Praxiswissen auf den Punkt gebracht.
Kundenservice: 0931 4170-472 | Hilfe
logo
  • Meine Produkte
    Bitte melden Sie sich an, um Ihre Produkte zu sehen.
Menu Menu
MyIww MyIww

    • · Fachbeitrag · Sonderthema p- Die neuen GoBD in der Praxis

    Die neuen GoBD (Teil 3) - Verfahrensdokumentation pragmatisch anpacken

    von Dipl.-Informatiker Gerhard Schmidt, Berlin

    | Wurden Im vorherigen Beitrag zum Sonderthema „Die neuen GoBD in der Praxis“ die grundsätzlichen Fragen zur Verfahrensdokumentation erörtert, geht es nun darum, wie sich eine Verfahrensdokumentation pragmatisch anpacken lässt. Der Leitgedanke ist dabei: Verfahrensdokumentation ist Qualitätsmanagement für das Unternehmen. Das Unternehmen dokumentiert etwas für sich und nicht für das Finanzamt. Was dabei herauskommt, wird dann auch das Finanzamt ziemlich zufriedenstellen. |

    1. Systembegriff

    Bevor es konkret an die Erstellung einer Dokumentation geht, soll der Gegenstandsbereich mit Blick in die GoBD (Rz. 20) abgegrenzt werden:

     

    „Unter DV-System wird die im Unternehmen oder für Unternehmenszwecke zur elektronischen Datenverarbeitung eingesetzte Hard- und Software verstanden, mit denen Daten und Dokumente (…) erfasst, erzeugt, empfangen, übernommen, verarbeitet, gespeichert oder übermittelt werden. Dazu gehören das Hauptsystem sowie Vor- und Nebensysteme (z.B. Finanzbuchführungssystem, Anlagenbuchhaltung, Lohnbuchhaltungssystem, Kassensystem, Warenwirtschaftssystem, Zahlungsverkehrssystem, Taxameter, Geldspielgeräte, elektronische Waagen, Materialwirtschaft, Fakturierung, Zeiterfassung, Archivsystem, Dokumenten-Management-System) einschließlich der Schnittstellen zwischen den Systemen.“

     

    Diese detaillierte Aufzählung ist in den GoBD neu. Durch sie werden direkte Hinweise gegeben, wo überall sich steuerlich relevante Daten befinden können - ohne diese allerdings (wie bisher auch) abschließend zu definieren. Sind die Daten eines der aufgezählten Systeme nicht steuerlich relevant, dann hat das System selbstverständlich auch keine GoBD-Relevanz, etwa eine Zeiterfassung, die nur dazu dient, die Anwesenheit der Mitarbeiter zu kontrollieren, nicht aber, um daraus deren Entgelt zu berechnen.

    2. Wie soll eine Verfahrensdokumentation aussehen?

    Das ist in den GoBD in dem gut einseitigen Abschnitt 10.1 beschrieben. Hilfreich sind die strukturellen Hinweise, die dort gegeben werden.

     

    Nach Rz. 151 muss aus einer Verfahrensdokumentation über das DV-Verfahren vollständig und schlüssig ersichtlich sein:

    • Inhalt
    • Aufbau
    • Ablauf
    • Ergebnisse

     

    Nach Rz. 152 beschreibt die Verfahrensdokumentation den gesamten organisatorisch und technisch gewollten Prozess:

     

    • Entstehung der Informationen
    • Indizierung
    • Verarbeitung und Speicherung
    • Eindeutiges Wiederfinden
    • Maschinelle Auswertbarkeit
    • Absicherung gegen Verlust und Verfälschung
    • Reproduktion

     

    Nach Rz. 153 besteht eine Verfahrensdokumentation aus:

     

    • Allgemeine Beschreibung
    • Anwenderdokumentation
    • Technische Systemdokumentation
    • Betriebsdokumentation

     

    Nach Rz. 154 ist die Verfahrensdokumentation bei Änderungen zu versionieren und eine nachvollziehbare Änderungshistorie vorzuhalten. Diese Anforderung ist die wohl am schwierigsten zu erfüllende. Dazu später mehr.

    3. Juristischer Dokumentationsansatz

    Werfen wir zunächst einen Blick auf den juristischen Ansatz oder Marketing-ansatz zur Verfahrensdokumentation, der uns immer wieder begegnet. Der lässt sich zusammenfassen in: „Wer keine 100 %-Lösung hat, steht mit mindestens einem Fuß im Gefängnis“. Vertreten wird dieser Ansatz von Anbietern, die an der Verfahrensdokumentation verdienen wollen, sei es mit Software zu ihrer Erstellung oder als Berater. Auch IT-Rechtler, die alle Facetten des elektronischen Geschäftsverkehrs juristisch ausleuchten, kommen leicht zu dieser Auffassung. Doch was ist eine 100 %-Lösung? Das ist wie zuvor aufgezeigt schwierig zu fassen. Wer sich diesen Ansatz zu Eigen machen will, kann dieses gerne tun, er muss sich aber darüber klar sein, auf welche Unsicherheiten und auf welchen Aufwand er sich dabei einlässt.

