Aufrufe
vor 5 Jahren

die bank 09 // 2018

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG

REGULIERUNG US-QUELLENSTEUER US-Steuerbehörde verlagert Überwachung auf QIs Ca. 1.500 deutsche Banken haben mit der amerikanischen Bundessteuerbehörde IRS einen Vertrag geschlossen, um Qualified Intermediary (QI) zu werden. Ein QI ist beim Steuereinbehalt berechtigt, seinen Kunden Steuervorteile aus dem Doppelbesteuerungsabkommen mit den USA zu gewähren. Dieses Privileg erkauft sich der QI unter anderem über die Zertifizierung der Angemessenheit und Wirksamkeit interner Kontrollen. Beim Datenaustausch mit den Steuerbehörden ist dies ein bisher einzigartiger Ansatz. Die erste Zertifizierung war für die meisten QIs bereits am 1. September 2018 für die Jahre 2015 bis 2017 im Internet-Portal des IRS (Internal Revenue Service) abzugeben. Größere QIs, die eine Pflichtprüfung durchführen müssen, haben dafür teilweise bis zum 1. März 2019 Zeit. Alle drei Jahre ist die Zertifizierung erneut vorzunehmen. Gegenstand der Zertifizierung sind insbesondere die Einrichtung eines QI-Compliance- Programms und damit die Angemessenheit und Wirksamkeit des internen Kontrollsystems, die Ergebnisse der Pflichtprüfung sowie die Offenlegung bzw. Negativerklärung für einen Katalog wesentlicher Fehler. Dieser Ansatz folgt dem Leitgedanken des Self Policing, der konsequenten Verlagerung der Überwachungsverantwortung vom IRS auf den QI bzw. auf den von ihm zu benennenden Responsible Officer (RO). Der QI hat somit nicht nur die originären steuerlichen Pflichten des QI-Vertrags zu erfüllen, das heißt die Kundendokumentation, den Steuereinbehalt oder die Meldungen gemäß FATCA und US-Quellensteuer-Regeln, sondern auch eine Organisation zu schaffen, die die Einhaltung der anzuwendenden Regeln sicherstellt und bei Bedarf korrigierend eingreift. QI-Compliance-Programm Die zentrale Rolle hat der Responsible Officer als verlängerter Arm des IRS inne. Er ist für die Überwachung der Einhaltung der Regeln, die Einrichtung des QI-Compliance-Programms, die Beauftragung einer sogenannten Pflichtprü- fung und für die Berichterstattung an den IRS zuständig. Oft ist die Rolle des RO schwer zu verorten, da einerseits methodische Überwachungskompetenzen und andererseits steuerfachliches Wissen erforderlich sind. Der Prozess erstreckt sich über diverse Organisationseinheiten des gesamten Instituts. Neue Schnittstellen und Berichtslinien sind zu implementieren, um dem RO die erforderliche Autorität zu verschaffen. Insbesondere bei kleineren Instituten ist ein Vorstandsmitglied als RO zu empfehlen. Ein klarer Marktstandard hat sich derzeit noch nicht herausgebildet, was oft Anlass zur Diskussion bietet. Der QI-Vertrag enthält grob formulierte Pflichtbestandteile des QI-Compliance-Programms. Die Organisationsanforderungen deutscher Institute gemäß MaRisk sollten eine gute Basis bieten. Jedoch müssen die steuerlichen Anforderungen in den Anwendungsbereich dieser Prozesse integriert werden. Historisch waren die QI- und FATCA-Prozesse bis auf die stichprobenbasierte Pflichtprüfung bei größeren Instituten „ungeprüft“ und benötigen daher in der Regel ein Upgrade in das bankinterne Kontrollsystem. Damit geht auch oft ein bedeutender Kulturwandel einher, der meist noch nicht abgeschlossen ist. Angemessenheit und Wirksamkeit des internen Kontrollsystems Die aktive Zertifizierung des internen Kontrollsystems gegenüber einer Behörde ist ein völlig neuer Ansatz in Deutschland. Das deutsche Aufsichtsrecht kennt die eigene Beurteilung der Angemessenheit und tatsächlichen Durchführung (Wirksamkeit) der internen Kontrollen durch das Unternehmen bisher nur bei den Prüfungen der internen Revision. Grundsätzlich haben die Banken für ein angemessenes und wirksames internes Kontrollsystem zu sorgen. Jedoch liegt dessen endgültige Beurteilung in der Regel im Zuständigkeitsbereich von Aufsichtsbehörden und externen Prüfern. Die amerikanische Steuerbehörde greift entsprechend anderen Aufsichtsbehörden nicht vor und überlässt dem RO ziemlich hohe Freiheitsgrade, wie er die Anforderungen umsetzt und auf welcher Grundlage er die Zertifizierung durchführt. Voraussetzung ist jedoch, den gesamten Drei-Jahres-Zeitraum abzudecken, die Vorgehensweise nachvollziehbar zu dokumentieren und die wirksame Durchführung der internen Kontrollen nachweislich zu testen, was – je nachdem wo die RO-Funktion angesiedelt ist – eine neue und teilweise unbekannte Aufgabe darstellt. Das setzt mindestens klare Verantwortlichkeiten, eine schriftlich fixierte Ordnung, angemessene Kontrollen der operativen Einheiten und einen Überwachungsplan des RO voraus. Um auf mögliche identifizierte Schwachstellen zeitnah reagieren zu können, ist ein mindestens jährlicher Turnus der Überwachung zu empfehlen. Eine Auslagerung entbindet den RO nicht von der Erfüllung der Anforderungen und damit der Überwachung. Sofern der Dienstleister sich nicht selbst den Anforderungen unterwirft und den QI von den Ergebnissen der 42 09 // 2018

REGULIERUNG Überwachung unterrichtet, muss der Responsible Officer ein geeignetes Auslagerungscontrolling implementieren und sich selbst von dem internen Kontrollsystem seines Dienstleisters überzeugen. Im Zuge der Anforderungen der MaRisk und aktuellen Veröffentlichungen der EBA sollte dies in der Theorie zwar keine neue Anforderung sein, in der Praxis ist es dies jedoch meist schon. Offenlegung von wesentlichen Fehlern Früher hat der IRS mithilfe des Berichts über die Pflichtprüfung die Compliance des QI beurteilt. Nun muss der RO im Rahmen der Zer- tifizierung nicht nur selbst die Ergebnisse der Pflichtprüfung, sondern auch die Ergebnisse seiner eigenen Überwachungshandlungen und weitere selbstidentifizierte Mängel einwerten und gegenüber dem IRS offenlegen. Leitgedanke ist immer, dass bei einem funktionierendem internen Kontrollsystem Fehler nicht passieren sollten. Entsprechend muss der RO Fehler aus verschiedenen Quellen systematisch erheben und für die Zertifizierung laufend überwachen. Der QI-Vertrag unterscheidet dabei zwischen kleineren, sogenannten wesentlichen Fehlern, für die ein abschließender Katalog vorliegt, und Vertrags- 09 // 2018 43

die bank