Entwurf IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW ERS FAIT 2)

Transkript

1 Entwurf IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW ERS FAIT 2) (Stand: ) 1 Der Fachausschuss für Informationstechnologie (FAIT) des IDW hat den nachfolgenden Entwurf einer IDW Stellungnahme zur Rechnungslegung verabschiedet. Änderungs- und Ergänzungsvorschläge zu dem Entwurf werden schriftlich an die Geschäftsstelle des IDW, Postfach , Düsseldorf, bis zum erbeten. Der Entwurf steht bis zu seiner endgültigen Verabschiedung als IDW Stellungnahme zur Rechnungslegung im Internet ( unter der Rubrik Verlautbarungen als Download-Angebot zur Verfügung. 1. Vorbemerkungen Grundlagen des E-Commerce Ausprägungen des E-Commerce Arten von E-Commerce-Aktivitäten Differenzierung von E-Commerce nach den beteiligten Wirtschaftssubjekten Rechtliches, technisches und organisatorisches Umfeld Rechtliches Umfeld Technisches und organisatorisches Umfeld Verpflichtungen der gesetzlichen Vertreter im Zusammenhang mit E-Commerce Besondere IT-Risiken beim Einsatz von E-Commerce-Systemen Risiken aus der Kommunikation Risiken aus der Verarbeitung Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce- Systemen Belegfunktion Journal- und Kontenfunktion Dokumentation Aufbewahrungspflichten Aufbewahrungspflichten beim Einsatz von EDI Einrichtung eines E-Commerce-Systems IT-Umfeld und IT-Organisation bei Einsatz von E-Commerce- Systemen Verabschiedet vom Fachausschuss für Informationstechnologie (FAIT) als Entwurf am

2 6.2. IT-Organisation bei Einsatz von E-Commerce-Systemen E-Commerce-Infrastruktur E-Commerce-Anwendungen E-Commerce Geschäftsprozesse Überwachung des IT-Kontrollsystems bei Einsatz von E- Commerce-Systemen Internet-Service-Provider/Outsourcing...21 Anhang 1: Besonderheiten hinsichtlich der Risiken und Anforderungen beim Einsatz von E-Commerce Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce Sicherheitsanforderungen Integrität Verfügbarkeit Vertraulichkeit Authentizität Autorisierung Verbindlichkeit Ordnungsmäßigkeit Vollständigkeit Richtigkeit Zeitgerechtheit Ordnung Nachvollziehbarkeit Unveränderlichkeit...37 Anhang 2: Glossar Vorbemerkungen (1) E-Commerce beinhaltet die Anbahnung und Abwicklung von Geschäftsvorfällen (von der Kontaktaufnahme bis zum Zahlungsverkehr) zwischen Marktteilnehmern in elektronischer Form unter Verwendung verschiedener Informations- und Kommunikationstechnologien über öffentlich zugängliche Netzwerke. E-Commerce umfasst somit alle Aktivitäten, die das Ziel verfolgen, den Handel mit Informationen, Gütern und Dienstleistungen über alle Phasen der Geschäftsabwicklung hinweg elektronisch zu ermöglichen (vgl. IDW Prüfungsstandard: Die Durchführung von WebTrust-Prüfungen (IDW PS 890) 2, Tz. 5). Als E-Commerce-Systeme i.s.d. IDW Stellungnahme zur Rechnungslegung werden diejenigen Komponenten des IT-Systems ver- 2 WPg 2001, S. 458 ff. 2

3 standen, die ausschließlich oder überwiegend zur Durchführung des E- Commerce eingesetzt werden (vgl. in diesem Zusammenhang Entwurf IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW ERS FAIT 1) 3, Tz. 6). (2) Rechnungslegungsrelevante E-Commerce-Systeme lassen Informationen und Daten über betriebliche Aktivitäten entweder direkt (d.h. ohne manuelle Eingaben) in die IT-gestützte Rechnungslegung einfließen oder stellen diese Informationen und Daten in elektronischer Form als Grundlagen für Buchungen im Rechnungslegungssystem zur Verfügung. (3) Diese IDW Stellungnahme zur Rechnungslegung konkretisiert die aus den 238, 239 und 257 HGB resultierenden Anforderungen an die Führung der Handelsbücher mittels IT-gestützter Systeme. Sie verdeutlicht damit die im IDW ERS FAIT 1 dargestellten Ordnungsmäßigkeits- und Sicherheitsanforderungen im Bereich von E-Commerce und stellt ergänzende, über den IDW ERS FAIT 1 hinausgehende Anforderungen auf, um den mit dem Einsatz von E-Commerce-Systemen zusammenhängenden besonderen IT- Risiken zu begegnen. (4) Wirtschaftszweigspezifische (z.b. bei Kreditinstituten und Versicherungsunternehmen) und sonstige Besonderheiten, die im Einzelfall zusätzlich zu berücksichtigen sind, bleiben in dieser IDW Stellungnahme zur Rechnungslegung außer Betracht. (5) Zu Prüfungen von E-Commerce-Systemen im Rahmen von WebTrust vergleiche IDW PS 890. (6) Diese IDW Stellungnahme zur Rechnungslegung ersetzt die Stellungnahme FAMA 1/1995: Aufbewahrungspflichten beim Einsatz von EDI Grundlagen des E-Commerce 2.1. Ausprägungen des E-Commerce Arten von E-Commerce-Aktivitäten (7) E-Commerce-Aktivitäten lassen sich grundsätzlich in folgende Kategorien einteilen, die unterschiedliche Relevanz für die Rechnungslegung aufweisen: Information: Die einfachste Form des E-Commerce ist die rein informierende Darstellung des Unternehmens sowie seiner Produkte und Dienstleistungen im Internet. Das Leistungsspektrum reicht von Produktdemonstrationen und Preisübersichten bis hin zu individuellen Angebotsabrufen wie z.b. Flug- 3 4 WPg 2001, S. 512 ff. WPg 1995, S. 168 ff. 3

