Revisionssicher mit Softwarebescheinigung und GoBD-Verfahrensdokumentation

Für viele Softwareuser ist ein Softwaretestat z.B. nach IDW PS 880 irreführend. Häufig wird angenommen, dass das Testat die Revisionssicherheit sichergestellt und die Verfahrensdokumentation nach GoBD ersetzt.

Wir möchten hier die „Mythen“ aus der Welt schaffen. Doch zunächst gehen wir auf die Begrifflichkeiten ein, mit denen sich Unternehmen konfrontiert fühlen:

Wichtige Begriffe und Abkürzungen, wenn wir über Revisionssicherheit sprechen möchten, sind die folgenden:
IDW = Institut der Wirtschaftsprüfer
PS = Prüfungsstandard
GoBD = Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff
GoB = Grundsätze ordnungsmäßiger Buchführung
FAIT = Fachausschuss Informationstechnologie
HGB = Handelsgesetzbuch
AO = Abgabenordnung
BDSG = Bundesdatenschutzgesetz
DSGVO = Datenschutz-Grundverordnung

Das Institut der Wirtschaftsprüfer (IDW) publiziert „IDW-Verlautbarungen“. Nach diesen Grundsätzen können Wirtschaftsprüfer unbeschadet ihrer Eigenverantwortlichkeit ihrer Prüfungstätigkeit nachgehen. Zu den IDW-Verlautbarungen zählen unter anderem „IDW Prüfungsstandards (IDW PS)“, „IDW Stellungsnahmen zur Rechnungslegung (IDW RS)“, „IDW Standards (IDW S)“, „IDW Prüfungshinweise (IDW PH)“, „IDW Rechnungslegungshinweise (IDW RH)“ .

Wir gehen hier konkreter auf den IDW PS 880 („Erteilung von Softwarebescheinigungen“) ein. Die Prüfung orientiert sich an den Anforderungen an Systemprüfungen bei Einsatz von IT (IDW PS 330) sowie den Grundsätzen ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1). Neben den genannten Verlautbarungen sind ebenfalls rechtliche Aspekte bei der Prüfung zu beachten:
– HGB
– AO
– GoB
– GoBD (bzw. Vorgänger: GDPdU und GoBS)

Nach der Prüfung erhält der Softwarehersteller einen Abschlussbericht sowie die Softwarebescheinigung. Dabei wird die Software dahingehend geprüft, dass der korrekte Einsatz der Software den rechtlichen Aspekten entspreche kann. Typische Prüfungsbereiche sind:
– Softwareentwicklungsprozess
– Dokumentationsprüfung
– Softwaresicherheit
– Programmfunktionen

Für Unternehmen hat das Zertifikat im ersten Moment keine unmittelbare Aussagekraft. Das Zertifikat alleine sagt nichts über das eingerichtete System, also die spezifische Implementierung und Anpassung aus. Auch gibt das Zertifikat einem Prüfer keine Hinweise über die steuerrelevanten Prozesse und das interne Kontrollsystem (IKS). Der Mehrwert einer vorhandenen Softwarebescheinigung liegt in der Gewissheit, dass die Software die notwendigen Grundlagen für den ordnungsgemäßen Einsatz im Unternehmen „von Haus aus“ (also vom Softwarehersteller ausgehend) mitbringt. Das ausgelieferte Zertifikat ist daher ein ideales Fundament für die Verfahrensdokumentation zur Erfüllung der Anforderungen aus den GoBD.

In den GoBD ist ganz klar beschrieben, was zu tun ist, damit Unternehmen ordnungsgemäß arbeiten. In Kapitel 10.1 ist dargestellt, dass für jedes steuerrelevante DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein muss. Die Verfahrensdokumentation muss verständlich und damit für einen sachverständigen Dritten (Prüfer) in angemessener Zeit nachvollziehbar sein. In einer Verfahrensdokumentation für die digitale Belegarchivierung wird der organisatorisch und technisch gewollte Prozess beschrieben, dabei wird der gesamte Lebenszyklus der Dokumente und weiterer Daten von der Entstehung der Information über die Indizierung, Verarbeitung und Speicherung, dem eindeutigen Wiederfinden und der maschinellen Auswertbarkeit, der Absicherung gegen Verlust und Verfälschung und der Reproduktion beschrieben. Aus Sicht des Datenschutzes sollte auch auf das Löschen nach Ende der Aufbewahrungspflicht eingegangen werden.

