Darüber hinaus konnte KPMG während des Termins in Eschborn Einsicht in die zugrunde liegenden Primärdokumente nehmen, auf deren Basis EY Audit die Prüfung pro (SIN) Issue vorgenommen hat. Im Rahmen des Termins standen KPMG zudem Mitarbeiter von EY FIS zur Verfügung, die EY Audit im Rahmen der Jahresabschlussprüfung unterstützt haben. EY FIS hat KPMG jedes (SIN) Issue erläutert. EY Audit hat bei der Einsichtnahme in das Informationspapier und bei der Erläuterung der einzelnen (SIN) Issues vollständig mit KPMG kooperiert. 3.3.6       Aufbereitung der einzelnen (SIN) Issues Im Nachgang zu der Einsichtnahme wurden relevante Primärdokumente, die zum Nachvollzug der einzelnen (SIN) Issues notwendig waren, von KPMG angefordert. Diese wurden s^eitens EY Audit über einen Austauschserver zur Verfügung gestellt und von KPMG im RabiTien des Nachvollzugs der (SIN) Issues berücksichtigt. In den folgenden Abschnitten werden die voh EY Audit KPMG pro (SIN) Issue zur Verfügung gestellten yvesentlidien Unterlagen aufgeführt. / Zusätzlich hat am 18. Dezember 2019 ein Gespräch mi^vE¥.Audit stattgefunden, in dem die Prüfungshandlungen pro (SIN) Issue im Rahmen der Kori^ern]il!iresabschIussprüfung sowie die entsprechende Ergebnisableitung und Ergebnisberück^chtigting für den Konzernjahresab­ schluss 2018 besprochen wurden.                      /-                          \ \                             \ A 3.4         Nachvollzug Complianc^sAudit, Thtdriial Investigation und „extended audf^ proced^tes" 3.4.1       Compliancä Audit Rajah & Tann Gemäß dem KPMG vorliegenden „Final Report" von Rajah & Tann mit Datum vom 5. April 2019 wurde diese am 26. April 2018 mit der unabhängigen Aufnahme und Dokumentation der Vorwürfe des Whistleblowers aus April 2018 sowie einer Erstaufnahme der daraus resultie­ renden,Risiken beauftragt. Ein Bericht zu dieser Erstaufnahme wurde mit Datum vom 4. Mai 2018 erstellt. Anschließend wurde Rajah & Tann zum 18. Mai 2018 mit der Prüfung und Bewertung der erhobenen Vorwürfe beauftragt. Daneben sollte Rajah & Tann auf Grundlage der durch die Untersuchung gewonnenen Erkenntnisse Empfehlungen für die Wirecard AG erarbeiten. Rajah & Tann hat mit Datum vom 17. August 2018 und 20. März 2019 Zwischen­ berichte erstellt. Der finale Bericht von Rajah & Tann wurde unter Einbeziehung von Ergebnissen des Bera­ tungsunternehmens 1, welches mit der Auswertung von Buchhaltungsdaten sowie der Be­ reitstellung der technischen Umgebung für einen forensischen E-Mail Review von der Rechts­ anwaltskanzlei 2 beauftragt wurde, mit Datum vom 5. April 2019 erstellt. Anlage 1/123 I Wirecard AG | Bericht über die unabhängige Sonderuntersuchung 2 7 .4 .2 0 2 0 - streng vertraulich 110.020925-16039304 j«

Der Leistungsumfang für das Compliance Audit von Rajah & Tann wurde zum Zeitpunkt der Beauftragung durch die Wirecard AG auf Wirecard Singapore Pte. Ltd. und Wirecard Asia Holding Pte. Ltd. beschränkt. Es wurden nach den KPMG vorliegenden Dokumenten Wirecard Hong Kong Ltd. (im Folgenden „Wirecard Hong Kong"), Wirecard E-Money Philippines Inc. (im Folgenden „Wirecard E-Money Philippines"), Wirecard India Pte. Ltd. (im Folgenden „Wire­ card India"), Wirecard New Zealand Ltd. (im Folgenden „Wirecard New Zealand"), Wirecard Payment Solutions Malaysia Sdn. Bhd. (im Folgenden „Wirecard Payment Solutions Malay­ sia") und Wirecard Technologies GmbH (im Folgenden „Wirecard Technologies"), nicht in den Scope aufgenommen. Aus den KPMG vorliegenden Dokumenten geht nicht hervor, dass der Scope im Laufe der Untersuchung durch Rajah & Tann erweitert wurde. Ebenso wenig geht der Hintergrund dieser Auswahl aus den KPMG vorliegenden Unterlagen hervor. Das Vorgehen von Rajah & Tann ist auf Basis der uns vorliegenden Erkehntnisse wie folgt zu beurteilen:                                                                            / Um eine vollumfängliche Aufklärung der Vorwürfe sicherstellen zu könne^, wäre e^^naoh der Einschätzung von KPMG angemessen gewesen, den Scop^ nicht auf bestimmte Gesellschaf­ ten zu beschränken, insbesondere auch vor dem Hintergrund d er.Berücksichtigung möglicher neuer Erkenntnisse im Verlauf der Untersuchung^, die sich auf Gesellschaften beziehen, die nicht im Scope des ursprünglichen Vertrages aufgeführt werden. Daneben war eine forensische Untersuchung von Buchhaltungsdaten nicht im beauftragten Leistungsumfang enthalten. Es handelt sich hierbei uhn einen Mangel im Compliance-Audit von Rajah & Tann. Alle erhobenen Vorwürfe umfassten’pnzelsachverhalte mit Buchhaltungs­ bezug, sodass eine forensische Untersuchung von Buchhaltungsdaten unmittelbar Bestandteil des Compliance Audits hätte sein müssen. Die E-Mail-Kommunikation wurde durch Rajah & Tann nicht vollständig gesichert. Die entspre­ chenden Microsoft Outlook-Daten wurden Rajah & Tann durch die Wirecard AG zur Verfügung gestellt. Zur Auswertung der elektronischen Daten standen Rajah & Tann laut dem Informati­ onspapier pst-Dateien'zur Verfügung. Daneben wurden keine weiteren elektronischen Daten gesichert, wie z. B. Laufwerke oder Festplatten, und für eine Auswertung herangezogen. Aus den KPMG vorliegenden Unterlagen geht nicht hervor, ob durch diese Sicherung weitere Daten überhaupt hätten zur Verfügung gestellt werden können. Bei der ersten E-Mail-Sichtung von Rajah & Tann handelte es sich nach Auskunft von EY Audit aussöhließlich um eine Durchsuchung von E-Mail-Postfächern mit einzelnen Suchwörtern, die lediglich aus sechs einzelnen Unternehmensnamen bestanden. Dies entspricht nicht einem in der Praxis änerkanntem Vorgehen bei einer forensischen Sonderuntersuchung. Der Einsatz einer etablierten forensischen Review-Plattform, in welche die Daten vollständig eingespielt werden, ist wesentlich, um eine vollständige und zielgerichtete Auswertung von elektroni­ schen Daten vornehmen zu können. Insbesondere hätten auch Ad-hoc-Maßnahmen zur Datensicherung und zur Verhinderung möglicher Datenmanipulationen getroffen werden können, da zu Beginn der Sonderuntersuchung der Umfang der Vorwürfe und die Auswirkun­ gen auf die Buchhaltungsdaten noch nicht bekannt waren. Andernfalls birgt dies das Risiko, dass die zum Anfang einer forensischen Sonderuntersuchung nicht gesicherten Daten verse­ hentlich oder beabsichtigt verändert werden könnten. Wirecard AG | Bericht über die unabhängige Sonderuntersuchung 27.4.2020 - streng vertraulich | 10.020925-16039304 | Anlage 1/124

Die von Rajah & Tann geführten Interviews waren auf einen ausgewählten Personenkreis linnitiert. Dies wurde von der Rechtsanwaltskanzlei 2 im weiteren Untersuchungsverlauf aufgegriffen. Rajah & Tann hat beispielsweise nicht mit allen in den einzelnen (SIN) Issues erwähnten Personen Interviews geführt. Es kann somit nicht sichergestellt werden, dass alle Informationen zur Beurteilung der Sachverhalte Vorgelegen haben. Aus den KPMG vorliegen­ den Unterlagen ist nicht ersichtlich, nach welchen Gesichtspunkten diese Interviewpartner ausgewählt wurden. Ferner waren die von Rajah & Tann durchgeführten Hintergrundrecherchen unvollständig. Es wurden einzelne Unternehmen, die In den (SIN) Issues erwähnt werden, im Rahmen der Hintergrundrecherchen nicht berücksichtigt. KPMG hat im Rahmen der Untersuchung aus den vorliegenden Unterlagen keine Kenntnisse über die Kriterien der Auswahl der Unternehmen zu einer Hintergrundrecherche erlangt. Der lokale Ansprechpartner für Rajah &Tann war nach späterem l<venntnisstand zuminde$t im Verlauf des Compliance Audits Gegenstand der Ermittlungen durch das Commerqlal Affairs Department, Singapur (im Folgenden „CAD“ ). Dies könnte Einfluss auf die Auskünfte des, lokalen Ansprechpartners gehabt haben. Aus den uns