Название | Tax Compliance |
---|---|
Автор произведения | Markus Brinkmann |
Жанр | Языкознание |
Серия | C.F. Müller Wirtschaftsrecht |
Издательство | Языкознание |
Год выпуска | 0 |
isbn | 9783811447011 |
43
Die Komponente Kontrollaktivitäten steht für die Implementierung von Richtlinien und Verfahrensabläufen im Unternehmen. Ziel der Kontrollaktivitäten im Rahmen des RMS ist es zu gewährleisten, dass die Maßnahmen zur Risikosteuerung wirksam umgesetzt werden. Zudem sollen sie dafür sorgen, dass die Vorgaben der Unternehmensleitung und des Managements umgesetzt werden. Der Implementierung von Kontrollaktivitäten auf allen Ebenen und in allen Funktionsbereichen des Unternehmens kommt dabei eine besondere Bedeutung zu. Kontrollaktivitäten können einen präventiven oder einen aufdeckenden Charakter aufweisen und sowohl aus manuellen als auch aus automatisierten bzw. systemgesteuerten Maßnahmen bestehen. Typische Beispiele für Kontrollaktivitäten sind Berechtigungskonzepte, Genehmigungsverfahren, Abstimmungsarbeiten oder die Analyse von Erfolgskennzahlen.[55]
44
Die Komponente Information und Kommunikation im Rahmen des RMS-Konzepts weist keine wesentlichen Unterschiede bzw. Ergänzungen im Vergleich zum IKS-Konzept auf. Das bedeutet, dass die Aufgabe der Komponente v.a. die Einholung, die Bereitstellung und das Teilen von Informationen ist. Da die zeitgerechte Kommunikation relevanter Information an die zuständigen Personen erforderlich ist, damit die jeweiligen Verantwortlichkeiten innerhalb des RMS sachgerecht ausgeübt werden können, ist es von hoher Bedeutung, dass die Informationsflüsse in sämtliche Richtungen innerhalb der Organisation funktionsfähig sind. Die für die Wirksamkeit des RMS benötigten Informationen können dabei sowohl aus internen als auch aus externen Quellen stammen.[56] Zudem ist die Erstellung von internen Berichten im Hinblick auf den operativen Betrieb, die Berichterstattung und Compliance sowie die Kommunikation mit externen Stakeholdern, wie beispielsweise Kunden, Lieferanten, Gesellschafter bzw. Aktionäre oder auch Gesetzgebern und Aufsichtsbehörden, über das RMS betreffende Sachverhalte wichtig.[57]
45
Die Komponente Überwachung umfasst die Überprüfung und Bewertung der Qualität (Wirksamkeit und Wirtschaftlichkeit) der Gesamtheit des RMS. Überwachungsaktivitäten können dabei als laufende, in die Arbeitsprozesse der verschiedenen Ebenen und Funktionen der Organisation integrierte Maßnahmen, als separate, prozessunabhängige Überprüfungen oder als eine Kombination aus beiden Varianten erfolgen. Sollten im Rahmen der Überwachungstätigkeiten Schwachstellen des RMS zum Vorschein treten, sind diese an das Management zu kommunizieren und Korrekturen vorzunehmen.[58]
46
Die Wirksamkeit und Wirtschaftlichkeit des RMS setzt gem. COSO II die Existenz und Funktionsfähigkeit sämtlicher acht Komponenten voraus. Dabei ist zwar jede Komponente grundsätzlich unabhängig; aufgrund der Vielzahl an Verflechtungen sollen sie jedoch als ganzheitliches, integriertes System zusammenwirken.[59] Je nach Größe und Komplexität der Organisation können die Komponenten unterschiedlich ausgeprägt sein. Für die Funktionsfähigkeit des unternehmensweiten Risikomanagements ist jedoch von Bedeutung, dass jede der Komponenten vorhanden und wirksam ist. Dabei ist das RMS sowohl auf die Gesamtorganisation als auch auf einzelne Geschäftsbereiche, Geschäftseinheiten oder Niederlassungen anwendbar.[60]
a) Hintergrund
47
Der im Oktober 2009 veröffentlichte ISO-Standard 31000 stellt angesichts der multinationalen Zusammensetzung des Standardsetzers ISO[61] ein internationales Rahmenwerk für Risikomanagementsysteme dar. Ziel des ISO 31000 ist es, sämtlichen Arten von Organisationen als Benchmark für die Entwicklung, Implementierung, Aufrechterhaltung und Verbesserung von Risikomanagementsystemen zu dienen. Dabei ist der Standard als Top-down-Ansatz – von der allgemeinen Risikostrategie hin zu den konkreten Risikomanagementprozessen – konzipiert und stellt einen sehr allgemein gehaltenen Rahmen dar, der versucht, sämtlichen Arten von Organisationen ein Gerüst für das Risikomanagement an die Hand zu geben. Das Risikomanagement wird dabei in dem Standard als Führungsaufgabe verstanden. Maßgeblich für den Grad der Anwendung des Standards ist die Größe, Struktur, Art und Komplexität der jeweiligen Organisation.[62]
