Der FCPA wurde 1977 verabschiedet. Seitdem sind weltweit zahlreiche weitere Gesetze zur Bekämpfung von Bestechung in Kraft getreten, darunter:
- Das britische Bestechungsgesetz
- Das französische Antikorruptionsgesetz „Sapin II“
- Das brasilianische Gesetz über saubere Unternehmen
- Kanadisches Gesetz gegen die Bestechung ausländischer Amtsträger
All diese Gesetze weisen denselben grundlegenden Aufbau wie der FCPA auf. Sie verbieten die Bestechung ausländischer Amtsträger und verpflichten Unternehmen, angemessene Bücher und Aufzeichnungen zu führen, um mögliche unrechtmäßige Zahlungen aufzudecken.
Auch wenn die Durchsetzung dieser Gesetze von Land zu Land unterschiedlich ist, ist die potenzielle rechtliche Haftung in den meisten Rechtsordnungen gleich. Daher ist die Fähigkeit, ordnungsgemäße Bücher und Aufzeichnungen zu führen, für die Einhaltung der Vorschriften von entscheidender Bedeutung, unabhängig davon, welche konkreten Gesetze für Ihr Unternehmen gelten.
Der US-amerikanische Foreign Corrupt Practices Act (FCPA) ist das weltweit führende Gesetz zur Bekämpfung von Bestechung durch Unternehmen. Er umfasst einen strafrechtlichen Teil, der es Unternehmen untersagt, Amtsträger ausländischer Regierungen zu bestechen, um Aufträge zu erhalten, sowie einen zivilrechtlichen Teil, der börsennotierte Unternehmen dazu verpflichtet, ordnungsgemäße Bücher und Aufzeichnungen zu führen, die die Unternehmensgeschäfte widerspiegeln.
Das Justizministerium setzt die strafrechtlichen Bestimmungen durch und kann seine Zuständigkeit gegenüber jedem Unternehmen – ob öffentlich oder privat, mit Sitz an einem beliebigen Ort weltweit – ausüben, das in den Vereinigten Staaten geschäftlich tätig ist. Die Börsenaufsichtsbehörde (SEC) setzt die Vorschriften zur Buchführung und Aufbewahrung von Unterlagen gegenüber jedem Unternehmen durch, das an US-Börsen gehandelt wird, auch wenn dieses Unternehmen nicht in den Vereinigten Staaten geschäftlich tätig ist.
Denken Sie stets daran, dass die Bestimmungen des FCPA zur Buchführung die Rechtsgrundlage für die SEX bilden, um gegen Bilanzfälschungen vorzugehen, selbst wenn das Unternehmen nicht gegen die strafrechtlichen Bestimmungen des Gesetzes verstößt. Denn der FCPA ergänzt den Securities and Exchange Act von 1934 und legt fest, dass alle an US-Börsen notierten Unternehmen eine ordnungsgemäße Buchführung vorweisen müssen.
Jedes Unternehmen, das an US-Börsen notiert ist, muss also die vom FCPA vorgeschriebenen Buchführungs- und Rechnungslegungsstandards einhalten, selbst wenn dieses Unternehmen keinerlei Geschäfte im Ausland tätigt.
Die Rolle der Cybersicherheit bei der Korruptionsbekämpfung
Cybersicherheit ist für die Einhaltung des FCPA oder anderer einschlägiger Anti-Korruptionsgesetze von entscheidender Bedeutung. Bei Bestechungspraktiken werden illegale Zahlungen als etwas anderes getarnt. Die Möglichkeit, falsche Spuren in den Transaktionsaufzeichnungen zu hinterlassen – beispielsweise durch Verkaufsrichtlinien, die zur Schaffung von Schmiergeldfonds missbraucht werden, durch Buchhaltungsrichtlinien, die zur Finanzierung von Bestechungsgeldern missbraucht werden, oder durch geänderte Zahlungsbelege, um die wahren Empfänger zu verschleiern – ermöglicht den Fluss korrupter Zahlungen. Eine starke Cybersicherheit verhindert solche Manipulationen.
Zudem beruht Bilanzbetrug auf der Manipulation von Daten. Daher macht jede Cybersicherheitsstrategie, die Bedrohungen auf Anwendungsebene außer Acht lässt, ein Unternehmen anfällig für Bilanzbetrug – unabhängig von anderen Sicherheitsmaßnahmen wie Firewalls, control und der Aufgabentrennung (SoD).
Das heißt, ein Angriff ohne Authentifizierung, der auf eine Fehlkonfiguration oder eine Sicherheitslücke abzielt, könnte die geschäftskritischen Anwendungen Ihres Unternehmens ins Visier nehmen, die den Finanzbetrieb unterstützen, und die zugrunde liegenden Finanzdaten manipulieren, ohne die Finanzanwendungen selbst zu berühren oder einen Prüfpfad zu hinterlassen. Selbst bei strengen internen Kontrollen und Prüfungen auf der Infrastruktur- und Datenbankebene können Schwachstellen auf der Anwendungsebene Finanzdaten weiterhin für Bestechungs- oder Betrugsversuche anfällig machen.
Zu ergreifende Maßnahmen
- Machen Sie sich die Natur dieser Sicherheitsbedrohung bewusst und weisen Sie die Zuständigkeit dafür zu. CISOs verstehen möglicherweise die Anforderungen der FCPA-Compliance nicht, während interne Revisions- oder Compliance-Teams möglicherweise nicht begreifen, wie wichtig Sicherheit für die Minderung von FCPA-Risiken ist.
- Entwickeln Sie eine Sicherheitsstrategie für geschäftskritische Anwendungen, die auch die Anforderungen des FCPA hinsichtlich der Buchführung und Aufbewahrung von Unterlagen berücksichtigt. Diese Strategie sollte Aspekte wie Konfigurationsmanagement, Protokollverwaltung, die Entwicklung kundenspezifischer Anwendungen, Patches, kontinuierliche Überwachung und weitere Bereiche abdecken. Diese Maßnahmen müssen einen zuverlässigen Schutz vor Manipulationen der Buchführung und Aufbewahrung von Unterlagen gewährleisten.
- Finden Sie die richtigen Werkzeuge für diese Aufgabe. Sicherheitsteams müssen in Zusammenarbeit mit der Finanzabteilung und der internen Revision Risiken und Schwachstellen identifizieren, die die Einhaltung des FCPA gefährden, und diese Lücken schließen. Angesichts moderner ERP-Systeme, die geschäftskritische Anwendungen unterstützen, ist das keine leichte Aufgabe. Der Einsatz der richtigen Technologie ist entscheidend, um diese Aufgabe erfolgreich zu bewältigen.
Erfahren Sie, wie Onapsis Ihnen dabei helfen kann, Sicherheits- und Compliance-Risiken zu erkennen und Ihre Audit-Prozesse zu optimieren. https://onapsis.com/request-a-demo/