Ordnungsmäßigkeit aus steuerlicher Sicht (GoBD)

Die neuen „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) konkretisieren die Ordnungsmäßigkeitsanforderungen der Finanzverwaltung an den Einsatz von IT bei der Buchführung. Sie ersetzen mit Wirkung zum 01.01.2015 die inzwischen fast 20 Jahre alten GoBS.

Die GoBD enthalten eine Reihe von konkreten Vorgaben zur elektronischen Buchführung und zum IT-gestützten Belegwesen, die aus Sicht der Finanzverwaltung einzuhalten sind. Zahlreiche Konkretisierungen und Verschärfungen machen ggf. Anpassungen beim Buchführungs- bzw. Steuerpflichtigem und bei den eingesetzten IT-Systemen notwendig.

Die Einhaltung der GoBD ist ein zentraler Bestandteil der Compliance im Unternehmen. Bei Nichteinhaltung besteht das Risiko, dass das Finanzamt die Buchführung verwirft und auf ihre Schätzungsbefugnis zurückgreift. Ggf. ist die Festsetzung eines Verzögerungsgelds möglich.

Was regeln die GOBD?

gobd-prozessuebersicht

Die Vorgaben in den GoBD können anhand einer einfachen Prozessübersicht (vgl. Abbildung oben) veranschaulicht und gegliedert werden.

Regelungen im Detail…>>

Alle Geschäftsvorfälle, die das Unternehmen des Steuerpflichtigen betreffen, müssen vollständig, richtig und zeitnah erfasst werden (Nr. 1). Erfassung bedeutet fortlaufende Aufzeichnung der Geschäftsvorfälle. Diese muss nicht zwangsläufig mit der Buchung gleichzusetzen sein, die auch in einem späteren Schritt erfolgen kann.

Diese erfassten Informationen sind sodann gegen Verlust zu sichern, damit sichergestellt ist, dass kein Geschäftsvorfall auf dem Weg zur Buchung oder zu seiner weiteren Verarbeitung verloren geht (Nr. 2).

Die erfassten und gegen Verlust gesicherten Daten dürfen nicht unbefugt (Zugriffsschutz) und nicht ohne Nachweis des vorausgegangenen Zustandes verändert werden (Nr. 3). Dies erfordert ein fortlaufendes Protokoll der Änderungen. Neben den Daten zum Geschäftsvorfall selbst müssen auch alle für die Verarbeitung erforderlichen Tabellendaten (Stammdaten, Bewegungsdaten, Metadaten wie z. B. Grund- oder Systemeinstellungen, geänderte Parameter), deren Historisierung und Programme gespeichert sein.

Die steuerlich relevanten Unterlagen und Informationen müssen sodann entsprechend den gesetzlichen Aufbewahrungsfristen geordnet aufbewahrt bzw. gespeichert werden (Nr. 4). Die gespeicherten Aufzeichnungen müssen in diesem Zusammenhang gegen Veränderung oder Löschung geschützt werden. Grundregel: alle Informationen (Programme und Datenbestände), die einmal in den Verarbeitungsprozess eingeführt werden (Beleg, Grundaufzeichnung, Buchung), dürfen nicht mehr unterdrückt oder ohne Kenntlichmachung überschrieben, gelöscht, geändert oder verfälscht werden.

Die aufbewahrten Informationen müssen bei Bedarf vom Steuerpflichtigen bereitgestellt werden und elektronische Unterlagen müssen wieder lesbar gemacht werden (Nr. 5).Für die fünf Teilprozesse ist ein Internes Kontrollsystem einzurichten (Nr. 6). Eine Kombination von manuellen und maschinellen Kontrollen soll sicherstellen, dass die GoBD-Anforderungen in den Teilprozessen eingehalten werden.

Die Voraussetzung für die Nachvollziehbarkeit der Verfahren ist eine ordnungsgemäße Verfahrensdokumentation (Nr. 7). Diese enthält aller zum Verständnis der Buchführung erforderlichen Verfahrensbestandteile. Konkret sind dies die in Nummern 1 bis 6 erwähnten Verfahren und Kontrollen.

 

Stolpersteine bei der praktischen Umsetzung der GoBD

Für betroffene Unternehmen stellen sich vielfältige Fragen:

  • Welche IT-Systeme und IT-gestützten Geschäftsprozesse sind betroffen?
  • Liegen vollständige und aussagefähige Verfahrensdokumentationen vor?
  • Ist das Interne Kontrollsystem ausreichend, um die Einhaltung der Ordnungsvorschriften der GoBD sicherzustellen?
  • Sind die aufzubewahrenden Informationen ausreichend vor Verlust und Verfälschung gesichert?
  • Sind die Voraussetzungen für die Vernichtung der Originalbelege erfüllt?
In der Praxis bestehen die häufigsten Probleme bei der Umsetzung der GoBD in folgenden Bereichen….>>
1. Archivierung elektronischer Unterlagen
Nicht nur Daten von IT-Anwendungssystemen sind zu archivieren. Die Pflicht zur ordnungsgemäßen und sicheren Archivierung gilt auch für alle elektronischen Dokumente, wie z.B. E-Mails oder Dateien, sofern diese für die Besteuerung oder Rechnungslegung relevant sind. Die Außenprüfung darf grundsätzlich auch auf E-Mails des täglichen Geschäftsverkehrs (Handels- und Geschäftsbriefe) mit steuerrelevanten Inhalten zugreifen. Revisionssichere Archivierungsverfahren und -systeme müssen eine dauerhafte und unveränderbare Speicherung dieser Daten sicherstellen. Eine Ablage der Dateien nur auf Dateisystem-Ebene und ohne weitere Sicherungsmaßnahmen wird von der Finanzverwaltung problematisiert.Stolpersteine bei der praktischen Umsetzung:

  • Für E-Mails oder Dateien besteht kein Archivierungskonzept.
  • Dateien im Laufwerk sind nicht ausreichend vor unbefugtem Zugriff geschützt (es besteht kein ausreichender Zugriffsschutz).
  • Aufbewahrungspflichtige Unterlagen befinden sich im E-Mail-Account eines Mitarbeiters.
  • Daten sind nicht ausreichend vor Löschung oder Veränderung geschützt.
  • Änderungen an Daten werden nicht protokolliert.
  • Dokumente sind nicht versionsgeführt.

2. Nachvollziehbarkeit von Änderungen an Programmen und Tabellendaten

Neben den eigentlichen Daten zum Geschäftsvorfall selbst müssen auch alle für die Verarbeitung erforderlichen Tabellendaten (Stammdaten, Bewegungsdaten, Metadaten wie z. B. Grund- oder Systemeinstellungen, geänderte Parameter) sowie deren Änderungen im Zeitablauf gespeichert werden. Die Pflicht zur Historisierung betrifft auch die eingesetzten Programme. Insbesondere für selbstprogrammierte Anwendungen besteht die Herausforderung des Nachweises, welche Programmversion zum jeweiligen Zeitpunkt aktiv war.

Stolpersteine bei der praktischen Umsetzung:

  • Die Protokollierung von Stammdaten ist nicht aktiv, insbesondere in den vorgelagerten Systemen (z.B. Warenwirtschaft oder Materialwirtschaft).
  • Die Änderungen an Steuerungs- und Customizingdaten (z.B. Steuer- oder Abschreibungsschlüssel, Kontenfindungsregeln) können mangels Protokollierung nicht mehr nachvollzogen werden.
  • Die Protokolldateien werden nicht archiviert sondern periodisch gelöscht.
  • Es werden zwar Protokolle erzeugt, es stehen aber keine geeigneten Werkzeuge zur Auswertung zur Verfügung.
  • Programmänderungen werden nicht dokumentiert.
  • Der Inhalt und die Logik selbstprogrammierter Anwendungen (z.B. zur Bewertung der Vorräte) kann rückblickend nicht mehr nachvollzogen werden (mangels Versionierung).

