Zusätzlich sollten technische Kontrollen implementiert werden, wie eine automatische Sperrfrist für Zahlungen an einen Lieferanten, dessen Bankdaten kürzlich geändert wurden. Dieser Prozess muss für alle Mitarbeiter unumgänglich sein.

Wie die Visualisierung andeutet, ist die Kombination aus digitaler Anforderung und unabhängiger, menschlicher Verifikation über einen zweiten Kanal der Schlüssel zur Sicherheit. Ein lückenloser Audit-Trail, der jede Stammdatenänderung mit Benutzerkennung und Zeitstempel protokolliert, ist für die Revision und forensische Analyse nach einem Vorfall von entscheidender Bedeutung.

Die strikte Trennung von Stammdatenpflege und Zahlung ist ein Paradebeispiel für das übergeordnete Prinzip der Funktionstrennung, das im nächsten Abschnitt vertieft wird.

Warum darf der Einkäufer niemals gleichzeitig die Rechnung freigeben?

Das Prinzip der Funktionstrennung ist das dogmatische Fundament, auf dem das Vier-Augen-Prinzip aufbaut. Es besagt, dass ausführende (z.B. Bestellung), verwaltende (z.B. Buchung) und anweisende (z.B. Zahlung) Tätigkeiten von unterschiedlichen Personen wahrgenommen werden müssen. Die Konstellation, in der ein Einkäufer eine Ware bestellt, den Wareneingang bestätigt, die Rechnung prüft und die Zahlung selbst freigibt, stellt ein inakzeptables Risiko dar. Sie schafft die perfekte Umgebung für Betrug und Veruntreuung, da eine einzelne Person den gesamten Prozess von Anfang bis Ende ohne jegliche Kontrolle manipulieren kann.

Ein solches Vorgehen ermöglicht beispielsweise das Bestellen von Waren für den privaten Gebrauch auf Firmenkosten, das Anlegen fiktiver Lieferanten oder Preisabsprachen mit realen Lieferanten zum eigenen Vorteil. Das Vier-Augen-Prinzip dient hier als konkretes Werkzeug zur Durchsetzung der Funktionstrennung. Der Einkäufer, der die wirtschaftliche Notwendigkeit und den Preis geprüft hat (Bestellung), darf nicht dieselbe Person sein, die die formale und rechnerische Richtigkeit der Rechnung bestätigt und zur Zahlung anweist. Diese zweite Prüfung muss durch eine unabhängige Stelle erfolgen, typischerweise die Buchhaltung oder das Controlling.

Aus Sicht eines Wirtschaftsprüfers ist eine fehlende Funktionstrennung zwischen Einkauf und Zahlungsfreigabe keine Lappalie. Im Rahmen der Prüfung des internen Kontrollsystems wird dies als eine wesentliche Schwäche im IKS attestiert. Ein solcher Befund im Prüfungsbericht hat nicht nur negative Auswirkungen auf die Bewertung des Risikomanagements, sondern kann auch das Vertrauen von Banken, Investoren und Versicherern erschüttern. Die Implementierung einer sauberen Trennung ist daher nicht nur eine Frage der Betrugsprävention, sondern auch der unternehmerischen Reputation und der Sicherung der Finanzierungsfähigkeit.

Die grösste Hürde in der Praxis ist oft der vermeintliche Zeitverlust durch mehrstufige Prozesse. Moderne digitale Workflows bieten jedoch Lösungen, um Kontrolle und Geschwindigkeit in Einklang zu bringen.

Wie beschleunigen Sie Freigaben digital, ohne die Kontrolle zu verlieren?

Die Sorge, dass ein strenges Vier-Augen-Prinzip die Geschäftsprozesse verlangsamt, ist berechtigt, aber in der heutigen digitalen Welt lösbar. Manuelle, papierbasierte Freigabeprozesse, bei denen Unterschriftenmappen durch das Unternehmen getragen werden, sind in der Tat ineffizient und fehleranfällig. Die Lösung liegt in der Implementierung intelligenter, digitaler Freigabe-Workflows, die das Vier-Augen-Prinzip systemseitig abbilden und gleichzeitig den Prozess beschleunigen. Moderne ERP- und Dokumentenmanagementsysteme (DMS) ermöglichen es, die zuvor definierte Freigabematrix digital zu hinterlegen. Rechnungen werden automatisch an die richtigen Personen zur Prüfung und Freigabe weitergeleitet, basierend auf Kriterien wie Betrag, Kreditor oder Kostenstelle.

