Anzeigen

Anbieter von Lösungen zur elektronischen Steuerprüfung
Gisa
DATEV eG
Data Migration
Logo Audicon
Home  Lösungen Anforderungen an elektronische Archivierungssysteme

PSP

PSP zu Sache

Anforderungen an elektronische Archivierungssysteme

Zum Entwurf einer IDW Stellungsnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren (IDW ERS FAIT 3)

Von Stefan Groß und Alexander Georgius


Stefan Groß

Stefan Groß, Steuerberater und Certified Informations Systems Auditor (CISA) ist Partner von Peters Schönberger & Partner GbR, einer renommierten Kanzlei von Steuerberatern, Wirtschaftsprüfern und Anwälten in München. Er beschäftigt sich bereits seit vielen Jahren mit den steuerrechtlichen und verfahrenstechnischen Umfeld der elektronischen Steuerprüfung.

Alexander Georgius

Alexander Georgius ist  Steuerberater bei Peters Schönberger & Partner GbR. Er beschäftigt sich insbesondere mit der Schnittstelle zwischen Steuerberatung, Wirtschaftsprüfung und IT.

Der Fachausschuss für Informationstechnologie (FAIT) des Instituts der Wirtschaftsprüfer (IDW) hat den Entwurf einer Stellungnahme zur Rechnungslegung vorgelegt. Der sog. IDW ERS FAIT 3 befasst sich mit den Grundsätzen ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren und geht im Detail auf unterschiedliche gesetzliche Anforderungen in diesem Kontext ein. Damit wird die Diskussion um die vielfältigen Anforderungen an die Archivierung von Daten um eine weitere Dimension erweitert. Die wesentlichen Inhalte sollen im Folgenden dargestellt werden.

Gesetzliche Vorgaben

Nach dem Handelsgesetzbuch sind Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Lageberichte etc. sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen über eine Dauer von zehn Jahren aufzubewahren. Die gleiche Aufbewahrungsfrist ist auch für sog. Buchungsbelege zugrunde zu legen. Für empfangene Handelsbriefe sowie Wiedergaben von abgesandten Handelsbriefen gilt eine gesetzliche Aufbewahrungsfrist von sechs Jahren. Dabei lässt das Handelsgesetzbuch bei ausgewählten Unterlagen auch eine Aufbewahrung auf einem Bild- oder Datenträger zu, wenn die Daten während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb einer angemessenen Frist lesbar gemacht werden können. Weiter wird auf der Grundlage des Handelsgesetzbuches gefordert, dass die aufbewahrten Daten mit empfangenen Handelsbriefen und Buchungsbelegen bildlich sowie mit anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden. Es gilt jedoch zu beachten, dass beim Einsatz von elektronischen Archivierungsverfahren neben den handelsrechtlichen rechnungslegungsspezifischen Vorschriften  (§§ 257, 261 HGB) und den Grundsätzen ordnungsmäßiger Buchführung weitere gesetzliche Vorschriften, insbesondere aus dem Steuerrecht und dem Bundesdatenschutzgesetz zu berücksichtigen sind. Darüber hinaus sind BMF-Schreiben und die Anforderungen an Dokumente zur Beweisführung in Zivil-, Straf- und Verwaltungsprozessen sowie branchenspezifische Rechtsvorschriften zu berücksichtigen.

Risiken

Die mit dem Einsatz von elektronischen Archivierungsverfahren verbundenen Risiken können auf der Grundlage des IDW ERS FAIT 3 grundsätzlich in rechtliche, technische und organisatorische Risiken unterteilt werden. Rechtliche Risiken können sich insbesondere aus der Nichtbeachtung der gesetzlichen Aufbewahrungsfristen ergeben. Die eingesetzten Archivierungsverfahren müssen insoweit die Lesbarmachung der Unterlagen über den gesamten Aufbewahrungszeitraum gewährleisten. Darüber hinaus ist zu prüfen, ob die Beweiskraft von Dokumenten bei der Aufbewahrung in elektronischer Form erhalten bleibt. Beispielsweise haben öffentlich beurkundete Dokumente eine höhere Beweiskraft als ihre bildliche Reproduktion (§§ 415 ff. ZPO). Für den Fall, dass die Buchführung aufgrund unzureichend erfüllter Sicherheitskriterien (siehe unten) als nicht mehr beweiskräftig anzusehen ist, ergeben sich darüber hinaus auch steuerliche Risiken. Diese können sich ferner auch dann ergeben, wenn keine den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) entsprechenden Zugriffsmöglichkeiten für die Finanzverwaltung auf steuerrelevante Daten bereitgestellt werden können. Die technischen und organisatorischen Risiken umfassen unter anderem mangelnde Zugriffskontrollen, fehlende Regelungen von Verantwortlichkeiten sowie unzureichende Migrationskonzepte.

Sicherheitskriterien

Für die Einhaltung der gesetzlichen Ordnungsmäßigkeitsvorschriften sind grundsätzlich die gesetzlichen Vertreter verantwortlich. Voraussetzung für eine ordnungsmäßige Rechnungslegung ist dabei die Einhaltung entsprechender Sicherheitskriterien, die im Folgenden kurz dargestellt werden sollen:

  • Die Daten sind unter dem Gesichtpunkt der Vertraulichkeit vorzuhalten, d.h. sie sind vor unberechtigtem Einsehen, Weitergeben und Veröffentlichen zu schützen.
  • Die Integrität des elektronischen Archivierungssystems ist zu gewährleisten. Die  gespeicherten Dokumente und Daten sind fehlerfrei zu indizieren und vor ungewollten Änderungen zu schützen.
  • Die Verfügbarkeit im Sinne einer Lesbarmachung muss während der gesamten Aufbewahrungsfrist gegeben sein.
  • Im Hinblick auf die Autorisierung muss sichergestellt sein, dass ausschließlich im Voraus festgelegte Personen die ihnen zugewiesenen Rechte und Tätigkeiten wahrnehmen können.
  • Die Authentizität des Archivierungssystems ist gegeben, sofern die archivierten Unterlagen über eine eindeutige Verbindung zu den zugehörigen Geschäftsvorfällen verfügen.
  • Dem Kriterium der Verbindlichkeit wird entsprochen, wenn ein elektronisches Archivierungsverfahren gewollte Rechtsfolgen gewährleistet, d.h. wenn es die handelsrechtlichen Anforderungen des § 257 Abs. 3 HGB im Sinne einer bildlichen Speicherung von empfangenen Handelsbriefen und Buchungsbelegen und die inhaltliche Speicherung aller anderen aufbewahrungspflichtigen Unterlagen auf einem Bild- oder sonstigen Datenträger einhält.

Ordnungsmäßigkeitskriterien

Neben den Sicherheitsanforderungen müssen zur Erfüllung der Grundsätze ordnungsmäßiger Buchführung entsprechend IDW ERS FAIT 3 ergänzend die folgenden Ordnungsmäßigkeitskriterien während des gesamten Archivierungsprozesses eingehalten werden:

  • Der Grundsatz der Vollständigkeit erfordert die lückenlose Erfassung aller  rechnungslegungsrelevanten Dokumente und Daten.
  • Dem Kriterium der Richtigkeit entsprechend ist der geforderte Grad der Übereinstimmung mit dem Original zu erfüllen. Dies betrifft insbesondere die für bestimmte Dokumente erforderliche bildliche Übereinstimmung, die nur dann gegeben ist, wenn alle auf dem Original enthaltenen Angaben zur Aussage- und Beweiskraft des Geschäftsvorfalls originalgetreu bildlich wiedergegeben werden.
  • Um möglichen Verlusten sowie Manipulationen vorzubeugen, ist, dem Grundsatz der Zeitgerechtheit folgend, eine zeitnahe Überführung der Dokumente und Daten in das Archivsystem vorzunehmen.
  • Das Kriterium der Nachvollziehbarkeit ist zu erfüllen, indem die Speicherung des einzelnen Geschäftsvorfalls sowie das angewandte Archivierungsverfahren einschließlich der erforderlichen Verfahrensdokumentation über die Dauer der Aufbewahrungsfrist nachvollziehbar bleiben.
  • Schließlich verlangt der Grundsatz der Unveränderlichkeit, dass die elektronisch archivierten Dokumente und Daten nicht verändert werden dürfen.

Einrichtung eines Archivierungssystems

Bei der Einrichtung eines elektronischen Archivierungssystems ist stets darauf zu achten, dass die dargestellten Sicherheits- und Ordnungsmäßigkeitsvorschriften nach IDW ERS FAIT 3 in allen Teilbereichen eingehalten werden. Im Einzelnen bedeutet dies für das IT-Umfeld, dass sowohl die gesetzlichen Vertreter als auch die Mitarbeiter über ein angemessenes Problembewusstsein verfügen und eine ausreichende Qualifikation der Mitarbeiter sowie eine aussagekräftige schriftliche Verfahrensdokumentation vorliegen. Im Rahmen der IT-Organisation ist im Hinblick auf die Ablauforganisation insbesondere zu regeln, wie die aufbewahrungspflichtigen Dokumente und Daten identifiziert werden bzw. wie die erforderliche Unterscheidung in bildlich und inhaltlich zu archivierende Dokumente gewährleistet wird. Ferner ist festzulegen, wann und durch welche Prozesse die Überführung der Dokumente und Daten vom Produktivsystem in das Archivierungssystem stattfindet. Gemäß der oben genannten Grundsätze ist hierbei darauf zu achten, dass die Vollständigkeit und die Richtigkeit der Archivierung sichergestellt und die Verantwortlichkeiten und Kompetenzen hinsichtlich der Prozesse im Voraus geregelt sind. Betreffend die IT-Infrastruktur werden physische Sicherungsmaßnahmen vorausgesetzt, die vor Verlust, Zerstörung und unberechtigter Veränderung schützen. Darüber hinaus ist neben dem Rechnungslegungssystem auch das Archivierungssystem mit logischen Zugriffskontrollen im Rahmen eines geeigneten Berechtigungskonzepts zu versehen. Überdies sind geeignete Datensicherungs- und -auslagerungsverfahren zu implementieren. Während der Regelbetrieb in Organisationsanweisungen festzulegen ist, sollten Maßnahmen, die bei einem Ausfall des Archivierungssystems zu ergreifen sind, in einem Notfallplan manifestiert werden. Bei der Auswahl, Entwicklung und Änderung von IT-Anwendungen ist ein besonderes Augenmerk auf die Herstellerauswahl, den Test und die Freigabe der Software bzw. das Change-Management zu legen. Vorgenommene Einstellungen in der Software und den Schnittstellen sind zu dokumentieren. Bereits im Auswahlprozess der Software sollte berücksichtigt werden, dass durchgeführte Archivierungen zu protokollieren sind und die Datenkonsistenz durch Plausibilitätskontrollen sicherzustellen ist. Außerdem muss es möglich sein, ein differenziertes Berechtigungskonzept einzurichten.

Der Archivierungsprozess

Grundsätzlich kann der Gesamtprozess der Archivierung in mehrere Teilprozesse untergliedert werden. Hierbei sind nach IDW ERS FAIT 3 bei den einzelnen Teilaktivitäten insbesondere folgende Vorgaben zu beachten:

