Markus Brinkmann - Tax Compliance

115

Nachdem in den vorhergehenden Rn. 5–102die Definitionen, Aufgaben und Strukturen von IKS, RMS, RFS, CMS und Tax CMS dargelegt wurden, soll nunmehr das Verhältnis der Systeme zueinander und deren Einordnung in die Unternehmensorganisation diskutiert werden. Die Einbettung des Tax CMS wird dabei gesondert in den nachfolgenden Rn. 123 ff.aufgezeigt.

116

Das unternehmensweite Managementsystem stellt ein Instrument zur Steuerung von Unternehmen dar. Als sozioökonomisches System handelt es sich bei einem Managementsystem nicht um ein greifbares Gebilde, sondern vielmehr um die „Gesamtheit von formalen Strukturen und konkreten Durchführungen“.[147] Als Aufgabe des Managementsystems kann die Unterstützung und Koordinierung der unternehmensweiten Planungs-, Durchführungs- und Kontrollprozesse bezeichnet werden. Das Managementsystem ist dabei auf sämtliche Funktionen und Bereiche von Unternehmen ausgerichtet.[148]

117

Das Risikomanagementsystem kann als Subsystem des unternehmensweiten Managementsystems eingeordnet werden.[149] Da es die Erreichung sämtlicher Unternehmensziele unterstützen soll und dabei sowohl auf die Gesamtorganisation als auch auf sämtliche Geschäftsbereiche, Geschäftseinheiten und Niederlassungen Anwendung findet, stellt es ein organisations- und funktionsübergreifendes System dar. Gegenstand des RMS sind dabei sämtliche Risiken des Unternehmens.[150]

118

Das Risikofrüherkennungssystem zielt auf die Früherkennung bestandsgefährdender Entwicklungen ab. Somit finden die Maßnahmen des RFS nicht auf sämtliche Risiken des Unternehmens, sondern lediglich auf den abgrenzbaren Teilbereich der bestandsgefährdenden Risiken Anwendung. Demzufolge kann das RFS als ein Subsystem des RMS bezeichnet werden.[151]

119

Die organisatorische Einordnung des IKS innerhalb des unternehmensweiten Managementsystems lässt sich gut anhand der Ziel- und Aufgabenstellung sowie der Komponenten des IKS auf Basis von COSO I vornehmen. Wie in Rn. 8 ff.dargelegt, ist die Aufgabe des IKS, eine hinreichende Sicherheit hinsichtlich des Erreichens der Unternehmensziele Wirksamkeit und Wirtschaftlichkeit der operativen Geschäftstätigkeit, Ordnungsmäßigkeit und Verlässlichkeit der finanziellen und nicht-finanziellen Unternehmensberichterstattung sowie Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften zu gewährleisten. Damit deckt das IKS drei von vier Zielstellungen des RMS ab. Für das RMS werden gem. COSO II die Zielsetzungen des IKS um den Bereich Strategie erweitert. Die Unterschiede zwischen IKS und RMS werden auch bei Betrachtung der jeweiligen Systemkomponenten anhand des sog. COSO-Würfels[152] deutlich. Während die fünf Komponenten (1) Kontrollumfeld, (2) Risikobeurteilung, (3) Kontrollaktivitäten, (4) Information und Kommunikation sowie (5) Überwachungals Grundelemente in beiden Systemen Bestandteil des Sollkonzepts sind, wird das Sollkonzept des RMS noch um die drei Komponenten Zielsetzung, Ereignisidentifikationund Risikosteuerungerweitert.[153] Der Vergleich der Sollkonzepte für IKS und RMS zeigt, dass gem. den COSO-Modellen sämtliche Ziele, Aufgaben und Komponenten des IKS auch Bestandteil des RMS sind, das RMS jedoch noch zusätzliche Ziele, Aufgaben und Komponenten aufweist. Demzufolge kann das IKS als reines Überwachungs- und Kontrollsystem somit ebenfalls als Subsystem des RMS eingestuft werden.[154]

