anzusehen, so dass insoweit das RMS bzw. das RFS Gegenstand der Überwachung durch das CMS sind. Diese Art der Verflechtung lässt erkennen, dass im Hinblick auf die Verortung des CMS innerhalb der Managementsysteme zwischen der theoretischen bzw. dogmatischen Einordnung und andererseits der organisatorischen Eingliederung im Unternehmen zu unterscheiden ist. Zwar kann das CMS hinsichtlich Ziel, Aufgabenstellung und Methodik dogmatisch als Teilbereich bzw. Element des Risikomanagements angesehen werden. Aufgrund des Unabhängigkeitserfordernisses der Compliance-Funktion und der beschriebenen Verflechtung – RMS und RFS als durch die Compliance-Funktion zu überwachendes Compliance-Risiko (rechtliches Risiko) – sollte das Compliance Management kein Bestandteil der Organisationseinheit Risikomanagement sein.[156]
121
Eine multidirektionale Beziehung ist auch zwischen CMS und IKS festzustellen. Kontrollen und Prozesse des IKS werden oftmals als Maßnahmen des Compliance-Programms verwendet (z.B. Vier-Augenprinzip, Funktionstrennung, Genehmigungsverfahren). Zugleich können durch das CMS zusätzlich implementierte Überwachungs- und Kontrollmaßnahmen auch Bestandteil des IKS werden.[157]
122
Trotz der vielfältigen Verflechtungen der Systeme untereinander, erscheint eine dogmatische Einordnung der Systeme sinnvoll. Bisher hat sich in der Literatur – insbesondere aufgrund der Vielzahl der Verflechtungen – noch keine herrschende Meinung im Hinblick auf eine Hierarchie der Systeme gebildet. Auf Basis der vorstehenden Erläuterungen kann, insbesondere aufgrund seiner vielfältigen Aufgaben und Zielsetzungen sowie des umfassenden Aufbaus und der organisatorischen Struktur – das RMS als führendes System mit einer „Dachfunktion“ angesehen werden. IKS, RFS und CMS können nebeneinander und miteinander interagierend unterhalb des RMS angesiedelt werden. Die Hierarchie und die organisatorische Eingliederung des jeweiligen Systems bzw. der jeweiligen Funktion können jedoch aufgrund individueller Gegebenheiten des jeweiligen Unternehmens von dieser dogmatischen Einordnung abweichen. Insbesondere ist darauf hinzuweisen, dass hinsichtlich der Einordnung der Compliance-Funktion in die Unternehmensorganisation deren Unabhängigkeit sichergestellt werden muss.
2. Einbettung des Tax Compliance Management Systems
123
Das Tax CMS kann aufgrund seiner Ziele und Aufgaben sowie seines Aufbaus und Struktur (siehe hierzu die Ausführungen in den Rn. 74–103 ff.) als abgrenzbarer Teilbereich des CMS angesehen werden.[158] Sofern ein Unternehmen über ein CMS verfügt, sollte das Tax CMS daher in das CMS eingebettet werden. Dies bedeutet, dass die Komponenten des Tax CMS Bestandteil der Komponenten des CMS sein sollten. Konkret betrachtet sind beispielsweise die Ergebnisse der steuerlichen Risikoanalyse in die Risikoanalyse des CMS mitaufzunehmen bzw. das Tax Compliance-Programm in das umfassende Compliance-Programm zu integrieren. Daneben sind die Dokumente des Tax CMS (z.B. (Konzern)Steuerrichtlinie, operative Steuerrichtlinien oder Verfahrensanweisungen) mit den Dokumenten des CMS zu verknüpfen. Insbesondere sollte in der (Konzern)Steuerrichtlinie hinsichtlich der gewünschten Verhaltensweisen auf den im Rahmen des CMS etablierten Code of Conduct und seinen Regelungen verwiesen werden. Demgegenüber sollte im Code of Conduct und der CMS-Beschreibung Bezug auf das Tax-CMS und seine Dokumente und Regelungen genommen werden.
124
Existiert im Unternehmen kein CMS, so kann das Tax CMS „stand-alone“ implementiert werden. Es nimmt dann im Verhältnis zu den anderen Managementsystemen RMS, RFS und IKS die Stellung des CMS ein (siehe hierzu Rn. 115 ff.). Das bedeutet, dass das Tax CMS unterhalb des RMS, aber neben den Systemen IKS und RFS einzuordnen ist. Im Hinblick auf das Verhältnis zum RMS kann das Tax CMS als Element des RMS angesehen werden, da auch steuerliche Risiken innerhalb des RMS erfasst werden. Während jedoch das RMS selbst bzw. seine angemessene Einrichtung als Compliance-Risiko Gegenstand des CMS sind (siehe hierzu Rn. 115 ff.), ist eine solche Beziehung zum Tax CMS nicht gegeben, da dieses ausschließlich steuerliche Risiken umfasst.
Teil 1 Tax Compliance und Unternehmen › 4. Kapitel Einbettung von Tax Compliance in CMS, IKS, RMS, RFS und Compliance-Organisation › C. Compliance-Organisation
I. Einordnung
125
Nachdem in Rn. 4 ff. auf Basis der Darstellung der verschiedenen Management-und Kontrollsysteme IKS, RMS, RFS und CMS die dogmatische Einordnung des Tax CMS als Teilbereich des CMS erfolgte, soll nachfolgend der Aufbau und die Struktur einer Compliance-Organisation skizziert und die Einordnung der Tax Compliance-Funktion in selbige konkretisiert werden.
a) Unternehmensleitung
126
Aufgrund gesetzlicher und regulatorischer Vorschriften (§§ 93 Abs. 1, 76 Abs. 1 AktG, § 43 Abs. 1 GmbHG, Tz. 4.1.3 DCGK) ist die Einrichtung und Überwachung eines Compliance Management Systems als Leitungsaufgabe der Gesamtverantwortung der Unternehmensleitung zuzurechnen. Hinsichtlich der Ausgestaltung der Compliance-Organisation innerhalb dieser Organisationspflicht besteht für die Unternehmensleitung grundsätzlich ein weitreichendes Ermessen. Beispielsweise kann die Unternehmensleitung im Wege der sog. horizontalen Delegation insbesondere ein Compliance-Ressort bilden und die Ressort-Verantwortung auf einen bestimmten Vorstand bzw. Geschäftsführer übertragen. Dieser trägt dann die Hauptverantwortung für das Compliance Management System, während die Verantwortung der weiteren Mitglieder der Unternehmensleitung primär in der Überwachung der Tätigkeit des für das Ressort verantwortlichen Mitglieds der Unternehmensleitung liegt. Allerdings bleibt auch bei horizontaler Delegation die Gesamtverantwortung der Unternehmensleitung für rechtskonformes Verhalten des Unternehmens (und seiner Mitarbeiter) – verstanden als Umsetzungs- und nicht Erfolgsverantwortung – weiterhin bestehen.[159]
127
Mittels einer vertikalen Delegation kann die Unternehmensleitung einen oder mehrere Compliance-Beauftragte als operativ Handelnde innerhalb des Compliance-Ressorts installieren. Je nach Art und Struktur des jeweiligen Unternehmens – beispielsweise beeinflusst durch die Rechtsform, die Größe, die Komplexität, eine Börsennotierung oder dem Internationalisierungsgrad – kann die optimale Ausgestaltung des Beauftragen-Systems variieren. Beispielsweise ist die vertikale Delegation auf lediglich eine weitere Ebene (zentraler Compliance-Beauftragter) oder – bei größeren und komplexeren Unternehmen – auf zwei oder mehrere weitere Ebenen (zentraler Compliance-Beauftragter und dezentrale Compliance-Beauftragte) möglich. Auch die vertikale Delegation ändert nichts daran, dass die Gesamtverantwortung für die Regelkonformität des Unternehmens bei der Unternehmensleitung verbleibt.[160]
b) Zentraler Compliance-Beauftragter
128
Eine besonders bedeutende Rolle für das CMS kommt dem zentralen Compliance-Beauftragten (alternative Bezeichnungen: „Compliance Officer“ bzw. „Chief Compliance Officer“) zu. Der Compliance-Beauftragte trägt die Verantwortung für die Umsetzung der Entscheidungen der Unternehmensleitung im Hinblick auf das CMS, also insbesondere für die Implementierung, Dokumentation und Weiterentwicklung des Systems. Als Inhaber der zentralen Funktion innerhalb des CMS soll der Compliance-Beauftragte