GPA-Mitteilung 5/2008

Ähnliche Dokumente
Fragebogen für das Abschlussgespräch

KUMAVISION Kundenforum 2017

Fach-Schulungen. Führungskraft, Organisation, Interessenten. Berechtigungs- Administrator. Dokumenten- Administrator. Anwender.

Die GoBD in der praktischen Umsetzung

GPA-Mitteilung 2/2000

DIGITALISIERUNG konkret: Let your WORK FLOW!

Kurztestat über die Softwarezertifizierung des Programms Fromm-FINA2000 bei Fromm & Co. GmbH Niedergörsdorf OT Seehausen

elektronische Rechnung (erechnung)

Workshop: Digitale Betriebsprüfung und Verfahrensdokumentation Teil 2

GPA-Mitteilung Bau 3/2007

Revisionssicherheit & Verfahrensdokumentation Rechte und Pflichten digitaler Archivierung unter Einhaltung der GoBD

Memorandum. Pelutschnig in Zib/Dellinger (Hrsg), Großkommentar UGB, Band III Teil 1, 190 Rz 11.

Revisionssicherheit Beilage zur Kundeninformation

Information zu den Themen GoBS / GDPdU / GoBD

Informationsmanagement im Gesundheitswesen

Datenschutzreform 2018

Die beigefügte Checkliste beruht auf Arbeitshilfen der Finanzverwaltung und dient dem Unternehmer zur Vorbereitung auf eine Betriebsprüfung.

3. Ergänzungsvereinbarung zur Grundlagenvereinbarung über die Einführung und Nutzung des integrierten HR IT Personalmanagementverfahrens - "KoPers"

Grundsätze zur ordnungsgemäßen Buchführung

Umsetzung der GoB bei Taxiunternehmen elektronische Einzelaufzeichnung

Abgabenordnung. Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme

GoDB - Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie Datenzugriff

VERFAHRENSDOKUMENTATION

GoBD und digitale Betriebsprüfung: Was Sie als Unternehmer jetzt dringend wissen müssen, bevor der Prüfer mit dem Laptop kommt.

GPA-Mitteilung 14/2003

interev GmbH Verfahrensdokumentation nach GoBD Wohl oder Übel?

DA Einsatz automatisierter Datenverarbeitungsprogramme in der Finanzbuchhaltung

SoDRisk. Die Software-Lösung für die Identifizierung kritischer Einzelberechtigungen und Berechtigungskombinationen in Ihrem SAP -System:

Prüfungsaspekte der E-Rechnung im Zuge von GoBD und Compliance

1. Ziel. 2. Zeitgerechte Erfassung der Belege. 3. Unveränderbarkeit von Buchungen. 4. Zeitpunkt der Festschreibung der Abrechnungsnummern

Archivierung von elektronischen Rechnungen

Die E-Rechnung im Lichte der GoBD. Stefan Groß Steuerberater CISA (Certified Information Systems Auditor)

Öffentlich-rechtliche Vereinbarung zur interkommunalen Zusammenarbeit im Bereich der automatisierten Datenverarbeitung

Maintenance & Re-Zertifizierung

Qualitätszeichen Baden-Württemberg Gesicherte Qualität mit Herkunftsangabe

GEMEINDEPRÜFUNGSANSTALT BADEN-WÜRTTEMBERG

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T

eines Dokumentenmanagement-, Workflow- und Archivierungs-Systems

BASWARE Compliance Services Compliance Readyness beim einvoicing

Geltende Umstellungsvorschriften für elektronische Registrierkassen ab 2017

GPA-Mitteilung 1/2010

Elektronische Rechnungen in der Umsetzung

NEOPOST BUSINESS BRUNCH

Mandanteninfo bezüglich Aufzeichnungs- und Aufbewahrungspflichten der digitalen Grundaufzeichnung (Kasse)

Haufe-Lexware GmbH & Co. KG, Freiburg

Qualitätszeichen Baden-Württemberg Gesicherte Qualität

Die Bedeutung elektronischer Medien für die Finanzverwaltung

Rechtssicher archivieren mit dem Barracuda Message Archiver. White Paper

Abrechnung von Verwaltungskosten (dezentral)

*Dr. Martin Panek und Franz-Xaver Betz sind Referent bzw. Sachbearbeiter für Betriebsprüfung im Bayerischen Landesamt für Steuern.

MERKBLATT KASSENBUCH RICHTIG FÜHREN

50% oder weniger ja 1%-Methode darf nicht angewendet werden

Prüfung der Informationstechnik im Rahmen der Abschlussprüfung

Ersetzendes Scannen GoBD-Verfahrensdokumentation und/oder TR-RESISCAN/TR-ESOR? 1 Markus Olbring

Revisionssichere Speicherung in der Öffentlichen Verwaltung. Status Quo und neue Entwicklungen

Elektronische Rechnung: Anforderungen nach den aktuellen Richtlinien

IDR Prüfungsleitlinie 111 "Die IKS-Prüfung in der Rechnungsprüfung" IDR Prüfungsleitlinie L 111 "Die IKS-Prüfung in der Rechnungsprüfung"

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Betriebliches Rechnungswesen Fachliche Grundlagen der Finanzbuchführung für Einsteiger

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Akkreditierung gemäß D -Gesetz

DE 098/2008. IT- Sicherheitsleitlinie

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

BSI TR (RESISCAN) Ersetzendes Scannen einfach und sicher

Anleitung zur Qualitätssicherung bei kleinen und mittelgrossen Revisionsunternehmen

CLIENT-/SERVERLÖSUNG FÜR DIE BEARBEITUNG VON GELD- UND WERTHINTERLEGUNGEN

Elektronische Rechnung: Anforderungen nach den aktuellen Richtlinien

Vertrag zur Hausarztzentrierten Versorgung gemäß 73 b Abs. 4 Satz 1 SGB V Anlage 1 mit der BIG direkt gesund in BW

FESS & PORN Wirtschaftsprüfer Steuerberater

Vertrag zur Integrierten Versorgung in der Rheumatologie gemäß 140 a SGB V Anlage 17

Allgemeine Finanzverwaltung (Einzelplan 60) 25 Kontrollverfahren kann Steuerausfälle kaum verhindern (Kapitel 6001 Titel ) 25.

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

Abrechnungszentrum Emmendingen An der B3 Haus Nr Emmendingen

Sanktionierte Interpretationen ("SIs") Häufig gestellte Fragen ("FAQs")

SV Gutachten laut Registrierkassensicherheitsverordnung (RKSV)

DMS-Workshop für Hochschulen

versiondog Lieferantenmanagement

Zertifizierung und Verfahrensdokumentation von digitalen Geschäftsprozessen. Referent: Dipl. Inform. Ralf Kaspras

MaRisk. Beratung zu MaRisk AT 7.2

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Prüfungsbericht. Westfälische Provinzial Versicherung Aktiengesellschaft Münster

GPA-Mitteilung 3/2005

Autoren... V Abkürzungsverzeichnis... XIII. 1 Einleitung... 1

Prüfungsbericht. Mecklenburgische Lebensversicherungs-AG Hannover

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 2.

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Gemeinsam erfolgreich. Voraussetzungen zulässiger Datenverarbeitung Erlaubnistatbestände der DSGVO Alexander von Chrzanowski Nürnberg

Ein Service der ekom21 KGRZ Hessen. Mit kompass21 in die Zukunft segeln. DAS BERICHTSWESEN UND CONTROLLING- SYSTEM FÜR IHRE VERWALTUNG.