    4. Pragmatischer Ansatz

    Wenden wir uns lieber dem pragmatischen Ansatz zu: „Besser eine 60 %-Lösung als gar nichts“. Hier ist eine klare Handlungsempfehlung möglich. Zu einer Lösung kommen Sie, wenn Sie sich mit drei Fragen konstruktiv auseinandergesetzt haben:

     

    • 1. Was haben wir bereits an Dokumentation?
    • 2. Wie steht es um das IT-Sicherheitskonzept in meinem Unternehmen?
    • 3. Kann ich den „Fragebogen zum EDV-System“, der vor einer Betriebsprüfung an die Unternehmen geschickt wird, ausfüllen?

     

    5. Vorhandene Dokumentationsbausteine sammeln und ordnen

    Es gibt mehr Dokumentation im Unternehmen, als wir uns spontan vorstellen: Softwarehandbücher, Arbeitsanweisungen, Organigramme, Ablaufbeschreibungen, Logfiles, etc. All dies wurde bislang nicht im Zusammenhang mit den GoBD gesehen. Doch es lässt sich mit wenig Aufwand identifizieren und in ein Gliederungsschema (Anhaltspunkte siehe oben) einordnen. Ein Stichwort mit Link auf das zugehörige Dokument genügt, und mit einem Mausklick öffnet sich die PDF-Datei mit dem Benutzerhandbuch des Buchführungssystems.

     

    Sollten im Unternehmen bereits Rechnungen vorschriftsmäßig ersetzend gescannt werden, dann existiert für diesen Prozess bereits eine Verfahrensdokumentation. Ihre Wurzeln hat diese Verfahrensdokumentation allerdings nicht in den Aufzeichnungs- und Aufbewahrungsvorschriften (GoBD), sondern im Umsatzsteuerrecht. Dies erfüllt aber auch Anforderungen der GoBD. Die Bundessteuerberaterkammer und der Deutsche Steuerberaterverband haben für das ersetzende Scannen eine Musterverfahrensdokumentation erarbeitet, auf die es sich empfiehlt, hier zurückzugreifen (www.dstv.de/download/gemeinsame-verfahrensbeschreibung).

    6. Dokumentation des IT-Sicherheitskonzepts

    Hinter jedem IT-Sicherheitskonzept steht die Frage: „Wie hoch ist der Schaden, wenn meine IT einen, zwei oder noch mehr Tage ausfällt? Ab wann ist möglicherweise sogar die Unternehmensexistenz bedroht?“ Diese Frage stellt sich nicht aufgrund von irgendwelchen externen Compliance-Anforderungen, sondern alleine aus Unternehmensinteresse. Wenn Sie darauf mit einem unternehmensspezifischen IT-Sicherheitskonzept antworten, dann muss dieses konkret beschrieben werden, damit es dann entsprechend umgesetzt werden kann. Die Verantwortlichen (aus dem Unternehmen oder von einem Dienstleister) wissen, was sie im Systembetrieb zu tun haben und es ist klar, wie die Einhaltung kontrolliert werden soll. Im Ergebnis halten Sie dann eine Verfahrensdokumentation für Ihr IT-Sicherheitssystem in Händen, in dem die Systemkonfiguration, der Systembetrieb und ein internes Kontrollsystem beschrieben sind. Das interne Kontrollsystem hat eine besondere Bedeutung, denn was nützt das beste Sicherheitskonzept, wenn nicht klar ist, wie seine Einhaltung kontrolliert wird und die Kontrollen dann auch tatsächlich durchgeführt und protokolliert werden? Generell gilt: ohne IT-Sicherheit keine Revisionssicherheit.

    7. Antworten auf Fragen des Betriebsprüfers zum EDV-System

    Vor einer Betriebsprüfung bekommen Sie in der Regel einen „Fragebogen zum EDV-System“ zum Ausfüllen. Sein Umfang variiert innerhalb der Bundesländer zwischen zwei und acht Seiten. Eine Übersicht über die Fragebogen finden Sie unter www.elektronische-steuerpruefung.de/bmf/fragebogen.htm. Können Sie diese Fragen für Ihr aktuelles System beantworten? Hätten Sie dazu alle Informationen parat? Können Sie diese Fragen für die Jahre davor beantworten, denn der Prüfungszeitraum bei Betriebsprüfungen liegt (teilweise viele) Jahre zurück? Und was ist in diesen Jahren nicht alles passiert: Das Unternehmen hat mit einem anderen fusioniert, dabei wurde das eine ERP-System abgeschaltet und die Daten in das andere übertragen, diverse Versionswechsel folgten, einige Zeit wurden IT-Aufgaben an einen Dienstleister ausgelagert, dann aber wieder ins Unternehmen zurückgeholt, der langjährige IT-Leiter ging kürzlich in Ruhestand etc. Daraus folgt: Tragen Sie heute für Ihr aktuelles System die Informationen zusammen, die Sie brauchen, um in späteren Jahren die Fragen des Betriebsprüfers beantworten zu können. Sie sparen sich so viel Aufwand und Ärger.

    8. Das Dokument ist fertig

    Packen Sie nun alles zusammen, was Sie an Dokumentation schon haben, die Dokumentation Ihres IT-Sicherheitskonzepts und die Antworten auf die Fragen des Finanzamtes zum EDV-System. Darüber schreiben Sie in großen Lettern „Verfahrensdokumentation nach GoBD“. Dann sind Sie für die nächste Betriebsprüfung gut gerüstet.

     

    Sollte dem Prüfer das nicht genügen, dann steht er in der Pflicht, die Mängel detailliert gerichtsfest zu begründen - oder er belässt es bei ermahnenden Worten. Am besten bitten Sie den Prüfer, in den Prüfungsbericht zu schreiben, dass er Ihre Verfahrensdokumentation zur Kenntnis genommen hat. Dann haben Sie bei späteren Betriebsprüfungen gute Argumente, sollte ein Prüfer mit einer Verfahrensdokumentation dieser Art nicht mehr zufrieden sein.

    9. Problem Historisierung

    Wie bereits erwähnt ist die Verfahrensdokumentation bei Änderungen zu versionieren und eine nachvollziehbare Änderungshistorie vorzuhalten - und zwar aus gutem Grund. Außenprüfungen betreffen immer zurückliegende Zeiträume. Innerhalb dieser Zeiträume kann sich manches gravierend verändert haben: Versionswechsel der Buchführungssoftware, Wechsel zu einem anderen Softwareanbieter, Verlagerung der Buchführung in die Cloud, Einführung eines Dokumentenmanagementsystems etc. Diese Änderungen müssen nachvollziehbar sein.

     

    Es gilt also regelmäßig zu prüfen, ob sich bei der Verfahrensdokumentation betreffende Änderungen ergeben haben, die festgehalten werden müssen. Ist dies der Fall, ist die aktuelle Verfahrensdokumentation einzufrieren (als Version abzuspeichern und aufzubewahren) und mit den Änderungen eine neue Version zu erzeugen.

     

    Wie oft sollte das passieren? Im Idealfall bei jeder einzelnen Änderung. Dass das in der Praxis funktioniert, ist ziemlich unrealistisch. Doch einmal jährlich sollte die Verfahrensdokumentation schon in einer neuen Version aktualisiert werden. Wer kürzere Intervalle schafft, umso besser.

    10. Verfahrensdokumentation als kontinuierlicher Prozess

    Verfahrensdokumentation ist also nicht nur ein zu erstellendes Produkt (Dokument), sondern ein kontinuierlicher Prozess. Darauf muss sich ein Unternehmen einlassen, ansonsten verliert das einmal erstellte Produkt schnell an Wert.

     

    Wie viele Unternehmen und Kanzleien haben sich nicht schon ins Qualitätsmanagement gestürzt und viel Geld dafür ausgegeben, ein QM-Handbuch zu erstellen. Das wurde dann ins Regal gestellt - und steht da immer noch, ohne dass es jemals fortgeschrieben wurde. Doch genau da wollen wir mit der Verfahrensdokumentation hin, zum funktionierenden Qualitätsmanagement im Unternehmen.

    11. Dokumentationssysteme

    Auf welche IT-Hilfsmittel kann bei der Erstellung einer Verfahrensdokumentation zurückgegriffen werden? Da ist die Skala nach oben offen. Im einfachen Fall kommen Notizbuchsysteme wie OneNote oder Evernote infrage, die es erlauben, Dokumente in verschiedenen Formaten zu sammeln, zu ordnen und wiederzufinden. Auch ein Textverarbeitungssystem, in dem die Struktur der Verfahrensdokumentation angelegt und auf andere Dokumente verlinkt wird, kommt infrage. Über eine saubere Versionierung muss man sich bei diesen Systemen allerdings Gedanken machen. Einfacher hat man es bei der Versionierung mit einem Dokumentenmanagementsystem. Und es gibt sogar einige spezielle Systeme für die Verfahrensdokumentation nach GoBD, bei denen eine tagesgenaue Version für beliebige zurückliegende Zeitpunkte generiert werden kann. Auf jeden Fall kann praktisch jedes Unternehmen mit bereits vorhandenen IT-Bordmitteln ohne Investitionsaufwand anfangen, zu dokumentieren.

    12. Internes Kontrollsystem

    Saubere Verfahren für die Buchführungs- und Aufbewahrungsprozesse zu definieren und zu dokumentieren, ist eine Sache. Doch werden diese auch so im Unternehmen umgesetzt und eingehalten? Das sollte kontrolliert werden. Daher fordern die GoBD ein „Internes Kontrollsystem (IKS)“: „Für die Einhaltung der Ordnungsvorschriften des § 146 AO … hat der Steuerpflichtige Kontrollen einzurichten, auszuüben und zu protokollieren, (Rz. 100).“

     

    Beispielhaft nennen die GoBD

     

    • Zugangs- und Zugriffsberechtigungskontrollen auf Basis entsprechender Zugangs- und Zugriffsberechtigungskonzepte (z.B. spezifische Zugangs- und Zugriffsberechtigungen),
    • Funktionstrennungen,
    • Erfassungskontrollen (Fehlerhinweise, Plausibilitätsprüfungen),
    • Abstimmungskontrollen bei der Dateneingabe,
    • Verarbeitungskontrollen,
    • Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen, Daten und Dokumenten.

     

    Ein Teil dieser Kontrollen lässt sich automatisieren, indem etwa Benutzerrechte und Passwörter vergeben werden. Doch wenn der gelbe Notizzettel mit den Zugangsdaten unten am Bildschirm klebt? Auch das gehört mit scharfem Blick kontrolliert und abgestellt. IKS bedeutet also von oben, von der Metaebene aus, auf die praktizierten Verfahren zu schauen und auf Ordnungsmäßigkeit zu prüfen.

     

    Die Protokollierung von Kontrollen ist nicht nur eine lästige Pflicht der GoBD, sie liegt auch im Interesse der Unternehmensverantwortlichen. Sie haften schließlich für die Ordnungsmäßigkeit in ihrem Unternehmen und da ist die Protokollierung ein wertvoller Beleg dafür, der Verantwortung nachgekommen zu sein. „Die Beschreibung des IKS ist Bestandteil der Verfahrensdokumentation“ (Rz. 102). Die Kontrollprotokolle des IKS sind zusätzliche außerhalb der Verfahrensdokumentation zu verwaltende Dokumente.

    13. Verfahrensdokumentation im Compliance-Kontext

    Eine Verfahrensdokumentation nur unter den steuerrechtlichen Compliance-Anforderungen zu betrachten, wie sie in den GoBD formuliert sind, ist verkürzt. Anforderungen zur Dokumentation ergeben sich für ein Unternehmen auch in vielen weiteren Zusammenhängen: Datenschutz, Verrechnungspreise, Basel II, SOX, Euro-SOX etc. Zu diesen externen Compliance-Anforderungen kommen dann noch interne hinzu, etwa das Risikomanagement. Diese Dokumentationen überschneiden sich in vielen Teilen und müssen von daher als übergreifende Gesamt-Dokumentation gesehen werden, in die dann auch die Verfahrensdokumentation nach GoBD eingebettet ist.

    14. Und wenn eine Verfahrensdokumentation fehlt?

    „Soweit eine fehlende oder ungenügende Verfahrensdokumentation die Nachvollziehbarkeit und Nachprüfbarkeit nicht beeinträchtigt, liegt kein formeller Mangel mit sachlichem Gewicht vor, der zum Verwerfen der Buchführung führen kann.“ (Rz. 155). Ein erfreulicher Fortschritt gegenüber den GoBS, denn nach den GoBS bedeutete das Fehlen einer Verfahrensdokumentation auf jeden Fall einen formellen Mangel.

     

    Bevor ein Betriebsprüfer eine Buchführung aufgrund einer fehlenden oder ungenügenden Verfahrensdokumentation verwirft, muss er detailliert darlegen, was ungenügend war oder warum ihm die mündlich gegebenen Informationen nicht ausgereicht haben. Für ihn „ein schwieriges Thema“ (siehe Teil 2 des GoBD-Sonderthemas im vorherigen Newsletter).

     

    Auf dieses Dilemma des Prüfers wollen wir uns aber nicht verlassen. Denn für uns ist Verfahrensdokumentation ja Qualitätsmanagement im ureigenen Unternehmensinteresse.

     

    Weiterführender Hinweis

    • Im vierten Teil des Sonderthemas „Die neuen GoBD in der Praxis“ geht es um weiterführende Informationen zum Datenzugriff.
    Quelle: ID 43338291
    print print email email email_comp email_comp twitter twitter facebook facebook xing xing

    Karrierechancen

    Zu TaxTalents

    Mehr zum Thema