Umsetzung eines Tax Compliance Management Systems aufgrund der Änderung des AEAO zu § 153 AO vom 23.05.2016

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 Einführung
1.1 Motivation und Problemstellung
1.2 Abgrenzung und Ziele der Arbeit
1.3 Kapitelüberblick

2 Begriffsbestimmungen
2.1 Internes Kontrollsystem (IKS)
2.1.1 Definition
2.1.2 Gesetzliche Anforderungen
2.1.3 Ausgestaltung eines Internen Kontrollsystems
2.2 Compliance Management System (CMS)
2.2.1 Definition
2.2.2 Gesetzliche Anforderungen
2.2.3 Ausgestaltung eines Compliance Management Systems
2.3 Vergleich zwischen IKS und CMS

3 Tax Compliance Management System
3.1 Begriffsdefinition und -abgrenzung
3.2 Relevanz für deutsche Unternehmen
3.2.1 Tax Compliance aus Sicht der Finanzverwaltung und Unternehmen
3.2.2 Haftungsfragen für Organe und Unternehmen
3.2.3 Auswirkung eines Tax Compliance Management Systems
3.3 Struktur und Inhalt eines Tax CMS
3.3.1 Tax Compliance-Kultur
3.3.2 Tax Compliance-Ziele
3.3.3 Tax Compliance-Organisation
3.3.4 Tax Compliance-Risiken
3.3.5 Tax Compliance-Programm
3.3.6 Tax Compliance-Kommunikation
3.3.7 Tax Compliance-Überwachung und Verbesserung
3.3.8 Prozess eines Tax Compliance Management Systems
3.4 Tax CMS beim Outsourcing

4 Tax CMS am Beispiel der Umsatzsteuer
4.1 Risikobereich Umsatzsteuer
4.2 Vorstellung der VAT GmbH
4.3 Tax CMS der VAT GmbH
4.3.1 Tax Compliance-Kultur
4.3.2 Tax Compliance-Ziele
4.3.3 Tax Compliance-Organisation
4.3.4 Tax Compliance-Risiken
4.3.5 Tax Compliance-Programm
4.3.6 Tax Compliance-Kommunikation
4.3.7 Tax Compliance-Überwachung und Verbesserung

5 Schlussbetrachtung
5.1 Zusammenfassung
5.2 Kritische Würdigung des IDW Praxishinweises 1/
5.3 Ergebnisse der Arbeit
5.4 Ausblick

Literaturverzeichnis

Verzeichnis der Gesetze, Rechtsverordnungen, Verwaltungsanweisungen

Rechtsprechungsverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Elemente von Corporate Governance

Abbildung 2: Bestandteile eines Internen Kontrollsystems

Abbildung 3: Komponenten des Internen Kontrollsystems

Abbildung 4: Grundelemente eines Compliance Management Systems

Abbildung 5: Three Lines of Defense

Abbildung 6: Beispielhafte Darstellung einer RACI-Matrix

Abbildung 7: Risiko-Matrix zur Identifikation der Tax Compliance-Risiken

Abbildung 8: Beispielhafte Darstellung einer steuerlichen Risiko-Kontroll-Matrix

Abbildung 9: Wirkung der Elemente eines Tax Compliance Management Systems

Abbildung 10: Organigramm der VAT GmbH

Abbildung 11: Ausschnitt der RACI-Matrix der VAT GmbH

Abbildung 12: Ausschnitt der Risiko-Matrix der VAT GmbH

Abbildung 13: Ausschnitt der Risiko-Kontroll-Matrix der VAT GmbH

Abbildung 14: Entscheidungsbaum für den innergemeinschaftlichen Erwerb

Tabellenverzeichnis

Tabelle 1: Begriffe des innerbetrieblichen Kontrollsystems für steuerliche Zwecke

Tabelle 2: Anamnese der umsatzsteuerlichen Sachverhalte der VAT GmbH

1 Einführung

1.1 Motivation und Problemstellung

Die vorherrschende Meinung in der Literatur und den Medien besagt, dass das deutsche Steuerrecht eines der kompliziertesten Themen im Ländervergleich ist, da es eine Vielzahl von Verordnungen, Gesetzen und Urteilen gibt (vgl. Online Redaktion Verlag Dashöfer, 2013). Obwohl diese These bereits mehrfach wiederlegt wurde (vgl. Maß, 2015), ist es ein weitaus komplexes Rechtsgebiet mit einer schwer überschaubaren Rechtslage. Betrachtet man die Unternehmensebene und die damit im Zusammenhang stehende Steuerebene, so ereignen sich eine Fülle von Geschäftsvorfällen, die von verschiedenen Akteuren richtig erkannt, behandelt und bearbeitet werden müssen, um die gesetzlichen Vorgaben einzuhalten. Durch die Vielfältigkeit und dem unterschiedlichen Wissensniveau von Inhabern, Organen und Mitarbeitern sind die Steuerdeklarationen fehleranfällig und müssen korrigiert werden. Genau durch diese Problematik stehen die Unternehmen vor ein erhöhtes Risiko, denn die Rechtsentwicklung in Bezug auf die Berichtigung der Steuererklärung, ist schnelllebig und führte in der Vergangenheit zu Unsicherheiten.

Die Problematik der Steuerhinterziehung gem. § 370 AO

Bis zum Jahr 2011 konnte eine Korrektur der Steuererklärung ohne Konsequenzen vorgenommen werden. Es war bis dato irrelevant, ob die Fehler vorsätzlich, leichtfertig oder fahrlässig begangen wurden. Bei einem Vorsatz führte eine Selbstanzeige^[1] gem. § 371 AO (1977) zur Straffreiheit, bei Leichtfertigkeit zum Ausschluss der Ahndung von Ordnungswidrigkeiten gem. § 378 Abs. 3 AO und gleichzeitig zur Berichtigungspflicht nach § 153 AO. Wurde der Fehler versehentlich begangen, reichte allein die Berichtigungspflicht aus und, sofern die nachträglich festgesetzte Steuer fristgerecht bezahlt wurde, ist die Finanzbehörde der Frage nach dem Rechtscharakter nicht nachgegangen (vgl. Seer, 2016 S. 2192).

Die strafbefreiende Selbstanzeige wurde im Jahr 1919 eingeführt und diente dem Zweck, noch verborgene Steuerquellen für den Fiskus zu eröffnen und Steuerhinterziehern einen Anreiz zu geben, zur Steuerehrlichkeit zurückzukehren. Diese Steuerehrlichkeit definierte der BGH mit einem Urteil vom 20.05.2010 (BGH 1 StR 577/09) neu und änderte damit auch den § 371 AO. Mit seiner Leitentscheidung schaffte er die Teilselbstanzeige ab, was zur Folge hatte, dass nur der Tatbestand der strafbefreienden Selbstanzeige gegeben war, wenn alle unrichtigen Angaben in einer Steuerart, welche noch nicht verjährt sind, offengelegt und berichtigt werden (vgl. Bundesministerium der Finanzen, 2015). Diesem, wie von Schwedhelm (2016 S. 9) bezeichneten „Vollständigkeitsgebot“, folgte auch der Gesetzgeber und führte das Schwarzgeldbekämpfungsgesetz am 28.04.2011 ein. Er nahm, neben den Regelungen des BGH, auch weitere Einschränkungen vor, bspw. trat eine Straffreiheit nicht ein, wenn die Steuerverkürzung bei mehr als 50.000 € je Tat lag. Diese Beschränkungen weitete der Gesetzgeber mit dem Gesetz zur Änderung der Abgabenordnung und des Einführungsgesetzes zur Abgabenordnung vom 22.12.2014 aus. So war bisher nur von dem „Täter“ die Rede. In der Neufassung des § 371 AO sind nun auch die an der „Tat Beteiligten“ zur Rechenschaft zu ziehen (vgl. Bundesministerium der Finanzen, 2015). Was nun nicht mehr nur für den Vorstand oder Geschäftsführer, sondern auch für die Mitarbeiter rechtliche Konsequenzen bedeuten kann. Neben der Einführung eines Mindestberichtigungszeitraumes von zehn Jahren, einer Senkung der Schwelle für die Straffreiheit auf 25.000 €^[2] und anderen Ausschlusskriterien, wurden ebenso Strafzuschläge und Hinterziehungszinsen eingeführt (vgl. Seer, 2016 S. 2193).