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

Notes Datenbanken SOIT, Risikomanagement

Elektronische Rechnung aus Sicht des E-Governments Elektronische Rechnung aus Sicht des Haushalts, Kassen- und Rechnungswesens

Datenschutzreform 2018

Ihre Referentin. Mareike Holst COMMERZ KONTOR GMBH Steuerberatungsgesellschaft. Steuerfachangestellte, Diplom Sozialwirtin

Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI)

von Roger Jaquet, Business ControllingPartner AG Zürich, 3. September 2015

Verfahrensverzeichnis gemäß 7 LDSG (Stand )

Einsatz neuer Technologien - e-commerce und e-invoice aus der Sicht von Wirtschaftsprüfung und Steuerberatung. Northeim, 7.

MERKBLATT KASSENBUCH RICHTIG FÜHREN

Landesfeuerwehrschule BW: Beschaffung von Feuerwehrfahrzeugen. Manfred Hafner: Vergaben nach VOL/A Worauf kommts an, was sollten Sie wissen

Industrie 4.0, Dokumentation 0.5. Ein riskantes Delta

Transkript:

GPA-Mitteilung 5/2008 Az. 910.00 01.07.2008 Dokumentation von ADV-Verfahren 1 Ausgangslage Beim Einsatz von ADV-Verfahren muss nach 11 Abs. 1 Nr. 1 GemKVO (automatisierte Anordnungs- und Feststellungsverfahren) bzw. nach 23 Abs. 2 Nr. 1 GemKVO (Speicherbuchführung) sichergestellt sein, dass die eingesetzten gültigen Programme dokumentiert sind. Aus der Sicht der Programmprüfung wird der Inhalt einer solchen Dokumentation in der Praxis vielfach auf das reine Benutzerhandbuch, die Anleitung zum Einsatz des Verfahrens oder gar auf die erhaltenen Schulungsunterlagen reduziert. Eine Verfahrensdokumentation muss jedoch mehr als die Bedienungsanleitung enthalten. 1 Das ADV-Verfahren muss vielmehr anhand der Verfahrensdokumentation von einem sachverständigen Dritten hinsichtlich seiner formellen und sachlichen Richtigkeit in angemessener Zeit nachvollziehbar und damit prüfbar sein. Dies bezieht sich sowohl auf die Prüfbarkeit einzelner Geschäftsvorfälle (Einzelprüfung), als auch auf die Prüfbarkeit des Verfahrens als solches (Verfahrens- oder Systemprüfung). Aus der Dokumentation müssen Inhalt, Aufbau und Ablauf des Verfahrens vollständig ersichtlich sein. Nur dann kann ein Dritter beurteilen, ob das ADV-Verfahren auch entsprechend seiner Beschreibung (Dokumentation) angewendet worden ist bzw. eingesetzt wird. Gerade beim Einsatz von Standardsoftware ist dies von besonderer Bedeutung, da i.d.r. der gesamte Funktionsumfang nicht genutzt wird. Sind beispielsweise bestimmte Funktionalitäten nur für einzelne Bundesländer relevant bzw. rechtlich zulässig, so muss dies eindeutig aus der Dokumentation er- 1 Vgl. hierzu auch die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) zusammen mit Schreiben BMF v. 07.11.1995 - IV A 8 - S0316-52/95 - im BStBl. I 1995 S. 738 ff. veröffentlicht. Gemeindeprüfungsanstalt Baden-Württemberg 76133 Karlsruhe. Hoffstraße. 1a. Telefon 0721 / 8 50 05-0 70193 Stuttgart. Klopstockstraße 35. Telefon 0711 / 6 36 71-0 Nur für dienstlichen Gebrauch

