Revisionssicher mit Softwarebescheinigung und GoBD-Verfahrensdokumentation

Für viele Softwareuser ist ein Softwaretestat z.B. nach IDW PS 880 irreführend. Häufig wird angenommen, dass das Testat die Revisionssicherheit sichergestellt und die Verfahrensdokumentation nach GoBD ersetzt.

Wir möchten hier die „Mythen“ aus der Welt schaffen. Doch zunächst gehen wir auf die Begrifflichkeiten ein, mit denen sich Unternehmen konfrontiert fühlen:

Wichtige Begriffe und Abkürzungen, wenn wir über Revisionssicherheit sprechen möchten, sind die folgenden:
IDW = Institut der Wirtschaftsprüfer
PS = Prüfungsstandard
GoBD = Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff
GoB = Grundsätze ordnungsmäßiger Buchführung
FAIT = Fachausschuss Informationstechnologie
HGB = Handelsgesetzbuch
AO = Abgabenordnung
BDSG = Bundesdatenschutzgesetz
DSGVO = Datenschutz-Grundverordnung

Das Institut der Wirtschaftsprüfer (IDW) publiziert „IDW-Verlautbarungen“. Nach diesen Grundsätzen können Wirtschaftsprüfer unbeschadet ihrer Eigenverantwortlichkeit ihrer Prüfungstätigkeit nachgehen. Zu den IDW-Verlautbarungen zählen unter anderem „IDW Prüfungsstandards (IDW PS)“, „IDW Stellungsnahmen zur Rechnungslegung (IDW RS)“, „IDW Standards (IDW S)“, „IDW Prüfungshinweise (IDW PH)“, „IDW Rechnungslegungshinweise (IDW RH)“ .

Wir gehen hier konkreter auf den IDW PS 880 („Erteilung von Softwarebescheinigungen“) ein. Die Prüfung orientiert sich an den Anforderungen an Systemprüfungen bei Einsatz von IT (IDW PS 330) sowie den Grundsätzen ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1). Neben den genannten Verlautbarungen sind ebenfalls rechtliche Aspekte bei der Prüfung zu beachten:
– HGB
– AO
– GoB
– GoBD (bzw. Vorgänger: GDPdU und GoBS)

Nach der Prüfung erhält der Softwarehersteller einen Abschlussbericht sowie die Softwarebescheinigung. Dabei wird die Software dahingehend geprüft, dass der korrekte Einsatz der Software den rechtlichen Aspekten entspreche kann. Typische Prüfungsbereiche sind:
– Softwareentwicklungsprozess
– Dokumentationsprüfung
– Softwaresicherheit
– Programmfunktionen

Für Unternehmen hat das Zertifikat im ersten Moment keine unmittelbare Aussagekraft. Das Zertifikat alleine sagt nichts über das eingerichtete System, also die spezifische Implementierung und Anpassung aus. Auch gibt das Zertifikat einem Prüfer keine Hinweise über die steuerrelevanten Prozesse und das interne Kontrollsystem (IKS). Der Mehrwert einer vorhandenen Softwarebescheinigung liegt in der Gewissheit, dass die Software die notwendigen Grundlagen für den ordnungsgemäßen Einsatz im Unternehmen „von Haus aus“ (also vom Softwarehersteller ausgehend) mitbringt. Das ausgelieferte Zertifikat ist daher ein ideales Fundament für die Verfahrensdokumentation zur Erfüllung der Anforderungen aus den GoBD.

In den GoBD ist ganz klar beschrieben, was zu tun ist, damit Unternehmen ordnungsgemäß arbeiten. In Kapitel 10.1 ist dargestellt, dass für jedes steuerrelevante DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein muss. Die Verfahrensdokumentation muss verständlich und damit für einen sachverständigen Dritten (Prüfer) in angemessener Zeit nachvollziehbar sein. In einer Verfahrensdokumentation für die digitale Belegarchivierung wird der organisatorisch und technisch gewollte Prozess beschrieben, dabei wird der gesamte Lebenszyklus der Dokumente und weiterer Daten von der Entstehung der Information über die Indizierung, Verarbeitung und Speicherung, dem eindeutigen Wiederfinden und der maschinellen Auswertbarkeit, der Absicherung gegen Verlust und Verfälschung und der Reproduktion beschrieben. Aus Sicht des Datenschutzes sollte auch auf das Löschen nach Ende der Aufbewahrungspflicht eingegangen werden.

Eine ordnungsgemäße digitale Archivierung im Sinne einer Revisionssicherheit gem. GoBD entsteht also auf Basis eines Softwaretestats und der nachvollziehbaren Beschreibung der Implementierung und abgebildeten Geschäftsprozesse in der Verfahrensdokumentation, die selbstverständlich mit der tatsächlichen Implementierung übereinstimmt.