GoBD-Compliance als Grundlage für prüffähige, digitale Belegprozesse

 

Die digitale Belegverarbeitung ist heute in vielen KMU gelebte Realität. Belege werden elektronisch empfangen, verarbeitet und archiviert. Gleichzeitig steigt der Anspruch, dass diese Abläufe jederzeit nachvollziehbar, vollständig und unveränderbar dokumentiert und auskunftsfähig sind, insbesondere vor dem Hintergrund der GoBD und ihrer Anpassungen durch das BMF.

In der Praxis bleibt diese Prüffähigkeit jedoch häufig hinter den Erwartungen zurück. Dokumentationen existieren zwar, sind jedoch nicht aktuell, nicht konsistent zur Systemlandschaft oder beschreiben eher „wie es sein sollte“ als „wie es tatsächlich läuft“. Systeme liefern Auswertungen, aber die zugrunde liegenden Prozess- und Kontrolllogiken sind nicht durchgängig beschrieben oder belastbar nachgewiesen.

Die Ursache liegt dabei selten allein in der eingesetzten Software. Viel häufiger zeigt sich, dass GoBD-Anforderungen dort an Grenzen stoßen, wo Prozesse unklar sind, Schnittstellen nicht sauber beherrscht werden oder Verantwortlichkeiten und Kontrollen nicht eindeutig geregelt sind.

An genau dieser Stelle setzt ein strukturierter GoBD-Ansatz an: Er beginnt nicht bei der Dokumentation als Selbstzweck, sondern bei der transparenten Betrachtung der Abläufe, aus denen Belege, Buchungen und Nachweise überhaupt erst entstehen.

Warum GoBD-Compliance oft an Grenzen stößt

Ein weit verbreitetes Missverständnis besteht darin, GoBD-Compliance primär als Dokumentations- oder Toolthema zu betrachten. Selbst wenn ein DMS, ein ERP-System oder eine Archivlösung vorhanden ist, ist damit noch nicht beantwortet, ob die Belegkette im operativen Alltag tatsächlich vollständig, nachvollziehbar und unveränderbar geführt wird.

Software kann nur das abbilden, was Prozesse tatsächlich liefern. Wenn Abläufe nicht klar definiert sind, Medienbrüche bestehen oder manuelle Eingriffe nicht kontrolliert und nachvollziehbar sind, bleiben auch leistungsfähige Systeme begrenzt, unabhängig von Funktionsumfang oder Hersteller.

GoBD-Readiness als vorgelagerte Fragestellung

GoBD-Readiness beschreibt den systematischen Ansatz, Beleg- und Buchungsprozesse so zu strukturieren, dass sie prüffähig, transparent und konsistent sind. Der Ausgangspunkt ist dabei stets die Frage, welche Prozesse und Systeme für die GoBD-relevante Belegkette tatsächlich maßgeblich sind (inkl. Schnittstellen und Archivierung).

Für KMU ist entscheidend, die GoBD-Anforderungen nicht isoliert zu betrachten, sondern im Zusammenhang mit:

•    Abläufen und Verantwortlichkeiten (Rollen, Freigaben, Vertretungen),
•    Datenflüssen (Eingang, Verarbeitung, Buchung, Archiv, Export/Datenzugriff),
•    Kontrollmechanismen (Berechtigungen, Protokollierung, Plausibilisierungen),
•    sowie der tatsächlichen Systemlandschaft (ERP, DMS/Archiv, Workflow, Portale, E-Mail, ggf. Vorsysteme).

Prozessaufnahme als Grundlage

Eine wirksame GoBD-Umsetzung beginnt mit einer strukturierten Aufnahme des Status quo. Dabei werden bestehende Prozesse gemeinsam betrachtet und beschrieben. Im Fokus steht die tatsächliche operative Realität und nicht eine theoretische Sollvorstellung.

Typische Fragestellungen in dieser Phase sind:

•    Wie laufen Belegprozesse heute konkret ab (Eingang, Prüfung/Freigabe, Buchung, Archivierung)?
•    Welche Rollen, Verantwortlichkeiten und Schnittstellen sind beteiligt?
•    Wo entstehen manuelle Tätigkeiten oder Abstimmungsaufwände – und wie werden diese nachvollziehbar gemacht?
•    Welche Daten werden erzeugt, verändert, weiterverarbeitet oder mehrfach genutzt?
•    Wie wird Unveränderbarkeit/Protokollierung sichergestellt (inkl. Berechtigungs- und Änderungsmanagement)?

Diese Transparenz ist entscheidend, um prüfungsrelevante Risiken zu erkennen und fundierte Entscheidungen über die Weiterentwicklung von Prozessen, Kontrollen und Dokumentation zu treffen.

Von Prozessen zu Nachweisen und Verfahrensdokumentation

Auf Basis der Prozessaufnahme lassen sich die prüfungsrelevanten Nachweise zielgerichtet ableiten. Dabei geht es nicht um eine möglichst umfangreiche Dokumentation, sondern um eine prüffähige, konsistente und pflegbare Verfahrensdokumentation, die die Prozess- und Systemrealität abbildet.

