Date post: | 05-Dec-2014 |
Category: |
Software |
Upload: | inpuncto-gmbh |
View: | 429 times |
Download: | 2 times |
Compliance-Aspekte bei der elektronischen Archivierung
inPuncto-Seminar 2014
Andreas Stork
Andreas Stork
AGENDA
1. Anforderungen und Risiken
2. Maßnahmen und Vorkehrungen
3. Qualitätssicherung und Zertifizierung
Compliance
„Der Begriff Compliance steht für die Einhaltung von gesetzlichen Bestim-mungen, regulatorischer Standards und Erfüllung weiterer, wesentlicher und in der Regel vom Unternehmen selbst gesetzter ethischer Standards und Anforderungen.“
Eberhard Krügler
1. ANFORDERUNGEN UND RISKEN
• Rechtliche Anforderungen
• Technische Anforderungen
• Praktische Anforderungen
• Rechtliche Risiken
• Technische Risiken
GoBS: Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme GDPdU: Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
Rechtliche Anforderungen
HGB, AO, BGB, ZPO, SigG, etc.
IDW RS FAIT 3: Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren
PK-DML: Prüfkriterien Dokumentenmanagement-lösungen, ISO 2700x ISMS, IDW PS 880 Softwareprüfung, ISO 14721 OAIS Open Archival Information System
Normen Standards
Normen Standards
Fachliche Stellungnahmen
Fachliche Stellungnahmen
Abgeleitete Grundsätze Abgeleitete Grundsätze
Gesetze und Verordnungen Gesetze und Verordnungen
AKTUELL: Wichtig für Buchführungspflichtige!
• GoBS und GDPdU werden abgelöst • Seit April bzw. Juli 2013 lieg der Entwurf des BMF vor:
• Sollte letztes Jahr noch vor der Bundestagswahl in Kraft treten • Kritik von Verbänden und des Deutschen Steuerberater-
verbandes
Technische Anforderungen
Grundbuch
Hauptbuch
Anlagen
offene Posten
Anwendung 1
Anwendung 2
Anwendung 3
Anwendung 4
1980er
Insellösungen mit
Schnittstellen
1990er
Integration der Prozesse in
einem Unternehmen
2000er
Prozessintegration über
Unternehmensgrenzen
2010er
Vernetzung und Cloud
Computing
Integrierte Software – vernetzte Unternehmen
Praktische Anforderungen
• Ordnungsmäßigkeit
• Vollständigkeit
• Sicherheit des Gesamtverfahrens
• Schutz vor Veränderung und Verfälschung
• Sicherung vor Verlust
• Nutzung nur durch Berechtigte
• Einhaltung der Aufbewahrungsfristen
• Dokumentation des Verfahrens
• Nachvollziehbarkeit
• Prüfbarkeit
Rechtliche Risiken R
ech
nu
ng
in P
apie
rfo
rm
Urkunde nach § 416 ZPO
Manipulations- sicherheit
Aufbewahrung im Original
Vernichtung des
Originals
Nur Anscheinsbeweis (ZPO)
Dokumentation des Verfahrens (GoBS)
Verzicht auf Original ist zulässig
Innerbetriebliche Regelungen und
Kontrollen
GoB-konformes Verfahren
Technische Risiken
Ältere Versionen und Systemstände sind vorzuhalten Ältere Versionen und Systemstände sind vorzuhalten
Beschreibung der programmtechnischen Lösung Beschreibung der programmtechnischen Lösung
Technische Protokollierung jeder ändernden Option Technische Protokollierung jeder ändernden Option
Vorsteuerabzug ist gefährdet - Schätzung durch Finanzamt Vorsteuerabzug ist gefährdet - Schätzung durch Finanzamt
2. MAßNAHMEN UND VORKEHRUNGEN
• Frühes Archivieren
• Spätes Archivieren
• Systemgestützte Regeln
Frühes Archivieren
Dokumenten-eingang
Vorbereiten zum Scannen
Scannen + ID-Zuordnung
Image- kontrolle
Image- freigabe
Weiterleitung zur Erfassung der
Buchungs-informationen
Buchungs- freigabe
Verknüpfung ERP und DokID
Ablage auf Archivserver
Kontrolle der Verknüpfung
Freigabe des Originals zur Vernichtung
Erfassung der Buchungsinfo im
ERP-System
Frühes Archivieren
• Rechnungen werden bereits beim Zugang gescannt
