Читать книгу Tax Compliance - Markus Brinkmann - Страница 117

67

Wie in Rn. 62 ff. bereits aufgezählt, sollte ein angemessenes Risikofrüherkennungssystem als Mindestmaßnahmen die Festlegung der Risikofelder, die zu bestandsgefährdenden Entwicklungen führen können, die Risikoerkennung und Risikoanalyse, die Risikokommunikation, die Zuordnung von Verantwortlichkeiten und Aufgaben, die Einrichtung eines Überwachungssystems sowie die Dokumentation der getroffenen Maßnahmen umfassen. Unter der Maßnahme Festlegung der Risikofelder wird die Untersuchung sämtlicher betrieblicher Prozesse und Funktionsbereiche hinsichtlich Risiken, die nach Art und Umfang alleine oder im Zusammenwirken mit anderen Risiken den Bestand des Unternehmens gefährden können, verstanden. Als Ergebnis der Analyse sind die Unternehmensbereiche (betriebliche Funktionen oder Prozesse) abzugrenzen, aus denen bestandsgefährdende Risiken in besonderem Maße resultieren können, sowie eine Definition der bestandsgefährdenden Risiken bzw. Risikoarten vorzunehmen.[92]

68

Die Maßnahmen Risikoerkennung und Risikoanalyse basieren auf der Schaffung und Fortentwicklung eines angemessenen Risikobewusstseins aller Mitarbeiter. Dabei ist im Rahmen der Risikoerkennung die Identifizierung sowohl im Vorhinein definierter Risiken als auch nicht definierter Risiken und Auffälligkeiten erforderlich. Die sich an die Risikoerkennung anschließende Risikoanalyse umfasst die Einschätzung der Risiken hinsichtlich Eintrittswahrscheinlichkeit und quantitativer Auswirkung. Dabei ist die quantitative Auswirkung sowohl für das isolierte Risiko als auch in Zusammenwirkung mit anderen Risiken zu betrachten.[93]

69

Die Risikokommunikation umfasst die Berichterstattung über die nicht bewältigten Risiken. Um eine Fokussierung auf die bedeutenden, bestandsgefährdenden Risiken zu ermöglichen, sollten Schwellenwerte definiert werden, deren Überschreitung eine Berichtspflicht an den Vorstand bzw. die Geschäftsführung auslöst. Für die Risikokommunikation sollten Berichtsstrukturen, institutionalisierte Kommunikationswege (mit Festlegung der Berichtsempfänger) sowie die Periodizität der Kommunikation festgelegt werden. Die Festlegung von Regeln zur Ad-hoc-Berichterstattung sollte für den Fall von Eilbedürftigkeit sicherstellen, dass von den standardmäßigen Berichtsstrukturen abgewichen werden kann.[94]

70

Die Zuordnung von Verantwortlichkeiten und Aufgaben beinhaltet die Festlegung, wer im jeweiligen Unternehmensbereich für die Erfassung und Bewältigung bedeutsamer Risiken oder – im Falle der Nichtbewältigung – für die Weiterleitung von Informationen über bedeutsame Risiken zuständig ist. Ein Informationsaustausch über die erfassten Risiken ist dabei zwischen den jeweiligen Unternehmensbereichen erforderlich, um die Möglichkeit der Aggregation von Einzelrisiken, der wechselseitigen Verstärkung von Risiken zu einem bestandsgefährdenden Risiko oder der Kompensation von Risiken analysieren zu können. Zweckmäßigerweise sollte die Verantwortung für den Informationsaustausch den jeweils für die Unternehmensbereiche zuständigen Berichtsempfängern übertragen werden.[95]

71

Die Einrichtung eines Überwachungssystems ist erforderlich, um die Einhaltung der implementierten Maßnahmen zur Erfassung und Kommunikation bestandsgefährdender Risiken und deren Veränderung zu gewährleisten. Dabei sollten entsprechende Maßnahmen in die Abläufe integrierte Kontrollen, wie beispielsweise die Überwachung der Einhaltung der Meldegrenzen, die EDV-gestützte Kontrolle der Termintreue oder die Genehmigung und Kontrolle der Risikoberichterstattung, umfassen. Zudem sollten die Maßnahmen des RFS auch Gegenstand der Tätigkeit der Internen Revision sein. Dabei können z.B. die vollständige Erfassung aller Risikofelder des Unternehmens oder die kontinuierliche Anwendung der Maßnahmen der Prüfung durch die Interne Revision unterliegen.[96]

72

Die Dokumentation der getroffenen Maßnahmen soll primär der Sicherstellung der dauerhaften, personenunabhängigen Funktionsfähigkeit des Risikofrüherkennungssystems dienen. Daneben stellt die Dokumentation für den Vorstand einen Nachweis der Erfüllung seiner Pflichten nach § 91 Abs. 2 AktG dar. Als Dokumentation bietet sich insbesondere die Erstellung eines Risikohandbuches an, welches die organisatorischen Regelungen und Maßnahmen zur Einrichtung des Systems beinhalten sollte. Konkrete Themen des Risikohandbuches können insbesondere die Definition der Risikofelder, die zu bestandsgefährdenden Entwicklungen führen können, die Grundsätze für die Risikoerkennung, Risikoanalyse und Risikokommunikation, die Festlegung von Verantwortlichkeiten und Aufgaben für Risikoerkennung, Risikoanalyse und Risikokommunikation oder die Regelungen zur Berichterstattung über erkannte und nicht bewältigte Risiken an die zuständigen Stellen sowie zur Risikoverfolgung darstellen.[97]