Gründe, in Whistleblower-Software zu investieren

Wenn Betrug in einer Organisation ans Licht kommt, ist es meist ein Kollege, der ihn zuerst bemerkt. Der neueste Report to the Nations der Association of Certified Fraud Examiners belegt es mit Zahlen: 43 % der aufgedeckten Betrugsfälle werden durch einen Hinweis entdeckt - mehr als dreimal so viele wie durch Innenrevision, Managementüberprüfung oder eine andere einzelne Kontrollmaßnahme. Die gleiche Studie verzeichnet einen Medianen Schaden von 145.000 US-Dollar pro Fall und stellt fest, dass Organisationen jährlich etwa 5 % ihres Umsatzes durch Betrug verlieren. Ein Meldekanal ist nicht das einzige Mittel, um diese Lücke zu schließen, aber jede seriöse Analyse darüber, wie dies gelingt, setzt einen Meldekanal ganz oben auf die Liste. Die Begründung für eine Investition hat sich noch auf andere Weise geändert: In großen Teilen Europas ist der Meldekanal nicht länger optional.

Die Richtlinie machte Empfehlung zu Gesetz

Die EU-Richtlinie zum Schutz von Hinweisgebern (2019/1937) setzte den 17. Dezember 2021 als Stichtag fest, bis zu dem jeder Mitgliedstaat interne und externe Meldekanäle auf eine gesetzliche Grundlage für Organisationen mit 50 oder mehr Beschäftigten stellen musste. Bis zu diesem Termin hatte die Mehrzahl der Länder die Richtlinie nicht umgesetzt. Die letzten waren Polen und Estland im Mai 2024, und im März 2025 verurteilte der Gerichtshof der Europäischen Union Deutschland, Luxemburg, die Tschechische Republik, Estland und Ungarn zu Geldstrafen für die Versäumnis. Brüssel hat inzwischen mitgeteilt, dass das Gesetz überall Geltung hat, aber die Qualität der Umsetzung ist noch immer unterschiedlich. Siehe die Übersicht der Europäischen Kommission für den aktuellen Status.

In Polen trat das Gesetz zum Schutz von Hinweisgebern am 25. September 2024 in Kraft. Arbeitgeber mit mehr als 50 Beschäftigten mussten bis zu diesem Stichtag ein internes Verfahren eingerichtet haben, und externe Meldungen an den Ombudsmann wurden ab 25. Dezember 2024 angenommen. Sektoren wie Finanzdienstleistungen, Geldwäschebekämpfung, Verkehrssicherheit und Umweltschutz unterliegen der Regelung unabhängig von der Betriebsgröße. Die Einzelheiten finden sich bei der Polnischen Ministerium für Familie, Arbeit und Sozialpolitik auf gov.pl. Die Compliance-Frage ist nicht mehr, ob man einen Meldekanal einrichtet, sondern wie gut der eingerichtete Kanal tatsächlich funktioniert.

Hinweise schlagen Audits, jedes Jahr

Die 43-%-Quote ist kein Einzelfall. Die ACFE führt diese Studie seit zwei Jahrzehnten durch und die Rangfolge hat sich nicht geändert: Hinweise sind in jeder Welle und in jeder Region die führende Erkenntnismethode. Die meisten dieser Hinweise kommen von innen. Mitarbeiter machen 52 % aus; Kunden und Lieferanten liefern das meiste der restlichen Hinweise. Je länger ein Betrugssystem läuft, desto größer der Schaden: Der Medianschadensersatz steigt von etwa 50.000 US-Dollar für innerhalb eines Jahres erkannte Betrugsfälle auf 250.000 US-Dollar für Systeme, die ein Jahrzehnt andauern. Ein Meldekanal hält keinen entschlossenen Betrüger ab, verringert aber die Zeit zwischen dem ersten Warnzeichen und der ersten Untersuchung, und die Schadenskurve belohnt das. Auf einen Bericht zu reagieren ist das, was einen Hinweis in wiedergewonnenes Geld umwandelt, aber es gibt keinen Reaktionsschritt ohne einen Erfassungsschritt vorher.

