Tax Compliance Management System aufbauen: Sieben Bausteine nach IDW PS 980

Der Anwendungserlass des Bundesministeriums der Finanzen zu § 153 AO vom 23. Mai 2016 stellt klar, dass ein wirksames innerbetriebliches Kontrollsystem zur Erfüllung steuerlicher Pflichten ein Indiz gegen Vorsatz oder Leichtfertigkeit darstellen kann, wenn ein Fehler in einer abgegebenen Steuererklärung auffällt und korrigiert werden muss. Damit ist das Tax Compliance Management System aus der Kür in die Pflicht gerückt. Wer eine Korrekturanzeige nach § 153 AO abgibt und kein dokumentiertes Tax CMS vorweisen kann, riskiert ein Steuerstrafverfahren nach § 370 AO oder eine leichtfertige Steuerverkürzung nach § 378 AO sowie eine Ordnungswidrigkeit nach § 130 OWiG für die Geschäftsleitung mit Bußgeldern bis zu einer Million Euro je Pflichtverletzung.

Der IDW Praxishinweis 1/2016 zur Ausgestaltung eines Tax Compliance Management Systems übersetzt den Prüfungsstandard IDW PS 980 in den steuerlichen Kontext und benennt sieben Grundelemente, an denen sich jede Implementierung messen lassen muss: Compliance-Kultur, Compliance-Ziele, Compliance-Organisation, Compliance-Risiken, Compliance-Programm, Compliance-Kommunikation und Compliance-Überwachung. Dieser Beitrag zeigt, wie diese sieben Bausteine in einem mittelständischen Unternehmen praktisch aufgebaut werden, welche Rollen besetzt werden müssen, welche Schwellenwerte sich bewährt haben und an welcher Stelle CIVAC als Compliance-Plattform und Officer-as-a-Service die Lücke zwischen Konzept und gelebter Praxis schließt. Die Darstellung bleibt operativ. Sie erhalten eine belegbare Struktur, keine theoretische Abhandlung. Am Ende des Beitrags steht ein 90-Tage-Aufbauplan, der im Außenprüfungstermin trägt.

Die rechtliche Grundlage für ein Tax CMS ergibt sich aus dem Zusammenspiel mehrerer Normen. § 153 Abgabenordnung verpflichtet jeden Steuerpflichtigen, eine erkannte Unrichtigkeit in einer abgegebenen Erklärung unverzüglich anzuzeigen und zu berichtigen. Wird die Anzeige unterlassen oder verspätet erstattet, kann dies als Steuerhinterziehung nach § 370 AO oder als leichtfertige Steuerverkürzung nach § 378 AO gewertet werden. Die Geschäftsleitung haftet zusätzlich nach § 130 OWiG für die Verletzung der Aufsichtspflicht, mit Bußgeldern bis zu einer Million Euro je Pflichtverletzung sowie der Möglichkeit der Gewinnabschöpfung nach § 17 Absatz 4 OWiG. Die Frist läuft ab Kenntnis. Wer den Verstoß bemerkt, hat unverzüglich zu handeln, was nach ständiger Rechtsprechung des Bundesgerichtshofs eine Reaktion innerhalb weniger Tage erfordert.

Das BMF-Schreiben vom 23. Mai 2016 zum Anwendungserlass § 153 AO enthält in Rz. 2.6 den entscheidenden Satz: Hat der Steuerpflichtige ein innerbetriebliches Kontrollsystem eingerichtet, das der Erfüllung der steuerlichen Pflichten dient, kann dies gegen das Vorliegen eines Vorsatzes oder der Leichtfertigkeit sprechen. Damit verschiebt sich die Beweislast faktisch in der Verteidigungsstrategie. Wer im Außenprüfungsverfahren ein gelebtes Tax CMS vorlegt, hat ein Indiz für gutgläubiges Handeln. Wer nichts vorlegt, trägt die Beweislast, dass kein Vorsatz vorlag, und steht gegenüber einem misstrauischen Betriebsprüfer in einer strukturell schwachen Position. Der zuständige Compliance-Beauftragte sollte daher mit der Geschäftsleitung schriftlich abstimmen, welcher Reifegrad bis wann erreicht sein muss und welche Dokumente im Prüfungsfall unmittelbar vorgelegt werden können. CIVAC liefert dafür die Bestellurkunde, die Berichtslinie und die Risikomatrix in einer Plattform mit revisionssicherer Versionierung und EU-Datenresidenz, sodass im Prüfungsfall jeder Stand rekonstruierbar bleibt und die Belegkette ohne Suchaufwand zur Verfügung steht.

