Embed Size (px)
Citation preview
In dieser Ausgabe finden Sie Beiträge aus den Bereichen: Compliancepraxis | Tax-Compliance-Management-System | CSR & Compliancepraxis |
IT-Sicherheit & Praxis | DICO-Kolumne
Ausgabe 4 /Dezember 2019www.compliancebusiness-magazin.de
2 // 2 // Inhalt und Editorial
Liebe Leserin, lieber Leser,wenn Sie immer schon einmal (zehn) gute Grün-de für ein funktionierendes Compliancemanage-mentsystem zusammenstellen wollten, dann können Sie sich das jetzt sparen. Christina Sont-heim-Leven und Dr. André Szesny haben das für Sie getan. Mehr noch: Von Daniela Koch, Christian Gräser, Andreas Kowallik und Andreas Kirsch er-fahren Sie in dieser Ausgabe von ComplianceBusi-ness alles Wissenswerte zu Tax-CMS-Systemen.
Das Thema Nachhaltigkeit ist spätestens seit dem von EU-Kommissionspräsidentin Ursula von der Leyen propagierten „European Green Deal“ in das Zentrum des öffentlichen Interesses gerückt. Vor diesem Hintergrund kommt dem jetzt veröf-fentlichten Entwurf eines Merkblatts der BaFin zum Umgang mit Nachhaltigkeitsrisiken in Un-ternehmen eine besondere Bedeutung zu. Thilo Kasprowicz und Dr. Sebastian Rick ordnen ein, was daraus in der Praxis für die Rolle von Compliance folgt.
Gemeinsam mit meinen Kolleginnen Karin Gangl und Ayfer Ekingen wünsche ich Ihnen frohe Weih-nachten und alles Gute für das kommende Jahr 2020. Bleiben Sie uns gewogen.
Ihr
Thomas Wegerich
_Compliancepraxis 310 gute Gründe, warum sich ein funktionieren-des Compliancemanagementsystem lohnt!Von Christina Sontheim-Leven und Dr. André-M. Szesny, LL.M.
_Tax-Compliance-Management-System 6Hohes Risikopotential für Unternehmen„Ganzheitliche Tax-CMS-Systeme – Die ausgestreckte Hand des Fiskus zur Mini-mierung steuerlicher Risiken“?Von Daniela Koch, Christian Gräser, Andreas Kowallik und
Andreas Kirsch
_CSR & Compliancepraxis 11BaFin rückt Nachhaltigkeitsrisiken in den FokusNeue Aufgaben auch für Compliance? Von Thilo Kasprowicz und Dr. Sebastian Rick
_ IT-Sicherheit & Praxis 15Dauerbrenner IT-Sicherheit und CybercrimeIT-Sicherheit und Cybercrime bleiben ein The-ma, das wir so schnell nicht loswerdenVon Bodo Meseke und Lorenz Kuhlee
_ DICO-Kolumne 18Best Practices in der Praxis etablierenDICO legt ersten Compliancestandard für Ge-schäftspartner Compliance vorVon Sarah Arnold
Kontakte
Fachbeirat . . . . . . . . . . . . . . . . . . . . 20Ansprechpartner . . . . . . . . . . . . . . . 24
Partner, Kooperations partner und Impressum . . . . . . . . . . . . . . . . 25
Prof. Dr. Thomas WegerichHerausgeber ComplianceBusiness
Ausgabe 4 // Dezember 2019
3 // Compliancepraxis
10 gute Gründe, warum ein funktionierendes Comp-liancemanagementsystem sich lohnt!Von Christina Sontheim-Leven und Dr. André-M. Szesny, LL.M.
Ein wertegetriebenes Unternehmen ist ein „wert“-volles Unternehmen
Compliance stärkt den moralischen Kompass und die Mitarbeiterloyalität. Wer Compliance „von oben“ vorlebt und nach unten durchsetzt, wertet sein Unternehmen auf, schon allein dadurch, dass die Mitarbeiter einan-der gegenüber aufmerksamer sind und sich eine ge-wisse Gruppendisziplin entwickelt, unter der unterneh-mensschädigendes Verhalten viel seltener vorkommt. Nachhaltigkeitskomponenten, welche die „klassische“ Compliance flankieren, wie Arbeits- und Umweltschutz, die Achtung von Grundrechten und Sozialnormen („Cor-porate Social Responsibility“), stärken zudem den guten Ruf bei Kunden und Geschäftspartnern nochmals. Letz-tere sind inzwischen sogar gesetzlich gefordert (CSR-Richtlinie-Umsetzungsgesetz, BGBl. I 2017, S. 802 ff.). Und auch arbeitssuchende Talente schauen heutzutage nicht mehr nur auf die Benefits sondern auch darauf, wie der künftige Arbeitgeber mit Compliancethemen umgeht.
Die Complianceaktivitäten werden in den Unterneh-men deutlich ausgebaut.
© m
arch
mee
na29
/Thi
nkst
ock/
Get
ty Im
ages
Ausgabe 4 // Dezember 2019
4 // Compliancepraxis
Erfolgreich ist, wer kommuniziert
Ein Compliancemanagementsystem (CMS) berührt aus übergeordneten Gründen – Stärkung der Unternehmens-ethik, Haftungsvermeidung, allgemeine Achtung sozia-ler und rechtlicher Standards – sämtliche Teile der Firma. Es verknüpft unterschiedliche Unternehmensbereiche: Vom Einkauf über die Produktion und den Vertrieb bis hin zur Personalabteilung, der Buchhaltung, dem Con-trolling und der Rechtsabteilung – ganz zu schweigen von der Geschäftsleitungsebene. All diese Bereiche „zwingt“ ein CMS im Unternehmensalltag, sich überge-ordneten Aspekten zu stellen, in den Dialog miteinander zu gehen und sich aktiv aufeinander abzustimmen.
Nicht am falschen Ende sparen, vermeidet im Ergebnis Kosten
Ein CMS verhindert erhebliche Kosten. Der Spruch: „If you think compliance is expensive, try non-compliance“ trifft zu. Schon der Verdacht von Verstößen im Unternehmen etwa gegen Steuergesetze, Arbeitssicherungsvorgaben, Sozialabgabenabführungspflichten („Scheinselbstän-digkeit“) oder gar der Anschein möglicher Korruption oder Kartelle binden personelle und infrastrukturelle Ressourcen. Denn die Aufklärung der Verstöße und die anschließende Verfolgung von Schadensersatzansprü-chen nimmt Geld, Zeit und Nerven in Anspruch. Von den PR-Investitionen zur Reputationssicherung in solchen Fällen ganz zu schweigen …
CMS als interner Hygienefaktor verhindert Wertabfluss
Hinzu kommt, dass ein CMS nicht nur (mutmaßlich) un-ternehmensnütziges Verhalten (wie Kartelle oder Kor-ruption zur Auftragsgewinnung) verhindert, sondern auch unternehmensschädigende Taten wie den Griff in die Kasse (Untreue), die Unterschlagung von Betriebs-mitteln oder Betrug (Fraud). 4-Augen-Systeme, ein ge-zieltes Controlling und die Stärkung eines ethischen und loyalen Selbstverständnisses der Mitarbeiter gegenüber ihrem Arbeitgeber sind das richtige Mittel gegen unmit-telbar schädigendes Verhalten.
Compliance maximieren hilft, (persönliche) Haftung zu minimieren
Compliance mindert nicht nur finanzielle Einbußen, son-dern auch das Haftungsrisiko für Manager und die Firma. Denn wer als Geschäftsleiter kein CMS unterhält und op-timiert, dem drohen persönliche Haftung – wegen Auf-sichts- und Organisationspflichtverletzung (§ 130 OWiG), schlimmstenfalls auch Geld- und Freiheitsstrafe wegen unterlassenen Einschreitens gegen Straftaten Unter-gebener. Wer gegen den erkannten Betrug eines Ange-stellten als Vorgesetzter nicht einschreitet, kann sich als Unterlassungstäter desselben Betrugs strafbar machen (BGH, Urteil vom 17.07.2009 – 5 StR 394/98). Gemessen am Verschulden des Geschäftsleiters fällt dann auch die Unternehmenssanktionierung aus: Nicht nur der derzeit zirkulierte Entwurf eines Verbandssanktionengesetzes sieht Compliancemaßnahmen als sanktionsmildernd
vor, sondern auch schon jetzt proklamiert die BaFin: Wer ein Compliancemanagementsystem vorhält, wird milder bebußt. Rechtlich lässt sich dies an § 17 OWiG und der Rechtsprechung des Bundesgerichtshofs (BGH, Urteil vom 09.05.2017 – 1 StR 265/16) zur sanktionsmildern-den Wirkung von Compliancemanagementmaßnahmen festmachen.
Ein fehlendes CMS ist eine Pflichtverletzung, die teuer werden kann
Wer sich compliant verhält, reduziert schließlich auch die Gefahr einer zivilrechtlichen Inanspruchnahme: Man denke nur an den Vorstand N., der wegen Auslands-korruption auf Schadensersatz in Höhe von mehreren Millionen Euro verurteilt wurde – vom Schadensersatz erfasst waren nicht nur die Kosten, die durch die Nichtig-keit der korruptiv bemakelten Verträge entstanden sind, sondern auch die für die interne Ermittlung des Ent-wurfs entstandenen Beraterkosten (LG München I, Urteil vom 10.12.2013 – 5 HK O 1387/10).