3. Belegerfassung und Belegsicherung

Geschäftsvorfälle sind zeitnah aufzuzeichnen. In Bezug auf unbare Geschäftsvorfälle führen die GoBD aus, dass eine Erfassung von Belegen (z.B. Eingangsrechnungen) innerhalb von 10 Tagen als unbedenklich anzusehen ist. „Erfassen“ kann in diesem Zusammenhang als Belegidentifikation, -sichtung, -sicherung und geordnete Ablage interpretiert werden. Die „Erfassung“ muss auf jeden Fall zeitnah erfolgen, d. h. möglichst unmittelbar nach Eingang oder Entstehung und soll den Beleg gegen Verlust sichern. Die „Erfassung“ setzt nicht zwingend eine IT-gestützte Erfassung voraus. Sie kann durch laufende Nummerierung der eingehenden und ausgehenden Rechnungen, durch Ablage in besonderen Mappen und Ordnern oder durch elektronische Aufzeichnungen erfolgen. Bei der elektronischen Aufzeichnungen gilt jedoch: alle einmal erfassten Daten sind in die Änderungsprotokollierung einzubeziehen, d.h. alle Änderungen an den erfassten Daten sind zu protokollieren.

Geschäftsvorfälle sind vollzählig und lückenlos zu erfassen. Zur Gewährleistung der Vollständigkeit fordern die GoBD ein Zusammenspiel von organisatorischen und technischen Kontrollen. Zur Kontrolle der Vollständigkeit von Belegnummern sollen insbesondere Lücken- und Mehrfachbelegungsanalysen durchgeführt werden. Die Funktion steht jedoch nicht in allen ERP-Systemen zur Verfügung.

Stolpersteine bei der praktischen Umsetzung:

  • Belege zirkulieren in den Abteilungen und werden erst später erfasst oder gehen verloren.
  • Mangels ausreichender Erfassungs-, Übertragungs- und Verarbeitungs-kontrollen werden Geschäftsvorfälle nicht vollständig erfasst oder übermittelt.
  • Erfasste, aber noch nicht gebuchte Daten können ohne Änderungsnachweis geändert oder gelöscht werden (z.B. Daten im Buchungsstapel oder vorerfasste Belege).
  • Im ERP-System stehen keine Auswertungen zur Kontrolle von Lücken in den Belegnummern zur Verfügung.
  • Es liegen Lücken in den Belegnummern vor, die nicht erklärt werden können.

4. Verfahrensdokumentation

Die Voraussetzung für die Nachvollziehbarkeit der Verfahren ist stets eine ordnungsgemäße Verfahrensdokumentation, welche die Beschreibung aller zum Verständnis der Buchführung erforderlichen Verfahrensbestandteile, Daten und Dokumente enthalten muss. Umfang und Inhalt der Dokumentationen sind grundsätzlich nicht festgelegt. Diese ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur sowie des eingesetzten DV-Systems. Alle System- bzw. Verfahrensänderungen sind jedoch inhaltlich und zeitlich lückenlos zu dokumentieren, was eine entsprechende Versionierung der Dokumentation voraussetzt. Für jeden Zeitpunkt in der Vergangenheit sollte das jeweils gültige Verfahren aus der Dokumentation einfach ersichtlich sein.

Stolpersteine bei der praktischen Umsetzung:

  • Es liegen keine Dokumentationen vor.
  • Wesentliche Verfahren (z.B. automatische Berechnungs- und Buchungs-prozesse) sind nicht beschrieben.
  • Prozesse und Systeme haben sich geändert; die vorliegenden Dokumentationen sind nicht mehr aktuell.
  • Die dokumentierten Verfahren werden in der Praxis anders gelebt.
  • Das Interne Kontrollsystem wird nicht beschrieben.
  • Die Verfahrensdokumentation steht nicht über die gesetzliche Aufbewahrungsfrist von 10 Jahren zur Verfügung.

 

Fazit

Es besteht Handlungsbedarf. Der Umgang mit aufzeichnungs- und aufbewahrungspflichtigen Daten und Dokumenten sollte überprüft und nachvollziehbar dokumentiert werden. In Zusammenarbeit mit IT- und Fachabteilungen sollte – ggf. mit externer Unterstützung – eine Schwachstellenanalyse durchgeführt werden, bei der die grundlegenden Aspekte der eingesetzten IT-Systeme und der steuerlich relevanten Geschäftsprozesse im Hinblick auf die Anforderungen der GoBD analysiert werden.

Zu Ihrer Unterstützung haben wir im Downloadbereich des Competence Center Risikomanagement eine Checkliste zur Verfügung gestellt, mit der Sie den Handlungsbedarf aufgrund der neuen GoBD selbst untersuchen können: www.trovarit.com/risikomanagement/risikomanagement.html