Audit, Blog, Digitalisierung & Verfahrensdokumentation, Markus Olbring

Die Unternehmen, die Lösungen zur ausschließlich digitalen Aufbewahrung steuerrelevanter Unterlagen einsetzen, sind stets in der Verpflichtung, die Ordnungsmäßigkeit der eingesetzten Lösung nachzuweisen. In der Praxis ist es nicht ausreichend, alleinig ein vorliegendes Softwaretestat (IDW PS 880) als Nachweis vorzuhalten. Die gemäß „Grundsätze…“ (GoBD) zu erstellende Verfahrensdokumentation muss die technische und organisatorische Implementierung und das Customizing der Lösung berücksichtigen und ist ein weiterer wichtiger Baustein der unternehmerischen Nachweispflichten.

Sozusagen das i-Tüpfelchen der Risikominimierung ist eine gutachterliche Stellungnahme einer unabhängigen Prüfungseinheit, wie z.B. eine Wirtschaftsprüfungsgesellschaft. Hierdurch können Unternehmen sich die Bestätigung der Einhaltung der Vorgaben einholen. Audits durch Wirtschaftsprüfungsgesellschaften werden auf Basis der Verlautbarungen vom Institut der Wirtschaftsprüfer (IDW) durchgeführt.

Folgende Verlautbarungen des Instituts der Wirtschaftsprüfer (IDW) müssen bei Bewertungen von Lösungen zum Dokumentenmanagement berücksichtigt werden:

  • Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PS 330)
  • Projektbegleitende Prüfung bei Einsatz von Informationstechnologie (IDW PS 850)
  • IT-Prüfung außerhalb der Abschlussprüfung (IDW PS 860)
  • Prüfung von Softwareprodukten (IDW PS 880)
  • Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1)
  • Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren (IDW RS FAIT 3)
  • Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Prozessen und Funktionen einschließlich Cloud Computing (IDW RS FAIT 5)
  • Die Prüfung von Clouddiensten (IDW PH 9.860.3)
  • Die Prüfung der Einhaltung der GoBD (IDW PH 9.860.4)

Die Prüfung beginnt mit einer QS-Phase und/oder der Aufbauprüfung. Ziel dieser Auditphase ist die Feststellung, ob die grundsätzlichen GoBD-Anforderungen erfüllt sind. Dies erfolgt im Regelfall auf Basis der gem. Tz 151 der GoBD zu erstellenden Verfahrensdokumentation. Die Verfahrensdokumentation dient der Nachvollziehbarkeit der Systemeinrichtung und der etablierten Geschäftsprozesse. Neben den technischen Aspekten zum eingerichteten Dokumentenmanagementsystem (DMS bzw. Enterprise Content Management (ECM)) spielen in der Verfahrensdokumentation die organisatorischen Aspekte (z.B. Scanvorgang) eine Rolle.

Die Aufbauprüfung soll mit der Erkenntnis abschließen, dass die Verfahrensdokumentation richtig und vollständig ist und die relevanten Anforderungen aus den GoBD erfüllt sind. Ist dies der Fall, kann die Auditphase der Funktionsprüfung beginnen. Endet die Aufbauprüfung hingegen mit einer negativen Erkenntnis, müssen diese je nach Schweregrad zunächst behoben werden.

Die Funktionsprüfung dient der Feststellung, dass die Systemimplementierung den Anforderungen genügt und die etablierten Verfahren mit der Verfahrensdokumentation übereinstimmen. Im Rahmen der Funktionsprüfung benötigt der Prüfer die Möglichkeit zur Einsichtnahme der Systemumgebung, um z.T. stichprobenhaft die Prüfungserkenntnisse zu erlangen.

Wichtige Prüfungshandlungen der Funktionsprüfung in d.3 / d.velop documents / d.velop documents for M365Qualitätssicherung für Termin Freitag sind:

  • Administration der Dokumentarten, deren Eigenschaften und der hinterlegten Aufbewahrungsfristen
  • Revisionsrelevante Parameter der d.3 config
  • Berechtigungskonzept für Anwender
  • Administrative Berechtigungen
  • Berechtigungen zur Löschung von Daten und Sicherstellung der Nachvollziehbarkeit erfolgter Löschvorgänge z.B. Einträge auditlog in der Datenbank
  • Konfiguration von Stapelklassen in d.capture batch und ggf. implementierter Beleglesung (classify) bzw. inbound-Einstellungen
  • Nachvollziehbarkeit von Verarbeitungsprozessen (z.B. d.velop smart invoice / Eingangsrechnungsworkflow)
  • Ggf. Anbindung eines Sekundärspeichers und dessen Konfiguration
  • Zugriffsberechtigungen auf Verarbeitungsverzeichnisse (z.B. hostimp, Dokumentenbaum)
  • Schnittstellen zu vor- und nachgelagerten Systemen (z.B. Finanzbuchhaltung, Migrationsszenarien)
  • Konfiguration weiterer Apps, die steuer- und buchhaltungsrelevant sind
  • Sicherstellung einer zeitnahen Verarbeitung (z.B. hostimp)
  • Datensicherungskonzept
  • Überwachung der Verarbeitungsprozesse
  • Outsourcing, Cloud-Dienste, insb. Rechte und Pflichten der beteiligten Partner
  • Schulung / Qualifizierung des beteiligten Personenkreises
  • Internes Kontrollsystem

Bei Fragen zur Prüfungsdurchführung von d.velop-Lösungen wenden Sie sich gerne an den Autor Markus Olbring.

Dieser Beitrag wurde von Markus Olbring im Dezember 2022 erstellt und auf www.comdatis.de veröffentlicht. Markus Olbring ist Inhaber der comdatis it-consulting in Ahaus-Alstätte und ist als IT-Berater und IT-Sachverständiger in den Themenbereichen Datenschutz, Informationssicherheit, Digitalisierung und GOBD tätig.