Tax Compliance

2. Einbettung des Tax Compliance Management Systems

123

Das Tax CMS kann aufgrund seiner Ziele und Aufgaben sowie seines Aufbaus und Struktur (siehe hierzu die Ausführungen in den Rn. 74–103 ff.) als abgrenzbarer Teilbereich des CMS angesehen werden.[158] Sofern ein Unternehmen über ein CMS verfügt, sollte das Tax CMS daher in das CMS eingebettet werden. Dies bedeutet, dass die Komponenten des Tax CMS Bestandteil der Komponenten des CMS sein sollten. Konkret betrachtet sind beispielsweise die Ergebnisse der steuerlichen Risikoanalyse in die Risikoanalyse des CMS mitaufzunehmen bzw. das Tax Compliance-Programm in das umfassende Compliance-Programm zu integrieren. Daneben sind die Dokumente des Tax CMS (z.B. (Konzern)Steuerrichtlinie, operative Steuerrichtlinien oder Verfahrensanweisungen) mit den Dokumenten des CMS zu verknüpfen. Insbesondere sollte in der (Konzern)Steuerrichtlinie hinsichtlich der gewünschten Verhaltensweisen auf den im Rahmen des CMS etablierten Code of Conduct und seinen Regelungen verwiesen werden. Demgegenüber sollte im Code of Conduct und der CMS-Beschreibung Bezug auf das Tax-CMS und seine Dokumente und Regelungen genommen werden.

124

Existiert im Unternehmen kein CMS, so kann das Tax CMS „stand-alone“ implementiert werden. Es nimmt dann im Verhältnis zu den anderen Managementsystemen RMS, RFS und IKS die Stellung des CMS ein (siehe hierzu Rn. 115 ff.). Das bedeutet, dass das Tax CMS unterhalb des RMS, aber neben den Systemen IKS und RFS einzuordnen ist. Im Hinblick auf das Verhältnis zum RMS kann das Tax CMS als Element des RMS angesehen werden, da auch steuerliche Risiken innerhalb des RMS erfasst werden. Während jedoch das RMS selbst bzw. seine angemessene Einrichtung als Compliance-Risiko Gegenstand des CMS sind (siehe hierzu Rn. 115 ff.), ist eine solche Beziehung zum Tax CMS nicht gegeben, da dieses ausschließlich steuerliche Risiken umfasst.

Teil 1 Tax Compliance und Unternehmen › 4. Kapitel Einbettung von Tax Compliance in CMS, IKS, RMS, RFS und Compliance-Organisation › C. Compliance-Organisation

C. Compliance-Organisation

I. Einordnung

125

Nachdem in Rn. 4 ff. auf Basis der Darstellung der verschiedenen Management-und Kontrollsysteme IKS, RMS, RFS und CMS die dogmatische Einordnung des Tax CMS als Teilbereich des CMS erfolgte, soll nachfolgend der Aufbau und die Struktur einer Compliance-Organisation skizziert und die Einordnung der Tax Compliance-Funktion in selbige konkretisiert werden.

II. Aufbau und Struktur einer Compliance-Organisation

1. Compliance-Funktion – Verantwortlichkeiten im Rahmen des Beauftragten-Systems innerhalb eines Unternehmens

a) Unternehmensleitung

126

Aufgrund gesetzlicher und regulatorischer Vorschriften (§§ 93 Abs. 1, 76 Abs. 1 AktG, § 43 Abs. 1 GmbHG, Tz. 4.1.3 DCGK) ist die Einrichtung und Überwachung eines Compliance Management Systems als Leitungsaufgabe der Gesamtverantwortung der Unternehmensleitung zuzurechnen. Hinsichtlich der Ausgestaltung der Compliance-Organisation innerhalb dieser Organisationspflicht besteht für die Unternehmensleitung grundsätzlich ein weitreichendes Ermessen. Beispielsweise kann die Unternehmensleitung im Wege der sog. horizontalen Delegation insbesondere ein Compliance-Ressort bilden und die Ressort-Verantwortung auf einen bestimmten Vorstand bzw. Geschäftsführer übertragen. Dieser trägt dann die Hauptverantwortung für das Compliance Management System, während die Verantwortung der weiteren Mitglieder der Unternehmensleitung primär in der Überwachung der Tätigkeit des für das Ressort verantwortlichen Mitglieds der Unternehmensleitung liegt. Allerdings bleibt auch bei horizontaler Delegation die Gesamtverantwortung der Unternehmensleitung für rechtskonformes Verhalten des Unternehmens (und seiner Mitarbeiter) – verstanden als Umsetzungs- und nicht Erfolgsverantwortung – weiterhin bestehen.[159]

127

Mittels einer vertikalen Delegation kann die Unternehmensleitung einen oder mehrere Compliance-Beauftragte als operativ Handelnde innerhalb des Compliance-Ressorts installieren. Je nach Art und Struktur des jeweiligen Unternehmens – beispielsweise beeinflusst durch die Rechtsform, die Größe, die Komplexität, eine Börsennotierung oder dem Internationalisierungsgrad – kann die optimale Ausgestaltung des Beauftragen-Systems variieren. Beispielsweise ist die vertikale Delegation auf lediglich eine weitere Ebene (zentraler Compliance-Beauftragter) oder – bei größeren und komplexeren Unternehmen – auf zwei oder mehrere weitere Ebenen (zentraler Compliance-Beauftragter und dezentrale Compliance-Beauftragte) möglich. Auch die vertikale Delegation ändert nichts daran, dass die Gesamtverantwortung für die Regelkonformität des Unternehmens bei der Unternehmensleitung verbleibt.[160]

b) Zentraler Compliance-Beauftragter

128

Eine besonders bedeutende Rolle für das CMS kommt dem zentralen Compliance-Beauftragten (alternative Bezeichnungen: „Compliance Officer“ bzw. „Chief Compliance Officer“) zu. Der Compliance-Beauftragte trägt die Verantwortung für die Umsetzung der Entscheidungen der Unternehmensleitung im Hinblick auf das CMS, also insbesondere für die Implementierung, Dokumentation und Weiterentwicklung des Systems. Als Inhaber der zentralen Funktion innerhalb des CMS soll der Compliance-Beauftragte unternehmensweit für einheitliche Compliance-Standards sorgen. Zudem ist er der primäre Berater der Unternehmensleitung für alle Compliance-relevanten Fragestellungen und verantwortlich für die planmäßige und – soweit erforderlich – bedarfsbezogene (ad-hoc) Berichterstattung an die Unternehmensleitung. Des Weiteren trägt der Compliance-Beauftragte die Verantwortung für die Überwachung der unternehmensspezifischen Compliance und – jedoch delegierbar auf dezentrale Compliance-Beauftragte, Mitarbeiter der Rechtsabteilung oder externe Berater – für die Schulung und Information der Mitarbeiter. Darüber hinaus gehört es zu seinen Aufgaben, den Mitarbeitern des Unternehmens als Ansprechpartner für sämtliche Compliance-Fragen zur Verfügung zu stehen. Sofern im Unternehmen ein Hinweisgebersystem implementiert ist, sollte der Compliance-Beauftragte der Empfänger der Hinweise sein. Aus seiner internen Verantwortlichkeit für das CMS leitet sich ab, dass der zentrale Compliance-Beauftragte als erster Ansprechpartner des Unternehmens im Hinblick auf sämtliche Compliance-relevante Fragestellungen für externe Stellen, wie z.B. Aufsichts- oder Ermittlungsbehörden, Wirtschaftsprüfer oder Medien, dienen sollte. Hat das Unternehmen eine dritte Ebene im Beauftragten-System – die dezentralen Compliance-Beauftragten – installiert, soll er diese bei der Risikoanalyse und der Entwicklung adäquater Konzepte für die Compliance-Struktur und die Compliance-Aktivitäten unterstützen. Zudem gehört die Koordinierung und Bündelung der Berichte der dezentralen Compliance-Funktionen zu seinen Aufgaben.[161]

129

Das Kriterium der sachlichen Unabhängigkeit ist die zentrale Grundvoraussetzung für die effektive Ausübung der Funktion des Compliance-Beauftragten. Demzufolge sollten der Funktion des Compliance-Beauftragten keine operativen Aufgaben zugeordnet werden. Vielmehr bietet sich die Konzeption als eine – ggf. unmittelbar der Unternehmensleitung unterstellte – Stabsstelle an. Die Weisungsbefugnis der Unternehmensleitung – die sich aus der Leitungsverantwortung ergibt – steht der fachlichen Unabhängigkeit des Compliance-Beauftragten dabei nicht entgegen. Darüber hinaus sind für die effektive Ausübung der Tätigkeit des Compliance-Beauftragten das Recht auf unbegrenzte Auskunft und Dokumenteneinsicht sowie ein unbeschränkter Kommunikationszugang zu den Unternehmensbereichen und Mitarbeitern erforderlich.[162]