Der erste Baustein nach IDW PS 980 ist die Compliance-Kultur. Im steuerlichen Kontext bedeutet das eine schriftliche Grundsatzerklärung der Geschäftsleitung, in der das Bekenntnis zur korrekten Erfüllung steuerlicher Pflichten formuliert ist. Diese Erklärung muss konkret werden. Allgemeine Phrasen wie wir handeln ethisch genügen nicht. Stattdessen formulieren Sie messbare Vorgaben: Steuerliche Sachverhalte mit einem Gestaltungsspielraum von mehr als 250.000 Euro werden vor der Umsetzung dem Steuerberater oder dem Tax-Compliance-Beauftragten vorgelegt. Korrekturanzeigen nach § 153 AO werden binnen 14 Tagen nach Kenntnis erstellt. Aggressive Gestaltungen ohne Substanz werden abgelehnt, auch wenn sie kurzfristig steuerlich vorteilhaft erscheinen. Die Kultur ist gelebt, wenn diese Regel im Konfliktfall auch gegen den Vertriebsdruck oder gegen kurzfristige Ergebnisziele Bestand hat und wenn die Geschäftsleitung diesen Vorrang sichtbar verteidigt.

Der zweite Baustein sind die Compliance-Ziele. Hier konkretisieren Sie, welche steuerlichen Bereiche überhaupt vom Tax CMS erfasst werden. Üblich sind Umsatzsteuer, Lohnsteuer, Körperschaftsteuer, Gewerbesteuer, Verrechnungspreise nach § 90 Absatz 3 AO und in international tätigen Gruppen die Quellensteuer sowie die Themen Organschaft und Reverse-Charge. Jeder Bereich erhält ein eigenes Schutzziel: Beispielsweise null fehlerhafte Voranmeldungen pro Quartal bei der Umsatzsteuer, vollständige Verrechnungspreisdokumentation bis 31. Mai des Folgejahres, jährliche Schulung aller Mitarbeiter mit Berührung zu Lohnabrechnung, Reisekosten und Sachbezügen. Diese Ziele werden in der Risikomatrix mit dem jeweiligen Risiko verknüpft und mit messbaren Indikatoren versehen. Im CIVAC-Workspace pflegen Sie diese Ziele als prüfbare Datensätze mit Verantwortlichem, Frist und Belegpfad. Jede Aktualisierung erzeugt eine neue Version mit Zeitstempel und Autorenkennung. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Modelle erzeugen denselben Dokumentationsstand.

Die Compliance-Organisation legt die Rollen fest. In einem mittelständischen Unternehmen mit 50 bis 500 Mitarbeitern empfiehlt sich ein Tax-Compliance-Beauftragter, der direkt an die Geschäftsleitung berichtet und organisatorisch nicht in der operativen Steuerabteilung verortet ist, weil sonst Interessenkonflikte zwischen operativer Steuerplanung und kritischer Kontrolle entstehen. Zusätzlich werden Fachverantwortliche je Steuerart benannt, etwa der Lohnbuchhalter für die Lohnsteuer, der Hauptbuchhalter für die Umsatzsteuer und der Steuerberater für die Körperschaftsteuer und die Verrechnungspreisdokumentation. Die Bestellurkunde dokumentiert Aufgaben, Befugnisse, Eskalationspfade, Berichtspflichten und Vertretungsregelungen für Urlaub und Krankheit. Sie ist unterschrieben, abgelegt, belegbar. Ohne diese Urkunde ist die Verantwortungszuordnung im Streitfall mit dem Finanzamt nicht belastbar und der Tax-Compliance-Beauftragte kann sich im Strafverfahren nicht auf ein klares Mandat berufen, was die persönliche Haftung verschärft.