Missstände effektiv zu managen, ist zielführender als nur noch hektisch reagieren zu können
Ein effektives CMS führt zu mehr Informationen über Missstände im Unternehmen und deren Kontrolle. Wer ein Whistleblowersystem einführt und eigenen Mit-arbeitern, gegebenenfalls auch Außenstehenden, die Möglichkeit gibt, sich zu beschweren, hat die Chan-
Ausgabe 4 // Dezember 2019
5 // CompliancepraxisAusgabe 4 // Dezember 2019
ce, Missstände frühzeitig zu erkennen, einzugreifen und abzustellen. Wer auf ein Hinweisgebersystem verzichtet, riskiert, dass sich der unzufriedene Arbeitnehmer an an-dere Stellen wendet – etwa die Presse oder Aufsichtsbe-hörden. Damit verliert das Unternehmen die Kontrolle über maßgebliche Informationen, deren Interpretation und die Möglichkeit, selbst gestaltend einzugreifen.
Vertrauen ist eine wichtige Währung im Geschäftsleben
Compliancemanagementsysteme schafften Vertrauen. Ist legales Handeln Grundlage der Geschäftstätigkeit, führt dies in den Augen von Kunden und Geschäfts-partnern zu hoher Vertrauenswürdigkeit und niedrigen Hemmschwellen, mit Ihnen Verträge einzugehen. Com-plianceverstöße, insbesondere wenn sie in öffentliche Register eingetragen werden müssen (z.B. das Vergabe-register) erschweren die Auftragserlangung gerade im öffentlichen Bereich.
Geringeres Risiko führt zu attraktiveren Konditionen
Ein funktionierendes und vertrauenswürdiges CMS führt unweigerlich zur Verminderung von Kosten- und Ausfallrisiken. Das wissen auch Fremdkapitalgeber und Versicherungsunternehmen: Zinsen und Prämien sind in der Regel umso günstiger, je effektiver und vollständiger Ihr Compliancemanagementsystem ist.
Compliance versus VUCA: 1:0
Und schließlich macht ein effektives Compliance- und Nachhaltigkeitskonzept die kompliziert gewordene VU-CA-Welt ein bisschen transparenter und besser. Es gibt dabei, wenn es ernstgemeint und auf das Unternehmen zugeschnitten ist, selbst bei den sich wandelnden An-forderungen des Wirtschaftslebens, die Stabilität und Leitlinien, die motivierte Mitarbeiter brauchen, um lang-fristig im Unternehmen zu bleiben und bestmöglich zu dessen Erfolg beizutragen.
Dr. André-M. Szesny LL.M., Partner, Heuking Kühn Lüer Wojtek
Christina Sontheim-Leven Chief Legal & Compliance Officer, Postcon Deutschland B.V. & Co. KG
6 // Tax-Compliance-Management-System
Hohes Risikopotential für Unternehmen„Ganzheitliche Tax-CMS-Systeme – Die ausgestreckte Hand des Fiskus zur Minimierung steuerlicher Risiken“?
Von Daniela Koch, Christian Gräser, Andreas Kowallik und Andreas Kirsch
Einleitung
„Das Steuerrecht ist so kompliziert und undurchschau-bar wie Nebel mit Sichtweite unter 50 m.“
(Heinrich List, Präsident des Bundesfinanzhofs von 1978 bis 1983)
Auch wenn dieses Zitat an die 40 Jahre alt ist, so ist es doch heute noch ebenso viel zitiert wie wahr. Mit mehr als 200 Gesetzen, fast 100.000 Verordnungen, verschie-denen Erhebungsformen, zahlreichen Ausnahmetatbe-ständen und häufigen Änderungen des Steuerrechts ist die Tax-Compliance ein sehr bedeutendes Risiko für Unternehmen. Hinzu kommt eine, in der jüngeren Vergangenheit verschärfte, Gangart der Finanzverwal-tung im Hinblick auf steuerstrafrechtliche Konsequen-zen bei Korrekturen und Prüfungen. Die ohnehin schon unübersichtliche, risikoreiche Gesamtsituation wird dadurch weiter verschärft, dass in der Praxis steuerre-levante Sachverhalte oft von Mitarbeitern bearbeitet werden, die sich der steuerlichen Implikationen nicht
© a
ndre
i_r/
Thin
ksto
ck/G
etty
Imag
es
Die Erwartungshaltung der Finanzämter geht bereits heute schon dahin, dass alle größeren Unternehmen auf den Anwendungserlass zum § 153 AO reagieren und dementsprechend ein Tax-CMS implementieren.
Ausgabe 4 // Dezember 2019
7 // Tax-Compliance-Management-System
bewusst sind. Konsequenzen kann dies sowohl für die Organe, welche einer persönlichen Strafverfolgung aus-gesetzt sein können, als auch für das Unternehmen in finanzieller (Sanktionen, Mehrsteuern, Kosten für die Aufarbeitung) und organisatorischer Hinsicht (Bindung interner Ressourcen) haben. Hinzu kommen die damit verbundenen Reputationsschäden.
Mit dem Anwendungserlass zu § 153 Abgabenordnung (AO) aus dem Jahr 2016 hat der Fiskus den Unterneh-men die Möglichkeit eingeräumt, durch den Nachweis der Einrichtung eines innerbetrieblichen steuerlichen Kontrollsystems (Tax-IKS), die strafrechtlichen Konse-quenzen von Verstößen zu vermeiden. Der vom Institut der Wirtschaftsprüfer (IDW) geschaffene Praxishinweis 1/2016 zur Ausgestaltung und Prüfung von Tax-Compli-
ance-Management-Systemen (Tax-CMS’), welcher den IDW Prüfungsstandard 980 „Grundsätze ordnungsmä-ßiger Prüfung von Compliance Management Systemen“ (IDW PS 980) ergänzt, hat die Anforderungen weiter konkretisiert und sich als gängige Blaupause zur Kon-zeptionierung von Tax-CMS’ etabliert. Zahlreiche Unter-nehmen haben in der Folge ein entsprechendes Tax-IKS bzw. Tax-CMS auf Grundlage des IDW PS 980 eingeführt und dieses einer Prüfung durch einen Wirtschaftsprüfer unterzogen.
Erkenntnisse aus den ersten Prüfungen
Die Autoren dieses Artikels haben in den vergangenen drei Jahren eine Vielzahl von Angemessenheitsprüfun-gen und einige Wirksamkeitsprüfungen von Tax-CMS` nach dem IDW PS 980 durchgeführt. Nach ihrer Erfah-rung ergeben sich die im Folgenden ausgeführten, ty-pischen Handlungsfelder, in denen bei vielen Unterneh-men noch Verbesserungspotential gegeben ist.
Starke Fokussierung auf die Steuerabteilung
Häufig existiert bei der Konzeptionierung eines Tax-CMS’ die Neigung der Steuerabteilung, sich mit den Risiken im eigenen engen Umfeld zu beschäftigen und hier eine Vielzahl von risikomitigierenden Maßnahmen einzuführen, so dass der Fokus fast ausschließlich auf den Kernprozessen der Steuerabteilung liegt. Dabei wird oftmals übersehen, dass in Unternehmen viele Prozesse, die ebenfalls steuerrelevant sind bzw. steuerliche Aus-wirkungen haben, außerhalb der Steuerabteilung an-gesiedelt sind und dass Tax-CMS’ dementsprechend
Ausgabe 4 // Dezember 2019
Ausgestaltung eines Tax-CMS nach IDW PS 980 i.V.m. Praxishinweis 1/2016
8 // Tax-Compliance-Management-SystemAusgabe 4 // Dezember 2019
nicht bei der Betrachtung der Steuerabteilung endet. Es ist zwingend notwendig, die relevanten Unternehmens-prozesse zu identifizieren, als Teil des Tax-CMS zu be-trachten, Schnittstellen und Verantwortlichkeiten über Abteilungsgrenzen hinweg zu definieren. In der Praxis haben sich dafür RACI-Matrizen (eine Technik zur Ana-lyse und Darstellung von Verantwortlichkeiten) als sinn-volles Hilfsmittel bewährt.
Klassische Bereiche außerhalb der Steuerabteilung, in denen steuerrelevante Entscheidungen getroffen wer-den, sind beispielsweise Buchhaltung (Ertragsteuer), Personalabteilung (Lohnsteuer) oder Einkauf und Ver-trieb (Umsatzsteuer). Gegenüber diesen Bereichen ist die Steuerabteilung in der Regel jedoch nicht weisungs-befugt, und ihr fehlt oft auch der direkte Einblick in ver-schiedene Prozesse. Die Steuerabteilung ist dann darauf angewiesen, dass die ihr zugelieferten Informationen korrekt sind, da enthaltene Fehler nur schwer nachträg-lich zu identifizieren und zu korrigieren sind.
