GoBS
Inhaltsübersicht
- 1.
- 2.
- 3.Beleg-, Journal- und Kontenfunktion
- 3.1
- 3.2
- 3.3
- 3.4
- 3.5
- 4.
- 5.Internes Kontrollsystem (IKS)
- 5.1
- 5.2
- 5.3
- 5.4
- 5.5
- 5.6
- 6.Datensicherheit
- 6.1
- 6.2
- 6.3
- 6.4
- 6.5
- 6.6
- 6.7
- 6.8
- 7.Dokumentation und Prüfbarkeit
- 7.1
- 7.2
- 7.3
- 7.4
- 8.
- 9.Wiedergabe der auf Datenträgern geführten Unterlagen
- 9.1Vorwort - Bemerkungen
- 9.1.1
- 9.1.2
- 9.1.3
- 9.2
- 9.3
- 9.4
- 10.
- 11.
- 12.
- 13.
- 14.
Die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) sind im BMF-Schreiben vom 07.11.1995 - IV A 8 - S 0316 - 52/95 (BStBl I 1995, 738) dargestellt.
Die Ausführungen des BMF-Schreibens sind im Folgenden in neu gegliederter Form beschrieben (die Gliederung entspricht aus Gründen der übersichtlicheren Darstellung nicht immer den Original-Textziffern); wichtige Schlagworte sind fett markiert; die Textpassagen entsprechen dem wesentlichen Inhalt des o.g. BMF-Schreibens und sind vor dem Hintergrund aktueller Entwicklungen (insbesondere zu den Grundsätzen zum Datenzugriff und zur Prüfbarkeit bzw. Archivierung digitaler Unterlagen (GDPdU)) angepasst.
1. Allgemeine Anmerkungen
1.1 Erstellung der GoBS
Die "Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme" (GoBS) sind von der Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V. (AWV), Eschborn, ausgearbeitet worden. Unter Bezugnahme auf das Ergebnis der Erörterungen mit den obersten Finanzbehörden der Länder gilt für die Anwendung dieser Grundsätze Folgendes:
1.2 Entwicklung der GoBS aus den GoS
Durch die Grundsätze werden Fragen geklärt, die sich durch DV-gestützte Buchführungssysteme in Bezug auf die Erfüllung der Grundsätze ordnungsgemäßer Buchführung ergeben.
Mit der Anpassung an aktuelle und zukünftige Informationssysteme in den Unternehmen werden die vorher als "Grundsätze ordnungsmäßiger Speicherbuchführung (GoS)" bezeichneten Leitlinien als "Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme" (GoBS) neu gefasst.
Die Entwicklungen der letzten Jahre im Bereich der Datenverarbeitung (DV) haben weiterhin zu einer veränderten Betrachtungsweise der DV-gestützten Buchführung geführt. Von wesentlicher Bedeutung ist dabei, dass die Unternehmensfunktion "Buchhaltung" nicht mehr ohne weiteres eindeutig abgrenzbar ist. Durch den Einsatz integrierter DV-Systeme können "Buchhaltungsdaten", die bereits in außerhalb der Abteilung "Buchhaltung" vorgesehenen Arbeitsabläufen entstehen, unmittelbar in das Buchführungssystem einfließen, z.B. bei Betriebsdatenerfassung (BDE) und Datenübermittlung (z.B. Electronic Data Interchange - EDI). Derartige Verfahren im weiteren Sinne können somit Belegfunktion erlangen, wodurch sie dann ebenfalls den GoB und damit den Regeln der GoBS unterliegen.
2. Anwendungsbereich
2.1 Vorwort - Bemerkungen
2.1.1 Formellrechtliche Grundlage
Die nach steuerlichen Vorschriften zu führenden Bücher und Aufzeichnungen können nach § 146 Abs. 5 AO auf Datenträgern geführt werden, soweit diese Form der Buchführung und des dabei angewandten Verfahrens den GoB entspricht; § 147 Abs. 2 AO lässt unter gewissen Voraussetzungen die Aufbewahrung von Unterlagen auf Datenträgern zu. Als Datenträger kommen neben den Bildträgern insbesondere auch die maschinell lesbaren Datenträger (z.B. Diskette, Magnetband, Magnetplatte, elektrooptische Speicherplatte) in Betracht.
2.1.2 GoBS als Teil der GoB
Die Ordnungsmäßigkeit einer DV-gestützten Buchführung ist grundsätzlich nach den gleichen Prinzipien zu beurteilen, wie die einer manuell erstellten Buchführung. Mit den GoBS werden die allgemeinen GoB - der Maßstab für die Ordnungsmäßigkeit der Buchführung - für den Bereich der DV-gestützten Buchführung präzisiert. Zu beachten sind neben den handelsrechtlichen Grundsätzen ordnungsmäßiger Buchführung (vgl. hierzu insbesondere §§ 238, 239, 257 und 261 HGB) die §§ 145 bis 147 AO sowie H 29 EStH.
2.2 Handels- und steuerrechtliche Grundlagen
Die gesetzlichen Voraussetzungen für eine Buchführung, die auf Datenträgern geführt wird (DV-Buchführung), enthalten das Handelsgesetzbuch (HGB) und die Abgabenordnung (AO). Nach § 239 Abs. 4 HGB und § 146 Abs. 5 AO können Handelsbücher oder Bücher und die sonst erforderlichen Aufzeichnungen auch in der geordneten Ablage von Belegen bestehen oder auf Datenträgern geführt werden, soweit diese Formen der Buchführung einschließlich des dabei angewandten Verfahrens den GoB entsprechen. Die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme beschreiben die Maßnahmen, die der Buchführungspflichtige ergreifen muss, wenn er sicherstellen möchte, dass die Buchungen und sonst erforderlichen Aufzeichnungen vollständig, richtig, zeitgerecht und geordnet vorgenommen werden. Für die Einhaltung der GoB ist auch bei der DV-Buchführung der Buchführungspflichtige verantwortlich (vgl. auch Abschnitt 10).
2.3 Geltung für alle maschinell erstellten Buchführungen
Als DV-gestütztes Buchführungssystem ist schon dann eine Buchführung zu bezeichnen, wenn sie zumindest in Teilbereichen auch kurzfristig unter Nutzung von Hardware und Software auf DV-Datenträgern geführt wird. Damit umfasst der Anwendungsbereich der GoBS alle Buchführungen, die nicht ausschließlich personell und manuell erstellt werden (z.B. amerikanische Journalbuchführung).
Die Grundsätze gelten insbesondere auch für den Einsatz von ERP-Software-Systemen (z.B. SAP), die basierend auf einem oder mehreren Betriebssystemen eine Steuerung umfassender Unternehmensaktivitäten ermöglicht, diese miteinander verknüpft und in der Lage ist, die Funktionen verschiedener Geschäftsprozesse im Unternehmen (z.B. Personaleinsatz und -vergütung, Einkauf, Fertigung, Vertrieb, Logistik, Fakturierung und Finanzen) zu integrieren und zu optimieren.
Es ist sicherzustellen, dass während der Dauer der DV-Speicherung die Bücher, Belege und sonst erforderlichen Aufzeichnungen jederzeit innerhalb angemessener Frist verfügbar und lesbar gemacht werden können. Zu den DV-Datenträgern gehören neben den magnetischen Datenträgern insbesondere auch elektrooptische Datenträger. Da die Erstellung der Mikrofilme mit Hilfe des COM-Verfahrens (Computer-Output-Microfilm) die integrierte Fortsetzung des EDV-Verfahrens ist, unterliegt dieses Verfahren ebenfalls den GoBS. In einem DV-gestützten Buchführungssystem sind auch solche Prozesse zu berücksichtigen, in denen außerhalb des eigentlichen Buchhaltungsbereiches buchführungsrelevante Daten erfaßt, erzeugt, verarbeitet und/oder übermittelt werden.
2.4 Grundlagen der GoB für die GoBS
Bei einer DV-Buchführung sind, wie bei jeder anderen Buchführung, die GoB, insbesondere die Ordnungsvorschriften der §§ 238, 239 und 257 HGB und die §§ 145 und 146 AO zu beachten. Danach gilt vor allem Folgendes:
Die buchungspflichtigen Geschäftsvorfälle müssen richtig, vollständig und zeitgerecht erfasst sein sowie sich in ihrer Entstehung und Abwicklung verfolgen lassen (Beleg- und Journalfunktion, vgl. Abschnitt 3.3 und 3.4).
Die Geschäftsvorfälle sind so zu verarbeiten, dass sie geordnet darstellbar sind und ein Überblick über die Vermögens- und Ertragslage gewährleistet ist (Kontenfunktion, vgl. Abschnitt 3.5).
Die Buchungen müssen einzeln und geordnet nach Konten und diese fortgeschrieben nach Kontensummen oder Salden sowie nach Abschlussposition dargestellt und jederzeit lesbar gemacht werden können.
Ein sachverständiger Dritter muss sich in dem jeweiligen Verfahren der Buchführung in angemessener Zeit zurechtfinden und sich einen Überblick über die Geschäftsvorfälle und die Lage des Unternehmens verschaffen können.
Das Verfahren der DV-Buchführung muss durch eine Verfahrensdokumentation, die sowohl die aktuellen als auch die historischen Verfahrensinhalte nachweist, verständlich und nachvollziehbar gemacht werden.
Es muss gewährleistet sein, dass das in der Dokumentation beschriebene Verfahren dem in der Praxis eingesetzten Programm (Version) voll entspricht (Programmidentität).
3. Beleg-, Journal- und Kontenfunktion
3.1 Vorwort - Bemerkungen
3.1.1 Prüfbarkeit der Geschäftsvorfälle
Auch an die DV-gestützte Buchführung wird die Anforderung gestellt, dass Geschäftsvorfälle retrograd und progressiv prüfbar bleiben müssen.
Die progressive Prüfung beginnt beim Beleg, geht über die Grundaufzeichnungen zu den Konten und schließlich zu den Abschlüssen (Bilanz / Gewinn- und Verlustrechnung) bzw. zur Steueranmeldung / Steuererklärung. Die retrograde Prüfung verläuft umgekehrt.
Zur Erfüllung der Belegfunktionen sind deshalb Angaben zur Kontierung, zum Ordnungskriterium für die Ablage und zum Buchungsdatum auf dem Beleg erforderlich. Die Reihenfolge der Buchungen ist zu dokumentieren. Die ordnungsgemäße Anwendung des jeweiligen Verfahrens ist zu belegen. Der Nachweis der Durchführung der in dem jeweiligen Verfahren vorgesehenen Kontrollen ist u.a. durch Programmprotokolle sowie durch die Verfahrensdokumentation (vgl. Abschnitt 5.1 und 7.1) zu erbringen.
3.1.2 Unveränderlichkeit der Aufzeichnungen
Das zum Einsatz kommende DV-Verfahren muss die Gewähr dafür bieten, dass alle Informationen, die in den Verarbeitungsprozess" eingeführt werden, erfasst werden und zudem nicht mehr unterdrückt werden können (§ 146 Abs. 4 AO).
3.1.3 Verdichtete Zahlen
Bei der Auflösung verdichteter Zahlen sind die Einzelpositionen übersichtlich darzustellen (vgl. Abschnitt 3.5). Die Ordnungsmäßigkeit der Buchung verdichteter Zahlen erfordert den Nachweis der in den verdichteten Zahlen enthaltenen Einzelposten. Der Buchführungspflichtige ist nach § 147 Abs. 5 AO verpflichtet, auf Verlangen der Finanzbehörde gespeicherte Informationen unverzüglich ganz oder teilweise auszudrucken oder ohne Hilfsmittel lesbare Reproduktionen beizubringen (vgl. auch Abschnitt 9.1.1).
3.2 Grundsatz der Nachweisbarkeit gebuchter Geschäftsvorfälle
Dem Prinzip, dass ein sachlicher und zeitlicher Nachweis über sämtliche buchführungspflichtigen Geschäftsvorfälle erbracht werden muss, hat auch die DV-Buchführung zu entsprechen. Die Nachvollziehbarkeit des einzelnen buchführungspflichtigen Geschäftsvorfalls wird durch die Beachtung der Beleg-, Journal- und Kontenfunktion gewährleistet.
Der Zusammenhang zwischen dem zu Grunde liegenden Geschäftsvorfall und dessen Buchung bzw. dessen DV-Verarbeitung muss durch eine aussagekräftige Verfahrensdokumentation dargestellt werden (vgl. Abschnitt 7 "Dokumentation und Prüfbarkeit"). Der Buchführungspflichtige muss im Einzelfall durch Hinzuziehung der Verfahrensdokumentation die Erfüllung der Beleg-, Journal- und Kontenfunktion sicherstellen, um damit einem sachverständigen Dritten in angemessener Zeit einen ausreichend sicheren, eindeutigen und verständlichen Nachweis der Geschäftsvorfälle und deren Verarbeitung zu ermöglichen.
3.3 Belegfunktion
3.3.1 Übereinstimmung realer Vorgänge mit gebuchtem Inhalt
Die Belegfunktion stellt die Basis für die Beweiskraft der Buchführung dar. Sie ist der nachvollziehbare Nachweis über den Zusammenhang zwischen den unternehmensexternen und -internen buchungspflichtigen Vorgängen in der Realität einerseits und dem gebuchten Inhalt in den Geschäftsbüchern andererseits. Selbstverständlich muss auch für die Buchungen in DV-Buchführungen die Belegfunktion erfüllt sein.
3.3.2 Unternehmensexterne Geschäftsvorfälle
Aus dem Geschäftsverkehr mit Kunden, Lieferanten, Banken, Versicherungen, Behörden etc. ergeben sich unternehmensexterne buchführungspflichtige Geschäftsvorfälle, die die Vermögens- Ertrags- und Finanzlage des Buchführungspflichtigen beeinflussen.
3.3.3 Unternehmensinterne Geschäftsvorfälle
Soweit buchungspflichtige Vorgänge auf einem internen Leistungsprozess beruhen oder zur Abgrenzung von Abrechnungsperioden dienen, handelt es sich um unternehmensinterne Geschäftsvorfälle.
3.3.4 Erfüllung der Belegfunktion
Bei einer DV-Buchführung kann die Belegfunktion auf verschiedene Arten erfüllt werden. Das ergibt sich dadurch, dass bei DV-Buchführungen Buchungen nicht nur auf Grund vorliegender konventioneller Papierbelege, sondern zunehmend auch durch automatische Datenerfassung (z.B. Betriebsdatenerfassung), durch programminterne Routinen sowie durch Austausch maschinell lesbarer Datenträger oder durch Datenfernübertragung (z.B. EDI) ausgelöst werden können.
3.3.5 Inhalte
Unabhängig von der Art der Erfüllung der Belegfunktion müssen zum Buchungsvorgang die folgenden Inhalte belegt werden:
hinreichende Erläuterung des Vorganges,
zu buchender Betrag oder Mengen- und Wertangaben, aus denen sich der zu buchende Betrag ergibt,
Zeitpunkt des Vorganges (Bestimmung der Buchungsperiode),
Bestätigung des Vorganges (Autorisation) durch den Buchführungspflichtigen.
3.3.6 Aufbereitung von Belegen
Bei Vorliegen konventioneller Belege ist eine erfassungsgerechte Aufbereitung der Belege sicherzustellen. Aus dem Beleg müssen die einzelnen zu buchenden Angaben eindeutig erkennbar sein. Die Aufbereitung der Belege ist insbesondere bei Fremdbelegen von Bedeutung, da der Buchführungspflichtige im allgemeinen keinen Einfluss auf die Gestaltung der ihm zugesandten Handelsbriefe, z.B. Rechnungen, hat.
3.3.7 Belegfunktionen bei programminternen Buchungen
Im Unterschied zu den konventionell abgewickelten Geschäftsvorfällen muss die Belegfunktion zu programminternen Buchungen, Buchungen auf der Basis einer automatischen Betriebsdatenerfassung (BDE) und Buchungen auf der Basis eines elektronischen Datentransfers (EDI, Datenträgeraustausch) durch das jeweilige Verfahren erfüllt werden. Das Verfahren ist in diesem Zusammenhang wie ein Dauerbeleg zu betrachten. Die Erfüllung der Belegfunktion ist in diesen Fällen durch die ordnungsgemäße Anwendung des jeweiligen Verfahrens nachzuweisen. Dies ist durch den Nachweis der Durchführung der in dem jeweiligen Verfahren vorgesehenen Kontrollen sowie durch die Verfahrensdokumentation (vgl. Abschnitt 7 "Dokumentation und Prüfbarkeit") zu erbringen. Durch die Verfahrenskontrollen (vgl. Abschnitt 5 "Internes Kontrollsystem") ist die Vollständigkeit und Richtigkeit der Geschäftsvorfälle sowie deren Bestätigung (Autorisation) durch den Buchführungspflichtigen sicherzustellen.