Durch die aufgezeigten Änderungen ist eine Abgrenzung zwischen der einfachen Berichtigung (Versehen), der strafbefreienden Selbstanzeige (Vorsatz) und der Ordnungswidrigkeit (Leichtfertigkeit) notwendig geworden. Da die Tathandlung bei der Selbstanzeige nach § 371 AO und bei der Berichtigung nach § 153 AO identisch ist, müsste eine Abgrenzung durch die Finanzbehörde auf subjektiver Ebene erfolgen. Da eine Feststellung der Gedanken einer Person schwierig ist, kommt es oftmals zu einer objektiven Einschätzung seitens der Behörde. Was zur Folge hat, dass die Beamten dazu tendieren, die Buß- und Strafsachenstellen (BuStra) einzuschalten und erst dann die subjektive Einstellung abzugrenzen (vgl. Wolfersdorff, et al., 2016 S. 935).

Aber nicht nur das Steuerrecht hat große Änderungen durchlebt, auch die Aufzeichnungs- und Nachweispflichten wurden erweitert. Sie werden vermehrt in Betriebsprüfungen einbezogen und führen auch in diesem Bereich zu einer sanktionsreicheren Behandlung. So sind die Betriebsprüfer angehalten, die BuStra bereits dann einzuschalten, wenn die Möglichkeit besteht, dass ein Strafverfahren geführt werden kann (vgl. Blumenberg, 2016 S. 9), was auch wieder auf den objektiven Tatbestand zurückzuführen ist.

Der Anwendungserlass zu § 153 AO

Vor diesem Hintergrund besteht für Unternehmen eine große Unsicherheit, wie sie sich bei der Korrektur einer Steuererklärung oder bei der Entdeckung von Fehlern in einer Betriebsprüfung verhalten sollen und welche Sanktionen erhoben werden könnten. Um der enormen Flut von Strafverfolgungen entgegenzuwirken und den Unternehmen mehr Rechtssicherheit zu vermitteln, hat das Bundesministerium der Finanzen (BMF) einen Anwendungserlass (AEAO) zu § 153 AO am 23.05.2016 erlassen. Er soll den Beamten eine Richtlinie geben, in welchen Fällen eine Steuerstraftat tatsächlich vorliegt und wie die Berichtigung von einer Selbstanzeige abzugrenzen ist.

In seinem AEAO stellt das BMF darauf ab, dass eine Berichtigung i. S. d. § 153 AO nur straf- bzw. bußgeldrechtlich zu verfolgen ist, wenn die Tat vorsätzlich oder leichtfertig begangen und wenn trotz Bekanntheit keine Berichtigung abgegeben wurde (vgl. AEAO zu § 153 AO Rz. 2.5). Der Vorsatz, d. h. wurde die Falschangabe billigend in Kauf genommen, löst eine Steuerhinterziehung gem. § 370 AO aus und es muss eine Selbstanzeige abgegeben werden (vgl. AEAO zu § 153 AO Rz. 2.6). Die Leichtfertigkeit, also die Verletzung der Sorgfaltspflicht, wurde in der Rz. 2.7 definiert und löst eine Berichtigung i. S. d. § 378 Abs. 3 AO aus und kann zur Ordnungswidrigkeit führen. Das bloße Versehen, in Rz. 2.8 beschrieben als „Liegt ein Fehler [...] weder auf einer vorsätzlichen noch leichtfertigen Handlung [...].“, wird nicht geahndet und mündet in eine Berichtigung nach § 153 AO.

Trotz der ausführlichen Beschreibung des BMF in seinem Anwendungserlass, bleibt die Frage offen, wer die Entscheidung über den Vorsatz oder die Leichtfertigkeit fällt. Das obliegt weiterhin der Finanzbehörde und es bleibt in einem gewissen Maß bei der Subjektivität. Allerdings hat auch hier das BMF Hilfestellung gegeben. In der Rz. 2.6 des AEAO zu § 153 AO wird Folgendes dargelegt:

„Hat der Steuerpflichtige ein innerbetriebliches Kontrollsystem eingerichtet, das der Erfüllung der steuerlichen Pflichten dient, kann dies ggf. ein Indiz darstellen, das gegen das Vorliegen eines Vorsatzes oder der Leichtfertigkeit sprechen kann, jedoch befreit dies nicht von einer Prüfung des jeweiligen Einzelfalls.“

Diese Offenlegung des BMF ist nach Behringer „revolutionär“. Erstmals wird ein Internes Kontrollsystem (IKS) als strafmilderndes Instrument anerkannt. Wie bekannt, bezeichnen die Wörter „kann“ und „ggf.“ ein Wahlrecht im deutschen Recht, d. h. es besteht die reine Möglichkeit, dass sich ein Internes Kontrollsystem für Steuern positiv auf Strafen bzw. Sanktionen auswirkt. Wie sich dieser Weg darstellt, wird sich, aufgrund der neuen Entwicklung, erst im Laufe der nächsten Jahre zeigen.

1.2 Abgrenzung und Ziele der Arbeit

Die in Aussicht gestellte Strafmilderung durch die Implementierung eines innerbetrieblichen Kontrollsystems für Steuern in die Unternehmensprozesse, schafft einen Anreiz für die gesetzlichen Vertreter der Unternehmen, sich dem anzunehmen und es umzusetzen. Allerdings hat das BMF keine Hinweise über die Ausgestaltung eines solchen IKS gegeben, sodass sich die Frage stellt, was der Gesetzgeber als regelkonformes System ansieht. Vor diesem Hintergrund hat das Institut der Deutschen Wirtschaftsprüfer e.V. (IDW) eine Arbeitsgruppe „Tax Compliance“ gegründet und einen Praxishinweis erarbeitet, der als Hilfestellung zur Entwicklung dienen soll. Neben dem deutschen Standardwerk wurde auch eine international gültige Norm veröffentlicht, die ISO 19600. Da ein solches IKS individuell auf die Unternehmensstruktur und -größe angepasst werden muss, werden in diesem Rahmen lediglich deutsche Großunternehmen gem. § 267 Abs. 3 HGB in der Rechtsform der Kapitalgesellschaft betrachtet. In diesem Sinne wird eine Bearbeitung an die vom IDW veröffentlichten Prüfungsstandards erfolgen, da sie für deutsche Unternehmen entwickelt wurden.

In dieser Arbeit werden die Bestandteile eines innerbetrieblichen Kontrollsystems für Steuern, mittels des Prüfungsstandards des IDW, hergeleitet. Auf dieser Grundlage erfolgt dann eine Umsetzung anhand eines Beispiels. In diesem fiktiv gewählten System wird versucht ein geeignetes Kontrollsystem, mit den aufgezeigten Kernelementen, darzustellen.

1.3 Kapitelüberblick

Durch den vom BMF verwendeten Begriff „innerbetriebliches Kontrollsystem für steuerliche Zwecke“ und den vom IDW hergeleiteten „Tax Compliance Management Systems“, werden in dem Grundlagenkapitel 2 die Begriffe „Internes Kontrollsystem“ und der vom IDW bevorzugte Begriff „Compliance System“, voneinander abgegrenzt sowie die Gemeinsamkeiten und Unterschiede aufgezeigt. Neben der Einbettung in die allgemeine Governance Systematik und der Begriffserklärung erfolgt eine Darstellung der gesetzlichen Anforderungen. Dabei wird die Frage geklärt, inwiefern eine Verpflichtung zur Implementierung eines Internen Kontrollsystems und eines Compliance Management Systems (CMS) besteht. Anhand des vom IDW veröffentlichten Prüfungsstandards (PS) 261 „Feststellung und Beurteilung von Fehlerrisiken und Reaktion des Abschlussprüfers auf die beurteilten Fehlerrisiken“ und PS 982 „ Prüfung des internen Kontrollsystems des internen und externen Berichtswesens“ wird die Struktur und eine inhaltliche Darstellung eines Internen Kontrollsystems aufgezeigt. Selbiges Vorgehen erfolgt für die Ausgestaltung eines Compliance Management Systems. Anhand des Prüfungsstandards des IDW PS 980 „ Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“ wird eine kurze Darstellung der Inhalte und Struktur aufgezeigt. Im Kapitel 2.3 erfolgt sodann die begriffliche Abgrenzung dieser zwei Systeme in einer vergleichenden Darstellung.

Das dritte Kapitel umfasst die Hauptthematik. Durch die fehlenden Vorgaben zur Ausgestaltung eines innerbetrieblichen Kontrollsystems für Steuern sind sich die Autoren uneinig über die Zugehörigkeit eines solchen Systems^[3]. Für die im Rahmen dieser Arbeit geltende Begriffsbestimmung erfolgt zuvor eine kurze Abgrenzung der verschiedenen Auffassungen und eine Festsetzung, ob ein Tax Compliance Management System zu einem Internen Kontrollsystem oder zu einem Compliance Management System gehört. In dem darauffolgenden Unterkapitel 3.2 wird die Relevanz eines Tax Compliance Management Systems betrachtet. Dabei wird vor allem der Nutzen dieser Implementierung in die Betrachtung einbezogen. Zum einen ist die Sicht der Finanzverwaltung und zum anderen die Perspektive von Unternehmen von Interesse. Dabei werden die verschiedenen betriebswirtschaftlichen Ansichten gegenübergestellt. Im Zuge des Nutzens für Unternehmen werden die Haftungsrisiken für die Unternehmen bzw. Organe und Mitarbeiter herausgestellt sowie die Vorteile und Nachteile für die Implementierung aufgezeigt.

