So gelingt die GoBD-konforme und revisionssichere Archivierung

Nicht zuletzt durch die Pandemie hat sich die Arbeitsweise in vielen Unternehmen verändert. So arbeiten mehr Personen von zu Hause und weitestgehend digital. Dieses Arbeitsmodell stößt oft an seine Grenzen, sobald es darum geht, Unterlagen wie Rechnungen gegenzuzeichnen oder ordnungsgemäß abzulegen. Genau hierauf zielen die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) ab. Was für viele in der Umsetzung erst einmal sehr ambitioniert klingt, ist mit dem richtigen Fahrplan gar nicht so schwierig. Im Interview erklärt CISA Fabrice Voigt, wie eine GoBD-konforme und revisionssichere Archivierung gelingen kann. 

Was versteht man unter einer revisionssicheren Archivierung?

Revisionssichere oder GoBD-konforme digitale Archivierung bedeutet, dass aufbewahrungspflichtige Dokumente über die Dauer der gesetzlich vorgeschriebenen Aufbewahrungsfrist in einem elektronischen Archivsystem verwahrt werden. Dabei sind einige Kriterien zu beachten. So müssen die Informationen im System nachvollziehbar gespeichert, auffindbar und unveränderbar sein. Wichtig ist hierbei, dass der Zugriff auf das Archivsystem vor unberechtigtem Zugriff geschützt ist. Revisionssicher bedeutet auch, dass der Belegtransfer den rechtlichen Anforderungen genügen muss. Dazu gehören auch der Datenschutz im Sinne der DSGVO und das Gesetz zum Schutz der Geschäftsgeheimnisse (GeschGehG). Auch die zugrundeliegende IT-Software und die Archivierung selbst unterliegen gewissen Vorgaben. So müssen eine revisionssichere Archivsoftware, ein sicherer IT-Betrieb, ein revisionssicherer Archivierungsprozess und eine GoBD-konforme Verfahrensdokumentation vorliegen.

Das scheinen in der Tat ambitionierte Vorgaben zu sein. Scheuen sich immer noch viele Unternehmen vor der Umsetzung?

Meiner Erfahrung nach betrachten es viele Unternehmen als „Mammutprojekt“. Angesichts der vielfältigen Vorgaben ist es verständlich, dass sie das Vorhaben als Herausforderung sehen, fallen doch viele Belege an unterschiedlichsten, dezentralen Unternehmensbereichen an. Dies betrifft nicht nur die digitalen Eingangs- und Ausgangsrechnungen, sondern sämtliche interne wie externe Belege, wie z.B. Lieferscheine, Auftragsbestätigungen oder gar der Urlaubsschein. Hinzu kommt, dass kaum ein Unternehmen durchgängig mit einem System arbeitet. Somit ist verständlich, dass Unternehmen mit Respekt an dieses Projekt herangehen. Viele Unternehmen probieren es mit Teilprozessen. Das ist in jedem Fall ein gangbarer Weg. Ein besonders effektiver Weg ist es jedoch, den rechnungslegungsrelevanten Belegfluss durchgehend GoBD-konform zu digitalisieren. Schließlich wünscht sich jedes Unternehmen, die internen Prozesse durch eine Automatisierung zu beschleunigen und zu verbessern und nebenbei noch die Unmengen an Papier, die sich jeden Tag ansammeln, im Sinne der Umwelt zu reduzieren. 

Welche Gründe sprechen dafür, die Archivierung im Unternehmen auf digitale Füße zu setzen?

Zum einen profitieren Unternehmen, die ihren Belegfluss digitalisieren, von mehr Flexibilität und einer deutlichen Zeitersparnis. Der Zugriff auf digitale Dokumente ist jederzeit und auch mobil möglich. Zudem entfällt die Suche nach Dokumenten und dies gibt Raum für wichtige Arbeiten. Somit werden Büroabläufe viel effizienter, da die Mitarbeiter:innen nicht mehr für Tätigkeiten wie Ausdrucken und Einscannen gebunden werden oder gar von Büro zu Büro gehen müssen, um Freigaben einzuholen. Schließlich ist die GoBD-konforme Archivierung ein Compliance-Thema, das standardisierte Prozesse digital unterstützt und dem Unternehmen Rechtssicherheit gibt. 

Wie legt man am besten los?

Es empfiehlt sich, im ersten Schritt alle rechnungslegungsrelevanten Prozesse und die dort verarbeiteten digitalen Belege samt internem Kontrollsystem aufzunehmen und in einer entsprechenden Prozessdokumentation zu dokumentieren. Überlegen Sie dann, wo ein digitaler Belegfluss aus Ihrer Sicht eine gute Unterstützung darstellt, und Sie nehmen auf, welche Daten dies genau betreffen soll. Hierbei ist es ratsam, einen Experten zum Screening hinzuzuziehen. Nehmen Sie sich die Teilprozesse vor, die für Sie zu Beginn machbar sind und von denen Sie sich den größten Nutzen versprechen. Steht diese Basis, können die Anforderungen an das auszuwählende Archivierungssystem bzw. Dokumentenmanagementsystem (DMS) samt Archivfunktion spezifiziert und der Auswahlprozess gestartet werden. 

Wie findet man ein Archivierungssystem bzw. Dokumentenmanagementsystem (DMS), das zu den Anforderungen des Unternehmens passt?

Wichtig ist: Das System soll zu den Anforderungen passen, nicht umgekehrt. Da es unzählige Archivierungssysteme und DMS am Markt gibt, empfiehlt es sich, neben dem Blick auf die Kosten, weitere Anforderungen zu formulieren. Sollen die Daten künftig per Scan, Dokumentkonvertierung oder Barcode erfolgen? Wie sieht das Berechtigungskonzept aus? Wer erhält Zugriff auf die Daten? Wie erfolgt die Integration des Systems in die bestehende IT-Landschaft? Welche Support-Möglichkeiten bietet das Tool und lässt es sich auch für einen späteren Ausbau an die Bedürfnisse anpassen? Natürlich spielen bei der Auswahl des passenden Systems auch die Fragen nach der IT-Sicherheit und dem Datenschutz eine wichtige Rolle. Auch bei dieser Auswahl kann ein Experte im Rahmen eines Marktscreenings unterstützen. Bevor das System ausgerollt wird, empfehlen wir, das neue Archivierungssystem bzw. DMS ausgiebig zu testen und die Mitarbeiter:innen zu schulen. 

Was gilt es außerdem zu beachten?

Wer GoBD-konform und revisionssicher archivieren möchte, für den ist die Verfahrensdokumentation obligatorisch. Nutzen Sie die Verfahrensdokumentation zur finalen Strukturierung Ihrer Prozesse und als eine Art Checkliste, ob an alle Punkte zur sicheren Prozessführung gedacht wurde. Die Verfahrensdokumentation sollte sämtliche Inhalte einer GoBD-konformen Verfahrensdokumentation beinhalten. Neben der Anwender- und technischen Systemdokumentation sind u.a. auch Konzepte zum sicheren IT-Betrieb, wie z.B. ein Datensicherungskonzept und Berechtigungskonzept sowie eine nachvollziehbare Prozessdokumentation samt Darstellung des internen Kontrollsystems, in die Verfahrensdokumentation einzubeziehen. Da sich Prozesse immer wieder ändern und die GoBD eine stets aktuelle Verfahrensdokumentation fordern, legen Sie bereits bei der Einführung einen Termin für einen Review fest und wiederholen diesen in regelmäßigen Abständen. Schauen Sie sich die GoBD-Prozesse noch einmal genau an, gleichen Sie sie mit den neuen Anforderungen ab und passen Sie Ihre Verfahrensdokumentation, wenn nötig, an. 

Wir unterstützen Sie auf dem Weg zur revisionssicheren Archivierung

Die dhpg IT-Services ist die IT-Sparte der dhpg. Seit 2011 unterstützen wir mittelständische Unternehmen in Fragen der IT-Prüfungen und IT-gestützten Analysen, Zertifizierungen, IT- und Cybersicherheit bis hin zum Datenschutz. Als systemunabhängige IT-Berater sind wir gerne an Ihrer Seite, wenn es darum geht, Ihre rechnungsrelevanten Prozesse GoBD-sicher zu gestalten. Sprechen Sie uns an, gerne führen wir auch Sie durch unseren bereits vielfach erprobten Prozess.