GRC@SAVISCON: Compliance
Zu klein für Compliance?
von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH
Nachdem wir in unserem letzten Blog-Beitrag „GRC@SAVISCON: Datenschutz“ der Reihe über den Start unseres Datenschutz-Managements berichtet haben, soll es heute um Compliance gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Compliance.
Ähnlich wie beim Thema Datenschutz stellte ich mir auch hier die Frage: wo fange ich da am besten an? Was ist „Compliance“ überhaupt? Der englische Begriff wird sinngemäß wie folgt definiert: Compliance ist die Einhaltung von Gesetzen, Normen und Regeln. Früher war Compliance überwiegend ein Thema für die Bankwirtschaft und Versicherungsbranche, doch mittlerweile entwickelt sich in vielen unterschiedlichen Unternehmen immer stärker eine Compliance-Kultur. Angefangen mit Richtlinien, wie z. B. Verhaltensregeln des Unternehmens, die im Intranet veröffentlicht werden. Solche Richtlinien können Regeln bezüglich des Datenschutzes und der Gleichbehandlung enthalten, aber auch Regeln zur Vermeidung von Korruption sowie Vorschriften zum Arbeitsschutz. Aber auch eine Geschäftsordnung oder Satzung, ein Whistleblowing-System und auch gesetzliche Vorgaben können Teil eines Compliance-Programmes sein.
Compliance-Treiber
Ist Compliance für alle Unternehmen wichtig? Ja! Ist die SAVISCON GmbH nicht zu klein, um sich mit diesem Thema beschäftigen zu müssen? Nein, ist sie nicht! Natürlich sind die Risiken unterschiedlich zu bewerten – je nach Unternehmensgröße (Mitarbeiteranzahl, Umsatz, etc.). Aber jede Geschäftsleitung ist verpflichtet, sämtliche geltenden Gebote und Verbote zu kennen und zu beachten. Ist das nicht der Fall, können rechtliche Folgen (Geldbußen, Freiheitsstrafen, Ersatzansprüche, Auftragssperren) oder auch Reputations- und Vertrauensverluste drohen.
Nutzen + Akzeptanz
Durch eine funktionierende Compliance-Kultur im Unternehmen werden nicht nur hohe Kosten durch evtl. entstehende Bußgelder vermieden, sondern es erhöht sich die Transparenz und das gegenseitige Vertrauen wird weiter gefördert. Wie bei vielen anderen Themen auch, erfordert eine wirksame Compliance-Kultur aber das tatsächliche Handeln aller, und zwar auf allen Hierarchieebenen. Werte können nur glaubhaft vermittelt werden, wenn diese auch erkennbar von der Unternehmensleitung selbst vorgelebt werden. Ist dies nicht der Fall, wird aufgrund fehlender Akzeptanz auch keine Compliance-Kultur im Unternehmen gelebt werden.
Compliance-Management-System
Um eine Compliance-Organisation aufzubauen, zu dokumentieren, zu überwachen und weiterzuentwickeln ist ein Compliance-Management-System sinnvoll. Wir nutzen hier wieder unser GRC-COCKPIT. Doch wie starte ich nun am besten? Im ersten Schritt sind die Risiken zu identifizieren und zu bewerten. Wenn Sie sich erinnern, hat dazu mein Kollege Uwe Straßberger bereits einen Blog geschrieben (NO RISK – MORE FUN! GRC@SAVISCON) und ein bisschen aus dem Nähkästchen geplaudert. Wenn wir mit der Risikoidentifizierung und Risikobewertung fertig sind, geht es darum, mit meinen Kollegen ein gemeinsames Verständnis für die aktuelle Risikosituation zu erreichen. Welche Compliance-Risiken liegen vor und mit welchen Maßnahmen können wir hier gegensteuern? Dazu aber mehr in einem der nächsten Blog-Beiträge.
Compliance in der Praxis
Parallel zum Thema Risiko haben wir uns dazu entschlossen, eine Vorschrift näher zu betrachten, und zwar die GoBD: die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Die GoBD und deren Vorgaben sind relevant für alle EDV-Systeme, die steuerrelevante Daten erfassen bzw. verarbeiten. Mit diesen Systemen ist aber nicht nur das Buchführungsprogramm gemeint, sondern auch sogenannte Vor- und Nebensysteme (z. B. Zeiterfassungssysteme, elektronische Waagen, Software zur Erfassung von Dienstreisen o. ä.)