In Bezug auf den PS 980 wurde ein Praxishinweis (PH) zur Ausgestaltung eines Tax Compliance Management Systems vom IDW verabschiedet. Dieser trägt dazu bei, den Unternehmen bei der Ausgestaltung eines Tax Compliance Management Systems eine Hilfestellung zu geben. Im Kapitel 3.3 erfolgt eine ausführliche Beschreibung des vom IDW veröffentlichten Praxishinweises 1/2016 „ Ausgestaltung und Prüfung eines Tax Compliance Management Systems gemäß IDW PS 980“. Auf dieser Grundlage wird im Kapitel 4, anhand eines fiktiven Unternehmens, der VAT GmbH, ein Tax Compliance Management System beispielhaft implementiert. Das erarbeitete System wird im Rahmen der Umsatzsteuer und, aufgrund der Komplexität, nur ausschnittsweise aufgezeigt.

Die Arbeit schließt mit einer Schlussbetrachtung ab. Dabei wird der Prüfungsstandard des IDW einer kritischen Würdigung unterzogen und ein Ausblick auf die möglichen zukünftigen Probleme gegeben. Auch wird auf die Frage eingegangen, was i. S. d. AEAO zu § 153 AO ein geeignetes System ist, um eine Indizwirkung zu entfalten.

2 Begriffsbestimmungen

Durch die eingeschränkte Aussage seitens der Finanzverwaltung, ist es für die betroffenen Unternehmen schwierig, ein angemessenes innerbetriebliches Kontrollsystem aufzubauen. Im diesem Kapitel werden die, zwei in Betracht kommenden, Systeme in ihren Grundlagen erläutert und, mittels Gegenüberstellung, verglichen sowie die Zusammenwirkung beschrieben. Die nachfolgenden Ausführungen ermöglichen den Einstieg in die Thematik und bilden die Grundlage für das weitere Verständnis der Arbeit.

2.1 Internes Kontrollsystem (IKS)

Das Interne Kontrollsystem gehört zu einem Bündel von Systemen bzw. Maßnahmen, die zu einem Good Governance bzw. Corporate Governance gehören. Die nachfolgende Abbildung 1 zeigt das Zusammenspiel der Komponenten in der Governance Systematik, um einen kleinen Überblick zu geben.

Abbildung 1: Elemente von Corporate Governance

Abbildung in dieser Leseprobe nicht enthalten

Quelle: eigene Darstellung

Corporate und Good Governance geben einen Ordnungsrahmen für die Leitung und Überwachung einer verantwortungsvollen Unternehmensführung vor. Aus diesem Grund wurde der Deutsche Corporate Governance Kodex (DCGK) vom Bundesministerium für Justiz erarbeitet und im Jahr 2002 veröffentlicht. Er enthält gesetzliche Vorschriften wie auch Empfehlungen für ein transparentes Governance System. Dazu gehört unter anderem auch die Prüfung auf Wirksamkeit eines IKS (vgl. DCGK Abschnitt 5.3.2). Grundvoraussetzung für ein gutes IKS ist die Kenntnis über die möglichen Risiken. Mit dem Risikomanagementsystem^[4] (RMS) sollen Risiken einer Organisation identifiziert, bewertet und analysiert werden (vgl. Rechnungshof, 2016 S. 10 - 13).

Das RMS wird von Withus (2014 S. 41) als ein Teil des IKS angesehen. Dieser Auffassung war das IDW in dem Prüfungsstandard „ Feststellung und Beurteilung von Fehlerrisiken und Reaktion des Abschlussprüfers auf die beurteilten Fehlerrisiken “ (PS 261 a.F.) ebenso, aber in der Neufassung des Prüfungsstandards lässt es die Meinung dazu offen, indem diese Aussage gestrichen wurde. Nun wird lediglich in Rz. 24 auf die Prüfung eines Risikofrühwarnsystems hingewiesen. Ebenso ist das COSO-Rahmenwerk^[5] COSO Enterprise Risk Management (COSO ERM) der Auffassung, dass ein IKS ein integraler Bestandteil eines RMS ist (vgl. Withus, 2014 S. 39). Da sich das IDW ebenso auf das COSO Rahmenwerk bezieht, ist davon auszugehen, dass auch sie ein IKS als Bestandteil des RMS und nicht andersherum ansehen. Auch Bungartz (2017a S. 14) in seinem Buch „interne Kontrollsysteme“ vertritt diese Meinung.

2.1.1 Definition

Das Wort Kontrolle findet seine Herkunft im französischen contrôle und wird mit der Bedeutung „zusammengezogen“ übersetzt. Die Kontrolle i. d. S. ist somit ein Prozess einer Organisation, der sich auf alle Arbeits- und Betriebsabläufe erstreckt und von Führungskräften wie auch von Mitarbeitern durchgeführt wird. Ziel dieser Überwachung ist es, bestehende Risiken zu erfassen, entgegenzuwirken und die definierten Ziele zu erreichen (vgl. Rechnungshof, 2016a S. 8).

Das Interne Kontrollsystem knüpft an dieser Interpretation an und wird von dem IDW, in der Neufassung des veröffentlichten Prüfungsstandards PS 261, wie folgt definiert: „Unter einem internen Kontrollsystem werden die von dem Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) verstanden, die gerichtet sind auf die organisatorische Umsetzung der Entscheidung des Managements [...].“ (PS 261 Rz. 7). Sowohl der Rechnungshof Wien in seinem Leitfaden wie auch der IDW PS 261 sehen die Ziele eines IKS in der Sicherung von Vermögenswerten, in der Einhaltung von Gesetzen und in der Zuverlässigkeit des internen und externen Rechnungswesens (vgl. Schindler, et al., 2017 Rz. 206). Im Sinne der Kontrolle sollen also die Risiken im Zusammenhang mit der Vermögensschädigung, der Ordnungsmäßigkeit der Rechnungslegung sowie die Einhaltung von Vorschriften aufgedeckt und verhindert werden.

Ein IKS besteht aus einem internen Steuerungssystem, welches die Maßnahmen der Unternehmensaktivitäten regelt. Daneben existiert ein Überwachungssystem, was die Einhaltung der vorgegebenen Regeln überwacht.

Abbildung 2: Bestandteile eines Internen Kontrollsystems

Abbildung in dieser Leseprobe nicht enthalten

Quelle: in Anlehnung an Schindler, et al., 2017 Rz. 207

Die in Abbildung 2 dargestellte Übersicht zeigt die Bestandteile eines Internen Kontrollsystems. Das interne Überwachungssystem teilt sich in einen prozessintegrierten und in einen prozessunabhängigen Überwachungssektor auf. Die im Prozess integrierten Maßnahmen befassen sich mit den organisatorischen Sicherungsmaßnahmen. Sie sollen Fehler in der Aufbau- und Ablauforganisation verhindern und ein definiertes Sicherheitsniveau schaffen. Dazu gehören Zugriffsbeschränkungen im IT-Bereich sowie die Funktionstrennung. Die Kontrollen sind direkt im Arbeitsablauf integriert und werden von Mitarbeitern oder Überwachungsträgern durchgeführt. Durch bspw. Plausibilitätsprüfungen oder Überprüfungen auf Vollständigkeit von Daten sollen Fehler aufgedeckt und vermindert werden (vgl. PS 261 Rz. 20).

Unabhängig von dem Arbeitsablauf werden Strukturen und Aktivitäten von der internen Revision geprüft. Sie ist somit zuständig dafür, das IKS zu prüfen und gleichzeitig auch Bestandteil des IKS – allerdings ohne Verantwortlichkeiten. Daher wirft der Rechnungshof Wien auch den Einwand ein, dass die interne Revision außerhalb des IKS stehend angesehen werde. Dennoch verweist er auf den PS 261 des IDW, mit der Anmerkung, dass im Zuge der IKS-Prüfung eine Prüfung und Beurteilung der internen Revision auf die Qualität und Häufigkeit ihrer Kontrollen stattfindet (vgl. Rechnungshof, 2016 S. 13). Neben der unabhängigen Prüfung der internen Revision sind noch andere sonstige Überwachungen möglich. Der IDW schlägt High-Level-Controls vor, in denen Kontrollen von den gesetzlichen Vertretern bzw. in deren Auftrag durchgeführt werden (vgl. Bungartz, 2017 S. 27).