vorliegenden Unterlagen ist jedocb nicht zu erkennen, ob und in welchen Sachverhalten der lokale Ansprechpartner Gegenstand der Ermittlungen der CAD ist. Dennoch war der lokale Anspröchpartner über alle Untersuchungs­ handlungen informiert, sodass er diese hätte beeinflussen können. Aus den uns vorliegenden Unterlagen ergeben sich hierfür jedoch keine Anhaltspunkte- Zusammenfassend war nach der Einschätzung von KPMG das von Rajah & Tann durchgeführ­ te Compliance Audit hinsichtlich des Aufbaus und der Durchführung nicht geeignet, die durch den Whistleblower erhobenen Vorwürfe in Gänze unabhängig äufzuarbeiten. Insbesondere die Einschränkung der Untersuchung auf lediglich ausgewählte Wirecard-Gesellschaften in Singa­ pur und die nicht durchgeführte forensische Untersuchung von Buchhaltungsdaten waren eine im Hinblick auf das Ziel der Untersuchung nicht angemessene Einschränkung des Scopes. Darüber hinaus stellen die nicht vollständig gesicherte E-Mail-Kommunikation, die unvollstän­ digen Hintergrundrecherchen sowie die nicht vollständige Auswahl der Interviewpartner Schwächen in dbr Durchführung der Untersuchung dar. 3.4.^          Intei’nal Investigation Rechtsanwaltskanzlei 2 Im Januar 2019 beauftragte die Wirecard AG eine weitere Rechtsanwaltskanzlei aus Großbri­ tannien (im Folgenden „Rechtsanwaltskanzlei 2 “ ), um Rajah &Tann bei dem vorgenannten Compliance Audit zu unterstützen. Die Beauftragung erfolgte unter Verwendung des mit der Rechtsanwaltskanzlei'2 bestehenden Rahmenvertrages vom 21. September 2017. Das Auf­ tragsschreiben aus Januar 2019 wurde KPMG nicht übergeben. KPMG liegt eine Auftragsbe­ stätigung für die Rechtsanwaltskanzlei 2, unterschrieben am 2. Mai 2019 von Andrea G U S . General Counsel der Wirecard AG, und Thorsten H S M . Head of Treasury der Wirecard AG, vor. Anlage 1/125 I Wirecard AG | Bericht über die unabhängige Sonderuntersuchung 27.4.2020 - streng vertraulich | 10.020925-16039304

Gemäß den Ausführungen der Wirecard AG im Geschäftsbericht 2018 der Wirecard AG wur­ den von der Rechtsanwaltskanzlei 2 folgende Prüfungshandlungen durchgeführt: „Im Rahmen sämtlicher auch durch weitere Dritte durchgeführten Prüfungshandlungen wurden u. a. Interviews durchgeführt, Massendatenauswertungen vorgenommen, Postfächer von Mitarbeitern ausgewertet und Einzelfallanalysen durchgeführt. Diese Analyse umfasste insbesondere auch die detaillierte Prüfung der wesentlichen Ge­ schäftsvorfälle der vergangenen Jahre, u. a. auch von angeschaffter bzw. verkaufter Software, inkl. Gespräche mit Dritten (z. B. Kunden/ Lieferanten), Prüfung der Abnah­ meprotokolle und dergleichen mehr." Am 22. Februar 2019 hat Rechtsanwaltskanzlei 2 das Beratungsunternehmen 1 aus Großbri­ tannien unterbeauftragt. Gemäß den Informationen eines nicht datierten „Draft Investigation Plan" von Beratungsunternehmen 1 war folgendes Vorgeheh des Beratungsunternehmens 1 vorgesehen.                                                                           ■ „conduct a forensic review of the records for Wirecärd to identify any anom^Hes in the account which Support or undermine the findings of Reports 1 [Prelimary Report on Corporate Governance von Rajah & TannJehd2 IZwischbnbericht vom 17. August 2 0 t8 von Rajah & Tann]. " Mit Datum vom 10. Mai 2019 hat.Rechtsanwaltskanyei 2 eih^n finalen Ergebnisbericht sowie ein Addendum mit Datum vom 20. Janyar2020 zu de)^ Ergebhrsbericht erstellt. X   '                        V \                          \   ' Das Vorgehen von Rechtsanwaltskanzlei 2 ist auf Basis der uns vorliegenden Erkenntnisse wie folgt zu beurteilei^:                  x                \ \ I Die Rechtsanwaltskänzlei 2 hat dhter Einbezug des Beratungsunternehmens 1 Buchhaltungs­ daten der Jahre'2015 bis 201§ äusgewertet, welche von der Wirecard AG und/oder Tochter­ gesellschaften zurVerfügwO