Verfahrensdokumentation nach GoBD

Transkript

1 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 1 Seminar Verfahrensdokumentation nach Dr. Ulrich Kampffmeyer 2015 PROJECT CONSULT Unternehmensberatung 1 Agenda 1. Einführung 2. Rechtliche Grundlagen in Deutschland: Handels- und Steuerrecht 3. Aufbewahrung und elektronische Archivierungssysteme 4. Aufbewahrungsdauer und Aufbewahrungsfristen in Deutschland 5. Verfahrensdokumentation nach 6. Checklisten und Musterverfahrensdokumentationen 7. Zertifizierung 8. Ausblick 2 V2 1

2 Ablauf Tagesprogramm Referent: Dr. Ulrich Kampffmeyer Begrüßung Seminarbeginn Kaffeepause Mittagspause Fortführung Kaffeepause Seminarende 9:00 Uhr 9:15 Uhr ca. 11:00 11:30 Uhr ca. 13:00 14:00 Uhr ca. 14:00 Uhr ca. 15:15 15:45 Uhr ca. 17:00 Uhr 3 Dokumentation und Information Die Dokumentation des S11 Verfahrensdokumentation können Sie sich zur ausschließlich persönlichen Nutzung von unserer Webseite herunterladen: Powerpoint Handoutversion: PDF Handoutversion: Anlagen V2 2

3 Anlagen (S11 April 2015) GOBD Checkliste Vorbereitung einer Betriebsprüfung 03 Tabellen zu Aufbewahrungsfristen 04 Iron Mountain Retention Guide Germany 05 IDW RS FAIT 1 06 IDW RS FAIT 3 07 PROJECT CONSULT Checkliste Verfahrensdokumentation 08 PSP/EASY Software/Zöller & Partner Die in der Praxis GoBS und GDPdU (bis 2014) 09 GoBS 10 GoBS Englisch 11 GDPdU 12 VOI Code of Practice Verfahrensdokumentation 13 Checkliste Verfahrensdokumentation GoBS nach TÜViT 14 OFD Musterschreiben GoBS GDPdU 15 Muster Verfahrensdokumentation nach GoBS (EDI-Verfahren) 16 PROJECT CONSULT Checkliste Verfahrensdokumentation GoBS & GDPdU DOWNLOAD / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 1 EINFÜHRUNG Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 6 V2 3

4 Verfahrensdokumentation Verfahrensdokumentation Die Verfahrensdokumentation nach dient dazu, nachweisen zu können, dass die Anforderungen des Handelsgesetzbuches (HGB), der Abgabenordnung und der für die Aufbewahrung von Daten und Belegen erfüllt sind. Quelle: 7 Verfahrensdokumentation Die Verfahrensdokumentation ist kein technisches Handbuch sondern dient als Nachweis der Compliance stellt die Basis der Überprüfung und Zertifizierung konkreter Systemlösungen dar beschreibt detailliert individuelle und abgeschlossene Prozessabschnitte in ihrem Gesamtzusammenhang und inklusive aller rechtsund revisionsrelevanten Sachverhalte dokumentiert den aktuellen IST-Zustand ist eine chronologische, vollständige und zeitgenaue Dokumentation jeglicher Veränderung Quelle: VOI Ralf Kaspras: Verfahrensdokumentation + Zertifizierung auf der CeBIT V2 4

5 Verfahrensdokumentation Die Verfahrensdokumentation gilt immer für das beim Anwender vor Ort installierte oder von ihm bei Dienstleister genutzte aktuelle System. gilt nicht a priori für Produkte, die theoretisch bei richtigem Einsatz die Anforderungen erfüllen KÖNNEN. 9 Verfahrensdokumentation nach GoBS & Geschichte der Entwicklung 1995 Bundesministerium der Finanzen Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) BMF-Schreiben vom 7. November 1995 IV A 8 - S /95, BStBl. I 1995, S VOI Grundsätze der Verfahrensdokumentation nach GoBS, Code of Practice, VOI-Schriftenreihe Kompendium Band VOI/TüVIT Prüfkriterien für Dokumenten Management Lösungen (PK-DML) 2001 Bundesministerium der Finanzen Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) BMF-Schreiben vom 16. Juli 2001 IV S 2 S /01, BStBl. I 2001, S. 415 seit 2007 AWV Arbeiten an Grundsätze ordnungsmäßiger Buchführung beim IT-Einsatz (GoBIT) zur Auflösung der Divergenzen zwischen GoBS und GDPdU; finaler Entwurf Bundesministerium der Finanzen Entwurf Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff () 2014 Bundesministerium der Finanzen als GoBS und GDPdU Nachfolge nach Überarbeitung BMF-Schreiben vom 16. Juli 2001 IV S 2 S /01, BStBl. I 2001, S. 415; Verankerung im AOAE-Gesetz 2015 VOI/TüVIT Prüfkriterien für Dokumenten Management Lösungen (PK-DML) 2015 PSP/EASY Software/Zöller & Partner Die in der Praxis - Ein Leitfaden für die Unternehmenspraxis 10 V2 5

6 Notwendigkeit nach dem Gesetz Beispiel 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 238, 239 und 257 HGB 146, 147, 200 AO Buchführungspflicht Handelsbücher Aufbewahrung / Fristen Grundsätze ordnungsmäßiger Buchführung (GoB) Unbestimmter Rechtsbegriff Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff () Gesetz AEAO Quelle: VOI Ralf Kaspras: Verfahrensdokumentation + Zertifizierung auf der CeBIT2014 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 11 Status Das Bundesministerium der Finanzen hat am 14. November 2014 die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff () veröffentlicht. Die ersetzen die seit dem 7. November 1995 geltenden Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) und die seit dem geltenden Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) sowie eine Reihe von Stellungnahmen der Finanzverwaltung bekannt als Fragen und Antworten zum Datenzugriff der Finanzverwaltung. 12 V2 6

7 Erleichterungen der elektronischen Buchführung 38-seitiges BMF Schreiben zu vom 14. November 2014 Gilt für Wirtschaftsjahre, ab oder später Äußerungen des BMF zu Verantwortlichkeit Allgemeine Anforderungen Belegwesen (Belegfunktion) Aufzeichnung der Geschäftsvorfälle in zeitlicher Reihenfolge und in sachlicher Ordnung (Grund(buch)aufzeichnungen, Journal- und Kontenfunktion) Internes Kontrollsystem (IKS) Datensicherheit Unveränderbarkeit, Protokollierung von Änderungen Aufbewahrung Nachvollziehbarkeit und Nachprüfbarkeit Datenzugriff Zertifizierung und Software-Testate Quelle: 13 Zusammenfassung Mit der Novellierung und Zusammenführung von GoBS und GDPdU werden die organisatorischen und technischen Anforderungen an eine ordnungsmäßige Buchführung in elektronischer Form präzisiert und zugleich gestrafft. Neue Ordnung durch Anlehnung an die Grundsätze von HGB/AO. Durch Seitenziffern der Paragraphen direkte Ansprechbarkeit von Einzelpunkten. Die heben im Prinzip die bisherige Trennung von Informationen nach steuerrelevant und handelsrechtlich relevant auf. Die gelten für alle Buchführungs- bzw. Aufzeichnungspflichtigen. Die schließen alle in die Buchführung involvierten Datenverarbeitungssysteme, wie Haupt-, Vor- und Nebensysteme ein. Dazu gehören u.a. Finanzbuchführung, Warenwirtschaft, Lohnbuchführung, Dokumentmanagement- und Archivierungs- Systeme etc., sowie die Schnittstellen zwischen den genannten Systemen. Die Verfahrensdokumentation erhält in Bezug auf die Beweiskraft von Buchführung und Aufzeichnungen, ihrer Ordnungsmäßigkeit, Nachvollziehbarkeit und Nachprüfbarkeit, eine größere Bedeutung. Die -Texte werden durch Beispiele erläutert. 14 V2 7

8 1. Einführung 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Abgrenzung: Aufbewahrung, Archivierung, Dokumentenmanagement und Records Management Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 15 Begriffsverwirrung Archivierung Digitales Archiv Langzeitarchivierung Langzeitspeicherung Revisionssichere Archivierung Rechtssichere Archivierung Vertrauenswürdige Archivierung Aufbewahrung Beweiswerterhaltende Archivierung Beweiswerterhaltende Langzeitspeicherung 16 V2 8

9 Begriffswelt in Deutschland / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Revisionssichere Archivierung Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 18 V2 9

10 Revisionssicher Revisionssicher bzw. Revisionssicherheit bezieht sich auf den Begriff Re-vision im Sinne von zurückblickend. Lösungen können nicht im Voraus als sicher oder gar rechtssicher angesehen werden. Die Sicherheit in Bezug auf Vollständigkeit und Unverändertheit lässt sich erst rückblickend für jede einzelne Lösung feststellen. 19 Revisionssichere Archivierung Ein deutscher Begriff für Aufbewahrung im Sinne der Kombination von Records Management und elektronische Archivierung: Unter revisionssicherer Archivierung versteht man Archivsysteme, die nach den Vorgaben der Abgabenordnung (HGB und AO in Deutschland) und der Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten. Revisionssicher steht für rückblickend, nachweisen können, dass alles ordnungsgemäß archiviert wurde. Revisionssicherheit ist keine Produkteigenschaft. Sie beschreibt den Zustand einer Lösung aller organisatorischen Maßnahmen, Betrieb und Nutzungsmodelle. 20 V2 10

11 Revisionssicherheit: Kriterien nach Kampffmeyer Folgende grundsätzlichen Kriterien gelten für die Revisionssicherheit von Archivsystemen: Ordnungsmäßigkeit Vollständigkeit Sicherheit des Gesamtverfahrens Schutz vor Veränderung und Verfälschung Sicherung vor Verlust Nutzung nur durch Berechtigte Einhaltung der Aufbewahrungsfristen Dokumentation des Verfahrens Nachvollziehbarkeit Prüfbarkeit 21 Revisionssicherheit in AO und HGB Führung Büchern in elektronischer oder in Papierform und sonst erforderlicher Aufzeichnungen in elektronischer oder in Papierform: Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit ( 145 Abs. 1 AO, 238 Abs. 1 S. 2 und S. 3 HGB) Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung Vollständigkeit ( 146 Abs. 1 AO, 239 Abs. 2 HGB) Richtigkeit ( 146 Abs. 1 AO, 239 Abs. 2 HGB) Zeitgerechte Buchungen und Aufzeichnungen ( 146 Abs. 1 AO, 239 Abs. 2 HGB) Ordnung ( 146 Abs. 1 AO, 239 Abs. 2 HGB) Unveränderbarkeit ( 146 Abs. 4 AO, 239 Abs. 3 HGB) 22 V2 11

12 Definition Revisionssicherheit nach PK-DML (VOI/TüvIT) Die Prüfkriterien für Dokumenten-Management- Lösungen (PK-DML) sind ein seit Jahren etabliertes Standardwerk des VOI e.v. Der aus der Praxis abgeleitete Kriterienkatalog ist in vielen Unternehmen und bei Beratern im Einsatz Der Fokus der PK-DML liegt auf: Ordnungsmäßigkeit Vollständigkeit Sicherheit des Gesamtverfahrens Schutz vor Veränderung oder Verfälschung Sicherung vor Verlust Nutzung nur durch Berechtigte Dokumentation des Verfahrens Nachvollziehbarkeit Prüfbarkeit / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Rechtssichere Archivierung Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 24 V2 12

13 Rechtssicherheit Rechtssicherheit gibt es nicht bei der Archivierung: Rechtssicherheit ist ein Begriff aus dem Staatsrecht und dem Grundgesetz, der nicht auf Archivsysteme angewendet werden kann. Der Bürger muss darauf vertrauen können, dass die Legislative ihm Rechtssicherheit gewährt. Gesetze können sich ändern auch rückwirkend. Systeme und Verfahren können nicht über (bis zu) 100 Jahre die Kontinuität gewährleisten. 25 Rechtssichere Archivierung Rechtssicherheit soll durch die BSI Richtlinien TR TR-ESOR und TR ResiScan ermöglicht werden. Grundlage ist der Einsatz qualifizierter elektronischer Signaturen (qes) und das Nachsignieren zum Erhalt der Beweisfähigkeit. 26 V2 13

14 Beweiswerterhaltende Archivierung Von Signatur-Anbietern verwendeter Begriff; z.b. im Rahmen der BSI Richtlinie TR-ESOR Beweissicherheit ist keine Produkteigenschaft von Archivierungssystemen Die Sicherstellung dieser Eigenschaften muss im Bereich der Archivierung mindestens den Zeitraum der Aufbewahrungsfristen bzw. des Einsatzes der Lösung abdecken / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Aufbewahrung Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 28 V2 14

15 Aufbewahrung Archivierung Der vom Gesetzgeber (in Deutschland) verwendete Begriff für Archivierung vor der eigentlichen Langzeitarchivierung ist Aufbewahrung Ausnahme: Bundes- und Landesarchivgesetze in Deutschland Unterlagen werden gemäß ihrer rechtlichen Gültigkeit nach Schließung der Akte aufbewahrt... Die (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff), Nachfolger der GoBS (Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme), HGB (Handelsgesetzbuch) oder auch AO (Abgabenordnung) sprechen nur von Aufbewahrung 29 Anforderungen an die langfristige Aufbewahrung Grundsätzliche Anforderungen Keine Verringerung des Beweiswerts des Dokuments Funktionale Anforderungen der Beweissicherung Erhalt der Lesbarkeit Integrität Authentizität Vollständigkeit Verkehrsfähigkeit 30 V2 15

16 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Records Management Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 31 Records Management Records Management dient dazu, Unterlagen geordnet, wiederfindbar, sicher und nachvollziehbar zu verwalten. Nicht alle Records werden zu Archivobjekten. Hier ist zwischen den durch Aufbewahrungsfristen geregelten Aufbewahrung und der Langzeitarchivierung zu unterscheiden. Im angloamerikanischen Sprachgebrauch ist das Records Management die Verwaltungskomponente, die im deutschen Sprachgebrauch einem elektronischen Archiv zugeordnet ist 32 V2 16

17 Was ist Records Management? Abbildung von Aktenplänen und anderen strukturierten Verzeichnissen zur geordneten Ablage von Informationen Thesaurus- oder kontrollierter Wortschatz-gestützte eindeutige Indizierung von Informationen Verwaltung von Aufbewahrungsfristen (Retention Schedules) und Vernichtungsfristen (Deletion Schedules) Schutz von Informationen entsprechend ihren Eigenschaften, z.t. bis auf einzelnen Inhaltskomponenten in Dokumenten Nutzung international, branchenspezifisch oder zumindest unternehmensweit standardisierter Meta- Daten zur eindeutigen Identifizierung und Beschreibung der gespeicherten Informationen 33 Was ist ein Record? Definition Record (ISO 15489, Teil 1) Information, die erzeugt, empfangen und bewahrt wird, um als Nachweis einer Organisation oder Person bei rechtlichen Verpflichtungen oder zum Nachvollzug einer geschäftlichen Handlung zu dienen. Information created, received, and maintained as evidence and information by an organization or person, in pursuance of legal obligations or in the transaction of business. Quelle: ISO :2001 Information and Documentation - Records Management Part 1 : General 34 V2 17

18 Was ist ein Record? Unter einem Record wird ein beliebiger Content-Typ verstanden, der sich auf die Geschäftstätigkeit oder die Transaktion eines Unternehmens bezieht. Die physische Form spielt dabei keine Rolle, es geht um Inhalt und Rechtscharakter. Beispiele sind s, Verträge, Geschäftsvereinbarungen, Kontoübersichten, Berichte sowie Video- und Audiodateien. 35 Das elektronische Dokument Der Begriff Dokument wird für elektronische Dokumente aus unterschiedlichsten Quellen, die in einem DV- System als Datei, Bestandteil einer Datei oder Objekt vorliegen, verwendet. Ein elektronisches Dokument kann heute fast alles sein: gescannte Seiten digitales Fax Farbbilder -Dateien Screen-Dumps Output-Dateien Multimedia-Objekte Sprachdateien digitales Video Office Dokumente V2 18

19 Was ist Records Management? Records Management ist unabhängig vom Medium Verwaltung von physischen Records (z.b. Papierdokumenten) Eine Standortverwaltung mittels Software ist bereits Records Management. Elektronisches Records Management (Verwaltung von digitalen Objekten) Die Herausforderung liegt in der gemeinsamen Verwaltung von physischen und elektronischen Records in einer Lösung. Diese Form bezeichnet man als hybrid records management. 37 Was ist Records Management? Definition Records Management (ISO 15489, Teil 1) Als Führungsaufgabe wahrzunehmende effiziente und systematische Kontrolle und Durchführung der Erstellung, Entgegennahme, Aufbewahrung, Nutzung und Aussonderung von Schriftgut, einschließlich der Vorgänge zur Erfassung und Aufbewahrung von Nachweisen und Informationen über Geschäftsabläufe und Transaktionen in Form von Akten. Field of management responsible for the efficient and systematic control of the creation, receipt, maintenance, use and disposition of records, including processes for capturing and maintaining evidence of and information about business activities and transactions in the form of records. Quelle: 38 V2 19

20 Was ist Electronic Records Management? Records Management oder Electronic Records Management (ERM) bezieht sich auf die Strukturierungs-, Verwaltungs- und Organisationskomponente zur Handhabung von Aufzeichnungen. ERM ist nicht mit elektronischer Archivierung deutscher Prägung gleichzusetzen, obwohl viele Ansätze sich hier wiederfinden. Records Management wird durch zahlreiche internationale Standards gestützt. 39 Was ist Records Lifecycle Management? Aufbewahrungsfristen aufbewahrungspflichtig aufbewahrungswürdig Entsorgung von Informationen Regeln und Nachweis der Vernichtung 40 V2 20

21 Definition: Records Lifecycle Management Viele Dokumente Einige Records Wenige Archiv-Objekte 41 Zusammenfassung der Abgrenzung Archivierung dient zur sicheren und unveränderbaren langzeitigen Speicherung der Informationen. Aufbewahrung dient zur sicheren und unveränderbaren Speicherung der Informationen während der Aufbewahrungsfristen, die mit einem Records Management verwaltet werden. Dokumentenmanagement unterstützt den dynamischen Teil des Lebenszyklus einschließlich Erstellung und Bearbeitung von Dokumenten vor Aufbewahrung und Archivierung. Records Management übernimmt die Verwaltung der Dokumente, sobald sie archivierungswürdig oder archivierungspflichtig werden und sichert die Konsistenz, Authentizität und andere Merkmale über den Zeitraum der Aufbewahrungsfrist. 42 V2 21

22 1. Einführung 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Dokumentationsanforderungen, Information Governance, Compliance und GRC Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT INFORMATION GOVERNANCE Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 44 V2 22

23 Information Governance: Definition Information governance is the specification of decision rights and an accountability framework to encourage desirable behavior in the valuation, creation, storage, use, archival and deletion of information. It includes the processes, roles, standards and metrics that ensure the effective and efficient use of information in enabling an organization to achieve its goals. Gartner Quelle: 45 Information Governance: Definition Information governance addresses how an organisation's information assets are managed to support organisational outcomes. It ensures that risk and compliance standards and legislation issues are identified and addressed for as long as the information is required. It is an essential part of corporate governance. National Archives of Australia Quelle: 46 V2 23

24 Information Governance: Definition Information governance is a holistic approach to managing corporate information by implementing processes, roles, controls and metrics that treat information as a valuable business asset. SearchCompliance.com Quelle: 47 Information Governance: Definition Information governance, or IG, is the set of multidisciplinary structures, policies, procedures, processes and controls implemented to manage information at an enterprise level, supporting an organization's immediate and future regulatory, legal, risk, environmental and operational requirements. Wikipedia Quelle: 48 V2 24

25 Information Governance IT Governance Information Governance ist nicht IT Governance! Information Governance betrifft die Information, das Wissen, die virtuellen, immateriellen Werte des Unternehmens selbst. IT Governance ist ein Teilgebiet von Information Governance. 49 Information Governance & Corporate Governance Die Corporate Governance muss eine Information Governance beinhalten, die den Umgang mit, die Bedeutung, den Wert, die Verantwortlichkeiten, die Prozesse, die Delegation, die Qualität, den Schutz, die Vertraulichkeit sowie die Lösungen zur Verwaltung und Erschließung von Information definiert. 50 V2 25

26 Anforderungen von Information Governance im Unternehmen Kenntnis und Dokumentation, welche Information überhaupt in welcher Qualität und wo vorhanden ist Wissen um den Wert der Information und die notwendigen Maßnahmen, diesen Wert zu nutzen und zu bewahren Klarheit und Kommunikation der Verantwortung für die Erstellung, Aktualisierung, Erschließung, Nutzung, Qualität, Richtigkeit, Nachvollziehbarkeit, Verfügbarkeit, Verwaltung, Sicherung, Dokumentation und Entsorgung von Information Sicherstellung, dass die Information erschlossen ist, dass auf sie schnell zugegriffen werden kann und dass sie für rechtliche Nachweise gesichert ist 51 Anforderungen von Information Governance im Unternehmen Jederzeitige Bereitstellung von Information im Sachzusammenhang unabhängig von Ort, Zeit, Quelle, Format und Erzeuger, jedoch mit der Sicherstellung, dass nur für berechtigte Nutzer Zugriff gegeben ist und die Vertraulichkeit von Inhalten gewahrt ist Steuerung des Lebenszyklus der Information von der Entstehung über die geordnete Aufbewahrung bis zur Vernichtung mit ständiger Überprüfbarkeit des Zustandes und Wertes der Information in Abhängigkeit gesetzlicher Vorgaben und interner Richtlinien Erstellung, Umsetzung, Kommunikation und Nachhaltung von Richtlinien zur Gewährleistung der Information Governance 52 V2 26

27 Information Governance Reference Model Linking duty + value to information asset = efficient, effective management Quelle: 53 Start: Durchsicht des Contents Nein Nein Information Governance Regeln 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Gibt es Rechtsvorschriften? Wird es in naher Zukunft wahrscheinlich Rechtsvorschriften geben? Ist die Aufbewahrungsfrist noch nicht abgelaufen? Ja Ja Ja Unduplizieren Ja Gibt es Content- Duplikate? Nein Content zurückstellen Nein Wird der Content vom Unternehmen noch benötigt? Ja Nein Ist eine Löschung technisch oder operativ möglich? Ja Nein Content disponieren Ende Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 54 V2 27

28 Entscheidungsbaum Aufbewahrungsplichten 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Quelle: Information Governance: Planning for the Next 3 Years. Richard Medina (Doculabs), Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT GRC GOVERNANCE, RISK MANAGEMENT und COMPLIANCE Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 56 V2 28

29 Compliance: Definition Compliance ist die Gesamtheit aller zumutbaren Maßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Organisationsmitglieder und seiner Mitarbeiter im Hinblick auf alle gesetzlichen Ge- und Verbote begründen. PROJECT CONSULT: Übereinstimmung mit und Erfüllung von rechtlichen und regulativen Vorgaben. Compliance-Magazin.de: Bei "Compliance" geht es um die "Erfüllung", "Entsprechung" bzw. "Konformität" mit staatlichen Gesetzen sowie mit Regeln und Spezifikationen, mit Grundsätzen (ethische und moralische) und Verfahren sowie mit Standards (z.b. ISO) und Konventionen, die klar definiert worden sind. Wikipedia: Compliance beschreibt die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen. Zu den Compliance-Anforderungen in der IT gehören hauptsächlich Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz. 57 Compliance: Auswirkungen Grundsätzlich gelten alle gesetzlichen, rechtlichen und regulativen Vorgaben auch in der elektronischen Welt. Häufig sind die Anforderungen de IT-Welt jedoch noch nicht oder nicht direkt enthalten und müssen daher adäquat abgeleitet werden. 58 V2 29

30 Compliance: weltweit & unterschiedliche Bereiche 59 GRC als ganzheitlicher Ansatz Bisheriger Ansatz: Governance, Risk Management und Compliance als einzelne Säulen Aufteilung auf verschiedene Rollen und Bereiche Umsetzung in spezifischen Lösungen GRC-Ansatz: Ganzheitliche Betrachtung und Umsetzung der Anforderungen Technische Infrastruktur zur Implementierung und Überwachung von Prozessen Definition und Kontrolle von Risiken Dokumentation und Archivierung von Geschäftsvorfällen 60 V2 30

31 Governance, Risk Management & Compliance GRC vereinigt die Disziplinen Corporate Governance, Risikomanagement und Compliance als durchgängiges Vorgehensmodell / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Ableitung der generellen Compliance-Anforderungen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 62 V2 31

32 Compliance: Grundsätzliche Kriterien Authentizität Vollständigkeit Nachvollziehbarkeit Zugriffssicherheit Geordnetheit Integrität Auffindbarkeit Reproduzierbarkeit Unverändertheit Richtigkeit Prüfbarkeit Portabilität Vertrauenswürdigkeit 63 ARMA Übersicht The principles The Principles Principle [EN] Prinzip [DE] 1 Principle of Accountability Prinzip der Verantwortlichkeit 2 Principle of Integrity Prinzip der Integrität 3 Principle of Protection Prinzip der Sicherung 4 Principle of Compliance Prinzip der Compliance 5 Principle of Availability Prinzip der Verfügbarkeit 6 Principle of Retention Prinzip der Aufbewahrung 7 Principle of Disposition Prinzip der Entsorgung 8 Principle of Transparency Prinzip der Transparenz 64 V2 32

33 PHIGs Principles of Holistic Information Governance März 2013 veröffentlicht Vom kanadischen ECM-Spezialisten Chris Walker (zu der Zeit bei OpenText) August 2013 Einleitung zu seinem kommenden Buch basierend auf den PHIGs veröffentlicht Quelle: 65 PHIGs: principles of holistic information governance 1. Information is an asset 2. Information has purpose 3. Information has sources and targets 4. Information has deadlines 5. Information has consumers 6. Information carries obligations 7. Information carries risks 8. Information has many forms 9. Information isn t immortal 10. Information demands accountability Quelle: 66 V2 33

34 Übertragung der PHIGs 1. Information hat einen Wert 2. Information hat einen Zweck/Sinn 3. Information hat Quellen und Ziele 4. Information hat eine Lebensdauer (hat Endzeitpunkte) 5. Information hat Nutzer 6. Information bringt Verpflichtungen mit sich 7. Information beinhaltet Risiken 8. Information gibt es in vielen Formen 9. Information ist vergänglich 10. Information verlangt die Übernahme von Verantwortung Einführung 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Verfahrensdokumentation im Bereich Handels- und Steuerrecht (GoBS, GDPdU, ) Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 68 V2 34

35 GoBS Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme Regeln zur Buchführung mittels Datenverarbeitungssystemen Bestehen aus einem BMF-Schreiben und einer Ausarbeitung der AWV, die im Bundessteuerblatt Teil 1 vom veröffentlicht wurde Die Anforderungen gelten nicht nur für Buchführungssysteme sondern sind auch für Dokumenten-Management und elektronische Archivsysteme anzuwenden Quelle: blob=publicationfile&v=3 69 GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen Umfeld Buchhaltungsdaten Sonstige steuerrechtlich relevante Informationen und Dokumente Gültigkeit Brief vom BMF Umzusetzen ab Übergangsregelungen Herkunft Steuerreform (StSenkG) HGB AO Quelle: blob=publicationfile&v=6 70 V2 35

36 1. Einführung 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Branchenspezifische Verfahrensdokumentationen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 71 Branchenspezifische Verfahrensdokumentationen Pharma Nach FDA (Food and Drug Administration) Part 11 und GxP (Gute Arbeitspraxis): GMP (Gute Herstellungspraxis), GLP (Gute Laborpraxis) Wirtschaftsprüfer Nach IDW RS FAIT3 (Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren) Technische Dokumentation Nach DIN EN (Erstellen von Gebrauchsanleitungen - Gliederung, Inhalt und Darstellung) 72 V2 36

37 1. Einführung 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Nutzen von Verfahrensdokumentationen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 73 Nutzen der Verfahrensdokumentation? (1) Externe Vorgabe: Erfüllung der rechtlichen Vorgaben (2) Interner Nutzen: Möglichkeit des Nachvollziehens von langlebigen Systemen mit den Änderungen, Inhalten, Verfahren der Lösung und ihres Einsatzes 74 V2 37

38 Warum eine Verfahrensdokumentation? Die Verfahrensdokumentation hat die Zielsetzung, den organisatorischen und technischen Prozess von der Entstehung der Informationen über die Indizierung und Speicherung, dem eindeutigen Wiederfinden, der Absicherung gegen Verlust und Verfälschung und der Reproduktion am Bildschirm und auf dem Drucker zu dokumentieren. 75 Bedeutung der Verfahrensdokumentation Kontinuierliche Fortschreibung aller Informationen, die für einen sicheren und geordneten Betrieb erforderlich sind Technische, organisatorische, administrative und nutzungsrelevante Informationen, die die Integrität, Vollständigkeit, Unveränderbarkeit, Sicherheit, Fehlerfreiheit etc. dokumentieren Verfahrensdokumentationen sind im Prinzip für alle Informationssysteme erforderlich, die Steuerlich / kaufmännische Belege speichern Qualitätsdaten managen Sicherheitsinformationen beinhalten Daten nach BDSG oder TMG verarbeiten 76 V2 38

39 1. Einführung 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Bewertungskriterien für rechtliche und regulative Anforderungen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 77 Bewertungskriterien für rechtliche Anforderungen Worum handelt es sich bei der Vorgabe? Gilt dies auch im Land oder Tätigkeitsumfeld meines Unternehmens? Betrifft dies abhängig von der Rechts- und Gesellschaftsform meines Unternehmens? Wie ist mein Unternehmen betroffen? Wie sind die Anforderungen zu beurteilen? Wie geht man mit widersprüchlichen Anforderungen um? In welchem Umfang sind die Regeln gültig? Welche internen Regelungen sind zusätzlich zu berücksichtigen? Gesetz, Verordnung, Code of Practice,? Unterschiedliche Rechtsräume: internationale, europäische oder national importierte Gültigkeit, Gültigkeit im Land des Standortes oder nach Herkunftslandprinzip, Form des Unternehmens, der Organisation oder der Verwaltung; Vorgabe nur für öffentliche Verwaltung, privatwirtschaftliche Unternehmen, Vereine, Einrichtungen, politische Gremien, Jurisprudenz oder aber Privatpersonen? Direkt betroffen = in jedem Fall umzusetzen Indirekt betroffen = gegebenenfalls umzusetzen Möglicherweise zutreffend = gegebenenfalls umzusetzen, Unbedingt vollständig zu erfüllen, abwägbar im Rahmen der Grundsätze der Verhältnismäßigkeit oder des Risikomanagements Datenschutz, konkurrierende Regelungen (man nimmt oft die umfassendste), Offenlegungsverpflichtungen, Generelle, teilweise, branchenspezifische, Gültigkeit Corporate Governance, IT-Governance, Qualitätsmanagementsystem, Arbeitsanweisung, Betriebsvereinbarung, 78 V2 39

40 Mehrdimensionalität der Bewertung Risikobewertung & Maßnahmen-Priorisierung Nach zuständigem Bereich / Geschäft und betroffenem Rechtsraum Nach Verbindlichkeit von Gesetz Verordnung Interner Vorgabe Nach Geschäftstätigkeit (Lieferung von Produkten/Dienstleistungen) National International Nach Sitz /Standort / Produktionsort National International 79 Bewertungskriterien für rechtliche Anforderungen Nicht jede Vorgabe betrifft jedes Unternehmen und auch der Umfang der Maßnahmen unterscheidet sich. Man darf sich nicht von der Vielzahl der Vorgaben verunsichern lassen sondern muss für jedes Unternehmen individuell die Vorgaben, ihre Auswirkungen und die notwendigen Umsetzungsmaßnamen bewerten. Die Bewertung der Archiv- und damit der Archivsicherheitsanforderungen ist Gegenstand des Risiko-Managements. 80 V2 40

41 Bewertungskriterien für rechtliche Anforderungen Worum handelt es sich bei der Vorgabe? Was ist wirklich ein Gesetz und was eine Art "Ausführungsvorgabe" Kriterien wie Gesetz, Verordnung, Code of Practice oder gesetzlich vorgeschriebene oder referenzierte Norm kommen hier zum Tragen Und alle Regeln der Papierwelt gelten auch für die elektronische Welt! 81 Bewertungskriterien für rechtliche Anforderungen Gilt dies auch im Land oder Tätigkeitsumfeld meines Unternehmens? Berücksichtigung unterschiedlicher Rechtsräume Firmenstandortes, des Vertriebsgebietes, der Niederlassungen usw. Manche Nationen wie die USA nehmen ihr Recht überall mithin internationale Gültigkeit, europäische Gültigkeit, national importierte Gültigkeit, Gültigkeit im Land des Standortes, Gültigkeit nach Herkunftslandprinzip usw. 82 V2 41

42 Bewertungskriterien für rechtliche Anforderungen Betrifft dies abhängig von der Rechts- und Gesellschaftsform meines Unternehmens? Die Form des Unternehmens, der Organisation oder der Verwaltung ist zu unterscheiden Betrifft die Vorgabe nur die öffentliche Verwaltung, privatwirtschaftliche Unternehmen, Vereine, andere Organisationen (einschließlich supranationale), Einrichtungen, politische Gremien, Jurisprudenz oder aber auch Privatpersonen? "Grauzonen" zu berücksichtigen: z.b. öffentlichrechtliche Unternehmen, die sowohl den Vorgaben der öffentlichen Verwaltung sowie den Vorgaben für die freie Wirtschaft unterliegen Indirekt weitergereichte Verpflichtungen durch Beteiligungen, Lieferungen und Leistungen in andere oder aus anderen Rechtsräumen, usw. 83 Bewertungskriterien für rechtliche Anforderungen Wie ist mein Unternehmen betroffen? Es kann differenziert werden zwischen: a) direkt betroffen, d.h. in jedem Fall umzusetzen b) indirekt betroffen, d.h. gegebenenfalls umzusetzen (z.b. wenn in einer Supply Chain vom Abnehmer Anforderungen an die Lieferanten durchgereicht" werden) c) möglicherweise zutreffend, d.h. gegebenenfalls umzusetzen (für bestimmte Arten von Tätigkeiten) d) betroffen durch Einbindung Dritter oder Erbringung von Dienstleistungen (z.b. Outsourcing), d.h. durch entsprechende Vorgaben, Verträge und Prüfungen umzusetzen, usw. 84 V2 42

43 Bewertungskriterien für rechtliche Anforderungen Wie sind die Anforderungen zu beurteilen? Bewertung und die Abwägung im Rahmen der rechtlichen Würdigung und des Risiko Managements Kriterien können sein: unbedingt vollständig zu erfüllen, abwägbar im Rahmen der Grundsätze der Verhältnismäßigkeit, abwägbar im Rahmen des Risikomanagements und andere. 85 Bewertungskriterien für rechtliche Anforderungen Wie geht man mit widersprüchlichen Anforderungen um? Gesetze und Verordnungen können sich widersprechen, auf nationaler und internationaler Ebene, in unterschiedlichen Rechtsbereichen (siehe z.b. die Frage des Datenschutzes im Verhältnis zu den Aufbewahrungspflichten des Handelsrechtes) Kriterien können hier der Datenschutz, konkurrierende Regelungen (hier nimmt man meistens die umfassendste), Offenlegungsverpflichtungen (z.b. Informationsfreiheitsgesetz) etc. sein. 86 V2 43

44 Bewertungskriterien für rechtliche Anforderungen In welchem Umfang sind die Regeln gültig? Hierzu gehören Kriterien wie: a) generelle Gültigkeit (z.b. Handelsgesetz für alle Unternehmen) b) teilweise Gültigkeit (z.b. nur für bestimmte Bereiche oder mit Einschränkungen) c) branchenspezifische Gültigkeit (z.b. nur für Pharma, Krankenhäuser, etc.) d) tätigkeitsspezifische Gültigkeit (z.b. Verbraucherschutz etc.) e) nachgeordnete Gültigkeit (z.b. durch interne Qualitäts-Richtlinien f) Records-Management-Prinzipien) und weitere 87 Bewertungskriterien für rechtliche Anforderungen Welche internen Regelungen sind zusätzlich zu berücksichtigen? Hier können Kriterien wie Bestandteil der Corporate Governance Bestandteil der IT-Governance Bestandteil des Qualitätsmanagementsystems Arbeitsanweisung Betriebsvereinbarung Datenschutz & Datensicherheit notwendig werden Vielfach leiten sich solche Vorgaben bereits aus rechtlichen oder regulativen Vorgaben ab. 88 V2 44

45 Beispiel: Einschätzung der rechtlichen Anforderungen Abstimmung mit QSE RA RA Revision, HR RA, GF Bereich International FDA GxP 21 CFR Part 11 OECD Handelsrecht Steuerrecht Zivilrecht Datenschutz Unternehmensrecht Europa GxP (e-commerce) (elek. Signatur) (elek. Signatur) (Teledienste) (Corporate Governance) (8. Direktive) Lokale Regelungen USA Deutschland Schweiz 21 CFR Part 11 HIPAA SEC 17 SOX HGB, AO, Änderungsgesetz Steuer 2000 GoBS, GDPdU, Verrechnungspreis, Umsatz-Steuer, (Signaturgesetz), (Signaturverordnung) Obligationenrecht Tread Act Verbrauchersch utz Produkthaftung BGB, ZPO, Produkthaftung, Verbrauchersch utz, Informationsfreiheitsgesetz BDSG, Länder (Corporate Governance) Patriot Act KontraG, UMAC, Corporate Governance Einführung 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Projektbericht Elektronische Archivierung von Unternehmensdokumenten stärken Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 90 V2 45

46 Projekt Elektronische Archivierung Studie Projektbericht Elektronische Archivierung von Unternehmensdokumenten stärken Statistisches Bundesamt Arbeitsgruppe Einfacher Steuern zahlen, 2014 Ziele Die Möglichkeiten der Aufbewahrung von steuerlich relevanten Unterlagen in Unternehmen darstellen, Die Hemmnisse ermitteln, die aus Sicht der Unternehmen derzeit gegen eine vollständig elektronische Aufbewahrung sprechen, und Mögliche Anreize identifizieren, mit denen die Umstellung auf die elektronische Aufbewahrung aus Sicht der Unternehmen gefördert werden kann. 91 Projektbericht Elektronische Archivierung Umfang Befragung von 117 Unternehmen und 11 Steuerberatern als Experten Projektbericht 22. August 2014 Newsbeitrag und Bericht: Einschätzung Es wird auch bei den Behörden inzwischen statt Aufbewahrung immer häufiger von elektronischer Archivierung gesprochen. Die Studie erklärt in Teilen Formulierungen, die sich später in den wiederfinden. Beispiel: der Wunsch nach Zertifikaten. Das Finanzministerium nimmt das Thema Digitalisierung ernst (und irritiert nur am Rande mit der Zitierung der BSI TR 03138). 92 V2 46

47 Projekt Elektronische Archivierung Ergebnisse Aufbewahrung von Unterlagen in den befragten Unternehmen Großunternehmen erledigen Aufgaben der Buchführung und Aufbewahrung von Unterlagen überwiegend intern; kleine und mittlere Unternehmen lagern häufig einen Teil dieser Aufgaben an Steuerberater aus Elektronische Systeme werden bereits für viele Aufgabenbereiche genutzt. Große Unternehmen nutzen häufiger elektronische Systeme, aber auch in kleinen sind bestimmte Anwendungen (v. a. Onlinebanking) weit verbreitet Die originäre Form einer Unterlage (Papier oder elektronisch) bestimmt meist auch die Form der Aufbewahrung. Große Unternehmen bewahren Unterlagen häufiger elektronisch und seltener ausschließlich in Papierform auf als kleine. Viele Unternehmen bewahren Unterlagen aber auch doppelt in beiden Formen auf. Bei den Datenformaten hat sich v. a. PDF bewährt. 93 Projekt Elektronische Archivierung Ergebnisse 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 94 V2 47

48 Projekt Elektronische Archivierung Ergebnisse 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 95 Projekt Elektronische Archivierung Ergebnisse 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 96 V2 48

50 Projekt Elektronische Archivierung Ergebnisse Hindernisse für den Ausbau der elektronischen Aufbewahrung Der (einmalige und laufende) Aufwand bei Einführung der elektronischen Aufbewahrung sowie zweitens Unsicherheit darüber, wie eine revisionssichere elektronische Aufbewahrung ausgestaltet werden kann. Diese bezieht sich darauf, wie die rechtlichen Grundlagen und Buchführungsgrundsätze für elektronische Unterlagen zu verstehen und im Unternehmen umzusetzen sind, damit diese Unterlagen von Finanzbehörden und Gerichten akzeptiert werden. 58 % der Befragten geben zudem an, Unterlagen deshalb in Papierform aufzubewahren, weil es sich für das Unternehmen bewährt hat; d. h. der Faktor Gewohnheit stellt ebenfalls ein häufig genanntes Hindernis dar Hauptsächlich: Bedenken wegen der Sicherheit und Zuverlässigkeit elektronischer Systeme sowie deren Anschaffungskosten 99 Projekt Elektronische Archivierung Ergebnisse Hindernisse für den Ausbau der elektronischen Aufbewahrung Unternehmen, die Unterlagen in Papierform aufbewahren, weil sich dies für sie bewährt hat, sowie Unternehmen, die laufende Kosten eines elektronischen Archivierungssystems als Hindernis benennen, sagen signifikant wahrscheinlicher auch, dass sie grundsätzlich nicht bereit sind, Unterlagen ausschließlich elektronisch aufzubewahren Die überwiegende Mehrheit der befragten Unternehmen ist grundsätzlich bereit, Unterlagen elektronisch aufzubewahren; nur für wenige kommt dies keinesfalls in Frage 86 % der befragten Unternehmen erwarten Vorteile durch eine elektronische Aufbewahrung 100 V2 50

54 Projekt Elektronische Archivierung Ergebnisse 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 107 Projekt Elektronische Archivierung Ergebnisse Anreize zur Förderung der Umstellung auf die elektronische Aufbewahrung Anreize, die von den befragten Unternehmen als hilfreich eingeschätzt werden, sind v. a. die breite Nutzung elektronischer, automatisiert verarbeitbarer Rechnungen (76 % Zustimmung), die Einführung einer zertifizierten Software (71 %) und die Herausgabe einer technischen Richtlinie für die rechtssichere elektronische Aufbewahrung (67 %). Aber auch eine Informationsplattform für technische Fragen sowie Informationsangebote des Berufsverbands werden von 55 % bzw. 49 % der befragten Unternehmen positiv gesehen. Als weitere Anreize werden u. a. die materielle Förderung durch den Staat, die Schaffung von Rechtssicherheit sowie erweiterte Informationsangebote der Finanzverwaltung angegeben. Bei den beiden erstgenannten Anreizen (breite Nutzung elektronischer Rechnungen, zertifizierte Software) ist ein positiver Zusammenhang mit der grundsätzlichen Bereitschaft zur ausschließlich elektronischen Aufbewahrung statistisch nachweisbar. Wirksame Anreizsysteme müssen die relevanten Hindernisse berücksichtigen und neben den Unternehmen auch die Steuerberater in den Blick nehmen, die v. a. bei kleinen und mittleren Unternehmen Arbeitsschritte durchführen. 108 V2 54

55 Projekt Elektronische Archivierung Ergebnisse 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 109 Projekt Elektronische Archivierung Ergebnisse Erfahrungen mit der elektronischen Aufbewahrung 57 % der befragten Unternehmen mit elektronischem Archivierungssystem erklären, dass dessen Einführung aufwendig war. Durch die elektronische Aufbewahrung haben sich für 17 % der befragten Unternehmen Probleme und für 99 % Vorteile ergeben. Daher erklären die Unternehmen, dass eine gute Überzeugungsarbeit entscheidend sein könnte: Die Vorteile seien groß genug; Aufgabe sei es nun, die anderen Unternehmen auch von der Umstellung zu überzeugen. 110 V2 55

57 Projekt Elektronische Archivierung Ergebnisse Ergänzende Erkenntnisse der Steuerberaterbefragung Auch aus Sicht der befragten Steuerberater sind laufende Kosten und Umstellungsaufwand, Unsicherheit hinsichtlich der Umsetzung der rechtlichen Grundlagen sowie Gewohnheit die entscheidenden Gründe dafür, dass die Unternehmen ihre Unterlagen bislang nicht vollständig elektronisch aufbewahren. Alle befragten Steuerberater sehen Vorteile, aber mehr als die Hälfte sehen auch Nachteile für die Unternehmen bei einer Umstellung auf die elektronische Aufbewahrung. Alle behandelten Anreize werden von der Mehrheit der befragten Steuerberater als hilfreich angesehen; die zertifizierte Software bezeichnen sogar alle elf Steuerberater als Anreiz / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 2 RECHTLICHE GRUNDLAGEN Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 114 V2 57

58 Handelsrecht & Steuerrecht Im Handelsrecht ist die Aufbewahrung von Handelsbriefen und anderen Geschäftsdokumenten geregelt: HGB Handelsgesetzbuch AO Abgabenordnung Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (ehemals GoBS) Im Steuerrecht gibt es zahlreiche Gesetze und Verordnungen, die Auswirkungen auf die Aufbewahrung elektronischer Dokumente haben: (ehemals GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) GAUFZ Gewinnabgrenzungsaufzeichnungsverordnung StVereinfG Steuervereinfachungsgesetz Rechtliche Grundlagen 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT HGB, AO Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 116 V2 58

59 Handelsgesetzbuch HGB Enthält den Kern des Handelsrechts in Deutschland Die letzte Änderung trat am 20. Januar 2007 in Kraft Die 238, 239, 257 HGB regeln die grundsätzlichen Voraussetzungen für die Archivierung von kaufmännischen Dokumenten unabhängig davon, ob in Papier oder in elektronischer Form Die grundsätzlichen Anforderungen lassen sich wie folgt zusammenfassen: Ordnungsmäßigkeit Vollständigkeit Sicherheit des Gesamtverfahrens Schutz vor Veränderung und Verfälschung Sicherung vor Verlust Nutzung nur durch Berechtigte Einhaltung der Aufbewahrungsfristen Dokumentation des Verfahrens Nachvollziehbarkeit Prüfbarkeit 117 HGB Handelsgesetzbuch 238 Buchführungspflicht (1) Jeder Kaufmann ist verpflichtet, Bücher zu führen und in diesen seine Handelsgeschäfte und die Lage seines Vermögens nach den Grundsätzen ordnungsmäßiger Buchführung ersichtlich zu machen. Die Buchführung muss so beschaffen sein, dass sie einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Lage des Unternehmens vermitteln kann. Die Geschäftsvorfälle müssen sich in ihrer Entstehung und Abwicklung verfolgen lassen. (2) Der Kaufmann ist verpflichtet, eine mit der Urschrift übereinstimmende Wiedergabe der abgesandten Handelsbriefe (Kopie, Abdruck, Abschrift oder sonstige Wiedergabe des Wortlauts auf einem Schrift-, Bild- oder anderen Datenträger) zurückzubehalten. 118 V2 59

60 HGB Handelsgesetzbuch 239 Führung der Handelsbücher (1) Bei der Führung der Handelsbücher und bei den sonst erforderlichen Aufzeichnungen hat sich der Kaufmann einer lebenden Sprache zu bedienen. Werden Abkürzungen, Ziffern, Buchstaben oder Symbole verwendet, muss im Einzelfall deren Bedeutung eindeutig festliegen. (2) Die Eintragungen in Büchern und die sonst erforderlichen Aufzeichnungen müssen vollständig, richtig, zeitgerecht und geordnet vorgenommen werden. (3) Eine Eintragung oder eine Aufzeichnung darf nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiss lässt, ob sie ursprünglich oder erst später gemacht worden sind. (4) Die Handelsbücher und die sonst erforderlichen Aufzeichnungen können auch in der geordneten Ablage von Belegen bestehen oder auf Datenträgern geführt werden, soweit diese Formen der Buchführung einschließlich des dabei angewandten Verfahrens den Grundsätzen ordnungsmäßiger Buchführung entsprechen. Bei der Führung der Handelsbücher und der sonst erforderlichen Aufzeichnungen auf Datenträgern muss insbesondere sichergestellt sein, dass die Daten während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können. Absätze 1 bis 3 gelten sinngemäß. 119 HGB Handelsgesetzbuch 257 Aufbewahrung von Unterlagen Aufbewahrungsfristen (1) Jeder Kaufmann ist verpflichtet, die folgenden Unterlagen geordnet aufzubewahren: 1. Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse nach 325 Abs. 2a, Lageberichte, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, 2. die empfangenen Handelsbriefe, 3. Wiedergaben der abgesandten Handelsbriefe, 4. Belege für Buchungen in den von ihm nach 238 Abs. 1 zu führenden Büchern (Buchungsbelege). (2) Handelsbriefe sind nur Schriftstücke, die ein Handelsgeschäft betreffen. (3) Mit Ausnahme der Eröffnungsbilanzen und Abschlüsse können die in Absatz 1 aufgeführten Unterlagen auch als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht und sichergestellt ist, dass die Wiedergabe oder die Daten 1. mit den empfangenen Handelsbriefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden, 2. während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können. Sind Unterlagen auf Grund des 239 Abs. 4 Satz 1 auf Datenträgern hergestellt worden, können statt des Datenträgers die Daten auch ausgedruckt aufbewahrt werden; die ausgedruckten Unterlagen können auch nach Satz 1 aufbewahrt werden. 120 V2 60

61 HGB Handelsgesetzbuch 257 Aufbewahrung von Unterlagen Aufbewahrungsfristen (Fortsetzung) (4) Die in Absatz 1 Nr. 1 und 4 aufgeführten Unterlagen sind zehn Jahre, die sonstigen in Absatz 1 aufgeführten Unterlagen sechs Jahre aufzubewahren. (5) Die Aufbewahrungsfrist beginnt mit dem Schluss des Kalenderjahrs, in dem die letzte Eintragung in das Handelsbuch gemacht, das Inventar aufgestellt, die Eröffnungsbilanz oder der Jahresabschluss festgestellt, der Einzelabschluss nach 325 Abs. 2a oder der Konzernabschluss aufgestellt, der Handelsbrief empfangen oder abgesandt worden oder der Buchungsbeleg entstanden ist. 121 Abgabenordnung AO Elementares Gesetz des deutschen Steuerrechts Die AO ist in neun Teile gegliedert und spiegelt den zeitlichen Ablauf des Besteuerungsverfahrens wider: Einleitende Vorschriften Steuerschuldrecht Allgemeine Verfahrensvorschriften Durchführung der Besteuerung Erhebungsverfahren Vollstreckung Außergerichtliches Rechtsbehelfsverfahren Straf- und Bußgeldvorschriften/ Straf- und Bußgeldverfahren Schlussvorschriften 122 V2 61

62 Abgabenordnung AO Aufbewahrungsform und -fristen In der Abgabenordnung 146, 147, 200 AO sind die Anforderungen an die Aufbewahrung und die Prüfung von kaufmännischen Dokumenten aufgeführt. Papierform Papierform nur für Eröffnungsbilanz und Jahresabschlüsse vorgeschrieben Elektronische Aufbewahrung muss GoB entsprechen Aufbewahrungsfristen 10 Jahre für Bücher und Aufzeichnungen, Jahresabschlüsse, Lageberichte, Eröffnungsbilanz, Arbeitsanweisungen und Organisationsunterlagen hierzu 10 Jahre für Buchhaltungsbelege 6 Jahre für Handels- oder Geschäftsbriefe Wenn die Festsetzungsfrist noch nicht abgelaufen ist sind auch längere Aufbewahrungsfristen möglich Quelle: Abgabenordnung AO Aufbewahrungspflicht der Daten und Dokumente Die Änderungen in der AO führten zur digitalen Steuerprüfung, die in den GDPdU beschrieben ist. Während der Aufbewahrungsfristen müssen Daten jederzeit verfügbar sein, unverzüglich lesbar gemacht werden und maschinell ausgewertet werden können Sind Daten mit einem DV-System erzeugt worden, hat die Finanzbehörde das Recht, Einsicht zu nehmen und das System zur Prüfung zu nutzen Die Daten müssen maschinell auswertbar sein und auf Anforderung auf Datenträgern zur Verfügung gestellt werden 124 V2 62

63 Änderungen AO 2013 Änderung des Anwendungserlasses zur Abgabenordnung (AEAO) BMF-Schreiben vom 28. Juni IV A 3 - S 0062/08/ Das Dokumentenmanagement betreffen vor allem: 146: Ordnungsvorschriften für die Buchführung und für Aufzeichnungen 147: Ordnungsvorschriften für die Aufbewahrung von Unterlagen Im Kontext der elektronischen Steuerprüfung relevant sind Ausführungen zu 87a "Elektronische Kommunikation" 171 "Ablaufhemmung" der Abgabenordnung Weitere Änderungen durch E-Government-Gesetz: Artikel 5 Änderung der Abgabenordnung Quelle: ndung.pdf? blob=publicationfile 125 Anwendungserlass zur Abgabenordnung Änderung des Anwendungserlasses zur Abgabenordnung (AEAO) Anpassung an BMF-Schreiben vom IV A 3 - S 0062/14/ Der Anwendungserlasses zur Abgabenordnung (AEAO) wurde an die angepasst, besonders auch die im Kontext der elektronischen Steuerprüfung relevanten Passagen zu 146, 147 AO der Abgabenordnung. Quelle: Anwendungserlass/ aenderung-anwendungserlass-abgabenordnung.pdf 126 V2 63

64 E-Bilanz E-Bilanz ab Pflicht (Übergangsfrist, in der auch Papierbilanz möglich war, ist abgelaufen) Unternehmen jeglicher Größe müssen neben der elektronischen Steuererklärung ihre Bilanz und Gewinn- und Verlustrechnung in digitaler Form an die Finanzverwaltung übermitteln Widerspruch Aufbewahrungspflicht von Bilanzen in Papier und E-Bilanz elektronisch? Was ist das Original bei der E-Bilanz? 127 Handelsgesetz und Abgabenordnung Auswirkungen für die Archivierung Benutzt den Begriff Archivierung nicht Verlangt mit definierten Kriterien die Aufbewahrung aller Geschäfts- und Handelsbriefe nebst den dazugehörigen Belegen Schließt steuerliche und Zoll-Unterlagen ein Prüfbarkeit durch amtliche Prüfer und Wirtschaftsprüfer Einsatzgebiet der revisionssicheren Archivierung 128 V2 64

65 2. Rechtliche Grundlagen 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT GOBS (1995 bis 2014) Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 129 Verordnungen in Deutschland Auswahl archivrelevanter Verordnungen Abk. Name Jahr GAUFZV Gewinnabgrenzungsaufzeichnungsverordnung 2008 GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen 2002 GoB Grundsätze ordnungsgemäßer Buchführung kontinuierlich GoBS Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme 1997 Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff 2014 SigV Signaturverordnung 2001 SRVwV Allg. Verwaltungsvorschrift über das Rechnungswesen in der Sozialversicherung V2 65

66 GoBS 1995 abgelöst 2014 durch Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme Regeln zur Buchführung mittels Datenverarbeitungssystemen Bestehen aus einem BMF-Schreiben und einer Ausarbeitung der AWV, die im Bundessteuerblatt Teil 1 vom veröffentlicht wurde Die Anforderungen gelten nicht nur für Buchführungssysteme sondern sind auch für Dokumenten-Management und elektronische Archivsysteme anzuwenden Quelle: blob=publicationfile&v=3 131 GoBS 1995 abgelöst 2014 durch Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme In den GoBS war im Detail geregelt: Wie mit gescannten Dokumenten und originär elektronischen Daten umgegangen werden muss, Wie das IKS Interne Kontrollsystem beschaffen sein muss, Welche Anforderungen an die Sicherung und Bereitstellung von elektronisch gespeicherten kaufmännischen Informationen bestehen Dass eine Verfahrensdokumentation zu erstellen und zu pflegen ist. Quelle: blob=publicationfile&v=3 132 V2 66

67 GoBS abgelöst 2014 durch Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme Die GoBS waren daher von grundlegenderer Bedeutung für das Thema Archivierung als die GDPdU. Die GDPdU regelte nur den Datenzugriff und die Datenträgerüberlassung, die GoBS enthielten dagegen die Vorgaben zur ordnungsgemäßen Aufbewahrung. Die GoBS sind in der GDPdU als maßgebliches Dokument referenziert. Quelle: blob=publicationfile&v= Rechtliche Grundlagen 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT GDPdU (2001 bis 2014) Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 134 V2 67

68 GDPdU 2001 abgelöst durch 2014 Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen Umfeld Buchhaltungsdaten Sonstige steuerrechtlich relevante Informationen und Dokumente Gültigkeit Brief vom BMF Umzusetzen ab Übergangsregelungen Durch 2014 abgelöst Herkunft Steuerreform (StSenkG) HGB AO Quelle: blob=publicationfile&v=6 135 GDPdU 2001 abgelöst durch 2014 Datenzugriff Prüfungsgegenstand sind wie bisher nur die aufbewahrungspflichtigen Unterlagen Recht auf direkten Zugriff auf Buchhaltungssysteme mit Recherchemöglichkeit Drei Formen des Zugriffs: a) Z1 = die eigenständige Recherche beim Steuerpflichtigen mit Unterstützung durch das Personal des Steuerpflichtigen (Unmittelbarer Zugriff) b) Z2 = Zurverfügungstellung von Auswertungen durch den Steuerpflichtigen entsprechend den Vorgaben des Prüfers (Mittelbarer Zugriff) c) Z3 = die Mitnahme von Medien mit allen Daten und Dokumenten für die Prüfung im Finanzamt (Datenträgerüberlassung) Quelle: blob=publicationfile&v=6 136 V2 68

69 GDPdU 2001 abgelöst durch 2014 Prüfbarkeit digitaler Unterlagen Elektronische Unterlagen sind: Elektronische Abrechnungen Die qualifizierte elektronische Signatur ist Bestandteil der elektronischen Abrechnung Elektronisch signierte Dokumente Sonstige aufbewahrungspflichtige Unterlagen i.s.d. 147 Abs. 1 AO, die digitalisiert sind und nicht in Papierform übermittelt werden Aufbewahrungsfristen Speicherung von Zertifikaten Protokollierung Konvertierung Verarbeitung Indexänderungen Transformationen Quelle: blob=publicationfile&v=6 137 GDPdU 2001 abgelöst durch 2014 Archivierung digitaler Unterlagen Maschinelle Auswertbarkeit meint: Statistische Auswertung der strukturierten Daten Wahlfreier Zugriff auf strukturierte Datensätze ebenso wie auf Dokumente (Belege zu den Daten) COM-Verfilmung nicht mehr ausreichend Wandlung in PDF, TIFF und andere Image-Formate für rechnerisch auswertbare Dateien nicht zulässig Nur einmal beschreibbare Speicher (WORM-Verfahren: write once read many). Die Wahl des Mediums obliegt dem Anwender. Abgesicherte Festplattensysteme sind ausreichend 138 V2 69

70 GDPdU 2001 abgelöst durch 2014 Verfahrensdokumentation Prüfungen Auf folgende Dinge ist im Bezug auf die GDPdU besonders zu achten: Festlegen der prüfungsrelevanten Bestände Berechtigungen Zugriffsmöglichkeiten Löschen von Informationen und Dokumenten 139 GDPdU abgelöst durch 2014 Steuerrelevante Daten: nie abschließend festgelegt Beispiele für Steuerrelevante Unterlagen Auftrags- und Bestellunterlagen Aus- und Einfuhrunterlagen Bewertungsunterlagen Stücklisten-Bewertungen Preisverzeichnisse Mahnvorgänge Kontoauszüge Kosten- und Leistungsrechnung Kalkulationen über Konzernverrechnungspreise Registrierkassenstreifen Lohnberechnungsunterlagen Statistisches Material 140 V2 70

71 2. Rechtliche Grundlagen 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Prüfungssoftware IDEA Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 141 Prüfungssoftware IDEA Analysetool für Betriebsprüfungen Vor über 17 Jahren vom Kanadischen Rechnungshof entwickelt BMF hat Lizenzen erworben Deutscher Vertrieb über die Firma Audicon (hat den neuen XML-basierten Beschreibungsstandard entwickelt) Datenbestände des zu prüfenden Unternehmens werden auf Datenträger kopiert Der Prüfer kann somit direkt vom (lokalen) Datenträger aus arbeiten 142 V2 71

72 Prüfungssoftware IDEA Nach wie vor lässt die Vielzahl und unterschiedliche Ausgestaltung und Kombination selbst marktgängiger Buchhaltungs-und Archivierungssysteme keine Aussagen der Finanzverwaltung zur Konformität der verwendeten oder geplanten Hard- und Software mit den GDPdU, GoBS und zu. Vor dem Hintergrund der vom Softwarehersteller frei wählbaren Beschreibung der Datenstrukturen gilt dies gleichermaßen für eine nach dem Beschreibungsstandard für die Datenträgerüberlassung konzipierte GDPdU -Schnittstelle. Über die Firma Audicon ( kann der aktuelle Beschreibungsstandard für die Datenträgerüberlassung angefordert werden 143 Prüfungssoftware IDEA Sofern die zur Auswertung notwendigen Strukturinformationen in maschinell verwertbarer Form vorliegen, können mit IDEA prinzipiell folgende Formate verarbeitet werden: ASCII feste Länge und ASCII Delimited (einschließlich kommagetrennter Werte) EBCDIC feste Länge und EBCDIC Dateien mit variabler Länge Excel und Access (auch ältere Versionen) dbase Lotus 123 Druckdateien Dateien von SAP/AIS Konvertieren von AS/400 Datensatzbeschreibungen (FDF- Dateien erstellt von PC Support/400) in RDE- Datensatzbeschreibungen Dateien im IDEA-Format (mit XML-Beschreibung) 144 V2 72

