Tax Compliance

3. Sollkonzept gem. IDW Prüfungsstandard: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261 n.F.)

a) Hintergrund

17

Der durch den Hauptfachausschuss (HFA) des IDW in der Fassung vom 13.3.2013 verabschiedete IDW PS 261 zeigt primär die Berufsauffassung auf, nach der Wirtschaftsprüfer im Rahmen von Abschlussprüfungen Risiken wesentlicher falscher Angaben in der Rechnungslegung feststellen und beurteilen sowie angemessen darauf reagieren können.[21] In diesem Zusammenhang erläutert der Standard den Begriff und die Aufgaben des internen Kontrollsystems und legt zudem dar, wie ein internes Kontrollsystem ausgestaltet sein sollte.

b) Grundlagen und Prinzipien

18

Wie bereits vorstehend unter B.II.1. dargestellt, definiert der IDW PS 261 n.F. das interne Kontrollsystem als die vom Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen), die auf die organisatorische Umsetzung der Entscheidungen des Managements zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften gerichtet sind.[22]

19

Das IKS setzt sich dabei aus dem internen Steuerungs- und dem internen Überwachungssystem zusammen. Während mit internem Steuerungssystem die Regelungen zur Steuerung der Unternehmensaktivitäten bezeichnet werden, ist Aufgabe des internen Überwachungssystems die Überwachung der Einhaltung dieser Regelungen. Dabei umfasst das interne Überwachungssystem sowohl prozessintegrierte Überwachungsmaßnahmen, wie z.B. organisatorische Sicherungsmaßnahmen oder Kontrollen, als auch prozessunabhängige Überwachungsmaßnahmen.[23]

20

Unter organisatorischen Sicherungsmaßnahmen sind laufende, automatische Verfahren zu verstehen, die primär der Vermeidung bzw. Verhinderung von Fehlern dienen sollen. Zu diesem Zweck sind diese Maßnahmen in der Aufbau- und Ablauforganisation von Unternehmen zu etablieren. Beispiele für organisatorische Sicherungsmaßnahmen sind das Prinzip der Funktionstrennung, Zugriffsbeschränkungen bzw. ein Berechtigungskonzept im unternehmensweiten IT-System oder Zahlungsrichtlinien.[24]

21

Kontrollen sind Maßnahmen, die in den Arbeitsablauf integriert werden sollten und die Wahrscheinlichkeit für das Auftreten von Fehlern reduzieren bzw. aufgetretene Fehler aufdecken sollen. Bei Kontrollen kann es sich um manuelle Maßnahmen, wie beispielsweise der Überprüfung der Vollständigkeit und Richtigkeit von erhaltenen oder weitergegebenen Daten, Soll/Ist-Vergleichen oder um im IT-System programmierte, automatische Plausibilitätsprüfungen handeln.[25]

22

Prozessunabhängige Überwachungsmaßnahmen müssen durch prozessunabhängige Akteure, wie beispielsweise die Interne Revision, die Unternehmensleitung (sog. High-level controls) oder von der Unternehmensleitung beauftragte Dritte (z.B. Wirtschaftsprüfer), durchgeführt werden und dienen der Überprüfung und Beurteilung der eingerichteten Strukturen und Maßnahmen des IKS.[26]

c) Komponenten eines internen Kontrollsystems

23

Hinsichtlich des Aufbaus des IKS greift der IDW PS 261 n.F. auf die fünf Komponenten des COSO I-Modells Kontrollumfeld, Risikobeurteilungen, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung zurück.[27]

24

Das Kontrollumfeld ist der Rahmen für die Grundsätze, Verfahren und Maßnahmen des IKS und wird maßgeblich durch die Grundeinstellungen, das Problembewusstsein und das Verhalten des Managements geprägt. Dadurch, dass das Kontrollumfeld das Kontrollbewusstsein der Mitarbeiter von Unternehmen stark beeinflusst, stellt ein günstiges Kontrollumfeld die notwendige, jedoch nicht hinreichende Voraussetzung für die Wirksamkeit des internen Kontrollsystems dar.[28]

25

Da Unternehmen beispielsweise finanziellen, rechtlichen, leistungswirtschaftlichen oder strategischen Risiken ausgesetzt sind, die das Erreichen der Unternehmensziele gefährden können, sind Risikobeurteilungen durchzuführen. Dabei stellt die Identifizierung und Analyse der unternehmensspezifischen Risiken die Grundlage für den Umgang der Unternehmensleitung mit den Risiken dar.[29]

