ADDISON Software & Service GmbH Ludwigsburg Prüfungsbericht über die Prüfung der Finanzbuchhaltungssoftware tse:nit (Version 3/2010 Build 13) und cs:plus (Version 3/2010 Build 13) Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft e
Inhaltsverzeichnis Seite 1. Auftrag und Auftragsdurchführung 1 2. Prüfungsgrundlagen 5 3. Gegenstand, Art und Umfang der Prüfung 7 4. Prüfung der notwendigen Verarbeitungsfunktionen 9 4.1. Belegfunktion 9 4.2. Journalfunktion 10 4.3. Kontenfunktion 11 4.4. Weitere Verarbeitungsfunktionen 12 4.4.1 Buchung 12 4.4.2 Sonstige Ordnungsprinzipien 13 4.4.3 Anlagenbuchhaltung 14 5. Prüfung der programmierten Verarbeitungsregeln 15 6. Prüfung der Softwaresicherheit 17 6.1. Differenzierung von Zugriffsberechtigungen 17 6.2. Prüfung der vorgesehenen Datensicherungs- und Wiederanlaufverfahren 17 6.3. Programmentwicklung, -wartung und -freigabe 18 7. Prüfung der Verfahrensdokumentation 21 7.1. Art und Umfang der Dokumentation 21 7.2. Hinweise für den Anwender 22 8. Prüfungsergebnis und Prüfungsvermerk 23 Anlage Allgemeine Auftragsbedingungen (IDW Stand: 1. Januar 2002) ITRA 0063/2011
1. Auftrag und Auftragsdurchführung Die ADDISON Software und Service GmbH, Ludwigsburg, hat uns mit Schreiben vom 02. September 2010 beauftragt, eine Vollprüfung der Finanzbuchhaltungssoftware tse:nit (Version 3/2010 Build 13) und cs:plus (Version 3/2010 Build 13) im Hinblick auf die Beachtung der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) durchzuführen. Für diesen Auftrag und damit im Zusammenhang stehende weitere Aufträge gelten, auch im Verhältnis zu Dritten, unsere als Anlage beigefügten Allgemeinen Auftragsbedingungen für Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften vom 1. Januar 2010. Wir verweisen ergänzend auf die dort in Ziffer 9 enthaltenen Haftungsregelungen und auf den Haftungsausschluss gegenüber Dritten sowie die weiteren Bestimmungen der beigefügten Anlage "Auftragsbedingungen, Haftung und Verwendungsvorbehalt". Wie aus der vorstehenden Beschreibung zu entnehmen ist, haften wir insbesondere nicht für Programmänderungen, die von uns nicht geprüft wurden, unsachgemäße Handhabung der Hard- und Software beim Endbenutzer, Eingabefehler und falsche Parametereingaben, Nichtbeachtung von Ordnungsmäßigkeitsvorschriften, die nicht mit der Software in unmittelbarem Zusammenhang stehen. Gegenüber den Erwerbern des Programms trifft uns keine unmittelbare Haftung. Der Auftraggeber verpflichtet sich, solchen Erwerbern, die von unserer Prüfung unterrichtet wurden, den Inhalt unserer Allgemeinen Auftragsbedingungen mitzuteilen. Für unsere Prüfung waren insbesondere von Bedeutung: handels- und steuerrechtliche Vorschriften für die Buchhaltung ( 238 ff. HGB und 145 ff. AO), IDW Prüfungsstandard: Erteilung und Verwendung von Softwarebescheinigungen (IDW PS 880), Stand 11. März 2010, IDW Prüfungsstandard: Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PS 330), Stand 24. September 2002, ITRA 0063/2011 1
IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1), Stand 24. September 2002, GoBS [vgl. Bundesministerium der Finanzen: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS), Bundessteuerblatt 1995, Teil 1, Nr. 18], GDPdU [vgl. Bundesministerium der Finanzen: Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), BMF-Schreiben vom 16. Juli 2001] und Beschreibungsstandard für die Datenträgerüberlassung Version 1.1 vom 1. August 2002 der Firma Audicon. Erläuterungen zur Speicherung und Beschreibung von Daten im Rahmen der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler unterlagen (GDPdU). Der Auftrag umfasste die Prüfung der wesentlichen, direkt für die Finanzbuchhaltung relevanten Bestandteile der Software, soweit diese für die Einhaltung der Ordnungsmäßigkeit gemäß den diesbezüglichen Anforderungen der Bundesrepublik Deutschland relevant sind. Zielsetzung des Auftrages war die Feststellung, ob die Einhaltung der Ordnungsmäßigkeitsanforderungen in der Bundesrepublik Deutschland möglich ist. Im Einzelnen wurden deshalb die buchhaltungsrelevanten Funktionen für das Modul Rechnungswesen in den Anwendungen tse:nit und cs:plus in folgenden Bereichen geprüft. In der Zentralakte wurden folgende Funktionen überprüft: Allgemeine Stammdaten Kanzleiverzeichnis Mitarbeiterliste Mandantenverzeichnis Devisenkurse Kontenrahmen Kontenrahmen Steuerschlüssel 2 ITRA 0063/2011
In der Mandantenakte wurden folgende Funktionen überprüft: Stammdaten Mandantenstammblatt Grundlagen Rechnungswesen Kontenrahmen Kundenstamm Lieferantenstamm Finanzbuchhaltung Buchungsliste Journal Kontenliste Kontenblätter Summen- und Saldenliste OP-Buchhaltung Offene Posten Liste Zahlungsverkehr Disposition Zahlungsausgang Disposition Zahlungseinzug Offene Zahlungen Erledigte Zahlungen Anlagenbuchhaltung Liste der Wirtschaftsgüter Monatliche Abschreibungsliste Abschreibungsverzeichnis Abschreibungsvorschau Anlagenspiegel Liste der Bewegungen ITRA 0063/2011 3
Jahresabschluss Bilanz o Bilanz o GuV Kontennachweis Bilanz Buchhaltungsrelevante Funktionen anderer Module haben wir auftragsgemäß nicht untersucht. 4 ITRA 0063/2011
2. Prüfungsgrundlagen Unsere Prüfung bezieht sich auf die Funktionalitäten des Rechnungswesens in tse:nit/cs:plus, Version 3/2010 Build 13. Die Testplattform, die selbst nicht Prüfungsgegenstand war, bestand aus folgenden Komponenten: Rechner: DELL, Intel Core i7 CPU 870, 2,93 GHz Betriebssystem: Windows 7 Professional, Version 6.1.7600 Software: MS Word / Excel 2010, tse:nit (Version: 3/2010 Build 13, Akten-Version: 10.0309.2901, Datenbank: 10.03.12) ITRA 0063/2011 5
3. Gegenstand, Art und Umfang der Prüfung Die Prüfung, über deren Umfang und Ergebnis wir im Folgenden berichten, führten wir in den Räumen von ADDISON tse:nit GmbH, im Folgenden ADDISON tse:nit genannt, in Salzwedel sowie ADDISON Software und Service GmbH, im Folgenden ADDISON genannt, in Ludwigsburg in der Zeit vom 02. November bis 09. Dezember 2010 durch. Erforderliche Unterlagen wie Programmunterlagen und Dokumentationen wurden uns von ADDISON tse:nit zur Verfügung gestellt. Auskünfte erteilten uns die hierfür durch ADDISON tse:nit benannten Personen. Die Prüfung bezieht sich auf alle für die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) relevanten Teile des Systems tse:nit/cs:plus Modul Rechnungswesen. Die Vollprüfung erstreckte sich auf alle für die Grundsätze ordnungsmäßiger Buchführung relevanten Teile der uns zur Verfügung gestellten Version der Software mit den jeweils vorgegebenen Einstellungen. Nach 239 Abs. 4 HGB ist die Führung von Büchern und sonst erforderlichen Aufzeichnungen auf Datenträgern zulässig, sofern diese Form der Buchführung den Grundsätzen ordnungsmäßiger Buchführung (GoB) entspricht. Generell sind somit für die elektronische Speicherung von rechnungslegungsrelevanten Unterlagen die GoBspezifierenden fachlichen Stellungnahmen zu beachten. Die Prüfung der Ordnungsmäßigkeit von tse:nit/cs:plus erfolgte unter Laborbedingungen. Dies bedeutet, dass die Prüfung nicht die in einer tatsächlichen Unternehmensumgebung vorhandene aufbau- und ablauforganisatorische Ebene des internen Kontrollsystems sowie die Art und Weise der Implementierung des Systems mit einbeziehen kann. Das Ergebnis dieser Prüfung kann sich daher nur isoliert auf die Anwendungssoftware unter der für die Testfirma vorgenommenen Systemparametrisierung erstrecken. Weiterhin wurde die Übereinstimmung der Anwenderdokumentation mit der Software überprüft. Die Prüfung wurde mithilfe von Testdaten durchgeführt. Hierfür wurde eine Reihe von typischen Geschäftsvorfällen über das System verarbeitet und die Ergebnisse kontrolliert. Um die Funktionsfähigkeit der programmierten Kontrollen zu testen, wurden auch unplausible oder falsche Daten und Datenkonstellationen eingegeben. Die Notwendigkeit der Untersuchung des Programm-Quellcodes ergab sich nicht. ITRA 0063/2011 7
Nicht Prüfungsgegenstand waren eine Untersuchung des Antwortzeitverhaltens sowie eventuell auftretende Performanceprobleme. Die Beurteilung der Software- Ergonomie ist nur insoweit Bestandteil des Auftrags, als sich Auswirkungen auf die Ordnungsmäßigkeit der Verarbeitung ergeben. Ferner war der Einfluss eines Releasewechsels auf die Ordnungsmäßigkeit nicht Bestandteil der Prüfung. 8 ITRA 0063/2011
4. Prüfung der notwendigen Verarbeitungsfunktionen Eine Software für die Buchführung muss sich vor allem daran messen lassen, ob sie die Anforderungen der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) erfüllt. Diese haben sich im Laufe der Zeit aus der betriebswirtschaftlichen Praxis, der Rechtsprechung, der Gesetzgebung und der Wissenschaft entwickelt. Ordnungsmäßige, computergestützte Buchführungssysteme sind solche, die unter Einbeziehung aller maschinellen und manuellen Verfahren eine vollständige, richtige, zeitgerechte und geordnete ( 239 Abs. 2 HGB) sowie für einen sachverständigen Dritten innerhalb angemessener Zeit nachvollziehbare ( 238 Abs. 1 HGB) Buchführung ergeben. Sie müssen insbesondere die Beleg-, Journal- und Kontenfunktion (Tz 2 der GoBS) erfüllen. Hierzu ist außerdem eine Dokumentation erforderlich, aus der Inhalt, Aufbau und Ablauf des Abrechnungsverfahrens ersichtlich sind. 4.1. Belegfunktion Die Belegfunktion stellt die Basis für die Beweiskraft der Buchführung dar. Sie ist der nachvollziehbare Nachweis über den Zusammenhang zwischen den unternehmensexternen und -internen buchungspflichtigen Vorgängen einerseits und dem gebuchten Inhalt in den Geschäftsbüchern andererseits. Selbstverständlich muss auch für Buchungen in DV-Buchführungen die Belegfunktion erfüllt sein. Die Erfüllung der Belegfunktion hängt im wesentlichen Maße von der Organisation des Belegwesens beim Benutzer ab und ist nur teilweise durch die Software sicherzustellen. Vor der Verbuchung von Buchungsvorgängen muss die Software für jeden Beleg folgendes sicherstellen: die Angaben des Buchungsbetrages (oder Mengen- und Wertangaben, aus denen sich der zu buchende Betrag ergibt), die Kontierung, den Buchungstext oder dessen Verschlüsselung, die Belegnummer bzw. das Ordnungskriterium für die Abfolge sowie das Beleg- und Buchungsdatum. ITRA 0063/2011 9
Die in tse:nit/cs:plus vorläufig sowie endgültig verbuchten Belege lassen sich jederzeit online anzeigen und drucken. Die Buchungserfassungsmaske (Buchungsmaschine) und die Buchungsliste stellen die Buchung nach den einzelnen Belegpositionen gegliedert dar. Die Felder Datum, Konto, Gegenkonto, Betrag und Buchungstext sind zwingend als Pflichtfelder definiert. Alle notwendigen und geforderten Informationen sind in den gespeicherten Buchungsbelegen enthalten. Der Buchungstext kann pro Belegposition angegeben werden. Die Belegnummernvergabe, welche die korrekte Wiedergabe der Reihenfolge der Buchungen sicherstellt, ist in tse:nit/cs:plus systemimmanent und kann vom Benutzer nicht verändert werden. Die Unveränderbarkeit der Buchführung wird in tse:nit/cs:plus durch die Festschreibung der Buchungen realisiert. Beim nachträglichen Aufheben der Monatssperre als Buchungsperiode wird die feste Verbuchung nicht wieder aufgehoben. Die Verantwortung für die Erfüllung der Belegfunktion liegt beim Buchführungspflichtigen, der durch organisatorische Maßnahmen die ordnungsmäßige Erfassung aller relevanten Elemente der Buchungsbelege sicherzustellen hat. Feststellung: Die Belegfunktion wird erfüllt. 4.2. Journalfunktion Der Nachweis der vollständigen, zeitgerechten und formal richtigen Erfassung der Geschäftsvorfälle kann durch Protokollierung auf verschiedenen Stufen des Verarbeitungsprozesses erbracht werden. Erfolgt die Protokollierung nicht bereits bei der Datenerfassung/-übernahme, sondern erst auf einer nachfolgenden Verarbeitungsstufe (z.b. maschineninterne Buchungsprotokolle), dann muss durch Maßnahmen/Kontrollen in dem Verfahren die Vollständigkeit der Geschäftsvorfälle von deren Entstehung bis zur Protokollierung sichergestellt sein. Die Software hat sicherzustellen, dass ein Ausdruck in der Reihenfolge der Buchungszeitpunkte, die jeweils erkennbar sein müssen, möglich ist. Hierzu ist auch nachzuweisen, dass die Software den Ausdruck des Buchungsstoffs oder eine Speicherung des Buchungsstoffs in Kombination mit Ausdruckbereitschaft unterstützt. 10 ITRA 0063/2011
Tse:nit/cs:Plus führt eine automatische Protokollierung des erfassten Buchungsstoffs durch. Durch die Berichtsfunktion Journal lassen sich alle Buchungen in chronologischer Reihenfolge anzeigen und ausdrucken. Es besteht die Möglichkeit, das Journal nach verschiedenen Sortierkritierien, wie z.b. für einen bestimmten Datumsbereich, anzeigen zu lassen bzw. zu drucken. Es ist vom Benutzer sicherzustellen, dass für die eingegebenen Buchungen und deren abschließende Festschreibung auch die Zeitgerechtigkeit ( 239 Abs. 2 HGB) eingehalten wird. Die in der Unternehmensumgebung vorhandenen aufbau- und ablauforganisatorischen Ebenen des internen Kontrollsystems sowie die Art und Weise der Pflege und Betreuung des Systems können Auswirkungen auf die Unveränderlichkeit und Vollständigkeit der Daten - welche in der Datenbank gespeichert sind - haben. Die Verantwortung hierfür liegt beim Benutzer. Feststellung: Die Journalfunktion wird erfüllt. 4.3. Kontenfunktion Die Ordnungsmäßigkeit bei Buchung verdichteter Zahlen auf Sach- und Personenkonten erfordert die Möglichkeit des Nachweises der in den verdichteten Zahlen enthaltenen Einzelposten. Die Erfüllung der Kontenfunktion erfordert die Darstellung der einzelnen Buchungen nach Konten und innerhalb der Konten wiederum nach Beleg- oder Buchungsdatum. Dementsprechend müssen folgende Angaben verfügbar sein: Kontenbezeichnung Nachweis der lückenlosen Blattfolge Kennzeichnung der Buchungen, Summen und Salden nach Soll und Haben Beleg-/Buchungsdatum Belegverweis Buchungstext oder dessen Verschlüsselung ITRA 0063/2011 11
Zum Nachweis der Vollständigkeit und lückenlosen Blattfolge werden die einzelnen Salden sowie die Gesamtsumme aller Konten errechnet. Mit Hilfe verschiedener Funktionen lassen sich Kontenblätter für Sach- und Personenkonten anzeigen und auch ausdrucken. Die einzelnen Berichte lassen sich gezielt für einzelne Zeiträume und Konten und in verschiedenen Formatierungen erstellen. Um darzustellen, dass auf ausgedruckten Kontenblättern ggf. Buchungen zu sehen sind, welche noch nicht festgeschrieben wurden, werden diese Buchungen mit einem Stern gekennzeichnet. Feststellung: Die Kontenfunktion wird erfüllt. 4.4. Weitere Verarbeitungsfunktionen 4.4.1 Buchung Die Ordnungsmäßigkeit einer Buchung ist dann gewährleistet, wenn sie vollständig, formal richtig, zeitgerecht und verarbeitungsfähig erfasst und gespeichert ist. Diese Prinzipien sind insbesondere durch die Erfüllung folgender Anforderungen an die Software sicherzustellen: Auf die gespeicherten Geschäftsvorfälle und Teile von diesen kann gezielt zugegriffen werden. Die Verarbeitungsfähigkeit der Buchungen ist über die Bearbeitungsstufen sichergestellt; dies setzt voraus, dass neben den Daten zum Geschäftsvorfall selbst auch die für die Verarbeitung erforderlichen Tabellendaten und Programme gespeichert sind. Um zu gewährleisten, dass alle für die nachfolgende Verarbeitung erforderlichen Merkmale einer Buchung vorhanden und plausibel sind, sind Vollständigkeitskontrollen (Mussfelder) und weitere Erfassungskontrollen (Datum, Konsistenz, Kontrollrechnung) eingerichtet. Insbesondere wird sichergestellt, dass die Merkmale für eine zeitliche Darstellung sowie eine Darstellung nah Sach- und Unterkonten gespeichert sind. Die Systemausgaben (z.b. Bildschirm- und Listenausgaben, Datenaufbereitung für Berichte oder Übertragungen) sind vollständig und richtig. 12 ITRA 0063/2011
Der Buchungsvorgang in tse:nit/cs:plus ist gebucht, sofern die zunächst vorläufig erfassten Buchungen endgültig festgeschrieben wurden. Bei Festschreibung einer Buchung wird vom System eine systeminterne Nummer vergeben, wodurch die Eindeutigkeit der Buchungen gewährleistet ist. In tse:nit/cs:plus sind zahlreiche Vollständigkeits- und Erfassungskontrollen eingerichtet und gewährleisten eine korrekte Verarbeitung der erfassten Daten. Durch die zahlreichen Einstellungsmöglichkeiten in den Eigenschaften der Buchungsliste können Felder der Datenerfassung benutzerspezifisch eingerichtet werden. Auf alle Geschäftsvorfälle kann gezielt zugegriffen werden und Systemausgaben am Bildschirm und in Listenform sind vollständig und richtig. Feststellung: Unsere Prüfung führte zu keinen Einwendungen. 4.4.2 Sonstige Ordnungsprinzipien Neben den GoB-bezogenen Funktionen ist durch die Software eine Reihe von Verarbeitungsfunktionen zu erfüllen, die von der besonderen Aufgabenstellung abhängen, z.b.: Mandantenfähigkeit, Import- und Exportmöglichkeiten von/zu anderen Programmen, Es ist zu untersuchen, ob die Software alle an sie gestellten fachlichen Anforderungen des jeweiligen Aufgabengebietes abdeckt. Weiterhin muss überprüft werden, ob insbesondere die laut Dokumentation vom Programm zu erfüllenden Verarbeitungsfunktionen implementiert und so ausreichend beschrieben sind, dass sie zweifelsfrei nachvollzogen werden können. Die Vollständigkeit der Verarbeitungsfunktion der zu prüfenden Software lässt sich anhand der Verfahrensdokumentation (z.b. Pflichtenheft oder Feinkonzept) prüfen. Aus der zugrunde liegenden Verfahrensdokumentation muss hierzu Inhalt, Aufbau und Ablauf des Abrechnungsverfahrens vollständig ersichtlich sein. ITRA 0063/2011 13