Um Konflikte zwischen den verschiedenen Bereichen zu vermeiden, wird oftmals versucht, möglichst viele Kontrollmaßnahmen isoliert einzuziehen. Dies führt allerdings zum Teil dazu, dass die eigene Organisation überreglementiert ist, wohingegen an entscheidenden Stellen im Prozess entsprechende Maßnahmen und Kon-trollen fehlen oder zumindest nicht in die Betrachtung des Tax-CMS' einbezogen werden. Erfolgskritisch für das Tax-CMS ist es daher, entsprechende Maßnahmen und Kontrollen entlang der gesamten Prozesskette zu imple-mentieren und einen Informationsaustausch innerhalb der Steuerfunktion zu gewährleisten.
Verzahnung des Tax-CMS’ mit dem GRC-System
Im Hinblick auf das Tax-CMS lässt sich insbesondere in großen Unternehmensgruppen eine Entwicklung dahin-gehend feststellen, dass Steuerabteilungen zunehmend eigenständig und autark agieren. Das Tax-CMS sollte je-doch keine „Stand-alone-Lösung“ der Steuerabteilung/Steuerfunktion sein, sondern sinnvoll in das bestehen-de Governance-, Risk-&-Control(GRC)-System des Un-ternehmens eingebunden werden. Bei der Erarbeitung eines Konzepts für das Tax-CMS ist es empfehlenswert, sich am Aufbau des übergreifenden Compliancema-nagementsystems (CMS) zu orientieren, um die Syste-me von Beginn an zu verzahnen und Synergien (z.B. im Bereich Kommunikation oder Überwachung) zu nutzen. Grundsätzlich empfiehlt es sich hierbei, der Methodik des IDW PS 980 zu folgen.
(Tax-)Compliance-Kultur
Eine enge Verzahnung der Systeme stärkt die Compli-ancekultur sowie deren Verankerung und Akzeptanz im Unternehmen. Eine themenübergreifende Compliance bildet die Grundlage für beides, also das übergreifende wie auch das teilbereichsspezifische Compliancepro-gramm.
(Tax-)Compliance-Organisation und -Kommunikation
Gleiches gilt für den Bereich der Organisation und Kommunikation, denn unabhängig von der organisa-torischen Stellung des Tax-Compliance-Officers (TCOs) empfiehlt sich ein regelmäßiger Austausch zwischen
TCO und Chief-Compliance-Officer (CCO). Insbesondere eine „Dotted Line“ mit der Möglichkeit eines direkten Re-portings an den CCO sollte eingerichtet sein. Zusätzlich zur Kommunikation innerhalb der Steuerfunktion hilft die Nutzung der bewährten Kommunikationskanäle der Complianceorganisation dabei, der Tax-Compliance mehr Aufmerksamkeit innerhalb des Unternehmens zu verschaffen.
(Tax-)Compliance-Risiken
Die durchgeführten Prüfungen haben gezeigt, dass für das Tax-CMS oft ein eigener Ansatz zur Identifizierung, Bewertung und Priorisierung der steuerlichen Risiken verwendet wird. Grundsätzlich empfiehlt es sich auch hier, im Unternehmen eine einheitliche Methodik für das Risikomanagement zu verwenden. Warum sollten steu-erliche, operative oder rechnungslegungsbezogene Ri-siken unterschiedlich behandelt und bewertet werden? Ein ergänzender Kriterienkatalog steuerlicher Risiken kann genau wie ein regelmäßiger Austausch zwischen TCO und Risikomanagement durchaus Nutzen stiften.
Viele wesentliche Risiken für die fristgerechte und kor-rekte Abgabe von Steuererklärungen manifestieren sich außerhalb der Steuerabteilung, weswegen auf die dort bestehenden Kontrollen zurückgegriffen werden sollte (z.B. Daten aus dem Rechnungswesen, der Lohn-buchhaltung oder dem Einkauf). Wenn möglich sollte darauf verzichtet werden, zusätzliche Kontrollen zu im-plementieren, da dies häufig zu Mehr-/Doppelarbeit, Inkonsistenzen und somit einer schlechten Akzeptanz des Tax-CMS' führt. Die Überwachung der Prozesse
9 // Tax-Compliance-Management-SystemAusgabe 4 // Dezember 2019
ist essentiell, es gilt also, steuerrelevante Kontrollen zu markieren und den TCO über die Prüfungsergebnisse zu informieren.
Dokumentation des Tax-CMS’
Als kritisch erweist sich oftmals die genaue Dokumen-tation „bewährter gelebter Prozesse“. Bei eingespielten Abläufen, wird die schriftliche Festlegung nicht selten als unnötig erachtet. Eine Exkulpation kann im Ernstfall aber durch das Tax-CMS nur zum Tragen kommen, wenn die entsprechenden steuerlichen Sachverhalte sowie die tatsächliche Durchführung der Maßnahmen und Kontrollen anhand einer Dokumentation nachgewiesen werden können. Darüber hinaus empfiehlt es sich ins-besondere, in eine detaillierte Tax-CMS-Beschreibung zu investieren, da dieses Dokument die Grundlage der IDW- PS- 980-Prüfungen bildet.
Konzeption der Maßnahmen und Kontrollen
Häufig wird von Prüfern eine mangelnde Konkretisie-rung der Maßnahmen und Kontrollen bemängelt. Ist eine Kontrolle schlechthin nur als „Stichprobe“ beschrie-ben, kann ein unabhängiger Dritter weder die konkrete Ausgestaltung der Kontrolle noch deren risikomitigie-rende Wirkung nachvollziehen und im Zweifelsfall auch nicht feststellen, ob und wie die Kontrolle tatsächlich durchgeführt wurde. Kontrollaktivitäten und sonsti-ge Maßnahmen sollten möglichst klar und eindeutig beschrieben werden. Als Richtschnur können die klas-sischen W-Fragen (Wer macht was wann wie?) dienen. Vielfach werden auch Grundsätze und sonstige Maß-
nahmen (Bilanzierungsrichtlinie, Abschlussprüfer, Steu-erberater etc.) fälschlicherweise als Kontrollen bezeich-net. Kontrollen sind prozessgebundene Einrichtungen zur laufenden Überwachung und Regelung von Abläufen nach vorgegebenen Normen. Man unterscheidet hierbei nach prozessualen (z.B. 4-Augen-Prinzip, Checklisten), automatisierten (z.B. ein VAT-Validierungs-Tool) und auf-deckenden Kontrollen (z.B. Stichproben, Internal Audit).
Delegation der Verantwortlichkeit bzw. Kontrolltätig-keit auf externe Dritte
Immer wieder wird die Verantwortlichkeit bzw. Kontroll-tätigkeit auf externe Dritte delegiert. Beispiele sind hier Steuererklärungen, die von einem externen Steuerbera-ter erstellt werden, oder Informationen, die von einem Shared-Service-Center geliefert werden. Um das Risiko in angemessener Art und Weise zu mitigieren, ist es in der Praxis jedoch häufig notwendig, hier flankierende präventive Kontrollen und/oder Überwachungsmaß-nahmen zu installieren. Beispielsweise ist bei der Beauf-tragung von externen Gutachtern unbedingt darauf zu achten, die richtigen Daten zu übermitteln und die Er-gebnisse zu plausibilisieren.
Ungenügendes Überwachungskonzept
Ein systematisches Überwachungskonzept soll verhin-dern, dass das Tax-CMS veraltet oder zum nutzlosen Papiertiger verkommt. Definierte Ziele, Risiken und die entsprechenden Grundsätze, Kontrollen und sonstigen Maßnahmen müssen periodisch auf Aktualität, Ange-messenheit, Anwendbar- und Durchführbarkeit über-
prüft werden. Zusätzlich ist auf funktionsfähige Rah-menbedingungen wie Kultur oder Kommunikation zu achten. Die Fäden des Überwachungskonzepts sollten beim TCO zusammenlaufen, wobei dieser durchaus von anderen Stellen wie dem IKS, der Internen Revision oder der Complianceabteilung unterstützt werden kann und bei drohender Selbstprüfung extern unterstützt werden sollte.
Wie reagiert die Rechtsprechung?
Der BGH betont in einem Urteil vom 09.05.2017 (1 StR 265/16), dass der Ausgangspunkt für die Bemessung einer Geldbuße wegen Steuerhinterziehung gegen ein Unternehmen gemäß § 30 Gesetz über Ordnungswidrig-keiten (OWiG) das jeweilige Handeln oder Unterlassen seiner Vertreter sei. Für die Bemessung der Bußgeldhö-he sei zu berücksichtigen, inwieweit die Führung eines Unternehmens ihrer Pflicht genüge, Rechtsverletzungen zu unterbinden und zur Vermeidung von Rechtsverstö-ßen ein angemessenes und wirksames CMS installiert zu haben. Insoweit sei auch auf das „Nachtatverhalten“ im Sinne einer Einsicht in das festgestellte Unrecht ab-zustellen und zu berücksichtigen, ob das Unternehmen in der Folge eines Bußgeldverfahrens Regelungen op-timiert und interne Abläufe so umgestaltet habe, dass vergleichbare Normverletzungen zukünftig deutlich er-schwert würden.
