Teurer Trugschluss - Archivieren Sie wirklich revisionssicher?
„Unwissenheit schützt vor Strafe nicht“ – noch immer gibt es viele Unternehmen, die zur Dokumentenablage vermeintlich revisionssichere Systeme im Einsatz haben. Bei genauerem Hinschauen erweist sich dies häufig jedoch als Trugschluss. Doch wie kann es dazu kommen? Mit dem Hinweis einer sicheren Dokumentenverwaltung, als Feature der genutzten Software, werben Anbieter (von z.B. ERP- oder FiBu-Lösungen) um die Gunst der Unternehmen. Doch sicher bedeutet nicht gleich revisionssicher. Der Kunde wähnt sich buchstäblich in falscher Sicherheit. Dabei ist die revisionssichere Archivierung von Dokumenten ein Muss für nahezu jedes Unternehmen. Die Finanzbehörden prüfen und sanktionieren dies zunehmend stärker. Höchste Zeit also, die eigenen Systeme nochmals genauer unter die Lupe zu nehmen. Wir zeigen Ihnen, worauf Sie achten müssen!
Was bedeutet "revisionssichere Archivierung"?
Zur Prüfung des Systems sollte geklärt sein, wie “revisionssichere Archivierung“ definiert ist. Revisionssicher archiviert derjenige, der alle steuerlich relevanten und somit aufbewahrungspflichtigen Dokumente für die Dauer der gesetzlich vorgeschriebenen Aufbewahrungsfristen in einem elektronischen Archivsystem ablegt. Bei der Ablage sind dabei die Anforderungen des Handelsgesetzbuches, der Abgabenordnung sowie die der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (kurz: GoBD) zwingend einzuhalten. Vor allem die in den GoBD definierten zehn Kriterien für Revisionssicherheit bilden hierbei die Grundlage. Nur wenn diese Kriterien ausnahmslos alle erfüllt sind, ist die Dokumentenarchivierung revisionssicher.
Prüfung in 5 Schritten
Diese GoBD-Kriterien lassen sich in technische und organisatorische Anforderungen aufteilen. Für die Prüfung Ihrer Systeme sind fünf, rein technische Kriterien ausschlaggebend. Doch gerade bei diesen steckt der Teufel im Detail. Achten Sie daher bei der Prüfung auf folgende GoBD-Kriterien:
1.) Schutz vor Veränderung bzw. Verfälschung
Bedeutet: Jedes archivierte Dokument muss unveränderbar im Original vorliegen.
Wer also nachträglich Änderungen am Schriftstück durchführt, es löscht oder dieses durch eine neue Version ersetzt, handelt entgegen den GoBD. Mit einer Protokollfunktion erfüllen Sie diese Anforderung. Alle Änderungen und Löschungen müssen dabei lückenlos und unveränderbar protokolliert werden. Sicherer ist man mit einer zusätzlichen Versionierung. Dabei werden nicht nur die Änderungen bzw. Löschungen dokumentiert, sondern zusätzlich immer eine neue Version bereitgestellt. Das Original als erste Version des Dokuments bleibt somit unverändert im System archiviert.
Prüfen Sie daher, ob Ihr System über eine solche Protokollfunktion und/oder eine Versionierung verfügt, die alle Änderungen und Löschungen dokumentiert.
Hinweis: Insbesondere Archive und Ablagen, bei denen die Dokumente in unterschiedlichen Ordnern auf einem Laufwerk liegen, haben hinsichtlich des Schutzes vor Veränderung bzw. Verfälschung eine große Schwachstelle und sind gemäß den GoBD kritisch zu sehen.
2.) Prüfbarkeit
Bedeutet: Der gesamte Archivierungsprozess, technisch und organisatorisch, muss von einem Sachverständigen jederzeit überprüfbar sein.
Bei einer Prüfung sollten Sie beispielsweise einen elektronischen Beleg basierend auf einer Buchung ohne hohen Aufwand für den Sachverständigen zur Verfügung stellen können. Am einfachsten geschieht dies mit einer Filterfunktion und/oder einer Volltextsuche. Damit auch eingescannte Unterlagen von der Volltextsuche durchsucht werden können, bietet sich eine integrierte OCR-Erkennung an, welche das Dokument um vom System lesbare Informationen anreichert.
Prüfen Sie daher, wie schnell können Sie auf Ihre Unterlagen zugreifen und mit wie viel Aufwand ist dies verbunden.