Der vierte Baustein ist die Risikoanalyse. Hier erfassen Sie systematisch, an welchen Stellen steuerliche Risiken entstehen können. Typische Treiber sind Auslandsgeschäfte, konzerninterne Lieferbeziehungen, neue Geschäftsmodelle, Reorganisationen, IT-Migrationen, Personalwechsel in der Buchhaltung sowie Sondertransaktionen wie Umwandlungen oder Anteilsverkäufe und Mitarbeiterentsendungen. Jedes Risiko wird mit Eintrittswahrscheinlichkeit und Schadenshöhe bewertet und einer Schutzmaßnahme zugeordnet, idealerweise in einer fünfstufigen Skala mit klaren Schwellen. Die Risikomatrix ist kein einmaliges Dokument, sondern wird mindestens jährlich aktualisiert sowie anlassbezogen bei wesentlichen Änderungen im Geschäftsmodell. Wenn Sie zusätzlich einen Compliance-Beauftragten einsetzen, sollten Tax-Risiken und allgemeine Compliance-Risiken in einer integrierten Matrix geführt werden, sonst entstehen blinde Flecken an den Schnittstellen zwischen Steuer-, Geldwäsche- und Datenschutzthemen. Die 37 Audit-Vorlagen von CIVAC enthalten die Risikomatrix-Vorlage, die Bestellurkundenvorlage und das Rollendokument bereits in IDW-konformer Struktur und sind ohne weitere Anpassung einsetzbar.

Das Compliance-Programm ist die operative Schicht. Hier definieren Sie für jedes identifizierte Risiko eine konkrete Kontrolle. Eine Kontrolle besteht aus vier Elementen: Auslöser, Durchführender, Häufigkeit, Beleg. Beispiel Umsatzsteuer: Auslöser ist die monatliche Voranmeldung. Durchführender ist der Hauptbuchhalter. Häufigkeit monatlich. Beleg ist das ausgedruckte Vier-Augen-Protokoll mit Unterschriften, abgelegt im Workspace im Verzeichnis USt-Voranmeldung im jeweiligen Monatsordner mit eindeutiger Dateibenennung nach Schema Jahr-Monat-USt-VA. Eine Kontrolle ohne Beleg existiert für den Außenprüfer nicht. Die häufigste Schwachstelle in der Praxis ist nicht die fehlende Kontrolle, sondern die fehlende Dokumentation einer durchgeführten Kontrolle. Genau hier scheitert die Verteidigung im Strafverfahren regelmäßig, wenn die Verantwortlichen mündlich versichern, dass geprüft wurde, aber kein Beleg in der Akte liegt.

Schwellenwerte machen das Programm praktikabel. Nicht jeder Geschäftsvorfall benötigt die volle Kontrolltiefe. Üblich ist eine dreistufige Logik: Routinevorfälle bis 25.000 Euro werden stichprobenartig geprüft, etwa jede zwanzigste Buchung mit dokumentierter Auswahlmethode. Vorfälle zwischen 25.000 und 250.000 Euro durchlaufen das Vier-Augen-Prinzip vor der Buchung mit beiden Unterschriften auf dem Beleg. Vorfälle über 250.000 Euro erfordern zusätzlich die schriftliche Freigabe der Geschäftsleitung oder des Tax-Compliance-Beauftragten mit kurzer steuerlicher Würdigung. Diese Schwellen müssen im Programm-Dokument fixiert und im Workspace abrufbar sein, sodass jeder Mitarbeiter im Zweifel nachschlagen kann. Bei Verrechnungspreisthemen senkt sich die Schwelle nach § 90 Absatz 3 AO bereits auf außergewöhnliche Geschäftsvorfälle ohne Betragsgrenze, daher ist hier eine separate Kontrollkette mit eigener Dokumentationspflicht nötig. Im Außenprüfungstermin fragt der Prüfer typischerweise konkret: Zeigen Sie mir die Kontrolle für genau diesen Vorfall. Mit dem CIVAC-Workspace liefert der Verantwortliche die Belegkette innerhalb von Minuten, nicht Tagen. Der Prüfer ruft an, der Nachweis liegt bereit.

Compliance-Kommunikation umfasst zwei Richtungen. Top-down kommuniziert die Geschäftsleitung die Grundsatzerklärung, die Schutzziele und Änderungen im Programm an alle Mitarbeiter und Führungskräfte, idealerweise mit dokumentierter Empfangsbestätigung über das Workspace-System. Bottom-up fließen Hinweise auf mögliche Verstöße, Verbesserungsvorschläge und Risikomeldungen zurück, entweder über die Linienorganisation oder über die Hinweisgeberstelle. Beide Wege müssen in der Bestellurkunde und in der Verfahrensanweisung dokumentiert sein, mit eindeutigen Kontaktstellen, Fristen und Eskalationsregeln. Ein praktisches Element ist die jährliche Steuer-Compliance-Erklärung, in der jede Führungskraft schriftlich bestätigt, dass ihr keine steuerlichen Verstöße in ihrem Verantwortungsbereich bekannt sind und dass sie die geltenden Vorgaben aktiv umgesetzt hat. Diese Erklärung wirkt im Strafverfahren als zusätzliches Indiz gegen die Aufsichtspflichtverletzung und schließt zudem das Berufen auf Unwissenheit aus, weil die Führungskraft mit ihrer Unterschrift Kenntnis und Verantwortung dokumentiert.

Schulungen sind keine Kür. Wer eine Pflichtverletzung mit unterlassener Schulung verbindet, riskiert die Aufsichtspflichtverletzung nach § 130 OWiG mit voller persönlicher Haftung der Geschäftsleitung. Das Schulungsprogramm sollte mindestens drei Ebenen abdecken: Grundunterweisung für alle Mitarbeiter mit Berührung zu steuerrelevanten Prozessen, Vertiefungsschulung für Buchhaltung und Einkauf mit branchenspezifischen Fallbeispielen, Spezialschulung für Mitarbeiter mit Auslandsbezug oder Sonderthemen wie Reverse-Charge, Organschaft, Reisekostenrecht oder Sachbezüge. Jede Schulung wird mit Teilnehmerliste, Inhaltsbeleg, Datum, Dauer und Verständniskontrolle dokumentiert. Eine Schulung ohne Nachweisliste ist im Außenprüfungstermin wertlos und auch im Bußgeldverfahren nicht verwertbar. CIVAC liefert über den Workspace die Schulungsplanung, die Teilnehmerlisten und die Nachweise mit Versionsstand und Audit-Spur. Wenn Sie zusätzlich eine Geldwäschebeauftragten-Funktion bedienen müssen, lassen sich die Schulungsprozesse im selben Workspace führen, ohne redundante Tools und Pflegeaufwand.

Der siebte Baustein nach IDW PS 980 ist die Überwachung. Die Wirksamkeit des Tax CMS wird in zwei Stufen geprüft: Angemessenheitsprüfung und Wirksamkeitsprüfung. Die Angemessenheitsprüfung beantwortet die Frage, ob das System konzeptionell geeignet ist, die identifizierten Risiken zu beherrschen. Geprüft werden Vollständigkeit der Risikolandkarte, Schlüssigkeit der Kontrollen und Abdeckung der wesentlichen Steuerarten. Die Wirksamkeitsprüfung prüft, ob die Kontrollen tatsächlich durchgeführt wurden und in der Praxis funktionieren. Hier werden Stichproben gezogen, Belege gesichtet und Mitarbeiter befragt. Beide Prüfungen können intern durch eine unabhängige Stelle oder extern durch einen Wirtschaftsprüfer nach IDW PS 980 erfolgen. Eine zertifizierende externe Prüfung erhöht den Beweiswert im Strafverfahren erheblich, ist aber für kleinere Unternehmen mit Kosten von 30.000 bis 80.000 Euro aufwendig.

