Compliance – Brennpunkte im Mittelstand

Umfrageergebnisse einer aktuellen Studie

Von Christan Parsow und Mirco Vedder

Beitrag als PDF (Download)

Einleitung

Unternehmen haben mit verschärften Rahmenbedingungen zu kämpfen. Das gilt für Großkonzerne und mittelständische Unternehmen gleichermaßen. Und das haben mittlerweile nicht nur die großen Unternehmen verstanden: Auch im Mittelstand ist das Thema Compliance längst angekommen, dies belegte bereits der erste Teil der im Herbst 2016 erschienenen Studie „Compliance – Handlungsoptionen im Mittelstand“, die von Ebner Stolz gemeinsam mit dem F.A.Z.-Institut herausgebracht worden ist. Doch was gibt es für mittelständische Unternehmen zu tun, und wo liegen aktuell die Compliancebrennpunkte für mittelständische Unternehmen? Mit diesen Themen beschäftigt sich der zweite Teil der aktuell erschienenen Studie „Compliance – Brennpunkte im Mittelstand.“

Fest steht: Mit offiziellen Ermittlungen seitens der Staatsanwaltschaft oder der Steuerbehörden kam bereits mehr als ein Viertel der Befragten in Berührung. Großunternehmen sind hier deutlich häufiger betroffen als Mittelständer (Großunternehmen 45%, Mittelständler 13%). Bei den Unternehmen der Bauwirtschaft und Logistik sind es sogar 50%. Die befragten Mittelständler mit Compliancevorfällen mussten sich in der Regel mit ein bis drei Vorfällen im betrachteten Zeitraum beschäftigen. Bei jeweils einem Fünftel der befragten Großunternehmen waren es auch schon vier bis zehn beziehungsweise mehr als zehn Vorfälle.

Hoher finanzieller Schaden

Ernüchternd sind dabei die größtenteils beträchtlichen Schadenssummen, die sich bei 42% der Unternehmen auf mehr als 100.000 Euro belaufen; bei knapp mehr als der Hälfte der Unternehmen sind Schäden durch Complianceverstöße von mehr als 50.000 Euro entstanden. Für mittelständische Unternehmen kann der finanzielle Schaden durch einen Compliancevorfall somit schnell existenzbedrohend werden, denn knapp 37% der Verstöße haben auch bei den befragten mittelständischen Unternehmen einen finanziellen Schaden von mehr als 100.000 Euro verursacht. Ausländische Tochtergesellschaften, der Vertrieb und die Geschäftsleitung waren in den befragten Unternehmen überdurchschnittlich oft von Compliancevorfällen betroffen. Von der Personalabteilung über die IT sowie die Forschungs- und Entwicklungsabteilung bis hin zur Rechtsabteilung wurden in allen Unternehmensbereichen Vorfälle registriert.

Die Studienergebnisse basierten auf einer empirischen Befragung, an der sich 447 Entscheider aus großen und mittleren Unternehmen beteiligt haben.

Bedrohungsfelder: IT-Sicherheit, Datenschutz, Korruption, …

99% der befragten Großunternehmen und immerhin 80% der mittelständischen Unternehmen haben Compliancerisiken für sich als wesentlich eingestuft. Unter den Top Ten der Compliancerisiken rangieren nach wie vor die Themen IT-Sicherheit und Datenschutz an oberster Stelle (94% und 95%). Verstärkt werden die in diesem Bereich erkannten Compliancerisiken durch die am 28.05.2018 in Kraft tretende Datenschutz-Grundverordnung, die die Unternehmen mit weiteren erheblichen Sanktionen bei entsprechenden Verstößen belegt. Darüber sind sich die Befragten aus Mittelstand und Großunternehmen branchenunabhängig einig. An dritter Stelle der sehr wichtigen Handlungsfelder steht Korruption. Bestechung ist heute kein Kavaliersdelikt mehr. Die Hälfte der Befragten stuft die Korruptionsbekämpfung als sehr wichtig für das eigene Unternehmen ein. Das Thema ist für Großunternehmen wichtiger als für den Mittelstand. Bauwirtschaft und Logistik sind nach eigener Beurteilung stärker betroffen als Dienstleister.

… Steuerrecht, …

Auch dem Steuerrecht wird erhebliches Risikopotential zugeschrieben: Im Herbst 2016 haben 82% der befragten Unternehmen Steuerrecht als wichtiges Compliancehandlungsfeld ausgemacht; 2018 sind dies nun 85% – die größten Risiken werden dabei weiterhin im Bereich der Verrechnungspreise und der Umsatzsteuer ausgemacht. Insbesondere seit Ergehen des BMF-Schreibens vom 23.05.2016 zu § 153 der Abgabenordnung besteht im Bereich Tax-Compliance für Unternehmen unmittelbarer Handlungsbedarf. Denn darin führt die Finanzverwaltung aus, dass ein steuerliches innerbetriebliches oder internes  Kontrollsystem die Unternehmen vom Vorwurf der leichtfertigen Steuerverkürzung entbinden kann, wobei sich die Finanzverwaltung eine Entscheidung im Einzelfall vorbehält. Mit diesem Themenbereich setzt sich die Studie intensiv auseinander.

… Internationales

Und der Handlungsdruck steigt vor allem im internationalen Bereich weiter: So können im Rahmen der Reform der Mehrwertsteuerrichtlinie sogenannte registrierte Unternehmen verfahrensrechtliche Vorzüge genießen, wenn sie ein entsprechendes System implementiert haben. Zudem ist mit Wirkung zum 30.09.2017 in Großbritannien und Nordirland ein neues Unternehmensteuerstrafrecht in Kraft getreten, das auch deutsche Unternehmen empfindlich treffen kann. Unternehmen können sich von einem strafrechtlichen Vorwurf nur entlasten, wenn sie Präventionsmaßnahmen implementiert haben. Die dazu von der britischen Finanzverwaltung vorgegebenen Voraussetzungen entsprechen grundsätzlich den Grundelementen eines CMS nach den Vorgaben des Instituts der Wirtschaftsprüfer (IDW PS 980).

Mehr als die Hälfte der Großunternehmen verfügt bereits über ein Tax-Compliance-Management-System; im Mittelstand besteht Nachholbedarf: Lediglich 6% der Entscheider haben bereits ein solches implementiert. Unter den befragten mittelständischen Unternehmen, die sich mit dem Thema Tax-Compliance auseinandergesetzt haben, haben bereits 61% ein umfassendes Tax-Compliance-Management-System eingeführt oder planen aktuell eine Implementierung. Haben sich die Unternehmen somit erst einmal mit der Sache befasst, erkennen sie zugleich die Dringlichkeit, entsprechende Compliancevorkehrungen zu treffen.

Unternehmensinterne Umsetzung von Compliance

In mittelständischen Unternehmen sind eigene Complianceabteilungen eher selten. Gerade einmal 45% der in diesem Segment befragten Unternehmen verfügen über eine eigene Complianceabteilung. Entsprechend hinken Mittelständler bei der Umsetzung von Compliancemaßnahmen deutlich hinterher. Während etwa 91% der Großunternehmen bereits Compliancerichtlinien eingeführt haben, halten nur 66% der mittelständischen Unternehmen ein entsprechendes Regelwerk vor. 73% der Großen haben ein unternehmensweites Compliancemanagementsystem eingeführt; im Mittelstand sind dies hingegen nur 27%. Dabei fehlt in mittelständischen Unternehmen mitunter vielfach nur ein kleiner Schritt: Häufig bestehen bereits effektive Strukturen im Kleinen, die nur noch anzupassen, zusammenzufügen oder zu aktualisieren sind. Auch ist nicht zwingend für jedes mittelständische Unternehmen ein umfassendes Compliancemanagementsystem erforderlich; hier mögen entsprechende Strukturen in Abteilungen mit hohem Risikopotential, etwa in der Steuerabteilung oder im Einkauf, genügen. Hierzu ist es aber notwendig, Compliancerisiken zu identifizieren. Das muss regelmäßig geschehen, denn die Risiken können sich im Lauf der Zeit ändern. Eine Methode zur risiko- und bedarfsorientierten Steuerung des CMS ist die Durchführung eines Compliance-Risiko-Assessments. Zwei Drittel der Befragten aus Großunternehmen geben an, dass dieses Risikoanalyseinstrument in ihrem Unternehmen genutzt wird. Bei den mittelständischen Unternehmen sind es 30%.

Wichtiges Instrument: Schulungen

Ein compliancekonformes Verhalten der Mitarbeiter kann nicht einfach vorausgesetzt werden. Richtlinien und Maßnahmen sowie ihre Notwendigkeit müssen vermittelt werden. Rund sieben von zehn befragten Unternehmen schulen ihre Mitarbeiter entsprechend. Auch hier sind die Großunternehmen Vorreiter: 86% führen Complianceschulungen durch. Im Mittelstand sind es immerhin 52%.

Eine Zertifizierung des CMS ist bislang eher selten. Nur 30% der Großunternehmen und 23% der Mittelständler sind zertifiziert oder planen dies in naher Zukunft.

Fazit

Insgesamt bleibt festzuhalten, dass eine Vielzahl öffentlich gewordener Complianceverstöße zeigt, wie gravierend die Schäden durch Betrug, Korruption und andere Formen der Wirtschaftskriminalität sein können. Davon ist auch der Mittelstand zunehmend betroffen. Allerdings heißt das Wissen um die Risiken noch nicht, dass in den Unternehmen auch entsprechende Vorkehrungen zur Risikovermeidung getroffen werden. Während die großen Unternehmen überwiegend ihre Hausaufgaben in Sachen Compliance gemacht haben, zeigt sich gerade im Mittelstand, dass die Umsetzung von notwendigen Compliancemaßnahmen noch eine große Herausforderung darstellt. Wenngleich die Unternehmen allesamt den Anspruch verfolgen, sich rechtstreu zu verhalten, fehlen oft explizite interne Prozesse und entsprechende Strukturen, die Compliancevorkehrungen zielführend orchestrieren. Hier besteht dringender Nachholbedarf.

christian.parsow@ebnerstolz.de

mirco.vedder@ebnerstolz.de