3.) Sicherung vor Verlust
Bedeutet: Jedes archivierte Dokument muss wiederauffindbar oder reproduzierbar sein.
Ein einmal abgelegtes Dokument, darf somit von niemandem endgültig gelöscht werden. Das heißt nicht, dass es keine Löschfunktion auf der Benutzeroberfläche des Systems geben darf. Von Nutzern „gelöschte“ Dokumente allerdings nur für alle Anwender ausgeblendet werden. Zur weiteren Sicherung aller Dokumente empfiehlt sich ein Backup, welches in kurzen Abständen alle Dokumente redundant ablegt.
Prüfen Sie daher, ob Dokumente in Ihrem System gelöscht werden können. Falls ja, werden diese wirklich gelöscht sind oder werden diese nur in einer Art „Papierkorb“ abgelegt, der zudem nicht ohne Protokollierung geleert werden kann. Checken Sie Ihr Backup, sofern vorhanden, auf kurze Sicherungsintervalle.
4.) Nutzung nur durch Berechtigte
Bedeutet: Nur Berechtigte dürfen Zugriff auf die einzelnen Dokumente haben.
Ein Berechtigungskonzept, welches definiert, wer, wie und wann Zugriff auf die ihnen zugewiesenen Dokumentenarten erhalten, bildet hierfür die Grundlage. Das eingesetzte System wird zur technischen Umsetzung verwendet. Es sollte neben einer detaillierten Nutzer- und Berechtigungsverwaltung zusätzlich über geeignete Schutzmaßnahmen verfügen. Letzteres kann unter anderem durch eine passwortgeschützte Benutzerkennung erfolgen. Das Entfernen von vom Unternehmen Ausscheidenden sollte schnell und einfach möglich sein.
Prüfen Sie daher, inwieweit Ihr System das (ggfs. neu zu erstellende) Berechtigungskonzept umsetzen kann und wie es sicherstellt, dass nur Berechtigte Zugriff auf Ihre Dokumente erhalten.
5.) Einhaltung der Aufbewahrungsfristen
Bedeutet: Kein Dokument darf vor Ablauf der gesetzlichen Aufbewahrungsfristen gelöscht werden.
Dieses Kriterium ließe sich einfach erfüllen, indem man Dokumente nie löscht. Doch nach einigen Jahren wäre der Speicherbedarf unnötig hoch und die Arbeit im System dadurch erschwert. Einfacher ist es, wenn das System nach Ablauf der Aufbewahrungsfrist das Dokument eigenständig löscht – selbstverständlich protokolliert, um auch im Nachhinein die Löschung nachvollziehen zu können. Beachten Sie außerdem, dass die archivierten Doku-mente bei Ihnen liegen, sprich dass bei einem möglichen Systemwechsel nicht weitere Kosten für die Herausgabe der Dokumente durch den Dienstleister entstehen.
Prüfen Sie daher, wie lange und wie einfach sich Dokumente nach den aktuell gültigen Aufbewahrungsfristen archivieren lassen. Checken Sie zudem Ihre Verträge auf Herausgabeansprüche der Dokumente, sollten diese nicht bei Ihnen direkt liegen.
Checkliste: Ist mein System revisionssicher?
Prüfen Sie nun, ob Ihr System revisionssicher ist. Schauen Sie sich hierzu folgende sechs Aussagen an und notieren Sie sich, ob Sie diesen zustimmen können oder nicht.
- Das System verfügt über eine Protokollfunktion und/oder über eine Versionierung.
- Auf meine archivierten Belege und Dokumente habe ich schnell (<1 Min) Zugriff.
- Meine Dokumente können nur protokolliert endgültig gelöscht werden.
- Ich nutze ein Backup mit kurzen Sicherungsintervallen für meine Daten.
- Über mein System kann ich detailliert die Zugriffe auf die einzelnen Dokumente verwalten.
- Meine Dokumente werden nach den aktuell gültigen Aufbewahrungsfristen archiviert.
Sollten Sie einer Aussage nicht zustimmen können, besteht auf jeden Fall Nachholbedarf in Sachen „Revisionssichere Archivierung“. Sprechen Sie Ihren Systemanbieter darauf an oder holen Sie sich eine Zweitmeinung ein. Gerne stehen wir Ihnen hierfür zur Verfügung.
Nutzen Sie unsere Online-Terminvereinbarung, um direkt ein unverbindliches und kostenloses Beratungsgespräch zu vereinbaren.