Wie reagiert die Finanzverwaltung?
10 // Tax-Compliance-Management-SystemAusgabe 4 // Dezember 2019
In Deutschland sind für die Steuererhebung und die Be-triebsprüfung primär die Finanzämter der Bundesländer zuständig. Zum Tax-CMS existiert nur der Anwendungs-erlass zu § 153 AO aus dem Jahr 2016. Die Finanzämter agieren bis zum heutigen Zeitpunkt noch uneinheitlich. Einige Bundesländer fordern stets eine Tax-CMS-Doku-mentation zu Beginn einer neuen Betriebsprüfung an. Zwar erfolgt zurzeit noch keine flächendeckende Nut-zung und Auswertung der Tax CMS-Dokumentation durch die Finanzämter, allerdings dürfte der Trend da-hingehen, dass eine (geprüfte) Tax-CMS-Dokumentation die Form, die Dauer und den Inhalt einer Betriebsprü-fung beeinflussen wird. Der Blick nach Österreich be-stätigt diesen Trend – dort können Großunternehmen unter bestimmten Voraussetzungen beim Vorliegen ei-nes geprüften Steuerkontrollsystems von der regulären Betriebsprüfung jetzt weitgehend befreit werden und unterliegen stattdessen der sogenannten begleitenden Kontrolle. Die deutsche Finanzverwaltung befasst sich bereits mit dem österreichischen Kooperationsmodell und wird dessen praktische Erfahrungen nutzen, um die deutsche Betriebsprüfung zu modernisieren.
Ausblick
Nachdem viele Unternehmen in den vergangenen Jah-ren mit Unterstützung von Steuerberatern größere Projekte zur Implementierung von Tax-CMS’ durchge-führt haben, stehen diese nun vor der nächsten Stufe
der externen Evaluation. Bestimmte, bislang manuell ausgeführte Tätigkeiten werden in der Zukunft durch IT-Kontrollen ersetzt, um bei wachsenden Datenmengen weiterhin dem Risiko von Tax-Compliance-Verstößen in einer angemessenen Form begegnen zu können. Aus Prüfersicht haben der steigende Reifheitsgrad der Syste-me und deren zunehmende Integration in die jeweiligen Betriebsabläufe einen Anstieg in der Nachfrage nach Wirksamkeitsprüfungen zur Folge. Durch diese Form der Prüfung können sich Unternehmen die operative Wirk-samkeit ihrer Systeme beurteilen lassen.
Zusammenfassend lässt sich feststellen, dass die ausge-streckte Hand der Finanzverwaltung mit der Einführung des Anwendungserlasses zum § 153 AO von vielen deut-schen Unternehmen dankbar ergriffen wurde. Ganzheit-liche, die gesamte Steuerfunktion abdeckende Tax-CMS’ können hierbei als unterstützendes Element wirken. Sie können Unsicherheiten zwar nicht ausräumen, machen diese jedoch kontrollierbarer. Dies wird zukünftig wohl zur Folge haben, dass Betriebe, die kein Tax-CMS imple-mentiert haben, größere Diskussionen mit den Finanz-ämtern haben werden. De facto geht die Erwartungshal-tung der Finanzämter bereits heute schon dahin, dass alle größeren Unternehmen auf den Anwendungserlass zum § 153 AO reagieren und dementsprechend ein Tax-CMS implementieren, das ihr Kontrollumfeld für Steu-ern angemessen dokumentiert und kontinuierlich ver-bessert. Möglicherweise werden Finanzämter sich in Deutschland auch die Vorgehensweise der österreichi-schen Behörden genauer anschauen, die ein Tax-CMS als Voraussetzung eines vereinfachten Umgangs mit Steu-ersachverhalten sehen (z.B. zeitnahe Betriebsprüfung).
Andreas Kirsch Director Deloitte GmbH Wirtschaftsprüfungsgesellschaft, München
Andreas Kowallik Partner Deloitte GmbH Wirtschaftsprüfungsgesellschaft, München
Christian Gräser Director Deloitte GmbH Wirtschaftsprüfungsgesellschaft, Stuttgart
Daniela Koch Partnerin Deloitte GmbH Wirtschaftsprüfungsgesellschaft, Stuttgart
11 // CSR & Compliancepraxis
BaFin rückt Nachhaltigkeitsrisiken in den FokusNeue Aufgaben auch für Compliance?
Von Thilo Kasprowicz und Dr. Sebastian Rick
Einleitung
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 24.09.2019 den Entwurf eines Merkblatts zum Umgang mit Nachhaltigkeitsrisiken veröffentlicht. Sie prägt somit maßgeblich die anstehenden europäi-schen Entwicklungen zu neuen Regulierungsansätzen auf diesem Gebiet. Mit einer finalen Fassung wird noch in diesem Jahr gerechnet. Mit der Veröffentlichung äu-ßert die Aufsicht eine klare Erwartungshaltung an die von ihr direkt beaufsichtigten Unternehmen, einschließ-lich der Rolle von Compliance.
Die Diskussion über die Folgen von Industrialisierung und Bevölkerungswachstum steht aktuell im Zentrum des öffentlichen Interesses. Im Finanzsektor lässt sich ei-ne deutliche Steigerung der Nachfrage nach nachhalti-gen Produkten durch institutionelle und private Kunden feststellen. Die EU sieht den Finanzsektor als entschei-dendes Element bei der Umleitung von Finanzströmen zur Bekämpfung des Klimawandels. Insofern steht der Finanzsektor vor großen Chancen, aber auch vor Risiken. Vor allem Kreditinstitute, Versicherungsunternehmen und Kapitalverwaltungsgesellschaften sollen Nach-©
Rom
oloT
avan
i/Th
inks
tock
/Get
ty Im
ages
Zahlreiche Unternehmen positionieren sich als Vorrei-ter in Sachen Nachhaltigkeit und nutzen das Thema zur Markenbildung und positiven Außenwahrnehmung.
Ausgabe 4 // Dezember 2019
12 // CSR & CompliancepraxisAusgabe 4 // Dezember 2019
haltigkeitsrisiken identifizieren, bewerten und steuern sowie angemessen in ihrer Geschäfts- und Risikostrate-gie berücksichtigen.
Um die zunehmende Wirkung von Nachhaltigkeitsrisi-ken angemessen berücksichtigen zu können, muss eine Übersetzung in die etablierten Risikoarten wie Kredit-, Marktpreis- und Liquiditätsrisiken stattfinden. Die Ein-führung einer eigenständigen Risikoart „Nachhaltig-keitsrisiken“ hat die BaFin aufgrund der Tatsache, dass Nachhaltigkeitsrisiken auf alle bekannten Risikoarten wirken, nicht vorgenommen. Insgesamt erachtet die Aufsicht eine strategische Befassung mit dem Thema und eine entsprechende Umsetzung als erforderlich. Diesbezüglich verweist die BaFin auf die Gesamtverant-wortung der Geschäftsleitung, die eine den Risiken an-gemessene Geschäftsorganisation sicherzustellen hat und eine Vorbildfunktion wahrnehmen soll.
Unverbindlicher Charakter des Merkblatts
Die Behörde weist darauf hin, dass bestehende gesetz-liche Vorgaben, zum Beispiel zum Risikomanagement, weiterhin umgesetzt werden müssen. Das Merkblatt soll als eine sinnvolle Ergänzung der als Rundschreiben formulierten Mindestanforderungen an das Risikoma-nagement für Kreditinstitute, Versicherungsunterneh-men und Kapitalverwaltungsgesellschaften verstanden werden. Trotz des unverbindlichen Charakters ist zu erwarten, dass die Inhalte als Orientierung etwa in der aufsichtlichen Prüfungspraxis oder im Rahmen von Jah-resabschlussprüfungen herangezogen werden.
Insofern hat sich eine intensive Debatte über die Not-wendigkeit und Ausgestaltung eines Merkblatts in der Konsultationsphase, deren Frist formal am 03.11.2019 endete, entwickelt. Die Deutsche Kreditwirtschaft hat für den Bankensektor zum Beispiel grundlegende Kritik geäußert und begründet dies unter anderem mit schon bestehenden nationalen Vorgaben zum Risikomanage-ment, der Detailtiefe der Empfehlungen im Merkblatt sowie noch ausstehenden europäischen Vorgaben spe-ziell zu Nachhaltigkeitsrisiken.
Ungeachtet dessen ist damit zu rechnen, dass das Merk-blatt noch vor Jahresablauf in der finalen Fassung ver-öffentlicht wird. Diese wird verschiedene inhaltliche Schärfungen mit mehr Klarheit für den betroffenen An-wendungsbereich, eine deutlichere Betonung des Pro-portionalitätsgedankens sowie den Hinweis auf den rein illustrativen Charakter der im Merkblatt aufgeführten Beispiele für Handlungsoptionen bringen. Zwar wird er-wartet, dass die BaFin im Jahr 2020 noch keine Prüfungs-handlungen auf Basis des Merkblatts durchführt, jedoch einen internen Prüfungsplan für etwaige Maßnahmen zu Nachhaltigkeitsrisiken für das Jahr 2021 entwickelt. Zudem wird analog zu anderen Ländern über die Durch-führung eines Stresstests nachgedacht.
