Revisionssicherheit – was bedeutet das und wie archiviere ich revisionssicher?

„Wer verspricht, mit einer DMS-Lösung Revisionssicherheit für das gesamte Unternehmen auf Knopfdruck zu bieten, der lügt.“ Bereits vor einigen Wochen hat unser Kollege Stefan Olschewski in seinem Blogartikel mit den fünf größten Mythen rund um das Dokumentenmanagement aufgeräumt. Im Detail erklärt, wie Unternehmen Revisionssicherheit erreichen können, hat er damals aber noch nicht. Genau das möchten wir heute nachholen.

Das Gabler Wirtschaftslexikon definiert Revisionssicherheit als „Zustand innerhalb von Unternehmen, dessen Systeme und operative Prozesse im Lichte gesetzlicher (…) Vorschriften als ordnungsgemäß bzw. angemessen angesehen werden kann.“ In der Regel bezieht sich der Begriff dabei auf die revisionssichere Archivierung von aufbewahrungspflichtigen Informationen und Dokumenten. Hier kommen die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) in’s Spiel.

Anforderungen an eine revisionssichere Archivierung und Aktenführung

Die Anforderungen an eine revisionssichere Archivierung und Aktenführung sind nämlich in genau dieser (GoBD) festgelegt. Eine revisionssichere Archivierung von Daten im steuerrechtlichen Sinne sollte demnach auch an der GoBD orientiert erfolgen. Die zentralen Anforderungen sind in Kapitel drei unter „Allgemeine Anforderungen“ festgehalten:

Nachvollziehbarkeit/Nachprüfbarkeit (GoBD-Kapitel 3.1)

Jedes Dokument, das über einen beliebigen Eingangskanal in ein revisionssicheres Archiv überführt wird, muss protokoliert werden. Es muss zwingend nachgewiesen werden können, zu welchem Zeitpunkt und von wem ein Dokument (elektronisch oder papierbezogen) den Weg in das elektronische Archiv gefunden hat. Jede Veränderung an den Dokumenten muss in entsprechenden Aktenstrukturen nachvollziehbar sein.

Vollständigkeit (GoBD-Kapitel 3.2.1)

Wichtig ist, dass dies vollständig geschieht. Um Aufbewahrungspflichten vollständig zu erfüllen, müssen sämtliche Datenobjekte, die für eine steuerrechtliche Bewertung von Relevanz sind, lückenlos erfasst werden. Prozesse müssen so abgebildet werden, dass alle Informationen den Weg in das elektronische Archiv finden. Das heißt zum Beispiel auch, dass E-Mails berücksichtigt und archiviert werden müssen. In der Regel erreicht man eine Vollständigkeit nur, wenn E-Mails schon Serverseitig archiviert werden.

Richtigkeit (GoBD-Kapitel 3.2.2)

Eine weitere zentrale Anforderung an eine revisionssichere Archivierung ist die Richtigkeit der Daten. So müssen das originale und das digitale Dokument einen geforderten Grad an Übereinstimmung aufweisen. In einem konkreten Beispiel könnte dies bedeutet, dass ein eingescanntes Dokument einen schlechten Kontrast aufweist und daher digital nicht lesbar ist. Um in diesem Fall trotzdem die Richtigkeit zu bewahren, muss der Kontrast nachträglich angepasst werden. Diese Veränderung muss wiederum zwingend dokumentiert werden, um nachweisen zu können, dass das Dokument nicht manipuliert wurde.

Zeitgerechte Buchung und Aufzeichnungen (GoBD-Kapitel 3.2.3)

Hinzukommt, dass alle Eingangskanäle möglichst schnell eingescannt werden. In der klassischen Posteingangsverarbeitung gibt es in größeren Unternehmen daher sogar Scanning-Strecken, die unmittelbar nach Posteingang für eine digitale Erfassung sorgen.

Ordnung (GoBD-Kapitel 3.2.4)

Bei der Anschaffung eines elektronischen Archivs, geht es im ersten Schritt darum möglichst viele Informationen in das Archiv zu überführen. Es sollte allerdings zwingend darauf geachtet werden, dass die Dokumente passenden Strukturen zugeordnet und die Dokumente mit einer entsprechenden Aufbewahrungsfrist versehen werden. Mit Ablauf der Aufbewahrungsfristen können Betroffene, Beschäftigte, Kunden oder Verbraucher einen Anspruch auf Löschung der Dokumente erheben. Ein Löschkonzept spielt hier aus Datenschutzgründen eine wichtige und ernstzunehmende Rolle.

Unveränderbarkeit (GoBD-Kapitel 3.2.5)

Der Anspruch der Unveränderbarkeit ist abschließend ein wesentlicher Anspruch der GoBD. Dokumente sollten auf spezieller Hardware gesichert werden, um verhindern zu können, dass Dokumente nachträglich verändert oder manipuliert werden können. Dokumente können zwar in neue Versionen überführt werden, allerdings müssen diese Änderungen dokumentiert und die Ursprungsinformationen weiterhin vorgehalten werden.

In vier Schritten zur Revisionssicherheit

Nachdem die Anforderungen an Revisionssicherheit nun geklärt sind, bleibt nun noch die eigentlich zentrale Frage: wie können Unternehmen ein revisionssicheres Archiv implementieren? Mit der Anschaffung einer DMS-Software wird ein erster wichtiger Schritt in die Richtung eines revisionssicheren Archivs gemacht. Genauso wichtig ist es neben der Software allerdings auch die Hardware und die Geschäftsprozesse an der GoBD auszurichten. Auf dem Weg zur Revisionssicherheit gibt es vier zentrale Bausteine:

  • Software

Die Revisionssicherheit setzt als ersten Baustein eine passende Software voraus. Eine ECM-Lösung bildet die Basis für Revisionssicherheit und die Einhaltung der beschriebenen Anforderungen. Bescheinigt werden kann dies zum Beispiel durch ein Testat einer unabhängigen Wirtschaftsprüfungsgesellschaft.

  • Hardware

Der zweite Baustein ist die Hardware. Zur Sicherstellung der oben beschriebenen Unveränderbarkeit benötigen Unternehmen eine entsprechende Speicher- oder Storage-Lösung. Hier werden Daten tatsächlich hardwarebezogen abgelegt und langfristig gesichert. Es muss technisch sichergestellt werden, dass diese Daten nur unter ganz besonderen Gesichtspunkten geändert werden dürfen und eine Veränderung auch immer eine entsprechende Protokollierung mit sich bringt.

  • Dokumentation

Basierend auf den Bausteinen Software und Hardware gibt es dann entsprechende Dokumentationsanforderungen – das erweiterte Fundament. Es empfiehlt sich eine Verfahrensdokumentation zu erstellen, um die unternehmensspezifische Implementierung der ECM-Lösung abzubilden.

  • Bestätigung eines Wirtschaftsprüfers

Auf Basis der implementierten und dokumentierten Lösung ist es empfehlenswert einen Wirtschaftsprüfer mit einer gutachterlichen Stellungnahme zum Gesamtprozess der digitalen Archivierung zu beauftragen. Mit dem erstellten Testat kann gegenüber Steuer- oder sonstigen Aufsichtsbehörden dargelegt werden, dass den entsprechenden Archivierungsanforderungen nachgekommen wird. Zertifizierungen nach IDW PS 880 und ISAE 3000 zur Revisionssicherheit sind für Unternehmen erstrebenswert.

 


Unsere Dokumentenmanagement-Lösungen schaffen die Basis für eine revisionssichere Archivierung von Dokumenten. Dies wurde entsprechend von einer unabhängigen Wirtschaftsprüfung bestätigt:

„Nach unserer Beurteilung aufgrund bei der Prüfung gewonnenen Erkenntnisse ermöglicht das von uns geprüfte Softwareprodukt d.3ecm Version 8.0 bei sachgerechter Anwendung eine den Grundsätzen ordnungsgemäßer Buchführung entsprechende Erfassung, Indexierung, Ablage, Abfrage und Wiedergabe von elektronischen Dokumenten und entspricht den aufgeführten Kriterien.“

Wie beschrieben ist es allerdings genauso wichtig diese auch mit Blick auf die Hardware und Dokumentation an der GoBD auszurichten. Hierbei beraten Sie unsere Experten gerne mit Empfehlungen und Vorlagen für Verfahrensdokumentationen.

Dokumentenmanagement von d.velop