4 plänen. In der Regel entfalten diese Informationsangebote keine Rechnungslegungsrelevanz. Interaktion: Eine über die reine Information hinausgehende und sich häufig daran unmittelbar anschließende Form von E-Commerce-Aktivitäten ist die Kommunikation als Austausch von Daten und/oder Informationen über das Internet (z.b. in Form von s). Transaktion: Unter Transaktion i.s.d. IDW Stellungnahme zur Rechnungslegung wird die Abwicklung von Geschäftsvorfällen im Rahmen von E-Commerce- Geschäftsprozessen verstanden, die die Veränderung von Rechtspositionen zum Gegenstand haben, und damit das Eingehen von Rechten und Pflichten betreffen. Die wichtigsten Beispiele sind Bestellung bzw. Vertragsabschluss, Lieferung, Rechnungsstellung und Zahlung. Integration: Die Integration ist gekennzeichnet durch die unternehmensübergreifende Abwicklung von Transaktionen im Rahmen von E-Commerce- Geschäftsprozessen. Vormals isolierte Teilgeschäftsprozesse werden mittels IT zu einem E-Commerce-Geschäftsprozess zusammengeführt. Diese Integration betrifft insbesondere die Bereiche Ein- und Verkauf, Logistik und Produktion und ist durch eine weitgehend automatisierte und internetbasierte Abwicklung gekennzeichnet. Diese Abwicklungsform von E- Commerce-Geschäftsprozessen wird auch als E-Business bezeichnet und findet zunehmend über sog. elektronische Marktplätze, E-Customer- Relationship-Management und E-Procurement statt. (8) Einfluss auf die Rechnungslegung haben vornehmlich die E-Commerce- Aktivitäten Transaktionen und Integration, die Gegenstand der weiteren Betrachtung dieser IDW Stellungnahme zur Rechnungslegung sind. Im Zusammenhang mit der Kommunikation können bereits dokumentationspflichtige Vorgänge vorliegen, z.b. durch den Versand von Erläuterungen bzw. Konkretisierungen zu einem Geschäftsvorfall. 4

5 Differenzierung von E-Commerce nach den beteiligten Wirtschaftssubjekten (9) E-Commerce wird anhand der beteiligten Wirtschaftssubjekte wie folgt eingeteilt: Nachfrager Verbraucher (Consumer) Geschäftspartner (Business) Verwaltung (Administration) Anbieter Geschäfts - partner Verbraucher (Consumer) (Business) C2C C2B C2A B2C B2B B2A Verwaltung (Administration) A2C A2B A2A Im Vordergrund dieser IDW Stellungnahme zur Rechnungslegung stehen die Business-to-Business (B2B) und Business-to-Consumer (B2C)-Beziehungen. (10) Im Business-to-Business-Bereich (B2B) ist sowohl der Anbieter der Lieferung oder Leistung als auch der Nachfrager ein Unternehmen. Die Einsatzmöglichkeiten erstrecken sich hierbei auf alle Wertschöpfungsstufen sowie interne und externe Geschäftsprozesse, wie z.b. Beschaffung, Produktion, Absatz, Zahlungsverkehr, Rechnungswesen, Forschung und Entwicklung oder Personal. Typisch für B2B sind die individuell zwischen den Partnern bestehenden Geschäftsbeziehungen auf der Basis von individuellen Vereinbarungen. Dabei kann es sich sowohl um langfristig ausgehandelte Rahmenverträge als auch um eine einmalige Vertragsbeziehung handeln. (11) Im Business-to-Consumer-Bereich (B2C) ist der Anbieter der Lieferung oder Leistung ein Unternehmen, der Nachfrager ein Verbraucher Rechtliches, technisches und organisatorisches Umfeld Rechtliches Umfeld (12) Neben den rechnungslegungsspezifischen Vorschriften des HGB ( 238 f. HGB) und der Grundsätze ordnungsmäßiger Buchführung (GoB) bestehen beim Einsatz von E-Commerce zahlreiche weitere rechtliche Anforderungen. Diese betreffen beispielsweise den Schutz von personenbezogenen Daten 5

6 oder bei Rechtsgütern wie Urheberschutzrechten das anzuwendende Vertragsrecht. Darüber hinaus sorgt die Internationalität des Internets und damit verbunden die grenzüberschreitende Geschäftsabwicklung für weitere rechtliche Problemstellungen. Diese betreffen z.b. nationale und internationale Rechtsfragen des Handelsrechts, des Steuerrechts, des Strafrechts, des Zivilrechts oder des Datenschutzes. (13) Mit dem Gesetz zur Regelung der Rahmenbedingungen für Informationsund Kommunikationsdienste (IuKDG) hat der Gesetzgeber spezielle Rechtsnormen erlassen, wie z.b. das Gesetz zur digitalen Signatur (SigG), das Teledienstegesetz (TDG), das Teledienstedatenschutzgesetz (TDDSG) und das Fernabsatzgesetz (FernAbsG), um die Rechtssicherheit und die informationelle Selbstbestimmung beim E-Commerce zu gewährleisten. (14) Insbesondere bei WebTrust-Prüfungen (vgl. IDW PS 890) werden die zu den Bereichen Datenschutz und Datensicherheit vom Unternehmen im Internet getätigten Angaben zur Abwicklung des elektronischen Geschäftsverkehrs auf ihre Einhaltung hin überprüft. Werden dem Abschlussprüfer im Rahmen der Durchführung von Abschlussprüfungen schwerwiegende Verstöße der gesetzlichen Vertreter oder der Arbeitnehmer gegen gesetzliche Anforderungen, wie z.b. das BDSG oder das TDDSG, bekannt, so ist hierüber nach 321 Abs. 1 Satz 3 HGB im Prüfungsbericht Bericht zu erstatten Technisches und organisatorisches Umfeld (15) Das Internet ist ein weltweites öffentliches Netz von IT-Systemen, das unter Beachtung von technischen und administrativen Rahmenbedingungen prinzipiell jedem Unternehmen, jeder Institution und jeder Privatperson zur Verfügung steht und in dem standardisierte Dienste bereitgestellt werden. Es erlaubt die elektronische Kommunikation zwischen allen Teilnehmern auf Basis des Internet-Protokolls (IP). Hierzu erhält jeder an das Internet angeschlossene Computer oder jedes andere Endgerät (z.b. Mobiltelefon etc.) seine (dauerhafte oder temporäre) IP-Adresse (zur Erläuterung internetspezifischer Begriffe und Abkürzungen vgl. Anhang 2: Glossar). (16) In der Regel wählen sich private Internetnutzer direkt in das Netzwerk eines Internet-Service-Providers (ISP) ein, während Unternehmen oder Institutionen ihr internes Netzwerk mit dem Netzwerk des ISP (z.b. Router und Firewall) verbinden. Der Router ist die Schnittstelle zwischen dem internen Netzwerk und der Datenleitung zum ISP. Das Firewallsystem soll das interne Netzwerk schützen und sichern. (17) Die technische Abwicklung von E-Commerce ist im Wesentlichen gekennzeichnet durch die Nutzung ungeschützter, öffentlich zugänglicher Netzwerke, die Anonymität der Geschäftspartner, insbesondere im B2C-Bereich, 6

