Tax Compliance für Genobanken am Beispiel der Umsatzsteuer

Kolja Dette, StB, Abteilungsleiter Steuern/Konzern, Berliner Volksbank eG, Berlin

Dr. Sebastian Brauer, WP/StB/CISA, Schomerus & Partner mbB, Hamburg

I. Einleitung

Die Komplexität des Steuerrechts sowie die Verflechtungen steuerlicher Prozesse in betriebliche Abläufe können dazu führen, dass Steuerpflichtige im Nachhinein geänderte Steuererklärungen abzugeben haben oder es im Rahmen steuerlicher Außenprüfungen zu Feststellungen kommt. Bei Änderung einer bereits eingereichten Steuerdeklaration kann stets die Frage aufkommen, warum ein etwaiger Berichtigungsbedarf entstanden ist und ob dieser hätte von vornherein vermieden werden können. Zudem kann in diesen Fällen auch hinterfragt werden, ob der Steuerpflichtige seinen gesetzlichen Pflichten in ausreichendem Maß nachgekommen ist und ob im Falle einer Steuerverkürzung Fahrlässigkeit oder Vorsatz hätte angenommen werden können.

Die Finanzverwaltung hat in dem Anwendungserlass zu § 153 Abgabenordnung (BMF vom 23.05.2016) beschrieben, dass ein beim Steuerpflichtigen eingerichtetes innerbetriebliches Kontrollsystem, das der Erfüllung steuerlicher Pflichten dient, ein Indiz darstellen kann, das gegen das Vorliegen eines Vorsatzes oder der Leichtfertigkeit im Zusammenhang mit einer Steuerverkürzung aufgrund einer materiell und formell falschen Steuererklärung spricht.

Die Bedeutung und Relevanz solcher Kontrollsysteme war zudem bereits Bestandteil der nationalen Rechtsprechung. So kam der Bundesgerichtshof (BGH) mit Urt. v. 09.05.2017 zu dem Ergebnis, dass es für die Bemessung einer Geldbuße auch von Bedeutung ist, ob ein effizientes Compliance-Management installiert ist, welches auf die Vermeidung von Rechtsverstößen ausgelegt ist.

Der aktuelle Gesetzesentwurf des Verbandssanktionsgesetzes zur Bekämpfung der Unternehmenskriminalität sieht vor, dass geeignete Compliance-Management-Systeme Voraussetzung dafür sein können, dass eine Sanktionierung des Unternehmens nicht erfolgt.

Insoweit gibt es durch die Aufnahme dieser Regelung in den Anwendungserlass eine Vorgabe für die Finanzverwaltung, dass Tax Compliance Management Systeme (TCMS) zur Reduzierung steuerstrafrechtlicher Risiken geeignet sein können. Im Rahmen der Bemessung von Geldbußen können zudem vorhandene und wirksame TCMS dazu geeignet sein, eine entlastende Wirkung im Unternehmen zu erzeugen. Im Ergebnis kann die Einrichtung eines entsprechenden Systems die Organe und Mitarbeiter eines Unternehmens vor Steuer- und Haftungsrisiken sowie vor Strafverfolgung schützen.

Neben den nationalen bislang sehr rudimentären Regelungen zum TCMS kann sich zudem der Blick über die Landesgrenzen hinaus lohnen, um eine Idee von künftigen Entwicklungen im Zusammenhang mit innerbetrieblichen steuerlichen Kontrollsystemen zu erhalten.

In Großbritannien sind gesetzliche Regelungen zu innerbetrieblichen steuerlichen Kontrollsystemen schon länger bekannt, und diese haben hier bereits eine wesentlich höhere Relevanz, als dies bislang in Deutschland der Fall ist. Die britische Finanzverwaltung geht diesbezüglich einen Schritt weiter, da hier bereits das Nichtvorhandensein angemessener Präventionsmaßnahmen zur Vermeidung von Steuerverkürzungen bereits strafbegründend wirken kann.

Gemäß der österreichischen Bundesabgabenordnung können Unternehmen mit einem zertifizierten Steuerkontrollsystem von Vereinfachungen im Rahmen steuerlicher Außenprüfungen profitieren (sog. begleitende Kontrollen).

Bereits heute werden Fragen zur effizienteren und vereinfachten Durchführung steuerlicher Außenprüfungen bei Vorhandensein innerbetrieblicher steuerlicher Kontrollsysteme auf Ebene der Verbände und der Finanzverwaltung diskutiert. Insoweit kann davon ausgegangen werden, dass dieses Thema in Zukunft weiter an Gewicht gewinnen wird.

