Ordnungsmäßigkeit und Prüfung der Buchführung
Nur der ordnungsmäßigen Buchführung kommt Beweiskraft für Steuerzwecke zu (§ 158 AO). Die Buchführung ist ordnungsgemäß, wenn Geschäftsvorfälle vollständig, richtig, zeitnah, geordnet, nachvollziehbar und unveränderlich verarbeitet werden (§§ 238 Abs. 1, 239 Abs. 2, 3 und 257 Abs. 3 HGB). Mängel bei der Aufzeichnung oder Verarbeitung von Geschäftsvorfällen werden von der Finanzverwaltung in Betriebsprüfungen zunehmend sanktioniert. Was mit der Prüfung der Formvorschriften nach Maßgabe der GoBD beginnt, endet immer häufiger in IT-gestützten Fehleranalysen. Die Wahrscheinlichkeit steigt, dass die Betriebsprüfer Fehler im Datenverarbeitungsprozess finden, wenn keine entsprechenden qualitätssichernden Maßnahmen ergriffen werden (Liekenbrock/Wähnert, Digitale Betriebsprüfung, IDW 2021).
Es ist daher sehr begrüßenswert, dass das IDW mit seinem kürzlich veröffentlichten Prüfungshinweis 9.860.4 (IDW Life 2021, 865) eine GoBD-Duftmarke für alle Wirtschaftsprüfer und wirtschaftsgeprüften Unternehmen hinterlassen hat. Es erscheint auch sehr sinnvoll, wenn der Wirtschaftsprüfer vor dem Erscheinen des Betriebsprüfers die GoBD-Konformität außerhalb der regulären Jahresabschlussprüfung prüft und bestätigt. Da schwerwiegende GoBD-Verstöße auch zur Einleitung von Strafverfahren führen können, kann ein uneingeschränktes „GoBD-Testat“ die Geschäftsleitung exkulpieren. Ein exkulpierendes „GoBD-Testat“ kann aber auch ein Steuerberater ausstellen, der mit den Systemen des Steuerpflichtigen vertraut ist und über qualifiziertes IT-Know-How verfügt.
Die Prüfung auf ordnungsmäßige Verarbeitung des Buchungsstoffs ist bereits Teil der Jahresabschlussprüfung (IDW PS 330). Dies erfordert auch eine Prüfung der IT- und Datenverarbeitungsprozesse. Die IT-bezogenen Elemente der Jahresabschlussprüfung werden durch ISA 315 (revised 2019) deutlich aufgewertet; der Standard ist in seiner überarbeiteten Version verpflichtend für Jahresabschlussprüfungen anzuwenden, die nach dem 15.12.2021 beginnen (Tritschler, WP Praxis Nr. 7 vom 30.06.2021, 227). Insofern ist zu erwarten, dass die erhöhten Anforderungen an die IT-bezogene Jahresabschlussprüfung auf die Datenqualität einzahlen werden. Gleichwohl ist zu beachten, dass der Wirtschaftsprüfer – im Gegensatz zum Betriebsprüfer des Finanzamts – das Kriterium der Wesentlichkeit bei der Beurteilung von Fehlerpotenzialen kennt. Ferner sind aus Sicht der Betriebsprüfung tendenziell mehr EDV-Systeme von Relevanz als für den Wirtschaftsprüfer (z.B. Kommunikationssysteme oder Zeit- und Mengenzähler).
Überblick über die Prüfungsfelder des IDW PH 9.860.4
Die Kataloge des Prüfungshinweises sind wie folgt modularisiert, wobei das Basiselement unverzichtbarer Teil der Prüfung ist:
- Basiselement: Verfahrensdokumentation und generelle IT-Kontrollen
- Ergänzungselement (1): Belegeingang
- Ergänzungselement (2): Elektronischer Belegausgang
- Ergänzungselement (3): Elektronische Aufbewahrung
- Ergänzungselement (4): Datenzugriff der Finanzverwaltung
In diesem Blogbeitrag werden die Prüffelder zur Verfahrensdokument kursorisch kommentiert. Weitere Blogbeiträge zu den übrigen o.g. Prüffeldern folgen.
Verfahrensdokumentation nicht für alle und nicht nur für die Rechnungsverarbeitungsprozesse
Für die Prüfung ist eine aussagefähige und aktuelle Verfahrensdokumentation notwendig, die alle System- bzw. Verfahrensänderungen inhaltlich und zeitlich lückenlos dokumentiert (GoBD, Tz. 150). Die Verfahrensdokumentation wird in der Praxis häufig in die Bestandteile Allgemeine Beschreibung, Anwenderdokumentation, Systemdokumentation und Betriebsdokumentation eingeteilt (GoBD, Tz. 153).