73 2. Rechtliche Grundlagen 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT GOBD ab 2015 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 145 Anwendungserlass zur Abgabenordnung (1) Änderung des Anwendungserlasses zur Abgabenordnung (AEAO) Anpassung an BMF-Schreiben vom IV A 3 - S 0062/14/ Der Anwendungserlasses zur Abgabenordnung (AEAO) wurde an die angepasst, besonders auch die im Kontext der elektronischen Steuerprüfung relevanten Passagen zu 146, 147 AO der Abgabenordnung. Anwendungserlass/ aenderung-anwendungserlass-abgabenordnung.pdf 146 V2 73

74 Anwendungserlass zur Abgabenordnung (2) Änderung des Anwendungserlasses zur Abgabenordnung (AEAO) AEAO zu 146, Nummer 4: Abs. 5 AO enthält die gesetzliche Grundlage für die sog. Offene-Posten- Buchhaltung sowie für die Führung der Bücher und sonst erforderlichen Aufzeichnungen auf maschinell lesbaren Datenträgern (z.b. Magnetplatten, Magnetbänder, CD, DVD, Blu-ray-Disk, Flash-Speicher). Bei einer Buchführung auf maschinell lesbaren Datenträgern (DV-gestützte Buchführung) müssen die Daten unverzüglich lesbar gemacht werden können. Es wird nicht verlangt, dass der Buchungsstoff zu einem bestimmten Zeitpunkt (z.b. zum Ende des Jahres) lesbar gemacht wird. Er muss ganz oder teilweise lesbar gemacht werden, wenn die Finanzbehörde es verlangt ( 147 Abs. 5 AO). Wer seine Bücher oder sonst erforderlichen Aufzeichnungen auf maschinell lesbaren Datenträgern führt, hat die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff - - (BMF-Schreiben vom , BStBl I S. 1450) zu beachten. 147 Anwendungserlass zur Abgabenordnung (3) Änderung des Anwendungserlasses zur Abgabenordnung (AEAO) AEAO zu 147: a) Die Nummer 2 wird wie folgt gefasst: 2. Den in 147 Abs. 1 Nr. 1 AO aufgeführten Arbeitsanweisungen und sonstigen Organisationsunterlagen kommt bei DV-gestützten Buchführungen besondere Bedeutung zu. Die Dokumentation hat nach Maßgabe der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff - - (BMF- Schreiben vom , BStBl I S. 1450) zu erfolgen. b) Die Nummer 4 wird wie folgt gefasst: 4. Zur Anwendung des 147 Abs. 6 AO wird auf die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff - - (BMF- Schreiben vom , BStBl I S. 1450) hingewiesen. 148 V2 74

75 149 Inhaltsverzeichnis 1. Allgemeines 1.1 Nutzbarmachung außersteuerlicher Buchführungs- und Aufzeichnungspflichten für das Steuerrecht 1.2 Steuerliche Buchführungs- und Aufzeichnungspflichten 1.3 Aufbewahrung von Unterlagen zu Geschäftsvorfällen und von solchen Unterlagen, die zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen von Bedeutung sind 1.4 Ordnungsvorschriften 1.5 Führung von Büchern und sonst erforderlichen Aufzeichnungen auf Datenträgern 1.6 Beweiskraft von Buchführung und Aufzeichnungen, Darstellung von Beanstandungen durch die Finanzverwaltung 1.7 Aufzeichnungen 1.8 Bücher 1.9 Geschäftsvorfälle 1.10 Grundsätze ordnungsmäßiger Buchführung (GoB) 1.11 Datenverarbeitungssystem; Haupt-, Vor- und Nebensysteme 2. Verantwortlichkeit 3. Allgemeine Anforderungen 3.1 Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit ( 145 Absatz 1 AO, 238 Absatz 1 Satz 2 und Satz 3 HGB) 3.2 Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung 4. Belegwesen (Belegfunktion) 4.1 Belegsicherung 4.2Zuordnung zwischen Beleg und Grund(buch)aufzeichnung oder Buchung 4.3 Erfassungsgerechte Aufbereitung der Buchungsbelege 4.4 Besonderheiten 150 V2 75

76 Inhaltsverzeichnis 5. Aufzeichnung der Geschäftsvorfälle in zeitlicher Reihenfolge und in sachlicher Ordnung (Grund(buch)aufzeichnungen, Journal-und Kontenfunktion) 5.1 Erfassung in Grund(buch)aufzeichnungen 5.2 Digitale Grund(buch)aufzeichnungen 5.3 Verbuchung im Journal (Journalfunktion) 5.4 Aufzeichnung der Geschäftsvorfälle in sachlicher Ordnung (Hauptbuch) 6. Internes Kontrollsystem (IKS) 7. Datensicherheit 8. Unveränderbarkeit, Protokollierung von Änderungen 9. Aufbewahrung 9.1 Maschinelle Auswertbarkeit ( 147 Absatz 2 Nummer 2 AO) 9.2 Elektronische Aufbewahrung 9.3 Elektronische Erfassung von Papierdokumenten (Scanvorgang) 9.4 Auslagerung von Daten aus dem Produktivsystem und Systemwechsel 10. Nachvollziehbarkeit und Nachprüfbarkeit 10.1 Verfahrensdokumentation 10.2 Lesbarmachung von elektronischen Unterlagen 11. Datenzugriff 11.1 Umfang und Ausübung des Rechts auf Datenzugriff nach 147 Absatz 6 AO 11.2 Umfang der Mitwirkungspflicht nach 147 Absatz 6 und 200 Absatz 1 Satz 2 AO 12. Zertifizierung und Software-Testate 13. Anwendungsregelung 151 Kommentar 10 -Grundzüge 1. Aufhebung der Trennung zwischen Daten (strukturiert) und Dokumenten (unstrukturiert) durch Zusammenführung von GoBS und GDPdU 2. Vorrang für die digitale Information vor dem Papier 3. Nicht auflösbare Verknüpfung zwischen Datensatz und Beleg 4. Auswertbarkeit statistisch für Daten und per Suche und Verknüpfung für Dokumente 5. Aktuell zu haltende Verfahrensdokumentation 6. Technikneutralität für die Unabhängigkeit von der technologischen Entwicklung 7. Nachvollziehbarkeit durch Protokollierung 8. Integrität der Daten und Erschließungsstrukturen 9. Beständigkeit über längere Zeiträume bei sich verändernder Technologie (Migration) 10.Revisionssicherheit durch rückblickende Überprüfung mit retrogagraden und progressiven Methoden 152 V2 76

77 2015 GoBS Allgemeines [1] Die betrieblichen Abläufe in den Unternehmen werden ganz oder teilweise unter Einsatz von Informationsund Kommunikations-Technik abgebildet. Tz. 1; in ähnlicher Form enthalten. Bezog sich im Wesentlichen auf Dokumente [2] Auch die nach außersteuerlichen oder steuerlichen Vorschriften zu führenden Bücher und sonst erforderlichen Aufzeichnungen werden in den Unternehmen zunehmend in elektronischer Form geführt (z. B. als Datensätze). Darüber hinaus werden in den Unternehmen zunehmend die aufbewahrungspflichtigen Unterlagen in elektronischer Form (z. B. als elektronische Dokumente) aufbewahrt. GDPdU 2001 I, Tz. 1; bezog sich im Wesentlichen auf Daten, d.h. Datensätze und nur indirekt auf Dokumente (ergänzt im FAQ) sowie auf das Vorgehen der Außenprüfer bei Prüfungen GoBS Nutzbarmachung außersteuerlicher Tz. 1.1; nur handelsrechtliche Buchführungs-und Aufzeichnungspflichten für Relevanz das Steuerrecht (1) [3] Nach 140 AO sind die außersteuerlichen Buchführungs- und Aufzeichnungspflichten, die für die Besteuerung von Bedeutung sind, auch für das Steuerrecht zu erfüllen. Außersteuerliche Buchführungs- und Aufzeichnungspflichten ergeben sich insbesondere aus den Vorschriften der 238 ff. HGB und aus den dort bezeichneten handelsrechtlichen Grundsätzen ordnungsmäßiger Buchführung (GoB). Für einzelne Rechtsformen ergeben sich flankierende Aufzeichnungspflichten z. B. aus 91 ff. Aktiengesetz, 41 ff. GmbH-Gesetz oder 33 Genossenschaftsgesetz. GDPdU 2001 Tz. 1; nur steuerrechtliche und zollrechtliche Relevanz 154 V2 77

78 Kommentar 1. Allgemeines (1) Die heben die bisherige Trennung von strukturierten Daten und Datensätzen (GDPdU) und unstrukturierten Dokumenten (GoBS) auf. Alle Informationen sind im Zusammenhang zu betrachten und dementsprechend auch im Zusammenhang erschließbar zu machen. Es wird explizit auf die zu berücksichtigenden flankierenden Aufzeichnungspflichten verwiesen, ohne dass die Auflistung vollständig ist. Begrifflich wird von Aufzeichnungen (Records im Englischen) und Aufbewahrung gesprochen. Der Begriff elektronische Archivierung wird nicht verwendet. Die Ordnungsmäßigkeit muss von der Einrichtung einer Systemlösung über unternehmensspezifische Anpassungen für die Dauer der Aufbewahrungsfrist nachweisbar erfüllt und erhalten bleiben. Aufbewahrung bezieht sich auf die Lebensdauer der Informationen vor Beendigung der Aufbewahrungsfrist. Archivierung (Langzeitarchivierung) beginnt erst danach Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> Nutzbarmachung außersteuerlicher Tz 1.; weitere Gesetze und Buchführungs-und Aufzeichnungspflichten für Verordnungen nicht explizit das Steuerrecht (2) ausgeführt. [3] Des Weiteren sind zahlreiche gewerberechtliche oder branchenspezifische Aufzeichnungsvorschriften vorhanden, die gem. 140 AO im konkreten Einzelfall für die Besteuerung von Bedeutung sind, wie z. B. Apothekenbetriebsordnung, Eichordnung, Fahrlehrergesetz, Gewerbeordnung, 26 Kreditwesengesetz oder 55 Versicherungsaufsichtsgesetz. GDPdU 2001 Nicht explizit ausgeführt. 156 V2 78

79 Kommentar 1.1 Nutzbarmachung außersteuerlicher Buchführungs-und Aufzeichnungspflichten für das Steuerrecht Es wird explizit auf die zu berücksichtigenden flankierenden Aufzeichnungspflichten verwiesen, ohne dass die Auflistung vollständig ist. Branchen- und Unternehmensspezifisch kann so der Umfang der zu berücksichtigenden und zu dokumentierenden Lösungen erheblich erweitert sein GoBS Steuerliche Buchführungs-und Aufzeichnungspflichten [4] Steuerliche Buchführungs- und Aufzeichnungspflichten ergeben sich sowohl aus der Abgabenordnung (z. B. 90 Absatz 3, 141 bis 144 AO), als auch aus Einzelsteuergesetzen (z. B. 22 UStG, 4 Absatz 3 Satz 5, 4 Absatz 4a Satz 6, 4 Absatz 7 und 41 EStG). Tz 1.2; nicht explizit aufgeführt. Gesetze wurden seit Erscheinen der GoBS mehrfach aktualisiert GDPdU 2001 Aufgeführt. Gesetze wurden seit Erscheinen der GDPdU mehrfach aktualisiert 158 V2 79

80 2015 GoBS Aufbewahrung von Unterlagen zu Tz 1.2; ähnlich weich formuliert Geschäftsvorfällen und von solchen Unterlagen, die zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen von Bedeutung sind (1) [5] Neben den außersteuerlichen und steuerlichen Büchern, Aufzeichnungen und Unterlagen zu Geschäftsvorfällen sind alle Unterlagen aufzubewahren, die zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen im Einzelfall von Bedeutung sind (vgl. BFH-Urteil vom 24. Juni 2009, BStBl II 2010 S. 452). GDPdU 2001 Nicht explizit ausgeführt, aber in den FAQ behandelt GoBS Aufbewahrung von Unterlagen zu Tz 1.2; ähnlich weich Geschäftsvorfällen und von solchen Unterlagen, die zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen von Bedeutung sind (2) [5] Dazu zählen neben Unterlagen in Papierform auch alle Unterlagen in Form von Daten, Datensätzen und elektronischen Dokumenten, die dokumentieren, dass die Ordnungsvorschriften umgesetzt und deren Einhaltung überwacht wurde. Nicht aufbewahrungspflichtig sind z. B. reine Entwürfe von Handels- oder Geschäftsbriefen, sofern diese nicht tatsächlich abgesandt wurden. GDPdU 2001 Nicht explizit ausgeführt 160 V2 80

81 2015 Beispiel Zu 1.3 Aufbewahrung von Unterlagen zu Geschäftsvorfällen und von solchen Unterlagen, die zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen von Bedeutung sind (3) [5] Beispiel 1: Dienen Kostenstellen der Bewertung von Wirtschaftsgütern, von Rückstellungen oder als Grundlage für die Bemessung von Verrechnungspreisen sind diese Aufzeichnungen aufzubewahren, soweit sie zur Erläuterung steuerlicher Sachverhalte benötigt werden. 161 Kommentar Beispiele Neu eingeführt wurden explizit ausgewiesene Beispiele. Diese sind nicht vollständig und nicht abschließend. In den Beispielen wird häufiger auch auf Verfahren eingegangen, die selbst nicht - im Sinne der Technologieunabhängigkeit - in den Text der Eingang gefunden haben; z.b: ZUGFeRD. 162 V2 81

82 2015 GoBS Aufbewahrung von Unterlagen zu Tz. 1.2; auch die GoBS enthielten Geschäftsvorfällen und von solchen keine konkrete Definition, sondern Unterlagen, die zum Verständnis und zur ließen dies offen. Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen von Bedeutung sind (4) [6] Form, Umfang und Inhalt dieser im Sinne der Rzn. 3 bis 5 nach außersteuerlichen und steuerlichen Rechtsnormen aufzeichnungsund aufbewahrungspflichtigen Unterlagen (Daten, Datensätze sowie Dokumente in elektronischer oder Papierform) und der zu ihrem Verständnis erforderlichen Unterlagen werden durch den Steuerpflichtigen bestimmt. Eine abschließende Definition der aufzeichnungsund aufbewahrungspflichtigen Aufzeichnungen und Unterlagen ist nicht Gegenstand der nachfolgenden Ausführungen. GDPdU 2001 Auch die GDPdU enthielten keine konkrete Definition, sondern ließen offen, was steuerrelevant ist GoBS Aufbewahrung von Unterlagen zu Tz 1.2; auch die GoBS enthielten Geschäftsvorfällen und von solchen keine konkrete Definition, sondern Unterlagen, die zum Verständnis und zur ließen dies offen. Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen von Bedeutung sind (5) [6] Die Finanzverwaltung kann diese Unterlagen nicht abstrakt im Vorfeld für alle Unternehmen abschließend definieren, weil die betrieblichen Abläufe, die aufzeichnungsund aufbewahrungspflichtigen Aufzeichnungen und Unterlagen sowie die eingesetzten Buchführungsund Aufzeichnungssysteme in den Unternehmen zu unterschiedlich sind. GDPdU 2001 Auch die GDPdU enthielten keine konkrete Definition, sondern ließen offen, was steuerrelevant ist. 164 V2 82

83 Kommentar 1.3 Aufbewahrung von Unterlagen zu Geschäftsvorfällen und von solchen Unterlagen, die zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen von Bedeutung sind Jeder Geschäftsvorfall ist mit den Daten und dazugehörigen Dokumenten zu belegen. Dies kann durch originäre elektronische oder papiergebundene Informationsobjekte bzw. durch sichere, mit dem originären Beleg übereinstimmende Kopien geschehen. Die entsprechende Belegfunktion ist die Grundvoraussetzung für die Beweiskraft und Nachvollziehbarkeit der Buchführung und der erforderlichen Aufzeichnungen. Die lassen ebenso wie bereits GoBS und GDPdU die Frage unbeantwortet, was denn die aufzubewahrenden Unterlagen umfassen. Hieraus ergibt sich weiterhin eine Grauzone in Bezug auf Dokumente aus dem Projektgeschehen, der Akquisitionsphase und andere, die nur indirekt mit den kaufmännischen Dokumenten in Verbindung stehen. Gleiches gilt auch weiterhin für Daten aus Vor- und Nebensystemen. In der Verfahrensdokumentation kommt daher der Festlegung der zu speichernden Informationen eine besondere Bedeutung zu GoBS Ordnungsvorschriften Tz. 1.2; ähnlich [7] Die Ordnungsvorschriften der 145 bis 147 AO gelten für die vorbezeichneten Bücher und sonst erforderlichen Aufzeichnungen und der zu ihrem Verständnis erforderlichen Unterlagen (vgl. Rzn. 3 bis 5; siehe auch Rzn. 23, 25 und 28). GDPdU 2001 ähnlich 166 V2 83

84 2015 GoBS Führung von Büchern und sonst erforderlichen Tz 1.2; ähnlich Aufzeichnungen auf Datenträgern (1) [8] Bücher und die sonst erforderlichen Aufzeichnungen können nach 146 Absatz 5 AO auch auf Datenträgern geführt werden, soweit diese Form der Buchführung einschließlich des dabei angewandten Verfahrens den GoB entspricht (siehe unter 1.4.). Bei Aufzeichnungen, die allein nach den Steuergesetzen vorzunehmen sind, bestimmt sich die Zulässigkeit des angewendeten Verfahrens nach dem Zweck, den die Aufzeichnungen für die Besteuerung erfüllen sollen ( 145 Absatz 2 AO; 146 Absatz 5 Satz 1 2. HS AO). Unter diesen Voraussetzungen sind auch Aufzeichnungen auf Datenträgern zulässig. GDPdU 2001 Nicht explizit 167 Kommentar 1.5 Führung von Büchern und sonst erforderlichen Aufzeichnungen auf Datenträgern (1) Der Hinweis auf die GoB bringt wieder etwas Unsicherheit, was in Papier und was in elektronischer Form gespeichert werden kann, da die GoB nicht in allen Teilen auf die digitale Situation angepasst worden sind. Grundsätzlich können aber Bücher und alle Aufzeichnungen in elektronsicher Form geführt werden. 168 V2 84

85 2015 GoBS Führung von Büchern und sonst erforderlichen Tz 1.2; siehe oben Aufzeichnungen auf Datenträgern (2) [9] Somit sind alle Unternehmensbereiche betroffen, in denen betriebliche Abläufe durch DV-gestützte Verfahren abgebildet werden und ein Datenverarbeitungssystem (DV-System, siehe auch Rz. 20) für die Erfüllung der in den Rzn. 3 bis 5 bezeichneten außersteuerlichen oder steuerlichen Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten verwendet wird (siehe auch unter 11.1 zum Datenzugriffsrecht). GDPdU 2001 Siehe oben 169 Kommentar 1.5 Führung von Büchern und sonst erforderlichen Aufzeichnungen auf Datenträgern (1) Der Hinweis auf die GoB bringt wieder etwas Unsicherheit, was in Papier und was in elektronischer Form gespeichert werden kann, da die GoB nicht in allen Teilen auf die digitale Situation angepasst worden sind. Grundsätzlich können aber Bücher und alle Aufzeichnungen in elektronsicher Form geführt werden. 170 V2 85

86 2015 GoBS Führung von Büchern und sonst erforderlichen Tz 1.2; siehe oben Aufzeichnungen auf Datenträgern (3) [10] Technische Vorgaben oder Standards (z. B. zu Archivierungsmedien oder Kryptografieverfahren) können angesichts der rasch fortschreitenden Entwicklung und der ebenfalls notwendigen Betrachtung des organisatorischen Umfelds nicht festgelegt werden. Im Zweifel ist über einen Analogieschluss festzustellen, ob die Ordnungsvorschriften eingehalten wurden, z. B. bei einem Vergleich zwischen handschriftlich geführten Handelsbüchern und Unterlagen in Papierform, die in einem verschlossenen Schrank aufbewahrt werden, einerseits und elektronischen Handelsbüchern und Unterlagen, die mit einem elektronischen Zugriffschutz gespeichert werden, andererseits. GDPdU 2001 Siehe oben 171 Kommentar 1.5 Führung von Büchern und sonst erforderlichen Aufzeichnungen auf Datenträgern (3) Die Geschäftsvorfälle müssen sich in ihrer Entstehung und Abwicklung lückenlos verfolgen lassen (progressive und retrograde Prüfbarkeit). Dies gilt für die Bücher ebenso wie für die sonstigen dazugehörigen Aufzeichnungen. Positiv zu vermerken ist, dass die keine technischen Vorgaben für die Sicherung der Büche rund Aufzeichnungen macht. Explizit wird darauf hingewiesen, dass Archivierungsmedien und kryptografische Verfahren sich schnell ändern können. Dies ist auch als Hinweis auf die nicht notwendige Verwendung der qualifizierten elektronischen Signatur verstehbar, die sich ihrerseits ja kryptografischer Verfahren bedient. Die Sicherheitsanforderungen werden als Analogie zum verschlossenen Schrank für papierbasierte Aufzeichnungen beschrieben (aber nicht als explizites Beispiel gekennzeichnet). Die Nachprüfbarkeit der Bücher und der Aufzeichnungen erfordert eine aussagekräftige, aktuelle und vollständige Verfahrensdokumentation. 172 V2 86

87 2015 GoBS Beweiskraft von Buchführung und Tz. 2.2; ähnlich Aufzeichnungen, Darstellung von Beanstandungen durch die Finanzverwaltung [11] Nach 158 AO sind die Buchführung und die Aufzeichnungen des Steuerpflichtigen, die den Vorschriften der 140 bis 148 AO entsprechen, der Besteuerung zugrunde zu legen, soweit nach den Umständen des Einzelfalls kein Anlass besteht, ihre sachliche Richtigkeit zu beanstanden. Werden Buchführung oder Aufzeichnungen des Steuerpflichtigen im Einzelfall durch die Finanzverwaltung beanstandet, so ist durch die Finanzverwaltung der Grund der Beanstandung in geeigneter Form darzustellen. GDPdU 2001 Nicht enthalten 173 Kommentar 1.6 Beweiskraft von Buchführung und Aufzeichnungen, Darstellung von Beanstandungen durch die Finanzverwaltung Der Begriff der Beweiskraft wird hier in Analogie zur Verwendung des Begriffes in den GoBS anders definiert als zum Beispiel im Umfeld der BSI-Richtlinien TR TR-ESOR und TR Resiscan. In diesen Richtlinien wird auf die Verwendung von qualifizierten elektronischen Signaturen und dem Nachsignieren abgehoben, um den Beweiswert von Dokumenten zu erhalten. Hier ist nach Meinung des Autors davon auszugehen, dass nicht die Beweiswerterhaltung durch elektronisches Signieren angesprochen ist. Andere Interpretationen (siehe Abschnitt 6 dieser Dokumentation) sehen aber hier ein Einsatzfeld für das Beweiswerterhaltende Scannen nach BSI TR Resiscan. 174 V2 87

88 2015 GoBS Aufzeichnungen Tz 1.2; ähnlich [12] Aufzeichnungen sind alle dauerhaft verkörperten Erklärungen über Geschäftsvorfälle in Schriftform oder auf Medien mit Schriftersatzfunktion (z. B. auf Datenträgern). Der Begriff der Aufzeichnungen umfasst Darstellungen in Worten, Zahlen, Symbolen und Grafiken. [13] Werden Aufzeichnungen nach verschiedenen Rechtsnormen in einer Aufzeichnung zusammengefasst (z. B. nach 238 ff. HGB und nach 22 UStG), müssen die zusammengefassten Aufzeichnungen den unterschiedlichen Zwecken genügen. Erfordern verschiedene Rechtsnormen gleichartige Aufzeichnungen, so ist eine mehrfache Aufzeichnung für jede Rechtsnorm nicht erforderlich. GDPdU 2001 Nicht explizit enthalten 175 Kommentar 1.7 Aufzeichnungen Der Begriff Aufzeichnung wird analog zum international gebräuchlichen Begriff Record medienunabhängig benutzt und kann beliebige Form und Inhalte haben. Er ist weitergefasst als der umgangssprachliche Dokument-Begriff. Interessant sind die Ausführung in Bezug auf die nur einmalige Speicherung von Aufzeichnungen für unterschiedliche Zwecke und rechtliche Anforderungen. Einerseits erlaubt dies eine bessere Versions- und Lebenszykluskontrolle, andererseits erfordert dies aber entsprechende Verwaltungs-, Metadaten- und Berechtigungskonstrukte, um die Information im korrekten Zusammenhang zu nutzen. D.h. zum Beispiel, in einem rechtlichen Zusammenhang ist die Aufbewahrungsfrist schon abgelaufen und das Dokument wird nicht mehr angezeigt, in einem anderen läuft eine konkurrierende Aufbewahrungsfrist und das Dokument muss weiterhin nutzbar sein. 176 V2 88

89 2015 GoBS Bücher [14] Der Begriff ist funktional unter Anknüpfung an die handelsrechtliche Bedeutung zu verstehen. Die äußere Gestalt (gebundenes Buch, Loseblattsammlung oder Datenträger) ist unerheblich. Tz 2; in dieser Form nicht explizit ausgeführt [15] Der Kaufmann ist verpflichtet, in den Büchern seine Handelsgeschäfte und die Lage des Vermögens ersichtlich zu machen ( 238 Absatz 1 Satz 1 HGB). Der Begriff Bücher umfasst sowohl die Handelsbücher der Kaufleute ( 238 ff. HGB) als auch die diesen entsprechenden Aufzeichnungen von Geschäftsvorfällen der Nichtkaufleute. GDPdU 2001 Nicht enthalten 177 Kommentar 1.8 Bücher Das physische Format der Aufzeichnungen ist unerheblich. Die sind medienneutral. Besondere Probleme können sich aber durch hybride Aufzeichnungen ergeben, wo Papier und elektronische Aufzeichnungen parallel genutzt werden. Hier ist darauf zu achten, das die Aufzeichnungen vollständig und konsistent über alle verwendeten Medien hinweg sind. 178 V2 89

90 2015 GoBS Geschäftsvorfälle Tz. 2.1; ähnlich [16] Geschäftsvorfälle sind alle rechtlichen und wirtschaftlichen Vorgänge, die innerhalb eines bestimmten Zeitabschnitts den Gewinn bzw. Verlust oder die Vermögenszusammensetzung in einem Unternehmen dokumentieren oder beeinflussen bzw. verändern (z. B. zu einer Veränderung des Anlageund Umlaufvermögens sowie des Eigen- und Fremdkapitals führen). GDPdU 2001 Nicht explizit 179 Kommentar 1.9 Geschäftsvorfälle Bereits durch die GDPdU war die Dokumentation des gesamten Geschäftsvorfalles bedeutsamer als der Einzelbeleg geworden. Durch die wird dieser Aspekt, alle zusammengehörigen Informationen, Daten wie Dokumente, zu einem Geschäftsvorfall von Anbahnung bis Abschluss gemeinsam zu betrachten, wichtiger. Geschäftsvorfälle sind vollzählig und lückenlos aufzuzeichnen. Geschäftsvorfälle sind in Übereinstimmung mit den tatsächlichen Verhältnissen vollständig, wahrheitsgemäß, klar, geordnet und nachvollziehbar aufzuzeichnen. Dies berifft sowohl die Buchungen als auch die dazugehörigen Belege. 180 V2 90

91 2015 GoBS Grundsätze ordnungsmäßiger Buchführung (GoB)(1) [17] Die GoB sind ein unbestimmter Rechtsbegriff, der insbesondere durch Rechtsnormen und Rechtsprechung geprägt ist und von der Rechtsprechung und Verwaltung jeweils im Einzelnen auszulegen und anzuwenden ist (BFH-Urteil vom 12. Mai 1966, BStBl III S. 372; BVerfG-Beschluss vom 10. Oktober 1961, 2 BvL 1/59, BVerfGE 13 S. 153). [18] Die GoB können sich durch gutachterliche Stellungnahmen, Handelsbrauch, ständige Übung, Gewohnheitsrecht, organisatorische und technische Änderungen weiterentwickeln und sind einem Wandel unterworfen. Nicht explizit, Sammlungscharakter der GoB nicht immer hilfreich für eindeutige Klärung GDPdU 2001 Nicht explizit GoBS Grundsätze ordnungsmäßiger Buchführung siehe oben (GoB)(2) [19] Die GoB enthalten sowohl formelle als auch materielle Anforderungen an eine Buchführung. Die formellen Anforderungen ergeben sich insbesondere aus den 238 ff. HGB für Kaufleute und aus den 145 bis 147 AO für Buchführungs- und Aufzeichnungspflichtige (siehe unter 3.). Materiell ordnungsmäßig sind Bücher und Aufzeichnungen, wenn die Geschäftsvorfälle nachvollziehbar, vollständig, richtig, zeitgerecht und geordnet in ihrer Auswirkung erfasst und anschließend gebucht bzw. verarbeitet sind (vgl. 239 Absatz 2 HGB, 145 AO, 146 Absatz 1 AO). Siehe Rz. 11 zur Beweiskraft von Buchführung und Aufzeichnungen. GDPdU 2001 siehe oben 182 V2 91

92 Kommentar 1.10 Grundsätze ordnungsmäßiger Buchführung (GoB) Der Verweis auf die GoB ergänzt die rechtlichen und regulativen Vorgaben des Gesetzgebers um die Rechtsprechung, die die Gesetze und Richtlinien interpretiert und auslegt. Bei der Konzeption der internen Prozesse und der Bewertung von Unterlagen in Bezug auf die Aufbewahrungspflichten sind branchen- und geschäftsartabhängig nicht nur die GoB sondern auch die sich auf GoB beziehende Rechtsprechung zu berücksichtigen. In den bisherigen Entwürfen waren Bücher und Aufzeichnungen nur dann materiell ordnungsmäßig, wenn alle Geschäftsvorfälle nachvollziehbar, vollständig, richtig, zeitgerecht und geordnet erfasst und anschließend gebucht bzw. verarbeitet wurden. In den hat das BMF das Wort alle gestrichen und damit die Anforderungen an die materielle Ordnungsmäßigkeit ein wenig eingeschränkt GoBS Datenverarbeitungssystem; Haupt-, Vor-und Unterscheidung nicht enthalten Nebensysteme [20] Unter DV-System wird die im Unternehmen oder für Unternehmenszwecke zur elektronischen Datenverarbeitung eingesetzte Hard- und Software verstanden, mit denen Daten und Dokumente im Sinne der Rzn. 3 bis 5 erfasst, erzeugt, empfangen, übernommen, verarbeitet, gespeichert oder übermittelt werden. Dazu gehören das Haupt-system sowie Vor- und Nebensysteme (z. B. Finanzbuchführungssystem, Anlagenbuchhaltung, Lohnbuchhaltungssystem, Kassensystem, Warenwirtschaftssystem, Zahlungsverkehrssystem, Taxameter, Geldspielgeräte, elektronische Waagen, Materialwirtschaft, Fakturierung, Zeiterfassung, Archivsystem, Dokumenten-Management-System) einschließlich der Schnittstellen zwischen den Systemen. Auf die Bezeichnung des DV-Systems oder auf dessen Größe (z. B. Einsatz von Einzelgeräten oder von Netzwerken) kommt es dabei nicht an. GDPdU 2001 Nicht eindeutig definiert; Gegenstand der FAQ 184 V2 92

93 Kommentar 1.11 Datenverarbeitungssystem; Haupt-, Vor- und Nebensysteme (1) Bereits in der Diskussion um die GDPdU und die verschiedenen Versionen der Fragenund- Antwortenkataloge des Bundesministeriums für Finanzen im Internet (zuletzt BMF, Fragen und Antworten zum Datenzugriffsrecht der Finanzverwaltung, Stand 22. Januar 2009) spielte die Fragen, a) welche Daten aus welchen Systemen wie aufzubewahren und b) wie sind die Systeme abzugrenzen eine große Rolle. Inzwischen gelten auch Kassensysteme, Zeiterfassungssysteme, EDI-Vorverarbeitung und andere als relevante Systeme (Vor- und Nebensysteme). Auch Dokumentenmanagement- und Archivierungsysteme zählen hierzu. Besonders durch die nunmehr einheitliche Betrachtung von strukturierten Daten und schwach strukturierten Dokumenten ist der Zugriff auf solche Systeme für die Prüfung zu ermöglichen. Dies gilt besonders dann, wenn ältere Jahrgänge, die noch der Aufbewahrung unterliegen, aus den operativen Systemen (FiBu, ERP, Warenwirtschaft u.a.) in Archiv- oder Dokumentenmanagementsysteme überführt worden sind. 185 Kommentar 1.11 Datenverarbeitungssystem; Haupt-, Vor- und Nebensysteme Die lösen sich auch explizit von der Begriffswelt der ITK: Auf die Bezeichnung des DV-Systems kommt es dabei nicht an. Es geht immer um die enthaltenen Informationen und deren Charakter. Wichtig ist der Hinweis, das die Größe der IT unerheblich ist. Die Ausführungen gelten sowohl für sehr große wie auch für sehr kleine Installationen. 186 V2 93

94 2015 GoBS Verantwortlichkeit Tz. 2 und 9; gleich [21] Für die Ordnungsmäßigkeit elektronischer Bücher und sonst erforderlicher elektronischer Aufzeichnungen im Sinne der Rzn. 3 bis 5, einschließlich der eingesetzten Verfahren, ist allein der Steuerpflichtige verantwortlich. Dies gilt auch bei einer teilweisen oder vollständigen organisatorischen und technischen Auslagerung von Buchführungs- und Aufzeichnungsaufgaben auf Dritte (z. B. Steuerberater oder Rechenzentrum). GDPdU 2001 gleich 187 Kommentar 2. Verantwortlichkeit Ein eigenständiger Abschnitt zur Verantwortlichkeit war in den GoBS m Ende enthalten und wurde in den an den Anfang gerpckt. Die entscheidende Frage der Verantwortlichkeit wird wie in der Vergangenheit - nur expliziter unter Einschluss von Beispielen wie Steuerberater und Rechenzentrum - beantwortet: der Steuerpflichtige. Die Ausführungen betreffen das klassische Outsourcing ebenso wie Formen der Nutzung von Cloud-Angeboten. Hier wurde am Ende der Satz der Entwurfsfassung gestrichen: Der Steuerpflichtige hat sich darüber zu informieren, ob das in seinem Unternehmen eingesetzte DV-System den entspricht. 188 V2 94

95 2015 GoBS Allgemeine Anforderungen (1) Tz 1. und 2.1; sehr ähnlich [22] Die Ordnungsmäßigkeit elektronischer Bücher und sonst erforderlicher elektronischer Aufzeichnungen im Sinne der Rzn. 3 bis 5 ist nach den gleichen Prinzipien zu beurteilen wie die Ordnungsmäßigkeit bei manuell erstellten Büchern oder Aufzeichnungen. [23] Das Erfordernis der Ordnungsmäßigkeit erstreckt sich - neben den elektronischen Büchern und sonst erforderlichen Aufzeichnungen - auch auf die damit in Zusammenhang stehenden Verfahren und Bereiche des DV-Systems (siehe unter 1.11), da die Grundlage für die Ordnungsmäßigkeit elektronischer Bücher und sonst erforderlicher Aufzeichnungen bereits bei der Entwicklung und Freigabe von Haupt-, Vor- und Nebensystemen einschließlich des dabei angewandten DV-gestützten Verfahrens gelegt wird. Die Ordnungsmäßigkeit muss bei der Einrichtung und unternehmensspezifischen Anpassung des DV- Systems bzw. der DV-gestützten Verfahren im konkreten Unternehmensumfeld und für die Dauer der Aufbewahrungsfrist erhalten bleiben. GDPdU 2001 Nicht ausgeführt GoBS Allgemeine Anforderungen (2) [24] Die Anforderungen an die Ordnungsmäßigkeit ergeben sich aus: außersteuerlichen Rechtsnormen (z. B. den handelsrechtlichen GoB gem. 238, 239, 257, 261 HGB), die gem. 140 AO für das Steuerrecht nutzbar gemacht werden können, wenn sie für die Besteuerung von Bedeutung sind und steuerlichen Ordnungsvorschriften (insbesondere gem. 145 bis 147 AO). [25] Die allgemeinen Ordnungsvorschriften in den 145 bis 147 AO gelten nicht nur für Buchführungs- und Aufzeichnungspflichten nach 140 AO und nach den 141 bis 144 AO. Insbesondere 145 Absatz 2 AO betrifft alle zu Besteuerungszwecken gesetzlich geforderten Aufzeichnungen, also auch solche, zu denen der Steuerpflichtige aufgrund anderer Steuergesetze verpflichtet ist, wie z. B. nach 4 Absatz 3 Satz 5, Absatz 7 EStG und nach 22 UStG (BFH-Urteil vom 24. Juni 2009, BStBl II 2010 S. 452). Tz 1 und 2.1; gegenüber GoBS erweitert GDPdU 2001 gegenüber GDPdU stark erweitert 190 V2 95

96 2015 GoBS Allgemeine Anforderungen (3) [26] Demnach sind bei der Führung von Büchern in elektronischer oder in Papierform und sonst erforderlicher Aufzeichnungen in elektronischer oder in Papierform im Sinne der Rzn. 3 bis 5 die folgenden Anforderungen zu beachten: Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit (siehe unter 3.1), Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung (siehe unter 3.2): o Vollständigkeit (siehe unter 3.2.1), o Richtigkeit (siehe unter 3.2.2), o zeitgerechte Buchungen und Aufzeichnungen (siehe unter 3.2.3), o Ordnung (siehe unter 3.2.4), o Unveränderbarkeit (siehe unter 3.2.5). Tz. 1 und 2.1; sehr ähnlich; die Aufzählung der Grundsätze wurde aus HGB/AO ergänzt GDPdU 2001 Nicht explizit GoBS Allgemeine Anforderungen (4) Tz. 1 und 2.1; sehr ähnlich [27] Diese Grundsätze müssen während der Dauer der Aufbewahrungsfrist nachweisbar erfüllt werden und erhalten bleiben. [28] Nach 146 Absatz 6 AO gelten die Ordnungsvorschriften auch dann, wenn der Unternehmer elektronische Bücher und Aufzeichnungen führt, die für die Besteuerung von Bedeutung sind, ohne hierzu verpflichtet zu sein. [29] Der Grundsatz der Wirtschaftlichkeit rechtfertigt es nicht, dass Grundprinzipien der Ordnungsmäßigkeit verletzt und die Zwecke der Buchführung erheblich gefährdet werden. Die zur Vermeidung einer solchen Gefährdung erforderlichen Kosten muss der Steuerpflichtige genauso in Kauf nehmen wie alle anderen Aufwendungen, die die Art seines Betriebes mit sich bringt (BFH-Urteil vom 26. März 1968, BStBl II S. 527). GDPdU 2001 nicht explizit 192 V2 96

97 Kommentar 3. Allgemeine Anforderungen (1) Der Abschnitt Allgemeine Anforderungen stellt das Grundgerüst und die Prinzipien für die dar. Hier finden sich auch die bereits bekannten Grundsätze in Ziffer [26] wieder. Diese hat es bereits in der Vergangenheit in ähnlicher Form bei der revisionssicheren Archivierung und den generellen Compliance-/Records-Management-Anforderungen gegeben. Die Auflistung umfasst Nachvollziehbarkeit, Nachprüfbarkeit, Wahrheit, Klarheit, fortlaufende Aufzeichnung, Vollständigkeit, Richtigkeit, zeitgerechte Buchung und Aufzeichnung, Ordnung und Unveränderbarkeit. Die Begriffe Wahrheit und Richtigkeit sind dabei sehr schwierig zu interpretieren und durch Systeme sicherzustellen, da sie eine Qualität der Aufzeichnungen beschreiben. Die anderorts gern aufgeführten Prinzipien wie verlustfreie Migration fehlen hier, sind aber explizit durch die abgedeckt. Wichtig ist, dass der Grundsatz der Ordnungsmäßigkeit nicht durch vermeintlich zu hohe Kosten oder fehlende Wirtschaftlichkeit eingeschränkt werden darf. Der Steuerpflichtige muss selbst alle notwendigen Maßnahmen zum Erhalt der Ordnungsmäßigkeit tragen. 193 Kommentar 3. Allgemeine Anforderungen (2) Die Gliederung der nach den Grundsätzen ist ein neues Strukturierungskonzept, das von den GoBS abweicht. Hierdurch ergibt sich auch eine neue Zuordnung der ursprünglichen Abschnitte der GoBS. Sie orientiert sich so auch an international gebräuchlichen Grundsätzen für Compliance- Anforderungen. Die fokussieren auf elektronsiche Unterlagen. Auf die Nutzung und Aufbewahrung von Papier wird nur an wenigen Stellen Bezug genommen. Grundsätzlich gilt: alle Unterlagen, die zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen im Einzelfall von Bedeutung sind, sind aufzubewahren. In einem elektronischen System erzeugte Daten und Dokumente sind im originären Ursprungsformat aufzubewahren. Dazugehörige elektronische Handels- oder Geschäftsbriefe und Buchungsbelege müssen in dem Format aufbewahrt werden, in dem sie empfangen wurden. Eine Wandlung in interne Formate, um die Auswertbarkeit und Lesbarmachung sicherzustellen, ist möglich. Das Scannen von papiergebundenen Unterlagen und deren anschließende Vernichtung ist möglich. 194 V2 97

98 2015 Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> Grundsatz der Nachvollziehbarkeit und Tz 2.1; explizit erwähnt, aber Nachprüfbarkeit ( 145 Absatz 1 AO, 238 nicht so ausführlich wie in den Absatz 1 Satz 2 und Satz 3 HGB) (1) [30] Die Verarbeitung der einzelnen Geschäftsvorfälle sowie das dabei angewandte Buchführungs- oder Aufzeichnungsverfahren müssen nachvollziehbar sein. Die Buchungen und die sonst erforderlichen Aufzeichnungen müssen durch einen Beleg nachgewiesen sein oder nachgewiesen werden können (Belegprinzip, siehe auch unter 4.). [31] Aufzeichnungen sind so vorzunehmen, dass der Zweck, den sie für die Besteuerung erfüllen sollen, erreicht wird. Damit gelten die nachfolgenden Anforderungen der progressiven und retrograden Prüfbarkeit - soweit anwendbar - sinngemäß. GDPdU 2001 implizit GoBS Grundsatz der Nachvollziehbarkeit und Tz. 2.1 und 2.2; besonders Tz. 6; Nachprüfbarkeit ( 145 Absatz 1 AO, 238 explizit Absatz 1 Satz 2 und Satz 3 HGB) (2) [32] Die Buchführung muss so beschaffen sein, dass sie einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Lage des Unternehmens vermitteln kann. Die Geschäftsvorfälle müssen sich in ihrer Entstehung und Abwicklung lückenlos verfolgen lassen (progressive und retrograde Prüfbarkeit). [33] Die progressive Prüfung beginnt beim Beleg, geht über die Grund(buch)aufzeichnungen und Journale zu den Konten, danach zur Bilanz mit Gewinn- und Verlustrechnung und schließlich zur Steueranmeldung bzw. Steuererklärung. Die retrograde Prüfung verläuft umgekehrt. Die progressive und retrograde Prüfung muss für die gesamte Dauer der Aufbewahrungsfrist und in jedem Verfahrensschritt möglich sein. GDPdU 2001 Nicht so klar formuliert 196 V2 98

99 2015 GoBS Grundsatz der Nachvollziehbarkeit und Tz. 6; nicht im Detail geregelt Nachprüfbarkeit ( 145 Absatz 1 AO, 238 Absatz 1 Satz 2 und Satz 3 HGB) (3) [34] Die Nachprüfbarkeit der Bücher und sonst erforderlichen Aufzeichnungen erfordert eine aussagekräftige und vollständige Verfahrensdokumentation (siehe unter 10.1), die sowohl die aktuellen als auch die historischen Verfahrensinhalte für die Dauer der Aufbewahrungsfrist nachweist und den in der Praxis eingesetzten Versionen des DV-Systems entspricht. [35] Die Nachvollziehbarkeit und Nachprüfbarkeit muss für die Dauer der Aufbewahrungsfrist gegeben sein. Dies gilt auch für die zum Verständnis der Buchführung oder Aufzeichnungen erforderliche Verfahrensdokumentation. GDPdU 2001 Nicht enthalten 197 Kommentar 3.1 Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit ( 145 Absatz 1 AO, 238 Absatz 1 Satz 2 und Satz 3 HGB) Es wird in diesem Abschnitt auf die progressive und die retrograde Prüfbarkeit abgehoben. Bestimmte Methoden sind Archivsystemen nur eingeschränkt nutzbar, da die Informationen nicht mehr in der ursprünglichen Programmumgebung liegen sondern in ein reines Verwaltungssystem ausgelagert worden sind. Dies kann besonders die Vollständigkeit von Geschäftsprozessen betreffen, die ursprünglich in verschiedenen Systemen verarbeitet wurden. Archivsysteme folgen dem Grundsatz, dass rückwirkend geprüft werden kann, ob alles richtig, ordnungsgemäß und vollständig (entsprechend den oben erwähnten Grundsätzen der ) abgespeichert wurde ( rückblickend = Revisionssicherheit). In Ziffer [34] wird explizit auf die Verfahrensdokumentation Bezug genommen. Die Nachprüfbarkeit der Bücher und sonstiger erforderlicher Aufzeichnungen erfordert eine aussagekräftige und vollständige Verfahrensdokumentation. Sie muss sowohl die historischen Bedingungen wie auch die aktuelle tatsächliche Situation der Aufbewahrungslösung vollständig und nachvollziehbar beschreiben. Die Verfahrensdokumentation unterliegt damit auch selbst den Aufbewahrungsfristen. 198 V2 99

100 2015 GoBS Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung (1) Vollständigkeit ( 146 Absatz 1 AO, 239 Absatz 2 HGB) Tz. 2.3, 2.7, 6.1 und 8.2; ähnlich; jedoch ohne die Einschränkung der Füllung von Datensätzen. [36] Die Geschäftsvorfälle sind vollzählig und lückenlos aufzuzeichnen (Grundsatz der Einzelaufzeichnungspflicht). Eine vollzählige und lückenlose Aufzeichnung von Geschäftsvorfällen ist auch dann gegeben, wenn zulässigerweise nicht alle Datenfelder eines Datensatzes gefüllt werden. GDPdU 2001 Nicht explizit GoBS Grundsätze der Wahrheit, Klarheit und Siehe oben; ähnlich fortlaufenden Aufzeichnung (2) Vollständigkeit ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [37] Die GoB erfordern in der Regel die Aufzeichnung jedes Geschäftsvorfalls - also auch jeder Betriebseinnahme und Betriebsausgabe, jeder Einlage und Entnahme - in einem Umfang, der eine Überprüfung seiner Grundlagen, seines Inhalts und seiner Bedeutung für den Betrieb ermöglicht. Das bedeutet nicht nur die Aufzeichnung der in Geld bestehenden Gegenleistung, sondern auch des Inhalts des Geschäfts und des Namens des Vertragspartners (BFH-Urteil vom 12. Mai 1966, BStBl III S. 372) - soweit zumutbar, mit ausreichender Bezeichnung des Geschäftsvorfalls (BFH-Urteil vom 1. Oktober 1969, BStBl 1970 II S. 45). Branchenspezifische Mindestaufzeichnungspflichten und Zumutbarkeitsgesichtspunkte sind zu berücksichtigen. GDPdU 2001 Nur implizit 200 V2 100

101 Kommentar Vollständigkeit ( 146 Absatz 1 AO, 239 Absatz 2 HGB) Es wird ein neuer Grundsatz benannt, die Einzelaufzeichnungspflicht, die vollständige und lückenlose Aufzeichnung aller Geschäftsvorfälle betrifft. Der zweite Satz bezieht sich auf den Index, unter dem die Aufzeichnungen verwaltet werden. Dieser muss nicht immer vollständig für jedes Geschäft ausgefüllt sein, wenn denn die vorgesehenen als obligatorisch vorgesehenen Angaben alle vorhanden sind. Dies erlaubt in Systemen eine einfachere Bündelung von Informationen zu einem Geschäftsvorfall ohne für jedes einzelne einen vollständigen Index-Datensatz anlegen zu müssen. Die Vollständigkeit ist also in zweierlei Hinsicht zu betrachten: a) die Vollständigkeit aller Geschäftsprozesse und b) die Vollständigkeit aller notwendigen Angaben zu einem Geschäftsvorfall Beispiel 3. 2 Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung (3) Zu Vollständigkeit ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [37] Beispiele: 2 zu branchenspezifisch entbehrlichen Aufzeichnungen und zur Zumutbarkeit: In einem Einzelhandelsgeschäft kommt zulässigerweise eine PC-Kasse ohne Kundenverwaltung zum Einsatz. Die Namen der Kunden werden bei Bargeschäften nicht erfasst und nicht beigestellt. - Keine Beanstandung. Bei einem Taxiunternehmer werden Angaben zum Kunden im Taxameter nicht erfasst und nicht beigestellt. - Keine Beanstandung. 202 V2 101

102 2015 GoBS Grundsätze der Wahrheit, Klarheit und Nicht so ausführlich fortlaufenden Aufzeichnung (4) Vollständigkeit ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [38] Dies gilt auch für Bareinnahmen; der Umstand der sofortigen Bezahlung rechtfertigt keine Ausnahme von diesem Grundsatz (BFH-Urteil vom 26. Februar 2004, BStBl II S. 599). [39] Aus Gründen der Zumutbarkeit und Praktikabilität hat der BFH in der Vergangenheit eine Pflicht der Einzelaufzeichnung für den Einzelhandel und vergleichbare Berufsgruppen verneint (BFH-Urteil vom 12. Mai 1966, BStBl III S. 372; z. B. bei einer Vielzahl von einzelnen Geschäften mit geringem Wert, Verkauf von Waren an der Person nach unbekannte Kunden über den Ladentisch gegen Barzahlung). GDPdU 2001 nicht spezifiziert Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> Grundsätze der Wahrheit, Klarheit und Nicht enthalten; bezieht sich fortlaufenden Aufzeichnung (5) auf ein späteres BMF-Schreiben Vollständigkeit ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [39] Werden elektronische Grund(buch)aufzeichnungen zur Erfüllung der Einzelaufzeichnungspflicht tatsächlich technisch, betriebswirtschaftlich und praktisch geführt, dann sind diese Daten auch aufzubewahren und in maschinell auswertbarer Form vorzulegen. Insoweit stellt sich die Frage der Zumutbarkeit und Praktikabilität nicht. Das BMF-Schreiben vom 5. April 2004 (IV D 2 - S /04, BStBl I S. 419) bleibt unberührt. GDPdU 2001 Abgeleitet aus den GDPdU; siehe auch maschinell auswertbar 204 V2 102

103 2015 Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> Grundsätze der Wahrheit, Klarheit und Tz. 6; auch Gegenstand des Tz. fortlaufenden Aufzeichnung (6) 4 IKS internes Kontrollsystem Vollständigkeit ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [40] Die vollständige und lückenlose Erfassung und Wiedergabe aller Geschäftsvorfälle ist bei DV- Systemen durch ein Zusammenspiel von technischen (einschließlich programmierten) und organisatorischen Kontrollen sicherzustellen (z. B. Erfassungskontrollen, Plausibilitätskontrollen bei Dateneingaben, inhaltliche Plausibilitätskontrollen, automatisierte Vergabe von Datensatznummern, Lückenanalyse oder Mehrfachbelegungsanalyse bei Belegnummern) GDPdU 2001 Nicht explizit GoBS Grundsätze der Wahrheit, Klarheit und Implizit in den GoBS fortlaufenden Aufzeichnung (7) Vollständigkeit ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [41] Ein und derselbe Geschäftsvorfall darf nicht mehrfach aufgezeichnet werden. GDPdU 2001 Nur implizit 206 V2 103

104 Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung (7) Zu Vollständigkeit ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [41] Ein und derselbe Geschäftsvorfall darf nicht mehrfach aufgezeichnet werden. Beispiel 3: Ein Wareneinkauf wird gewinnwirksam durch Erfassung des zeitgleichen Lieferscheins und später nochmals mittels Erfassung der (Sammel)Rechnung erfasst und verbucht. Keine mehrfache Aufzeichnung eines Geschäftsvorfalles in verschiedenen Systemen oder mit verschiedenen Kennungen (z.b. für Handelsbilanz, für steuerliche Zwecke) liegt vor, soweit keine mehrfache bilanzielle oder gewinnwirksame Auswirkung gegeben ist GoBS Grundsätze der Wahrheit, Klarheit und explizit fortlaufenden Aufzeichnung (8) Vollständigkeit ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [42] Zusammengefasste oder verdichtete Aufzeichnungen im Hauptbuch (Konto) sind zulässig, sofern sie nachvollziehbar in ihre Einzelpositionen in den Grund(buch)aufzeichnungen oder des Journals aufgegliedert werden können. Andernfalls ist die Nachvollziehbarkeit und Nachprüfbarkeit nicht gewährleistet. GDPdU 2001 Implizit [43] Die Erfassung oder Verarbeitung von tatsächlichen Geschäftsvorfällen darf nicht unterdrückt werden. So ist z. B. eine Bon- oder Rechnungserteilung ohne Registrierung der bar vereinnahmten Beträge (Abbruch des Vorgangs) in einem DV-System unzulässig. 208 V2 104

105 2015 Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> Grundsätze der Wahrheit, Klarheit und Implizit; jüngere Urteile fortlaufenden Aufzeichnung (9) konkretisieren die Anforderung Vollständigkeit ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [44] Geschäftsvorfälle sind in Übereinstimmung mit den tatsächlichen Verhältnissen und im Einklang mit den rechtlichen Vorschriften inhaltlich zutreffend durch Belege abzubilden (BFH-Urteil vom 24. Juni 1997, BStBl II 1998 S. 51), der Wahrheit entsprechend aufzuzeichnen und bei kontenmäßiger Abbildung zutreffend zu kontieren. GDPdU Kommentar 3.2 Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung Vollständigkeit ( 146 Absatz 1 AO, 239 Absatz 2 HGB) Der Abschnitt nimmt auch auf den Zusammenhang zwischen Buchung (Datensatz) und Beleg (Dokument) Bezug. Hier gab es früher wesentliche Unterschiede durch die Behandlung in den GoBS und GDPdU. Der Beleg muss der richtigen Buchung eindeutig zuordbar sein. Sind Datensätze und Belege in unterschiedlichen Systemen gespeichert, müssen Daten und zugehöriger Beleg durch einen eindeutigen Index mit einander verbunden sein. Die Beziehung zwischen Datensatz und Beleg darf nicht aufgelöst werden. Klarheit und Ordnungsmäßigkeit erfordern im Regelfall eine geordnete Verwaltung in deiner Indexdatenbank (meistens eine SQL-Datenbank). 210 V2 105

106 2015 GoBS Grundsätze der Wahrheit, Klarheit und Tz. 1, 3.1 und 4.2; ähnlich fortlaufenden Aufzeichnung (10) Zeitgerechte Buchungen und Aufzeichnungen ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [45] Das Erfordernis zeitgerecht zu buchen verlangt, dass ein zeitlicher Zusammenhang zwischen den Vorgängen und ihrer buchmäßigen Erfassung besteht (BFH-Urteil vom 25. März 1992, BStBl II S. 1010; BFH- Urteil vom 5. März 1965, BStBl III S. 285). [46] Jeder Geschäftsvorfall ist zeitnah, d. h. möglichst unmittelbar nach seiner Entstehung in einer Grundaufzeichnung oder in einem Grundbuch zu erfassen. Nach den GoB müssen die Geschäftsvorfälle grundsätzlich laufend gebucht werden (Journal). GDPdU 2001 implizit GoBS Grundsätze der Wahrheit, Klarheit und Siehe oben fortlaufenden Aufzeichnung (11) Zeitgerechte Buchungen und Aufzeichnungen ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [46] Es widerspricht dem Wesen der kaufmännischen Buchführung, sich zunächst auf die Sammlung von Belegen zu beschränken und nach Ablauf einer langen Zeit auf Grund dieser Belege die Geschäftsvorfälle in Grundaufzeichnungen oder Grundbüchern einzutragen (vgl. BFH-Urteil vom 10. Juni 1954, BStBl III S. 298). Die Funktion der Grund(buch)aufzeichnungen kann auf Dauer auch durch eine geordnete und übersichtliche Belegablage erfüllt werden ( 239 Absatz 4 HGB; 146 Absatz 5 AO; H 5.2 Grundbuchaufzeichnungen EStH). GDPdU 2001 Nur implizit 212 V2 106

107 2015 GoBS Grundsätze der Wahrheit, Klarheit und Siehe oben fortlaufenden Aufzeichnung (12) Zeitgerechte Buchungen und Aufzeichnungen ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [47] Jede nicht durch die Verhältnisse des Betriebs oder des Geschäftsvorfalls zwingend bedingte Zeitspanne zwischen dem Eintritt des Vorganges und seiner laufenden Erfassung in Grund(buch)aufzeichnungen ist bedenklich. Eine Erfassung von unbaren Geschäftsvorfällen innerhalb von zehn Tagen ist unbedenklich (vgl. BFH-Urteil vom 2. Oktober 1968, BStBl 1969 II S. 157; BFH-Urteil vom 26. März 1968, BStBl II S. 527 zu Verbindlichkeiten und zu Debitoren). GDPdU 2001 Nur implizit 213 Kommentar 3.2 Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung Zeitgerechte Buchungen und Aufzeichnungen ( 146 Absatz 1 AO, 239 Absatz 2 HGB) Geschäftsvorfälle sind zeitnah nach ihrer Entstehung zu erfassen. Der Begriff zeitgerecht taucht mehrfach auf und ist nur schwierig zu fassen, da meistens keine konkrete Zeitangabe gemacht wird. In diesem Bereich gab es zwischen den Entwürfen und der Endversion der einige Unterschiede. Für die Erfassung von unbaren Geschäftsvorfällen gibt es eine Frist von zehn Tagen. Die entsprechende Textpassage wurde zwar umformuliert, das Ergebnis bleibt aber so ziemlich das Gleiche, wenn man die vorherige und jetzige Version vergleicht: Vorherige Version: Länger als etwa zehn Tage darf ein unbarer Geschäftsvorfall grundsätzlich grundbuchmäßig nicht unerfasst bleiben. Jetzige Version: Eine Erfassung von unbaren Geschäftsvorfällen innerhalb von zehn Tagen ist unbedenklich. 214 V2 107

108 2015 Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> Grundsätze der Wahrheit, Klarheit und Anders zugeordnet, siehe auch fortlaufenden Aufzeichnung (13) Tz Zeitgerechte Buchungen und Aufzeichnungen ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [47] Wegen der Forderung nach zeitnaher chronologischer Erfassung der Geschäftsvorfälle ist zu verhindern, dass die Geschäftsvorfälle buchmäßig für längere Zeit in der Schwebe gehalten werden und sich hier-durch die Möglichkeit eröffnet, sie später anders darzustellen, als sie richtigerweise darzustellen gewesen wären, oder sie ganz außer Betracht zu lassen und im privaten, sich in der Buchführung nicht niederschlagenden Bereich abzuwickeln. Bei zeitlichen Abständen zwischen der Entstehung eines Geschäftsvorfalls und seiner Erfassung sind daher geeignete Maßnahmen zur Sicherung der Vollständigkeit zu treffen. GDPdU 2001 Nur implizit GoBS Grundsätze der Wahrheit, Klarheit und Siehe oben fortlaufenden Aufzeichnung (14) Zeitgerechte Buchungen und Aufzeichnungen ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [48] Kasseneinnahmen und Kassenausgaben sollen nach 146 Absatz 1 Satz 2 AO täglich festgehalten werden. [49] Es ist nicht zu beanstanden, wenn Waren- und Kostenrechnungen, die innerhalb von acht Tagen nach Rechnungseingang oder innerhalb der ihrem gewöhnlichen Durchlauf durch den Betrieb entsprechenden Zeit beglichen werden, kontokorrentmäßig nicht (z. B. Geschäftsfreundebuch, Personenkonten) erfasst werden (vgl. R 5.2 Absatz 1 EStR). GDPdU 2001 Nur implizit 216 V2 108

109 2015 GoBS Grundsätze der Wahrheit, Klarheit und Siehe oben fortlaufenden Aufzeichnung (15) Zeitgerechte Buchungen und Aufzeichnungen ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [50] Werden bei der Erstellung der Bücher Geschäftsvorfälle nicht laufend, sondern nur periodenweise gebucht bzw. den Büchern vergleichbare Aufzeichnungen der Nichtbuchführungspflichtigen nicht laufend, sondern nur periodenweise erstellt, dann ist dies unter folgenden Voraussetzungen nicht zu beanstanden: Die Erfassung der unbaren Geschäftsvorfälle eines Monats erfolgt bis zum Ablauf des folgenden Monats in den Büchern bzw. den Büchern vergleichbare Aufzeichnungen der Nichtbuchführungspflichtigen und GDPdU 2001 Nur implizit GoBS Grundsätze der Wahrheit, Klarheit und Siehe oben fortlaufenden Aufzeichnung (16) Zeitgerechte Buchungen und Aufzeichnungen ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [50] durch organisatorische Vorkehrungen ist sichergestellt, dass die Unterlagen bis zu ihrer Erfassung nicht verloren gehen, z. B. durch laufende Nummerierung der ein-gehenden und ausgehenden Rechnungen, durch Ablage in besonderen Mappen und Ordnern oder durch elektronische Grund(buch)aufzeichnungen in Kassensystemen, Warenwirtschaftssystemen, Fakturierungssystemen etc. GDPdU 2001 Nur implizit 218 V2 109