Eine ordnungsgemäße digitale Archivierung im Sinne einer Revisionssicherheit gem. GoBD entsteht also auf Basis eines Softwaretestats und der nachvollziehbaren Beschreibung der Implementierung und abgebildeten Geschäftsprozesse in der Verfahrensdokumentation, die selbstverständlich mit der tatsächlichen Implementierung übereinstimmt.

Webcast: GoBD & Verfahrensdokumentation

Aufzeichnung unseres Webcast vom 15. September 2017 mit der paperless solutions aus Köln zu den Themen GoBD und Verfahrensdokumentation für steuerrelevante Geschäftsprozesse sowie die digitale Belegarchivierung.

Informationssicherheit ist für jedes Unternehmen wichtig

Der Begriff Informationssicherheit ist sehr komplex. Auf die Frage was Informationssicherheit ist, bekommt man immer eine andere Antwort und nahezu alle Antworten sind in irgendeine Art und Weise richtig. Häufig fallen auch andere Begriffe, wie bspw. Datenschutz, Datensicherung oder IT-Sicherheit, um den Begriff Informationssicherheit zu erläutern. Wikipedia definiert den Begriff Informationssicherheit so: „Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden (technischen oder nicht technischen) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.“

Im heutigen Zeitalter sind Informationen und Daten wertvolle Güter, die es zu schützen gilt. Fehleinschätzungen über die Sicherheitszustände im Unternehmen können fatale Auswirkungen auf die Konkurrenzfähigkeit (Wirtschaftsspionage), Partnerschaften oder Kundenbeziehungen haben. Für die Implementierung eines ISMS (Information Security Management System) benötigt man Verfahren und Regeln im Unternehmen, um die Informationssicherheit und die Sicherheitsstandards einzuhalten. Diese Verfahren bilden die Grundlage für die Umsetzung des ISMS im Unternehmen.

Die Verantwortung liegt hierbei nicht in der IT-Abteilung eines Unternehmens, sondern bei der obersten Führungsetage. Ohne dessen volle Rückendeckung wäre das Vorhaben ein ISMS aufzubauen und es zu betreiben von Anfang an zum Scheitern verurteilt. Zumal der Aufbau und Betrieb eines ISMS kein Vorhaben ist, dass an eine einzelne Fachabteilung oder eine Person delegiert werden kann. Alle Unternehmensabteilungen sind von der Implementierung betroffen und müssen die Richtlinien, die im Zuge eines ISMS aufgestellt werden beachten und umsetzen. Des Weiteren benötigt der Aufbau und Betrieb eines ISMS Ressourcen in Form von Personal, Geld und Zeit. Diese Ressourcen sind nicht nur beim Aufbau enorm. Auch der Betrieb und die Weiterentwicklung benötigt die genannten Ressourcen. Besonders wichtig ist die Einbindung der Mitarbeiter in den implementierten Prozessen. Die Prozesse und Verfahren sollen leben und nicht nur beschrieben sein. Aus diesem Grund ist es immens wichtig, dass alle Mitarbeiter des Unternehmens von Anfang an über die Notwendigkeit eines ISMS zu informieren. Die Mitarbeiter müssen alle geschult und sensibilisiert werden, damit die Implementierung und der Betrieb eines ISMS Erfolg hat. Den Mitarbeitern sollten die Richtlinien bekannt und jederzeit verfügbar sein.

Nach dem Aufbau eines ISMS ist es sinnvoll, dass es nach außen kommuniziert wird. Die Zertifizierung durch externe Auditoren bestätigt die entwickelten und implementierten Verfahren. Neben der Tatsache, dass der Umgang und die Verarbeitung mit Informationen weniger risikobehaftet ist, ist die Zertifizierung zugleich auch ein Pluspunkt für das Marketing. Umgangssprachlich ist es ein Siegel für den sicheren Umgang mit Informationen (Kundeninformationen / Lieferanteninformationen).

Alle Standards haben die PDCA Vorgabe, um die Qualität des Prozesses stetig weiter zu verbessern, zumal die Technologie sich immer schneller weiterentwickelt. PDCA steht für Plan, Do, Check und Act. Die PDCA-Methodik sorgt dafür, dass die Prozesse und Werte nicht nur einmal entwickelt und identifiziert werden, sie sorgt auch dafür, dass eine Dynamik entsteht und die neuen oder geänderten Rahmenbedingungen und Anforderungen angepasst werden.

Unternehmen stehen einige Standards zur Verfügung an denen sie sich orientieren können, um die Sicherheitsmaßnahmen zu realisieren. Folgend sind einige Standards aufgelistet und kurz beschrieben:

 

BSI IT-Grundschutz:

Der IT-Grundschutz wurde vom BSI (Bundesamt für Informationssicherheit) entwickelt. Der Grundschutzkatalog umfasst ca. 4000 Seiten, wird jedoch derzeit umfangreich umgestellt. Diese sind gegliedert in Bausteine, Maßnahmen und Gefährdungskatalogen Die Umsetzung erfolgt auf Basis der vom BSI definierten Maßnahmen. Die Standards beschreiben ziemlich genau die Vorgehensweise bei der Implementierung. Des Weiteren geben sie mit ergänzenden Dokumenten Hinweise, wie das System auszusehen hat. Ein Vorteil sind die vorgegebenen Maßnahmen, die wenig Spielraum lassen. National ist der IT-Grundschutz anerkannt, international ist der Standard jedoch weitestgehend unbekannt.

ISO 27001

Der Standard gibt allgemeine Anforderungen an die IT-Sicherheit vor. Die ISO ist im Gegensatz zum IT-Grundschutz ein weltweit anerkannter Standard mit ca. 30 Seiten. Der Standard ist kompatibel mit weiteren ISO-Normen, Unternehmen mit einer QM-Zertifzierung (z.B. ISO 9001) wird die Arbeit mit der 27001 leicht fallen. Die praktische Umsetzung ist komplex, da die Anforderungen an die IT-Sicherheit nicht konkretisiert werden.

ISIS12

ISIS 12 wurde speziell für KMU und Kommunen entwickelt. Die wesentlichen Punkte basieren auf dem Grundschutzkatalog des BSI. Die Implementierung erfolgt, wie der Name es schon sagt in 12 Schritten. Vorteile bieten sich hier für kleine Unternehmen und Kommunen, da geringere Anforderungen an die IT-Sicherheit gestellt wird. Die ISIS 12 betrachtet nur unternehmerische Anwendungen und bietet dementsprechend weniger umfangreiche Maßnahmen. Der Standard ist nicht international anerkannt. Es dient jedoch sehr gut als Vorstufe zur einer Zertifizierung nach BSI IT-Grundschutz und ISO 27001.

VdS 3473

Die Richtlinie enthält Vorgaben und Hilfestellungen speziell für kleine und mittlere Organisationen mit der Zielsetzung ein angemessenes Schutzniveau zu erreichen. Der Standard ist nicht international anerkannt. Der sechsstufige Maßnahmen Katalog bietet jedoch eine einfache Implementierung des Standards. Das Unternehmen VdS Schadenverhütung GmbH hat diesen Standard entwickelt. Da das Unternehmen zum „Gesamtverband der Deutschen Versicherungswirtschaft e.V.“ (GDV) gehört, lassen sich ggf. Vereinfachungen für den Abschluss einer Versicherung im Cybersicherheitsumfeld realisieren.

 

Warum eigentlich Informationssicherheit?

Die zunehmende Digitalisierung in den Unternehmen, steigende Risiken im Bereich der Onlineaktivitäten, steigende Anforderungen an den Datenschutz durch die Datenschutz-Grundverordnung (DS-GVO) und eine zunehmende Wirtschaftsspionage sind nur einige Beispiele für die Notwendigkeit der Informationssicherheit in allen Unternehmen. Ob und wenn ja welcher der vorhandenen Standards und Normen zur Informationssicherheit gewählt wird, hängt von vielen Faktoren ab. Neben einer möglicherweise notwendigen Außendarstellung ist auch die Wirtschaftlichkeit, insbesondere bei kleinen und mittleren Unternehmen, von großer Bedeutung. Die Verwendung eines Standards ist in jedem Fall empfehlenswert, auch wenn keine Zertifizierung angestrebt wird, die Standards können auch als Orientierungsrahmen verwertet werden.

Erfahren Sie mehr über die comdatis auf www.comdatis.de

Über die Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting. Als IT-Berater und IT-Sachverständiger beschäftigt er sich mit der Erstellung und Prüfung von Verfahrensdokumentationen. Darüber hinaus ist er als IT-Prüfer (CISA) für Wirtschaftsprüfungsgesellschaften tätig. Weitere Tätigkeitsfelder sind der Datenschutz und die Informationssicherheit, in beiden Bereichen sowohl als Berater als auch als zertifizierter Auditor.

Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

 

Digitalisierung & Softwarebescheinigung: Aussagekraft, Nutzen und Internationalität

Was ist eine Softwarebescheinigung nach IDW PS 880?

Der Prüfungsstandard (PS) 880 von „Institut der Wirtschaftsprüfer“ (IDW) bezieht sich auf „Die Prüfung von Softwareprodukten“. Der Standard wurde zuletzt im März 2010 überarbeitet und berücksichtigt die Anforderungen des internationalen Prüfungsstanrds ISAE 3000 („Assurance Engagements Other Than Audits or Reviews of Historical Financial Information“).

Gegenstand von Softwareprüfungen sind Softwareprodukte unabhängig von deren Implementierung und Produktivsetzung beim Softwareanwender.

Neben den Funktionen des Softwareproduktes einschl. der Softwaresicherheit erfolgt auch eine Prüfung des Softwareentwicklungsverfahrens sowie der relevanten Funktionen. Die Prüfungen können sich ganzheitlich auf die Software beziehen oder auch nur einzelne Module berücksichtigen.

Was ist eine Bescheinigung nach ISAE 3000?

Der Prüfungsstandard ISAE 3000 ist ein internationaler Prüfungsstandard zur Abdeckung von Prüfaufträgen, die keine Prüfungen oder prüferische Durchsichten von historischen Finanzinformationen sind („Assurance Engagements Other Than Audits or Reviews of Historical Financial Information“). Die Prüfungen werden bei internationaler Aktivität von Softwareherstellern bedeutsamer.

Herausgegeben wurde der Prüfungsstandard von der „International Federation of Accountants“ (IFAC), dem globalen Dachverband der Wirtschaftsprüfer. Die IFAC veröffentlicht die internationalen Prüfungsstandards „International Standards on Assurance Engagement“ (ISAE).

In der IFAC sind Mitgliedsorganisationen aus mehr als 130 Ländern vertreten. Eine Übersicht der Länder kann über folgenden Link aufgerufen werden:

http://www.ifac.org/about-ifac/membership/member-organizations-and-country-profiles

Welche Aussagekraft können die Bescheinigungen entfalten?

Der Mehrwert einer Softwarebescheinigung gem. IDW PS 880 und/oder ISAE 3000 besteht darin, dass eine Aussage einer unabhängigen Prüfinstanz zur grundsätzlichen Ordnungsmäßigkeit des Softwareproduktes im geprüften Einsatzgebiet gegeben ist. In Unternehmen, die gem. der genannten Standards geprüfte Softwareprodukte einsetzen, besteht die Möglichkeit der Verwertbarkeit der Prüfungsergebnisse durch deren Wirtschaftsprüfer auf Basis des Testats und des Berichtes. Softwarebescheinigungen sind somit ein ideales Nachweisdokument der grundsätzlichen Ordnungsmäßigkeit eines Softwareproduktes.

Um auch die fiskalischen Anforderungen zu erfüllen, ist gem. Tz 151 der GoBD eine Verfahrensdokumentation der Geschäftsprozesse (=Verfahren) zu erstellen, die unter Einsatz der Software IT-gestützt und steuerrelevant umgesetzt sind. Bei Vorliegen einer positiven Softwarebescheinigung kann sich die Verfahrensdokumentation auf die spezifische Implementierung der Lösung beschränken, z.B.:

  • Die grundsätzliche Ordnungsmäßigkeit eines Berechtigungskonzepts ist über die Softwarebescheinigung gegeben, wie z.B. die Einschränkung von Löschrechten aufbewahrungspflichtiger Dokumente
  • Die spezifische Verfahrensdokumentation enthält den Nachweis, das tatsächlich niemand über Löschrechte aufbewahrungspflichtiger Dokumente verfügt.

Gegenüber der Finanzverwaltung muss eine Softwarebescheinigung gem. PS 880 und/oder ISAE 3000 keine bindende Wirkung haben (vgl. Tz 181 GoBD). Diese Aussage führt dazu, dass es ein GoBD-Testat gar nicht geben kann. Lediglich eine Konformitätsbescheinigung zu den GoBD ist denkbar.

Der IDW PS 880 ist ein nationaler Prüfungsstandard. Er findet häufig Akzeptanz im deutschsprachigen Raum. Die GoBD sind eine Anforderung des Bundesministeriums der Finanzen (BMF) und damit ausschließlich national anwendbar.

