Compliance-Aspekte bei der elektronischen Archivierung

inPuncto-Seminar 2014

Andreas Stork

Andreas Stork

AGENDA

1. Anforderungen und Risiken

2. Maßnahmen und Vorkehrungen

3. Qualitätssicherung und Zertifizierung

Compliance

„Der Begriff Compliance steht für die Einhaltung von gesetzlichen Bestim-mungen, regulatorischer Standards und Erfüllung weiterer, wesentlicher und in der Regel vom Unternehmen selbst gesetzter ethischer Standards und Anforderungen.“

Eberhard Krügler

1. ANFORDERUNGEN UND RISKEN

• Rechtliche Anforderungen

• Technische Anforderungen

• Praktische Anforderungen

• Rechtliche Risiken

• Technische Risiken

GoBS: Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme GDPdU: Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen

Rechtliche Anforderungen

HGB, AO, BGB, ZPO, SigG, etc.

IDW RS FAIT 3: Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren

PK-DML: Prüfkriterien Dokumentenmanagement-lösungen, ISO 2700x ISMS, IDW PS 880 Softwareprüfung, ISO 14721 OAIS Open Archival Information System

Normen Standards

Normen Standards

Fachliche Stellungnahmen

Fachliche Stellungnahmen

Abgeleitete Grundsätze Abgeleitete Grundsätze

Gesetze und Verordnungen Gesetze und Verordnungen

AKTUELL: Wichtig für Buchführungspflichtige!

• GoBS und GDPdU werden abgelöst • Seit April bzw. Juli 2013 lieg der Entwurf des BMF vor:

• Sollte letztes Jahr noch vor der Bundestagswahl in Kraft treten • Kritik von Verbänden und des Deutschen Steuerberater-

verbandes

Technische Anforderungen

Grundbuch

Hauptbuch

Anlagen

offene Posten

Anwendung 1

Anwendung 2

Anwendung 3

Anwendung 4

1980er

Insellösungen mit

Schnittstellen

1990er

Integration der Prozesse in

einem Unternehmen

2000er

Prozessintegration über

Unternehmensgrenzen

2010er

Vernetzung und Cloud

Computing

Integrierte Software – vernetzte Unternehmen

Praktische Anforderungen

• Ordnungsmäßigkeit

• Vollständigkeit

• Sicherheit des Gesamtverfahrens

• Schutz vor Veränderung und Verfälschung

• Sicherung vor Verlust

• Nutzung nur durch Berechtigte

• Einhaltung der Aufbewahrungsfristen

• Dokumentation des Verfahrens

• Nachvollziehbarkeit

• Prüfbarkeit

Rechtliche Risiken R

ech

nu

ng

in P

apie

rfo

rm

Urkunde nach § 416 ZPO

Manipulations- sicherheit

Aufbewahrung im Original

Vernichtung des

Originals

Nur Anscheinsbeweis (ZPO)

Dokumentation des Verfahrens (GoBS)

Verzicht auf Original ist zulässig

Innerbetriebliche Regelungen und

Kontrollen

GoB-konformes Verfahren

Technische Risiken

Ältere Versionen und Systemstände sind vorzuhalten Ältere Versionen und Systemstände sind vorzuhalten

Beschreibung der programmtechnischen Lösung Beschreibung der programmtechnischen Lösung

Technische Protokollierung jeder ändernden Option Technische Protokollierung jeder ändernden Option

Vorsteuerabzug ist gefährdet - Schätzung durch Finanzamt Vorsteuerabzug ist gefährdet - Schätzung durch Finanzamt

