Compliance im Rechnungswesen Anforderungen an die IT - Datasec

download.datasec.de

Compliance im Rechnungswesen Anforderungen an die IT - Datasec

Information Risk Management

Compliance im Rechnungswesen

Anforderungen an die IT

Dietmar Hoffmann

Köln, 3. Mai 2007

ADVISORY


Inhalt

1 Überblick

2 Rechtliche Rahmenbedingungen

3 Auswirkungen

4 Prüfungen und Zertifikate

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Inhalt

1 Überblick

2 Rechtliche Rahmenbedingungen

3 Auswirkungen

4 Prüfungen und Zertifikate

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Überblick

Welche Anforderungen aus Handels- und Steuerrecht sind bei Einsatz von

IT im Rechnungswesen zu beachten?

� Die Technik entwickelt sich weiter

- insbesondere findet zunehmende Digitalisierung statt

- Es bestehen Unsicherheiten, wie neue Technologien im bisherigen

gesetzlichen Rahmen des betrieblichen Rechnungswesen angewendet

werden kann bzw. muss

� Der Gesetzgeber reagiert auf die sich entwickelnde Technik

- z. T. (stark) erhöhte neue Anforderungen

- Führt zu Unsicherheiten, wie neue Regelungen mit neuer / bisheriger

Technik / Verfahren erfüllt werden können

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.

4


Überblick

Betrachtung der folgenden Themen

� Fordert der Gesetzgeber bestimmte Technologien?

� Wo sind die Anforderungen definiert?

� Wer interpretiert diese Anforderungen?

� Wie kann ein Unternehmen die Einhaltung der Anforderungen

sicherstellen / nachweisen?

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.

5


Inhalt

1 Überblick

2 Rechtliche Rahmenbedingungen

3 Auswirkungen

4 Prüfungen und Zertifikate

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Rechtliche Grundlagen

� Alle Unternehmen in Deutschland unterliegen den Regelungen des

Handelsgesetzbuches (HGB) und der Abgabenordnung (AO)

- Ziel des HGB: Information der Gläubiger, Anteilseigner

- Ziel der AO: Ermittlung der Besteuerungsgrundlagen

Anforderungen von HGB und AO an die Buchführung teilweise eng

verwandt, teilweise sogar wortgleich

- inhaltlich (Maßgeblichkeit und umgekehrte Maßgeblichkeit)

- formal (Buchführungspflicht, Aufbewahrungspflichten, Verweis auf GoB,

technikneutral)

- Bisher noch wenig Ausnahmen:

- Änderungen der Abgabenordnung durch Steuersenkungsgesetz 2000

- Anforderungen aus weiteren Steuergesetzen, z. B. UStG

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Rechtliche Grundlagen

Beispiel: synoptische Darstellung der Buchführungs- und

Aufbewahrungspflichten

Anforderung HGB AO

Buchführungspflicht § 238 § 140

Führung der Handelsbücher

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.

§ 239 (1)

§ 239 (2)

§ 239 (3)

§ 239 (4)

§ 146 (3)

§ 146 (1)

§ 146 (4)

§ 146 (5)

Aufbewahrung von Unterlagen § 257 § 147


Rechtliche Grundlagen

Beispiel: Aufbewahrung auf anderen Datenträgern

� § 257 HGB (Aufbewahrung von Unterlagen. Aufbewahrungsfristen):

- (3) Mit Ausnahme der Eröffnungsbilanzen, Jahresabschlüsse und der

Konzernabschlüsse können die in Absatz 1 aufgeführten Unterlagen auch

als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern

aufbewahrt werden, wenn dies den Grundsätzen ordnungsmäßiger

Buchführung entspricht und sichergestellt ist, dass die Wiedergabe oder

die Daten…

� § 147 AO (Ordnungsvorschriften für die Aufbewahrung von Unterlagen):

- (2) Mit Ausnahme der Jahresabschlüsse, der Eröffnungsbilanz u. der Unterlagen

nach Abs. 1 Nr. 4a können die in Absatz 1 aufgeführten Unterlagen auch als

Wiedergabe auf einem Bildträger oder auf anderen Datenträgern

aufbewahrt werden, wenn dies den Grundsätzen ordnungsmäßiger

Buchführung entspricht und sichergestellt ist, dass die Wiedergabe oder

die Daten…

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Rechtliche Grundlagen

Was bedeutet

„wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht“?

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Rechtliche Grundlagen

Die Grundsätze ordnungsmäßiger Buchführung (GoB)

� sind in keinem Gesetz abschließend aufgezählt („unbestimmter

Rechtsbegriff“)

� werden sowohl in Handelsrecht (HGB) als auch im Steuerrecht

(AO) gleichbedeutend verwendet

� sind interpretationsbedürftig und unterliegen einer ständigen

Weiterentwicklung

- aus handelsrechtlicher Sicht: Berufsstand der Wirtschaftsprüfer

- aus steuerrechtlicher Sicht: Bundesministerium der Finanzen

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Rechtliche Grundlagen

� Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW)

- Freiwilliger Zusammenschluß der Wirtschaftsprüfer in Deutschland

- Herausgabe von fachlichen Verlautbarungen, u. a.

- Prüfungsstandards

- Stellungnahmen zur Rechnungslegung

- Prüfungshinweise

� Abweichungen zu den Verlautbarungen sind nur in

Ausnahmefällen möglich!

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Rechtliche Grundlagen

� Bundesministerium der Finanzen: Herausgabe von

- Richtlinien (Auslegung der gesetzlichen Regelung)

- Erlasse (Regelung von Einzelsachverhalten)

- BMF-Schreiben

� Keine unmittelbare gesetzliche Bindungswirkung, aber Einhaltung

zumeist unumgänglich

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Rechtliche Grundlagen

Konkretisierung der GoB: wesentliche Dokumente

� handelsrechtlich

- IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger

Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1)

- IDW Prüfungsstandard: Abschlußprüfung bei Einsatz von

Informationstechnologie (IDW PS 330)

� steuerrechtlich

- Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme

(GoBS), BMF-Schreiben vom 7. November 1995

- Grundsätze des Datenzugriffs und der Prüfbarkeit digitaler Unterlagen

(GDPdU), BMF-Schreiben vom 16. Juli 2001

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Rechtliche Grundlagen

Anforderungen aus FAIT 1:

� Sicherheitsanforderungen

� GoB bei IT-gestützter Rechnungslegung

- Allgemeine Grundsätze

- Beleg-, Journal- und Kontenfunktion

- Dokumentation, Aufbewahrungspflichten

� Einrichtung eines IT-Systems mit Rechnungslegungsbezug

- IT-Umfeld und IT-Organisation

- IT-Infrastruktur, IT-Anwendungen, IT-gestützte Geschäftsprozesse

- Überwachung des IT-Kontrollsystems

- IT-Outsourcing

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Rechtliche Grundlagen

Anforderungen aus den GoBS:

� Beleg-, Journal- und Kontenfunktion

� Buchung

� Internes Kontrollsystem (IKS)

� Datensicherheit

� Dokumentation und Prüfbarkeit

� Aufbewahrungsfristen

� Wiedergabe der auf Datenträgern geführten Unterlagen

� Verantwortlichkeit

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Rechtliche Grundlagen

Alle im Unternehmen eingesetzten rechnungslegungsrelevanten

Anwendungen müssen diesen Anforderungen genügen!

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Rechtliche Grundlagen

Abgrenzung “revisionssicher” - “rechtssicher”

� Betrachtung nach Handels- und Steuerrecht, also unter dem

Aspekt der Grundsätze ordnungsmäßiger Buchführung (GoB)

� Sind die Anforderungen der GoB eingehalten, wird oft der Begriff

“revisionssicher” verwendet

� auch bei “revisionssicherer” Archivierung ist die Archivierung

nicht zwingend “rechtssicher”, da die Beurteilung nach Zivil- und

Prozeßrecht u. U. anders ausfällt

� Beispiel: Einscannen von Eingangsrechnungen

- Nach Handels- u. Steuerrecht (unter Beachtung der GoB) erlaubt

- Zivilrechtlich verschlechtert sich die Beweissituation (nur die

Originalrechnung ist eine Urkunde)

- Vorteil: meist deutliche Kostenersparnis möglich (Risikoabwägung)

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Inhalt

1 Überblick

2 Rechtliche Rahmenbedingungen

3 Auswirkungen

4 Prüfungen und Zertifikate

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Auswirkungen

Auswirkungen auf die elektronische Verarbeitung von

Eingangsrechnungen (und Vernichtung des Originals):

� Transformation

� Bearbeitung über Workflow

� Archivierung

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Auswirkungen - Transformation

Die ordnungsmäßige Transformation muss insbesondere die

folgenden Aspekte abdecken:

� Was wird gescannt?

� Wer darf scannen?

� Zu welchem Zeitpunkt wird gescannt?

� Wie erfolgt die Qualitätskontrolle (Lesbarkeit/Vollständigkeit)?

� Wie werden Fehler protokolliert?

� Wie wird indexiert?

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Auswirkungen - Bearbeitung

Die Bearbeitung über Workflow kann - je nach konkreter

Ausgestaltung - Bestandteil des internen Kontrollsystems (IKS) und

damit rechnungslegungsrelevant sein. Dann müssen insbesondere

die folgenden Aspekte abgedeckt sein:

� Nachweis der Autorisierung

� Aufbewahrung von Buchhaltungsvermerken

� generelle Anforderungen:

- Sicherheit

- Nachvollziehbarkeit des Verfahrens

- Nachvollziehbarkeit der Abwicklung der einzelnen Geschäftsvorfälle

- Einhaltung der Aufbewahrungsvorschriften)

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Auswirkungen - Archivierung

Die ordnungsmäßige Archivierung muss insbesondere die

folgenden Aspekte sicherstellen:

� Unveränderbarkeit

� Protokollierung von Bearbeitungsvorgängen

� langfristige Lesbarkeit

� Wiederauffindbarkeit

� Nachvollziehbarkeit

� Auswertbarkeit (bei originär digitalen Daten)

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Inhalt

1 Überblick

2 Rechtliche Rahmenbedingungen

3 Auswirkungen

4 Prüfungen und Zertifikate

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Prüfungen und Zertifikate

Wie kann das Unternehmen sicherstellen, alle relevanten

Anforderungen zu erfüllen?

� Unabhängige Prüfung der jeweils eingesetzten Verfahren, ob die

handels- und steuerrechtlichen Anforderungen erfüllt werden

� Erstellung eines Prüfberichts

� Damit kann der Inhalt der Prüfung und das Ergebnis auch nach

außen dokumentieren werden (“Zertifikat”)

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Prüfungen und Zertifikate

Anwendungsgebiete für Zertifikate

� Hersteller von Hard-/Softwareprodukten

- Nachweis der Ordnungsmäßigkeit

- gegenüber bestehenden Kunden

- gegenüber potenziellen Kunden

� Anwender:

- Produktauswahl (Herstellerzertifikat)

- Nachweis der Einhaltung der Anforderungen

- gegenüber Externen: z. B. Wirtschaftsprüfer, Betriebsprüfer

- gegenüber Internen: z. B. Konzern, Vorstand

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Prüfungen und Zertifikate

Wer kann Zertifikate erstellen? Was sagen sie aus?

� Im Prinzip jeder: Zertifikat ist kein geschützter Begriff

� Zertifikate haben keine Bindungswirkung

� Die Aussagekraft des Zertifikats ist abhängig von der gewählten

Vorgehensweise, des Prüfungsumfangs sowie der Kompetenz

und Glaubwürdigkeit des Ausstellers

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Prüfungen und Zertifikate

Zertifikate von Wirtschaftsprüfern: Softwarebescheinigungen

� Berufsstand der Wirtschaftsprüfer hat Prüfungsstandard

entwickelt für die Erstellung von Zertifikaten: IDW PS 880

“Erteilung und Verwendung von Softwarebescheinigungen”

� nach diesem Standard können Produkte geprüft und

Softwarebescheinigungen (“Zertifikate”) erstellt werden

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Prüfungen und Zertifikate

� IDW PS 880 ist gedacht für die Untersuchung von

rechnungslegungsrelevanter Produkte beim Hersteller

� Zentrale Aussage (z. B. Archivsystem):

- Das System XY ermöglicht bei sachgerechter Anwendung eine

den Grundsätzen ordnungsmäßiger Buchführung entsprechende

Speicherung und Abfrage (Retrieval) von elektronischen

Dokumenten.

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Prüfungsinhalte und -ansatz

Inhalte der Verfahrensprüfung gemäß IDW PS 880

� Verarbeitungsfunktionen

- Notwendige Verarbeitungsfunktionen („für die Einhaltung der GoB

notwendig“)

- Programmierte Verarbeitungsregeln (Richtigkeit der Programmabläufe)

� Prüfung der Softwaresicherheit

- Zugriffsberechtigungen

- Datensicherung

- Programmentwicklung, -wartung und –freigabe

� Prüfung der Dokumentation

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Prüfungsinhalte und -ansatz

Prüfungsansatz

� Verarbeitungsfunktionen

- anhand der vorgelegten Dokumentation

� Programmierte Verarbeitungsregeln

- Testfallmethode, sowohl vorhandene Testfälle des Herstellers als auch

eigene Testfälle

- i. d. R. kein Quellcode-Review

� Softwaresicherheit

- Konfigurationsprüfung sicherheitskritischer Systemeinstellungen

- Prüfung auf bekannte Exploits

- Ergänzender Einsatz von IT-Security-Tools (Sniffer, Scanner etc.)

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.


Prüfungen und Zertifikate

rechnungslegungsrelevantes

IT-System

Organisation

Software

Hardware

Prüfung

gemäß PS 880

(beim Hersteller)

“Zertifikat”

© 2007 KPMG Deutsche Treuhand-Gesellschaft AG, deutsches Mitgliedsunternehmen von KPMG International,

einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo

sind eingetragene Markenzeichen von KPMG International.

Installationsprüfung

(beim Anwender)


Dietmar Hoffmann

KPMG Deutsche Treuhand-Gesellschaft

(030) 20 68 – 43 78

dhoffmann@kpmg.com

Weitere Magazine dieses Users
Ähnliche Magazine