3.4 Journalfunktion
3.4.1 Protokollierung der Erfassung von Geschäftsvorfällen
Der Nachweis der vollständigen, zeitgerechten und formal richtigen Erfassung der Geschäftsvorfälle kann durch Protokollierung auf verschiedenen Stufen des Verarbeitungsprozesses erbracht werden (bei der Datenerfassung/-übernahme, im Verlauf der Verarbeitung, am Ende der Verarbeitung). Erfolgt die Protokollierung nicht bereits bei der Datenerfassung / -übernahme (z.B. Primanota), sondern erst auf einer nachfolgenden Verarbeitungsstufe (z.B. maschineninterne Buchungsprotokolle), dann muss durch Maßnahmen / Kontrollen in dem Verfahren die Vollständigkeit der Geschäftsvorfälle von deren Entstehung bis zur Protokollierung sichergestellt sein. Die Protokollierung kann sowohl auf Papier als auch auf einem Bildträger oder anderen Datenträgern erfolgen (siehe auch Abschnitt 9 "Wiedergabe der auf Datenträgern geführten Unterlagen").
3.4.2 Anforderungen an die Darstellung
Der Nachweis (Journalfunktion) über die vollständig, zeitgerechte und formal richtige Erfassung, Verarbeitung und Wiedergabe eines Geschäftsvorfalls muss während der gesetzlichen Aufbewahrungsfrist innerhalb eines angemessenen Zeitraumes darstellbar sein. Die Geschäftsvorfälle müssen dabei in zeitlicher Reihenfolge sowie in übersichtlicher und verständlicher Form sowohl vollständig als auch auszugsweise dargestellt werden können.
3.5 Kontenfunktion
Zur Erfüllung der Kontenfunktion müssen die Geschäftsvorfälle nach Sach- und Personenkonten geordnet dargestellt werden können. Die Ordnungsmäßigkeit bei Buchung verdichteter Zahlen auf Sach- und Personenkonten erfordert die Möglichkeit des Nachweises der in den verdichteten Zahlen enthaltenen Einzelposten. Die Darstellung der Konten kann per Bildschirmanzeige, auf Papier sowie auf einem Bild- oder anderem Datenträger erfolgen. Soweit eine Darstellung per Bildschirmanzeige oder anderem Datenträger erfolgt, ist bei berechtigter Anforderung eine ohne Hilfsmittel lesbare Wiedergabe bereitzustellen (siehe auch Abschnitt 9 "Wiedergabe der auf Datenträgern geführten Unterlagen").
4. Buchung
4.1 Vorwort - Bemerkungen
Eine einmal erfolgte Buchung darf nicht verändert werden. Fehlerhafte Buchungen können wirksam und nachvollziehbar durch Stornierungen oder Neubuchungen geändert werden (vgl. Abschnitt 4.3). Es besteht deshalb weder ein Bedarf noch die Notwendigkeit für weitere nachträgliche Veränderungen einer einmal erfolgten Buchung. Sollte eine Buchung ausnahmsweise verändert werden, ist § 146 Abs. 4 AO zu beachten.
4.2 Ordnungsgemäße Buchung
Geschäftsvorfälle bei DV-Buchführungen sind dann ordnungsgemäß gebucht, wenn sie nach einem Ordnungsprinzip vollständig, formal richtig, zeitgerecht und verarbeitungsfähig erfasst und gespeichert sind:
Das Ordnungsprinzip bei DV-gestützten Buchführungssystemen setzt die Erfüllung der Belegfunktion sowie der Kontenfunktion voraus. Die Speicherung der Geschäftsvorfälle nach einem bestimmten Ordnungsmerkmal ist nicht vorgeschrieben. Die Forderung nach einem Ordnungsprinzip ist erfüllt, wenn auf die gespeicherten Geschäftsvorfälle und/oder Teile von diesen gezielt zugegriffen werden kann.
Die Verarbeitungsfähigkeit der Buchungen muss, angefangen von der maschinellen Erfassung über die weiteren Bearbeitungsstufen (retrograde und progressive Prüfbarkeit, vgl. Abschnitt 3.1.1), sichergestellt sein. Sie setzt voraus, dass - neben den Daten zum Geschäftsvorfall selbst - auch die für die Verarbeitung erforderlichen Tabellendaten und Programme gespeichert sind.
Durch Kontrollen ist sicherzustellen, dass alle Geschäftsvorfälle vollständig erfasst werden und nach erfolgter Buchung nicht unbefugt (d.h. nicht ohne Zugriffsschutzverfahren) und nicht ohne Nachweis des vorausgegangenen Zustandes verändert werden können. Der Nachweis der Kontrollen kann in Form von Buchungsprotokollen oder in anderer protokollierbarer, verfahrensabhängiger Darstellungsweise (maschinell erstellte Erfassungs- / Übertragungs- und Verarbeitungsprotokolle) geschehen (vgl. auch Ausführungen in Abschnitt 5 "Internes Kontrollsystem").
Die formale Richtigkeit der Buchungen muss durch Erfassungskontrollen sichergestellt werden, um zu gewährleisten, dass alle für die - unmittelbar oder zeitlich versetzt - nachfolgende Verarbeitung erforderlichen Merkmale einer Buchung vorhanden und plausibel sind. Insbesondere müssen die Merkmale für eine zeitliche Darstellung sowie eine Darstellung nach Sach- und Personenkonten gespeichert sein.
Die Forderung nach zeitgerechter Verbuchung bezieht sich auf die zeitnahe und periodengerechte (der richtigen Abrechnungsperiode zugeordnete) Erfassung der Geschäftsvorfälle.
4.3 Änderung von Buchungen
Aus den vorangehend dargestellten Anforderungen für den Zeitpunkt der Buchung ergibt sich, dass der Vollzug der Buchung vom gewählten Verfahren abhängig ist. Der Zeitpunkt der Buchung muss in der Verfahrensdokumentation - vgl. Abschnitt 7.4 - (z.B. im Anwenderhandbuch) definiert sein. Werden erfasste Daten vor dem Buchungszeitpunkt, z.B. wegen offensichtlicher Unrichtigkeit korrigiert, braucht der ursprünglich gespeicherte Inhalt nicht feststellbar zu sein. Werden Merkmale (Belegbestandteile, Kontierung) einer erfolgten Buchung verändert, so muss der Inhalt der ursprünglichen Buchung feststellbar bleiben, z.B. durch Aufzeichnungen über durchgeführte Änderungen (Storno- und Neubuchung). Diese Änderungsnachweise sind Bestandteil der Buchführung und aufzubewahren.
5. Internes Kontrollsystem (IKS)
5.1 Vorwort - Bemerkungen
Da die GoBS die Anforderungen an die Kontrollen, Regelungen und Maßnahmen beinhalten, die der Buchführungspflichtige vorsehen und umsetzen muss, um den GoB bei Einsatz der DV zu genügen, ist es erforderlich, den Begriff des Internen Kontrollsystems (IKS) in die GoBS einzuführen. Das IKS stellt unter anderem darauf ab, dass die Ausgestaltung organisatorischer Kontrollmechanismen, wie z.B. Funktionstrennungen und Abstimmkontrollen, die Ordnungsmäßigkeit einer Buchführung bestimmt.
Das IKS ist nur eines von vielen Kriterien zur Erfüllung der Ordnungsmäßigkeit einer DV-gestützten Buchführung. Das IKS allein indiziert noch nicht die Ordnungsmäßigkeit der DV-gestützten Buchführung.
Die Beschreibung des IKS ist Bestandteil der Verfahrensdokumentation (vgl. Abschnitt 7). Die Wirksamkeit eingerichteter Kontrollen und Sicherungen sollte als Systemprüfungshandlung in die Prüfung einbezogen werden. Dadurch können Prüfungsfelder eingegrenzt oder ganz abgehandelt werden (kombinierte System- und Einzelfallprüfung).
5.2 Aufgaben des IKS
Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet, die die folgenden Aufgaben haben:
Sicherung und Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller Art;
Bereitstellung vollständiger, genauer und aussagefähiger sowie zeitnaher Aufzeichnungen;
Förderung der betrieblichen Effizienz durch Auswertung und Kontrolle der Aufzeichnungen und
Unterstützung der Befolgung der vorgeschriebenen Geschäftspolitik.
5.3 Ziel des IKS
Ziel des IKS im Zusammenhang mit einer DV-Buchführung ist es, den Buchführungspflichtigen dahingehend zu unterstützen, die Gesetz- und Satzungsmäßigkeit von Buchführung und Jahresabschluss sicherzustellen sowie sich einen Überblick über die wirtschaftliche Lage des Unternehmens zu verschaffen. Für die Erfüllung der GoBS ist daher die Bereitstellung vollständiger, genauer, aussagefähiger und zeitgerechter Aufzeichnungen eine wesentliche Voraussetzung.
5.4 Erfordernis eines Kontrollsystems
Zum Nachweis der Ordnungsmäßigkeit einer DV-Buchführung muss daher das IKS im Hinblick auf die beiden in Abschnitt 5.3 genannten Aufgaben (Bereitstellen der Aufzeichnungen; Vermögensschutz) beurteilt werden. Dabei reichen wegen komplexer Abläufe und Strukturen beim Buchführungspflichtigen einzelne, voneinander isolierte Kontrollmaßnahmen keinesfalls aus. Vielmehr bedarf es einer planvollen und lückenlosen Vorgehensweise, um ein effizientes Kontrollsystem im Unternehmen zu installieren.
5.5 Voraussetzungen für ein funktionsfähiges IKS
Bei der Gestaltung und Beurteilung eines IKS sind bei DV-Einsatz im Hinblick auf diese beiden Aufgabenstellungen folgende Punkte zu beachten:
5.5.1 Manuelle und maschinelle Kontrollen
Komplexe und integrierte Systeme erfordern maschinelle und manuelle Kontrollen zur Vollständigkeit und Richtigkeit. Die manuellen und maschinellen Kontrollen müssen aufeinander abgestimmt sein.
5.5.2 Zuständigkeit und Verantwortung
Die Zuständigkeit und die Verantwortung für betriebliche Funktionen muss eindeutig geregelt sein. Bei der Zuständigkeits- bzw. Verantwortungsregelung ist das Prinzip der Funktionstrennung zu beachten. Ist eine Funktionstrennung nicht möglich bzw. wirtschaftlich nicht zumutbar, so sind weitere organisatorische Kontrollen in angemessener Form notwendig.
5.5.3 Arbeitsabläufe
Buchungsrelevante Arbeitsabläufe müssen definiert und in ihrer Reihenfolge festgelegt sein.
5.5.4 Dokumentation von Kontrollen
Ausgeführte manuelle und maschinelle Kontrollen müssen dokumentiert werden (Abstimmungskontrollen / Plausibilitätskontrollen, Freigabeverfahren).
Bei den Kontrollmaßnahmen ist zu beachten, dass manuelle Kontrollen umgehbar sind oder gegebenenfalls nicht mit der gebotenen Sorgfalt ausgeführt werden. Sie bedürfen daher grundsätzlich einer nachträglichen Überwachung.
Maschinelle Kontrollen sind in Programmabläufe integrierte Prüfbedingungen, die die Verarbeitung von nicht plausiblen und unvollständigen Daten verhindern sollen. Sie können sowohl auf den Ebenen der Betriebssysteme und betriebssystemnahen Software als auch auf der Ebene der Anwendungsprogramme eingerichtet werden.
5.5.5 Programmidentität
Im Rahmen eines funktionsfähigen IKS muss auch die Programmidentität sichergestellt werden, d.h. es muss periodenbezogen geprüft werden, ob die eingesetzte DV- Buchführung auch tatsächlich dem dokumentierten System entsprochen hat (vgl. auch Abschnitt 7.4.3). Die Notwendigkeit der Sicherstellung der Programmidentität besteht unabhängig von der Art der eingesetzten Rechnersysteme (von der Groß-DV bis zum Stand-alone-PC).
Wichtige Voraussetzung für die Sicherstellung der Programmidentität ist insbesondere, dass Richtlinien für
Programmierung
Programmtests
Programmfreigaben
Programmänderungen
Änderungen von Stamm- und Tabellendaten
Zugriffs- und Zugangsverfahren
den ordnungsgemäßen Einsatz von Datenbanken, Betriebssystemen und Netzwerken, sowie den Einsatz von Testdatenbeständen / -systemen und Programmeinsatzkontrollen
existieren, und dass diese aufeinander abgestimmt ineinander greifen und den aktuellen, unternehmensspezifischen Besonderheiten Rechnung tragen.
Entsprechend den generellen Anforderungen an Transparenz, Kontrollierbarkeit und Verlässlichkeit des eingesetzten maschinellen Verarbeitungssystems muss gewährleistet sein, dass jedes produktiv eingesetzte Programm autorisiert für den richtigen Zweck eingesetzt wird. Dabei muss die jeweils aktuelle Programmversion feststellbar sein und dokumentiert werden.
5.6 Beschreibung des IKS
Das IKS ist zu beschreiben; insbesondere ist hierbei den "Mensch-Maschine-Schnittstellen" besondere Bedeutung beizumessen. Die Beschreibung des IKS - soweit für das Verständnis des DV-Buchführungssystems relevant - ist Bestandteil der Verfahrensdokumentation (vgl. Abschnitt 7).
6. Datensicherheit
6.1 Vorwort - Bemerkungen
Zu sichern und zu schützen sind neben den Programmdaten auch die Änderungen der Tabellen- und Stammdaten.
Ziel der Datensicherungsmaßnahmen ist es, die Risiken für die gesicherten Programme / Datenbestände hinsichtlich Unauffindbarkeit, Vernichtung und Diebstahl zu vermeiden. Systematische Verzeichnisse über die gesicherten Programme / Datenbestände sollen das Risiko der Unauffindbarkeit ausschließen. Das Risiko der Vernichtung der Datenträger ist durch geeignete Aufbewahrungsorte zu vermeiden.
Der Schutz sensibler Informationen des Unternehmens auch gegen unberechtigte Kenntnisnahme bezieht sich aber nicht auf die Vorlage von Unterlagen im Rahmen einer Außenprüfung.
6.2 Notwendigkeit eines Datensicherheitskonzeptes
Die starke Abhängigkeit der Unternehmung von ihren gespeicherten Informationen macht ein ausgeprägtes Datensicherheitskonzept für das Erfüllen der GoBS unabdingbar. Dabei muss dem Unternehmen bewusst und klar sein, dass Datensicherheit nur dann hergestellt und auf Dauer gewährleistet werden kann, wenn bekannt ist, was, wogegen, wie lange und wie zu sichern ist und geschützt werden soll (Erfordernis von Vorsorgemaßnahmen).
6.3 Umfang der zu sichernden Daten
Zu sichern und zu schützen sind nicht nur die für die Buchführung relevanten abgespeicherten Informationen sondern auch die Informationen, an deren Sicherung und Schutz das Unternehmen ein Eigeninteresse hat. Unter "Informationen" sind in diesem Zusammenhang die Software (Betriebssystem, Anwendungsprogramme), die Tabellen- und Stammdaten, die Bewegungsdaten (z.B. die Daten eines Geschäftsvorfalles) sowie die sonstigen Aufzeichnungen zu verstehen.
Auch Aufzeichnungen von Informationen, die sich aus anderen Rechtsgrundlagen ergeben, fallen hierunter (Hinweis auf Buchführungspflicht nach § 140 AO, Abschnitt 5).
Belege und sonstige Aufzeichnungen, die vom Buchführungspflichtigen in konventioneller Form (Papier) aufbewahrt werden, sind ebenfalls zu sichern und zu schützen.
6.4 Sicherung und Schutz
Diese Informationen sind gegen Verlust zu sichern und gegen unberechtigte Veränderung zu schützen. Über die Anforderungen der GoBS hinaus sind die sensiblen Informationen des Unternehmens auch gegen unberechtigte Kenntnisnahme zu schützen.
6.5 Dauer der Sicherung
Die buchhalterisch relevanten Informationen sind zumindest für die Dauer der gesetzlichen Aufbewahrungsfrist zu sichern und zu schützen (vgl. Abschnitt 8 "Aufbewahrungsfristen"). Vom Unternehmen ist zu entscheiden, ob und für welche Informationen aus unternehmensinternen Gründen eine längere Aufbewahrungsdauer gelten soll. Da zur Erfüllung der Anforderung, die buchhalterisch relevanten Informationen während der Dauer der Aufbewahrungspflicht jederzeit lesbar machen zu können, nicht nur die Verfügbarkeit der Daten und der Software, sondern auch der Hardware gewährleistet sein muss, muss das Datensicherungskonzept im weiteren Sinne auch die Sicherung der EDV-technischen Installationen (Hardware, Leitungen etc.) umfassen.
6.6 Art der Datensicherung
Wie im einzelnen Unternehmen die erforderliche Datensicherheit hergestellt und auf Dauer gewährleistet werden kann, ist von den im Einzelfall gegebenen technischen Bedingungen sowie den sich aus diesen ergebenden Möglichkeiten abhängig.
6.6.1 Schutz vor unberechtigten Veränderungen
Der Schutz der Informationen gegen unberechtigte Veränderungen / Manipulationen ist durch wirksame Zugriffs- bzw. Zugangskontrollen zu gewährleisten. Dies sind zum einen die Zugriffsberechtigungskontrollen, die so zu gestalten sind, dass nur berechtigte Personen in dem ihrem Aufgabenbereich entsprechenden Umfang auf Programme und Daten zugreifen können. Es sind zum anderen die Zugangskontrollen zu den Räumen, in denen die Datenträger aufbewahrt werden. Diese Zugangskontrollen müssen verhindern, dass unberechtigte Personen Zugang zu Datenträgern haben. Sie müssen insbesondere auch für die Räumlichkeiten gelten, in die die Datenträger der Datensicherung ausgelagert sind.
6.6.2 Sicherung vor Verlust
Die Sicherung der Informationen vor Verlust erfordert im ersten Schritt die Durchführung von Datensicherungsprozeduren zu den auf dem EDV-System geführten Programmen und Daten. Die Durchführung von Datensicherungsprozeduren ist verbindlich anzuweisen. Es ist zweckmäßig, periodische Datensicherungsprozeduren vorzusehen und ergänzend zu diesen ad hoc Sicherungen durchzuführen, wenn im Zeitraum zwischen zwei Datensicherungen außergewöhnlich intensiv Programme und / oder Daten geändert bzw. verarbeitet wurden. Zu den aufbewahrungspflichtigen und weiteren sensiblen Daten und Programmen sollten Sicherungskopien zusätzlich erstellt und an einem anderen Standort (anderer Sicherheitsbereich) aufbewahrt werden.
Der zweite Schritt der Sicherung der Informationen vor Verlust umfasst die Maßnahmen, durch die für die gesicherten Programme und Datenbestände die Risiken hinsichtlich Unauffindbarkeit, Vernichtung und Diebstahl im erforderlichen Maß reduziert werden:
Das Risiko der Unauffindbarkeit ist durch das Führen eines systematischen Verzeichnisses über die gesicherten Programme und Datenbestände zu reduzieren. Aus dem Verzeichnis muss sich zu dem einzelnen Datenträger dessen Standort, dessen Inhalt, Datum der Sicherung und frühestes Datum des Löschens des Datenträgerinhaltes ergeben.
Das Risiko der Vernichtung der Datenträger ist dadurch zu reduzieren, dass für die Aufbewahrungsstandorte die Bedingungen geschaffen werden, durch die eine Vernichtung oder Beeinträchtigung der gesicherten Informationen durch Feuer, Temperatur bzw. Feuchtigkeit, Magnetfelder etc. weitestgehend ausgeschlossen ist.
Das Risiko des Diebstahls der Datenträger ist dadurch zu reduzieren, dass diese in verschlossenen und ausreichend gegen Einbruch gesicherten Räumen bzw. Tresoren aufbewahrt werden. Um bei Langzeitspeicherung der aufbewahrungspflichtigen Informationen die Lesbarkeit der Datenträger sicherzustellen, ist anzuweisen, in welchen Zeitabständen die Lesbarkeit der Datenträger zu überprüfen ist. Wie groß diese Zeitabstände sein dürfen, ist von der benutzten Speicherungstechnik abhängig.
6.7 Unternehmensabhängige Art der Datensicherung
Da das "Wie" der Datensicherheit von dem jeweils gegebenen Stand der EDV-Technik abhängt, ergibt sich aus der technischen Entwicklung für das Unternehmen die Notwendigkeit, ihr Datensicherheitskonzept den jeweils aktuellen Anforderungen und Möglichkeiten anzupassen.
6.8 Dokumentation des Datensicherungskonzeptes
Das Datensicherungskonzept des Unternehmens ist zu dokumentieren. Dies gilt insbesondere für das Verfahren bzw. die Prozeduren der Datensicherung (vgl. Abschnitt 7 "Dokumentation und Prüfbarkeit").
7. Dokumentation und Prüfbarkeit
7.1 Vorwort - Bemerkungen
7.1.1 Grundsätze der Verfahrensdokumentation
Für jedes DV-gestützte Buchführungssystem ist eine Dokumentation zu erstellen (Verfahrensdokumentation). Die in Abschitt 7.4 aufgeführten Merkmale der Verfahrensdokumentation sind keine abschließende Aufzählung aller aufbewahrungspflichtigen Dokumentationsunterlagen, sondern lediglich ein Rahmen für den Umfang der Dokumentation. Dieser wird im Einzelfall durch das bestimmt, was zum Verständnis der Buchführung notwendig ist.
7.1.2 Dokumentation der Systemeinstellungen
Bestandteil der Verfahrensdokumentation ist auch eine Beschreibung der vom Programm zugelassenen Änderungen von Systemeinstellungen durch den Anwender. Die Beschreibung der variablen, benutzerdefinierten Aufgabenstellungen ist Teil der sachlogischen Beschreibung.
7.1.3 Nachweis der Programmidentität
Die Beschreibung der programmtechnischen Lösung beinhaltet auch die Gültigkeitsdauer einer Tabelle. Zum Nachweis der Programmidentität (vgl. Abschnitt 7.4.3) ist das sog. Programmprotokoll (Umwandlungsliste, Übersetzungsliste) erforderlich. Als Teil der Verfahrensdokumentation stellt dieses Protokoll regelmäßig den einzigen genauen Nachweis über den Inhalt des tatsächlich verwendeten Programms dar (§ 147 Abs. 1 Nr. 1 AO).
7.2 Überprüfbarkeit
Die DV-Buchführung muss - wie jede Buchführung - von einem sachverständigen Dritten hinsichtlich ihrer formellen und sachlichen Richtigkeit in angemessener Zeit prüfbar sein. Dies bezieht sich auf die Prüfbarkeit einzelner Geschäftsvorfälle (Einzelprüfung) als auch auf die Prüfbarkeit des Abrechnungsverfahrens (Verfahrens- oder Systemprüfung). Weiterhin muss sich aus der Dokumentation ergeben, dass das Verfahren entsprechend seiner Beschreibung durchgeführt worden ist.
7.3 Erfordernis einer Verfahrensdokumentation
Aus der zu Grunde zu legenden Verfahrensdokumentation müssen Inhalt, Aufbau und Ablauf des Abrechnungsverfahrens vollständig ersichtlich sein. Insbesondere muss sich aus der Verfahrensdokumentation die Umsetzung der in den Abschnitten 2 bis 6 enthaltenen Anforderungen an ein ordnungsmäßiges Verfahren ergeben.
Wie die erforderliche Verfahrensdokumentation formal gestaltet und technisch geführt wird, kann der Buchführungspflichtige individuell entscheiden. Die jeweilige Verfahrensdokumentation muss für einen sachverständigen Dritten aber verständlich sein.
Der Umfang der erforderlichen Verfahrensdokumentation richtet sich nach der Komplexität der DV-Buchführung (z.B. Anzahl und Größe der Programme, Struktur ihrer Verbindungen untereinander, Nutzung von Tabellen). Die Anforderungen an die Verfahrensdokumentation sind unabhängig von der Größe / Kapazität der genutzten DV- Anlage (Hardware) zu stellen, d.h. sowohl bei Großrechnersystemen als auch bei PC-Systemen ist für eine entsprechende Verfahrensdokumentation zu sorgen.
Auch bei fremd erworbener Software, bei der die Dokumentation vom Software-Ersteller angefertigt wird, ist der Buchführungspflichtige für die Vollständigkeit und den Informationsgehalt der Verfahrensdokumentation verantwortlich. Er ist deshalb auch dafür verantwortlich, dass im Bedarfsfalle die Teile der Verfahrensdokumentation eingesehen werden können, die ihm nicht ausgehändigt worden sind (zur weitergehenden Verantwortlichkeit des Buchführungspflichten vgl. Abschnitt 10).
7.4 Inhalt
Die Verfahrensdokumentation muss insbesondere beinhalten:
eine Beschreibung der sachlogischen Lösung (vgl. Abschnitt 7.4.1),
die Beschreibung der programmtechnischen Lösung (vgl. Abschnitt 7.4.2),
eine Beschreibung, wie die Programm-Identität gewährt wird (vgl. Abschnitt 7.4.3),
Beschreibung, wie die Integrität von Daten gewahrt wird (vgl. Abschnitt Tz. 7.4.4),
Arbeitsanweisungen für den Anwender (vgl. Abschnitt 7.4.5).
Die Beschreibung eines jeden der vorgenannten Bereiche muss den Umfang und die Wirkungsweise des internen Kontrollsystems (vgl. Abschnitt 5) erkennbar machen.
7.4.1 Sachlogische Beschreibung
Die sachlogische Beschreibung enthält die Darstellung der fachlichen Aufgabe aus der Sicht des Anwenders. Diese enthält insbesondere folgende Punkte:
Generelle Aufgabenstellung
Beschreibung der Anwenderoberflächen für Ein- und Ausgabe einschließlich der manuellen Arbeiten
Beschreibung der Datenbestände
Beschreibung von Verarbeitungsregeln
Beschreibung des Datenaustausches (Datenträgeraustausch/Datentransfer)
Beschreibung der maschinellen und manuellen Kontrollen
Beschreibung der Fehlermeldungen und der sich aus den Fehlern ergebenden Maßnahmen
Schlüsselverzeichnisse
Schnittstellen zu anderen Systemen
7.4.2 Programmtechnische Lösung
Die Beschreibung der programmtechnischen Lösung hat zu zeigen, wo und wie die sachlogischen Forderungen in Programmen umgesetzt sind. Tabellen, über die die Funktionen der Programme beeinflusst werden können, sind wie Programme zu behandeln. Programmänderungen sind in der Verfahrensdokumentation auszuweisen.
Soweit die Programmänderungen nicht automatisch dokumentiert werden, muss durch zusätzliche organisatorische Maßnahmen gewährleistet werden, dass Alt- und Neuzustand eines geänderten Programms nachweisbar sind. Änderungen von Tabellen mit Programmfunktion sind in der Weise zu dokumentieren, dass für die Dauer der Aufbewahrungsfrist der jeweilige Inhalt einer Tabelle festgestellt werden kann.
7.4.3 Dokumentation der Programmidentität
In der Beschreibung, wie die Programmidentität gewahrt wird, hat der Buchführungspflichtige nachzuweisen, dass die sachlogischen Forderungen durch die eingesetzten Programme erbracht werden bzw. erbracht worden sind. Hierzu gehören die präzise Beschreibung des Freigabeverfahrens mit Regelungen über Freigabekompetenzen, der durchzuführenden Testläufe und die dabei zu verwendenden Daten sowie Anweisungen für Programmeinsatzkontrollen. Zum Nachweis der Programmidentität gehört im Wesentlichen die Freigabeerklärung in Verbindung mit vorhandenen Testdatenbeständen. Aus der Freigabeerklärung muss sich ergeben, welche Programmversion ab welchem Zeitpunkt für den produktiven Einsatz vorgesehen ist.
7.4.4 Datenintegrität
Als Maßnahmen zur Wahrung der Datenintegrität sind alle Vorkehrungen zu beschreiben, durch die erreicht wird, dass Daten und Programme nicht von Unbefugten geändert werden können. Hierzu gehören neben der Beschreibung des Zugriffsberechtigungsverfahrens der Nachweis der sachgerechten Vergabe von Zugriffsberechtigungen.
7.4.5 Arbeitsanweisungen
Die Arbeitsanweisungen, die für den Anwender zur sachgerechten Erledigung und Durchführung seiner Aufgaben vorhanden sein müssen, gehören ebenfalls zur Verfahrensdokumentation und sind schriftlich zu fixieren. Das ist insbesondere die Beschreibung der im Verfahren vorgesehenen manuellen Kontrollen und Abstimmungen. Die Schnittstellen zu vor- und nachgelagerten Systemen sind hierbei zu berücksichtigen.
8. Aufbewahrungsfristen
8.1 Vorwort - Bemerkungen
Die hier genannten Aufbewahrungsfristen können sich gemäß § 147 Abs. 3 letzter Satz AO verlängern (Hinweis auf die steuerlichen Festsetzungsfristen).
8.2 6- bzw. 10-jährige Aufbewahrungsfrist
Daten mit Belegfunktion sind grundsätzlich sechs Jahre, Daten und sonst erforderliche Aufzeichnungen mit Grundbuch- oder Kontenfunktion sind grundsätzlich zehn Jahre aufzubewahren.
Die Verfahrensdokumentation zur DV-Buchführung gehört zu den Arbeitsanweisungen und sonstigen Organisationsunterlagen im Sinne des § 257 Abs. 1 HGB bzw. § 147 Abs. 1 AO und ist grundsätzlich zehn Jahre aufzubewahren. Teile der Verfahrensdokumentation, denen ausschließlich Belegfunktion zukommt (z.B. die Dokumentation zur DV-Verkaufsabrechnung, aus der sich die Buchungen zu den Forderungen ergeben), sind grundsätzlich sechs Jahre aufzubewahren.
Die Verfahrensdokumentation kann auch auf Bildträgern oder auf anderen Datenträgern aufbewahrt werden.
Die Aufbewahrungsfristen (s. auch Aufbewahrungspflichten) für die Verfahrensdokumentation beginnen mit dem Schluss des Kalenderjahres, in dem buchhaltungsrelevante Daten in Anwendung des jeweiligen Verfahrens erfasst wurden, entstanden sind oder bearbeitet wurden.
9. Wiedergabe der auf Datenträgern geführten Unterlagen
9.1 Vorwort - Bemerkungen
9.1.1 Kosten für die Erstellung lesbarer Unterlagen
Der Buchführungspflichtige, der aufzubewahrende Unterlagen nur in Form einer Wiedergabe auf einem Datenträger vorlegen kann, ist verpflichtet, auf seine Kosten diejenigen Hilfsmittel zur Verfügung zu stellen, die erforderlich sind, um die Unterlagen lesbar zu machen; auf Verlangen der Finanzbehörde hat er auf seine Kosten die Unterlagen unverzüglich ganz oder teilweise auszudrucken bzw. lesbare Reproduktionen beizubringen (vgl. Abschnitt 3.1.3 und 9.2 sowie § 147 Abs. 5 AO).
9.1.2 Speicherung auf digitale Datenträger
§ 147 Abs. 2 AO schreibt zur Archivierung von Unterlagen (Dokumenten) auf digitalen Datenträgern keine besondere Technik vor. Mit Ausnahme der Jahresabschlüsse und der Eröffnungsbilanz ist damit die Speicherung / Archivierung der aufbewahrungspflichtigen Unterlagen (Dokumente) auf digitalen Datenträgern als sog. "andere Datenträger" i.S.d. § 147 Abs. 2 AO zulässig.
Dabei sind grundsätzlich zwei Verfahren zu unterscheiden:
9.1.2.1 Speicherung von analogen Dokumenten (in Papierform verkörperte Dokumente)
Analoge Dokumente werden im Anschluss an den Scannvorgang auf digitalen Datenträgern archiviert. Der Scannvorgang bedarf einer genauen Organisationsanweisung darüber,
wer scannen darf
zu welchem Zeitpunkt gescannt wird
welches Schriftgut gescannt wird
ob eine bildliche oder inhaltliche Übereinstimmung mit dem Original erforderlich ist (§ 147 Abs. 1 Nr. 2 oder 3 AO)
wie die Qualitätskontrolle auf Lesbarkeit und Vollständigkeit und
wie die Protokollierung von Fehlern zu erfolgen hat.
Das mittels Scannen entstandene digitale Dokument ist mit einem unveränderbaren Index zu versehen. Hard- und softwaremäßig muss sichergestellt sein, dass das Scannergebnis unveränderbar ist. Im Anschluss an den Scannvorgang darf die weitere Bearbeitung nur mit dem gespeicherten Beleg erfolgen (z.B. Buchungsvermerke).
9.1.2.2 Speicherung von originär digitalen Dokumenten
Originär digitale Dokumente (zum Begriff vgl. Abschnitt 14) werden durch Übertragung der Inhalts- und Formatierungsdaten auf einen digitalen Datenträger archiviert. Bei originär digitalen Dokumenten muss hard- und softwaremäßig sichergestellt sein, dass während des Übertragungsvorgangs auf das Speichermedium eine Bearbeitung nicht möglich ist.
Die Indexierung hat wie bei gescannten Dokumenten zu erfolgen. Das so archivierte digitale Dokument kann nur unter dem zugeteilten Index bearbeitet und verwaltet werden.
