Tax Compliance

3. Die Pflichten der Geschäftsleitung

66

Die Aufbau- und Ablauforganisation eines Unternehmens wird geprägt von einer Vielzahl einzelner, typischerweise bilateral gestalteter Delegationsverhältnisse. Vor diesem Hintergrund greifen für jede Führungskraft stets auch die vorgenannten Pflichten des Delegierenden, im Falle einer Weiterdelegation entsprechend über mehrere Stufen hinweg.

67

Hinzu kommen standardisierte Aufsichtspflichten für die Geschäftsleitung, d.h. namentlich den oberen Führungskreis im Unternehmen. Die einzelnen Delegationsverhältnisse kulminieren in diesen Pflichten und werden in einer Gesamtbetrachtung auf Stringenz und Effektivität bei der Konzeptionierung sowie auf tatsächliche Umsetzung geprüft. Ihren Ausdruck finden diese Aufsichtspflichten insbesondere in der Bußgeldvorschrift § 130 OWiG (ggf. i.V.m. § 9 OWiG) sowie in der Haftungsvorschrift § 69 AO und in den Bußgeld- und Strafvorschriften §§ 370, 378 AO.[29] Während § 130 OWiG den Betriebsinhaber persönlich adressiert, werden über § 9 OWiG die Organe und Vertreter des Unternehmens (Abs. 1) sowie bestimmte Beauftragte erfasst. Die Erfassung dieser Personen über § 9 OWiG erfolgt auch dann, wenn die Rechtshandlung, welche die Vertretungsbefugnis oder das Auftragsverhältnis begründen sollte, unwirksam ist (Abs. 3). Weiter kann bei Verletzung der Aufsichtspflichten nach §§ 9, 30, 130 OWiG eine Geldbuße gegen das betreffende Unternehmen festgesetzt werden. Im Konzern kann eine starke Einflussnahme der Konzernmutter auf die Tochtergesellschaft eine entsprechende Aufsichtspflicht auslösen.[30]

68

Die Aufsichtspflichten treffen auch die Geschäftsleitung, deren Mitglieder neu besetzt sind und die insofern eine Organisation mit Delegationsverhältnissen als bestehend von ihren Vorgängern übernimmt. Unter Umständen können diese Aufsichtspflichten auch dem Mitglied der Geschäftsleitung entgegengehalten werden, das laut Geschäftsordnung (d.h. Delegation innerhalb der Geschäftsführung) für den betreffenden Bereich nicht zuständig ist. In diesem Fall ist die fehlende Möglichkeit einer Einflussnahme dieses Mitglieds auf den betreffenden Bereich kein Verteidigungsargument. Im Gegenteil, diese fehlende Möglichkeit ist dann möglicherweise ein weiterer Aspekt der Aufsichtspflichtverletzung.[31]

69

Die Geschäftsleitung kann diesen Aufsichtspflichten genügen, indem sie ein tragfähiges (Tax) Compliance-Management-System, das ein innerbetriebliches Kontrollsystem (IKS) einschließt,[32] einrichtet und unterhält. Dieses Compliance-Management-System kann bei kleineren und mittelständischen Unternehmen oftmals in bestehende „klassische“ Einheiten integriert werden, wie z.B. in die Interne Revision oder die (Steuer‑)Rechtsabteilung, und mit Hilfe der Delegation an Spezialisten außerhalb des Unternehmens auch relativ „schlank“ ausfallen. Die Bezeichnung einer Stelle oder sonstigen Organisationseinheit als „Compliance“ ist für sich genommen weder notwendig noch hinreichend. Entscheidend ist vielmehr die Abdeckung der betreffenden inhaltlichen Aufgaben.

70

Bei größeren Unternehmen ist die Einrichtung einer eigenständigen (Tax) Compliance-Abteilung allerdings sinnvoll und üblich. Die erforderliche Größe, Struktur und konkrete Aufgabenzuweisung einer solchen Compliance-Abteilung (das „Wie“) ist von der jeweiligen Unternehmensstruktur und den unternehmensspezifischen Risiken (Branche, Produkte, Geschäfts- und Vertriebsmodelle, Länder, Verdachtsfälle aus der Vergangenheit usw.) abhängig.

71

Die Frage, inwieweit tatsächlich eine Pflicht zur Einrichtung eines Compliance-Management-Systems besteht,[33] ist theoretisch interessant, aber für die Praxis nicht entscheidend. Entscheidend in der Praxis ist, dass

Anmerkungen

[1]

Klein AO § 33 Rn. 3.

[2]

BFH BStBl 73, 544; Klein AO § 33 Rn. 3.

[3]

D.h. noch vor Eintragung in das Handelsregister, sog. Vorgesellschaft, vgl. BFH BStBl 83, 247; 90, 91; 93, 352.

[4]

BFH BStBl 93, 864; BFH/NV 95, 759, Klein AO § 33 Rn. 5 m.w.N.

[5]

BFH BStBl 81, 408; 87, 524; 93, 729.

[6]

BFH BStBl 70, 833.

[7]

AEAO Nr. 1 zu § 34.

[8]

Vgl. BFH BStBl 83, 655; 69, 539.

[9]

Vgl. BFH BStBl 04, 579.

[10]

BFH/NV 88, 683; 85, 20.

[11]

BFH BStBl 09, 348; 89, 491; s. weiter zu § 35 AO sogleich.

[12]

Vgl. BFH BStBl 80, 526.

[13]

Vgl. BFH BStBl 80, 526.

[14]

BFH BStBl 91, 284; BFH/NV 89, 139.

[15]

BFH BStBl 91, 284; BFH/NV 89, 139.

[16]

Klein AO § 35 Rn. 12.

[17]

Klein AO, § 35 Rn. 7.

[18]

Vgl. BFH BStBl 80, 526; BFH/NV 88, 275; 92, 76.

[19]

Im Einzelnen Klein AO § 35 Rn. 21 m.w.N.

[20]

Klein AO § 35 Rn. 20.

[21]

BFH/NV 87, 419; 86, 321.

[22]

Vgl. auch LG München NZWiSt 2014, 183, 188, was die Delegation der Compliance-Verantwortung innerhalb des Gesamtvorstands anbetrifft.

[23]

Vgl. LG München NZWiSt 2014, 183, 189.

[24]

BMF-Schreiben vom 23.5.2016, BStBl I S. 490 Ziff. 2.6.; AEAO Nr. 2.6 zu § 153.

[25]

Vgl. Joecks/Jäger/Randt/Joecks AO § 377 Rn. 66 m.w.N.

[26]

Vgl. Klein AO § 69 Rn. 107b.

[27]

Vgl. BFH BStBl 95, 278; 91, 284; BFH/NV 08, 1983; 96, 2.

[28]

BFH BStBl 95, 278 m.w.N.

[29]

Aufgrund AEAO Nr. 2.6 zu § 153; siehe hierzu sogleich Rn. 71.

[30]

Vgl. OLG München 23.9.2014 – 3 Ws 599/14 und 3 Ws 600/14; noch zweifelnd BGH GRUR 1982, 244, 247.

[31]

Vgl. LG München NZWiSt 2014, 183, 189.

[32]

Vgl. zu den Begrifflichkeiten BGH 9.5.2017 – 1 StR 265/16; AEAO Nr. 2.6 zu § 153; Hammerl/Hiller NWB Nr. 46 vom 14.11.2016, S. 3448, 3449; Welling IWB Nr. 17 vom 16.9.2016, S. 630, 634; Neuling DStR 2016, 1652, 1657; Hilsebein CB 2016, 472 f.; Karla/Geier CB 2016, 474, 477 m.w.N.

[33]

Vgl. zum aktuellen Stand: LG München NZWiSt 2014, 183, 187 (mit hierauf eingehender Anm. von Rathgeber); Hilsebein CB 2016, 472, 473; Creed/Link BB 2016, 983, 986 m.w.N.; Hoffmann/Schieffer NZG 2017, 401, 403; Schneider NZG 2009, 1321, 1322 f.

[34]

Aichberger/Schwartz DStR 2015, 1691, 1696 m.w.N.; dies. DStR 2015, 1758, 1762.

[35]

BGH 9.5.2017 – 1 StR 265/16; hiernach kann auch eine Rolle spielen, wie das Unternehmen nach Aufdeckung eines Regelverstoßes reagiert und ob es in der Folge die Compliance-Regelungen optimiert und seine betriebsinterne Abläufe so gestaltet, dass vergleichbare Regelverstöße zukünftig jedenfalls deutlich erschwert werden. Vor diesem Hintergrund kann bei einem bewussten Unterlassen eines solchen Compliance-Managements im Extremfall auch eine strafrechtliche Haftung der Geschäftsleitung nach § 266 StGB in Betracht kommen.