Der ISAE 3000 eröffnet die Möglichkeit der internationalen Verwertbarkeit. Eine Verwertbarkeit durch Wirtschaftsprüfer ist in den Ländern anzunehmen, deren Berufsverbände in der IFAC organisiert sind. Eine Auflistung kann über den Link in Nr. 2 aufgerufen werden.

Da Wirtschaftsprüfer stets unabhängig und unbefangen vorgehen müssen, kann es keine Garantie für eine Verwertbarkeit geben. Die Entscheidung über den Umfang der Verwertbarkeit liegt im eigenen Ermessen beim verantwortlichen Wirtschaftsprüfer in den Unternehmen.

Gibt es Informationen zur Vernichtung buchhalterischer Dokumente nach der Digitalisierung bei internationalem Fokus?

Die Möglichkeit zur Vernichtung von buchhalterisch und steuerrelevanter Dokumente nach der Digitalisierung ist in den einzelnen Ländern unterschiedlich gestaltet. Eine pauschale Antwort auf die Frage ist unmöglich, da neben den Gesetzgebungen und Verlautbarungen ggf. auch gerichtliche Urteile Berücksichtigung finden müssen.

Es gibt jedoch einige Informationen, die zumindest als Leitfaden verwendet werden können. Nachfolgende Informationen können unterstützen:

Was bieten die Softwarehersteller zur Einhaltung der Anforderungen?

Verschiedene Softwarelösungen werden regelmäßig durch unabhängige Wirtschaftsprüfungsgesellschaften oder andere Sachverständige bei den Softwareherstellern geprüft. Softwarebescheinigungen zur Erfüllung der Anforderungen des IDW PS 880 und teilweise des ISAE 3000 werden durch Wirtschaftsprüfer ausgestellt. Softwarebescheinigungen sind ein Nachweisdokument der grundsätzlichen Ordnungsmäßigkeit eines Softwareproduktes und des Entstehungsprozesses des geprüften Releases.

Diese Ausarbeitung gibt die persönliche Meinung der Autoren wieder und enthält lediglich einen groben Überblick über die komplexen Themen und ersetzt im Einzelfall keine Beratung/Prüfung zu den angesprochenen Themen.

Die comdatis bietet Beratungs- und Prüfungslösungen zum Thema Verfahrensdokumentation und digitale Archivierung. Prüfungslösungen der comdatis werden häufig in Zusammenarbeit mit unabhängigen Wirtschaftsprüfungsgesellschaften erbracht.

Über die Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting. Als IT-Berater und IT-Sachverständiger beschäftigt er sich mit der Erstellung und Prüfung von Verfahrensdokumentationen. Darüber hinaus ist er als IT-Prüfer (CISA) für Wirtschaftsprüfungsgesellschaften tätig. Weitere Tätigkeitsfelder sind der Datenschutz und die Informationssicherheit, in beiden Bereichen sowohl als Berater als auch als zertifizierter Auditor

Faraz Afscharian ist IT-Berater bei der comdatis it-consulting. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig.

GoBD-Verfahrensdokumentation für steuerrelevante Systeme

Die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) haben im November 2014 für Furore gesorgt. Das Schreiben des Bundesministeriums der Finanzen (BMF) ist für Veranlagungszeiträume ab Januar 2015 gültig und hat die bisherigen Schreiben GoBS aus 1995 und GDPdU aus 2001 abgelöst.

Ein Thema, welches sich im Großen und Ganzen gar nicht wesentlich verändert hat, ist das Thema Verfahrensdokumentation. Gemäß Tz. 151 der GoBD ist eine Verfahrensdokumentation für jedes steuerrelevante IT-System zu erstellen. Weiter führen die GoBD aus, dass eine Verfahrensdokumentation in der Regel aus folgenden Dokumentationen (Tz. 152) besteht:

  • Allgemeine Beschreibung
  • Anwenderdokumentation
  • Technische Systemdokumentation
  • Betriebsdokumentation

GoBD-Zertifizierungen beim Softwarehersteller kann es nicht geben. Maximal GoBD-Konformitätsbescheinigungen durch unabhängige Prüfungsinstanzen sind denkbar mit der Aussage, dass eine Software GoBD-konform ist, wenn sie im konkreten Einsatz im Unternehmen richtig eingerichtet ist.