Orientierung und Sammlung von „Good Practices“
Das Merkblatt knüpft direkt an die in § 25a KWG, § 26 VAG, § 28 KAGB und § 80 WpHG genannten Anforderun-gen zum Risikomanagement an, wonach implizit auch Nachhaltigkeitsrisiken zu messen und zu steuern sind.
Die Ausführungen sollen laut BaFin dabei im Umgang mit Nachhaltigkeitsrisiken als Orientierung und Samm-lung von Good Practices dienen. Aufgezeigte Grundsätze und Prozesse sollen als sinnvolle Verfahrensweisen ver-standen werden und dadurch bei der Behandlung von Nachhaltigkeitsrisiken als Leitgedanken ohne Verpflich-tung zur Umsetzung aller dargestellten Aspekte heran-gezogen werden.
Das Merkblatt gilt für alle von der BaFin beaufsichtigten Unternehmen. Zu diesen zählen insbesondere Kreditin-stitute und Versicherungsunternehmen, Kapitalverwal-tungsgesellschaften und Finanzdienstleistungsinstitute, aber auch deren Niederlassungen im Ausland sowie im Inland ansässige Niederlassungen aus Drittstaaten. Hin-sichtlich der Kreditinstitute wird klargestellt, dass das Schreiben nicht für direkt von der Europäischen Zentral-bank (EZB) beaufsichtigte signifikante Institute gilt, die-se jedoch im eigenen Ermessen die Empfehlungen zur Orientierung nutzen können.
Langer Zeithorizont
Die Aufsicht stellt heraus, dass der bisweilen lange Zeit-horizont von Nachhaltigkeitsrisiken ihrer Ansicht nach insbesondere weniger komplexe Unternehmen vor große Herausforderungen stellt. Sie betont, dass diese Risiken aufgrund der häufig nicht vorhandenen histori-schen Datengrundlage, der vielen zu berücksichtigenden Faktoren und diverser Unsicherheiten über zukünftige Klima- und Politikszenarien mitunter schwer zu messen und zu steuern sind. Dies könnte es erforderlich ma-
13 // CSR & CompliancepraxisAusgabe 4 // Dezember 2019
chen, bisherige Strukturen anzupassen und möglicher-weise neue, innovative Methoden zur Steuerung von Nachhaltigkeitsrisiken zu entwickeln.
Letztlich sind die beaufsichtigten Unternehmen aufge-rufen, einen ihrem Risikoprofil angemessenen Ansatz im Umgang mit Nachhaltigkeitsrisiken zu entwickeln und umzusetzen. Die Fokussierung auf unter anderem Stresstests und Szenarioanalysen zeigt auf, dass die Ba-Fin zunächst an einer vor allem qualitativen Diskussion des Themas im Risikomanagement interessiert ist.
Risiken aus dem Klimawandel
Insbesondere aus dem Klimawandel entwickeln sich ak-tuell Risiken, die sich nach jüngsten Modellrechnungen weltweit auf bis zu 550 Billionen US-Dollar summieren. Neben Risiken aus dem Klimawandel betont die BaFin jedoch, dass auch andere Risiken aus Veränderungen von Umwelt, sozialem Umfeld und Unternehmensführung berücksichtigt werden, und führt Beispiele an, die ein Risiko in ähnlicher Höhe der Kosten des Klimawandels beinhalten und aus Sicht der BaFin systemrelevant sein können.
Entsprechend definiert die BaFin Nachhaltigkeitsrisiken als: „Ereignisse oder Bedingungen aus den Bereichen Umwelt, Soziales und Unternehmensführung, deren Eintreten tatsächlich oder potentiell erhebliche, negati-ve Auswirkungen auf die Vermögens-, Finanz- oder Er-tragslage sowie auf die Reputation eines Unternehmens
haben können; dies schließt klimabezogene Risiken in Form von physischen Risiken und Transitionsrisiken ein.“
Unter physischen Risiken versteht die BaFin die direkten und indirekten Folgen sowohl aus einzelnen Extremwet-terereignissen als auch aus langfristigen Veränderun-gen klimatischer und ökologischer Bedingungen. Diese können sich zum Beispiel bei Banken als Kreditrisiko bei einem Wertverlust von finanzierten Immobilien infolge einer Überschwemmung materialisieren. Zudem kön-nen physische Risiken potentiell dazu führen, dass Ver-ursacher von Umweltschäden oder Unternehmen, die Nachhaltigkeitsrisiken vernachlässigen, gerichtlich für die Folgen zur Verantwortung gezogen werden.
Transitionsrisiken sieht die BaFin in der Folge von An-passungsprozessen bei der Umstellung auf eine koh-lenstoffarme Wirtschaft und einer damit verbundenen Verdrängung kohlenstoffintensiver Technologien sowie der Verteuerung oder Verknappung fossiler Energieträ-ger, auch aufgrund politischer Initiativen. Beispielswei-se wäre aus Sicht des Finanzsektors darauf zu achten, wie die Automobilindustrie und deren Zulieferer auf die Entwicklung neuer Technologien im Rahmen der Abkehr vom Verbrennungsmotor reagieren.
Rolle von Compliance
Das BaFin-Merkblatt befasst sich neben Empfehlungen unter anderem zur Strategiediskussion, Geschäftsorga-nisation, Rolle der Geschäftsleitung, Risikoüberwachung, Auslagerungssteuerung und Verwendung externer Ra-
tings auch mit der Rolle der Compliancefunktion. Dieser soll die Überwachung der Implementierung wirksamer Verfahren zur Einhaltung gesetzlicher Anforderungen und sogar freiwillig angewendeter Standards in Bezug auf Nachhaltigkeit obliegen. Ferner soll sie Nachhal-tigkeitsrisiken bewerten, die in Form von Rechts- und Rechtsänderungsrisiken auftreten. Damit fasst die BaFin das Mandat der Compliancefunktion sehr weit.
Einzelne Empfehlungen sind im Entwurf jedoch bislang nicht konsistent mit einschlägigen aufsichtsrechtlichen Anforderungen formuliert. So wird sich die Compliance-funktion vor allem auf die Identifikation wesentlicher rechtlicher Regelungen und Vorgaben konzentrieren, deren Nichteinhaltung zu einer Gefährdung des Ver-mögens des Unternehmens führen kann, und insofern risikoorientiert vorgehen. Dennoch wird sie bei der Sich-tung relevanter Normen in Zukunft einen stetig größer werdenden Bereich von Regulierungen mit Blick auf Nachhaltigkeitsrisiken, die mit hoher politischer Priori-tät vorangetrieben werden, im Auge behalten müssen.
So wurde zum Beispiel am 08.03.2018 ein Aktionsplan zur Finanzierung nachhaltigen Wachstums veröffent-licht, der in zehn verschiedenen Maßnahmenpaketen eine Reihe auch von legislativen Maßnahmen vorsieht. Diese befassen sich unter anderem mit einer Taxonomie grüner Finanzierung, der Einführung von Standards für die Anlageberatung und die Berechnung von Indizes, der handelsrechtlichen Berichterstattung sowie diver-sen aufsichtlichen Aspekten der Risikoüberwachung. Auf europäischer Ebene wurden bei der Bankenregu-lierung bereits Anpassungen an der CRR und CRD
14 // CSR & Compliancepraxis
vorgenommen, und die EBA wurde mit weitreichenden Mandaten ausgestattet. Zudem beinhalten die im Ent-wurf befindlichen EBA-Leitlinien zur Kreditvergabe und -überwachung, die ab 30.06.2020 angewendet werden sollen, bereits konkrete Anforderungen zu Nachhaltig-keitsrisiken.
Fazit und Ausblick
Die Marktbereiche des Finanzsektors reagieren bereits seit langem auf das gestiegene Interesse institutionel-ler und privater Investoren. Zahlreiche Unternehmen positionieren sich als Vorreiter in Sachen Nachhaltigkeit und nutzen das Thema zur Markenbildung und positiven Außenwahrnehmung. Eine ganzheitliche Betrachtung sollte sämtliche Aspekte des Nachhaltigkeitsrisikoma-nagements abdecken, von der Geschäfts- und Risikostra-tegie über das relevante Kunden- und Produktportfolio sowie über Vertriebs-, Refinanzierungs- und Risikosteu-erungsprozesse bis hin zur internen und externen Be-richterstattung. Das BaFin-Merkblatt kann als ein natio-naler Vorbote weiterer zu erwartender Maßnahmen der Aufsichtsbehörden auf europäischer Ebene verstanden werden.