110 2015 GoBS Grundsätze der Wahrheit, Klarheit und Siehe oben fortlaufenden Aufzeichnung (17) Zeitgerechte Buchungen und Aufzeichnungen ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [51] Jeder Geschäftsvorfall ist periodengerecht der Abrechnungsperiode zuzuordnen, in der er angefallen ist. Zwingend ist die Zuordnung zum jeweiligen Geschäftsjahr oder zu einer nach Gesetz, Satzung oder Rechnungslegungszweck vorgeschriebenen kürzeren Rechnungsperiode. [52] Erfolgt die Belegsicherung oder die Erfassung von Geschäftsvorfällen unmittelbar nach Eingang oder Entstehung mittels DV-System (elektronische Grund(buch)aufzeichnungen), so stellt sich die Frage der Zumutbarkeit und Praktikabilität hinsichtlich der zeitgerechten Erfassung/Belegsicherung und längerer Fristen nicht. GDPdU 2001 Nur implizit GoBS Grundsätze der Wahrheit, Klarheit und Siehe oben fortlaufenden Aufzeichnung (18) Zeitgerechte Buchungen und Aufzeichnungen ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [52] Erfüllen die Erfassungen Belegfunktion bzw. dienen sie der Belegsicherung (auch für Vorsysteme, wie Kasseneinzelaufzeichnungen und Warenwirtschaftssystem), dann ist eine unprotokollierte Änderung nicht mehr zulässig (siehe unter 3.2.5). Bei zeitlichen Abständen zwischen Erfassung und Buchung, die über den Ablauf des folgenden Monats hinausgehen, sind die Ordnungsmäßigkeitsanforderungen nur dann erfüllt, wenn die Geschäftsvorfälle vorher fortlaufend richtig und vollständig in Grund(buch)aufzeichnungen oder Grundbüchern festgehalten werden. Zur Erfüllung der Funktion der Grund(buch)aufzeichnung vgl. Rz. 46. GDPdU 2001 Nur implizit 220 V2 110

111 Kommentar 3.2 Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung Zeitgerechte Buchungen und Aufzeichnungen ( 146 Absatz 1 AO, 239 Absatz 2 HGB) Der Begriff Zeitgerechtigkeit bot schon immer ein weites Feld für Interpretationen. Dies galt sowohl für die Verbuchung von Geschäften als auch für die Bereitstellung von Daten und Dokumenten im Rahmen einer Außenprüfung. Bei zeitlichen Abständen zwischen der Entstehung eines Geschäftsvorfalls und seiner Erfassung sind geeignete Maßnahmen zur Sicherung der Vollständigkeit zu treffen. Das bedeutet, dass die Bedingungen die in einem gesicherten Archiv für die Aufbewahrung herrschen auch für die Lösungen gelten müssen, in denen Informationen entstehen, empfangen oder bearbeitet werden. Mit den ist aber auch eine Erleichterung für kleinere Unternehmen eingeführt worden, die beispielsweise dem Umstand Rechnung trägt, dass ein Einzelunternehmer einmal die Woche alle Belege seinem Steuerberater zum Verbuchen sendet Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> Grundsätze der Wahrheit, Klarheit und Tz. 3 bei Buchung; dort auch das fortlaufenden Aufzeichnung (19) Ordnungsprinzip Ordnung ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [53] Der Grundsatz der Klarheit verlangt u. a. eine systematische Erfassung und übersichtliche, eindeutige und nachvollziehbare Buchungen. [54] Die geschäftlichen Unterlagen dürfen nicht planlos gesammelt und aufbewahrt werden. Ansonsten würde dies mit zunehmender Zahl und Verschiedenartigkeit der Geschäftsvorfälle zur Unübersichtlichkeit der Buchführung führen, einen jederzeitigen Abschluss unangemessen erschweren und die Gefahr erhöhen, dass Unterlagen verlorengehen oder später leicht aus dem Buchführungswerk entfernt werden können. GDPdU 2001 Nur implizit 222 V2 111

112 2015 GoBS Grundsätze der Wahrheit, Klarheit und Siehe oben fortlaufenden Aufzeichnung (20) Ordnung ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [54] Hieraus folgt, dass die Bücher und Aufzeichnungen nach bestimmten Ordnungsprinzipien geführt werden müssen und eine Sammlung und Aufbewahrung der Belege notwendig ist, durch die im Rahmen des Möglichen gewährleistet wird, dass die Geschäftsvorfälle leicht und identifizierbar feststellbar und für einen die Lage des Vermögens darstellenden Abschluss unverlierbar sind (BFH-Urteil vom 26. März 1968, BStBl II S. 527). GDPdU 2001 Siehe oben GoBS Grundsätze der Wahrheit, Klarheit und Siehe oben fortlaufenden Aufzeichnung (21) Ordnung ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [55] In der Regel verstößt die nicht getrennte Verbuchung von baren und unbaren Geschäftsvorfällen oder von nicht steuerbaren, steuerfreien und steuerpflichtigen Umsätzen ohne genügende Kennzeichnung gegen die Grundsätze der Wahrheit und Klarheit einer kaufmännischen Buchführung. Die nicht getrennte Aufzeichnung von nicht steuerbaren, steuerfreien und steuerpflichtigen Umsätzen ohne genügende Kennzeichnung verstößt in der Regel gegen steuerrechtliche Anforderungen (z. B. 22 UStG). GDPdU 2001 Siehe oben 224 V2 112

113 2015 GoBS Grundsätze der Wahrheit, Klarheit und Siehe oben fortlaufenden Aufzeichnung (22) Ordnung ( 146 Absatz 1 AO, 239 Absatz 2 HGB) [56] Bei der doppelten Buchführung sind die Geschäftsvorfälle so zu verarbeiten, dass sie geordnet darstellbar sind und innerhalb angemessener Zeit ein Überblick über die Vermögens- und Ertragslage gewährleistet ist. [57] Die Buchungen müssen einzeln und sachlich geordnet nach Konten dargestellt (Kontenfunktion) und unverzüglich lesbar gemacht werden können. Damit bei Bedarf für einen zurückliegenden Zeitpunkt ein Zwischenstatus oder eine Bilanz mit Gewinn- und Verlustrechnung aufgestellt werden kann, sind die Konten nach Abschlusspositionen zu sammeln und nach Kontensummen oder Salden fortzuschreiben (Hauptbuch, siehe unter 5.4). GDPdU 2001 Siehe oben 225 Kommentar 3.2 Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung Ordnung ( 146 Absatz 1 AO, 239 Absatz 2 HGB) Mit dem Begriff Ordnung verbinden sich die Konzepte der Richtigkeit, Klarheit, Wahrheit und der Identifizierbarkeit. Es wird weiterhin davon ausgegangen, dass alle relevanten Zugriffs- und Verwaltungsdaten in geordneten Tabellen (z.b. relationalen Datenbanken) strukturiert vorgehalten werden. Volltext oder Enterprise Search sind für die Anforderungen der fortlaufenden, lückenlosen, vollständigen, überprüfbaren und eindeutigen Identifizierung nicht sinnvoll einsetzbar. Es gilt immer genau den richtigen Datensatz und den richtigen Beleg zu finden. 226 V2 113

114 2015 GoBS Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung (23) Unveränderbarkeit ( 146 Absatz 4 AO, 239 Absatz 3 HGB) Mehrfach für Index, Scan-Ergebnis und Aufbewahrung als Grundprinzip genannt [58] Eine Buchung oder eine Aufzeichnung darf nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiss lässt, ob sie ursprünglich oder erst später gemacht worden sind ( 146 Absatz 4 AO, 239 Absatz 3 HGB). [59] Veränderungen und Löschungen von und an elektronischen Buchungen oder Aufzeichnungen (vgl. Rzn. 3 bis 5) müssen daher so protokolliert werden, dass die Voraussetzungen des 146 Absatz 4 AO bzw. 239 Absatz 3 HGB erfüllt sind (siehe auch unter 8). Für elektronische Dokumente und andere elektronische Unterlagen, die gem. 147 AO aufbewahrungspflichtig und nicht Buchungen oder Aufzeichnungen sind, gilt dies sinngemäß. GDPdU 2001 explizit Beispiel 3. 2 Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung (24) Zu Unveränderbarkeit ( 146 Absatz 4 AO, 239 Absatz 3 HGB) [59] Beispiel 4: Der Steuerpflichtige erstellt über ein Fakturierungssystem Ausgangsrechnungen und bewahrt die inhaltlichen Informationen elektronisch auf (zum Beispiel in seinem Fakturierungssystem). Die Lesbarmachung der abgesandten Handels- und Geschäftsbriefe aus dem Fakturierungssystem erfolgt jeweils unter Berücksichtigung der in den aktuellen Stamm- und Bewegungsdaten enthaltenen Informationen. 228 V2 114

115 2015 GoBS Grundsätze der Wahrheit, Klarheit und Siehe oben fortlaufenden Aufzeichnung (26) Unveränderbarkeit ( 146 Absatz 4 AO, 239 Absatz 3 HGB) [60] Der Nachweis der Durchführung der in dem jeweiligen Verfahren vorgesehenen Kontrollen ist u. a. durch Verarbeitungsprotokolle sowie durch die Verfahrensdokumentation (siehe unter 6. und unter 10.1) zu erbringen. GDPdU 2001 Siehe oben 229 Kommentar 3.2 Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung Unveränderbarkeit ( 146 Absatz 4 AO, 239 Absatz 3 HGB) Eine Buchung oder Aufzeichnung darf nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist Die Begriffe Löschen, Löschung, Unveränderbarkeit werden in den GoBS nur vereinzelt und nicht prominent aufgeführt. Die setzen hier ein neues Gewicht. Die Unveränderbarkeit spielt bei der elektronischen Archivierung eine besondere Rolle und wurde in der Vergangenheit durch nur einmal beschreibbare Medien, wie digitale optische Speicher (WORM-Medien), umgesetzt. WORM (write once read many) ist aber inzwischen als Verfahren zu verstehen, dass mit geeigneter Software auch auf Festplatten und anderen magnetischen Speichern implementiert werden kann. WORM meint nur noch die Sicherstellung der Nichtveränderbarkeit und Nichtlöschbarkeit während des vorgesehenen, z.b. durch Aufbewahrungsfristen definierten, Lebenszyklus von Information. Das notwendige Ersetzen von Informationsobjekten (Dokumenten, Datensätzen, Daten) hat wie in einer Buchhaltungssoftware nachvollziehbar zu geschehen. D.h. das ursprüngliche Objekt wird nicht gelöscht, sondern nur als ungültig markiert. Das neue Objekt verweist in seinem Index (Metadaten) auf das ursprüngliche Objekt, so dass der Prozess des Veränderns (im Prinzip Ersetzens) nachvollziehbar bleibt. Protokollierung und Verfahrensdokumentation für Prozesse wie Ändern und Löschen werden explizit benannt. 230 V2 115

116 2015 GoBS Belegwesen (Belegfunktion)(1) [61] Jeder Geschäftsvorfall ist urschriftlich bzw. als Kopie der Urschrift zu belegen. Ist kein Fremdbeleg vorhanden, muss ein Eigenbeleg erstellt werden. Zweck der Belege ist es, den sicheren und klaren Nachweis über den Zusammenhang zwischen den Vorgängen in der Realität einerseits und dem aufgezeichneten oder gebuchten Inhalt in Büchern oder sonst erforderlichen Aufzeichnungen und ihre Berechtigung andererseits zu erbringen (Belegfunktion). Auf die Bezeichnung als Beleg kommt es nicht an. Die Belegfunktion ist die Grundvoraussetzung für die Beweiskraft der Buchführung und sonst erforderlicher Aufzeichnungen. Sie gilt auch bei Einsatz eines DV- Systems. Tz. 2.2; explizit enthalten, aber noch sehr Papier-lastig in der Konzeption GDPdU 2001 nur implizit; Belege spielten ursprünglich in den GDPdU keine Rolle, da es zunächst nur um auswertbare Datensätze ging GoBS Belegwesen (Belegfunktion)(2) Tz. 2.2; ähnlich [62] Inhalt und Umfang der in den Belegen enthaltenen Informationen sind insbesondere von der Belegart (z. B. Aufträge, Auftragsbestätigungen, Bescheide über Steuern oder Gebühren, betriebliche Kontoauszüge, Gutschriften, Lieferscheine, Lohn- und Gehaltsabrechnungen, Barquittungen, Rechnungen, Verträge, Zahlungsbelege) und der eingesetzten Verfahren abhängig. [63] Empfangene oder abgesandte Handels- oder Geschäftsbriefe erhalten erst mit dem Kontierungsvermerk und der Verbuchung auch die Funktion eines Buchungsbelegs. GDPdU 2001 Nicht enthalten 232 V2 116

117 2015 GoBS Belegwesen (Belegfunktion)(3) [64] Zur Erfüllung der Belegfunktionen sind deshalb Angaben zur Kontierung, zum Ordnungskriterium für die Ablage und zum Buchungsdatum auf dem Papierbeleg erforderlich. Bei einem elektronischen Beleg kann dies auch durch die Verbindung mit einem Datensatz mit Angaben zur Kontierung oder durch eine elektronische Verknüpfung (z. B. eindeutiger Index, Barcode) erfolgen. Ein Steuerpflichtiger hat andernfalls durch organisatorische Maßnahmen sicherzustellen, dass die Geschäftsvorfälle auch ohne Angaben auf den Belegen in angemessener Zeit progressiv und retrograd nachprüfbar sind. Tz. 2.2; ähnlich; aber in den weiter ausgeführt GDPdU 2001 Nicht enthalten [65] Ein Buchungsbeleg in Papierform oder in elektronischer Form (z. B. Rechnung) kann einen oder mehrere Geschäftsvorfälle enthalten GoBS Belegwesen (Belegfunktion)(4) [66] Aus der Verfahrensdokumentation (siehe unter 10.1) muss ersichtlich sein, wie die elektronischen Belege erfasst, empfangen, verarbeitet, ausgegeben und aufbewahrt (zur Aufbewahrung siehe unter 9.) werden. Tz. 6; teilweise, aber nicht dediziert GDPdU 2001 Nicht enthalten 234 V2 117

118 Kommentar 4. Belegwesen (Belegfunktion) Der Beleg zur Buchung, in der Regel ein klassisches Dokument, war immer ein Schwerpunkt in den GoBS. In den GDPdU, diese eher Daten-orientiert, wurde die Verknüpfung zum Beleg erst in den Fragen-und-Antworten-Katalogen detaillierter aufgegriffen. Belege müssen Eindeutig mit der dazugehörigen Buchung verknüpft sein. Es kann aber z.b. ein Beleg zu mehreren Geschäftsvorfällen gehören genauso wie umgekehrt ein Geschäftsvorfall mehrere Belege haben kann. Dies ist in einer reinen Papier-basierten Organisation nicht abbildbar gewesen. Die machen keine Vorschrift mehr, in welcher Form ob analog oder digital der Beleg zu einer Buchung vorliegen muss. Elektronische und papiergebundene Belege werden (nahezu) gleichberechtigt angesehen. Papiergebundene Belege können gescannt und in das System elektronisch überführt werden. Es ist allerdings zu dokumentieren, wie dies geschieht siehe Themen Aufbewahrung und Verfahrensdokumentation. Die programminternen Regeln zu Generierung von Buchungen sind derart zu dokumentieren, dass das Änderungs- und Prüfungsverfahren für Änderungen, Löschungen, Stammdaten, Prozessregeln, Zugriffsschutz, Versionierung, Test etc. nachvollziehbar sind. Es ist auch der Nachweis zu führen, dass das Verfahren tatsächlich wie beschrieben eingesetzt wird GoBS Belegsicherung (1) ähnlich [67] Die Belege in Papierform oder in elektronischer Form sind zeitnah, d. h. möglichst unmittelbar nach Eingang oder Entstehung gegen Verlust zu sichern (vgl. zur zeitgerechten Belegsicherung unter 3.2.3, vgl. zur Aufbewahrung unter 9.). [68] Bei Papierbelegen erfolgt eine Sicherung z. B. durch laufende Nummerierung der eingehenden und ausgehenden Lieferscheine und Rechnungen, durch laufende Ablage in besonderen Mappen und Ordnern, durch zeitgerechte Erfassung in Grund(buch)aufzeichnungen oder durch laufende Vergabe eines Barcodes und anschließendes Scannen. GDPdU 2001 Nicht enthalten 236 V2 118

119 2015 GoBS Belegsicherung (2) Nicht explizit ausgeführt [69] Bei elektronischen Belegen (z. B. Abrechnung aus Fakturierung) kann die laufende Nummerierung automatisch vergeben werden (z. B. durch eine eindeutige Belegnummer). [70] Die Belegsicherung kann organisatorisch und technisch mit der Zuordnung zwischen Beleg und Grund(buch)aufzeichnung oder Buchung verbunden werden. GDPdU 2001 Nicht enthalten 237 Kommentar 4.1 Belegsicherung Der Begriff der Belegsicherung kommt in den GoBS noch nicht vor. Während die ersten beiden Abschnitte sich mit papiergebundenen Belegen beschäftigen, zielt der dritte auf eine geordnete elektronische Ablage. Die Verbindung zwischen Buchung und Beleg kann automatisiert erstellt werden und trägt damit gängigen Verfahren der Zuordung von Belegen zu Buchungssätzen Rechnung. Erstaunlicherweise wird an dieser Stelle kein Hinweis auf die Form der elektronischen Aufbewahrung gemacht. Auch der sonst mehrfach geforderte Zusammenhalt von Buchung zu Belegüber einen Index wird hier als kann beschrieben. 238 V2 119

120 2015 GoBS Zuordnung zwischen Beleg und Grund(buch)aufzeichnung oder Buchung (1) [71] Die Zuordnung zwischen dem einzelnen Beleg und der dazugehörigen Grund(buch)aufzeichnung oder Buchung kann anhand von eindeutigen Zuordnungsmerkmalen (z. B. Index, Paginiernummer, Dokumenten-ID) und zusätzlichen Identifikationsmerkmalen für die Papierablage oder für die Such- und Filtermöglichkeit bei elektronischer Beleg-ablage gewährleistet werden. Gehören zu einer Grund(buch)aufzeichnung oder Buchung mehrere Belege (z. B. Rechnung verweist für Menge und Art der gelieferten Gegenstände nur auf Lieferschein), bedarf es zusätzlicher Zuordnungs- und Identifikationsmerkmale für die Verknüpfung zwischen den Belegen und der Grund(buch)aufzeichnung oder Buchung. Tz. 3; ähnlich, hier ab nun mehr Bezug zur elektronischen Verwaltung der Informationen GDPdU 2001 nur implizit GoBS Zuordnung zwischen Beleg und Grund(buch)aufzeichnung oder Buchung (2) [72] Diese Zuordnungs- und Identifizierungsmerkmale aus dem Beleg müssen bei der Aufzeichnung oder Verbuchung in die Bücher oder Aufzeichnungen übernommen werden, um eine progressive und retrograde Prüfbarkeit zu ermöglichen. ähnlich, Detaillierung hinsichtlich der Prüfbarkeit in den ; jedoch ohne Hinweise auf retrograd und progressiv [73] Die Ablage der Belege und die Zuordnung zwischen Beleg und Aufzeichnung müssen in angemessener Zeit nachprüfbar sein. So kann z. B. Beleg- oder Buchungsdatum, Kontoauszugnummer oder Name bei umfangreichem Beleganfall mangels Eindeutigkeit in der Regel kein geeignetes Zuordnungsmerkmal für den einzelnen Geschäftsvorfall sein. GDPdU 2001 nur implizit 240 V2 120

121 2015 Beispiel Zu 4.2 Zuordnung zwischen Beleg und Grund(buch)aufzeichnung oder Buchung (3) [74] Beispiel 5: Ein Steuerpflichtiger mit ausschließlich unbaren Geschäftsvorfällen erhält nach Abschluss eines jeden Monats von seinem Kreditinstitut einen Kontoauszug in Papierform mit vielen einzelnen Kontoblättern. Für die Zuordnung der Belege und Aufzeichnungen erfasst der Unternehmer ausschließlich die Kontoauszugsnummer. Alleine anhand der Kontoauszugsnummer - ohne zusätzliche Angabe der Blattnummer und der Positionsnummer - ist eine Zuordnung von Beleg und Aufzeichnung oder Buchung in angemessener Zeit nicht nachprüfbar. 241 Kommentar 4.2 Zuordnung zwischen Beleg und Grund(buch)aufzeichnung oder Buchung Wesentlich konkreter als in den GoBS wird die schnelle Wiederauffindbarkeit und eindeutige Identifizierbarkeit von Buchungen und zugehörigen Belegen betont. Hierfür müssen ausreichend differenzierende Attribute und eine eindeutige Kennung (Dokumenten-ID, Index) vorhanden sein, um den richtigen Beleg zeitgerecht recherchieren zu können. In technischen Systemen wird im Idealfall der Beleg direkt von der Buchung aufgerufen und angezeigt. Diesem Konzept nähert sich auch der Begriff der Zeitgerechtigkeit immer mehr an. 242 V2 121

122 2015 GoBS Erfassungsgerechte Aufbereitung der Buchungsbelege (1) [75] Eine erfassungsgerechte Aufbereitung der Buchungsbelege in Papierform oder die entsprechende Übernahme von Beleginformationen aus elektronischen Belegen (Daten, Datensätze, elektronische Dokumente und elektronische Unterlagen) ist sicherzustellen. Diese Aufbereitung der Belege ist insbesondere bei Fremdbelegen von Bedeutung, da der Steuerpflichtige im Allgemeinen keinen Einfluss auf die Gestaltung der ihm zugesandten Handels- und Geschäftsbriefe (z. B. Eingangsrechnungen) hat. Implizit in Tz. 8; der Scanprozess war bereits im Anschreiben zu den GoBS beschrieben, aber nicht so detailliert und nicht explizit für die Erfassung anderer elektronischer Belege. Nicht direkt in den GoBS enthalten GDPdU 2001 Nicht enthalten [76] Wenn für Geschäftsvorfälle keine bildhaften Urschriften empfangen oder abgesandt, sondern elektronische Meldungen ausgestellt wurden (z. B. EDI), dann erfüllen diese Meldungen mit ihrem vollständigen Dateninhalt die Belegfunktion und müssen mit ihrem vollständigen Inhalt gespeichert und aufbewahrt werden Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> Erfassungsgerechte Aufbereitung der Nicht in dieser Form, Buchungsbelege (2) nicht so konkret [77] Jedem Geschäftsvorfall muss ein Beleg zugrunde liegen, mit folgenden Inhalten: Bezeichnung Eindeutige Belegnummer (z. B. Index, Paginiernummer, Dokumenten-ID, fortlaufende Rechnungsausgangsnummer) Begründung Angabe zwingend ( 146 Absatz 1 Satz 1 AO, vollständig, geordnet) Kriterium für Vollständigkeitskontrolle (Belegsicherung) Bei umfangreichem Beleganfall ist Zuordnung und Identifizierung regelmäßig nicht aus Belegdatum oder anderen Merkmalen eindeutig ableitbar. Sofern die Fremdbelegnummer eine eindeutige Zuordnung zulässt, kann auch diese verwendet werden. GDPdU 2001 Nicht enthalten 244 V2 122

123 2015 Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> Erfassungsgerechte Aufbereitung der Nicht in dieser Form, Buchungsbelege (3) nicht so konkret [77] Bezeichnung Begründung Belegaussteller und empfänger Soweit dies zu den branchenüblichen Mindestaufzeichnungspflichten gehört und keine Aufzeichnungserleichterun gen bestehen (z. B. 33 UStDV) GDPdU 2001 Nicht enthalten Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> Erfassungsgerechte Aufbereitung der Nicht in dieser Form, Buchungsbelege (4) nicht so konkret [77] Bezeichnung Begründung Betrag bzw. Mengen- oder Wertangaben, aus denen sich der zu buchende Betrag ergibt Währungsangabe und Wechselkurs bei Fremdwährung Angabe zwingend (BFH vom 12. Mai 1966, BStBl III S. 372); Dokumentation einer Veränderung des Anlage- und Umlaufvermögens sowie des Eigenund Fremdkapitals Ermittlung des Buchungsbetrags GDPdU 2001 Nicht enthalten Hinreichende Erläuterung des Geschäftsvorfalls Hinweis auf BFH-Urteil vom 12. Mai 1966, BStBl III S. 372; BFH-Urteil vom 1. Oktober 1969, BStBl II 1970 S V2 123

124 2015 Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> Erfassungsgerechte Aufbereitung der Nicht in dieser Form, Buchungsbelege (5) nicht so konkret [77] Bezeichnung Begründung Belegdatum Angabe zwingend ( 146 Absatz 1 Satz 1 AO, zeitgerecht). Identifikationsmerkmale für eine chronologische Erfassung, bei Bargeschäften regelmäßig Zeitpunkt des Geschäftsvorfalls. Evtl. zusätzliche Erfassung der Belegzeit bei umfangreichem Beleganfall erforderlich GDPdU 2001 Nicht enthalten Verantwortlicher Aussteller, soweit vorhanden Z. B. Bediener der Kasse Vgl. Rz. 85 zu den Inhalten der Grund(buch)aufzeichnungen. Vgl. Rz. 94 zu den Inhalten des Journals. 247 Kommentar 4.3 Erfassungsgerechte Aufbereitung der Buchungsbelege Jeder Geschäftsvorfall muss belegt, erfasst und verbucht werden. Welche Inhalte ein solcher Beleg haben muss, findet sich in den übersichtlich dargestellt. In den GoBS befand sich eine solche Aufstellung zum Scannen und Indexieren nur im Anschreiben ergänzend zum eigentlichen Text der GoBS. Ein Buchungstext ist nicht mehr zwingend erforderlich; eine hinreichende Erläuterung des Geschäftsvorfalls genügt. 248 V2 124

125 2015 Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> Erfassungsgerechte Aufbereitung der Nicht in dieser Form, Buchungsbelege (6) nicht so konkret [78] Für umsatzsteuerrechtliche Zwecke können weitere Angaben erforderlich sein. Dazu gehören beispielsweise die Rechnungsangaben nach 14, 14a UStG und 33 UStDV. [79] Buchungsbelege sowie abgesandte oder empfangene Handels- oder Geschäftsbriefe in Papierform oder in elektronischer Form enthalten darüber hinaus vielfach noch weitere Informationen, die zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen im Einzelfall von Bedeutung und damit ebenfalls aufzubewahren sind. Dazu gehören z. B.: GDPdU 2001 Nicht enthalten Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> Erfassungsgerechte Aufbereitung der Nicht in dieser Form, Buchungsbelege (7) nicht so konkret [79] Mengen- oder Wertangaben zur Erläuterung des Buchungsbetrags, sofern nicht bereits unter Rz. 77 berücksichtigt, Einzelpreis (z. B. zur Bewertung), Valuta, Fälligkeit (z. B. zur Bewertung), Angaben zu Skonti, Rabatten (z. B. zur Bewertung), Zahlungsart (bar, unbar), Angaben zu einer Steuerbefreiung. GDPdU 2001 Nicht enthalten 250 V2 125

126 Kommentar 4.3 Erfassungsgerechte Aufbereitung der Buchungsbelege Die Erfassung von Belegen und deren zugehörigen Daten ist deutlich detaillierter als in den GoBS beschrieben. Es werden neben dem Scannen auch andere originär elektronische Eingänge für Belege und Buchungsdaten berücksichtigt, als in den GoBS. Die Eingänge müssen in gleicher Qualität verarbeitet und verwaltet werden. Es wird kein Unterschied zwischen den verschiedenen Eingangskanälen, Formaten und Dokumenttypen gemacht. Besonderes Augenmerk wird auf die Tatsache gelenkt, dass bei Beleg-Eingängen von Dritten keine Kontrolle über die Vollständigkeit oder Richtigkeit der Angaben per se besteht, sondern das dies im empfangenden System sichergestellt werden muss GoBS Besonderheiten (1) In dieser Form nicht enthalten [80] Bei DV-gestützten Prozessen wird der Nachweis der zutreffenden Abbildung von Geschäftsvorfällen oft nicht durch konventionelle Belege erbracht (z. B. Buchungen aus Fakturierungssätzen, die durch Multiplikation von Preisen mit entnommenen Mengen aus der Betriebsdatenerfassung gebildet werden). Die Erfüllung der Belegfunktion ist dabei durch die ordnungsgemäße Anwendung des jeweiligen Verfahrens wie folgt nachzuweisen: Dokumentation der programminternen Vorschriften zur Generierung der Buchungen, Nachweis oder Bestätigung, dass die in der Dokumentation enthaltenen Vorschriften einem autorisierten Änderungsverfahren unterlegen haben (u. a. Zugriffsschutz, Versionsführung, Test- und Freigabeverfahren), Nachweis der Anwendung des genehmigten Verfahrens sowie Nachweis der tatsächlichen Durchführung der einzelnen Buchungen. GDPdU 2001 Nicht vorhanden 252 V2 126

127 2015 GoBS Besonderheiten (2) ähnlich [81] Bei Dauersachverhalten sind die Ursprungsbelege Basis für die folgenden Automatikbuchungen. Bei (monatlichen) AfA-Buchungen nach Anschaffung eines abnutzbaren Wirtschaftsguts ist der Anschaffungsbeleg mit der AfA- Bemessungsgrundlage und weiteren Parametern (z. B. Nutzungsdauer) aufbewahrungspflichtig. Aus der Verfahrensdokumentation und der ordnungsmäßigen Anwendung des Verfahrens muss der automatische Buchungsvorgang nachvollziehbar sein. GDPdU 2001 Nicht enthalten 253 Kommentar 4.4 Besonderheiten Einen Sammelabschnitt Besonderheiten gab es in den GoBS nicht. In Nummer [80] wird auf die Besonderheiten von Dokumentationen und Nachweisen eingegangen, die wiederum Auswirkungen auf die Verfahrensdokumentation haben oder direkt ihren Niederschlag in der Verfahrensdokumentation finden müssen. Direkt zur Verfahrensdokumentation gehören die Dokumentation der programminternen Vorschriften zur Generierung der Buchungen, der Nachweis oder die Bestätigung, dass die in der Dokumentation enthaltenen Vorschriften einem autorisierten Änderungsverfahren unterlegen haben (u. a. Zugriffsschutz, Versionsführung, Test- und Freigabeverfahren) und der Nachweis der Anwendung des genehmigten Verfahrens. In früheren Entwürfen der zu [81] war vorgesehen, dass die Aufbewahrungsfrist für einen Anschaffungsbeleg erst mit Ablauf der steuerlichen Nutzungsdauer beginnt. Diese Verschärfung wurde ersatzlos gestrichen. Eine solche erweiterte Aufbewahrungsfrist hätte nicht zum angestrebten Bürokratieabbau beigetragen (der u. a. durch verkürzte Aufbewahrungsfristen erreicht werden soll), sondern eher das Gegenteil bewirkt. Wichtig: Die gesetzlichen Vorschriften zu den Aufbewahrungspflichten im HGB und in der AO sind natürlich weiterhin zu beachten. Dass die jetzt nicht mehr auf Aufbewahrungsfristen hinweisen (in den GoBS Tz. 7), ändert daran nichts. 254 V2 127

128 2015 Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> 2 5. Aufzeichnung der Geschäftsvorfälle in Tz. 2 und 3; explizit zeitlicher Reihenfolge und in sachlicher Ordnung (Grund(buch)aufzeichnungen, Journal- und Kontenfunktion) (1) [82] Der Steuerpflichtige hat organisatorisch und technisch sicherzustellen, dass die elektronischen Buchungen und sonst erforderlichen elektronischen Aufzeichnungen vollständig, richtig, zeitgerecht und geordnet vorgenommen werden ( 146 Absatz 1 Satz 1 AO, 239 Absatz 2 HGB). Jede Buchung oder Aufzeichnung muss im Zusammenhang mit einem Beleg stehen (BFH-Urteil vom 24. Juni 1997, BStBl II 1998 S. 51). GDPdU 2001 Nur implizit Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> 2 5. Aufzeichnung der Geschäftsvorfälle in Tz. 2; explizit zeitlicher Reihenfolge und in sachlicher Ordnung (Grund(buch)aufzeichnungen, Journal- und Kontenfunktion) (2) [83] Bei der doppelten Buchführung müssen alle Geschäftsvorfälle in zeitlicher Reihenfolge (Grund(buch)aufzeichnung, Journalfunktion) und in sachlicher Gliederung (Hauptbuch, Kontenfunktion, siehe unter 5.4) darstellbar sein. Im Hauptbuch bzw. bei der Kontenfunktion verursacht jeder Geschäftsvorfall eine Buchung auf mindestens zwei Konten (Soll- und Habenbuchung). GDPdU 2001 Nicht enthalten 256 V2 128

129 2015 Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> 2 5. Aufzeichnung der Geschäftsvorfälle in Tz. 2; explizit zeitlicher Reihenfolge und in sachlicher Ordnung (Grund(buch)aufzeichnungen, Journal- und Kontenfunktion) (3) [84] Die Erfassung der Geschäftsvorfälle in elektronischen Grund(buch)aufzeichnungen (siehe unter 5.1 und 5.2) und die Verbuchung im Journal (siehe unter 5.3) kann organisatorisch und zeitlich auseinander fallen (z. B. Grund(buch)aufzeichnung in Form von Kassenauftragszeilen). Erfüllen die Erfassungen Belegfunktion bzw. dienen sie der Belegsicherung, dann ist eine unprotokollierte Änderung nicht mehr zulässig (vgl. Rz. 58 und 59). In diesen Fällen gelten die Ordnungsvorschriften bereits mit der ersten Erfassung der Geschäftsvorfälle und der Daten und müssen über alle nachfolgenden Prozesse erhalten bleiben (z. B. Übergabe von Daten aus Vor- in Hauptsysteme). GDPdU 2001 Nur implizit 257 Kommentar 5. Aufzeichnung der Geschäftsvorfälle in zeitlicher Reihenfolge und in sachlicher Ordnung (Grund(buch)aufzeichnungen, Journal- und Kontenfunktion) Die Protokollierung ist einer der Leitgedanken der für die Nachvollziehbarkeit. Neben den bereits erwähnten Aspekten der Zeitgerechtigkeit, Reihenfolge, Vollständigkeit und Ordnung kommen hier Journal- und Protokollanforderungen zum Tragen. Bei einem Journal handelt es sich nicht um das sogenannte Journaling bei E- Mail-Sicherungsverfahren. Alle Aktionen auf einem Aufbewahrungssystem sind zu protokollieren. Dies betrifft besonders Änderungen und die Übernahme von Informationen aus Vor- und Nebensystemen. 258 V2 129

130 2015 GoBS Erfassung in Grund(buch)aufzeichnungen (1) Tz. 2 und 3; ähnlich [85] Die fortlaufende Aufzeichnung der Geschäftsvorfälle erfolgt zunächst in Papierform oder in elektronischen Grund(buch)aufzeichnungen (Grundaufzeichnungsfunktion), um die Belegsicherung und die Garantie der Unverlierbarkeit des Geschäftsvorfalls zu gewährleisten. Sämtliche Geschäftsvorfälle müssen der zeitlichen Reihenfolge nach und materiell mit ihrem richtigen und erkennbaren Inhalt festgehalten werden. Zu den aufzeichnungspflichtigen Inhalten gehören die in Rz. 77, 78 und 79 enthaltenen Informationen, das Erfassungsdatum, soweit abweichend vom Buchungsdatum GDPdU 2001 Nicht enthalten GoBS Erfassung in Grund(buch)aufzeichnungen (2) [85] Begründung: o Angabe zwingend ( 146 Absatz 1 Satz 1 AO, zeitgerecht), Seite 20 o Zeitpunkt der Buchungserfassung und - verarbeitung, o Angabe der Festschreibung (Veränderbarkeit nur mit Protokollierung) zwingend, soweit nicht Unveränderbarkeit automatisch mit Erfassung und Verarbeitung in Grund(buch)aufzeichnung. Vgl. Rz. 94 zu den Inhalten des Journals. [86] Die Grund(buch)aufzeichnungen sind nicht an ein bestimmtes System gebunden. Jedes System, durch das die Geschäftsvorfälle fortlaufend, vollständig und richtig festgehalten werden, so dass die Grundaufzeichnungsfunktion erfüllt wird, ist ordnungsmäßig (vgl. BFH-Urteil vom 26. März 1968, BStBl II S. 527 für Buchführungspflichtige). Tz. 2 und 3; ähnlich, nur nicht so ausführlich GDPdU 2001 Nicht enthalten 260 V2 130

131 Kommentar 5.1 Erfassung in Grund(buch)aufzeichnungen Auch hier wird die Freiheit bei der Wahl des Systems betont, so lange es ordnungsmäßig ist. Es werden keine bestimmten Eigenschaften vorgeschrieben. Im Prinzip ist ein Zettelkasten oder eine Excel-Tabelle bei sehr, sehr geringen Buchungsmengen auch ein System. Der Begriff System sollte im Übrigen nicht allein im Sinne eines technischen Systems sondern eher umfassend als Systematik oder System inkl. der organsiatorischen und prozessualen Nutzung verstanden werden GoBS Digitale Grund(buch)aufzeichnungen (1) [87] Sowohl beim Einsatz von Haupt- als auch von Voroder Nebensystemen ist eine Verbuchung im Journal des Hauptsystems (z. B. Finanzbuchhaltung) bis zum Ablauf des folgenden Monats nicht zu beanstanden, wenn die einzelnen Geschäftsvorfälle bereits in einem Vor- oder Nebensystem die Grundaufzeichnungsfunktion erfüllen und die Einzeldaten aufbewahrt werden. [88] Durch Erfassungs-, Übertragungs- und Verarbeitungskontrollen ist sicherzustellen, dass alle Geschäftsvorfälle vollständig erfasst oder übermittelt werden und danach nicht unbefugt (d. h. nicht ohne Zugriffsschutzverfahren) und nicht ohne Nachweis des vorausgegangenen Zustandes verändert werden können. Die Durchführung der Kontrollen ist zu protokollieren. Die konkrete Ausgestaltung der Protokollierung ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur sowie des eingesetzten DV- Systems. Tz. 2 und 3; zum Teil nicht enthalten GDPdU 2001 Nicht enthalten 262 V2 131

132 2015 GoBS Digitale Grund(buch)aufzeichnungen (2) Tz. 6; nur ansatzweise betrachtet [89] Neben den Daten zum Geschäftsvorfall selbst müssen auch alle für die Verarbeitung erforderlichen Tabellendaten (Stammdaten, Bewegungsdaten, Metadaten wie z. B. Grund- oder Systemeinstellungen, geänderte Parameter), deren Historisierung und Programme gespeichert sein. Dazu gehören auch Informationen zu Kriterien, die eine Abgrenzung zwischen den steuerrechtlichen, den handelsrechtlichen und anderen Buchungen (z. B. nachrichtliche Datensätze zu Fremdwährungen, alternative Bewertungsmethoden, statistische Buchungen, GuV-Kontennullstellungen, Summenkonten) ermöglichen. GDPdU 2001 Nicht enthalten 263 Kommentar 5.2 Digitale Grund(buch)aufzeichnungen In diesem Kapitel ist fast alles neu. Zum einen ist bereits die Speicherung in Vor- und Neben-Systemen ausreichend wenn sie denn den Kriterien der Ordnungsmäßigkeit entspricht. Dann sind auch konsolidierte Daten in den zentralen Verwaltungssystemen ausreichend, sofern von Ihnen der Zugriff auf die unkomrimierten und ungefilterten Einzeldaten gewährleistet ist. Besonders interessant sind auch die nunmehr ausformulierten Anforderungen an die Dokumentation der Systeme selbst: Stammdaten, Bewegungsdaten, Metadaten wie z. B. Grund- oder Systemeinstellungen, geänderte Parameter), deren Historisierung und Programme gespeichert sein. Auch dies sind Anforderungen an die Verfahrensdokumentation. Letztlich lassen sie sich nur dann vollständig erfüllen, wenn die Systeme selbstdokumentierend sind und die Historisierung Bestandteil der Software ist (Verfahrensdokumentation sozusagen als Standard-Eigenanwendung eines Aufbewahrungssystems; siehe Abschnitt 8 dieser Dokumentation). 264 V2 132

133 2015 GoBS Verbuchung im Journal (Journalfunktion) (1) [90] Die Journalfunktion erfordert eine vollständige, zeitgerechte und formal richtige Erfassung, Verarbeitung und Wiedergabe der eingegebenen Geschäftsvorfälle. Sie dient dem Nachweis der tatsächlichen und zeitgerechten Verarbeitung der Geschäftsvorfälle. Tz. 2.3; enthalten, aber nicht so detailliert [91] Werden die unter 5.1 genannten Voraussetzungen bereits mit fortlaufender Verbuchung im Journal erfüllt, ist eine zusätzliche Erfassung in Grund(buch)aufzeichnungen nicht erforderlich. Eine laufende Aufzeichnung unmittelbar im Journal genügt den Erfordernissen der zeitgerechten Erfassung in Grund(buch)aufzeichnungen (vgl. BFH-Urteil vom 16. September 1964, BStBl III S. 654). GDPdU 2001 Nicht enthalten GoBS Verbuchung im Journal (Journalfunktion) (2) Siehe oben [91] Zeitversetzte Buchungen im Journal genügen nur dann, wenn die Geschäftsvorfälle vorher fortlaufend richtig und vollständig in Grundaufzeichnungen oder Grundbüchern aufgezeichnet werden. Die Funktion der Grund(buch) aufzeichnungen kann auf Dauer auch durch eine geordnete und übersichtliche Belegablage erfüllt werden ( 239 Absatz 4 HGB, 146 Absatz 5 AO, H 5.2 Grundbuchaufzeichnungen EStH; vgl. Rz. 46). [92] Die Journalfunktion ist nur erfüllt, wenn die gespeicherten Aufzeichnungen gegen Veränderung oder Löschung geschützt sind. GDPdU 2001 Siehe oben 266 V2 133

134 2015 GoBS Verbuchung im Journal (Journalfunktion) (3) Siehe oben [93] Fehlerhafte Buchungen können wirksam und nachvollziehbar durch Stornierungen oder Neubuchungen geändert werden (siehe unter 8.). Es besteht deshalb weder ein Bedarf noch die Notwendigkeit für weitere nachträgliche Veränderungen einer einmal erfolgten Buchung. Bei der doppelten Buchführung kann die Journalfunktion zusammen mit der Kontenfunktion erfüllt werden, indem bereits bei der erstmaligen Erfassung des Geschäftsvorfalls alle für die sachliche Zuordnung notwendigen Informationen erfasst werden. GDPdU 2001 Siehe oben [94] Zur Erfüllung der Journalfunktion und zur Ermöglichung der Kontenfunktion sind bei der Buchung insbesondere die nachfolgenden Angaben zu erfassen oder bereit zu stellen: 267 Kommentar 5.3 Verbuchung im Journal (Journalfunktion) Zu Nummer [94]: Zur Erfüllung der Journalfunktion und zur Ermöglichung der Kontenfunktion sind bei der Buchung bestimmte Angaben zu erfassen oder bereit zu stellen. Welche das sind, wird jetzt in einer Liste dargestellt. Diese ist aber nicht abschließend. 268 V2 134

135 2015 GoBS Verbuchung im Journal (Journalfunktion) (4) Tz. 2.3; deutlich konkreter als in den GoBS [94] Eindeutige Belegnummer (siehe Rz. 77), Buchungsbetrag (siehe Rz. 77), Währungsangabe und Wechselkurs bei Fremdwährung (siehe Rz. 77), Hinreichende Erläuterung des Geschäftsvorfalls (siehe Rz. 77) - kann (bei Erfüllung der Journal- und Kontenfunktion) im Einzelfall bereits durch andere in Rz. 94 aufgeführte Angaben gegeben sein, GDPdU 2001 Belegdatum, soweit nicht aus den Nicht enthalten Grundaufzeichnungen ersichtlich (siehe Rzn. 77 und 85) Buchungsdatum, Erfassungsdatum, soweit nicht aus der Grundaufzeichnung ersichtlich (siehe Rz. 85), GoBS Verbuchung im Journal (Journalfunktion) (5) Siehe oben [94] Autorisierung soweit vorhanden, Buchungsperiode/Voranmeldungszeitraum (Ertragsteuer/Umsatzsteuer), Umsatzsteuersatz (siehe Rz. 78), Steuerschlüssel, soweit vorhanden (siehe Rz. 78), Umsatzsteuerbetrag (siehe Rz. 78), Umsatzsteuerkonto (siehe Rz. 78), Umsatzsteuer-Identifikationsnummer (siehe Rz. 78), Steuernummer (siehe Rz. 78), Konto und Gegenkonto, Buchungsschlüssel (soweit vorhanden), Soll- und Haben-Betrag, GDPdU 2001 Siehe oben 270 V2 135

136 2015 GoBS Verbuchung im Journal (Journalfunktion) (6) Siehe oben [94] eindeutige Identifikationsnummer (Schlüsselfeld) des Geschäftsvorfalls (soweit Aufteilung der Geschäftsvorfälle in Teilbuchungssätze [Buchungs-Halbsätze] oder zahlreiche Soll- oder Habenkonten [Splitbuchungen] vorhanden). Über die einheitliche und je Wirtschaftsjahr eindeutige Identifikationsnummer des Geschäftsvorfalls muss die Identifizierung und Zuordnung aller Teilbuchungen einschließlich Steuer-, Sammel-, Verrechnungs- und Interimskontenbuchungen eines Geschäftsvorfalls gewährleistet sein. GDPdU 2001 Siehe oben 271 Kommentar 5.3 Verbuchung im Journal (Journalfunktion) Auch hier wird das Prinzip der Storno-Buchung erwähnt, das gleichermaßen auch in Aufbewahrungssystemen für Daten und Belege zu gelten hat. Interessant und neu ist die Anforderung, das Journale und Protokolle auch gegen Veränderung und Löschung geschützt sein müssen. Dies bedeutet, dass auch sie wie die Datensätze und Belege als eigenständige Objekte zu archivieren sind. Im Prinzip muss im Aufbewahrungssystem eine eigene kleine Anwendung zur Archivierung und Erschließung von Protokollen, Journalen, Posteingangsbücher, Logs etc., vorhanden sein. 272 V2 136

137 2015 GoBS Aufzeichnung der Geschäftsvorfälle in Tz 2.4 und 3; im Prinzip ähnlich sachlicher Ordnung (Hauptbuch) (1) [95] Die Geschäftsvorfälle sind so zu verarbeiten, dass sie geordnet darstellbar sind (Kontenfunktion) und damit die Grundlage für einen Überblick über die Vermögens- und Ertragslage darstellen. Zur Erfüllung der Kontenfunktion bei Bilanzierenden müssen Geschäftsvorfälle nach Sach- und Personenkonten geordnet dargestellt werden. [96] Die Kontenfunktion verlangt, dass die im Journal in zeitlicher Reihenfolge einzeln aufgezeichneten Geschäftsvorfälle auch in sachlicher Ordnung auf Konten dargestellt werden. Damit bei Bedarf für einen zurückliegenden Zeitpunkt ein Zwischenstatus oder eine Bilanz mit Gewinn- und Verlustrechnung aufgestellt werden kann, müssen Eröffnungsbilanzbuchungen und alle Abschlussbuchungen in den Konten enthalten sein. Die Konten sind nach Abschlussposition zu sammeln und nach Kontensummen oder Salden fortzuschreiben. GDPdU 2001 Nur implizit Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> Aufzeichnung der Geschäftsvorfälle in Siehe oben; Mapping-Tabellen gab sachlicher Ordnung (Hauptbuch) (2) in den GoBS nicht [97] Werden innerhalb verschiedener Bereiche des DV- Systems oder zwischen unterschiedlichen DV- Systemen differierende Ordnungskriterien verwendet, so müssen entsprechende Zuordnungstabellen (z. B. elektronische Mappingtabellen) vorgehalten werden (z. B. Wechsel des Kontenrahmens, unterschiedliche Nummernkreise in Vor- und Hauptsystem). Dies gilt auch bei einer elektronischen Übermittlung von Daten an die Finanzbehörde (z. B. unterschiedliche Ordnungskriterien in Bilanz/GuV und EÜR einerseits und USt-Voranmeldung, LSt-Anmeldung, Anlage EÜR und E-Bilanz andererseits). Sollte die Zuordnung mit elektronischen Verlinkungen oder Schlüsselfeldern erfolgen, sind die Verlinkungen in dieser Form vorzuhalten. GDPdU 2001 Siehe oben 274 V2 137

138 2015 GoBS Aufzeichnung der Geschäftsvorfälle in sachlicher Ordnung (Hauptbuch) (3) [98] Die vorstehenden Ausführungen gelten für die Nebenbücher entsprechend. Siehe oben; Verdichtung ; Vor- und Nebensysteme gab es in den GoBS nicht [99] Bei der Übernahme verdichteter Zahlen ins Hauptsystem müssen die zugehörigen Einzelaufzeichnungen aus den Vor- und Nebensystemen erhalten bleiben. GDPdU 2001 Siehe oben 275 Kommentar 5.4 Aufzeichnung der Geschäftsvorfälle in sachlicher Ordnung (Hauptbuch) Die Themen Verdichtung sowie Vor- und Nebensysteme wurden in den GoBS nicht benutzt. Das Thema Verdichtung wurde aus den Erfahrungen mit den Auswertungen im Rahmen der GDPdU abgeleitet. Auch die Begriffwe Haupt-, Vor und Nebensystem stammen aus den GDPdU bzw. aus den Fragen-und-Antworten-Katalogen zu den GDPdU. Interessant ist, das die weit aus mehr auf die technische Umsetzung Rücksicht nehmen, als dies in den GoBS beim Stand der Technik vor 20 Jahren möglich war. So beschäftigt sich die auch mit dem Mapping von Ordnungssystematiken (Verweisen von ursprünglichen Strukturen auf neue Strukturen) und Indexkriterien (Verweisen von usprünglichen Attributen auf neue, geänderte oder zusammengeführte Attribute). Die Mapping-Anforderung tritt immer auf a) bei der Harmonisierung mehrerer unterschiedlicher Systeme, und b) bei der Historisierung der Systeme über die Zeit, um die Veränderungen in Strukturen und Metadaten abbilden zu können. 276 V2 138

139 2015 GoBS Internes Kontrollsystem (IKS) (1) [100] Für die Einhaltung der Ordnungsvorschriften des 146 AO (siehe unter 3.) hat der Steuerpflichtige Kontrollen einzurichten, auszuüben und zu protokollieren. Hierzu gehören beispielsweise Tz. 4 sowie ergänzend Tz. 5 für Datensicherheit; bereits in den GoBS wesentliche Komponente Zugangs-und Zugriffsberechtigungskontrollen, auf Basis entsprechender Zugangs-und Zugriffsberechtigungskonzepte (z. B. spezifische Zugangs- und Zugriffsberechtigungen), Funktionstrennungen, Erfassungskontrollen (Fehlerhinweise, Plausibilitätsprüfungen), Abstimmungskontrollen bei der Dateneingabe, Verarbeitungskontrollen, Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen, Daten und Dokumenten. GDPdU 2001 Nur implizit durch Verweis auf GoBS GoBS Internes Kontrollsystem (IKS) (2) [100] Die konkrete Ausgestaltung des Kontrollsystems ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur sowie des eingesetzten DV-Systems. Siehe oben; ergänzend Systemwechsel [101] Im Rahmen eines funktionsfähigen IKS muss auch anlassbezogen (z. B. Systemwechsel) geprüft werden, ob das eingesetzte DV-System tatsächlich dem dokumentierten System entspricht (siehe Rz. 155 zu den Rechtsfolgen bei fehlender oder ungenügender Verfahrensdokumentation). GDPdU 2001 Siehe oben [102] Die Beschreibung des IKS ist Bestandteil der Verfahrensdokumentation (siehe unter 10.1). 278 V2 139

140 Kommentar 6.0 Internes Kontrollsystem (IKS) Das interne Kontrollsystem ist weiterhin wichtiger Bestandteil der Ordnungsmäßigkeit und in den GoBS in Tz. 5 sowie ergänzend in Tz. 6 Datensicherheit behandelt. Es betrifft nicht nur die Programmsysteme sondern alle Prozesse und die Organisation. System ist nicht als technisches System zu verstehen. Die Dokumentation des IKS ist wesentliche Komponente der Verfahrensdokumentation. Ebenso wie die Dokumentation der Umsetzung und Nachhaltung des Einsatzes des IKS. Angesichts der zahlreichen Hinweise auf Prüfungen in den verschiedenen Kapitel der ([40], [60], [70], [88], [100], [103]) empfiehlt es sich Checklisten anzulegen und diese regelmäßig abzuarbeiten GoBS Datensicherheit (1) Tz 6.; explizit [103] Der Steuerpflichtige hat sein DV-System gegen Verlust (z. B. Unauffindbarkeit, Vernichtung, Untergang und Diebstahl) zu sichern und gegen unberechtigte Eingaben und Veränderungen (z. B. durch Zugangs- und Zugriffskontrollen) zu schützen. [104] Werden die Daten, Datensätze, elektronischen Dokumente und elektronischen Unterlagen nicht ausreichend geschützt und können deswegen nicht mehr vorgelegt werden, so ist die Buchführung formell nicht mehr ordnungsmäßig. GDPdU 2001 implizit 280 V2 140

141 2015 Beispiel Zu 7.0 Datensicherheit (2) [105] Beispiel 6: Unternehmer überschreibt unwiderruflich die Finanzbuchhaltungsdaten des Vorjahres mit den Daten des laufenden Jahres. Die sich daraus ergebenden Rechtsfolgen sind vom jeweiligen Einzelfall abhängig GoBS Datensicherheit (2) Siehe oben [106] Die Beschreibung der Vorgehensweise zur Datensicherung ist Bestandteil der Verfahrensdokumentation (siehe unter 10.1). Die konkrete Ausgestaltung der Beschreibung ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur sowie des eingesetzten DV-Systems. GDPdU 2001 Siehe oben 282 V2 141

142 Kommentar 7.0 Datensicherheit Die fordern hier besondere Sorgfalt. Alle Maßnahmen zur Datensicherheit sowie Sicherung der Daten und Datenschutz sind Gegenstand der Verfahrensdokumentation. Alle relevanten Systeme, die Informationen enthalten, die den unterliegen, sind gegen Verlust und Zerstörung zu schützen. Dies kann eine Mehrfach-Auslegung erforderlich machen. Dies schließt Datensicherung, Backup und den Datenschutz selbst wie auch die Zugangssicherheit und das Berechtigungssystem ein. Die Anforderungen an die Dokumentation sind unabhängig davon, ob es sich um ein großes oder sehr kleines System handelt. Beim Outsourcing und bei Cloud-Lösungen wird die Beschreibung häufig vom Anbieter bereitgestellt. Dem Steuerpflichtigen obliegt es jedoch, diese regelmäßig zu prüfen und die Prüfung der Lösung zu dokumentieren, da er weiterhin verantwortlich im Sinne des HGB ist GoBS Unveränderbarkeit, Protokollierung von Tz. 5.5; in Teilen enthalten Änderungen (1) [107] Nach 146 Absatz 4 AO darf eine Buchung oder Aufzeichnung nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiss lässt, ob sie ursprünglich oder erst später gemacht worden sind. [108] Das zum Einsatz kommende DV-Verfahren muss die Gewähr dafür bieten, dass alle Informationen (Programme und Datenbestände), die einmal in den Verarbeitungsprozess eingeführt werden (Beleg, Grundaufzeichnung, Buchung), nicht mehr unterdrückt oder ohne Kenntlichmachung überschrieben, gelöscht, geändert oder verfälscht werden können. Bereits in den Verarbeitungsprozess eingeführte Informationen (Beleg, Grundaufzeichnung, Buchung) dürfen nicht ohne Kenntlichmachung durch neue Daten ersetzt werden. GDPdU 2001 Nur implizit 284 V2 142

143 2015 Beispiel Zu 8.0 Unveränderbarkeit, Protokollierung von Änderungen (2) [109] Beispiel 7 für unzulässige Vorgänge: Elektronische Grund(buch)aufzeichnungen aus einem Kassen- oder Warenwirtschaftssystem werden über eine Datenschnittstelle in ein Office Programm exportiert, dort unprotokolliert editiert und anschließend über eine Datenschnittstelle reimportiert. Vorerfassungen, Stapelbuchungen werden bis zur Erstellung des Jahresabschlusses und darüber hinaus offen gehalten. Alle Eingaben können daher unprotokolliert geändert werden GoBS Unveränderbarkeit, Protokollierung von Siehe oben Änderungen (3) [110] Die Unveränderbarkeit der Daten, Datensätze, elektronischen Dokumente und elektronischen Unterlagen (vgl. Rzn. 3 bis 5) kann sowohl hardwaremäßig (z. B. unveränderbare und fälschungssichere Datenträger) als auch softwaremäßig (z. B. Sicherungen, Sperren, Festschreibung, Löschmerker, automatische Protokollierung, Historisierungen, Versionierungen) als auch organisatorisch (z. B. mittels Zugriffsberechtigungskonzepten) gewährleistet werden. Die Ablage von Daten und elektronischen Dokumenten in einem Dateisystem erfüllt die Anforderungen der Unveränderbarkeit regelmäßig nicht, soweit nicht zusätzliche Maßnahmen ergriffen werden, die eine Unveränderbarkeit gewährleisten.. GDPdU 2001 II, Ziffer V2 143

144 2015 GoBS Unveränderbarkeit, Protokollierung von Siehe oben Änderungen (4) [111] Spätere Änderungen sind ausschließlich so vorzunehmen, dass sowohl der ursprüngliche Inhalt als auch die Tatsache, dass Veränderungen vorgenommen wurden, erkennbar bleiben. Bei programmgenerierten bzw. programmgesteuerten Aufzeichnungen (automatisierte Belege bzw. Dauerbelege) sind Änderungen an den der Aufzeichnung zugrunde liegenden Generierungs- und Steuerungsdaten ebenfalls aufzuzeichnen. Dies betrifft insbesondere die Protokollierung von Änderungen in Einstellungen oder die Parametrisierung der Software. GDPdU 2001 II, Ziffer; siehe oben GoBS Unveränderbarkeit, Protokollierung von Siehe oben Änderungen (5) [111] Bei einer Änderung von Stammdaten (z. B. Abkürzungs- oder Schlüsselverzeichnisse, Organisationspläne) muss die eindeutige Bedeutung in den entsprechenden Bewegungsdaten (z. B. Umsatzsteuerschlüssel, Währungseinheit, Kontoeigenschaft) erhalten bleiben. Ggf. müssen Stammdatenänderungen ausgeschlossen oder Stammdaten mit Gültigkeitsangaben historisiert werden, um mehrdeutige Verknüpfungen zu verhindern. Auch eine Änderungshistorie darf nicht nachträglich veränderbar sein.. GDPdU 2001 Siehe oben 288 V2 144

145 2015 GoBS Unveränderbarkeit, Protokollierung von Siehe oben Änderungen (6) [112] Werden Systemfunktionalitäten oder Manipulationsprogramme eingesetzt, die diesen Anforderungen entgegenwirken, führt dies zur Ordnungswidrigkeit der elektronischen Bücher und sonst erforderlicher elektronischer Aufzeichnungen. GDPdU 2001 Siehe oben Beispiel Zu 8.0 Unveränderbarkeit, Protokollierung von Änderungen (6) [112] Beispiel 8: Einsatz von Zappern, Phantomware, BackOffice Produkten mit dem Ziel unprotokollierter Änderungen elektronischer Einnahmenaufzeichnungen. 290 V2 145

146 Kommentar 8.0 Unveränderbarkeit, Protokollierung von Änderungen Die nachvollziehbare Protokollierung von Änderungen ist eine der Leitlinien der. Das Thema Unveränderbarkeit wird nochmals im Detail aufgegriffen, da offenbar die Erfahrungen der Finanzbehörden hier in der Vergangenheit auf viele Probleme gestoßen sind. Die Unveränderbarkeit kann durch entsprechende Hardware, Software oder organisatorische Vorkehrungen gewährleistet werden Spätere Änderungen sind so vorzunehmen, dass sowohl der ursprüngliche Inhalt als auch die Tatsache, dass Veränderungen vorgenommen wurden, erkennbar bleiben. Die Prinzipien, wie z.b. das Vorgehen bei Änderungen, waren bereits zuvor beschrieben worden. Dies gilt auch für die Anforderungen an die Protokollierung und die Archivierung der Protokolle. Auch hier spielt die Dokumentation der Entwicklung und der Veränderungen der Systemumgebung eine wichtige Rolle. Bei der Änderung von Stammdaten (z. B. Referenzen, Abkürzungen, Schlüssel) muss die eindeutige Bedeutung erhalten bleiben. Die Veränderungen werden in der Verfahrensdokumentation nachgehalten. Dies schließt Konfigurationsdetails, Parametrisierung, Historisierung von Stammdaten, Dokumentation von Index- und Ordnungskriterien und andere Eigenschaften ein, die geeignet sind Manipulationen an Informationen zu ermöglichen oder die Auffindbarkeit aller Informationen zu beeinträchtigen GoBS Aufbewahrung (1) [113] Der sachliche Umfang der Aufbewahrungspflicht in 147 Absatz 1 AO besteht grundsätzlich nur im Umfang der Aufzeichnungspflicht (BFH-Urteil vom 24. Juni 2009, BStBl II 2010 S. 452; BFH-Urteil vom 26. Februar 2004, BStBl II S. 599). In Teilen in Tz. 7 und 8; aber nicht explizit sondern nur im Prinzip bereits enthalten [114] Müssen Bücher für steuerliche Zwecke geführt werden, sind sie in vollem Umfang aufbewahrungsund vorlagepflichtig (z. B. Finanzbuchhaltung hinsichtlich Drohverlustrückstellungen, nicht abziehbare Betriebsausgaben, organschaftliche Steuerumlagen; BFH-Beschluss vom 26. September 2007, BStBl II 2008 S. 415). GDPdU 2001 III. Archivierung digitaler Unterlagen 292 V2 146