Die Notwendigkeit einer Verfahrensdokumentation ergibt sich nicht direkt aus dem Gesetz, weshalb die Erstellungspflicht auch bezweifelt wird (Brete, DStR 2019, 258). Sie wird dennoch von der Finanzverwaltung eingefordert, weil es ihrer Meinung nach sonst nicht möglich sei, dass ein Betriebsprüfer die Richtigkeit der Buchführung in angemessener Zeit nachvollziehen könne (§ 145 Abs. 1 AO). Wird keine ordnungsgemäße Verfahrensdokumentation vorgelegt, neigt die Betriebsprüfung dazu, die Buchführung zu verwerfen, um Steuerbemessungsgrundlagen zu schätzen. Der Sinn und Zweck einer Verfahrensdokument erschließt sich bei komplexen Datenverarbeitungsprozessen, nicht aber bei einfachen Verarbeitungsroutinen unter Einsatz von Fremd- oder Standardsoftware.
In „überschaubaren“ Fällen darf die Betriebsprüfung aus der fehlenden Vorlage einer Verfahrensdokumentation keine negativen Schlüsse für den Steuerpflichtigen ziehen, wenn die Nachvollziehbarkeit der Buchführung gewährleistet ist (s. auch GoBD, Tz. 155). Auf diesen für kleine und mittlere Unternehmen bedeutsamen Aspekt geht der Prüfungshinweis des IDW nicht ein. Er konzentriert sich auf Großunternehmen und Konzerne, die regelmäßig von Wirtschaftsprüfern testiert werden.
Für welche Systeme eine Verfahrensdokumentation zu erstellen ist, legt der IDW-Prüfungshinweis nicht fest; kann er auch nicht, weil sich das von Fall zu Fall unterscheiden kann. Allgemeiner Grundsatz ist hier, dass alle EDV-Systeme relevant sind, mit denen steuerrelevanten Daten verarbeitet werden. Dies sind nicht nur Buchhaltungssysteme, sondern insbesondere auch Vor- und Nebensysteme wie die Warenwirtschaft, Kasse, Lohnabrechnung, Dokumentenmanagementsysteme u.v.m. (s. GoBD, Tz. 20). Dies wird in dem Prüfungshinweis leider nur beiläufig erwähnt (Tz. 7) und der Schwerpunkt auf die rechnungsverarbeitenden Systeme gelegt (s. Ergänzungselemente 2 und 3). Dies könnte bei einem unbedarften Leser den Eindruck erwecken, dass man die vollständige GoBD-Compliance erlangt, wenn Verfahrensdokumentationen nur für die o.g. Ergänzungselemente des Prüfungshinweises erstellt und IT-Kontrollen umgesetzt wurden.
Dies ist aber mitnichten der Fall. Gerade aufgrund der zunehmenden End-to-End-Abwicklung von Geschäftsprozessen (z.B. Procurement-to-Pay oder Order-to-Cash) nimmt auch die schnittstellengebundene „Verdrahtung“ von EDV-Systemen des operativen und administrativen Bereichs eines Unternehmens (z.B. Beschaffung und Finanzen) zu, was eine gesamthafte Betrachtung des Data-Lifecycles erfordert. Verfahrensdokumentationen und IT-Kontrollen können daher für sämtliche EDV-Systeme relevant sein, die in der Wertschöpfungskette des Steuerpflichtigen sowie in den Finanz- bzw. Verwaltungsprozessen eingesetzt werden. Auch Tabellenkalkulationsprogramme spielen hier eine große Rolle, die unter Umständen ebenfalls als GoBD-relevantes Individuelles Datenverarbeitungssystem (IDV) zu qualifizieren sein können.
Ein überwachter Prozess für die Erstellung von Verfahrensdokumentationen?
Prüffeld 1 des IDW-Hinweises widmet sich dem allgemeinen Erstellungs- und Pflegeprozess für Verfahrensdokumentationen des Unternehmens („Selbstersteller“). Kurz zusammengefasst wird hierin gefordert, dass die Verfahrensdokumentationen – wie andere Belege auch – revisionsschutzkonform erstellt und aktualisiert werden, und dass nur autorisierte Personen (im 4-Augenprinzip) nachprüfbar Änderungen vornehmen dürfen. Kritiker, die bereits das gesetzliche Erfordernis einer Verfahrensdokumentation anzweifeln (s.o.), werden sich beim Lesen dieses Prüffelds verwundert die Augen reiben. Suggeriert der Prüfungshinweis insoweit doch eine Verpflichtung, einen aufwendigen Pflegeprozess (mit Audit Trail) für die Verfahrensdokumentation implementieren zu müssen.
Diese Verpflichtung könnte man gegebenenfalls aus dem GoBD-Schreiben (Tz. 154) herauslesen, nicht aber aus der Abgabenordnung ableiten. Abseits dessen werden es Wirtschafts- und Betriebsprüfer natürlich begrüßen, wenn sich Unternehmen mit einer Vielzahl von steuerrelevanten EDV-Systemen einen wie vom IDW geforderten Pflegeprozess geben würden. Dies bringt insbesondere Verlässlichkeit für die Aufklärung von historischen Verhältnissen, weil der Betriebsprüfer regelmäßig erst Jahre später die Verhältnisse prüft und dann vor den aktuellen Systemen des geprüften Unternehmens sitzt, die häufig nicht mit dem (Release-)Stand des Prüfungsjahres übereinstimmen.
