Markus Brinkmann - Tax Compliance

26

Unter Kontrollaktivitätenwerden gem. IDW PS 261 n.F. die Grundsätze und Verfahren verstanden, welche die Durchsetzung der Entscheidungen des Managements sicherstellen sollen.[30]

27

Das Element Information und Kommunikationdient der Einholung, Aufbereitung und Weiterleitung der erforderlichen Informationen als Grundlage der unternehmerischen Entscheidungen sowie der Risikobeurteilung. Daneben wird die Information der Mitarbeiter über ihre Aufgaben und Verantwortlichkeiten innerhalb des IKS umfasst.[31]

28

Die Komponente Überwachungbeinhaltet die Überprüfung und Beurteilung der Angemessenheit und Wirksamkeit des IKS. Zudem soll im Rahmen eines Verbesserungsprozesses die Abstellung festgestellter Schwächen des IKS sichergestellt werden.[32]

29

Hinsichtlich der konkreten Ausgestaltung des IKS sind u.a. die Größe und Komplexität des Unternehmens, die Rechtsform und Organisation des Unternehmens, die Art, Komplexität und Diversifikation der Geschäftstätigkeit des Unternehmens sowie die Art und der Umfang der zu beachtenden rechtlichen Vorschriften die maßgeblichen Einflussfaktoren. Je nach individuellen Gegebenheiten kann somit ein unterschiedlicher Grad der Formalisierung des IKS angemessen sein. Die Verantwortung für die konkrete Ausgestaltung liegt insoweit bei der Unternehmensleitung.[33]

30

Es zeigt sich, dass es sich beim internen Kontrollsystem primär um Maßnahmen und Prozesse zur Sicherstellung des Erreichens der Unternehmensziele in den Bereichen operative Geschäftstätigkeit, Unternehmensberichterstattung und Compliance handelt. Die Darlegung der Sollkonzepte für den Aufbau eines IKS im COSO I-Rahmenwerk und im Prüfungsstandard IDW PS 261 n.F. zeigen, dass ein IKS aus den fünf Komponenten Kontrollumfeld, Risikobeurteilungen, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung bestehen sollte, welche je nach den individuellen Gegebenheiten des jeweiligen Unternehmens unterschiedlich stark ausgeprägt sein können.

31

Die Notwendigkeit für Risikomanagementergibt sich aus dem Umstand, dass jeder unternehmerischen Betätigung aufgrund der Unsicherheit künftiger Entwicklungen sowohl Chancen als auch Risiken innewohnen.[34] Einer weiten Definition folgend, stellt das Risiko eine positive oder negative Abweichung vom Erwartungswert dar.[35] Enger gefasste Definitionen verstehen im Risiko lediglich die negative Abweichung. Risiko wird demnach als „Möglichkeit ungünstiger künftiger Entwicklungen“[36] oder als „Gefahr der Zielverfehlung bzw. Strategieverfehlung aufgrund von hindernden Ereignissen oder Handlungen“[37] definiert.

32

In der betriebswirtschaftlichen Literatur zeigt sich bei Betrachtung der existierenden Definitionen für die Begriffe Risikomanagementbzw. Risikomanagementsystemein ziemlich einheitliches Bild. Demnach wird das Risikomanagement als Instrument für die Steuerung von Risiken verstanden, dessen Aufgabe in der Risikoerkennung, Risikoanalyse und Risikobewertung mit dem Ziel der Bewältigung von Risiken zur Sicherstellung der Unternehmensfortführung und der Erzeugung von Unternehmenswert liegt.[38] Das Institut der Wirtschaftsprüfer (IDW) definiert das Risikomanagement als die „Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung“[39].[40] Gem. dem COSO II-Modell[41] wird im Risikomanagement ein unternehmensweiter Prozess verstanden, der durch Personen sämtlicher Ebenen einer Organisation (Unternehmensleitung, Management und Mitarbeiter) ausgeführt wird. Das Risikomanagement soll im Rahmen der Bestimmung der Unternehmensstrategie angewendet werden. Dabei ist das Risikomanagement so zu konzipieren, dass mögliche Ereignisse, welche die Organisation beeinflussen können, erkannt und innerhalb des Risikoprofils der Organisation gesteuert werden, um eine hinreichende Sicherheit bezüglich des Erreichens der Ziele der Organisation zu gewährleisten.[42] Der ISO-Standard 31000[43] liefert eine weitere Definition des Begriffs Risikomanagement, wonach unter Risikomanagement koordinierte Handlungen zur Führung und Kontrolle von Organisationen im Hinblick auf Risiken verstanden werden.[44]

