Digitalisierung & Softwarebescheinigung: Aussagekraft, Nutzen und Internationalität

Was ist eine Softwarebescheinigung nach IDW PS 880?

Der Prüfungsstandard (PS) 880 von „Institut der Wirtschaftsprüfer“ (IDW) bezieht sich auf „Die Prüfung von Softwareprodukten“. Der Standard wurde zuletzt im März 2010 überarbeitet und berücksichtigt die Anforderungen des internationalen Prüfungsstanrds ISAE 3000 („Assurance Engagements Other Than Audits or Reviews of Historical Financial Information“).

Gegenstand von Softwareprüfungen sind Softwareprodukte unabhängig von deren Implementierung und Produktivsetzung beim Softwareanwender.

Neben den Funktionen des Softwareproduktes einschl. der Softwaresicherheit erfolgt auch eine Prüfung des Softwareentwicklungsverfahrens sowie der relevanten Funktionen. Die Prüfungen können sich ganzheitlich auf die Software beziehen oder auch nur einzelne Module berücksichtigen.

Was ist eine Bescheinigung nach ISAE 3000?

Der Prüfungsstandard ISAE 3000 ist ein internationaler Prüfungsstandard zur Abdeckung von Prüfaufträgen, die keine Prüfungen oder prüferische Durchsichten von historischen Finanzinformationen sind („Assurance Engagements Other Than Audits or Reviews of Historical Financial Information“). Die Prüfungen werden bei internationaler Aktivität von Softwareherstellern bedeutsamer.

Herausgegeben wurde der Prüfungsstandard von der „International Federation of Accountants“ (IFAC), dem globalen Dachverband der Wirtschaftsprüfer. Die IFAC veröffentlicht die internationalen Prüfungsstandards „International Standards on Assurance Engagement“ (ISAE).

In der IFAC sind Mitgliedsorganisationen aus mehr als 130 Ländern vertreten. Eine Übersicht der Länder kann über folgenden Link aufgerufen werden:

http://www.ifac.org/about-ifac/membership/member-organizations-and-country-profiles

Welche Aussagekraft können die Bescheinigungen entfalten?

Der Mehrwert einer Softwarebescheinigung gem. IDW PS 880 und/oder ISAE 3000 besteht darin, dass eine Aussage einer unabhängigen Prüfinstanz zur grundsätzlichen Ordnungsmäßigkeit des Softwareproduktes im geprüften Einsatzgebiet gegeben ist. In Unternehmen, die gem. der genannten Standards geprüfte Softwareprodukte einsetzen, besteht die Möglichkeit der Verwertbarkeit der Prüfungsergebnisse durch deren Wirtschaftsprüfer auf Basis des Testats und des Berichtes. Softwarebescheinigungen sind somit ein ideales Nachweisdokument der grundsätzlichen Ordnungsmäßigkeit eines Softwareproduktes.

Um auch die fiskalischen Anforderungen zu erfüllen, ist gem. Tz 151 der GoBD eine Verfahrensdokumentation der Geschäftsprozesse (=Verfahren) zu erstellen, die unter Einsatz der Software IT-gestützt und steuerrelevant umgesetzt sind. Bei Vorliegen einer positiven Softwarebescheinigung kann sich die Verfahrensdokumentation auf die spezifische Implementierung der Lösung beschränken, z.B.:

  • Die grundsätzliche Ordnungsmäßigkeit eines Berechtigungskonzepts ist über die Softwarebescheinigung gegeben, wie z.B. die Einschränkung von Löschrechten aufbewahrungspflichtiger Dokumente
  • Die spezifische Verfahrensdokumentation enthält den Nachweis, das tatsächlich niemand über Löschrechte aufbewahrungspflichtiger Dokumente verfügt.

Gegenüber der Finanzverwaltung muss eine Softwarebescheinigung gem. PS 880 und/oder ISAE 3000 keine bindende Wirkung haben (vgl. Tz 181 GoBD). Diese Aussage führt dazu, dass es ein GoBD-Testat gar nicht geben kann. Lediglich eine Konformitätsbescheinigung zu den GoBD ist denkbar.

Der IDW PS 880 ist ein nationaler Prüfungsstandard. Er findet häufig Akzeptanz im deutschsprachigen Raum. Die GoBD sind eine Anforderung des Bundesministeriums der Finanzen (BMF) und damit ausschließlich national anwendbar.

Der ISAE 3000 eröffnet die Möglichkeit der internationalen Verwertbarkeit. Eine Verwertbarkeit durch Wirtschaftsprüfer ist in den Ländern anzunehmen, deren Berufsverbände in der IFAC organisiert sind. Eine Auflistung kann über den Link in Nr. 2 aufgerufen werden.

Da Wirtschaftsprüfer stets unabhängig und unbefangen vorgehen müssen, kann es keine Garantie für eine Verwertbarkeit geben. Die Entscheidung über den Umfang der Verwertbarkeit liegt im eigenen Ermessen beim verantwortlichen Wirtschaftsprüfer in den Unternehmen.

Gibt es Informationen zur Vernichtung buchhalterischer Dokumente nach der Digitalisierung bei internationalem Fokus?

Die Möglichkeit zur Vernichtung von buchhalterisch und steuerrelevanter Dokumente nach der Digitalisierung ist in den einzelnen Ländern unterschiedlich gestaltet. Eine pauschale Antwort auf die Frage ist unmöglich, da neben den Gesetzgebungen und Verlautbarungen ggf. auch gerichtliche Urteile Berücksichtigung finden müssen.

Es gibt jedoch einige Informationen, die zumindest als Leitfaden verwendet werden können. Nachfolgende Informationen können unterstützen:

Was bieten die Softwarehersteller zur Einhaltung der Anforderungen?

Verschiedene Softwarelösungen werden regelmäßig durch unabhängige Wirtschaftsprüfungsgesellschaften oder andere Sachverständige bei den Softwareherstellern geprüft. Softwarebescheinigungen zur Erfüllung der Anforderungen des IDW PS 880 und teilweise des ISAE 3000 werden durch Wirtschaftsprüfer ausgestellt. Softwarebescheinigungen sind ein Nachweisdokument der grundsätzlichen Ordnungsmäßigkeit eines Softwareproduktes und des Entstehungsprozesses des geprüften Releases.

Diese Ausarbeitung gibt die persönliche Meinung der Autoren wieder und enthält lediglich einen groben Überblick über die komplexen Themen und ersetzt im Einzelfall keine Beratung/Prüfung zu den angesprochenen Themen.

Die comdatis bietet Beratungs- und Prüfungslösungen zum Thema Verfahrensdokumentation und digitale Archivierung. Prüfungslösungen der comdatis werden häufig in Zusammenarbeit mit unabhängigen Wirtschaftsprüfungsgesellschaften erbracht.

Über die Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting. Als IT-Berater und IT-Sachverständiger beschäftigt er sich mit der Erstellung und Prüfung von Verfahrensdokumentationen. Darüber hinaus ist er als IT-Prüfer (CISA) für Wirtschaftsprüfungsgesellschaften tätig. Weitere Tätigkeitsfelder sind der Datenschutz und die Informationssicherheit, in beiden Bereichen sowohl als Berater als auch als zertifizierter Auditor

Faraz Afscharian ist IT-Berater bei der comdatis it-consulting. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig.