Ein Tax Compliance Management-System ist mehr als ein paar Checklisten – Teil 4 – oder: Identifizierung und Bewertung von Tax Compliance-Risiken

​​​​​​​​​​​​​​​​​​veröffentlicht am 11. Juli 2022

 ​

In unseren ersten 3 Artikeln aus dieser Serie haben wir einige allgemeine Erläuterungen zum Tax CMS gegeben und später dargestellt, warum die Definition von Tax Compliance-Zielen nicht nur formal notwendig, sondern durchaus von praktischer Relevanz ist. Ein Teil der Reihe beschäftigte sich dann mit der Herausforderung, eine geeignete Tax Compliance-Organisation aufzubauen. Dieser heutige Artikel beschäftigt sich mit der Identifizierung und Bewertung von Tax Compliance-Risiken. Weitere Artikel dieser Reihe, die Schwierigkeiten bei den übrigen Grundelementen eines TCMS beleuchten, werden noch folgen.  

Tax Compliance-Risiken

Das IDW geht in seinem Praxishinweis 01/2016 zur Ausgestaltung und Prüfung eines Tax Compliance Management-Systems gemäß IDW PS 980 nur relativ kurz auf die Definition und die tatsächliche Erfassung von Tax Compliance-Risiken ein.

Folgende beide Textpassagen sind hier enthalten:

Rz. 41: Unter Berücksichtigung der Tax Compliance-Ziele werden die Tax-Compliance-Risiken, d. h. die Risiken für Verstöße gegen einzuhaltende Regeln, festgestellt. Hierzu wird eine der Unternehmensorganisation angemessene systematische Risikoerkennung und -beurteilung durchgeführt. Risiken sind hierbei zu identifizieren und in Risikoklassen einzuordnen. Dabei sind ihre Eintrittswahrscheinlichkeit und mögliche Folgen zu berücksichtigen.

Rz. 42: Tax Compliance-Risiken sind bspw. bezogen auf die jeweilige Steuerart und die damit verbundenen Prozesse festzustellen und schriftlich festzuhalten. Folgen von Regelverstößen können z. B. finanzieller und bilanzieller Art sein.

Für die konkrete Umsetzung in die Praxis lassen sich hieraus allerdings kaum gezielte Umsetzungsschritte entnehmen. Folgende 2 Schritte haben sich in durchgeführten Projekten als besonders relevant herausgestellt und sollen daher genauer beleuchtet werden:

Erfassung wesentlicher Risiken – Unterscheidung zwischen Systemrisiken und Transaktionsrisiken

Die Risikoerfassung und -beurteilung wird häufig durch sog. Risikoworkshops durchgeführt – d. h. die Workshop-Teilnehmerinnen und Workshop-Teilnehmer benennen einzelne Sachverhalte, die aus ihrer Sicht „steuerliche Risiken” beinhalten.

Die Praxiserfahrung zeigt, dass diese Art der Risikoerfassung zwar in der Regel eine Vielzahl von Sachverhalten zutage bringt, die steuerliche Relevanz haben können, dass aber zwingend eine Überarbeitung dieser erfassten Sachverhalte (im Sprachgebrauch der Workshop-Teilnehmer innen und Workshop-Teilnehmer häufig als „Risiken” bezeichnet) erfolgen muss. Dabei zeigt sich in der Praxis teilweise, dass mit dem Begriff „Risiko” unterschiedliche Bedeutungen assoziiert werden. Als Risikobegriff, für den vorab ein gemeinsames Begriffsverständnis bestehen sollte, bietet sich die Definition aus dem DIIR Revisionsstandard Nr. 2 an: „Der Begriff Risiko beschreibt die Möglichkeit des Eintretens von Ereignissen oder von Entwicklungen, die sich auf das Erreichen von Zielen auswirken, was die Möglichkeit von positiven Abweichungen (Chancen) und negativen Abweichungen (Gefahren, Risiken im engeren Sinn) einschließt. […] Ein Risiko entsteht infolge der bestehenden Unsicherheiten oder der unvollständigen Informationen in Bezug auf die zukünftige Entwicklung von Zielgrößen. […]”¹