26

Unter Kontrollaktivitäten werden gem. IDW PS 261 n.F. die Grundsätze und Verfahren verstanden, welche die Durchsetzung der Entscheidungen des Managements sicherstellen sollen.[30]

27

Das Element Information und Kommunikation dient der Einholung, Aufbereitung und Weiterleitung der erforderlichen Informationen als Grundlage der unternehmerischen Entscheidungen sowie der Risikobeurteilung. Daneben wird die Information der Mitarbeiter über ihre Aufgaben und Verantwortlichkeiten innerhalb des IKS umfasst.[31]

28

Die Komponente Überwachung beinhaltet die Überprüfung und Beurteilung der Angemessenheit und Wirksamkeit des IKS. Zudem soll im Rahmen eines Verbesserungsprozesses die Abstellung festgestellter Schwächen des IKS sichergestellt werden.[32]

29

Hinsichtlich der konkreten Ausgestaltung des IKS sind u.a. die Größe und Komplexität des Unternehmens, die Rechtsform und Organisation des Unternehmens, die Art, Komplexität und Diversifikation der Geschäftstätigkeit des Unternehmens sowie die Art und der Umfang der zu beachtenden rechtlichen Vorschriften die maßgeblichen Einflussfaktoren. Je nach individuellen Gegebenheiten kann somit ein unterschiedlicher Grad der Formalisierung des IKS angemessen sein. Die Verantwortung für die konkrete Ausgestaltung liegt insoweit bei der Unternehmensleitung.[33]

4. Fazit

30

Es zeigt sich, dass es sich beim internen Kontrollsystem primär um Maßnahmen und Prozesse zur Sicherstellung des Erreichens der Unternehmensziele in den Bereichen operative Geschäftstätigkeit, Unternehmensberichterstattung und Compliance handelt. Die Darlegung der Sollkonzepte für den Aufbau eines IKS im COSO I-Rahmenwerk und im Prüfungsstandard IDW PS 261 n.F. zeigen, dass ein IKS aus den fünf Komponenten Kontrollumfeld, Risikobeurteilungen, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung bestehen sollte, welche je nach den individuellen Gegebenheiten des jeweiligen Unternehmens unterschiedlich stark ausgeprägt sein können.

III. Risikomanagementsystem (RMS)

1. Vorbemerkung und Begriffsbestimmung

31

Die Notwendigkeit für Risikomanagement ergibt sich aus dem Umstand, dass jeder unternehmerischen Betätigung aufgrund der Unsicherheit künftiger Entwicklungen sowohl Chancen als auch Risiken innewohnen.[34] Einer weiten Definition folgend, stellt das Risiko eine positive oder negative Abweichung vom Erwartungswert dar.[35] Enger gefasste Definitionen verstehen im Risiko lediglich die negative Abweichung. Risiko wird demnach als „Möglichkeit ungünstiger künftiger Entwicklungen“[36] oder als „Gefahr der Zielverfehlung bzw. Strategieverfehlung aufgrund von hindernden Ereignissen oder Handlungen“[37] definiert.

32

In der betriebswirtschaftlichen Literatur zeigt sich bei Betrachtung der existierenden Definitionen für die Begriffe Risikomanagement bzw. Risikomanagementsystem ein ziemlich einheitliches Bild. Demnach wird das Risikomanagement als Instrument für die Steuerung von Risiken verstanden, dessen Aufgabe in der Risikoerkennung, Risikoanalyse und Risikobewertung mit dem Ziel der Bewältigung von Risiken zur Sicherstellung der Unternehmensfortführung und der Erzeugung von Unternehmenswert liegt.[38] Das Institut der Wirtschaftsprüfer (IDW) definiert das Risikomanagement als die „Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung“[39].[40] Gem. dem COSO II-Modell[41] wird im Risikomanagement ein unternehmensweiter Prozess verstanden, der durch Personen sämtlicher Ebenen einer Organisation (Unternehmensleitung, Management und Mitarbeiter) ausgeführt wird. Das Risikomanagement soll im Rahmen der Bestimmung der Unternehmensstrategie angewendet werden. Dabei ist das Risikomanagement so zu konzipieren, dass mögliche Ereignisse, welche die Organisation beeinflussen können, erkannt und innerhalb des Risikoprofils der Organisation gesteuert werden, um eine hinreichende Sicherheit bezüglich des Erreichens der Ziele der Organisation zu gewährleisten.[42] Der ISO-Standard 31000[43] liefert eine weitere Definition des Begriffs Risikomanagement, wonach unter Risikomanagement koordinierte Handlungen zur Führung und Kontrolle von Organisationen im Hinblick auf Risiken verstanden werden.[44]