2. MAßNAHMEN UND VORKEHRUNGEN

• Frühes Archivieren

• Spätes Archivieren

• Systemgestützte Regeln

Frühes Archivieren

Dokumenten-eingang

Vorbereiten zum Scannen

Scannen + ID-Zuordnung

Image- kontrolle

Image- freigabe

Weiterleitung zur Erfassung der

Buchungs-informationen

Buchungs- freigabe

Verknüpfung ERP und DokID

Ablage auf Archivserver

Kontrolle der Verknüpfung

Freigabe des Originals zur Vernichtung

Erfassung der Buchungsinfo im

ERP-System

Frühes Archivieren

• Rechnungen werden bereits beim Zugang gescannt

• Systemgestützter Workflow erforderlich

• Systemgestützte Anbringung von Kontierungsmerkmalen

• Hohe Prozesskostenersparnis

• Komplexes Verfahren

Spätes Archivieren

Dokumenten-eingang

Barcode anbringen

Rechnung prüfen

Rechnung buchen

Ablage Scannen bei

Ablage

Automatische Identifizierung der Beleg-ID über Barcode und

Verknüpfung mit Buchungsbeleg

Archiv Archiv

Spätes Archivieren

• Eingangsrechnungen werden erst nach der Verbuchung gescannt

• Anbringung von Kontierungsmerkmalen auf dem Originaldokument

• Einfaches Verfahren

• Wenig Prozesskostenersparnis

Systemgestützte Regeln

Vollständigkeit der Archivierung

Lückenlose Erfassung

Abgeschlossene Geschäftsvorfälle

Zeitgerechtigkeit

Unveränderbar archiviert

Löschung erst nach Vollständigkeitstest

Archivierungs- form

inhaltlich <-> bildlich

Ursprüngliches Format

Farben relevant

Netto-Imaging

Aufbewahrung Archivierungskonzept zur Aufbewahrungsdauer

Keine vorzeitige Löschung

Systemgestützte Regeln

Organisation des Archivs

Vollständigkeit und gesetzliche Anforderungen

Aussagefähige Indexwerte

Retrivaltechniken

Elektronische Ausgabe und Export

Änderungen nur an der Kopie

Verfahrensdokumentation

Sicherheits- anforderungen

Systemprotokollierung

Physische und logische Zugriffskontrollen

Sicherungskopien

Lesbarkeitskontrollen

Ausnahmeregelungen: z.B. öffentlich beurkundete Dokumente

3. QUALITÄT UND ZERTIFIZIERUNG

• Prozessqualität

• Verfahrensdokumentation

• Zertifizierung

• Institutionen und Hilfsmittel

Qualität und Transparenz

Prozesse Prozesse Zentralisierung/Konzentration bei gleichzeitiger Informationstransparenz

Einrichtung von elektronischen Workflows

Verschlankung/Beschleunigung von Prozessen, Senkung der Prozesskosten

Elektronische/automatische Rechnungskontrolle

Fehlerreduktion (z. B. durch Automatisierung)

Moderne Medien/Systeme integrierbar

Zentralisierung/Konzentration bei gleichzeitiger Informationstransparenz

Einrichtung von elektronischen Workflows

Verschlankung/Beschleunigung von Prozessen, Senkung der Prozesskosten

Elektronische/automatische Rechnungskontrolle

Fehlerreduktion (z. B. durch Automatisierung)

Moderne Medien/Systeme integrierbar

Kunde Kunde Schneller Zugriff auf alle Bestandteile des Geschäftsprozesses

Reduktion der Ansprechpartner („one-face-to-the-customer“)

Mehr Service und mehr Sicherheit für den Kunden

Schneller Zugriff auf alle Bestandteile des Geschäftsprozesses

Reduktion der Ansprechpartner („one-face-to-the-customer“)

Mehr Service und mehr Sicherheit für den Kunden

Sonstiges Sonstiges

Umwelt wird geschont Umwelt wird geschont

Pflichtinhalt der Verfahrensdokumentation

Physische Sicherheit/Serverraum/Datensicherung Physische Sicherheit/Serverraum/Datensicherung

Aufbauorganisation/Verantwortlichkeit/Kontrollübersicht Aufbauorganisation/Verantwortlichkeit/Kontrollübersicht

Systemgrenzen/Schnittstellen Systemgrenzen/Schnittstellen

Programme/Programmschnittstellen/Datenspeicherung Programme/Programmschnittstellen/Datenspeicherung

Informationen/Daten/Geschäftsfälle/Verarbeitung Informationen/Daten/Geschäftsfälle/Verarbeitung

Fehlermeldung/Überwachung der Vollständigkeit, Richtigkeit/

Verfügbarkeit/Gegenmaßnahme

Fehlermeldung/Überwachung der Vollständigkeit, Richtigkeit/

Verfügbarkeit/Gegenmaßnahme

Hard- ware

Soft- ware

Infra-struktur

Orga-nisation

Pro- zesse

Kon-trollen

Versionierung und Aufbewahrung beachten:

Alle Bestandteile einer Verfahrensdokumentation sind aktuell zu halten und über die Dauer der gesetzlichen Aufbewahrungsfrist (10 Jahre) aufzubewahren.