gestellt wurden. Ein Abgleich der übermittelten Buchhaltungsda­ ten mit einem testierten Jahresabschluss hätte ermöglicht, die Vollständigkeit der Daten zu prüfen. Eine Prüfung der Vollständigkeit der Daten wurde nicht vorgenommen. Gemäß dem Informationspapie'r von EY Audit hat die Rechtsanwaltskanzlei 2 eine nach gängi­ ger forensischer Praxis angemessene E-Mail-Analyse durchgeführt. Die dabei verwendete Dätenmenge von dem Beratungsunternehmen 1 war größer als die ursprünglich von Rajah & Tann zur Verfügung gestellte Datenmenge, da diese E-Mail-Daten und -Archive von weiteren Mitarbeitern enthielt. Jedoch wurde die E-Mail- und Dokumentenanalyse auf einer unvollständigen Gesamtdatenmenge durchgeführt, da vor der Datensicherung möglicherweise gelöschte und technisch wiederherstellbare Dateien während der ersten Datensicherung durch Rajah & Tann nicht wiederhergestellt wurden. Eine spätere Wiederherstellung der Daten durch die Rechtsanwaltskanzlei 2 hätte das ursprüngliche Versäumnis auch nicht mehr heilen können. Insbesondere bei Vorwürfen hinsichtlich potenzieller Absprachen, z. B. im Rahmen von Vorwürfen zu „Roundtripping" oder bei Abschluss von „Scheinverträgen", ist die Wiederherstellung von gelöschten Daten ein wesentlicher Bestandteil einer forensischen Sonderuntersuchung, da beispielsweise auch über Bearbeitungsstände oder Vorversionen von Dateien Erkenntnisse gewonnen werden könnten. Wirecard AG | Bericht über die unabhängige Sonderuntersuchung 27.4.2020 - streng vertraulich | 10.020925-16039304 | Anlage 1/126

Nach den Inn Abschlussbericht von Rajah & Tann ausgeführten Empfehlungen zu weiteren Interviewpersonen sowie nach Angaben von Edo K l H H t in Singapur hat Rechtsanwalts­ kanzlei 2 Interviews mit verschiedenen Personen von der Wirecard AG geführt. Mindestens eine Person stand während der Internal Investigation nicht zur Verfügung, da diese im Urlaub war. Nach den KPMG vorliegenden Informationen haben einzelne Interviewpartner aus uns nicht vorliegenden Gründen auf Anraten ihres rechtlichen Beistands ein Gespräch abgelehnt. Inhaltlich wurden in der Internal Investigation die bereits von Rajah & Tann untersuchten Vorwürfe und einzelne Vorwürfe aus dem anonymen Print Package mit Datum vom 6. Februar 2019 von der Rechtsanwaltskanzlei 2 berücksichtigt (siehe hierzu auch Abschnitt 3.3.4.2). Durch die Untersuchungshandlungen von Rechtsanwaltskanzlei 2 konnten vereinzelt Schwachstellen des Compliance Audits von Rajah &Tann behoben werden. Hierzu zählen beispielsweise die Durchführung einer nach forensischer Praxis angemessenen E-Mail- Analyse oder die Durchführung von Interviews. Jedoch konnten nicht alle SchwacJ^steHen aus dem Compliance Audit von Rajah & Tann behoben werden. Hierzq zählt beispielSyveise die zuvor dargestellte unvollständige Datenbasis. Somit konnte nicht sichergestellt werden, d^ss alle wesentlichen Unterlagen für die Aufklärung der durch den Whistleblower erhobenen Vorwürfe Vorlagen bzw. alle wesentlichen Erkenntnisquellen herangezogen wurden. 3.4.3        Prüfung durch EY AuditJkn Rahmen där dalfh|0{ibschlussprüfung Generell unterscheidet EY Audit bei der Adf^rfeeitong der (SIN)^sues zwischen der „Shadow Investigation" und den „extende,d audit procötjures".                      ■        \ 3.4.3.1      „Shadow InyaTsti^ation"                 i                 ^ /■ Im Rahmen der ,,Shadovv1nvestigati6rv" wurden die Untersuchungshandlungen von Rajah & Tann und der Rechtsanwältskanzlei 2 durch EY FIS nachvollzogen, die gemeinsam mit EY Audit in einem Team die „eXtended audit procederes” durchgeführt haben. Es wurde der Scope des Compliance Audit bzw. der Internal Investigation von Rajah & Tann und der Rechtsanwaltskanzlei 2 nachvollzogeh und geprüft, ob die Untersuchungshandlungen der beiden Kanzleien vollständig waren. In der „Shadow Investigation" wurden auch eigene Prüfungshandlungen durch EY FIS durchgeführt, um einzelne Schwachstellen auszugleichen. Die Ergebnisse dieser Untersuchungshandlungen wurden bei den „extended audit procede- res" berücksichtigt. Im Rahmen der „Shadow Investigation" hatte das gemeinsame Team von EY Audit und EY FIS auf die von die von Rechtsanwaltskanzlei 2 als „relevant" bewerteten Ergebnisse be­ schränkten Zugang zur E-Mail Review Plattform „Relativity" des Beratungsunternehmens 1. Die Auswertung der E-Mail-Kommunikation durch Rechtsanwaltskanzlei 2 wurde von EY Audit jedoch durch die Zulieferung von Suchwörtern unterstützt. Anlage 1/127 I Wirecard AG | Bericht über die unabhängige Sonderuntersuchung 27.4.2020 - streng vertraulich 110.020925-16039304

Bei Interviews der Rechtsanwaltskanzlei 2 im Rahmen der Internal Investigation war das gemeinsame Team EY Audit und EY FIS teilweise anwesend, konnte jedoch für alle Inter­ views den Fragenkatalog ergänzen. Somit konnte EY Audit offene Punkte zum Nachvollzug der (SIN) Issues adressieren. Nach Auskunft von EY Audit wurde die Analyse der Buchhaltungsdaten auf Anfrage von EY Audit im Zeitablauf erweitert. Eine Vollständigkeitsprüfung der Buchhaltungsdaten hat das Beratungsunternehmen 1 jedoch nicht durchgeführt. Die Daten wurden aus mehreren ERP- Systemen zusammengestellt. Ein einheitliches Buchhaltungssystem in Form eines integrier­ ten ERP-Systems existiert nicht. Somit konnten die Buchhaltungsdaten nicht direkt aus den Wirecard-Systemen durch das Beratungsunternehmen 1 gesichert werden. Stattdessen wurden seitens der Wirecard AG zahlreiche Dokumente mit unterschiedlichen Datei-Formaten zur Verfügung gestellt (bspw. Microsoft Excel-Dateien, pdf-Dateien, Text-Dateien und Bild- Dateien). Die Vorwürfe haben einen Bezug zur Buchhaltung, sodassTür den Nachvollztig die Vollstän­ digkeit der Buchhaltungsdaten eine wesentliche Grundlagd ist. Aufgrund der heterogenen Datenzulieferung und der nicht erfolgten VollständigkeitsprülPung, war nicht sichergestellt, dass das die Datengrundlage an dieser Stelle vollständig war. Der Mangel konnte durch EY Audit nicht vollständig behoben werden. EY Audit hat KPMG mitgeteilt, dass EY Audit in mehYeren Gesprächen mit den Rechtsan­ waltskanzleien auf notwendige Verbesserungen in Bezug auf die Vorgehensweise der Unter­ suchung hingewiesen hat. EY Audit hat die Ergebnisse des Compliance Audits bzw. der Internal Investigation von Rajah & Tanh und der Rechtsanwaltskanzlei 2 nach eigener Angabe durch eigene Prüfungshandlungen im Rahmen der „Shadow Investigation" (im Folgenden „extended audit procedures") ergänzt. 3.4.3.2        „extentled audit^procedures" Bei den „extended audit procedures" wurden erweiterte Prüfungshandlungen durch EY Audit, unter Einbezug von Spezialisten von EY FIS und unter Anwendung des IDW PS 210 vorge­ nommen. Im Rahmen der „extended audit procedures" konnten einzelne Schwachstellen aus den Untersuchungshandlungen von Rajah &Tann und der Rechtsanwaltskanzlei 2, wie z. B. Flintergrundrecherchen, durch eigene Prüfungshandlungen von EY Audit vollständig behoben werden. Jedoch konnten die Schwachstellen, insbesondere die Datensicherung und die unvollständige Auswahl der Interviewpartner, nicht vollständig behoben werden. Generell basierten die „extended audit procedures" damit auf einer nicht vollständigen Erkenntnisba­ sis, die auch nicht mehr vervollständigt werden konnte. Nach Auskunft von Gregor F | | H m [ | t , Associate Partner EY, gegenüber KPMG hat EY Audit auf Grundlage der 25 geprüften (SIN) Issues ein erhöhtes Risiko hinsichtlich der Voll­ ständigkeit und Genauigkeit werthaltiger Umsätze und tatsächlichem Softwarebestand identi­ fiziert. Ausgangspunkt hierfür waren insbesondere die geprüften (SIN) Issues #10 bis #17. EY Audit hat KPMG in einem Gespräch am 18. Dezember 2019 mitgeteilt, dass in Reaktion hie­ jÄ B    Wirecard AG | Bericht Ciber die unabhängige Sonderuntersuchung 27.4.2020 - streng vertraulich | 10.020925-16039304 | Anlage 1/128