130

In Abhängigkeit von Größe oder Risikoprofil des jeweiligen Unternehmens findet sich in der Praxis oftmals die Übertragung der Funktion des zentralen Compliance-Beauftragten auf eine Person mit einer weiteren Funktion bzw. Aufgabe innerhalb des Unternehmens, anstelle der Etablierung einer vollen, eigenständigen Stelle. In der Unternehmenspraxis kann insbesondere eine Zuweisung der Compliance-Funktion auf Mitarbeiter der Bereiche Finanzen, Recht, Personal bzw. Interne Revision beobachtet werden. Wesentliches Argument für eine Delegation an den Bereich Finanzen ist die Tatsache, dass viele Aufgaben des Compliance Managements den Bereich Finanzen berühren, da die zugrunde liegenden Geschäftsvorfälle im Rechnungswesen abgebildet werden. Daher können Kontrollinstrumente des Rechnungswesens beispielsweise hilfreich bei der Aufdeckung von Gesetzesverstößen sein (z.B. Korruption, kartellrechtliche Compliance durch Preisabsprachen, Steuerhinterziehung u.a.). Zudem findet sich i.d.R. in jedem Unternehmen – unabhängig von seiner individuellen Größe – eine Finanzabteilung bzw. ein Rechnungswesen. Als Gegenargument kann angeführt werden, dass das rechtliche Know-how in der Finanzabteilung zumeist nur fachspezifisch (z.B. HGB, EStG) und nicht generalistisch ausgeprägt ist. Das vorhandene umfassende rechtliche Know-how ist wiederum Hauptargument für die Übertragung der Funktion des Compliance-Beauftragten auf Mitarbeiter der Rechtsabteilung. Der Rechtsabteilung wird fachlich die größte Nähe zum Thema Compliance zugesprochen. In der Praxis verfügen jedoch viele Unternehmen – zumeist größenbedingt – nicht über eine eigene Rechtsabteilung. Für eine Delegation der Compliance-Funktion an einen Mitarbeiter der Personalabteilung wird oftmals als wesentliches Argument angeführt, dass viele der Compliance-relevanten Fragestellungen direkt oder indirekt Personalfragen betreffen (z.B. Allgemeines Gleichbehandlungsgesetz, Arbeitsschutz oder Fortbildung/Schulung). Als bedeutendes Gegenargument ist jedoch die zumeist fehlende Kompetenz in den Bereichen Recht und Finanzen, welche wiederum eine große Schnittmenge mit den für den Bereich Compliance Management relevanten Themen aufweisen, zu nennen. Als Argumente gegen eine Delegation der Compliance-Funktion an den Bereich Interne Revision ist anzuführen, dass zum einen viele Unternehmen nicht über eine eigenständige Interne Revision verfügen und zum anderen die Interne Revision eine prozessunabhängige Kontrollinstanz darstellen sollte. Zu den Aufgaben der Internen Revision gehört daher typischerweise auch die Kontrolle der Wirksamkeit und Wirtschaftlichkeit des CMS im Rahmen des planmäßigen Überwachungsprozesses. Die vorstehenden Ausführungen verdeutlichen, dass die Übertragung bzw. Zuweisung der Funktion des Compliance-Beauftragten individuell in Abhängigkeit von den jeweiligen Gegebenheiten bzw. Strukturen der Unternehmen – insbesondere im Hinblick auf die vorhandenen Ressourcen und Kapazitäten – erfolgen sollte.[163]

131

Im Hinblick auf das persönliche Anforderungsprofil des Compliance-Beauftragten ist eine juristische Ausbildung grundsätzlich als vorteilhaft anzusehen, da die Compliance-Tätigkeit durch die Beschäftigung mit diversen Rechtsgebieten und -vorschriften gekennzeichnet ist. Darüber hinaus ist ein Verständnis für die Unternehmensprozesse und Unternehmensorganisation hilfreich. Als besonders bedeutende persönliche Eigenschaften eines Compliance-Beauftragten sind Integrität, Neutralität, Standfestigkeit sowie Kommunikations- und Konfliktfähigkeit hervorzuheben.[164]