In tse:nit/cs:plus können verschiedene Mandanten angelegt und verwaltet werden (Mehrmandantenfähigkeit). Bei der Stammdatenanlage wird unterschieden zwischen übergeordneten und mandantenspezifischen Stammdaten. Stammdatenänderungen werden protokolliert. Der Benutzer ist in der Verantwortung diese Protokolle entsprechend nachvollziehbar zu archivieren. Feststellung: Unsere Prüfung führte zu keinen Einwendungen. 4.4.3 Anlagenbuchhaltung Die Anlagenbuchhaltung ist in tse:nit/cs:plus ein Bestandteil des Moduls Rechnungswesen. Es besteht eine Beziehung zwischen den Funktionen der Finanzbuchhaltung und der Anlagenbuchhaltung. Beim Verbuchen auf Konten des Anlagevermögens wird der Anwender zur Erfassung bzw. Änderung der entsprechenden Daten in der Anlagenbuchhaltung aufgefordert. In der Anlagekarte des Wirtschaftsgutes können alle GoB-relevanten Daten hinterlegt werden. Die Bezeichnung, das Anschaffungsdatum, die Art der Abschreibung sowie Nutzungsdauer sind Pflichtfelder und müssen für jedes Wirtschaftsgut gepflegt werden. Nach der Erfassung der Pflichtdaten wird vom System automatisch der Abschreibungsverlauf über die Nutzungsdauer berechnet. Durch die in der Anlagenbuchhaltung implementierte Optimierung, werden im Jahr des Zugangs die Nachkommastellen der Anschaffungs- bzw. Herstellungskosten und in nachfolgenden Jahren jeweils ganze Beträge abgeschrieben. Gegebenenfalls werden Abschreibungsbeträge in den einzelnen Jahren der Nutzungsdauer auf- und abgerundet, um ganze Beträge abzuschreiben. Die in der Anlagenbuchhaltung erfassten Daten zu den Wirtschaftsgütern werden in dem Anlagenspiegel korrekt abgebildet. Der Anlagenspiegel lässt sich jederzeit am Bildschirm anzeigen und auch drucken. Feststellung: Unsere Prüfung führte zu keinen Einwendungen. 14 ITRA 0063/2011
5. Prüfung der programmierten Verarbeitungsregeln Die Prüfung der programmierten Verarbeitungsregeln beinhaltet die Prüfung auf Richtigkeit der Programmabläufe, sachlogische Richtigkeit der programmierten Verarbeitungsregeln und auf Wirksamkeit der programminternen Plausibilitätskontrollen. So wurden insbesondere folgende Verarbeitungsregeln in die Prüfung einbezogen: Plausibilitätskontrollen, Umsatzsteuerermittlung, Summierungen und Saldierungen, Kontierung und Buchung, Konten- und Periodenzuordnung und Jahreswechsel. Die Prüfung von Umfang und Wirksamkeit maschineller Plausibilitätskontrollen umfasst sowohl Eingabekontrollen als auch maschinelle Kontroll- und Abstimmverfahren im Verarbeitungsablauf. Beide sollen als Teil des softwareunterstützten internen Kontrollsystems zur Sicherstellung der Verarbeitung vollständiger und richtiger Daten beitragen. Zu diesen Kontrollen zählen z.b.: Prüfung der Parameter zur Verarbeitungssteuerung, Prüfung der Felder u.a. auf gültige Formate und Einhaltung vorgegebener Grenzwerte, Prüfung der Existenz von eingegebenen Konten, Prüfung von Soll-Haben-Identität bei der Eingabe von Buchungssätzen, Nummerierung von Belegen zum Nachweis der Lückenlosigkeit/Eindeutigkeit, keine Löschungs- und Änderungsmöglichkeiten von bebuchten Konten, Kostenstellen und Buchungssätzen. ITRA 0063/2011 15
Diese programmierten Verarbeitungsregeln wurden in tse:nit/cs:plus vornehmlich mit Hilfe der Testfallmethode auf einem eigens eingerichteten Testmandanten geprüft. Dabei wurde ein selbst ausgearbeiteter Buchungsstoff verwendet, der alle üblicherweise in einem Wirtschaftsbetrieb anfallenden Geschäftsvorfälle widerspiegelt. Im Rahmen unserer Prüfung wurden zusätzliche Funktionalitäten wie z.b. die Importund Exportfunktionalitäten sowie Systemausgaben (z. B. Bildschirm-/Druckausgaben) im Hinblick auf oben genannte Angaben überprüft. Feststellung: Die Verarbeitungsregeln entsprechen den oben genannten Anforderungen. 16 ITRA 0063/2011
6. Prüfung der Softwaresicherheit Die Prüfung der Softwaresicherheit umfasst den Zugriffsschutz, die Datensicherungsund Wiederanlaufverfahren sowie die Beurteilung der Programmentwicklung, -freigabe und -wartung. 6.1. Differenzierung von Zugriffsberechtigungen Ziel der Prüfung der Differenzierung von Zugriffsberechtigungen ist die Feststellung, ob die Software die Möglichkeit der Funktionstrennung unterstützt. Im Einzelnen wurde untersucht, ob und inwieweit es die Anwendersoftware zulässt, durch Vergabe von Benutzerkennungen (User-IDs) und Passworten sowie die Zuordnung von Berechtigungen zu diesen, individuelle Benutzerprofile zu definieren und einzurichten, die es nur befugten Mitarbeitern ermöglichen, auf bestimmte Funktionen und Datenfelder zuzugreifen. Zugriffsberechtigungen auf Betriebssystemebene, Datenbank- und Netzwerkebene sind nicht Gegenstand unserer Untersuchung. Die Anforderungen an die Differenzierung von Zugriffsberechtigungen werden in tse:nit/cs:plus durch Kennung, Passwortschutz und Benutzerberechtigungen sichergestellt. Dabei ist es möglich, Benutzer zu definieren und ihnen Berechtigungen für das System, die Anwendung oder auch nur auf Teile zu gewähren. Die Verwendung des Zugriffschutzes sowie dessen Ausprägung liegt im Verantwortungsbereich des Benutzers. Feststellung: Unsere Prüfung führte zu keinen Einwendungen. 6.2. Prüfung der vorgesehenen Datensicherungs- und Wiederanlaufverfahren Die Datensicherung soll gewährleisten, dass bei einem Systemabsturz bzw. bei Verlust oder Vernichtung von Daten eine ordnungsgemäße Datenrekonstruktion durchgeführt werden kann. ITRA 0063/2011 17
Die Benutzer haben dies durch Maßnahmen auf Ebene der Datenbank und des Betriebssystems sicherzustellen. Eine entsprechende Dokumentation ist in der Online Dokumentation zu finden. Um den Benutzer hinsichtlich der Datensicherheit zu unterstützen, wird von tse:nit/cs:plus für die Datenbankpflege ein Tool mitgeliefert, über das Datenbankchecks und ggf. Datenbankreparaturen durchgeführt werden können. Die Datenbankpflege und die regelmäßigen inhaltlichen Prüfungen über die Pflegeprogramme hat ebenfalls der Benutzer sicherzustellen. Um die in tse:nit/cs:plus existierenden Datensicherungs- und Wiederanlaufverfahren zu testen, wurden Systemabstürze herbeigeführt. Anschließende Prüfungen des Datenbestandes auf der Datenbank sowie die Pflegeprogramme innerhalb der Applikation führten zu keiner Beanstandung. Diese Prüfung wurde unter Laborbedingungen durchgeführt. Dies bedeutet, dass die Prüfung nicht die in einer tatsächlichen Unternehmensumgebung vorhandene aufbau- und ablauforganisatorische Ebene des internen Kontrollsystems sowie die Art und Weise der Implementierung des Systems mit einbeziehen kann. Das Ergebnis dieser Prüfung kann sich daher nur isoliert auf die Anwendungssoftware unter der für den Testmandanten vorgenommenen Systemparametrisierung erstrecken. Feststellung: Unsere Prüfung führte zu keinen Einwendungen. 6.3. Programmentwicklung, -wartung und -freigabe Zur Beurteilung der Möglichkeiten einer künftigen Programmpflege sind die DVtechnischen Werkzeuge und die organisatorischen Maßnahmen bei der Programmentwicklung zu untersuchen. Die Beurteilung der Programmentwicklungsumgebung ist insbesondere dann erforderlich, wenn Bestandteile der Verfahrensdokumentation in der Entwicklungsumgebung generiert bzw. gespeichert werden. Weiterhin muss über die Entwicklungsumgebung bzw. über die Bibliotheksverwaltungsprogramme die notwendige Versionsführung nachgewiesen und die Änderungsdokumentation erstellt werden können. Freigabeverfahren und Wartungsmethoden sind im Hinblick auf mögliche Prüfungen späterer Programmversionen von Bedeutung. 18 ITRA 0063/2011
Programmänderungen und Neuentwicklungen werden im Entwicklungswerkzeug Axosoft OnTime 2010 vollständig erfasst und dokumentiert. Eventuelle Anfragen oder Programmweiterentwicklungen werden durch die Produktmanager fachlich und inhaltlich bewertet und ggf. an die zuständigen Entwickler weitergeleitet. Änderungen im Programmcode, die entsprechende Dokumentation, erfolgreiche Tests durch Entwickler und Produktmanagement sowie Freigaben, finale Abnahmen und die Versionierung der Software erfolgen ebenfalls innerhalb dieser Entwicklungsumgebung und werden dort nachvollziehbar dokumentiert. Feststellung: Die bei ADDISON tse:nit durchgeführte Programmentwicklung, -wartung und -freigabe entspricht den genannten Anforderungen. ITRA 0063/2011 19
7. Prüfung der Verfahrensdokumentation 7.1. Art und Umfang der Dokumentation Umfang und Aussagefähigkeit der Dokumentation einer Software sind wichtige Qualitätskriterien für Anwender und Prüfer. Die Verfahrensdokumentation besteht aus der Systemdokumentation und der Anwenderdokumentation. Sie ist erforderlich für die sachgerechte Handhabung und künftige Fortführung der Software. Eine sachgerechte Dokumentation ist die Voraussetzung für die Nachvollziehbarkeit und damit die Prüfbarkeit des Verfahrens. Die Vorgehensweise bei der Prüfung der Verfahrensdokumentation war zum einen geprägt durch analytische Prüfungshandlungen, welche die Prüfungsgrundsätze des IDW PS 880 im Hinblick auf: Vorhandensein der Verfahrensdokumentation, Vollständigkeit der Verfahrensdokumentation, Fehlerfreiheit der Verfahrensdokumentation, Verständlichkeit der Verfahrensdokumentation und der GoBS hinsichtlich genereller Aufgabenstellung, Beschreibung der Anwenderoberfläche, Beschreibung der Datenbestände, Beschreibung des Datenaustauschs, Beschreibung der maschinellen und manuellen Kontrollen, Beschreibung der Fehlerbehandlung, Schlüsselverzeichnissen und Arbeitsanweisungen, um dem Anwender die sachgerechte Erledigung und Durchführung seiner Aufgaben zu ermöglichen abdeckten. ITRA 0063/2011 21
Zum anderen haben wir die fachliche Richtigkeit der Verfahrensdokumentation geprüft. Hierbei sind wir einerseits so vorgegangen, dass wir die von uns geprüften Verarbeitungsregeln anhand der Dokumentation nachvollzogen haben. Andererseits sind wir in Stichproben neue Testfälle anhand der Dokumentation durchgegangen. Die Dokumentation ist bezüglich des Umfangs angemessen und inhaltlich vollständig. Feststellung: Unsere Prüfung führte zu keinen Einwendungen. 7.2. Hinweise für den Anwender Die Verfahrensdokumentation als Teil der DV-Buchführung gehört zu den Arbeitsanweisungen und sonstigen Organisationsunterlagen im Sinne des 257 Abs. 1 HGB bzw. 147 Abs. 1 AO und ist grundsätzlich 10 Jahre aufzubewahren. Unabhängig davon, ob die Verfahrensdokumentation ganz oder teilweise beim Anwender, beim Programmentwickler oder einem Dritten aufbewahrt wird, ist es erforderlich, dass diese dem Prüfer auf Verlangen in einer angemessenen Zeit zugänglich gemacht werden kann. Arbeitsanweisungen für den Anwender beinhalten u.a. eine Beschreibung der Aufgabenstellung, Informationen zur Datensicherheit, die Vorgehensweise bei Fehlerbehandlung sowie Verarbeitungsregeln einschließlich Kontroll- und Abstimmverfahren. Diese Dokumentation muss der Anwender erstellen. Des Weiteren ist der Anwender für organisatorische Maßnahmen und Vereinbarungen verantwortlich, die es einem sachverständigen Dritten ermöglichen, sich innerhalb angemessener Zeit ein Verständnis für das dokumentierte Verfahren zu verschaffen. Darüber hinaus weisen wir darauf hin, dass sich aus zivilrechtlichen Regelungen im Einzelfall längere Aufbewahrungsfristen ergeben. Diese sind vom jeweiligen Anwender zu berücksichtigen. 22 ITRA 0063/2011
