Tax Compliance

102

Sofern Fälle von Non-Compliance in der Organisation auftreten, müssen zunächst die Konsequenzen bewältigt werden. Zudem müssen Maßnahmen zur Überprüfung und Korrektur vorgenommen werden. Im Anschluss an die akute Krisenbewältigung sollte sodann die Analyse der Ursachen für den Regelverstoß erfolgen, um die Notwendigkeit für Anpassungen des CMS zu ermitteln. Um Fälle von Non-Compliance schnell und effektiv bewältigen zu können, sollte ein Eskalationsprozess implementiert werden. Dieser sollte genau regeln, wem, wie und wann Regelverstöße zu berichten sind. Die Erkenntnisse aus dem Compliance Reporting, den Monitoring-Aktivitäten, den externen Prüfungen und Management-Reviews sowie den Ursachenanalysen im Fall von Regelverstößen sollten für die kontinuierliche Verbesserung des CMS – insbesondere die Verbesserung der Eignung, Angemessenheit und Effektivität des CMS – genutzt werden.[133]

VI. Tax Compliance Management System (Tax CMS)

1. Vorbemerkung

103

Der folgende Abschnitt baut auf den in Rn. 74 ff. aufgezeigten Definitionen der Begriffe Compliance Management und Compliance Management System auf. Aus den Definitionen abgeleitet, soll das Tax Compliance Management bzw. das Tax Compliance Management System die notwendigen Maßnahmen, Instrumente und Prozesse liefern, um die Einhaltung von externen und internen Regeln in Bezug auf das Steuerrecht zu gewährleisten. Damit stellt es einen auf die Einhaltung steuerlicher Vorschriften (insbesondere hinsichtlich Vollständigkeit und Termintreue [Fristen]) gerichteten Teilbereich eines Compliance Management Systems dar.[134]

104

In Deutschland existierte bisher noch kein Rahmenwerk für Tax Compliance Management Systeme. Da das Tax CMS jedoch ein Teilbereich des CMS ist, hat das IDW im IDW PH 1/2016 dargestellt, wie die Grundsätze für Compliance Management Systeme aus dem Rahmenwerk IDW PS 980 auf Tax Compliance Management Systeme angewendet werden können.[135] Damit hat das IDW mit dem PH 1/2016 ein erstes Rahmenkonzept für Tax Compliance Management Systeme etabliert, welches sich als Benchmark für Unternehmen im Rahmen der Entwicklung und Implementierung eines Tax CMS eignet.

2. Sollkonzept eines Tax Compliance Management Systems gem. IDW PH 1/2016

a) Grundelemente eines Tax CMS

105

In Anlehnung an das Sollkonzept des IDW PS 980 sollte gem. IDW PH 1/2016 ein Tax CMS aus den sieben Grundelementen Tax Compliance-Kultur, Tax Compliance-Ziele, Tax Compliance-Risiken, Tax Compliance-Programm, Tax Compliance-Organisation, Tax Compliance-Kommunikation sowie Tax Compliance-Überwachung und Verbesserung bestehen, die typischerweise in Wechselwirkung zueinander stehen. Im Hinblick auf die konkrete Ausgestaltung des Tax CMS und der einzelnen Grundelemente sind verschiedene Einflussfaktoren, wie beispielsweise der Geltungsbereich des Tax CMS, die von der Unternehmensführung festgelegten Tax Compliance-Ziele, die Unternehmensgröße, die Komplexität (Art und Umfang) der Geschäftstätigkeit, die Branche des Unternehmens, die nationale oder internationale Ausrichtung der Geschäftstätigkeit oder die Rechtsform und Organisationsstruktur des Unternehmens zu berücksichtigen.[136]

