Markus Brinkmann - Tax Compliance

76

Zusammenfassend kann auf Basis der vorstehenden Begriffsbestimmungen festgestellt werden, dass das Compliance Management und das Compliance Management System die notwendigen Maßnahmen, Instrumente und Prozesse liefern sollen, um die Einhaltung von externen und internen Regeln zu gewährleisten.

77

In Deutschland haben sich zwei Rahmenwerke für Compliance Management Systeme als Best Practice-Standard etabliert. Zum einen handelt es sich dabei um den IDW Prüfungsstandard 980, welcher eine umfangreiche Darstellung der Grundelemente eines CMS enthält, und zum anderen um den ISO-Standard 19600, der auf eine weltweite Anwendbarkeit abzielt. Nachfolgend sollen die Konzepte beider Standards dargelegt werden, um ein Verständnis für den Aufbau und die Struktur eines CMS zu erhalten.

78

Der durch den Hauptfachausschuss (HFA) des IDW am 11.03.2011 verabschiedete IDW PS 980 regelt primär den Inhalt freiwilliger Prüfungen von Compliance Management Systemen und zeigt die Berufsauffassung auf, nach der Wirtschaftsprüfer diese Aufträge durchführen sollen. Demzufolge sind insbesondere Vorgaben und Erläuterungen zu Gegenstand, Ziel und Umfang der Prüfung sowie zu konkreten Prüfungsanforderungen (wie z.B. Prüfungsplanung, Prüfungshandlungen oder Dokumentationspflichten des Wirtschaftsprüfers) Gegenstand des Standards.[105] Da der Standard darüber hinaus jedoch auch Compliance-spezifische Begriffsbestimmungen sowie die Definition und Darstellung der Grundelemente eines CMS enthält, hat er sich national zu einem Best Practice-Rahmenwerk für Compliance Management Systeme entwickelt. Als Benchmark für das theoretische Soll-Konzept von Compliance Management Systemen besitzt der Standard daher in der Unternehmenspraxis insbesondere bei der Entwicklung und Implementierung eines CMS eine hohe Relevanz.

79

Dem Sollkonzept des IDW PS 980 folgend, sollte ein CMS aus den sieben Grundelementen Compliance-Kultur, Compliance-Ziele, Compliance-Risiken, Compliance-Programm, Compliance-Organisation, Compliance-Kommunikationsowie Compliance-Überwachung und Verbesserungbestehen. Typischerweise stehen diese Grundelemente in Wechselwirkung zueinander. Die von der Unternehmensleitung festgelegten Compliance-Ziele, die Unternehmensgröße sowie die Komplexität (Art und Umfang) der Geschäftstätigkeit sind maßgebliche Bestimmungsgrößen für die konkrete Ausgestaltung des CMS und der einzelnen Grundelemente.[106]

80

Die Grundlage für die Angemessenheit und Wirksamkeit eines CMS ist die Compliance-Kultur. Einen maßgeblichen Einfluss auf die Compliance-Kultur haben insbesondere die Grundeinstellung und Verhaltensweisen der Unternehmensleitung und des Aufsichtsorgans (sog. „tone at the top“). Kennzeichen einer günstigen Compliance-Kultur sind beispielsweise ein hoher Stellenwert der Regelkonformität sowie ein von Personen und Hierarchien unabhängiger Sanktionsmechanismus. Eine günstige Compliance-Kultur soll eine höhere Akzeptanz der relevanten Grundsätze und Maßnahmen durch die Mitarbeiter fördern. Einflussfaktoren auf die Compliance-Kultur sind neben den Verhaltensweisen und dem Führungsstil des Managements z.B. die Regelkonformität fördernde Anreizsysteme, die Berücksichtigung von Compliance bei Personalbeurteilungen und Beförderungen oder die Art und Weise, wie das Aufsichtsorgan seine Aufgaben im Hinblick auf Risikomanagement und Compliance wahrnimmt.[107]

81

Bei der Bestimmung der Compliance-Zielesollen die allgemeinen Unternehmensziele und die für das Unternehmen in den abgegrenzten Teilbereichen relevanten Regeln berücksichtigt werden. Dabei sind im Rahmen der Festlegung der Compliance-Ziele zu beachtende Anforderungen insbesondere die Konsistenz, die Verständlichkeit und die Praktikabilität der unterschiedlichen Ziele, die Messbarkeit des Zielerreichungsgrades sowie die Abstimmung mit den verfügbaren Ressourcen.[108]

82

Die Basis für die Entwicklung eines angemessenen Compliance-Programms stellt die Risikoanalyse dar. Die Analyse (Feststellung und Beurteilung) der Compliance-Risikensollte auf Basis der von der Unternehmensleitung festgelegten Compliance-Ziele erfolgen. Im Rahmen der Risikoanalyse ist eine Beurteilung der identifizierten Compliance-Risiken hinsichtlich Eintrittswahrscheinlichkeit und Auswirkung vorzunehmen. Zudem sollten die grundlegenden Entscheidungen des Managements in Bezug auf den Umgang mit Risiken (Risikovermeidung, Risikoreduktion, Risikoüberwälzung oder Risikoakzeptanz) berücksichtigt werden. Zentrale Eigenschaft der Risikoanalyse ist, dass es sich um eine wiederkehrende Aufgabe innerhalb des CMS – und somit um einen Regelprozess – handelt.[109]

83

Das Compliance-Programmbeinhaltet die konkreten Grundsätze und Maßnahmen, die die Einhaltung der für das Unternehmen relevanten Regeln sicherstellen sollen. Dabei werden unter Grundsätzen klare Festlegungen zur Zulässigkeit bzw. Unzulässigkeit von Aktivitäten verstanden. Maßnahmen sind konkrete Prozesse und Instrumente zum Erkennen von Risiken für Compliance-Verstöße (z.B. Hinweisgebersysteme), zur Reaktion auf die erkannten Risiken sowie zur Kommunikation und Ursachenanalyse bei Aufdeckung von Verstößen. Die Maßnahmen des Compliance-Programms umfassen zudem in das CMS integrierte Kontrollen, wie z.B. Funktionstrennungen, Berechtigungskonzepte oder Genehmigungsverfahren und Unterschriftsregelungen, unabhängige Gegenkontrollen (4-Augenprinzip) und Job-Rotationen.[110]

84

Von zentraler Bedeutung für die Compliance-Organisationist eine klare Festlegung von Rollen und Verantwortlichkeiten. Darunter fällt insbesondere die Bestimmung eines Compliance-Beauftragten oder eines Compliance-Gremiums. Zudem sollte eine klare Festlegung der Aufgaben bzw. Kompetenzen, der hierarchischen Stellung bzw. der organisatorischen Einordnung sowie der Berichtslinien erfolgen. Ein weiteres Merkmal einer guten Compliance-Organisation ist die Bereitstellung ausreichender Ressourcen im Hinblick auf die festgelegten Compliance-Ziele und die identifizierten Compliance-Risiken. Des Weiteren sollte die Compliance-Organisation die Entwicklung organisatorischer und technischer Hilfsmittel zur Durchsetzung des Compliance-Programms, wie z.B. Handbücher, Checklisten oder IT-Tools, sicherstellen. Um die Wirksamkeit und Wirtschaftlichkeit zu gewährleisten, sollte das CMS zudem nicht als „stand-alone“-System implementiert, sondern in andere bestehende Systeme des Unternehmens, wie z.B. das Risikomanagementsystem oder das interne Kontrollsystem, integriert werden.[111]

85

Die Compliance-Kommunikationist von zentraler Bedeutung für die Wirksamkeit des CMS. Dabei weist das Grundelement Compliance-Kommunikation drei wesentliche Aufgaben auf. Erste wesentliche Aufgabe der Compliance-Kommunikation ist die Kommunikation der in den definierten Teilbereichen von den Mitarbeitern zu beachtenden Regeln sowie des Compliance-Programms an die jeweils betroffenen Personen. Die Kenntnis der zu befolgenden Regeln ist die Voraussetzung, dass diese auch eingehalten werden können. Zweite zentrale Aufgabe der Compliance-Kommunikation ist die Festlegung der Berichtspflichten (Anlässe) und der Berichtswege für die Kommunikation der identifizierten Compliance-Risiken und festgestellter bzw. vermuteter Regelverstöße an die jeweils zuständigen Funktionen im Unternehmen. Die Sicherstellung des diesbezüglichen Informationsflusses ist für die Verhinderung vermuteter Regelverstöße und die Bewältigung festgestellter Regelverstöße von entscheidender Bedeutung. Die dritte zentrale Aufgabe stellt die Kommunikation der Ergebnisse von durchgeführten Überwachungsmaßnahmen dar. Diese Informationen sollen der Ursachenanalyse und der daraus abgeleiteten Entwicklung von Verbesserungsmaßnahmen dienen. Als Instrumente für die Vermittlung von Informationen kommen z.B. Mitarbeiterbriefe, Compliance-Handbücher oder Schulungen in Frage.[112]