Diese digitalen Prozesse bieten ein Mass an Kontrolle und Transparenz, das manuell unerreichbar ist. Entscheidende Vorteile sind:

• Mobile Freigaben: Führungskräfte können Zahlungen sicher per App auf ihrem Smartphone freigeben, oft abgesichert durch eine Zwei-Faktor-Authentifizierung (2FA). Dies eliminiert Verzögerungen, die durch Abwesenheit entstehen.
• Automatische Eskalation und Vertretung: Ist ein Prüfer nicht verfügbar, kann der Workflow die Aufgabe nach einer definierten Zeit automatisch an einen vordefinierten Vertreter oder eine höhere Instanz eskalieren.
• Lückenloser Audit-Trail: Jeder einzelne Schritt im Freigabeprozess – von der Prüfung bis zur finalen Genehmigung – wird mit Zeitstempel und Benutzerkennung unveränderbar protokolliert. Dies schafft eine revisionssichere Dokumentation.
• KI-gestützte Vorprüfung: Zunehmend können KI-Module Anomalien bereits vor der menschlichen Prüfung erkennen, etwa ungewöhnlich hohe Beträge, Zahlungen an neue Bankverbindungen oder Abweichungen von bisherigen Mustern.

Die Nutzung qualifizierter digitaler Signaturen gemäss der eIDAS-Verordnung kann zudem die rechtliche Verbindlichkeit digitaler Freigaben weiter erhöhen. Durch die Digitalisierung wird das Vier-Augen-Prinzip von einer potenziellen Bremse zu einem effizienten, transparenten und hochsicheren Steuerungsinstrument.

Die Prinzipien der Kontrolle und zentralen Steuerung lassen sich auch auf komplexere Konzernstrukturen anwenden, wie das Beispiel des Cash-Poolings zeigt.

Wann lohnt sich die Einführung eines Cash-Pools für Tochtergesellschaften?

In Konzernstrukturen mit mehreren Tochtergesellschaften stellt sich oft die Frage nach einem effizienten Liquiditätsmanagement. Ein Cash-Pool ist ein Instrument des zentralen Finanzmanagements, bei dem die liquiden Mittel der teilnehmenden Gesellschaften auf einem zentralen Konto (dem Master-Account) bei der Konzernmutter zusammengeführt werden. Dies ermöglicht es, Liquiditätsüberschüsse einer Gesellschaft zu nutzen, um den Bedarf einer anderen zu decken, wodurch externe Finanzierungskosten und Zinsaufwendungen im Konzern reduziert werden. Die Einführung lohnt sich, sobald die Zinsvorteile und die verbesserte Transparenz die Implementierungs- und Verwaltungskosten übersteigen. Dies ist meist bei international tätigen Unternehmensgruppen mit unterschiedlichen Währungsräumen und Finanzierungsbedarfen der Fall.

Aus Kontrollsicht bietet ein Cash-Pool einen entscheidenden Vorteil: Er zentralisiert den Zahlungsverkehr und die Liquiditätssteuerung. Statt vieler dezentraler Bankkonten mit unterschiedlichen Berechtigungsstrukturen wird die ultimative Kontrolle über die konzernweiten Geldflüsse in der Treasury-Abteilung der Holding gebündelt. Dies erleichtert die Implementierung und Überwachung eines einheitlichen und strengen Vier-Augen-Prinzips erheblich. Zahlungsfreigaben, insbesondere für hohe Beträge, können auf Konzernebene nach einem einheitlichen Standard erfolgen. Für bestimmte Finanzdienstleister ist ein solches Vorgehen sogar regulatorisch vorgeschrieben. So sind gemäss Bankenaufsichtsrecht für Finanzdienstleister bei wesentlichen Entscheidungen oft mindestens zwei Geschäftsleiter erforderlich, was das Prinzip der gemeinsamen Verantwortung untermauert.

Allerdings birgt die Einführung eines Cash-Pools auch erhebliche rechtliche und steuerliche Risiken. Die Transaktionen zwischen den Konzerngesellschaften müssen zu marktüblichen Konditionen („at arm’s length“) erfolgen, um den Vorwurf einer verdeckten Gewinnausschüttung zu vermeiden. Zudem muss vertraglich sichergestellt werden, dass der Liquiditätsentzug bei einer Tochtergesellschaft nicht zu deren Zahlungsunfähigkeit führt (Risiko des existenzvernichtenden Eingriffs). Eine saubere vertragliche Grundlage und eine lückenlose Dokumentation aller Transaktionen sind daher unerlässlich.

Unabhängig von der Konzernstruktur ist die Steuerung des Zahlungszeitpunkts selbst ein zentraler Hebel für die finanzielle Gesundheit, der oft vernachlässigt wird.

Warum sollten Sie Rechnungen niemals vor Fälligkeit zahlen, ausser bei Skonto?