106

Die Grundlage für die Angemessenheit und Wirksamkeit eines Tax CMS ist die Tax Compliance-Kultur. Sie ist Teil der allgemeinen Compliance-Kultur und wird maßgeblich geprägt durch die Grundeinstellungen und Verhaltensweisen der Unternehmensführung, des Managements und des Aufsichtsorgans. Dabei sollte eine regelmäßige Kommunikation von Tax Compliance Themen auf Ebene der Unternehmensleitung (sog. „tone at the top“) sowie durch die Unternehmensleitung in das Unternehmen hinein (sog. „tone from the top“) Bestandteil einer guten Tax Compliance-Kultur sein. Die Tax Compliance-Kultur hat einen wesentlichen Einfluss auf die Bedeutung, die der Beachtung steuerlicher Regeln und der ordnungsgemäßen Erfüllung steuerlicher Pflichten durch die Mitarbeiter beigemessen wird. Eine gute Tax Compliance-Kultur soll die Bereitschaft zu regelkonformen Verhalten erhöhen. Die Kommunikation und Dokumentation der Grundeinstellungen und erwarteten Verhaltensweisen können beispielsweise mittels einer Steuerrichtlinie, einer Steuerstrategie, eines Leitbilds oder eines Verhaltenskodexes erfolgen.[137]

107

Die Bestimmung der Tax Compliance-Ziele sollte auf der Grundlage der allgemeinen Unternehmensziele und einer Analyse und Gewichtung der vom Unternehmen zu beachtenden Regeln erfolgen. Die Tax Compliance-Ziele sind die Grundlage für die Beurteilung der Tax Compliance-Risiken. Im Rahmen der Festlegung der Tax Compliance-Ziele zu beachtende Anforderungen sind insbesondere die Konsistenz, Verständlichkeit und Praktikabilität der unterschiedlichen Ziele, die Messbarkeit des Zielerreichungsgrades sowie die Abstimmung mit den verfügbaren Ressourcen. Die Tax Compliance-Ziele stellen den Rahmen und die Aufgaben der Steuerfunktion dar.[138]

108

Auf Basis der festgelegten Tax Compliance-Ziele können die Tax Compliance-Risiken bestimmt werden. Zu diesem Zweck ist in der Unternehmensorganisation ein angemessenes Verfahren zur systematischen Risikoerkennung und Risikobeurteilung einzuführen. Dabei sind die Risiken zunächst im Rahmen der Risikoerkennung zu identifizieren, um darauf aufbauend innerhalb der Risikobeurteilung hinsichtlich ihrer Eintrittswahrscheinlichkeit und potentiellen Auswirkung analysiert und gewichtet sowie in Risikoklassen eingeteilt zu werden. Dabei hat die Feststellung und schriftliche Dokumentation der Tax Compliance-Risiken bezogen auf die jeweilige Steuerart und die damit verbundenen Prozesse zu erfolgen.[139]

109

Das Tax Compliance-Programm beinhaltet die konkreten Grundsätze und Maßnahmen, die den Tax Compliance-Risiken entgegenwirken und somit Compliance-Verstöße vermeiden sollen. Zudem umfasst das Tax Compliance-Programm auch die im Fall von festgestellten Compliance-Verstößen zu ergreifenden Maßnahmen. Folglich stellt die Risikoanalyse (Identifizierung und Beurteilung der Tax Compliance-Risiken) die Grundlage für die Entwicklung und Implementierung des Tax Compliance-Programms dar. Die Maßnahmen des Tax Compliance-Programms können sowohl präventiven als auch detektiven Charakter aufweisen. Als präventive Maßnahmen sind beispielsweise die Erstellung von Richtlinien und fachlichen Anweisungen, die Bereitstellung von Checklisten, die Durchführung von Schulungen, die Kommunikation von Rechtsänderungen, die Etablierung von Zuständigkeitsregeln, Funktionstrennungen, Vertretungsregelungen und Unterschriftsregelungen sowie die Implementierung eines Berechtigungskonzeptes (z.B. für den Zugriff auf Daten, Akten etc.) anzusehen. Beispiele für detektive Maßnahmen sind u.a. die Implementierung prozessintegrierter Kontrollen (z.B. Vier-Augenprinzip), die Durchführung systematischer Auswertungen von Daten auf Besonderheiten (z.B. Verprobungen, sonstige Plausibilitätsbeurteilungen) oder die Durchführung von anlassbezogenen oder stichprobenhaften Untersuchungen, ob das Tax Compliance-Programm den betroffenen Mitarbeitern bekannt ist. Für Zwecke des Nachweises (z.B. gegenüber Behörden) und der Gewährleistung der personenunabhängigen Funktionsfähigkeit ist das Tax Compliance-Programm angemessen zu dokumentieren. Insbesondere eine sog. Risiko-Kontroll-Matrix, d.h. die Gegenüberstellung der identifizierten Tax Compliance-Risiken und der im Hinblick darauf vom Unternehmen ergriffenen Maßnahmen, stellt eine sinnvolle Möglichkeit der Dokumentation des Tax Compliance-Programms dar.[140]