Die beschriebene Ausführung zeigt, dass die Kenntnisse über Risiken unabdingbar sind, um ein wirksames Internes Kontrollsystem aufzustellen. Das Risikomanagement soll diese Risiken identifizieren, analysieren und bewerten, wobei das IKS dazu dient, die Verantwortlichkeiten und Prozesse festzulegen um den Risiken zu begegnen und diese so gering wie möglich zu halten. Unabhängig davon, ob das RMS vorgelagert oder nachgelagert ist: Die beiden Konzepte sind eng miteinander verbunden, denn um die Unternehmensziele zu erreichen, müssen die Unternehmensrisiken minimiert werden (vgl. Rechnungshof, 2016a S. 10).

2.1.2 Gesetzliche Anforderungen

Die gesetzlichen Anforderungen zur Errichtung eines IKS ergeben sich aus verschiedenen Vorschriften auf nationaler Ebene. Viele Teile finden sich im Aktiengesetz wieder, aber auch das HGB und BMF-Schreiben weisen auf die Pflicht eines IKS hin.

§ 91 Abs. 2 AktG — Einrichtung eines Überwachungssystems

Mit dem im Jahr 1998 eingeführten Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) wurde die deutsche Corporate Governance weiterentwickelt. Es wurde der § 91 Abs. 2 AktG eingeführt, der den Vorstand einer AG dazu verpflichtet, ein Überwachungssystem einzurichten, welches Risiken für den Fortbestand der Gesellschaft frühzeitig erkennt. Gleichzeitig ist das benannte Risikomanagement bei börsennotierten AGs vom Abschlussprüfer gem. § 317 Abs. 4 HGB auf Wirksamkeit zu prüfen und weiter führt der § 171 Abs. 1 AktG aus, dass der Prüfer wesentliche Schwächen des Kontroll- und Risikomanagements zu berichten hat. Die Beurteilung der Wirksamkeit der Systeme wird vom Aufsichtsrat übernommen und vom Gesetz gem. § 107 Abs. 3 S. 2 AktG gefordert. Er muss den Vorstand ggf. zum Einrichten von internen Kontrollen anhalten und Ergänzungen oder Verbesserungen des bestehenden Systems vorschlagen. Nur so kann er seiner Sorgfaltspflicht nachkommen (vgl. Bungartz, 2017 S. 45). Dem zu Folge kommt sowohl der Vorstand (§ 93 Abs. 1 S.1 AktG) als auch der Aufsichtsrat (§ 116 AktG) seiner Sorgfaltspflicht nach, wenn sie sich mit der Thematik auseinandersetzen.

§ 43 Abs. 2 GmbHG — Ausstrahlungswirkung

Aber nicht nur Aktiengesellschaften unterliegen der Pflicht zur Einrichtung eines IKS. Der § 43 Abs. 2 GmbHG deckt sich in seiner Auslegung mit dem § 93 Abs. 1 AktG i. S. d. Sorgfaltsmaßstabes. Für das GmbHG wurde zwar keine Regelung zum Überwachungssystem ergänzt, allerdings wird nach Bungartz (2017 S. 42) und anderen Autoren^[6] von einer Ausstrahlungswirkung ausgegangen. Daher ist § 91 Abs. 2 AktG analog auf mittlere und große GmbHs anzuwenden.

§ 289 HGB — Beschreibung des IKS und RMS

Die handelsrechtliche Berichterstattung des IKS und RMS erfolgt im Lagebericht. Es sind die voraussichtlichen Entwicklungen zu prognostizieren und mit den Chancen und Risiken zu begründen (§ 289 Abs. 1 S. 4 HGB). Außerdem haben kapitalmarktorientierte Kapitalgesellschaften eine erweiterte Berichterstattungspflicht. Sie müssen gem. § 289 Abs. 5 HGB die Merkmale des IKS und RMS i. S. d. Rechnungslegungsprozesses beschreiben (vgl. Amling, et al., 2014 S. 344).

§ 238 Abs. 1 HGB — Grundsätze ordnungsmäßiger Buchführung

„Jeder Kaufmann ist verpflichtet, Bücher zu führen und in diesen seine Handelsgeschäfte und die Lage seines Vermögens nach den Grundsätzen ordnungsmäßiger Buchführung (GoB) ersichtlich zu machen.“ (§ 238 Abs. 1 S. 1 HGB analog § 145 Abs. 1 S. 1 AO). Die vom Gesetzgeber benannten Grundsätze sind niedergeschriebene und nicht niedergeschriebene Regeln zur Buchführung und Bilanzierung. Sie sind nicht zentral in einem Gesetz wiedergegeben, sondern verteilen sich handelsrechtlich im HGB, ergeben sich aus der deutschen Rechtsprechung und durch Empfehlungen von Wirtschaftsverbänden. Die kontinuierliche Entwicklung in der Digitalisierung führt dazu, dass die Buchführung systemgestützt geführt und Belege komplett digitalisiert werden (papierloses Büro). Darauf hat die Finanzverwaltung reagiert und hat im Jahr 2014 eine Verwaltungsanweisung zur IT-gestützten Buchführung herausgegeben. Mit den Grundsätzen ordnungsmäßiger Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) konkretisiert das BMF die GoB und beschreibt die finanzbehördlichen Vorgaben. Neben dem Grundsatz der Nachvollziehbarkeit, Nachprüfbarkeit, Wahrheit, Klarheit, fortlaufende Aufzeichnung und Unveränderbarkeit, bestimmen die GoBD auch die eigentlichen Aufzeichnungsprozesse. Dazu gehören die Datensicherheit, die Verfahrensdokumentation und das Interne Kontrollsystem. Die Verfahrensdokumentation dient dazu, einem sachverständigen Dritten in kurzer Zeit einen Überblick über die Geschäftsabläufe zu geben. Dazu gehört auch eine ausführliche Beschreibung zur Einhaltung der Datensicherheit und Wirkungsweise des IKS (vgl. GoBD Rz. 102).

Um die Wirksamkeit und Angemessenheit des IKS zu beurteilen und den beschriebenen Anforderungen nachzukommen, hat das IDW einen weiteren Prüfungsstandard – Grundsätze ordnungsmäßiger Prüfung des internen Kontrollsystems des internen und externen Berichtswesens – PS 982 veröffentlicht. Damit beschreibt das IDW eine freiwillige Prüfung des IKS. Sie geht über die Prüfung im Rahmen der Abschlussprüfung nach PS 261 hinaus. Ziel ist es, ein Urteil darüber zu erhalten, ob das IKS und deren Beschreibung geeignet, angewendet und wirksam waren. Das Testat entfaltet zwar keine Bindungswirkung für Gerichte und Behörden, da der Prüfungsstandard keinen Rechtscharakter hat, aber es kann bei gesetzlichen Konflikten helfen, den gesetzlichen Vertretern die Sorgfaltsbemühungen nachzuweisen (vgl. Handel, 2017 S. 1949).

2.1.3 Ausgestaltung eines Internen Kontrollsystems

Die Verantwortung bei der Ausgestaltung und Aufrechthaltung des IKS liegt bei den gesetzlichen Vertretern und hängt von der Größe und Komplexität des Unternehmens, der Rechtsform, Art der Geschäftstätigkeit und Umfang der rechtlichen Vorschriften ab. Das IDW stellt in seinem PS 261 sowie in dem PS 982 auf das COSO Rahmenwerk COSO I Internal Control – Integrated Framework (COSO IC) ab. Gemäß COSO I bzw. IDW ist ein IKS ein dreidimensionales Modell wie in Abbildung 3 dargestellt. Der Würfel weist drei Bereiche auf, die miteinander verknüpft sind. Die Zieldimension und die zweite Dimension (Komponenten) stehen im direkten Verhältnis zueinander, da sich jede Komponente auf alle drei Zielkategorien bezieht und die drei Ziele für jede Komponente gelten. Die dritte Dimension zeigt, dass ein IKS nicht nur für das Unternehmen im Ganzen zu betrachten ist (vgl. Bungartz, 2017a S. 20).

Abbildung 3: Komponenten des Internen Kontrollsystems

Abbildung in dieser Leseprobe nicht enthalten

Quelle: IDW PS 261 Rz. 34

Dieses COSO Modell ist in verschiedener Literatur zu finden. Sowohl das IDW im PS 261 n.F. (Rz. 34), Bungartz (2017 S. 57) und Menzies (2013 S. 428) nutzen den Würfel als anschauliche Unterstützung.