Die Verfahrensdokumentation ist dabei kein Selbstzweck. Sie ist das Ergebnis einer vorgelagerten fachlichen Auseinandersetzung mit Abläufen, Verantwortlichkeiten, Datenflüssen und Kontrolllogiken – und bildet den Rahmen, in dem Nachvollziehbarkeit und Prüfbarkeit überhaupt erst hergestellt werden.

Gerade im Prüfungsumfeld zeigt sich, dass eine schlanke, strukturierte Verfahrensdokumentation typischerweise:

•    Abstimmungen beschleunigt (weil Unterlagen und Zuständigkeiten klar sind),
•    Diskussionen über „gelebte Praxis“ reduziert (weil Prozesse transparent beschrieben sind),
•    und Maßnahmen priorisierbar macht (weil Risiken konkret verortet werden können).

Prüfungsnachweise nach IDW PS 860 / IDW PH 9.860.4 als strukturierter Rahmen

Wenn GoBD-Compliance nicht nur intern „plausibel“ sein soll, sondern als unabhängiger Nachweis gegenüber Stakeholdern dienen soll, bietet sich eine Prüfung im Rahmen anerkannter Standards an.

Der IDW PS 860 regelt die Grundsätze für IT-Prüfungen außerhalb der Abschlussprüfung. Für GoBD-spezifische Fragestellungen konkretisiert der IDW PH 9.860.4 die Prüfung der GoBD-Compliance (aktuelle Fassung: 09/2024).

Der Nutzen einer solchen Prüfung liegt in der Praxis insbesondere in:

•    einer nachvollziehbaren, standardbasierten Beurteilung des GoBD-relevanten Prüfungsobjekts,
•    transparenter Darstellung von Feststellungen und Verbesserungsmaßnahmen,
•    sowie einer höheren Verlässlichkeit gegenüber internen und externen Adressaten (z. B. Management, Aufsicht, Prüfumfeld).

Systemlandschaft und Softwareprüfung nach IDW PS 880 als nachgelagerter Aspekt

In vielen Fällen lassen sich Verbesserungen der GoBD-Readiness bereits innerhalb bestehender Systemlandschaften realisieren. In anderen Situationen zeigt die Analyse jedoch, dass eingesetzte Softwarelösungen strukturell an Grenzen stoßen, weil Protokollierung, Berechtigungskonzepte, Archivierungslogiken oder Schnittstellenverarbeitung nicht in der erforderlichen Qualität unterstützt werden.

Erst an diesem Punkt stellt sich sinnvollerweise die Frage nach einem belastbaren Software-Nachweis. Der IDW PS 880 n.F. (01/2022) adressiert die Prüfung von Softwareprodukten. 
Der Mehrwert eines PS-880-Berichts liegt typischerweise in:

•    einer unabhängigen, standardisierten Beurteilung des Softwareprodukts,
•    der Reduktion wiederkehrender Einzelfragen (z. B. in Ausschreibungen, Vendor-Assessments),
•    und einer klareren Abgrenzung zwischen Produkteigenschaften und implementierungs-/prozessseitiger Verantwortung im Unternehmen.

Wichtig bleibt: Eine Softwareprüfung ersetzt nicht die Betrachtung der konkreten Anwenderprozesse. Sie ist ein gezielter Baustein, wenn softwarebezogene Anforderungen im Fokus stehen.

Einordnung aus der Praxis

GoBD-Compliance ist kein rein technisches Thema. Sie bewegt sich an der Schnittstelle zwischen Fachbereichen, Prozessen, Daten und Systemen. Der Mehrwert entsteht dort, wo diese Ebenen gemeinsam betrachtet und aufeinander abgestimmt werden.

In unserer täglichen Arbeit begleiten wir Mandanten bei dieser fachlichen Auseinandersetzung – von der strukturierten Prozessaufnahme über die Ableitung prüffähiger Nachweise bis hin zur Begleitung bei der Erstellung bzw. Aktualisierung der Verfahrensdokumentation. Ergänzend führen wir GoBD-bezogene Prüfungen im Rahmen von IDW PS 860 / IDW PH 9.860.4 sowie softwarebezogene Prüfungen nach IDW PS 880 durch.

Wenn Sie sich mit ähnlichen Fragestellungen beschäftigen oder Ihre Belegprozesse stärker auf Prüffähigkeit und Nachweisführung ausrichten möchten, lohnt sich ein vertiefter gemeinsamer Austausch.

Zurück

Malte Erdmann

Senior Manager IT-Audit

Zum Profil von Malte Erdmann

Compliance IT-Prüfung und Beratung Prozessberatung

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Durch das Laden des Podcast-Players erklären Sie sich damit einverstanden, dass Cookies durch Podigee gesetzt und dadurch Daten an diesen Anbieter übermittelt werden. Wir nutzen diese Daten, um die Zugriffe auf unsere Podcasts zu analysieren und die Wirksamkeit unserer Inhalte zu bewerten. Podigee verarbeitet die Daten auch zu eigenen Zwecken. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Podcast-Player laden