Seite 2 sichtlich sein (pauschale Restebereinigung, Besonderheiten bei der Buchung von Umsatzsteuer usw.). Die Verfahrensdokumentation ist das Bindeglied zwischen Mensch und Maschine. Aus ihr muss deshalb hervorgehen, welche programmierten Kontrollen vorhanden sind, sodass auf dieser Grundlage die ggf. zusätzlich notwendigen organisatorischen Maßnahmen (z.b. Abgleich von Datenbeständen, nachträglich notwendige Stichproben) i.s. eines umfassenden Internen Kontrollsystems festgelegt werden können. In welcher Form hingegen eine Dokumentation vorliegt (ausdruckbares Anwenderhandbuch, Online-Hilfen usw.) ist dabei nicht entscheidend. Der Umfang der erforderlichen Dokumentation richtet sich nach der Komplexität des DV- Systems (z.b. Anzahl und Größe der Programme, Struktur ihrer Verbindungen untereinander, Nutzung von Tabellen), wobei auch bei komplexen ADV-Verfahren die Verfahrensdokumentation für einen sachverständigen Dritten verständlich sein muss. Dies bedeutet aber nicht, dass beispielsweise ein(e) Sachbearbeiter(in) in der Lage sein muss, die Programmierung anhand der Dokumentationsunterlagen vollständig nachvollziehen zu können. Vielmehr sind die Anforderungen an die einzelnen Dokumentationsunterlagen auf die jeweilige Zielgruppe (Programmierer, DV-Administrator, Anwender usw.) auszurichten. 2 Inhalte der Verfahrensdokumentation Die Dokumentationsunterlagen müssen folgende Inhalte aufweisen: 1. Beschreibung der sachlogischen und programmtechnischen Lösung, 2. Nachweis der Programmidentität, 3. Nachweis der Integrität der Daten. Die Beschreibung eines jeden der vorgenannten Bereiche muss den Umfang und die Wirkungsweise des Internen Kontrollsystems erkennbar machen. 2.1 Beschreibung der sachlogischen und programmtechnischen Lösung Die sachlogische Beschreibung enthält die Darstellung der fachlichen Aufgabe aus der Sicht des Anwenders. Die Beschreibung der programmtechnischen Lösung hat dann zu zeigen, wo und wie die sachlogischen Forderungen im Programm umgesetzt werden. Ta-

Seite 3 bellen, über die Funktionen der Programme beeinflusst werden können, sind wie Programme zu behandeln. Soweit dem Anwender konkrete Handlungen bzw. Verhaltensweisen abverlangt werden, sind diese in konkreten Handlungsanweisungen darzustellen. Insbesondere müssen folgende Bereiche beschrieben werden: Generelle Aufgabenstellung (quasi Soll-Vorgabe für die Programmierung) mit Art und Weise der programmtechnischen Umsetzung (hierzu gehören auch Angaben, welche Bereiche bewusst programmseitig nicht unterstützt werden), Anwenderoberflächen für Ein- und Ausgabe (z.b. Beschreibung der Eingabefelder, Maskenausdrucke), maschinelle und ggf. zusätzlich erforderliche manuelle Kontrollen (Plausibilitätsprüfungen, Fehler- bzw. Warnmeldungen, notwendige ergänzende organisatorische Maßnahmen), Verarbeitungsregeln (z.b. Programmreihenfolge bei Mahnläufen), Schlüsselverzeichnisse o.ä., erzeugbare Listen und Ausdrucke mit Angaben zur Art und Weise der Aufbereitung der Verarbeitungsergebnisse (z.b. auch möglicher Dateidownload und Weiterverarbeitung mit sog. Endbenutzerwerkzeugen), Datenbestände (auch Datensatzbeschreibung), Datenaustausch (z.b. Datenträgeraustausch/Datentransfer zu Banken), Schnittstellen von und zu anderen Systemen (z.b. auch Uploadmöglichkeiten von Tabellenkalkulationsprogrammen). 2.2 Programmidentität Das eigentliche Programm (z.b. im Quellcode) sowie die sich anschließenden Programmänderungen sind bereits wesentliche Bestandteile der Verfahrensdokumentation. Soweit Programmänderungen nicht maschinell dokumentiert werden, muss zum Nachweis der Programmidentität durch zusätzliche organisatorische Maßnahmen gewährleistet werden, dass Alt- und Neuzustand eines geänderten Programms nachweisbar sind. Änderungen von Tabellen mit Programmfunktion sind in der Weise zu dokumentieren, dass für die Dauer der Aufbewahrungsfrist der jeweilige Inhalt einer Tabelle festgestellt werden kann (vgl. 11 Abs. 1 Nr. 5 bzw. 23 Abs. 2 Nr. 5 GemKVO).