110

Die klare Festlegung von Rollen und Verantwortlichkeiten durch das Management ist von zentraler Bedeutung für die Tax Compliance-Organisation. Insbesondere umfasst sind die Verteilung von Aufgaben auf nachgelagerte Unternehmensteile (vertikale Delegation) sowie die Verteilung von Aufgaben auf verschiedene Ressorts des Geschäftsleitungsgremiums (horizontale Delegation). Dabei sind die Aufgaben und Verantwortlichkeiten in organisatorischer, fachlicher, prozesstechnischer, geographischer sowie bereichsspezifischer Hinsicht eindeutig, umfassend und widerspruchsfrei zu regeln. Besonders bedeutend ist zudem, dass Schnittstellen zu anderen Fachbereichen, die mit steuerlichen Belangen betraut und/oder Teil der steuerrelevanten Informationskette sind, klar und eindeutig definiert sowie die Verantwortlichkeiten für diese eindeutig und überschneidungsfrei zugewiesen werden. Das Management sollte zudem die Tax Compliance-Organisation mit ausreichend Ressourcen (z.B. Mitarbeiter, IT, Experten) ausstatten. Die Darstellung und Dokumentation der Tax Compliance-Organisation kann beispielsweise in einer Steuerrichtlinie oder einem Organisationshandbuch vorgenommen werden.[141]

111

Die Tax Compliance-Kommunikation ist von zentraler Bedeutung für die Wirksamkeit des Tax CMS. Die primäre Aufgabe der Tax Compliance-Kommunikation ist die Information der jeweils betroffenen Mitarbeiter sowie von externen Dritten, die in die Erfüllung steuerlicher Pflichten des Unternehmens eingebunden sind (z.B. Steuerberater), über das Tax Compliance-Programm sowie die festgelegten Rollen und Verantwortlichkeiten innerhalb des Tax CMS. Die Information stellt die Basis für die sachgerechte Aufgaben- und Pflichterfüllung dar. Daneben ist festzulegen, wie identifizierte Tax Compliance-Risiken und festgestellte Regelverstöße an die jeweils zuständigen Stellen bzw. Funktionen (z.B. Unternehmensleitung oder Tax Compliance Officer) zu berichten sind. Die zeitnahe und vollständige Berichterstattung ist die Grundlage für die Einleitung geeigneter Maßnahmen. Die konkreten Inhalte bzw. Aufgaben der Tax Compliance-Kommunikation sind von der jeweiligen Größe und Komplexität des Unternehmens abhängig. Beispielsweise können die Festlegung von Berichtsanlässen, Berichtsinhalten und Berichtszuständigkeiten, die Erstellung und Implementierung von Arbeitsanweisungen und Kommunikationsmitteln (z.B. Newsletter oder Mitarbeiterschulungen), die Festlegung der Verantwortlichkeiten für die Tax Compliance-Kommunikation sowie die Bestimmung der Verantwortlichkeiten bei Schnittstellen zwischen der Steuerabteilung, dem Risikomanagement, dem Compliance Officer und der internen Revision Aufgaben im Rahmen der Tax Compliance-Kommunikation darstellen. Die Dokumentation von Art und Umfang der Tax Compliance-Kommunikation sollte beispielsweise in einer Organisations- oder Steuerrichtlinie erfolgen.[142]