Zugegeben, auch daraus wird ein steuerpflichtiges Unternehmen nicht wirklich schlauer: Zu Abstrakt und oberflächlich sind die Anforderungen in den GoBD und vermeintlichen GoBD-Zertifikaten dargestellt. Insbesondere die weiteren Ausführungen zur Anforderung der Verfahrensdokumentation in den GoBD helfen nicht, um eine Dokumentation praktikabel in der Praxis umsetzen zu können.

Hilfreich zur Konkretisierung der notwendigen Dokumentationsinhalte ist die Tatsache, wenn wir anstelle von Verfahren besser von Geschäftsprozessen sprechen. Die Verfahrensdokumentation ist also nichts anderes als eine Dokumentation der steuerrelevanten Geschäftsprozesse.

Das klingt schon etwas einfacher darstellbar. Wie konkretisieren wir nun im zweiten Schritt den Begriff „steuerrelevant“? In vergangenen Beratungsprojekten haben wir uns in Workshops einem Prüfungshinweis des Instituts der Wirtschaftsprüfer (IDW) bedient: „Prüfung von IT-gestützten Geschäftsprozessen im Rahmen der Abschlussprüfung“ (IDW PH 9.330.2). Die Geschäftsprozesse Beschaffung und Absatz sind im Prüfungshinweis auf abstrakter Ebene dargestellt, ideal um Workshops zur Prozessaufnahme durchzuführen.

  • Beschaffung

  • Absatz

Die Aufnahme dieser beiden Prozesse in Gesprächen mit Mitarbeitern in Unternehmen trägt in erheblichem Umfang zur Inhaltsgenerierung für eine GoBD-Verfahrensdokumentation bei. Möglicherweise tauchen im Prozess plötzlich steuerrelevante Excel-Tabellen auf, die aufbewahrungspflichtig sind. Auch die Diskussion darüber, welche Mail denn nun aufbewahrungspflichtig ist, wird regelmäßig geführt.

Möglicherweise sind noch weitere Prozesse steuerrelevant, wie z.B. im Personalbereich. Wir belassen es in diesem Beitrag aber bei den beiden Geschäftsprozessen Beschaffung und Absatz.

Wie kann nach einer erfolgten Prozess- und Systemaufnahme die inhaltliche Gestaltung einer Verfahrensdokumentation erfolgen? Für die Prozesse der digitalen Archivierung mit Dokumentenmanagementlösungen existieren ausgereifte Beratungslösungen und auch Mustervorlagen, z.B. von der Bundessteuerberaterkammer oder von der AWV.

Für alle anderen steuerrelevanten Geschäftsprozesse und Systeme fehlt eine brauchbare Vorlage, auch vor dem Hintergrund, dass die Dokumentation in jedem Unternehmen unterschiedlich komplex ist. Wir haben unsere Erfahrungswerte einmal generisch in einem Dokument als Hilfsmittel dargestellt. Das Dokument mit unserem Vorschlag zur inhaltlichen Ausgestaltung stellen wir Ihnen über folgenden Link zur Verfügung:

Download: Inhaltliche Ausgestaltung einer GoBD-Verfahrensdokumentation

Über den Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting in Ahaus-Alstätte. Als IT-Berater und IT-Sachverständiger beschäftigt er sich mit der Erstellung und Prüfung von Verfahrensdokumentationen. Darüber hinaus ist er als IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Weitere Tätigkeitsfelder sind der Datenschutz und die Informationssicherheit, in beiden Bereichen sowohl als Berater als auch als zertifizierter Auditor.

#comdatis #GoBD #GoBS #GDPdU #Ordnungsmäßigkeit #Digitalisierung #Verfahrensdokumentation #Nachvollziehbarkeit

Was ist eine Verfahrensdokumentation nach GoBD für die digitale Belegarchivierung?

Bevor die Erklärung zur Verfahrensdokumentation nach GoBD beginnt, muss die Abkürzung „GoBD“ aufgelöst und erläutert werden. Die Abkürzung GoBD steht für „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Das 38-seitige des Bundesministeriums der Finanzen („BMF-Schreiben“) vom 14.11.2014 mit 184 Randziffern löste die GoBS und die GDPdU ab.

Die Verfahrensdokumentation nach GoBD dient dazu, nachweisen zu können, dass die Anforderungen des Handelsgesetzbuches (HGB), der Abgabenordnung (AO) und den GoBD für die Aufbewahrung der Daten und Belegen erfüllt sind. So beschriebt Wikipedia die Verfahrensdokumentation nach GoBD. Die Verpflichtung zur Erstellung einer Verfahrensdokumentation für steuerrelevante IT-Systeme ergibt sich aus Rz. 151 der GoBD. Systeme zur digitalen Belegarchivierung zählen zu den steuerrelevanten IT-Systemen in Unternehmen.

Vorab: im Großen und Ganzen ändert sich im Unternehmen nicht viel. Denn die Grundsätze zur ordnungsmäßigen Führung von Büchern sollten einem Unternehmer bekannt sein. Also warum eine Änderung? Bei den GoBD geht es darum die Grundsätze an die elektronische Buchführung anzupassen. Dies Bedarf gewisse Regelungen die in den GoBD zeitgemäß beschrieben sind und für jeden Unternehmer gelten.

Worum geht es nun also konkret in der Verfahrensdokumentation für das digitale Dokumentenmanagement? Die Verfahrensdokumentation beschreibt die steuerrelevanten Geschäftsprozesse des Unternehmens, wie beispielsweise die ausschließlich digitale Archivierung von Eingangsrechnungen. Das fängt bei der Entstehung/ Erfassung an, geht über die Indizierung, Speicherung, dem eindeutigen Wiederfinden, der Absicherung gegen Verlust und Verfälschung bis hin zur Reproduktion der archivierten Daten, Dokumente und Informationen.

Bei der Erstellung der Verfahrensdokumentation müssen die Anforderungen an die Archivierung von kaufmännischen Unterlagen beachtet werden. Dabei ist es irrelevant, ob diese in Papierform oder in einem elektronischen Archiv aufbewahrt werden.

Die Folgenden Gesichtspunkte müssen bei der Implementierung beachtet und umgesetzt werden:
– Nachvollziehbarkeit
– Nachprüfbarkeit
– Vollständigkeit
– Richtigkeit
– Zeitgerechtheit
– Ordnung
– Unveränderbarkeit

Der Nachweis der Erfüllung dieser Punkte wird durch eine Verfahrensdokumentation erbracht. Bei der Verfahrensdokumentation spielen der Aufbau und der Umfang keine Rolle. Es muss lediglich gewährleistet werden, dass ein sachverständiger Dritter anhand der Verfahrensdokumentation den ordnungsgemäßen Einsatz überprüfen und nachvollziehen kann. Der genaue Umfang der Verfahrensdokumentation ergibt sich aus der Komplexität der implementierten DMS-Lösung.

Neben den oben genannten Punkten ist das interne Kontrollsystem (IKS) zu beschreiben, welches beispielsweise die Funktionstrennung oder die Abstimmungskontrollen bei der Dateneingabe und -erfassung beschreibt.

Was passiert, wenn die Verfahrensdokumentation fehlt? In der GoBD ist unter Randziffer 155 geschrieben: „Soweit eine fehlende oder ungenügende Verfahrensdokumentation die Nachvollziehbarkeit und Nachprüfbarkeit nicht beeinträchtigt, liegt kein formeller Mangel mit sachlichem Gewicht vor, der zum Verwerfen der Buchführung führen könnte.“

Sind die Geschäftsprozesse so einfach gestaltet, dass ein sachverständiger Dritter innerhalb einer angemessenen Zeit die Prozesse nachvollziehen kann – sowohl progressiv, als auch retrograd – dann ist eine separate Verfahrensdokumentation unter Umständen gar nicht notwendig. Sobald für eine Dokumentenmanagementlösung ein Customizing für den Einsatz im Unternehmen notwendig ist, muss unseres Erachtens eine Verfahrensdokumentation erstellt werden. Unter Customizing verstehen wir z.B. die Einrichtung von Dokumenttypen mit Aufbewahrungsfristen, Backupszenarien, Berechtigungskonzept usw.

Ist bei fehlender Verfahrensdokumentation die Nachvollziehbarkeit und Nachprüfbarkeit nicht gegeben, ist davon auszugehen, dass dies finanzielle Sanktionen (z.B. Streichung von Betriebsausgaben) zur Folge hat. Des Weiteren ist denkbar, dass neben den finanziellen Sanktionen auch ein Verzögerungsgeld festgesetzt wird.

Generell ist zu beachten, dass eine Verfahrensdokumentation nicht nur erstellt werden muss, sondern auch gepflegt. Es bedarf einer definierten Dokumentenlenkung: Das Dokument lebt mit den Geschäftsprozessen im Unternehmen und muss aktualisiert werden. Jede Verfahrensdokumentation beinhaltet eine Änderungshistorie, die gepflegt werden muss, um auch historischen Situationen nachvollziehbar zu halten. Die Verfahrensdokumentation ist ebenfalls aufbewahrungspflichtig (10 Jahre).

Über den Autoren:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als IT-Prüfer tätig für Wirtschaftsprüfungsgesellschaften, die implementierte DMS-Lösungen in Unternehmen prüfen und bewerten.

Verfahrensdokumentation und Tax-Compliance

Die Verfahrensdokumentation ist integraler Bestandteil des Tax-Compliance-Managements in Unternehmen.
Die GoBD wurden im November 2014 veröffentlicht und werfen auch heute noch viele Fragen auf:
  • Was bedeutet eigentlich „Verfahrensdokumentation“?
  • Welche Sanktionen drohen, wenn die Dokumentation fehlt?
  • Was sind die Inhalte einer Verfahrensdokumentation?
  • Wann muss eine Verfahrensdokumentation erstellt werden?
Die PSP aus München geht in der Reihe „Experten erläutern die GoBD“ auf diese und andere Fragen ein:

Guter Vorsatz für’s neue Jahr: Sichere Kennwörter

„hallo“ ist das meistgenutzte deutsche Passwort, wie es heise im folgenden Artikel vom 22.12.2016 darstellt (öffnet in neuem Tab):

heise.de Artikel

Wie wäre es mit einem guten Vorsatz für’s neue Jahr: Sichere Kennwörter

Hierbei bitte folgende Regeln beachten:

  • Je länger ein Kennwort ist, desto besser
  • Ein gutes Kennwort enthält Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen
  • Kennwörter sollten regelmäßig geändert werden
  • für jeden Dienst im Web wird ein eigenes Kennwort verwendet
  • je nach verwendetem Dienst kann eine Zwei-Faktor-Authentifizierung verwendet werden (z.B. Benutzername und Kennwort und Einmal-Kennung aus einer SMS oder App)

Das weltweit am meisten verwendete Kennwort ist übrigens 123456.

Unterschiedliche Kennwörter für verschiedene Dienste sind insbesondere deswegen wichtig, weil wir als Anwender von Webdiensten nicht wissen, wie sicher die Kennwörter beim Anbieter gespeichert werden. Im schlimmsten Fall liegen die Kennwörter unverschlüsselt in einer Datenbank beim Anbieter.

Haben Sie als Unternehmen Fragen zu Sicherheit & Datenschutz? Sprechen Sie uns gerne an.

 

 

 

 

GoBD-Übergangsfrist endet 2016?

074Immer wieder werden wir in den vergangenen Wochen und Monaten gefragt, was zu tun ist, um eine GoBD-konforme Mailarchivierung einzuführen. Die Handlungsnot wird mit einer Übergangsfrist bezüglich GoBD begründet, die am 31.12.2016 ausläuft. Insbesondere die Anbieter professioneller Mailarchivierungslösung sind vor diesem Hintergrund derzeit sehr aktiv.

Und tatsächlich: Eine Übergangsfrist mit GoBD-Bezug gibt es und diese endet auch am 31.12.2016. Diese gilt jedoch ausschließlich in Verbindung mit Kassensystemen, wie sie z.B. bei Einzelhändlern im Einsatz sind. Die Frist besagt, dass bei älteren Systemen, die die technischen Voraussetzungen (z.B. Protokollierungsanforderungen der GoBD) nicht erfüllen, deren Einsatz nicht zwangsläufig beanstandet wird. Die Nichtbeanstandung endet nun am 31.12.2016.

Mehr sagt die Übergangsfrist nicht! Die GoBD selber wurden am 14.11.2014 veröffentlicht und gelten für Veranlagungszeiträume ab 2015.

Die Notwendigkeit zur Aufbewahrung von E-Mails hat sich im Übrigen nicht wesentlich verändert mit den GoBD: Auch schon vor 2015 waren E-Mails aufbewahrungspflichtig, wenn diese z.B. als Handelsbrief anzusehen sind. Die Mails müssen im Originalformat aufbewahrt werden, d.h. ein Ausdruck reicht nicht zur Erfüllung der Aufbewahrungspflichten.

Haben Sie Fragen zu den GoBD oder zur Verfahrensdokumentation? Dann nehmen Sie gerne Kontakt mit uns auf.