Die erste GoBD wurde zum 01.01.2015 eingeführt und zuletzt mit dem Stand von November 2019 zum 01.01.2020 aktualisiert. Im GRC-COCKPIT hatten wir die GoBD als Norm bereits hinterlegt, haben jetzt aber festgestellt, dass wir die Aktualisierung der Norm noch durchführen müssen. Mit dem neuen Stand wurden einige Änderungen und Vereinfachungen für die Praxis eingeführt. Man sollte also immer darauf achten, auf dem aktuellen Stand der Dinge zu sein. Hier zwei Auszüge aus dem GRC-COCKPIT zur GoBD:
Gerade sichten wir die Neuerungen zur aktuellen Version und pflegen diese im GRC-COCKPIT entsprechend ein. Der aktuelle Stand steht dann selbstverständlich auch unseren Kunden als Norm zur Verfügung.
GoBD Praxis-Beispiel
Aber jetzt zu einem Beispiel aus der Praxis: Die Ordnungsmäßigkeit elektronischer Bücher und sonst erforderlicher elektronischer Auszeichnungen ist nach den gleichen Prinzipien zu beurteilen wie die Ordnungsmäßigkeit bei manuell erstellen Büchern und Aufzeichnungen. Das bedeutet beispielsweise, dass elektronische Daten auch elektronisch archiviert werden müssen. Da der Versand von elektronischen Rechnungen und aufbewahrungspflichtigen Handelsbriefen per E-Mail immer mehr zunimmt, ist die GoBD-konforme Aufbewahrung zu beachten und die E-Mail-Archivierung unumgänglich. Demnach muss beispielsweise die Buchhaltung E-Mails mit steuerrelevanten Dokumenten elektronisch aufbewahren.
Die Archivierung gemäß der GoBD umfasst fünf zentrale Aspekte:
- Originalformat (Die Buchhaltung darf eine Rechnung, die per E-Mail eingeht, nicht einfach ausdrucken und abheften. Vielmehr gilt es, das Originalmedium zu verwenden. Jedes Dokument muss in seiner überbrachten Form archiviert werden. Eine Papierrechnung kommt in den Aktenordner, während die E-Mail in einem elektronischen Archiv abgespeichert wird.)
- Unveränderbarkeit (Die elektronischen Dokumente dürfen nicht im Nachhinein bearbeitet und verändert werden. Sie müssen in einer Form abgelegt werden, dass Unbefugte das Dokument nicht öffnen oder transferieren können.)
- Volltextsuche (Das Finanzamt bekommt bei einer Betriebsprüfung Zugang zum Datensystem. Dem Betriebsprüfer wird hier nicht nur ein betriebsinterner Rechner für seine Prüfung zur Verfügung gestellt, sondern es muss auch alles über eine Volltextsuche einfach aufzufinden sein. Die E-Mails müssen im Originalzustand vorhanden sein (keine Screenshots oder Scans).
- Ordnungssystem (Durch die Zuweisung von eindeutigen Indices muss das Ordnungssystem gut überschaubar sein. Der Index muss die Suche nach bestimmten Dokumenten erleichtern. Um E-Mails GoBD-konform zu archivieren, müssen sie eine Zuordnung zu einem Geschäftsvorgang erkennen lassen.)
- Transparenz (Das Ordnungssystem muss so aufgebaut sein, dass eine externe Person die Struktur leicht verstehen kann. Um dem Betriebsprüfer seine Arbeit zu erleichtern, können schriftliche Anleitungen den Aufbau der Struktur in der Archivierung dokumentieren.)
Außerdem sind je nach Dokument unterschiedliche Aufbewahrungsfristen zu beachten: E-Mails, die für die Steuerbehörden von Interesse sein können, müssen für sechs bis zehn Jahre elektronisch archiviert werden. Was passiert eigentlich, wenn man als Unternehmer die Vorgaben der GoBD nicht erfüllt? Das kann dazu führen, dass das Finanzamt wichtige Dokumente nicht anerkennt. In der Folge können evtl. Steuerabzüge nicht geltend gemacht werden, was zu höheren Steuerabgaben führen kann. Es lohnt sich also hier dranzubleiben und das Thema Compliance nicht aus den Augen zu verlieren. Auch wenn das Unternehmen noch so klein ist …
…to be continued:
Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse aus dem Projekt Compliance:
- Compliance ist für alle Unternehmensgrößen ein wichtiges und notwendiges Them
- Nur wenn die Unternehmensleitung Compliance vorlebt und mit gutem Beispiel vorangeht, kann eine wirksame Compliance-Kultur entstehen
- Auch bei knappen Ressourcen darf das Thema nicht außer Acht gelassen werden
- Compliance funktioniert nur in Verbindung mit einem guten Risiko-Management
Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Risiko-Management: Wie funktioniert die Risikobewertung?
Über die Autorin:
Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de