147 Kommentar 9.0 Aufbewahrung Prüfung digitaler Unterlagen In den GDPdU wurde zwischen zwei Arten von digitalen Unterlagen unterschieden: 1. Elektronische Abrechnungen im Sinne des 14 Abs. 4 Satz USTg 2. Sonstige aufbewahrungspflichtige Unterlagen Für die beiden Arten der Unterlagen wurden auch verschiedene Anfroderungen definiert. Bei den sonstigen aufbewahrungspflichtigen Unterlagen verwiesen die GDPdU auf die GoBS. Die Forderung der Nutzung der qualifizierten elektronischen Signatur bei elektronischen Rechnungen wurde 2009 abgeschafft GoBS Aufbewahrung (2) Siehe oben [115] Auch Steuerpflichtige, die nach 4 Absatz 3 EStG als Gewinn den Überschuss der Betriebseinnahmen über die Betriebsausgaben ansetzen, sind verpflichtet, Aufzeichnungen und Unterlagen nach 147 Absatz 1 AO aufzubewahren (BFH-Urteil vom 24. Juni 2009, BStBl II 2010 S. 452; BFH-Urteil vom 26. Februar 2004, BStBl II S. 599). [116] Aufbewahrungspflichten können sich auch aus anderen Rechtsnormen (z. B. 14b UStG) ergeben. [117] Die aufbewahrungspflichtigen Unterlagen müssen geordnet aufbewahrt werden. Ein bestimmtes Ordnungssystem ist nicht vorgeschrieben. Die Ablage kann z. B. nach Zeitfolge, Sachgruppen, Kontenklassen, Belegnummern oder alphabetisch erfolgen. Bei elektronischen Unterlagen ist ihr Eingang, ihre Archivierung und ggf. Konvertierung sowie die weitere Verarbeitung zu protokollieren. Es muss jedoch sichergestellt sein, dass ein sachverständiger Dritter innerhalb angemessener Zeit prüfen kann. GDPdU 2001 Siehe oben 294 V2 147

148 Kommentar 9.0 Aufbewahrung Qualifizierung der aufzubewahrenden Unterlagen Wie bereits bei den GDPdU häufig diskutiert, liegt die Bestimmung, was handelsrechtlichund steuerrechtlich relevant ist weiterhin beim Steuerpflichtigen. Dies betrifft sowohl Daten und Dokumente als auch andere aufbewahrungspflichtige Informationen wie Protokolle, Journale, Strukturinformationen etc. Zwar gibt es entsprechende Verzeichnisse von Dokumentenklassen mit Aufbewahrungsfristen, jedoch ist dies im Einzelfall für das unternehmen festzulegen. Dieses Verzeichnis wird in der Regel als Anhang in der Verfahrensdokumentation mitgeführt. Bei der Erstqualifikation und der jeweils notwendigen Überprüfung während der Nutzungsdauer der Lösung sind entsprechende Zugriffs- wie auch Schutzmaßnahmen zu treffen. Dies betrifft einerseits die Indizierung der Informationen, um den Zugriff und die Findbarkeit zu beschränken, andererseits bestimmte Berechtigungsprofile, die den Zugriff für die Prüfung entsprechend den Vorgaben ermöglichen. Eine Trennung von steuerrelevant und nicht steuerrelevant über ein Datenbankattribut ist sinnvoll. Es empfielt sich in einer Informationslandkarte alle Datenbestände im Unternehmen aufzunehmen und entsprechend der Relevanz zu klassifizieren. Dies schließt auch andere Kriterien als nur die Steuerrelevanz ein. Hierfür sind kontinuierliche Analysen und Bewertungen der Informationslandschaft im Unternehmen notwendig GoBS Aufbewahrung (3) Tz. 8; siehe oben [118] Die nach außersteuerlichen und steuerlichen Vorschriften aufzeichnungspflichtigen und nach 147 Absatz 1 AO aufbewahrungspflichtigen Unterlagen können nach 147 Absatz 2 AO bis auf wenige Ausnahmen auch als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden, wenn dies den GoB entspricht und sichergestellt ist, dass die Wiedergabe oder die Daten 1. mit den empfangenen Handels- oder Geschäftsbriefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden, 2. während der Dauer der Aufbewahrungsfrist jederzeit verfügbar sind, unverzüglich lesbar gemacht und maschinell ausgewertet werden können. GDPdU 2001 Siehe oben 296 V2 148

149 Kommentar 9.0 Aufbewahrung Bildlich vs. inhaltlich 147 AO unterscheidet zwischen bildlicher und inhaltlicher Übereinstimmung. Bei bildhafter Übereinstimmung ist ein qualitätsgesicherter Scan in Farbe erforderlich, der möglichst formatgetreu auf einem Drucker reproduzierbar ist. Ist nur eine inhaltliche Übereinstimmung gefordert - der Regelfall - wird auf eine vollständige Reproduzierbarkeit verzichtet. Ausgenommen sind besonders: a) Formatierungsinformationen wie Layout, Zeichensätze, Schriftfarbe. b) Hintergrundbilder und andere grafische Gestaltungselemente bei intern erstellten Dokumenten (z.b. COLD, Report, Korrespondenzdruck, Massen-Output) c) Firmenlogos und andere grafuische Gestaltungselemente, soweit bei der Wiedergabe sichergestellt ist, dass der Handels- oder Geschäftsbrief der zum Zeitpunkt der ursprünglichen Erstellung (Ausdruck für Versand) der verantwortlichen natürlichen oder juristischen Person richtig zugeordnet werden kann (Fußzeileneindruck mit Angaben nach EHUG) GoBS Aufbewahrung (4) Siehe oben [119] Sind aufzeichnungsund aufbewahrungspflichtige Daten, Datensätze, elektronische Dokumente und elektronische Unterlagen im Unternehmen entstanden oder dort eingegangen, sind sie auch in dieser Form aufzubewahren und dürfen vor Ablauf der Aufbewahrungsfrist nicht gelöscht werden. Sie dürfen daher nicht mehr ausschließlich in ausgedruckter Form aufbewahrt werden und müssen für die Dauer der Aufbewahrungsfrist unveränderbar erhalten bleiben (z. B. per eingegangene Rechnung im PDF-Format oder eingescannte Papierbelege). Dies gilt unabhängig davon, ob die Aufbewahrung im Produktivsystem oder durch Auslagerung in ein anderes DV-System erfolgt. Unter Zumutbarkeitsgesichtspunkten ist es nicht zu beanstanden, wenn der Steuerpflichtige elektronisch erstellte und in Papierform abgesandte Handels- und Geschäftsbriefe nur in Papierform aufbewahrt. GDPdU 2001 Siehe oben 298 V2 149

150 Kommentar 9.0 Aufbewahrung Der Abschnitt Aufbewahrung ist neu. In den GoBS war er nur indirekt in Tz. 8 enthalten. In den GDPdU gab es den Abschnitt III Archivierung digitaler Unterlagen. Der Begriff Archivierung wird aber nicht mehr verwendet sondern analog zu den GoBS durch Aufbewahrung ersetzt. Zu Nummer [119]: neu ist das elektronisch erstellte und in Papierform abgesandte Handels- und Geschäftsbriefe dürfen nur in Papierform aufbewahrt werden, wenn eine elektronische Aufbewahrung nicht zumutbar ist. Das originäre elektronische Format bekommt mehr Bedeutung als die Kopie auf Papier. Erfreulicherweise erläutert die Finanzverwaltung anhand einiger Beispiele, wann eine Aufbewahrung zumutbar ist und wann nicht. Wird z. B. eine Rechnung mit einem Textverarbeitungsprogramm erstellt und ausgedruckt und wird anschließend bei Erstellung einer neuen Rechnung die entsprechende Dokumentenvorlage überschrieben, soll eine elektronische Aufbewahrung nicht zumutbar sein. Werden die Briefe jedoch in elektronischer Form z. B. in einem File-System gespeichert, ist die elektronische Aufbewahrung zumutbar. Dies betrifft auch Nr. [133]. In den Beispilen werden auch Begriffe wie DMS verwendet, die ind en sonst aus Gründen der Technologieunabhängigkeit nicht verwendet werden Beispiel Zu 9.0 Aufbewahrung (5) [120] Beispiel 9 zu Rz. 119: Ein Steuerpflichtiger erstellt seine Ausgangsrechnungen mit einem Textverarbeitungsprogramm. Nach dem Ausdruck der jeweiligen Rechnung wird die hierfür verwendete Maske (Dokumentenvorlage) mit den Inhalten der nächsten Rechnung überschrieben. Es ist in diesem Fall nicht zu beanstanden, wenn das Doppel des versendeten Schreibens in diesem Fall nur als Papierdokument aufbewahrt wird. Werden die abgesandten Handelsund Geschäftsbriefe jedoch tatsächlich in elektronischer Form aufbewahrt (z. B. im File- System oder einem DMS-System), so ist eine ausschließliche Aufbewahrung in Papierform nicht mehr zulässig. Das Verfahren muss dokumentiert werden. Werden Handels- oder Geschäftsbriefe mit Hilfe eines Fakturierungssystems oder ähnlicher Anwendungen erzeugt, bleiben die elektronischen Daten aufbewahrungspflichtig. 300 V2 150

151 2015 GoBS Aufbewahrung (6) Nicht enthalten; siehe oben [121] Bei den Daten und Dokumenten ist - wie bei den Informationen in Papierbelegen - auf deren Inhalt und auf deren Funktion abzustellen, nicht auf deren Bezeichnung. So sind beispielsweise s mit der Funktion eines Handels- oder Geschäftsbriefs oder eines Buchungsbelegs in elektronischer Form aufbewahrungspflichtig. Dient eine nur als Transportmittel, z. B. für eine angehängte elektronische Rechnung, und enthält darüber hinaus keine weitergehenden aufbewahrungspflichtigen Informationen, so ist diese nicht aufbewahrungspflichtig (wie der bisherige Papierbriefumschlag). GDPdU 2001 Siehe oben 301 Kommentar 9.0 Aufbewahrung (1) Der Abschnitt 9 Aufbewahrung ist deutlich umfangreicher gehalten als in den GoBS und bezieht auch die jüngere Rechtsprechung ein. Er konzentriert sich auf die elektronische Aufbewahrung. Neu ist die Regelung, dass s nur dann aufbewahrungspflichtig sind, wenn sie selbst steuerrechtlich relevante Information enthalten. Sind sie nur Transortmittel, so müssen sie nicht aufbewahrt werden. Hier sollte jedoch der Anwender prüfen, ob die nicht unter die weichen Kriterien der Dokumente im Umfeld gehören könnte, da sie unter Umständen wichtige Datum- oder Herkunftsangaben enthalten kann. Es wird kein Unterschied mehr gemacht, ob die Daten und Dokumente in einem Produktivsystem vorgehalten werden (z.b. ein ERP) oder in ein externes System ausgelagert wurden (Archivsystem). Elektronisch erhaltene oder erzeugte Dokumente sind auch elektronisch aufzubewahren. Die Aufbewahrung in Papier auch elektronisch entstandener Dokumente ist dann zulässig, wenn die elektronische Speicherung der Steuerpflichtigen nicht zugemutet werden kann. 302 V2 151

152 Kommentar 9.0 Aufbewahrung (2) Im Beispiel wird wiederum auf die Notwendigkeit der Verfahrensdokumentation hingewiesen, die sich als Leitlinie durch die zieht. Wesentlich ist weiterhin die Prüfbarkeit durch einen unabhängigen Dritten (in der Regel der Außenprüfer, gilt aber auch für interne Revisoren, Wirtschaftsprüfer und Gutachter). Ohne dass die explizit erwähnt wird, gilt für die Integrität eines revisionssicheren elektronischen Archivierungssystems, dass Dokumente und Daten sicher gespeichert, fehlerfrei und eindeutig indiziert und vor Verfälschungen und Verlust geschützt sind. Eine Aufbewahrung von Aufzeichnungen, die den unterliegen, im Ausland, ist nur in zugelassen Ländern und auf Antrag beim zuständigen Finanzamt möglich. Bei einer Speicherung in einem System im Ausland sind die gleichen rechtlichen Bedingungen einzuhalten wie in Deutschland. Hier sind entsprechende zusätzliche Ausführungen ind er Verfahrensdokumentation und weitere Prüffelder notwendig GoBS Aufbewahrung (7) Siehe oben [122] Ein elektronisches Dokument ist mit einem nachvollziehbaren und eindeutigen Index zu versehen. Der Erhalt der Verknüpfung zwischen Index und elektronischem Dokument muss während der gesamten Aufbewahrungsfrist gewährleistet sein. Es ist sicherzustellen, dass das elektronische Dokument unter dem zugeteilten Index verwaltet werden kann. Stellt ein Steuerpflichtiger durch organisatorische Maßnahmen sicher, dass das elektronische Dokument auch ohne Index verwaltet werden kann, und ist dies in angemessener Zeit nachprüfbar, so ist aus diesem Grund die Buchführung nicht zu beanstanden. GDPdU 2001 Siehe oben 304 V2 152

153 2015 GoBS Aufbewahrung (8) Siehe oben [123] Das Anbringen von Buchungsvermerken, Indexierungen, Barcodes, farblichen Hervorhebungen usw. darf - unabhängig von seiner technischen Ausgestaltung - keinen Einfluss auf die Lesbarmachung des Originalzustands haben. Die elektronischen Bearbeitungsvorgänge sind zu protokollieren und mit dem elektronischen Dokument zu speichern, damit die Nachvollziehbarkeit und Prüfbarkeit des Originalzustands und seiner Ergänzungen gewährleistet ist. GDPdU 2001 Siehe oben [124] Hinsichtlich der Aufbewahrung digitaler Unterlagen bei Bargeschäften wird auf das BMF-Schreiben vom 26. November 2010 (IV A 4 - S 0316/08/ , BStBl I S. 1342) hingewiesen. 305 Kommentar 9.0 Aufbewahrung (3) Daten und Dokumente müssen maschinell auswertbar vorgehalten werden: (1) mathematisch-technisch - bei strukturierten Datensätzen verarbeitungsfähig (z.b. mit IDEA, obwohl dieses nicht erwähnt wird), (2) Volltext - bei schwachstrukturierten Dokumenten eine Recherchierfähigkeit (3) Nachverfolgung und Prüfung maschinell im erweiterten Sinn mit direktem Zugriff über einen Index, Nachverfolgung von Links oder einfach Bildschirmprüfung durch Lesen. Das Versehen mit einem eindeutigen Index für den Zugriff ist auch hier eine wesentliche Komponente und ein grundsätzliches Anliegen der Ordnungsmäßigkeit. Man kann daraus ableiten: ohne Metadaten und eindeutigen Index keine Ordnungsmäßigkeit. Unveränderbarkeit wird durch Software und Berechtigungssysteme sichergestellt. WORM ist als Verfahren nicht als Medientechnologie aufzufassen. Die Nachvollziehbarkeit muss auch bei technischen Verfahren wie Barcode oder anderer Kodierung sichergestellt sein. Dies gilt besonders wenn vor der Erfassung oder bei der Erfassung Vermerke auf den Belegen aufgebracht werden, die die Lesbarkeit oder den Original-Charakter beeinträchtigen können. 306 V2 153

154 2015 GoBS Maschinelle Auswertbarkeit ( 147 Absatz 2 Nicht enthalten Nummer 2 AO) (1) [125] Art und Umfang der maschinellen Auswertbarkeit sind nach den tatsächlichen Informations- und Dokumentationsmöglichkeiten zu beurteilen. GDPdU 2001 II. Prüfbarkeit digitaler Unterlagen War in den GDPdU unklar formuliert Beispiel Zu 9.1 Maschinelle Auswertbarkeit ( 147 Absatz 2 Nummer 2 AO) (1) [125] Beispiel 10: Neues Datenformat für elektronische Rechnungen ZUGFeRD (Zentraler User Guide des Forums elektronische Rechnung Deutschland) Hier ist vorgesehen, dass Rechnungen im PDF/A-3-Format versendet werden. Diese bestehen aus einem Rechnungsbild (dem augenlesbaren, sichtbaren Teil der PDF-Datei) und den in die PDF-Datei eingebetteten Rechnungsdaten im standardisierten XML-Format. Entscheidend ist hier jetzt nicht, ob der Rechnungsempfänger nur das Rechnungsbild (Image) nutzt, sondern, dass auch noch tatsächlich XML-Daten vorhanden sind, die nicht durch eine Formatumwandlung (z. B. in TIFF) gelöscht werden dürfen. Die maschinelle Auswertbarkeit bezieht sich auf sämtliche Inhalte der PDF/A-3-Datei. 308 V2 154

155 Kommentar 9.1 Maschinelle Auswertbarkeit ( 147 Absatz 2 Nummer 2 AO) Beispiel 10: ZUGFeRD Die sind (weitgehend) technologieunabhängig formuliert. Auf aktuelle technische Verfahren wird nur ind en Beispielen Bezug genommen. Auch wenn die den deutschen Standard ZUGFeRD für elektronische Rechnungen nicht verlangen oder empfehlen, wird ZUGFeRD in dem Beispiel 10 benutzt, um die verschiedenen Aspekte der Auswertbarkeit zu erläutern. Alle Komponenten im PDF/3 müssen auffindbar sein. Der XML-Datensatz ist das Entscheidende. Er muss richtig, vollständig und verarbeitungsfähig sein, da er das eigentliche Rechnungsoriginal darstellt. Das zusätzlich beigefügte PDF, Word oder TIFF der Rechnung ist im Prinzip nur eine Anzeigekopie. Elektronische Rechnungen in jedwedem Format sind auch elektronisch aufzubewahren GoBS Maschinelle Auswertbarkeit ( 147 Absatz 2 Siehe oben Nummer 2 AO) (2) [126] Eine maschinelle Auswertbarkeit ist nach diesem Beurteilungsmaßstab bei aufzeichnungsund aufbewahrungspflichtigen Daten, Datensätzen, elektronischen Dokumenten und elektronischen Unterlagen (vgl. Rzn. 3 bis 5) u. a. gegeben, die mathematisch-technische Auswertungen ermöglichen, eine Volltextsuche ermöglichen, auch ohne mathematisch-technische Auswertungen eine Prüfung im weitesten Sinne ermöglichen (z. B. Bildschirmabfragen, die Nachverfolgung von Verknüpfungen und Verlinkungen oder die Textsuche nach bestimmten Eingabekriterien). GDPdU 2001 Deutlich konkreter als in den GDPdU, siehe oben 310 V2 155

156 2015 GoBS Maschinelle Auswertbarkeit ( 147 Absatz 2 Siehe oben Nummer 2 AO) (3) [127] Mathematisch-technische Auswertung bedeutet, dass alle in den aufzeichnungsund aufbewahrungspflichtigen Daten, Datensätzen (vgl. Rzn. 3 bis 5) enthaltenen Informationen automatisiert (DV-gestützt) interpretiert, dargestellt, verarbeitet sowie für andere Datenbankanwendungen und eingesetzter Prüfsoftware direkt, ohne weitere Konvertierungs- und Bearbeitungsschritte und ohne Informationsverlust nutzbar gemacht werden können (z. B. für wahlfreie Sortier-, Summier-, Verbindungsund Filterungsmöglichkeiten). GDPdU 2001 Deutlich konkreter als in den GDPdU, siehe oben GoBS Maschinelle Auswertbarkeit ( 147 Absatz 2 Siehe oben Nummer 2 AO) (4) [127] Mathematisch-technische Auswertungen sind z. B. möglich bei: Elektronischen Grund(buch)aufzeichnungen (z. B. Kassendaten, Daten aus Warenwirtschaftssystem, Inventurlisten), Journaldaten aus Finanzbuchhaltung oder Lohnbuchhaltung, Textdateien oder Dateien aus Tabellenkalkulationen mit strukturierten Daten in tabellarischer Form (z. B. Reisekostenabrechnung, Überstundennachweise). GDPdU 2001 Deutlich konkreter als in den GDPdU, siehe oben 312 V2 156

157 2015 GoBS Maschinelle Auswertbarkeit ( 147 Absatz 2 Siehe oben Nummer 2 AO) (5) [128] Neben den Daten in Form von Datensätzen und den elektronischen Dokumenten sind auch alle zur maschinellen Auswertung der Daten im Rahmen des Datenzugriffs notwendigen Strukturinformationen (z. B. über die Dateiherkunft [eingesetztes System], die Dateistruktur, die Datenfelder, verwendete Zeichensatztabellen) in maschinell auswertbarer Form sowie die internen und externen Verknüpfungen vollständig und in unverdichteter, maschinell auswertbarer Form aufzubewahren. Im Rahmen einer Datenträgerüberlassung ist der Erhalt technischer Verlinkungen auf dem Datenträger nicht erforderlich, sofern dies nicht möglich ist. GDPdU 2001 Deutlich konkreter als in den GDPdU, siehe oben GoBS Maschinelle Auswertbarkeit ( 147 Absatz 2 Nicht enthalten Nummer 2 AO) (6) [129] Die Reduzierung einer bereits bestehenden maschinellen Auswertbarkeit, beispielsweise durch Umwandlung des Dateiformats oder der Auswahl bestimmter Aufbewahrungsformen, ist nicht zulässig (siehe unter 9.2). Eine Umwandlung in ein anderes Format (z. B. Inhouse-Format) ist zulässig, wenn die maschinelle Auswertbarkeit nicht eingeschränkt wird und keine inhaltliche Veränderung vorgenommen wird (siehe Rz. 135). Der Steuerpflichtige muss dabei auch berücksichtigen, dass entsprechende Einschränkungen in diesen Fällen zu seinen Lasten gehen können (z. B. Speicherung einer als PDF-Datei. Die Informationen des Headers [z. B. Informationen zum Absender] gehen dabei verloren und es ist nicht mehr nachvollziehbar, wie der tatsächliche Zugang der erfolgt ist). GDPdU 2001 II, Ziffer 2; nur am Rande behandelt 314 V2 157

158 2015 Beispiel Zu 9.1 Maschinelle Auswertbarkeit ( 147 Absatz 2 Nummer 2 AO) (6) [129] Beispiel 11: Umwandlung von PDF/A-Dateien ab der Norm PDF/A-3 in ein Bildformat (z. B. TIFF, JPEG etc.), da dann die in den PDF/A-Dateien enthaltenen XML-Daten und ggf. auch vorhandene Volltextinformationen gelöscht werden. Umwandlung von elektronischen Grund(buch)aufzeichnungen (z. B. Kasse, Warenwirtschaft) in ein PDF-Format. Umwandlung von Journaldaten einer Finanzbuchhaltung oder Lohnbuchhaltung in ein PDF-Format. 315 Kommentar 9.1 Maschinelle Auswertbarkeit ( 147 Absatz 2 Nummer 2 AO) Das Thema maschinelle Auswertbarkeit gab auf Grund der in den GDPdU nicht näher spezifizierten Funktionalität Anlass zu vielen Diskussionen und wurde mehrfach geändert in den Fragen-und-Antworten-Katalogen behandelt. Es ist nunmehr deutlich differenzierter dargestellt und betrifft nunmehr alle Formen von strukturierten (Datensätzen), schwach strukturierten (z.b. Textverabreitungsdateien) und unstrukturierten (gesannten Bildern als TIFF oder PDF) Informationsobjekten. Was ursprünglich maschinell im Sinne von technisch/mathematisch auswertbar vorlag, darf nicht in ein nicht auswertbares Format (proprietär oder Bild) gewandelt werden. Der korrekten Identifizierbarkeit wird besonderes Augenmerk geschenkt. Alle verfügbaren Möglichkeiten zur Auswertung in der Software einschließlich Filterung, Sortierung, usw. sind bereitzuhalten. 316 V2 158

159 2015 GoBS Elektronische Aufbewahrung (1) Nicht in dieser Tiefe behandelt [130] Werden Handels- oder Geschäftsbriefe und Buchungsbelege in Papierform empfangen und danach elektronisch erfasst (scannen), ist das Scanergebnis so aufzubewahren, dass die Wiedergabe mit dem Original bildlich übereinstimmt, wenn es lesbar gemacht wird. Werden gescannte Dokumente per Optical-Character-Recognition- Verfahren (OCR-Verfahren) um Volltextinformationen angereichert (zum Beispiel volltextrecherchierbare PDFs), so ist dieser Volltext nach Verifikation und Korrektur über die Dauer der Aufbewahrungsfrist aufzubewahren und auch für Prüfzwecke verfügbar zu machen. GDPdU 2001 Nicht vorhanden GoBS Elektronische Aufbewahrung (2) Nicht in dieser Tiefe behandelt [131] Eingehende elektronische Handels- oder Geschäftsbriefe und Buchungsbelege müssen in dem Format aufbewahrt werden, in dem sie empfangen wurden (z. B. Rechnungen oder Kontoauszüge im PDF- oder Bildformat). Eine Umwandlung in ein anderes Format (z. B. MSG in PDF) ist dann zulässig, wenn die maschinelle Auswertbarkeit nicht eingeschränkt wird und keine inhaltlichen Veränderungen vorgenommen werden (siehe Rz. 135). Erfolgt eine Anreicherung der Bildinformationen, z. B. durch OCR (Beispiel: Erzeugung einer volltextrecherchierbaren PDF-Datei im Erfassungsprozess), sind die dadurch gewonnenen Informationen nach Verifikation und Korrektur ebenfalls aufzubewahren. GDPdU 2001 Nicht vorhanden 318 V2 159

160 Kommentar 9.2 Elektronische Aufbewahrung Zu Nummer [131]: Eingehende elektronische Handels- oder Geschäftsbriefe und Buchungsbelege müssen in dem Format aufbewahrt werden, in dem sie empfangen wurden (z. B. PDF). Diese Regel wurde insoweit ergänzt, dass eine Umwandlung in ein anderes Format zulässig ist, wenn die maschinelle Auswertbarkeit nicht eingeschränkt und keine inhaltliche Veränderung vorgenommen wird. Dies liegt inder Verantwortung des Steuerpflichtigen. Es wurde eine Zeit der Begriff originäres elektronisches Format (als Gegenpol zum Inhouse-Format ) diskutiert aber nicht aufgenommen. Elektronische Originale gibt es eigentlich nicht (lediglich im Bereich der elektronisch signierten Dokumente kann man von Originalen sprechen). Werden vom Anwender OCR - freiwillig - eingesetzt und die Texte gespeichert, dann sind auch die Texte für die Auswertung bereitzuhalten. Dies ist eine erhebliche Ausweitung im Vergleich zu GoBS und GDPdU GoBS Elektronische Aufbewahrung (3) Nicht in dieser Tiefe behandelt [132] Im DV-System erzeugte Daten im Sinne der Rzn. 3 bis 5 (z. B. Grund(buch)aufzeichnungen in Vor- und Nebensystemen, Buchungen, generierte Datensätze zur Erstellung von Ausgangsrechnungen) oder darin empfangene Daten (z. B. EDI-Verfahren) müssen im Ursprungsformat aufbewahrt werden. GDPdU 2001 II. 320 V2 160

161 2015 GoBS Elektronische Aufbewahrung (4) Nicht in dieser Tiefe behandelt [133] Im DV-System erzeugte Dokumente (z. B. als Textdokumente erstellte Ausgangsrechnungen [ 14b UStG], elektronisch abgeschlossene Verträge, Handels- und Geschäftsbriefe, Verfahrensdokumentation) sind im Ursprungsformat aufzubewahren. Unter Zumutbarkeitsgesichtspunkten ist es nicht zu beanstanden, wenn der Steuerpflichtige elektronisch erstellte und in Papierform abgesandte Handels- und Geschäftsbriefe nur in Papierform aufbewahrt (Hinweis auf Rzn. 119, 120). Eine Umwandlung in ein anderes Format (z. B. Inhouse-Format) ist zulässig, wenn die maschinelle Auswertbarkeit nicht eingeschränkt wird und keine inhaltliche Veränderung vorgenommen wird (siehe Rz. 135). GDPdU 2001 II. 321 Kommentar 9.2 Elektronische Aufbewahrung (1) Dem Thema Elektronische Aufbewahrung wird ein eigener längerer Abschnitt gewidmet, der in dieser Form weder in den GoBS noch den GDPdU vorkam. Hierbei kommen eine Reihe neuer Anforderungen zum Tragen, wie z.b. wenn man sich das Leben komfortabler durch ein OCR-Wandeln von gescannten Dokumenten macht, dann muss man auch dieses freiwillig zusätzlich erzeugte Format für Prüfungszwecke als Rendition vorhalten. Gleiches gilt auch für andere Anreicherungen mit Metadaten und Zusatzinformationen. Wenn man aber originäre Formate in andere, z.b. langlebigere oder einfacher anzuzeigende, wandelt, dann muss man gegebenenfalls auch das originäre Format aufbewahren, weil man das Risiko für die Vollständigkeit und Richtigkeit der Wandlung trägt. Nicht nur empfangene Dokumente sondern auch die selbst erzeugten Daten und Dokumente sind im digitalen originär Format aufzubewahren. Dies führt bei manchen Formaten automatisch zu einer redundanten Speicherung Original Word, Rendition für Anzeige PDF. Es wird hier ein neuer Begriff eingeführt: Inhouse-Format. Bei einer Wandlung darf die maschinelle Auswertbarkeit nicht eingeschränkt werden. Die Inhalte dürfen nicht verändert sein. 322 V2 161

162 2015 GoBS Elektronische Aufbewahrung (5) Nicht behandelt [134] Bei Einsatz von Kryptografietechniken ist sicherzustellen, dass die verschlüsselten Unterlagen im DV-System in entschlüsselter Form zur Verfügung stehen. Werden Signaturprüfschlüssel verwendet, sind die eingesetzten Schlüssel aufzubewahren. Die Aufbewahrungspflicht endet, wenn keine der mit den Schlüsseln signierten Unterlagen mehr aufbewahrt werden müssen. GDPdU 2001 II, Ziffer GoBS Elektronische Aufbewahrung (6) Nicht in dieser Tiefe behandelt [135] Bei Umwandlung (Konvertierung) aufbewahrungspflichtiger Unterlagen in ein unternehmenseigenes Format (sog. Inhouse-Format) sind beide Versionen zu archivieren, derselben Aufzeichnung zuzuordnen und mit demselben Index zu verwalten sowie die konvertierte Version als solche zu kennzeichnen. Nicht aufbewahrungspflichtig sind die während der maschinellen Verarbeitung durch das Buchführungssystem erzeugten Dateien, sofern diese ausschließlich einer temporären Zwischenspeicherung von Verarbeitungsergebnissen dienen und deren Inhalte im Laufe des weiteren Verarbeitungsprozesses vollständig Eingang in die Buchführungsdaten finden. Voraussetzung ist jedoch, dass bei der weiteren Verarbeitung keinerlei Verdichtung aufzeichnungsund aufbewahrungspflichtiger Daten (vgl. Rzn. 3 bis 5) vorgenommen wird. GDPdU 2001 II, Ziffer V2 162

163 Kommentar 9.2 Elektronische Aufbewahrung (2) Man kann grundsätzlich für die langfristige Aufbewahrung nur empfehlen von verschlüsselten Dokumenten nur die unverschlüsselte Variante zu speichern. Das Thema Kryptografie wird hier zum zweiten Mal angesprochen. Es spielte in den GoBS noch kein Rolle, wurde aber explizit in den GDPdU aufgeführt. Werden kryptografische Verfahren eingesetzt, so sind die Schlüssel für die Dekodierung über die Lebensdauer der Dokumente vorzuhalten und die Entschlüsselung sicherzustellen. Der Aufwand hierfür lässt sich vermeiden, wenn in die Aufbewahrung nur entschlüsselte Dokumente gegeben werden. Eine gegebenenfalls notwendige Vertraulichkeit muss dann durch das Berechtigungssystem gewährleistet werden. Auch das Thema Konvertierung und Verdichtung wird detailliert angesprochen. Hier werden verschiedene Stadien in der Verarbeitung und im Lebenszyklus der Informationen berücksichtigt. Verdichtung, die zu Informationsverlusten oder zu Einschränkungen bei der Auswertbarkeit führt, ist nicht zulässig. In allen Spezialfällen wie Kryptografie, Konvertierung in andere Formate oder Verdichtung ist eine Beschreibung der Prozesse und Standards in der Verfahrensdokumentation erforderlich. 325 Kommentar 9.2 Aufbewahrung Aufzeichnung von Geschäftsvorfällen Scannen wird im folgenden als eine Möglichkeit zur Gewinnung von Aufzeichnungen (im Wesentlichen Belegen) beschrieben. Grundsätzlich gilt für alle Buchungs- und Aufzeichnungsvorgänge, dass durch Erfassungs-, Übertragungs- und Verarbeitungskontrollen sichergestellt ist, dass alle Geschäftsvorfälle vollständig erfasst oder übermittelt wurden, danach nicht unbegründet und undokumentiert geändert wurden und der ursprüngliche Zustand nachvollziehbar bleibt. Die beim Scannen und anschließenden Aufbewahren beschriebenen Prinzipien gelten auch für die Erfassung originär elektronischer Daten und Belege. 326 V2 163

164 2015 GoBS Elektronische Erfassung von Papierdokumenten (Scanvorgang) (1) [136] Papierdokumente werden durch den Scanvorgang in elektronische Dokumente umgewandelt. Das Verfahren muss dokumentiert werden. Der Steuerpflichtige sollte daher eine Organisationsanweisung erstellen, die unter anderem regelt: Im Anschreiben zu den GoBS behandelt mit dem damaligen State-of-the-Art wer scannen darf, zu welchem Zeitpunkt gescannt wird (z. B. beim Posteingang, während oder nach Abschluss der Vorgangsbearbeitung), welches Schriftgut gescannt wird, ob eine bildliche oder inhaltliche Übereinstimmung mit dem Original erforderlich ist, wie die Qualitätskontrolle auf Lesbarkeit und Vollständigkeit und wie die Protokollierung von Fehlern zu erfolgen hat GDPdU 2001 Nicht behandelt GoBS Elektronische Erfassung von Siehe oben Papierdokumenten (Scanvorgang) (2) [136] Die konkrete Ausgestaltung dieser Verfahrensdokumentation ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur sowie des eingesetzten DV- Systems. [137] Eine vollständige Farbwiedergabe ist erforderlich, wenn der Farbe Beweisfunktion zukommt (z. B. Minusbeträge in roter Schrift, Sicht-, Bearbeitungsund Zeichnungsvermerke in unterschiedlichen Farben). GDPdU 2001 Siehe oben [138] Für Besteuerungszwecke ist eine elektronische Signatur oder ein Zeitstempel nicht erforderlich. 328 V2 164

165 2015 GoBS Elektronische Erfassung von Siehe oben Papierdokumenten (Scanvorgang) (3) [139] Im Anschluss an den Scanvorgang darf die weitere Bearbeitung nur mit dem elektronischen Dokument erfolgen. Die Papierbelege sind dem weiteren Bearbeitungsgang zu entziehen, damit auf diesen keine Bemerkungen, Ergänzungen usw. vermerkt werden können, die auf dem elektronischen Dokument nicht enthalten sind. Sofern aus organisatorischen Gründen nach dem Scanvorgang eine weitere Vorgangsbearbeitung des Papierbeleges erfolgt, muss nach Abschluss der Bearbeitung der bearbeitete Papierbeleg erneut eingescannt und ein Bezug zum ersten Scanobjekt hergestellt werden (gemeinsamer Index). GDPdU 2001 Siehe oben GoBS Elektronische Erfassung von Siehe oben Papierdokumenten (Scanvorgang) (4) [140] Nach dem Einscannen dürfen Papierdokumente vernichtet werden, soweit sie nicht nach außersteuerlichen oder steuerlichen Vorschriften im Original aufzubewahren sind. Der Steuerpflichtige muss entscheiden, ob Dokumente, deren Beweiskraft bei der Aufbewahrung in elektronischer Form nicht erhalten bleibt, zusätzlich in der Originalform aufbewahrt werden sollen. [141] Der Verzicht auf einen Papierbeleg darf die Möglichkeit der Nachvollziehbarkeit und Nachprüfbarkeit nicht beeinträchtigen. GDPdU 2001 Siehe oben 330 V2 165

166 Kommentar 9.3 Elektronische Erfassung von Papierdokumenten (Scanvorgang) Der Prozess des Scannens war bereits im Anschreiben der GoBS ausführlich dargestellt, allerdings mit den Einschränkungen der Technik vor 20 Jahren. Die GoBS selbst enthielten hierzu keine Ausführungen. Die Beschreibung in den ist kurz aber prägnant. Es werden die Anforderungen an die Metadaten, Qualitätskontrolle und Protokollierung beim Scannen ebenso aufgeführt wie die Behandlung von Farbe und anderen Kriterien. Im Zusammenhang mit der Farbe wird auf den Beweiswert von Farbe verwiesen. Einen Qualitätsmaßstab, z.b. Auflösung in dpi, vermisst man, aber ein solches Dokument soll ja längere Zeit Bestand haben (heute wären 300 dpi 256B Farbe das Minimum). Ebenso wird kein Format direkt empfohlen, auch wenn PDF immer wieder im Text genannt ist (hier ist laut BSI die JBIG2-Kompression nicht zu empfehlen). Nach dem Scannen darf das Papier nicht weiter im Prozess verwendet werden. Es ist zu entsorgen oder wegzuschließen (damit nicht im Prozess Ergänzungen oder Veränderungen auf dem Papier vorgenommen werden, denn es wird mit dem elektronischen Dokument weitergearbeitet). Elektronische Signaturen werden ausdrücklich nicht gefordert. Damit haben auch Vorgaben wie die TR Resiscan keine Relevanz für die Erfassung und Speicherung von Daten und Dokumenten nach den. 331 Kommentar 9.4 Auslagerung von Daten aus dem Produktivsystem und Systemwechsel Neu ist das Thema Migration in den aufgenommen worden. Ansgesichts langer Aufbewahrungsfristen ergeben sich auch entsprechende Veränderungen in den Systemen, die das Umkopieren von Daten oder den Wechsel einer Systemplattform erforderlich machen. Bei einer Auslagerung oder einer Migration ist sicherzustellen, dass im Zielsystem alle aufbewahrungspflichtigen Informationen unverändert und vollständig ankommen, und dass die Auswertbarkeit quantitativ und qualitativ weiterhin in der gleichen Form möglich ist, als befänden sich die Informationen noch im Produktivsystem (bzw. ursprünglichen Aufbewahrungssystem). Es liegt in der Verantwortung des Steuerpflichtigen, dass die Auswertbarkeit weder durch den Migrationsprozess noch durch die Wahl des Zielsystems eingeschränkt wird. 332 V2 166

167 2015 Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> Auslagerung von Daten aus dem Nur unzureichend und implizit Produktivsystem und Systemwechsel (1) behandelt [142] Im Falle eines Systemwechsels (z. B. Abschaltung Altsystem, Datenmigration), einer Systemänderung (z. B. Änderung der OCR-Software, Update der Finanzbuchhaltung etc.) oder einer Auslagerung von aufzeichnungsund aufbewahrungspflichtigen Daten (vgl. Rzn. 3 bis 5) aus dem Produktivsystem ist es nur dann nicht erforderlich, die ursprüngliche Hard- und Software des Produktivsystems über die Dauer der Aufbewahrungsfrist vorzuhalten, wenn die folgenden Voraussetzungen erfüllt sind: GDPdU 2001 Nicht behandelt GoBS Auslagerung von Daten aus dem Siehe oben Produktivsystem und Systemwechsel (2) [142] 1. Die aufzeichnungsund aufbewahrungspflichtigen Daten (einschließlich Metadaten, Stammdaten, Bewegungsdaten und der erforderlichen Verknüpfungen) müssen unter Beachtung der Ordnungsvorschriften (vgl. 145 bis 147 AO) quantitativ und qualitativ gleichwertig in ein neues System, in eine neue Datenbank, in ein Archivsystem oder in ein anderes System überführt werden. Bei einer erforderlichen Datenumwandlung (Migration) darf ausschließlich das Format der Daten (z. B. Datums- und Währungsformat) umgesetzt, nicht aber eine inhaltliche Änderung der Daten vorgenommen werden. Die vorgenommenen Änderungen sind zu dokumentieren. GDPdU 2001 Nicht behandelt 334 V2 167

168 2015 GoBS Auslagerung von Daten aus dem Siehe oben Produktivsystem und Systemwechsel (3) [142] 1. Die Reorganisation von OCR-Datenbanken ist zulässig, soweit die zugrunde liegenden elektronischen Dokumente und Unterlagen durch diesen Vorgang unverändert bleiben und die durch das OCR-Verfahren gewonnenen Informationen mindestens in quantitativer und qualitativer Hinsicht erhalten bleiben. 2. Das neue System, das Archivsystem oder das andere System muss in quantitativer und qualitativer Hinsicht die gleichen Auswertungen der aufzeichnungsund aufbewahrungspflichtigen Daten ermöglichen, als wären die Daten noch im Produktivsystem. GDPdU 2001 Siehe oben GoBS Auslagerung von Daten aus dem Siehe oben Produktivsystem und Systemwechsel (4) [143] Andernfalls ist die ursprüngliche Hard- und Software des Produktivsystems - neben den aufzeichnungsund aufbewahrungspflichtigen Daten - für die Dauer der Aufbewahrungsfrist vorzuhalten. Auf die Möglichkeit der Bewilligung von Erleichterungen nach 148 AO wird hingewiesen. [144] Eine Aufbewahrung in Form von Datenextrakten, Reports oder Druckdateien ist unzulässig, soweit nicht mehr alle aufzeichnungsund aufbewahrungspflichtigen Daten übernommen werden. GDPdU 2001 Siehe oben 336 V2 168

169 Kommentar 9.4 Auslagerung von Daten aus dem Produktivsystem und Systemwechsel Abschnitt 9.4 behandelt zwei grundsätzliche Problemkreise, die in den GoBS und den GDPdU nicht explizit behandelt wurden. Beide Themen kann man unter dem Oberbegriff Migration zusammenfassen. Die Migration muss in jedem Fall die Verlustfreiheit, Unverändertheit, etc. sicherstellen. Auch für den Prozess der Migration benötigt man eine Verfahrensdokumentation, die den Übergang von einem System in ein andere beschreibt. Dies ist besonders dann wichtig, wenn währen des Migrationsprozesses eine Verarbeitung erfolgt, z.b. um den Index zu ergänzen, zusätzliche Textinformation zu gewinnen, die Berechtigungen anzupassen oder nach Ablauf der Aufbewahrungsfrist Dokumente zu löschen. Bei ersten Fall handelt es sich um ein typisches GDPdU-Szenario, bei dem aus einem Produktivsystem regelmäßig in ein separates Verwaltungs-, Speicher- oder Aufbewahrungssystem überführt werden. Dies wurde früher im Markt auch als GDPdU-Archivierung bezeichnet. Beim zweiten Fall handelt es sich um das Szenario Systemwechsel, das immer dann besonders kritisch ist, wenn die Aufbewahrungsfristen der gespeicherten Informationen noch nicht abgelaufen sind und wenn das abzulösende Altsystem sehr proprietär ist. Eine Aufbereitung ist nur dann zulässig, wenn sie verlustfrei ist und die Auswertbarkeit nicht einschränkt GoBS Nachvollziehbarkeit und Nachprüfbarkeit (1) Tz. 6; ähnlich [145] Die allgemeinen Grundsätze der Nachvollziehbarkeit und Nachprüfbarkeit sind unter 3.1 aufgeführt. Die Prüfbarkeit der formellen und sachlichen Richtigkeit bezieht sich sowohl auf einzelne Geschäftsvorfälle (Einzelprüfung) als auch auf die Prüfbarkeit des gesamten Verfahrens (Verfahrensoder Systemprüfung anhand einer Verfahrensdokumentation, siehe unter 10.1). [146] Auch an die DV-gestützte Buchführung wird die Anforderung gestellt, dass Geschäftsvorfälle für die Dauer der Aufbewahrungsfrist retrograd und progressiv prüfbar bleiben müssen. GDPdU 2001 Nur implizit [147] Die vorgenannten Anforderungen gelten für sonst erforderliche elektronische Aufzeichnungen sinngemäß ( 145 Absatz 2 AO). 338 V2 169

170 2015 GoBS Nachvollziehbarkeit und Nachprüfbarkeit (2) Siehe oben [148] Von einem sachverständigen Dritten kann zwar Sachverstand hinsichtlich der Ordnungsvorschriften der 145 bis 147 AO und allgemeiner DV- Sachverstand erwartet werden, nicht jedoch spezielle, produktabhängige System- oder Programmierkenntnisse. [149] Nach 146 Absatz 3 Satz 3 AO muss im Einzelfall die Bedeutung von Abkürzungen, Ziffern, Buchstaben und Symbolen eindeutig festliegen und sich aus der Verfahrensdokumentation ergeben. GDPdU 2001 Nur implizit [150] Für die Prüfung ist eine aussagefähige und aktuelle Verfahrensdokumentation notwendig, die alle System- bzw. Verfahrensänderungen inhaltlich und zeitlich lückenlos dokumentiert. 339 Kommentar 10. Nachvollziehbarkeit und Nachprüfbarkeit Die geforderte Nachvollziehbarkeit und Nachprüfbarkeit bezieht sich auf die Lösung mit Technik, Prozessen, Organisation und Nutzung durch die Mitarbeiter ebenso wie auf die Verfahrensdokumentation. Retrograde und progressive Prüfbarkeit wird erneut gefordert. Die Journalfunktion wird für die Protokllierung der vollständigen, zeitgerechten und formal richtigen Erfassung, Verarbeitung und Wiedergabe der erfassten Geschäftsvorfälle benötigt. Die Rolle des unabhängigen Dritten wird in Bezug auf Tiefe und Verständlichkeit der Verfahrensdokumentation beschrieben ein Novum im Vergleich mit den GoBS. Die Verfahrensdokumentation selbst muss lückenlos und aktuell sein. Sie unterliegt selbst auch der Aufbewahrung und Versionierung. 340 V2 170

171 2015 GoBS Verfahrensdokumentation (1) [151] Da sich die Ordnungsmäßigkeit neben den elektronischen Büchern und sonst erforderlichen Aufzeichnungen auch auf die damit in Zusammenhang stehenden Verfahren und Bereiche des DV-Systems bezieht (siehe unter 3.), muss für jedes DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein, aus der Inhalt, Aufbau, Ablauf und Ergebnisse des DV- Verfahrens vollständig und schlüssig ersichtlich sind. Der Umfang der im Einzelfall erforderlichen Dokumentation wird dadurch bestimmt, was zum Verständnis des DV-Verfahrens, der Bücher und Aufzeichnungen sowie der aufbewahrten Unterlagen notwendig ist. Die Verfahrensdokumentation muss verständlich und damit für einen sachverständigen Dritten in angemessener Zeit nachprüfbar sein. Die konkrete Ausgestaltung der Verfahrensdokumentation ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur sowie des eingesetzten DV-Systems. Tz. 1, 2, 3, 6.1, 6.2 und 7; aber nicht so detailliert und prominent GDPdU 2001 Nur implizit GoBS Verfahrensdokumentation (2) Siehe oben [152] Die Verfahrensdokumentation beschreibt den organisatorisch und technisch gewollten Prozess, z. B. bei elektronischen Dokumenten von der Entstehung der Informationen über die Indizierung, Verarbeitung und Speicherung, dem eindeutigen Wiederfinden und der maschinellen Auswertbarkeit, der Absicherung gegen Verlust und Verfälschung und der Reproduktion. [153] Die Verfahrensdokumentation besteht in der Regel aus einer allgemeinen Beschreibung, einer Anwenderdokumentation, einer technischen Systemdokumentation und einer Betriebsdokumentation. GDPdU 2001 Siehe oben 342 V2 171

172 2015 GoBS Verfahrensdokumentation (3) Siehe oben [154] Für den Zeitraum der Aufbewahrungsfrist muss gewährleistet und nachgewiesen sein, dass das in der Dokumentation beschriebene Verfahren dem in der Praxis eingesetzten Verfahren voll entspricht. Dies gilt insbesondere für die eingesetzten Versionen der Programme (Programmidentität). Die Verfahrensdokumentation ist bei Änderungen zu versionieren und eine nachvollziehbare Änderungshistorie vorzuhalten. Aus der Verfahrensdokumentation muss sich ergeben, wie die Ordnungsvorschriften (z. B. 145 ff. AO, 238 ff. HGB) und damit die in diesem Schreiben enthaltenen Anforderungen beachtet werden. Die Aufbewahrungsfrist für die Verfahrensdokumentation läuft nicht ab, soweit und solange die Aufbewahrungsfrist für die Unterlagen noch nicht abgelaufen ist, zu deren Verständnis sie erforderlich ist. GDPdU 2001 Siehe oben GoBS Verfahrensdokumentation (4) Siehe oben [155] Soweit eine fehlende oder ungenügende Verfahrensdokumentation die Nachvollziehbarkeit und Nachprüfbarkeit nicht beeinträchtigt, liegt kein formeller Mangel mit sachlichem Gewicht vor, der zum Verwerfen der Buchführung führen kann. GDPdU 2001 Siehe oben 344 V2 172

173 Kommentar 10.1 Verfahrensdokumentation (1) Die Verfahrensdokumentation ist verpflichtend und war es schon immer. Die Vorgaben für die Verfahrensdokumentation entsprechen weitgehend den aus den GoBS bekannten Inhalten sowie Verfahren wie sie durch Verbände, TüVIT und andere implementiert in den vergangenen nahezu 20 Jahren implementiert wurden. Die Anforderungen der stellen daher für vorhandene Verfahrensdokumentationen nur eine Anpassung dar. Der Aufwand für die Anpassungen ist überschaubar. Zusätzlich zu den bekannten Vorgaben aus den GoBS (sowie VOI Verfahrensdokumentation und IDW FAIT3) kommt eine Empfehlung zur Strukturierung: (1) allgemeine Beschreibung, (2) Anwenderdokumentation, (3) technische Systemdokumentation und (4) Betriebsdokumentation. Diese Gliederung ist aber nicht bindend. Ebenso wenig wie der Umfang der Verfahrensdokumentation festgelegt ist. Er muss sich an der Komplexität der beschriebenen Lösung orientieren. Die Verfahrensdokumentation ist ständig aktuell zu halten und bedarf einer eigenen Änderungshistorie, die die Nachvollziehbarkeit von Änderungen gewährleistet. 345 Kommentar 10.1 Verfahrensdokumentation (2) Interessant ist die Einschränkung in Nummer [155]: Eine fehlende oder unvollständige Verfahrensdokumentation muss kein formeller Grund sein, die Buchhaltung gleich ganz zu verwerfen. Einerseits wird die Bedeutung der Verfahrensdokumentation immer wieder betont, anderseits wird sie hier aber etwas reduziert. 346 V2 173

174 2015 Apr-15 / Quelle: PROJECT CONSULT GoBS / Autorenrecht: <Vorname Nachname> Lesbarmachung von elektronischen Tz. 8; bereits in GoBS Unterlagen berücksichtigt [156] Wer aufzubewahrende Unterlagen in der Form einer Wiedergabe auf einem Bildträger oder auf anderen Datenträgern vorlegt, ist nach 147 Absatz 5 AO verpflichtet, auf seine Kosten diejenigen Hilfsmittel zur Verfügung zu stellen, die erforderlich sind, um die Unterlagen lesbar zu machen. Auf Verlangen der Finanzbehörde hat der Steuerpflichtige auf seine Kosten die Unterlagen unverzüglich ganz oder teilweise auszudrucken oder ohne Hilfsmittel lesbare Reproduktionen beizubringen. [157] Der Steuerpflichtige muss durch Scannen digitalisierte Unterlagen über sein DV-System per Bildschirm lesbar machen. Ein Ausdruck auf Papier ist nicht ausreichend. Die elektronischen Dokumente müssen für die Dauer der Aufbewahrungsfrist jederzeit lesbar sein (BFH-Beschluss vom 26. September 2007, BStBl II 2008 S. 415). GDPdU 2001 Lesbarkeit war nicht wichtig, sondern Auswertbarkeit 347 Kommentar 10.2 Lesbarmachung von elektronischen Unterlagen Die Lesbarmachung bezieht sich auf die Anzeige von Dokumenten, im Sinne der aber indirekt auf die damit verbundene Auswertbarkeit. Auch begrifflich ist der erste Paragraph ein Relikt aus alten Spezifikationen wie der Begriff des Bildträgers zeigt. Entscheidend ist eher, das die elektronischen Dokumente gefordert sind und ein Ausdruck auf Papier nicht ausreicht. Die Frage, was ist ein Original, wird auch in den nicht abschließend beantwortet. Dies spielt besonders dann eine Rolle, wenn es zu unterscheiden gilt, ob ausreicht, ein Dokument bildhaft oder inhaltlich zu speichern. Bereits durch die Anforderung, auch durch OCR in Text gewandelte Bildinhalte auswerten zu können, ergibt sich hier eine neue Qualität der Anforderungen an die Lesbarkeit. Die Verantwortung, die Lesbarkeit (und die Auswertbarkeit) über die Aufbewahrungsfristen sicherzustellen liegt beim Steuerpflichtigen. 348 V2 174

175 2015 GoBS Datenzugriff Nicht behandelt [158] Nach 147 Absatz 6 AO hat die Finanzbehörde das Recht, die mit Hilfe eines DV-Systems erstellten und nach 147 Absatz 1 AO aufbewahrungspflichtigen Unterlagen durch Datenzugriff zu prüfen. Das Recht auf Datenzugriff steht der Finanzbehörde nur im Rahmen steuerlicher Außenprüfungen zu. Durch die Regelungen zum Datenzugriff wird der sachliche Umfang der Außenprüfung ( 194 AO) nicht erweitert; er wird durch die Prüfungsanordnung ( 196 AO, 5 BpO) bestimmt. GDPdU 2001 I, Ziffer 1; Schwerpunkt der GDPdU 349 Kommentar 11. Datenzugriff Einer der Punkte in den, der direkt aus den GDPdU überführt wurde und hier nur ein Kapitel bildet. Gemessen an der Länge des Dokumentes ist der GoBS-affine Teil ausführlicher als der GDPdU -Anteil. Es wurden auch Ausführungen aus den Fragen-und-Antworten-Katalogen zu den GDPdU eingearbeitet. Keine wesentlichen Änderungen der bisherigen Vorgaben. 350 V2 175

176 2015 GoBS Umfang und Ausübung des Rechts auf Nicht behandelt Datenzugriff nach 147 Absatz 6 AO (1) [159] Gegenstand der Prüfung sind die nach außersteuerlichen und steuerlichen Vorschriften aufzeichnungspflichtigen und die nach 147 Absatz 1 AO aufbewahrungspflichtigen Unterlagen. Hierfür sind insbesondere die Daten der Finanzbuchhaltung, der Anlagenbuchhaltung, der Lohnbuchhaltung und aller Vor- und Nebensysteme, die aufzeichnungsund aufbewahrungspflichtige Unterlagen enthalten (vgl. Rzn. 3 bis 5), für den Datenzugriff bereitzustellen. Die Art der Außenprüfung ist hierbei unerheblich, so dass z. B. die Daten der Finanzbuchhaltung auch Gegenstand der Lohnsteuer-Außenprüfung sein können. GDPdU 2001 I, Ziffer 1; bereits in den GDPdU vorhanden GoBS Umfang und Ausübung des Rechts auf Nicht behandelt Datenzugriff nach 147 Absatz 6 AO (2) [160] Neben den Daten müssen insbesondere auch die Teile der Verfahrensdokumentation auf Verlangen zur Verfügung gestellt werden können, die einen vollständigen Systemüberblick ermöglichen und für das Verständnis des DV-Systems erforderlich sind. Dazu gehört auch ein Überblick über alle im DV- System vorhandenen Informationen, die aufzeichnungsund aufbewahrungspflichtige Unterlagen betreffen (vgl. Rzn. 3 bis 5); z. B. Beschreibungen zu Tabellen, Feldern, Verknüpfungen und Auswertungen. Diese Angaben sind erforderlich, damit die Finanzverwaltung das durch den Steuerpflichtigen ausgeübte Erstqualifikationsrecht (vgl. Rz. 161) prüfen und Aufbereitungen für die Datenträgerüberlassung erstellen kann. GDPdU 2001 I, Ziffer 1; ähnlich in den GDPdU vorhanden 352 V2 176

177 Kommentar 11. Datenzugriff Für den Datenzugriff sind wie bisher nach den GDPdU besonders Daten der Finanzbuchhaltung, der Anlagenbuchhaltung, der Lohnbuchhaltung sowie der zugehörigen Vor- und Nebensysteme dieser Anwendungen bereitzustellen. Das Recht der Einsichtsnahme der Finanzverwaltung bezieht sich neben den Bewegungsdaten auch auf Stammdaten und deren Verknüpfungen mit anderen Systemen. Hier sind auch Dokumentenmanagement- und Archivsysteme ausdrücklich einbezogen. Es wird deutlicher als in den GDPdU auf die Bereitstellung der Verfahrensdokumentation Bezug genommen. Bereits im Vorfeld der Prüfung soll sie dem Prüfer einen Überblick über die Lösung geben, damit dieser die Prüfung vorbereiten kann. Es sind noch eine Reihe von Angaben aus der Verfahrensdokumentation aufgeführt, die für die Qualifikation der Steuerrelevanz der Daten wichtig sind (aber bei den GoBS- Verfahrensdokumentationen nachrangig behandelt wurden): Beschreibungen zu Tabellen, Feldern, Verknüpfungen und Auswertungen. Dieser Bereich wäre in einer Verfahrensdokumentation nach GoBS in jedem Fall zu prüfen und gegebenenfalls zu ergänzen GoBS Umfang und Ausübung des Rechts auf Nicht behandelt Datenzugriff nach 147 Absatz 6 AO (3) [161] Soweit in Bereichen des Unternehmens betriebliche Abläufe mit Hilfe eines DV-Systems abgebildet werden, sind die betroffenen DV-Systeme durch den Steuerpflichtigen zu identifizieren, die darin enthaltenen Daten nach Maßgabe der außersteuerlichen und steuerlichen Aufzeichnungs- und Aufbewahrungspflichten (vgl. Rzn. 3 bis 5) zu qualifizieren (Erstqualifizierung) und für den Datenzugriff in geeigneter Weise vorzuhalten (siehe auch unter 9.4). Bei unzutreffender Qualifizierung von Daten kann die Finanzbehörde im Rahmen ihres pflichtgemäßen Ermessens verlangen, dass der Steuerpflichtige den Datenzugriff auf diese nach außersteuerlichen und steuerlichen Vorschriften tatsächlich aufgezeichneten und aufbewahrten Daten nachträglich ermöglicht. GDPdU 2001 I, Ziffer 1; bereits in den GDPdU vorhanden 354 V2 177

178 2015 Beispiel Zu 11.1 Umfang und Ausübung des Rechts auf Datenzugriff nach 147 Absatz 6 AO (4) [161] Beispiele 12: Ein Steuerpflichtiger stellt aus dem PC-Kassensystem nur Tagesendsummen zur Verfügung. Die digitalen Grund(buch)-aufzeichnungen (Kasseneinzeldaten) wurden archiviert, aber nicht zur Verfügung gestellt. Ein Steuerpflichtiger stellt für die Datenträgerüberlassung nur einzelne Sachkonten aus der Finanzbuchhaltung zur Verfügung. Die Daten der Finanzbuchhaltung sind archiviert. Ein Steuerpflichtiger ohne Auskunftsverweigerungsrecht stellt Belege in Papierform zur Verfügung. Die empfangenen und abgesandten Handels- und Geschäftsbriefe und Buchungsbelege stehen in einem Dokumenten-Management-System zur Verfügung GoBS Umfang und Ausübung des Rechts auf Siehe oben Datenzugriff nach 147 Absatz 6 AO (5) [162] Das allgemeine Auskunftsrecht des Prüfers ( 88, 199 Absatz 1 AO) und die Mitwirkungspflichten des Steuerpflichtigen ( 90, 200 AO) bleiben unberührt. [163] Bei der Ausübung des Rechts auf Datenzugriff stehen der Finanzbehörde nach dem Gesetz drei gleichberechtigte Möglichkeiten zur Verfügung. [164] Die Entscheidung, von welcher Möglichkeit des Datenzugriffs die Finanzbehörde Gebrauch macht, steht in ihrem pflichtgemäßen Ermessen; falls erforderlich, kann sie auch kumulativ mehrere Möglichkeiten in Anspruch nehmen: GDPdU 2001 Siehe oben 356 V2 178

179 2015 GoBS Umfang und Ausübung des Rechts auf Siehe oben Datenzugriff nach 147 Absatz 6 AO (6) [165] Unmittelbarer Datenzugriff (Z1) Die Finanzbehörde hat das Recht, selbst unmittelbar auf das DV-System dergestalt zuzugreifen, dass sie in Form des Nur-Lesezugriffs Einsicht in die aufzeichnungsund aufbewahrungspflichtigen Daten nimmt und die vom Steuerpflichtigen oder von einem beauftragten Dritten eingesetzte Hard- und Software zur Prüfung der gespeicherten Daten einschließlich der jeweiligen Meta-, Stamm-und Bewegungsdaten sowie der entsprechenden Verknüpfungen (z. B. zwischen den Tabellen einer relationalen Datenbank) nutzt. Dabei darf sie nur mit Hilfe dieser Hard- und Software auf die elektronisch gespeicherten Daten zugreifen. Dies schließt eine Fernabfrage (Online- Zugriff) der Finanzbehörde auf das DV-System des Steuerpflichtigen durch die Finanzbehörde aus. Der Nur-Lesezugriff umfasst das Lesen und Analysieren der Daten unter Nutzung der im DV-System vorhandenen Auswertungsmöglichkeiten (z. B. Filtern und Sortieren). GDPdU 2001 Siehe oben GoBS Umfang und Ausübung des Rechts auf Siehe oben Datenzugriff nach 147 Absatz 6 AO (7) [166] Mittelbarer Datenzugriff (Z2) Die Finanzbehörde kann vom Steuerpflichtigen auch verlangen, dass er an ihrer Stelle die aufzeichnungsund aufbewahrungspflichtigen Daten nach ihren Vorgaben maschinell auswertet oder von einem beauftragten Dritten maschinell auswerten lässt, um anschließend einen Nur-Lesezugriff durchführen zu können. Es kann nur eine maschinelle Auswertung unter Verwendung der im DV-System des Steuerpflichtigen oder des beauftragten Dritten vorhandenen Auswertungsmöglichkeiten verlangt werden. GDPdU 2001 Siehe oben 358 V2 179