c) Dezentrale Compliance-Beauftragte

132

Die dezentralen Compliance-Beauftragten sind als dem zentralen Compliance-Beauftragten im Beauftragten-System nachgelagerte Ebene typischerweise entweder in bereichsübergreifenden Funktionen oder in einzelnen operativen Bereichen angesiedelt. Die dezentralen Compliance-Beauftragten in übergreifenden Funktionen, wie z.B. Datenschutz oder Geldwäsche, weisen den Vorteil der Neutralität und des spezifischen Know-hows auf. Dem steht zumeist die fehlende Praxisnähe aufgrund fehlender Integration in die operativen Prozesse entgegen. Die in den Fachbereichen positionierten dezentralen Compliance-Beauftragten weisen die Vorteile der Integration in die operativen Abläufe und des unmittelbaren Informationszugangs auf. Dem stehen die möglicherweise eingeschränkte Objektivität und mögliche Interessenkonflikte als potentielle Nachteile gegenüber. Trotz dem Umstand, dass die dezentralen Compliance-Beauftragten ihre Rolle innerhalb der Compliance-Organisation oftmals als Nebenaufgabe ausüben, erscheint eine disziplinarische Einstufung unterhalb des zentralen Compliance-Beauftragten sinnvoll. Für den Fall der disziplinarischen Einstufung unterhalb des jeweiligen operativen Bereichsleiters, sollte zumindest eine direkte Berichtslinie zum zentralen Compliance-Beauftragten implementiert werden. Die Wahl der Struktur des Beauftragten-Systems sollte sich grundsätzlich an dem Compliance-Risikoprofil der Funktionen, Prozesse und Betriebsteile des jeweiligen Unternehmens orientieren.[165]

133

Die wesentliche Aufgabe der dezentralen Compliance-Beauftragten stellt die Analyse der Aufbau- und Ablauforganisation innerhalb ihres Bereichs im Hinblick auf die rechtlichen Rahmenbedingungen dar. Aufbauend auf der Identifizierung der einschlägigen rechtlichen Vorgaben und Gefährdungspotenziale soll die Implementierung eines adäquaten, bereichsbezogenen Compliance-Programms erfolgen. Die dezentralen Compliance-Beauftragten sollen ihre Aktivitäten, bestehende Compliance-Probleme und die Reaktion hierauf dokumentieren und an den zentralen Compliance-Beauftragten berichten.[166]

134

Hinsichtlich der erforderlichen persönlichen Eigenschaften der dezentralen Compliance-Beauftragten gelten die in den vorangehenden Rn. 128 ff. gemachten Aussagen zum zentralen Compliance-Beauftragten. Demzufolge ist insbesondere die Bedeutung der Eigenschaften Integrität sowie Kommunikations- und Konfliktfähigkeit hervorzuheben.[167]

2. Compliance-Funktion – Besonderheiten des Beauftragten-Systems im Konzern

a) Compliance-Verantwortlichkeiten im Konzern

135

Unter Rn. 126 ff. wurde die aus der Legalitätspflicht (kodifiziert in §§ 93 Abs. 1, 76 Abs. 1 AktG, § 43 Abs. 1 GmbHG) abgeleitete Verantwortung der Unternehmensleitung zur Etablierung einer Compliance-Organisation – unter Berücksichtigung des Risikoprofils und der Größe sowie Komplexität des Unternehmens – erläutert. Daraus abgeleitet, gilt auch innerhalb eines Konzerns mit rechtlich selbstständigen Unternehmen zunächst die Verantwortlichkeit der jeweiligen Geschäftsleitung der einzelnen Konzerngesellschaften. Bei Konzernen muss die Compliance-Organisation des Mutterunternehmens jedoch die nachgeordneten Unternehmen miteinbeziehen, da diese einen maßgeblichen Einfluss auf das Risikoprofil der Obergesellschaft haben können. Zudem ist die Verantwortlichkeit der Geschäftsleiter des Mutterunternehmens für die Konzern-Compliance explizit im DCGK geregelt. Demnach hat der Vorstand für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und auf deren Beachtung durch die Konzernunternehmen hinzuwirken. Im Hinblick auf die konkrete Ausgestaltung der Compliance-Organisation des Konzerns ist jedoch analog zum alleinstehenden Unternehmen davon auszugehen, dass ein Ermessensspielraum besteht. Ein wesentlicher Bestimmungsfaktor in Bezug auf den Grad der Einbeziehung von Konzerngesellschaften in die Konzern-Compliance stellt die jeweilige wirtschaftliche Bedeutung für den Konzern und dessen Risikoprofil dar. Des Weiteren ist die gesellschaftsrechtliche Einflussmöglichkeit ein weiterer Bestimmungsfaktor für den Grad der Einbeziehung.[168]