112

Das Grundelement Tax Compliance-Überwachung und Verbesserung umfasst die Durchführung von Überwachungsmaßnahmen beispielsweise hinsichtlich der Einhaltung der Maßnahmen des Tax Compliance-Programms, der Überprüfung der Prozessabläufe, der Wahrnehmung notwendiger Schulungs- bzw. Fortbildungsmaßnahmen oder der Schnittstellen zu externen Dienstleistern. Grundlage der Überwachungstätigkeiten ist eine geeignete Dokumentation des Tax CMS. Führen die Überwachungsaktivitäten zur Feststellung von Mängeln im Tax CMS, sind diese an das Management bzw. die verantwortlichen Stellen zu berichten und Zuwiderhandlungen ggf. zu sanktionieren. Zudem sind Verbesserungsmaßnahmen zu ergreifen, um Mängel zu beseitigen bzw. künftige Regelverstöße zu vermeiden. Um eine wirksame Überwachung des Tax CMS zu erzielen, sind verschiedene Aspekte wie beispielsweise die Festlegung der Zuständigkeiten, die Entwicklung eines Überwachungsplans, die Bereitstellung ausreichender Ressourcen sowie die Berichterstattung über die Ergebnisse der Überwachungsmaßnahmen zu berücksichtigen und durchzuführen. Sind steuerliche Pflichten des Unternehmens auf externe Dienstleister übertragen, sind diese ebenfalls Bestandteil der Tax Compliance-Organisation. Daher hat das Unternehmen im Rahmen der Tax Compliance-Überwachung sicherzustellen, dass der Dritte vollständig über die Anforderungen an die auf ihn übertragenen Tätigkeiten aufgeklärt und zu deren Erfüllung vertraglich verpflichtet worden ist sowie die zur Durchführung der Tätigkeiten erforderlichen Informationen vollständig und rechtzeitig erhält. Darüber hinaus muss das Unternehmen die Arbeitsergebnisse einer Plausibilitätskontrolle unterziehen und die Tätigkeit des Dienstleisters angemessen überwachen.[143]

113

Wie bereits einleitend dargestellt, hängt die konkrete Ausgestaltung des Tax CMS insbesondere von den festgelegten Tax Compliance-Zielen, der Unternehmensgröße sowie der Komplexität (Art und Umfang) der Geschäftstätigkeit ab.[144] Hinsichtlich der einzelnen Grundelemente des Tax CMS bedeutet dies, dass sämtliche Elemente auf einem Mindeststandard implementiert sein sollten, aber jedes einzelne Element je nach den individuellen Gegebenheiten der Unternehmen sehr unterschiedlich ausgestaltet sein kann.

b) Tax CMS-Beschreibung

114

Zum Nachweis der Existenz eines Tax CMS sollten Unternehmen eine Tax CMS-Beschreibung erstellen. Die Tax CMS-Beschreibung soll zudem als zentrale Dokumentation des vorhandenen Tax CMS eine konsistente Anwendung und personenunabhängige Funktion des Tax CMS gewährleisten. Demzufolge sollte die Tax CMS-Beschreibung inhaltlich die Konzeption des Tax CMS sowie seine Grundsätze und Maßnahmen darstellen. Wesentlicher Gegenstand der Tax CMS-Beschreibung sollte daher die Darstellung sämtlicher Grundelemente des Tax CMS sein. Darüber hinaus sind die Tax CMS-Grundsätze in der Tax CMS-Beschreibung zu konkretisieren.[145] Aufgrund der in ihr enthaltenen Aussagen über die Grundsätze und Maßnahmen des Tax CMS, welche Gegenstand einer Prüfung des Tax CMS in analoger Anwendung des IDW PS 980 sind, ist die Tax CMS-Beschreibung die Voraussetzung und Basis für eine Prüfung des Tax CMS gem. IDW PS 980.[146]