7 den Austausch von Handelsbriefen und Dokumenten, denen Belegfunktion zukommt, in elektronischer Form, Schnittstellen der im Unternehmen eingesetzten IT-Systeme zu öffentlich zugänglichen Netzwerken, wie z.b. zum Internet, automatisierte Geschäftsprozesse, die teilweise auch unternehmensübergreifend ohne personenbezogene Kontrollen oder Sicherungsmaßnahmen abgewickelt werden. 3. Verpflichtungen der gesetzlichen Vertreter im Zusammenhang mit E-Commerce (18) Die gesetzlichen Vertreter haben unabhängig von der eingesetzten Informationstechnologie, den implementierten Geschäftsprozessen oder der angewandten Geschäftsmodelle bei der Verarbeitung rechnungslegungsrelevanter Daten und Informationen die Einhaltung der gesetzlichen Anforderungen an die Ordnungsmäßigkeit der Rechnungslegung sicherzustellen. (19) Die Einhaltung der gesetzlichen Anforderungen beim Einsatz von E- Commerce-Systemen ist von den gesetzlichen Vertreter bei der Entwicklung und Umsetzung der IT-Strategie und des daraus abgeleiteten Sicherheitskonzeptes angemessen zu gewährleisten. Relevant für die Einhaltung der datenschutzrechtlichen Anforderungen sind insbesondere die aus den Sicherheitsanforderungen des IDW ERS FAIT 1 (die in der Anlage 1 im Bezug auf den Einsatz von E-Commerce-Systemen konkretisiert werden) abgeleiteten Maßnahmen. In diesem Zusammenhang ist darauf hinzuweisen, dass die gesetzlichen Anforderungen an den Schutz personenbezogener Daten auch Sicherungsmaßnahmen betreffen, die nicht mit der Rechnungslegung im Zusammenhang stehen, bspw. Sicherungsmaßnahmen des BDSG gegen das unbefugte Abfragen von Daten aller Art (vgl. Stellungnahme FAMA 1/1979: Bundesdatenschutzgesetz und Jahresabschlussprüfung 5 ). 4. Besondere IT-Risiken beim Einsatz von E-Commerce-Systemen Durch den Einsatz von internetbasierten Kommunikationstechnologien, die Erweiterung des Kreises der möglichen Geschäftspartner sowie die Beeinflussung durch Dritte z.b. ISP oder anderer in der Geschäftsabwicklung ergeben sich E-Commerce spezifische Probleme und Risiken. Bei deren Analyse und Wertung kann unterschieden werden zwischen den Risiken, die sich aus der Kommunikation, und den Risiken, die sich aus der Verarbeitung ergeben. 5 WPg 1979, S. 440 ff. 7

8 Internet Internet Service Provider 1 Kommunikation Internet Service Provider 2 E-Commerce- Anwendung Verarbeitung E-Commerce- Anwendung ERP System ERP System Nachfrager Anbieter 4.1. Risiken aus der Kommunikation (20) Die Kommunikation über öffentlich zugängliche Netzwerke beginnt ab dem Punkt, an dem der Absender bewusst die Einwirkungsmöglichkeit über die zu übermittelnden Daten (bspw. Transaktionsdaten) verliert, bis zu dem Punkt, an dem diese Daten dem Empfänger zugehen. (21) Ein Zugang ist dann erfolgt, wenn die übermittelten Daten in einer maschinell und/oder visuell lesbaren Form in den Verantwortungsbereich des Empfängers gelangt sind. Auf dem Weg vom Absender bis zum Empfänger bleibt das Risiko der unvollständigen, unrichtigen oder verspäteten Zustellung bzw. die Nachweispflicht über die erfolgte Zustellung auch bei elektronischer Versendung beim Absender. Entsprechend den herkömmlichen unterschiedlichen Versendungsformen bleibt es ihm überlassen, dieses Risiko u.a. durch elektronische Empfangsbestätigungen zu reduzieren. (22) Darüber hinaus ergeben sich bei der Kommunikation Risiken insbesondere aus der fehlenden Kontrolle über den Datentransfer im Internet, die wie folgt differenziert werden können: Daten werden häufig ohne oder mit unzureichendem Schutz vor Verfälschung übertragen, was zu Integritätsverletzungen führen kann (Verlust der Integrität). Daten werden häufig unverschlüsselt oder unter Verwendung einer unsicheren Verschlüsselung übertragen, was eine Gefährdung der Vertraulichkeit bedeutet (Verlust der Vertraulichkeit). Der Anschluss eines IT-Systems an das Internet birgt die Gefahr, Ziel von Angriffen zu werden, bspw. durch Viren, Trojanische Pferde oder Hacker, 8

9 die zu einer Gefährdung der Verfügbarkeit des IT-Systems führen (Verlust der Verfügbarkeit). Es existieren keine wirksamen Authentisierungsmechanismen zwischen den im Internet angeschlossenen Rechnern, bzw. es ist leicht möglich, falsche Adressen (IP-Spoofing) oder Rechnernamen (DNS-Spoofing) zu verwenden (Verlust der Authentizität). Beim Datentransfer können Hilfsprogramme (Java, Active-X) zu unautorisierten Zugriffen auf IT-Systeme führen (Verlust der Autorisierung). Eine unzureichende Protokollierung der Transaktionsdaten kann dazu führen, dass der Nachweis über die Geschäftstätigkeit nicht hinreichend erbracht werden kann. Darüber hinaus bergen fehlende national sowie international gültige Regelungen bezüglich der internetbasierten Geschäftsabwicklung die Gefahr, dass gewollte Rechtsfolgen nicht bindend herbeigeführt werden können (Verlust der Verbindlichkeit) Risiken aus der Verarbeitung (23) Die Verarbeitung der Transaktionsdaten in der E-Commerce-Anwendung reicht von dem Punkt des Zugangs bis zu dem Punkt, an dem die Daten vom Front-End (Zugangs-/Erfassungssysteme) an die Rechnungslegungssysteme (z.b. ERP-Systeme) übergeben werden. Die Risiken ergeben sich aus der Transaktionsdatenverarbeitung in der E-Commerce-Anwendung sowie insbesondere aus der Konvertierung, Entschlüsselung und Formatierung von Daten in der Schnittstelle zu anderen Teilen des IT-Systemen. (24) Zu den Risiken bei der Verarbeitung führen insbesondere folgende Sachverhalte: Integritätsverletzungen bei Daten führen dazu, dass aufzeichnungspflichtige Geschäftsvorfälle nicht oder unvollständig erfasst werden (Verletzung des Vollständigkeitsgrundsatzes). Mangelnde Authentizität und Autorisierung bewirkt, dass Geschäftsvorfälle inhaltlich unzutreffend abgebildet werden (Verletzung des Grundsatzes der Richtigkeit). Die fehlende Verfügbarkeit des E-Commerce-Systems und eine unzureichende Protokollierung des Datenverkehrs verhindern eine zeitgerechte Aufzeichnung des Geschäftsvorfalls (Verletzung des Grundsatzes der Zeitgerechtigkeit). Eine unzureichende Aufzeichnung der eingehenden Daten kann zu einer Beeinträchtigung der Nachvollziehbarkeit der Buchführung (Verletzung des Grundsatzes der Nachvollziehbarkeit) und zu einem Verstoß gegen die Aufbewahrungspflichten ( 257 HGB) führen. (25) Aufgrund dieser besonderen Risiken beim Einsatz von E-Commerce- Systemen ist die Einhaltung der Sicherheitsanforderung als Voraussetzung 9