33

Basierend auf den vorgenannten Definitionen für den Begriff Risikomanagement wird unter dem Risikomanagementsystem eine Reihe von Komponenten verstanden, welche die Grundlagen und die organisatorischen Regelungen für die Entwicklung, die Implementierung, die Überwachung und die Verbesserung des Risikomanagements organisationsübergreifend abbilden.[45] Stellt Risikomanagement den Prozess im Umgang mit Risiken dar, so umfasst das Risikomanagementsystem die Organisationsstruktur und die Instrumente für die Durchführung des Risikomanagements.[46]

34

Das im September 2004 vom COSO veröffentlichte Modell „ Enterprise Risk Management – Integrated Framework “ (COSO II) war das erste international anerkannte Rahmenwerk für Risikomanagementsysteme, welches auch heute noch ein Benchmark für Risikomanagementsysteme ist. Das Rahmenwerk basiert auf dem vom COSO bereits 1992 veröffentlichten Rahmenwerk „ Internal Control – Integrated Framework “ (COSO I), welches die Entwicklung und Implementierung von internen Kontrollsystemen zum Inhalt hat. Dabei wird jedoch in COSO II der Fokus erweitert und die Grundprinzipien und Elemente des Risikomanagements dargestellt. Ziel von COSO II ist es, dem Management von Unternehmen ein Konzept an die Hand zu geben, mit dessen Hilfe sie ein Risikomanagementsystem entwickeln und implementieren können, um die Risiken in ihrem Unternehmen zu identifizieren, zu bewerten und zu steuern. Zudem soll das Modell dabei helfen, ein bestehendes Risikomanagementsystem zu bewerten und zu verbessern.

35

Im Hinblick auf die Unternehmensziele, zu deren Erreichen das Risikomanagement einen Beitrag leisten soll, werden in COSO II die vier Kategorien Strategie, Betrieb, Reporting und Compliance definiert. Dabei umfasst die Kategorie Strategie die Festlegung übergeordneter Ziele. Die Kategorie Betrieb beinhaltet den wirksamen und wirtschaftlichen Gebrauch der vorhandenen Ressourcen im Rahmen des operativen Geschäftsbetriebs. Die Kategorie Reporting setzt als Ziel die Verlässlichkeit der Unternehmensberichterstattung, während die vierte Kategorie Compliance als Ziel die Einhaltung der anwendbaren Gesetze und regulatorischen Vorschriften versteht. Während das Erreichen der Ziele der Kategorien Reporting und Compliance originär in der Kontrolle des jeweiligen Unternehmens liegt, wirken auf das Erreichen der Ziele der Kategorien Strategie und Betrieb auch externe Faktoren bzw. Ereignisse ein. Daher kann das Risikomanagementsystem in Bezug auf diese Ziele dem Management lediglich zeitnah Informationen über das Ausmaß der Zielerreichung liefern.[47]

36

Das Erreichen der Ziele kann durch das Risikomanagementsystem auf vielfältige Weise unterstützt werden. Zunächst kann das RMS helfen, die Strategie und die Ziele des Unternehmens mit der Risikoneigung des Unternehmens in Einklang zu bringen. Daneben kann das Risikomanagement, insbesondere durch die Bereitstellung von Informationen über die Risiken, bei der Auswahl der richtigen Reaktion aus den Möglichkeiten Risikovermeidung, Risikoreduktion, Risikoteilung und Risikoakzeptanz, hilfreich sein. Des Weiteren kann das Risikomanagement, insbesondere im Hinblick auf die Vielzahl an zusammenhängenden Risiken denen ein Unternehmen ausgesetzt ist, durch die Identifizierung von möglichen Ereignissen und der Etablierung von Gegenmaßnahmen Überraschungen vermeiden und die damit verbundenen Kosten und Verluste reduzieren. Zudem kann die Betrachtung einer Vielzahl an möglichen Ereignissen auch die Identifizierung und Wahrnehmung von Chancen unterstützen. Darüber hinaus kann das Risikomanagement bei der Optimierung des Kapitaleinsatzes hilfreich sein, da das Management auf Basis der Informationen aus dem Risikomanagementprozess den gesamten Kapitalbedarf besser einschätzen und damit die Kapitalallokation effizienter gestalten kann.[48]