IDW-RS-FAIT-2 - IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW RS FAIT 2)

Transkript

1 Institut der Wirtschaftsprüfer - Fachausschuss für Informationstechnologie (FAIT) Stellungnahme vom IDW-RS-FAIT-2 - IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW RS FAIT 2) (Stand: ) [1] 1. Vorbemerkungen 2. Grundlagen des E-Commerce 2.1. Ausprägungen des E-Commerce Arten von E-Commerce-Aktivitäten Differenzierung von E-Commerce nach den beteiligten Wirtschaftssubjekten 2.2. Rechtliches, technisches und organisatorisches Umfeld Rechtliches Umfeld Technisches und organisatorisches Umfeld 3. Verpflichtungen der gesetzlichen Vertreter im Zusammenhang mit E Commerce 4. Besondere IT-Risiken beim Einsatz von E-Commerce-Systemen 4.1. Risiken aus der Kommunikation 4.2. Risiken aus der Verarbeitung 5. Ordnungsmäßigkeit und Sicherheit beim Einsatz von E-Commerce-Systemen 5.1. Belegfunktion 5.2. Journal- und Kontenfunktion 5.3. Dokumentation 5.4. Aufbewahrungspflichten 5.5. Aufbewahrungspflichten beim Einsatz von EDI 6. Einrichtung eines E-Commerce-Systems 6.1. Das IT-Umfeld bei Einsatz von E-Commerce-Systemen 6.2. Die IT-Organisation bei Einsatz von E-Commerce-Systemen 6.3. E-Commerce-Infrastruktur 6.4. E-Commerce-Anwendungen 6.5. E-Commerce Geschäftsprozesse Dokument: idw rs fait 2 Seite 1 von 37

2 6.6. Überwachung des IT-Kontrollsystems bei Einsatz von E-Commerce-Systemen 6.7. Internet-Service-Provider/Outsourcing Anhang 1: Besonderheiten hinsichtlich der Risiken und Anforderungen beim Einsatz von E-Commerce 1. Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce 2. Sicherheitsanforderungen 2.1. Integrität 2.2. Verfügbarkeit 2.3. Vertraulichkeit 2.4. Authentizität 2.5. Autorisierung 2.6. Verbindlichkeit 3. Ordnungsmäßigkeit 3.1. Vollständigkeit 3.2. Richtigkeit 3.3. Zeitgerechtheit 3.4. Ordnung 3.5. Nachvollziehbarkeit 3.6. Unveränderlichkeit Anhang 2: Glossar 1. Vorbemerkungen (1) Electronic Commerce (E-Commerce) beinhaltet die Anbahnung und Abwicklung von Geschäftsvorfällen (von der Kontaktaufnahme bis zum Zahlungsverkehr) zwischen Marktteilnehmern in elektronischer Form unter Verwendung verschiedener Informations- und Kommunikationstechnologien über öffentlich zugängliche Netzwerke. E-Commerce umfasst somit alle Aktivitäten, die das Ziel verfolgen, den Handel mit Informationen, Gütern und Dienstleistungen über alle Phasen der Geschäftsabwicklung hinweg elektronisch zu ermöglichen [2]. Als E-Commerce-Systeme i.s.d. IDW Stellungnahme zur Rechnungslegung werden diejenigen Komponenten des IT-Systems verstanden, die ausschließlich oder überwiegend zur Durchführung des E-Commerce eingesetzt werden [3]. (2) Rechnungslegungsrelevante E-Commerce-Systeme lassen Daten über betriebliche Aktivitäten entweder direkt (d.h. ohne manuelle Eingaben) in die IT-gestützte Rechnungslegung einfließen oder stellen diese Daten in elektronischer Form als Grundlagen für Buchungen im Rechnungslegungssystem zur Verfügung. Dokument: idw rs fait 2 Seite 2 von 37

3 (3) Diese IDW Stellungnahme zur Rechnungslegung konkretisiert die aus den 238, 239 und 257 HGB resultierenden Anforderungen an die Führung der Handelsbücher mittels ITgestützter Systeme. Sie verdeutlicht damit die im IDW RS FAIT 1 dargestellten Ordnungsmäßigkeits- und Sicherheitsanforderungen im Bereich von E-Commerce und stellt ergänzende, über den IDW RS FAIT 1 hinausgehende Anforderungen auf, um den mit dem Einsatz von E-Commerce-Systemen zusammenhängenden besonderen IT-Risiken zu begegnen. (4) Wirtschaftszweigspezifische (z.b. bei Kreditinstituten und Versicherungsunternehmen) und sonstige Besonderheiten, die im Einzelfall zusätzlich zu berücksichtigen sind, bleiben in dieser IDW Stellungnahme zur Rechnungslegung außer Betracht. (5) Zu Prüfungen von E-Commerce-Systemen im Rahmen von WebTrust vergleiche IDW PS 890. (6) Diese IDW Stellungnahme zur Rechnungslegung ersetzt die Stellungnahme FAMA 1/1995: Aufbewahrungspflichten beim Einsatz von EDI [4]. 2. Grundlagen des E-Commerce 2.1. Ausprägungen des E-Commerce Arten von E-Commerce-Aktivitäten (7) E-Commerce-Aktivitäten lassen sich grundsätzlich in folgende Kategorien einteilen, die unterschiedliche Relevanz für die Rechnungslegung aufweisen: Information: Die einfachste Form des E-Commerce ist die rein informierende Darstellung des Unternehmens sowie seiner Produkte und Dienstleistungen im Internet. Das Leistungsspektrum reicht von Produktdemonstrationen und Preisübersichten bis hin zu individuellen Angebotsabrufen wie z.b. Flugplänen. In der Regel entfalten diese Informationsangebote keine Rechnungslegungsrelevanz. Interaktion: Eine über die reine Information hinausgehende und sich häufig daran unmittelbar anschließende Form von E-Commerce-Aktivitäten ist die Kommunikation als Austausch von Daten über das Internet (z.b. in Form von s). Transaktion: Unter Transaktion i.s.d. IDW Stellungnahme zur Rechnungslegung wird die Abwicklung von Geschäftsvorfällen im Rahmen von E Commerce-Geschäftsprozessen verstanden, die die Veränderung von Rechtspositionen zum Gegenstand haben, und damit das Eingehen von Rechten und Pflichten betreffen. Die wichtigsten Beispiele sind Bestellung bzw. Vertragsabschluss, Lieferung, Rechnungsstellung und Zahlung. Integration: Die Integration ist gekennzeichnet durch die unternehmensübergreifende Abwicklung von Transaktionen im Rahmen von E-Commerce-Geschäftsprozessen. Vormals isolierte Teilgeschäftsprozesse werden mittels IT zu einem E-Commerce-Geschäftsprozess zusammengeführt. Diese Integration betrifft insbesondere die Bereiche Ein- und Verkauf, Logistik und Produktion und ist durch eine weitgehend automatisierte und Dokument: idw rs fait 2 Seite 3 von 37