Bereits jetzt eröffnet die EZB bei den direkt durch sie be-aufsichtigten Banken den Dialog über deren Umgang mit klimabezogenen Risiken. Im am 06.12.2019 veröf-fentlichten Aktionsplan zu nachhaltigen Finanzierungen stellt die EBA dar, welche Aktivitäten sie in Bezug auf die Standardsetzung und Überwachung in diesem Bereich in den kommenden Jahren konkret plant. Zudem artiku-
liert sie schon eine Erwartungshaltung zur Integration von Nachhaltigkeitsrisiken in Strategien, Risikosteue-rung, Offenlegung und Stresstesting. Insofern ist es rat-sam, dass alle Unternehmen sich in Bezug auf die von der BaFin vorgeschlagenen Maßnahmen positionieren und eine entsprechende Befassung mit dem Merkblatt bereits im Jahr 2020 sicherstellen.
Dr. Sebastian Rick Senior Manager, Financial Services, KPMG, Frankfurt am Main
[email protected] www.kpmg.com
Thilo Kasprowicz Partner, Financial Services, KPMG, Frankfurt am Main
Ausgabe 4 // Dezember 2019
15 // IT-Sicherheit & Praxis
Dauerbrenner IT-Sicherheit und CybercrimeIT-Sicherheit und Cybercrime bleiben ein Thema, das wir so schnell nicht loswerden
Von Bodo Meseke und Lorenz Kuhlee
Das Risiko für Datenklau steigt rasant. Das belegen zahlreiche Umfragen und Studien weltweit, so auch die jüngste EY-Studie zum Thema „Datenklau: virtuelle Ge-fahr, reale Schäden“, für die 453 deutsche Unternehmen befragt wurden. Auch in absehbarer Zeit wird sich dar-an nichts ändern – im Gegenteil: Mit der zunehmenden globalen Digitalisierung und dem Einsatz neuer Techno-logien wird es auch immer mehr Cybercrimeaktivitäten geben. Unternehmen sollten lieber jetzt in geeignete Schutzmaßnahmen investieren als später Versäumnisse bereuen zu müssen.
Das Risiko für Datenklau wächst rasant
Angriffe aus dem Netz sind keine nebulöse Bedrohung, sondern eine reale Gefahr, hinter der zum Teil mächtige Organisationen stecken, die manchmal sogar staatlich unterstützt werden – Stichwort Cyberspionage. Im Dark-net zum Beispiel wird „Cybercrime as a Service“ ange-boten. Dort können die für den jeweiligen Zweck benö-tigten Angriffswerkzeuge gekauft oder ein kompletter Angriff als Dienstleistung erworben werden. Erschwe-rend kommt hinzu, dass viele Angriffe von den Unter-nehmen gar nicht, zu spät oder nur zufällig entdeckt
Die Unternehmen sollten lie-ber jetzt in geeignete Schutz-maßnahmen investieren, um Cybercrimeaktivitäten vorzu-beugen, als später Versäum-nisse bereuen zu müssen.
© m
etam
orw
orks
/Thi
nkst
ock/
Get
ty Im
ages
Ausgabe 4 // Dezember 2019
16 // IT-Sicherheit & PraxisAusgabe 4 // Dezember 2019
werden. Die Täter bleiben meist unerkannt und können weitere kriminelle Aktionen durchführen.
Die EY-Studie zum Thema Datenklau und Cyberangriffe hat ergeben, dass 44 Prozent der befragten Unterneh-men in den vergangenen Jahren ausspioniert wurden. Mehr als jede dritte Spionageattacke ging dabei von Hacktivisten aus — bei fast ebenso vielen Angriffen blie-ben die Täter unerkannt und der Fall unaufgeklärt. 97 Prozent der Studienteilnehmer erwarten für die Zukunft ihres jeweiligen Unternehmens eine steigende Gefahr durch Cyberangriffe oder Datenklau. Diese Zahlen ver-deutlichen, dass die Gefahr durch Cybercrime für Unter-nehmen durchaus real ist. Sie machen aber auch klar, dass Unternehmen zusätzliche Maßnahmen ergreifen müssen, um sich dauerhaft vor den Gefahren im und aus dem Netz zu schützen.
IT-Sicherheit und die Weiterentwicklung eigener IT-Infrastrukturen gehen Hand in Hand
IT-Sicherheit wird zunehmend zu einer Frage der stän-digen Weiterentwicklung der unternehmenseigenen IT-Strukturen. Mobiles Arbeiten, die Möglichkeiten von „Bring your own Device“ (BYOD) und etwa Heimarbeit sind nicht neu, stellen aber immer wieder neue Her-ausforderungen an die IT-Sicherheit und erfordern ent-sprechend aktualisierte Sicherheitsansätze. Insgesamt sorgen der Wandel unserer Arbeitswelt und ihre immer größere Virtualisierung dafür, dass klassische Verteidi-gungsstrategien ins Leere laufen.
Die Mehrheit der in der EY-Studie befragten Unterneh-men (90 Prozent) setzt weiterhin primär auf konventi-onelle Sicherheitsvorkehrungen – Antivirensoftware, Firewalls und Passwortschutz auf allen Geräten. Trotz-dem ist ein deutlicher Zuwachs bei der Investition in Intrusion-Prevention-/-Detection-Systeme zu verzeich-nen: Laut der jüngsten EY-Studie investiert jedes zweite Unternehmen in diese Systeme, während es im Jahr 2017 nur etwa 27 Prozent waren. Investitionen in diese Syste-me sind sinnvoll, um rechtzeitig Hinweise auf Cyberan-griffe zu erkennen und darauf reagieren zu können, denn Fakt ist, dass alle komplexen Systeme Sicherheitslücken haben und auch angegriffen werden (können).
Innovative Technologien wie Künstliche Intelligenz, Ma-chine Learning und andere eröffnen allerdings eine neue Front, an der Angreifer und Verteidiger aufeinanderpral-len: Wissen ist Macht, und das gilt im Bereich der IT ganz besonders, damit es zwischen den Parteien nicht zu ei-nem Kampf mit ungleichen Waffen kommt. Das heißt im Klartext: Die richtige Einrichtung und die permanente Justierung dieser neuen Technologien sind wesentliche Elemente für eine erfolgreiche Verteidigung der IT-Struk-turen und damit des eigenen Unternehmens.
Manche Unternehmen halten dennoch weiterhin an ih-rer „Wir-sind-doch-gut-aufgestellt“-Haltung fest: In der jüngsten EY-Befragung haben immerhin vier von fünf Unternehmen angegeben, dass sie sich vor Cyberangrif-fen oder Datenklau sicher fühlen – trotz der omnipräsen-ten Bedrohung. Diese Einstellung kann gefährlich sein, denn sie berücksichtigt nicht den fortlaufenden Prozess,
der notwendig ist, um IT-Sicherheit zu gewährleisten und das eigene Unternehmen dauerhaft zu schützen.
Gezielte Investitionen in den Schutz vor Datenklau lohnen sich
Daten sind heutzutage die Geschäftsgrundlage und da-mit das wichtigste Gut eines Unternehmens. Deshalb gilt: Investieren ist besser als reparieren, denn voraus-schauende Investitionen in den Schutz vor Datenklau lohnen sich. Nur so können Angriffe erkannt, mögliche Schäden ausreichend dokumentiert und entsprechend kalkuliert werden. Zu einem professionellen Umgang mit Cybercrime gehört auch die Meldung der Vorfälle an die Behörden. Auf diese Weise können die Unternehmen die Strafverfolgung und die lückenlose Aufklärung un-terstützen und letztlich auch das Unternehmensimage schützen.
Die Höhe der Investitionen in die IT-Sicherheit ist indivi-duell von den Unternehmen festzulegen. Dabei gilt es, die richtige Balance zwischen Investitionen und erfor-derlichem Schutzlevel zu finden. Eine externe Einschät-zung und eine entsprechende Beratung können helfen, alle Faktoren zu berücksichtigen, die für diese Balance maßgeblich sind.
17 // IT-Sicherheit & Praxis
Prävention, Planung und Partner führen zum Erfolg
Die Situation in Sachen Cybercrime ist komplex – mit steigender Tendenz. Dennoch gibt es Maßnahmen, mit denen Unternehmen sich dieser Herausforderung er-folgreich stellen können: Ein angemessenes Gefahren-bewusstsein ist die Grundvoraussetzung für eine er-folgreiche Verteidigung der eigenen IT-Strukturen. Dazu gehört die regelmäßige Awareness-Schulung aller Be-teiligten – durch Maßnahmen zur Sensibilisierung der Mitarbeiter für das Thema IT-Sicherheit. Auch das Sicher-heitsmanagement und die IT-Abteilung sollten nicht un-berücksichtigt bleiben: Gerade diese Bereiche benötigen spezifische Informationen, um den immer ausgefeilte-ren Angriffstechniken die Stirn bieten zu können.
Darüber hinaus gilt: Geplantes Agieren ist besser als ängstliches Reagieren. Risiken können zwar nicht voll-ständig eliminiert, wohl aber berechnet werden. Und komplexe Situationen erfordern kompetente Partner, die sich auf IT-Sicherheit spezialisiert haben. In Kooperation
mit einem Partner können die erforderlichen Maßnah-men schnell und vollumfänglich umgesetzt werden, oh-ne dass das Kerngeschäft des Unternehmens darunter leiden muss. Zudem gibt dies dem Unternehmen und den Mitarbeitern die Sicherheit, alles Notwendige für einen maximalen und dauerhaften Schutz zu tun. Wer aber entscheidet, sich dem Thema IT-Security allein zu stellen, kann schnell auf verlorenem Posten stehen.
Hinweis der Redaktion: Die Autoren geben in dem Beitrag ausschließlich ihre persönliche Meinung wieder.
Lorenz Kuhlee Dipl. Inform. (FH), Associate Partner, GSA Cyber Investigation Leader, Forensic & Integrity Services, Ernst & Young, Eschborn
[email protected] www.de.ey.com
Bodo Meseke Partner, Chief Technology Officer Forensics GSA, Forensic & Integrity Services, Ernst & Young, Eschborn
[email protected] www.de.ey.com
Erste Schritte zu mehr IT-Sicherheit:
• Gefahrenbewusstsein schulen
• strukturiert agieren
• Risiken einschätzen
• Unterstützung holen
Ausgabe 4 // Dezember 2019
18 // DICO-Kolumne
Best Practices in der Praxis etablierenDICO legt ersten Compliancestandard für Geschäftspartner Compliance vor
Von Sarah Arnold
Hintergrund
Der Druck steigt, die Erwartungshaltung gegenüber Compliancesystemen wächst, Sanktionsrahmen wer-den erhöht – doch was wird konkret gefordert? Häufig verbleiben Unternehmen in der Unsicherheit und sind
sich selbst überlassen. Wo derzeit vorhandene Stan-dards auf einer abstrakten Ebene verbleiben, möchte der DICO diese Lücke schließen. Durch eine neue Art der Zusammenarbeit mit dem Viadrina Compliance Center werden die bisher durch die Mitglieder der Arbeitskreise erarbeiteten DICO-Leitlinien auf ein wissenschaftliches
Fundament gestellt. Damit wird das Ziel erreicht, das sich der DICO schon zu Gründungszeiten ins Aufgaben-heft geschrieben hat: Compliancestandards zu setzen, an denen sich sowohl Unternehmen als auch Justiz so-wie Verwaltung orientieren können. Zwar kann der neue DICO-Standard im Vergleich zum IDW PS 980 oder zu
Im Hinblick auf das vieldiskutierte Verbandssanktionengesetz werden sämtliche Interessengruppen von den Standards profitieren, und die Compliancekultur in Deutschland kann den nächsten Reifegrad erreichen.
© p
eter
schr
eibe
r.med
ia/T
hink
stoc
k/G
etty
Imag
es
Ausgabe 4 // Dezember 2019
19 // DICO-Kolumne
A-Normen der ISO nicht als solcher zertifiziert werden, er kann jedoch im Rahmen eines Testats auf Basis einer zertifizierbaren Norm berücksichtigt werden.
Dass das Element der Geschäftspartner Compliance wegweisend vorangeht, kommt nicht von ungefähr. Eine DICO-eigene Umfrage zur Durchführung von Drittpar-teienprüfungen ergab ein heterogenes Bild. Der Umset-zungsstand variiert zwischen den befragten Unterneh-men selbst innerhalb einer Branche stark. Dabei sind die Konsequenzen für das eigene Unternehmen aufgrund Zuwiderhandlungen Dritter hoch. Zunehmend werden Organisationen für Gesetzesverstöße ihrer Geschäfts-partner – wie Handelsvertretern oder Joint-Venture-Partnern – zur Verantwortung gezogen. Behörden ma-chen von der Möglichkeit Gebrauch, Auftraggebern das Fehlverhalten ihrer Geschäftspartner zuzurechnen, ins-besondere wenn ihnen der Zugriff auf die eigentlichen Täter verwehrt ist.
Umsetzung
Von den Präventionsmaßnahmen zur Vermeidung von Complianceverstößen durch eigene Mitarbeiter sind viele allgemein bekannt und gut etabliert. Wie man sich jedoch von der Zurechnung des Verhaltens Drit-ter freimachen kann, dafür will der „DICO-Standard Geschäftspartner Compliance“ Orientierung geben. Adressatengerecht gegliedert, mit Fokus auf Planung, Implementierung und die sich anschließende Evaluie-rung, richtet sich der Standard an Praktiker für den Auf-bau eines Geschäftspartnerprüfungssystems und für die
Verbesserung oder die Bewertung vorhandener Prozes-se. Durch den stets risikoorientierten Ansatz können Res-sourcen optimal auf die wesentlichen Risiken konzen-triert werden, um eine maximale Effizienz zu erzielen. Ein weiterer Vorteil daraus ist, dass der Standard damit sowohl unabhängig von der jeweiligen Branche als auch der Größe der Organisation ist.
Beispielsweise mögen Provisionsempfänger in vielen Fällen zu den Arten von Geschäftspartnern mit den po-tentiell höchsten Risiken unlauterer Geschäftspraktiken gehören, doch nicht jedes Unternehmen setzt solche Dienstleister gleichermaßen ein. Und auch nicht je-de Art von Provisionsempfängern unterliegt derselben Eintrittswahrscheinlichkeit für Fehlverhalten oder der-selben Ausprägung des jeweiligen Risikos. Aus diesem Grund bietet der Standard zu Geschäftspartner Com-pliance die Möglichkeit, notwendige Compliancemaß-nahmen individuell auf die jeweiligen Bedürfnisse zu-zuschneiden.
Ausblick
Der Standard für Geschäftspartner Compliance ist letzt-lich nur der Beginn einer Reihe von Compliancestandards des DICO. Auch der Standard 04 für interne Untersu-chungen wurde bereits veröffentlicht. Auf Basis weiterer bereits vorhandener Leitlinien wird aus den Arbeitskrei-sen heraus in Kooperation mit dem Viadrina Compliance Center daran gearbeitet, in Anlehnung an Best Practices aus der Wirtschaft Maßstäbe für die Compliancearbeit zu setzen. Gerade im Hinblick auf das vieldiskutierte Ver-
bandssanktionengesetz werden sämtliche Interessen-gruppen von den Standards profitieren, und die Compli-ancekultur in Deutschland kann den nächsten Reifegrad erreichen.
Sarah Arnold Konzerndatenschutzbeauftragte, Manager Corporate Governance, RKW SE, Frankenthal
www.rkw-group.com
Ausgabe 4 // Dezember 2019
20 // Fachbeirat
Weitere Fachbeiräte auf der Folgeseite
Carsten BeisheimBird & Bird, Partner, Düsseldorf
Flavio Bertoli, LL.M. (College of Europe, Brügge/Belgien)LEDVANCE GmbH, Head of Compliance Legal, Garching
Dr. Stephan BühlerSGL Carbon SE, Chief Compliance Officer, Wiesbaden
Markus DreissigackerJacobs Douwe Egberts, Global Chief Compliance Officer, Director Legal Europe, Bremen
Andreas GehrkeMizuho Securities Europe GmbH, Head of Compliance, Frankfurt am Main
Dr. Cornelia GodzierzInfineon Technologies AG, Vice President Compliance IFAG CO
Dr. Achim Gronemeyer, LL.M. (Norwich)Schaeffler AG, Rechtsanwalt, Legal Counsel Antitrust & Competition, Herzogenaurach
Dirk HenseBarclays Corporate and Investment Banking, Head of Compliance Northern Europe, Frankfurt am Main
Berndt HessRechtsanwalt, Frankfurt am Main
Dr. Rico BaumannMAN Diesel & Turbo SE, Head of Compliance/Compliance Officer, Augsburg
Dr. Gerd O. Hagena, LL.M., MBAFlender, General Counsel, Bocholt
David Ghahreman, M.A.AOK Hessen, Stabsbereich Recht – Compliance Management, Bad Homburg v.d.H.
Tassilo AmtageUBS Europe SE, Financial Crime Prevention, Director/Stv. Geldwäschebe-auftragter, Frankfurt am Main
Sevgi Dursun-HallerBBVA, Head of AML & Compliance – Vice President, Frankfurt am Main
Dr. Silke EngelCoca-Cola European Partners, Associate Director Legal/Rechtsanwältin (Syndikusrechtsanwältin) Recht/Immobilien, Berlin
Ausgabe 4 // Dezember 2019
21 // 21 // Fachbeirat
Weitere Fachbeiräte auf der Folgeseite [email protected]
Dr. Martin MozekSamsung Electronics GmbH, Rechtsanwalt, Compliance Officer Legal & Compliance, Schwalbach/Ts.
