Digital GRC: Die Prüfung der GoBD-Compliance nach IDW PH 9.860.4

PrintMailRate-it

​veröffentlicht am 21. April 2022

 

Im Zuge der zunehmenden Technologisierung und Digitalisierung hat sich die moderne Finanzbuchführung in der Unternehmenswelt nachhaltig verändert. So werden im heutigen Geschäftsverkehr Belege oftmals in digitaler Form ausgestellt und automatisch in der Finanzbuchhaltung verarbeitet. Entsprechend folgt auch die Archivierung aufbewahrungspflichtiger Unterlagen weitgehend digital.

 

Der Datenaustausch mit Geschäftspartnern wird über automatisierte Schnittstellen vereinfacht und beschleunigt. Die rechnungslegungs- und steuerrelevante Datenverarbeitung beginnt im Unternehmen dann regelmäßig in sogenannten Vor- und Nebensystemen und erstreckt sich über verschiedene IT-Systeme und Fachbereiche, wodurch die Komplexität erhöht wird.

 

Eine Verfahrensdokumentation bildet nicht nur aus Sicht der Finanzverwaltung die notwendige Grundlage dafür, den Überblick zu behalten und die Nachvollziehbarkeit und Nachprüfbarkeit der Abläufe zu gewährleisten. Eine Prüfung der Verfahren und Dokumentation gemäß den Maßstäben der Finanzverwaltung über die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)”, hilft Prozess-, System- und Dokumentationsschwächen schon vor einer Betriebsprüfung proaktiv zu begegnen und Risiken, wie z.B. eine mögliche Steuerschätzung im Sinne des § 162 AO zu mitigieren.

 

Inhaltliche Anforderungen gem. BMF-Schreiben

Die Finanzverwaltung legt in ihrem BMF-Schreiben vom 28.11.2019 die Notwendigkeit einer Verfahrensdokumentation dar, die alle System- bzw. Verfahrensänderungen inhaltlich und zeitlich lückenlos erfasst. Sie ist der Auffassung, dass ein Betriebsprüfer ohne eine solche Dokumentation nicht in der Lage ist, die Vollständigkeit und Richtigkeit der Buchführung innerhalb einer angemessenen Zeit nachvollziehen und prüfen zu können. Liegt eine GoBD-konforme Verfahrensdokumentation nicht vor, besteht das Risiko, dass die Betriebsprüfung die Buchführung des Mandanten aufgrund formeller Mängel verwirft und die Steuerbemessungsgrundlage im Zuge einer Schätzung ermittelt. Gleiches gilt für materielle Mängel, die sich z.B. aus einem unzureichenden Internen Kontrollsystem (IKS) oder Manipulationsmöglichkeiten in den Systemen ergeben.

 

Um diese Risiken zu reduzieren, hat das IDW mit dem am 14.06.2021 vom Fachausschuss für Informationstechnologie (FAIT) verabschiedeten Prüfungshinweis PH 9.860.4 eine Möglichkeit geschaffen, die GoBD-Konformität der Verfahren sowie der korrespondierenden Dokumentation zu prüfen.

 

Formulierung des korrespondierenden Prüfungsprogramms durch den IDW PH 9.860.4

Der neue Prüfungshinweis basiert auf dem IDW PS 860, der die Grundsätze und Vorgehensweise festlegt, nach denen IT-Prüfungen außerhalb der Abschlussprüfung durchzuführen sind.

 

Um die im BMF-Schreiben formulierten Kriterien in ein Prüfprogramm zu transferieren, wurden die GoBD-Anforderungen anhand der Teilelemente des IT-Systems modularisiert. Dabei sind jene IT-Systeme GoBD-relevant, die zur Erfassung, Verarbeitung, Speicherung sowie Übertragung von aufzeichnungs- und aufbewahrungspflichtigen Daten dienen.

 

In diesem Zusammenhang wird zwischen dem Basiselement und vier weiteren Ergänzungselementen unterschieden. Ersteres besteht aus der Dokumentation der rechnungslegungsrelevanten Verfahren und den generellen IT-Kontrollen. Es bildet zudem die Grundlage einer jeden GoBD-Compliance Prüfung und muss somit stets vorhanden sein. Eine Prüfung der Maßnahmen der Ergänzungselemente kann einzeln oder in Kombination erfolgen und ermöglicht dadurch eine individuelle Schwerpunktsetzung.

 

Die einzelnen Maßnahmen, die die Anforderungen der Finanzverwaltung umsetzen, und beispielhafte Prüfungshandlungen zur Angemessenheit und Wirksamkeit, sind in der Anlage 1 dieses Prüfungsstandards nach den folgenden Elementen unterteilt (siehe Abbildung).

 

 

 

Abbildung: Verfahrensdokumentation nach IDW PH 9.840.4

(zum Vergrößern bitte anklicken)

 

Elementübergreifend ist zudem das IT-bezogene IKS in der Prüfung zu berücksichtigen. Dieses umfasst diejenigen Grundsätze, Verfahren und Maßnahmen des IT-Systems, die zur Bewältigung der Risiken aus dem Einsatz von IT eingerichtet wurden und schließt den Risikobeurteilungsprozess mit ein. Die GoBD-relevanten Risiken müssen vom Management im Rahmen des IKS gesteuert werden.

 

Die daraus resultierenden Maßnahmen sind durch den Wirtschaftsprüfer auf ihre Angemessenheit zu prüfen. Angemessen ist eine Maßnahme dann, wenn sie den Risiken der Nichteinhaltung der GoBD-Vorgaben mit hinreichender Sicherheit begegnet. Davon ist auszugehen, wenn sie die jeweiligen in der Anlage 1 referenzierten GoBD-Anforderungen für die zu prüfenden Elemente in allen wesentlichen Belangen erfüllt. Aufbauend auf die Prüfung der Angemessenheit der Kontrollen kann die Wirksamkeitsprüfung erfolgen.

 

Ziel der Wirksamkeitsprüfung ist zu beurteilen, ob die beschriebenen und umzusetzenden Maßnahmen in dem zu prüfenden Zeitraum in allen wesentlichen Belangen wirksam gewesen sind. Dies ist der Fall, wenn sie wie vorgesehen durchgeführt wurden.

 

Durchführung der Prüfung und Berichterstattung

Basierend auf diesem konzeptionellen Rahmen hat der Prüfer die Planung und Durchführung von Prüfungshandlungen gem. IDW PS 860 festzulegen. Dafür verschafft er sich zunächst ein Verständnis über das Unternehmen, das rechtliche und wirtschaftliche Umfeld und die umzusetzenden Maßnahmen, die sich aus den GoBD-Richtlinien des BMF ergeben.

 

Der Auftrag kann entweder die „Prüfung einer Erklärung der gesetzlichen Vertreter zur GoBD-Compliance” oder die „direkte Prüfung der GoBD-Compliance” umfassen.

 

Dementsprechend ist das Prüfungsziel, die Risiken für wesentliche Fehler in der GoBD-Erklärung der gesetzlichen Vertreter oder die Risiken wesentlicher Mängel in den umzusetzenden Maßnahmen zu identifizieren und zu beurteilen. Zudem hat der Wirtschaftsprüfer gemäß IDW PS 860 Prüfungshandlungen zu planen und durchzuführen, um das Prüfungsrisiko auf ein vertretbar niedriges Maß zu reduzieren.

 

In der Anlage 1 des Prüfungshinweises sind tabellarisch Prüfungshandlungen zu den einzelnen Anforderungsbereichen aufgeführt. Diese sind als Beispiele und nicht als abschließende Aufzählung zu verstehen. Die Festlegung der durchzuführenden Prüfungshandlungen liegt im pflichtgemäßen Ermessen des Wirtschaftsprüfers.

 

Abschließend verfasst der Prüfer eine schriftliche Berichterstattung als Prüfungsbericht. Dieser hat die geprüften Ergänzungselemente darzustellen. Zudem beinhaltet der Prüfungsbericht eine zusammenfassende Beschreibung der durchgeführten Prüfungshandlungen zur Risikobeurteilung, der Aufbau- und ggf. Funktionsprüfungen, der weiteren Prüfungshandlungen sowie Prüfungsfeststellungen.

 

Fazit und Ausblick

Durch die zunehmende Digitalisierung, den Einsatz funktionsstarker ERP- und DMS Systeme, werden sowohl die Quantität als auch die Verfügbarkeit entscheidungsrelevanter Daten erhöht. Gleichzeitig erhöht sich die Anzahl betroffener Systeme und Komponenten und damit die Komplexität (teil-)automatisierter Verfahren. Um die Nachvollziehbarkeit und Nachprüfbarkeit dennoch zu gewährleisten, verlangt die Finanzverwaltung eine GoBD-konforme Ausgestaltung und Dokumentation der Verfahren. Fehlt eine Verfahrensdokumentation, ist sie aus Sicht des Betriebsprüfers unzureichend oder werden materielle Verstöße gegen die GoBD festgestellt, droht eine Schätzung der Besteuerungsgrundlagen gem. § 162 AO.

 

Die Pflicht eine GoBD-konforme Verfahrensdokumentation vorzuhalten, wird in der Praxis häufig als zusätzliche bürokratische Anforderung an Unternehmen wahrgenommen. Eine klare, konsistente und übersichtliche Dokumentation der rechnungslegungsrelevanten Prozesse bietet jedoch auch die Chance die Transparenz zu erhöhen und Wissensmonopole abzubauen. Im Rahmen einer GoBD-Prüfung werden Prozesse, IT-Systeme und Komponenten aufgenommen und analysiert. Neben einer Minimierung der steuerlichen Risiken bietet die Prüfung die Chance unternehmensinterne Prozesse optimaler zu gestalten, die Qualität des IKS zu erhöhen und durch die Nutzung von Digitalisierungs- und Automatisierungspotentialen in den Prozessen Effizienzen zu heben.

 

Der Prüfungshinweis IDW PH 9.860.4 bildet eine umfassende Grundlage für die GoBD-Compliance Prüfung. Sie sollte bei Unternehmen mit digitalisierten Geschäfts- und Abrechnungsprozessen präventiv durchgeführt werden, um das Risiko von steuerlichen Nachteilen zu minimieren und Optimierungspotenziale zu heben.

 Aus dem Newsletter

Kontakt

Contact Person Picture

Frank Reutter

Dipl.-Wirtschaftsinformatiker, Wirtschaftsprüfer, Steuerberater, CISA

Partner

+49 221 949 909 316

Anfrage senden

 Wir beraten Sie gern!

Deutschland Weltweit Search Menu