VII. Hierarchie der verschiedenen Management- und Kontrollsysteme und Verortung des Tax Compliance Managements

1. Beziehungsgeflecht der Management- und Kontrollsysteme

115

Nachdem in den vorhergehenden Rn. 5–102 die Definitionen, Aufgaben und Strukturen von IKS, RMS, RFS, CMS und Tax CMS dargelegt wurden, soll nunmehr das Verhältnis der Systeme zueinander und deren Einordnung in die Unternehmensorganisation diskutiert werden. Die Einbettung des Tax CMS wird dabei gesondert in den nachfolgenden Rn. 123 ff. aufgezeigt.

116

Das unternehmensweite Managementsystem stellt ein Instrument zur Steuerung von Unternehmen dar. Als sozioökonomisches System handelt es sich bei einem Managementsystem nicht um ein greifbares Gebilde, sondern vielmehr um die „Gesamtheit von formalen Strukturen und konkreten Durchführungen“.[147] Als Aufgabe des Managementsystems kann die Unterstützung und Koordinierung der unternehmensweiten Planungs-, Durchführungs- und Kontrollprozesse bezeichnet werden. Das Managementsystem ist dabei auf sämtliche Funktionen und Bereiche von Unternehmen ausgerichtet.[148]

117

Das Risikomanagementsystem kann als Subsystem des unternehmensweiten Managementsystems eingeordnet werden.[149] Da es die Erreichung sämtlicher Unternehmensziele unterstützen soll und dabei sowohl auf die Gesamtorganisation als auch auf sämtliche Geschäftsbereiche, Geschäftseinheiten und Niederlassungen Anwendung findet, stellt es ein organisations- und funktionsübergreifendes System dar. Gegenstand des RMS sind dabei sämtliche Risiken des Unternehmens.[150]

118

Das Risikofrüherkennungssystem zielt auf die Früherkennung bestandsgefährdender Entwicklungen ab. Somit finden die Maßnahmen des RFS nicht auf sämtliche Risiken des Unternehmens, sondern lediglich auf den abgrenzbaren Teilbereich der bestandsgefährdenden Risiken Anwendung. Demzufolge kann das RFS als ein Subsystem des RMS bezeichnet werden.[151]

119

Die organisatorische Einordnung des IKS innerhalb des unternehmensweiten Managementsystems lässt sich gut anhand der Ziel- und Aufgabenstellung sowie der Komponenten des IKS auf Basis von COSO I vornehmen. Wie in Rn. 8 ff. dargelegt, ist die Aufgabe des IKS, eine hinreichende Sicherheit hinsichtlich des Erreichens der Unternehmensziele Wirksamkeit und Wirtschaftlichkeit der operativen Geschäftstätigkeit, Ordnungsmäßigkeit und Verlässlichkeit der finanziellen und nicht-finanziellen Unternehmensberichterstattung sowie Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften zu gewährleisten. Damit deckt das IKS drei von vier Zielstellungen des RMS ab. Für das RMS werden gem. COSO II die Zielsetzungen des IKS um den Bereich Strategie erweitert. Die Unterschiede zwischen IKS und RMS werden auch bei Betrachtung der jeweiligen Systemkomponenten anhand des sog. COSO-Würfels[152] deutlich. Während die fünf Komponenten (1) Kontrollumfeld, (2) Risikobeurteilung, (3) Kontrollaktivitäten, (4) Information und Kommunikation sowie (5) Überwachung als Grundelemente in beiden Systemen Bestandteil des Sollkonzepts sind, wird das Sollkonzept des RMS noch um die drei Komponenten Zielsetzung, Ereignisidentifikation und Risikosteuerung erweitert.[153] Der Vergleich der Sollkonzepte für IKS und RMS zeigt, dass gem. den COSO-Modellen sämtliche Ziele, Aufgaben und Komponenten des IKS auch Bestandteil des RMS sind, das RMS jedoch noch zusätzliche Ziele, Aufgaben und Komponenten aufweist. Demzufolge kann das IKS als reines Überwachungs- und Kontrollsystem somit ebenfalls als Subsystem des RMS eingestuft werden.[154]