8. Prüfungsergebnis und Prüfungsvermerk Auftragsgemäß haben wir für die Software tse:nit und cs:plus eine Vollprüfung des Moduls Rechnungswesen (Version 3/2010 Build 13) durchgeführt. Die Auskunftspersonen gaben uns bereitwillig die gewünschten Auskünfte und legten uns alle benötigten Unterlagen vor. Bei der Beurteilung der Frage, ob die geprüfte Software tse:nit und cs:plus in der Version 3/2010 Build 13 den Grundsätzen ordnungsmäßiger Buchführung entspricht, ist zu beachten, dass eine Softwareprüfung unter Laborbedingungen (statt in einer tatsächlichen Unternehmensumgebung) nicht die aufbau- und ablauforganisatorische Ebene des internen Kontrollsystems mit einbeziehen kann, sodass eine umfassende Beurteilung der Ordnungsmäßigkeit einer installierten Version hier nicht möglich ist. Das Ergebnis dieser Prüfung kann sich daher nur isoliert auf die Anwendungssoftware erstrecken und setzt voraus, dass die Abläufe im Unternehmen angemessen eingerichtet sind. Da zukünftige Programmänderungen die Ordnungsmäßigkeit der Software beeinflussen können, bezieht sich unsere Aussage nur auf die von uns geprüfte Version und die für Testzwecken vorgenommenen Einstellungen. Der Prüfung der Anwendung und der zugehörigen Benutzerdokumentation wurden die handelsrechtlichen Bestimmungen sowie der Prüfungsstandard IDW PS 880 des Instituts der Wirtschaftsprüfer zugrunde gelegt. Als Ergebnis unserer Prüfung stellen wir fest: Die von uns geprüfte Software tse:nit und cs:plus, jeweils in der Version 3/2010 Build 13, ermöglicht bei sachgerechter Anwendung und unter Berücksichtigung der ausgesprochenen Empfehlungen und der organisatorischen Lösungen für die Feststellungen eine den Grundsätzen ordnungsmäßiger Buchführung und den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme entsprechende Buchführung. Stuttgart, 1. Februar 2011 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft Andreas V. Muth Wirtschaftsprüfer/Partner Herbert Engelbrecht Partner ITRA 0063/2011 23
Allgemeine Auftragsbedingungen für Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften vom 1. Januar 2002 1. Geltungsbereich (1) Die Auftragsbedingungen gelten für die Verträge zwischen Wirtschaftsprüfern oder Wirtschaftsprüfungsgesellschaften (im nachstehenden zusammenfassend Wirtschaftsprüfer genannt) und ihren Auftraggebern über Prüfungen, Beratungen und sonstige Aufträge, soweit nicht etwas anderes ausdrücklich schriftlich vereinbart oder gesetzlich zwingend vorgeschrieben ist. (2) Werden im Einzelfall ausnahmsweise vertragliche Beziehungen auch zwischen dem Wirtschaftsprüfer und anderen Personen als dem Auftraggeber begründet, so gelten auch gegenüber solchen Dritten die Bestimmungen der nachstehenden Nr. 9. 2. Umfang und Ausführung des Auftrages (1) Gegenstand des Auftrages ist die vereinbarte Leistung, nicht ein bestimmter wirtschaftlicher Erfolg. Der Auftrag wird nach den Grundsätzen ordnungsmäßiger Berufsausübung ausgeführt. Der Wirtschaftsprüfer ist be - rech tigt, sich zur Durchführung des Auftrages sachverständiger Personen zu bedienen. (2) Die Berücksichtigung ausländischen Rechts bedarf außer bei betriebswirtschaftlichen Prüfungen der ausdrücklichen schriftlichen Vereinbarung. (3) Der Auftrag erstreckt sich, soweit er nicht darauf gerichtet ist, nicht auf die Prüfung der Frage, ob die Vorschriften des Steuerrechts oder Sondervorschriften, wie z. B. die Vorschriften des Preis-, Wettbewerbsbeschränkungsund Bewirtschaftungsrechts beachtet sind; das gleiche gilt für die Feststellung, ob Subventionen, Zulagen oder sonstige Vergünstigungen in Anspruch genommen werden können. Die Ausführung eines Auftrages umfaßt nur dann Prüfungshandlungen, die gezielt auf die Aufdeckung von Buchfälschungen und sonstigen Unregelmäßigkeiten gerichtet sind, wenn sich bei der Durchführung von Prüfungen dazu ein Anlaß ergibt oder dies ausdrücklich schriftlich vereinbart ist. (4) Ändert sich die Rechtslage nach Abgabe der abschließenden beru ichen Äußerung, so ist der Wirtschaftsprüfer nicht verp ichtet, den Auftraggeber auf Änderungen oder sich daraus ergebende Folgerungen hinzuweisen. 3. Aufklärungsp icht des Auftraggebers (1) Der Auftraggeber hat dafür zu sorgen, daß dem Wirtschaftsprüfer auch ohne dessen besondere Aufforderung alle für die Ausführung des Auftrages notwendigen Unterlagen rechtzeitig vorgelegt werden und ihm von allen Vorgängen und Umständen Kenntnis gegeben wird, die für die Ausführung des Auftrages von Bedeutung sein können. Dies gilt auch für die Unterlagen, Vorgänge und Umstände, die erst während der Tätigkeit des Wirtschaftsprüfers bekannt werden. (2) Auf Verlangen des Wirtschaftsprüfers hat der Auftraggeber die Vollständigkeit der vorgelegten Unterlagen und der gegebenen Auskünfte und Erklärungen in einer vom Wirtschaftsprüfer formulierten schriftlichen Erklärung zu bestätigen. 4. Sicherung der Unabhängigkeit Der Auftraggeber steht dafür ein, daß alles unterlassen wird, was die Unabhängigkeit der Mitarbeiter des Wirtschaftsprüfers gefährden könnte. Dies gilt insbesondere für Angebote auf Anstellung und für Angebote, Aufträge auf eigene Rechnung zu übernehmen. 5. Berichterstattung und mündliche Auskünfte Hat der Wirtschaftsprüfer die Ergebnisse seiner Tätigkeit schriftlich darzustellen, so ist nur die schriftliche Darstellung maßgebend. Bei Prüfungsaufträgen wird der Bericht, soweit nichts anderes vereinbart ist, schriftlich erstattet. Mündliche Erklärungen und Auskünfte von Mitarbeitern des Wirtschaftsprüfers außerhalb des erteilten Auftrages sind stets unverbindlich. 6. Schutz des geistigen Eigentums des Wirtschaftsprüfers Der Auftraggeber steht dafür ein, daß die im Rahmen des Auftrages vom Wirtschaftsprüfer gefertigten Gutachten, Organisationspläne, Entwürfe, Zeichnungen, Aufstellungen und Berechnungen, insbesondere Massen- und Kostenberechnungen, nur für seine eigenen Zwecke verwendet werden. 7. Weitergabe einer beru ichen Äußerung des Wirtschaftsprüfers (1) Die Weitergabe beru icher Äußerungen des Wirtschaftsprüfers (Berichte, Gutachten und dgl.) an einen Dritten bedarf der schriftlichen Zustimmung des Wirtschaftsprüfers, soweit sich nicht bereits aus dem Auftragsinhalt die Einwilligung zur Weitergabe an einen bestimmten Dritten ergibt. Gegenüber einem Dritten haftet der Wirtschaftsprüfer (im Rahmen von Nr. 9) nur, wenn die Voraussetzungen des Satzes 1 gegeben sind. (2) Die Verwendung beru icher Äußerungen des Wirtschaftsprüfers zu Werbezwecken ist unzulässig; ein Verstoß berechtigt den Wirtschaftsprüfer zur fristlosen Kündigung aller noch nicht durchgeführten Aufträge des Auftraggebers. 8. Mängelbeseitigung (1) Bei etwaigen Mängeln hat der Auftraggeber Anspruch auf Nacherfüllung durch den Wirtschaftsprüfer. Nur bei Fehlschlagen der Nacherfüllung kann er auch Herabsetzung der Vergütung oder Rückgängigmachung des Vertrages verlangen; ist der Auftrag von einem Kaufmann im Rahmen seines Handelsgewerbes, einer juristischen Person des öffentlichen Rechts oder von einem öffentlich-rechtlichen Sondervermögen erteilt worden, so kann der Auftraggeber die Rückgängigmachung des Vertrages nur verlangen, wenn die erbrachte Leistung wegen Fehlschlagens der Nacherfüllung für ihn ohne Interesse ist. Soweit darüber hinaus Schadensersatzansprüche bestehen, gilt Nr. 9. (2) Der Anspruch auf Beseitigung von Mängeln muß vom Auftraggeber unverzüglich schriftlich geltend gemacht werden. Ansprüche nach Abs. 1, die nicht auf einer vorsätzlichen Handlung beruhen, verjähren nach Ablauf eines Jahres ab dem gesetzlichen Verjährungsbeginn. (3) Offenbare Unrichtigkeiten, wie z. B. Schreibfehler, Rechenfehler und formelle Mängel, die in einer beru ichen Äußerung (Bericht, Gutachten und dgl.) des Wirtschaftsprüfers enthalten sind, können jederzeit vom Wirtschaftsprüfer auch Dritten gegenüber berichtigt werden. Unrichtigkeiten, die geeignet sind, in der beru ichen Äußerung des Wirtschaftsprüfers enthaltene Ergeb nisse in Frage zu stellen, berechtigen diesen, die Äußerung auch Dritten gegenüber zurückzunehmen. In den vorgenannten Fällen ist der Auftraggeber vom Wirtschaftsprüfer tunlichst vorher zu hören. 9. Haftung (1) Für gesetzlich vorgeschriebene Prüfungen gilt die Haftungsbeschränkung des 323 Abs. 2 HGB. (2) Haftung bei Fahrlässigkeit, Einzelner Schadensfall Falls weder Abs. 1 eingreift noch eine Regelung im Einzelfall besteht, ist die Haftung des Wirtschaftsprüfers für Schadensersatzansprüche jeder Art, mit Ausnahme von Schäden aus der Verletzung von Leben, Körper und Gesundheit, bei einem fahrlässig verursachten einzelnen Schadensfall gem. 54 a Abs. 1 Nr. 2 WPO auf 4 Mio. beschränkt; dies gilt auch dann, wenn eine Haftung gegenüber einer anderen Person als dem Auftraggeber begrün - det sein sollte. Ein einzelner Schadensfall ist auch bezüglich eines aus meh reren P ichtverletzungen stammenden einheitlichen Schadens gegeben. Der einzelne Schadensfall umfaßt sämtliche Folgen einer P ichtverletzung ohne Rücksicht darauf, ob Schäden in einem oder in mehreren auf einanderfolgen den Jahren entstanden sind. Dabei gilt mehrfaches auf gleicher oder gleichartiger Fehlerquelle beruhendes Tun oder Unterlassen als einheitliche P ichtverletzung, wenn die betreffenden Angelegenheiten miteinander in rechtlichem oder wirtschaftlichem Zusammenhang stehen. In diesem Fall kann der Wirtschaftsprüfer nur bis zur Höhe von 5 Mio. in Anspruch genommen werden. Die Begrenzung auf das Fünffache der Mindestversicherungssumme gilt nicht bei gesetzlich vorgeschriebenen P ichtprüfungen. (3) Ausschlußfristen Ein Schadensersatzanspruch kann nur innerhalb einer Ausschlußfrist von einem Jahr geltend gemacht werden, nachdem der Anspruchsberechtigte von dem Schaden und von dem anspruchsbegründenden Ereignis Kenntnis erlangt hat, spätestens aber innerhalb von 5 Jahren nach dem anspruchsbegründenden Ereignis. Der Anspruch erlischt, wenn nicht innerhalb einer Frist von sechs Monaten seit der schriftlichen Ablehnung der Ersatzleistung Klage erhoben wird und der Auftraggeber auf diese Folge hingewiesen wurde. Das Recht, die Einrede der Verjährung geltend zu machen, bleibt unberührt. Die Sätze 1 bis 3 gelten auch bei gesetzlich vorgeschriebenen Prüfungen mit gesetzlicher Haftungsbeschränkung. 52001 KND 1/2002
10. Ergänzende Bestimmungen für Prüfungsaufträge (1) Eine nachträgliche Änderung oder Kürzung des durch den Wirtschaftsprüfer geprüften und mit einem Bestätigungsvermerk versehenen Abschlusses oder Lageberichts bedarf, auch wenn eine Veröffentlichung nicht statt- ndet, der schriftlichen Einwilligung des Wirtschaftsprüfers. Hat der Wirtschaftsprüfer einen Bestätigungsvermerk nicht erteilt, so ist ein Hinweis auf die durch den Wirtschaftsprüfer durchgeführte Prüfung im Lagebericht oder an anderer für die Öffentlichkeit bestimmter Stelle nur mit schriftlicher Einwilligung des Wirtschaftsprüfers und mit dem von ihm genehmigten Wortlaut zulässig. (2) Widerruft der Wirtschaftsprüfer den Bestätigungsvermerk, so darf der Bestätigungsvermerk nicht weiterverwendet werden. Hat der Auftraggeber den Bestätigungsvermerk bereits verwendet, so hat er auf Verlangen des Wirtschaftsprüfers den Widerruf bekanntzugeben. (3) Der Auftraggeber hat Anspruch auf fünf Berichtsausfertigungen. Weitere Ausfertigungen werden besonders in Rechnung gestellt. 11. Ergänzende Bestimmungen für Hilfeleistung in Steuersachen (1) Der Wirtschaftsprüfer ist berechtigt, sowohl bei der Beratung in steuerlichen Einzelfragen als auch im Falle der Dauerberatung die vom Auftraggeber genannten Tatsachen, insbesondere Zahlenangaben, als richtig und vollständig zugrunde zu legen; dies gilt auch für Buchführungsaufträge. Er hat jedoch den Auftraggeber auf von ihm festgestellte Unrichtigkeiten hinzuweisen. (2) Der Steuerberatungsauftrag umfaßt nicht die zur Wahrung von Fristen erforderlichen Handlungen, es sei denn, daß der Wirtschaftsprüfer hierzu ausdrücklich den Auftrag übernommen hat. In diesem Falle hat der Auftraggeber dem Wirtschaftsprüfer alle für die Wahrung von Fristen wesentlichen Unterlagen, insbesondere Steuerbescheide, so rechtzeitig vorzulegen, daß dem Wirtschaftsprüfer eine angemessene Bearbeitungszeit zur Verfügung steht. (3) Mangels einer anderweitigen schriftlichen Vereinbarung umfaßt die laufende Steuerberatung folgende, in die Vertragsdauer fallenden Tätigkeiten: a) Ausarbeitung der Jahressteuererklärungen für die Einkommensteuer, Körperschaftsteuer und Gewerbesteuer sowie der Vermögensteuererklärungen, und zwar auf Grund der vom Auftraggeber vorzulegenden Jahresabschlüsse und sonstiger, für die Besteuerung erforderlicher Aufstellungen und Nachweise b) Nachprüfung von Steuerbescheiden zu den unter a) genannten Steuern c) Verhandlungen mit den Finanzbehörden im Zusammenhang mit den unter a) und b) genannten Erklärungen und Bescheiden d) Mitwirkung bei Betriebsprüfungen und Auswertung der Ergebnisse von Betriebsprüfungen hinsichtlich der unter a) genannten Steuern e) Mitwirkung in Einspruchs- und Beschwerdeverfahren hinsichtlich der unter a) genannten Steuern. Der Wirtschaftsprüfer berücksichtigt bei den vorgenannten Aufgaben die wesentliche veröffentlichte Rechtsprechung und Verwaltungsauffassung. (4) Erhält der Wirtschaftsprüfer für die laufende Steuerberatung ein Pauschalhonorar, so sind mangels anderweitiger schriftlicher Vereinbarungen die unter Abs. 3 d) und e) genannten Tätigkeiten gesondert zu honorieren. (5) Die Bearbeitung besonderer Einzelfragen der Einkommensteuer, Körperschaftsteuer, Gewerbesteuer, Einheitsbewertung und Vermögensteuer sowie aller Fragen der Umsatzsteuer, Lohnsteuer, sonstigen Steuern und Abgaben erfolgt auf Grund eines besonderen Auftrages. Dies gilt auch für a) die Bearbeitung einmalig anfallender Steuerangelegenheiten, z. B. auf dem Gebiet der Erbschaftsteuer, Kapitalverkehrsteuer, Grunderwerbsteuer, b) die Mitwirkung und Vertretung in Verfahren vor den Gerichten der Finanz- und der Verwaltungsgerichtsbarkeit sowie in Steuerstrafsachen und c) die beratende und gutachtliche Tätigkeit im Zusammenhang mit Umwandlung, Verschmelzung, Kapitalerhöhung und -herabsetzung, Sanierung, Eintritt und Ausscheiden eines Gesellschafters, Betriebsveräußerung, Liquidation und dergleichen. (6) Soweit auch die Ausarbeitung der Umsatzsteuerjahreserklärung als zusätzliche Tätigkeit übernommen wird, gehört dazu nicht die Überprüfung etwaiger besonderer buchmäßiger Voraussetzungen sowie die Frage, ob alle in Betracht kommenden umsatzsteuerrechtlichen Vergünstigungen wahrgenommen worden sind. Eine Gewähr für die vollständige Erfassung der Unterlagen zur Geltendmachung des Vorsteuerabzuges wird nicht übernommen. 12. Schweigep icht gegenüber Dritten, Datenschutz (1) Der Wirtschaftsprüfer ist nach Maßgabe der Gesetze verp ichtet, über alle Tatsachen, die ihm im Zusammenhang mit seiner Tätigkeit für den Auftraggeber bekannt werden, Stillschweigen zu bewahren, gleichviel, ob es sich dabei um den Auftraggeber selbst oder dessen Geschäftsverbindungen handelt, es sei denn, daß der Auftraggeber ihn von dieser Schweigep icht entbindet. (2) Der Wirtschaftsprüfer darf Berichte, Gutachten und sonstige schriftliche Äußerungen über die Ergebnisse seiner Tätigkeit Dritten nur mit Einwilligung des Auftraggebers aushändigen. (3) Der Wirtschaftsprüfer ist befugt, ihm anvertraute personenbezogene Daten im Rahmen der Zweckbestimmung des Auftraggebers zu verarbeiten oder durch Dritte verarbeiten zu lassen. 13. Annahmeverzug und unterlassene Mitwirkung des Auftraggebers Kommt der Auftraggeber mit der Annahme der vom Wirtschaftsprüfer angebotenen Leistung in Verzug oder unterläßt der Auftraggeber eine ihm nach Nr. 3 oder sonstwie obliegende Mitwirkung, so ist der Wirtschaftsprüfer zur fristlosen Kündigung des Vertrages berechtigt. Unberührt bleibt der Anspruch des Wirtschaftsprüfers auf Ersatz der ihm durch den Verzug oder die unterlassene Mitwirkung des Auftraggebers entstandenen Mehraufwendungen sowie des verursachten Schadens, und zwar auch dann, wenn der Wirtschaftsprüfer von dem Kündigungsrecht keinen Gebrauch macht. 14. Vergütung (1) Der Wirtschaftsprüfer hat neben seiner Gebühren- oder Honorarforderung Anspruch auf Erstattung seiner Auslagen; die Umsatzsteuer wird zusätzlich berechnet. Er kann angemessene Vorschüsse auf Vergütung und Auslagenersatz verlangen und die Auslieferung seiner Leistung von der vollen Befriedigung seiner Ansprüche abhängig machen. Mehrere Auftraggeber haften als Gesamtschuldner. (2) Eine Aufrechnung gegen Forderungen des Wirtschaftsprüfers auf Vergütung und Auslagenersatz ist nur mit unbestrittenen oder rechtskräftig festgestellten Forderungen zulässig. 15. Aufbewahrung und Herausgabe von Unterlagen (1) Der Wirtschaftsprüfer bewahrt die im Zusammenhang mit der Erledigung eines Auftrages ihm übergebenen und von ihm selbst angefertigten Unterlagen sowie den über den Auftrag geführten Schriftwechsel zehn Jahre auf. (2) Nach Befriedigung seiner Ansprüche aus dem Auftrag hat der Wirtschaftsprüfer auf Verlangen des Auftraggebers alle Unterlagen herauszugeben, die er aus Anlaß seiner Tätigkeit für den Auftrag von diesem oder für diesen erhalten hat. Dies gilt jedoch nicht für den Schriftwechsel zwischen dem Wirtschaftsprüfer und seinem Auftraggeber und für die Schriftstücke, die dieser bereits in Urschrift oder Abschrift besitzt. Der Wirtschaftsprüfer kann von Unterlagen, die er an den Auftraggeber zurückgibt, Abschriften oder Fotokopien anfertigen und zurückbehalten. 16. Anzuwendendes Recht Für den Auftrag, seine Durchführung und die sich hieraus ergebenden Ansprüche gilt nur deutsches Recht.