Neben den steuerlichen Regelungen aus der Abgabenordnung sind für Banken zudem die Mindestanforderungen an das Risikomanagement (MaRisk) einzuhalten. Aus steuerlichen Sachverhalten können insbesondere operationelle Risiken entstehen, denen durch angemessene Maßnahmen Rechnung zu tragen ist. Die Bedeutung steuerlicher Risiken hat sich vor allem in den vergangenen Jahren, bspw. bei Cum-Ex-Geschäften, gezeigt. Banken werden sich daher in Zukunft verstärkt mit der Beurteilung steuerlicher Risiken befassen und Maßnahmen implementieren, um etwaige Folgen aus diesen Risiken auf ein akzeptables Maß zu reduzieren.

II. Inhalt und Aufbau eines TCMS

Die inhaltliche und ablauforganisatorische Gestaltung eines TCMS wurde in der Literatur bereits ausführlich behandelt[1]. Der Managementkreislauf sieht in Anlehnung an die Verlautbarungen des Instituts der Wirtschaftsprüfer (IDW) und dem Standard IDW PS 980 regelmäßig folgende Elemente eines TCMS vor:

• Compliance-Kultur
• Compliance-Ziele
• Compliance-Risiken
• Compliance-Programm
• Compliance-Organisation
• Compliance-Kommunikation
• Compliance-Überwachung

In der Praxis ist zu erkennen, dass bereits vielfältige risikobasierte Anwendungen bei vielen Kreditinstituten im Einsatz sind, die für sich betrachtet nur einen Teil der oben genannten Bestandteile abdecken und weitestgehend eine angemessene Analyse der Compliance-Kultur oder Compliance-Kommunikation vernachlässigen. Die Ursache für diese Entwicklung dürfte in der noch nicht oft anzutreffenden abteilungsübergreifenden Kommunikationskultur aufgrund der starken aufsichtlichen Prägung von Compliance begründet sein[2].

Für das Beispiel der Umsatzsteuer bedeutet dies, eine Einbindung von Kontrollen in die relevanten Geschäftsprozesse zu schaffen und das Geschäftsvorfallmanagement entsprechend zu konfigurieren, um möglichst alle wesentlichen Bestandteile eines TCMS abzudecken.

Zu den grundsätzlich umsatzsteuerpflichtigen Geschäften gehören u. a.:

• Depotgeschäfte, also die Verwahrung und Verwaltung von Wertpapieren
• Provisionen aus Vermittlungsgeschäften (Courtage bei Immobiliengeschäften)
• Vermietung von Schließfächern
• Verkauf von Sicherungsgütern
• Handel mit Edelmetallen, Münzen und Medaillen.

Für Banken, die eine Umsatzsteuer-Optierung gewählt haben, können nach § 4 UStG umsatzsteuerfreie Geschäfte, wie bspw.

• Zahlungs- und Überweisungsverkehr, d. h. Kontoführungsgebühren
• Gewährung und Vermittlung von Krediten, im Wesentlichen Zinsen und Provisionen

der Umsatzsteuer unterworfen werden. Diese unterliegen dann einer Besteuerung mit dem Regelsteuersatz von 19 %. Zur Nutzung des für die Banken in diesem Fall möglichen Vorsteuerabzugs auf bezogene Lieferungen und Leistungen müssen die vorrangig gewerblichen Kunden über die Ausübung der Option bei der Bank informiert und deren Umsatzsteuerpflicht geklärt werden. Im nächsten Schritt sollten die bei der Bank geführten Konten im Rechnungswesen als der Option unterliegende Konten deklariert werden, um die relevanten Umsätze zu erfassen. Diese Umsätze stellen die Grundlage des „Bankenschlüssels“ dar, der wiederum den anteiligen Vorsteuerabzug für den Veranlagungszeitraum definiert.

Für die Bearbeitung der umsatzsteuerlich relevanten Sachverhalte sind insbesondere die Mitarbeiter*innen im Rechnungswesen und ggf. externe Steuerberater einzubinden, die in vielen Fällen bei kleineren Häusern zur Unterstützung der internen Mitarbeiter*innen anzutreffen sind. Bedeutende Schnittstellen bestehen zum Vertrieb, der die Kundenansprache und die Informationsbeschaffung übernimmt. Als Stabstellen sind die Compliance- und Informationssicherheitsbeauftragten (CISO) sowie die Interne Revision zu informieren und in die Projektarbeit zu integrieren. Technisch unterstützt wird die Umsetzung durch die IT. Die Gesamtverantwortung für die Angemessenheit und Funktionsfähigkeit des TCMS obliegt dem Vorstand der Bank.