rauf dieses Risiko im Rahmen der Konzernjahresabschlussprüfung 2018, sowohl auf der Ertrags- als auch auf der Bestandsseite, kontinuierlich berücksichtigt wurde. Demnach hat EY Audit bei den Unternehmen, die im Rahmen der 25 (SIN) Issues beschuldigt wurden, zunächst die ökonomische sowie die vertragliche Substanz für alle bilanzierten Be­ stände mit Softwarebezug geprüft. Im Anschluss wurden für alle Konzernunternehmen die bilanzierten Bestände der Software Assets hinsichtlich der ökonomischen Substanz unter Berücksichtigung der Wesentlichkeit geprüft. Zur Bewertung der Werthaltigkeit wurden nach Auskunft von EY Audit u. a. Verträge, Rechnungen, „Contract Confirmations" und Screens­ hots der Software zugrunde gelegt. Zudem hat EY Audit Gespräche mit Dritten geführt, wie bspw. Entwicklern oder Softwarelieferanten. Hinsichtlich der Erträge aus Softwareverkäufen wurde nach Auskunft von EY Audit in einem ersten Schritt ebenfalls für die in den einzelnen (SIN) Issues auf geführten Unternehmien geprüft, ob Erträge aus Softwareverkäufen bilanziert wurden und wenn ja, ob diese eine ökonomische sowie vertragliche Substanz haben. Im Anschluss däran wurde auf Grundlage des Reportings der Forderungen gemäß IFRS 9, für alle im „Group Scope" berücksichtigten Unternehmen, eine nach Auskunft von EY Audit „erhebliche" Stichprobe gezogen. Sofern die Forderung gegenüber einem nicht bekannten Kunden bestand, wurde seitens EY Audit ge­ prüft, ob die Grundlage der Forderung ein Softwareverkaüf war. Wenn dies zutraf, ist die wirtschaftliche Substanz analog des zuvor beschriebenen Rrozesses für beschuldigte Unter­ nehmen überprüft worden. Abschließend wurden nach Auskunft von EY Audit alle lokalen /Abschlussprüfer der Unter­ nehmen im „Group-Scope" schriftlich angewiesen, Softwarebestände und Umsätze mit Bezug zu Softwareverkäufen aktiv zu suchen und an EY Audit zu melden. Sofern ein lokaler Abschlussprüfer entsprechende Sachverhalte identifiziert und gemeldet hatte, wurden diese durch EY Audit zur Bearbeitung übernommen. Im Rahnien der Vorstellung dieser Vorgehens­ weise hat KPMG einen'exemplarischen Sachverhalt auf Grundlage der eingesehenen Doku­ mentation im Detail nachvbilzogen. Das Vorgehen war sachgerecht. 3.4.4        Gesamteinschätzung Das von Rajah &Tann durchgeföhrte Compliance Audit war hinsichtlich des Aufbaus und der Durchführung nicht ausreichend, um die durch den Whistleblower erhobenen Vorwürfe in Gänze aufzuarbeiten. Insbesondere die von der Wirecard AG vorgenommene Auswahl von Wirecard-Geseüschaften in Singapur und die nicht forensische Untersuchung von Buchhal- tungs- und E-Mail-Daten stellen eine wesentliche Einschränkung dar. Durch die Untersuchungshandlungen von Rechtsanwaltskanzlei 2, wie z. B. Durchführung einer nach forensischer Praxis angemessenen E-Mail-Analyse oder die Durchführung von Interviews, konnten Schwachstellen im Compliance Audit von Rajah & Tann ausgeglichen werden, jedoch konnten diese Schwachstellen, z. B. unvollständige Datensicherung, nicht vollständig behoben werden. Es kann nicht sichergestellt werden, dass alle wesentlichen Unterlagen und Erkenntnisquellen für die Aufklärung der durch den Whistleblower erhobenen Vorwürfe zur Verfügung standen und genutzt wurden. Anlage 1/129 I Wirecard AG | Bericht über die unabhängige Sonderuntersuchung 27.4.2020 - streng vertraulich 110.020925-16039304