Aus der Vielzahl der genannten, oft konkreten Sachverhalte sind also Tax-(Compliance)Risiken als abstrahierte Szenarien zu ermitteln, die dann zu bewerten und nach ihrer Dringlichkeit abzuarbeiten sind. Um die Dringlichkeit beurteilen zu können, bietet sich eine Zuordnung der erfassten Sachverhalte zu den Risikogruppen „Systemrisiko” oder „Transaktionsrisiko” an:

Nur Systemrisiken stellen „echte” Compliance-Risiken dar, die einzeln zu bewerten und gegebenenfalls anschließend mit Maßnahmen zu belegen sind.

Transaktionsrisiken dagegen sind Fehler, die passieren, aber letztendlich in keinem System vollständig ausgeschlossen werden können – jedenfalls dann nicht, wenn eine Bearbeitung „durch Menschenhand” erfolgt.

Häufig geben festgestellte Transaktionsrisiken allerdings Aufschluss über die dahinter liegenden Systemrisiken, die so weit wie möglich zu reduzieren sind.
 
Beispiel für ein Transaktionsrisiko und verschiedene mögliche dahinter liegende Systemrisken:

Da die erstmalige Eingruppierung der Risiken gewissermaßen selbst ein Systemrisiko darstellt, ist sie mit besonderer Sorgfalt und insbesondere durch hierfür geeignete Personen durchzuführen. In die Risikoaufnahme sollten in jedem Fall sämtliche Personen einbezogen sein, die eine Rolle in der TC-Organisation inne haben – also Führungskräfte einzelner Bereiche bzw. Abteilungen und der TC-Officer selbst. Ist kein TC-Officer „installiert”, sondern werden beispielsweise TC-Referenten eingesetzt, so ist neben diesen der Compliance-Manager in die Risikoaufnahme und -bewertung einzubeziehen. Zwar lässt sich in der Praxis feststellen, dass die Risikoworkshops teilweise bereits stattfinden, bevor die TC-Organisation eingerichtet ist. Für die vollständige Risikoerfassung und anschließende -bewertung ist eine bereits installierte Aufbau- und Ablauforganisation allerdings Voraussetzung. Der Prozess, mit dem die Erstinventur der Tax Compliance-Risiken erfolgte, sollte revisionssicher dokumentiert sein.

Durch eine derartige „zentrale” Eingruppierung, Beurteilung und Bewertung erfolgt gewissermaßen eine Gewichtung der Ergebnisse der Workshops. Denn im Workshop selbst werden häufig Sachverhalte als verschiedene „Risiken” benannt, bei denen es sich aber um ein und dasselbe steuerliche Risiko handelt.² Dies dürfte auch damit zusammenhängen, dass bestimmte Personen (je nach konkreter im Unternehmen ausgeübter Tätigkeit, und je nachdem, in welche Prozesse sie dort einbezogen sind) jeweils einzelne, gleichartige Risiken als besonders häufig bzw. wesentlich erachten. Zudem lässt sich im Workshop selbst nicht auf Anhieb erfassen, wie wesentlich ein Risiko ist.

Allein die Tatsache, dass ein Sachverhalt auf ähnliche Art und Weise mehrfach im Workshop benannt wird, heißt noch nicht, dass hierin ein wesentliches Risiko zu sehen ist, da es sich hier um ein Transaktionsrisiko handeln kann. Andererseits muss ein nicht im Workshop genannter Sachverhalt nicht automatisch bedeuten, dass dieser im jeweiligen Unternehmen keine Rolle spielt. Insbesondere in finanzieller Hinsicht bedeutende Risiken treten häufig nicht „im Unternehmen selbst”, sondern durch Beobachtung des Marktes bzw. der Konkurrenten oder Mitstreiterinnen und Mitstreiter zu Tage und stellen daher zunächst nur ein sehr abstraktes Risiko dar, für das jedoch Maßnahmen zu ergreifen sind.        

