Die Buchhalterin der GmbH führte vom Konto der Gesellschaft Überweisungen auf ihr eigenes Konto durch. Eine neue Buchhalterin entdeckte die Unregelmäßigkeiten in der Buchhaltung, fehlende Gelder in der Handkasse sowie doppelte Überweisungen. Im Zuge der Jahresabschlussprüfung wurde die Veruntreuung ebenfalls festgestellt. Es kam zur Klage des Geschäftsführers durch die Alleingesellschafterin der GmbH. Laut Klagebegründung hätte der Geschäftsführer ein IKS einführen müssen, welches mithilfe des 4-Augen-Prinzips u.a. im Zahlungsverkehr, die dolosen Überweisungen potentiell verhindern hätte können1.
Das Erstgericht befand den Geschäftsführer für schuldig, weil er kein, wie in § 22 Abs. 1 GmbHG gefordert, „den Anforderungen des Unternehmens entsprechendes Internes Kontrollsystem“ geführt hatte.
Den Einwand des Geschäftsführers, dass er das bereits vorhandene IKS von der Organisation genauso übernommen und weitergeführt hatte, ließ der OGH nicht zu. Es befand, dass auch ein übernommenes IKS einer regelmäßigen Evaluierung bedarf, um zu gewährleisten, dass es den Ansprüchen des Unternehmens entspricht.
Ziel eines jeden IKS ist es, routinemäßige Abläufe zu standardisieren, damit personelle und finanzielle Ressourcen gespart und Risiken für die Zielerreichung reduziert werden können. Diese Risikominimierung ist nicht nur für Shareholder aus finanzieller Sicht von Relevanz, auch Mitarbeiterinnen und Mitarbeiter, Führungskräfte und die Geschäftsleitung können damit sicherstellen, dass sie ihre Aufgaben richtig und vollständig durchgeführt haben.
Das OGH-Urteil von August 2020 zeigt die drastischen Konsequenzen, die das Fehlen eines IKS mit sich bringen kann. Jedoch ist ein IKS nicht nur sinnvoll, um finanzrechtliche Risiken für die Unternehmensleitung zu reduzieren. Ein effektives IKS kann auch zur Effizienzsteigerung beitragen und ist keineswegs bloß für große Unternehmen und öffentliche Organisationen relevant.
Ein funktionsfähiges IKS ist ein bedeutender Teil des unternehmensweiten Risikomanagementsystems. Die Grundlage dafür bildet die Identifikation und Analyse der unternehmensspezifischen Risiken. Anschließend werden die erkannten Risiken bewertet und evaluiert. Basierend darauf werden Kontrollaktivitäten entworfen und implementiert, welche diese Risiken abdecken sollen und somit zur Verhinderung von Betrug und Normenverstößen (Non-Compliance) beitragen.
Im konkreten Fall hätte der Geschäftsführer der GmbH sicherstellen müssen, dass das Risiko falsch durchgeführter Überweisungen (vorsätzlich oder nicht) entsprechend adressiert wird. Dies wäre beispielsweise mit der Etablierung des 4-Augen-Prinzips im Zahlungsprozess möglich gewesen.