02.10.2024
|
IDW RS FAIT 3 - Neue Prüfungsrichtlinie für DMS-LösungenVon Thorsten Brand
Thorsten Brand ist als Senior-Berater bei der Zöller & Partner GmbH im Bereich elektronische Archivierung und Dokumenten-Management tätig. Seine Spezialgebiete sind organisatorische Einführungsbegleitung, rechtliche Fragen sowie Verfahrensdokumentationen. Der IDW RS FAIT 3 ist erschienen. Es handelt sich hierbei um eine Sammlung von Anforderungen an den Betrieb einer DMS-Lösung aus Sicht der Deutschen Wirtschaftsprüfer. Im Gegensatz zu Gesetzen und Verordnungen wurden hier konkrete und DMS-spezifische Regelungen zusammengestellt.Stellungnahme zur Rechnungslegung (RS): Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren des Fachausschusses für Informationstechnik (IDW RS FAIT 3) des Institutes der Deutschen Wirtschaftsprüfer (IDW), Stand 11.07.2006, erschienen in WPg (Die Wirtschaftsprüfung) 2006, S. 1465 ff., Heft-Nr. 22/2006. Der erste Entwurf des IDW RS FAIT 3 war bereits seit Mitte 2005 auf der Homepage der IDW verfügbar. Dann dauerte es aber noch fast ein Jahr, bis die endgültige Version verabschiedet wurde. Eine Veröffentlichung in den Fachnachrichten des IDW erfolgte dann im November 2006. Eine Beschaffung über die eigene Wirtschaftsprüfungsgesellschaft sollte aber leicht möglich sein. Die Inhalte des IDW RS FAIT 3Die neuen Grundsätze für Wirtschaftsprüfer sind abgeleitet aus dem Handelsgesetzbuch, es werden aber auch andere rechtliche Grundlagen wie die Abgabenordnung, das Umsatzsteuerrecht und die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Lösungen (GDPdU) berücksichtigt. Grob gliedert sich das Dokument in die Abschnitte:
Somit ist der IDW RS FAIT 3 keine reine Kriteriensammlung oder Prüfliste, sondern eine Mischung von beschreibenden Texten und Anforderungsdefinitionen. Für einen DMS-erfahrenen Anwender sind sicher nur die letzten beiden Abschnitte von Interesse, da hier konkrete Vorgaben für das eigene System vorhanden sind.
Von den Grundlagen zu den Details
Aus den in den Grundsätzen ordnungsgemäßer Buchführungssysteme (GoBS) definierten Kriterien für die Ordnungsmäßigkeit der Buchführung und eines Buchführungssystems werden entsprechende Sicherheits- und Betriebsanforderungen für ein DMS abgeleitet. Diese allgemeinen Anforderungen sind:
Diese Kriterien sind in den GoBS nur sehr allgemein und von wenigen Ausnahmen abgesehen nicht DMS-spezifisch konkretisiert, so dass der sorgfältige Anwender nicht genau weiß, was hier zu tun ist. Sie werden im RS FAIT 3 interpretiert und detailliert. Beispielsweise wird für das Kriterium Richtigkeit die bildliche und inhaltliche Gleichheit definiert. Auch werden Anforderungen an das Farbscannen und die Brutto-Netto-Image-Verarbeitung beschrieben. Die Problematik des Scannens von AGBs ist ein weiteres praxisnahes Beispiel. Für das Kriterium Integrität wird auf das Zusammenspiel zwischen Buchhaltungsanwendung und DMS eingegangen, da für die Ordnungsmäßigkeit des DMS häufig auch Teile der Buchhaltungsanwendung relevant sind. Beispielsweise sind bei der Dokumentenarchivierung mit SAP R/3 die Zugriffskriterien auf Dokumente in den Standard-Archivierungsszenarien nur in den SAP-Tabellen vorhanden, so dass die obigen DMS-relevanten Anforderungen auch für eine Buchhaltungsanwendung gelten. Die GoBS aus 1995 leistet hier nichts Vergleichbares, da das Werk mit dem Fokus Buchführung erstellt wurde. Hier wurde allerdings Handlungsbedarf erkannt und im Rahmen einer AWV-Arbeitsgruppe erfolgt eine Überarbeitung dieser Grundsätze. Auch hat sich der VOI e.V. (Verband Organisations- und Informationssysteme) mit der Veröffentlichung der Prüfkriterien für DMS-Lösungen (PK-DML) ebenfalls dem Thema angenommen. WORM oder nicht WORM: Sicherstellung der UnveränderbarkeitMit besonderer Spannung wurden die Regelungen für die Sicherstellung der Unveränderbarkeit erwartet. WORM oder nicht WORM war hier die Frage. Werden also konkrete Anforderungen an die Speichertechnologie formuliert oder überlässt man die Ausgestaltung der Unveränderbarkeit durch Hardware, Software und Organisation dem Betreiber eines DMS? Die relevante Formulierung ist: Das Kriterium der Unveränderlichkeit verlangt, dass mit Hilfe von technischen und organisatorischen Maßnahmen sichergestellt wird, dass keine nachträglichen Änderungen an elektronisch archivierten Dokumenten und Daten vorgenommen werden. Es ist also nicht ausschließlich eine Hardware-Technologie gefordert, wie dies die GDPdU für elektronisch signierte Rechnungen fordern. Somit steht es dem Anwender frei, ob er dies durch Hardware-Komponenten wie WORM-Jukeboxen oder WORM-Festplattensysteme oder die DMS-Software selbst sicherstellt. Eine einfache Speicherung von archivierten Objekten auf File-Servern ohne besondere Sicherheitsmechanismen ist hier sicher nicht ausreichend, aber kombiniert mit softwaretechnischen Verfahren wie Prüfsummenbildung oder elektronischen Signaturen kann die Unveränderbarkeit gewährleistet werden. In jedem Fall sind organisatorische Regelungen zusätzlich erforderlich, beispielsweise für das Medienhandling, die Erstellung von Sicherheitskopien oder die Berechtigungsvergabe. DMS-Betrieb konkretAm Ende des Dokumentes wird dann schließlich der Konkretisierungsgrad erreicht, an dem sich Anwender und Administratoren gut orientieren können. Hier sind interessante Hinweise und Empfehlungen für die Einrichtung und den Betrieb einer DMS-Lösung aufgeführt. Auf wichtige DMS-Prozesse wie Erfassung, Indizierung oder Speicherung/Archivierung wird konkret eingegangen. Hier einige Beispiele:
Bei den obigen Anforderungen geht es nicht immer um Produkteigenschaften, die entwickelt oder hinzugekauft werden können. Vielmehr ist die Festlegung der Verantwortlichkeiten und Kompetenzen in Archivierungsprozessen erforderlich. Schnell kommt man hier auch wieder auf das Thema Verfahrensdokumentation, die bereits in den GoBS von 1995 gefordert wurde. Auch im RS FAIT 3 wird erneut darauf verwiesen, ohne aber die exakten Inhalte zu definieren. Hier hilft meist ein Blick in Ver-öffentlichungen des VOI e.V. (www.voi.de). FazitBei RS FAIT 3 handelt es sich um eine kompakte und konkrete Darstellung zum Thema elektronische Archivierung aus Sicht der Wirtschaftsprüfung. Neben den technischen Anforderungen sind wichtige organisatorische Aspekte (Verfahrensdokumentation, Test-Szenarien, Notfallkonzepte oder das Change-Management) gut berücksichtigt und sinnvoll konkretisiert. Es ist somit ein klarer Rahmen, der die Diskussion über den ordnungsgemäßen Betrieb sicher erleichtert. Der RS FAIT 3 geht über die allgemeinen Anforderungen der GoBS hinaus und liefert einen ähnlichen Konkretisierungsgrad, wie die Prüfkriterien für DMS-Lösungen (PK-DML) des VOI. Kritische oder unverhältnismäßige Anforderungen sind im RS FAIT 3 nicht enthalten. Ein vertretbares Maß an IT-Sicherheit und die Beachtung von einigen wichtigen Betriebsregeln sind immer die Voraussetzung für einen ordnungsgemäßen Betrieb. Wenn der Anwender dann noch eine Musterverfahrensdokumentation vom DMS-Anbieter bekommt und hier seine eigenen organisatorischen Regelungen einfügt, kann man einer Systemprüfung durch die Wirtschaftsprüfer gelassen entgegen sehen. © Copyright Compario 2024, Autorenrechte bei den Autoren |
AktuellEditorialWie steht es um die IT-Sicherheit in Ihrem Unternehmen? IT-SicherheitCrowdStrike - Welche Folgen der IT-Ausfall für deutsche Unternehmen hatte Elektronische RechnungenUmsetzungsstand der Einführung der E-Rechnung in Deutschland LiteraturVerfahrensdokumentation nach GoBD (Michael Bissinger, Elisa Lutz) Aus dem BMFRichtsatzsammlung für das Kalenderjahr 2023 veröffentlicht Aus der FinanzverwaltungZuteilung der Wirtschafts-Identifikationsnummer startet im November Aus der FinanzverwaltungErfolgreiches BWL-Traineeprogramm der Hessischen Steuerverwaltung wird ausgeweitet RechtsprechungBFH zu zwingendem Dateiformat elektronischer Dokumente Elektronische RechnungenZDH-Flyer: "Umsatzsteuer – Anforderungen an Rechnungen" LiteraturBuchführungsfehler und Betriebsprüfung (Peter Schumacher) Partner-PortalVeranstalter |
02.10.2024