120

Die Einordnung des CMS innerhalb des unternehmensweiten Managementsystems stellt sich etwas schwieriger dar, da die Verflechtung zu den anderen Systemen nicht unidirektional, sondern multidirektional verläuft. Da primäres Ziel des CMS die Sicherstellung der Regelkonformität – sowohl im Hinblick auf gesetzliche Vorschriften als auch auf unternehmensinterne Richtlinien – ist, sind folglich auch die rechtlichen Unternehmensrisiken ein Regelungsgegenstand des CMS. Da das RMS die Steuerung sämtlicher Unternehmensrisiken – folglich auch das Risiko des Regelverstoßes und somit der rechtlichen Unternehmensrisiken – umfasst, stellt das CMS insoweit ein Element des Risikomanagements dar.[155] Abgeleitet aus § 93 Abs. 1 AktG und § 91 Abs. 2 AktG ist die Verpflichtung zur Implementierung eines angemessenen Risikomanagement- und Risikofrüherkennungssystems jedoch selber als ein rechtliches Unternehmensrisiko (Compliance-Risiko) anzusehen, so dass insoweit das RMS bzw. das RFS Gegenstand der Überwachung durch das CMS sind. Diese Art der Verflechtung lässt erkennen, dass im Hinblick auf die Verortung des CMS innerhalb der Managementsysteme zwischen der theoretischen bzw. dogmatischen Einordnung und andererseits der organisatorischen Eingliederung im Unternehmen zu unterscheiden ist. Zwar kann das CMS hinsichtlich Ziel, Aufgabenstellung und Methodik dogmatisch als Teilbereich bzw. Element des Risikomanagements angesehen werden. Aufgrund des Unabhängigkeitserfordernisses der Compliance-Funktion und der beschriebenen Verflechtung – RMS und RFS als durch die Compliance-Funktion zu überwachendes Compliance-Risiko (rechtliches Risiko) – sollte das Compliance Management kein Bestandteil der Organisationseinheit Risikomanagement sein.[156]

121

Eine multidirektionale Beziehung ist auch zwischen CMS und IKS festzustellen. Kontrollen und Prozesse des IKS werden oftmals als Maßnahmen des Compliance-Programms verwendet (z.B. Vier-Augenprinzip, Funktionstrennung, Genehmigungsverfahren). Zugleich können durch das CMS zusätzlich implementierte Überwachungs- und Kontrollmaßnahmen auch Bestandteil des IKS werden.[157]

122

Trotz der vielfältigen Verflechtungen der Systeme untereinander, erscheint eine dogmatische Einordnung der Systeme sinnvoll. Bisher hat sich in der Literatur – insbesondere aufgrund der Vielzahl der Verflechtungen – noch keine herrschende Meinung im Hinblick auf eine Hierarchie der Systeme gebildet. Auf Basis der vorstehenden Erläuterungen kann, insbesondere aufgrund seiner vielfältigen Aufgaben und Zielsetzungen sowie des umfassenden Aufbaus und der organisatorischen Struktur – das RMS als führendes System mit einer „Dachfunktion“ angesehen werden. IKS, RFS und CMS können nebeneinander und miteinander interagierend unterhalb des RMS angesiedelt werden. Die Hierarchie und die organisatorische Eingliederung des jeweiligen Systems bzw. der jeweiligen Funktion können jedoch aufgrund individueller Gegebenheiten des jeweiligen Unternehmens von dieser dogmatischen Einordnung abweichen. Insbesondere ist darauf hinzuweisen, dass hinsichtlich der Einordnung der Compliance-Funktion in die Unternehmensorganisation deren Unabhängigkeit sichergestellt werden muss.

123

Das Tax CMS kann aufgrund seiner Ziele und Aufgaben sowie seines Aufbaus und Struktur (siehe hierzu die Ausführungen in den Rn. 74–103ff.) als abgrenzbarer Teilbereich des CMS angesehen werden.[158] Sofern ein Unternehmen über ein CMS verfügt, sollte das Tax CMS daher in das CMS eingebettet werden. Dies bedeutet, dass die Komponenten des Tax CMS Bestandteil der Komponenten des CMS sein sollten. Konkret betrachtet sind beispielsweise die Ergebnisse der steuerlichen Risikoanalyse in die Risikoanalyse des CMS mitaufzunehmen bzw. das Tax Compliance-Programm in das umfassende Compliance-Programm zu integrieren. Daneben sind die Dokumente des Tax CMS (z.B. (Konzern)Steuerrichtlinie, operative Steuerrichtlinien oder Verfahrensanweisungen) mit den Dokumenten des CMS zu verknüpfen. Insbesondere sollte in der (Konzern)Steuerrichtlinie hinsichtlich der gewünschten Verhaltensweisen auf den im Rahmen des CMS etablierten Code of Conduct und seinen Regelungen verwiesen werden. Demgegenüber sollte im Code of Conduct und der CMS-Beschreibung Bezug auf das Tax-CMS und seine Dokumente und Regelungen genommen werden.