Versionierung und Aufbewahrung beachten:

Alle Bestandteile einer Verfahrensdokumentation sind aktuell zu halten und über die Dauer der gesetzlichen Aufbewahrungsfrist (10 Jahre) aufzubewahren.

Aufbau einer Verfahrensdokumentation

Verfahrens-beschreibungen im Detail

Verfahrens-beschreibungen im Detail

Hauptdokument

mit im

wesentlichen

unveränderten

Inhalten

+

Referenzen auf

die

Unterdokumente

Technische Unter-lagen, Hand-bücher, …

Technische Unter-lagen, Hand-bücher, …

Arbeits-anweisungen, … Arbeits-anweisungen, …

Verträge, Protokolle, … Verträge, Protokolle, …

Standards des IDW

IDW RS FAIT 1 IDW RS FAIT 1

GoB bei Einsatz von Informationstechnologie GoB bei Einsatz von Informationstechnologie

IDW RS FAIT 2 IDW RS FAIT 2

GoB bei Einsatz von Electronic Commerce GoB bei Einsatz von Electronic Commerce

IDW RS FAIT 3 IDW RS FAIT 3

GoB beim Einsatz elektronischer Archivierungsverfahren

GoB beim Einsatz elektronischer Archivierungsverfahren

IDW RS FAIT 4 IDW RS FAIT 4

Anforderung an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse

Anforderung an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse

IDW PS 261 IDW PS 261

IDW PS 330 IDW PS 330

Abschlussprüfung bei Einsatz von Informationstechnologie Abschlussprüfung bei Einsatz von Informationstechnologie

IDW PS 951 IDW PS 951

Die Prüfung des internen Kontroll-systems beim Dienstleistungs-unternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen

Die Prüfung des internen Kontroll-systems beim Dienstleistungs-unternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen

IDW PS 880 IDW PS 880

Die Prüfung von Softwareprodukten Die Prüfung von Softwareprodukten

IKS

IKS

IKS-

IT

An

we

nd

un

g

Prüfungsstandards Bescheinigungen

Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken

Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken

PH.9.330.1 PH.9.330.1

Checkliste zur Abschluss-prüfung bei Einsatz von Informationstechnologie

Checkliste zur Abschluss-prüfung bei Einsatz von Informationstechnologie

PH.9.330.2 PH.9.330.2

Prüfung von IT-gestütz-ten Geschäftsprozessen im Rahmen der Abschluss-prüfung

Prüfung von IT-gestütz-ten Geschäftsprozessen im Rahmen der Abschluss-prüfung

PH.9.330.3 PH.9.330.3

Einsatz von Datenanalysen im Rahmen der Abschlussprüfung

Einsatz von Datenanalysen im Rahmen der Abschlussprüfung

Zertifizierung

Prüfung erfolgt auf Grundlage einer Verfahrensdoku-mentation. Basis hierfür sind die Prüfkriterien für Dokumententenmanagementlösungen (PK-DML) des VOI e.V.

Überprüfung der Einhaltung der Vorgaben und die Zertifizierung von elektro-nischen Archivsystemen, bzw. in kaufmännische Anwendungen oder Doku-mentenmanagement integrierte Archivkomponenten, erfolgt durch Wirt-schaftsprüfer beim Anwender vor Ort. Sofwarebescheinigung, die dem Auf- traggeber Ordnungsmäßigkeit und Sicherheit des Systems bestätigt.

Institutionen und Hilfsmittel

VOI – Verband Organisations-

und Informationssysteme e.V. - voice of information -

www.elektronische-steuerpruefung.de Führendes Portal zur digitalen Betriebs-prüfung mit zahlreichen Artikeln und weiterführenden Hinweisen.

www.voi.de Fachverband, der sich schwerpunktmäßig mit Fragestellungen zu Dokumenten- management-Lösungen auseinandersetzt. Innerhalb des Downloadbereichs findet sich eine Fülle von Unterlagen.

www.awv-net.de Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V. = Unabhängiges Zukunfts-forum für Wirtschaft und öffentliche Verwaltung

Noch Fragen?

• Andreas Stork

o Telefon: (07151) 502671

o Telefax: (07151) 502672

o Handy: (0174) 600 8831

o web: www.auditcoach.org

o eMail: info@auditcoach.de

o Xing: https://www.xing.com/profile/Andreas_Stork