Читать книгу Tax Compliance - Markus Brinkmann - Страница 128

92

Das Compliance-Kommitment des Top-Managements der Organisation, der sog. „tone at the top“ ist die Basis für sämtliche Bereiche und Aktivitäten des CMS. Insbesondere für die Akzeptanz und Wirksamkeit des CMS ist die Vorbildfunktion des Top-Managements maßgebend. Dabei muss das Top-Management insbesondere die Werte der Organisation vorgeben („tone from the top“) und zugleich vorleben („tone at the top“). Daneben soll das Top-Management die Etablierung der Compliance-Richtlinie und der Compliance-Ziele sowie deren Konsistenz zu den Werten, Zielen und der Strategie der Organisation sicherstellen. Zudem soll das Top-Management die Entwicklung von Richtlinien, Verfahren und Prozessen zur Erreichung der Compliance-Ziele gewährleisten. Des Weiteren trägt das Top-Management die Verantwortung für eine Vielzahl weiterer Aufgaben im Rahmen des CMS, wie z.B. die Bereitstellung ausreichender Ressourcen sowie die Förderung eines stetigen Verbesserungsprozesses.[121]

93

Grundvoraussetzungen für ein wirksames Compliance Management sind die aktive Teilnahme und die Überwachungstätigkeit des Top-Managements. Die Verantwortung des täglichen Compliance Managements sollte – wie von vielen Organisationen in der Praxis umgesetzt – auf eine bestimmte Person, den sog. Compliance Officer (Compliance-Beauftragter), übertragen werden. Alternativ kann auch ein funktionsübergreifender Compliance-Ausschuss etabliert werden, um das Compliance Management innerhalb der Organisation zu organisieren. Neben dem Top-Management und dem Compliance Officer kommt den Managern der unterschiedlichen Ebenen der Organisation eine bedeutende Verantwortung und Rolle für das CMS innerhalb ihres jeweiligen Verantwortungsbereiches zu. Daher sollten sie mit positivem Verhalten vorangehen, die primär Compliance-Verantwortlichen unterstützen sowie innerhalb ihres Bereiches mögliche Compliance-Risiken identifizieren und adressieren. Daneben sollten sie Mitarbeiter für Compliance-Themen sensibilisieren, schulen sowie motivieren, Compliance-relevante Informationen oder Bedenken zu kommunizieren.[122]

94

Die Compliance-Funktion ist in Zusammenarbeit mit der Unternehmensleitung für das CMS verantwortlich. Sofern keine eigenständige Compliance-Stelle geschaffen wird, ist die Compliance-Funktion einer bereits bestehenden Position zuzuweisen. Der konkrete Aufgabenbereich der Compliance-Funktion umfasst u.a. die Identifizierung und Analyse von Compliance-Verpflichtungen/Risiken, die Ableitung eines Compliance-Programms (Richtlinie, Verfahren und Prozesse), die Organisation von Compliance-Schulungen, die Entwicklung und Implementierung eines Compliance Reporting, die Erstellung einer Compliance-Dokumentation, die Etablierung von Informationssystemen sowie die Steuerung von Compliance-Risiken. Bei der Besetzung der Compliance-Funktion ist insbesondere zu beachten, dass keine Interessenkonflikte bestehen. Zudem sollte die Person über die notwendige Integrität, ein Kommitment zu Compliance, die erforderliche Kompetenz, Ansehen sowie Durchsetzungs- und Kommunikationsfähigkeiten verfügen.[123]

95

Von zentraler Bedeutung innerhalb des CMS ist die Etablierung von Prozessen zur Identifikation und Bewertung der Compliance-Verpflichtungen und Compliance-Risiken. Dabei sind zunächst die für die Organisation relevanten Verpflichtungen (z.B. Gesetze, Rechtsprechung oder freiwillige Verpflichtungen) und deren Auswirkungen für die Aktivitäten, Produkte und Dienstleistungen der Organisation systematisch zu identifizieren sowie in angemessener Weise in Abhängigkeit von der Größe, Komplexität und Struktur der jeweiligen Organisation zu dokumentieren. Um eine kontinuierliche Gewährleistung guter Compliance zu erreichen, sollte ein Change Management-Prozess etabliert werden. Das bedeutet, dass Prozesse zur Identifikation von Änderungen der Compliance-Verpflichtungen und der daraus resultierenden Auswirkungen zu implementieren sind, um eine entsprechende Anpassung des Compliance-Management Systems sicherzustellen. Als solche Prozesse bzw. Instrumente zur Identifizierung von Änderungen des rechtlichen Umfelds und damit ggf. der organisationsspezifischen Compliance-Verpflichtungen können z.B. die regelmäßige Information bei Regulierungsbehörden (z.B. durch Registrierung für Informations-E-Mails, regelmäßige Beobachtung der Internetseiten oder persönliche Treffen), die Mitgliedschaft in Berufsverbänden oder die Teilnahme an Branchentreffen und Seminaren dienen.[124]

96

Auf Basis der Identifikation der organisationsspezifischen Compliance-Verpflichtungen soll die Identifikation und Bewertung der Compliance-Risiken (sog. Risikoanalyse) vorgenommen werden. Konkret sind im Rahmen der Risikoanalyse die Ursachen und Quellen von Regelverstößen (sog. Non-Compliance) zu identifizieren, das Ausmaß der Auswirkungen solcher Regelverstöße zu bestimmen sowie die Wahrscheinlichkeit für das Auftreten von Non-Compliance einzuschätzen. Der Prozess der Risikobewertung sollte insbesondere einen Vergleich des identifizierten Risikoniveaus mit der Risikoneigung der Organisation, d.h. dem Risikoniveau, das die Organisation zu akzeptieren bereit ist, umfassen. Bei der Risikobewertung handelt es sich um einen kontinuierlichen Prozess, d.h. die Risikobewertung ist in regelmäßigen Abständen sowie bei Veränderungen der Organisation oder der Rahmenbedingungen innerhalb derer sich die Organisation bewegt, wie z.B. die Einführung neuer Produkte, Wechsel der Strategie oder veränderte Marktbedingungen, zu aktualisieren.[125]

97

Aufbauend auf der Risikoanalyse sollten unter Berücksichtigung der zugrunde gelegten Governance-Prinzipien die Compliance-Risiken bestimmt werden, die innerhalb der Organisation zu adressieren sind. Dabei sind zunächst die Maßnahmen zu planen, anhand derer die Risiken gesteuert werden können, sowie festzulegen, wie diese Maßnahmen in das CMS integriert werden.[126] Neben der Bestimmung und Kommunikation der Compliance-Risiken sind auch die Compliance-Ziele für die entsprechenden Funktionen und Ebenen festzulegen. Die Compliance-Ziele sollten dabei insbesondere mit der Compliance-Strategie und der Compliance-Richtlinie in Einklang stehen, messbar sein, in die Organisation kommuniziert sowie regelmäßig überprüft und – soweit erforderlich – angepasst werden. Nach Festlegung der Compliance-Ziele sollte geplant werden, wie diese Ziele erreicht werden können. Dieser Prozess beinhaltet beispielsweise die Festlegung der zu ergreifenden Maßnahmen, der benötigten Ressourcen, der Verantwortlichkeiten sowie der Methoden, mit denen die Ergebnisse bewertet werden sollen (z.B. spezielle Compliance-Kennzahlen). Über die festgelegten Compliance-Ziele sowie die Maßnahmen zur Erreichung der Compliance-Ziele sollte eine entsprechende Dokumentation erstellt werden.[127]

98

Die Planung und Festlegung der Maßnahmen und Prozesse zur Sicherstellung der Einhaltung der Compliance-Verpflichtungen sollte zur Implementierung von Kontrollen führen. Um die Wirksamkeit zu erhöhen und die Wirtschaftlichkeit zu gewährleisten, sollten die Kontrollen – soweit möglich – in die bestehenden Unternehmensprozesse integriert werden. Bei den zu implementierenden Kontrollen handelt es sich z.B. um Genehmigungsverfahren, die Trennung von unvereinbaren Funktionen und Verantwortlichkeiten (sog. Funktionstrennung) oder automatisierte IT-Kontrollen, die z.T. bereits im Rahmen eines bestehenden internen Kontrollsystems verwendet werden. Die Effektivität der Kontrollen sollte durch eine kontinuierliche Überprüfung und Bewertung der Kontrollen sichergestellt werden. Darüber hinaus sollten Verfahren implementiert und dokumentiert werden, um die Compliance-Richtlinie umzusetzen und die Compliance-Verpflichtungen in den betrieblichen Abläufen abzubilden.[128] Hat die Organisation betriebliche Prozesse an externe Dritte ausgelagert, so sind diese einem Monitoring durch das Unternehmen zu unterwerfen, da die Auslagerung von Prozessen die Unternehmensleitung nicht von der rechtlichen Verantwortung sowie den Compliance-Verpflichtungen befreit.[129]

99

Ein weiteres Grundelement des CMS stellt der Monitoring- und Verbesserungsprozess dar. Das in der Organisation implementierte CMS sollte einem kontinuierlichen Überwachungsprozess (Monitoring) unterliegen, innerhalb dessen die Wirksamkeit und Effektivität des CMS zu überprüfen sind. Zu diesem Zweck sollte ein Monitoring-Plan erstellt werden, der festlegt, welche Bausteine, Prozesse und Maßnahmen des CMS dem Monitoring unterliegen sollen und welche Methoden für das Monitoring sowie die Bewertung und Analyse der Monitoring-Ergebnisse zu verwenden sind. Zudem sollte der Monitoring-Plan einen Zeitplan für die Durchführung und die Ergebnisanalyse enthalten. Typischerweise sollten zu den Bereichen des CMS, die einem Monitoring unterliegen, z.B. die Effektivität von Kontrollen, Schulungen oder der Verteilung der Compliance-Verantwortlichkeiten, gehören. Für die Beurteilung der Performance des CMS sind insbesondere die Fälle von Non-Compliance, nicht erreichter Compliance-Ziele sowie der Status der Compliance-Kultur zu überprüfen. Informationen können dabei von Mitarbeitern, Kunden, Lieferanten oder anderen Stakeholdern anhand verschiedener Kommunikationsprozesse, wie z.B. einem Hinweisgebersystem, Workshops oder Umfragen, gewonnen werden. Zudem können Prüfungen des CMS durch Dritte (wie z.B. interne Revision oder Wirtschaftsprüfer) zusätzliche Informationen liefern. Zum Zwecke der Bewertung des Grads der Erreichung der Compliance-Ziele sowie der Performance des CMS sollten messbare Kennzahlen (z.B. der Prozentsatz der geschulten Mitarbeiter oder die Anzahl identifizierter Fälle von Non-Compliance) entwickelt und verwendet werden.[130]

100

Die zeitgerechte und umfassende Information der Unternehmensleitung und der Compliance-Verantwortlichen über die Wirksamkeit des CMS und Fälle von Non-Compliance ist die Grundlage, um die Compliance-Risiken zu steuern bzw. im Fall von Non-Compliance Gegenmaßnahmen zu veranlassen. Diese Information sollte durch die Etablierung eines regelmäßigen Compliance Reporting erfolgen. Im Hinblick auf das Compliance Reporting sind insbesondere berichtspflichtige Sachverhalte zu definieren, die Reporting-Intervalle zu bestimmen und Prozesse zu implementieren, welche die Vollständigkeit und Richtigkeit der Informationen sicherstellen. Um die Verständlichkeit des Compliance Reporting zu verbessern, sollte es in das bestehende Unternehmens-Reporting integriert werden. Allerdings sollte für schwerwiegende Fälle von Non-Compliance eine eigenständige, außerplanmäßige Berichterstattung, die sog. Ad-hoc-Berichterstattung, etabliert werden. Sinnvolle Inhalte des regulären Compliance Reporting sind beispielsweise die Darstellung von Veränderungen bei den Compliance-Verpflichtungen, deren Auswirkungen auf die Organisation sowie die geplanten Reaktionen durch die Organisation, Informationen über Monitoring-Aktivitäten und Compliance-Audits oder die Ergebnisse der Bewertung der Performance und Effektivität des CMS.[131]

101

Zusätzlich zu den regelmäßigen Monitoring-Aktivitäten sollten auch externe Prüfungen des CMS sowie Management Reviews Bestandteil der Compliance-Überwachung sein. Gegenstand der externen Prüfungen des CMS sollte insbesondere sein, ob das CMS der durch die Unternehmensleitung festgelegten Konzeption und den Empfehlungen des internationalen Standards ISO 19600 entspricht sowie ob das CMS wirksam implementiert und aufrechterhalten wird. Gegenstand der Management Reviews sollte die anhaltende Eignung, Angemessenheit und Effektivität des CMS sein. Im Fokus der Management-Reviews sollten dabei insbesondere die fortwährende Angemessenheit der Compliance-Strategie und der bereitgestellten Ressourcen sowie die Einschätzung, inwieweit die Compliance-Ziele erreicht wurden, stehen. Die Ergebnisse sollten im Rahmen des Verbesserungsprozesses adressiert werden, um beispielsweise die Compliance-Strategie oder die Compliance-Ziele anzupassen oder Schwächen im bestehenden CMS durch korrigierende Maßnahmen abzustellen.[132]

102

Sofern Fälle von Non-Compliance in der Organisation auftreten, müssen zunächst die Konsequenzen bewältigt werden. Zudem müssen Maßnahmen zur Überprüfung und Korrektur vorgenommen werden. Im Anschluss an die akute Krisenbewältigung sollte sodann die Analyse der Ursachen für den Regelverstoß erfolgen, um die Notwendigkeit für Anpassungen des CMS zu ermitteln. Um Fälle von Non-Compliance schnell und effektiv bewältigen zu können, sollte ein Eskalationsprozess implementiert werden. Dieser sollte genau regeln, wem, wie und wann Regelverstöße zu berichten sind. Die Erkenntnisse aus dem Compliance Reporting, den Monitoring-Aktivitäten, den externen Prüfungen und Management-Reviews sowie den Ursachenanalysen im Fall von Regelverstößen sollten für die kontinuierliche Verbesserung des CMS – insbesondere die Verbesserung der Eignung, Angemessenheit und Effektivität des CMS – genutzt werden.[133]