33

Basierend auf den vorgenannten Definitionen für den Begriff Risikomanagement wird unter dem Risikomanagementsystem eine Reihe von Komponenten verstanden, welche die Grundlagen und die organisatorischen Regelungen für die Entwicklung, die Implementierung, die Überwachung und die Verbesserung des Risikomanagements organisationsübergreifend abbilden.[45] Stellt Risikomanagement den Prozess im Umgang mit Risiken dar, so umfasst das Risikomanagementsystem die Organisationsstruktur und die Instrumente für die Durchführung des Risikomanagements.[46]

2. Sollkonzept gem. COSO II: Enterprise Risk Management – Integrated Framework

a) Hintergrund

34

Das im September 2004 vom COSO veröffentlichte Modell „Enterprise Risk Management – Integrated Framework“ (COSO II) war das erste international anerkannte Rahmenwerk für Risikomanagementsysteme, welches auch heute noch ein Benchmark für Risikomanagementsysteme ist. Das Rahmenwerk basiert auf dem vom COSO bereits 1992 veröffentlichten Rahmenwerk „Internal Control – Integrated Framework“ (COSO I), welches die Entwicklung und Implementierung von internen Kontrollsystemen zum Inhalt hat. Dabei wird jedoch in COSO II der Fokus erweitert und die Grundprinzipien und Elemente des Risikomanagements dargestellt. Ziel von COSO II ist es, dem Management von Unternehmen ein Konzept an die Hand zu geben, mit dessen Hilfe sie ein Risikomanagementsystem entwickeln und implementieren können, um die Risiken in ihrem Unternehmen zu identifizieren, zu bewerten und zu steuern. Zudem soll das Modell dabei helfen, ein bestehendes Risikomanagementsystem zu bewerten und zu verbessern.

b) Grundlagen und Prinzipien

35

Im Hinblick auf die Unternehmensziele, zu deren Erreichen das Risikomanagement einen Beitrag leisten soll, werden in COSO II die vier Kategorien Strategie, Betrieb, Reporting und Compliance definiert. Dabei umfasst die Kategorie Strategie die Festlegung übergeordneter Ziele. Die Kategorie Betrieb beinhaltet den wirksamen und wirtschaftlichen Gebrauch der vorhandenen Ressourcen im Rahmen des operativen Geschäftsbetriebs. Die Kategorie Reporting setzt als Ziel die Verlässlichkeit der Unternehmensberichterstattung, während die vierte Kategorie Compliance als Ziel die Einhaltung der anwendbaren Gesetze und regulatorischen Vorschriften versteht. Während das Erreichen der Ziele der Kategorien Reporting und Compliance originär in der Kontrolle des jeweiligen Unternehmens liegt, wirken auf das Erreichen der Ziele der Kategorien Strategie und Betrieb auch externe Faktoren bzw. Ereignisse ein. Daher kann das Risikomanagementsystem in Bezug auf diese Ziele dem Management lediglich zeitnah Informationen über das Ausmaß der Zielerreichung liefern.[47]

36

Das Erreichen der Ziele kann durch das Risikomanagementsystem auf vielfältige Weise unterstützt werden. Zunächst kann das RMS helfen, die Strategie und die Ziele des Unternehmens mit der Risikoneigung des Unternehmens in Einklang zu bringen. Daneben kann das Risikomanagement, insbesondere durch die Bereitstellung von Informationen über die Risiken, bei der Auswahl der richtigen Reaktion aus den Möglichkeiten Risikovermeidung, Risikoreduktion, Risikoteilung und Risikoakzeptanz, hilfreich sein. Des Weiteren kann das Risikomanagement, insbesondere im Hinblick auf die Vielzahl an zusammenhängenden Risiken denen ein Unternehmen ausgesetzt ist, durch die Identifizierung von möglichen Ereignissen und der Etablierung von Gegenmaßnahmen Überraschungen vermeiden und die damit verbundenen Kosten und Verluste reduzieren. Zudem kann die Betrachtung einer Vielzahl an möglichen Ereignissen auch die Identifizierung und Wahrnehmung von Chancen unterstützen. Darüber hinaus kann das Risikomanagement bei der Optimierung des Kapitaleinsatzes hilfreich sein, da das Management auf Basis der Informationen aus dem Risikomanagementprozess den gesamten Kapitalbedarf besser einschätzen und damit die Kapitalallokation effizienter gestalten kann.[48]

c) Komponenten eines Risikomanagementsystems

37

Gem. COSO II sollte ein RMS aus acht wechselseitig miteinander verknüpften Komponenten bestehen.[49] Dabei sind die Komponenten (Internes) Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung gem. COSO I bereits als Bestandteile des internen Kontrollsystems eingeführt worden. Im Rahmen von COSO II werden diese fünf Komponenten um die Komponenten Zielsetzung, Ereignisidentifikation und Risikosteuerung zum Risikomanagementsystem erweitert. Allerdings werden auch der Aufgabenbereich bzw. die Beschreibung der bereits für das IKS erforderlichen Komponenten im Rahmen des Risikomanagementsystems ausgeweitet.

38

Bei der Komponente internes Kontrollumfeld handelt es sich wie in Rn. 8 ff. beschrieben, um die Grundeinstellungen, Verhaltensweisen und den Umgangston innerhalb eines Unternehmens, welche von der Unternehmensleitung vorzugeben („tone from the top“) und vorzuleben (“tone at the top“) sind. Das Kontrollumfeld hat einen maßgeblichen Einfluss auf das Kontrollbewusstsein innerhalb der Unternehmung – insbesondere der Mitarbeiter – und stellt damit zugleich die Basis für die anderen Komponenten des IKS dar. Ergänzend stellt das interne Kontrollumfeld auch die Basis für den Umgang mit Risiken dar, in dem es die Risikoeinstellung bzw. -neigung und die Risikomanagementphilosophie der Unternehmensleitung wiedergibt.[50]

39

Die Komponente Zielsetzung soll gewährleisten, dass das Management einen Prozess zur Bestimmung von Unternehmenszielen, die mit der Unternehmensstrategie und der Risikoneigung abgestimmt sein sollen, implementiert hat. Die Bestimmung von Zielen ist die Basis für die Identifizierung von Risiken und Ereignissen, welche die Zielerreichung beeinträchtigen können.[51]

40

Gegenstand der Komponente Ereignisidentifikation ist die Identifizierung von internen und externen Ereignissen, welche das Erreichen der gesetzten Ziele beeinträchtigen können. Dabei ist zwischen Chancen und Risiken zu unterscheiden und sind Informationen über mögliche Chancen in den Strategie- bzw. Zielsetzungsprozess zurückzuleiten.[52]

41

Die Komponente Risikobeurteilung resultiert aus der Existenz externer und interner Risiken, denen Unternehmen im Rahmen ihrer Geschäftstätigkeit ausgesetzt sind und basiert auf den festgelegten Unternehmenszielen und der Kenntnis der Risikoneigung der Unternehmensleitung. Dabei umfasst die Risikobeurteilung die Identifizierung und Analyse von Risiken, die das Erreichen der definierten Ziele gefährden können, wobei die Analyse der Risiken die Betrachtung von Eintrittswahrscheinlichkeit und Auswirkungen beinhaltet. Auf Basis der Kenntnis der bewerteten Risiken kann das Management die Risiken entsprechend seiner Risikoneigung steuern.[53]

42

Die Komponente Risikosteuerung umfasst die Auswahl der Art und Intensität der Maßnahmen für die einzelnen Risiken auf Basis der Ergebnisse der Risikobeurteilung. Als Risikostrategien kommen die Risikovermeidung, die Risikoreduktion, die Risikoteilung oder die Risikoakzeptanz in Betracht. Im Hinblick auf die verschiedenen Risiken sollten die Strategie und die damit verbundenen Maßnahmen ausgewählt werden, die das jeweilige Risiko mit der Risikoneigung und Risikotragfähigkeit des Unternehmens am besten angleichen.[54]