EY Audit hat die Ergebnisse des Compliance Audit bzw. der Internal Investigation von Rajah &Tann und der Rechtsanwaltskanzlei 2 durch eigene Prüfungshandlungen im Rahmen einer „Shadow Investigation" ergänzt. Insgesamt konnten die bereits bei der Untersuchung durch die beiden Rechtsanwaltskanzleien aufgetretenen Mängel durch die „Shadow Investiga­ tion" und die „extended audit procedures" von EY Audit (siehe hierzu auch Abschnitt 3.4.3.1 und 3.4.3.2) nicht mehr vollständig behoben werden. EY Audit hat auf Grundlage der vorliegenden Datenbasis Prüfungshandlungen in Bezug auf die erhobenen Vorwürfe durchgeführt. 3.5            Vorwurf der Manipulation von Bu^lhaftungsdaten im Rahmen der Berichterstattung a^s Singapuriiach Deutschland                                                               i 3.5.1           (SIN) Issue #1 - Figures Adjastment - \Mrecard New ^ a la n d 3.5.1.1        Vorwurf \ Mitarbeiter in Singapur sollen die interne IFRS Finanzberichterstattung der australischen Geschäfte der Wirecard AG bewusst und ohr»e entsprefehende Grundlage abgeändert haben, bevor diese an die Wirecard AG weite'rgeleitet würde. Zudem führte der Whistleblower aus, dass es zu erheblichen inhaltlichen Unterschieden zwischen der internen IFRS Finanzbericht­ erstattung von Wirecard New Zealand Ltd. (i'm Folgenden „Wirecard New Zealand") an die Wirecard Singapore Pte. Ltd. (im Folgenden „Wirpcard Singapore") und der nachfolgend von der Wirecard S'ihgapore an die Wirecard AG konsolidiert weitergeleiteten internen IFRS Fi- nanzberißhterstattüng gekommen sein soll. Ebenso soll es buchhalterische Unregelmäßigkei­ ten bei den aus Neuseeland, Hong Kong, Indonesien, Malaysia, Indien und den Philippinen an Deutschland gemeldeten Zahlen geben. 3.5.1.2 I Von EY Audit übergebene und von KPMG gesichtete Dokumente -   IFRS'Finanzberichterstättung bestehend aus Bilanz und Gewinn- und Verlustrechnung (im Folgenden „GuV") von GFG Group Ltd. (im Folgenden „GFG-Group") vom 31. Dezember 2015; ■. -   IFRS Finari'zberichterstattung bestehend aus Bilanz und GuV von Wirecard New Zealand vom 31. Dezember 2016 sowie vom 31. Dezember 2017; -   IFRS Finanzberichterstattung des Teilkonzerns bestehend aus Bilanz und GuV von Wire­ card Singapore vom 31. Dezember 2015, 31. Dezember 2016 sowie vom 31. Dezember 2017; Wirecard AG | Bericht über die unabhängige Sonderuntersuchung 2 7 .4 .2 0 2 0 - streng vertraulich | 10.020925-16039304 | Anlage 1/130

-   Überleitungspapier der Wirecard AG zwischen der IFRS Finanzberichterstattung des Ein­ zelunternehmens und der IFRS Finanzberichterstattung des Teilkonzerns vom 31. Dezember 2016 sowie vom 31. Dezember 2017. 3,5,1,3       Details zur Feststellung zu (SIN) Issue #1 Die Zahlen der Bilanz und der GuV aus der Finanzberichterstattung 2015 der GFG-Group wurden von EY Audit mit den entsprechenden Zahlen der Bilanz und GuV aus der Finanzbe­ richterstattung des Teilkonzerns 2015 von Wirecard Singapore an die Wirecard AG abge­ stimmt, Flierbei wurden durch EY Audit keine Differenzen identifiziert, Wirecard New Zealand war 2015 eine Gesellschaft innerhalb der GFG-Group, sodass die Zahlen zyvischen Wirecard New Zealand und Wirecard Singapore nicht unmittelbar miteinander alagestimmt werden konnten, sondern der Finanzberichterstattung 2015 der GFG-Groupjöntnommen werden mussten.                                                                                       / I                       .'          F Die Zahlen der Bilanz und der GuV aus der Finanzberichterstattung.2016 und 2017 von W ii^ card New Zealand wurden durch EY Audit mit den Zahlen der Bilan^und der GuV aus dep-' Finanzberichterstattung des Teilkonzerns 2016 und 2017 von VVirecard Singapore an dt© Wirecard AG abgestimmt. Hierfür wurde das Überleitungspapier zwischbT» der Finanzbericht­ erstattung des Einzelunternehmens und der Finanzberichterstattung des Teilkonzerns abgegli­ chen. Es wurden durch EY Audit Differenzen identifiziert, welche uhter der Wesentlichkeits­ grenze für den Konzernabschluss lagen und somit durch EY Audit als nicht wesentlich bewertet wurden. Für das Jahr 2016 wurden durch EY Audit Abweichungen