Revisionssicherheit der Rechnungslegungssysteme: Anforderungen an die Vor- und Hauptsysteme

veröffentlicht am 19. April 2018

Unternehmen müssen sicherstellen, dass sowohl die Vor- und Nebensysteme als auch das Haupt­system der Rechnungslegung die Grundsätze der ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronsicher Form sowie zum Datenzugriff (GoBD) entsprechen und somit die Revisionssicherheit gewährleisten. Die Finanzverwaltung legt immer häufiger einen Prüfungsschwerpunkt bei Betriebsprüfungen auf die Revisionssicherheit von Vor- und Neben­systemen sowie des Hauptsystems. Die Nichteinhaltung der GoBD kann zu erheblichen strafrechtlichen Maßnahmen für Unternehmen führen.

Seit dem Schreiben vom 14. November 2015 (BStBl 2014 I S. 1450) sind die Grundsätze der ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff – kurz GoBD – nun in Kraft getreten. Hierbei steht der Begriff Revisionssicherheit für die meisten Unternehmer als Synonym für die revisionssichere Archivierung von elektronischen Archivsystemen. Dabei geht es um die Vollständigkeit und Unveränderbarkeit der archivierten Belege, die während des gesamten Aufbe­wahrungs­zeitraums weder gelöscht noch verändert werden dürfen und für die gesamte Aufbewahrungsdauer jederzeit verfügbar sein müssen.

Vielen Unternehmern ist bewusst, dass diese Anforderungen an die Buchhaltungsprogramme oder ERP-Systeme gestellt werden. Die Verpflichtung hierzu entsteht primär aus der Abgabenordnung (§§ 145, 146 AO) und dem Handelsgesetzbuch (§§ 238, 239 HGB). Die folgenden Vorgaben können aus der Gesetzgebung abgeleitet werden:

• Geschäftsvorfälle müssen durch einen Beleg nachgewiesen werden.
• Die Buchführung muss so beschaffen sein, dass sie einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Lage des Unternehmens vermitteln kann.
• Die Geschäftsvorfälle müssen lückenlos nachvollziehbar sein.
• Der Grundsatz der Klarheit verlangt u.a. eine systematische Erfassung und übersichtliche, eindeutige und nachvollziehbare Buchungen.
• Eine Buchung oder eine Aufzeichnung darf nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch dürfen keine Veränderungen vorgenommen werden, deren Beschaffenheit es ungewiss lässt, ob sie ursprünglich oder erst später durchgeführt worden sind.
• Veränderungen und Löschungen von und an elektronischen Buchungen oder Aufzeichnungen müssen daher so protokolliert werden, dass die Voraussetzungen des § 146 Absatz 4 AO bzw. § 239 Absatz 3 HGB erfüllt sind. Für elektronische Dokumente und andere elektronische Unterlagen, die gem. § 147 AO aufbewahrungspflichtig und nicht Buchungen oder Aufzeichnungen sind, gilt dies sinngemäß.
• Die Nachprüfbarkeit der Bücher und sonst erforderlichen Aufzeichnungen erfordert eine aussagekräftige und vollständige Verfahrensdokumentation, die sowohl die aktuellen als auch die historischen Verfahrens­inhalte für die Dauer der Aufbewahrungsfrist nachweist.

Unbekannt ist dagegen häufig, dass die Anforderungen in vollem Umfang nicht nur für das Hauptsystem (i.d.R. Buchhaltungs- oder ERP-System) gelten, sondern auch für vor- und nachgelagerte Systeme, mit denen rechnungslegungsrelevante Daten entweder per Schnittstelle ausgetauscht werden oder deren Daten als Grundlage für eine manuelle Buchung im Hauptsystem dienen. Hierzu zählen u.a. Kassensysteme, Warenwirt­schafts­systeme, Personalabrechnungssysteme oder auch Bankprogramme.

Kritisch wird es insbesondere wenn wichtige Funktionen aus dem ERP-System in eine „Schattenbuchhaltung” ausgelagert werden. Besonders häufig ist dies bspw. bei der manuellen Bewertung des Vorratsvermögens in Excel-Dateien vorhanden. Die dort ermittelten Werte sind Grundlage für eine Buchung im ERP-System, welche sich dann entsprechend auf das Hauptbuch und somit die Bilanz und Gewinn- und Verlustrechnung des Unternehmens auswirken. Excel zählt somit auch als Vorsystem, das den Anforderungen der GoBD genügen muss. Gleiches gilt für Office-Produkte anderer Hersteller.

Das Tabellenkalkulationstool der Office-Produkte verfügt i.d.R. über keine der folgenden Eigenschaften:

• Zugriff auf die Daten nur durch berechtigte Personen,
• Unveränderbarkeit der Daten, welche Grundlage für eine Buchung waren (z.B. durch Versionierung),
• Protokollierung von Änderungen an den Daten oder Berechnungsformeln,
• geregeltes Change Management zur Vermeidung von Berechnungsfehlern,
• Verfahrensdokumentation über hinterlegte Berechnungslogiken.

Im Extremfall könnte die fehlende Nachvollziehbarkeit und Nachprüfbarkeit der Buchführung zu einem formellen Mangel mit sachlichem Gewicht führen, der ein Verwerfen der Buchführung zur Folge haben kann und bis hin zur Anordnung (und Einleitung) strafrechtlicher Maßnahmen führen kann. Einzelne finanzgerichtliche Entscheidungen (FG Thüringen – Urteil vom 30.1.2013 – 3K 212/11) lassen erkennen, dass sich Hinzuschätz­ungen durchaus im Rahmen von 5 bis 10 Prozent des Umsatzes bewegen können.

Sehr häufig ist in IT-Abteilungen nicht bekannt, dass Änderungen im System protokolliert werden müssen und in welchem Umfang, um die Anforderungen der Grundsätze ordnungsmäßiger Buchführung (GoB) zu erfüllen. Dies betrifft nicht nur „Schattenbuchhaltungen”, sondern auch namhafte Systeme wie SAP oder Microsoft Dynamics NAV. Oftmals resultieren die Mängel aus notwendigen Einstellungen im Rahmen von Systemupdates: Bestimmte Produktivkennzeichen müssen beim Einspielen deaktiviert werden und der Dienstleister vergisst  anschließend die Deaktivierung wieder zu korrigieren.

Weitere Beispiele für die Nicht-Einhaltung der GoBD-Anforderungen sind:

• Nachträgliche Änderbarkeit von Änderungsprotokollen,
• Reduzierung der maschinellen Auswertbarkeit durch Umwandlung oder Auswahl bestimmter Aufbewahr­ungs­formen,
• bei der Übernahme verdichteter Zahlen ins Hauptsystem gehen die zugehörigen Einzelaufzeichnungen aus den Vor- und Nebensystemen verloren.

Um sicher zu gehen, dass die Rechnungslegung nur auf GoBD-konformen Anwendungen basiert, bietet sich die Durchführung eines „Quick Checks” an, in dessen Rahmen die Systeme und wichtigsten Prozesse auf ihre entsprechende Revisionssicherheit untersucht werden.