43

Die Komponente Kontrollaktivitäten steht für die Implementierung von Richtlinien und Verfahrensabläufen im Unternehmen. Ziel der Kontrollaktivitäten im Rahmen des RMS ist es zu gewährleisten, dass die Maßnahmen zur Risikosteuerung wirksam umgesetzt werden. Zudem sollen sie dafür sorgen, dass die Vorgaben der Unternehmensleitung und des Managements umgesetzt werden. Der Implementierung von Kontrollaktivitäten auf allen Ebenen und in allen Funktionsbereichen des Unternehmens kommt dabei eine besondere Bedeutung zu. Kontrollaktivitäten können einen präventiven oder einen aufdeckenden Charakter aufweisen und sowohl aus manuellen als auch aus automatisierten bzw. systemgesteuerten Maßnahmen bestehen. Typische Beispiele für Kontrollaktivitäten sind Berechtigungskonzepte, Genehmigungsverfahren, Abstimmungsarbeiten oder die Analyse von Erfolgskennzahlen.[55]

44

Die Komponente Information und Kommunikation im Rahmen des RMS-Konzepts weist keine wesentlichen Unterschiede bzw. Ergänzungen im Vergleich zum IKS-Konzept auf. Das bedeutet, dass die Aufgabe der Komponente v.a. die Einholung, die Bereitstellung und das Teilen von Informationen ist. Da die zeitgerechte Kommunikation relevanter Information an die zuständigen Personen erforderlich ist, damit die jeweiligen Verantwortlichkeiten innerhalb des RMS sachgerecht ausgeübt werden können, ist es von hoher Bedeutung, dass die Informationsflüsse in sämtliche Richtungen innerhalb der Organisation funktionsfähig sind. Die für die Wirksamkeit des RMS benötigten Informationen können dabei sowohl aus internen als auch aus externen Quellen stammen.[56] Zudem ist die Erstellung von internen Berichten im Hinblick auf den operativen Betrieb, die Berichterstattung und Compliance sowie die Kommunikation mit externen Stakeholdern, wie beispielsweise Kunden, Lieferanten, Gesellschafter bzw. Aktionäre oder auch Gesetzgebern und Aufsichtsbehörden, über das RMS betreffende Sachverhalte wichtig.[57]

45

Die Komponente Überwachung umfasst die Überprüfung und Bewertung der Qualität (Wirksamkeit und Wirtschaftlichkeit) der Gesamtheit des RMS. Überwachungsaktivitäten können dabei als laufende, in die Arbeitsprozesse der verschiedenen Ebenen und Funktionen der Organisation integrierte Maßnahmen, als separate, prozessunabhängige Überprüfungen oder als eine Kombination aus beiden Varianten erfolgen. Sollten im Rahmen der Überwachungstätigkeiten Schwachstellen des RMS zum Vorschein treten, sind diese an das Management zu kommunizieren und Korrekturen vorzunehmen.[58]

46

Die Wirksamkeit und Wirtschaftlichkeit des RMS setzt gem. COSO II die Existenz und Funktionsfähigkeit sämtlicher acht Komponenten voraus. Dabei ist zwar jede Komponente grundsätzlich unabhängig; aufgrund der Vielzahl an Verflechtungen sollen sie jedoch als ganzheitliches, integriertes System zusammenwirken.[59] Je nach Größe und Komplexität der Organisation können die Komponenten unterschiedlich ausgeprägt sein. Für die Funktionsfähigkeit des unternehmensweiten Risikomanagements ist jedoch von Bedeutung, dass jede der Komponenten vorhanden und wirksam ist. Dabei ist das RMS sowohl auf die Gesamtorganisation als auch auf einzelne Geschäftsbereiche, Geschäftseinheiten oder Niederlassungen anwendbar.[60]

3. Sollkonzept gem. ISO 31000: Risk management – Principles and guidelines

a) Hintergrund

47

Der im Oktober 2009 veröffentlichte ISO-Standard 31000 stellt angesichts der multinationalen Zusammensetzung des Standardsetzers ISO[61] ein internationales Rahmenwerk für Risikomanagementsysteme dar. Ziel des ISO 31000 ist es, sämtlichen Arten von Organisationen als Benchmark für die Entwicklung, Implementierung, Aufrechterhaltung und Verbesserung von Risikomanagementsystemen zu dienen. Dabei ist der Standard als Top-down-Ansatz – von der allgemeinen Risikostrategie hin zu den konkreten Risikomanagementprozessen – konzipiert und stellt einen sehr allgemein gehaltenen Rahmen dar, der versucht, sämtlichen Arten von Organisationen ein Gerüst für das Risikomanagement an die Hand zu geben. Das Risikomanagement wird dabei in dem Standard als Führungsaufgabe verstanden. Maßgeblich für den Grad der Anwendung des Standards ist die Größe, Struktur, Art und Komplexität der jeweiligen Organisation.[62]