4 internetbasierte Abwicklung gekennzeichnet. Diese Abwicklungsform von E-Commerce- Geschäftsprozessen wird auch als E-Business bezeichnet und findet zunehmend über sog. elektronische Marktplätze, E-Customer-Relationship-Management und E- Procurement statt. (8) Einfluss auf die Rechnungslegung haben vornehmlich die E-Commerce-Aktivitäten "Transaktionen" und "Integration", die Gegenstand der weiteren Betrachtung dieser IDW Stellungnahme zur Rechnungslegung sind. Im Zusammenhang mit der Kommunikation können bereits dokumentationspflichtige Vorgänge vorliegen, z.b. durch den Versand von Erläuterungen bzw. Konkretisierungen zu einem Geschäftsvorfall Differenzierung von E-Commerce nach den beteiligten Wirtschaftssubjekten (9) E-Commerce wird anhand der beteiligten Wirtschaftssubjekte wie folgt eingeteilt: Im Vordergrund dieser IDW Stellungnahme zur Rechnungslegung stehen die Business-to- Business (B2B) und Business-to-Consumer (B2C)-Beziehungen. (10) Im Business-to-Business-Bereich (B2B) ist sowohl der Anbieter der Lieferung oder Leistung als auch der Nachfrager ein Unternehmen. Die Einsatzmöglichkeiten erstrecken sich hierbei auf alle Wertschöpfungsstufen sowie interne und externe Geschäftsprozesse, wie z.b. Beschaffung, Produktion, Absatz, Zahlungsverkehr, Rechnungswesen, Forschung und Entwicklung oder Personal. Typisch für B2B sind die individuell zwischen den Partnern bestehenden Geschäftsbeziehungen auf der Basis von individuellen Vereinbarungen. Dabei kann es sich sowohl um langfristig ausgehandelte Rahmenverträge als auch um eine einmalige Vertragsbeziehung handeln. Dokument: idw rs fait 2 Seite 4 von 37

5 (11) Im Business-to-Consumer-Bereich (B2C) ist der Anbieter der Lieferung oder Leistung ein Unternehmen, der Nachfrager ein Verbraucher Rechtliches, technisches und organisatorisches Umfeld Rechtliches Umfeld (12) Neben den rechnungslegungsspezifischen Vorschriften des HGB ( 238 f. HGB) und den Grundsätzen ordnungsmäßiger Buchführung (GoB) bestehen beim Einsatz von E-Commerce zahlreiche weitere rechtliche Anforderungen. Diese betreffen beispielsweise den Schutz von personenbezogenen Daten oder - bei Rechtsgütern wie Urheberschutzrechten - das anzuwendende Vertragsrecht. Darüber hinaus sorgt die Internationalität des Internets und damit verbunden die grenzüberschreitende Geschäftsabwicklung für weitere rechtliche Problemstellungen. Diese betreffen z.b. nationale und internationale Rechtsfragen des Handelsrechts, des Steuerrechts, des Strafrechts, des Zivilrechts oder des Datenschutzes. (13) Mit dem Gesetz zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (IuKDG) hat der Gesetzgeber spezielle Rechtsnormen erlassen, wie z.b. das Gesetz zur digitalen Signatur (SigG), das Teledienstegesetz (TDG), das Teledienstedatenschutzgesetz (TDDSG) und das Fernabsatzgesetz (FernAbsG), um die Rechtssicherheit und die informationelle Selbstbestimmung beim E-Commerce zu gewährleisten. (14) Insbesondere bei WebTrust-Prüfungen (vgl. IDW PS 890) werden die zu den Bereichen Datenschutz und Datensicherheit vom Unternehmen im Internet getätigten Angaben zur Abwicklung des elektronischen Geschäftsverkehrs auf ihre Einhaltung hin überprüft. Werden dem Abschlussprüfer im Rahmen der Durchführung von Abschlussprüfungen schwerwiegende Verstöße der gesetzlichen Vertreter oder der Arbeitnehmer gegen gesetzliche Anforderungen, wie z.b. das BDSG oder das TDDSG, bekannt, so ist hierüber nach 321 Abs. 1 Satz 3 HGB im Prüfungsbericht zu berichten Technisches und organisatorisches Umfeld (15) Das Internet ist ein weltweites öffentliches Netz von IT-Systemen, das unter Beachtung von technischen und administrativen Rahmenbedingungen prinzipiell jedem Unternehmen, jeder Institution und jeder Privatperson zur Verfügung steht und in dem standardisierte Dienste bereitgestellt werden. Es erlaubt die elektronische Kommunikation zwischen allen Teilnehmern auf Basis des Internet-Protokolls (IP). Hierzu erhält jeder an das Internet angeschlossene Computer oder jedes andere Endgerät (z.b. Mobiltelefon etc.) seine (dauerhafte oder temporäre) IP-Adresse (zur Erläuterung internetspezifischer Begriffe und Abkürzungen vgl. Anhang 2: Glossar). (16) In der Regel wählen sich private Internetnutzer direkt in das Netzwerk eines Internet- Service-Providers (ISP) ein, während Unternehmen oder Institutionen ihr internes Netzwerk mit dem Netzwerk des ISP (z.b. Router und Firewall) verbinden. Der Router ist die Schnittstelle zwischen dem internen Netzwerk und der Datenleitung zum ISP. Das Firewall- System soll das interne Netzwerk schützen und sichern. (17) Die technische Abwicklung von E-Commerce ist im Wesentlichen gekennzeichnet durch die Nutzung ungeschützter, öffentlich zugänglicher Netzwerke, Dokument: idw rs fait 2 Seite 5 von 37

6 die Anonymität der Geschäftspartner, insbesondere im B2C-Bereich, den Austausch von Handelsbriefen und Dokumenten, denen Belegfunktion zukommt, in elektronischer Form, Schnittstellen der im Unternehmen eingesetzten IT-Systeme zu öffentlich zugänglichen Netzwerken, wie z.b. zum Internet, automatisierte Geschäftsprozesse, die teilweise auch unternehmensübergreifend ohne personenbezogene Kontrollen oder Sicherungsmaßnahmen abgewickelt werden. 3. Verpflichtungen der gesetzlichen Vertreter im Zusammenhang mit E Commerce (18) Die gesetzlichen Vertreter haben unabhängig von der eingesetzten Informationstechnologie, den implementierten Geschäftsprozessen oder den angewandten Geschäftsmodellen bei der Verarbeitung rechnungslegungsrelevanter Daten die Einhaltung der gesetzlichen Anforderungen an die Ordnungsmäßigkeit der Rechnungslegung sicherzustellen. (19) Die Einhaltung der gesetzlichen Anforderungen beim Einsatz von E-Commerce-Systemen ist von den gesetzlichen Vertretern bei der Entwicklung und Umsetzung der IT-Strategie und des daraus abgeleiteten Sicherheitskonzeptes angemessen zu gewährleisten. Relevant für die Einhaltung der datenschutzrechtlichen Anforderungen sind insbesondere die aus den Sicherheitsanforderungen des IDW RS FAIT 1 (die in dem Anhang 1 im Bezug auf den Einsatz von E-Commerce-Systemen konkretisiert werden) abgeleiteten Maßnahmen. In diesem Zusammenhang ist darauf hinzuweisen, dass die gesetzlichen Anforderungen an den Schutz personenbezogener Daten auch Sicherungsmaßnahmen betreffen, die nicht mit der Rechnungslegung im Zusammenhang stehen, bspw. Sicherungsmaßnahmen des BDSG gegen das unbefugte Abfragen von Daten aller Art [5]. 4. Besondere IT-Risiken beim Einsatz von E-Commerce-Systemen (20) Durch den Einsatz von internetbasierten Kommunikationstechnologien, die Erweiterung des Kreises der möglichen Geschäftspartner sowie die Beeinflussung durch Dritte, z.b. ISP, oder anderer in der Geschäftsabwicklung ergeben sich E-Commerce-spezifische Probleme und Risiken. Bei deren Analyse und Wertung kann unterschieden werden zwischen den Risiken, die sich aus der Kommunikation, und den Risiken, die sich aus der Verarbeitung ergeben. Dokument: idw rs fait 2 Seite 6 von 37

7 4.1. Risiken aus der Kommunikation (21) Die Kommunikation über öffentlich zugängliche Netzwerke beginnt ab dem Punkt, an dem der Absender bewusst die Einwirkungsmöglichkeit über die zu übermittelnden Daten (bspw. Transaktionsdaten) verliert, bis zu dem Punkt, an dem diese Daten dem Empfänger zugehen. (22) Ein Zugang ist dann erfolgt, wenn die übermittelten Daten in einer maschinell und/oder visuell lesbaren Form in den Verantwortungsbereich des Empfängers gelangt sind. Auf dem Weg vom Absender bis zum Empfänger bleibt das Risiko der unvollständigen, unrichtigen oder verspäteten Zustellung bzw. die Nachweispflicht über die erfolgte Zustellung - auch bei elektronischer Versendung - beim Absender. Entsprechend den herkömmlichen unterschiedlichen Versendungsformen bleibt es ihm überlassen, dieses Risiko u.a. durch elektronische Empfangsbestätigungen zu reduzieren. (23) Darüber hinaus ergeben sich bei der Kommunikation Risiken insbesondere aus der fehlenden Kontrolle über den Datentransfer im Internet, die wie folgt differenziert werden können: Daten werden häufig ohne oder mit unzureichendem Schutz vor Verfälschung übertragen, was zu Integritätsverletzungen führen kann (Verlust der Integrität). Daten werden häufig unverschlüsselt oder unter Verwendung einer unsicheren Verschlüsselung übertragen, was eine Gefährdung der Vertraulichkeit bedeutet (Verlust der Vertraulichkeit). Dokument: idw rs fait 2 Seite 7 von 37

8 Der Anschluss eines IT-Systems an das Internet birgt die Gefahr, Ziel von Angriffen zu werden, bspw. durch Viren, Trojanische Pferde oder Hacker, die zu einer Gefährdung der Verfügbarkeit des IT-Systems führen (Verlust der Verfügbarkeit). Es existieren keine wirksamen Authentisierungsmechanismen zwischen den im Internet angeschlossenen Rechnern, bzw. es ist leicht möglich, falsche Adressen (IP- Spoofing) oder Rechnernamen (DNS-Spoofing) zu verwenden (Verlust der Authentizität). Beim Datentransfer können Hilfsprogramme (Java, Active-X) zu unautorisierten Zugriffen auf IT-Systeme führen (Verlust der Autorisierung). Eine unzureichende Protokollierung der Transaktionsdaten kann dazu führen, dass der Nachweis über die Geschäftstätigkeit nicht hinreichend erbracht werden kann. Darüber hinaus bergen fehlende national sowie international gültige Regelungen bezüglich der internetbasierten Geschäftsabwicklung die Gefahr, dass gewollte Rechtsfolgen nicht bindend herbeigeführt werden können (Verlust der Verbindlichkeit) Risiken aus der Verarbeitung (24) Die Verarbeitung der Transaktionsdaten in der E-Commerce-Anwendung reicht von dem Punkt des Zugangs bis zu dem Punkt, an dem die Daten vom Front-End (Zugangs- /Erfassungssysteme) an die Rechnungslegungssysteme (z.b. ERP-Systeme) übergeben werden. Die Risiken ergeben sich aus der Transaktionsdatenverarbeitung in der E-Commerce- Anwendung sowie insbesondere aus der Konvertierung, Entschlüsselung und Formatierung von Daten in der Schnittstelle zu anderen Teilen des IT-Systems.(25) Zu den Risiken bei der Verarbeitung führen insbesondere folgende Sachverhalte: Integritätsverletzungen bei Daten führen dazu, dass aufzeichnungspflichtige Geschäftsvorfälle nicht oder unvollständig erfasst werden (Verletzung des Vollständigkeitsgrundsatzes). Mangelnde Authentizität und Autorisierung bewirkt, dass Geschäftsvorfälle inhaltlich unzutreffend abgebildet werden (Verletzung des Grundsatzes der Richtigkeit). Störungen der Verfügbarkeit des E-Commerce-Systems oder Mängel bei der Protokollierung des Datenverkehrs können eine zeitgerechte Aufzeichnung des Geschäftsvorfalls beeinträchtigen (Verletzung des Grundsatzes der Zeitgerechtigkeit). Eine unzureichende Aufzeichnung der eingehenden Daten kann zu einer Beeinträchtigung der Nachvollziehbarkeit der Buchführung (Verletzung des Grundsatzes der Nachvollziehbarkeit) und zu einem Verstoß gegen die Aufbewahrungspflichten ( 257 HGB) führen. (26) Aufgrund dieser besonderen Risiken beim Einsatz von E-Commerce-Systemen ist die Einhaltung der Sicherheitsanforderung an rechnungslegungsrelevante Daten als Voraussetzung der Ordnungsmäßigkeit der IT-gestützten Rechnungslegung von besonderer Bedeutung [6]. Die Sicherheitsanforderungen beziehen sich sowohl auf den Übertragungsweg und damit auf die im öffentlichen Netz übertragenen Informationen und durchgeführten Transaktionen als auch auf die Verarbeitung der Informationen und Transaktionen in den IT- Systemen der Marktpartner. 5. Ordnungsmäßigkeit und Sicherheit beim Einsatz von E-Commerce- Systemen Dokument: idw rs fait 2 Seite 8 von 37

9 (27) Die Kriterien zur Beurteilung der Ordnungsmäßigkeit und Sicherheit beim Einsatz von IT sind im IDW RS FAIT 1 dargestellt. Die konkrete Ausgestaltung des IT-Kontrollsystems zur Gewährleistung dieser Sicherheits- und Ordnungsmäßigkeitsanforderungen ist im Einzelfall festzulegen in Abhängigkeit von der Risikosituation und dem daraus abgeleiteten Sicherheitskonzept, das den erforderlichen Grad an Informationssicherheit definiert. (28) Eine IT-Kontrolle kann technologiebedingt sowohl dazu geeignet sein, Sicherheits- als auch Ordnungsmäßigkeitsanforderungen zu gewährleisten. Eine IT-Kontrolle, die bspw. umgesetzt wurde, um die Sicherheitsanforderung Integrität im Bezug auf die Kommunikation zu gewährleisten, kann auch dazu führen, die Ordnungsmäßigkeitsanforderung Vollständigkeit bei der Verarbeitung sicherzustellen. Daher sind die einzelnen IT-Kontrollen nicht nur isoliert zu betrachten, sondern ganzheitlich im Hinblick auf ihr Zusammenwirken im internen Kontrollsystem. Die Besonderheiten zu den Risiken und Anforderungen beim Einsatz von E Commerce sind im Anhang 1 tabellarisch dargestellt Belegfunktion (29) Die in 238 Abs. 1 HGB geforderte Nachvollziehbarkeit der Buchführung vom Urbeleg zum Abschluss und vice versa setzt voraus, dass jede Buchung und ihre Berechtigung durch einen Beleg nachgewiesen wird (Grundsatz der Belegbarkeit). Sie ist die Grundvoraussetzung für die Beweiskraft der Buchführung. (30) Die für die papiergebundenen Belege geltenden Anforderungen sind analog auch bei Einsatz von E-Commerce zu erfüllen. Aus dem GoB-Bezug in 239 Abs. 4 HGB kann allerdings nicht abgeleitet werden, dass an E-Commerce-Belege höhere Anforderungen als an Papierbelege zu stellen sind. (31) Nicht alle Daten über E-Commerce-Aktivitäten führen zu einer Buchung und sind damit als dokumentations- und aufbewahrungspflichtiger Vorgang anzusehen. Vielmehr sind folgende Voraussetzungen zu erfüllen: Der Vorgang muss den Bilanzierenden erreichen. Der Vorgang muss durch den Empfänger autorisiert sein. Es muss ein buchungspflichtiger Vorgang vorliegen. (32) Die Autorisierung soll sicherstellen, dass keine unberechtigten bzw. keine fiktiven Geschäftsvorfälle in das System eingehen. Es muss festgelegt sein, wann, wie und durch wen die Autorisierung erfolgt. (33) Eine elektronische Unterschrift des Absenders bzw. eine Verschlüsselung der Nachrichten ist generell nicht zwingend erforderlich: Eine Buchung aufgrund einer E-Commerce- Transaktion wird nicht durch die Unterschrift oder die digitale Signatur des Absenders bzw. durch die Verschlüsselungstechnik begründet, sondern durch den vom Empfänger als buchungspflichtig erkannten Inhalt der übermittelten Daten. Allerdings ist eine digitale Signatur des Absenders bzw. eine Verschlüsselung der Daten insbesondere in Bereichen mit erhöhten Sicherheitsanforderungen zu empfehlen. Ebenso können digitale Signaturen und Datenverschlüsselungen unverzichtbar sein, wenn anderenfalls eine Akzeptanz der übermittelten Daten nicht begründet werden kann. Dokument: idw rs fait 2 Seite 9 von 37

10 (34) Sofern E-Commerce-Geschäftprozesse automatisierte Buchungen auf Grundlage der übermittelten Transaktionsdaten auslösen und ein Nachweis durch konventionelle Belege nicht erbracht werden kann, ist die Belegfunktion über den verfahrensmäßigen Nachweis des Zusammenhangs zwischen der jeweiligen E-Commerce-Transaktion und ihrer Buchung zu erfüllen. Nach IDW RS FAIT 1, Tz. 35 sind nachfolgende Anforderungen zu erfüllen: Dokumentation der programminternen Vorschriften zur Generierung der Buchungen Nachweis, dass die in der Dokumentation enthaltenen Vorschriften einem autorisierten Änderungsverfahren unterlegen haben (u.a. Zugriffsschutz, Versionsführung, Test- und Freigabeverfahren) Nachweis der Anwendung des genehmigten Verfahrens sowie Nachweis der tatsächlichen Durchführung der einzelnen Buchung Journal- und Kontenfunktion (35) Das Buchführungsverfahren muss gewährleisten, dass die buchungspflichtigen Geschäftsvorfälle sowohl in zeitlicher Ordnung (Journalfunktion) als auch in sachlicher Ordnung (Kontenfunktion) dargestellt werden können. Die Daten müssen innerhalb angemessener Zeit festgestellt und optisch lesbar gemacht werden können ( 239 Abs. 4 HGB). (36) Im Rahmen des E-Commerce gilt diese Forderung in gleicher Weise für die Konvertierung und die Verarbeitung der rechnungslegungsbezogenen Daten in den E-Commerce- Anwendungen. So ist sicherzustellen, dass die versandten bzw. empfangenen Daten chronologisch aufgezeichnet werden sowie die sachliche Ordnung bei Transaktionen mit mehreren Transaktionsschritten gewahrt bleibt. (37) Die Erfüllung der Journalfunktion kann durch eine auswertbare Speicherung (Einzelnachweis) der Buchung im E-Commerce-System bei Sammelbuchungen in das Rechnungslegungssystem übertragen werden. Voraussetzung dafür ist, dass im Rahmen des E-Commerce-Systems die Ordnungsmäßigkeitsanforderungen an die Buchführung eingehalten werden. Sofern keine Autorisierung im E-Commerce-System erfolgt, sind die erfassten Daten als Erfassungsprotokolle und nicht als Journale einzustufen [7] Dokumentation (38) Für die Verfahrensdokumentation von E-Commerce-Systemen gelten die allgemeinen Anforderungen an die Dokumentation von IT-Systemen entsprechend [8]. Aufbau, Inhalt und Umfang der Verfahrensdokumentation müssen es einem sachverständigen Dritten ermöglichen, das Rechnungslegungsverfahren in angemessener Zeit nachvollziehen zu können. (39) Den Schwerpunkt der Verfahrensdokumentation beim Einsatz von E Commerce bildet die Beschreibung der technischen Einrichtungen und Verfahren zur Verarbeitung und Übertragung der Daten (z.b. Ver- und Entschlüsselung). Dies sind z.b.: Beschreibung der eingesetzten Hard- und Software (z.b. Router, Firewall und Virenscanner) Darstellung der Netzwerkarchitektur, insbesondere die Anbindung an einen ISP Dokument: idw rs fait 2 Seite 10 von 37

11 Beschreibung der zur Übertragung verwendeten Protokolle (z.b. TCP/IP) Beschreibung der verwendeten Verschlüsselungsverfahren Beschreibung der eingesetzten Signaturverfahren Datenflusspläne vom Eingang der Daten im Unternehmen bis zu den weiterverarbeitenden Rechnungslegungssystemen Beschreibung der Schnittstellen sowie der darauf bezogenen Kontrollen bei mit dem Rechnungslegungssystem nicht integrierten E-Commerce-Systemen Dokumentation der Autorisierungsverfahren einschließlich der Verfahren zur Generierung automatisierter Buchungen Beschreibung der Rechte und Pflichten von beauftragten Providern nebst den vertraglichen Vereinbarungen. (40) Neben den technischen Gegebenheiten sind in der Verfahrensdokumentation auch die organisatorischen Maßnahmen und insbesondere die Kontrollen zur Gewährleistung der Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce zu beschreiben. Hierzu rechnen beispielsweise Beschreibungen zur Selektion und Protokollierung der rechnungslegungsrelevanten Geschäftsvorfälle aus den empfangenen Daten, Abstimmung der vollständigen, richtigen und zeitgerechten Verarbeitung der empfangenen Daten, manuellen Nachkorrektur unvollständiger oder nicht formatgerechter Daten Aufbewahrungspflichten (41) Nicht alle im Zusammenhang mit E-Commerce-Aktivitäten stehenden Daten sind aufbewahrungspflichtig. Gemäß 257 HGB umfasst die Aufbewahrungspflicht die empfangenen und abgesandten Handelsbriefe, Buchungsbelege sowie zum Verständnis der Buchführung erforderlichen Arbeitsanweisungen und sonstige Organisationsunterlagen. (42) Die empfangenen Daten gelten als empfangener Handelsbrief, sofern diese ein Handelsgeschäft betreffen. Sie sind analog 257 Abs. 1 Nr. 2 i.v.m. Abs. 4 HGB für eine Dauer von sechs Jahren aufzubewahren. Um die Beweiskraft der empfangenen Daten sicherzustellen, müssen technische und organisatorische Vorkehrungen gewährleisten, dass ein Verlust oder eine Veränderung des Originalzustands der übermittelten Daten (Originaldaten) über den Zeitraum der gesetzlichen Aufbewahrungsfrist verhindert wird. Werden Konvertierungs- bzw. Signatur- oder Verschlüsselungsverfahren eingesetzt, so ist durch den Buchführungspflichtigen sicherzustellen, dass durch das eingesetzte Konvertierungs- bzw. Entschlüsselungsverfahren die Integrität der in eine lesbare Form überführten Daten (Inhouse-Format), die Authentizität des verwendeten Schlüssels sowie die Unveränderlichkeit der im Inhouse-Format gespeicherten Daten während der gesetzlichen Aufbewahrungsfrist gewährleistet werden. Soweit ein nachweislich zuverlässiges Konvertierungs- bzw. Entschlüsselungsverfahren eingesetzt wird, genügt die Archivierung im Inhouse-Format. Eine redundante Datenhaltung ist in diesem Fall nicht erforderlich. (43) Werden die Originaldaten in verschlüsselter Form gespeichert, sind Schlüssel und Algorithmen zur Entschlüsselung während der gesamten Aufbewahrungsfrist vorzuhalten. Ebenso muss es im Rahmen der Archivierung der zur Entschlüsselung verwendeten Verfahren möglich sein, die Daten in angemessener Zeit lesbar zu machen. Soweit die in verschlüsselter Dokument: idw rs fait 2 Seite 11 von 37

12 Form gespeicherten eingehenden Handelsbriefe Belegfunktion besitzen, ist zusätzlich eine Archivierung im Inhouse-Format notwendig, also in dem Format und in der Form, in denen der Handelsbrief bei Autorisierung des Geschäftsvorfalls vorgelegen hat. (44) Die Aufbewahrungsfrist für die Daten mit Belegfunktion beträgt gemäß 257 Abs. 1 Nr. 4 i.v.m. Abs. 4 HGB zehn Jahre. (45) Vor dem Hintergrund der mit Wirkung ab dem 1. Januar 2002 in Kraft getretenen Änderung der Abgabenordung und dem in diesem Zusammenhang erlassenen BMF-Schreiben "Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU) wird auf die besonderen Aufbewahrungsanforderungen für Abrechnungen i.s.d. 14 Abs. 4 Satz 2 UStG und für sonstige aufbewahrungspflichtige Unterlagen i.s.d. 147 Abs. 1 AO hingewiesen. Diese Anforderungen betreffen Unterlagen, die in digitalisierter Form übermittelt werden und für die Besteuerung von Bedeutung sind. Nach Auffassung der Finanzverwaltung sind derzeit - abweichend von den handelsrechtlichen Anforderungen - empfangene Daten in ihrer ursprünglichen Form (Originaldaten) und bei Konvertierung in ein unternehmenseigenes Format (Inhouse-Format) auch in der umgewandelten Form zu archivieren. Diese Anforderung besteht unabhängig davon, ob ein zuverlässiges Konvertierungsverfahren eingesetzt wird. Werden Signatur- bzw. Verschlüsselungsverfahren eingesetzt, so sind die verwendeten Schlüssel und Algorithmen ebenfalls während der gesetzlichen Aufbewahrungsfrist vorzuhalten und sowohl die in verschlüsselter Form erhaltenen Daten als auch die entschlüsselte Form aufzubewahren. Dies gilt unabhängig davon, ob ein zuverlässiges Entschlüsselungsverfahren eingesetzt wird. Aufgrund der steuerrechtlichen Anforderungen kann es deshalb derzeit geboten sein, die Daten redundant, d.h. in der ursprünglichen und in der lesbaren (sog. Inhouse-Format) Form zu archivieren. Auf die darüber hinaus bestehenden zusätzlichen Aufbewahrungspflichten im Zusammenhang mit Abrechnungen i.s.d. 14 Abs. 4 Satz 2 UStG wird hingewiesen. (46) Sofern versandte Daten abgesandten Handelsbriefen gleichzusetzen sind, ergeben sich keine Besonderheiten gegenüber herkömmlichen Verfahren, da 257 Abs. 1 Nr. 3 i.v.m. Abs. 3 Nr. 1 HGB lediglich eine inhaltliche Wiedergabe fordert. Die Verfahrensdokumentation beim Einsatz von E-Commerce ist gemäß 257 Abs. 1 Nr. 1 i.v.m. Abs. 4 HGB zehn Jahre aufzubewahren Aufbewahrungspflichten beim Einsatz von EDI (47) Ebenso wie beim E-Commerce stellt sich generell bei der elektronischen Datenübermittlung die Frage, wie die ausgetauschten elektronischen Nachrichten zu behandeln sind, um den Aufbewahrungspflichten gerecht zu werden. Grundsätzlich sind eingehende EDI-Nachrichten insoweit aufbewahrungspflichtig, als Daten, die über dieses standardisierte Verfahren übermittelt werden, Handelsbrief- oder Belegfunktion entfalten. (48) Zur Archivierung von EDI-Daten, die durch den Empfänger akzeptiert (autorisiert) wurden, bestehen keine besonderen Anforderungen an ein bestimmtes Aufbewahrungsformat. (49) Soweit eine EDI-Nachricht Belegfunktion hat, hat die Archivierung im Inhouse-Format zu erfolgen (vgl. Tz. 42). Das zur Archivierung von EDI-Daten verwendete Verfahren muss sicherstellen, dass die Daten in angemessener Zeit lesbar gemacht werden können. Dies kann bei der getrennten Speicherung von Schlüsseldateien und EDI-Nachricht über einen längeren Dokument: idw rs fait 2 Seite 12 von 37

13 Zeitraum schwierig sein, da hierfür eine exakte Historienführung der Stammdatenänderung Voraussetzung ist. 6. Einrichtung eines E-Commerce-Systems (50) Um die Unternehmensziele zu erreichen und erkannte Risiken zu bewältigen, stimmen die gesetzlichen Vertreter ihre IT-Strategie mit der Unternehmensstrategie ab. Hierfür ist ein angemessenes IT-Kontrollsystem einzurichten. (51) Gegenstand der IT-Strategie ist auch der Einsatz von E-Commerce-Systemen. Daher sind die E-Commerce-Aktivitäten in den Rahmen der IT-Strategie zu integrieren und auch in das Sicherheitskonzept einzubeziehen. Die Überwachung der Umsetzung der IT-Strategie und die Implementierung eines angemessenen und wirksamen IT-Kontrollsystems ist Aufgabe der gesetzlichen Vertreter. (52) Das Sicherheitskonzept umfasst eine Gefährdungs- bzw. Risikoanalyse sowie daraus abgeleitet die Festlegung des angemessenen Sicherheitsniveaus und die sich daraus ergebenden zusätzlichen Sicherungsmaßnahmen. Es muss daher in Übereinstimmung mit der IT-Strategie und der IT-Organisation stehen und eine Bewertung der spezifischen Sicherheitsrisiken der E-Commerce-Aktivitäten des Unternehmens enthalten. Ein solches Sicherheitskonzept wird durch Ausführungsanweisungen etwa im Bereich des IT-Betriebs, des Netzbetriebs und der Administration sowie bei der Gestaltung von Zugriffsschutzverfahren konkretisiert. (53) Wenn Unternehmen ganz oder teilweise Elemente des E-Commerce-Systems auslagern, müssen die gesetzlichen Vertreter beurteilen, wie sich dies auf das IT-Kontrollsystem auswirkt. Die Verantwortlichkeit der gesetzlichen Vertreter des Unternehmens erstreckt sich in diesem Fall auch auf die ausgelagerten Teile des IT-Systems. Insbesondere für Unternehmen, deren Geschäftstätigkeit ausschließlich oder überwiegend E- Commerce umfasst, können die damit verbundenen IT-Risiken bestandsgefährdend sein. Sie müssen deshalb im Risikofrüherkennungssystem festgestellt, analysiert und bewertet werden. Die risikobezogenen Informationen sind in systematisch geordneter Weise an die verantwortlichen Personen weiterzuleiten [9] Das IT-Umfeld bei Einsatz von E-Commerce-Systemen (54) Voraussetzung für ein geeignetes IT-Umfeld beim E-Commerce ist eine angemessene Grundeinstellung zum Einsatz von E-Commerce und ein Problembewusstsein für mögliche Risiken aus dem Einsatz von E Commerce-Systemen bei den gesetzlichen Vertretern und den Mitarbeitern. Dies betrifft insbesondere ein ausgeprägtes Bewusstsein für die Sicherheitsrisiken bei der Nutzung des Internets in der Unternehmensorganisation. Dieses ist zugleich eine wesentliche Bedingung für die angemessene Umsetzung des Sicherheitskonzepts. Soweit kein hinreichendes Sicherheitsbewusstsein vorhanden ist, besteht das Risiko, dass die zur Vermeidung von E-Commerce-Risiken umgesetzten Maßnahmen ganz oder teilweise unwirksam bleiben Die IT-Organisation bei Einsatz von E-Commerce-Systemen Dokument: idw rs fait 2 Seite 13 von 37

14 (55) Die IT-Organisation umfasst auch die Verantwortlichkeiten und Kompetenzen im Zusammenhang mit dem Einsatz von E-Commerce-Systemen im Unternehmen. Sie beinhaltet insbesondere organisatorische und dem Betrieb angemessene Sicherungs- und Schutzverfahren (z.b. Einsatz von Firewalls zum Schutz vor unautorisierten Systemzugriffen, Einsatz von Intrusion Detection Systemen zur Aufdeckung von unerlaubten Angriffen, Einsatz von kryptographischen Verfahren zur Vermeidung von Datenmanipulationen u.a.). (56) Die Anforderungen an die Gestaltung der IT-Organisation betreffen die Aufbau- und Ablauforganisation des E-Commerce-Systems. Im Rahmen der Aufbauorganisation werden die Verantwortlichkeiten und Kompetenzen im Zusammenhang mit dem Einsatz von E- Commerce-Systemen geregelt. Die Ablauforganisation betrifft sowohl die Organisation der Entwicklung, Einführung und Änderung als auch die Steuerung des Einsatzes von E- Commerce-Anwendungen unter Berücksichtigung des Grundsatzes der Funktionstrennung. Auch im Rahmen des E-Commerce-Betriebs müssen Aufgaben, Kompetenzen und Verantwortlichkeiten der Mitarbeiter klar definiert sein. Übliche Instrumente hierfür sind Prozess- und Funktionsbeschreibungen oder Organisationshandbücher E-Commerce-Infrastruktur (57) Die E-Commerce-Infrastruktur umfasst die technischen Ressourcen und die Regelungen des IT-Betriebs im Bezug auf den Einsatz des E-Commerce-Systems. Dies schließt die notwendige Systemsoftware sowie sonstige Hilfsprogramme ein, "die zur Verbindung des IT-Systems mit öffentlichen Netzen, dritten Anwendern und Unternehmen dienen und "den ordnungsmäßigen und sicheren Einsatz von E-Commerce-Anwendungen durch geeignete Schutz- und Steuerungsmaßnahmen unterstützen. Die E-Commerce-Infrastruktur umfasst damit typischerweise Komponenten wie z.b. Web- Server, Firewall-Systeme als Schutzvorrichtung, Router zur Steuerung des Datenflusses sowie die für die E-Commerce-Dienste erforderliche Software (z.b. Web-Applikationen und Directory Services; http- und Mail-Services sowie Betriebssysteme). Weitere Hilfsprogramme, die z.b. dem Virenschutz oder der Überwachung von Angriffen von außen dienen (Intrusion-Detection- Programme), sind ebenfalls der E Commerce-Infrastruktur zuzuordnen. (58) Die technischen Ressourcen und die Verfahren für einen sicheren und geordneten IT- Betrieb sollen insbesondere die Integrität und Verfügbarkeit des E Commerce-Systems auf der Grundlage des Sicherheitskonzepts gewährleisten. (59) Die aus dem Sicherheitskonzept abgeleiteten Sicherungsmaßnahmen umfassen physische Sicherungsmaßnahmen und logische Zugriffskontrollen sowie Datensicherungs- und Auslagerungsverfahren. (60) IT-Grundlage für die Bereitstellung der E-Commerce-Anwendungen und damit für die Realisierung der E-Commerce-Aktivitäten im Internet sind Internet-Server, die entweder von den Unternehmen selbst betrieben oder von Internet-Service-Providern zur Verfügung gestellt werden. Dementsprechend sind Internet-Server wie die gesamte E-Commerce-Infrastruktur durch physische Sicherungsmaßnahmen zu schützen [10]. (61) Zur Absicherung des E-Commerce-Systems kommen Firewall-Systeme zum Einsatz. Sie dienen der Trennung des E-Commerce-Systems und des öffentlich zugänglichen Internets und schützen gegen Angriffe aus dem Internet. Firewall-Systeme bestehen aus einer Kombination Dokument: idw rs fait 2 Seite 14 von 37

15 von Hard- und Software, die als alleiniger Übergang zwischen dem E-Commerce-System des Unternehmens und dem davon zu trennenden Internet (TCP/IP-Netz) dient. Durch den Einsatz von speziellen Firewall-Komponenten (Application-Gateway/Packet-Filter) wird der Datentransfer auf unerwünschte Inhalte hin untersucht bzw. werden unerwünschte Zugriffe unterbunden. Die wesentlichen Hardware-Komponenten der E-Commerce-Infrastruktur sollten redundant ausgelegt sein. (62) Ein weiteres wesentliches Element der E-Commerce-Infrastruktur sind kryptographische Verfahren, die als Hardwarekomponenten oder Softwareprogramme die Integrität, Authentizität und Vertraulichkeit und damit die Ordnungsmäßigkeit und Sicherheit von Daten sicherstellen. (63) Bei den Datensicherungs- und Auslagerungsverfahren [11] ergeben sich beim Einsatz von E-Commerce-Systemen Besonderheiten, soweit diese im Outsourcing betrieben werden. Das Unternehmen muss daher sicherstellen, dass die von den Outsourcingpartnern eingesetzten Datensicherungs- und Auslagerungsverfahren angemessen sind und entsprechend durchgeführt werden. Dies erfordert einerseits zusätzliche interne Überwachungsmaßnahmen, andererseits explizite vertragliche Vereinbarungen und Service Level Agreements mit den Outsourcing-Partnern E-Commerce-Anwendungen (64) E-Commerce-Anwendungen bilden typischerweise diejenigen Funktionalitäten ab, die für eine Abbildung, Kommunikation und Verarbeitung von E Commerce-Geschäftsprozessen notwendig sind. Beim Empfänger sind dies die Funktionalitäten, die zur Realisierung der E-Commerce- Aktivitäten über das Internet sowie zur Übernahme und Verarbeitung der über das E- Commerce-System übermittelten Daten notwendig sind, bis diese in dem unternehmenseigenen Format (sog. Inhouse-Format) verarbeitungsfähig vorliegen. Beim Sender sind dies die Funktionalitäten, die die für den Versand über das Internet bestimmten Daten aufbereiten und über die E-Commerce-Infrastruktur übermitteln. Dementsprechend bilden E-Commerce-Anwendungen typischerweise Funktionalitäten der Präsentation, des Datentransfers sowie deren Aufbereitung im Rahmen von Shop-Systemen und elektronischen Marktplätzen ab oder sind auf die Abwicklung der Bestell- oder Auftragsabwicklungsvorgänge oder des Zahlungsverkehrs ausgerichtet. Soweit rechnungslegungsrelevante Funktionalitäten durch E Commerce-Anwendungen abgebildet werden, sind die Ordnungsmäßigkeitsanforderungen an die Buchführung einzuhalten; insbesondere muss die Beleg-, Journal- und Kontofunktion gewährleistet sein (vgl. IDW RS FAIT 1). (65) Bei dem Einsatz von E-Commerce-Anwendungen muss gewährleistet sein, dass die in der IT-Strategie in Bezug auf die Funktionalität dieser Anwendungen formulierten Anforderungen eingehalten werden. Neben der Einführung von anwendungsbezogenen IT-Kontrollen müssen generelle Kontrollen dafür sorgen, dass die E-Commerce-Anwendungen und die verarbeiteten rechnungslegungsrelevanten Daten den Ordnungsmäßigkeitsanforderungen entsprechen. Diese Forderung betrifft sowohl die Verarbeitungsfunktionalitäten als auch die sicherheitsrelevanten Funktionalitäten wie den Zugriffsschutz, die Sicherungs- und Wiederanlaufverfahren sowie die Programmentwicklung, -wartung und -freigabe [12]. Dokument: idw rs fait 2 Seite 15 von 37

16 6.5. E-Commerce Geschäftsprozesse (66) Die Implementierung von E-Commerce-Geschäftsprozessen führt prinzipiell zu einer ganzheitlichen Betrachtung und Analyse aller mit dem E-Commerce-Geschäftsprozess im Zusammenhang stehenden Wertschöpfungsprozesse, wobei operative Logistik- und Produktionsprozesse nur eine Teilmenge bilden. Insbesondere bei unternehmensübergreifenden E-Commerce-Geschäftsprozessen (Integration) kann es notwendig sein, Geschäftsprozesse, die externe Geschäftsbeziehungen betreffen, zu restrukturieren und neu auszurichten. Dabei ist es für eine sachgerechte Umsetzung der Unternehmensstrategie von entscheidender Bedeutung, dass die Einrichtung des E Commerce-Systems sowie der betroffenen E Commerce-Geschäftsprozesse in Übereinstimmung mit der IT-Strategie und dem Sicherheitskonzept erfolgt. (67) Insbesondere E-Commerce-Aktivitäten in Form der Transaktion und Integration führen dazu, dass Daten über betriebliche Aktivitäten direkt in das Rechnungslegungssystem und damit in die IT-gestützte Rechnungslegung einfließen. Komplexe E-Commerce-Geschäftsprozesse können mit ihren Teilprozessen mehrere funktionale Bereiche im Unternehmen mit nicht integrierten Bestandteilen von IT- Anwendungen bzw. der IT-Infrastruktur betreffen. Bei unternehmensübergreifenden Wertschöpfungsketten sind komplexe rechnungslegungsrelevante E-Commerce- Geschäftsprozesse durch eine direkte Übernahme der Transaktionsdaten vom Geschäftspartner in das E Commerce-System gekennzeichnet, was zu einer Vermeidung von Mehrfacherfassungen und Medienbrüchen führt. Damit verbunden ist die vermehrte Anbindung von IT-Anwendungen an das E-Commerce-System, die somit den Geschäftspartnern (so genannte "available-to-promise-applikationen") zur Bestätigung von Aufträgen oder Lieferzeitpunkten zur Verfügung gestellt werden. Hier birgt eine auf Teilsysteme ausgerichtete Analyse der Sicherheits- und Ordnungsmäßigkeitsrisiken sowie eine auf den Funktionsbereich isoliert ausgerichtete Implementierung des IT-Kontrollsystems die Gefahr, dass Risiken aus dem geschäftsprozessbedingten Datenaustausch zwischen den Teilsystemen unberücksichtigt bleiben. Damit im Zusammenhang steht auch die Gefahr einer mangelnden Berücksichtigung der systemtechnischen Zusammenhänge. Sie beinhaltet die Gefahr, dass bspw. Zugriffsrechte oder Datensicherungsmaßnahmen lediglich bezüglich der einzelnen IT-Teilsysteme und damit für den Teilprozess, jedoch nicht für den Gesamtprozess wirksam sind. (68) Beim Einsatz internetbasierter Kommunikationsprotokolle, wie z.b. TCP/IP, Datentransferformate wie bspw. XML (Extended Markup Language), XBRL (Extensible Business Reporting Language) oder im Falle von EDI bei der Nutzung strukturierter und normierter Datentransferformate, besteht aufgrund unzureichender implementierter Schnittstellen oder nicht sachgerecht konfigurierter Konvertierungsprogramme die Gefahr, dass Daten unvollständig oder unrichtig in das weiterzuverarbeitende Inhouse-Format überführt werden. Wesentliche Voraussetzung für eine vollständige und richtige Weiterverarbeitung im Rechnungslegungssystem ist die sachgerechte Implementierung von Schnittstellen- und Konvertierungsprogrammen, deren korrekte Funktionsweise durch prozessintegrierte Kontrollen und Sicherungsmaßnahmen zu gewährleisten ist. In diesem Zusammenhang kommt der Protokollierung des Datentransfers auf Schnittstellenebene besondere Bedeutung zu. Neben einer automatischen Protokollierung ist die Einrichtung von Eskalationsverfahren sicherzustellen, die unvollständige bzw. fehlerbehaftete Transaktionsdatensätze ggf. automatisch an die verantwortliche Stelle zur Sachverhaltsklärung weiterleiten. Dokument: idw rs fait 2 Seite 16 von 37

17 6.6. Überwachung des IT-Kontrollsystems bei Einsatz von E-Commerce- Systemen (69) Unter der Überwachung des IT-Kontrollsystems beim Einsatz von E Commerce-Systemen ist die prozessunabhängige Beurteilung der Wirksamkeit des E-Commercere-relevanten IT- Kontrollsystems im Zeitablauf zu verstehen. Dabei ist zu beurteilen, ob das IT-Kontrollsystem sowohl angemessen ist als auch kontinuierlich funktioniert. Darüber hinaus haben die gesetzlichen Vertreter dafür Sorge zu tragen, dass festgestellte Mängel im IT-Kontrollsystem abgestellt werden. (70) IT-Kontrollsysteme sind beim Einsatz von E-Commerce-Systemen um diejenigen Grundsätze, Verfahren und Maßnahmen (Regelungen) zu ergänzen bzw. zu erweitern, die zur Bewältigung der IT-Risiken aus dem Einsatz der Durchführung von E-Commerce resultieren. Hierzu gehören Regelungen zur Steuerung des Einsatzes von E-Commerce im Unternehmen (internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem) [13]. (71) Zu den E-Commerce-bezogenen IT-Kontrollen zählen die prozessintegrierten Kontrollen und organisatorischen Sicherungsmaßnahmen (z.b. die Überprüfung von Dateiinhalten in der Firewall) ebenso wie die generellen Kontrollen, die sich auf das gesamte E-Commerce-System auswirken (z.b. im Rahmen der Entwicklung von E-Commerce-Anwendungen, Changemanagement). Die prozessunabhängigen Überwachungsmaßnahmen werden durch die Interne Revision oder durch unmittelbare Überwachungsmaßnahmen der gesetzlichen Vertreter durchgeführt. Dies erfolgt beispielsweise in der Form von Abweichungsanalysen bzw. anhand der Feststellung des Zielerreichungsgrades der umgesetzten IT-Strategie [14]. (72) Neben der Beurteilung der sachgerechten Umsetzung der IT-Strategie in Übereinstimmung mit der Unternehmensstrategie sind in regelmäßigen Abständen das Sicherheitskonzept und das eingerichtete IT-Kontrollsystem - insbesondere im Hinblick auf die sehr kurzen Innovationszyklen im Bereich der Sicherheitstechnologie - auf ihre Angemessenheit und Wirksamkeit hin zu überwachen. (73) Für die kontinuierliche Überwachung der Angemessenheit und Wirksamkeit des IT- Kontrollsystems bietet sich bspw. der Einsatz spezieller Programme ("Scanner") an, die systematisch nach Sicherheitslücken suchen. Zudem haben sich programmgestützte Angriffssimulationen (Penetration-Test-Verfahren) als nützlich erwiesen, die in systematischer Weise Angriffe auf das E Commerce-System simulieren. Damit können die im Rahmen der E- Commerce-Infrastruktur eingerichteten IT-Kontrollmaßnahmen unter Echtzeitbedingungen auf ihre Angemessenheit und Wirksamkeit überprüft werden ("Attack and Penetration"). Vor Einsatz von Scannern und der Simulation von Angriffen sind die damit verbundenen Gefahren im Bezug auf eine Beeinträchtigung der Verfügbarkeit des E-Commerce-Systems abzuwägen Internet-Service-Provider/Outsourcing (74) Typischerweise bedienen sich Unternehmen zur Abwicklung von E Commerce sog. Internet-Service-Provider (ISP), die ganz oder teilweise die Elemente des E-Commerce- Systems, wie z.b. Web-Server, den Zugang zum Internet sowie weitere Internetdienste (z.b. Website-Hosting) zur Verfügung stellen. Soweit ganz oder teilweise Elemente des E-Commerce-Systems ausgelagert werden, bleibt die Unternehmensführung für die Erfüllung der Anforderungen an die Ordnungsmäßigkeit und Sicherheit durch den ISP verantwortlich. Folglich hat die Unternehmensführung Dokument: idw rs fait 2 Seite 17 von 37

18 sicherzustellen, dass die diesbezüglichen Anforderungen beim Einsatz von E-Commerce durch den ISP gewährleistet werden [15]. (75) Da der Buchführungspflichtige auch nach Beendigung der vertraglichen Beziehungen mit dem ISP für die Einhaltung der Ordnungsmäßigkeits- und Sicherheitsanforderungen verantwortlich ist, kommt der Auswahl des ISP eine hohe Bedeutung zu. Es sollte darauf geachtet werden, dass die Einhaltung dieser Anforderungen im Detail vertraglich geregelt wird. Neben eindeutigen Regelungen der Verantwortlichkeiten zu den Aufbewahrungspflichten sollten insbesondere die Prüfungsrechte der unternehmenseigenen Internen Revision und des Abschlussprüfers im Voraus vertraglich fixiert werden. Darüber hinaus können sich durch die Einschaltung eines ISP weitere Fehlerrisiken ergeben, die im Rahmen von sog. Service Level Agreements (SLA), also durch vertragliche Vereinbarungen mit dem ISP (bspw. hinsichtlich der zugesicherten Verfügbarkeit der Dienste), zu adressieren sind. Deswegen empfiehlt es sich, vor Vertragsabschluss den ISP durch einen unabhängigen Sachverständigen auf seine Eignung hin beurteilen zu lassen und rechtlichen Rat bei der Vertragsgestaltung einzuholen. Anhang 1: Besonderheiten hinsichtlich der Risiken und Anforderungen beim Einsatz von E-Commerce 1. Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce (1) Grundsätzlich sind die Anforderungen hinsichtlich der Kriterien zur Beurteilung der Ordnungsmäßigkeit beim Einsatz von IT im IDW RS FAIT 1 dargestellt. (2) Ein zentrales E-Commerce-spezifisches Risiko ergibt sich insbesondere aus der Anbindung von E-Commerce-Systemen an öffentlich zugängliche Netzwerke (Internet). Hierdurch kann der Zugriff von unberechtigten Personen auf IT-Systeme und Daten ermöglicht und zum Nachteil des Unternehmens ausgenutzt werden (Manipulation von Systemen und Daten, Entwendung von vertraulichen Daten und Betriebsgeheimnissen, Gefährdung der Systemverfügbarkeit usw.). Dabei kann der Zugriff von Mitarbeitern des Unternehmens erfolgen oder durch Dritte, die sich von außen Zugang zum IT-System verschaffen. (3) Die konkrete Ausgestaltung des IT-Kontrollsystems zur Gewährleistung der nachfolgend angeführten Sicherheits- und Ordnungsmäßigkeitsanforderungen ist abhängig von der Risikosituation und dem Sicherheitskonzept, das den erforderlichen Grad an Informationssicherheit (Sicherheitsniveau) definiert. (4) Zur Risikoreduzierung werden nachfolgend Maßnahmen genannt, die jedoch nicht isoliert, sondern als Teil eines umfassenden Systems zur Vermeidung von IT-Risiken unter Einbeziehung der E-Commerce-Risiken zu betrachten sind. Voraussetzung für die Wirksamkeit der im Weiteren dargestellten Maßnahmen ist die Einrichtung von generellen IT-Kontrollen, insbesondere von verlässlichen Zugriffsschutzverfahren (Benutzerberechtigungskonzepten) sowie effektiven Change Management-Verfahren. (5) Die nachfolgend dargestellten Kommunikations- und Verarbeitungsrisiken sowie die zu ihrer Begegnung erforderlichen Maßnahmen basieren auf dem jetzigen Stand der Technik und können nicht als abschließend betrachtet werden. Darüber hinaus sind im Einzelfall weitere Risiken möglich, die die Ordnungsmäßigkeit und Sicherheit der Rechnungslegung beeinflussen können. Dokument: idw rs fait 2 Seite 18 von 37

19 2. Sicherheitsanforderungen 2.1. Integrität (6) Integrität von IT-Systemen ist gegeben, wenn Daten und Systeme vollständig und richtig zur Verfügung stehen und vor nicht autorisierten Änderungen und Manipulation geschützt sind. (7) Die Integrität der Daten kann durch nicht autorisierte Änderungen und Manipulationen bei der unverschlüsselten Übertragung über öffentlich zugängliche Netzwerke gefährdet sein. Ferner können auch technische Fehler bei der Übertagung auftreten, die zu einer unvollständigen oder unrichtigen Übermittlung der Daten auf dem Übertragungsweg führen. Kommunikationsrisiken Veränderungen bzw. Verlust von Daten auf der Übertragungsstrecke durch Manipulation, nicht autorisierte Änderungen sowie aufgrund des Auftretens von technischen Fehlern. Durch den Einsatz leistungsfähiger kryptografischer Verfahren und Techniken kann die Unveränderlichkeit der übermittelten Daten (sowie die Vertraulichkeit und auch Authentizität des Absenders, s. a.a.o.) gewährleistet werden. Überprüfbar wird die Integrität der übermittelten Daten durch den Einsatz von Prüfsummenverfahren (Message Digest) oder digitaler Signaturen. Das Dokument selbst kann dabei unverschlüsselt bleiben, die Prüfsumme wird jedoch unter Verwendung eines wirksamen Verschlüsselungsverfahrens (bspw. PKI) verschlüsselt. Integritätsverletzungen durch unberechtigte bzw. fehlerhafte Veränderungen des E-Commerce-Systems. Maßnahmen zum Schutz vor Änderungen und Zugriffen von unberechtigten Personen innerhalb des Unternehmens sind insbesondere physische und logische Zugriffsschutzmaßnahmen einschl. einer ordnungsmäßigen Berechtigungsverwaltung, deren Einhaltung regelmäßig zu überprüfen ist. Um Änderungen und Zugriffe zu erkennen, sind Zugriffsprotokollierungen, Prüfsummenverfahren, Plausibilitätskontrollen etc. einzusetzen, deren regelmäßige Auswertung sichergestellt sein muss. Zu Maßnahmen zum Schutz vor Veränderungen und Zugriffen von unberechtigten Personen außerhalb des Unternehmens siehe "Integritätsverletzungen durch nichtautorisierte Zugriffe von außen". Integritätsverletzungen durch nicht autorisierte Zugriffe von außen (z.b. durch Viren oder Hacker). Dabei lassen sich prinzipiell zwei Risikobereiche unterscheiden: E-Commerce-Infrastruktur (Systemsoftware): Zu den Maßnahmen zum Schutz vor unberechtigten Änderungen und Zugriffen von Personen außerhalb des Unternehmens gehören die Einrichtung eines Firewall- Systems, das das interne Netzwerk gegen unerlaubte Zugriffe abschirmt und der Betrieb von Virenschutzprogrammen. Neben dem Firewall-System sollten auch Vorrichtungen zur Überwachung der Zugriffe Dokument: idw rs fait 2 Seite 19 von 37