Die Bearbeitungsvorgänge sind zu protokollieren und mit dem Dokument zu speichern. Das bearbeitete Dokument ist als "Kopie" zu kennzeichnen. Die gespeicherten Dokumente müssen während der gesamten Aufbewahrungsfrist jederzeit reproduzierbar d.h. lesbar sein (vgl. Abschnitt 8 und 6.5).
Zur Archivierung originär digitaler Unterlagen vgl. Abschnitt 14; zur Aufbewahrungspflicht elektronischer Kontoauszüge vgl. Abschnitt 3.9.2 zu Aufbewahrungspflichten.
9.1.3 Bildliche Übereinstimmung der Originale mit den gespeicherten Dokumenten
Bei der Speicherung auf Datenträgern ist bei bestimmten Unterlagen sicherzustellen, dass die Wiedergabe mit der Originalunterlage bildlich übereinstimmt (§ 147 Abs. 2 Nr. 1 AO). Eine vollständige Farbwiedergabe ist erforderlich, wenn der Farbe Beweisfunktion zukommt (z.B. bei Stempeln, Unterschriften, etc.).
Der Verzicht auf einen herkömmlichen Beleg darf die Möglichkeiten der Prüfung des betreffenden Buchungsvorgangs in formeller und sachlicher Hinsicht nicht beeinträchtigen. Der Erhalt der Verknüpfung zwischen Index, digitalem Dokument und Datenträger muss während der gesamten Aufbewahrungsfrist gewährleistet sein. Die Originalunterlagen können darüber hinaus nur vernichtet werden, soweit sie nicht nach anderen Rechtsvorschriften im Original aufzubewahren sind.
9.2 Lesbare Unterlagen
Der Buchführungspflichtige hat zu gewährleisten, dass die gespeicherten Buchungen sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen jederzeit innerhalb angemessener Frist lesbar gemacht werden können. Er muss die dafür erforderlichen Daten, Programme sowie Maschinenzeiten und sonstigen Hilfsmittel, z.B. Personal, Bildschirme, Lesegeräte, bereitstellen. Auf Verlangen eines berechtigten Dritten (z.B. Finanzbehörde, Abschlussprüfer) hat er in angemessener Zeit die gespeicherten Buchungen lesbar zu machen sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen vorzulegen und auf Anforderung ohne Hilfsmittel lesbare Reproduktionen beizubringen.
Zu den Befugnissen der Finanzverwaltung im Rahmen des Datenzugriffs vgl. Abschnitt 12.
9.3 Inhaltliche Übereinstimmung der Originale mit den gespeicherten Dokumenten
Die inhaltliche Übereinstimmung der Wiedergabe mit den auf den maschinell lesbaren Datenträgern geführten Unterlagen muss durch das jeweilige Archivierungsverfahren sichergestellt sein. Ist eine bildliche Übereinstimmung der Wiedergabe mit der Originalunterlage gefordert - dies trifft gemäß § 257 HGB und § 147 Abs. 2, Ziffer 1 AO für empfangene Handelsbriefe und Buchungsbelege zu, soweit sie ursprünglich bildlich vorgelegen haben -, muss das jeweilige Archivierungsverfahren eine originalgetreue, bildliche Wiedergabe sicherstellen. Die Anforderung nach bildlicher Wiedergabe ist erfüllt, wenn alle auf der Originalunterlage enthaltenen Angaben zur Aussage- und Beweiskraft des Geschäftsvorfalles originalgetreu bildlich wiedergegeben werden (vgl. Abschnitt 9.1.3).
Für die Überprüfbarkeit elektronischer Abrechnungen im Sinne des § 14 Abs. 4 S. 2 UStG gelten ab 2002 die Grundsätze zum Datenzugriff und zur Prüfbarkeit bzw. Archivierung digitaler Unterlagen (GDPdU), vgl. Abschnitt 11 und 13.
9.4 Niederschrift über das Verfahren zur Datenausgabe
Das Verfahren für die Wiedergabe der auf Bildträgern und auf anderen Datenträgern geführten Unterlagen (Datenausgabe) ist in einer Arbeitsanweisung des Buchführungspflichtigen schriftlich niederzulegen (z.B. Druckanweisung, COM-Anweisungen, Anweisungen für den Dialogverkehr zur Selektion und Darstellung der gespeicherten Unterlagen auf Sichtgeräten, z.B. bei Einsatz optischer Speichersysteme).
In der Arbeitsanweisung ist das Ordnungsprinzip für die Wiedergaben zu beschreiben und das Verfahren zur Feststellung der Vollständigkeit und der Richtigkeit der Wiedergaben zu regeln. Die Wiedergaben müssen der Rechnungslegung des Buchführungspflichtigen eindeutig zugeordnet werden können. Die inhaltliche Übereinstimmung der selektiven Wiedergabe mit den auf maschinell lesbaren Datenträgern geführten Unterlagen muss nachprüfbar sein.
10. Verantwortlichkeit
Für die Einhaltung der GoB - und damit auch der GoBS - ist auch bei einer DV-Buchführung allein der Buchführungspflichtige verantwortlich. Die Verantwortlichkeit erstreckt sich dabei auf den Einsatz sowohl von selbst- als auch fremderstellter DV-Buchführungssysteme. Wird die DV-Buchführung im Auftrag durch Fremdfirmen durchgeführt, obliegt die Einhaltung der GoB/GoBS ebenfalls dem auftraggebenden Buchführungspflichtigen (vgl. auch Abschnitt 7.3).
11. Grundsätze zum Datenzugriff und zur Prüfbarkeit bzw. Archivierung digitaler Unterlagen (GDPdU)
Im BMF-Schreiben vom 16.07.2001 - IV D 2 - S 0316 - 136/01, BStBl 2001 I, 415 sind die Grundsätze zum Datenzugriff (vgl. Abschnitt 12) und zur Prüfbarkeit bzw. Archivierung digitaler Unterlagen (vgl. Abschnitte 13 und 14) - kurz: GDPdU - festgelegt worden. Die GDPdU konkretisieren bestimmte Bereiche der GoBS. Ansonsten bleiben die Regelungen der GoBS unberührt.
12. Datenzugriff
12.1 Allgemeines
Sind ab 2002 die Unterlagen nach § 147 Abs. 1 AO, also steuerlich relevante Unterlagen, mit Hilfe eines Datenverarbeitungssystems erstellt worden, hat die Finanzbehörde nach § 147 Abs. 6 AO im Rahmen einer Außenprüfung das Recht, Einsicht in die gespeicherten Daten zu nehmen und das Datenverarbeitungssystem zur Prüfung dieser Unterlagen zu nutzen (Lesen, Filtern und Sortieren beim Unternehmer).
Sie kann im Rahmen einer Außenprüfung auch verlangen, dass die Daten auf Kosten des Steuerpflichtigen nach ihren Vorgaben maschinell ausgewertet (Datenauswertung durch den Unternehmer) oder ihr die gespeicherten Unterlagen und Aufzeichnungen auf einem maschinell verwertbaren Datenträger zur Verfügung gestellt werden (Datenträgerüberlassung).
Zu Einzelfragen - insbesondere hinsichtlich der Befugnisse der Finanzverwaltung und der Mitwirkungspflichten des Steuerpflichtigen - vgl. Datenzugriff der Finanzverwaltung.
12.2 Verlagerung der Buchführung ins Ausland
Bücher und die sonst erforderlichen Aufzeichnungen sind nach § 146 Abs. 2 AO grundsätzlich im Inland zu führen und aufzubewahren. Dies gilt nicht, soweit für Betriebstätten im Ausland nach dortigem Recht eine Verpflichtung besteht, Bücher und Aufzeichnungen zu führen, und diese Verpflichtung erfüllt wird. In diesem Fall sowie bei ausländischen Organgesellschaften müssen die Ergebnisse der dortigen Buchführung in die Buchführung des inländischen Unternehmens übernommen werden, soweit sie für die Besteuerung von Bedeutung sind. Dabei sind die erforderlichen Anpassungen an die steuerrechtlichen Vorschriften im Inland vorzunehmen und kenntlich zu machen.
Eine strenge Auslegung des § 146 Abs. 2 AO ist jedoch durch die zunehmende Globalisierung international ausgerichteter Unternehmen nicht praxisnah. Das Umsatzsteuerrecht ermöglicht sogar ausdrücklich eine vorübergehende Aufbewahrung von Unterlagen im EU-Ausland. Bewahrt nämlich ein Unternehmer die Rechnungen im EU-Ausland elektronisch auf, muss nach § 14b Abs. 4 UStG lediglich sichergestellt sein, dass die zuständigen Finanzbehörden die Rechnungen unverzüglich über Online-Zugriff einsehen, herunterladen und verwenden können. Auch das rein mechanische Erfassen von Belegen im Ausland, führt nicht dazu, einen Verstoß gegen die formellen Vorschriften für Buchführungs- und Aufzeichnungspflichten anzunehmen.
