Der Fachausschuss für Informationstechnologie (FAIT) des Instituts
der Wirtschaftsprüfer (IDW) hat den Entwurf einer Stellungnahme zur
Rechnungslegung vorgelegt. Der sog. IDW ERS FAIT 3 befasst sich mit den
Grundsätzen ordnungsmäßiger Buchführung beim Einsatz elektronischer
Archivierungsverfahren und geht im Detail auf unterschiedliche
gesetzliche Anforderungen in diesem Kontext ein. Damit wird die
Diskussion um die vielfältigen Anforderungen an die Archivierung von
Daten um eine weitere Dimension erweitert. Die wesentlichen Inhalte
sollen im Folgenden dargestellt werden.
Gesetzliche Vorgaben
Nach dem Handelsgesetzbuch sind Handelsbücher, Inventare,
Eröffnungsbilanzen, Jahresabschlüsse, Lageberichte etc. sowie die zu
ihrem Verständnis erforderlichen Arbeitsanweisungen über eine Dauer von
zehn Jahren aufzubewahren. Die gleiche Aufbewahrungsfrist ist auch für
sog. Buchungsbelege zugrunde zu legen. Für empfangene Handelsbriefe
sowie Wiedergaben von abgesandten Handelsbriefen gilt eine gesetzliche
Aufbewahrungsfrist von sechs Jahren. Dabei lässt das Handelsgesetzbuch
bei ausgewählten Unterlagen auch eine Aufbewahrung auf einem Bild- oder
Datenträger zu, wenn die Daten während der Dauer der Aufbewahrungsfrist
verfügbar sind und jederzeit innerhalb einer angemessenen Frist lesbar
gemacht werden können. Weiter wird auf der Grundlage des
Handelsgesetzbuches gefordert, dass die aufbewahrten Daten mit
empfangenen Handelsbriefen und Buchungsbelegen bildlich sowie mit
anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht
werden. Es gilt jedoch zu beachten, dass beim Einsatz von
elektronischen Archivierungsverfahren neben den handelsrechtlichen
rechnungslegungsspezifischen Vorschriften (§§ 257, 261 HGB) und
den Grundsätzen ordnungsmäßiger Buchführung weitere gesetzliche
Vorschriften, insbesondere aus dem Steuerrecht und dem
Bundesdatenschutzgesetz zu berücksichtigen sind. Darüber hinaus sind
BMF-Schreiben und die Anforderungen an Dokumente zur Beweisführung in
Zivil-, Straf- und Verwaltungsprozessen sowie branchenspezifische
Rechtsvorschriften zu berücksichtigen.
Risiken
Die mit dem Einsatz von elektronischen Archivierungsverfahren
verbundenen Risiken können auf der Grundlage des IDW ERS FAIT 3
grundsätzlich in rechtliche, technische und organisatorische Risiken
unterteilt werden. Rechtliche Risiken können sich insbesondere aus der
Nichtbeachtung der gesetzlichen Aufbewahrungsfristen ergeben. Die
eingesetzten Archivierungsverfahren müssen insoweit die Lesbarmachung
der Unterlagen über den gesamten Aufbewahrungszeitraum gewährleisten.
Darüber hinaus ist zu prüfen, ob die Beweiskraft von Dokumenten bei der
Aufbewahrung in elektronischer Form erhalten bleibt. Beispielsweise
haben öffentlich beurkundete Dokumente eine höhere Beweiskraft als ihre
bildliche Reproduktion (§§ 415 ff. ZPO). Für den Fall, dass die
Buchführung aufgrund unzureichend erfüllter Sicherheitskriterien (siehe
unten) als nicht mehr beweiskräftig anzusehen ist, ergeben sich darüber
hinaus auch steuerliche Risiken. Diese können sich ferner auch dann
ergeben, wenn keine den Grundsätzen zum Datenzugriff und zur
Prüfbarkeit digitaler Unterlagen (GDPdU) entsprechenden
Zugriffsmöglichkeiten für die Finanzverwaltung auf steuerrelevante
Daten bereitgestellt werden können. Die technischen und
organisatorischen Risiken umfassen unter anderem mangelnde
Zugriffskontrollen, fehlende Regelungen von Verantwortlichkeiten sowie
unzureichende Migrationskonzepte.
Sicherheitskriterien
Für die Einhaltung der gesetzlichen Ordnungsmäßigkeitsvorschriften
sind grundsätzlich die gesetzlichen Vertreter verantwortlich.
Voraussetzung für eine ordnungsmäßige Rechnungslegung ist dabei die
Einhaltung entsprechender Sicherheitskriterien, die im Folgenden kurz
dargestellt werden sollen:
- Die Daten sind unter dem Gesichtpunkt der Vertraulichkeit
vorzuhalten, d.h. sie sind vor unberechtigtem Einsehen, Weitergeben und
Veröffentlichen zu schützen.
- Die Integrität des elektronischen Archivierungssystems ist zu
gewährleisten. Die gespeicherten Dokumente und Daten sind
fehlerfrei zu indizieren und vor ungewollten Änderungen zu schützen.
- Die Verfügbarkeit im Sinne einer Lesbarmachung muss während der gesamten Aufbewahrungsfrist gegeben sein.
- Im Hinblick auf die Autorisierung muss sichergestellt sein,
dass ausschließlich im Voraus festgelegte Personen die ihnen
zugewiesenen Rechte und Tätigkeiten wahrnehmen können.
- Die Authentizität des Archivierungssystems ist gegeben, sofern
die archivierten Unterlagen über eine eindeutige Verbindung zu den
zugehörigen Geschäftsvorfällen verfügen.
- Dem Kriterium der Verbindlichkeit wird entsprochen, wenn ein
elektronisches Archivierungsverfahren gewollte Rechtsfolgen
gewährleistet, d.h. wenn es die handelsrechtlichen Anforderungen des §
257 Abs. 3 HGB im Sinne einer bildlichen Speicherung von empfangenen
Handelsbriefen und Buchungsbelegen und die inhaltliche Speicherung
aller anderen aufbewahrungspflichtigen Unterlagen auf einem Bild- oder
sonstigen Datenträger einhält.
Ordnungsmäßigkeitskriterien
Neben den Sicherheitsanforderungen müssen zur Erfüllung der
Grundsätze ordnungsmäßiger Buchführung entsprechend IDW ERS FAIT 3
ergänzend die folgenden Ordnungsmäßigkeitskriterien während des
gesamten Archivierungsprozesses eingehalten werden:
- Der Grundsatz der Vollständigkeit erfordert die lückenlose
Erfassung aller rechnungslegungsrelevanten Dokumente und Daten.
- Dem Kriterium der Richtigkeit entsprechend ist der geforderte
Grad der Übereinstimmung mit dem Original zu erfüllen. Dies betrifft
insbesondere die für bestimmte Dokumente erforderliche bildliche
Übereinstimmung, die nur dann gegeben ist, wenn alle auf dem Original
enthaltenen Angaben zur Aussage- und Beweiskraft des Geschäftsvorfalls
originalgetreu bildlich wiedergegeben werden.
- Um möglichen Verlusten sowie Manipulationen vorzubeugen, ist,
dem Grundsatz der Zeitgerechtheit folgend, eine zeitnahe Überführung
der Dokumente und Daten in das Archivsystem vorzunehmen.
- Das Kriterium der Nachvollziehbarkeit ist zu erfüllen, indem
die Speicherung des einzelnen Geschäftsvorfalls sowie das angewandte
Archivierungsverfahren einschließlich der erforderlichen
Verfahrensdokumentation über die Dauer der Aufbewahrungsfrist
nachvollziehbar bleiben.
- Schließlich verlangt der Grundsatz der Unveränderlichkeit, dass
die elektronisch archivierten Dokumente und Daten nicht verändert
werden dürfen.
Einrichtung eines Archivierungssystems
Bei der Einrichtung eines elektronischen Archivierungssystems ist
stets darauf zu achten, dass die dargestellten Sicherheits- und
Ordnungsmäßigkeitsvorschriften nach IDW ERS FAIT 3 in allen
Teilbereichen eingehalten werden. Im Einzelnen bedeutet dies für das
IT-Umfeld, dass sowohl die gesetzlichen Vertreter als auch die
Mitarbeiter über ein angemessenes Problembewusstsein verfügen und eine
ausreichende Qualifikation der Mitarbeiter sowie eine aussagekräftige
schriftliche Verfahrensdokumentation vorliegen. Im Rahmen der
IT-Organisation ist im Hinblick auf die Ablauforganisation insbesondere
zu regeln, wie die aufbewahrungspflichtigen Dokumente und Daten
identifiziert werden bzw. wie die erforderliche Unterscheidung in
bildlich und inhaltlich zu archivierende Dokumente gewährleistet wird.
Ferner ist festzulegen, wann und durch welche Prozesse die Überführung
der Dokumente und Daten vom Produktivsystem in das Archivierungssystem
stattfindet. Gemäß der oben genannten Grundsätze ist hierbei darauf zu
achten, dass die Vollständigkeit und die Richtigkeit der Archivierung
sichergestellt und die Verantwortlichkeiten und Kompetenzen
hinsichtlich der Prozesse im Voraus geregelt sind. Betreffend die
IT-Infrastruktur werden physische Sicherungsmaßnahmen vorausgesetzt,
die vor Verlust, Zerstörung und unberechtigter Veränderung schützen.
Darüber hinaus ist neben dem Rechnungslegungssystem auch das
Archivierungssystem mit logischen Zugriffskontrollen im Rahmen eines
geeigneten Berechtigungskonzepts zu versehen. Überdies sind geeignete
Datensicherungs- und -auslagerungsverfahren zu implementieren. Während
der Regelbetrieb in Organisationsanweisungen festzulegen ist, sollten
Maßnahmen, die bei einem Ausfall des Archivierungssystems zu ergreifen
sind, in einem Notfallplan manifestiert werden. Bei der Auswahl,
Entwicklung und Änderung von IT-Anwendungen ist ein besonderes
Augenmerk auf die Herstellerauswahl, den Test und die Freigabe der
Software bzw. das Change-Management zu legen. Vorgenommene
Einstellungen in der Software und den Schnittstellen sind zu
dokumentieren. Bereits im Auswahlprozess der Software sollte
berücksichtigt werden, dass durchgeführte Archivierungen zu
protokollieren sind und die Datenkonsistenz durch
Plausibilitätskontrollen sicherzustellen ist. Außerdem muss es möglich
sein, ein differenziertes Berechtigungskonzept einzurichten.
Der Archivierungsprozess
Grundsätzlich kann der Gesamtprozess der Archivierung in mehrere
Teilprozesse untergliedert werden. Hierbei sind nach IDW ERS FAIT 3 bei
den einzelnen Teilaktivitäten insbesondere folgende Vorgaben zu
beachten:
Bei der Erfassung wird grundsätzlich zwischen automatisierten
Übernahmen von Dokumenten und Daten aus dem Rechungslegungssystem und
der elektronischen Erfassung von physischen Dokumenten unterschieden.
Bei der Übernahme aus dem Rechnungslegungssystem ist sicherzustellen,
dass nur abgeschlossene und somit archivierungsfähige Geschäftsvorfälle
übertragen werden. Im Anschluss an die Archivierung ist die
vollständige und richtige Datenübernahme zu kontrollieren. Für die
elektronische Erfassung von physischen Dokumenten müssen im Unternehmen
entsprechende Kontrollen stattfinden, die den Umständen des
Dokumentenscannings Rechnung tragen. So ist eine eindeutige
Erfassungsart je Dokumententyp festzulegen und die Erfassung
entsprechend zu kontrollieren. Darüber hinaus ist die Vollständigkeit
der Erfassung durch einen Abgleich der Anzahl der zu archivierenden
Dokumente mit der Anzahl der tatsächlich erfassten Dokumente
vorzunehmen. Zur Vermeidung von Doppelerfassungen ist die Archivierung
auf den Originalen zu kennzeichnen. Ferner sind zusammengehörige Seiten
eines Dokumentes im Archivierungssystem entsprechend zu verknüpfen.
Schließlich ist die originalgetreue Wiedergabe eines Dokumentes zu
kontrollieren. Im Hinblick auf die Indexierung ist darauf zu achten,
dass die Dokument-Identifikation eindeutig sein muss. Sollte die
Indexierung manuell erfolgen, so ist die eindeutige Zuordnung
ausreichend zu kontrollieren. Bezüglich der Speicherung und Verwaltung
ist die Vollständigkeit der erfassten Daten durch Abgleiche der
Protokolle der Erfassungssoftware mit denen des Speichersystems,
eventuell über automatische Verifikationsprogramme, zu überwachen. Für
den Fall einer manuellen Freigabe der zu archivierenden Daten ist
sicherzustellen, dass dies ausschließlich durch autorisierte Personen
erfolgt. Sollte im Archivserver ein Cache vorhanden sein, so müssen
Veränderungen der Daten im Cache durch das Berechtigungskonzept
ausgeschlossen bzw. Zugriffe protokolliert werden. Hinsichtlich der
Lesbarmachung kann zwischen den Varianten Online-Anzeige, Ausdruck,
Export und einem Zurücksichern in das vorgeschaltete
Rechnungslegungssystem unterschieden werden. Da bei der Durchführung
einer Zurücksicherung grundsätzlich die Gefahr besteht, dass die Daten
nicht oder unvollständig gelesen werden, sind hierbei plattform- und
releaseunabhängige Archivierungssysteme einzusetzen. Im Zusammenhang
mit dem letzten Teilprozess, der Vernichtung der Originaldaten und
-dokumente, gilt es zu beachten, dass dieser nur dann vollzogen werden
sollte, falls die Aufbewahrungsfrist der elektronisch archivierten
Dokumente und Daten abgelaufen ist. Dabei sind neben den
handelsrechtlichen Vorgaben auch weitere gesetzliche Bestimmungen sowie
innerbetriebliche Vorgaben in die Betrachtung einzubeziehen.
Fazit
Mit einer endgültigen Verabschiedung des IDW ERS FAIT 3 ist Anfang
2006 zu rechnen. Da die hier vorgestellten Inhalte somit bislang
lediglich im Entwurf vorliegen, bleibt abzuwarten, inwieweit sich noch
Änderungen bzw. Ergänzungen ergeben werden. Dennoch ist festzuhalten,
dass die oben genannten Anforderungen an die Archivierung
aufbewahrungspflichtiger Unterlagen, wenn auch eventuell in leicht
veränderter Form, im Rahmen der zukünftigen Prüfungspraxis zu
berücksichtigen sind und den Abschlussprüfer vor eine weitere
IT-technische Herausforderung stellen. Betrachtet man den Gesamtkontext
aus GDPdU, IDW PS 330 und schließlich den Vorgaben des Fachausschusses
für Informationstechnologie (FAIT), so wird deutlich, dass es zur
Prüfung der Einhaltung der damit verbundenen Anforderungen Spezialisten
mit entsprechender Berufsqualifikation bedarf.