In der ersten Dimension sind die eingangs erwähnten Ziele wiederzufinden: Betrieblich veranlasst ist die Effizienz der Geschäftstätigkeit, d. h. vor allem der Schutz des Vermögens. Die Zuverlässigkeit der Rechnungslegung wird mit der Verlässlichkeit der Berichterstattung verknüpft und das dritte Ziel ist die Regel- und Gesetzeseinhaltung. Die Unternehmensleitung legt auf Grundlage der allgemeinen betrieblichen Ziele fest, welche Informationen zu welchem Zeitpunkt und in welcher Form welchen Adressaten zugestellt werden. Daraus werden die Anforderungen an das allgemeine Berichtswesen abgeleitet und die Ziele formuliert, die mit dem IKS verfolgt werden sollen (vgl. PS 982 Rz. 30). Auf der betrieblichen Ebene sind das bspw. Kostenkontrolle, Verbesserung der Qualität, Kundenzufriedenheit und Steigerung der Produktivität. Die Finanzberichterstattung ist eine wichtige Grundlage für Gläubiger und Anteilseigener, daher müssen die Ergebnisse und Sachverhalte verlässlich sein. In diesem Sinne verfolgt die Berichterstattung das Ziel, alle Geschäftsvorfälle und Vermögensgegenstände vollständig und richtig zu erfassen. Die Ziele der Regeleinhaltung sind abhängig von der Branche und deren geltenden Gesetze und Richtlinien. Grundsätzlich sind alle Regeln und Regulierungen gemeint, die nicht im Zusammenhang mit den Zielen der Berichterstattung stehen, so z.B. Umweltrecht, Kartellrecht und Patenrecht (vgl. Bungartz, 2017 S. 68 ff.).

Die zweite Dimension zeigt die Komponenten aus denen ein IKS besteht. Sie stehen in wechselseitiger Beziehung zueinander und spiegeln die Erfordernisse zum Erreichen der Ziele wieder.

Das Kontrollumfeld

Die erste Ebene, das Kontrollumfeld, stellt den Rahmen für alle anderen Komponenten dar. Innerhalb dessen werden die Regeln (Grundsätze, Verfahren und Maßnahmen) im gesamten Unternehmen eingeführt und angewandt. Es wird durch das Handeln und der Grundeinstellung des Managements geformt und spiegelt die Bedeutung des IKS wieder. Es bestimmt das Kontrollbewusstsein der Mitarbeiter und das Verhalten in der Organisation (vgl. PS 982 Rz. 602; PS 261 Rz. 30). Das Kontrollumfeld wird von verschiedenen Aspekten bestimmt, die die Wirksamkeit des gesamten IKS beeinflussen:

Die Bedeutung von Integrität und ethischen Werten im Unternehmen. Sie werden oft von der Unternehmenskultur vorgegeben und spiegeln die Einstellung der Geschäftsleitung zur Ethik und Moral wieder. Ein weiterer Punkt ist die Bedeutung von fachlicher Kompetenz im Unternehmen. Sie wird mit der Art und Weise der Einstellungs- und Austrittsverfahren und des Kompetenzniveaus bestimmt. Die Unternehmenskultur und -philosophie und die dadurch vermittelten Werte an die Mitarbeiter werden von den Führungsverantwortlichen beeinflusst. Die Risikofreudigkeit der Geschäftsleitung und die Einstellung zu der Finanzberichterstattung sind entscheidend für das Verhalten der Mitarbeiter. Der Führungsstil des Managements ist von dem Grad der Zentralisierung bzw. Dezentralisierung der Unternehmensstruktur bestimmt. Je nach Organisationsstruktur sind u. a. die verantwortlichen Mitarbeiter für Schlüsselpositionen zu definieren und deren Wissen zu prüfen. Das Weisungsrecht und die Verantwortung von Mitarbeitern müssen in Grad und Umfang bestimmt werden, um die Ziele der Organisation zu erreichen. Die Überwachungstätigkeit des Aufsichtsrates bzw. Gesellschafterversammlung ist unabhängig vom Management und steht in enger Verbindung mit der internen Revision. Mittels Informationsaustausch, werden die Ziele überwacht und die Existenz und Wirksamkeit des IKS, unter der Berücksichtigung der fünf Komponenten, kontrolliert. Eine kontinuierliche Personalentwicklung ist ein weiterer Grundstein für ein gutes Kontrollumfeld. Richtlinien zur Personalpolitik geben den Mitarbeitern eine Leitlinie zum korrekten Verhalten (vgl. Bungartz, 2017 S. 58 - 66).

Die Risikobeurteilung

Ein Risiko wird als eine „Möglichkeit definiert, dass ein Ereignis eintritt, das sich negativ auf die Erreichung von Zielen auswirkt.“ (Menzies, et al., 2013 S. 428). Unternehmen sind einer Vielzahl von Risiken ausgesetzt, die die Erreichung der IKS-Ziele gefährden können. Sie ergeben sich aus fehlerhaften Prozessen und Systemen, personell bedingten Fehlern und externen Ereignissen (vgl. PS 982 Rz. 30). Diese Risiken sollen identifiziert und analysiert werden. Um die angemessene Risikobeurteilung zu gewährleisten, müssen die Geschäftsrisiken erkannt, die Bedeutung eingeschätzt und die Eintrittswahrscheinlichkeit beurteilt werden. Anschließend müssen Maßnahmen ergriffen werden, um den Risiken entgegenzuwirken (vgl. Schindler, et al., 2017 Rz. 608). Danach erfolgt eine Priorisierung der Risiken und der Aufbau von Kontrollmaßnahmen zur Verhinderung. Da die Risiken nicht nur auf Unternehmensebene auftreten, müssen diese Risiken mit denen auf der Ebene der Prozesse auf Kompatibilität abgestimmt werden. Gefahren auf der Ebene des Unternehmens, z.B. durch Gesetzesänderungen, behindern die Zielerreichung auf höherer Ebene. Risiken auf Prozessebene betreffen die Geschäftsaktivitäten einer Abteilung z. B. durch unvollständige Verbuchung von Zahlungen (vgl. Bungartz, 2017 S. 67).

Die Kontrollaktivitäten

Kontrollen sind Grundsätze und Verfahren und sollen die Umsetzung der Entscheidungen des Managements sicherstellen. Außerdem sollen sie dazu beitragen, dass die Vorgaben zur Risikoreduzierung eingehalten und die IKS-Ziele erreicht werden. Die Kontrollaktivitäten finden auf allen Unternehmens- und Prozessebenen statt (vgl. PS 261 Rz. 32) und beinhalten i. d. R. Richtlinien zu den Soll-Vorgaben und Verfahren zur Umsetzung der Richtlinien. Die Maßnahmen können fehlervermeidend (präventiv) oder fehleraufdeckend (detektiv) gestaltet werden. Die präventiven Kontrollmaßnahmen erhöhen das Sicherheitsniveau, da sie die ausführenden Personen für mögliche Fehler sensibilisieren. Detektive Maßnahmen sind den Prozessen nachgelagert und sichern die Richtigkeit sowie Vollständigkeit des Prozesses. Ebenso können die Kontrollen manuell oder automatisch ausgeführt werden. Wobei die manuellen Prüfungen von einer oder mehreren Personen durchgeführt werden, wie das Vier-Augen-Prinzip. Die IT-gestützte Kontrolle erfolgt mittels System, bspw. durch IT-Zugriffskontrollen (vgl. PS 982 Rz. A20). Durch die immer höhere Verbreitung der Informationstechnologie werden viele Daten mittels IT-Systemen gestreut und automatisch verarbeitet. In diesem Bereich sind ebenso Kontrollaktivitäten notwendig (vgl. Bungartz, 2017 S. 74 f.).

Information und Kommunikation

Um interne Kontrollaufgaben auszuüben und damit die Einhaltung der Unternehmensziele zu unterstützen, ist ein angemessener Informationsfluss notwendig. Information und Kommunikation dienen dazu, die für das Management relevante Daten in geeigneter Form und zeitgerecht einzuholen, zu verarbeiten und an die zuständige Stelle weiterzuleiten (vgl. PS 982 Rz. 30). Diese Komponente umfasst das gesamte Unternehmen mit all seinen Teilbereichen und beeinflusst die anderen Grundelemente des Würfels. Es gehören ebenso Informationen, die für die Risikobeurteilung relevant sind, sowie Informationen für die Mitarbeiter über Verantwortlichkeit und Aufgaben zum Informationsprozess dazu. Die Kommunikationswege müssen offen sein und sich abwärts und aufwärts, aber auch prozessübergreifen, in mündlicher oder schriftlicher Form, verwirklichen lassen (vgl. Bungartz, 2017 S. 77 f.).

