Risk, Governance & Compliance

Im Moment stellt sich für viele Verantwortliche die Frage, was im Bereich IKS, Risikomanagement und interne Revision denn wirklich gemacht werden muss.

Ausgangspunkt

Das BilMoG setzt die einschlägigen EU-Richtlinien um, die gemeinhin als EURO-SOX bezeichnet wurden. Jeder, der sich in diesem Thema etwas tummelt, weiß, dass SOX für die Unternehmen viel Arbeit und Aufwand bedeutet haben.

Andererseits wird uns immer wieder versichert, dass der Gesetzgeber den deutschen Unternehmen all das ersparen möchte. In Zeiten, in denen alles Bestreben in Richtung Entbürokratisierung und Entlastung der Wirtschaft gerichtet ist (zumindest vordergründig), wäre alles andere auch nicht besonders klug.

Andererseits hat die EU bei der Formulierung der Richtlinien natürlich gewisse Mindeststandards gesetzt, die die Mitgliedstaaten nicht "unterschreiten" dürfen. Der Grundgedanke der EU war dabei, Anlegervertrauen wiederherzustellen (wir erinnern uns, dass die Richtlinien lange vor der aktuellen Wirtschafts- und Finanzkrise verfasst wurden) und Transparenz für Anleger, Gläubiger und sonstige Stakeholders zu schaffen. Nicht zuletzt soll der europäische Raum auch im Wettbewerb um Anlegervertrauen den USA (mit ihrem Sarbanes-Oxley Act) und Asien (insbesondere Japan mit den unter "J-SOX" bekannten Vorschriften) nicht nachstehen.

Nachdem in den Teilen 1 und 2 dieser Reihe der Hintergrund des Internen Kontrollsystems ein wenig beleuchtet wurde, soll in diesem Teil die praktische Umsetzung beschrieben werden.

Jedes Unternehmen verfügt in irgendeiner Art und Weise über Kontrollstrukturen. Häufig sind diese aber nicht konzeptionell entworfen, dokumentiert und aufeinander abgestimmt. Als Beispiel sei genannt, dass in jedem auch noch so kleinen und informell organisierten Unternehmen klar ist, dass keine Rechnungen ohne vorherige Genehmigung bezahlt werden. Auch darf normalerweise niemand allein Überweisungen tätigen. Die zugehörigen Schritte sind oft unwirksam (was nützt eine Kontrolle des Überweisungsträgers, ohne die zugehörigen Belege zu kontrollieren?), nicht nachvollziehbar und stehen auch nicht immer in direktem Zusammenhang mit den wahren Risiken eines Prozesses.

Insofern muss die Einführung bzw. Strukturierung eines IKS immer das bestehende Kontrollumfeld einbeziehen und kritisch bewerten. Aber fangen wir vorne an:

Wir möchten Sie auf einen interessanten Artikel hinweisen, der sich mit der Frage befasst, ob die Kosten für die Bereitstellung von Daten gemäß § 147 Abgabenordnung, konkretisiert in den GDPdU, rückstellungsfähig sind oder nicht.

Schauen Sie hier!

Compliance im Bereich Steuern: Eine Aufgabe für die Steuerabteilung, den Steuerberater oder das Rechnungswesen. Grundsätzlich sicher richtig, aber schlussendlich auch ein Eigeninteresse der Geschäftsführung.

Während sich einzelne, wesentliche steuerliche Fragen gut greifen lassen und in den Diskussionen zwischen Unternehmen und Beratern eine intensive Betrachtung ermöglichen, entziehen sich durch Massentransaktionen gekennzeichnete Ergebnisse oft der näheren Begutachtung und überraschen dann zu einem späteren Zeitpunkt, wie beispielsweise bei der steuerlichen Außenprüfung.

Bei der Einführung des § 147 Abs. 6 der Abgabenordnung (hier) wurden keine besonderen Maßnahmen definiert, falls Steuerpflichtige den Verpflichtungen der GDPdU nicht nachkommt. Insofern konnten ausschließlich die bisherigen Sanktionen verhängt werden, von denen sicher die Schätzung am schwersten wiegt.

Mit dem Jahressteuergesetz 2009 haben im § 146 der Abgabenordnung die Absätze 2a und 2b Einzug gehalten. Diese ermöglichen dem Steuerpflichtigen unter bestimmten Bedingungen ab sofort eine Auslagerung/Outsourcing der elektronischen Buchführung und sonst erforderlichen Aufzeichnungen in Mitgliedstaaten der Europäischen Union bzw. in Drittstaaten, soweit diese bestimmte Vereinbarungen mit der Bundesrepublik Deutschland abgeschlossen haben. Im Grundsatz geht es natürlich um die Durchführbarkeit des Besteuerungsverfahrens und darum, Steuerpflichtige, die vom Recht der Auslagerung keinen Gebrauch machen, nicht zu benachteiligen.

In Teil 1 dieser Reihe haben wir die Elemente, die das IKS laut COSO ausmachen, ein wenig beleuchtet. Für die Umsetzung in der Praxis sind diese Elemente zu konkretisieren. Die einzelnen Elemente sind häufig zumindest teilweise nicht explizit, sondern eher implizit im IKS enthalten bzw. in die Organisation integriert.

Der folgende Beitrag stellt diese Elemente exemplarisch vor und zeigt die Beziehung zum COSO-Standard auf.

Das erste wesentliche Element ist das Kontrollumfeld. Hier werden wesentliche Voraussetzungen für eine Unternehmenskultur geschaffen, in der die Durchführung interner Kontrollen zur täglichen Arbeit gehören, ohne dass dadurch eine Atmosphäre des Mißtrauens geschaffen wird.

Im Zuge der Überlegung, welche Maßnahmen für die Compliance zu ergreifen sind, rückt zwangsläufig früher oder später der Aspekt des Business Continuity Management in den Fokus. Nicht nur einschlägige Anforderungen an die IT fordern dies (siehe beispielsweise hier), sondern es ist auch als risikokompensierende Maßnahme ein notwendiges Werkzeug. Der Autor dieses Beitrags stellt und beantwortet diese Frage:

Wie können externe Partner zum Erfolg des Risk- und Business Continuity Management in Ihrem Unternehmen beitragen?

Häufig stellt sich für Unternehmen die konkrete Frage, wie externe Berater sie bei der Einführung eines angemessenen Risk- und Business Continuity Management unterstützen können. In der Regel steht bei dieser Fragestellung immer der Kostenaspekt mit einem alles überragenden Gewicht im Vordergrund. Die aus einer externen Unterstützung resultierenden Vorteile werden demgegenüber in der Betrachtungsweise allzu häufig besonders stark und gerne vernachlässigt.

Das Interne Kontrollsystem – das unbekannte Wesen?

COSO (Committee of Sponsoring Organizations of the Treadway Commission) definiert – unsererseits etwas frei übersetzt – interne Kontrollen wie folgt (im Original hier):

Interne Kontrolle ist ein Prozess, der vom Aufsichtsorgan, dem Management oder anderem Personal einer Organisation durchgeführt oder veranlasst wird. Dieser Prozess soll mit hinreichender Sicherheit gewährleisten, dass die Ziele im Hinblick auf Effektivität und Effizienz des Geschäftsbetriebs, die Verlässlichkeit der Finanzberichterstattung und Einhaltung von anwendbaren Vorschriften und Gesetzen erreicht werden.

1. Interne Kontrolle ist ein Prozess. Sie ist ein Weg zum Ziel, nicht das Ziel selbst.
2. Interne Kontrolle ist nicht lediglich in Verfahrensanweisungen und Formularen dokumentiert. Interne Kontrolle wird von den Menschen jeder Hierarchieebene eines Unternehmens umgesetzt.
3. Interne Kontrolle kann der Organisation und dem Management hinreichende, aber nicht absolute Sicherheit geben.
4. Interne Kontrolle ist auf die Erreichung von Zielen in separaten, aber überlappenden Kategorien ausgerichtet.

In der heutigen Zeit ist das Internet aus der Arbeitswelt nicht mehr wegzudenken. Zugänge zum Netz der Netze sind allerorten verfügbar. Das technische Equipment wird in vielen Fällen direkt durch den Internet-Provider beim Abschluss eines Vertrages mit geliefert. Die Konfiguration gestaltet sich i.d.R. für den Endanwender recht einfach, da die meisten Geräte über nicht sehr viele Einstellungen verfügen. Oft wird dem Anwender durch die Aufschrift „Firewall enthalten“ suggeriert, dass er sich sicher fühlen kann und „Bösewichte“  im Internet nicht auf seinen PC gelangen können. Das mag für bestimme Angriffe gelten, aber eben nicht für alle Arten von Angriffen.

In diesem Artikel wollen wir auch nicht über Angriffsarten aus dem Internet oder derer Gefahren schreiben, sondern darauf hinweisen, dass ein Firewall nicht nur die Verbindung zum Netz herstellt, sondern die modernen dedizierten Systeme am Markt längst noch andere wichtige Aufgaben übernehmen, als nur den Zugang herzustellen.