Für die laufende Überwachung empfehlen sich vierteljährliche Stichproben des Tax-Compliance-Beauftragten an den dokumentierten Kontrollen. Geprüft wird, ob die Belegkette vollständig ist, die Unterschriften vorliegen, die Schwellenwerte eingehalten wurden und ob die Schulungen wie geplant durchgeführt wurden. Auffälligkeiten werden in einem strukturierten Berichtswesen an die Geschäftsleitung gemeldet, idealerweise mit Ampelstatus je Risikofeld. Die Berichtslinie ist in der Bestellurkunde fixiert und nicht verhandelbar. Der Jahresbericht des Tax-Compliance-Beauftragten an die Geschäftsleitung enthält die Risikoentwicklung, die durchgeführten Kontrollen, die festgestellten Mängel, den Verbesserungsplan und die Empfehlungen für das Folgejahr. Im CIVAC-Workspace werden diese Berichte versioniert abgelegt, jeder Stand bleibt rekonstruierbar, jede Änderung ist mit Zeitstempel und Autor belegbar. Audit-fest, dokumentiert, § 153 AO-fest. Das ist der Anspruch, und dieser Anspruch ist erfüllbar, wenn die Plattform die Dokumentation systematisch übernimmt.

Ein Tax CMS lässt sich in 90 Tagen auf einen prüfungsfesten Startstand bringen, wenn die Geschäftsleitung Ressourcen zuweist und die Plattform vom ersten Tag steht. Die Tage 1 bis 14 dienen dem Kick-off: Bestellung des Tax-Compliance-Beauftragten mit Bestellurkunde, Festlegung der Berichtslinie an die Geschäftsleitung, Bestandsaufnahme der bestehenden steuerlichen Prozesse, Identifikation der zentralen Stakeholder in Buchhaltung, Einkauf, Vertrieb, Personalabteilung und IT. Parallel wird der Workspace eingerichtet, die Verzeichnisstruktur folgt den sieben Bausteinen nach IDW PS 980. In dieser Phase wird auch die Grundsatzerklärung der Geschäftsleitung formuliert und kommuniziert. Bestellurkunde, unterschrieben, abgelegt, belegbar. Ohne diesen ersten Stand fehlt die formale Grundlage für alle weiteren Schritte.

Die Tage 15 bis 45 sind Risikoanalyse und Programmgestaltung. Jeder Steuerart wird ein Verantwortlicher zugeordnet, die wesentlichen Risiken werden in der Matrix bewertet, das Compliance-Programm wird mit Kontrollen und Schwellenwerten entworfen und mit den operativen Verantwortlichen abgestimmt. Tage 46 bis 75 sind Implementierung: Schulungen werden geplant und durchgeführt, die Vier-Augen-Protokolle werden eingeführt, die Berichtsformate werden festgelegt und an der ersten Voranmeldung getestet. Tage 76 bis 90 dienen der ersten Wirksamkeitsstichprobe und der Erstellung des Jahresberichts an die Geschäftsleitung. Wenn intern keine Kapazität für den Tax-Compliance-Beauftragten besteht, übernimmt CIVAC die Rolle als externer Beauftragter mit SLA von zwei Werktagen für jede Anfrage, statt der klassischen zwei bis sechs Wochen bei externen Beratern. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Modelle führen zur gleichen dokumentierten Reife, die im Außenprüfungstermin trägt und im Bedarfsfall ohne Brüche skalierbar ist.

Ein Tax CMS steht selten allein. In den meisten Unternehmen gibt es bereits ein allgemeines Compliance-Management-System, einen Datenschutzbeauftragten nach Art. 37 DSGVO und gegebenenfalls einen Geldwäschebeauftragten nach § 7 GwG sowie weitere Pflichtbeauftragte aus dem Arbeitsschutz, dem Umwelt- und dem Hinweisgeberrecht. Die Schnittstellen müssen geklärt sein, sonst entstehen Lücken und Doppelarbeit oder im schlimmsten Fall widersprüchliche Anweisungen an die operativen Mitarbeiter. Empfohlen ist eine integrierte Compliance-Landkarte, die zeigt, welcher Beauftragte für welches Thema zuständig ist und wo die Übergaben liegen. Lohnsteuerthemen mit grenzüberschreitender Mitarbeiterüberlassung berühren sowohl Tax als auch Datenschutz, weil Stammdaten und Vergütungsinformationen verarbeitet werden. Verdachtsmeldungen nach § 43 GwG können steuerstrafrechtliche Konsequenzen auslösen und müssen entsprechend mit dem Tax-Compliance-Beauftragten abgestimmt sein, ohne die strengen Geheimhaltungspflichten und das Tipping-off-Verbot des Geldwäschegesetzes zu verletzen.