Überwachung des Internen Kontrollsystems

Das IKS ist ein Prozess, der laufend an die sich veränderten Gegebenheiten angepasst und auf seine Wirksamkeit hin überprüft werden muss. Die Überwachungsmaßnahmen werden prozessunabhängig durch die interne Revision und prozessintegriert durchgeführt. In den Unternehmensprozess integrierte Überwachungen umfassen bspw. regelmäßige Durchsicht von Statistiken und Beurteilung der Plausibilität dieser (vgl. PS 982 Rz. A22). Die Überwachung wird im gesamten Unternehmen durchgeführt und wird i. d. R. von dem Management in den normalen Betriebsablauf integriert. Die Beurteilung des Managements beinhaltet die Prüfung, ob das IKS angemessen aufgebaut und funktionsfähig ist. Außerdem hat es die Pflicht, festgestellte Mängel abzustellen. Die Aufbauprüfung des IKS ist ein wichtiger Bestandteil, denn nur ein gut gestaltetes IKS kann funktionieren. Dafür wird eine Verbindung zwischen den Unternehmenszielen und den Kontrollaktivitäten hergestellt und auf die Wirksamkeit hin überprüft, z. B. durch Beobachtungen oder Befragungen sowie durch Durchsicht von Dokumenten. Bei der Funktionsprüfung werden die Kontrollen auf ihre Wirksamkeit hingehend untersucht. Sie beinhaltet alle Typen von Kontrollen, wie allgemeine Maßnahmen oder Kontrollen auf Unternehmens- oder Prozessebene. Die Ergebnisse der Funktionsprüfung sind ordnungsgemäß zu dokumentieren und dienen als Nachweis der Sorgfaltspflicht der Unternehmensleitung (vgl. Bungartz, 2017 S. 82 f.).

Die dritte Dimension, das Unternehmen, spiegelt die Relevanz eines IKS wieder. Es ist nicht nur für die eine Unternehmensebene, sondern auch für einzelne Abteilungen ein wichtiger Bestandteil, d. h. jeder Mitarbeiter innerhalb einer Organisation trägt Verantwortung für das IKS (vgl. Schindler, et al., 2017 Rz. 218).

Das gesamte IKS ist in einer separaten IKS-Beschreibung schriftlich festzuhalten. Es enthält Aussagen über die gesetzlichen Vertreter sowie zu den Regelungen und eine Prozessbeschreibung der genannten Komponenten des Internen Kontrollsystems. Daneben ist auch eine Zusammenfassung und ein Verweis auf die Dokumente, die das IKS unterstützen (Richtlinien, Handbücher) mit aufzunehmen (vgl. PS 982 Rz. A22). Wichtig für die Beschreibung des IKS ist neben der Vollständig- und Richtigkeit, auch die Verständlichkeit und Übersichtlichkeit. Ein Dritter sollte sich in kurzer Zeit mit den Anforderungen des IKS vertraut machen können (vgl. Bungartz, 2017 S. 131). Diese Grundsätze spielen eine wichtige Rolle bei der Prüfung des IDW nach PS 982 und sind Voraussetzungen für ein positives Testat.

Ein wirksames IKS ist durch ein ausgeprägtes Kontrollbewusstsein, eine Automatisierung der Kontrollaktivitäten mit Unterstützung von Tools und eine Integration mit den weiteren Bestandteilen der Corporate Governance – das Risikomanagementsystem und das Compliance Management System – gekennzeichnet (vgl. Bungartz, 2017a S. 118).

2.2 Compliance Management System (CMS)

Vor einigen Jahren war der Begriff Compliance in Deutschland noch eine Unbekannte für viele Unternehmen. Durch die Einführungen des KonTraG und des § 91 Abs. 2 AktG, aber auch durch die Rechtsprechung und des DCGK ist die Compliance-Funktion in den Fokus der Unternehmensleitung gerückt (vgl. Ulrich, 2017 S. 7).

Ein Compliance Management System bettet sich, ebenso wie das IKS, in die Corporate Governance Systematik ein (siehe Abbildung 1). Das Risikomanagement beinhaltet alle organisatorischen Regeln zum Umgang mit Risiken. Das IKS ist, als ein Teil des RMS, mit der Risikobeurteilung vertraut und bestimmt, als eine der Zielkategorien, den Bereich Compliance. Daher lässt sich in Übereinstimmung mit Withus (2014 S. 41) feststellen, dass sich auch das CMS als ein Teil des Risikomanagements darstellt. Wobei sich das RMS mit den betrieblichen Risiken und das CMS mit den Compliance-Risiken auseinandersetzt. Neben dem Risikomanagement und der Kontrolle des IKS fordert der DCGK auch die Einrichtung eines Compliance Management Systems (vgl. DCGK Abschnitt 4.1.3).

2.2.1 Definition

Das wesentliche für ein CMS ist der Begriff „Compliance“. Er leitet sich von dem englischen „to comply with“ ab und bedeutet sinngemäß die „Einhaltung von Vorschriften“. Dazu gehört die Berücksichtigung von ethischen und moralischen Grundsätzen und er beinhaltet unterschiedliche Bereiche, wie Arbeitsrecht, Sozialrecht oder Datenschutz (vgl. Rechnungshof, 2016a S. 15). Compliance wird in der Literatur verschieden definiert, so bedient sich Kowallik (2017 S. 1344) in seinen Ausführungen mit dem Verweis auf das deutsche Gesetz über das Kreditwesen nach § 25a KWG. Obwohl in diesem Gesetz keine genaue Ausführung vorhanden ist, sondern nur eine Compliance-Funktion i. S. d. IKS verlangt wird, leitet Kowallik daraus her, dass unter Compliance „[...] die Einhaltung von Gesetzen und Richtlinien, aber auch von freiwilligen Kodizes in den Unternehmen [...]“ verstanden wird (Kowallik, 2017 S. 1334). Das IDW hat im Jahr 2011 einen Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (IDW PS 980) veröffentlicht und sie definieren Compliance in gleicher Weise. In der Gesamtbetrachtung ist Compliance also die Einhaltung von Regeln, das beinhaltet gesetzliche Bestimmungen und unternehmensinterne Richtlinien (vgl. PS 980 Rz. 5).

Aus der beschriebenen Definition lässt sich sodann der Begriff des CMS herleiten. Das CMS ist ein Standard, der alle Maßnahmen bündelt, die das regelkonforme Verhalten von Mitarbeitern und gesetzlichen Vertretern sicherstellt und auf das Verhindern von Regelverstößen abzielt (vgl. PS 980 Rz. 6). Es bezieht sich nicht auf den einen Prozess, sondern umfasst ein komplexes System, mit dem das Unternehmen im Gesamten die Einhaltung von Regeln sicherstellt (vgl. Withus, 2014 S. 31).

2.2.2 Gesetzliche Anforderungen

Vor einigen Jahren ist die Haftung vom Management näher in den Fokus gerückt. So gibt es zwar schon länger die Managementhaftung, sie wurde aber nicht von den Gerichten durchgesetzt und so war Compliance bis dato für Unternehmen nicht von erheblicher Relevanz. Im Jahr 2013 kam allerdings der Wandel und das Compliance Management System gewann an Bedeutung: Das Landgericht München verurteilte ein ehemaliges Vorstandsmitglied der Siemens AG zu einer hohen Geldstrafe wegen einem mangelhaften CMS. Das Landegericht führt dabei an, dass es zur Gesamtverantwortung des Vorstandes gehört, ein funktionierendes Compliance System einzurichten, um seiner Legalitätspflicht nachzukommen (LG München Az. 5 HK O 1387/10).

Dennoch ist die Pflicht zur Einrichtung eines Compliance Management Systems nach wie vor in der Literatur umstritten (vgl. Meyer, et al., 2012). So berücksichtigen mehrere gesetzliche oder regulatorische Anforderungen Compliance, wobei die Frage offenbleibt, inwiefern sie die Einrichtung eines CMS vorschreiben.

§ 161 — Entsprechenserklärung

Der DCGK weist in mehreren Stellen auf die Bedeutung von Compliance hin. So hat der Vorstand den Aufsichtsrat regelmäßig über Compliance zu informieren (vgl. DCGK Abschnitt 3.4) und hat dafür Sorge zu tragen, dass die gesetzlichen Bestimmungen und Richtlinien eingehalten werden (vgl. DCGK Abschnitt 4.1.3). Der Aufsichtsrat hingegen hat Compliance mittels eines Prüfungsausschusses zu überwachen (vgl. DCGK Abschnitt 5.3.2). Das Aktiengesetz schreibt in dem § 161 AktG börsennotierten AGs vor, sich jährlich dazu zu äußern, ob sie sich an den DCGK oder nur an ausgewählte Empfehlungen gehalten haben und warum (Entsprechenserklärung). Die Möglichkeit der Unternehmensleitungen sich zur Nichteinhaltung zu äußern zeigt, dass dem Kodex lediglich eine Empfehlungswirkung zukommt und er somit keine Gesetzeskraft hat.