120

Die Einordnung des CMS innerhalb des unternehmensweiten Managementsystems stellt sich etwas schwieriger dar, da die Verflechtung zu den anderen Systemen nicht unidirektional, sondern multidirektional verläuft. Da primäres Ziel des CMS die Sicherstellung der Regelkonformität – sowohl im Hinblick auf gesetzliche Vorschriften als auch auf unternehmensinterne Richtlinien – ist, sind folglich auch die rechtlichen Unternehmensrisiken ein Regelungsgegenstand des CMS. Da das RMS die Steuerung sämtlicher Unternehmensrisiken – folglich auch das Risiko des Regelverstoßes und somit der rechtlichen Unternehmensrisiken – umfasst, stellt das CMS insoweit ein Element des Risikomanagements dar.[155] Abgeleitet aus § 93 Abs. 1 AktG und § 91 Abs. 2 AktG ist die Verpflichtung zur Implementierung eines angemessenen Risikomanagement- und Risikofrüherkennungssystems jedoch selber als ein rechtliches Unternehmensrisiko (Compliance-Risiko) anzusehen, so dass insoweit das RMS bzw. das RFS Gegenstand der Überwachung durch das CMS sind. Diese Art der Verflechtung lässt erkennen, dass im Hinblick auf die Verortung des CMS innerhalb der Managementsysteme zwischen der theoretischen bzw. dogmatischen Einordnung und andererseits der organisatorischen Eingliederung im Unternehmen zu unterscheiden ist. Zwar kann das CMS hinsichtlich Ziel, Aufgabenstellung und Methodik dogmatisch als Teilbereich bzw. Element des Risikomanagements angesehen werden. Aufgrund des Unabhängigkeitserfordernisses der Compliance-Funktion und der beschriebenen Verflechtung – RMS und RFS als durch die Compliance-Funktion zu überwachendes Compliance-Risiko (rechtliches Risiko) – sollte das Compliance Management kein Bestandteil der Organisationseinheit Risikomanagement sein.[156]

121

Eine multidirektionale Beziehung ist auch zwischen CMS und IKS festzustellen. Kontrollen und Prozesse des IKS werden oftmals als Maßnahmen des Compliance-Programms verwendet (z.B. Vier-Augenprinzip, Funktionstrennung, Genehmigungsverfahren). Zugleich können durch das CMS zusätzlich implementierte Überwachungs- und Kontrollmaßnahmen auch Bestandteil des IKS werden.[157]

122

Trotz der vielfältigen Verflechtungen der Systeme untereinander, erscheint eine dogmatische Einordnung der Systeme sinnvoll. Bisher hat sich in der Literatur – insbesondere aufgrund der Vielzahl der Verflechtungen – noch keine herrschende Meinung im Hinblick auf eine Hierarchie der Systeme gebildet. Auf Basis der vorstehenden Erläuterungen kann, insbesondere aufgrund seiner vielfältigen Aufgaben und Zielsetzungen sowie des umfassenden Aufbaus und der organisatorischen Struktur – das RMS als führendes System mit einer „Dachfunktion“ angesehen werden. IKS, RFS und CMS können nebeneinander und miteinander interagierend unterhalb des RMS angesiedelt werden. Die Hierarchie und die organisatorische Eingliederung des jeweiligen Systems bzw. der jeweiligen Funktion können jedoch aufgrund individueller Gegebenheiten des jeweiligen Unternehmens von dieser dogmatischen Einordnung abweichen. Insbesondere ist darauf hinzuweisen, dass hinsichtlich der Einordnung der Compliance-Funktion in die Unternehmensorganisation deren Unabhängigkeit sichergestellt werden muss.