Beispiel:
Eine inländische Kapitalgesellschaft ist in einen weltweit tätigen Konzern eingebunden und hat wesentliche Teile der Buchführung in das Ausland verlagert (Outsourcing). Die Belege werden an die Auslandsabteilung versandt und dort auch erfasst, gebucht und gezahlt. Die Entscheidung über die Buchung und deren Überprüfung erfolgt durch die inländische Kapitalgesellschaft. Die Originalbelege gehen später an die inländische Kapitalgesellschaft zurück. Soweit die Finanzverwaltung die Möglichkeit hat, online auf das EDV-System zuzugreifen und alle steuerrelevanten Daten (digital) einsehen kann, sind keine Gründe ersichtlich, die gegen eine Verlagerung der Buchführung und der Aufzeichnungen in das Ausland sprechen.
13. Prüfbarkeit digitaler Unterlagen
13.1 Elektronische Abrechnungen
Die qualifizierte elektronische Signatur ist Bestandteil der elektronischen Abrechnung im Sinne des § 14 Abs. 4 Satz 2 UStG. Der Originalzustand des Dokuments muss jederzeit überprüfbar sein. Dies setzt neben den Anforderungen nach Abschnitt 9.3 im Wesentlichen voraus, dass
vor einer weiteren Verarbeitung der elektronischen Abrechnung die qualifizierte elektronische Signatur im Hinblick auf die Integrität der Daten und die Signaturberechtigung geprüft werden und das Ergebnis dokumentiert wird;
die Speicherung der elektronischen Abrechnung auf einem Datenträger erfolgt, der Änderungen nicht mehr zulässt. Bei einer temporären Speicherung auf einem änderbaren Datenträger muss das DV-System sicherstellen, dass Änderungen nicht möglich sind;
bei Umwandlung (Konvertierung) der elektronischen Abrechnung in ein unternehmenseigenes Format (sog. Inhouse-Format) beide Versionen archiviert und nach den GoBS mit demselben Index verwaltet werden sowie die konvertierte Version als solche gekennzeichnet wird;
der Signaturprüfschlüssel aufbewahrt wird;
bei Einsatz von Kryptographietechniken die verschlüsselte und die entschlüsselte Abrechnung sowie der Schlüssel zur Entschlüsselung der elektronischen Abrechnung aufbewahrt wird;
der Eingang der elektronischen Abrechnung, ihre Archivierung und ggf. Konvertierung sowie die weitere Verarbeitung protokolliert werden, vgl. auch Abschnitt 7;
die Übertragungs-, Archivierungs- und Konvertierungssysteme den Anforderungen der GoBS, insbesondere an die Dokumentation (vgl. Abschnitt 7), an das interne Kontrollsystem (vgl. auch Abschnitt 5), an das Sicherungskonzept (vgl. auch Abschnitt 6.8) sowie an die Aufbewahrung entsprechen;
das qualifizierte Zertifikat des Empfängers aufbewahrt wird.
13.2 Sonstige aufbewahrungspflichtige Unterlagen
Bei sonstigen aufbewahrungspflichtigen Unterlagen i.S.d. § 147 Abs. 1 AO, die digitalisiert sind und nicht in Papierform übermittelt werden, muss insbesondere der Originalzustand der übermittelten ggf. noch verschlüsselten Daten erkennbar sein (§ 146 Abs. 4 AO). Die Speicherung hat auf einem Datenträger zu erfolgen, der Änderungen nicht mehr zulässt. Bei einer temporären Speicherung auf einem änderbaren Datenträger muss das Datenverarbeitungssystem sicherstellen, dass Änderungen nicht möglich sind.
Der Eingang, die Archivierung und ggf. Konvertierung sowie die weitere Verarbeitung der Unterlagen sind zu protokollieren.
14. Archivierung digitaler Unterlagen
Originär digitale Unterlagen sind die in das Datenverarbeitungssystem in elektronischer Form eingehenden und die im Datenverarbeitungssystem erzeugten Daten; sie sind auf maschinell verwertbaren Datenträgern zu archivieren. Ein maschinell verwertbarer Datenträger ist ein maschinell lesbarer und auswertbarer Datenträger.
Die originär digitalen Unterlagen dürfen nicht ausschließlich in ausgedruckter Form oder auf Mikrofilm aufbewahrt werden. Nicht ausreichend ist auch die ausschließliche Archivierung in maschinell nicht auswertbaren Formaten (z.B. pdf-Datei).
Eine Pflicht zur Archivierung einer Unterlage im Sinne des § 147 Abs. 1 AO in maschinell auswertbarer Form (§ 147 Abs. 2 Nr. 2 AO) besteht nicht, wenn diese Unterlage zwar DV-gestützt erstellt wurde, sie aber nicht zur Weiterverarbeitung in einem DV-gestützten Buchführungssystem geeignet ist (z.B. Textdokumente).
Durch das BMF-Schreiben vom 26.11.2010 - IV A 4 - S 0316/08/10004-07 - ist die Aufbewahrung digitaler Unterlagen bei Bargeschäften geregelt worden. Die Regelungen gelten für die Aufbewahrung der mittels
Registrierkassen,
Waagen mit Registrierkassenfunktion,
Taxametern und
Wegstreckenzählern
(= Geräte) erfassten Geschäftsvorfälle, also insbesondere für alle Betriebe mit Bargeldverkehr (ohne offene Ladenkasse) und das Personenbeförderungs- bzw. Taxigewerbe.
Mit dem o.g. BMF-Schreiben werden die Voraussetzungen konkretisiert, unter denen die vorgenannten Geräte sowie die mit ihrer Hilfe erstellten digitalen Unterlagen den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) und den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) entsprechen.
Die steuerlichen Anforderungen bei elektronischen Kontoauszügen (Online-Banking) ergeben sich aus den Grundsätzen zu den Aufbewahrungspflichten (Tz. 3.9.2)
Geschäftskunden, d. h. Buchführungs- und Aufzeichnungspflichtige i. S. d. §§ 145 ff. AO, erhalten vom Kreditinstitut einen sogenannten elektronischen Kontoauszug auf ihren PC übermittelt. Mit dem Ausdruck dieses elektronischen Kontoauszugs auf Papier genügt der Buchführungspflichtige aber nicht den bestehenden Aufbewahrungspflichten nach § 147 AO, da es sich bei diesem um ein originär digitales Dokument handelt.
Der elektronische Kontoauszug ist folglich durch Übertragung der Inhalts- und Formatierungsdaten auf einem maschinell auswertbaren Datenträger zu archivieren. Dabei sind die vorgenannten GoBS zu beachten. Diese setzen u. a. voraus, dass die in den vorgenannten Verfahren übermittelten Daten vor dem Speichern bzw. bei einem möglichen späteren Ausdruck nicht verändert werden können. Soweit die eingesetzten Softwareprodukte diese Anforderungen nicht regelmäßig erfüllen (z.B. weil diese keine sogenannte Indexierung, also eine programmgesteuerte Zuteilung eines unveränderbaren Indexes bei Eingang des Dokuments vorsehen), ist durch zusätzliche Maßnahmen sicherzustellen, dass die GoBS erfüllt werden.
Inwieweit die Entscheidung anders ausfallen kann, wenn das Kreditinstitut zusätzlich Monatssammelkontoauszüge in Papierform zusendet, ist z.Zt. umstritten. Zumindest wäre eine weitere Kontrollmöglichkeit geschaffen und den handelsrechtlichen Anforderungen des § 355 HGB wäre Genüge getan.
Erstellt ein Steuerpflichtiger seine Gewinnermittlung nach § 4 Abs. 3 EStG, sind die vorgenannten Grundsätze ebenfalls anzuwenden, da auch dieser schriftliche Aufzeichnungen zu führen hat.
Im Privatkundenbereich (Steuerzahler ohne Buchführungs- und Aufzeichnungspflichten nach §§ 145 ff. AO) besteht grundsätzlich keine Aufbewahrungsfrist. Es bestehen daher keine Bedenken, als Zahlungsnachweise im Rahmen von Steuererklärungen anstelle von konventionellen Kontoauszügen auch ausgedruckte Online-Bankauszüge zu verwenden.