• Systemgestützter Workflow erforderlich
• Systemgestützte Anbringung von Kontierungsmerkmalen
• Hohe Prozesskostenersparnis
• Komplexes Verfahren
Spätes Archivieren
Dokumenten-eingang
Barcode anbringen
Rechnung prüfen
Rechnung buchen
Ablage Scannen bei
Ablage
Automatische Identifizierung der Beleg-ID über Barcode und
Verknüpfung mit Buchungsbeleg
Archiv Archiv
Spätes Archivieren
• Eingangsrechnungen werden erst nach der Verbuchung gescannt
• Anbringung von Kontierungsmerkmalen auf dem Originaldokument
• Einfaches Verfahren
• Wenig Prozesskostenersparnis
Systemgestützte Regeln
Vollständigkeit der Archivierung
Lückenlose Erfassung
Abgeschlossene Geschäftsvorfälle
Zeitgerechtigkeit
Unveränderbar archiviert
Löschung erst nach Vollständigkeitstest
Archivierungs- form
inhaltlich <-> bildlich
Ursprüngliches Format
Farben relevant
Netto-Imaging
Aufbewahrung Archivierungskonzept zur Aufbewahrungsdauer
Keine vorzeitige Löschung
Systemgestützte Regeln
Organisation des Archivs
Vollständigkeit und gesetzliche Anforderungen
Aussagefähige Indexwerte
Retrivaltechniken
Elektronische Ausgabe und Export
Änderungen nur an der Kopie
Verfahrensdokumentation
Sicherheits- anforderungen
Systemprotokollierung
Physische und logische Zugriffskontrollen
Sicherungskopien
Lesbarkeitskontrollen
Ausnahmeregelungen: z.B. öffentlich beurkundete Dokumente
3. QUALITÄT UND ZERTIFIZIERUNG
• Prozessqualität
• Verfahrensdokumentation
• Zertifizierung
• Institutionen und Hilfsmittel
Qualität und Transparenz
Prozesse Prozesse Zentralisierung/Konzentration bei gleichzeitiger Informationstransparenz
Einrichtung von elektronischen Workflows
Verschlankung/Beschleunigung von Prozessen, Senkung der Prozesskosten
Elektronische/automatische Rechnungskontrolle
Fehlerreduktion (z. B. durch Automatisierung)
Moderne Medien/Systeme integrierbar
Zentralisierung/Konzentration bei gleichzeitiger Informationstransparenz
Einrichtung von elektronischen Workflows
Verschlankung/Beschleunigung von Prozessen, Senkung der Prozesskosten
Elektronische/automatische Rechnungskontrolle
Fehlerreduktion (z. B. durch Automatisierung)
Moderne Medien/Systeme integrierbar
Kunde Kunde Schneller Zugriff auf alle Bestandteile des Geschäftsprozesses
Reduktion der Ansprechpartner („one-face-to-the-customer“)
Mehr Service und mehr Sicherheit für den Kunden
Schneller Zugriff auf alle Bestandteile des Geschäftsprozesses
Reduktion der Ansprechpartner („one-face-to-the-customer“)
Mehr Service und mehr Sicherheit für den Kunden
Sonstiges Sonstiges
Umwelt wird geschont Umwelt wird geschont
Pflichtinhalt der Verfahrensdokumentation
Physische Sicherheit/Serverraum/Datensicherung Physische Sicherheit/Serverraum/Datensicherung
Aufbauorganisation/Verantwortlichkeit/Kontrollübersicht Aufbauorganisation/Verantwortlichkeit/Kontrollübersicht
Systemgrenzen/Schnittstellen Systemgrenzen/Schnittstellen
Programme/Programmschnittstellen/Datenspeicherung Programme/Programmschnittstellen/Datenspeicherung
Informationen/Daten/Geschäftsfälle/Verarbeitung Informationen/Daten/Geschäftsfälle/Verarbeitung
Fehlermeldung/Überwachung der Vollständigkeit, Richtigkeit/
Verfügbarkeit/Gegenmaßnahme
Fehlermeldung/Überwachung der Vollständigkeit, Richtigkeit/
Verfügbarkeit/Gegenmaßnahme
Hard- ware
Soft- ware
Infra-struktur
Orga-nisation
Pro- zesse
Kon-trollen
Versionierung und Aufbewahrung beachten:
Alle Bestandteile einer Verfahrensdokumentation sind aktuell zu halten und über die Dauer der gesetzlichen Aufbewahrungsfrist (10 Jahre) aufzubewahren.
Versionierung und Aufbewahrung beachten:
Alle Bestandteile einer Verfahrensdokumentation sind aktuell zu halten und über die Dauer der gesetzlichen Aufbewahrungsfrist (10 Jahre) aufzubewahren.
Aufbau einer Verfahrensdokumentation
Verfahrens-beschreibungen im Detail
Verfahrens-beschreibungen im Detail
Hauptdokument
mit im
wesentlichen
unveränderten
Inhalten
+
Referenzen auf
die
Unterdokumente
Technische Unter-lagen, Hand-bücher, …
Technische Unter-lagen, Hand-bücher, …
Arbeits-anweisungen, … Arbeits-anweisungen, …
Verträge, Protokolle, … Verträge, Protokolle, …
Standards des IDW
IDW RS FAIT 1 IDW RS FAIT 1
GoB bei Einsatz von Informationstechnologie GoB bei Einsatz von Informationstechnologie
IDW RS FAIT 2 IDW RS FAIT 2
GoB bei Einsatz von Electronic Commerce GoB bei Einsatz von Electronic Commerce
IDW RS FAIT 3 IDW RS FAIT 3
GoB beim Einsatz elektronischer Archivierungsverfahren
GoB beim Einsatz elektronischer Archivierungsverfahren
IDW RS FAIT 4 IDW RS FAIT 4
Anforderung an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse
Anforderung an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse
IDW PS 261 IDW PS 261
IDW PS 330 IDW PS 330
Abschlussprüfung bei Einsatz von Informationstechnologie Abschlussprüfung bei Einsatz von Informationstechnologie
IDW PS 951 IDW PS 951
Die Prüfung des internen Kontroll-systems beim Dienstleistungs-unternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen
Die Prüfung des internen Kontroll-systems beim Dienstleistungs-unternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen
IDW PS 880 IDW PS 880
Die Prüfung von Softwareprodukten Die Prüfung von Softwareprodukten
IKS
IKS
IKS-
IT
An
we
nd
un
g
Prüfungsstandards Bescheinigungen
Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken
Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken
PH.9.330.1 PH.9.330.1
Checkliste zur Abschluss-prüfung bei Einsatz von Informationstechnologie
Checkliste zur Abschluss-prüfung bei Einsatz von Informationstechnologie
PH.9.330.2 PH.9.330.2
Prüfung von IT-gestütz-ten Geschäftsprozessen im Rahmen der Abschluss-prüfung
Prüfung von IT-gestütz-ten Geschäftsprozessen im Rahmen der Abschluss-prüfung
PH.9.330.3 PH.9.330.3
Einsatz von Datenanalysen im Rahmen der Abschlussprüfung
Einsatz von Datenanalysen im Rahmen der Abschlussprüfung
Zertifizierung
Prüfung erfolgt auf Grundlage einer Verfahrensdoku-mentation. Basis hierfür sind die Prüfkriterien für Dokumententenmanagementlösungen (PK-DML) des VOI e.V.
Überprüfung der Einhaltung der Vorgaben und die Zertifizierung von elektro-nischen Archivsystemen, bzw. in kaufmännische Anwendungen oder Doku-mentenmanagement integrierte Archivkomponenten, erfolgt durch Wirt-schaftsprüfer beim Anwender vor Ort. Sofwarebescheinigung, die dem Auf- traggeber Ordnungsmäßigkeit und Sicherheit des Systems bestätigt.
Institutionen und Hilfsmittel
VOI – Verband Organisations-
und Informationssysteme e.V. - voice of information -
www.elektronische-steuerpruefung.de Führendes Portal zur digitalen Betriebs-prüfung mit zahlreichen Artikeln und weiterführenden Hinweisen.
www.voi.de Fachverband, der sich schwerpunktmäßig mit Fragestellungen zu Dokumenten- management-Lösungen auseinandersetzt. Innerhalb des Downloadbereichs findet sich eine Fülle von Unterlagen.
www.awv-net.de Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V. = Unabhängiges Zukunfts-forum für Wirtschaft und öffentliche Verwaltung
Noch Fragen?
• Andreas Stork
o Telefon: (07151) 502671
o Telefax: (07151) 502672
o Handy: (0174) 600 8831
o web: www.auditcoach.org
o eMail: [email protected]
o Xing: https://www.xing.com/profile/Andreas_Stork