Bei der Erfassung wird grundsätzlich zwischen automatisierten Übernahmen von Dokumenten und Daten aus dem Rechungslegungssystem und der elektronischen Erfassung von physischen Dokumenten unterschieden. Bei der Übernahme aus dem Rechnungslegungssystem ist sicherzustellen, dass nur abgeschlossene und somit archivierungsfähige Geschäftsvorfälle übertragen werden. Im Anschluss an die Archivierung ist die vollständige und richtige Datenübernahme zu kontrollieren. Für die elektronische Erfassung von physischen Dokumenten müssen im Unternehmen entsprechende Kontrollen stattfinden, die den Umständen des Dokumentenscannings Rechnung tragen. So ist eine eindeutige Erfassungsart je Dokumententyp festzulegen und die Erfassung entsprechend zu kontrollieren. Darüber hinaus ist die Vollständigkeit der Erfassung durch einen Abgleich der Anzahl der zu archivierenden Dokumente mit der Anzahl der tatsächlich erfassten Dokumente  vorzunehmen. Zur Vermeidung von Doppelerfassungen ist die Archivierung auf den Originalen zu kennzeichnen. Ferner sind zusammengehörige Seiten eines Dokumentes im Archivierungssystem entsprechend zu verknüpfen. Schließlich ist die originalgetreue Wiedergabe eines Dokumentes zu kontrollieren. Im Hinblick auf die Indexierung ist darauf zu achten, dass die Dokument-Identifikation eindeutig sein muss. Sollte die Indexierung manuell erfolgen, so ist die eindeutige Zuordnung ausreichend zu kontrollieren. Bezüglich der Speicherung und Verwaltung ist die Vollständigkeit der erfassten Daten durch Abgleiche der Protokolle der Erfassungssoftware mit denen des Speichersystems, eventuell über automatische Verifikationsprogramme, zu überwachen. Für den Fall einer manuellen Freigabe der zu archivierenden Daten ist sicherzustellen, dass dies ausschließlich durch autorisierte Personen erfolgt. Sollte im Archivserver ein Cache vorhanden sein, so müssen Veränderungen der Daten im Cache durch das Berechtigungskonzept ausgeschlossen bzw. Zugriffe protokolliert werden. Hinsichtlich der Lesbarmachung kann zwischen den Varianten Online-Anzeige, Ausdruck, Export und einem Zurücksichern in das vorgeschaltete Rechnungslegungssystem unterschieden werden. Da bei der Durchführung einer Zurücksicherung grundsätzlich die Gefahr besteht, dass die Daten nicht oder unvollständig gelesen werden, sind hierbei plattform- und releaseunabhängige Archivierungssysteme einzusetzen. Im Zusammenhang mit dem letzten Teilprozess, der Vernichtung der Originaldaten und -dokumente, gilt es zu beachten, dass dieser nur dann vollzogen werden sollte, falls die Aufbewahrungsfrist der elektronisch archivierten Dokumente und Daten abgelaufen ist. Dabei sind neben den handelsrechtlichen Vorgaben auch weitere gesetzliche Bestimmungen sowie innerbetriebliche Vorgaben in die Betrachtung einzubeziehen.

Fazit

Mit einer endgültigen Verabschiedung des IDW ERS FAIT 3 ist Anfang 2006 zu rechnen. Da die hier vorgestellten Inhalte somit bislang lediglich im Entwurf vorliegen, bleibt abzuwarten, inwieweit sich noch Änderungen bzw. Ergänzungen ergeben werden. Dennoch ist festzuhalten, dass die oben genannten Anforderungen an die Archivierung aufbewahrungspflichtiger Unterlagen, wenn auch eventuell in leicht veränderter Form, im Rahmen der zukünftigen Prüfungspraxis zu berücksichtigen sind und den Abschlussprüfer vor eine weitere IT-technische Herausforderung stellen. Betrachtet man den Gesamtkontext aus GDPdU, IDW PS 330 und schließlich den Vorgaben des Fachausschusses für Informationstechnologie (FAIT), so wird deutlich, dass es zur Prüfung der Einhaltung der damit verbundenen Anforderungen Spezialisten mit entsprechender Berufsqualifikation bedarf.

Newsletter
 hier abonnieren