Markus Brinkmann - Tax Compliance

93

Grundvoraussetzungen für ein wirksames Compliance Management sind die aktive Teilnahme und die Überwachungstätigkeit des Top-Managements. Die Verantwortung des täglichen Compliance Managements sollte – wie von vielen Organisationen in der Praxis umgesetzt – auf eine bestimmte Person, den sog. Compliance Officer (Compliance-Beauftragter), übertragen werden. Alternativ kann auch ein funktionsübergreifender Compliance-Ausschuss etabliert werden, um das Compliance Management innerhalb der Organisation zu organisieren. Neben dem Top-Management und dem Compliance Officer kommt den Managern der unterschiedlichen Ebenen der Organisation eine bedeutende Verantwortung und Rolle für das CMS innerhalb ihres jeweiligen Verantwortungsbereiches zu. Daher sollten sie mit positivem Verhalten vorangehen, die primär Compliance-Verantwortlichen unterstützen sowie innerhalb ihres Bereiches mögliche Compliance-Risiken identifizieren und adressieren. Daneben sollten sie Mitarbeiter für Compliance-Themen sensibilisieren, schulen sowie motivieren, Compliance-relevante Informationen oder Bedenken zu kommunizieren.[122]

94

Die Compliance-Funktion ist in Zusammenarbeit mit der Unternehmensleitung für das CMS verantwortlich. Sofern keine eigenständige Compliance-Stelle geschaffen wird, ist die Compliance-Funktion einer bereits bestehenden Position zuzuweisen. Der konkrete Aufgabenbereich der Compliance-Funktion umfasst u.a. die Identifizierung und Analyse von Compliance-Verpflichtungen/Risiken, die Ableitung eines Compliance-Programms (Richtlinie, Verfahren und Prozesse), die Organisation von Compliance-Schulungen, die Entwicklung und Implementierung eines Compliance Reporting, die Erstellung einer Compliance-Dokumentation, die Etablierung von Informationssystemen sowie die Steuerung von Compliance-Risiken. Bei der Besetzung der Compliance-Funktion ist insbesondere zu beachten, dass keine Interessenkonflikte bestehen. Zudem sollte die Person über die notwendige Integrität, ein Kommitment zu Compliance, die erforderliche Kompetenz, Ansehen sowie Durchsetzungs- und Kommunikationsfähigkeiten verfügen.[123]

95

Von zentraler Bedeutung innerhalb des CMS ist die Etablierung von Prozessen zur Identifikation und Bewertung der Compliance-Verpflichtungen und Compliance-Risiken. Dabei sind zunächst die für die Organisation relevanten Verpflichtungen (z.B. Gesetze, Rechtsprechung oder freiwillige Verpflichtungen) und deren Auswirkungen für die Aktivitäten, Produkte und Dienstleistungen der Organisation systematisch zu identifizieren sowie in angemessener Weise in Abhängigkeit von der Größe, Komplexität und Struktur der jeweiligen Organisation zu dokumentieren. Um eine kontinuierliche Gewährleistung guter Compliance zu erreichen, sollte ein Change Management-Prozess etabliert werden. Das bedeutet, dass Prozesse zur Identifikation von Änderungen der Compliance-Verpflichtungen und der daraus resultierenden Auswirkungen zu implementieren sind, um eine entsprechende Anpassung des Compliance-Management Systems sicherzustellen. Als solche Prozesse bzw. Instrumente zur Identifizierung von Änderungen des rechtlichen Umfelds und damit ggf. der organisationsspezifischen Compliance-Verpflichtungen können z.B. die regelmäßige Information bei Regulierungsbehörden (z.B. durch Registrierung für Informations-E-Mails, regelmäßige Beobachtung der Internetseiten oder persönliche Treffen), die Mitgliedschaft in Berufsverbänden oder die Teilnahme an Branchentreffen und Seminaren dienen.[124]

96

Auf Basis der Identifikation der organisationsspezifischen Compliance-Verpflichtungen soll die Identifikation und Bewertung der Compliance-Risiken (sog. Risikoanalyse) vorgenommen werden. Konkret sind im Rahmen der Risikoanalyse die Ursachen und Quellen von Regelverstößen (sog. Non-Compliance) zu identifizieren, das Ausmaß der Auswirkungen solcher Regelverstöße zu bestimmen sowie die Wahrscheinlichkeit für das Auftreten von Non-Compliance einzuschätzen. Der Prozess der Risikobewertung sollte insbesondere einen Vergleich des identifizierten Risikoniveaus mit der Risikoneigung der Organisation, d.h. dem Risikoniveau, das die Organisation zu akzeptieren bereit ist, umfassen. Bei der Risikobewertung handelt es sich um einen kontinuierlichen Prozess, d.h. die Risikobewertung ist in regelmäßigen Abständen sowie bei Veränderungen der Organisation oder der Rahmenbedingungen innerhalb derer sich die Organisation bewegt, wie z.B. die Einführung neuer Produkte, Wechsel der Strategie oder veränderte Marktbedingungen, zu aktualisieren.[125]

97

Aufbauend auf der Risikoanalyse sollten unter Berücksichtigung der zugrunde gelegten Governance-Prinzipien die Compliance-Risiken bestimmt werden, die innerhalb der Organisation zu adressieren sind. Dabei sind zunächst die Maßnahmen zu planen, anhand derer die Risiken gesteuert werden können, sowie festzulegen, wie diese Maßnahmen in das CMS integriert werden.[126] Neben der Bestimmung und Kommunikation der Compliance-Risiken sind auch die Compliance-Ziele für die entsprechenden Funktionen und Ebenen festzulegen. Die Compliance-Ziele sollten dabei insbesondere mit der Compliance-Strategie und der Compliance-Richtlinie in Einklang stehen, messbar sein, in die Organisation kommuniziert sowie regelmäßig überprüft und – soweit erforderlich – angepasst werden. Nach Festlegung der Compliance-Ziele sollte geplant werden, wie diese Ziele erreicht werden können. Dieser Prozess beinhaltet beispielsweise die Festlegung der zu ergreifenden Maßnahmen, der benötigten Ressourcen, der Verantwortlichkeiten sowie der Methoden, mit denen die Ergebnisse bewertet werden sollen (z.B. spezielle Compliance-Kennzahlen). Über die festgelegten Compliance-Ziele sowie die Maßnahmen zur Erreichung der Compliance-Ziele sollte eine entsprechende Dokumentation erstellt werden.[127]

98

Die Planung und Festlegung der Maßnahmen und Prozesse zur Sicherstellung der Einhaltung der Compliance-Verpflichtungen sollte zur Implementierung von Kontrollen führen. Um die Wirksamkeit zu erhöhen und die Wirtschaftlichkeit zu gewährleisten, sollten die Kontrollen – soweit möglich – in die bestehenden Unternehmensprozesse integriert werden. Bei den zu implementierenden Kontrollen handelt es sich z.B. um Genehmigungsverfahren, die Trennung von unvereinbaren Funktionen und Verantwortlichkeiten (sog. Funktionstrennung) oder automatisierte IT-Kontrollen, die z.T. bereits im Rahmen eines bestehenden internen Kontrollsystems verwendet werden. Die Effektivität der Kontrollen sollte durch eine kontinuierliche Überprüfung und Bewertung der Kontrollen sichergestellt werden. Darüber hinaus sollten Verfahren implementiert und dokumentiert werden, um die Compliance-Richtlinie umzusetzen und die Compliance-Verpflichtungen in den betrieblichen Abläufen abzubilden.[128] Hat die Organisation betriebliche Prozesse an externe Dritte ausgelagert, so sind diese einem Monitoring durch das Unternehmen zu unterwerfen, da die Auslagerung von Prozessen die Unternehmensleitung nicht von der rechtlichen Verantwortung sowie den Compliance-Verpflichtungen befreit.[129]

99

Ein weiteres Grundelement des CMS stellt der Monitoring- und Verbesserungsprozess dar. Das in der Organisation implementierte CMS sollte einem kontinuierlichen Überwachungsprozess (Monitoring) unterliegen, innerhalb dessen die Wirksamkeit und Effektivität des CMS zu überprüfen sind. Zu diesem Zweck sollte ein Monitoring-Plan erstellt werden, der festlegt, welche Bausteine, Prozesse und Maßnahmen des CMS dem Monitoring unterliegen sollen und welche Methoden für das Monitoring sowie die Bewertung und Analyse der Monitoring-Ergebnisse zu verwenden sind. Zudem sollte der Monitoring-Plan einen Zeitplan für die Durchführung und die Ergebnisanalyse enthalten. Typischerweise sollten zu den Bereichen des CMS, die einem Monitoring unterliegen, z.B. die Effektivität von Kontrollen, Schulungen oder der Verteilung der Compliance-Verantwortlichkeiten, gehören. Für die Beurteilung der Performance des CMS sind insbesondere die Fälle von Non-Compliance, nicht erreichter Compliance-Ziele sowie der Status der Compliance-Kultur zu überprüfen. Informationen können dabei von Mitarbeitern, Kunden, Lieferanten oder anderen Stakeholdern anhand verschiedener Kommunikationsprozesse, wie z.B. einem Hinweisgebersystem, Workshops oder Umfragen, gewonnen werden. Zudem können Prüfungen des CMS durch Dritte (wie z.B. interne Revision oder Wirtschaftsprüfer) zusätzliche Informationen liefern. Zum Zwecke der Bewertung des Grads der Erreichung der Compliance-Ziele sowie der Performance des CMS sollten messbare Kennzahlen (z.B. der Prozentsatz der geschulten Mitarbeiter oder die Anzahl identifizierter Fälle von Non-Compliance) entwickelt und verwendet werden.[130]