Die folgende Grafik soll die Vielzahl von Personen, die in das TCMS einzubinden sind, verdeutlichen.

Abbildung 1: Übersicht der Projektteilnehmer bei der Einführung eines TCMS

III. Umsetzung

1. Organisatorische Anforderungen

Der Implementierung eines TCMS geht eine Bestandsaufnahme zur Erfassung der bestehenden und neuen Prozesse sowie der Informationsflüsse, die die im vorherigen Abschnitt dargestellten Personen betreffen, voran. Zu Beginn des Projektes sollten die Projektverantwortlichkeiten – fachliche und technische Betreuung sowie die kommunikative Weiterleitung an den Vertrieb – geklärt werden. In Abhängigkeit von der Größe der Bank und der Komplexität der betriebenen Geschäfte ist mit einer Projektdauer von zwölf bis 18 Monaten zu rechnen.

Im Wesentlichen sollten die grundlegenden Prozesse zu steuerlichen Sachverhalten bereits im Organisationshandbuch dargestellt sein. Ebenso sollten diese im Informationssicherheitssystem enthalten und einer Risikoklassifizierung unterzogen worden sein. Zur komprimierten Vorlage der aufbau- und ablauforganisatorischen Regelungen des TCMS im Falle einer Betriebsprüfung bietet es sich an, eine zusammenfassende Steuer-Richtlinie mit speziellen Abschnitten für die Umsatzsteuer zu erstellen. Diese Richtlinie sollte um Fachkonzepte aus der Umsetzungsphase ergänzt werden, die durch die Mitarbeiter*innen während der Implementierung verfasst wurden.

Erklärtes Ziel der Neugestaltung der Richtlinien und der Analyse der Prozesse sollte die Möglichkeit zum besseren aktiven „Leben“ im Arbeitsalltag, insbesondere bei Häusern mit einer ausgeübten Umsatzsteuer-Option und der diesbezüglich höheren Komplexität, sein.

Aufsichtlich sollte bei der Wahl zur Umsatzsteuer-Option zumindest überprüft werden, ob durch die Option bestehende Produkte wesentlich neu strukturiert oder gänzlich neue Produkte geschaffen werden, die einem Neu-Produkt-Prozess nach AT 8.1 MaRisk unterliegen könnten. Derweil sollte auch eruiert werden, ob durch die prozessualen Anpassungen durch die Option ein Fall des AT 8.2 MaRisk, also eine wesentliche Veränderung von betrieblichen Prozessen oder Strukturen, gegeben ist. Nicht zuletzt sollte bei einer Bearbeitung von bedeutenden steuerlichen Aspekten durch einen externen Steuerberater das Vorliegen einer Auslagerung nach AT 9 MaRisk beachtet werden.

Für eine optimal gestaltete, verständliche Darstellung der Prozesse und bestehenden Kontrollen innerhalb des TCMS sollte das verwendete Organisationshandbuch bzw. die Steuer-Richtlinie interaktive Möglichkeiten zur Verknüpfung von weiteren Dokumenten mit Compliance-Bezug, wie bspw. zu den aufgestellten Unternehmenswerten (Compliance-Kultur) oder zum Risikomanagement (Compliance-Risiken), beinhalten. Auf diese Weise wird ein verbessertes Verständnis gegenüber den handelnden Personen in Bezug auf die überwachten Prozesse geschaffen. Die CISOs werden als Beteiligte im TCMS der Frage nach der Risikoklassifizierung der Prozesse und zu treffender Sicherungsmaßnahmen, die als Bestandteil dem TCMS zuzurechnen sind, nachgehen. Insofern wird dokumentarisch eine Redundanz bei der Gestaltung der Steuer-Richtlinie im Projekt zur Umsetzung des TCMS zwischen CISO, Compliance Officer und den fachlichen Mitarbeiter*innen im Rechnungswesen bestehen, die durch eine agile Gestaltung des Projektablaufs und einen regelmäßigen Austausch verhindert werden kann.

Da steuerliche Prozesse zumeist nicht von einer einzigen Organisationseinheit in der Bank ausgelöst werden, bestehen im Rahmen steuerlicher Kontrollsysteme hohe Anforderungen an die Kommunikation innerhalb der Bank und auch an die Kommunikation des Unternehmens mit dem externen steuerlichen Berater.

Beispiel:

Die Bank führt ein neues Produkt ein. Im Rahmen des Produkteinführungsverfahrens ist sicherzustellen, dass eine umsatzsteuerliche Bewertung des Produktes durch die Fachabteilung bzw. den externen steuerlichen Berater erfolgt.

Anschließend ist zu beachten, dass das Ergebnis der umsatzsteuerlichen Beurteilung in den künftigen Bearbeitungsprozessen berücksichtigt wird. Dies kann u. a. die Erfassung eines Umsatzsteuerschlüssels in dem Buchhaltungssystem sein.

Die Ergebnisse aus den umsatzsteuerlichen Beurteilungen wären dann ggf. an den Kunden zu kommunizieren bzw. in dem Preis- und Leistungsverzeichnis aufzunehmen. Prozessual ist sicherzustellen, wie der Kunde eine ordnungsgemäße Rechnung erhält bzw. wie die erforderlichen Angaben in dem Kontoauszug des Kunden aufgenommen werden können.

Wie das Beispiel zeigt, kann sich je nach Organisation der Bank eine Vielzahl von Schnittstellen ergeben. Im Rahmen einer TCMS-Dokumentation sollte beschrieben werden, welche Organisationseinheit für welche Teilaufgabe verantwortlich ist und wie die Kommunikation zwischen den Organisationseinheiten abläuft.

Neben der Festlegung einzelner Rollen und Verantwortlichkeiten im Zusammenhang mit steuerlichen Prozessen im Unternehmen sind im Rahmen des TCMS Kontrollen einzurichten. Kontrollen können dabei als manuelle Kontrollhandlungen (Vier-Augen-Prinzip, Plausibilisierungen etc.) oder vollständig automatisiert erfolgen. Die Entscheidung, welche Art von Kontrollhandlung zur Vermeidung eines bestimmten steuerlichen Risikos die geeignete ist, hängt in der Regel von der Schadenshöhe und der Eintrittswahrscheinlichkeit eines Schadensfalls sowie der Komplexität des Prozesses ab.

Bei umsatzsteuerlich relevanten Sachverhalten besteht diesbezüglich die Besonderheit, dass diese häufig sehr standardisiert (bspw. auf Basis von Steuerschlüsseln) und in großer Anzahl verarbeitet werden. Aus diesen Gründen ist diesen Sachverhalten ein hohes systemisches Risiko immanent. Im Rahmen eines TCMS sollte daher ein hoher Grad der Qualität und Sicherheit bei der Erfassung und Administration von Stammdaten (Erfassung von Steuerschlüsseln, umsatzsteuerliche Beurteilung sich wiederholender Geschäftsaktivitäten, Auswertung der steuerpflichtigen Umsätze für Zwecke der Steuerdeklaration) sichergestellt werden.

Aufgrund der hohen Anzahl standardisierter Geschäftsvorfälle eignen sich Umsatzsteuerprozesse insbesondere für automatisierte Kontrollen. In der Praxis finden sich hier daher auch die ersten Einsatzgebiete für Analysen und Kontrollen mittels künstlicher Intelligenz, mit denen sich beispielsweise Anomalien bei erfassten Umsatzsteuerschlüsseln erkennen lassen.  

2. Technische Anforderungen

Im Rahmen des Umsetzungsprojektes des TCMS sollte eingangs untersucht werden, welche notwendigen Funktionen bei der Beachtung der umsatzsteuerlichen Vorgaben durch das Kernbankverfahren selbst erledigt oder durch Eigenentwicklungen bzw. -programmierungen übernommen werden müssen. Durch die konkretisierenden Vorgaben der Bankaufsichtlichen Anforderungen an die IT (BAIT) wurden die Anforderungen an die Verwendung von Eigenentwicklungen bzw. -programmierungen nochmals verschärft. Im Folgenden soll davon ausgegangen werden, dass die Bank sich erläuternden Eigenentwicklungen im Microsoft-Excel-Format bedient, jedoch wesentliche Prozessschritte im Kernbankverfahren verbleiben.

Die für die Bearbeitung der Umsatzsteuer neu geschaffenen Eigenentwicklungen sind nach den MaRisk und den BAIT u. a. in einem Register aufzuführen und mit einer umfassenden Dokumentation der Funktionen zu versehen. Zudem muss eine Erläuterung des Updateverlaufs über die Versionierung gewährleistet werden. Eine enge Einbindung der IT und der CISOs in Absprache mit dem Rechnungswesen zur Klärung der fachlichen Vorgaben ist hierbei zwingend erforderlich. Gedanklich kann während des Projektes als Vergleich die Erstellung eines Lasten- bzw. Pflichtenheftes für eine neu zu erwerbende Software dienen. Die für Personen des Beauftragtenwesens vorherrschende Denkweise in internen Kontrollsystemen und der hiermit verbundenen Risiken kann in diesem Zusammenhang durchaus förderlich sein. Die an dieser Stelle skizzierten Anforderungen an Eigenentwicklungen und der damit einhergehende Arbeitsaufwand verdeutlichen, dass die Vermeidung von Microsoft Excel-Lösungen eine hohe Priorität innerhalb des Projektes genießen und, wenn möglich, sämtliche Prozessschritte integriert im Kernbankverfahren abgebildet werden sollten.