180 2015 GoBS Umfang und Ausübung des Rechts auf Siehe oben Datenzugriff nach 147 Absatz 6 AO (8) [167] Datenträgerüberlassung (Z3) Die Finanzbehörde kann ferner verlangen, dass ihr die aufzeichnungsund aufbewahrungspflichtigen Daten, einschließlich der jeweiligen Meta-, Stammund Bewegungsdaten sowie der internen und externen Verknüpfungen (z. B. zwischen den Tabellen einer relationalen Datenbank), und elektronische Dokumente und Unterlagen auf einem maschinell lesbaren und auswertbaren Datenträger zur Auswertung überlassen werden. Die Finanzbehörde ist nicht berechtigt, selbst Daten aus dem DV-System herunterzuladen oder Kopien vorhandener Datensicherungen vorzunehmen. GDPdU 2001 Siehe oben GoBS Umfang und Ausübung des Rechts auf Siehe oben Datenzugriff nach 147 Absatz 6 AO (9) [168] Die Datenträgerüberlassung umfasst die Mitnahme der Daten aus der Sphäre des Steuerpflichtigen. Eine Mitnahme der Datenträger aus der Sphäre des Steuerpflichtigen sollte im Regelfall nur in Abstimmung mit dem Steuerpflichtigen erfolgen. [169 ] Der zur Auswertung überlassene Datenträger ist spätestens nach Bestandskraft der aufgrund der Außenprüfung ergangenen Bescheide an den Steuerpflichtigen zurückzugeben und die Daten sind zu löschen. GDPdU 2001 Siehe oben [170] Die Finanzbehörde hat bei Anwendung der Regelungen zum Datenzugriff den Grundsatz der Verhältnismäßigkeit zu beachten 360 V2 180

181 Kommentar 11.1 Umfang und Ausübung des Rechts auf Datenzugriff nach 147 Absatz 6 AO (1) Dieser Abschnitt orientiert sich deutlich an den ursprünglichen GDPdU, übernimmt einige wenige Teile aus den Fragen-und-Antworten-Katalogen und berücksichtigt an einigen Stellen bereits die Rechtsprechung zu den GDPdU seit dem Jahr Auch die drei Zugriffsarten werden beibehalten. Hier wird der Begriff maschinelle Auswertbarkeit weiterhin meistens im Sinne der technisch/mathematischen Auswertbarkeit benutzt, da dem Prüfer kaum auf einem Datenträger alle Dokumente des Unternehmens übergeben werden können. Z3 hat hier weiterhin eher den Charakter der Vorbereitung der Prüfung. Z3 kommt aber auch bei kleineren Unternehmen zur Anwendung, die sich ihren Datenträger vom Steuerberater (oder direkt von einem Anbeiter wie der DATEV) erstellen lassen. Zu Nummer [168] Datenträgerüberlassung (Z3): Hier hat das BMF ausdrücklich klargestellt, dass eine Mitnahme der Datenträger aus der Sphäre des Steuerpflichtigen nur in Abstimmung mit dem Steuerpflichtigen erfolgen sollte. Hierzu gibt es auch aktuelle Urteile zu Gunsten des Steuerpflichtigen. 361 Kommentar 11.1 Umfang und Ausübung des Rechts auf Datenzugriff nach 147 Absatz 6 AO (2) Durch die Praxis der GDPdU hat sich gezeigt, dass ohne die Strukturinformationen zu Aufbau und Formaten von Daten eine automatisierte maschinelle Auswertúng nicht möglich ist. Solche Strukturen ändern sich über die Zeit, z.b. bei Ausbau-, Anpassung, Update oder Migration von Systemen. Daher sind auch die Stammdatenbeschreibungen und die erforderlichen Strukturinformationen selbst in möglichst maschinell auswertbarer Form vorzuhalten. Dies gilt auch für externe Verknüpfungen, Mapping- Informationen, zu Grunde liegende Datenbankmodelle und Konfigurationen sofern sie Auswirkungen auf die Auswertbarkeit besitzen. Besonders im Fall eines Systemwechsels, einer Systemänderung oder einer Auslagerung von aufzeichnungsund aufbewahrungspflichtigen Daten aus dem Produktivsystem sind die Daten und Dokumente nebst Verknüpfungen und hinterlegten Strukturen quantitativ und qualitativ gleichwertig in ein neues System zu migrieren. 362 V2 181

182 2015 GoBS Umfang der Mitwirkungspflicht nach 147 nur Ansatzweise behandelt Absatz 6 und 200 Absatz 1 Satz 2 AO (1) [171] Der Steuerpflichtige hat die Finanzbehörde bei Ausübung ihres Rechts auf Datenzugriff zu unterstützen ( 200 Absatz 1 AO). Dabei entstehende Kosten hat der Steuerpflichtige zu tragen ( 147 Absatz 6 Satz 3 AO). [172 ] Enthalten elektronisch gespeicherte Datenbestände z. B. nicht aufzeichnungsund aufbewahrungspflichtige, personenbezogene oder dem Berufsgeheimnis ( 102 AO) unterliegende Daten, so obliegt es dem Steuerpflichtigen oder dem von ihm beauftragten Dritten, die Datenbestände so zu organisieren, dass der Prüfer nur auf die aufzeichnungs-und aufbewahrungspflichtigen Daten des Steuerpflichtigen zugreifen kann. Dies kann z. B. durch geeignete Zugriffsbeschränkungen oder digitales Schwärzen der zu schützenden Informationen erfolgen. Für versehentlich überlassene Daten besteht kein Verwertungsverbot. GDPdU 2001 I, Ziffer 2; bereits in den GDPdU vorhanden GoBS Umfang der Mitwirkungspflicht nach 147 Nicht behandelt Absatz 6 und 200 Absatz 1 Satz 2 AO (2) [173] Mangels Nachprüfbarkeit akzeptiert die Finanzbehörde keine Reports oder Druckdateien, die vom Unternehmen ausgewählte ( vorgefilterte ) Datenfelder und -sätze aufführen, jedoch nicht mehr alle aufzeichnungsund aufbewahrungspflichtigen Daten (vgl. Rzn. 3 bis 5) enthalten. Im Einzelnen gilt Folgendes: [174] Beim unmittelbaren Datenzugriff hat der Steuerpflichtige dem Prüfer die für den Datenzugriff erforderlichen Hilfsmittel zur Verfügung zu stellen und ihn für den Nur-Lesezugriff in das DV-System einzuweisen. Die Zugangsberechtigung muss so ausgestaltet sein, dass dem Prüfer dieser Zugriff auf alle aufzeichnungsund aufbewahrungspflichtigen Daten eingeräumt wird. GDPdU 2001 I, Ziffer 2a; bereits in den GDPdU vorhanden 364 V2 182

183 2015 GoBS Umfang der Mitwirkungspflicht nach 147 Nicht behandelt Absatz 6 und 200 Absatz 1 Satz 2 AO (3) [174] Sie umfasst die im DV-System genutzten Auswertungsmöglichkeiten (z. B. Filtern, Sortieren, Konsolidieren) für Prüfungszwecke, (z. B. in Revisionstools, Standardsoftware, Backofficeprodukten). In Abhängigkeit vom konkreten Sachverhalt kann auch eine vom Steuerpflichtigen nicht genutzte, aber im DV-System vorhandene Auswertungsmöglichkeit verlangt werden. Eine Volltextsuche, eine Ansichtsfunktion oder ein selbsttragendes System, das in einer Datenbank nur die für archivierte Dateien vergebenen Schlagworte als Indexwerte nachweist, reicht regelmäßig nicht aus. Eine Unveränderbarkeit des Datenbestandes und des DV-Systems durch die Finanzbehörde muss seitens des Steuerpflichtigen oder eines von ihm beauftragten Dritten gewährleistet werden. GDPdU 2001 I, Ziffer 2; bereits in den GDPdU vorhanden GoBS Umfang der Mitwirkungspflicht nach 147 Nicht behandelt Absatz 6 und 200 Absatz 1 Satz 2 AO (4) [175] Beim mittelbaren Datenzugriff gehört zur Mithilfe des Steuerpflichtigen beim Nur-Lesezugriff neben der Zurverfügungstellung von Hard- und Software die Unterstützung durch mit dem DV-System vertraute Personen. Der Umfang der zumutbaren Mithilfe richtet sich nach den betrieblichen Gegebenheiten des Unternehmens. Hierfür können z. B. seine Größe oder Mitarbeiterzahl Anhaltspunkte sein. GDPdU 2001 I, Ziffer 2b; bereits in den GDPdU vorhanden 366 V2 183

184 2015 GoBS Umfang der Mitwirkungspflicht nach 147 Nicht behandelt Absatz 6 und 200 Absatz 1 Satz 2 AO (5) [176] Bei der Datenträgerüberlassung sind der Finanzbehörde mit den gespeicherten Unterlagen und Aufzeichnungen alle zur Auswertung der Daten notwendigen Informationen (z. B. über die Dateiherkunft [eingesetztes System], die Dateistruktur, die Datenfelder, verwendete Zeichensatztabellen sowie interne und externe Verknüpfungen) in maschinell auswertbarer Form zur Verfügung zu stellen. Dies gilt auch in den Fällen, in denen sich die Daten bei einem Dritten befinden. Auch die zur Auswertung der Daten notwendigen Strukturinformationen müssen in maschinell auswertbarer Form zur Verfügung gestellt werden. Bei unvollständigen oder unzutreffenden Datenlieferungen kann die Finanzbehörde neue Datenträger mit vollständigen und zutreffenden Daten verlangen. GDPdU 2001 I, Ziffer 2c; bereits in den GDPdU vorhanden GoBS Umfang der Mitwirkungspflicht nach 147 Nicht behandelt Absatz 6 und 200 Absatz 1 Satz 2 AO (6) [176] Im Verlauf der Prüfung kann die Finanzbehörde auch weitere Datenträger mit aufzeichnungsund aufbewahrungspflichtigen Unterlagen anfordern. Das Einlesen der Daten muss ohne Installation von Fremdsoftware auf den Rechnern der Finanzbehörde möglich sein. Eine Entschlüsselung der übergebenen Daten muss spätestens bei der Datenübernahme auf die Systeme der Finanzverwaltung erfolgen. GDPdU 2001 I, Ziffer 2; bereits in den GDPdU vorhanden 368 V2 184

185 2015 GoBS Umfang der Mitwirkungspflicht nach 147 Nicht behandelt Absatz 6 und 200 Absatz 1 Satz 2 AO (7) [177] Der Grundsatz der Wirtschaftlichkeit rechtfertigt nicht den Einsatz einer Software, die den in diesem Schreiben niedergelegten Anforderungen zur Datenträgerüberlassung nicht oder nur teilweise genügt und damit den Datenzugriff einschränkt. Die zur Herstellung des Datenzugriffs erforderlichen Kosten muss der Steuerpflichtige genauso in Kauf nehmen wie alle anderen Aufwendungen, die die Art seines Betriebes mit sich bringt. [178] Ergänzende Informationen zur Datenträgerüberlassung stehen auf der Internet-Seite des Bundesfinanzministeriums ( ) zum Download bereit. GDPdU 2001 Teilweise und in den FAQ; siehe II, Ziffer 3 Grundsatz der Verhältnismäßigkeit 369 Kommentar 11.2 Umfang der Mitwirkungspflicht nach 147 Absatz 6 und 200 Absatz 1 Satz 2 AO Im sehr umfangreichen und angepassten Abschnitt aus den GDPdU wurde die aktuelle Rechtsprechung und auch Details aus den Fragen-und-Antworten-Katalogen ergänzt. Im Prinzip werden hier die Anforderungen an die drei Formen des Zugriffs Z1, Z2 und Z3 noch einmal erläutert. Der Schutz von personenbezogenen oder vertraulichen Angaben auf Dokumenten soll dabei durch Schwärzen erfolgen (als Overlay oder direkt im Dokument? Dann ist das Original weg). Wenig sinnvoll. Aber die Verantwortung für den Schutz von Informationen liegt beim Steuerpflichtigen und die uneingeschränkte Verwertung gefundener Informationen ist weiterhin gegeben. Nummer [173] ist neu und bezieht sich konkret auf speziell erstellte Reports, die gefilterte Daten enthalten. Vielfach waren Reports die Rettung bei Abschalten alter Systeme. Vollständigkeit, inhaltliche Unverändertheit und maschinelle Auswertbarkeit müssen gewährleistet sein. An der Mitwirkungsbemessung Nummer [175] und an der Formulierung zur Wirtschaftlichkeit Nummer [177] wird sich noch manche Diskussion entzünden. 370 V2 185

186 2015 GoBS Zertifizierung und Software-Testate (1) Nicht behandelt [179] Die Vielzahl und unterschiedliche Ausgestaltung und Kombination der DV-Systeme für die Erfüllung außersteuerlicher oder steuerlicher Aufzeichnungsund Aufbewahrungspflichten lassen keine allgemein gültigen Aussagen der Finanzbehörde zur Konformität der verwendeten oder geplanten Hard- und Software zu. Dies gilt umso mehr, als weitere Kriterien (z. B. Releasewechsel, Updates, die Vergabe von Zugriffsrechten oder Parametrisierungen, die Vollständigkeit und Richtigkeit der eingegebenen Daten) erheblichen Einfluss auf die Ordnungsmäßigkeit eines DV-Systems und damit auf Bücher und die sonst erforderlichen Aufzeichnungen haben können. GDPdU 2001 Nicht behandelt GoBS Zertifizierung und Software-Testate (2) Nicht behandelt [180] Positivtestate zur Ordnungsmäßigkeit der Buchführung - und damit zur Ordnungs-mäßigkeit DVgestützter Buchführungssysteme - werden weder im Rahmen einer steuerlichen Außenprüfung noch im Rahmen einer verbindlichen Auskunft erteilt. [181] Zertifikate oder Testate Dritter können bei der Auswahl eines Softwareproduktes dem Unternehmen als Entscheidungskriterium dienen, entfalten jedoch aus den in Rz. 179 genannten Gründen gegenüber der Finanzbehörde keine Bindungswirkung. GDPdU 2001 Nicht behandelt 372 V2 186

187 Kommentar 12. Zertifizierung und Testate In der Vergangenheit gab es zahlreiche Diskussionen um den Wert von Produktzertifierungen (z.b. GDPdU-konform ). In den ursprünglichen Entwürfen zu den gab es eine klare Ansage: Zertifikate Dritter für Produkte sind nichts wert nur etwas mehr Beamtendeutsch formuliert. Durch Lobby-Arbeit und auf Grund einer vom BMF durchgeführten Marktstudie hat man sich entschlossen, Zertifikate zumindest als mögliches Entscheidungskriterium für die Produktauswahl gelten zu lassen. Weiterhin aber gilt, es wird immer die Installation und deren Betrieb vor Ort geprüft. Ob ein Produkt hier grundsätzlich geeignet ist, die Anforderungen der zu erfüllen, ist dabei unerheblich GoBS Anwendungsregelung [182] Im Übrigen bleiben die Regelungen des BMF- Schreibens vom 1. Februar 1984 (IV A 7 - S /84, BStBl I S. 155) unberührt. Standardformulierung zur Anwendung der Regelung [183] Dieses BMF-Schreiben gilt für Veranlagungszeiträume, die nach dem 31. Dezember 2014 beginnen. Es tritt an die Stelle der BMF- Schreiben vom 7. November IV A 8 - S /95 - (BStBl I S. 738) und vom 16. Juli IV D 2 - S /01 - (BStBl I S. 415), das durch BMF- Schreiben vom 14. September IV A 4 - S 0316/12/ (BStBl I S. 930) geändert wurde. [184] Dieses Schreiben wird im Bundessteuerblatt Teil I veröffentlicht. GDPdU 2001 Standardformulierung zur Anwendung der Regelung Im Auftrag Dieses Dokument wurde elektronisch versandt und ist nur im Entwurf gezeichnet. 374 V2 187

188 Kommentar 13. Anwendungsregelung Die übliche Anwendungsregelung, ab wann eine Verordnung gilt und welche anderen Verordnungen durch sie ersetzt oder geändert werden. Klar ist GDPdU und GoBS sind durch die abgelöst. Die gelten ab , jedoch ist bei laufenden und in naher Zukunft stattfindenden Prüfunegn davon auszugehen, dass diese noch nach GoBS und GDPdU vorgenommen werden. Dies gilt aber nicht für Überschneidungen mit den GAUFZ oder den Zollbestimmungen. Auch sind nicht alle Regelungen zu den GDPdU aufgeführt. So erhebt sich die Frage, ob jetzt auch das Verzögerungsgeld für Versäumnisse nach den gilt, die ursprünglich den GoBS zugeordnet waren. Mit der Veröffentlichung in den AEAO vom IV A 3 - S 0062/14/10009 ist auch die gesetzliche Verankerung erfolgt Rechtliche Grundlagen 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Urteile aus dem Umfeld von GoBS und GDPdU Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 376 V2 188

189 Urteil des Finanzgerichts Münster vom Rechtmäßigkeit eines Verlangens, bestimmte Daten auf einem Datenträger zur Verfügung zu stellen Bei der Auswahl der Zugriffsmethode hat das Finanzamt den Grundsatz der Verhältnismäßigkeit zu beachten Wenn ein Unternehmen dem Betriebsprüfer einen mittelbaren und unmittelbaren Datenzugriff auf das Warenwirtschaftssystem einräumt, sowie ihm sämtliche angeforderten Unterlagen in schriftlicher Form vorlegt, darf das Finanzamt nicht auf einer Datenträgerüberlassung bestehen, wenn das Unternehmen nicht über die technischen Mittel verfügt, einen entsprechenden Datenträger zu erstellen. Urteil: _13_AO_Urteil_ html / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 3 AUFBEWAHRUNG UND ELEKTRONISCHE ARCHIVIERUNGSSYSTEME Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 378 V2 189

190 3. Aufbewahrung und elektronische Archivierungssysteme 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Systemansätze und Architekturen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 379 Datenverarbeitungssystem im Sinne der Hauptsystem Vorgelagertes System Nebensystem Archivsystem (Universelles Auswertungsprogramm für steuerrelevante Daten) 380 V2 190

191 Drei Systemansätze Drei Systemansätze HSM: Nur Archivspeicher Integriert: Direkt angebundenes Archivsystem Autark: Separates, eigenständiges Archivsystem 381 Drei Systemansätze HSM Integriert Autark Anwendung Archivspeicher Anwendung Archiv- Verwaltung Anwendung Anwendung Archivspeicher System System System SIP Ingest Archiv- Verwaltung Archivspeicher Access Beispiel: ERP (SAP) Beispiel: Revisionssicheres Archiv Beispiel: OAIS-Archiv ISO V2 191

192 Architektur von elektronischen Archivsystemen Klassische Referenz-Datenbank-Architektur 383 Architektur von elektronischen Archivsystemen Client Client Client Erfassen ERP Office... Anwendungen Ausgeben Erfassen Archivsystem Management Index Datenbank Ausgeben Archivsystem Speicher 384 V2 192

193 Prinzipien 385 Sicherstellung der Auswertbarkeit Vorbedingung Die Daten müssen richtig, vollständig und auswertbar an das Speicher- oder Archivsystem übergeben werden Zusätzlich zu den Daten müssen Strukturbeschreibungen wie z.b. Bezeichnungen in Tabellenköpfen, Aufbau von Tabellen etc. auswertbar mit übergeben werden Die Stammdaten zu den Bewegungsdaten müssen den korrekten Stand der Daten widerspiegeln 386 V2 193

194 Archivierung steuerrelevanter Daten Unabhängige Lösung mit vollwertigem Zugriff 387 Archivierung steuerrelevanter Daten Rückübertragung in kaufmännische Anwendung? 388 V2 194

195 Eine Archiv-Management Middleware für alle Arten von Informationsobjekten Digital Signature Lotus HR SAP Host Applic. Web Office Fax Rendering Services Appliacation Interface Connectors Archive Management Archive Connectors Die Archiv-Middleware wurde entwickelt, um alle Arten von Dokumenten, Daten, Inhalten, Medien oder anderen digitalen Formaten zu speichern, zu verwalten, abzurufen und zu überliefern. 389 Eine Archiv-Management Middleware für alle Arten von Informationsobjekten Digital Signature Lotus SPACE SAP Host Applic. Web Office Fax Rendering Services Other Metadata Index Database Archive Management Federated Archive Repositories 390 V2 195

196 Eine Archiv-Management Middleware die alle rechtlichen Anforderungen erfüllt HGB AO GDPdU GAUFZ BGB Basel II Basel III SOX Application Interface Connectors Archive Management Archive Connectors Die Archiv-Middleware wurde entwickelt, um alle aktuellen und zukünftigen rechtlichen Anforderungen mit revisionssicherer Archivfunktionalität zu erfüllen. Gesetzesänderungen können einfach angepasst werden, ohne ein neues System installieren zu müssen. 391 Eine Archiv-Management Middleware die alle rechtlichen Anforderungen erfüllt HGB AO GDPdU GAUFZ BGB Basel II Basel III SOX Metadata Index Database Application Interface Connectors Archive Management Archive Connectors Die Archiv-Middleware beinhaltet eine Datenbank, die den Zugriff auf die gespeicherten Informationen regelkonform und unter Berücksichtigung spezieller rechtlicher Anforderungen kontrolliert, überwacht und verwaltet. 392 V2 196

197 Eine Archiv-Management Middleware die alle rechtlichen Anforderungen erfüllt HGB AO GDPdU GAUFZ BGB Basel II Basel III SOX Metadata Index Database Archive Management Archive Connectors Audit Trail Service Audit Trail Federated Archive Repositories Protokollierungsservices stellen sicher, dass die Prozesse nachvollziehbar und die rechtlichen Anforderungen erfüllt sind, ohne dass manuell eingegriffen werden muss. 393 Eine Archiv-Management Middleware für alle Anwendungen SAP SAP Lotus Sharepoint Outlook Office Special formats no index database metadata Metadata Index Database Archive Management Federated Archive Repositories Die Archiv-Middleware wurde entwickelt, um allen Standard- und Bankinganwendungen der Firma zu dienen. 394 V2 197

198 Universal-Archiv Ein Universal-Archiv ist durch eine übergreifende Verwaltung und Erschließung aller Informationstypen (unabhängig von Quellen, Formaten und Anwendungstypen) mit einheitlichem Management und Unterstützung verschiedener Archivspeichersysteme gekennzeichnet Aufbewahrung und elektronische Archivierungssysteme 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Revisionssichere Archivierung Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 396 V2 198

199 Revisionssicher Revisionssicher bzw. Revisionssicherheit bezieht sich auf den Begriff Re-vision im Sinne von zurückblickend. Lösungen können nicht im Voraus als sicher oder gar rechtssicher angesehen werden. Die Sicherheit in Bezug auf Vollständigkeit und Unverändertheit lässt sich erst rückblickend für jede einzelne Lösung feststellen. 397 Revisionssichere Archivierung Ein deutscher Begriff für Aufbewahrung im Sinne der Kombination von Records Management und elektronische Archivierung: Unter revisionssicherer Archivierung versteht man Archivsysteme, die nach den Vorgaben der Abgabenordnung (HGB und AO in Deutschland) und der Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten. Revisionssicher steht für rückblickend, Nachweisen könne, dass alles ordnungsgemäß archiviert wurde. Revisionssicherheit ist keine Produkteigenschaft. Sie beschreibt den Zustand einer Lösung aller organisatorischen Maßnahmen, Betrieb und Nutzungsmodelle. 398 V2 199

200 Revisionssicherheit: Kriterien nach Kampffmeyer Folgende grundsätzlichen Kriterien gelten für die Revisionssicherheit von Archivsystemen: Ordnungsmäßigkeit Vollständigkeit Sicherheit des Gesamtverfahrens Schutz vor Veränderung und Verfälschung Sicherung vor Verlust Nutzung nur durch Berechtigte Einhaltung der Aufbewahrungsfristen Dokumentation des Verfahrens Nachvollziehbarkeit Prüfbarkeit 399 Revisionssicherheit in AO und HGB Führung Büchern in elektronischer oder in Papierform und sonst erforderlicher Aufzeichnungen in elektronischer oder in Papierform: Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit ( 145 Abs. 1 AO, 238 Abs. 1 S. 2 und S. 3 HGB) Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung Vollständigkeit ( 146 Abs. 1 AO, 239 Abs. 2 HGB) Richtigkeit ( 146 Abs. 1 AO, 239 Abs. 2 HGB) Zeitgerechte Buchungen und Aufzeichnungen ( 146 Abs. 1 AO, 239 Abs. 2 HGB) Ordnung ( 146 Abs. 1 AO, 239 Abs. 2 HGB) Unveränderbarkeit ( 146 Abs. 4 AO, 239 Abs. 3 HGB) 400 V2 200

201 Revisionssicherheit: Kriterien Revisionssicherheit ist kein technisches Merkmal. Es gibt daher auch keine revisionssicheren Speichermedien und keine revisionssicheren Archivsystemprodukte! Revisionssicherheit ist rückblickend (re-vision) auf den Einsatz eines Systems bei einem Anwender in Bezug auf die zum Zeitpunkt der Betrachtung feststellbare ordnungsmäßige Nutzung in der Vergangenheit bezogen Revisionssicherheit schließt die Prozesse, die Organisation, die Governance und den Betrieb ein. Dies ist in einer Verfahrensdokumentation nachzuweisen Aufbewahrung und elektronische Archivierungssysteme 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Funktionale Anforderungen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 402 V2 201

202 Zusammenfassung Funktionalitäts-Anforderungen Programmgestützter, direkter Zugriff auf einzelne Informationsobjekte, landläufig auch Dokumente genannt, oder Informationskollektionen, z. B. Listen, Container mit mehreren Objekten etc. Datenbankgestützte Verwaltung der Informationsobjekte auf Basis von Metadaten und gegebenenfalls Volltexterschließung der Inhalte der archivierten Informationsobjekte Sicherstellung, dass nur Berechtigte auf die für sie freigeschaltete Information zugreifen können Unterstützung verschiedener Indizierungs- und Recherchestrategien, um auf die gesuchte Information direkt zugreifen zu können Einheitliche und gemeinsame Speicherung beliebiger Informationsobjekte, vom gescannten Faksimile über Dokumentenformat-Dateien und s bis hin zu komplexen XML- Strukturen, Listen, COLD-Dokumenten oder ganzen Datenbankinhalten Verwaltung von Speichersystemen mit nur einmal beschreibbaren Medien einschließlich des Zugriffs auf Medien die sich nicht mehr im Speichersystem direkt befinden Sicherstellung der Verfügbarkeit der gespeicherten Informationen über einen längeren Zeitraum, der Jahrzehnte betragen kann Bereitstellung von Informationsobjekten unabhängig von der sie ursprünglich erzeugenden Anwendung auf verschiedenen Klienten und mit Übergabe an andere Programme Unterstützung von Klassen-Konzepten zur Vereinfachung der Erfassung durch Vererbung von Merkmalen und Strukturierung der Informationsbasis Konverter zur Erzeugung von langfristig stabilen Archivformaten und Betrachter (engl. Viewer) zur Anzeige von Informationsobjekten, für die die ursprünglich erzeugende Anwendung nicht mehr zur Verfügung steht 403 Zusammenfassung Funktionalitäts-Anforderungen Unterstützung von Standards für die spezielle Aufzeichnung von Informationen auf Speichern mit WORM-Verfahren, für gespeicherte Dokumente und für die Informationsobjekte beschreibende Metadaten um eine langfristige Verfügbarkeit und die Migrationssicherheit zu gewährleisten Unterstützung von automatisierten, nachvollziehbaren und verlustfreien Migrationsverfahren Absicherung der gespeicherten Informationsobjekte gegen unberechtigten Zugriff und gegen Veränderbarkeit der gespeicherten Information Übergreifende Verwaltung unterschiedlicher Speichersysteme, um z. B. durch Zwischenspeicher (Caches) schnellen Zugriff und zügige Bereitstellung der Informationen zu gewährleisten Standardisierte Schnittstellen, um elektronische Archive als Dienste in beliebige Anwendungen integrieren zu können Eigenständige Wiederherstellungsfunktionalität (Recovery), um inkonsistent gewordene oder gestörte Systeme aus sich heraus verlustfrei wieder aufbauen zu können Sichere Protokollierung von allen Veränderungen an Strukturen und Informationsobjekten, die die Konsistenz und Wiederauffindbarkeit gefährden können und dokumentieren, wie die Informationen im Archivsystem verarbeitet wurden Alle Transaktionen bei Import, Einstellen von Attributen in die Datenbank, Schreiben auf das Archivmedium, Löschen von Caches, Bereitstellung an Anwendungen und Export müssen transaktionssicher sein Archivobjekte müssen eine weltweit eindeutige UID Unique Identifier besitzen 404 V2 202

203 3. Aufbewahrung und elektronische Archivierungssysteme 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Grundsätze der elektronischen Archivierung Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 405 VOI Merksätze Jedes Dokument muss unveränderbar archiviert werden 2. Es darf kein Dokument auf dem Weg ins Archiv oder im Archiv selbst verloren gehen 3. Jedes Dokument muss mit geeigneten Retrieval- Techniken wieder auffindbar sein 4. Es muss genau das Dokument wiedergefunden werden, das gesucht worden ist 5. Kein Dokument darf während seiner vorgesehenen Lebenszeit zerstört werden können 6. Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können 7. Jedes Dokument muss zeitnah wiedergefunden werden können 406 V2 203

204 VOI Merksätze Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist 9. Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist 10.Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB/AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen 407 VOI Merksätze Jedes Dokument muss nach Maßgabe der rechtlichen und organisationsinternen Anforderungen ordnungsgemäß aufbewahrt werden 2. Die Archivierung hat vollständig zu erfolgen kein Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen 3. Jedes Dokument ist zum organisatorisch frühestmöglichen Zeitpunkt zu archivieren 4. Jedes Dokument muss mit seinem Original übereinstimmen und unveränderbar archiviert werden 5. Jedes Dokument darf nur von entsprechend berechtigten Benutzern eingesehen werden 6. Jedes Dokument muss in angemessener Zeit wiedergefunden und reproduziert werden können 408 V2 204

205 VOI Merksätze Jedes Dokument darf frühestens nach Ablauf seiner Aufbewahrungsfrist vernichtet, d.h. aus dem Archiv gelöscht werden 8. Jede ändernde Aktion im elektronischen Archivsystem muss für Berechtigte nachvollziehbar protokolliert werden 9. Das gesamte organisatorische und technische Verfahren der Archivierung kann von einem Sachverständigen Dritten jederzeit geprüft werden 10.Bei allen Migrationen und Änderungen am Archivsystem muss die Einhaltung aller zuvor aufgeführten Grundsätze sichergestellt sein / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 4 AUFBEWAHRUNGSDAUER UND AUFBEWAHRUNGSFRISTEN IN DEUTSCHLAND Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 410 V2 205

206 4. Aufbewahrungsdauer und -fristen in Deutschland 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Behandlung von Aufbewahrungsfristen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 411 Anfang & Ende von Aufbewahrungsfristen Aufbewahrungsfristen sind einfach? Eingang Beginn Ende Vernichtung Entstehung 10 Jahre Langzeit- Archivierung 412 V2 206

207 Anfang & Ende von Aufbewahrungsfristen Aufbewahrungsfristen sind einfach? Handels- und steuerrechtlich: JA! 7 oder 10 plus das laufende Jahr! Beginn Buchungsdatum Ende Vernichtung 10 Jahre Anfang & Ende von Aufbewahrungsfristen Wann beginnt eine Aufbewahrungsfrist? Mit dem Record- Declaration -Datum Eingang Entstehung Beginn? Mit dem in eine Akte einordnen -Datum Mit dem Sachbearbeitung zu Ende -Datum Mit dem Entstehungsdatum Mit dem Eingangsdatum Mit dem Erfassungsdatum Differenz 0 Minuten bis 10 Jahre 414 V2 207

208 Anfang & Ende von Aufbewahrungsfristen Wie lange läuft eine Aufbewahrungsfrist? Legal Hold setzt den Ablauf der Aufbewahrungsfrist aus (Gerichtsfall) konkurrierende Laufzeiten Beginn Ende n Jahre + das laufende Jahr Definierte Laufzeit + n Jahre 415 Anfang & Ende von Aufbewahrungsfristen Wann endet eine Aufbewahrungsfrist? Gesetzgeber verkürzt die Aufbewahrungsfrist konditional abhängig von der Laufzeit eines Vertrages Frist einer Akte länger als die enthaltener Dokumente konditional abhängig von der Lebenszeit eines Vertragspartners + n Jahre Konditionale Laufzeit + x Jahre Aufbewahrungswürdig unabhängig von Aufbewahrungsfrist Langzeit- Archivierung 416 V2 208

209 4. Aufbewahrungsdauer und -fristen in Deutschland 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Quellen und Listen für Aufbewahrungsfristen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 417 Aufbewahrungsfristen gemäß AO Grundsätzlich alle Aufbewahrungsformen erlaubt, die den Anforderungen der GoB entsprechen Bei Wiedergabe muss sichergestellt sein, dass Handels- und Geschäftsbriefe bildlich übereinstimmen müssen, bei anderen Unterlagen genügt die inhaltliche Übereinstimmung Die Bilanz muss auf jeden Fall im Original aufbewahrt werden, dazu gehört auch die GuV- Rechnung. 418 V2 209

210 Aufbewahrungsfristen gemäß AO Unterlagen, die 10 Jahre aufbewahrt werden müssen: Bücher und Aufzeichnungen (Dazu gehören nicht nur Handelsbücher, sondern auch alle anderen Geschäftsbücher, die für die Besteuerung von Bedeutung sind, z. B. vorläufige Aufzeichnungen für Umsatzsteuerzwecke) Inventare (Aufzeichnungen über die körperliche Bestandsaufnahme) Jahresabschlüsse und Lageberichte (dazu zählen Bilanzen und GuV-Rechnungen) Die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen (besonders bei der Verwendung von EDV-Anlagen, damit das verwandte Verfahren von einem sachverständigen Dritten überprüft werden kann.) 419 Aufbewahrungsfristen gemäß AO Unterlagen, die 6 Jahre aufbewahrt werden müssen: Empfangene Handels- und Geschäftsbriefe (Handels- und Geschäftsbriefe: bei einem Kaufmann kommen nur Handelsbriefe vor, während bei einem Freiberufler oder Landwirt nur Geschäftsbriefe vorkommen.) Wiedergaben der abgesandten Handels- und Geschäftsbriefe Buchungsbelege (Alle Belege, die mit einer Buchung in Zusammenhang stehen, werden als Buchungsbelege bezeichnet.) Sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind. (Bei den sonstigen, für die Besteuerung relevanten Unterlagen nur jene, die Bestandteil der Buchführung sind.) 420 V2 210

211 Liste: Unterlagen mit Mindestaufbewahrungsfrist 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 421 Liste: Unterlagen mit Mindestaufbewahrungsfrist 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 422 V2 211

212 Aufbewahrungsfristen Dokumentation in der Anlage: 03 Tabelle Aufbewahrungsfristen.pdf 04 Iron Mountain Guide 2013 Germany Retention.pdf Aufbewahrungsdauer und -fristen in Deutschland 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Anstehende Änderungen bei Aufbewahrungsfristen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 424 V2 212

213 Aufbewahrungsfristen nach JStG 2013 Neue Regeln für die Aufbewahrungsfristen nach JStG 2013 im Bundestag verabschiedet, aber vom Bundesrat abgelehnt Folgende Änderungen sind in den Ausschüssen in der Diskussion: Aufbewahrungsfristen ab 2013 auf 8 Jahre, ab 2015 dauerhaft auf 7 Jahre Betrifft Rechnungen und Belege nach 147 AO, 257 HGB und 14 b UStG. Die Verkürzung der Aufbewahrungsfrist auf 8 bzw. 7 Jahre betrifft folgende Unterlagen: Bücher und Aufzeichnungen, Inventare Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz Arbeitsanweisungen und sonstige Organisationsunterlagen, die zum Verständnis der vorgenannten Unterlagen erforderlich sind Buchungsbelege Unterlagen, die einer mit Datenverarbeitungs-Mitteln abzugebenden Zollanmeldung beizufügen sind. Das gilt, sofern die Zollbehörden auf ihre Vorlage verzichtet oder sie die Belege nach erfolgter Vorlage zurückgegeben hatten / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 5. VERFAHRENSDOKUMENTATION NACH GOBD Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 426 V2 213

214 PROJECT CONSULT 2002 PROJECT CONSULT Seminar S11 : Verfahrensdokumentation Eine Verfahrensdokumentation ist für alle elektronischen Aufbewahrungs- und Archivsysteme, in denen Daten und Dokumente, die unter das HGB (und die ) fallen, Pflicht. Die Erstellung und Fortschreibung der Verfahrensdokumentation liegt in der Verantwortung des Betreibers, im Sinne der ist dies jedoch das steuerpflichtige Unternehmen. Die Verfahrensdokumentation muss vollständig, nachvollziehbar und prüfbar sein. Die Verfahrensdokumentation lebt. 427 Bedeutung Die Bedeutung der Verfahrensdokumentation ergibt sich bereits aus der Anzahl der Nennungen in den und dem eigenen Abschnitt 10.1 (Seite 32f; [151] bis [157]): Verfahrensdokumentation : 20mal [34], [35], [66], [101], [102], [133], [136], [140], [145], [150], [151], [152], [153], [154], [155], [160] Nimmt man die Zahlen für Dokumentation und Nachvollziehbarkeit hinzu, verstärkt sich diese Bedeutung noch mehr: Dokumentation : 7mal Nachvollziehbarkeit : 7mal 428 V2 214

215 PROJECT CONSULT 2002 PROJECT CONSULT Seminar S11 Hinweis Checklisten, Muster und Hinweise spiegeln allgemeine Empfehlungen wieder. Sie sind für die spezifischen Belange einer Organsiation, derer Geschäftstätigkeit, Organisation, Prozesse und Systeme entsprechend anzupassen. Die vorgestellten Elemente von Verfahrensdokumentationen und Checklisten müssen nicht alle auf den individuellen Einsatz zutreffen noch sind sie vollständig Verfahrensdokumentation nach 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vorgehen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 430 V2 215

216 PROJECT CONSULT 2002 PROJECT CONSULT Seminar S11 Prinzipien Das Führen einer Verfahrensdokumentation ist kein Projekt. Die Ersterstellung kann in einem Projekt durchgeführt werden, die Pflege und Nachhaltung aber ist ein ständiger geordneter Prozess. Für die Verwaltung und Aktualisierung ist ein Verantwortlicher zu benennen. Der Verantwortliche überwacht alle Aktivitäten, die zu Veränderungen in der eingesetzten Lösung und ind en zugehröiogen Prozessen führen. Er koordiniert die Zuständigen Bereiche und Mitarbeiter für die Nachpflege der Dokumentation Verfahrensdokumentation nach 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Anwendungsgebiete und Abdeckung durch Verfahrensdokumentationen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 432 V2 216

217 PROJECT CONSULT 2002 PROJECT CONSULT 2002 PROJECT CONSULT Seminar S11 Anwendungsbereiche Enger Anwendungsbereich HGB/AO, Steuerrecht (, GAUFZ) Zoll Erweiterter Anwendungsbereich HGB/AO,, GAUFZ etc. plus Revisionssichere Archivierung generell mit Unterlagen, die für BGB, ZPO, ProdHaftG etc. relevant sind Branchenspezifischer Anwendungsbereich Gesetze und Verordnungen für Branchen wie Pharma, Finanz, Energie, Chemie, Gesundheitswesen etc. Generell ist heute davon auszugehen, dass für jedes Dokumentenmanagement und Archivsystem eine Verfahrensdokumentation zwingend erforderlich oder zumindest sinnvoll ist. 433 Anwendungsfälle Enger Anwendungsfall Alle Systeme und Prozesse, in den relevante Daten und Dokumente entstehen, empfangen, gespeichert und entsorgt werden. Klassischerweise Archivierungs- und Dokumentenmanagementsysteme im engeren Sinn. Erweiterte Anwendungsfälle Vorgelagerte. Nachgelagerte und Nebensysteme des eigentlichen Archivierungs- und Dokumentenmanagementsystems. Dies dient dazu, über den gesamten Prozess und alle betroffenen Systeme einen Nachweis zu führen. Letztere Verfahrensdokumentationen können sehr umfangreich und sehr komplex werden. 434 V2 217

218 PROJECT CONSULT 2002 PROJECT CONSULT Seminar S11 5. Verfahrensdokumentation nach 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Zuständigkeiten für die Erstellung der Teile einer Verfahrensdokumentation Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 435 Zuständigkeit der Erstellung Verantwortlich für die Erstellung der Verfahrensdokumentation ist das steuerpflichtige Unternehmen, bzw. der Eigentümer der Daten und Dokumente. Diese grundsätzliche Verantwortung besteht auch dann, wenn die Erstellung der Verfahrensdokumentation an Wirtschaftsprüfer, Berater, Outsourcing-Unternehmen oder Anbieter von Archivlösungen abgegeben wurde. Innerhalb des Unternehmens ist die Verantwortlichkeit in der Regel an den zuständigen Fachbereich delegiert, der für die Prozesse und die dazugehörigen Daten / Dokumente verantwortlich ist. Es ist ein Hauptverantwortlicher für die Pflege der Verfahrensdokumentation zu benennen, der die übrigen Beitragernden koordiniert. Der Fachbereich zieht im Regelfall folgende Organisationseinheiten oder externe Unterstützer hinzu: Revision, Rechtsabteilung: Rechtscharalter der Informationen, Aufbewahrungsfristen IT-Abteilung, Anbieter: Beschreibung der Systeme, Test Wirtschaftsprüfer: Abnahme der Systeme und Verfahrensdokumentation 436 V2 218

219 Zuständigkeiten für Komponenten Für die Einhaltung der GoB ist auch bei einer DV-Buchführung allein der Steuerpflichtige verantwortlich. Die Verantwortlichkeit erstreckt sich dabei auf den Einsatz sowohl von selbst- als auch fremderstellter DV- Buchführungssysteme. Wird die DV-Buchführung im Auftrag durch Fremdfirmen durchgeführt, obliegt die Einhaltung der GoB/ ebenfalls dem auftraggebenden Buchführungspflichtigen. Im Rahmen von Dokumenten-Management- und Archiv-Systemen gilt dieses auch bei der Vergabe von Scan- und Archivdienstleistungen an Dritte. Zur Sicherstellung des ordnungsmäßigen Betriebes sollte die entsprechende Zuständigkeit und Verantwortlichkeit für alle eingesetzten Komponenten schriftlich fixiert werden. Damit werden im Rahmen der Gesamtlösung die Weiterentwicklung und Fehlerbehebung geklärt. 437 Zuständigkeiten für Komponenten Hersteller Ordnungsgemäßes technisches Funktionieren seiner Komponenten Gewährleistungszeiträume sowie Ansprechpartner im Fehlerfalle benennen Gutachten und Zertifikate zur Vertiefung der zugesicherten Eigenschaften der Komponenten Systemintegratoren Bereitstellung der Lösung aus herkömmlichen DV-Komponenten, Datenbanken, elektronischen Speichersystemen und eigener Software Gewährleistungszeiträume sowie Ansprechpartner in Problemfällen benennen Pflichtenheft zur Fixierung der Funktionalität unterstützt Eindeutigkeit des Funktionsumfangs Steuerpflichitger Betreiber Ordnungsgemäßer Betrieb der Gesamtlösung Gesetzliche Verantwortung des Buchführungspflichtigen, der unter Berücksichtigung der Vorgaben des Herstellers und Systemintegrators seinen gesetzlichen Verpflichtungen nachkommen muss Pflege und Fortschreibung der Verfahrensdokumentation Verantwortlichen Ansprechpartner für die Gesamtlösung benennen 438 V2 219

220 PROJECT CONSULT 2002 PROJECT CONSULT Seminar S11 5. Verfahrensdokumentation nach 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Erst-Erstellung, Aktualisierung und Migrationsdokumentation Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 439 Erstellung Erst-Erstellung Die erste Erstellung sollte bereits parallel zur Erstellung des Fachkonzeptes und der Lösung durch IT/Anbieter begonnen werden, da zu diesem Zeitpunkt alle wichtigen Informationen für die Verfahrensdokumentation aus erster Hand vorliegen und aktuell sind. Die Verfahrensdokumentation muss zur Abnahme vorliegen und ist Gegenstand der Überprüfung (Test) der Lösung. Pflege Die Verfahrensdokumentation unterliegt ständiger Prüfung bei Änderungen an Systemen, Prozessen, Arbeitsorganisation und anderen Rahmenbedingungen. Sie ist konsistent, aktuell und mit entsprechender Überprüfung gegen die tatsächlichen Verfahren fortzuschreiben. Migration Bei Migration von Lösungen (auch Komponenten, Teilen von Systemen etc.) ist für den Migrationsprozess selbst und das neue Zielsystem jeweils eine eigene Verfahrensdokumentation zu erstellen. 440 V2 220

221 5. Verfahrensdokumentation nach 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Beteiligte im Erstellungsprozess für Verfahrensdokumentationen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 441 Erstellung und Zuständigkeit Verfahrensdokumentation werden meistens von unterschiedlichen Personen aus unterschiedlichen Bereichen und Unternehmen erstellt Bei der Erstellung unbedingt erforderlich gleich zu Beginn der Arbeiten die Zuständigkeiten festzulegen unnötige oder doppelte Arbeiten vermeiden Am häufigsten betroffenen Bereiche: Interne Mitarbeit erforderlich von Externe Mitarbeit erforderlich von Rechtsabteilung Fachabteilung Geschäftsführung Organisation IT-Bereich Revision Integrator Hersteller Generalunternehmer ASP Betreiber Wirtschaftsprüfer/Steuerberater 442 V2 221

222 5. Verfahrensdokumentation nach 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Überprüfung, Kontrollen und Nachhaltung Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 443 Überprüfungen und Kontrollen Eine Verfahrensdokumentation lebt und ist ständig aktuell zu halten. Dies erfordert regelmäßige Überprüfung der Übereinstimmung der Lösung, der Prozesse und der Nutzung mit der Verfahrensdokumentation. Die definieren darüberhinaus Kontrollen, die während der Nutzung der Lösung durchzuführen sind. Daher sind zu unterscheiden: Laufende Kontrollen während des Betriebs und der Nutzung der Lösung Änderungsbedingte Kontrollen der der Lösung selbst 444 V2 222

223 Kontrollen im laufenden Betrieb Kontrollfelder der Zugangs- und Zugriffsberechtigungskontrollen Funktionstrennungen Erfassungs-, Eingabekontrollen Übertragungskontrollen Verarbeitungskontrollen Abstimmungskontrollen Plausibiliätskontrollen Vollständigkeitskontrollen Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigten Verfälschung von Programmen, Daten und Dokumenten 445 Mögliche Prüffelder für die Lösung (1) Prüfung der Verfahren zur Beantragung, Genehmigung und Einrichtung von Benutzerberechtigungen innerhalb der IT-Systeme (gleichermaßen für Betriebssystem- und Anwendungsebene) Sieht die Benutzerverwaltung ein formales Antrags- und Genehmigungsverfahren vor? Prüfung der hinterlegten Benutzerberechtigungen insbesondere dahingehend, ob die eingerichteten Berechtigungen den beantragten Rechten und dem tatsächlichen Aufgabengebiet des Mitarbeiters entsprechen Existiert eine regelmäßige Benutzerkontenkontrolle? Werden Veränderungen im Benutzerbestand und bei den Berechtigungsumfängen zeitnah berücksichtigt (Neueinstellung und Ausscheiden von Mitarbeitern, interner Wechsel)? Prüfung der Grundsätze zur Funktionentrennung bzw. zur Einhaltung des Vier- Augen-Prinzips Prüfung der Verlässlichkeit von Plausibilitätskontrollen bei der Belegerfassung Welche anwendungs- und prozessbezogenen Kontrollen bestehen bei der Erfassung und Verarbeitung von Geschäftsvorfällen? nach Stefan Groß, 4 Säulen-Modell der 446 V2 223

224 Mögliche Prüffelder für die Lösung (2) Welche anwendungs- und prozessbezogenen Kontrollen bestehen bei der Erfassung und Verarbeitung von Geschäftsvorfällen? Prüfung, wie und welche rechnungslegungsrelevanten Daten aus dem Geschäftsprozess in die Rechnungslegung übergeleitet werden (insbesondere Datenfluss, Belegfluss, Schnittstellen) Prüfung der zeitnahen Bearbeitung von Fehlermeldungen und protokollen Soweit Outsourcing: Prüfung, ob Sicherheits- und Ordnungsmäßigkeitsanforderungen durch den Dienstleister eingehalten werden Soweit Outsourcing: Prüfung der zugrunde liegenden Verträge sowie insbesondere Service Level Agreements (SLA) Prüfung von Vorkehrungen gegen Unauffindbarkeit, Vernichtung, Untergang oder Diebstahl der DV-Systeme Prüfung des Vorhandenseins von Zugangs- und Zugriffskontrollen gegen unberechtigte Eingaben und Veränderungen Wurden für alle rechnungslegungsrelevanten Anwendungen Berechtigungskonzepte unter Beteiligung der Fachabteilungen oder der Geschäftsleitung erstellt und genehmigt? nach Stefan Groß, 4 Säulen-Modell der 447 Mögliche Prüffelder für die Lösung (3) Existieren Regelungen zur Durchführung der Datensicherung, die eine regelmäßige physische Sicherung relevanter Daten sicherstellen (Datensicherungskonzept)? Existieren Regelungen zur Datensicherung (Intervalle, Aufbewahrung, Zuständigkeiten, Vertretungsregelungen, Dokumentation der Datensicherungen)? Erfolgen regelmäßige Rücksicherungs- bzw. Restore-Tests (Wiederherstellbarkeit von Programmen und Daten im Ernstfall)? Prüfung, ob alle Informationen, die einmal in den Verarbeitungsprozess eingeführt werden, nicht mehr unterdrückt oder ohne Kenntlichmachung überschrieben, gelöscht, geändert oder verfälscht werden können Bleiben bei späteren Änderungen der ursprüngliche Inhalt wie auch die Tatsache, dass Veränderungen vorgenommen wurden, erkennbar? Sind Belege unmittelbar gegen Veränderung oder Löschung geschützt? Bleibt bei der Änderung von Stammdaten die eindeutige Bedeutung in den entsprechenden Bewegungsdaten erhalten? nach Stefan Groß, 4 Säulen-Modell der 448 V2 224

225 Mögliche Prüffelder für die Lösung (4) Ist durch entsprechende Erfassungs-, Übertragungs- und Verarbeitungskontrollen sichergestellt, dass alle Geschäftsvorfälle vollständig erfasst oder übermittelt werden und danach nicht unbefugt und nicht ohne Nachweis des vorausgegangenen Zustandes verändert werden können? Sind alle für die Verarbeitung erforderlichen Tabellendaten, deren Historisierung und Programme gespeichert? Prüfung, wie das elektronische Buchführungsverfahren die zeitliche Ordnung (Journalfunktion) als auch die sachliche Ordnung (Kontenfunktion) gewährleistet Ist eine vollständige, zeitgerechte und formal richtige Erfassung, Verarbeitung und Wiedergabe der eingegebenen Geschäftsvorfälle gegeben? Prüfung, ob die Journalfunktion in vorgelagerten IT-Anwendungen mit Übertragung von Summenbuchungen übernommen wird und Kontroll- und Abstimmungsverfahren zu vorhandenen Haupt- und Nebenbüchern implementiert sind (Funktionalität von Schnittstellen) Prüfung, ob die im Journal in zeitlicher Reihenfolge einzeln aufgezeichneten Geschäftsvorfälle in sachlicher Ordnung auf Konten dargestellt werden Sind alle notwendigen Angaben zu Sach- und Personenkonten enthalten: Kontenbezeichnung; Kennzeichnung der Buchungen; Summen und Salden nach Soll und Haben; Buchungsdatum; Belegdatum; Gegenkonto; Belegverweis; Buchungstext bzw. dessen Verschlüsselung? nach Stefan Groß, 4 Säulen-Modell der 449 Mögliche Prüffelder für die Lösung (5) Ist die Verfahrensdokumentation aussagekräftig, vollständig, verständlich und aktuell? Prüfung der organisatorischen Festlegungen und Verfahrensanweisungen des Archivierungsverfahrens Prüfung der korrekten und vollständigen Übernahme und Erfassung der Daten und Dokumente Prüfung der Zugriffskontrollen innerhalb des Archivierungssystems Prüfung der Kriterien Integrität, Verfügbarkeit, Autorisierung und Authentizität Prüfung der Ordnungskriterien und Indexierung von archivierten Dokumenten Prüfung der korrekten elektronischen Aufbewahrung von s Prüfung anstehender/stattgefundener Migrationen (Altdatenbestände) insbesondere im Hinblick auf eine korrekte Datenübernahme Sind alle relevanten automatischen Bearbeitungsschritte dokumentiert? Prüfung, ob aktuelle interne Verfahrensübersichten bzw. ein Verfahrensverzeichnis vorliegen und ob diese bei Veränderungen zeitnah gepflegt werden Liegt eine Anwenderdokumentation und technische Systemdokumentation für sämtliche IT- Systeme im Unternehmen (Benutzerhandbuch, Administrationshandbuch usw.) vor? Prüfung, ob die vom Hersteller gelieferten Dokumentationen durch die Darstellung der individuellen Anpassungen ergänzt wurden nach Stefan Groß, 4 Säulen-Modell der 450 V2 225

226 Mögliche Prüffelder für die Lösung (6) Sind in der Verfahrensdokumentation alle relevanten Tätigkeiten durch Verfahrensund Arbeitsanweisungen dokumentiert? Existiert eine aussagekräftige und vollständige Verfahrensdokumentation? Existiert zu den wesentlichen Geschäftsvorfällen eine Transaktionskontrolle und Konsistenzprüfung? Werden alle Geschäftsvorfälle vollzählig und lückenlos aufgezeichnet? Sind Buchungen ohne Beleg ausgeschlossen? Beinhaltet die Belegfunktion alle notwendigen Informationen zum Geschäftsvorfall? Werden in Belegen, Büchern und Aufzeichnungen die Geschäftsvorfälle inhaltlich zutreffend abgebildet? Werden sämtliche Geschäftsvorfälle Buchungsperioden zugeordnet und zeitnah erfasst? Werden Buchungen einzeln und sachlich geordnet nach Konten dargestellt und können diese unverzüglich lesbar gemacht werden? Ist gewährleistet, dass Informationen, welche in den Verarbeitungsprozess Eingang gefunden haben, nicht mehr unterdrückt oder ohne Kenntlichmachung überschrieben, gelöscht, geändert oder verfälscht werden können? nach Stefan Groß, 4 Säulen-Modell der 451 Mögliche Prüffelder für die Lösung (7) Lassen sich für den Datenzugriff alle drei Zugriffsarten nebeneinander gewährleisten? Prüfung der Sicherstellung eines Berechtigungskonzepts mit Prüferrolle Prüfung der Bereitstellung aller Daten/Dokumente mit steuerlicher Relevanz Liegt eine plausible Erstqualifizierung der steuerlich relevanten Daten vor? Können steuerrelevante Daten aus Vor- und Nebensystemen über die Dauer der Aufbewahrungsfrist uneingeschränkt zur Verfügung gestellt werden? Können alle zur Auswertung der Daten notwendigen Strukturinformationen in maschinell auswertbarer Form zur Verfügung gestellt werden? Kann eine ausreichende und vollständige Verfahrensdokumentation auf Verlangen zur Verfügung gestellt werden? Kann eine Daten- und Systemtrennung nach steuerlicher Relevanz vorgenommen werden? Kann eine Daten- und Systemtrennung nach Zeiträumen (Prüfungszeitraum) vorgenommen werden? Sind die Art der Aufbewahrungsmedien (Original, Datenträger) sowie die technischen Voraussetzungen für die Gewährleistung der jederzeitigen Lesbarmachung definiert? Kann die maschinelle Auswertbarkeit über die Dauer der Aufbewahrungsfrist gewährleistet werden? Können unternehmensspezifische Einstellungen, Anpassungen, Parametrisierungen und Änderungen in Tabellen vorgehalten werden? nach Stefan Groß, 4 Säulen-Modell der 452 V2 226

227 Mögliche Prüffelder für die Lösung (8) Können im Fall von Migrationen quantitativ und qualitativ adäquate Auswertungsmöglichkeiten aufrechterhalten werden? Sind bei Archivierung unverändert quantitativ und qualitativ die gleichen Auswertungen in der Art gegeben, als wären die aufzeichnungsund aufbewahrungspflichtigen Daten noch im Produktivsystem? Prüfung, inwieweit das Scan- und Erfassungsverfahren mit entsprechenden Kontrollen ausgestattet ist? Ist das Verfahren ausreichend und vollständig dokumentiert (Verfahrensdokumentation)? Können mittels Scanprozess einer Digitalisierung zugeführte Unterlagen lesbar gemacht werden? Prüfung außersteuerlicher Vorschriften im Hinblick auf die Vernichtung der Originalbelege? Prüfung der Interessen des Steuerpflichtigen, die einer Vernichtung der Originalbelege entgegenstehen könnten? nach Stefan Groß, 4 Säulen-Modell der Verfahrensdokumentation nach 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Qualität Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 454 V2 227

228 Qualitätssicherung Bei der Qualität der Dokumenten-Management- und Archivsoftware ist zwischen der Qualität von Standardsoftware, der Qualität von individuell erstellter Software für die jeweilige Anwendung und der Qualität der Prozesse und Verfahren beim Anwender selbst. zu unterscheiden. Hinzu kommt die Qualität der gespeicherten Informationsobjekt selbst: Inhaltliche Qualität, d.h. Richtigkeit, Authentizität und Integrität sowie Format-treue, d.h. Anzeige- und Reproduktionsqualität. 455 Qualität bei der Auswahl Einführung kann mit erheblichen Kosten verbunden sein; Anwender muss bei der Anbieterauswahl besondere Aufmerksamkeit auf die Qualität bei der Software der Lesbarkeit und Reproduzierbarkeit von Dokumenten der Dokumentation des Verfahrens der Modularität der Updatefähigkeit der Wartbarkeit den Tools zur Pflege des Systems legen. Der Anbieter sollte in der Lage sein eine Bescheinigung über die Durchführung der Qualitätssicherung nach ISO 9000 liefern zu können. Qualität kann aber auch durch Testverfahren und Abhandlung aufgetretener Fehlerquellen nachgewiesen werden. Der Anbieter muss seine Maßnahmen zur internen und externen Qualitätssicherung darlegen. 456 V2 228

229 PROJECT CONSULT 2002 PROJECT CONSULT Seminar S11 5. Verfahrensdokumentation nach 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Bestandteile und Struktur Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 457 Aus den GOBD 10.1 Verfahrensdokumentation Die Verfahrensdokumentation besteht in der Regel aus einer allgemeinen Beschreibung, einer Anwenderdokumentation, einer technischen Systemdokumentation und einer Betriebsdokumentation. Diese Aufzählung ist beispielhaft zu verstehen. 458 V2 229

230 PROJECT CONSULT 2002 PROJECT CONSULT Seminar S11 Verfahrensdokumentation: Prinzipien Unabhängig von der Aufzählung vier möglicher Komponenten einer Verfahrensdokumentation in den empfiehlt sich, eine Verfahrensdokumentation wie folgt zu strukturieren: Eigentliche Verfahrensbeschreibung Anhänge Anlagen Diese sollte alle Teile enthalten, die nicht einem kurzfristigen Änderungensdienst unterliegen. Als Anhänge werden selbst erstellte Verzeichnisse geführt, die ständig aktualisiert werden müssen und einem hohen Änderungsdienst aufweisen. Als Anlagen werden eigenständige Dokumentationen geführt, die in sich geschlossen sind und häufig von Dritten zur Verfügung gestellt werden. Ziel ist es, die Aktualisierung einfach und übersichtlich zu halten, ohne jedes Mal grundlegende Dokumente ändern zu müssen Verfahrensdokumentation nach 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Umfang und Aufbau Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 460 V2 230

231 PROJECT CONSULT 2002 PROJECT CONSULT Seminar S11 : Verfahrensdokumentation Umfang und Aufbau Umfang und Aufbau einer Verfahrensdokumentation sind nicht vorgeschrieben Die legen nur den Mindestinhalt fest, der auf die speziellen Eigenschaften eines Dokumenten-Managementund elektronischen Archivsystems anzupassen ist Eine Reihe von Anbietern und Systemintegratoren verfügen über Musterverfahrensdokumentationen, die die individuelle Anpassung und Ergänzung erleichtern Alt aber noch nützlich: Der VOI hat die Grundsätze der Verfahrensdokumentation nach GoBS als Richtlinie herausgegeben. Diese VOI Richtlinie ist Grundlage für das PK-DML- Zertifizierungsverfahren von VOI/TüVIT 461 Umfang Richtet sich nach der Art und Komplexität der jeweiligen Anwendung Gliederung der Verfahrensdokumentation ist in jedem Fall der individuellen organisatorischen und technischen Lösung anzupassen Verfahrensdokumentationen müssen sowohl für kleine PC-basierte als auch für mehrstufige Prozesse in großen komplexen Systemen erstellt werden Verfahrensteile und Regelungen für das Outsourcing von Prozessen im Rahmen des Dokumenten- Management- oder der Archivierung sind besonders sorgfältig und verbindlich für den Dienstleister zu dokumentieren. Beim Outsourcing von Archivdienstleistungen ist zu berücksichtigen, das der Anwender weiterhin der verantwortliche Betreiber im Sinne des Gesetzes ist 462 V2 231

232 Aufbau der Verfahrensdokumentation Einheitliche Strukturierung in: Verfahrensbeschreibung mit Textteilen Vb Allgemeingültige Beschreibungen, die keinem Änderungsdienst unterliegen. Anhänge und Anlagen sind hierin eindeutig zu referenzieren. Anhänge der Verfahrensbeschreibung VbA Listen und Unterlagen, die einer Veränderung und Fortschreibung unterliegen. Die Anhänge sind in einer Liste mit Kennzeichnung der jeweils gültigen Version aufzuführen. Anlagen der Verfahrensdokumentation VdA Geschlossene Dokumente wie Handbücher, Produktdatenblätter, etc., die als Ganzes oder als Teilbereich entsprechend referenziert und beschriftet sind. Über die Anlagen ist ein Verzeichnis zu führen, aus dem die jeweils gültige Version hervorgeht. 463 Aufbau einer Verfahrensdokumentation 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 464 V2 232

233 PROJECT CONSULT 2002 PROJECT CONSULT 2002 PROJECT CONSULT 2002 Autorenrecht Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar S11 Verfahrensdokumentation Struktur Vb VbA VdA Verfahrensbeschreibung Organisatorische Teile des Betreibers Betriebsvoraussetzungen für den Anwender IKS, Sicherheit und Migration Prozesse, Organisation etc. Anhänge Verzeichnisse Berechtigungen, Dokumentenklassen, Attribute etc. Anlagen Technik einschließlich Subsysteme Dritter Software - Grundmodule des Herstellers individuelle Anpassungen das Systemintegrators Testdokumentation und Abnahme Testmaterial und Szenarien etc. Abnahmedokument Zertifikat der Ordnungsmäßigkeit 465 GoBS: Verfahrensdokumentation Struktur Verzeichnis für Versionierung Verfahrensdokumentation Verfahrensbeschreibung Anhänge mit veränderlichen Teilen Verzeichnis der Anhänge Referenzen Verträge Hersteller- Handbuch Testunterlagen Sicherheits - handbuch Arbeitsanweisung Wartung... Copyright PROJECT CONSULT GmbH V2 233

234 Gesamtübersicht (Beispiel) Fix-Teil Teil 1: Verfahrensbeschreibung Teil 2: Test- und Abnahmedokumentation Teil 3: Bescheinigung der Ordnungsmäßigkeit (FAIT3, TüVIT) Variabler-Teil (Anhang Verfahrensbeschreibung) Anhang 1 Standardkomponenten Anhang 2 Fachanwendung Anhang 3 Arbeits- und Organisationsanweisungen Anhang 4 Systemkonfiguration Anhang 5 Anwendungsspezifische Verzeichnisse Anhang 6 Datenblätter der technischen Komponenten des Systems Anhang 7 Aufstellung der unterstützten Hardwarekomponenten Anhang 8 Betriebskonzept Anhang 9 Berechtigungskonzept Anhang 10 Verzeichnis der Dokumentationen 467 Aufbau: Empfehlung nach TüV-IT PK-DML 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 (10) Internes Kontrollsystem (1) Allgemeine Beschreibung des Einsatzgebietes (2) Sachlogische / fachliche Systemlösungsanforderungen (5) IT-Sicherheit (6) Technischer Betrieb (7) Mitarbeiterqualifikation (8) Test (3) Technische Systemlösung (9) Outsourcing (4) Migration Quelle: VOI Ralf Kaspras: Verfahrensdokumentation + Zertifizierung auf der CeBIT2014 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 468 V2 234

235 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Verzeichnisse für Anhänge und Anlagen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 469 Verzeichnisse Das Verzeichnis der Anhänge gehört zur Verfahrensbeschreibung. Das Verzeichnis der Anlagen, die mehrfach referenziert sein können, zur gesamten Verfahrensdokumentation. Typischerweise enhalten Verzeichnisse tabellarisch folgende Angaben zu den referenzierten Dokumenten: Identifikationsnummer / -kennzeichen Bezeichnung Version (Versionierung) Datum Form (elektronisch/papier) Ablage- / Speicherort Ersetzt - wenn vorhanden, Identifikationsnummer mit Qreferenz auf die Vorgängerversion (Historisierung) 470 V2 235

236 Anwendungsspezifische Verzeichnisse Anhänge der Verfahrensbeschreibung zum Beispiel: Verzeichnis der aufzubewahrenden Dokumenttypen mit Aufbewahrungsfristen Verzeichnis der in der Datenbank implementierten Attribute und Verknüpfungen Verzeichnis der Dokumentenklassen mit ihren Merkmalen Verzeichnis der Schlagworte / Schlagwortlisten Verzeichnis der Benutzergruppen und Rechte Verzeichnis der Vertraulichkeitsklassen usw. 471 Anwendungsspezifische Verzeichnisse Anlagen der Verfahrensdokumentation zum Beispiel: Information Management Compliance Richtlinie Informationslandkarte Benutzerhandbücher Betriebskonzept Administrationshandbuch Schulungsunterlagen Systemdokumentation Sicherheits-Richtlinie usw. 472 V2 236

237 5. Verfahrensdokumentation nach 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Fortschreibung und Pflege Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 473 Pflege und Fortschreibung Die Verfahrensdokumentation nebst ihren Anhängen und Anlagen unterliegt der kontinuierlichen Aktualisierung und Aufbewahrungspflicht. Bei Veränderungen der Prozesse, des Systems, des Betriebes und der Nutzung ist die Verfahrensdokumentation, besonders aber die Anhänge und Anlagen, auf ihre Übereinstimmung mit der tatsächlich genutzten Lösung zu überprüfen. Der für die Pflege der Verfahrensdokumentation verantwortliche Mitarbeiter dokumentiert die Änderungen, historisiert den ursprünglichen Stand und ergänzt die geänderten Teile oder Dokumente. 474 V2 237

238 5. Verfahrensdokumentation nach 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Mandanten und mehrere unterschiedliche Lösungen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 475 Mandanten & mehrere Lösungen Besonderes Augenmerk auf die optimale Strukturierung ist richten, wenn a. mit einer Lösung mehrere Mandanten bedient werden (z.b. bei einem Dienstleister). Hier sind diejenigen generellen Teile der Dokumentation, die für alle Mandanten dienen, separat zu halten von denjenigen Dokumentationen, die jeweils nur für einen einzelnen Mandanten gehören. Die generellen Teile werden in den Verfahrensbeschreibungen der einzelnen Mandanten eindeutig referenziert. b. bei einem Anwender mehrere unterschiedliche Lösungen für Teilprozesse oder Teilbestände eingesetzt werden (z.b. separate Archive für COLD- und Reports, Dokumente und E- Mail). Hier ist bei den jeweiligen betroffenen Bereichen, Prozessen und Inhalten auf eine eindeutige Referenzierung der jeweils betroffenen Komponenten zu achten. Diese sind in eigenen Anghängen und/oder Analgen beschrieben. 476 V2 238

239 5. Verfahrensdokumentation nach 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT VERFAHRENSDOKUMENTATION TEIL 1 Verfahrensbeschreibung Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 477 Inhalt der Verfahrensbeschreibung Um Sinne der eine Verfahrensdokumentation zu verfassen, sollte der Betreiber verständlich und vollständig auf alle Bestandteile eingehen und Beschreibungen zu allen dort aufgezählten Merkmalen liefern. Schwerpunkte sind individuell zu setzen. Insbesondere auf folgende Inhalte ist einzugehen: Eine Beschreibung der sachlogischen Lösung, Die Beschreibung der programmtechnischen Lösung, Eine Beschreibung wie die Programmidentität gewährt wird, Beschreibung wie die Integrität von Daten gewahrt wird, Arbeitsanweisungen für den Anwender. In diesem Rahmen sollte auf die Beschreibung des Datenschutzes, des Internen Kontrollsystems, der Datenbank, der Archivkomponenten und der Ausfallsicherheit (Restart, Recovery) des Systems besondere Aufmerksamkeit gelegt werden. 478 V2 239

240 Beispiel Kapitel einer Verfahrensbeschreibung (GoBS) yyyyyy 479 Muster Checkliste Verfahrensbeschreibung Themen 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Beschreibung Allgemeine Beschreibung des Einsatzgebiet der Lösung Einsatzgebiets Beschreibung allgemeiner Organisation Beschreibung der Lösung Beschreibung der sachlogischen Lösung Umsetzung der Anforderungen nach Systembeschreibung Programmtechnischer Ablauf der Lösung Identität der Beschreibungen mit dem eingesetzten Programm Netzinfrastruktur Spezielle Hardwarekomponenten Beschreibung des Internen Standard Softwarekomponenten Kontrollsystems (IKS) Individuelle Programmteile der Lösung Internes Kontrollsystem Datensicherheit Daten- und Zugriffsschutz Datenintegrität Scannen Erfassung von originär digitalen Dokumenten Transport im System Muster Checkliste Indizierung und Datenbank Archivierung Visualisierung und Reproduktion Beschreibung der relevanten Protokollierung Prozesse Sonstige Bestandteile und Anlagen Verzeichnis der gültigen technischen Dokumentationen, Handbücher, etc. Betriebsvoraussetzungen Betreiberdokumentation Anbieterdokumentationen VertragsrelevanteDokumentationen Arbeitsanweisungen Migration Aktuell eingestellte Parameter, Benutzerberechtigungen und Dokumentenklassen mit Aufbewahrungsregeln und Aufbewahrungsfristen Nachweis Dr. der Ulrich Systemabnahme Kampffmeyer PROJECT CONSULT Seminar Beschreibung der Testfälle inkl. Ergebnisprotokoll 480 V2 240

241 : Verfahrensdokumentation Typische Inhalte einer Verfahrensbeschreibung: Vb01 Versionierung Vb02 Ziele und Geltungsbereich Vb03 Allgemeines Verfahren Vb04 Organisation Vb05 Rechtlicher Rahmen Vb06 Erfüllung der Grundsätze Vb07 Datenschutz Vb08 Mitarbeiterqualifikation Vb09 Prozesse Vb10 Internes Kontrollsystem Vb11 Systemkomponenten Vb12 Datenbank und Datenmodell Vb13 Berechtigungssystem Vb14 Transport im System Vb15 Wiedergabe und Drucken Vb16 Sicherheit und Ausfallsicherheit Vb17 Protokollierung [Vb18] Formate Vb19 Qualität Vb20 Betrieb Vb21 Wartung Vb22 Migration / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb01 Versionierung Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 482 V2 241

242 Verfahrensbeschreibung Versionierung Die Verfahrensdokumentation unterliegt selbst den Aufbewahrungspflichten. Die Verfahrensbeschreibung und ihre Bestandteile sind zu versionieren und zu historisieren. Beim Versionieren wird auf Basis des Ursprungsdokumentes ein neues Dokument mit den vorgesehen Änderungen erstellt. Beim Historisieren wird ein neues Dokument mit den Änderungen erstellt und das Vorgängerdokument unverändert aufbewahrt und referenziert. Die Verfahrensdokumentation erhält ein Versionierungs-Deckblatt, in dem aufgeführt sind: Laufende Nummer Art der Änderung Änderung Änderungsgrund verantwortlicher Mitarbeiter Datum Referenz auf Ursprungsversion / historisiertes Vorgängerdokument / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb02 Ziele und Geltungsbereich Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 484 V2 242

243 Verfahrensbeschreibung Ziel, Zweck, Inhalt, Gültigkeit und Aufbau der Verfahrensdokumentation Im einleitenden Kapitel der Verfahrensbeschreibung werden erläutert: Zweck Hier sind auch die gegebenenfalls zusätzlich zu den steuerrelevanten Themen die weiteren Ziele aufzuführen. Inhalt Inhaltsübersicht der Verfahrensdokumentation; gegebenenfalls mit Erläuterungen von Einschränkungen Struktur Die Struktur der Verfahrensdokumentation wie gewählt (nach oder diesem Vorschlag) wird mit den verschiedenen Dokumentationsbestandteilen und ihren Beziehungen erläutert. Gültigkeit Der Zeitpunkt, ab dem diese Version der Verfahrensdokumentation gilt und welche Gültigkeit vorangegangene Versionen noch haben bzw. Übergangsregelungen, werden beschrieben. 485 Verfahrensbeschreibung Autor, Zuständigkeiten und Verantwortlichkeiten Im einleitenden Kapitel werden mit ihren Zuständigkeiten benannt: Autor mit Kontaktinformation Verantwortlicher für die Verfahrensdokumentation mit Kontaktinformation Zusätzliche Ansprechpartner für bestimmte Teilbereiche mit Zuständigkeit und Verantwortlichkeit sowie den Kontaktinformationen Ablageort und Benennung Es sollten, gegebenenfalls auch in der Fußzeile, beschrieben sein: Ablageort der Verfahrensdokumentation in der aktuellen Version; Ablageort Vorgängerversionen Zugang zur Verfahrensdokumentation (z.b. Intranet-Speicherpfad) Korrekter Name und Dateiname der Verfahrensdokumentation Aktuelle Versions-Nummer der Verfahrensdokumentation 486 V2 243

244 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb03 Allgemeines Verfahren Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 487 Verfahren Allgemeines Verfahren Beschreibung der Grundzüge der Geschäftstätigkeit und Verfahren des Unternehmens. Generelle Ableitung der Notwendigkeit der Verfahrensdokumentation aus der Geschäftstätigkeit des Unternehmens. Einbettung der Verfahren in die Governance- und Compliance-Vorgaben des Unternehmens. Beschreibung auf hoher Ebene der Aufgaben, die unter die Regelungen der fallen Erläuterung, was unter Verfahren im Unternehmen verständen wird. Es wird der rote Faden dargestellt, der sich durch die Verfahrensbeschreibung zieht. Die Ausführungen dienen dazu, einem Dritten die Grundlagen für die in der Verfahrensbeschreibubng beschriebenen Prozesse und Lösungen zu erläutern. 488 V2 244

245 Verfahren Fachliche und sachlogische Beschreibung Allgemeine Beschreibung der Tätigkeiten aus fachlicher Sicht. Beschreibung aus programmtechnischer Sicht Aufführung der beteiligten Softwarelösungen. Differenzierung, was programmtechnisch abgebildet und unterstützt wird von den weiterhin manuell durchgeführten Verfahren / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb04 Organisation Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 490 V2 245

246 Organisationseinheiten & Zuständigkeit Organisation Zusammenstellung und Beschreibung der betroffenen und zuständigen Bereiche, Abteilungen oder anderer Organsiationseinheiten mit ihren für die relevanten Aufgaben. Zuständigkeit und Verantwortlichkeit Beschreibung der Zuständigkeit mit Benennung der zuständigen Organisationseinheiten und der verantwortlichen Rollen Rechtliche und disziplinarische Verantwortung Fachliche Verantwortung Technische Verantwortung 491 Einsatz externer Dienstleister Bei Nutzung von externen Dienstleistern ergeben sichbesondere Anforderungen bzw. auch Einschränkungen für die Verfahrensdokumentation: Outsourcing, z.b. Buchhaltung durch Steuerberater Scannen durch Scan-Dienstleister Aufbewahrung durch Archivdienstleister Hier bleibt es Aufgabe des Steuerpflichtigen nicht nur diese in der Verfahrensdokumentation aufzuführen sondern qualitativ und regelmäßig zu überwachen, bzw. deren Ergebnisse zu kontrollieren. Cloud, z.b. Buchhaltungssoftware Archivierung Hier muss der Steuerpflichtige geeignete Lösungen aussuchen und diese in Bezug auf Updates und Änderungen sowie der Ergebnisse zu überwachen. Die Verantwortung liegt in jedem Fall beim Steuerpflichtigen. 492 V2 246

247 Aufgabenbeschreibung der Organisationseinheit Textteil Aufbauorganisation gegebenenfalls räumliche Zuordnung und Zugangs- Regelungen Sicherheits-Regelungen Zuständigkeits- und Verantwortlichkeits-Regelungen Vertreter-Regelungen Gegebenenfalls auch für Externe Dienstleister Anhänge Organigramme der betroffenen Organisationseinheiten Verzeichnis der aktuell den Rollen zugeordneten Mitarbeiter Anlagen Beschreibung des betrieblichen und/oder geschäftlichen Auftrages Arbeits- und Organisationsanweisungen Gegebenenfalls Beschreibungen externer Dienstleister 493 Arbeitsanweisungen und Richtlinien Arbeitsanweisungen Arbeitsanweisungen haben häufig einen direkten Bezug zu den Aufgaben, Rollen und Verträgen der mit dem -relevanten Systemen arbeitenden Mitarbeiten. Sie sind auf dedizierte Gruppen der Mitarbeiter bezogen. Arbeitsanweisungen sind typische Anlagen zur Verfahrensbeschreibung. Sie werden in einem Verzeichnis in der Verfahrensdokumentation aufgeführt. Unternehmensrichtlinien Zu den zu dokumentierenden Unterlagen können auch generelle Richtlinien wie eine Information Management Policy, -Richtlinie, Internet-Richtlinie, Datenschutz-Richtlinie, Zugangs-Richtlinie, Vertraulichkeits-Richtlinie und andere gehören, die generell im Unternehmen zu beachten sind. Sie betreffen alle Mitarbeiter. Sie werden nur in der korrekten Version referenziert und als Anlage verwaltet. Sie werden in einem Verzeichnis in der Verfahrensdokumentation aufgeführt. 494 V2 247

248 Organisatorische Dokumentationen Textteil Zusammenstellung Unternehmensrichtlinien, Betriebsanweisungen und Arbeitsanweisungen Anhänge Organigramm des Unternehmens Fachliche Zuständigkeiten mit allen Angaben Technische Zuständigkeiten mit allen Angaben Anlagen Organisationshandbuch Arbeits- und Organisationsanweisungen Unternehmensrichtlinien / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb05 Rechtlicher Rahmen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 496 V2 248

249 Rechtlicher Rahmen (1) In der Verfahrensdokumentation sollten konkret aufgeführt sein, auf welche rechtlichen Anforderungen sich die Dokumentation bezeiht und welche rechtliche Anforderungen durch die Lösung abgedeckt werden. Hier sind verschiedene Bereiche außer den besprochenen gebenenfalls relevant: a) Handels- und Steuerecht National (Deutschland) direkt HGB / AO GAUFZ Zoll-rechtliche Bestimmungen International (Europa, global) Sofern das steuerpflichtige Unternehmen Im Ausland registriert ist, im Ausland tätig ist, aus dem Ausland Waren und Dienstleistungen bezieht oder seine Daten (teilweise) im Ausland gespeichert sind, sollten auch die betroffenen internationalen Regularien aufgeführt werden, damit die eingesetzte Lösung möglichst auch diese miterfüllt. 497 Rechtlicher Rahmen (2) Auch wenn der Schwerpunkt einer Verfahrensdokumentation auf den handelsund steuerechtlichen Anforderungen liegt, können weitere gesetzliche Vorgaben und Regularien sinnvollerweise mit abgedeckt sein. b) Andere gesetzliche Vergaben Allgemein Hierzu können BDSG, BGB, ProdHaftG, Verbraucherschutz, Umweltschutz, Arbeitsrecht und andere gehören. Branchen- und Geschäftstätigkeits-abhängig Bedingt durch die spezielle Geschäftstätigkeit und durch branchenspezifische Vorgaben (z.b. Pharma, gesundheit, Lebensmittel, Energie usw.) können weitere Anforderungen bestehen, die durch die eingesetzte Lösung mit abgedeckt werden können. 498 V2 249

250 Verweise auf Gesetze Sofern die behandelten Gesetzes- und Verordnungstexte nicht persistent im Text verlinkt sind, sollten sie als Anlagen hinterlegt und referenziert sein. Es empfielt sich einen Ansprechpartner oder eine Rolle bei Rechtsabteilung, Revision oder ähnlich anzugeben. Textteil Ansprechpartner Auflistung aller relevanten Gesetze und Regularien Anlagen Gesetzes- und Verordnungstexte national Relevante Gesetzes- und Verordnungstexte international Sonstige relevante Gesetze und Verordnungen Branchen-spezifische Regularien / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Relevante vertragliche Regelungen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 500 V2 250

251 Vertragsrelevante Anlagen Sofern bestimmte Verträge, die sich auf die eingesetzte Lösung direkt beziehen, sind sie aus vertragsrechtlichen Gründen auch aufzuführen. Kauf-, Dienstleistungs-, Wartungs- und andere Verträge zur eingesetzten Lösung Verträge, die die -relevanten Systeme und Dienstleistungen betreffen, sind typische Anlagen, die in der Verfahrensdokuemntation lediglich eindeutig referenziert sind. Sie enthalten häufig auch wichtige Informationen zu Abgrenzung von Verantwortung, Gewährleistung, Betriebsanforderungen etc. Die Verträge werden in Verzeichnissen aufgeführt und als Anlage der Verfahrensdokumentation verwaltet. 501 Vertragsrelevante Dokumentationen Relevante Dokumentationen als Anlagen Anlagen Lizenzverträge Vertrag über die Realisierung Wartungsvertrag SLA Service Level Agreements 502 V2 251

252 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb06 Erfüllung der Grundsätze Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 503 Grundsätze in den In den sind eine Reihe von Grundsätzen beschrieben, die durch die Lösung, deren Nutzung und Betrieb sichergestellt werden müssen. Diese sollten in der Verfahrensdokumentation mit einer Kurzdarstellung, wie die Einhaltung des jeweiligen Grundsatzes gewährleistet wird, beschrieben sein. Die entsprechenden Abschnitte der Verfahrensbeschreibung können referenziert werden. Aufgeführte Grundsätze in den Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit ( 145 Absatz 1 AO, 238 Absatz 1 Satz 2 und Satz 3 HGB; Absatz 3.1 ; dies ist direkt der Gegenstand der Verfahrensdokumentation) Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung Vollständigkeit ( 146 Absatz 1 AO, 239 Absatz 2 HGB; Absatz ) Richtigkeit ( 146 Absatz 1 AO, 239 Absatz 2 HGB ; Absatz ) Zeitgerechte Buchungen und Aufzeichnungen ( 146 Absatz 1 AO, 239 Absatz 2 HGB ; Absatz ) Ordnung ( 146 Absatz 1 AO, 239 Absatz 2 HGB ; Absatz ) Unveränderbarkeit ( 146 Absatz 4 AO, 239 Absatz 3 HGB ; Absatz ) 504 V2 252

253 Aufgeführte Grundsätze in den Erläuterung und Referenzen Textteil Alle Grundsätze der in der Verfahrensdokumentation abgehandelt? Alle Bereiche indentifiziert, die betroffen sind / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb07 Datenschutz Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 506 V2 253

254 Datenschutz Datenschutz Beim Datenschutz ist zu unterschieden zwischen: a. Schutz betrieblicher Daten b. Schutz personenbzogener Daten Unter dem Gesichtspunkt der Aufbewahrungspflicht ist der Schutz betrieblicher Daten vor Veränderung und Verlust entscheidend 507 Datenschutz Datenschutz schließt die Separierung der Datenbestände ein, damit kein Außenprüfer unberchtigten Zugang zu persönlichen Daten sowie Betriebsgeheimnissen (die nicht steuerrelavant sein dürfen) erhält. Die entsprechende Aufteilung und der Schutz liegen in der Verantwortung des Steuerpflichtigen. 508 V2 254

255 Datensicherheit und Datenschutz Datenschutz durch Datensicherheit Einbettung des Dokumenten-Management- oder Archivsystems in das Datensicherheitskonzept des Betreibers Systemauslegung, Softwareschutz, Wahrung der Datenintegrität, Benutzerverwaltung, Zugangsschutz, technische Sicherheit der eingesetzten Komponenten, Aussagen zur Systemverfügbarkeit und andere relevante Informationen In sehr detailliert beschrieben entsprechend umfangreich sollte dies auch in der Verfahrensdokumentation beschrieben werden 509 Datenschutz-relevante Dokumente Textteil Schutz betrieblicher Daten Schutz personenbezogener Daten Anlagen Datenschutzkonzept Berechtigungskonzept Datensicherheitskonzept 510 V2 255

256 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb08 Mitarbeiterqualifikation Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 511 Mitarbeiterqualifikation und Rollen Da die Aufbewahrung langfristig ausgelegt ist, sollten die entsprechenden Beschreibungen zeitunabhängig sein und auf einem Rollenkonzept basieren, dem die entsprechenden Organisationseinheiten und Mitarbeiter zugeordnet sind. Grundsätzlich können folgenden Rollen bestimmt werden: Verantwortung (Geschäftsführer, Bereichleiter u.a.) Durchführung (Erfasser, Verbucher, Indizierer u.a.) Pflege (Informationsmanager, Records Manager u.a.) Interne Prüfung (Revisor, Anwalt, Wirtschaftsprüfer u.a.) Betrieb (Administrator, Helpdesk u.a.) Weitere Rolle: Externe Prüfung (Außenprüfer der Finanzbehörde) 512 V2 256

257 Mitarbeiterqualifikation und Rollen Für Nutzung und Betrieb sind entsprechende Qualifikationen der Mitarbeiter erforderlich, die entsprechend ihrer Rolle und Tätigkeit regelmäßig angeleitet, geschult, weiter qualifiziert und - in Bezug auf den Erfolg der Maßnahmen - kontrolliert werden müssen. Hierzu gehören Schulungs- und Quialifizierungsplan einschließlich Konzept für Nachhaltungsmaßnahmen einfach zugängliche Bereitstellung aller notwendigen Vorgaben, Arbeitsanweisungen etc. mit Aktualisierungs- Service Schulungen bei Einführung und Änderung von Lösung, Zuständigkeiten, Nutzung und Prozessen. Regelmäßige Weiterbildungs- und Aktualisierungsmaßnahmen Überprüfung auf Erfolg der Maßnahmen und Einhaltung der trainierten Inhalte 513 Mitarbeiterqualifizierung Textteil Rollen definiert Zuständige Bereiche zugeordnet Qualifikationsanforderungen Schulungs- und Qualifizierungsmaßnahmen Anhänge Verzeichnis aktueller Rollen und zugeordneter Bereiche zu Mitarbeitern Anlagen Qualifizierungskonzept Schulungskonzept Berichte über Schulungen, Qaulizifierungsmaßnahmen und Erfolgskontrollen Berechtigungskonzept 514 V2 257

258 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb09 Prozesse Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 515 -relevante Prozesse In der Verfahrensdokumentation sind alle relevanten organisatorischen (sachlogischen) und Software-gestützten (programmtechnischen) Prozesse zu beschreiben: Entstehung und Erfassung Indizierung und Buchung Speicherung und Aufbewahrung Wiederfinden und Zugriff Absicherung gegen Verlust und Verfälschung Reproduktion und Auswertung Die einzelnen Prozesse betreffen dabei unterschiedliche Anforderungen aus den : verarbeitungsorientiert wie z.b. das Buchen aufbewahrungsorientiert wie z.b. das Archivieren nachweisorientiert wie z.b. die Protokollierung nutzungsorientiert wie z.b. das Auswerten 516 V2 258

259 -relevante Prozesse Es sind Prozesse zu differenzieren, die speziell für die Erfüllung der rechtlichen Vorgaben implementiert sind und solchen, die zu anderen geschäftlichen Zwecken benutzt werden, aber -relevante Inhalte betreffen. Speziell z.b. Audit-Trail Buchhaltungsfunktionen Unveränderbare Archivierung Allgemeine Standardprozesse z.b. Scannen en Dokumente verwalten Die Unterscheidung lässt sich häufig nur auf Grund der genutzen Daten und Dokumente unterscheiden relevante Prozesse Entstehung Manuelle Eingabe Automatische Errechnung Generierung von Dokumenten Erfassung Scannen Import (COLD, Kopieren) Kommunikation ( ) Datenübertragung (EDI) Indizierung Automatisch (Vergabe eindeutige ID, Datum etc.) Vererbung (Eigenschaften über Dokumentenklassen und Prozesse) Technisch (OCR, Klassifikation, Prüfung gegen vorhanden Daten, Abruf von Stammdaten aus gesicherten Beständen etc.) Manuell (Eingabe von Attributen, Auswahl vorgeschlagener Werte, Ankreuzen etc.) 518 V2 259

260 -relevante Prozesse Buchung Automatische Generierung aus Erfassung Halbautomatisch mit Bestätigen Manuelle Eingabe Manuelle Änderung Qualitätskontrolle Visuelle Sichtkontrolle (Dokumente) Automatische Inhaltskontrolle durch Nachrechnen und Logikprüfung (Dokumente,Daten) Automatische Prüfung gegen Stamm- und Bewegungsdaten (Daten) Manuelles Vier-Augenprinzip (Dokumente, Daten) Speicherung Speicherung in der Anwendung (Daten) Zwischenspeicherung im Dateisystem (Dokumente) 519 -relevante Prozesse Aufbewahrung Identifizierung Überführung in ein Archiv Überprüfung auf Vollständigkeit der Metadaten Organisation und Form der Aufbewahrung Umsetzung Aufbewahrungsfristen Differnzierung der Form der Aufbewahrung (Klassen, Typ, Berechtigungen, Schutz) Referenzierung in Datenbank und Verwaltungsysteme Wiederfinden Suche über Indexdaten (Datenbank) Suche über Volltext Finden über Anwendung (HSM, z.b. FiBu) Finden über Navigation (z.b. Ordnerstruktur) Finden über Verlinkung 520 V2 260

261 -relevante Prozesse Zugriff Zugang zur Anwendung Nutzung der Anwendungsoberfläche Abhängigkeit vom Typ der Oberfläche (Fat Client, Browser, App u.a.) Zugriff auf welche Daten und welche Dokumente über welchen Zugriff Schutz Zugangsschutz Berechtigungen Zugangssicherheitsmechanismen Schutzmechanismen (z.b. Virenschutz) Veränderungsschutz 521 -relevante Prozesse Sicherung Schutz vor Löschung Erstellung automatische Zweitinstanz Erstellung automatische Sicherungen Protokollierung Technische Logs (Systemheit, Wiederanlauf) Journale (Buchungen) Nutzungsprotokolle (Zugriff, Änderung, Löschung, u.a.) Fachprotokolle (Scannen, Posteingang, Archiveingang, Postausgang u.a.) Audit-Trails mit Dokumenten- und Prozessbezug (Verbuchung, Änderung, Löschung nach Ablauf Aufbewahrungsfrist, Legal Hold u.a.) Administrationsprotokolle (Änderung Adminstratoren und Administrorenrechte, Anlage und Änderung von Dokumentenklassen, Struktur des Systems, Berechtigungen, Speicherorten, Aufbewahrungsregeln, Konfigurationen u.a.) 522 V2 261

262 -relevante Prozesse Reproduzieren Anzeigen Navigieren Bearbeiten (z.b. Annotationen, Kopieren) Drucken Exportieren Auswerten mit Programm-internen Funktionen in der ursprünglichen Verwaltungsumgebung (Statistik, Filterung, Sortierung) mit Programm-internen Funktionen in der Aufbewahrungsumgebung (Statistik, Filterung, Sortierung) Export mit Sonderprogrammen (z.b. IDEA, ACL u.a.) 523 -relevante Prozesse Pflegen Zuständigkeiten Datenqualität Stammdaten Ordnungssystematik Aufbewahrungsregeln Benutzerrechte Regeln und Prozesse Fachliche Dokumentation Administrieren Rechte Administratoren betroffene Systemkomponenten Vertraulichkeit Datensicherung Benutzer Prozesse Technische Dokumentation 524 V2 262

263 -relevante Prozesse Helfen Helpdesk und Unterstützung Online-Hilfen und Kontrollen Beratung für Nutzung Schulungsmaßnahmen Problem-Eskalation Prüfen im laufenden Betrieb (Richtigkeit, Vollständigkeit, Ordnungsmäßigkeit, Qualität etc.) Nutzung (Protokolle) Sicherheit und Verfügbarkeit (Tests, Überwachung) Berechtigter Zugriff Schutz vor Veränderungen Revisionssicherheit (rückblickend Nachvollziehbarkeit) Abläufe für internes Prüfen Abläufe für externes Prüfen 525 Besonderheiten Prozesse Aufteilung der Prozesse auf mehrere Systeme In Abhängigkeit der Systemarchitektur und der Lösung können gleiche aber auch getrennte Funktionen eines Prozesses in mehreren Systemen ablaufen. Hier gilt es die Konssitenz und Integrität der Lösung insgesamt zu beschreiben. Scann-Prozesse nach BSI TR Resiscan Die Richtlinie Resiscan enthält eine Reihe wichtiger und nützlicher Hinweise für die Sicherung der Qualität in Scan-Prozessen. Für sie gibt es auch entsprechende Muster-Verfahrensdokumentationen. Die Nutzung von Signaturen (und die damit verbundene Erhaltung des Beweiswertes durch Nachsignieren) sind laut ausdrücklich für rein steuerliche und handelsrechtliche Zwecke nicht erforderlich. Vom Signieren beim Scannen ist abzuraten (Erhöhung der Komplexität, langfrisitige Bindung an proprietäres Verfahren). 526 V2 263

264 Scannen Beschreibung der Prozesse Textteil Vollständiger Ablauf des Scanvorgangs Benutzerberechtigungen Charakter der zu erfassenden Dokumente Verfahren der Speicherplatzreduzierung (Brutto/Netto Bildarchivierung) Komprimierungsverfahren Eindeutige Indizierung Qualitätssicherung Protokollierung Erstellen von Journalen Qualitätsanforderungen Regeln zum Löschen bzw. Ersetzen von Dokumenten Anhänge Benutzerlisten Indexierungslisten Parametereinstellungen Liste der Formate Dokumentenliste Betriebsbedingungen Pflegemaßnahmen Anlagen Pflichtenhefte Arbeitsanweisungen Anweisung zum Verhalten bei Störungen Dokumentation 527 Beschreibung der Prozesse Individuelle Erfassung von originär digitalen Dokumenten Textteil Vollständiger Ablauf des Erfassungsverfahrens Benutzerberechtigungen Charakter der zu erfassenden Dokumente Aufbewahrungspflicht Eindeutige Indizierung Qualitätssicherung - und anforderungen Protokollierung Erstellen von Journalen Beschreibung der Übertragung von Inhalts- und Formatierungsdaten auf den Datenträger Definition der Daten, die zusammen mit dem Dokument archiviert werden Anforderungen der Widergabe Regeln zum Löschen bzw. Ersetzen von Dokumenten Anhänge Benutzerlisten Indexierungslisten Parametereinstellungen Liste der Formate und Liste der Dokumente Betriebsbedingungen Pflegemaßnahmen Anlagen Pflichtenhefte Arbeitsanweisungen Anweisung zum Verhalten bei Störungen Dokumentation Datenträger mit verwendeten Musterdateien 528 V2 264

265 Beschreibung der Prozesse Ablage, Aufbewahrung und Archivierung Textteil Vollständiger Ablauf des Archivierungsprozesses Protokollierung des Archivierungsprozesses Rückmeldung an abgebende Anwendungen Ablagekonzept Beschreibung der Datenintegritätsmaßnahmen Wiederanlaufverfahren Formate und Verfahren der Speicherung von Dokumenten Schnittstellenbenennung Eingesetzte Standards und Normen Anhänge Technische Detailbeschreibung Liste der Speichermedien mit Aufbewahrungszeitraum Formate der Dokumententypen Betriebsbedingungen Pflegemaßnahmen Anlagen Herstellerdokumentation Pflichtenhefte Arbeitsanweisungen Anweisung zum Verhalten bei Störungen 529 Beschreibung der Prozesse Visualisierung und Reproduktion Textteil Vollständiger Ablauf des Visualisierungsmöglichkeiten Möglichkeiten der Reproduktion einschließlich deren Formate und Qualität Druckoutputoptionen Identifikation des Druckoutputs Qualitätsmaßstab Anhänge Ausdrucke der Bildschirmmasken mit Beispieldokumenten Konfigurationslisten der Ausdruckeinstellungen Betriebsbedingungen Pflegemaßnahmen Anlagen Pflichtenhefte Arbeitsanweisungen Anweisung zum Verhalten bei Störungen Herstellerdokumentation 530 V2 265

266 Protokollierung Beschreibung der Prozesse Textteil Protokollaufbau mit Feldern und Inhalten Beschreibung der Erfassungsjournale Bei mehrstufigen Verfahren, Beschreibung der Erfassung, Qualitätssicherung und Indizierung Änderungsjournale für verworfene, ersetzte oder nacherfasste Dokumente Änderungsjournale für geänderte Indizes Login und Nutzungsjournale Archivierungsjournale mit Abgleichfunktionalitäten zu anderen Journalen Auswertung, Archivierung und Retrieval der Journale Parametrisierungsmöglichkeiten Eingesetzte Standards und Normen Anhänge Liste der Journaldateien Musterausdrucke der Journaldateien Zugriffsberechtigungen für Journaldateien Parameterlisten Anlagen Pflichtenhefte Arbeitsanweisungen Anweisung zum Verhalten bei Störungen Herstellerdokumentation 531 Beschreibung der sachlogischen Lösung Textteil Beschreibung der zu archivierenden Dokumente einschließlich deren Rechtscharakter Vorgehensweise bei der Behandlung der Dokumente vor der Verarbeitung (Kontierung, etc.) Vorgehensweise bei der Behandlung der Dokumente nach der Verarbeitung (Entsorgung etc.) Erläuterung des Internen Kontrollsystems in Zusammenhang mit der sachlogischen Lösung Ordnung der Dokumente Anhänge Auflistung der Dokumentenklassen Auflistung der Benutzergruppen Aktenplan, wenn elektronisch umgesetzt Anlagen Aufbewahrungsfristen der Dokumente Richtlinien der hausinternen Revision 532 V2 266

267 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb10 Internes Kontrollsystem (IKS) Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 533 Verfahrensbeschreibung: IKS Das interne Kontrollsystem (IKS) ist eine elementare Forderung von HGB, AO und. Hier sind alle Kontrollmaßnahmen und dazugehörige Prozesse und Verantwortlichkeiten zu definieren. Sofern diese bereits in anderen Zusammenhängen beschrieben sind, können diese Abschnitte, Anhänge oder Anlagen auf referenziert werden. 534 V2 267

268 Auszug aus den zum IKS : 6. Internes Kontrollsystem Für die Einhaltung der Ordnungsvorschriften des 146 AO hat der Steuerpflichtige Kontrollen einzurichten, auszuüben und zu protokollieren. Hierzu gehören beispielsweise Zugangs- und Zugriffsberechtigungskontrollen, auf Basis entsprechender Zugangs- und Zugriffsberechtigungskonzepte (z. B. spezifische Zugangs- und Zugriffsberechtigungen) Funktionstrennungen, Erfassungskontrollen (Fehlerhinweise, Plausibilitätsprüfungen), Abstimmungskontrollen bei der Dateneingabe, Verarbeitungskontrollen, Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen, Daten und Dokumenten. Die konkrete Ausgestaltung des Kontrollsystems ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur sowie des eingesetzten DV-Systems. Im Rahmen eines funktionsfähigen IKS muss auch anlassbezogen (z. B. Systemwechsel) geprüft werden, ob das eingesetzte DV-System tatsächlich dem dokumentierten System entspricht Die Beschreibung des IKS ist Bestandteil der Verfahrensdokumentation 535 Verfahrensbeschreibung: IKS Entsprechend 146 AO hat der Steuerpflichtige bestimmte Kontrollen einzurichten, auszuüben und zu protokollieren. Insbesondere sind demnach folgende Schutzmechanismen einzurichten: Zugangs- und Zugriffsberechtigungskontrollen auf Basis entsprechender Zugangs- und Zugriffsberechtigungskonzepte Funktionstrennungen Erfassungskontrollen (Fehlerhinweise, Plausibilitätsprüfungen) Abstimmungskontrollen bei der Dateneingabe Verarbeitungskontrollen Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen, Daten und Dokumenten Auch wenn die IKS-Maßnahmen bereits in den Beschreibungen der Prozesse direkt eingebunden sind, sollten die Maßnahmen des IKS zusammenfassend beschrieben sein, da sie Prüfungsgegenstand sind. 536 V2 268

269 Internes Kontrollsystem (IKS Punkt 6 der ) Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet, die die folgenden Aufgaben haben: Sicherung und Schutz von Vermögen und Informationen vor Verlusten aller Art: Bereitstellung vollständiger, genauer, aussagefähiger und zeitnaher Aufzeichnungen Förderung der Effizienz durch Auswertung und Kontrolle der Aufzeichnungen Unterstützung der Regeln der Geschäftspolitik (Richtlinien/Anweisungen). Ziel des IKS einer DV-gestützten Buchführung muss es sein, die Gesetz- und Satzungsmäßigkeit von Buchführung und Jahresabschluss sicherzustellen sowie einen Überblick über die wirtschaftliche Lage des Unternehmens zu verschaffen. Das IKS allein indiziert noch nicht die Ordnungsmäßigkeit der DV-gestützten Buchführung. Die Wirksamkeit eingerichteter Kontrollen und Sicherungen sollte als Systemprüfungshandlung in die Prüfung einbezogen werden. 537 Internes Kontrollsystem (IKS Punkt 6 der ) Auf Grund komplexer Abläufe und Strukturen reichen einzelne, voneinander isolierte Kontrollmaßnahmen keinesfalls aus; es bedarf einer planvollen und lückenlosen Vorgehensweise für ein effizientes Kontrollsystem mit aufeinander abgestimmten maschinellen und manuellen Kontrollen zur Prüfung auf Vollständigkeit und Richtigkeit. Die Zuständigkeit/Verantwortung für betriebliche Funktionen muss eindeutig und mit Funktionstrennung geregelt sein. Ist eine Funktionstrennung nicht möglich / wirtschaftlich nicht zumutbar, so sind weitere organisatorische Kontrollen in angemessener Form notwendig. Buchungsrelevante Arbeitsabläufe müssen in Schritten und Schrittfolge definiert sein. Ausgeführte manuelle und maschinelle Kontrollen - in Programmabläufe integrierte Prüfbedingungen - müssen dokumentiert werden Abstimmungskontrollen, Plausibilitätskontrollen, Freigabeverfahren). Das IKS ist zu beschreiben; insbesondere ist hierbei den Mensch- Maschine-Schnittstellen besondere Bedeutung beizumessen. 538 V2 269

270 Internes Kontrollsystem (IKS Punkt 6 der ) Im Rahmen eines funktionsfähigen IKS muss auch die Programmidentität, d.h. Entsprechung: eingesetzte DV-Buchführung = dokumentiertes System periodenbezogen sichergestellt werden (der Groß-DV bis Stand-alone-PC). Sicherstellung der Programmidentität ist insbesondere das Vorhandensein und das abgestimmte Ineinanderwirken aktueller, den unternehmensspezifischen Besonderheiten Rechnung tragender Richtlinien für Programmierung / Tests / Freigaben / Änderungen Änderungen von Stamm- und Tabellendaten Zugriffs- und Zugangsverfahren Ordnungsgemäßer Einsatz: Datenbanken, Betriebssysteme und Netzwerke Einsatz von Testdatenbeständen/-systemen Programmeinsatzkontrollen. Entsprechend den Anforderungen an Transparenz, Kontrollierbarkeit und Verlässlichkeit des eingesetzten maschinellen Verarbeitungssystems muss autorisiert und zweckbestimmt die Nutzung jedes produktiv eingesetzten Programm sichergestellt werden. Die jeweils aktuelle Programmversion muss feststellbar sein und dokumentiert werden. 539 Internes Kontrollsystem IKS Internes Kontrollsystem Textteil Zugangskontrollmechanismen Loginmechanismen Definition der Benutzerprofile Maschinelle Kontrollen Benutzerverwaltung mit Zuständigkeiten und Verantwortungsbereichen Beschreibung der archivierungsrelevanten Arbeitsabläufe Beschreibung der Protokollierung von Änderungen, logischem Löschen etc. Anhänge Benutzerlisten mit Zuordnung zu Profilen Anlagen Prüfberichte Unternehmensspezifische Richtlinien Protokolle Arbeitsanweisungen Pflichtenhefte 540 V2 270

271 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb11 Systemkomponenten Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 541 Beschreibung programmtechnische Lösung In diesem Abschnitt sind zu unterscheiden: Betriebsumgebung Inhouse (selbst betriebene Lösung im Hause) Diese ist ausreichend detailliert zu beschreiben. Outsourcing (an einen Dienstleister betriebene Lösung) Die Abgrenzung des Outsourcing von eigenen Komponenten bzw. das komplette Outsourcing sind aufzuführen. Cloud (von einem Anbieter von Software-as-a-Service angebotene Lösung) Hier muss sich der Steuerpflichtige auf die Angaben und Unterlagen eines vertrauenswürdigen Anbieters verlassen können und dessen Dokumentation beifügen. 542 V2 271

272 Beschreibung programmtechnische Lösung In diesem Abschnitt sind zu berücksichtigen: Systemumgebung Standorte Netzwerkinfrastruktur Betriebssysteme Berechtigungssysteme Sicherungssysteme Hardware-Komponenten Server Arbeitsplatzrechner Mobile Geräte Speicher Scanner Drucker andere spezifische wie z.b. Signatureinheiten etc. Software Standard Software Spezifische Software Zusatzmodule / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Systemumgebung Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 544 V2 272

273 Beschreibung Systemumgebung In diesem Abschnitt sind zu klassifizieren: Haupt-Systeme z.b. Finanzbuchhaltung, Aufbewahrungssystem, u.a. Vor-Systeme z.b. Posteingang, EDI-Konverter, automatische Klassifkation u.a. Neben-Systeme z.b. Freigabe-Workflow, Buchungs-Dunkelverarbeitung u.a. 545 Beschreibung Systemumgebung Standorte Ort Zuständigkeit Art (eigen, outgesourced, Cloud) Betrieb Netzwerkinfrastruktur Technik Betriebsystem LAN, WLAN externe Zugänge 546 V2 273

274 Beschreibung Systemumgebung Betriebssysteme Netzwerk Arbeitsplatzrechner Mobile Geräte Notebook Mobile Geräte andere Devices Berechtigungssysteme Directory Service Eigenständige zentrales Berechtigungssystem Integrierte Bwerechtigungssysteme Import/Synchronisation Berechtigungen aus anderen Systemen Sicherungssysteme 547 Beschreibung Systemumgebung Sicherungssysteme Zugang Datensicherung / Backup Kryptografische Sicherung von Leitungen 548 V2 274

275 Besondere Anforderungen Datenintegrität Neben den unter Datenschutz aufgeführten Anforderungen auch technische Voraussetzungen durch eine sichere Auslegung der Hardware, verlustfreie Restart- und Recoveryverfahren, Konsistenzprüfungsprogramme, eindeutige Zuordnung von Indizes zu Dokumenten, Schutz vor intentioneller und versehentlicher Veränderung, Einsatz von View- Only -Modulen und andere Maßnahmen, die im System implementiert sind Programmintegrität Nachweis der Übereinstimmung der eingesetzten Software und Betriebsumgebung mit der Dokumentation und der beschriebenen Funktionalität in der Verfahrensdokumentation 549 Systembeschreibung Netzinfrastruktur (gegebenenfalls Cloud) Textteil Netzdesign Logischer Netzaufbau Sicherheitsauslegung Physikalische Auslegung Netzwerkbetriebssystem Verwendete Komponenten Verwendete Protokolle Typen und mögliche Anzahl der Clients Anhänge Netzplan Konfigurationsdaten des Netzes Benutzerlisten Adresslisten Liste der Clients Anlagen Herstellerdokumentation der eingesetzten Komponenten Prüfbericht der Netzwerkabnahme Gewährleistungsvertrag mit Verfügbarkeitsvereinbarung Lieferzusagen für Ersatzteile über den Gewährleistungszeitraum hinaus Wartungsvereinbarung Produktdatenblätter der Komponenten 550 V2 275

276 Systembeschreibung Systemauslegung Textteil Systemkonfiguration Sicherheitsmerkmale Anhänge Liste der eingesetzten Betriebsprogramme Ausdruck der Konfigurationsdaten Liste der eingesetzten Parameter je Programm Anlagen Dokumentation der Parametrisierungsmöglichkeiten Dokumentation der Hersteller Gewährleistungsvertrag mit Verfügbarkeitsvereinbarung / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Hardware Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 552 V2 276

277 Beschreibung programmtechnische Lösung Hardwarekomponenten Erfassungssysteme Speichersysteme Scanner Mikrofon Kamera Smartphone Video u.a. WORM TrueWORM SoftWORM CD-R / ROD / DVD-R Jukeboxen RAID Bandroboter Hybridsysteme u.a. Ausgabesysteme Monitore Drucker Reportgeneratoren u.a. 553 Beschreibung programmtechnische Lösung Hardwarekomponenten: Server, Clients Textteil Hardwaretyp (gelegentlicher Betrieb, ständiger Betrieb) Hersteller Prozessortyp, Taktgeschwindigkeit Festplattenkapazität Hauptspeicherkapazität Verfügbarkeit Anhänge Betriebsbedingungen (Strom, Kima, etc.) Komponentenbezugsverzeichnis mit Spezifikationen Alternative Lieferanten Wartungsplan Anlagen Gewährleistungsvertrag mit Verfügbarkeitsvereinbarung Lieferzusagen für Ersatzteile über den Gewährleistungszeitraum hinaus Wartungsvereinbarung Produktdatenblätter 554 V2 277

278 Beschreibung programmtechnische Lösung Hardwarekomponenten: Medien Textteil Art und Typ des Mediums Aufzeichnungsverfahren, Formatierung, Sicherung der Informationen Sicherstellen gegen Überschreiben ( Schwärzen ) von Informationen Verfügbarkeit Kompatibilität Datenorganisation auf den Medien, z.b. Gruppierung, sequentielles Schreiben etc. Haftung Wiederherstellung (Duplizieren, Recovery von Medien) Anhänge Komponentenbezugsverzeichnis mit Spezifikationen Betriebsbedingungen Alternative Hersteller und Lieferanten mit Lieferfristen Anlagen Produktdatenblätter Gewährleistungsvertrag Migrationszusagen Verfügbarkeitszusagen 555 Beschreibung programmtechnische Lösung Hardwarekomponenten: Speicherlaufwerke Textteil Hersteller Art der Laufwerke Betreibung, Aufzeichnungsverfahren Schnittstellen Austauschfähigkeit Verfügbarkeit Kompatibilität über mehrere Generationen Anhänge Betriebsbedingungen (Strom, Kima, etc.) Komponentenbezugsverzeichnis mit Spezifikationen Alternative Hersteller und Lieferanten mit Lieferfristen Wartungsplan Anlagen Gewährleistungsvertrag mit Verfügbarkeitsvereinbarung Lieferzusagen für Ersatzteile über den Gewährleistungszeitraum hinaus Wartungsvereinbarung Produktdatenblätter Migrationszusagen Verfügbarkeitszusagen 556 V2 278

279 Beschreibung programmtechnische Lösung Hardwarekomponenten: Speichersubsysteme (Jukeboxen, Festplattensysteme, Band-Roboter, virtualisierte Speicher, Cloud-Speicher u.a.) Textteil Hersteller Art, Typ Anzahl und Konfiguration der Laufwerke Schnittstellen-, Betriebs- und Steuersoftware Offline-Medienverwaltung Logische und physikalische Verwaltung der Medien Zugang, Zugriff, Remote-Maintenance Caching Verfügbarkeit Kompatibilität über mehrere Generationen Anhänge Betriebsbedingungen (Strom, Kima, etc.) Komponentenbezugsverzeichnis mit Spezifikationen Alternative Lieferanten Wartungsplan Anlagen Gewährleistungsvertrag mit Verfügbarkeitsvereinbarung Lieferzusagen für Ersatzteile über den Gewährleistungszeitraum hinaus Wartungsvereinbarung Produktdatenblätter 557 Beschreibung programmtechnische Lösung Hardwarekomponenten: Scanner Textteil Hersteller Art, Typ Schnittstellen Maximale/minimale Papierstärke Formate Auflösung Scangeschwindigkeit Komprimierungsverfahren Zusätzlich benötigte Hard- und Software (Komprimierungsboard, Treiber, etc.) Verfügbarkeit Anhänge Betriebsbedingungen (Strom, Kima, etc.) Komponentenbezugsverzeichnis mit Spezifikationen Alternative Lieferanten Wartungsplan Anlagen Gewährleistungsvertrag mit Verfügbarkeitsvereinbarung Lieferzusagen für Ersatzteile über den Gewährleistungszeitraum hinaus Wartungsvereinbarung Produktdatenblätter 558 V2 279

280 Beschreibung programmtechnische Lösung Hardwarekomponenten: Drucker Textteil Hersteller Art, Typ Pufferspeicher Schnittstellen Maximale/minimale Papierstärke Druckbereich Anhänge Betriebsbedingungen (Strom, Kima, etc.) Komponentenbezugsverzeichnis mit Spezifikationen Alternative Lieferanten Wartungsplan Einstellungen der Druckersteuerung (Treiber, Firmware, etc.) Anlagen Gewährleistungsvertrag mit Verfügbarkeitsvereinbarung Lieferzusagen für Ersatzteile über den Gewährleistungszeitraum hinaus Wartungsvereinbarung Produktdatenblätter / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Software Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 560 V2 280

281 Beschreibung programmtechnische Lösung Bei der Dokumentation der eingesetzten Software empfielt sich ebenso wie bei der Hardware, die Details in separaten Anhängen oder Anlagen zu führen. In den detaillierten Verzeichnissen sollten enthalten sein: Name Module Hersteller Version / Patch-Level Schnittstellen zu Installiert am Eingerichtet durch In Betrieb seit Verantwortlicher Betreuer Verweis auf Parametrisierung-Dokumentation Verweis auf Programmdokumentation 561 Beschreibung programmtechnische Lösung Eingesetzte Standard-Softwarekomponenten Allgemein nutzbare, z.b. Scannen OCR Textverarbeitung Datenbank Reportgeneratoren Workflow HR Archiv u.a. Spezifische, z.b. Fachanwendung Finanzbuchhaltung Warenwirtschaft EDI-Datenaustausch Rechnungsverarbeitung u.a. 562 V2 281

282 Standard-Softwarekomponenten Systembeschreibung Textteil Betriebssystemumgebung Treibersoftware Standardmodule der Anwendung Standardwerkzeuge der Systemverwaltung Softwareschnittstellen Benutzte Programmierwerkzeuge Anhänge Parametrisierungslisten Versionslisten Aufstellung der Lizenzen Anlagen Parametrisierungsmöglichkeiten Schnittstellendokumentation Herstellerdokumentation (Handbücher) Pflichtenheft Lizenzvereinbarungen Gewährleistungsvertrag mit Verfügbarkeitsvereinbarung Wartungsvereinbarung 563 Beschreibung programmtechnische Lösung Individuelle Teile der Anwendung Hierunter fallen alle Module und Anpassungen die von Integratoren oder selbst erstellt wirden sind. Sie können eigenständige Module sein oder aber Standardanwendungen funktional ergänzen. Eigenständige Module Integrierte Module in welcher Anwendung Benutzte Programmierwerkzeuge Benutzte Dokumentationswerkzeuge 564 V2 282

283 Beschreibung programmtechnische Lösung Individuelle Programmteile der Lösung Unterschieden wird Integration von Modulen, die auf Basis von speziellen Systemtools erstellt wurden Modulen, die durch Programmiersprachen erstellt wurden Wurde ein Pflichtenheft als Grundlage für die Programmierung benutzt, sollte der betreffende Teil entsprechend referenziert werden Sind andere Softwareprodukte in die Lösung integriert, sind sie ebenfalls in diesem Abschnitt zu beschreiben (einschließlich Art der Einbindung, Version etc.) Eine Abgrenzung der Verantwortlichkeiten für Fehlersituationen (Daten-Integrität) sollte in jedem Fall vorgenommen werden 565 Systembeschreibung Individuelle Programmteile der Lösung Textteil Programmmodulname Version Datum der Version Speicherort Zugriffsschutzmechanismen Programmiersprache/ Version Benutzte Schnittstellen Versionsmanagement Kompatibilität bei Upgrades Eingebundene Softwareprodukte Anhänge Parametrisierungslisten Software-Versionslisten Benutzerlisten Zugriffslisten Anlagen Parametrisierungsmöglichkeiten Schnittstellendokumentation Wartungsvereinbarung Pflichtenhefte Quelle: VOI Code of Practice: Verfahrensdokumentation 566 V2 283

284 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb12 Datenbank und Datenmodell Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 567 Datenbank und Datenmodell Nahezu alle Archivsysteme wie auch die meisten Buchhaltungssysteme benutzen relationale Datenbanken zu Verwaltung der strukturierten Daten Sie verweisen auf meistens extern gespeicherte Dokumente und halten für die Verwaltung der Dokumente die entsprechenden Metadaten. Über die Metadaten werden mitterls Kalassenkonzepten die Eigenschaften von Daten und Dokumenten wie z.b. die Aufbewahrungsfristen gesteuert. Das Wiederfinden und Nutzen von Daten sowie in Datensätzen referenzierten Belegen wird über die Datenbank ermöglicht. Vielfach werden auch die Protokolle innerhalb der Datenbank verwaltet. Die Datenbank-Funktionalität ist auch ausschlaggebend für die geforderte Auswertbarkeit. 568 V2 284

285 Datenbank und Datenmodell Die Datenbank, das implementierte Datenmodell, eingerichtete Regelwerke und Prozesse sowie die Konfiguration und vorgenommene Parametrisierung sind so zu dokumentieren, dass über die Aufbewahrungszeit die Auffindbarkeit und Auswertbarkeit über die Zeit gesichert ist. Hierzu sind aufzuführen und in Anhängen oder Anlagen zu dokumentieren: Bezeichnung, Art, Version, Installation der Datenbank Organisation der Tabellen Konfiguration und Parametrisierung Datenmodell mit den Attributen (Index) und ihren Verknüpfungen Hinterlegte Regeln Klassen für Dokumente, Berechtigungen und Vererbung Listen benutzter kontrollierter Schlagwortkataloge Abgebildete Aktenstrukturen Sicherung der Datenbank Zusatzmodule 569 Indizierung und Datenbank Beschreibung der Prozesse Textteil Datenbank mit technischen Daten Konfiguration der Datenbank Abbildung der Fachfunktionalität der Datenbank Möglichkeiten der Änderungen und Löschungen innerhalb der Datenbank Vollständiger Ablauf des Indexierungsprozesses Integrität und Konsistenz der Datenbank Transaktionsprotokollierung Replikationsmöglichkeiten Plausibilitätskontrollen Zugriffssicherungsverfahren Schnittstellen Übernahme- und Abgleichverfahren mit anderen Systemen Datensicherungsmöglichkeiten innerhalb der Datenbank Anhänge Dokumentenarten Zulässige Begriffe als Ordnungskriterien und Schlagworte Indextabellen Datenbankmodell Muster der Datenbankmasken Liste der Datenbanktabellen Parametereinstellungen Betriebsbedingungen Pflegemaßnahmen Anlagen Pflichtenhefte Arbeitsanweisungen Anweisung zum Verhalten bei Störungen Herstellerdokumentation 570 V2 285

286 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb13 Berechtigungssystem Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 571 Berechtigungssystem Das Berechtigungssystem kann in verschiedener Form und in verschiedenen Programmen implementiert sein. Für eine langfristige Stabilität und Sicherung des Zugriffs ist die Abbildung der Berechtigungen auf Rollen sinnvoll. Das Berechtigungssystem dient auch zum Schutz der Daten und Wahrung der Vertraulichkeit. Berechtigungen können sich beziehen auf: Einzelne Systeme und Softwarekomponenten Single-Login mit automatisch harmonisierten und synchronisierten Berechtigungen über alle oder mehrere Systeme Die Berechtigungen können verschiedene Teil der Systemumgebung betreffen: Zugang zum System mit Authentifizierung und Identifikation des Benutzers Berechtigung auf Netzwerkebene mit Zuweisung allgemeiner Lese, Schreib- oder anderen Einzel oder Gruppenberechtigungen Berechtigungsverwaltung zentral über einen Directory-Service oder eine HR-Software Berechtigung individuell in einer Anwendung 572 V2 286

287 Berechtigungssystem Berechtigungen besitzen in Bezug auf Zugänge und Passworte Regeln und Sicherheitestandards. Das Berechtigungssystem kann in verschiedener Form und in verschiedenen Programmen implementiert sein. d Auswertbarkeit über die Zeit gesichert ist. Die Berechtigungen häufig gruppiert und werden den Nutzern über eine Gruppenzuordnung vererbt. Gleiches gilt für die Archivierung für Rollen. Im System ist sicherzustellen, dass die Berechtigungen harmoniert sind, d.h. dass ein Anwender in einer Anwendung keinen Zugriff auf bestimmte Dasten oder Dokumente hat, aber in einer anderen diese finden und einsehen kann. In Archivsysteme werden häufig die Authetifikations- und Berechtigungsinformationen aus anderen Systemen importiert und dort ledioglich um die Archivspezifika ergänzt. Für externe Prüfer sind in der Regel extra Rollen und Berechtigungsprofile definiert, die genau nur den Zugriff auf die entsprechenden Daten und Dokumente erlauben. 573 Zugriffsschutz und Benutzerverwaltung Über die Benutzerverwaltung und die vergebenen Rechte muss die missbräuchliche und unautorisierte Benutzung des Systems ausgeschlossen sein Kriterien: Die Rechte der System- und Fachadministration liegen nicht in Personalunion Die Rechte der Indizierung und der Qualitätssicherung der Indizierung, insbesondere Änderung von Indizes sowie Nachscannen, Ersetzen oder Löschen von Dokumenten liegen nicht in Personalunion Anwendungsnutzer des Systems haben keine Berechtigungen, die die Konsistenz der Lösung beeinträchtigen können 574 V2 287

288 Berechtigungssystem Die Berechtigungsgruppen oder Klassen sind zu dokumentieren. Hierbei sind die Besonderheiten der jeweils betroffenen Systeme zu berücksichtigen. Den Gruppen oder Rollen sind in Anlagen die zugeordneten Benutzer zu dokumentieren. Dies gilt besonders für solche Benutzer, die Administrations- oder Fachadiministrationsberechtigungen besitzen und Veränderungen am System vornehmen können, die die Nutzbarkeit, Wiederauffindbarkeit oder Auswertbarkeit beeinträchtigen können. Das Berechtigungssystem verwaltet häufig auch Vertreterregelungen, die ebenfalls zu den jeweiligen Geschäftsvorfällen aufgezeichnet wrden müssen. Für die Protokollierung ist zu klären, welche identifizierenden Attribuet oder Namen der Anwender aufgezeichnet werden, um eine Zuordnung zu einer Tätigkeit vornehmen zu können. 575 Rechtevergabe: Funktionen Benutzungsrechte Suchen und Anzeigen, Notiz anlegen, Notiz ändern, Notiz löschen, fehlende Inhalte von Indexfeldern ergänzen, Drucken, Faxen (Fax-Ausgang) Erfassungsrechte Scannen, Dateien importieren, Nachscannen mit Ersetzen und Ergänzen von Dokumenten Indizierungsrechte Indizieren, Ändern von Indizierungen Fachadministrationsrechte Eingeschränkte Benutzerverwaltung mit Zuordnen von Benutzern zu Gruppen, eingeschränkte Benutzerverwaltung mit Sperren von Benutzern, Eingabe neuer Schlagworte, Sperren von Schlagworten für die Erfassung, Eingabe neuer Dokumentenklassen, Sperren von Dokumentenklassen für die Erfassung, Auswertungen und Statistiken, logisches Löschen von Dokumenten 576 V2 288

289 Rechtevergabe: Funktionen Systemadministrationsrechte Alle Rechte für die Pflege des Netzwerkes, Pflege der Datenbank ohne Löschen oder Ändern von Feldern oder Feldinhalten, alle Rechte für die Pflege der Datenbank, Pflege des Archivsystems ohne Löschen von Dokumentenklassen, Dokumenten und Caches, alle Rechte für die Pflege des Archivsystems, alle Rechte der Benutzerverwaltung, alle Rechte für Restart- und Recovery- Funktionen, Auswertungen und Systemstatistiken, logisches Löschen von Dokumenten Operatorenrechte Betrieb der Speichersubsysteme mit Monitoring, Konfiguration, Wechsel von Medien etc. Sonstige interne Rechte z.b. Fax-Eingangsverwaltung mit Weiterleiten, elektronische Unterschrift etc. Sonstige externe Rechte Rechte von externen Dienstleistern, ausgeliehenen Mitarbeitern, Außenprüfern und anderen Dritten, die nicht Unternehmensangehörige sind. 577 Beschreibungen der Berechtigungssystematik Berechtigungen Textteil Berechtigungssysteme identifiziert und beschrieben Konfiguration der Berechtigungssysteme Funktionalität der Berechtigungssysteme Einrichtung neuer Berechtigungen, Wegnahme ungültiger Berechtigungen Vertreterregelungen Login-Prozeduren Versionierung und Historisierung von Berechtigungen Berechtigungen Dritter (externer) Zugriffssicherungsverfahren Schnittstellen Übernahme- und Abgleichverfahren mit anderen Systemen Sicherungsmöglichkeiten der Berechtigungen Anhänge Verzeichnisse der Rollen Verzeichnisse der Berechtigungsgruppen und Berechtigungsprofile Zuordnung User zu Berechtigungen Verzeichnis mit Nachhaltung kritischer Rollen (Administratoren) Vertreter-Handhabung Parametereinstellungen Betriebsbedingungen Pflegemaßnahmen Prüfer-berechtigungen Anlagen Arbeitsanweisungen für Zugang, Verteetung und Passworte Anweisung zum Verhalten bei Fehlfunktionen Herstellerdokumentation 578 V2 289

290 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb14 Transport im System Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 579 Transport im System Daten und Dokumente werden über verscheidene Programme, Schnittstellen und Zwischenspeicher im System transportiert. Dabei handelt sich um Operationen wie Kopieren mit anschließendem Löschen der Ursprungsinformation (Verschieben) und duplizierendes Kopieren mit entsprechenden Dialogen über Schnittstellen oder Abgreifen bereitgesteller Datenbestände mit anschließender Verarbeitung. Die technischen Protokolle für den Transport müssen sicher und nachvollziehbar sein. Für den Transport gelten die gleichen Bedingungen der Sicherung gegen Verlust und Verfälschung als ob sich die Informationen bereits in der gesicherten Ablage befänden. Standardmäßige Transporte finden zwischen den einzelnen Anwendungen,d er Bereitstellung von Informationen für die Nutzung und in der Speicherhierarchie statt. Einzelne Stationen des Transportes im System werden protokolliert (z.b. ein Archiveingangsprotokoll). 580 V2 290

291 Transport im System Die einzelnen Transport-Prozesse sind zu unterscheiden nach Manuell initiiert (z.b. nach Qualitätskontrolle, Freigabe o.ä.). Diese sind meistens bereits in den Prozessbeschreibungen behandelt. Automatisch programmgesteuert (meistens für den Anwender intransparent). Letztere sind Gegenstand dieses Abschnittes Transport im System. Prozesse des Transportes können sein: Datenimport (z.b. Cold) Datenexport aus Anwendungen in anderen Anwendungen Scannen und Nachverarbeitung Renditionierung (Generierung von Kopien in anderen Formaten) Aufruf von Daten und Dokumenten aus Anwendungen heraus Verschiebung von Daten, Dokumenten und Metadaten zwischen Anwendungen Übermittlung Anfragen, Daten und Dokumente an das Archiv Bereitstellung von Suchergebnissen, Daten und Dokumenten aus dem Archiv Zwischenspeicherung für Weiterverarbeitung (Anwendung oder Caches) Zwischenspeicherung für Prüfung und Nutzung (Caches) Generierung von Reports (nach keine Verdichtung) Protokollierung der Transporte und der technisch verlust- und fehlerfreien Durchführung 581 Transport im System Beschreibung der Prozesse Textteil Vollständiger Ablauf des Transportverfahrens Beschreibung des Datenflusses Vorbeugung gegen Datenverlust Mehrfachspeicherung Schnittstellen Redundante Speicherung Protokollierung der Vorgänge Verfahren zum Wiederanlauf Möglichkeiten der Auslastungskontrolle Anhänge Cache-Organisation Betriebsbedingungen Pflegemaßnahmen Messprotokolle des Netzwerks Anlagen Pflichtenhefte Schnittstellendokumentation Anweisung zum Verhalten bei Störungen Herstellerdokumentation Zertifikate der Komponenten Konfiguration der Speicherhierarchie 582 V2 291

292 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb15 Wiedergabe und Drucken Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 583 Wiedergabe und Auswertung Über die Aufbewahrungsfrist nach AO (und gegebenfalls auch länger, wenn diese unterbrochen oder ausgesetzt wird, bzw., sich betriebliche Notwendigkeiten ergeben oder andere Gesetze längere als die steuerlichen Aufbewahrungsfristen erfordern) müssen die Lesbarmachung, damit auch der Ausdruck bestimmter Daten und Dokumente, sowie die Auswertbarkeit nach sichergestellt werden. Hieraus ergeben sich eine Reihe von Anforderungen wie Sicherstellung der technischen Findbarkeit und Reproduzierbarkeit Erzeugung von Anzeigekopien zum Zeitpunkt der Erfassung oder des Retrievals (Renditioning) für die Anzeige am Bildschirm und den Ausdruck. Hier sind gegebenenfalls zusätzlich die Anforderungen der bildhaften und/oder inhaltlichen Reproduktionsfähigkeit zu berücksichtigen. Sicherstellung der Auswertbarkeit im Sinne von Statistisch auswertbar Per Volltext findbar (wo verfügbar) Über Suche und Verknüpfungen auffindbar und reproduzierbar Entsprechende Prozesse und Werkzeuge sind ind er Verfahrensdokumentation zu beschreiben. 584 V2 292

293 Reproduzierbarkeit und Auswertbarkeit Renditionen Renditionen sind Konvertierungen eines Inhaltes von einem Dateiformat in ein anderes. Dabei dürfen keine Inhalte verloren gehen oder verfälscht werden. Sofern ursprünglich eine statische Auswertbarkeit bestand, ist die Ursprungsdatei unter gleichem Index zu speichern und mitzuverwalten. Renditionsverfahren und Renditionsregeln sind zu dokumentieren. Drucken bildhafter Dokumente Viele Drucker skalieren Seiten, da sie nicht komplett formatgetreu ausdrucken können. Die dadurch entstehende Verkleinerung darf bestimmte Grenzwerte nicht überschreiten um den Originalcharakter zu erhalten, Gleiches gilt für die Wiedergabe von Farbe sofern Farbe eine Aussagekraft hat. Erzeugen von Reports Sofern aus Daten (z.b. im Zuge einer Auslagerung) Reports erzeugt werden, dürfen diese die Auswertbarkeit nicht behindern und keine Daten unterdrücken. 585 Berechtigungen Reproduzierbarkeit und Auswertbarkeit Textteil Sicherstellung der Wiederauffindbarkeit Sicherstellung der Lesbarmachung Sicherstellung der jeweiligen Auswertbarkeit (In Abhängigkeit der Formate) Konvertierungs- und Viewer-Strategie Renditioning Eingesetzte Werkzeuge Sicherstellung der Unverändertheit beim Konvertieren Format- und Farb-getreues Drucken Überprüfungsprozesse zur Sicherstellung von Lesbarmachung und Auswertbarkeit Anhänge Konvertierungsregeln Qualitätsmaßstab für Wiedergaben (inhaltlich/bildhaft) nach Daten- und Dokumentenklassen Protokollfunktion für Konvertierungsvorgänge Anlagen Dokumentation der Viewer-produkte Dokumentation der Konverter- und Renditioning-Produkte Betriebsanweisungen Fehlerbehandlung 586 V2 293

294 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb16 Sicherheit und Ausfallsicherheit Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 587 Datensicherheit und Datenschutz Datensicherheit Einbettung des Dokumenten-Management- oder Archivsystems in das Datensicherheitskonzept des Betreibers Systemauslegung, Softwareschutz, Wahrung der Datenintegrität, Benutzerverwaltung, Zugangsschutz, technische Sicherheit der eingesetzten Komponenten, Aussagen zur Systemverfügbarkeit und andere relevante Informationen Datenschutz Belange des personenbezogenen Datenschutzes bezogen auf die gespeicherten Daten von Mitarbeitern des Betreibers sowie von Dritten. Belange des Datenschutzes der betrieblichen Daten. 588 V2 294

295 Sicherheit des Systems Hohe Verfügbarkeit aller Komponenten von entscheidender Bedeutung Bei Ausfällen einzelner Rechner sollte die Funktionalität des Systems weiterhin gegeben sein Anbieter muss beschreiben, durch welche Maßnahmen eine hohe Systemverfügbarkeit gewährleistet werden kann Werte zur Ausfallsicherheit in Prozent und Lebensdauer sind vom Hersteller anzugeben und möglicherweise sogar vertraglich festzulegen 589 Absicherung der Prozesse Verantwortungsbereiche müssen vertraglich festgehalten werden Anbieter (Integrator, Cloud-Anbieter, eigene IT): Störungsfreies Verhalten des Archivsystems Anwender (IT-Bereich): Verfügbarkeit und fehlerfreies Funktionieren der Netzwerk-, Betriebssystem- und sonstigen Anwendungsumgebung Überwachung des Systems (IT-Bereich): Transaktionsmonitore Geeignete Protokollierung 590 V2 295

296 Backup Backup-Konzept Schutz gespeicherter Dokumente vor Verlust durch Hardware-Schäden oder andere Einflüsse Anbieter: Beschreibt, welche Arten der Datensicherung im System vorgesehen sind und welche Komponenten einer Sicherung unterliegen sollten Anbieter und Anwender: Aufstellung Verfahren zur Durchführung von Datensicherungsmaßnahmen 591 Restart Restart-Routinen Sicherstellen, dass aufgetretene Fehler oder Systemausfälle zu keinem Verlust und keinen Inkonsistenzen des Dokumentenbestandes führen und in kürzester Zeit wieder behoben werden können Bei Darstellung des Wiederanlaufes sollte für den Ausfall jeder einzelnen Komponente angegeben werden können, mit welchem Aufwand und nach welcher Dauer die Aufnahme eines eingeschränkten sowie des vollständigen Betriebes wieder möglich ist. Darstellung, wie nach einem Systemabsturz die Konsistenz des gesamten Systems wiederhergestellt werden kann (Transaktionen zurücksetzen, unvollständige Dokumente löschen, Abgleich Archiv mit Datenbank etc.). 592 V2 296

297 Recovery Teil-Recovery Vorgesehen für Konsistenzsicherung und die Wiederherstellung eingegrenzter Bereiche der Speicher und der Indexdatenbank Z.B. nach Archiv, Zeitraum, Medium, Dokumentenklasse Voll-Recovery Nur als letzte Absicherung für den Katastrophenfall vorgesehen 593 Recovery Recovery-Verfahren Abgestufte Sicherheit bei der Speicherung: a) Speicherung nur der Dokumente ohne Index- und Verwaltungsinformationen auf dem Speichermedium (nur relativ sicher, zusätzliche Sicherungen des dynamischen Systems und Absicherung der eindeutigen Referenzierung zwischen Indexdatenbank und archivierten Dokumenten erforderlich) b) Speicherung der Index- und Verwaltungsinformation mit auf dem gleichen Speichermedium, jedoch nicht direkt beim Dokument (sicher) c) Speicherung der Index- und Verwaltungsinformation als separater Datensatz direkt beim Dokument (sehr sicher) d) Speicherung von selbstbeschreibenden Dokument-Objekten, bei denen alle Informationen zum Index, zur Verwaltung, zur Wiederanzeige und zum Schutz im Header mitgespeichert sind (sehr sicher) e) Erzeugung von Medien (sog. selbsttragende Archive), die zusätzlich zu den Dokumenten alle beschreibenden Merkmale, Anzeigekomponenten und Verwaltungssoftware mit sich tragen (sehr sicher) 594 V2 297

298 Datensicherheit und Datenschutz Datensicherheit Textteil Datensicherungskonzept Maßnahmen zur Systemverfügbarkeit Gewährleistung der Datensicherheit Restart-Routinen Recovery-Verfahren Anhänge Testberichte und Protokolle der Datensicherheitsverfahren Anlagen Pflichtenhefte Arbeitsanweisungen Anweisungen zum Verhalten bei Störungen Pflegemaßnahmen Ausfallsicherheitsverträge Dokumentation der Hersteller 595 Datensicherheit und Datenschutz Datenschutz und Zugriffsrechte Textteil Protokollierung von Änderungen der Benutzerdaten durch die Benutzerverwaltung Individuelle Zugriffssteuerung z.b. auf Teilbereiche des DMS oder Bereiche anderer Benutzergruppen Vergabe von Zugriffsrechten (Benutzungsrechte, Erfassungsrechte, Indizierungsrechte, Fachadministrationsrechte, Systemadministrationsrechte, Operatorenrechte, sonstige Rechte) Zugriffssicherung durch Passwortschutz Eingabe einer User-ID Bildschirmschoner mit Passwort Login grundsätzlich nach kurzfristigem Verlassen und remote Beschränkung der Anzahl der Fehlversuche beim Anmelden Zugriffsschutz via Intra- und Internet Client-Absicherung z.b. ohne Schloss und Schlüssel am Client Virenschutz Schutz der Arbeitsplätze und Server z.b. geschlossener Raum, Schlossanlage, Klimaanlage etc. Zugangskontrollen zum Rechenzentrum, zu Jukeboxen und Offline-Medien Datenschutz bei Datentransfer über Leitungen (z.b. ISDN) durch Verschlüsselung Kryptografische Verfahren Anhänge Benutzergruppenrechte und Benutzerprofile Funktionsklassen Anlagen Pflichtenhefte Arbeitsanweisungen Betriebsbedingungen Pflegemaßnahmen Betriebliche Richtlinien 596 V2 298

299 Daten- und Programmintegrität Datenintegrität Textteil Beschreibung der Softwareverfahren und Wahrung der Datenintegrität Hardwarekonzept Verlustfreies Restart- und Recovery-Verfahren Konsistenzprüfungsprogramme Eindeutige Zuordnung von Indizes und Dokumenten Schutz vor intentioneller und versehentlicher Veränderung Verfahren der Reorganisation Anhänge Indextabellen Änderungsprotokolle Anlagen Zertifikate Herstellerdokumentation / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb17 Protokollierung Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 598 V2 299

300 Protokolle Grundsätzlich kann man unterscheiden: Technische Log-Dateien zur kontinierlichen Sicherstellung des Betriebes. Hierzu gehören auch Fehlerprotokolle, Auslastungsprotokolle, Schnittstell-Protokolle, Server-Verfügbarkeitsprotokolle und andere. Transaktions-orientierte Protokolle über einzelne Prozessschritte, Aktivitäten und beteiligte Anwender und Programme, die speziell auf eine Anwendung, Prozess oder Geschäftsvorfall ohne zeitliche Beschränkung ausgelegt sind. Daten dieser Protokolle können auch in der Anwendung durch den User genutzt werden (z.b. Historie eines virtuellen Aktenordners). Zeitpunkt-bezogene Journale, die für einen Prozess und einen definierten Zeitraum alle Aktivitäten erfassen. Daten dieser Protokolle können auch in der Anwendung durch den User genutzt werden (z.b. Datum-bezogen Posteingangsbuch, Postausgangsbuch). Audit-Trails zur Dokumentation Compliance-relevanter Aktionen und Zustände von System- und Anwenderaktionen, deren Datenzusammensetzung und Periodizität sich aus den zu erfüllenden Compliance-Vorgaben ergibt. Hierzu gehören zum Beispiel auch Löschprotokolle, Änderungsprotokolle, Administrationsrechtevergabeprotokolle, Archivspeicherungprotokolle u.a. 599 Protokolle Die Nachvollziehbarkeit der ordnungsgemäßen Verarbeitung und Aufbewahrung wird in den Systemen durch automatisch erzeugte Protokolle, Journale und Log- Dateien sichergestellt. Für die verschiedenen Arten von programmtechnisch erzeugten Protokollen sind die entsprechenden Funktionen, Nutzungs- und Schutzkriterien sowie Speicherorte und Aufbewahrungsfristen zu dokumentieren. Bestimmte Protokolle, beziehungsweise bestimmte Daten in Protokollen können unter dem Gesichtspunkt des personenbezogenen Datenschutzes kritisch sein und erfordern eine Abstimmung mit der Personalvertretung. Protokolle sind wie Daten und Dokumente zum Teil aufbewahrungspflichtig. Die aufbewahrungspflichtigen sind in der Verfahrensbeschreibung aufzuführen. In der Verfahrensdokumentation sollte ausgeführt sein: Art des Protokolls mit welchem Zweck für welche Anwendung Funktionalität oder Werkzeuge zum Durchsuchen (und wo zulässig Auswerten) der Protokolle Berechtigung für Einsicht, Durchsuchen und Auswerten von Protokollen bezogen auf die verschiedenen Arten Sicherstellung der Aufbewahrungspflichten für bestimmte Protokolle Festlegung, welche Protokolle bei einer Migration mitmigriert werden müssen 600 V2 300

301 Protokolle Grundsätzlich kann man unterscheiden: Technische Log-Dateien zur kontinierlichen Sicherstellung des Betriebes. Hierzu gehören auch Fehlerprotokolle, Auslastungsprotokolle, Schnittstell-Protokolle, Server- Verfügbarkeitsprotokolle und andere. Transaktions-orientierte Protokolle über einzelne Prozessschritte, Aktivitäten und beteiligte Anwender und Programme, die speziell auf eine Anwendung, Prozess oder Geschäftsvorfall ohne zeitliche Beschränkung ausgelegt sind. Daten dieser Protokolle können auch in der Anwendung durch den User genutzt werden (z.b. Historie eines virtuellen Aktenordners). Zeitpunkt-bezogene Journale, die für einen Prozess und einen definierten Zeitraum alle Aktivitäten erfassen. Daten dieser Protokolle können auch in der Anwendung durch den User genutzt werden (z.b. Datum-bezogen Posteingangsbuch, Postausgangsbuch u.a.). Audit-Trails zur Dokumentation Compliance-relevanter Aktionen und Zustände von Systemund Anwenderaktionen, deren Datenzusammensetzung und Periodizität sich aus den zu erfüllenden Compliance-Vorgaben ergibt. Hierzu gehören zum Beispiel auch Löschprotokolle, Änderungsprotokolle, Administrationsrechtevergabeprotokolle, Archivspeicherungprotokolle, Systemänderungsprotokolle, u.a. 601 Protokollierung Beschreibung der Prozesse Textteil Protokollaufbau mit Feldern und Inhalten Beschreibung der Erfassungsjournale Bei mehrstufigen Verfahren, Beschreibung der Erfassung, Qualitätssicherung und Indizierung Änderungsjournale für verworfene, ersetzte oder nacherfasste Dokumente Änderungsjournale für geänderte Indizes Login und Nutzungsjournale Archivierungsjournale mit Abgleichfunktionalitäten zu anderen Journalen Auswertung, Archivierung und Retrieval der Journale Parametrisierungsmöglichkeiten Eingesetzte Standards und Normen Anhänge Liste der Journaldateien Musterausdrucke der Journaldateien Zugriffsberechtigungen für Journaldateien Parameterlisten Anlagen Pflichtenhefte Arbeitsanweisungen Anweisung zum Verhalten bei Störungen Herstellerdokumentation 602 V2 301

302 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb18 Formate Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 603 Formate Dieser technisch orientierte Abschnitt ist wichtig, um die in den geforderten Auswertungsmöglichkeiten für die unterschiedlichen Daten- und Dokumententypen zu definieren und über einen längeren Zeitraum nachzuhalten. Um ältere Ausgaben auswerten zu können ist eine Versionierung und Historisierung der Spezifikationen erforderlich. Die Methoden zum Zugriff und zur Auswertung nicht mehr aktuell im Einsatz befindlicher Formate sind zu beschreiben. Die eigentlichen aktuellen Spezifikationen werden in Anhängen oder Anlagen verwaltet. Die Formatspezfikationen sollten digital und verarbeitungsfähig vorliegen. Technische Dokument-Formate, z.b. Festlegung auf wenige zulässige Archivierungsformate für Dokumente z.b. TIFF/ITU6.2, PDF/A-1, PDF/A-2 oder JPEG2000. Festlegung für Dokumentformate vor der Archivierung während Erstellung, Erfassung und Verarbeitung, z.b. Office-Suite-Formate) Beschreibung der Behandlung von originären Formaten und deren zusätzliche Wandlung in Inhouse-Formate mittels Renditioning Behandlung von Sonderformaten (z.b. CAD, Multimedia, 3D-Grafik, etc.), die nicht vom Archivsystem angezeigt werden können, sondern an die erzeugende Anwendung zurückgegeben werden Behandlung oder Auschluss von Sonderfunktionen für Dokumentformate wie Abdeckungen, Annotationen etc. 604 V2 302

303 Formate Technische Daten-Formate, z.b. Formate von auswertbaren Daten aus Finanzbuchhaltung, ERP etc., z.b. nativ oder XML. Bereitstellungsformate für Z3 Datenträgerüberlassung z.b Beschreibung der verschiedenen technischen Formate, die auf einen Datenträge kommen Technische Report-Formate, z.b. Listen, Berichte und Reports aus Anwendungen, die aufbewahrt werden müssen, Benennung, Identifizierung, Strukturierung, Format (z.b. XML, AFP oder ähnlich) Aufbau, Köpfe, Tabellen, Attribute, Ordnung, Filter etc.. Hierfür sind häufig auch spezielle Viewer notwendig, die beschrieben sein sollten, um eine Auswertbrkeit sicherzustellen. Technische Protokoll-Formate, z.b. Audit-Trails, die aufbewahrungspflichtig sind Bennung, Identifizierung, Format (z.b. XML, ASCII-CDR oder ähnlich), Aufbau, Attribute, Marken etc.. Für Protokolle sind häufig spezielle Werkzeuge zur Auswertung notwendig, die aufzufühen sind. Konfigurationsdateien, z.b. Solche, die die eingestellten Parameter und Konfigurationen der Systemkomponenten dokumentieren. Auch hier sind Ort, Findbarkeit, Version, Aufbau etc. zu dokumentieren. 605 Technische Formate Formate Textteil Identifizierung aller notwendigen Formate und Zuordnung zu Anwendungen Dokumentformate Archiv Dokumentformate Ablage Originäre Formate und Renditioning Sonderformate GDPdU-Formate Auswertbarkeit Formate Reports Formate Listen Formate Protokolle Anhänge Aktuelle technische Definitionen der Formate Historisierte Formate 606 V2 303

304 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb19 Qualität Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 607 Qualität Die Qualität sowie die Qualitätsicherungsmaßnahmen betreffen unterschiedliche Bereiche von System, Nutzung und Betrieb. Die Qualität definiert die weichen Faktoren von HGB, AO und GOBD wie Richtigkeit, Wahrheit etc. Qualität der Erfassung Indizierung Verarbeitungsfähigkeit Prozesse Pflege des Systems u.a. Die Qualität beginnt mit Definition der Anforderungen, Auswahl des geeigneten Systems, optimalen Prozessen, Nachhaltung der Nutzung und des Betriebes, Vollständigkeit und Verarbeitungsfähigkeit der Ergebnisse und letztlich der Ordnungsmäßigkeit des Verfahrens. Qualität erfordert die Definition messbarer Kriterien. 608 V2 304

305 Normengruppe ISO 9000 Verschiedene Abstufungen bezüglich: Qualitätsmanagement (QM), Qualitätssicherung (QS) und der Qualitätsdarlegung Je nach Tätigkeitsbereich entweder ISO 9001 (Design, Entwicklung, Produktion und Montage und Wartung) oder ISO 9002 (Produkte und Montage) Unternehmen definieren Qualität selbst bei Zertifizierung soll durch Qualitätsmanagement-System Abweichung von diesem festgelegten Ziel verhindert werden Zertifizierung nach ISO 9001 stellt eine Aussage über die Qualität der Prozesse dar, keinen Qualitäts- und Sicherheitsmaßstab für ein Produkt 609 Qualitätsanforderungen Da die Archivsystem-Einführung mit erheblichen Kosten verbunden ist, muss vom Betreiber bei der Anbieterauswahl besondere Aufmerksamkeit auf die Qualität gelegt werden. Qualität kann durch Testverfahren und Abhandlung aufgetretener Fehlerquellen nachgewiesen werden. Der Anbieter muss seine Maßnahmen zur internen und externen Qualitätssicherung darlegen. 610 V2 305

306 Qualitätsanforderungen Folgende Punkte sollten im Rahmen der Qualitätsanforderungen betrachtet werden: Textteil Qualitätsorganisation des Unternehmens Qualitätsmaßstab für Dokumente Qualitätsmaßstab für Prozesse Qualitätsmaßstab für Mitarbeiter entsprechend Rolle Qualitätsmaßstab für Systeme Software-Qualität Lesbarkeit und Reproduzierbarkeit von Dokumenten Dokumentation des Verfahrens selbst (Maßstab für Richtigkeit, Aktualität und Vollständigkeit der Verfahrensdokumentation) Modularität Updatefähigkeit Wartbarkeit Tools der Pflege des Archivsystems Change Prozesse für Nachhaltung der Qualität / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb20 Betrieb Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 612 V2 306

307 Betriebskonzept Wesentliche Komponente der Verfahrensdokumentation ist die Zusammenstellung aller Informationen und Dokumente, die für den Betrieb über den jeweilig aktuellen Zeitraum der Aufbewahrungsfristen (dies kann Jahrzehnte betreffen) notwendig sind. Da die Betriebsdokumentation ständig aktuell sein muss, empfiehlt sich das Thema Betrieb in der Verfahrensbeschreibung nur generell in Bezug auf die -Vorgaben zu behandeln und die Details in Anhänge und Anlagen zu positionieren. Im Betrieb muss so sichergestellt sein, das Anwender versehentlich oder intentionell keine Datenverluste oder Inkonsistenzen erzeugen können. Administratoren in ihren Funktionen so aufgeteilt sind, dass sie sich gegenseitig kontrollieren können und einer allein die Verfügbarkeit und Konsistenz des Systems nicht beeinträchtigen kann. Verarbeitungs- und Aufbewahrungsvorgaben von HGB, AO, und gegebenenfalls anderen, in der Verfahrensbeschreibung aufgeführten Regularien, erfüllen kann. Für die Sicherstellung des Betriebes ist entsprechend geschultes und qualifizierftes Personal erforderlich. Besondere Abschnitte sind notwendig, wenn der Betrieb durch externe Mitarbeiter erfolgt oder unterstützt wird an Dritte outgesourct ist und anderen Ortes statfindet andere Lösungen, Personen oder Umstände bekannterweise beeinträchtigt werden kann (Risiko-Analyse) 613 Betrieb Vom Anwender zu berücksichtigenden Voraussetzungen, damit das System ordnungsgemäß arbeitet, z.b.: Mindestpersonal zur Aufrechterhaltung des Betriebs Qualifikation der Mitarbeiter Aufgabentrennung zum Schutz vor Manipulationen (Anwender, Administrator) Festlegung einer einheitlichen Nomenklatur Benutzerhilfen und -führung Individuelle Menüsteuerung entsprechend den Zugriffsberechtigungen Change Management Verfahren Prozess für Freigabe und Abschluss von Vorgängen Beschreibung der Funktion Löschung 614 V2 307

308 Betriebsdokumentationen Verweise auf zugeordnete Dokumente in den Anlagen, in denen die Lösung beschrieben ist Pflichtenhefte, Handbücher und andere Dokumente Verzeichnis derjenigen Dokumente, die zur installierten Programmversion gehören (Programmidentität) sollte Anlage der Verfahrensdokumentation sein und bei Änderungen des Systems fortgeschrieben werden Aus den Dokumentationen muss hervorgehen, welche zulässigen Anpassungen am System durchgeführt werden können, welche Parametrisierungs- und Konfigurationsmöglichkeiten bestehen und welche Werte bei der Installation eingestellt wurden 615 Betriebsvoraussetzungen seitens des Anbieters Zu berücksichtigende Vorgaben und Voraussetzungen des Anbieters oder externen Betreibers, damit das Aufbewahrungssystem ordnungsgemäß arbeitet und sicher genutzt werden kann Abschnitte mit Dokumentationen zum Einsatz der Software (Handbücher), Arbeitsanweisungen und Anweisungen zum Verhalten bei Störungen des Systems, Betriebsbedingungen, Pflege von Hard- und Software, Medien- und Datensicherung sowie die Qualifikation der einzusetzenden Mitarbeiter Anlagen Dokumentationen zum Einsatz der Software (Handbücher) Anweisungen zum Verhalten bei Störungen des Systems Betriebsbedingungen Pflegevorgaben für Hard- und Software Vorgaben für Medien und Datensicherung Vorgaben für die Qualifikation der Mitarbeiter und notwendige Weiterbildung 616 V2 308

309 Betriebsbedingungen Betriebsvoraussetzungen beinhalten die Auflistung der Maßnahmen, die die Einhaltung der vom Anbieter vorgegebenen Betriebsbedingungen sicherstellen Bei Nichteinhaltung können Gewährleistungsansprüche und der Nachweis der Ordnungsmäßigkeit verfallen Anhänge Zugangskontrolle Technische Vorgaben Erschütterungsfreie Aufstellung Sicherung gegen elektrostatische Aufladung Staubentwicklung Klimatisierung Raumausstattung Raumpflegemaßnahmen Quelle: VOI Code of Practice: Verfahrensdokumentation 617 Betriebsbedingungen Mitarbeiterqualifikation Beschreibung der Qualifikationen, die zur Sicherstellung des ordnungsgemäßen Betriebs benötigt werden. Unterteilung nach Systemadministratoren, Administratoren, Anwendern und anderen Rollen Anhänge Rollen Stellenbeschreibung Schulungsprogramm Zertifizierungsprogramme Zuordnen von Benutzerprofilen Quelle: VOI Code of Practice: Verfahrensdokumentation 618 V2 309

310 Betriebsdokumentationen Vom Betreiber (Anwenderunternehmen bei Inhouse, Dienstleister bei Outsourcing, Cloud-Service-Anbieter) erstellte Dokumentationen, die das System, seinen sicheren Betrieb und die vorgesehene Nutzung beschreiben. Anlagen Funktionskonzepte Nutzungskonzept Definition von Störung und Verfügbarkeit Betriebskonzept Datensicherungskonzept Anwendungsspezifisches Handbuch oder Handbücher für spezielle Aufgaben Kurzanleitungen für häufig eingesetzte Funktionen und Abläufe Checklisten für den Betrieb und die Störungsbehandlung 619 Betriebsdokumentationen Vom Anwender gegebenenfalls erstellte Dokumentationen Anlagen Im Betrieb zu berücksichtigende Komponenten entsprechend Service-Level-Agreement (Zuständigkeit Anwenderunternehmen/Anbieterunternehmen) Detailkonzepte Organisationskonzept Berechtigungskonzept Datensicherungskonzept Datenschutzregelung Anwendungsbeschreibung Schulungsunterlagen Qualifikationsprofile Prüf- und Nachhaltungskonzept Arbeitsanweisungen für den Betrieb Arbeitsanweisungen für Störungsfälle 620 V2 310

311 Betriebsdokumentationen Vom Anbieter erstellte oder beigesteuerte Dokumentationen Anlagen Detailkonzepte Angebote Systemdesign Administrationshandbuch Operating-Handbuch Datenbank-Dokumentation Dokumentationen zu den eingesetzten Tools wie Restart, Recovery, Statistik, etc. Dokumentationen zur eingesetzten Software (Nachweis der Programmidentität) mit Konfigurationsparametern zu den installierten Datenbanktabellen, Pflege von Auswahllisten und Thesauri, Benutzerprofilen, etc. Dokumentationen zur eingesetzten Hardware, Systemkonfiguration, Systeminstallation, etc. 621 Arbeitsanweisungen Für den Anwender zur sachgerechten Erledigung und Durchführung seiner Aufgaben Legen fest, welche Punkte bei der Arbeit mit dem System zu beachten sind Arbeitsanweisungen müssen an jedem Arbeitsplatz vorhanden sein und enthalten u. a. Anweisungen für das Verhalten im Fehlerfall Arbeits- und Organisationsanweisungen können nur vom Betreiber erstellt werden. Wichtig vor allem das Verhalten im Fehlerfall und bei der Behandlung der Originaldokumente, sowie die Anweisungen hinsichtlich der Datensicherung und des Umganges mit den Medien Zu den Beschreibungen gehören auch Vorgaben für die Prüfung der Einhaltung dieser Anweisungen 622 V2 311

312 Arbeitsanweisungen Arbeitsanweisungen Anhänge Scanvorgang mit Vor- und Nachbereitung Online- und Batch-Import Indizierung Qualitätssicherung Ändern und Löschen von Indizes Ändern und Löschen von Dokumenten Zugang ins System Medienbehandlung Operating Datensicherung Fehlerbehandlung Notfallmaßnahmen Prüfung der Einhaltung der Arbeitsanweisungen / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb21 Wartung Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 624 V2 312

313 Wartung Die Wartung ist häufig bereits Gegensatnd des Abschnittes Betrieb. Besonders aber, wenn Wartung und Betreuung ganz oder teilweise durch Dritte durchgeführt wird, sollte dies gesondert behandelt werden. Prüfen, inwieweit und in welchem Umfang Verträge mit Anbietern oder Herstellern zur laufenden und präventiven Wartung von Hardund Software abgeschlossen werden müssen Berücksichtigung präventiver Arbeiten, die vom Anwender selbst vorgenommen werden können und in entsprechenden Handbüchern dokumentiert sind Weitere Wartungsarbeiten des Anwenders sollten festgehalten werden, um bei Gewährleistungs- und Garantiefällen die Zuständigkeiten eindeutig nachweisen zu können In jedem Fall muss jedoch eine Mindestwartung zur Sicherstellung des Betriebes und der Datensicherheit bereitgestellt werden. Bei der Planung eines Verfahrens zur Durchführung von Wartungsarbeiten ist darauf zu achten, dass der laufende Betrieb möglichst ungestört bleibt. Der Anbieter muss hier die Aufgaben, Abgrenzungen und Intervalle der Wartung beschreiben. 625 Wartung Gehört zu den Betriebsbedingungen Beschreibung der durchzuführenden Prüfungs- und präventiven Wartungsmaßnahmen Anhänge Tägliche Routineüberprüfung und Reinigung Überprüfung auf Staubfreiheit der Gehäuse und ggf. Reinigung Überprüfung und Reinigung der Ventilatoren/Luftfilter aller Server und der Speichersysteme (Laufwerke, Jukebox) Überprüfung und Reinigung der Laufwerke für die Bandsicherung Regelmäßige Überprüfung aller Kabel- und Steckverbindungen an den Systemkomponenten Dokumentation der durchgeführten Tätigkeiten mit ausführender Person, Datum Kontrolle der magnetischen Zwischenspeicher 626 V2 313

314 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Vb22 Migration Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 627 Migration Das Thema Migration hat in den unterschiedliche Aspekte, die zu verschiedenen Prozessen der Überführung von Daten und Dokumenten führen: Auslagerung aus operativen Systemen Regelmäßige Auslagerung von Datenbeständen (z.b. jährlich Zeitscheiben ) aus operativen Systemen zu derer Entlastung. Systemablösung Abschaltung eines alten und Einrichtung eines neuen Systems mit Überführung aller Daten und Dokumente, Metadaten und Strukturinformationen sowie Regeln und Zugriffskonzepten. Hinzukommen noch andere mögliche Arten von Migrationen, die nur die Ablösung von Teilen der ursprünglichen Lösung bedingen oder durch Updates von Software notwendig werden. Hierzu können z.b. Erweiterung der Speicher, Update der Datenbank oder Archivsoftware und Ähnliches gehören. 628 V2 314

315 Migration Migration ist Überführung von Daten und Dokumenten mit ihren Metadaten und Strukturinformationen bedingt durch den Wechsel des Speicherortes oder Verwaltungssystems in ein höherwertiges System / Versionswechsel der Systemart des Herstellers Die Migration ist ein geordneter, dokumentierter Standard-Prozess im IT-Betrieb. Das Migrationskonzept ist die Darstellung, wie in Abhängigkeit der technologischen Weiterentwicklung und der Releaseplanung des Anbieters die langfristige Sicherheit der gespeicherten Informationen, Konsistenz und Integrität sowie deren Verfügbarkeit gesichert werden soll: es beinhaltet die generelle Migrationsfähigkeit sowie günstige und notwendige Migrationszeitpunkte 629 Migrationsprozess 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Steuerung P Plan D Design T Test E Execute A Accept Kontrolle Audit-Trail Dokumentation Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 630 V2 315

316 Die 5 Migrations-Prozess-Schritte 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Schritte 1) P Plan 2) D Design 3) T Test 4) E Execute 5) A Accept Unterschritte R Release Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 631 Migration 1 P Plan 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Plan P1 P2 P3 P4 P5 P6 P7 P8 P9 P10 P11 P12 Monitoring P1 Kontinuierliches Monitoring des Marktes P2 Kontinuierliches Monitoring neuer Anwendungen, Plattformen und Schnittstellen P3 Checkliste regelmäßig prüfen P4 Datenqualität überwachen P5 Verfügbarkeit überwachen P6 Lebenszyklus und Nutzung auswerten P7 Pflege der Informationslandkarte P8 Lokalisierung betroffener Komponenten und Bestände P9 Alternativen / Fallback P10 Wirtschaftlichkeit P11 Parallel-Betrieb während Migration P12 Nachprüfung Änderung/ Differenzen Copyright Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 632 V2 316

317 Migration Prozess-Schritt 1 P Plan 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 633 Migration 2 D Design 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Design D1 D2 D3 D4 D5 D6 D8 D9 D10 D11 D12 D13 D15 Dokumentation D7 D14 D1 Kriterien für Migrationsentscheidung D9 Tool-Auswahl D2 Mengengerüst und Lebenszyklus D10 Aufbau- und Inhaltsverfahrensdokumentation D3 Verarbeitung in Migrationsprozess D4 Betroffene Systeme und D11 Sicherungsfristen/Entsorgung des Schnittstellen Ursprungssystems D5 Umgebungsbedingungen D12 Abnahmekriterien D6 Durchführungsplanung und D13 Test-Verfahren Prozess-Design D14 Protokollierung D7 Erfolgsmesskriterien D15 Budgetierung D8 Design Zielsystem Copyright Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 634 V2 317

318 Migration 3 T Test 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Test T1 T2 T3 T4 T5 T6 T7 T8 T9 T10 T11 T12 Audit-Trail Dokumentation T1 Aufbau Testumgebung T7 Testlauf mit Testdaten und Audit- T2 Einrichtung und Konfiguration Trail sowie Nachprüfung Migrationswerkzeug Differenzen/ Zuwachs T3 Einrichtung und Test Zielumgebung T8 Auswertung Testlauf T4 Extraktion repräsentativen T9 Gesamt- oder Teilbestand-Migration Testdatenbestands der Echtdaten T5 Systemtest Werkzeug einschl. Wiederherstellen/ T10 Auswertung Echt-Test-Migration Neustart bei Störung T11 Dokumentation Ergebnis T6 Einrichtung Audit-Trail und Audit- T12 Abnahme Test mit Freigabe Auswertungswerkzeug Migrationswerkzeug Copyright Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 635 Migration 4 E Execute 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Execute E1 E2 E3 E4 E5 E6 E7 E8 E9 E10 Dokumentation E1 Einfrieren Bestand Ursprungssysteme E2 Aktivieren Differenz-Pool E3 Migrationsprozess gegebenenfalls mit Verarbeitung, Konvertierung, Aussonderung E4 Begleitende Prüfung/ Auswertung/ Audit-Trails/ Protokolle/ Dokumentation E5 Prüfung Korrektheit Verarbeitung in Migrationsprozess E6 Fehlerbereinigung E7 Abgleich Ursprungsbestand/ Zielbestand mit Vollständigkeitsprüfung E8 Sofern vorhanden, Prüfung von Prüfungsnummern etc. Differenz-Nachprüfung E9 Bereitstellen Migrationsbestand E10 Zusatzverarbeitung Copyright Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 636 V2 318

319 Migration 5 A Accept 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Accept A1 A2 A3 A4 A5 A6 A7 A8 A9 A10 Dokumentation A1 Konsolidierung der Dokumentation des Prozesses A2 Konsolidierung des Ergebnisses A3 Auswertung der Protokolle A4 Differenzzusammenstellung Fehler und Bewertung Fehler A5 Technische Abnahme der Migration A6 Sicherung Ursprungsbestand über geplante Zeit Dr. Ulrich Kampffmeyer A7 A8 Abnahme durch Fachabteilung (R01)/ Rechtsabteilung (R02)/ Wirtschaftsprüfer (R03)/Revision (R04)/ andere Prüfungsorganisation (R05) Nachprüfung auf Vollständigkeit und Richtigkeit im Wirtbetrieb der Lösung A9 Ggf. Nachprüfung aus Differenz-/ Originalbestand für Übergangsfristen A10 Kontrollierte Entsorgung oder Sicherung Ursprungsbestand nach Ablauf Copyright PROJECT CONSULT Sicherungsfrist Unternehmensberatung PROJECT CONSULT Seminar 637 Migration Checkliste 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Textteil Migrationsfähigkeit Migration Server Migration Client Migration Speichersysteme Migration Speichermedien Migration Netzwerk Migration Scanner Migration Drucker Software-Migration Migration Betriebssystem Migration Server-Software Migration Archiv-Software Client Migration Applikationen Migration Datenbank Wechsel des Gesamtproduktes Anhänge Systemaustauschplanung Migrationszeitplan Anlagen Herstellerdokumentation insbesondere Exportschnittstellen Migrationszusicherung Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 638 V2 319

320 5. Verfahrensdokumentation nach 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT VERFAHRENSDOKUMENTATION TEIL 2 Testdokumentation Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 639 Dokumentation von Tests und Abnahmen Die Einbeziehung von Fachkonzepten, Testdokumentationen und Abnahmedokumenten ist in den nicht explizit gefordert. Sie ist jedoch sinnvoll um nachweisen zu können, das die Lösung in Bezug auf die Anforderungen an die Aufbewahrung entsprechend geprüft worden ist. Die vielfach beschriebenen unterschiedlichen Prüfungen in den werden durch die Testdokumentation als Ausgangspunkt für die anschließende produktive Nutzung nachgewiesen. Die Dokumentation sollte daher auch die Abnahmeerklärungen mit dem Anbieter wie auch die Testate von Wirtschaftsprüfern über die tatsächlich eingesetzte und genutzte Umgebung einschließen. 640 V2 320

321 PROJECT CONSULT 2002 Autorenrecht Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar S11 Test und Abnahme 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Verzeichnis für Versionierung Verfahrensdokumentation Verfahrensbeschreibung Anhänge mit veränderlichen Teilen Verzeichnis der Anhänge Referenzen Abnahme gegenüber dem Hersteller Verträge Wartung... Hersteller- Handbuch Sicherheits - handbuch Arbeitsanweisung Testunterlagen Abnahmedokumentation im Rahmen der Verfahrensdokumentation Copyright PROJECT CONSULT GmbH 1999 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 641 Test und Abnahme: Basis Für das Test- und Abnahmeverfahren sind folgende Unterlagen erforderlich: Feinkonzept des Fachbereiches (xyz) Pflichtenheft des Herstellers (Anbieter) Testbeschreibung des fachlichen Teams (Testfälle) Definition der zu erwartenden Ergebnisse Abnahmedokumentation Feinkonzept Pflichtenheft Testfallbeschreibung Testdurchführung Testdokumentation Abnahmedokumentation Erstellung durch den fachliches Team Erstellung fachl. Team und den Hersteller Abnahme durch das fachliche Team Erstellung durch das fachliche Team fachliches Team Tester 642 V2 321

322 Test- und Abnahmedokumentation Testpunkte Standardtests Individuelle Tests Testfälle und Durchführungsbeschreibung Testmaterial Papierdokumente Zeichnungen Datei-Dokumente Liste der Testdokumente (Beispiel) Standard-Testfälle Ergebnisberichte der Testszenarien Ergebnisbericht Testszenario:1-x Testszenarien Testszenario: 1-x Prüfer-Testfall (Beispiel) Abnahmeprotokoll 643 Test- und Abnahmedokumentation Testarten Systemtests (SY) Test aller Komponenten des Systems Fachtests (FA) Test der fachlichen Standardfunktionen Administrationstests (AD) Test der administrativen Funktionen (z.b. Berechtigungen etc.) Szenarientest (SZ) Test der komplexen Abläufe innerhalb des Systems 644 V2 322

323 Test- und Abnahmedokumentation Ergebnis Von den verantwortlichen Personen unterschriebenes Abnahmeprotokoll 645 Dokumentationen Test- und Abnahme-relevante Dokumentationen Anlagen Pflichtenheft oder Detailkonzept Vertrag über die Realisierung Testdokumentation einschließlich der Testfälle, Testdaten und Testdokumente Abnahmeerklärung Bescheinigung der Ordnungsmäßigkeit 646 V2 323

324 Test- und Abnahmedokumentation Dokumentiert die bei der Abnahme des Systems durchgeführten Tests Tests dienen nicht der Qualitätssicherung, sondern belegen die korrekte Beschreibung der Funktionsweise des Systems durch die Verfahrensbeschreibung Verfahrensbeschreibung belegt, dass kein Dokument auf dem Weg in das Archiv oder im Archiv selbst verlorengehen kann, folglich müssen die Tests so konstruiert sein, dass die Korrektheit dieser Aussage nachgewiesen wird Dazu werden u. a. Fehler provoziert, die sich im laufenden Betrieb durchaus ergeben können, wie z. B. der Ausfall einer Systemkomponente. Wird eine Komponente zu einem späteren Zeitpunkt durch eine andere ersetzt (z.b. Anschluss eines anderen Scannertyps), so werden alle Tests, die diese Komponente betreffen nochmals durchgeführt 647 Test- und Abnahmedokumentation Fehlerklassen Klasse Bezeichnung Farbige Felddarstellung 1 Keine Beanstandungen (Abnahme ok) grün 2 Beanstandungen leicht (Abnahme noch möglich) orange 3 Beanstandungen kritisch (Abnahme nicht mehr möglich) rot 648 V2 324

325 Test- und Abnahmedokumentation Testkriterien Unterteilung in Standardtests Komponenten, die in der eigentlichen Verfahrensbeschreibung als unveränderliche Hauptbestandteile des Systems in ihrer Funktion erläutert werden Individuelle Tests Bereiche des Systems, die in den Anhängen der Verfahrensbeschreibung als veränderliche Komponenten beschrieben werden Tests können nur sinnvoll durchgeführt und dokumentiert werden, wenn die Testkriterien vollständig, einheitlich und durchgängig definiert worden sind 649 Test- und Abnahmedokumentation Standardtests Komponenten des Systems, dessen Funktion durch einen Ausfall erheblich beeinträchtigt werden können, müssen in auf jeden Fall getestet werden Höchste Priorität ist, dass niemals der Anschein entsteht, ein Dokument wäre korrekt archiviert, während es in Wirklichkeit nicht archiviert wurde Standardtests enthalten eine Aufstellung aller Komponenten des Systems, mit der Angabe, ob Tests notwendig sind und dem Verweis auf die zugehörige Testdokumentation, z.b. Archiv Server Verhalten des Systems bei Ausfall des Archiv-Servers Verhalten des Archiv-Servers bei Ausfall der Netzwerkverbindung Migrationssubsystem Verhalten des Systems bei Ausfall des Migrationssubsystems Datenbankserver Verhalten des Systems bei Ausfall des DB-Servers Verhalten des DB-Servers bei Ausfall der Netzwerkverbindung 650 V2 325

326 Test- und Abnahmedokumentation Testpunkte für Standardtestfälle Release-Nr. Nummerierung der Testphasen (Release) Testfall-Nr. Nummerierung der Testpunkte Testpunkt Bezeichnung und Kurzbeschreibung des Testpunktes Test Beschreibung der zu testenden Funktionen Erwartetes Ergebnis Vorgabe des zu erwartenden Ergebnisses Testverlauf Beschreibung der Testdurchführung mit tatsächlichem Ergebnis Fehlerklassen Angabe der Fehlerklassen Testart Art der Tests (System-, Fach-, Administrations-, Szenarien-Test Datum Aktuelles Testdatum Name Name der Testpersonen 651 Test- und Abnahmedokumentation Testfälle und Durchführungsbeschreibung Einzelnen Testfälle detailliert aufgeführt Beschreibung der in Form von Papier- und Dateidokumenten vorliegenden Testmaterialien Testmaterialien selbst, bzw. der Verweis auf den entsprechenden Standort Anhand der Testmaterialien müssen die Tests bei Wiederholung die gleichen Ergebnisse liefern Tests können jederzeit mit den gleichen Inhalten wiederholt werden 652 V2 326

327 Test- und Abnahmedokumentation Testfälle in Listenform (Beispiel VD) DMS- Projektgruppe Testfall- Nr. Test (Testpunkt, Szenario) Erwartetes Ergebnis erreicht Ja/Nein Fehlerklasse Prüfziel erreicht /nicht erreicht G O R Zeitpunkt Beginn der Tests Name (Zeichen) des Prüfers TT 0001 Tools zum Scannen Ja G Nov. 06 OH, FP, AB, EO TT 0002 Tools zum Indizieren Ja G Nov. 06 JK TT 0003 Tools zum Systemeinrichtung und -konfiguration Ja G Nov. 06 JK TT 0004 Tools zur Systempflege Ja G Nov. 06 JK TT 0005 Tools zum Monitoring Ja G Nov. 06 JK TT 0006 Tools zum Protokollierung Ja G Nov. 06 JK 653 Test- und Abnahmedokumentation Testfälle in beschreibender Form I Fehlerklasse X 654 V2 327

328 Test- und Abnahmedokumentation Testfälle in beschreibender Form II Release-Nr. Testfall-Nr. Testpunkt Test Testart Release- Nr. 003 Testfall-Nr Testfall Testbeschreibung Erwartetes Ergebnis Testverlauf Fehlerbeschreibung Projekt- Gruppe Reproduktion eines Dokumentes Systemtest Testart ET - Einzeltest Datum Name OH,FP,RH Sich ein Dokument anzeigen lassen und es mit und ohne Annotationen ausdrucken. Korrekte Reproduktion des Dokumentes Dokument wird angezeigt und kann gedruckt werden. Kein Fehler Namenskürzel Datum Fehlerklasse grün Fehlerbeschreibung Testverlauf. Erwartetes Ergebnis Fehlerklasse 655 Test- und Abnahmedokumentation Testmaterial Muss repräsentativ für alle zu archivierenden Dokumente sein Alle im System zu archivierenden Dokumentenklassen müssen für die Tests verwendet werden Testdokumente in Papierform müssen sowohl im Original, als auch als durch das System erzeugte Kopie aufbewahrt werden Bei Dateidokumenten (Host-Output, Ergebnisse der Textverarbeitung) muss die Ausgangsdatei als Teil der Testszenarien aufbewahrt werden Auflistung der verwendeten Testdokumente in einem Verzeichnis der Testunterlagen Nennung der Rubrik, zu der dieses Dokument gehört, die Dokumentklasse, eventuelle Besonderheiten (Material, Farbe) und eine Beschreibung des erwarteten Ergebnisses Festgehalten, anhand welcher Kriterien das Ergebnis beurteilt wird (bildhafte oder inhaltliche Übereinstimmung) 656 V2 328

329 Test- und Abnahmedokumentation Testszenarien Beschreiben die Funktionstests für die Standardkomponenten. Enthalten Voraussetzungen, Ablauf, erwartetes und erzieltes Ergebnis Dokumentation umfasst Tests, die die verschiedenen Grundfunktionalitäten des Systems testen und damit auch die korrekte Installation und Einrichtung des Systems bestätigen Notwendigen Tests zur Validierung der Standardprozesse Verhalten des Systems bei Ausfällen von Teilkomponenten wird durch technische Tests dokumentieren Testszenarien zunächst eher allgemein formulieren 657 Test- und Abnahmedokumentation Testszenarien Beispiele Quelle: VOI Code of Practice: Verfahrensdokumentation 658 V2 329

330 Test- und Abnahmedokumentation Testszenarien Beispiele Quelle: VOI Code of Practice: Verfahrensdokumentation 659 Test- und Abnahmedokumentation Testszenarien Beispiele Quelle: VOI Code of Practice: Verfahrensdokumentation 660 V2 330

335 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Testdokumentation und Abnahmebestätigung Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 669 Dokumentation von Tests und Abnahmen Die Einbeziehung von Fachkonzepten, Testdokumentationen und Abnahmedokumenten ist in den nicht explizit gefordert. Sie ist jedoch sinnvoll um nachweisen zu können, das die Lösung in Bezug auf die Anforderungen an die Aufbewahrung entsprechend geprüft worden ist. Die vielfach beschriebenen unterschiedlichen Prüfungen in den werden durch die Testdokumentation als Ausgangspunkt für die anschließende produktive Nutzung nachgewiesen. Die Dokumentation sollte daher auch die Abnahmeerklärungen mit dem Anbieter wie auch die Testate von Wirtschaftsprüfern über die tatsächlich eingesetzte und genutzte Umgebung einschließen. 670 V2 335

336 PROJECT CONSULT 2002 Autorenrecht Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar S11 Test und Abnahme 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Verzeichnis für Versionierung Verfahrensdokumentation Verfahrensbeschreibung Anhänge mit veränderlichen Teilen Verzeichnis der Anhänge Referenzen Abnahme gegenüber dem Hersteller Verträge Wartung... Hersteller- Handbuch Sicherheits - handbuch Arbeitsanweisung Testunterlagen Abnahmedokumentation im Rahmen der Verfahrensdokumentation Copyright PROJECT CONSULT GmbH 1999 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 671 Test und Abnahme: Basis Für das Test- und Abnahmeverfahren sind folgende Unterlagen erforderlich: Feinkonzept des Fachbereiches (xyz) Pflichtenheft des Herstellers (Anbieter) Testbeschreibung des fachlichen Teams (Testfälle) Definition der zu erwartenden Ergebnisse Abnahmedokumentation Feinkonzept Pflichtenheft Testfallbeschreibung Testdurchführung Testdokumentation Abnahmedokumentation Erstellung durch den fachliches Team Erstellung fachl. Team und den Hersteller Abnahme durch das fachliche Team Erstellung durch das fachliche Team fachliches Team Tester 672 V2 336

337 Test- und Abnahmedokumentation Testpunkte Standardtests Individuelle Tests Testfälle und Durchführungsbeschreibung Testmaterial Papierdokumente Zeichnungen Datei-Dokumente Liste der Testdokumente (Beispiel) Standard-Testfälle Ergebnisberichte der Testszenarien Ergebnisbericht Testszenario:1-x Testszenarien Testszenario: 1-x Prüfer-Testfall (Beispiel) Abnahmeprotokoll 673 Test- und Abnahmedokumentation Testarten Systemtests (SY) Test aller Komponenten des Systems Fachtests (FA) Test der fachlichen Standardfunktionen Administrationstests (AD) Test der administrativen Funktionen (z.b. Berechtigungen etc.) Szenarientest (SZ) Test der komplexen Abläufe innerhalb des Systems 674 V2 337

338 Test- und Abnahmedokumentation Ergebnis Von den verantwortlichen Personen unterschriebenes Abnahmeprotokoll 675 Bescheinigungen Bescheinigung der Ordnungsmäßigkeit Bescheinigt wird durch einen unabhängigen Dritten die Vollständigkeit der Verfahrensdokumentation und das Übereinstimmen mit dem betriebenen System Prüfberichte, Testate und andere Bescheinigungen des Wirtschaftsprüfers Bescheinigungen des Dienstleisters, der für den Steuerpflichtigen die Aufbewahrung durchführt Zertifizierung durch offizielle Prüfinstanzen wie z.b. TüVIT 676 V2 338

339 Dokumentationen Test- und Abnahme-relevante Dokumentationen Anlagen Pflichtenheft oder Detailkonzept Vertrag über die Realisierung Testdokumentation einschließlich der Testfälle, Testdaten und Testdokumente Abnahmeerklärung Bescheinigung der Ordnungsmäßigkeit Verfahrensdokumentation nach 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT VERFAHRENSDOKUMENTATION TEIL 3 Bescheinigung der Ordnungsmäßigkeit Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 678 V2 339

340 Bescheinigungen Bescheinigungen der Ordnungsmäßigkeit Bescheinigt wird durch einen unabhängigen Dritten die Vollständigkeit der Verfahrensdokumentation und das Übereinstimmen mit dem betriebenen System Prüfberichte, Testate und andere Bescheinigungen des Wirtschaftsprüfers oder anderer Prüfungsberechtigten Beim Outsourcing Bescheinigungen des Dienstleisters, der für den Steuerpflichtigen die Aufbewahrung durchführt Optional: Zertifizierung durch offizielle Prüfinstanzen wie z.b. TüVIT / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 6. CHECKLISTEN UND MUSTERVERFAHRENS- DOKUMENTATIONEN Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 680 V2 340

341 6. Checklisten und Musterverfahrensdokumentationen 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Checkliste Verfahrensdokumentation Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 PROJECT CONSULT Checkliste Verfahrensdokumentation Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 682 V2 341

342 PROJECT CONSULT 2002 PROJECT CONSULT 2002 PROJECT CONSULT Seminar S11 Checklisten über Bestandteile Allgemeine Beschreibung des Einsatzgebietes Einsatzgebiet der Lösung Beschreibung der allgemeinen Organisation Beschreibung der Lösung Beschreibung der sachlogischen Lösung Umsetzung der Anforderungen nach GDPdU Programmtechnischer Ablauf der Lösung Identität der Beschreibungen mit dem eingesetzten Programm Systembeschreibung Netzinfrastruktur Spezielle Hardwarekomponenten Standard-Softwarekomponenten Individuelle Programmteile der Lösung 683 Checklisten über Bestandteile Beschreibung des Internen Kontrollsystem (IKS) Internes Kontrollsystem Datensicherheit Daten- und Zugriffsschutz Datenintegrität Beschreibung der relevanten Prozesse (1) Scannen Erfassung von originär digitalen Dokumenten Transport im System Indizierung und Datenbank Archivierung Visualisierung und Reproduktion Protokollierung Sonstige Bestandteile und Anlagen Verzeichnis der gültigen technischen Dokumentationen, Handbücher etc. Betriebsvoraussetzungen 684 V2 342

343 PROJECT CONSULT 2002 PROJECT CONSULT Seminar S11 Checklisten über Bestandteile Beschreibung der relevanten Prozesse (2) Betreiberdokumentationen Anbieterdokumentationen Vertragsrelevante Dokumentationen Arbeitsanweisungen Migration Aktuell eingestellte Parameter, Benutzerberechtigungen und Dokumentenklassen mit Aufbewahrungsregeln und Aufbewahrungsfristen Test- und Abnahmeprotokolle 685 Checkliste 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 686 V2 343

344 Checkliste Aufbau Die Sortierung innerhalb der Tabelle kann nach folgenden Kriterien erfolgen: Nummer Geltungsbereich Thema Relevanz Zuständigkeit intern / extern Datum Erledigt ja / nein Namenskürzel Checkliste 687 Checkliste Geltungsbereich Der Geltungsbereich gliedert sich in folgende Bereiche auf: Compliance Grundsätze / HGB / AO (wo vorher GDPdU) BDSG / Datenschutz BGB / ZPO Allgemeines 688 V2 344

345 Checkliste Themen Innerhalb des Geltungsbereichs sind folgende Themen Bestandteil der Checkliste: Anlagen Ansprechpartner Anwendungen Basel II Bescheinigungen Betriebsprüfungen Z1 - Z3 Buchungskreise Datenaufbau Datenschutz Export FAIT 1 3 Lohnbuchhaltung Organisationsbeschreibung Protokollierung Rahmendaten Rechtl. Aufbewahrung SOX (SOA) Steuerrelevante Daten Steuerrelevante Systeme Techn. Aufbewahrung Techn. Umsetzung Test und Abnahme Urkunde Verfahrensbeschreibung 689 Checkliste Beispiel Auszug aus der Checkliste von PROJECT CONSULT zur Überprüfung der Relevanz und Abdeckung aller Verfahrensdokumentationsthemen 690 V2 345

346 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Formulare für Bestandteile WORD-basierter Verfahrensdokumentationen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 691 Muster: Anlagenverzeichnis 692 V2 346

347 Muster: Anlagenverzeichnis Erläuterungen Nr. Bezeichnung Version Datum Dateiname Anlagenkennzeichnung (Informationen in Kursiv) Laufende Nummerierung. Bezeichnung der Anlage. Kennzeichnung jeder Änderung des Inhalts. Änderungen drücken hierbei eine Fortschreibung und keine Ersetzung aus. Datum der Freigabe. Dateiname unter dem die jeweilige Anlage abgelegt ist. Kennzeichnung mit der die jeweilige Anlage versehen ist. Alle kursiv gesetzten Inhalte sind Beispiele. Die Nummerierung und Bezeichnung ist nicht bindend, sondern dient hier lediglich als Beispiel. 693 Muster: Bestandteile der Verfahrensdokumentation 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 694 V2 347

348 Muster: Bestandteile der Verfahrensdokumentation Erläuterungen Nr. Laufende Nummerierung. Referenzbezug zu Spalte Ersetzt durch Nr.. Inhalt Stichwortartige Darstellung signifikanter Inhalte; z.b. HGB x-y, AO. Version Datum Ersetzt durch Nr. Kennzeichnung jeder Änderung des Inhalts. Änderungen drücken hierbei eine Fortschreibung und keine Ersetzung aus. Datum der Freigabe. Kennzeichnung der Ersetzung eines Titels; z.b. verursacht durch die Integration in einen anderen Bestandteil oder substantielle Neudefinition des Inhalts, die nicht mehr als Version dargestellt werden kann. 695 Muster: Testbeschreibung 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 696 V2 348

349 Muster: Testunterlagen Papier 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 697 Muster: Testunterlagen Papier Erläuterungen Nr. Beschreibung Bezeichnung Problem-Merkmale Dokumentenklasse Indizes Ein- /Zweiseitig OCR/ ICR Barcode Laufende Nummerierung. Kurze Beschreibung des Inhalts. Bezeichnung des Dokuments (analog zur Bezeichnung im Verzeichnis der aufzubewahrenden Dokumente). Aufstellung der Merkmale des Dokumentes, die problematisch werden können, z. B. Papierqualität und - farbe, evtl. Aufdrucke. Dem Dokument zugewiesene Dokumentenklasse entsprechend der Definitionen der Dokumentenklassen (analog zur Bezeichnung im Verzeichnis der aufzubewahrenden Dokumente). Dem Dokument zugeordnete Indizes lt. Vorgaben. Angabe, ob es sich um ein ein- oder zweiseitiges Dokument handelt. Angabe, ob das Dokument eine OCR/ ICR Erkennung durchläuft. Evtl. vorhandener Barcode. 698 V2 349

350 Muster: Testunterlagen Host-Output 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 699 Muster: Testunterlagen Host-Output Erläuterungen Nr. Beschreibung Bezeichnung Dateiname Format Laufende Nummerierung. Kurze Beschreibung der Testliste. Bezeichnung der Liste. Name der Datei, in der die Liste im System zum Test vorliegt. Aufzeichnungsformat, in dem die Liste vorliegt. Erzeugendes System Speicherort Angabe des Systems, in dem die Liste erzeugt wurde. Angabe des Ortes, an dem sich die Testliste befindet. 700 V2 350

351 Muster: Testunterlagen Büroautomationsprogramme 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 701 Muster: Testunterlagen Büroautomationsprogramme Erläuterungen Nr. Beschreibung Bezeichnung Dateiname Format Erzeugendes System Speicherort Laufende Nummerierung. Kurze Beschreibung der Testdatei. Bezeichnung der Testdatei. Name der Datei. Format, in dem die Testdatei vorliegt (Tiff, Text, usw). System(-komponente) durch das die Datei erzeugt wurde (z. B. Textverarbeitung, o. ä.). Angabe des Ortes, an dem sich die Testdatei befindet. 702 V2 351

352 Muster: Verzeichnis der aufzubewahrenden Dokumente 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 703 Muster: Verzeichnis der aufzubewahrenden Dokumente Erläuterungen Nr. Dokumentbezeichn ung Dokumentklasse Laufende Nummerierung. Bezeichnung des Dokumentes (analog Bezeichnung der Testdokumente). Gibt die dem Dokument zugeordnete Dokumentklasse entsprechend der in der Datenbank eingerichteten Dokumentklasse an. Aufbewahrungsfrist Angabe der Aufbewahrungsfrist in Jahren. Zusätzlich Angabe der Stelle, an der die Aufbewahrungsfrist festgesetzt ist (z. B. nach AO). Im Original aufzubewahren Angabe, ob ein Dokument im Original aufbewahrt werden muss. Falls ja, Angabe des Ablageortes des Originaldokumentes. 704 V2 352

353 Muster: Verzeichnis der Dokumentenklassen 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 705 Muster: Verzeichnis der Dokumentenklassen Erläuterungen Nr. Laufende Nummerierung. Dokumentenklasse Bezeichnung des Dokumentenklasse (analog Bezeichnung der Testdokumente). Techn. Bezeichnung Techn. Bezeichnung, die innerhalb des Systems verwendet wird. Dokumententyp(en) Angabe des Dokumententyps. Einer Dokumentklasse können unterschiedliche Formate zugeordnet sein (Fax, Papier, u.a.). OCR/ICR Ja/Nein Angabe, ob diese Dokumentenklasse eine OCR/ICR Erkennung durchläuft. Barcode Ja/Nein Angabe, ob diese Dokumentenklasse eine Barcode-Erkennung durchläuft. Version Kennzeichnung jeder Änderung der Definition. Änderungen drücken hierbei eine Fortschreibung und keine Ergänzung aus. Zulässige Angabe der Benutzergruppe, die Reche bzgl. dieser Benutzergruppe Dokumentklasse besitzt. (Kennzeichen) Gültig Angabe des Gültigkeitszeitraumes. Angabe, ab wann die Dokumentklasse gültig ist, bzw. Angabe, bis wann die Dokumentklasse gültig war. Bei Anlage neuer Versionen von Dokumentklassen muss die alte Version als abgelaufen gekennzeichnet werden. 706 V2 353

354 Muster: Verzeichnis der Indizes zu den Dokumentenklassen 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 707 Muster: Verzeichnis der Indizes zu den Dokumentenklassen Erläuterungen Nr. Laufende Nummerierung. Dokumentenklasse Bezeichnung des Dokumentenklasse (analog Bezeichnung der Testdokumente). Indexliste Auflistung der für diese Dokumentenklasse zugelassenen Indexfelder. Folgende Indizes können unterschieden werden: * Obligatorische Indizes (automatisch durch die Dokumentklasse zugeordnet), * Zulässigkeitsgeprüfte Indizes und * frei eingegebene Indizes. Indexfeldtypen Besonderheiten Ja/Nein Angabe des Indextyps. Angabe, ob bei der Indexvergabe für diese Dokumentenklasse Besonderheiten auftreten, z. B. Prüfung gegen Stammdaten (z. B. mittels Host- Abgleich) oder die Auswahl aus einer Stichwortliste. 708 V2 354

355 Muster: Verzeichnis der Indexfelder zu den Dokumentenklassen 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 709 Muster: Verzeichnis der Indexfelder zu den Dokumentenklassen Erläuterungen Nr. Laufende Nummerierung. Dokumentenklasse Bezeichnung des Dokumentenklasse (analog Bezeichnung der Testdokumente). Index Stichwort Systemvariable Gültig Angabe des Index entsprechend der Indexliste der Aufstellung "Übersicht Indizes". Zulässiges Stichwort für diesen Index. Angabe der Systemvariable, die diesen Index repräsentiert. Angabe der Zeitspanne, in der dieser Index gültig ist. Auch bei nicht mehr gültigen Indizes müssen die Informationen in dieser Aufstellung gehalten werden. 710 V2 355

356 Muster: Verzeichnis der Benutzergruppen und zugeordneten Rechte 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 711 Muster: Verzeichnis der Benutzergruppen und zugeordneten Rechte Erläuterungen Nr. Laufende Nummerierung. Referenzbezug zu Spalte "Ersetzt durch Nr.". Bezeichnung/ Angabe des Benutzers, bzw. der Benutzergruppe. Rechte-Inhaber Ersetzt durch Nr. Kennzeichnung der Ersetzung eines Rechte-Inhabers; z. B. verursacht durch die Zuweisung neuer Rechte. Gültig Angabe der Zeitspanne, in der dieser Rechte-Inhabers gültig ist. Auch bei nicht mehr gültigen Rechte-Inhabers müssen die Informationen in dieser Aufstellung gehalten werden. Liste der Rechte Auflistung der diesem Rechte-Inhabers zugeordneten Rechte. Beispiel: S Schreiben L Lesen X Löschen Systemvariable Gültig Angabe der Systemvariable, die diesen Index repräsentiert. Angabe der Zeitspanne, in der dieser Index gültig ist. Auch bei nicht mehr gültigen Indizes müssen die Informationen in dieser Aufstellung gehalten werden. 712 V2 356

357 6. Checklisten und Musterverfahrensdokumentationen 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Muster- Verfahrensdokumentationen von Anbietern und Verbänden Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Auszüge aus einem PROJECT CONSULT Projekt Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 714 V2 357

358 Verfahrensdokumentation: Beispiel 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 715 Beispiel Dokumentation in der Anlage: 13 Verfahrensdokumentation Anwendungsfall EDI.doc 716 V2 358

359 6. Checklisten und Musterverfahrensdokumentationen 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Tools zur Verwaltung von Verfahrensdokumentationen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 717 CDE und DocSetMinder Beispiele für Tools für die Erstellung und Pflege von Verfahrensdokumentationen CDE Kooperative Intranet-Lösung Vertrieb und Betreuung erfolgen durch h & p Consulting DocSetMinder Toolset für Dokumentation im Umfeld von Governance, Riskmanagement & Compliance Vertrieb und Betreuung erfolgen durch GRC Partner V2 359

360 CDE Exerpte aus zwei Präsentationen: & beweiswerterhaltendes Scannen Diese Auszüge wurden aufgenommen, um eine alternative Sicht zum Thema Scannen nach zu berücksichtigen CDE Eine Methode und ein Werkzeug speziell zur Pflege von Verfahrensdokumentationen nach GoBS und Checklisten und Musterverfahrensdokumentationen 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Einführung zur Verfahrensdokumentation nach CDE von H&P Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 720 V2 360

361 h&p Folien CDE Verfahrensdokumentation nach Aufbau eine Verfahrensdokumentation h&p Consulting Eschborn 2008, 2009, 2010, 2011, 2012, 2013, 2014, 2015 h&p Consulting Folien zur Verfügung gestellt von Manfred J. Hagedorn h&p Folien Verfahrensdokumentation Forderungen der Forderungen an die Gestalt der E-Buchführung Forderungen an die Dokumentation der Gestalt Zweck: Sicherstellen der Prüfbarkeit auf 10 Jahre Gestalt der E-Buchführung Aufbau eine Verfahrensdokumentation Dokumentation der Gestalt Verfahrensdokumentation Prüfbarkeit 722 V2 361

362 h&p Folien Verfahrensdokumentation Aufbau eine Verfahrensdokumentation 723 h&p Folien Verfahrensdokumentation Datenverfolgung Grundkonzept der Prüfung Nutzbar als Methode zur Erstellung der VFD Kleinstes Element: Prozessschritt PS PS bezieht Daten aus: Datenquellen (DB, Input, Port, Datei, Dokument ) PS liefert Daten an: Datensenken (DB, Input ) Aufbau eine Verfahrensdokumentation Datenquellen Prozessschritt Datensenken 724 V2 362

363 h&p Folien Verfahrensdokumentation Datenverfolgung Umgebung Prozessschritt Datenquellen Prozessschritt Datensenken Umgebung Aufbau eine Verfahrensdokumentation Umgebungsparameter (übergreifend/spezifisch) organisatorisch technisch 725 Verfahrensdokumentation Datenverfolgung Datenfluss grob Verfahren Datenquelle Bearbeitung Datensenke Aufbau eine Verfahrensdokumentation 726 V2 363

364 h&p Folien Ersetzendes Scannen Aufbau eine Verfahrensdokumentation Technische Richtlinie BSI TR (RESISCAN) Ersetzendes Scannen Ziele Branchenübergreifend Rechtssicherheit für den Scan-Prozess Handlungsleitfaden für einen ordnungsmäßigen Scan-Prozess Grundlage - der "generische Scanprozess" Dokumentvorbereitung Scannen Nachbearbeitung Integritätssicherung 727 h&p Folien Ersetzendes Scannen der generische Scanprozess Q Scannen Nachverarbeitung Dokumentvorbereitung Integritätssicherung S Dokument wird zugrunde gelegt für folgende Aufgaben: Beweiserhaltende Ablage Aufbau eine Verfahrensdokumentation *) entfällt für VFD Mustervorlage Strukturanalyse* Schutzbedarfsanalyse* Bedrohungsanalyse* Risikoanalyse* Sicherheitsmaßnahmen Modularer Anforderungskatalog 728 V2 364

365 h&p Folien Ersetzendes Scannen Typische Scansystem - Systemkomponenten S1-S6 S3 Scan- Cache Scanner S1 Server S5 Scan-Workstation Client A1 SCAN- SW A2 S2 S6 Aufbau eine Verfahrensdokumentation IS-Infrastruktur A3 A4 S4 Index- IS-SW IS-HW SW 729 h&p Folien Ersetzendes Scannen Typisches Scansystem Kommunikationsverbindungen K1-K9 S3 Scan- Cache K2 Scanner S1 Aufbau eine Verfahrensdokumentation Server S5 K9 K4 K8 Client K6 A1 K3 K1 A2 SCAN- SW S2 Scan-Workstation IS-Infrastruktur A3 A4 S4 Index- IS-SW K5 IS-HW SW K7 S6 730 V2 365

366 h&p Folien Ersetzendes Scannen Datenobjekte Aufbau eine Verfahrensdokumentation ID Datenobjekt Beschreibung D0 Schriftgut D1 Scanrelevantes Original D2 Scanprodukt Schriftgut, das per Post o.ä. eingegangen ist. Papierdokument aus (D0) durch geeignete Vorbereitungsschritte (Entfernung des Kuverts, Entklammern, Selektieren etc.) gewonnen Elektronisches Abbild des Papierdokumentes (D1) D3 Index- und Metadaten Daten zum Auffinden des später abgelegten Scanproduktes (wesentliches Element der Ordnungsmäßigkeit) D4 Transfervermerk D5 Sicherungsdaten D6 Protokolldaten Transfervermerk dokumentiert, wann und durch wen die Übertragung des Papierdokumentes in ein elektronisches Dokument stattgefunden hat Datenobjekte zum Schutz der Integrität /Authentizität anderer Datenobjekte dokumentieren zusätzliche sicherheitsrelevante Ereignisse (Nachvollziehbarkeit und Nachweis der Ordnungsmäßigkeit des Scanprozesses) 731 h&p Folien Aufbau eine Verfahrensdokumentation Kat. Sicherheitsziel Integrität Verfügbarkeit Vertr. Integrität Authenizität Vollständigkeit Ersetzendes Scannen Nachvollziehbarkeit Verfügbarkeit Lesbarkeit Verkehrsfähigkeit Vertraulichkeit Löschbarkeit Sicherheitsziele Ermittlung des Schutzbedarfs Definition Daten oder Systeme wurden nicht verändert Quelle der Daten ist eindeutig bestimmbar der gegenseitige Bezug mehrerer zusammengehöriger Datenobjekte ist sichergestellt alle wesentlichen Schritte des Vorgangs können nachgezeichnet werden Nutzbarkeit von Daten, Dienste, IT-Systeme,IT- Anwendungen, IT-Netze innerhalb akzeptabler Wartezeiten die in den Daten enthaltenen Informationen können erkannt werden Dokumente können von A nach B übertragen werden, wobei Qualität, Integrität und Authentizität nachweisbar bleiben Verhinderung einer unbefugten Kenntnisnahme Unkenntlichmachen der gespeicherten Daten 732 V2 366

367 h&p Folien Ersetzendes Scannen Schutzbedarf Schutzbedarfskategorie Definition normal Die Schadensauswirkungen sind begrenzt und überschaubar. Der Schaden induziert im Regelfall keine nennenswerten Konsequenzen für die am Geschäftsvorfall beteiligten Personen und Institutionen. hoch Ein solcher Schaden führt im Regelfall zu beträchtlichen Konsequenzen für die am Geschäftsvorfall beteiligten Personen und Institutionen. Aufbau eine Verfahrensdokumentation sehr hoch Die Schadensauswirkungen können ein existenziell bedrohliches oder sogar katastrophales Ausmaß erreichen für die am Geschäftsvorfall beteiligten Personen und Institutionen. 733 h&p Folien Ersetzendes Scannen Anwendungsgebiet Vorschriften zum ersetzenden Scannen Voraussetzungen für Vernichtung der Papieroriginale Aufbau eine Verfahrensdokumentation Kaufmännische Buchführungsunterlagen 239 Abs. 4 HGB für Handelsbücher 257 Abs. 3 HGB für sonstige Unterlagen Schutzbedarf für alle (Mandanten) Datenobjekte hoch. Keine Notwendigkeit eine Analyse durchzuführen! Einhaltung der Grundsätze (GoB/); jederzeitige Verfügbarkeit und Herstellung der Lesbarkeit innerhalb angemessener Frist; bildliche Übereinstimmung (empfangene Handelsbriefe, Buchungsbelege), sonst inhaltliche Übereinstimmung (andere Unterlagen) 734 V2 367

368 h&p Folien Ersetzendes Scannen Aufbau eine Verfahrensdokumentation Anwendungsgebiet Vorschriften zum ersetzenden Scannen Voraussetzungen für Vernichtung der Papieroriginale Besteuerungsunterlagen 147 Abs. 2 AO Einhaltung der Grundsätze (GoB/); jederzeitige Verfügbarkeit und Herstellung der Lesbarkeit innerhalb angemessener Frist; bildliche Übereinstimmung (empfangene Handelsbriefe, Buchungsbelege), sonst inhaltliche Übereinstimmung (andere Unterlagen) Möglichkeit maschineller Auswertung!!! Schutzbedarf für alle (Steuerberater) Datenobjekte hoch. Keine Notwendigkeit eine Analyse durchzuführen! 735 h&p Folien Ersetzendes Scannen Der obige Kurzüberblick dient dem besseren Verständnis der Aufgaben beim Ersetzenden Scannen und verdeutlicht die Notwendigkeit einer sorgfältigen Auswahl von Hard- und Software und der Implementierung organisatorischer Maßnahmen; zudem soll er einen anlassbezogen Einstieg in die Originale der TR RESISCAN Dokumente erleichtern. Aufbau eine Verfahrensdokumentation Demo und Diskussion 736 V2 368

369 h&p Folien Erstellung VFD allgemein Hilfestellung für Mandanten bei Erstellung einer allgemeinen Verfahrensdokumentation Standards Seminar StbV VFD verstehen erstellen Aufbau und Hilfen Vorgehensweise 737 h&p Folien Erstellung der VFD Standards Gibt es Standards für die Verfahrensdokumentation? PK-DML (TüViT/VOI) IDW/PS (Inst. Deutscher WP) DStV/BStBK (Deutscher Steuerberater Verband/Bundessteuerberater Kammer) TR (Resiscan) 738 V2 369

370 h&p Folien Erstellung der VFD Aufbau der Standards Urheber Name - Aufbau verfügbar seit IDW VOI/TüViT DStV/BStBK Sogen. Prüfungsstandards PS..; Inhaltsverzeichnis, Text und Erläuterungen (+) PK-DML: Prüfkriterien für DMS- Lösungen; Inhaltsverzeichnis, Text und Erläuterungen(++) Vorlage VFD zur Papiervernichtung; Inhaltsverzeichnis, Text und Erläuterungen(+++); PDF Januar 2005 Oktober 2003 Januar Seminar StbV VFD versteh h&p Folien IDW Prüfungsstandards Das Institut der Wirtschaftsprüfer in Deutschland e.v. (IDW) legt die Berufsauffassung zu den von Wirtschaftsprüfern bei der Durchführung von Abschlussprüfungen zu beachtenden Zielen und allgemeinen Grundsätzen dar und verdeutlicht zugleich gegenüber der Öffentlichkeit den Inhalt und die Grenzen derartiger Prüfungen. (IDW PS 200 Tz.3) Die IDW-Prüfungsstandards entsprechen den International Standards on Auditing unter Berücksichtigung von Anpassungen des IDWs an geltendes deutsches Recht. Überblick über die Prüfungsstandards Überblick über die Rechnungslegungsstandards 740 V2 370

371 h&p Folien Vorgehensweise Identifikation der Aufgabenstellung Ansprechpartner aus IT, Buchhaltung, Organisation Verteilen der Vorlagen Aufgaben zur Datensammlung Ownern zuordnen gemäß dem gewählten Standard: Organisation Buchhaltung IT Management / Geschäftsleitung 741 Seminar StbV VFD versteh h&p Folien Vorgehensweise Informationsbeschaffung Orga/Buchhaltung: Vorfälle,Kontrollen/Prüfungen (im Verfahren) sammeln, Anweisungen für GVF Geschäftsleitung: Policies und Standards Management: Risiko-Handling IT: Netz, HW, SW, Datenfluss, Richtlinien, Prozesse, Quellen/Senken, IT-Sicherheit, Wartung, SW-Status Management: Überblick Unternehmen, Standards, Zertifikate, Verträge (für SW) Demo: Beispiel einer fertig erstellten VFD 742 Seminar StbV VFD versteh V2 371

372 h&p Folien IKS Interne Kontrolle Risikomanagement 743 h&p Folien Klassifikations - und Dokumentationsmodell des IKS Definition IKS: Das Interne Kontrollsystem (IKS) bezeichnet das Management der unternehmensinternen betriebswirtschaftlichen Überwachung. Das IKS besteht aus agierenden Personen, Kontroll-Objekten, IKS-Ereignissen und IKS-Instrumenten Instrument- Klassen I1 Grundsätze I2 Organisation I3 Einrichtungen I4 Verfahren I5 Massnahmen Policies, Richtlinien; strateg. Ziele Aufbau: Organisation/Vorkehrung Inst. tech. Elemente Prozesse Anweisungen - Kontrollen Mgmnt. Gestaltungseingriff Erfassung und Darstellung Kontroll- Ziel- Klassen T1 Rechtskonformität Einhaltung rechtlicher Vorschriften (Compliance) T2 Strategie-Adhärenz Einhaltung der Geschäftsstrategie T3 Bilanz-Qualität Ordnungsmäßigkeit der Rechnungslegung T4 Prozess-Qualität Sicherheit, Effizienz, Wirksamkeit betriebi.prozesse T5 Asset-Schutz Schutz Güter, Vermögen, Daten, Informationen Seminar StbV VFD verstehen - erstellen 744 V2 372

373 h&p Folien IKS-Dokumentationsmodell Komponenten des IKS K1 Kontrollumfeld Problembewusstsein, Unternehmenskultur K2 Risikoerkennung Erkennung & Analyse von Unternehmensrisiken K3 Kontrollaktivitäten Kontrollen (integriert, intellektuell), IKS-Kalender K4 Information/ Kommunikation Richtlinien, Handbücher, Berichte, Kontakte K5 Überwachung des IKS Beurteilung der Wirksamkeit des IKS Kontrollobjekte Governance (Gestaltung) Ereignisse (Ablauf Gestalt) Ressourcen (Aufbau-Gestalt) Erfassung und Darstellung Organisation (Gestalt) Grundsatz Einrichtung Verfahren Massnahme Organisation (Ablauf) IT-Prozess IT-Ereigniss Geschäftsprozess Geschäftsvorfall IT-Verbund Raum IT-System IT-Netz IT-Anwendung Daten-Objekte Stammdaten Dokumente Belege Konten Journale Protokolle Organisation (Aufbau) Abteilung Rolle Person Seminar StbV VFD verstehen - erstellen 745 h&p Folien IKS-DokumentationsmodellI Das IKS ist Bestandteil der Unternehmerischen Überwachung. Diagramm der betriebswirtschaftlichen Überwachungsarten Betriebswirtschaftliche Überwachung Unternehmerische Überwachung Handelsrechtliche Überwachung Hoheitliche Überwachung Kontrolle Revision (Prüfung) Erfassung und Darstellung Manuelle Kontrolle Automat. Kontrolle Kontrollsystem Datenauswertung Interne Revision Internes Überwachungssystem - Interne Kontrollverfahren Externe Revision Revisionssystem 746 V2 373

374 h&p Folien IKS-Dokumentationsmodell IV Instrumente des IKS prozessintegriert prozessunabhängig Vorkehrungen Kontrollen Beauftragungen Interne Revision in der EDV Funktionstrennung Arbeitsanweisungen Belegwesen manuell durch die EDV durch Technik- Einsatz Risikomgr., Compliance Officer., Datenschutzbeauftragter, Geldwäschebeauftragter etc. Prüfung d. Kontrollen u. Sicherungen auf Wirksamkeit, Zweckmäßigkeit Vollständigkeit, im Rahmen d. Prüfung aller Betriebs- und Geschäftsabläufe bzw. -einheiten Erfassung und Darstellung Attribut!Typisierung der IKS!Instrumente: Zielfeld Komponente IKS- Instrument Prozessbezug P-unabhängig P-abhängig Vorkehrungen Kontrollen Beauftragung Innere Revision / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Nutzung der CDE-Software von H&P Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 748 V2 374

375 CDE Editor Company Document Editor CDE Web-Tool zur Erstellung der Compliance- Dokumentation CDE Variante VFD Editor ist mit der Vorlage des TÜViT/VOI Standards zur Verfahrensdokumentation nach GoBS vorbesetzt Einzelmodell zur Darstellung der Verfahrensbeschreibung für eine einzelne Aufgabe (Primäranwendung) und Hinweisen zu Sekundäranwendungen, die als Datenquelle oder Datensenke in Verbindung mit der Primäranwendung auftreten Angeboten von h & p Consulting Quelle: h&p Folien CDE VFD-Editor Beispiele 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Quelle. Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 750 V2 375

376 h&p Folien Verfahrensdokumentation Aufbau eine Verfahrensdokumentation CDE Login 751 h&p Consulting Folien zur Verfügung gestellt von Manfred J. Hagedorn h&p Folien Verfahrensdokumentation Aufbau eine Verfahrensdokumentation CDE Menu 752 V2 376

377 Verfahrensdokumentation Aufbau eine Verfahrensdokumentation Anwendung auswählen und öffnen 753 h&p Folien Verfahrensdokumentation Aufbau eine Verfahrensdokumentation Anwendung VFD-VOI zur Bearbeitung geöffnet (Index 1 4.2) 754 V2 377

378 h&p Folien Verfahrensdokumentation Aufbau eine Verfahrensdokumentation Anwendung VFD-VOI zur Bearbeitung geöffnet (Index ) 755 h&p Folien Verfahrensdokumentation Aufbau eine Verfahrensdokumentation Anwendung VFD-VOI zur Bearbeitung geöffnet (Index ) 756 V2 378

379 h&p Folien Verfahrensdokumentation Aufbau eine Verfahrensdokumentation Hilfetext zu jedem Index, hier z.b. Index 2 (Sachlogische Systemlösung) 757 h&p Folien Verfahrensdokumentation Aufbau eine Verfahrensdokumentation Änderungsfenster, z.b. (Ändern, Neuer Index, Index löschen, Index ändern) 758 V2 379

380 h&p Folien Verfahrensdokumentation Aufbau eine Verfahrensdokumentation Änderungsfenster, z.b. (Ändern Angaben und hinzufügen einer Datei) 759 h&p Folien Verfahrensdokumentation Aufbau eine Verfahrensdokumentation Erfolgte Änderungen; (Klick auf Symbol öffnet abgespeicherte Datei) 760 V2 380

381 h&p Folien Verfahrensdokumentation Aufbau eine Verfahrensdokumentation Durch Klick auf Symbol geöffnete Datei 761 h&p Folien Verfahrensdokumentation Aufbau eine Verfahrensdokumentation Durch Klick auf Zahl in [2] Klammern (Darstellung aller Dokumente des Index) 762 V2 381

382 h&p Folien Verfahrensdokumentation Aufbau eine Verfahrensdokumentation Export der ausgewählten VFD in HTML oder XML (z.b. Geschäftsjahresende) 763 h&p Folien Verfahrensdokumentation Aufbau eine Verfahrensdokumentation In HTML exportierte Verfahrensdokumentation 764 V2 382

383 h&p Folien Verfahrensdokumentation Aufbau eine Verfahrensdokumentation Durch Klick auf Zahl in [2] Klammern (Historie aller Dokumente des Index) 765 h&p Folien Verfahrensdokumentation Aufbau eine Verfahrensdokumentation Integrierter Support über Teamviewer 766 V2 383

384 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 DocSetMinder von GRC Partner GmbH Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 767 GoBScape Exerpte aus zwei Präsentationen: DocSetMinder Werkzeug mit Plattform für Module zur Abbildung und Dokumentation unterschiedlichster Compliance- und Governance-Prozesse einschließlich Verfahrensdokumentation nach Verfahrensdokumenation nach In der Basisversion frei verfügbares Modul für die Verfahrensdokumentation nach GoBS 768 V2 384

385 DocSetMinder Compliance Management Software der GRC Partner GmbH Entwicklung seit 2004 Multifunktionales Werkzeug für die Planung, Umsetzung und permanenten Verbesserung der IT- Governance und Compliance einer Organisation Aufbau mit mehreren Modulen, die anerkannte nationale und internationale Standards und Normen abbilden Drei wesentliche Anwendungsgebiete: IT-Governance Integriertes Managementsystem (IMS) Compliance Management Quelle: GRC Partner Folien DocSetMinder DocSetMinder Compliance Management Bildet vollständig ab: Internes Kontrollsystem (IKS) gemäß IDW PS 261, IDW PS 951, ISAE 3402, SOX Datenschutz (gemäß BDSG, LDSG, DSVO) Verfahrensdokumentation (gemäß GoBS, PK-DML) DocSetMinder - Modul Verfahrensdokumentation GoBS Modulbeschreibung kostenfrei als PDF downloadbar (Anmeldung erforderlich) Link: DocSetMinder Folien zur Verfügung gestellt von Krzysztof Paschke 770 V2 385

386 GRC Partner Folien DocSetMinder DocSetMinder Version 2014 von GRC Partner GmbH zusammen mit AKRA GmbH Primär Verbesserung und Implementierung verschiedener Softwarefunktionen Modul IT-Grundschutz ab Version 2014 für Behörden kostenlos Neues Modul TR-Resiscan Quelle: GRC Partner Folien Corporate Governance und Compliance Logik Dokumentation IKS (COSO, IDW PS 261) Verfahrensdokumentation () Datenschutz (BDSG, LDSG, DSVO) IT-Dokumentation (BSI, ISO OSI) Notfallmanagement (BSI 100-4) Organisation Unternehmensstruktur Prozesse Richtlinien / Verträge DocSetMinder Funktionen Ausgabe: WORD HTML IT Grundschutz (BSI 100-1,-2, -3) ISMS (ISO /IEC 27001, 27005) IT-IKS (CobiT, IDW PS 951, PS 330) Normen (QM 9001, 14001, 18001) Datenbank MS SQL Server Reports Individuelle Module 772 V2 386

387 GRC Partner Folien DocSetMinder - Eigenschaften Modularer Aufbau Mandantenfähig Revisionssicher Dokumentenhistorie Berechtigungskonzept Multiuser-Fähig Skalierbar Multiuser Berechtigung Modular Mandantenfähig Revisionssicher Historie 773 GRC Partner Folien DocSetMinder DocSetMinder -Modul Verfahrensdokumentation Unterstützt die Verantwortlichen bei der Erstellung und Aktualisierung der Verfahrensdokumentation gemäß GoBS/GDPdU sowie bei der Vorbereitung für die elektronische Steuerprüfung Beinhaltet: Beschreibung der sachlogischen Lösung Beschreibung der programmtechnischen Lösung Beschreibung der Programmintegrität Beschreibung der Datenintegrität Arbeitsanweisungen für die Anwender Quelle: V2 387

388 GRC Partner Folien DocSetMinder DocSetMinder -Modul Verfahrensdokumentation Struktur umfasst Bewertungskriterien nach PK-DML: Allgemeine Beschreibung des Einsatzgebietes Sachlogische Systemlösung Technische Systemlösung und Migration IT-Sicherheit Technischer Betrieb Prozesse Mitarbeiterqualifikation Test Wartung Internes Kontrollsystem (IKS) Quelle: DocSetMinder DocSetMinder -Modul Verfahrensdokumentation Sachlogische und technische Beschreibung Quelle: V2 388

389 GRC Partner Folien Verfahrensdokumentation Unternehmensorganisation (Screeshot 1): Aufbauorganisation Bereiche, Abteilungen, Stellen und Rollen Ablauforganisation Richtlinien Managementprozesse (u.a. Rechnungswesen, Lohn & Gehalt etc.) Kernprozesse (u.a. Einkauf, Produktion, Vertrieb etc.) Unterstützungsprozesse (u.a. IT-Prozesse nach ITIL, Dokumentmanagement und Archivierung etc.) 777 GRC Partner Folien Verfahrensdokumentation Unternehmensorganisation (Screeshot 1): 778 V2 389

390 GRC Partner Folien Verfahrensdokumentation DV-Systeme (Screeshot 2): Anwendungen ERP, Schnittstellen, Systemanwendungen, Dienste IT-Infrastruktur Cluster, Server, VMs Arbeitsplätze, Drucker, Scanner, DMS, Datensicherung und Storage-Systeme Netze (aktive Netzwerkkomponenten, VLANs, WLANs) Räume, Gebäude 779 GRC Partner Folien Verfahrensdokumentation DV-Systeme (Screeshot 2): 780 V2 390

391 GRC Partner Folien Verfahrensdokumentation Modulstruktur (Screeshot 3): Organisation und Ziele Geltungsbereich der Verfahrensdokumentation Ziele der Verfahrensdokumentation Kontext der Organisation (Aufgaben, Ziele, Politik) Rechtliche Grundlagen Rollen Namenskonventionen ( 10 Rzn. 149) Organigramme 781 GRC Partner Folien Verfahrensdokumentation Screeshot V2 391

392 GRC Partner Folien Verfahren 783 GRC Partner Folien DV-Systeme 784 V2 392

393 GRC Partner Folien IKS Kontrollen 785 GRC Partner Folien Datenschutz 786 V2 393

394 GRC Partner Folien Generierung der Dokumantation 787 GRC Partner Folien 788 V2 394

395 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 7. ZERTIFIZIERUNG VON VERFAHRENSDOKUMENTATIONEN Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar Zertifizierung von Verfahrensdokumentationen 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT TÜVIT: PK-DML Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 790 V2 395

396 Definition Revisionssicherheit nach TÜV IT TÜV Informationstechnik GmbH im Rahmen des PK- DML Zertifizierungsverfahrens Revisionssicherheit kann erzielt werden durch: Dokumentation der Organisation und Abläufe Definition der Verantwortlichkeiten Nachvollziehbarkeit durch Aufzeichnungen und Protokolle Absicherung der Vorgänge 791 Zertifizierung Es gibt keine Norm für die Nutzung des Worts Zertifizierung Prinzipiell kann jedermann irgendetwas zertifizieren Geeignete Prüfungsstellen (z.b. TÜViT, Wirtschaftsprüfer, VOI CERT) Nützlichkeit im Rechtsfall durch Prüfungsqualität Qualifizierte Sachverständige Reputation 792 V2 396

397 Zertifizierung: Prüfobjekte Verfahrensdokumentation Während Gültigkeitsdauer des Zertifikats muss eine manipulationssichere Verwahrung gewährleitet sein Vollständiger Zugang für die Prüfer notwendig Systemlösung Komplette Begutachtung Life-Tests Geschäftsfällen beispielhaft durchspielen Quelle: VOI Ralf Kaspras: Verfahrensdokumentation + Zertifizierung auf der CeBIT Zertifizierung: Ablauf Festlegung des Zertifizierungsvorhabens Aufwandsbestimmung (Initialisierungsworkshop) Angebot und Auftrag Prüfung der Verfahrensdokumentation und Entwicklung des Prüfungskatalogs für die Systemprüfung (Prüfungsstelle) 1. Prüfungsergebnis und Vereinbarung der Systemprüfung Systemprüfung (vor Ort) 2. Prüfungsergebnis und Prüfungsbericht für Zertifizierungsstelle/-kommission (vom Prüfer unabhängig!) Erteilung / Ablehnung des Zertifikats Quelle: VOI Ralf Kaspras: Verfahrensdokumentation + Zertifizierung auf der CeBIT V2 397

398 VOI PK-DML 4. Auflage Rechts- und Revisionssicherheit für elektronische Dokumente und Dokumentenprozesse VOI Folien 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 7 Seit 2000 das praxisbewährte Standardwerk für Rechts- und Revisionssicherheit im Umgang mit elektronischen Dokumenten und deren Langzeitaufbewahrung. Strukturrahmen für Verfahrensdokumentationen; z.b. zur Erfüllung der Anforderungen nach Elementarbaustein für IT-Compliance Dr. Ulrich Kampffmeyer VOI Folien zur Verfügung gestellt von Ralf Kaspras PROJECT CONSULT Seminar 796 V2 398

399 VOI Folien Inhalt der VOI PK-DML 4. Auflage Vorworte des VOI und der TÜViT, TÜV-Gruppe Nord Geleitwort von Dr. Ivo Geiss ( 2014) Was ist neu? Einführung Methodik der PK-DML Überblick über die Bewertungskriterien Bewertungskriterien Prüfung und Zertifizierung Allgemeines (Geltungsbereich, Zuständigkeiten usw.) Glossar Anhang (Gegenüberstellung zu anderen Verfahren) 797 VOI Folien Einsatzbereich Beweistauglichkeit von elektronischen / digitalen Dokumenten und zugehörigen Prozessen Elektronische Langzeitarchivierung Darstellung und Nachweis von Compliance inkl. Zertifizierung Verfahrensdokumentation; zum BSP gemäß Gestaltung von rechtsund revisionssicheren DMS, ECM und EIM-Lösungen Optimierung von Verwaltungs- und Organisationsprozessen Effizientes IT- & Security-Management 798 V2 399

400 VOI Folien Vorteile Praxisgerecht = Aufwand im wirtschaftlichen Kontext und nach konkreten Schutzerfordernissen Selbsttragender Prozess Höchste Verfahrenssicherheit und effiziente Kontrolle Zertifizierung von DMS-, ECM- und EIM-Systemlösungen (keine Produkte!) durch die TÜViT, TÜV-Gruppe Nord Prüfung von DMS-, ECM- und EIM-Produkten auf PK-DML- Konformität: PK-DML-Ready-Zertifizierung durch VOI CERT Gütesiegel für Anbieter Entscheidungshilfe durch vorqualifizierte Produkteigenschaften 799 VOI Folien Zertifizierungsmöglichkeiten Zertifizierung von DMS-, ECM- und EIM- Systemlösungen (keine Produkte!) durch die TÜViT, TÜV-Gruppe Nord Vertrauenssteigerung Sachverständigengutachten Verringerung von Haftungsrisiken Prüfung von DMS-, ECM- und EIM-Produkten auf PK- DML-Konformität: PK-DML-Ready-Zertifizierung durch VOI CERT Gütesiegel für Anbieter Entscheidungshilfe durch vorqualifizierte Produkteigenschaften 800 V2 400

401 VOI Folien Methode Gesamtheitliche Betrachtung einer DMS, ECM oder AIM Systemlösung im Kontext des Einsatzzwecks. Klare Trennung (Problemkapslung) von fachlichen Anforderungen und der technischen Realisierungen. Das Ziel ist, das Sachgebietsprüfer genau ihre Punkte fachlich und in der technischen Umsetzung isoliert beurteilen können. Schlüssigkeit von organisatorischen und technischen Maßnahmen Qualifizierung der Bewertungskriterien auf Grundlage von Kernkriterien KO-Bewertung Sofern ein Bewertungskriterium relevant ist, muss es erfüllt werden. 801 VOI Folien Problemkapselung 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 802 V2 401

402 VOI Folien 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Kontrollschema Bewertungskriterium Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 803 VOI Folien Bezug Print on demand Bestellung über die VOI Geschäftsstelle Per Telefon: Per Telefax: Internet-Shop: voi@voi.de Derzeit nur im Paperprint, Preis: 59 EUR ebook geplant (voraussichtlich Q3/2015), Preis noch offen 804 V2 402

403 VOI Folien Prüfverfahren & Zertifizierung TüVIT Grundsätzliches Schema DM-Lösung Einordnung des DMS Verfahrensdokumentation Qualifizierungsziele: Ordnungsmäßigkeit, Wirtschaftlichkeit, Sicherheit, Qualität und Recht Systemauditierung Dokumentenprüfung Regelschleife: Nach Systemänderungen zur Aktualisierung des Zertifikats Bewertung Prüfbericht Folgequalifizierung Zertifikat 805 Prüfungskriterien (VOI und TÜViT) Zehn Kriterien Allgemeine Beschreibung des Einsatzgebietes Sachlogische Systemlösung Technische Systemlösung und Migration IT-Sicherheit Technischer Betrieb Prozesse Mitarbeiterqualifikation Beschreibung des Internen Kontrollsystems (IKS) Test Wartung 806 V2 403

404 Zertifizierung nach TÜViT Dokumentation in der Anlage: 11 Verfahrensdokumentation GoBS Checkliste nach TÜViT.doc Zertifizierung von Verfahrensdokumentationen 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT IDW Institut der Wirtschaftsprüfer FAIT Fachausschuss für Informationstechnologie Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 808 V2 404

405 IDW RS FAIT 3 Relevante IDW-Dokumente: IDW PS 330 Abschlussprüfung bei Einsatz von Informationstechnologie IDW PS 880 Die Prüfung von Softwareprodukten IDW PS 951 Die Prüfung des Internen Kontrollsystems bei Dienstleistungsunternehmen IDW PS 980 Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen IDW RS FAIT 3 Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren IDW ERS FAIT 5 Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing Quelle: IDW RS FAIT 3 IDW-RS-FAIT-3 - IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren vom Institut der Wirtschaftsprüfer - Fachausschuss für Informationstechnologie (FAIT) veröffentlicht Inhalt: Darstellung der heutigen Archivierungsverfahren Komponenten einer DMS-Lösung Rechtliche Grundlagen, wie HGB, AO, GDPdU oder BDSG Beschreibung von typischen Einsatzszenarien, wie frühe oder späte Erfassung, Datenarchivierung oder E-Invoicing Darstellung der rechtlichen, technischen und organisatorischen Risiken beim Betrieb einer DMS-Lösung Anforderungen für den sicheren DMS-Betrieb Quelle: V2 405

406 IDW RS FAIT 3 Inhalt 1. Vorbemerkungen 2. Das IT-System beim Einsatz von elektronischen Archivierungsverfahren 3. Ausprägungen der Archivierung 4. Rechtliches, technisches und organisatorisches Umfeld 4.1. Rechtliches Umfeld 4.2. Technisches und organisatorisches Umfeld Elektronisch empfangene und versandte Daten und Dokumente Physisch empfangene Dokumente Physisch versandte Dokumente 5. Besondere Risiken beim Einsatz elektronischer Archivierungsverfahren 811 IDW RS FAIT 3 Inhalt 6. Sicherheit und Ordnungsmäßigkeit beim Einsatz elektronischer Archivierungsverfahren 6.1. Sicherheitsanforderungen 6.2. Ordnungsmäßigkeit 7. Einrichtung eines Archivierungssystems 7.1. IT-Umfeld und IT-Organisation 7.2. IT-Infrastruktur beim Einsatz von Archivierungsverfahren 7.3. IT-Anwendungen beim Einsatz von Archivierungsverfahren 7.4. IT-gestützte Archivierungsprozesse Erfassung Indexierung Speicherung und Verwaltung Lesbarmachung/Retrieval Vernichtung von Originaldokumenten 7.5. Überwachung des IT-Kontrollsystems 7.6. Outsourcing von elektronischen Archivierungsverfahren 812 V2 406

407 IDW RS FAIT 3 Archivierungsverfahren Archivierungsverfahren Analoge Verfahren Elektronische Verfahren Daten Dokumente Daten Dokumente COM- Verfahren / Mikrofilm Mikrofiche Ablage im Original CI Coded Information NCI Non Coded Information Datensätze Images Quelle: IDW RS FAIT 3 Verfahren frühes Archivieren Eingang des Dokuments Vorbereitung des Dokuments zum Scannen Scannen des Dokuments am Scan-Client und Zuordnung der Dokumenten-ID Kontrolle des Image auf Vollständigkeit und Richtigkeit Freigabe des Image Weitergabe des Image zur Erfassung der Buchungsinformationen Erfassung der Buchungsinformationen im ERP-System Buchungsfreigabe (Automatische) Verknüpfung ERP-Ordnungskriterium und Dokumenten-ID im ERP-System Ablage des Image auf Archiv-Server und Indexbildung Kontrolle der Verknüpfung auf Vollständigkeit und Richtigkeit Freigabe der Originaldokumente zur Vernichtung Ggf. Vernichtung des Originaldokuments Quelle: V2 407

408 IDW RS FAIT 3 Verfahren spätes Archivieren mit oder ohne Barcode Eingang des Dokuments Vorbereitung des Dokuments zum Scannen Anbringen des Barcodes auf das Dokument Erfassen der Buchungsinformationen im ERP-System Buchungsfreigabe Weiterleitung des Originaldokuments zum Scannen Scannen des Dokuments am Scan-Client und Zuordnung der Dokumenten-ID Kontrolle des Image auf Vollständigkeit und Richtigkeit Freigabe des Image (Automatische) Verknüpfung ERP-Ordnungskriterium und Dokumenten-ID im ERP-System Ablage des Image auf Archiv-Server und Indexbildung Kontrolle der Verknüpfung auf Vollständigkeit und Richtigkeit Freigabe der Originaldokumente zur Vernichtung Ggf. Vernichtung des Originaldokuments Quelle: IDW RS FAIT 3 Risiken beim Einsatz elektronischer Archivierungsverfahren Risiken können sein: Rechtlich Technisch Organisatorisch Quelle: V2 408

409 IDW RS FAIT 3 Sicherheitskriterien für elektronische Archivierungsverfahren Vertraulichkeit Integrität Verfügbarkeit Autorisierung Authentizität Verbindlichkeit Quelle: IDW RS FAIT 3 Ordnungsmäßigkeitskriterien Vollständigkeit Richtigkeit Zeitgerechtheit Nachvollziehbarkeit Unveränderlichkeit müssen während des gesamten Archivierungsprozesses eingehalten werden. Quelle: V2 409

410 IDW RS FAIT 3 Wiederauffinden der Dokumente und Daten Verschiedene Möglichkeiten: Unmittelbarer Zugriff über die Dokument-Identifikation im Archivierungssystem Mittelbarer Zugriff über das IT-gestützte Rechnungslegungssystem (z.b. Belege aus einem Geschäftsvorfall) Mittelbar erfordert weitere Indexierung: Verknüpfung der Dokument-Identifikation mit den Ordnungskriterien des ITgestützten Rechnungslegungssystems (beispielsweise Belegnummer) Quelle: IDW RS FAIT 3 Vernichtung von Originaldokumenten Voraussetzungen: Die elektronische Archivierung erfolgt nach einem den Grundsätzen ordnungsmäßiger Buchführung entsprechenden Verfahren Es bestehen neben den handelsrechtlichen Vorschriften in 257 HGB keine weiteren gesetzlichen Vorschriften, die die Existenz der Originaldokumente verlangen Es bestehen keine innerbetrieblichen Regelungen oder sonstigen organisatorischen Anforderungen, die einer Vernichtung im Wege stehen Die Originalunterlagen verkörpern keine Rechte, zu deren Ausübung der Besitz des Originals notwendig ist (z.b. Wertpapiere) oder als Beweismittel nur im Original anerkannt werden (z.b. Vollmachten) Es besteht kein Herausgabeanspruch eines Dritten auf das Original (z.b. Scheck, Wechsel) Quelle: V2 410

411 IDW RS FAIT 3 Outsourcing von elektronischen Archivierungsverfahren Unterschieden wird: Ob sich die Aufgabe des Dienstleistungsunternehmens darauf beschränkt, Teilprozesse oder bestimmte Tätigkeiten nach Anweisung des beauftragenden Unternehmens abzuwickeln, oder Ob das Dienstleistungsunternehmen eigenständig im Auftrag des auslagernden Unternehmens tätig wird. Quelle: FAIT Dokumentation in der Anlage: 05 IDW RS FAIT1 gobs 02.pdf 06 IDW RS FAIT3 gobs 04.pdf 822 V2 411

412 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 8. AUSBLICK Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar Ausblick 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Rechtliche Entwicklung Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 824 V2 412

413 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Änderungen von HGB und AO an unvermuteten Stellen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 825 E-Government-Gesetz Das Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften (E- Government-Gesetz) Seit in Kraft Das Gesetz dient dem Ziel, die elektronische Kommunikation mit der Verwaltung zu erleichtern und Bund, Ländern und Kommunen zu ermöglichen, einfachere, nutzerfreundlichere und effizientere elektronische Verwaltungsdienste anzubieten. Gesetz: en/oed_verwaltung/informationsgesellschaft/egovg_verku endung.pdf 826 V2 413

414 Relevante des E-Government-Gesetzes Artikel 5 Änderung der Abgabenordnung Die Abgabenordnung in der Fassung der Bekanntmachung vom 1. Oktober 2002 (BGBl. I S. 3866; 2003 I S. 61), die zuletzt durch Artikel 12 des Gesetzes vom 7. Dezember 2011 (BGBl. I S. 2592) geändert worden ist wird wie folgt geändert: 1. 87a Absatz 3 wird wie folgt gefasst: Eine durch Gesetz für Anträge, Erklärungen oder Mitteilungen an die Finanzbehörden angeordnete Schriftform kann, soweit nicht durch Gesetz etwas anderes bestimmt ist, durch die elektronische Form ersetzt werden. Der elektronischen Form genügt ein elektronisches Dokument, das mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen ist / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Modernisierung des Besteuerungsverfahrens Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 828 V2 414

415 Konzept Modernisierung des Besteuerungsverfahrens Vom Bundesministerium der Finanzen im November 2014 veröffentlicht Ziele: 1. Kommunikationsprozesse und Arbeitsabläufe strukturell neu gestalten 2. Mit verstärktem IT-Einsatz das steuerliche Massenverfahren optimieren 3. Die Aufgaben der Steuerverwaltung nachhaltig, effektiv und wirtschaftlich erfüllen Kernelemente der Verfahrensmodernisierung: Kommunikation zwischen den am Besteuerungsverfahren Beteiligten, Optimierung der Einkommensteuerveranlagung, Weitere Verfahrensanpassungen und rechtliche Änderungen Erforderliche gesetzliche Maßnahmen sollen Anfang des Jahres 2015 in den Gesetzgebungsprozess eingebracht werden und ab 2016 wirksam werden Quelle: PROJECT CONSULT Einschätzung Initiative Finanzministerium Nicht immer koordiniert mit dem Wirtschaftsministerium Betrifft vor allem die Finanzverwaltung selbst 830 V2 415

416 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Eckpunkte zur weiteren Entlastung der mittelständischen Wirtschaft von Bürokratie Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 831 Eckpunkte Entlastung Bürokratie Im Dezember 2014 vom Bundesministerium für Wirtschaft und Energie veröffentlicht Maßnahmenkatalog: Neue Bürokratie vermeiden: 1. One in, one out -Regelung einführen (in gleichem Maße Belastungen abbauen, wie durch neue Regelungsvorhaben zusätzliche Belastungen entstehen) 2. KMU-Test stärken (Anforderungen in GGO klargestellt) 3. Online-Plattform für Unternehmen (um zu unnötigen/ ineffizienten Regelungen Stellung nehmen zu können) Steuer- und Bilanzrecht, Gewinnermittlung: 4. Grenzwerte für die Buchführungs- und Aufzeichnungspflichten (Umsatz und Gewinn) anheben 5. (Evaluierung und zeitnahe bedarfsorientierte Überarbeitung) 6. Elektronische Rechnung/ZUGFeRD und BSI ersetzendes Scannen stärken Quelle: V2 416

417 Eckpunkte Entlastung Bürokratie Start-ups und junge Gründer entlasten 7. Betriebsgründer in den ersten drei Jahren grundsätzlich von Berichtsund Informationspflichten befreien 8. Weiterentwicklung Einheitlicher Ansprechpartner der zweiten Generation zusammen mit den Bundesländern (Projekt Einheitlicher Ansprechpartner 2.0) 9. Gewerbeanzeige-Verordnung umsetzen Unternehmen von Statistik- und Informationspflichten befreien: 10. Zentrales Register für die Energiewirtschaft 11. Nachweisführung bei der Energie- und Stromsteuererstattung ( Spitzenausgleich ) vereinfachen 12. Stärkere Nutzung bereits vorhandener Verwaltungsdaten 13. Meldeschwellen in der Intrahandelsstatistik anheben 14. Mittelstandsfreundliche Ausgestaltung der Umsetzung der CSR- Richtlinie 15. Arbeitgeberbescheinigungen durch standardisierte Entgeltbescheinigungen ersetzen 16. Aufbau und Betrieb eines Informationsportals für die sozialversicherungsrechtlichen Meldepflichten von Arbeitgebern Quelle: Eckpunkte Entlastung Bürokratie Bürokratieabbau in Verwaltungsverfahren forcieren 17. Öffentliches Beschaffungswesen vereinfachen und standardisieren 18. Verfahren im Bereich der qualifizierten Zuwanderung aus Drittstaaten beschleunigen 19. Integration internationaler Fachkräfte beschleunigen 20. Zugang zu den Förderprogrammen und Beschleunigung der Genehmigungsverfahren 21. Prüfung der Vereinheitlichung der Anforderungen für die Bestellung eines Datenschutzbeauftragten und für die Meldepflicht bei Unternehmen Umsetzung: Gesetzliche Änderungen werden im 1. Vierteljahr 2015 in den Bundestag eingebracht und bis zur Sommerpause verabschiedet; Alle weiteren Maßnahmen werden auf untergesetzlicher Ebene oder im Verwaltungsvollzug umgesetzt Quelle: V2 417

418 PROJECT CONSULT Einschätzung Initiative Wirtschaftsministerium Nicht immer koordiniert Positiv: Förderung ZUGFeRD Negativ: immer noch Signatur- und Resiscan-lastig Fraglich: wozu soll die überarbeitet werden, oder meint das Ministerium die anderen betroffenen Gesetze? Ausblick 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Anforderungen zur Selbstdokumentation von Archivsystemen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 836 V2 418

419 Selbstdokumentation Selbstdokumentation der Einrichtung sowie aller während der Lebensdauer vorgenommenen Änderungen an Struktur, Metadaten-Strukturen, Administrationsrechten und anderen wichtigen Informationen (automatisierte Verfahrensdokumentation) Archivierung der initialen Konfiguration des Archivsystem mit allen Einstellungen (Speicherpfade, Dokumentklassen, Berechtigungen, etc.) Archivierung mit Versionierung aller wesentlichen Änderungen am Archivsystem über den Betriebszeitraum Report-Generierung mit allen Daten für die Verfahrensdokumentation oder eigenständige Archivanwendung zur Pflege der Verfahrensdokumentation im System selbst (Archivsystem-Eigenanwendung) Erfüllung der ISO OAIS Preservation Planning Funktionalität 837 Selbstdokumentierende Systeme Alle systemseitig verfügbaren Daten sollten in vorbereitete Strukturen einer Verfahrensdokumentation automatisiert eingeladen, versioniert und historisiert werden Anwender müssten in dieser vorbereiteten Anwendung "nur" ihre allgemeinen Informationen eingeben und die beteiligten, auszuwertenden Systemkomponenten festlegen Aus integrierter Verfahrensdokumentationsdatenbank könnten auch Reports generiert werden ECM- oder GRC-Anwendung würde so eine kleine vorgefertigte "virtuelle Akte"nanwendung enthalten, in die die Daten des Systems und die vom Anwender eingestellten Informationen zusammenlaufen Dies können Änderungen an Auswahllisten, Umstrukturierungen im Aktenplan, Geänderte Administrationskomponenten, neue Scanner-Profile, XML- Schemas zu Schnittstellen und zahlreiche andere für die Verfahrensdokumentation relevante Informationen sein 838 V2 419

420 Selbstdokumentierende Systeme Besonders für SaaS-, ASP- und Mandanten-Systeme sind solche automatisierten oder teilautomatisierten Verfahrensdokumentationen essentiell, da der Anwender selbst keine Veränderungen an den Einstellungen und der internen Funktionsweise des genutzten Systems mitbekommt und man bei vielen Mandanten im Betrieb einer größeren Lösung schnell die Übersicht verliert Vorteile: Fehlerträchtige manuelle Eingaben reduziert Aktualisierungen und Fortschreibung automatisiert Vollständigkeit und Nachvollziehbarkeit sichergestellt Voraussetzung auf Anbieterseite: Zentrales, datenbankgestütztes Repository (mit Systemparameter, beteiligte Anwendungen, Parameter, Berechtigungen, Dokumentenklassen, Aktenstrukturen, Aufbewahrungsregeln etc.) Ausblick 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT Technologische Entwicklung mit besonderen Herausforderungen Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 840 V2 420

421 Elektronische Rechnung: ZUGFeRD Standard für elektronische Rechnungen ZUGFeRD Zentraler User Guide des Forums elektronische Rechnung Deutschland Hrsg. von FeRD Forum elektronische Rechnung Deutschland Versendung von standardisierten Rechnungen als PDF mit integriertem XML-Datensatz für die automatische Verarbeitung Ergänzt EDI-Standards wie EANCOM Entspricht internationalem Standard und kann im europäischen und internationalem Rechnungsverkehr angewendet werden 841 ZUGFeRD Anspruch Eine wichtige Voraussetzung für die gewünschten Kostenersparnisse ist ein einheitliches Datenformat, das sowohl in der Wirtschaft als auch in der öffentlichen Verwaltung eingesetzt werden kann. Damit auch kleinen und mittleren Unternehmen die Vorzüge der E-Rechnung zugutekommen, hat das FeRD unter dem Namen ZUGFeRD ( Zentraler User Guide des Forums elektronische Rechnung Deutschland ) ein einheitliches Datenformat entwickelt Es entspricht den Anforderungen der internationalen Standardisierung und kann auch im grenzüberschreitenden europäischen und internationalen Rechnungsverkehr aufgenommen und angewendet werden. Mit dem Format können Rechnungen zwischen Unternehmen sowie zwischen Unternehmen und der öffentlichen Verwaltung schnell, komfortabel und einfach elektronisch ausgetauscht werden. Mehr noch: Das ZUGFeRD-Format senkt nicht nur die Kosten der Rechnungsstellung; weil auf Grund des durchgängigen elektronischen Prozesses nicht nur Material- und Portokosten wegfallen, sondern auch das Rechnungswesen in Zukunft durch optimierte Prozesse wesentlich effizienter wird 842 V2 421

422 ZUGFeRD Corrigendum Corrigendum zum ZUGFeRD Format Version 1.0 vom 17. Oktober 2014 Beinhaltet Korrekturen zur Darstellung der Rechnungssummen, den Beispieldateien und eine Aktualisierung der Schemadateien Download: ZUGFeRD Ablauf Sehr gehaltvoller Inhalt Weiterer gehaltvoller Inhalt Noch mehr gehaltvoller Inhalt Weniger wichtiger Inhalt 844 V2 422

423 Drei Standards in ZUGFeRD ZUGFeRD unterstützt 3 Typen von Profilen: Basic Comfort Extended Mit Extended werden auch die internationalen Standards unterstützt 845 ZUGFeRD englische Version Englische Version von ZUGFeRD 1.0 am veröffentlicht Information der AWV/FeRD: In order to enable small and medium-sized enterprises to benefit from the advantages of e-invoicing, the German Forum on electronic Invoicing (FeRD) has developed a uniform data format called ZUGFeRD, the "Central User Guide of the Forum for Electronic Invoicing in Germany" Deutsche Variante der elektronischen Rechnung kann international genutzt werden Weg von der Bezeichnung "deutsche Sonderlocke" Download: V2 423

424 PROJECT CONSULT Einschätzung ZUGFeRD Chancen Wichtig ist, dass ERP-Anbieter für Ausgabe und Eingabe von Rechnungen den ZUGFeRD-Standard unterstützen. Die Aktivitäten der ECM-Branche sind eigentlich ein Nebenkriegsschauplatz. Die englische Version und die drei Typen der Profile erhöhen die Chancen für eine internationale Akzeptanz (zumindest in Europa), wenn hierfür die Aktivitäten deutlich intensiviert werden. Die meisten Anbieter unterstützen faktisch in 2014 nur Basic bis 2016 sollen dann Comfort und Extended hinzukommen Ausblick 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 3 Speicherung -relevanter Daten und Dokumente in der Cloud Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 848 V2 424

425 Argumentation Inhouse versus Outsourced 849 Cloud Computing 850 V2 425

426 Archivierung in der Cloud Angebote neben bisherigen Spezialisten aus dem ECM-Umfeld auch von Startups wie Box und Dropbox sowie zunehmend die großen Web- Konzerne wie Amazon, Apple und Google Probleme: Wenn man viel Archiviertes erst einmal auf einer Plattform hat, dann kann man nur mit großem Aufwand auf eine andere Plattform wechseln. Keine Kontrolle darüber, was für Informationsobjekte die Anwender hochladen Sicherheit nur bei sicheren Leitungen und kryptografischer Codierung, jedoch Probleme beim Recovery von kryptografisch codierten Informationsobjekten 851 BITKOM: Cloud-Nutzung steigt 2011 / Autorenrecht: <Vorname Nachname> Apr-15 / Quelle: PROJECT CONSULT 6 Dr. Ulrich Kampffmeyer PROJECT CONSULT Seminar 852 V2 426