b) Struktur des Beauftragten-Systems im Konzern

136

Bei Vorliegen einer Konzernstruktur empfiehlt es sich, auf Ebene der Obergesellschaft einen zentralen Konzern-Compliance-Beauftragten (Group Compliance Officer) und auf Ebene der Tochtergesellschaften jeweils einen dezentralen Compliance-Beauftragten (Compliance Officer) zu etablieren. Wesentliche Aufgaben des Group Compliance Officer sind insbesondere die Vereinheitlichung und Fortentwicklung des konzernweiten CMS, die Koordinierung der Aktivitäten der Compliance Officer der Tochtergesellschaften und die Auswertung der Compliance-Berichte der Tochtergesellschaften sowie deren Aggregation zu einem konzernweiten Compliance-Bericht. Aufgaben der Compliance Officer der Tochtergesellschaften sind insbesondere die Unterstützung des Group Compliance Officer bei der Fortentwicklung des konzernweiten CMS sowie die Bereitstellung von Informationen aus den Tochtergesellschaften. Darüber hinaus tragen sie die Verantwortung für die Compliance-Aktivitäten in den nachgeordneten Konzerngesellschaften.[169]

3. Organisatorische Eingliederung der Compliance-Funktion bzw. Compliance-Abteilung im Unternehmen

a) Vorbemerkung

137

In der Unternehmenspraxis sind verschiedene Varianten hinsichtlich der organisatorischen Einordnung der Compliance-Funktion bzw. der Compliance-Abteilung zu beobachten. Dabei ist zu berücksichtigen, dass die optimale Ausgestaltung von den individuellen Rahmenbedingungen des jeweiligen Unternehmens abhängt.[170] Da die größtmögliche Unabhängigkeit der Compliance-Funktion für die Effektivität des Compliance Managements besonders bedeutend ist, sollte die Gewährleistung der Unabhängigkeit im Rahmen der Implementierung eines CMS und der damit einhergehenden hierarchischen Integration der Compliance-Funktion in die Unternehmensorganisation beachtet werden.[171]

138

Im Folgenden wird ein kompakter Überblick über die in der Unternehmenspraxis am häufigsten vorzufindenden Organisationsmodelle gegeben.

b) Compliance-Funktion als Stabsstelle

139

Ein weit verbreitetes Modell etabliert die Compliance-Funktion als Stabsstelle, welche unmittelbar der Unternehmensleitung zugeordnet und berichtspflichtig ist. Die wesentlichen Vorteile dieser Variante sind die Unabhängigkeit der Compliance-Funktion und die durch die Nähe zur Unternehmensleitung dokumentierte Betonung der hohen Bedeutung des Compliance Managements.[172]

140

In einer Variante des vorgenannten Modells wird die Compliance-Funktion unmittelbar dem Vorsitzenden der Unternehmensleitung zugeordnet. Dies führt zu einer noch stärkeren Hervorhebung der Bedeutung des Compliance Managements und der Compliance-Funktion.[173]

c) Compliance-Funktion als Teil des Risikomanagements

141

In einer weiteren Variante wird Compliance Management organisatorisch dem Risikomanagement zugewiesen. Dies hat zur Folge, dass der zentrale Compliance-Beauftragte dem Leiter des Risikomanagements unterstellt ist und folglich an diesen zu berichten hat. Demzufolge wird die Compliance-Funktion als Teilbereich des Risikomanagements verstanden. Ein bedeutendes Argument gegen diese Variante ist, dass Gegenstand der Compliance-Überwachung der Rechtskonformität von Unternehmen – und damit Gegenstand des Compliance Managements – auch die Prüfung der Existenz eines adäquaten Risikomanagementsystems, zumindest aber eines sachgerechten Risikofrüherkennungssystems i.S.d. § 91 Abs. 2 AktG, ist. Die organisatorische Integration der Compliance-Funktion in das Risikomanagement würde jedoch dazu führen, dass die Compliance-Funktion ein Bestandteil eines von ihr zu überwachenden Bereiches wird. Dadurch würde jedoch die erforderliche Unabhängigkeit der Compliance-Funktion wesentlich beeinträchtigt.[174]

d) Compliance-Funktion als Teil der Rechtsabteilung

142

Eine weitere, oftmals anzutreffende Variante ist die Einordnung des zentralen Compliance-Beauftragten unterhalb des Leiters der Rechtsabteilung oder die Zuweisung der Compliance-Funktion an den Leiter der Rechtsabteilung selber. Aufgrund der primären Aufgabenstellung des Compliance Managements – der Gewährleistung der Einhaltung von Gesetzen und internen Regeln – und des damit verbundenen juristisch geprägten Tätigkeitsschwerpunktes ist diese Variante in der Unternehmenspraxis weit verbreitet. Bei Unternehmen mittlerer Größe bietet sich daher die organisatorische Zusammenfassung der Funktionen Recht und Compliance an.[175]