b) Grundlagen und Prinzipien
48
Wie unter Rn. 31 ff. dargestellt, wird unter einem Risikomanagementsystem eine Reihe von Komponenten bezeichnet, welche die Grundlagen und die organisatorischen Regelungen für die Entwicklung, die Implementierung, die Überwachung und die Verbesserung des Risikomanagements organisationsübergreifend abbilden.[63]
49
Die Grundvoraussetzung für die Etablierung und Aufrechterhaltung eines effektiven Risikomanagements ist ein starkes und nachhaltiges Bekenntnis des Managements. Zu diesem Zweck sollte das Management die Grundsätze des Risikomanagements definieren, vorgeben und durchsetzen. Dabei sind die Grundsätze des Risikomanagements insbesondere an der Unternehmenskultur zu orientieren. Zudem sollten die Ziele des Risikomanagements auf die operativen Unternehmensziele und die Unternehmensstrategie abgestimmt sein. Als Rahmenbedingungen für ein wirksames Risikomanagement sind zudem Zuständigkeiten und Verantwortlichkeiten durch das Management zuzuweisen und ausreichend Ressourcen für das Risikomanagement bereitzustellen.[64]
50
Für die Entwicklung und Implementierung eines Risikomanagementsystems in einer Organisation ist es erforderlich, zunächst die externen und internen Rahmenbedingungen zu erheben und zu verstehen. Die Analyse der externen Rahmenbedingungen sollte insbesondere das soziale und kulturelle, politische, rechtliche und regulatorische, finanzielle, technologische und das ökonomische Umfeld berücksichtigen. Zudem sollten die wesentlichen Treiber und Entwicklungen mit Einfluss auf die Unternehmensziele sowie die Beziehungen mit externen Stakeholdern und deren Sichtweisen und Werte bedacht werden. Die Analyse der internen Rahmenbedingungen sollte insbesondere die Leitungsstruktur, die organisatorische Struktur inkl. Funktionen und Verantwortlichkeiten, die Grundsätze und Ziele der Organisation sowie die implementierten Strategien zur Zielerreichung, die Unternehmenskultur, vorhandene Ressourcen und Know-how sowie das vorhandene Informationssystem und die implementierten Entscheidungswege bzw. -prozesse berücksichtigen.[65]
51
Basierend auf den aus der Umfeldanalyse gewonnenen Erkenntnissen hat das Management die Richtlinie für das Risikomanagement zu erstellen. Diese sollte die Ziele des Unternehmens innerhalb des Risikomanagements und das Bekenntnis zum Risikomanagement klar und deutlich darlegen. Gegenstand der Richtlinie sollten u.a. die Gründe für die Einrichtung eines Risikomanagements, die Zusammenhänge zwischen den Unternehmenszielen und -richtlinien sowie der Richtlinie für das Risikomanagement, die Zuständigkeiten und Verantwortlichkeiten innerhalb des Risikomanagements, das Bekenntnis zur Bereitstellung der erforderlichen Ressourcen und zur kontinuierlichen Überprüfung und Verbesserung der Risikogrundsätze und des Risikomanagementsystems sowie die Art und Weise, wie die Leistung des Risikomanagements bewertet und darüber berichtet wird, sein.[66]
52
Für die wirksame Implementierung und Aufrechterhaltung des Risikomanagementsystems ist zudem bedeutend, dass entsprechende Verantwortlichkeiten vergeben werden und die Risikoeigner bzw. Risikomanager über angemessene Autorität und Kompetenzen verfügen. Damit kommt der Bestimmung der geeigneten Personen als Risikoeigner bzw. Risikomanager eine entscheidende Bedeutung zu. Aber auch die Zuweisung von weiteren Verantwortlichkeiten für den Risikomanagementprozess an Personen anderer Funktionen und Ebenen der Organisation sind für die Wirksamkeit und Wirtschaftlichkeit der Kontrollen bedeutend.[67] Des Weiteren ist es für die Gewährleistung der Wirksamkeit des Risikomanagements