§ 91 Abs. 2 AktG — Einrichtung eines Überwachungssystems

Auch im Bereich Compliance wird in der Literatur der § 91 Abs. 2 AktG als Verpflichtung angeführt. Wie aber in Kapitel 2.1.2 dargestellt, bezieht sich die Pflicht zur Errichtung eines Überwachungssystems auf ein Risikomanagementsystem und ein Internes Kontrollsystem, um die bestandgefährdenden Entwicklungen frühzeitig zu erkennen. Compliance hingegen ist nicht nur auf die existenzgefährdeten Regelverstöße beschränkt, sondern bezieht sich auch auf die Einhaltung von jeglichen Gesetzen und internen Richtlinien (vgl. Meyer, et al., 2012 S. 11).

§ 130 Abs. 1 OWiG — Aufsichtsmaßnahmen

Eine weitere zu betrachtende Rechtsnorm ist das Ordnungswidrigkeitenrecht. Nach § 130 Abs. 1 OWiG handelt der Inhaber eines Unternehmens ordnungswidrig, wenn er unter Vorsatz oder fahrlässig Aufsichtsmaßnahmen unterlässt, die verhindern, dass das Unternehmen Zuwiderhandlungen gegen Pflichten ausübt. Auch wenn dieser Gesetzestext als eine „strafrechtliche Compliance-Norm“ (Withus, 2014 S. 22) angesehen wird, so ist dem Wortlaut keine Verpflichtung zur Einrichtung eines CMS zu entnehmen. Das Ausmaß der zu treffenden Vorkehrungen um Rechtsverstöße zu vermeiden, bemisst sich vor allem auch daraus, inwiefern es zu Regelverstößen im jeweiligen Unternehmen kommen kann (vgl. Aichberger, et al., 2015b S. 1762).

§ 93 Abs. 1 AktG — Business Judgement Rule

Der Vorstand hat bei seiner Geschäftsführung die Sorgfalt eines gewissenhaften Geschäftsleiters anzuwenden (§ 93 Abs. 1 S. 1 AktG). Weiter führt Satz 2 die sog. Business Judgement Rule aus: es liegt somit keine Pflichtverletzung vor, wenn der Vorstand bei seiner Entscheidung, auf Grundlage angemessener Informationen, zum Wohle der Gesellschaft gehandelt hat. Bestehen jedoch Zweifel an einer geführten Sorgfalt, so steht der Vorstand in der Beweislast (§ 93 Abs. 2 S. 2 AktG). Um diese Nachweise vorlegen zu können, leitet Bungartz (2017 S. 547) daraus eine mittelbare Pflicht zur Einrichtung eines CMS ab. Meyer (2012 S. 12) hingegen vertritt die Meinung, dass es lediglich um das Schaffen einer Sorgfalt geht und dafür nicht zwangsweise ein CMS erforderlich ist.

Im Umkehrschluss und bezugnehmend auf den § 43 GmbHG, gilt auch hier eine Beweislastumkehr im Rahmen der Sorgfaltspflicht. So kann eine Pflicht zur Einrichtung eines CMS bestehen, wenn man die Auffassung von Bungartz (2017 S. 547) vertritt.

Die Ausführungen zeigen, dass es nach wie vor Umstritten ist, ob eine Pflicht zur Implementierung eines CMS besteht. Auch das LG München hat diese Frage in seinem Urteil nicht direkt beantwortet. Es führt im ersten Leitsatz an, dass ein Vorstand seiner Organisationspflicht „[...] bei entsprechender Gefährdungslage [...]“ genügt, wenn ein, auf Schadensprävention ausgerichtetes, Compliance System angelegt ist. Es ist also im Einzelfall möglich, eine Pflicht aus dem § 130 OWiG oder aus § 93 AktG herzuleiten, nämlich dann, wenn die Risikostruktur des Unternehmens so ausgelegt ist, dass nur Compliance Maßnahmen ein regelkonformes Verhalten sicherstellen. Im Ergebnis ist festzuhalten, dass es keine generelle Pflicht für ein CMS gibt. Aber der Vorstand einer AG bzw. der Geschäftsführer einer GmbH können ein CMS als geeignetes Mittel nutzen, um ihrer Sorgfaltspflicht nachzukommen (vgl. Meyer, et al., 2012 S. 14).

Wie beim IKS ist auch beim CMS eine Zertifizierung durch Wirtschaftsprüfer möglich. Mit dem PS 980 kann das System freiwillig und umfassend geprüft werden. Das IDW richtet sich nach einer Wirksamkeitsprüfung, wobei eine Aussage darüber getroffen wird, ob die Grundsätze und Maßnahmen des CMS angemessen dargestellt und geeignet sind, Regelverstöße zu erkennen und zu verhindern. Es besteht auch die Möglichkeit, nur die Konzeption oder die Angemessenheit prüfen zu lassen. Die Konzeptionsprüfung bezieht sich sodann auf die Darstellung des CMS und die Angemessenheitsprüfung prüft die Grundsätze auf ihre Eignung zur Erkennung von Regelverstößen (vgl. PS 980 Rz. 14).

2.2.3 Ausgestaltung eines Compliance Management Systems

Die Verantwortung für die Inhalte und die Ausgestaltung des CMS tragen die gesetzlichen Vertreter des Unternehmens. Die Ausgestaltung des Systems hängt von den Zielen sowie von der Größe des Unternehmens und der Art und dem Umfang der Tätigkeit ab (vgl. PS 980 Rz. 13). Der Prüfungsstandard PS 980 des IDW weist, im Gegensatz zum PS 261, keinen unmittelbaren Bezug zu einem anderen Rahmenwerk auf. Vielmehr wurden verschiedene Werke von der Arbeitsgruppe analysiert und die CMS Beschreibung bewusst neutral gehalten, damit die Unternehmen einen möglichst großen Spielraum bei der Gestaltung des CMS haben. Daher können auch andere Rahmenwerke zur Ausgestaltung des CMS zugrunde gelegt werden (vgl. Withus, 2014 S. 65).

Im ersten Schritt wird eine Grundüberlegung zu den Grundsätzen vorgenommen. Das dient als Arbeitshilfe zur Erstellung eines Konzepts. Diese Grundsätze können sich an anerkannte allgemeine Rahmenkonzepte, wie dem COSO II, ein Modell eines unternehmensweiten Risikomanagements (COSO ERM), anlehnen oder sich auf spezifische Bereiche, wie den ICC-Verhaltenskodex zur Korruptionsbekämpfung, beziehen. Daneben können aber auch eigene, vom Unternehmen entwickelte Grundsätze als Grundlage dienen (vgl. PS 980 Rz. 8 f.). Das IDW zeigt in der Anlage zum PS 980 einige anerkannte Rahmenkonzepte auf. Ein anderes, nicht aufgelistetes Konzept, ist die im Jahr 2014 veröffentlichte Norm, der ISO Standard 19600. Er stellt Leitlinien für die Ausgestaltung eines CMS auf und gibt Vorgaben, die als Hilfestellung zur Ausgestaltung der Risikoanalyse, Zielsetzung, Konzeption und Implementierung dienen (vgl. Kayser, et al., 2016 S. 3). Der ISO 19600 ist ein auf internationaler Ebene geltender Compliance-Standard, der einheitliche Leitlinien eines CMS darstellt, wobei der PS 980 des IDW national ausgelegt ist. Die beiden Werke unterscheiden sich in ihrer Begrifflichkeit und Vorgehensweise. Da die ISO Normen aber in der Vergangenheit großes Ansehen erlangt haben, geht man davon aus, dass sich der ISO 19600 auch in deutschen, international agierenden, Unternehmen durchsetzen wird (vgl. Fissenewert, 2015 S. 205). Es stellte sich anfangs die Frage, inwiefern der Einrichtungsstandard ISO 19600 von den Wirtschaftsprüfern im Rahmen der PS 980 Prüfung anerkannt und das CMS zertifiziert wird, obwohl er keine Erwähnung in ihrem Prüfungsstandard findet. Das IDW hat ganz klar Stellung genommen und ist der Auffassung, dass trotz der unterschiedlichen Darstellung, der ISO 19600 die Grundelemente abdeckt und als Rahmenkonzept für die Einrichtung eines CMS zugrunde gelegt werden kann – sie stehen nicht im Widerspruch zueinander (vgl. IDW, 2014).

