Geschäftsführerhaftung Teil 3: Interne Kontrollsysteme in BPS

Artikel

Die Haftung des GmbH Geschäftsführers

Teil 3: Interne Kontrollsysteme in Business Process Services

Im dritten Teil unserer Serie zur Geschäftsführerhaftung stehen Interne Kontrollsysteme (IKS) im Fokus. Diese sind nicht nur ein notwendiges gesetzliches Übel (bspw nach § 22 Abs 1 GmbHG), sondern zentrale Bestandteile der Aufbau- und Ablauforganisation von Unternehmen, Vereinen, Gemeinden und anderen Rechtsträgern. Geschäftsführer haften für ein IKS, das den Anforderungen des Unternehmens nicht entspricht. Die normativen Bestimmungen in Österreich räumen den Leitungsorganen einen breiten Spielraum bei der Einführung des IKS ein.

Allgemeines und Theorie – ein kurzer Abriss

In Praxis und Lehre sind die Begrifflichkeiten Risiken, interne Kontrollen und Interne Kontrollsysteme nicht immer klar voneinander abgegrenzt:

  • Risiken sind die aus der Unvorhersehbarkeit der Zukunft resultierenden, durch „zufällige“ Störung verursachte Möglichkeit, von geplanten Zielen abzuweichen.
  • Die interne Kontrollen sind in die Arbeits- und Betriebsabläufe eingebettete Prozesse, die von den Führungskräften und Mitarbeitern durchgeführt werden, um bestehende Risiken zu erfassen, zu steuern und mit ausreichender Gewähr sicherstellen zu können, dass die Organisation im Rahmen der Erfüllung ihrer Aufgabenstellung ihre Ziele erreicht.
  • Interne Kontrollsysteme sind die Summe aller in die betrieblichen Arbeitsabläufe eingebetteten Steuerungs- und Überwachungsprozesse, die der Zielerreichung dienen.

Die Ziele können sehr unterschiedlich ausgestaltet sein. Ist bspw in der Personalverrechnung die Sicherstellung einer vollständigen, genauen und periodengerechten Abrechnung das Ziel, kann im Bereich der Geldmittel die lückenlose Protokollierung der Zugriffe im Vordergrund stehen.

Das IKS ist dabei kein Projekt, das irgendwann endet, sondern ein kontinuierlicher und von Personen getragener sowie gelebter Prozess, welcher sich im Zeitablauf verändern kann und den Gegebenheiten angepasst werden muss. Bspw erfordert auch die neue Datenschutzgrundverordnung die Überarbeitung des IKS.

Wie kann man sich das IKS nun vorstellen? Im Groben unterteilt es sich in fünf Komponenten, welche allesamt und in unterschiedlichen Ausprägungen vorhanden sein müssen:

Kontrollumfeld Das Kontrollbewusstsein der Organisation und seiner Mitglieder
Risikobeurteilung Die Identifizierung, Bewertung und Steuerung von Risiken
Kontrollaktivitäten Die Definition der Kontrollen durch Kontrollrichtlinien und Kontrollverfahren
Information und Kommunikation Sicherstellung, dass sämtliche Organisationsmitglieder mit den notwendigen Informationen ausgestattet werden
Überwachung Laufende Überwachung des IKS

Praxis: Herausforderungen an das IKS

Benutzerberechtigungen
  • Ein Lehrling beginnt im Lager und erhält in den EDV-Einstellungen die Logistikberechtigungen. Der Lehrling verdient sich und wechselt in den Vertrieb. Folglich erhält er nun die Vertriebsberechtigungen. Nach langer Zeit wechselt er als guter Mitarbeiter in das Rechnungswesen und erhält die entsprechenden Zugriffsrechte. Werden die Berechtigungen jeweils nur ergänzt und nicht geändert/gelöscht, ist der Lehrling mit umfassenden IT Rechten ausgestattet und ein sogenannter „Superuser“.
  • Mitarbeiter verfügen nach ihrer Hochzeit über zwei Accounts im EDV-System. Es benötigt einen laufenden Abgleich zwischen Mitarbeiterstammdaten und tatsächlich vorhandenen EDV-Accounts.
Physische Sicherheit
  • Die DSGVO verlangt unter anderem auch den physischen Schutz von digitalen Daten. Passwortgesicherte PC-Arbeitsplätze sind die erste „Verteidigungslinie“ für unberechtigte Zugriffe und Teil eines wirksamen IKS
  • Dokumente und Aufzeichnungen sind idR bei Zerstörung durch Katastrophen versichert. Um den Fortbestand sichern zu können, ist allerdings auch eine laufende Sicherung (bspw durch Kopie und Ablage an anderem Ort oder Digitalisierung) notwendig.
Zahlungsmittel
  • Besonders in kleinen Organisationen müssen Einzel-Zeichnungsberechtigungen vergeben werden. Scheidet der Mitarbeiter aus, bleiben die Berechtigungen oftmals aufrecht. Im Falle des Ausscheidens von Mitarbeitern ist ein standardisierter „Ausscheideprozess“ zur Bereinigung der Berechtigungen zu durchlaufen.
     

Empfehlung: Das IKS aktuell halten!

In der Praxis empfiehlt es sich die folgenden Bereiche kritisch zu hinterfragen:

Halte ich die Grundsätze des IKS ein?

Funktionstrennung einhalten (Genehmigung, Durchführung, Kontrolle durch jeweils verschiedene Stellen); Kontrollspanne definieren (Anzahl an kontrollierten Einheiten pro Stelle); Verteilung der Aufgaben und damit verbundene Kompetenzen und Verantwortung einrichten.

Welche IKS-Instrumente setze ich ein?

Systematik der Kontrollen definieren; Überwachung durch Vorgesetzte (fachlich, organisatorisch, Manipulationssicherheit) festlegen; Revisionen und externe Kontrollen implementieren; Akzeptanz durch Mitarbeiter forcieren.

Wie sind Prozesse und Berechtigungen ausgestaltet?

Aktuelle Arbeits- und Dienstanweisungen; Stellenbeschreibungen definieren; Vollmachts- und Befugniserteilung definieren; Soll-Ist-Vergleiche anstellen; ausreichende Dokumentation und Ablage sicherstellen.

Welche IKS-Organisationsmittel werden eingesetzt?

Mechanische/technische Schließ- und Sperrvorrichtungen einrichten; Formulare erstellen und verwenden; notwendigen Grad an Automatisierung einführen.

 

Zusammenfassend: IKS reduzieren die Haftungsrisiken

IKS existieren in unterschiedlicher Ausprägung und Güte in jedem Unternehmen. Hinterfragen Sie als Geschäftsführer, Vereinsvorstand oder Bürgermeister kritisch, ob Ihre Kontrollen am Ziel vorbei schießen (Über- oder Unterkontrolle), ob Sicherheitslücken bestehen und ob das vorhandene IKS wirksam und angemessen ist. Verstehen Sie es dabei nicht als notwendiges und gesetzliches „Übel“, sondern als Chance, Ihr Unternehmen erfolgreich zu steuern und Haftungsrisiken proaktiv abzufangen.

Es gilt: 

„Wenn du wünscht andere zu kontrollieren, musst du erst dich selbst kontrollieren.“ 
(Miyamoto Musashi – japan. Philosoph)

War der Artikel hilfreich?