Die Steuerung des Zahlungszeitpunkts ist ein oft unterschätzter Aspekt des internen Kontrollsystems, der direkte Auswirkungen auf das Working Capital und die Liquidität des Unternehmens hat. Die grundlegende Regel im professionellen Kreditorenmanagement lautet: Zahle so spät wie möglich, aber so früh wie nötig. Eine vorzeitige Zahlung von Lieferantenrechnungen – ohne dass ein finanzieller Anreiz wie Skonto vorliegt – ist betriebswirtschaftlich unsinnig und schädlich. Jeder Euro, der das Unternehmen verlässt, bevor er muss, steht nicht mehr für andere Zwecke zur Verfügung und bindet unnötig Working Capital. Dies kann Opportunitätskosten in Form von entgangenen Zinserträgen oder erhöhten Kosten für eigene Kreditlinien verursachen.

Ein gut funktionierendes IKS stellt sicher, dass Rechnungen systematisch erst zu ihrem Fälligkeitsdatum oder innerhalb der Skontofrist bezahlt werden. Eine Zahlung weit vor Fälligkeit kann zudem ein Indikator für Prozessschwächen oder sogar Betrug sein. Warum sollte ein Mitarbeiter eine Rechnung ohne Notwendigkeit beschleunigt bezahlen? Dies könnte auf Druck eines Lieferanten oder auf mangelnde Prozesskontrolle hindeuten. Die systematische Ausnutzung von Skontofristen ist hingegen ein Zeichen für ein hocheffizientes Kreditorenmanagement. Ein Skonto von 2 % bei Zahlung innerhalb von 10 Tagen statt nach 30 Tagen entspricht einer annualisierten Verzinsung von über 36 % – eine Rendite, die auf dem Kapitalmarkt kaum risikolos zu erzielen ist. Das IKS muss also beides sicherstellen: keine unnötig frühen Zahlungen und kein Verpassen von lukrativen Skontofristen.

Die folgende Tabelle, basierend auf den Prinzipien des optimalen Working Capital Managements, illustriert die finanziellen Auswirkungen unterschiedlicher Zahlungszeitpunkte.

Die beste Prozesskontrolle nützt jedoch wenig, wenn die zugrundeliegende IT-Infrastruktur ausfällt und das Unternehmen handlungsunfähig wird.

Was kostet Sie ein Tag Stillstand Ihrer IT wirklich an Umsatz und Reputation?

Die Abhängigkeit von digitalen Zahlungssystemen ist heute absolut. Ein Ausfall der IT-Infrastruktur – sei es durch einen Cyberangriff, einen technischen Defekt oder höhere Gewalt – bedeutet einen sofortigen Stillstand des gesamten Zahlungsverkehrs. Lieferanten können nicht bezahlt, Gehälter nicht überwiesen und Lastschriften nicht eingezogen werden. Die direkten Kosten sind offensichtlich: entgangener Umsatz, mögliche Vertragsstrafen und Verzugszinsen. Doch die indirekten Kosten sind oft weitaus höher und nachhaltiger. Ein Unternehmen, das seine finanziellen Verpflichtungen nicht erfüllen kann, erleidet einen massiven und oft irreparablen Reputationsschaden bei Geschäftspartnern, Mitarbeitern und Kunden.

Ein robustes internes Kontrollsystem muss daher zwingend einen Business Continuity Plan (BCP) für den Zahlungsverkehr umfassen. Dieser Notfallplan definiert exakt, wie die Zahlungsfähigkeit des Unternehmens auch bei einem Totalausfall der primären IT-Systeme aufrechterhalten werden kann. Dies beinhaltet klare Antworten auf Fragen wie:

• Gibt es alternative, von der Hauptinfrastruktur unabhängige Systeme zur Ausführung kritischer Zahlungen?
• Sind Notfall-Berechtigungen für alternative Banking-Systeme definiert und sicher hinterlegt?
• Existieren manuelle, aber streng kontrollierte Prozesse zur Erfassung und Freigabe von Notfallzahlungen?
• Wer entscheidet im Krisenfall, welche Zahlungen priorisiert werden?

Der BCP muss regelmässig getestet und die zuständigen Mitarbeiter geschult werden. Im Krisenfall gibt es keine Zeit für Diskussionen; jeder Handgriff muss sitzen. Das Vier-Augen-Prinzip muss auch – oder gerade – in diesen Notfallprozessen fest verankert sein, um zu verhindern, dass die Ausnahmesituation für betrügerische Handlungen ausgenutzt wird.

Die Materialien für den Notfall – versiegelte Listen mit Zugangsdaten, Notfall-Token, Handlungsanweisungen – müssen physisch gesichert und an einem von der primären IT-Infrastruktur getrennten Ort aufbewahrt werden. Die Investition in die Ausarbeitung und Pflege eines solchen Notfallplans ist eine Versicherung gegen den finanziellen und reputativen GAU.

Beginnen Sie noch heute mit der systematischen Überprüfung und Härtung Ihrer Freigabeprozesse, um Ihr Unternehmen wirksam zu schützen und persönliche Haftungsrisiken zu minimieren. Ein wirksames IKS ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess der Wachsamkeit und Anpassung.