Meldekanäle, die Menschen tatsächlich nutzen

Die Form dieser Hinweise hat sich verschoben. Die ACFE 2024 erfasst Meldungen über Web-Formulare mit 40 %, E-Mail mit 37 % und Telefonhotlines mit 30 %; zum ersten Mal ist der Web-Mechanismus die beliebteste einzelne Route. Anonyme Meldungen machen etwa 15 % der Gesamtzahl aus und decken tendenziell das schwerste Fehlverhalten auf höchster Ebene auf, was genau die Kategorie ist, die ein Auditor auf eigene Faust am wenigsten finden würde. Die Konsequenz für die Werkzeuggestaltung ist unmissverständlich. Ein Meldekanal, der nur Telefonanrufe während der Bürozeiten entgegennimmt, nur in der Unternehmenssprache, nur von einem Arbeitsplatz im Firmennetz aus, wird die meisten Menschen verfehlen, die sich sonst äußern würden.

Über Betrug hinaus: Vergeltung, Belästigung, Gesundheit und Sicherheit

Der Schutzumfang der Richtlinie ist breiter als Betrug allein. Er umfasst öffentliche Beschaffung, Finanzdienstleistungen und AML, Verkehrssicherheit, Umweltschutz, Lebensmittel- und Futtermittelsicherheit, öffentliche Gesundheit, Verbraucherschutz und Datenschutz. In der Praxis bedeutet dies, dass der gleiche Meldekanal einen Manager handhabt, der einen Inspektor bestochen hat, einen Kollegen, der belästigt wird, einen Beinahe-Unfall auf einem Ladetisch und ein Datenleck. Was diese verbindet, ist der Preis des Schweigens, und das Gesetz macht nun ausdrücklich deutlich, dass die Bestrafung einer Person für die Aussage (Entlassung, Degradation, Ausschluss, Papierquelle, das langsame Ausfrieren) selbst ein separater Verstoß ist. Angemessen auf Berichte reagieren und dies sein zu lassen, ist das, was einen Meldekanal zu etwas macht, das Menschen tatsächlich beim zweiten Mal nutzen werden.

Bauen Sie es auf einem anerkannten Standard auf

Die Richtlinie ist das Minimum; das operative Handbuch ist ISO 37002. Der Standard, 2021 veröffentlicht und erhältlich bei der ISO, legt dar, wie ein Hinweisgebersystem auf drei Prinzipien läuft: Vertrauen, Unparteilichkeit und Schutz des Hinweisgebers. Eine interne Regelung an ISO 37002 zu verankern macht sie prüfungsbereit und gibt dem Verwaltungsrat eine verteidigungsfähige Antwort, wenn ein Investor, ein Beschaffungspartner oder ein ESG-Bericht fragt, wie das Unternehmen mit Bedenken umgeht. Es ermöglicht auch die Wiederverwendung der Sprache eines bestehenden Systems (ISO 37301 für Compliance, ISO 27001 für Sicherheit), anstatt einen parallelen Governance-Stack aufzubauen.

Nichts davon ist theoretisches Geld. Die US Securities and Exchange Commission zahlte 255 Millionen US-Dollar an 47 einzelne Hinweisgeber im Geschäftsjahr 2024 und hat seit Programmbeginn 2011 insgesamt 2,2 Milliarden US-Dollar gezahlt. Europäische Regime zahlen keine Bounties in gleichem Umfang, aber die Kostenseite (Bußgelder, verlorene Verträge, korrigierte Konten, abwandernde Kunden) wirkt sich auf eine Bilanz gleichermaßen aus, unabhängig davon, ob der Hinweis das Haus je verlässt oder nicht. Der günstigste Ort, um mit einem Bericht umzugehen, ist in der eigenen Erfassung.

Wie der Arbeitsmarkt all dies deutet, ist der Teil, der normalerweise unterschätzt wird. Kandidaten recherchieren die Unternehmenskultur, bevor sie unterschreiben, und ein aktiver, genutzter und beantworteter Meldekanal ist ein Einstellungssignal lange bevor er ein Compliance-Signal ist. Ein Unternehmen, das durchdacht hat, wie ein besorgter Mitarbeiter einen Bericht einreicht, wer ihn sich ansieht und was dann folgt, ist ein Unternehmen, das viele andere Dinge auch durchdacht hat. Eine Investition in ein System für Hinweisgeber war früher unter Versicherung kategorisiert. Es ist nun näher an dem, was ein gut geführtes Unternehmen von außen aussieht.