ТОП просматриваемых книг сайта:
Tax Compliance. Markus Brinkmann
Читать онлайн.Название Tax Compliance
Год выпуска 0
isbn 9783811447011
Автор произведения Markus Brinkmann
Жанр Языкознание
Серия C.F. Müller Wirtschaftsrecht
Издательство Bookwire
97
Aufbauend auf der Risikoanalyse sollten unter Berücksichtigung der zugrunde gelegten Governance-Prinzipien die Compliance-Risiken bestimmt werden, die innerhalb der Organisation zu adressieren sind. Dabei sind zunächst die Maßnahmen zu planen, anhand derer die Risiken gesteuert werden können, sowie festzulegen, wie diese Maßnahmen in das CMS integriert werden.[126] Neben der Bestimmung und Kommunikation der Compliance-Risiken sind auch die Compliance-Ziele für die entsprechenden Funktionen und Ebenen festzulegen. Die Compliance-Ziele sollten dabei insbesondere mit der Compliance-Strategie und der Compliance-Richtlinie in Einklang stehen, messbar sein, in die Organisation kommuniziert sowie regelmäßig überprüft und – soweit erforderlich – angepasst werden. Nach Festlegung der Compliance-Ziele sollte geplant werden, wie diese Ziele erreicht werden können. Dieser Prozess beinhaltet beispielsweise die Festlegung der zu ergreifenden Maßnahmen, der benötigten Ressourcen, der Verantwortlichkeiten sowie der Methoden, mit denen die Ergebnisse bewertet werden sollen (z.B. spezielle Compliance-Kennzahlen). Über die festgelegten Compliance-Ziele sowie die Maßnahmen zur Erreichung der Compliance-Ziele sollte eine entsprechende Dokumentation erstellt werden.[127]
98
Die Planung und Festlegung der Maßnahmen und Prozesse zur Sicherstellung der Einhaltung der Compliance-Verpflichtungen sollte zur Implementierung von Kontrollen führen. Um die Wirksamkeit zu erhöhen und die Wirtschaftlichkeit zu gewährleisten, sollten die Kontrollen – soweit möglich – in die bestehenden Unternehmensprozesse integriert werden. Bei den zu implementierenden Kontrollen handelt es sich z.B. um Genehmigungsverfahren, die Trennung von unvereinbaren Funktionen und Verantwortlichkeiten (sog. Funktionstrennung) oder automatisierte IT-Kontrollen, die z.T. bereits im Rahmen eines bestehenden internen Kontrollsystems verwendet werden. Die Effektivität der Kontrollen sollte durch eine kontinuierliche Überprüfung und Bewertung der Kontrollen sichergestellt werden. Darüber hinaus sollten Verfahren implementiert und dokumentiert werden, um die Compliance-Richtlinie umzusetzen und die Compliance-Verpflichtungen in den betrieblichen Abläufen abzubilden.[128] Hat die Organisation betriebliche Prozesse an externe Dritte ausgelagert, so sind diese einem Monitoring durch das Unternehmen zu unterwerfen, da die Auslagerung von Prozessen die Unternehmensleitung nicht von der rechtlichen Verantwortung sowie den Compliance-Verpflichtungen befreit.[129]
99
Ein weiteres Grundelement des CMS stellt der Monitoring- und Verbesserungsprozess dar. Das in der Organisation implementierte CMS sollte einem kontinuierlichen Überwachungsprozess (Monitoring) unterliegen, innerhalb dessen die Wirksamkeit und Effektivität des CMS zu überprüfen sind. Zu diesem Zweck sollte ein Monitoring-Plan erstellt werden, der festlegt, welche Bausteine, Prozesse und Maßnahmen des CMS dem Monitoring unterliegen sollen und welche Methoden für das Monitoring sowie die Bewertung und Analyse der Monitoring-Ergebnisse zu verwenden sind. Zudem sollte der Monitoring-Plan einen Zeitplan für die Durchführung und die Ergebnisanalyse enthalten. Typischerweise sollten zu den Bereichen des CMS, die einem Monitoring unterliegen, z.B. die Effektivität von Kontrollen, Schulungen oder der Verteilung der Compliance-Verantwortlichkeiten, gehören. Für die Beurteilung der Performance des CMS sind insbesondere die Fälle von Non-Compliance, nicht erreichter Compliance-Ziele sowie der Status der Compliance-Kultur zu überprüfen. Informationen können dabei von Mitarbeitern, Kunden, Lieferanten oder anderen Stakeholdern anhand verschiedener Kommunikationsprozesse, wie z.B. einem Hinweisgebersystem, Workshops oder Umfragen, gewonnen werden. Zudem können Prüfungen des CMS durch Dritte (wie z.B. interne Revision oder Wirtschaftsprüfer) zusätzliche Informationen liefern. Zum Zwecke der Bewertung des Grads der Erreichung der Compliance-Ziele sowie der Performance des CMS sollten messbare Kennzahlen (z.B. der Prozentsatz der geschulten Mitarbeiter oder die Anzahl identifizierter Fälle von Non-Compliance) entwickelt und verwendet werden.[130]
100
Die zeitgerechte und umfassende Information der Unternehmensleitung und der Compliance-Verantwortlichen über die Wirksamkeit des CMS und Fälle von Non-Compliance ist die Grundlage, um die Compliance-Risiken zu steuern bzw. im Fall von Non-Compliance Gegenmaßnahmen zu veranlassen. Diese Information sollte durch die Etablierung eines regelmäßigen Compliance Reporting erfolgen. Im Hinblick auf das Compliance Reporting sind insbesondere berichtspflichtige Sachverhalte zu definieren, die Reporting-Intervalle zu bestimmen und Prozesse zu implementieren, welche die Vollständigkeit und Richtigkeit der Informationen sicherstellen. Um die Verständlichkeit des Compliance Reporting zu verbessern, sollte es in das bestehende Unternehmens-Reporting integriert werden. Allerdings sollte für schwerwiegende Fälle von Non-Compliance eine eigenständige, außerplanmäßige Berichterstattung, die sog. Ad-hoc-Berichterstattung, etabliert werden. Sinnvolle Inhalte des regulären Compliance Reporting sind beispielsweise die Darstellung von Veränderungen bei den Compliance-Verpflichtungen, deren Auswirkungen auf die Organisation sowie die geplanten Reaktionen durch die Organisation, Informationen über Monitoring-Aktivitäten und Compliance-Audits oder die Ergebnisse der Bewertung der Performance und Effektivität des CMS.[131]
101
Zusätzlich zu den regelmäßigen Monitoring-Aktivitäten sollten auch externe Prüfungen des CMS sowie Management Reviews Bestandteil der Compliance-Überwachung sein. Gegenstand der externen Prüfungen des CMS sollte insbesondere sein, ob das CMS der durch die Unternehmensleitung festgelegten Konzeption und den Empfehlungen des internationalen Standards ISO 19600 entspricht sowie ob das CMS wirksam implementiert und aufrechterhalten wird. Gegenstand der Management Reviews sollte die anhaltende Eignung, Angemessenheit und Effektivität des CMS sein. Im Fokus der Management-Reviews sollten dabei insbesondere die fortwährende Angemessenheit der Compliance-Strategie und der bereitgestellten Ressourcen sowie die Einschätzung, inwieweit die Compliance-Ziele erreicht wurden, stehen. Die Ergebnisse sollten im Rahmen des Verbesserungsprozesses adressiert werden, um beispielsweise die Compliance-Strategie oder die Compliance-Ziele anzupassen oder Schwächen im bestehenden CMS durch korrigierende Maßnahmen abzustellen.[132]
102
Sofern Fälle von Non-Compliance in der Organisation auftreten, müssen zunächst die Konsequenzen bewältigt werden. Zudem müssen Maßnahmen zur Überprüfung und Korrektur vorgenommen werden. Im Anschluss an die akute Krisenbewältigung sollte sodann die Analyse der Ursachen für den Regelverstoß erfolgen, um die Notwendigkeit für Anpassungen des CMS zu ermitteln. Um Fälle von Non-Compliance schnell und effektiv bewältigen zu können, sollte ein Eskalationsprozess implementiert werden. Dieser sollte genau regeln, wem, wie und wann Regelverstöße zu berichten sind. Die Erkenntnisse aus dem Compliance Reporting, den Monitoring-Aktivitäten, den externen Prüfungen und Management-Reviews sowie den Ursachenanalysen im Fall von Regelverstößen sollten für die kontinuierliche Verbesserung des CMS – insbesondere die Verbesserung der Eignung, Angemessenheit und Effektivität des CMS – genutzt werden.[133]
1. Vorbemerkung
103
Der folgende Abschnitt baut auf den in Rn. 74 ff. aufgezeigten Definitionen der Begriffe Compliance Management und Compliance Management System auf. Aus den Definitionen abgeleitet, soll das Tax Compliance Management bzw. das Tax Compliance Management System die notwendigen Maßnahmen,