innerhalb des Eigen- und Fremdkapitals identifiziert. Die Abweichung der Bilanzposition „Verbindlichkeiten" i. H. V. NZD 662.800'’^ konnte EY Audit durch Abweichungen in den Positionen „sonstige kurzfristige Rückstellungen“ und „IC unverzinsliche Verbindlichkeiten" erklären. Die Abwei­ chung in der Bilanzposition „Eigenkapital” i. H. v. NZD 666.100'*® erklärte EY Audit teilweise durch die Differenz i. R. v. NZD 584.000^ in dem Ergebnis der laufenden Periode. Für das Jahr 2017 identifizierte EY Audit Abweichungen im Umlaufvermögen, die auf Abwei­ chungen in den Forderungen aus Lieferungen und Leistungen zurückzuführen waren. Die Abweichung in der Bilanzposition „Eigenkapital" führte EY Audit größtenteils auf die Differenz i. H. V. NZD 320.000'*^ in den Gewinnrücklagen zurück. Eine dritte Abweichung identifiziert© EY Audit bei den Verbindlichkeiten, die auf Intercompany-Verbindlichkeiten aus Lieferungen und Leistungen zurückzuTühren waren. Der Vorwurf des (SIN) Issue #1 hat sich teilweise bestätigt. Die Abstimmung der Finanzbe­ richterstattung für'das Jahr 2015 hat keine Differenzen aufgezeigt. Für die Jahre 2016 sowie 2017 wurden Differenzen identifiziert, welche jedoch durch EY Audit als nicht wesentlich für den Konzernjahresabschluss bewertet wurden. entspricht ca. EUR 437.000, Wechselkurs EUR 1 = NZD 1,5158 vom 31. Dezember 2016 (Quelle: EZB) entspricht ca. EUR 439.000, Wechselkurs EUR 1 = NZD 1,5158 vom 31. Dezember 2016 (Quelle: EZB) entspricht ca. EUR 385.000, Wechselkurs EUR 1 = NZD 1,5158 vom 31. Dezember 2016 (Quelle: EZB) entspricht ca. EUR 190.000, Wechselkurs EUR 1 =NZD 1,685 vom 31. Dezember 2017 (Quelle: EZB) Anlage 1/131       I Wirecard AG | Bericht über die unabhängige Sonderuntersuchung 27.4.2020 - streng vertraulich | 10.020925-16039304

3.5.2            (SIN) Issue #2 - Local Statutory Financial Statement Adjust- ments Wirecard Singapore 3.5.2.1         Vorwurf Die interne IFRS Finanzberichterstattung soll vor dem Versand an die Wirecard AG von Mitar­ beitern in Singapur abgeändert worden sein. Dadurch soll sich eine Überbewertung des „re- venue" i. H. v. SGD 22 Mio“*®ergeben haben, da statt des „margin revenue" das „gross revenue" an die Wirecard AG berichtet worden sein soll, wobei weitere Details In dem Vor­ wurf, wie z. B. ein konkreter Bilanzposten, nicht genannt werden. 3.5.2.2        Von EY Audit übergebene und von KPMG gesicht                                         kumente -     Konzernjahresabschluss 2016 von Wirecard Singapore                                              (im FoJgenjS'eK^Vtececard Singapore"); -     IFRS Reporting 2016 von Wirecard Singapo^. 3.5.2.3        Details zur Feststellung zu (SIN) Issue /■                        \ Der Abgleich der Zahlen zwischen dem Konzernjahre'Sabschlüss 2016 der Wirecard Singapore und dem Wirecard Singapore IFRS^Reporting 2016 dur^qh EY Audit ergab eine Abweichung i. Fl. V. EUR 15.934, die laut EY Audit-|^us der Verschmelzung der Unternehmen Trans Info- tech Pte. Ltd. und CarpTechno PtC- Ltd: (nit Wirecard Singapore entstanden sein soll. Die Flöhe der Abweichyn'g lag untehder Wesehtlichkeitsgrenze von EY Audit. KPMG hat während des Gesprächesjtfit EY Audit Einsicht in die Dokumentation zur Ermittlung der Abweichung genommen,                                        " Eine erkBlSare < f^ a       Abweichung i.H. v. EUR 15.934 wurde durch EY Audit identifiziert. Der vom WhistlehloVver erhobene Vorwurf einer Abweichung i. H. v. SGD 22 Mio"‘®wurde durch EY Audit nicihtjbestätigt. ‘'® entspricht ca. EUR 14,4 Mio, Wechselkurs EUR 1 = SGD 1,5234 vom 31. Dezember 2016 (Quelle: EZB) entspricht ca. EUR 14,4 Mio, Wechselkurs EUR 1 = SGD 1,5234 vom 31. Dezember 2016 (Quelle: EZB) Wirecard AG | Bericht über die unabhängige Sonderuntersuchung 27.4.2020 - streng vertraulich | 10.020925-16039304 | Anlage 1/132