Die Hinweisgeberstelle nach Hinweisgeberschutzgesetz spielt ebenfalls in das Tax CMS hinein. Wenn ein Hinweisgeber einen steuerlichen Sachverhalt meldet, muss klar sein, wer die Meldung entgegennimmt, wer prüft, wer entscheidet und wie der Hinweisgeber innerhalb der gesetzlichen Frist von sieben Tagen zur Eingangsbestätigung und drei Monaten zur Folgemaßnahme informiert wird. Im CIVAC-Workspace lassen sich die Berichtslinien aller Beauftragten in einer Plattform abbilden, mit getrennten Rechten und gemeinsamem Reporting an die Geschäftsleitung. Sie nutzen 25 Beauftragten-Rollen, 93 Controls nach ISO/IEC 27001:2022 und 37 Audit-Vorlagen in einer integrierten Umgebung mit EU-Datenresidenz. Das macht aus parallelen Silos eine konsistente Compliance-Funktion. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Wer diese Integration nicht vornimmt, riskiert im Strafverfahren Widersprüche zwischen den Beauftragtenberichten, die der Staatsanwalt zur Konstruktion eines Vorsatzes oder zur Begründung einer Aufsichtspflichtverletzung ausnutzen wird.

Ein Tax CMS ist kein Projekt mit Enddatum, sondern eine laufende Funktion. Wenn Sie heute am Anfang stehen, sind die nächsten Schritte konkret: schriftliche Grundsatzerklärung der Geschäftsleitung mit messbaren Schutzzielen, Bestellung des Tax-Compliance-Beauftragten mit Bestellurkunde und klarer Berichtslinie, Aufsetzen des Workspace mit Risikomatrix und Programm-Dokument, Einplanung der ersten Schulungswelle für Buchhaltung, Einkauf und Vertrieb. Innerhalb von 14 Tagen lässt sich ein erster prüfbarer Stand erreichen, der im Fall einer kurzfristigen Außenprüfung bereits ein Indiz im Sinne des BMF-Schreibens zu § 153 AO liefert. Innerhalb von 90 Tagen erreichen Sie eine dokumentierte Reife mit allen sieben Bausteinen, die im Strafverfahren als Verteidigungsgrundlage trägt und gegenüber dem Betriebsprüfer überzeugend wirkt.

CIVAC begleitet diesen Aufbau in zwei Modellen, die parallel oder kombiniert genutzt werden können. Im Workspace-Modell lizenzieren Sie die Compliance-Plattform für Ihre internen Beauftragten und nutzen die 37 Audit-Vorlagen, die Bestellurkundenvorlagen, die Risikomatrix und die Berichtsformate als sofort einsetzbares Gerüst mit EU-Datenresidenz. Im Officer-as-a-Service-Modell stellen wir den externen Tax-Compliance-Beauftragten innerhalb von zwei Werktagen, statt der klassischen zwei bis sechs Wochen bei klassischen Kanzleien oder Beratungsgesellschaften. Beide Modelle nutzen denselben Workspace, dieselbe Berichtslinie und dieselben Vorlagen, sodass ein späterer Wechsel ohne Datenmigration möglich bleibt. Wenn Sie wissen möchten, welcher Reifegrad für Ihre Unternehmensgröße angemessen ist und wie der 90-Tage-Plan auf Ihre Branche zugeschnitten wird, schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de/de/faq. Sie erhalten innerhalb eines Werktages eine erste Einschätzung mit konkreten nächsten Schritten und einem Vorschlag für das passende Modell. Aus dem Lesen einen Auftrag machen.