Nach der Auswahl des Rahmenkonzepts erfolgt die Bestimmung der einzelnen Grundsätze und Maßnahmen zur Erreichung der Ziele, die vom IDW als „Konzeption“ bezeichnet werden. Diese Konzeption beinhaltet sieben Grundelemente, die in den Geschäftsablauf eingebunden werden und in wechselseitiger Beziehung zueinanderstehen (vgl. Fissenewert, 2015 S. 34).

Abbildung 4: Grundelemente eines Compliance Management Systems

Abbildung in dieser Leseprobe nicht enthalten

Quelle: IDW PS 980 Rz. 23, eigene Darstellung

Die Abbildung 4 zeigt die nach dem PS 980 zu enthaltenden Grundelemente. Sie sind der Grundstein eines CMS und bauen inhaltlich aufeinander auf.

Compliance-Kultur

Die Basis für das CMS bildet die Compliance-Kultur. Sie leitet sich aus der Unternehmenskultur ab und wird durch das Handeln und die Einstellung des Managements geprägt. Durch die Vorbildfunktion des Managements müssen die Verhaltensgrundsätze klar kommuniziert und gelebt werden, damit sich ein regelkonformes Verhalten auch bei den Mitarbeitern einprägt (vgl. PS 980 Rz. A14). Schefold (2011 S. 223) führt in seiner Ausführung aus, dass ein reines Erfolgsstreben im Unternehmen die Integrität unterdrückt. Daher helfen Normen mit eindeutigen Compliance-Regeln dem Personal, sich in die Kultur zu integrieren (vgl. Withus, 2014 S. 113). Verknüpft mit Anreizsystemen zur Belohnungen für regelkonformes Verhalten und geeignete Reaktionen auf Verstößen, werden die Grundsätze und Maßnahmen von Mitarbeitern eher wahrgenommen und umgesetzt (vgl. PS 980 Rz. A14).

Compliance-Ziele

Die Compliance-Ziele sind die Grundlage für das Element Compliance-Risiken. Auf Grundlage der Unternehmensziele werden die Ziele, die mit dem CMS erreicht werden sollen, ausgearbeitet. Das umfasst auch eine Analyse und Gewichtung der Zielerreichung sowie eine Konkretisierung von Teilbereichen und darin festgelegten Regeln. Die abgegrenzten Bereiche, die im CMS einbezogen werden, können sich auf Rechtsgebiete, Unternehmensprozesse oder einzelne Geschäftsbereiche beziehen (vgl. PS 980 Rz. A3; A15). Die Ausrichtung der Ziele bestimmt sich nach unterschiedlichen Anforderungen: Sie können extern durch gesetzliche Bestimmungen verursacht sein, durch Geschäftspartner oder durch interne Vorfälle und durch Wertevorstellung der Geschäftsleitung hervorgerufen werden. Wichtig bei der Definition ist die Vereinbarkeit mit den Unternehmenszielen. Compliance-Ziele sind sekundäre Ziele, ohne die aber ein primäres Ziel nicht regelkonform erreicht werden kann (vgl. Schefold, 2012 S. 253 f.).

Compliance-Risiken

Im Zusammenhang mit den Compliance-Zielen werden die Risiken aufgedeckt, die ein Verstoß gegen die einzuhaltenden Regeln innehaben und somit auch die fehlende Zielerreichung i. S. von Compliance zur Folge haben können (vgl. PS 980 Rz. 23). In Form von Interviews, Workshops oder Auswertungen von Informationen erfolgt die Aufnahme der Risiken für die abgegrenzten Teilbereiche. Bei der Risikoanalyse werden die Risiken nach ihrer Eintrittswahrscheinlichkeit und Schadenshöhe systematisiert, wobei auch das Risikoverhalten des Managements Einfluss auf diese Kategorisierung hat. Das IDW schlägt eine nachgelagerte Risikoanalyse vor, um die gesetzten Compliance-Ziele zu verifizieren. Es ist aber ebenso möglich die Risiken im Vorfeld zu bestimmen und die Ziele teilweise daraufhin abzuleiten (vgl. Schefold, 2011 S. 224). Die Risikoanalyse ist ein Prozess, der sich wiederholend in das CMS einbettet und ein wesentlicher Bestandteil der Verbesserung und Weiterentwicklung ist (vgl. PS 980 Rz. A16).

Compliance-Programm

Die Feststellung und Beurteilung der Risiken sind die Grundlage für den Aufbau des Compliance-Programms. Hierbei werden Regelungen und Maßnahmen definiert und eingeführt, die die Risiken begrenzen und somit auf die Vermeidung von Verstößen abzielen. Die Regeln, in Form von Richtlinien oder Anweisungen, müssen klar definiert sein und zulässige bzw. unzulässige Aktivitäten verständlich erklären. Die Maßnahmen sollen die Risiken für Verstöße rechtzeitig erkennen und darauf reagieren. Dazu gehören die Kommunikation an die zuständigen Stellen, aber auch die Ursachenanalyse für den Regelverstoß. Zur Einhaltung der Grundsätze und Durchführung der Maßnahmen sind ebenso integrierte Kontrollen durchzuführen, wie das Vier-Augen-Prinzip oder das Genehmigungsverfahren (vgl. PS 980 Rz. A17).

Compliance-Organisation

Um das festgelegte Compliance-Programm umzusetzen, ist eine Aufbau- und Ablauforganisation zu definieren. Es müssen Rollen und verantwortliche Personen im Bereich des CMS definiert werden, die die Durchsetzung, Überwachung und Verbesserung als Hauptaufgabe haben. Das sind häufig Compliance-Beauftragte oder Compliance-Gremien. Im Rahmen der Organisation wird auch die Integration in das IKS oder RMS entschieden, umgesetzt und es werden technische Hilfsmittel entwickelt, die den anderen Grundelementen unterstützend zur Seite stehen (vgl. PS 980 Rz. A18).

Compliance-Kommunikation

Alle betroffenen Mitarbeiter und Dritte müssen über das Compliance-Programm informiert werden, sowie die Rollen und Verantwortlichkeiten verstanden haben, um ihre Aufgaben im CMS erfüllen zu können (vgl. PS 980 Rz. 23). In Schulungsveranstaltungen oder Mitarbeiterbriefen werden ebenso die Berichtswege und -pflichten kommuniziert, wenn Risiken oder Verstöße aufgedeckt wurden (vgl. PS 980 Rz. A19). Es geht jedoch nicht allein um die Kommunikation von Anweisungen und Regeln, es muss die Unternehmenskultur weitergetragen und dafür gesorgt werden, dass das Gesamtunternehmen auf die Errichtung der Compliance-Ziele ausgelegt ist (vgl. Schefold, 2011 S. 226).

Compliance-Überwachung und Verbesserung

Das CMS vervollständigt sich mit der eigenen Überwachung und Verbesserung. Durch prozessunabhängige Stellen, wie die interne Revision, soll die Wirksamkeit und Angemessenheit der CMS Grundsätze und der internen Kontrollen festgestellt werden. Diese Überwachungsmaßnahmen müssen stets dokumentiert und ausgewertet werden. Die Überwachung wird auf Schwachstellen im CMS hin untersucht und es werden sodann geeignete Maßnahmen zum Abstellen der Defizite entwickelt und umgesetzt (vgl. PS 980 Rz. A20). Durch eine kontinuierliche Überwachung und Verbesserung kann das CMS stets auf einem aktuellen Stand bleiben. Dabei sind aber neben den internen Einflussmöglichkeiten auch Potenziale von außen zu betrachten. Neue Entwicklungen in der Gesetzgebung und in der Wirtschaft müssen bei der Aufsicht mitberücksichtigt werden, um das CMS dahingehend zu optimieren.

[...]

---

^[1] Die Selbstanzeige muss nicht als solches bezeichnet werden, sondern kann auch durch eine korrigierte Steuererklärung abgegeben werden.

^[2] Das Vollständigkeitsgebot wie auch der 25.000 € Tatbestand gelten nicht für die Umsatz- und Lohnsteuervoranmeldung gem. § 371 Abs. 2a AO.

^[3] Siehe Kapitel 3.1

^[4] Zur weiteren Ausführung zum Risikomanagementsystem: Henschel, Thomas und Heinze, Ilka: Governance, Risk und Compliance im Mittelstand, Praxisleitfaden für gute Unternehmensführung, Erich Schmidt Verlag GmbH & Co. KG, Berlin 2016.

^[5] Committee of Sponsoring Organizations of the Treadway Commission (COSO) ist eine US-Amerikanische Arbeitsgemeinschaft, die mit ihren Werken versucht, die Finanzberichterstattung qualitativ zu verbessern.

^[6] Vgl. Meyer, et al., 2012 S. 13 und Schindler, et al., 2017 Rz. 670.