[36]

AEAO Nr. 2.6 zu § 153. Das Fehlen eines solchen innerbetrieblichen Kontrollsystems lässt für den Steuerpflichtigen diese positive Indizwirkung entfallen, soll aber darüber hinaus keine negative Indizwirkung in Richtung Vorsatz oder Leichtfertigkeit begründen, d.h. für den Steuerpflichtigen würde dies dann keine Verbesserung, aber auch keine Verschlechterung seiner Ausgangslage bedeuten (vgl. Neuling DStR 2016, 1652, 1657; Welling IWB Nr. 17 vom 16.9.2016, S. 630, 634). Inwieweit diese feine, aber wesentliche Differenzierung dem Druck der behördlichen Praxis auf Dauer standzuhalten vermag, bleibt abzuwarten.

Teil 1 Tax Compliance und Unternehmen › 4. Kapitel Einbettung von Tax Compliance in CMS, IKS, RMS, RFS und Compliance-Organisation

4. Kapitel Einbettung von Tax Compliance in CMS, IKS, RMS, RFS und Compliance-Organisation

Inhaltsverzeichnis

A. Einbettung von Tax Compliance in die Management- und Kontrollsysteme von Unternehmen – Einführung

B. Überblick über verschiedene Management- und Kontrollsysteme von Unternehmen

C. Compliance-Organisation

D. Instrumente des Compliance Managements und ihre Anwendbarkeit für das Tax Compliance Management

Teil 1 Tax Compliance und Unternehmen › 4. Kapitel Einbettung von Tax Compliance in CMS, IKS, RMS, RFS und Compliance-Organisation › A. Einbettung von Tax Compliance in die Management- und Kontrollsysteme von Unternehmen – Einführung

A. Einbettung von Tax Compliance in die Management- und Kontrollsysteme von Unternehmen – Einführung

1

Unternehmen sind unterschiedlichen internen und externen Herausforderungen (Chancen und Risiken) sowie externen Einflüssen, Anforderungen und Rahmenbedingungen, wie z.B. gesetzlichen Vorschriften und Richtlinien, ausgesetzt. Um diesen Anforderungen strukturiert zu begegnen, können sich Unternehmen verschiedener Arten von Management- und Kontrollsystemen bedienen. Hierunter fallen rechnungslegungsbezogene Systeme (wie z.B. das rechnungslegungsbezogene interne Kontrollsystem), produktionsbezogene Systeme (wie z.B. das Qualitätsmanagement- oder Umweltmanagementsystem) sowie organisationsübergreifende Systeme (wie z.B. das Risikomanagementsystem).

2

Zu den externen Anforderungen gehört auch die Pflicht zur Einhaltung der steuerlichen Vorschriften. Dieser externen Verpflichtung steht oftmals die interne Zielvorgabe der Optimierung der Steuerquote gegenüber. Um die interne Zielvorgabe in Einklang mit der externen Verpflichtung zu bringen, kann die Verwendung eines Tax Compliance Management Systems (Tax CMS) sinnvoll sein.

3

Nachfolgend werden unter Rn. 4 ff. zunächst verschiedene Management- und Kontrollsysteme von Unternehmen vorgestellt, ihre wechselseitige Interaktion erläutert und die dogmatische Einordnung des Tax Compliance Management Systems innerhalb dieser Systeme aufgezeigt. Daran anschließend wird ab Rn. 125 ff. in einem kurzen Überblick der mögliche Aufbau und die Struktur einer Compliance-Organisation dargestellt, um auf dieser Basis die organisatorische Eingliederung der Tax Compliance-Funktion in die Compliance-Organisation aufzuzeigen. Unter Rn. 146 ff. werden abschließend einige bedeutende Instrumente des Compliance-Managements vorgestellt und ihre Verwendung für bzw. ihre Einbeziehung in das Tax Compliance Management erläutert.