10 der Ordnungsmäßigkeit der IT-gestützten Rechnungslegung von besonderer Bedeutung (vgl. IDW ERS FAIT 1, Tz. 19). Die Sicherheitsanforderungen beziehen sich sowohl auf den Übertragungsweg und damit auf die im öffentlichen Netz übertragenen Informationen und durchgeführten Transaktionen, als auch auf die Verarbeitung der Informationen und Transaktionen in den IT- Systeme der Marktpartner. 5. Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce- Systemen (26) Die Kriterien zur Beurteilung der Ordnungsmäßigkeit und Sicherheit beim Einsatz von IT sind im IDW ERS FAIT 1 dargestellt. Die konkrete Ausgestaltung des IT-Kontrollsystems zur Gewährleistung dieser Sicherheits- und Ordnungsmäßigkeitsanforderungen ist im Einzelfall festzulegen in Abhängigkeit von der Risikosituation und dem daraus abgeleiteten Sicherheitskonzept, das den erforderlichen Grad an Informationssicherheit definiert. (27) Technologiebedingt kann eine IT-Kontrolle sowohl dazu geeignet sein, Sicherheits- als auch Ordnungsmäßigkeitsanforderungen zu gewährleisten. Eine IT-Kontrolle, die bspw. umgesetzt wurde, um die Sicherheitsanforderung Integrität im Bezug auf die Kommunikation zu gewährleisten, kann auch dazu führen, die Ordnungsmäßigkeitsanforderung Vollständigkeit bei der Verarbeitung sicherzustellen. Daher sind die einzelnen IT-Kontrollen nicht nur isoliert zu betrachten, sondern ganzheitlich im Hinblick auf ihr Zusammenwirken im internen Kontrollsystem. Die Besonderheiten zu den Risiken und Anforderungen beim Einsatz von E-Commerce sind im Anhang 1 tabellarisch dargestellt Belegfunktion (28) Die in 238 Abs. 1 Satz 3 HGB geforderte Nachvollziehbarkeit der Geschäftsvorfälle in ihrer Entstehung und Abwicklung setzt voraus, dass die Berechtigung jeder Buchung durch einen Beleg nachgewiesen wird (Grundsatz der Belegbarkeit). Die Belegfunktion ist somit die Grundvoraussetzung für die Beweiskraft der Buchführung. (29) Die für die papiergebundenen Belege geltenden Anforderungen sind analog auch bei Einsatz von E-Commerce zu erfüllen. Aus dem GoB-Bezug in 239 Abs. 4 HGB kann allerdings nicht abgeleitet werden, dass an E-Commerce- Belege höhere Anforderungen als an Papierbelege zu stellen sind. (30) Nicht alle Daten über E-Commerce-Aktivitäten, die beim Empfänger eingehen, führen zu einer Buchung und sind damit als dokumentations- und aufbewahrungspflichtiger Vorgang anzusehen (vgl. aber Tz. 10). Vielmehr sind folgende Voraussetzungen zu erfüllen: Der Vorgang muss durch den Empfänger autorisiert sein. 10

11 Es muss ein buchungspflichtiger Vorgang vorliegen. Der Vorgang muss den Bilanzierenden erreichen. (31) Die Autorisierung soll sicherstellen, dass keine unberechtigten bzw. keine fiktiven Geschäftsvorfälle in das System eingehen. Es muss festgelegt sein, wann, wie und durch wen die Autorisierung erfolgt. (32) Eine elektronische Unterschrift des Absenders bzw. eine Verschlüsselung der Nachrichten ist generell nicht zwingend erforderlich: Eine Buchung aufgrund einer E-Commerce-Transaktion wird nicht durch die Unterschrift oder die digitale Signatur des Absenders bzw. durch die Verschlüsselungstechnik begründet, sondern durch den vom Empfänger als buchungspflichtig erkannten Inhalt der übermittelten Daten. Allerdings ist eine digitale Signatur des Absenders bzw. eine Verschlüsselung der Daten insbesondere in Bereichen mit erhöhten Sicherheitsanforderungen zu empfehlen. Ebenso können digitale Signaturen und Datenverschlüsselungen unverzichtbar sein, wenn anderenfalls eine Akzeptanz der übermittelten Daten nicht begründet werden kann. (33) Sofern E-Commerce-Geschäftprozesse automatisierte Buchungen auf Grundlage der übermittelten Transaktionsdaten auslösen und ein Nachweis durch konventionelle Belege nicht erbracht werden kann, ist die Belegfunktion über den verfahrensmäßigen Nachweis des Zusammenhangs zwischen der jeweiligen E-Commerce-Transaktion und ihrer Buchung zu erfüllen. Nach IDW ERS FAIT 1, Tz. 34 sind nachfolgende Anforderungen zu erfüllen: Dokumentation der programminternen Vorschriften zur Generierung der Buchungen Nachweis, dass die in der Dokumentation enthaltenen Vorschriften einem autorisierten Änderungsverfahren unterlegen haben (u.a. Zugriffsschutz, Versionsführung, Test- und Freigabeverfahren) Nachweis der tatsächlichen Durchführung der einzelnen Buchung Journal- und Kontenfunktion (34) Das Buchführungsverfahren muss gewährleisten, dass die buchungspflichtigen Geschäftsvorfälle sowohl in zeitlicher Ordnung (Journalfunktion) als auch in sachlicher Ordnung (Kontenfunktion) dargestellt werden können. Die Daten müssen innerhalb angemessener Zeit festgestellt und optisch lesbar gemacht werden können ( 239 Abs. 4 HGB). (35) Im Rahmen des E-Commerce gilt diese Forderung in gleicher Weise für die Konvertierung und die Verarbeitung der rechnungslegungsbezogenen Daten in den E-Commerce-Anwendungen. So ist sicherzustellen, dass die versandten bzw. empfangenen Daten chronologisch aufgezeichnet werden sowie die sachliche Ordnung bei Transaktionen mit mehreren Transaktionsschritten gewahrt bleibt. 11

12 (36) Die Erfüllung der Journalfunktion kann durch eine auswertbare Speicherung (Einzelnachweis) der Buchung im E-Commerce-System bei Sammelbuchungen in das Rechnungslegungssystem übertragen werden. Voraussetzung dafür ist, dass im Rahmen des E-Commerce-Systems die Ordnungsmäßigkeitsanforderungen an die Buchführung eingehalten werden. Sofern keine Autorisierung im E-Commerce-System erfolgt, sind die erfassten Daten als Erfassungsprotokolle und nicht als Journale einzustufen (vgl. IDW ERS FAIT 1, Tz. 42) Dokumentation (37) Für die Verfahrensdokumentation von E-Commerce-Systemen gelten die allgemeinen Anforderungen an die Dokumentation von IT-Systemen entsprechend (vgl. IDW ERS FAIT 1, Tz. 13). Aufbau, Inhalt und Umfang der Verfahrensdokumentation müssen es einem sachverständigen Dritten ermöglichen, das Rechnungslegungsverfahren in angemessener Zeit nachvollziehen zu können. (38) Den Schwerpunkt der Verfahrensdokumentation beim Einsatz von E-Commerce bildet die Beschreibung der technischen Einrichtungen und Verfahren zur Verarbeitung und Übertragung der Daten (z.b. Ver- und Entschlüsselung). Dies sind z.b.: Beschreibung der eingesetzten Hard- und Software (z.b. Router, Firewall und Virenscanner) Darstellung der Netzwerkarchitektur, insbesondere die Anbindung an einen ISP Beschreibung der zur Übertragung verwendeten Protokolle (z.b. TCP/IP) Beschreibung der verwendeten Verschlüsselungsverfahren Beschreibung der eingesetzten Signaturverfahren Datenflusspläne vom Eingang der Daten im Unternehmen bis zu den weiterverarbeitenden Rechnungslegungssystemen Beschreibung der Schnittstellen sowie der darauf bezogenen Kontrollen bei mit dem Rechnungslegungssystem nicht integrierten E-Commerce- Systemen Dokumentation der Autorisierungsverfahren einschließlich der Verfahren zur Generierung automatisierter Buchungen Beschreibung der Rechte und Pflichten von beauftragten Providern. (39) Neben den technischen Gegebenheiten sind in der Verfahrensdokumentation auch die organisatorischen Maßnahmen und insbesondere die Kontrollen zur Gewährleistung der Sicherheit und Ordnungsmäßigkeit beim Einsatz von E- Commerce zu beschreiben. Hierzu rechnen beispielsweise Beschreibungen zur 12

13 Selektion und Protokollierung der rechnungslegungsrelevanten Geschäftsvorfälle aus den empfangenen Daten, Abstimmung der vollständigen, richtigen und zeitgerechten Verarbeitung der empfangenen Daten, manuellen Nachkorrektur unvollständiger oder nicht formatgerechter Daten Aufbewahrungspflichten (40) Nicht alle im Zusammenhang mit E-Commerce-Aktivitäten stehenden Daten sind aufbewahrungspflichtig. Gemäß 257 HGB umfasst die Aufbewahrungspflicht die empfangenen und abgesandten Handelsbriefe, Buchungsbelege sowie zum Verständnis der Buchführung erforderlichen Arbeitsanweisungen und sonstige Organisationsunterlagen. (41) Die empfangenen Daten gelten als empfangener Handelsbrief, sofern diese ein Handelsgeschäft betreffen. Sie sind analog 257 Abs. 1 Nr. 2 i.v.m. Abs. 4 HGB für eine Dauer von sechs Jahren aufzubewahren. Um die Beweiskraft der empfangenen Daten sicherzustellen, müssen technische und organisatorische Vorkehrungen gewährleisten, dass ein Verlust oder eine Veränderung des Originalzustands der übermittelten Daten (Originaldaten) über den Zeitraum der gesetzlichen Aufbewahrungsfrist verhindert wird. Werden Konvertierungs- bzw. Signatur- oder Verschlüsselungsverfahren eingesetzt, so ist durch den Buchführungspflichtigen sicherzustellen, dass durch das eingesetzte Konvertierungs- bzw. Entschlüsselungsverfahren die Integrität der in eine lesbare Form überführten Daten (Inhouse-Format), die Authentizität des verwendeten Schlüssels sowie die Unveränderlichkeit der im Inhouse-Format gespeicherten Daten während der gesetzlichen Aufbewahrungsfrist gewährleistet werden. Soweit ein nachweislich zuverlässiges Konvertierungs- bzw. Entschlüsselungsverfahren eingesetzt wird, genügt die Archivierung im Inhouse-Format. Eine redundante Datenhaltung ist in diesem Fall nicht erforderlich. (42) Werden die Originaldaten in verschlüsselter Form gespeichert, sind Schlüssel und Algorithmen zur Entschlüsselung während der gesamten Aufbewahrungsfrist vorzuhalten. Ebenso muss es im Rahmen der Archivierung der zur Entschlüsselung verwendeten Verfahren möglich sein, die Daten in angemessener Zeit lesbar zu machen. Soweit die in verschlüsselter Form gespeicherten eingehenden Handelsbriefe Belegfunktion besitzen, ist zusätzlich eine Archivierung im Inhouse-Format notwendig, also in dem Format und in der Form, in denen der Handelsbrief bei Autorisierung des Geschäftsvorfalls vorgelegen hat. (43) Die Aufbewahrungsfrist für die Daten mit Belegfunktion beträgt gemäß 257 Abs. 1 Nr. 4 i.v.m. Abs. 4 HGB zehn Jahre. 13

14 (44) Vor dem Hintergrund der mit Wirkung ab dem 1. Januar 2002 in Kraft getretenen Änderung der Abgabenordung und dem in diesem Zusammenhang erlassenen BMF-Schreiben "Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU) wird auf die besonderen Aufbewahrungsanforderungen für Abrechnungen i.s.d. 14 Abs. 4 Satz 2 UStG und für sonstige aufbewahrungspflichtige Unterlagen i.s.d. 147 Abs. 1 AO hingewiesen. Diese Anforderungen betreffen Unterlagen, die in digitalisierter Form übermittelt werden und für die Besteuerung von Bedeutung sind. Nach Auffassung der Finanzverwaltung sind derzeit abweichend von den handelsrechtlichen Anforderungen empfangene Daten in ihrer ursprünglichen Form (Originaldaten) und bei Konvertierung in ein unternehmenseigenes Format (Inhouse-Format) auch in der umgewandelten Form zu archivieren. Diese Anforderung besteht unabhängig davon, ob ein zuverlässiges Konvertierungsverfahren eingesetzt wird. Werden Signatur- bzw. Verschlüsselungsverfahren eingesetzt, so sind die verwendeten Schlüssel und Algorithmen ebenfalls während der gesetzlichen Aufbewahrungsfrist vorzuhalten und sowohl die in verschlüsselter Form erhaltenen Daten als auch die entschlüsselte Form aufzubewahren. Dies gilt unabhängig davon, ob ein zuverlässiges Entschlüsselungsverfahren eingesetzt wird. Aufgrund der steuerrechtlichen Anforderungen kann es deshalb derzeit geboten sein, die Daten redundant, d.h. in der ursprünglichen und in der lesbaren (sog. Inhouse-Format) Form zu archivieren. Auf die darüber hinaus bestehenden zusätzlichen Aufbewahrungspflichten im Zusammenhang mit Abrechnungen i.s.d. 14 Abs. 4 Satz 2 UStG wird hingewiesen. (45) Sofern versandte Daten abgesandten Handelsbriefen gleichzusetzen sind, ergeben sich keine Besonderheiten gegenüber herkömmlichen Verfahren, da 257 Abs. 1 Nr. 3 i.v.m. Abs. 3 Nr. 1 HGB lediglich eine inhaltliche Wiedergabe fordert. Die Verfahrensdokumentation beim Einsatz von E-Commerce ist gemäß 257 Abs. 1 Nr. 1 i.v.m. Abs. 4 HGB zehn Jahre aufzubewahren Aufbewahrungspflichten beim Einsatz von EDI (46) Ebenso wie beim E-Commerce stellt sich generell bei der elektronischen Datenübermittlung die Frage, wie die ausgetauschten elektronischen Nachrichten zu behandeln sind, um den Aufbewahrungspflichten gerecht zu werden. Grundsätzlich sind eingehende EDI-Nachrichten insoweit aufbewahrungspflichtig, als Daten, die über dieses standardisierte Verfahren übermittelt werden, Handelsbrief- oder Belegfunktion entfalten. (47) Zur Archivierung von EDI-Daten, die durch den Empfänger akzeptiert (autorisiert) wurden, bestehen keine besonderen Anforderungen an ein bestimmtes Aufbewahrungsformat. (48) Soweit eine EDI-Nachricht Belegfunktion hat, hat die Archivierung im Inhouse-Format zu erfolgen (vgl. Tz. 46). Das zur Archivierung von EDI-Daten verwendete Verfahren muss sicherstellen, dass die Daten in angemessener 14

15 Zeit lesbar gemacht werden können. Dies kann bei der getrennten Speicherung von Schlüsseldateien und EDI-Nachricht über einen längeren Zeitraum schwierig sein, da hierfür eine exakte Historienführung der Stammdatenänderung Voraussetzung ist. 6. Einrichtung eines E-Commerce-Systems (49) Um die Unternehmensziele zu erreichen und erkannte Risiken zu bewältigen, stimmen die gesetzlichen Vertreter ihre IT-Strategie mit der Unternehmensstrategie ab. Hierfür ist ein angemessenes IT-Kontrollsystem einzurichten. (50) Gegenstand der IT-Strategie ist auch der Einsatz von E-Commerce- Systemen. Daher sind die E-Commerce-Aktivitäten in den Rahmen der IT- Strategie zu integrieren und auch in das Sicherheitskonzept einzubeziehen. Die Überwachung der Umsetzung der IT-Strategie und die Implementierung eines angemessenen und wirksamen IT-Kontrollsystems ist Aufgabe der gesetzlichen Vertreter. (51) Das Sicherheitskonzept umfasst eine Gefährdungs- bzw. Risikoanalyse sowie daraus abgeleitet die Festlegung des angemessenen Sicherheitsniveaus und die sich daraus ergebenden zusätzlichen Sicherungsmaßnahmen. Es muss daher in Übereinstimmung mit der IT-Strategie und der IT-Organisation stehen und eine Bewertung der spezifischen Sicherheitsrisiken der E- Commerce-Aktivitäten des Unternehmens enthalten. Ein solches Sicherheitskonzept wird durch Ausführungsanweisungen etwa im Bereich des IT- Betriebs, des Netzbetriebs und der Administration sowie bei der Gestaltung von Zugriffsschutzverfahren konkretisiert. (52) Wenn Unternehmen ganz oder teilweise Elemente des E-Commerce- Systems auslagern, müssen die gesetzlichen Vertreter beurteilen, wie sich dies auf das IT-Kontrollsystem auswirkt. Die Verantwortlichkeit der gesetzlichen Vertreter des Unternehmens erstreckt sich in diesem Fall auf die ausgelagerten Teile des IT-Systems. Insbesondere für Unternehmen, deren Geschäftstätigkeit ausschließlich oder überwiegend E-Commerce umfasst, können die damit verbundenen IT- Risiken bestandsgefährdend sein. Sie müssen deshalb im Risikofrüherkennungssystem festgestellt, analysiert und bewertet werden. Die risikobezogenen Informationen sind in systematisch geordneter Weise an die verantwortlichen Personen weiterzuleiten (vgl. IDW Prüfungsstandard: Die Prüfung des Risikofrüherkennungssystems nach 317 Abs. 4 HGB (IDW PS 340) 6, Tz. 4) IT-Umfeld und IT-Organisation bei Einsatz von E-Commerce-Systemen (53) Voraussetzung für ein geeignetes IT-Umfeld beim E-Commerce ist eine angemessene Grundeinstellung zum Einsatz von E-Commerce und ein Prob- 6 WPg 1999, S. 658 ff. 15

16 lembewusstsein für mögliche Risiken aus dem Einsatz von E-Commerce- Systemen bei den gesetzlichen Vertretern und den Mitarbeitern. Dies betrifft insbesondere ein ausgeprägtes Bewusstseins für die Sicherheitsrisiken bei der Nutzung des Internets in der Unternehmensorganisation. Dieses ist zugleich eine wesentliche Bedingung für die angemessene Umsetzung des Sicherheitskonzepts. Soweit kein hinreichendes Sicherheitsbewusstsein vorhanden ist, besteht das Risiko, dass die zur Vermeidung von E-Commerce- Risiken umgesetzten Maßnahmen ganz oder teilweise unwirksam bleiben IT-Organisation bei Einsatz von E-Commerce-Systemen (54) Die IT-Organisation umfasst auch die Verantwortlichkeiten und Kompetenzen im Zusammenhang mit dem Einsatz von E-Commerce-Systemen im Unternehmen. Sie beinhaltet insbesondere organisatorische und dem Betrieb angemessene Sicherungs- und Schutzverfahren (z.b. Einsatz von Firewalls zum Schutz vor unautorisierten Systemzugriffen, Einsatz von Intrusion Detection Systemen zur Aufdeckung von unerlaubten Angriffen, Einsatz von kryptographischen Verfahren zur Vermeidung von Datenmanipulationen u.a.). (55) Die Anforderungen an die Gestaltung der IT-Organisation betreffen die Aufbau- und Ablauforganisation des E-Commerce-Systems. Im Rahmen der Aufbauorganisation werden die Verantwortlichkeiten und Kompetenzen im Zusammenhang mit dem Einsatz von E-Commerce-Systemen geregelt. Die Ablauforganisation betrifft sowohl die Organisation der Entwicklung, Einführung und Änderung als auch die Steuerung des Einsatzes von E-Commerce- Anwendungen. Auch im Rahmen des E-Commerce-Betriebs müssen Aufgaben, Kompetenzen und Verantwortlichkeiten der Mitarbeiter klar definiert sein. Übliche Instrumente hierfür sind Prozess- und Funktionsbeschreibungen oder Organisationshandbücher E-Commerce-Infrastruktur (56) Die E-Commerce-Infrastruktur umfasst die technischen Ressourcen und die Regelungen des IT-Betriebs im Bezug auf den Einsatz des E-Commerce- Systems. Dies schließt die notwendige Systemsoftware sowie sonstige Hilfsprogramme ein, die zur Verbindung des IT-Systems mit öffentlichen Netzen, dritten Anwendern und Unternehmen dienen und den ordnungsmäßigen und sicheren Einsatz von E-Commerce- Anwendungen durch geeignete Schutz- und Steuerungsmaßnahmen unterstützt. Die E-Commerce-Infrastruktur umfasst damit typischerweise Komponenten wie z.b. Web-Server, Firewallsysteme als Schutzvorrichtung, Router zur Steuerung des Datenflusses sowie die für die E-Commerce-Dienste erforder- 16

17 liche Software (z.b. Web-Applikationen und Directory Services; http- und Mail-Services sowie Betriebssysteme). Weitere Hilfsprogramme, die z.b. dem Virenschutz oder der Überwachung von Angriffen von außen dienen (Intrusion-Detection-Programme), sind ebenfalls der E-Commerce- Infrastruktur zuzuordnen. (57) Die IT-Ressourcen und die Verfahren für einen sicheren und geordneten IT- Betrieb sollen insbesondere die Integrität und Verfügbarkeit des E-Commerce-Systems auf der Grundlage des Sicherheitskonzepts gewährleisten. (58) Die aus dem Sicherheitskonzept abgeleiteten Sicherungsmaßnahmen umfassen physische Sicherungsmaßnahmen und logische Zugriffskontrollen sowie Datensicherungs- und Auslagerungsverfahren. (59) IT-Grundlage für die Bereitstellung der E-Commerce-Anwendungen und damit für die Realisierung der E-Commerce-Aktivitäten im Internet sind Internet- Server, die entweder von den Unternehmen selbst betrieben oder von Internet-Service-Providern zur Verfügung gestellt werden. Dem entsprechend sind Internet-Server wie die gesamte E-Commerce-Infrastruktur durch physische Sicherungsmaßnahmen zu schützen (vgl. IDW ERS FAIT 1, Tz. 80). (60) Zur Absicherung des E-Commerce-Systems kommen Firewallsysteme zum Einsatz. Sie dienen der Trennung des E-Commerce-Systems und des öffentlich zugänglichen Internets und schützen gegen Angriffe aus dem Internet. Firewallsysteme bestehen aus einer Kombination von Hard- und Software, die als alleiniger Übergang zwischen dem E-Commerce-System des Unternehmens und dem davon zu trennenden Internet (TCP/IP-Netz) dient. Durch den Einsatz von speziellen Firewall-Komponenten (Application- Gateway/Packet-Filter) wird der Datentransfer auf unerwünschte Inhalte hin untersucht bzw. werden unerwünschte Zugriffe unterbunden. Die wesentlichen Hardware-Komponenten der E-Commerce-Infrastruktur sollten redundant ausgelegt sein. (61) Ein weiteres wesentliches Element der E-Commerce-Infrastruktur sind kryptographische Verfahren, die als Hardwarekomponenten oder Softwareprogramme die Integrität, Authentizität und Vertraulichkeit und damit die Ordnungsmäßigkeit und Sicherheit von Daten und Informationen sicherstellen. (62) Bei den Datensicherungs- und Auslagerungsverfahren ergeben sich beim Einsatz von E-Commerce-Systemen Besonderheiten (vgl. IDW ERS FAIT 1, Tz. 82 ff.), soweit diese im Outsourcing betrieben werden. Das Unternehmen muss daher sicherstellen, dass die eingesetzten Datensicherungs- und Auslagerungsverfahren für den dezentralen Betrieb angemessen sind und von den verantwortlichen Stellen (eigene dezentrale Einheiten oder Outsourcingpartner) entsprechend durchgeführt werden. Dies erfordert einerseits zusätzliche interne Überwachungsmaßnahmen, andererseits explizite vertragliche Vereinbarungen und Service Level Agreements mit den Outsourcing- Partnern. 17

18 6.4. E-Commerce-Anwendungen (63) E-Commerce-Anwendungen bilden typischerweise diejenigen Funktionalitäten ab, die für eine Abbildung, Kommunikation und Verarbeitung von E-Commerce-Geschäftsprozessen notwendig sind. Beim Empfänger sind dies die Funktionalitäten, die zur Realisierung der E- Commerce-Aktivitäten über das Internet sowie zur Übernahme und Verarbeitung der über das E-Commerce-System übermittelten Daten notwendig sind, bis diese in dem unternehmenseigenen Format (sog. Inhouse- Format) verarbeitungsfähig vorliegen. Beim Sender sind dies die Funktionalitäten, die die für den Versand über das Internet bestimmten Daten aufbereiten und über die E-Commerce- Infrastruktur übermitteln. Dementsprechend bilden E-Commerce-Anwendungen typischerweise Funktionalitäten der Präsentation, des Datentransfers sowie deren Aufbereitung im Rahmen von Shop-Systemen und elektronischen Marktplätzen ab, oder sind auf die Abwicklung der Bestell- oder Auftragsabwicklungsvorgänge oder des Zahlungsverkehrs ausgerichtet. Soweit rechnungslegungsrelevante Funktionalitäten durch E-Commerce- Anwendungen abgebildet werden, sind die Ordnungsmäßigkeitsanforderungen an die Buchführung einzuhalten; insbesondere muss die Beleg-, Journalund Kontofunktion gewährleistet sein (vgl. IDW ERS FAIT 1). (64) Bei dem Einsatz von E-Commerce-Anwendungen muss gewährleistet sein, dass die in der IT-Strategie in Bezug auf die Funktionalität dieser Anwendungen formulierten Anforderungen eingehalten werden. Neben der Einführung von anwendungsbezogenen IT-Kontrollen müssen generelle Kontrollen dafür sorgen, dass die E-Commerce-Anwendungen den Ordnungsmäßigkeitsanforderungen entsprechen. Dies gilt damit auch für die verarbeiteten Daten, die direkt in das Rechnungslegungssystem eingehen. Diese Forderung betrifft sowohl die Verarbeitungsfunktionalitäten als auch die sicherheitsrelevanten Funktionalitäten wie den Zugriffsschutz, die Sicherungs- und Wiederanlaufverfahren sowie die Programmentwicklung, -wartung und -freigabe (vgl. IDW ERS FAIT 1, Tz. 90 ff.) E-Commerce Geschäftsprozesse (65) Die Implementierung von E-Commerce-Geschäftsprozessen führt prinzipiell zu einer ganzheitlichen Betrachtung und Analyse aller mit dem E-Commerce- Geschäftsprozess im Zusammenhang stehenden Wertschöpfungsprozesse, wobei operative Logistik- und Produktionsprozesse nur eine Teilmenge bilden. Insbesondere bei unternehmensübergreifenden E-Commerce- Geschäftsprozessen (Integration) kann es notwendig sein, Geschäftprozesse, die externe Geschäftsbeziehungen betreffen, zu restrukturieren und neu 18

19 auszurichten. Dabei ist es für eine sachgerechte Umsetzung der Unternehmensstrategie, von entscheidender Bedeutung, dass die Einrichtung des E-Commerce-Systems sowie der betroffenen E-Commerce- Geschäftsprozesse in Übereinstimmung mit der IT-Strategie und dem Sicherheitskonzept erfolgt. (66) Insbesondere E-Commerce-Aktivitäten in Form der Transaktion und Integration führen dazu, dass Informationen und Daten über betriebliche Aktivitäten direkt in das Rechnungslegungssystem, und damit in die IT-gestützte Rechnungslegung, einfließen. Komplexe E-Commerce-Geschäftsprozesse können mit ihren Teilprozessen mehrere funktionale Bereiche im Unternehmen mit nicht integrierten Bestandteilen von IT-Anwendungen bzw. der IT-Infrastruktur betreffen. Bei unternehmensübergreifenden Wertschöpfungsketten sind komplexe rechnungslegungsrelevante E-Commerce-Geschäftsprozesse durch eine direkte Übernahme der Transaktionsdaten vom Geschäftspartner in das E-Commerce-System gekennzeichnet, was zu einer Vermeidung von Mehrfacherfassungen und Medienbrüchen führt. Damit verbunden ist die vermehrte Anbindung von IT-Anwendungen an das E-Commerce-System, die somit den Geschäftspartnern (so genannte available-to-promise- Applikationen ) zur Bestätigung von Aufträgen oder Lieferzeitpunkten zur Verfügung gestellt werden. Hier birgt eine auf Teilsysteme ausgerichtete Analyse der Sicherheits- und Ordnungsmäßigkeitsrisiken sowie eine auf den Funktionsbereich isoliert ausgerichtete Implementierung des IT- Kontrollsystems die Gefahr, dass Risiken aus dem geschäftsprozessbedingten Datenaustausch zwischen den Teilsystemen unberücksichtigt bleiben. Damit im Zusammenhang steht auch die Gefahr einer mangelnden Berücksichtigung der systemtechnischen Zusammenhänge. Sie beinhaltet die Gefahr, dass bspw. Zugriffsrechte oder Datensicherungsmaßnahmen lediglich bezüglich der einzelnen IT-Teilsysteme wirksam sind und damit für den Teilprozess, jedoch nicht für den Gesamtprozess. (67) Beim Einsatz internetbasierter Kommunikationsprotokolle, wie z.b. TCP/IP, Datentransferformate wie bspw. XML (Extended Markup Language), XBRL (Extensible Business Reporting Language) oder im Falle von EDI bei der Nutzung strukturierter und normierter Datentransferformate besteht aufgrund unzureichender implementierter Schnittstellen oder nicht sachgerecht konfigurierter Konvertierungsprogramme die Gefahr, dass Daten unvollständig oder unrichtig in das weiterzuverarbeitenden Inhouse-Format überführt werden. Wesentliche Voraussetzung für eine vollständige und richtige Weiterverarbeitung im Rechnungslegungssystem ist die sachgerechte Implementierung von Schnittstellen- und Konvertierungsprogrammen, deren korrekte Funktionsweise durch prozessintegrierte Kontrollen und Sicherungsmaßnahmen zu gewährleisten ist. In diesem Zusammenhang kommt der Protokollierung des Datentransfers auf Schnittstellenebene besondere Bedeutung zu. Neben einer automatischen Protokollierung ist die Einrichtung von Eskalationsverfahren sicherzustellen, die unvollständige bzw. fehlerbehaftete 19

20 Transaktionsdatensätze ggf. automatisch an die verantwortliche Stelle zur Sachverhaltsklärung weiterleiten Überwachung des IT-Kontrollsystems bei Einsatz von E-Commerce- Systemen (68) Unter der Überwachung des IT-Kontrollsystems beim Einsatz von E-Commerce-Systemen ist die prozessunabhängige Beurteilung der Wirksamkeit des E-Commercere-relevanten IT-Kontrollsystems im Zeitablauf zu verstehen. Dabei ist zu beurteilen, ob das IT-Kontrollsystem sowohl angemessen ist, als auch kontinuierlich funktioniert. Darüber hinaus haben die gesetzlichen Vertreter dafür Sorge zu tragen, dass festgestellte Mängel im IT-Kontrollsystem abgestellt werden. (69) IT-Kontrollsysteme sind beim Einsatz von E-Commerce-Systemen um diejenigen Grundsätze, Verfahren und Maßnahmen (Regelungen) zu ergänzen bzw. zu erweitern, die zur Bewältigung der IT-Risiken aus dem Einsatz der Durchführung von E-Commerce resultieren. Hierzu gehören Regelungen zur Steuerung des Einsatzes von E-Commerce im Unternehmen (internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem) (vgl. IDW Prüfungsstandard: Das interne Kontrollsystem im Rahmen der Abschlussprüfung (IDW PS 260) 7, Tz. 5, 6). (70) Zu den E-Commerce-bezogenen IT-Kontrollen zählen die prozessintegrierten Kontrollen und organisatorischen Sicherungsmaßnahmen (z.b. die Überprüfung von Dateiinhalten in der Firewall) ebenso wie die generellen Kontrollen, die sich auf das gesamte E-Commerce-System auswirken (z.b. im Rahmen der Entwicklung von E-Commerce-Anwendungen, Changemanagement). Die prozessunabhängigen Überwachungsmaßnahmen werden durch die Interne Revision oder durch unmittelbare Überwachungsmaßnahmen der gesetzlichen Vertreter durchgeführt. Dies erfolgt beispielsweise in der Form von Abweichungsanalysen bzw. anhand der Feststellung des Zielerreichungsgrades der umgesetzten IT-Strategie. (71) Neben der Beurteilung der sachgerechten Umsetzung der IT-Strategie in Übereinstimmung mit der Unternehmensstrategie sind in regelmäßigen Abständen das Sicherheitskonzept und das eingerichtete IT-Kontrollsystem insbesondere im Hinblick auf die sehr kurzen Innovationszyklen im Bereich der Sicherheitstechnologie auf ihre Angemessenheit und Wirksamkeit hin zu überwachen. (72) Für die kontinuierliche Überwachung der Angemessenheit und Wirksamkeit des IT-Kontrollsystems bietet sich bspw. der Einsatz spezieller Programme ( Scanner ) an, die systematisch nach Sicherheitslücken suchen. Zudem haben sich programmgestützte Angriffssimulationen (Penetration-Test- 7 WPg 2001, S. 821 ff. 20