Revisionssicher archivieren – papierlos in die Zukunft


Unter dem Titel „Modern Finance“ hat die dhpg zu Beginn des Jahres eine Online-Seminarreihe aufgesetzt. Ziel ist es, die Eckpfeiler eines modernen Finanzbereichs zu betrachten und Handlungsempfehlungen zu geben. Der zweite Teil beleuchtet die revisionssichere Archivierung.

Was bedeutet revisionssichere Archivierung?

GoBD-konforme bzw. digitale, revisionssichere Archivierung bedeutet, dass 

  • aufbewahrungspflichtige Dokumente, Belege und Unterlagen über die Dauer der gesetzlich vorgeschriebenen Aufbewahrungsfrist in einem elektronischen Archivsystem verwahrt werden,
  • die im Archiv abgelegten Dokumente, Belege und Unterlagen vor einer Änderung oder Manipulation geschützt sind,
  • die Informationen im Archiv nachvollziehbar gespeichert, auffindbar, unveränderbar und nicht verfälscht werden können und
  • die Daten einem Rechtesystem unterliegen und vor unberechtigtem Zugriff geschützt sind.

Zudem müssen die zugrunde liegende IT-Software, die Technik und die Archivierung selbst der Revisionssicherheit genügen. Wenngleich es viel zu beachten gilt, kann der digitale Belegfluss mit der richtigen Vorbereitung und einem strukturierten Plan unter den Gesichtspunkten der Revisionssicherheit gelingen.

Revisionssichere Archivierungssoftware

Grundlage der revisionssicheren Archivierung bildet die Wahl der richtigen Archivierungssoftware. Stellen Sie hierbei sicher, dass diese über eine GoBD-Konformitätserklärung des Softwareherstellers verfügt und nach IDW PS 880 (für nationale Produkte) bzw. ISAE 3000 (für internationale Software) – jeweils Standards für die Prüfung von Softwareprodukten – zertifiziert ist. Auch weitere Zertifizierungen wie z.B die ISO 27001, eine Norm für Informationssicherheits-Managementsysteme, oder der IDW PS 951 als Testierung des internen Kontrollsystems von Dienstleistungsunternehmen sind wertvolle Qualitätsmerkmale, soweit Sie beabsichtigen, Ihre Archivdaten beim Anbieter z.B. in einer Cloud auszulagern.

Revisionssicherer Archivierungsprozess

Zunächst gilt es zu klären, welche Dokumente und Unterlagen überhaupt archiviert werden sollen und dürfen (z.B. Urkunden, Eingangsrechnungen, Kontoauszüge, Lieferscheine etc.). Stellen Sie sicher, dass nur abgeschlossene, d.h. archivierungsfähige Geschäftsvorfälle vollständig und richtig archiviert werden. Der IT-gestützte Archivierungsprozess sollte zudem verfahrenstechnisch und kontrollseitig die ordnungsgemäße Archivierung der Belege sicherstellen.  

Sicherer IT-Betrieb 

Der IT-Betrieb muss durch organisatorische und technische Maßnahmen (TOMs) die Unveränderbarkeit der archivierten Daten sicherstellen:

  • Schärfen Sie durch regelmäßige Schulungen das IT-Risikobewusstsein der beteiligten Mitarbeitenden.
  • Klären Sie in einer Aufbau- und Ablauforganisation, wer für welche Prozesse verantwortlich ist und erstellen Sie entsprechende Arbeitsanweisungen.
  • Etablieren Sie physische Sicherungsmaßnahmen im Serverraum bzw. über einen zertifizierten Cloudanbieter. 
  • Erstellen Sie ein Berechtigungskonzept und einen Berechtigungsvergabeprozess für beteiligte Mitarbeitende sowie ein Datensicherungskonzept. 
  • Auch ein Changemanagement-Konzept, das das Einspielen und Testing von Updates und den ordnungsgemäßen Transport in das Produktivsystem umfasst, ist unerlässlich. 
  • Definieren Sie, welche Dokumententypen archiviert werden sollen und welche Löschfristen jeweils gelten. 

Verfahrensdokumentation

Für den IT-gestützten Archivierungsprozess ist eine Verfahrensdokumentation zu erstellen. Nach den GoBD umfasst die Verfahrensdokumentation eine Anwenderdokumentation und technische Systemdokumentation der genutzten Systeme, eine Betriebsdokumentation über den sicheren IT-Betrieb und eine Prozessdokumentation der implementierten Verfahren und Kontrollen. Sie dient als Nachweis, dass die Ordnungsvorschriften der Abgabenordnung (AO) erfüllt sind und muss für einen sachverständigen Dritten verständlich und in angemessener Zeit nachprüfbar sein sowie über die gesetzliche Aufbewahrungsfrist vorgehalten werden. Ein Betriebsprüfer sollte mittels nachvollziehbarer Änderungshistorie erkennen können, welche Version zu einem bestimmten Prüfungszeitraum gültig war. Legen Sie die Verfahrensdokumentation zentral ab und prüfen sie die Versionen regelmäßig. 

Sollten Sie Fragen zur revisionssicheren Archivierung haben oder Unterstützung bei der Implementierung in Ihrem Unternehmen benötigen, sprechen Sie uns gerne an. Wir beraten Sie persönlich. 

Ähnliche Beiträge

Zurück

Fabrice Voigt

IT-Prüfer/Berater, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE), ISO 27001-Certified Inform. Security Auditor

Zum Profil von Fabrice Voigt

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
YouTube Video laden
Permalink