Newsletter Ausgabe 11-2009 vom
10. November 2009
Inhalt:
MAGAZIN
MESSE
Editorial: Münchener Modell der Steuerprüfung?
Die rund 300 kaufmännischen Mitarbeiter der Stadtwerke München staunten am 5. Oktober bestimmt nicht schlecht, als sie eine persönliche Email des gerade im Hause tätigen Steuerprüfers erhielten. Der Finanzbeamte teilte ihnen darin nicht nur die Namen aller Aufsichtsratsmitglieder ihres Unternehmens sowie zweier weiterer kommunaler Betriebe mit, sondern auch die von 2005 bis 2008 an die Aufseher ausbezahlten Vergütungen. Ob die Verwunderung darüber, dass sie diese Email überhaupt bekommen haben, oder darüber, wie vergleichsweise gering die Vergütung (maximal 1.600 Euro im Jahr) ist, größer war, sei einmal dahingestellt.
Was war geschehen? Der Betriebsprüfer wollte die Aufsichtsratsvergütungen genauer unter die Lupe nehmen, hat dafür die Daten fleißig zusammengetragen und wollte diese - an wen eigentlich? - verschicken. Doch der Prüfer war offensichtlich nicht nur fleißig sondern auch sehr fix: ein "k" in die Adresszeile getippt und auf "Senden" geklickt und ab die Post. Dummerweise verbarg sich Hinter dem "k" der innerbetriebliche Verteiler der Stadtwerke für den gesamten kaufmännischen Bereich. Uns so nahm die Email ihren Lauf.
Was folgte: die Geschäftsführung der Stadtwerke beteuerte ihre Unschuld, der Prüfer und das Finanzamt entschuldigten sich. Da reibe ich mir verwundert die Augen: das muss doch gerade anders herum sein! Da sitzt der gewissenhafte Prüfer am Prüferarbeitsplatz, den ihm das Unternehmen eingerichtet hat, und beschäftigt sich in Ausübung des unmittelbaren Datenzugriffs mit dem Email-System des Unternehmens (Wie viel wurde nicht schon über die große Bedeutung der revisionssicheren Archivierung steuerlich relevanter Emails geschrieben!) und schon kompromittiert er mit wenigen zufälligen Mausklicks das System. Ich als Prüfer wäre in so einer Situation richtig in die Offensive gegangen. Wenn ein Unternehmen nicht in der Lage ist, für sein Email-System ein sicheres Berechtigungskonzept zu implementieren und zu kontrollieren, hat es dann wohl seine kaufmännischen Systeme administrativ im Griff? Also erst einmal her mit der Verfahrensdokumentation! Die gibt's etwa nicht oder nur unvollständig?
Mit seinem Versehen hat der Prüfer dem Aufsichtsrat geradezu eine Steilvorlage für kritische Fragen an die Geschäftsführung gegeben: Was ist mit der Verfahrensdokumentation? Konnte der Prüfer beim unmittelbaren Datenzugriff auf das Buchführungssystem wirklich nur lesend zugreifen oder hätte er auch dort experimentell kreativ wirken können? Wie ernst wird Compliance im Unternehmen überhaupt genommen? Ob der Aufsichtsrat diese Fragen wohl stellt? Oder ist seine Vergütung doch zu bescheiden, um sich hier richtig Zeit fürs Nachbohren zu nehmen? Und beteuert die Geschäftsführung dann immer noch ihre Unschuld? Dem Steuerprüfer müsste sie jedenfalls dankbar dafür sein, dass er eine kritische Schwachstelle im Unternehmen aufgedeckt hat.
Und: Lässt sich nicht die vermeintliche Panne zu einem neuen Prüfungsansatz zur IT-Systemprüfung weiterentwickeln, der dann unter dem Namen "Münchener Modell" in die Prüfungspraxis eingeht?
Ihr Gerhard Schmidt
Rechtsprechung: Reichweite der digitalen Betriebsprüfung bei freiwillig erstellten Aufzeichnungen (Stefan Gross und Martin Lamm)
Der BFH hat mit seinem Urteil vom 24. 6. 2009 eine weitere Grundsatzentscheidung zum Datenzugriff der Finanzverwaltung getroffen und dem Zugriffsrecht auf freiwillig geführte Aufzeichnungen Grenzen gesetzt. Die Tatsache, dass der BFH für originär digitale Unterlagen eine andere Behandlung zugrunde legt als für deren Papierform, wird Folgen für die Praxis auch der buchführungspflichtigen Unternehmen haben und nicht nur Einnahmen-Überschussrechner betreffen.