In der Praxis zeigen sich jedoch häufig Grenzen bei der Abbildung steuerlicher Prozesse im Kernbankverfahren. Beispielsweise lassen sich gesellschaftsübergreifende Sachverhalte (u. a. umsatzsteuerliche Organschaften), grenzüberschreitende Geschäftsvorfälle (u. a. innergemeinschaftliche Erwerbe, Umkehr der Steuerschuldnerschaft) oder der Vorsteuerabzug (u. a. Berichtigungen des Vorsteuerabzugs) nicht oder nur teilweise über die vorhandenen Systeme abschließend abbilden.

Grundsätzlich sollten die für ein TCMS zu analysierenden Überwachungsmechanismen bei der Implementierung des TCMS nach Komplexität gegliedert werden. Die Identifikation der der Option unterliegenden Konten in der Abrechnungssteuerung erfordert einen hohen manuellen Aufwand und Abstimmungsbedarf des Rechnungswesens mit den Abteilungen des Vertriebs und ist daher als ein Prozess mit höherer Komplexität zu klassifizieren.

Zur Vermeidung von Fehlerpotenzialen sollte der Prozess kleinteilig im Organisationshandbuch hinterlegt werden und die Verantwortung der Abteilungen für einzelne Prozessschritte hervorheben. Prozessintegrierte Kontrollen sind für diesen Prozessbestandteil folglich nur mit einem verhältnismäßig hohen Aufwand realisierbar. Eine automatisierte Überwachung dieses Prozessschrittes im TCMS ist demnach nur durch nachgelagerte Kontrollen im Bankenverfahren möglich.

Abbildung 2: Prozessschritte der USt-Option und deren Komplexität

Des Weiteren sollte die technische Möglichkeit geschaffen werden, die relevanten Umsätze vollständig auf den Konten zu identifizieren. In der Regel bieten die Bankenverfahren in der Darlehensverwaltung oder im Zahlungsverkehr nicht die Möglichkeit, Umsätze mit einem Umsatzsteuerschlüssel zu versehen, da die Ausübung der Option in der Regel auf Kontenebene erfolgt. Eine Erstellung von zusätzlichen Personen- oder Sachkonten im Rechnungswesen, die prozessintegriert automatisiert zur Ermittlung des „Bankenschlüssels“ außerhalb des Bankenverfahrens auswertbar sein müssen, ist meist die Folge.

Zwar ist innerhalb des Prozesses im Wesentlichen nur eine Abteilung – das Rechnungswesen – tätig, allerdings erfordert die Versorgung einer Schnittstelle zur Berechnung des Bankenschlüssels in einer Eigenentwicklung außerhalb des Bankenverfahrens eine hohe Sorgfalt und fachliche Expertise, so dass dieser Schritt eher als Prozessablauf mit höherer Komplexität anzusehen ist. Überwachungsmechanismen sind somit auch für diesen Prozessschritt nur mit unverhältnismäßig hohem Aufwand darstellbar. Nachgelagerte Kontrollen in Form von automatisierten Plausibilitätsüberprüfungen im TCMS sollten daher die Regel sein.

PRAXISTIPPS

• Die isolierte Betrachtung einzelner Anknüpfungspunkte des TCMS bei ausgewählten umsatzsteuerlichen Prozessen verdeutlicht bereits die Komplexität eines Implementierungsprojektes.
• Im Gegenzug zu den Aufwendungen eines Kreditinstituts, die durch Bestandsaufnahmen, Risikobewertung, Dokumentation und Prozessanpassungen entstehen, hat das Kreditinstitut zugleich die Chance, sämtliche umsatzsteuerlich relevanten Prozesse nach ihrer Effektivität und Effizienz hin zu beurteilen und zugleich steuerliche Risiken zu verringern.
• So bietet sich beispielsweise die Chance, im Rahmen eines TCMS-Implementierungsprojektes Themen wie die Einführung einer Umsatzsteuer-Option oder die (Teil-)Automatisierung steuerlicher Prozesse voranzutreiben um damit insgesamt wirtschaftliche Vorteile durch nachhaltige Kostenreduktionen zu erzielen.