Anzeigen

Anbieter von Lösungen zur elektronischen Steuerprüfung
Logo Audicon
Data Migration
Gisa
DATEV eG
Home  Editorial

„Münchener Modell“ der Steuerprüfung?

Editorial des Email-Newsletters 11-2009 vom 07.11.2009

06.11.2009

Gerhard Schmidt

Gerhard Schmidt 
Chefredakteur des "Forum Elektronische Steuerprüfung".

 

Die rund 300 kaufmännischen Mitarbeiter der Stadtwerke München staunten am 5. Oktober bestimmt nicht schlecht, als sie eine persönliche Email des gerade im Hause tätigen Steuerprüfers erhielten. Der Finanzbeamte teilte ihnen darin nicht nur die Namen aller Aufsichtsratsmitglieder ihres Unternehmens sowie zweier weiterer kommunaler Betriebe mit, sondern auch die von 2005 bis 2008 an die Aufseher ausbezahlten Vergütungen. Ob die Verwunderung darüber, dass sie diese Email überhaupt bekommen haben, oder darüber, wie vergleichsweise gering die Vergütung (maximal 1.600 Euro im Jahr) ist, größer war, sei einmal dahingestellt.

Was war geschehen? Der Betriebsprüfer wollte die Aufsichtsratsvergütungen genauer unter die Lupe nehmen, hat dafür die Daten fleißig zusammengetragen und wollte diese - an wen eigentlich? - verschicken. Doch der Prüfer war offensichtlich nicht nur fleißig sondern auch sehr fix: ein "k" in die Adresszeile getippt und auf "Senden" geklickt und ab die Post. Dummerweise verbarg sich Hinter dem "k" der innerbetriebliche Verteiler der Stadtwerke für den gesamten kaufmännischen Bereich. Uns so nahm die Email ihren Lauf.

Was folgte: die Geschäftsführung der Stadtwerke beteuerte ihre Unschuld, der Prüfer und das Finanzamt entschuldigten sich. Da reibe ich mir verwundert die Augen: das muss doch gerade anders herum sein! Da sitzt der gewissenhafte Prüfer am Prüferarbeitsplatz, den ihm das Unternehmen eingerichtet hat, und beschäftigt sich in Ausübung des unmittelbaren Datenzugriffs mit dem Email-System des Unternehmens (Wie viel wurde nicht schon über die große Bedeutung der revisionssicheren Archivierung steuerlich relevanter Emails geschrieben!) und schon kompromittiert er mit wenigen zufälligen Mausklicks das System. Ich als Prüfer wäre in so einer Situation richtig in die Offensive gegangen. Wenn ein Unternehmen nicht in der Lage ist, für sein Email-System ein sicheres Berechtigungskonzept zu implementieren und zu kontrollieren, hat es dann wohl seine kaufmännischen Systeme administrativ im Griff? Also erst einmal her mit der Verfahrensdokumentation! Die gibt's etwa nicht oder nur unvollständig?

Mit seinem Versehen hat der Prüfer dem Aufsichtsrat geradezu eine Steilvorlage für kritische Fragen an die Geschäftsführung gegeben: Was ist mit der Verfahrensdokumentation? Konnte der Prüfer beim unmittelbaren Datenzugriff auf das Buchführungssystem wirklich nur lesend zugreifen oder hätte er auch dort experimentell kreativ wirken können? Wie ernst wird Compliance im Unternehmen überhaupt genommen? Ob der Aufsichtsrat diese Fragen wohl stellt? Oder ist seine Vergütung doch zu bescheiden, um sich hier richtig Zeit fürs Nachbohren zu nehmen? Und beteuert die Geschäftsführung dann immer noch ihre Unschuld? Dem Steuerprüfer müsste sie jedenfalls dankbar dafür sein, dass er eine kritische Schwachstelle im Unternehmen aufgedeckt hat.

Und: Lässt sich nicht die vermeintliche Panne zu einem neuen Prüfungsansatz zur IT-Systemprüfung weiterentwickeln, der dann unter dem Namen "Münchener Modell" in die Prüfungspraxis eingeht?

Ihr Gerhard Schmidt

Newsletter
 hier abonnieren