Überlegungen zur Abgrenzung von Tax Compliance–Risiken und allgemeinen Unternehmensrisiken

Während ein Compliance-Risiko das Risiko für einen Regelverstoß darstellt, handelt es sich bei einem allgemeinen Unternehmensrisiko um ein Risiko, das auch ohne Regelverstoß eintreten kann.

Solche „Nicht-Compliance-Risiken” lassen sich auch mit Bezug zum Bereich Steuern finden (beispielweise Änderung der Steuergesetzgebung).

Bei genauer Betrachtung stellen am Ende viele steuerliche Risiken eigentlich „nur” allgemeine Unternehmensrisiken (insbesondere finanzieller Art) dar, sofern die Steuerdeklaration korrekt erfolgt und nach der Risikoerkennung die richtigen Maßnahmen ergriffen werden.

Daher ist es wichtig, bei der Erfassung und Bewertung der steuerlichen Risiken nicht nur die reinen Compliance-Risiken, sondern auch die sich aufgrund von Steuern ergebenden Unternehmensrisiken aufzunehmen und ggf. mit Maßnahmen zu hinterlegen. So können zum einen steuerliche Regelverstöße reduziert, zum anderen aber auch die finanziellen Unternehmensrisiken gesenkt werden.
 

Beispiel:

Das Beispiel soll verdeutlichen: Zwar können viele Tax Compliance-Risiken als Compliance-Risiken „unschädlich“ gemacht werden, indem sie korrekt oder sogar vorsorglich in der Steuererklärung abgebildet bzw. angegeben werden. Es liegt dann kein steuerlicher Regelverstoß (mehr) vor.

Der Preis hierfür ist aber in der Regel eine höhere finanzielle Belastung des Unternehmens. Zum Teil lässt sich diese nicht vermeiden, da bestimmte Sachverhalte bestimmte steuerliche Konsequenzen nach sich ziehen. Zum Teil bietet sich aber bereits bei der Ausgestaltung von Sachverhalten ein gewisser Spielraum.

Aus unserer Sicht muss es daher das Ziel eines funktionsfähigen TCMS sein, nicht nur steuerliche Regelverstöße zu vermeiden, sondern – sofern dies möglich ist – zugleich auch finanzielle Unternehmensrisiken zu verringern. Dies kann nur dann gelingen, wenn der Bereich „Steuern” nicht als eigenständige „Insel” im Unternehmen angesehen wird, sondern eine Verzahnung mit anderen Unternehmensbereichen und nicht nur dem Rechnungswesen sichergestellt ist.

_____________________________________

¹ DIIR Revisionsstandard Nr. 2, Tz. 15.
² Zwar sollten sollten Workshop-Moderatorinnen und Workshop-Moderatoren zur Erfassung der TC-Risiken in der Regel das steuerliche Know-how mitbringen, dies beurteilen zu können. Aber einerseits ist es ja gerade Ziel der Workshops, die Anmerkungen aller Anwesenden aufzunehmen und auch zu verschriftlichen, und zudem kommt es gerade im Bereich der Beurteilung von Steuerbefreiungen im Bereich von Non-Profit-Organisationen oder juristischen Personen öffentlichen Rechts häufig auf die exakte Ausgestaltung des Sachverhalts im Einzelfall an, sodass auch steuerliche Branchenexpertinnen und -experten hier aufgrund der kurzen mündlichen Darstellung eines Sachverhalts im Workshop beispielsweise in den seltensten Fällen ad hoc Auskunft über Steuerbefreiung oder Steuerpflicht geben können.

Hier finden Sie mehr Artikel aus der Reihe „Ein Tax Compliance-Management-System ist mehr als ein paar Checklisten” »

Autoren: Anka Neudert und Christoph Naucke