Dr. Lars MaritzenMETRO AG, Head of Competition & Compliance, Düsseldorf
Georg Kordges, LL.M.ARAG SE, Leiter Recht und Compliance, Düsseldorf
Stephanie KnoopNational Westminster Bank Plc, NWB German Branch, Head of Compliance, Frankfurt am Main
Hilmar LeonhardtDeutsche Telekom AG, Head of Competition Law Germany, Bonn
Dr. Sebastian LochenCompliance Officer, Thyssen Krupp AG, Essen
Bianca Löckeneuromicron AG, Compliancebeauftragte, Frankfurt am Main
Dr. Felix KaestnerUBS Europe SE, Head Compliance and Operational Risk Control, Frankfurt am Main
Markus JüttnerE.ON SE, Vice President Group Compliance, Düsseldorf
Olga KausAffimed GmbH, Head of Compliance, Heidelberg
Bernd HoffmannAllianz Deutschland AG, Recht und Compliance (D-RuC), Chief Compliance Officer, Unterföhring
Mario HippMerck Finck Privatbankiers AG, Head of Compliance, Frankfurt am Main
Dr. Steffen JustNestlé AG, Chief Compliance Officer, Frankfurt am Main
Hanno HinzmannSAP SE, Chief Compliance Officer EMEA & MEE, Legal Compliance & Integrity Office, Syndikusanwalt, Leiter Ausschuss Internatio- nales, DICO, Walldorf
Jennifer HeßFresenius Medical Care Deutschland GmbH, Rechtsanwältin/Legal Counsel, Head of Compliance Western Europe, Bad Homburg
Weitere Fachbeiräte auf der Folgeseite
Ausgabe 4 // Dezember 2019
22 // Fachbeirat
Weitere Fachbeiräte auf der Folgeseite [email protected]
Jörg SteinhausMerck KGaA, Konzerndatenschutzbeauf-tragter, Group Data Privacy Officer, Group Legal & Compliance, LE-CD Data Privacy, Darmstadt
Tanja SommerDRF Stiftung Luftrettung gemeinnützige AG, Leiterin Stabsstelle Recht & Compliance Stuttgart
Dr. Petra SchackRechtsanwältin, München
Dr. Martin SchmidtComfield Unternehmens-beratung GmbH & Co. KG, Geschäftsführender Gesellschafter, Berlin
Dr. Anita SchiefferPohlmann & Company, Partnerin, München
Anthipi SchwarzeneggerErwin Hymer Group SE, Group Compliance Officer, Bad Waldsee
Christina Sontheim-LevenPostcon Deutschland, Chief Legal & Compliance Officer (CLCO), Ratingen
Maike ScholzDEUTSCHE TELEKOM AG, Group Compliance Management, Bonn
Ulrich RothfuchsDEKRA SE, General Counsel & Chief Compliance Officer, Stuttgart
Christopher RotherHausfeld Rechtsanwälte LLP, Rechtsanwalt/Partner, Berlin
Stephan RheinwaldCompliance Officer Services GmbH, Geschäftsführender Gesellschafter, Bonn
Melanie Poepping, MBAFresenius Medical Care AG & Co. KGaA, Head of Global Investigation, Bad Homburg vor der Höhe
Dr. Thilo ReimersDeutsche Bahn AG, Leiter Kartellrecht – Compliance und Schadensprävention, Berlin
Hartmut T. RenzCitigroup Global Markets Europe AG, Head of Compliance – Managing Director, Frankfurt am Main
Stephan NiermannJ.P. Morgan AG, Chief Compliance Officer, Frankfurt am Main
Ausgabe 4 // Dezember 2019
23 // Fachbeirat
Heiko WendelFuchs Petrolub SE, General Counsel, P Legal & Insurance/ Chief Compliance Officer, Mannheim
Dr. Adriane WinterBSH Hausgeräte GmbH, Rechtsanwältin, Corporate/ Legal/Compliance, Global Head of Compliance Management, München
Dietmar WillAudi AG, Leiter Compliance, Integrität, Ingolstadt
Tom WoodsonS. Oliver, Chief Compliance Officer, Würzburg
Dr. Mirjam WeisseMerz Pharma GmbH & Co. KGaA, Head of Compliance EMEA, Rechtsanwältin, Frankfurt am Main
Wolfgang VahldiekVerband der Auslandsban-ken in Deutschland e.V., Direktor Recht, Frankfurt am Main
Dr. Claudia Tapia, LL.M.Ericsson, Director IPR Policy, RIPL IPR Policy & Communications, Herzogenrath
Gernot Tölle.Bilfinger SE, Compliance Officer Headquarters, Corporate Legal & Compliance, Mannheim
Sylvia Trimborn-LeyAareal Bank AG, Head of Compliance, Wiesbaden
Dr. Oliver SuchyG+D Mobile Security GmbH, Chief Compliance Officer, München
Clemens von StockertFraport AG, Leiter Compliance und Wertemanagement, Frankfurt am Main
Ausgabe 4 // Dezember 2019
24 // Ansprechpartner/Kooperationspartner
Gabriel AndrasDeloitte & Touche GmbH Wirtschaftsprüfungsgesell-schaft
Schwannstraße 6 40476 Düsseldorf Telefon: (02 11) 87 72-21 06
Prof. Dr. Daniela Seeliger, LL.M.Linklaters LLP
Königsallee 49–51 40212 Düsseldorf Telefon: (02 11) 229 77-0
Andreas PrycekErnst & Young GmbH Wirtschaftsprüfungsgesell-schaft
Graf-Adolf-Platz 15 40213 Düsseldorf Telefon: (02 21) 93 52 26-881
Kooperationspartner:
Alexander GeschonneckKPMG AG Wirtschafts-prüfungsgesellschaft
Klingelhöfer Straße 18 10785 Berlin Telefon: (030) 20 68-15 20
Dr. Rainer MarkfortDICO – Deutsches Institut für Compliance e.V.
Chausseestraße 13 10115 Berlin Telefon: (030) 27 58 20 20
Prof. Dr. Michael NietschEBS Law School/Center for Corporate Compliance
Gustav-Stresemann-Ring 3 65189 Wiesbaden Telefon: (06 11) 71 02-22 35
[email protected]/en-de
Dr. Maxim KleineNorton Rose Fulbright LLP
Bleichenbrücke 10 20354 Hamburg Telefon: (040) 97 07 99 180
Prof. Dr. Leo StaubUniversität St. Gallen, Executive School of Management, Technology and Law (ES-HSG)
Holzstraße 15 CH-9010 St. Gallen Telefon: +41 (71) 224-21 11
Peter GottschalkAccessData
OpernTurm 60306 Frankfurt Telefon: (069) 50 50 60 43 69
Dr. André-M. Szesny, LL.M.Heuking Kühn Lüer Wojtek
Georg-Glock-Straße 4 40474 Düsseldorf Telefon: (02 11) 600 55-217
Christian ParsowEbner Stolz Mönning Bachem Wirtschaftsprüfer Steuerberater Rechtsan-wälte Partnerschaft mbB
Holzmarkt 1 50676 Köln Telefon: (02 21) 206 43-494
Timo PurkottKPMG AG Wirtschafts-prüfungsgesellschaft
THE SQUAIRE Am Flughafen 60549 Frankfurt am Main Telefon: (069) 95 87-15 33
Ansprechpartner:
Ausgabe 4 // Dezember 2019
ImpressumHerausgeber: Prof. Dr. Thomas Wegerich
Redaktion: Thomas Wegerich (tw)
Verlag: FRANKFURT BUSINESS MEDIA GmbH – Der F.A.Z.-Fachverlag Geschäftsführer: Dominik Heyer, Hannes Ludwig Frankenallee 68–72, 60327 Frankfurt am Main Sitz: Frankfurt am Main, HRB Nr. 53454, Amtsgericht Frankfurt am Main
German Law Publishers Verleger: Prof. Dr. Thomas Wegerich Stalburgstraße 8, 60318 Frankfurt am Main Telefon: (069) 95 64 95 59 E-Mail: [email protected] Internet: www.compliancebusiness-magazine.com
Jahresabonnement: Bezug kostenlos, Erscheinungsweise: quartalsweise
Projektmanagement und Anzeigen: Karin Gangl Telefon: (069) 75 91-22 17 / Telefax: (069) 75 91-80 22 17
Publikationsmanagement Ayfer Ekingen
Layout: Ina Wolff
Partner: Deloitte & Touche GmbH; Ebner Stolz Mönning Bachem mbH; Ernst & Young GmbH; Heuking Kühn Lüer Wojtek; KPMG AG; Linklaters LLP
Kooperationspartner: AccessData; ACC Europe; Deutsches Institut für Compli-ance e.V. (DICO); EBS Law School/Center for Corporate Compliance; Universität St. Gallen, Executive School of Management, Technology and Law (ES-HSG)
Haftungsausschluss: Alle Angaben wurden sorgfältig recherchiert und zusam-mengestellt. Für die Richtigkeit und Vollständigkeit des Inhalts von ComplianceBusiness übernehmen Verlag und Redaktion keine Gewähr.
„Partner“ und „Kooperationspartner“Die Partner von ComplianceBusiness sind führende Anwaltssozietäten und Wirtschaftsprüfungsgesellschaften; die Kooperationspartner von ComplianceBusiness sind anerkannte wissenschaftliche Organisationen oder Unternehmen mit inhaltlichen Bezügen zum Rechtsmarkt. Alle Partner und Kooperationspartner respektieren ohne Einschränkung die Unabhängigkeit der Redaktion, die sie fachlich und mit ihren Netzwerken unterstützen. Sie tragen damit zum Erfolg des Magazins ComplianceBusiness bei.
Partner:
Herausgeber:
In Kooperation mit:
25 // Ausgabe 4 // Dezember 2019