Seite 4 Zu beachten ist, dass sich Maßnahmen (z.b. Programmfreigabe, Programmprüfung, zusätzliche manuelle Kontrollen, konkrete Hinweise auf Programmschwächen) auf einen konkreten Programmstand (eine Programmversion) beziehen. Dies setzt zwingend voraus, dass der jeweilige Programmstand eindeutig nachvollzogen werden kann und Abweichungen (z.b. auch durch Customizingänderungen) feststellbar sind. Zum Nachweis der Programmidentität und damit zur Verfahrensdokumentation im weiteren Sinne gehören daneben die präzise Beschreibung des (kassenrechtlichen) Freigabeverfahrens i.s. des 11 Abs. 1 Nr. 1 bzw. 23 Abs. 2 Nr. 1 GemKVO mit Regelungen über Freigabekompetenzen, der durchzuführenden Testläufe, der dabei zu verwendenden Daten, Anweisungen für Programmeinsatzkontrollen sowie die Freigabeerklärung (mit Angabe der einzusetzenden Programmversion, des vorgesehenen Einsatzzeitpunkts usw.). 2.3 Datenintegrität Daten werden als integer bezeichnet, wenn die Richtigkeit, Vollständigkeit und Widerspruchsfreiheit der Daten während des Aufbewahrungszeitraums sichergestellt sind. In Einzelnen werden folgende Anforderungen an die Datenhaltung gestellt: Übereinstimmung von Daten und der Information, die die Daten abbilden (Datenkonsistenz), keine mehrfache Speicherung von Daten, die dieselbe Information abbilden (Datenredundanz, Problem der Datenidentität), Vollständigkeit und Richtigkeit der Daten im Zeitablauf durch Datensicherung. In der Verfahrensdokumentation sind die notwendigen Maßnahmen zur Wahrung der Datenintegrität nach den Vorgaben des 11 Abs. 1 Nrn. 2 bis 4 bzw. 23 Abs. 2 Nrn. 2 bis 5 und 7 GemKVO zu beschreiben. Dazu gehören beispielsweise ein Berechtigungskonzept, Vorgaben zur Umsetzung einer ordnungsgemäßen Datensicherung (z.b. 3-Generationen- Prinzip) und notwendige Maßnahmen bei Fremdwartung. 1 1 Siehe hierzu auch IT-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI), www.bsi.bund.de.

Seite 5 3 Erstellung der Dokumentation Bei erworbenen ADV-Verfahren (sog. Fremdsoftware) werden sowohl der Softwarehersteller, als auch der für den Einsatz bzw. für die Anwendung Verantwortliche, Bestandteile der Dokumentation erstellen müssen. Die allgemeinen systemlogischen Komponenten der Dokumentation (Programmierung, Schnittstellen, Datenspeicherung, Schlüsselverzeichnisse, allgemeine Verfahrensanleitung usw.) sind vom Softwarehersteller zu erbringen. Wohingegen die Beschreibung der individuellen Einsatzbedingungen (umzusetzendes Berechtigungs- bzw. Datensicherungskonzept, konkrete auf die organisatorischen Besonderheiten ausgerichtete ergänzende Verfahrensanleitung usw.) eher durch den Betreiber/Anwender (Rechenzentrum und/oder Gemeinde) erfolgen wird. Auch wenn die Dokumentation überwiegend vom Softwarehersteller angefertigt wird, ist die Kommune für die Vollständigkeit und den Informationsgehalt der Verfahrensdokumentation verantwortlich. Sie muss deshalb auch dafür sorgen, dass im Bedarfsfall die Teile der Verfahrensdokumentation eingesehen werden können, die nicht ausgehändigt worden sind. SG 41/30

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback