Besonderheiten beim Einsatz elektronischer Archivierungsverfahren: IDW RS FAIT 3 Zertifizierung

PrintMailRate-it

veröffentlicht am 19. April 2018

 

Immer mehr Unternehmen entscheiden sich aus Effizienzgründen für die Archivierung in elektro­nischer Form: Verarbeitungsprozesse werden beschleunigt, die Gefahr eines Skontoverlustes wird reduziert und Belege sind in Sekundenschnelle recherchierbar. Um Risiken aus dem Einsatz von elektronischen Archivierungsverfahren zu minimieren, empfehlen wir daher die prüferische Begleitung der Einführung des Archivsystems und der Rechnungsbearbeitung inkl. anschließender Zertifizierung, entsprechend dem IDW RS FAIT 3.

 

 

Aufbewahrung elektronischer Belege

Der aktuelle Stand der Technik ermöglicht eine Automatisierung der Rechnungsverarbeitungsprozesse. Dies ermöglicht einen schnelleren Ablauf der Rechnungsverarbeitung (Belege sind sofort verfügbar und müssen nicht manuell weitergetragen werden), eine höhere Sicherheit (es ist sofort nachvollziehbar wer und wann geprüft und freigegeben hat) und reduziert den Rechercheaufwand durch direkten Belegaufruf aus dem ERP-System heraus. Dabei gilt aber auch wie bisher: Müssen Bücher für steuerliche Zwecke geführt werden, so sind diese auch in vollem Umfang aufbewahrungs- und vorlagepflichtig. Sind aufzeichnungs- und aufbewahrungspflichtige Daten, Datensätze, elektronische Dokumente und elektronische Unterlagen im Unternehmen entstanden oder dort eingegangen, sind sie auch in dieser Form aufzubewahren und dürfen vor Ablauf der Aufbewahrungsfrist nicht gelöscht werden. Dies muss durch das Archiv sichergestellt werden – die Anforderungen sind somit aufgrund der technischen Möglichkeiten höher als bei der Archivierung in Papierform.

 

Elektronisch eingegangene Belege dürfen nicht mehr ausschließlich in ausgedruckter Form aufbewahrt werden und müssen für die Dauer der Aufbewahrungsfrist unveränderbar erhalten bleiben (z.B. per E-Mail eingegangene Rechnung im PDF-Format oder eingescannte Papierbelege)1.  Ein Ausdruck der per Mail empfangenen Rechnung stellt einen Medienbruch dar und ist durch die GoBD ausdrücklich ausgeschlossen.


Dies bedeutet, dass Steuerpflichtige ihr Datenverarbeitungssystem unbedingt gegen Verlust, aber auch gegen unberechtigte Eingaben und Veränderungen sichern müssen. Werden darüber hinaus Daten, Datensätze, elektronische Dokumente und
elektronische Unterlagen nicht ausreichend geschützt und können deswegen nicht mehr vorgelegt werden, so ist die Buchführung formell nicht mehr ordnungsgemäß. Somit haben Steuerpflichtige insbesondere beim Einsatz von elektronischen Archivierungsverfahren umfassende Schutzmaßnahmen gegen den Verlust, die Veränderung oder die fehlerhafte Sicherung von aufbewahrungspflichtigen elektronischen Belegen zu treffen. Hierzu zählen entsprechende Zugriffs-, Datensicherungs- und Notfallkonzepte, so dass im Bedarfsfall die Daten verlustfrei wiederhergestellt werden können.


Anstelle der Aufbewahrung von Unterlagen im Original ist auch die Aufbewahrung bestimmter rechnungslegungs­relevanter Daten und Dokumente auf einem Bild- oder sonstigen Datenträger zulässig. Das BMF stellt über die GoBD die Anforderung, dass die archivierten Belege zudem jederzeit sowohl progressiv als auch retrograd maschinell auswertbar sein müssen.


Beim Einsatz von speziellen Archivierungssystemen bestehen diese aus den folgenden Elementen zur Erfassung, Indexierung, Speicherung, Verwaltung und Lesbarmachung der aufzubewahrenden Daten:

 

  • Eingesetzte IT-Infrastruktur,
  • Eingesetzte IT-Anwendungen,
  • IT-gestützter Archivierungsprozess2

 

Die eingesetzte IT-Infrastruktur umfasst hierbei regelmäßig neben dem eingesetzten Archivserver zur dauerhaf­ten Aufbewahrung der Daten, elektronischen Postfächern und OCR-Servern zum Auslesen der Belege auch Datensicherungsverfahren und Notfallkonzepte. Hierbei stellt sich in der Praxis regelmäßig die Herausfor­derung, dass die eingesetzten Speichersysteme für einen Zeitraum von zehn Jahren verwendet werden müssen bzw. im Rahmen des technischen Fortschritts in ein neues System migriert werden müssen. Die Migration der Belege muss dabei nach einem zertifizierten Verfahren erfolgen und die erfolgreiche Durchführung sollte zur eigenen Sicherheit durch einen Wirtschaftsprüfer bestätigt werden.


Darüber hinaus werden im Bereich der IT-Anwendungen regelmäßig verschiedene Programme zur Erfassung, Indexierung, Verwaltung sowie Recherche der zu archivierenden Unterlagen zum Einsatz kommen. Die einge­setzten IT-Anwendungen müssen ebenfalls den Ordnungsmäßigkeitskriterien im Rahmen der digitalen Buch­führung entsprechen. Für die Ordnungsmäßigkeit der Buchführung bestehen nach herrschender Meinung die folgenden Anforderungen:

 

  • Vollständigkeit
  • Richtigkeit
  • Zeitgerechtheit
  • Nachvollziehbarkeit
  • Unveränderbarkeit


Die Vollständigkeit der Archivierung setzt voraus, dass alle Daten und Belege jederzeit in ihrer ursprünglichen Form durch das Archivierungssystem vollständig und richtig wiedergegeben werden können.

 

Die IT-gestützten Archivierungsprozesse umfassen im Wesentlichen die eingerichteten Dokumenten- bzw. Datenflüsse von aufbewahrungspflichtigen Unterlagen. Der Prozess beginnt mit dem Zeitpunkt des Belegeingangs (im zentralen Posteingang oder E-Mail Postfach) über die langfristige und unveränderliche Aufbewahrung und endet mit der abschließenden Vernichtung der Daten nach Ablauf der Aufbewahrungspflicht.

 

Regelmäßige Kontrolle und Verfahrensdokumentation

Die Ausgestaltung des IT-gestützten Archivierungsprozesses ist daher regelmäßig im Bereich der steuerlich erforderlichen Verfahrensdokumentation zu beschreiben und zu aktualisieren, um die Nachvollziehbarkeit der Buchführung sicherzustellen. Die Verfahrensdokumentation hat hierbei den organisatorisch und technisch gewollten Prozess von der Entstehung der Information über die Indizierung, Verarbeitung und Speicherung, dem eindeutigen Wiederfinden und der maschinellen Auswertbarkeit, der Absicherung gegen Verlust und Verfälschung und der Reproduktion zu beschreiben. Neben einer allgemeinen Beschreibung des Geschäftsprozesses sollte zusätzlich eine Anwenderdokumentation, eine technische Systemdokumentation sowie eine Betriebsdokumen­tation durch den Steuerpflichtigen vorgehalten werden3.  Hierzu zählt auch die Weiterverarbeitung der Belege in einem elektronischen Workflowsystem.

 

Neben einer umfassenden Verfahrensanweisung sind im Rahmen von elektronischen Archivierungsverfahren die allgemeinen Sicherheitsanforderungen an Daten und elektronische Dokumente zu beachten. Diese umfassen die

 

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
  • Autorisierung
  • Authentizität sowie
  • Verbindlichkeit.

 

Das Kriterium Vertraulichkeit verlangt, dass Daten nicht unberechtigt eingesehen, weitergegeben oder veröffentlicht werden können. Dieser Anforderung ist auch beim Einsatz von Archivierungssystemen durch IT-Kontrollen Rechnung zu tragen, indem beispw. Speichermedien und Sicherheitskopien mittels physischer und logischer Zugriffskontrollen vor unberechtigter Kenntnisnahme geschützt werden.

 

Die Integrität des elektronischen Archivierungssystems ist gegeben, wenn die zu archivierenden Dokumente und Daten gespeichert und fehlerfrei (eindeutig) indiziert werden und vor Manipulation und ungewollten bzw. fehlerhaften Änderungen geschützt sind.

 

Die Verfügbarkeit setzt voraus, dass neben den archivierten Dokumenten und Daten auch die für das elektronische Archivierungsverfahren eingesetzte IT-Anwendung und IT-Infrastruktur so zur Verfügung steht, dass die Lesbarmachung während der gesamten Aufbewahrungsfrist möglich ist.

 

Durch angemessene Maßnahmen zur Autorisierung ist sicherzustellen, dass nur im Voraus festgelegte Personen die ihnen zugewiesenen Rechte (beispielsweise Scannen) wahrnehmen und die archivierten Dokumente und Daten bearbeiten können.

 

Das elektronische Archivierungsverfahren erfüllt die Authentizität, sofern eine eindeutige Verbindung zwischen dem Original und seinem digitalisierten Abbild besteht. Demnach müssen die archivierten Unterlagen eindeutig mit den zugehörigen Geschäftsvorfällen verbunden sein.

 

Unter Verbindlichkeit wird die Eigenschaft von elektronischen Archivierungsverfahren verstanden, gewollte Rechtsfolgen zu gewährleisten. Dies betrifft die Einhaltung der handelsrechtlichen Anforderungen des § 257 Abs. 3 HGB bzw. der steuerlichen Anforderungen des § 149 AO an die bildliche Speicherung von empfangenen Handelsbriefen und Buchungsbelegen sowie die inhaltliche Speicherung aller anderen aufbewahrungspflichtigen Unterlagen4.

 

Fazit

Beim Einsatz von elektronischen Archivierungsverfahren bestehen somit neben den technischen Risiken insbesondere auch im organisatorischen Bereich regelmäßig wiederkehrende Risiken für die Ordnungsmäßigkeit der elektronischen Buchführung. Vor allem durch unzureichende organisatorische Festlegungen sowie eine unvollständige Verfahrensanweisung kann die Nachvollziehbarkeit des eingesetzten Archivierungsverfahren zusätzlich gefährdet werden. Um den Risiken aus dem Einsatz von elektronischen Archivierungsverfahren zu begegnen, raten wir Ihnen eine prüferische Begleitung bei der Einführung des Archivsystems und der Rechnungs­bear­beitung mit anschließender Zertifizierung des eingesetzten Archivsystems entsprechend dem IDW RS FAIT 3 vornehmen zu lassen. Hierüber kann gegenüber Dritten, z.B. im Falle einer Betriebsprüfung eine ordnungs­gemäße Verfahrensdoku­mentation des Gesamtverfahrens und der Prozesse sowie eine Bestätigung der Revi­sions­­sicherheit der Archivierung vorgelegt werden.

 

 

_________________________

1 BMF-Schreiben vom 14. November 2014 – Tz. 119
2 Vgl. IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren (IDW RS FAIT 3), Rn. 5
3 Vgl. BMF-Schreiben vom 14. November 2014 – Tz. 152-153
4 Vgl. IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren (IDW RS FAIT 3), Rn. 38 

Kontakt

Contact Person Picture

Daniel Finsterer

Wirtschaftsprüfer, Steuerberater, IT-Auditor IDW

Associate Partner

+49 221 9499 094 21
+49 221 9499 099 00

Anfrage senden

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Leiter Digital GRC

Associate Partner

+49 911 9193 3508
+49 911 9193 3679

Anfrage senden

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu