Revisionssicher archivieren – papierlos in die Zukunft
Unter dem Titel „Modern Finance“ hat die dhpg zu Beginn des Jahres eine Online-Seminarreihe aufgesetzt. Ziel ist es, die Eckpfeiler eines modernen Finanzbereichs zu betrachten und Handlungsempfehlungen zu geben. Der zweite Teil beleuchtet die revisionssichere Archivierung.
Was bedeutet revisionssichere Archivierung?
GoBD-konforme bzw. digitale, revisionssichere Archivierung bedeutet, dass
- aufbewahrungspflichtige Dokumente, Belege und Unterlagen über die Dauer der gesetzlich vorgeschriebenen Aufbewahrungsfrist in einem elektronischen Archivsystem verwahrt werden,
- die im Archiv abgelegten Dokumente, Belege und Unterlagen vor einer Änderung oder Manipulation geschützt sind,
- die Informationen im Archiv nachvollziehbar gespeichert, auffindbar, unveränderbar und nicht verfälscht werden können und
- die Daten einem Rechtesystem unterliegen und vor unberechtigtem Zugriff geschützt sind.
Zudem müssen die zugrunde liegende IT-Software, die Technik und die Archivierung selbst der Revisionssicherheit genügen. Wenngleich es viel zu beachten gilt, kann der digitale Belegfluss mit der richtigen Vorbereitung und einem strukturierten Plan unter den Gesichtspunkten der Revisionssicherheit gelingen.
Revisionssichere Archivierungssoftware
Grundlage der revisionssicheren Archivierung bildet die Wahl der richtigen Archivierungssoftware. Stellen Sie hierbei sicher, dass diese über eine GoBD-Konformitätserklärung des Softwareherstellers verfügt und nach IDW PS 880 (für nationale Produkte) bzw. ISAE 3000 (für internationale Software) – jeweils Standards für die Prüfung von Softwareprodukten – zertifiziert ist. Auch weitere Zertifizierungen wie z.B die ISO 27001, eine Norm für Informationssicherheits-Managementsysteme, oder der IDW PS 951 als Testierung des internen Kontrollsystems von Dienstleistungsunternehmen sind wertvolle Qualitätsmerkmale, soweit Sie beabsichtigen, Ihre Archivdaten beim Anbieter z.B. in einer Cloud auszulagern.
Revisionssicherer Archivierungsprozess
Zunächst gilt es zu klären, welche Dokumente und Unterlagen überhaupt archiviert werden sollen und dürfen (z.B. Urkunden, Eingangsrechnungen, Kontoauszüge, Lieferscheine etc.). Stellen Sie sicher, dass nur abgeschlossene, d.h. archivierungsfähige Geschäftsvorfälle vollständig und richtig archiviert werden. Der IT-gestützte Archivierungsprozess sollte zudem verfahrenstechnisch und kontrollseitig die ordnungsgemäße Archivierung der Belege sicherstellen.
Sicherer IT-Betrieb
Der IT-Betrieb muss durch organisatorische und technische Maßnahmen (TOMs) die Unveränderbarkeit der archivierten Daten sicherstellen:
- Schärfen Sie durch regelmäßige Schulungen das IT-Risikobewusstsein der beteiligten Mitarbeitenden.
- Klären Sie in einer Aufbau- und Ablauforganisation, wer für welche Prozesse verantwortlich ist und erstellen Sie entsprechende Arbeitsanweisungen.
- Etablieren Sie physische Sicherungsmaßnahmen im Serverraum bzw. über einen zertifizierten Cloudanbieter.
- Erstellen Sie ein Berechtigungskonzept und einen Berechtigungsvergabeprozess für beteiligte Mitarbeitende sowie ein Datensicherungskonzept.
- Auch ein Changemanagement-Konzept, das das Einspielen und Testing von Updates und den ordnungsgemäßen Transport in das Produktivsystem umfasst, ist unerlässlich.
- Definieren Sie, welche Dokumententypen archiviert werden sollen und welche Löschfristen jeweils gelten.
Verfahrensdokumentation
Für den IT-gestützten Archivierungsprozess ist eine Verfahrensdokumentation zu erstellen. Nach den GoBD umfasst die Verfahrensdokumentation eine Anwenderdokumentation und technische Systemdokumentation der genutzten Systeme, eine Betriebsdokumentation über den sicheren IT-Betrieb und eine Prozessdokumentation der implementierten Verfahren und Kontrollen. Sie dient als Nachweis, dass die Ordnungsvorschriften der Abgabenordnung (AO) erfüllt sind und muss für einen sachverständigen Dritten verständlich und in angemessener Zeit nachprüfbar sein sowie über die gesetzliche Aufbewahrungsfrist vorgehalten werden. Ein Betriebsprüfer sollte mittels nachvollziehbarer Änderungshistorie erkennen können, welche Version zu einem bestimmten Prüfungszeitraum gültig war. Legen Sie die Verfahrensdokumentation zentral ab und prüfen sie die Versionen regelmäßig.
Sollten Sie Fragen zur revisionssicheren Archivierung haben oder Unterstützung bei der Implementierung in Ihrem Unternehmen benötigen, sprechen Sie uns gerne an. Wir beraten Sie persönlich.
In unserer Blog-Serie zum Thema „Modern Finance“ beleuchten wir folgende Themen:
- Der Einstieg in die Modellierung von Geschäftsprozessen – Wie gehe ich das an?
- Management-Informationssysteme – Reporting ohne Excel
- Moderne Daten- und Systemarchitektur – Digitalisierung richtig anpacken
- Revisionssicher archivieren – papierlos in die Zukunft
Modern Finance: Folgende Online-Seminare sind als Aufzeichnung verfügbar:
- Management-Informationssysteme – Reporting ohne Excel
- Revisionssicher archivieren – papierlos in die Zukunft
- Prozesse standardisieren – effizient arbeiten und Kosten sparen
- Moderne Daten- und Systemarchitektur – Digitalisierung richtig anpacken
- Compliance – der Organisation Rechtssicherheit geben
Sprechen Sie uns gerne an, wenn Sie die Inhalte interessieren oder Sie Einladungen zu unseren Online-Seminaren erhalten möchten.