Teil 1 Tax Compliance und Unternehmen › 4. Kapitel Einbettung von Tax Compliance in CMS, IKS, RMS, RFS und Compliance-Organisation › B. Überblick über verschiedene Management- und Kontrollsysteme von Unternehmen

B. Überblick über verschiedene Management- und Kontrollsysteme von Unternehmen

I. Vorbemerkung

4

Im nun folgenden Abschnitt werden für die wesentlichen Management- und Kontrollsysteme von Unternehmen zunächst allgemein gültige Definitionen dargestellt, um darauf aufbauend die jeweilige Soll-Konzeption anhand bestehender Best-Practice-Standards aufzuzeigen. Dabei erfolgt die Darstellung von den generellen hin zu den spezifischen Management- bzw. Kontrollsystemen. Auf Basis dieser Erläuterungen erfolgt sodann die Einordnung des Tax CMS innerhalb der Management- und Kontrollsysteme.

II. Internes Kontrollsystem (IKS)

1. Vorbemerkung und Begriffsbestimmung

5

Unter einem internen Kontrollsystem (IKS) wird grundsätzlich ein Überwachungs- und Kontrollsystem verstanden, welches Bestandteil einer jeden Unternehmensorganisation sein sollte.[1] Der weltweit anerkannte Best-Practice-Standard für interne Kontrollsysteme COSO I[2] definiert das interne Kontrollsystem als durch die Unternehmensführung, das Management und die Mitarbeiter ausgeführte Prozesse, die eine hinreichende Sicherheit im Hinblick auf das Erreichen der Unternehmensziele Wirksamkeit und Wirtschaftlichkeit der operativen Geschäftstätigkeit, Ordnungsmäßigkeit und Verlässlichkeit der finanziellen und nicht-finanziellen Unternehmensberichterstattung sowie Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften gewährleisten sollen.[3] Die weiteren in der nationalen Literatur existierenden Beschreibungen und Definitionen des IKS lehnen sich weitgehend an COSO I an und geben folglich ein einheitliches Bild wieder. Beispielsweise definiert das Institut der Wirtschaftsprüfer (IDW)[4] in seinem Prüfungsstandard 261 n.F.[5] das interne Kontrollsystem als die vom Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen), die auf die organisatorische Umsetzung der Entscheidungen des Managements zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften gerichtet sind.[6]

6

Einer anderen Definition folgend wird das IKS als ein Teilsystem des Systems zur Überwachung einer Unternehmung gesehen, welches sämtliche Mechanismen für die Kontrolle enthält. Als Aufgaben des IKS werden demnach die Sicherung und der Schutz des vorhandenen Vermögens vor Verlusten, die Erstellung genauer, aussagefähiger und zeitnaher Aufzeichnungen, die Verbesserung des betrieblichen Wirkungsgrades durch Auswertung von Aufzeichnungen und die Unterstützung der innerbetrieblichen Durchsetzung der Geschäftspolitik definiert. Grundprinzipien des IKS stellen die Funktionstrennung, die Existenz angemessener organisatorischer Regelungen sowie automatische Kontrollen dar.[7]

7

Die dargelegten Definitionen zeigen, dass das IKS als ein Kontroll- und Überwachungssystem für sämtliche Funktionen und Bereiche des Unternehmens verstanden wird. Nachfolgend sollen der Aufbau und die Aufgaben eines internen Kontrollsystems anhand der Sollkonzepte COSO I und IDW PS 261 n.F. dargestellt werden.

2. Sollkonzept gem. COSO I: Internal Control – Integrated Framework

a) Hintergrund

8

Bei dem im September 1992 vom COSO[8] veröffentlichten Modell „Internal Control – Integrated Framework“ (COSO I) handelt es sich um das erste international anerkannte Rahmenwerk für interne Kontrollsysteme, das heute noch – in der aktualisierten Version aus Mai 2013 – ein Benchmark für interne Kontrollsysteme darstellt. Das Modell zeigt die Grundprinzipien und Elemente für interne Kontrollsysteme auf. Das Ziel von COSO I ist es, dem Management von Unternehmen ein Konzept an die Hand zu geben, mit dessen Hilfe sie ein effektives internes Kontrollsystem entwickeln und implementieren können.

b) Grundlagen und Prinzipien

9

Wie unter Rn. 5 ff. bereits beschrieben, definiert COSO I das interne Kontrollsystem als durch die Unternehmensführung, das Management und die Mitarbeiter ausgeführte Prozesse, die eine hinreichende Sicherheit im Hinblick auf das Erreichen der Unternehmensziele Wirksamkeit und Wirtschaftlichkeit der operativen Geschäftstätigkeit, Ordnungsmäßigkeit und Verlässlichkeit der finanziellen und nicht-finanziellen Unternehmensberichterstattung sowie Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften gewährleisten sollen. Damit ist die wesentliche Aufgabe des IKS sicherzustellen, dass die Unternehmensziele in den Bereichen operativer Betrieb, Berichterstattung und Compliance erreicht werden. Dabei handelt es sich bei dem IKS um Prozesse, die fortwährende Aufgaben und Tätigkeiten umfassen. Das IKS wird dabei maßgeblich durch die im Unternehmen tätigen Personen beeinflusst, welche die erforderlichen Aufgaben und Tätigkeiten ausüben. Damit handelt es sich beim IKS um mehr als Dokumentation (Richtlinien, Checklisten und Anweisungen) und automatisierte Kontrollen. Von hoher Bedeutung ist zudem das Verständnis, dass selbst ein wirksames IKS keine absolute Sicherheit, sondern lediglich eine hinreichende Sicherheit im Hinblick auf die Zielerreichung gewährleisten kann. Dabei ist das IKS flexibel abgrenzbar, d.h. es kann auf das Gesamtunternehmen oder einzelne Abteilungen, Funktionen oder Unternehmensprozesse ausgerichtet werden.[9]

c) Komponenten eines internen Kontrollsystems

10

Gem. COSO I sollte ein IKS aus fünf miteinander interagierenden Komponenten (bzw. Prozessen) bestehen. Dabei handelt es sich um die Elemente Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung.[10] Im Rahmenwerk werden zur Konkretisierung der fünf Komponenten 17 Grundprinzipien dargelegt, die bei der Umsetzung des Modells zu einem wirksamen internen Kontrollsystem führen sollen.[11]

11

Bei der Komponente Kontrollumfeld handelt es sich um die Grundeinstellungen, Verhaltensweisen und den Umgangston innerhalb eines Unternehmens. Diese sind von der Unternehmensleitung vorzugeben („tone from the top“) und vorzuleben (“tone at the top“). Das Kontrollumfeld hat einen maßgeblichen Einfluss auf das Kontrollbewusstsein innerhalb der Unternehmung – insbesondere der Mitarbeiter – und stellt damit zugleich die Basis für die anderen Komponenten des IKS dar. Wichtige Faktoren, die vom Kontrollumfeld umfasst werden und dieses beeinflussen, sind z.B. Integrität und ethische Werte, der Arbeits- und Führungsstil des Managements, die Art und Weise der Zuordnung von Aufgaben und Verantwortlichkeiten, die Kompetenz des Personals sowie das Setzen von Anreizen zur Stärkung des Verantwortungsgefühls der Mitarbeiter für ihre Aufgaben innerhalb des internen Kontrollsystems.[12]

12

Die hohe Bedeutung der zweiten Komponente, der Risikobeurteilung, resultiert aus dem Umstand, dass Unternehmen im Rahmen ihrer Geschäftstätigkeit einer Vielzahl von externen und internen Risiken ausgesetzt sind. Dabei liegt COSO I das Verständnis zugrunde, dass es sich bei Risiken um mögliche Ereignisse in der Zukunft handelt, welche das Erreichen der für die Kategorien operativer Betrieb, Berichterstattung und Compliance definierten Unternehmensziele negativ beeinflussen können. Daraus folgt, dass die Bestimmung der Unternehmensziele eine Voraussetzung für die Durchführung der Risikobeurteilung darstellt. Zudem ist die Kenntnis der Risikoneigung bzw. der Risikoeinstellung der Unternehmensleitung[13] für die Risikobeurteilung erforderlich. Auf Basis der definierten Ziele und der Risikoneigung der Unternehmensleitung umfasst die Risikobeurteilung die Identifizierung und Bewertung von Risiken, welche das Erreichen der definierten Ziele gefährden können. Erst die Kenntnis der bewerteten Risiken ermöglicht es der Unternehmensleitung und dem Management, die Risiken entsprechend ihrer Risikoneigung zu steuern. Bei der Risikobeurteilung handelt es sich nicht um eine einmalige Maßnahme, sondern um einen dynamischen, in einem definierten Turnus zu wiederholenden Prozess. Dabei sollten insbesondere die Auswirkungen von Änderungen der externen Rahmenbedingung (z.B. ökonomisches oder regulatorisches Umfeld) sowie des dem Unternehmen zugrunde liegenden Geschäftsmodells (z.B. neue Produkte bzw. Dienstleistungen oder neue Märkte) berücksichtigt und zu einer Anpassung der Beurteilung – ggf. auch außerplanmäßig (d.h. außerhalb des festgelegten Turnus) – führen.[14]

13

Die Kontrollaktivitäten, welche mittels Richtlinien und Verfahrensanweisungen im Unternehmen zu etablieren sind, sollen dafür sorgen, dass die Vorgaben der Unternehmensleitung und des Managements umgesetzt werden. Von besonderer Bedeutung ist dabei, dass die Kontrollaktivitäten auf allen Ebenen und in allen Funktionsbereichen des Unternehmens durchgeführt werden. Kontrollaktivitäten können einen präventiven oder einen aufdeckenden Charakter aufweisen und sowohl aus manuellen als auch aus automatisierten bzw. systemgesteuerten Maßnahmen bestehen. Beispiele für Kontrollaktivitäten sind Berechtigungskonzepte, Genehmigungsverfahren, Abstimmungsarbeiten oder die Analyse von Erfolgskennzahlen. Zudem stellt die Funktionstrennung ein Grundprinzip bei der Etablierung von Kontrollaktivitäten innerhalb eines IKS dar.[15]

14

Die Komponente Information und Kommunikation beinhaltet die Einholung, die Bereitstellung und das Teilen von Informationen. Die zeitgerechte Kommunikation relevanter Information an die zuständigen Personen ist erforderlich, damit die jeweiligen Verantwortlichkeiten innerhalb des IKS sachgerecht ausgeübt werden können. Daher ist es wichtig, dass die Informationsflüsse in sämtliche Richtungen innerhalb der Organisation funktionsfähig sind. Dabei können die für die Wirksamkeit des IKS benötigten Informationen sowohl aus internen als auch aus externen Quellen stammen.[16] Die Komponente Information und Kommunikation umfasst zudem die Erstellung von internen Berichten im Hinblick auf die Zielkategorien operativer Betrieb, Berichterstattung und Compliance sowie die Kommunikation mit externen Stakeholdern, wie beispielsweise Kunden, Lieferanten, Gesellschafter bzw. Aktionäre oder auch Gesetzgeber und Aufsichtsbehörden, über das IKS betreffende Sachverhalte.[17]

15

Die Aufgabe der fünften Komponente Überwachung ist es, die Qualität (Wirksamkeit und Wirtschaftlichkeit) des IKS zu überprüfen und zu bewerten. Dabei können die Überwachungstätigkeiten als laufende, in die Arbeitsprozesse der verschiedenen Ebenen und Funktionen der Unternehmung integrierte Maßnahmen, als separate, prozessunabhängige Überprüfungen oder als eine Kombination aus beiden Varianten erfolgen. Der Turnus der prozessunabhängigen Kontrollen sollte insbesondere von der Risikosituation des Unternehmens sowie der Effektivität der laufenden, prozessintegrierten Überwachungsmaßnahmen abhängen. Die Ergebnisse der Überwachungstätigkeiten sollten hinsichtlich Schwachstellen des IKS untersucht werden, die – sofern vorhanden – an das Management und die Unternehmensleitung kommuniziert werden müssen. Liegen Hinweise auf Schwächen des IKS vor, sind korrigierende Maßnahmen zu ergreifen.[18]

16

Um ein wirksames und wirtschaftliches IKS zu erhalten, ist gem. COSO I die Existenz und Funktionsfähigkeit sämtlicher fünf Komponenten erforderlich. Dabei ist jede Komponente grundsätzlich unabhängig; aufgrund der Vielzahl an Verflechtungen sollten sie jedoch als ganzheitliches, integriertes System zusammenwirken.[19] Die formale Ausgestaltung der Komponenten kann jedoch individuell in Abhängigkeit von Größe und Komplexität des Unternehmens oder der Art der Geschäftstätigkeit sehr unterschiedlich ausfallen.[20]