Veranstaltungen: audiconale 09 - Rückblick (Gerhard Schmidt)
Die GDPdU werden auch in den nächsten Jahren ein Thema sein. So Audicon-Geschäftsführer Jörg Fuhrmann in seiner Begrüßung zur "audiconale 09" am 1./2. Oktober in Köln. Denn die elektronische Steuerprüfung wird in Tiefe und Breite intensiver, ein zwar langsamer, doch stetiger Prozess. Vor- und Nebensysteme geraten immer stärker in den Fokus der Prüfer. Uns so gilt es heute, sich auf die Prüfungen von morgen vorzubereiten. Und so beschäftigten sich dann auch einige der rund 40 Vorträge mit GDPdU-Themen. Die aktuelle und zukünftige Prüfungspraxis aus Perspektive der Finanzverwaltung wie der betroffenen Unternehmen standen dabei im Mittelpunkt.
Literatur: IT-Compliance (Michael Rath und Rainer Sponholz)
Wie Sie wesentliche regulatorische Anforderungen an die IT identifizieren, priorisieren und deren Erfüllung einer effizienten Steuerung zuführen, erläutert dieser im August 2014 in aktualisierter Neuauflage erschienene Band. Die Autoren geben einen systematischen Überblick über Prinzipien und Rechtsrahmen der IT-Compliance, Klassifizierung und Priorisierung notwendiger Schutzmaßnahmen, CobiT-Framework (IT-Compliance unter Einsatz des ISACA-Rahmenwerks), sowie IT-Compliance-Management (Organisationsformen, Instrumente, Umsetzung).
Rechtsgrundlagen: Rechtsgrundlagen E-Mail-Archivierung (Thorsten Brand)
Durch die rasant wachsende E-Mail-Kommunikation fallen auch zunehmend Handelsbriefe oder sonstige aufbewahrungspflichtige und aufbewahrungswürdige Informationen im E-Mail- System an – oft werden ganze Vorgänge komplett elektronisch abgewickelt. Die E-Mail und deren Anhang sind dann Urkunden, Dokumente, Handelsbriefe oder Buchungsunterlagen in Sinne des Gesetzes. Welche rechtlichen Grundlagen für die E-Mail-Archivierung gelten, ist hier zusammengestellt. Zielsetzung ist, gezielt auf die besonderen Regelungen für E-Mails oder Gegebenheiten des E-Mail-Systems einzugehen und nicht die allgemeinen rechtlichen Grundlagen zur Aufbewahrung darzustellen.
IT-Wirtschaftskriminalität: Studie zur Wirtschaftskriminalität 2009
Wirtschaftskriminalität hat gravierende Folgen für Unternehmen: Der finanzielle Verlust beträgt 2009 durchschnittlich 5,57 Millionen Euro je betroffenem Unternehmen. Das ist ein Ergebnis der Studie zur Wirtschaftskriminalität 2009, die PricewaterhouseCoopers (PwC) in Zusammenarbeit mit der Universität Halle-Wittenberg veröffentlicht hat. Die Experten untersuchen darin die Sicherheitslage in deutschen Großunternehmen. Die Studie kann kostenlos bei PwC bezogen werden.
Diskussion: Aktuelles aus der XING-Gruppe "Elektronische Steuerprüfung"
Veranstaltungen: Termine der nächsten Wochen
* Externe Qualitätskontrolle und Wissenswertes über die DATEV-Lösungen zur Abschlussprüfung (DATEV): 23.11. Münster, 08.12. Hamburg, 10.12. Düsseldorf
* Elektronischer Rechnungstag - Seminar (Kongress Media): 16.11.München
* Elektronischer Rechnungstag - Konferenz (Kongress Media): 17.11. München
DATEV: Datenextraktion aus SAP®
Die Extraktion und Auswertung von Massendaten bei der digitalen Prüfung ist eine ganz spezielle Herausforderung. Der dab:exporter und DATEV ACL comfort helfen Ihnen, diese Aufgabe zu meistern.
Audicon: Monatlich neu: Tipps & Tricks zu IDEA und AIS TaxAudit Professional
Ab sofort wird das Prüfen mit IDEA und AIS TaxAudit Professional noch einfacher: In praktischen Schritt-für-Schritt Anleitungen zum Einsatz von IDEA und AIS TaxAudit Professional geben Audicon-Experten ihr umfangreiches Wissen weiter. Auf der Audcion-Homepage stehen die monatlich neu erscheinenden Tipps & Tricks kostenlos zum Download zur Verfügung.