Letztlich sollte das Prüffeld 1 des IDW-Hinweises eher als Maximalanforderung für Musterschüler zu interpretieren sein. Als Mindeststandard für Selbstersteller von Verfahrensdokumentationen sollte die Erstellung und Pflege in einem revisionssicher konfigurierten Dokumentenmanagementsystem ausreichend sein. Auch ein Papierdokument, das den Erstellungszeitpunkt der Verfahrensdokumentation mit entsprechender Zeichnung durch den oder die Ersteller erkennen lässt, ist von der Betriebsprüfung meines Erachtens zu akzeptieren.
Ein ganz wesentlicher Aspekt, der leider im Prüffeld 1 und auch in den Prüffeldern zu den generellen IT-Kontrollen nicht explizit angesprochen wird, ist, dass Anschaffungen von steuerrelevanten EDV-Systemen rechtzeitig erkannt werden. Wenn die Identifikation von steuerrelevanten Systemen nicht systematisch durch organisatorische oder prozessintegrierte Maßnahmen sichergestellt wird, besteht vor allem in Großunternehmen und Konzernen die Gefahr, dass Verfahrensdokumentationen nicht für sämtliche Systeme erstellt bzw. aktualisiert werden. Das IT- und/oder Applikationsmanagement muss steuerrelevante von nicht relevanten Systemen unterscheiden können, um die GoBD- bzw. Verfahrensdokumentationspflichten zeitnah erfüllen zu können. Da bei einem Systemwechsel zu beachten ist, dass das Altsystem ggf. über den Aufbewahrungszeitraum weiterhin vorzuhalten ist (GoBD, Tz. 142), kann eine lückenhafte Inventarisierung von steuerrelevanten Systemen auch dazu führen, dass gegen gesetzliche Aufbewahrungsfristen verstoßen wird.
Prozessbeschreibungen in der Anwenderdokumentation
Prüffeld 5 beleuchtet die Beschreibung des Prozesses über die Systembedienung durch die Anwender. Hier geht es im Kern darum, dass jeder Nutzer nach Maßgabe einer fachlichen Verfahrensanweisung eine ordnungsmäßige Datenverarbeitung und Datenaufbewahrung sicherstellt. Jedem Anwender eines steuerrelevanten Systems muss klar sein, welche „Spielregeln“ bspw. für den Empfang, die Erfassung und Prüfung von Daten zu beachten sind, damit eine hohe Datenqualität gewährleistet ist. Hierfür werden häufig Workflowdiagramme mit Programmen wie Signavio, Adonis oder Camunda erstellt, die dann auch Gegenstand der Prüfung sind. In diesem Kontext sind auch die Schnittstellen von Systemen oder Fachbereichen von großer Bedeutung, also die Übergabepunkte, in denen Daten von einem Quell- in ein Zielsystem übergeben werden. In Schnittstellen liegt ein hohes Fehlerpotenzial. Insbesondere bei manuellen Datenübertragungen, aber auch bei maschinellen Schnittstellen schlummern Fehlerpotenziale, wenn bspw. veränderte Datenstrukturen nicht in den Mappings beachtet werden.
Beschreibung des Datenmanagements als Schwerpunkt in der System- und Betriebsdokumentation
Prüffeld 6 befasst sich mit der Einsichtnahme in die technische Systemdokumentation. Hier geht es um einen vollständigen Systemüberblick und die Beschreibungen der eingesetzten Softwarekomponenten (einschließlich Customizing-Maßnahmen und Systemanpassungen, Systemkonfiguration, Parametereinstellungen, Anwenderoberflächen, Infrastrukturkomponenten) sowie eine Beschreibung der zum Systemverständnis erforderlichen eingesetzten Hardwarekomponenten (z.B. Speicher- und Erfassungssysteme, Server). Entscheidungserheblich für die vollständige und richtige Verarbeitung der Geschäftsvorfälle ist, dass die Daten im System zutreffend erfasst und verarbeitet werden. Wie detailliert bzw. granular Informationen zu Geschäftsvorfällen in den Systemen erfasst werden, ist entscheidend dafür, ob sie allein auf Basis der Erfassung im System ohne Inaugenscheinnahme des Belegs ordnungsgemäß verbucht und steuerlich gewürdigt werden können.
Im Zusammenhang mit der automatisierten Verarbeitung bzw. Verbuchung von Geschäftsvorfällen kommt den Stammdaten eine überragende Bedeutung zu (s. Blogbeitrag vom 19.3.2021). Hier muss die Verfahrensdokumentation aufzeigen, wie die Datenstrukturen aufgebaut sind, nach welchen Logiken manuelle und maschinelle Datenverarbeitungen erfolgen und wie Schnittstellen zu anderen Systemen funktionieren. All dies ist wichtig, damit ein sachverständiger Dritter (z.B. Betriebsprüfer) die Ordnungsmäßigkeit der Datenverarbeitungsprozesse nachvollziehen kann.
Aufbauend hierauf widmen sich die Prüffelder 7 und 8 der Betriebsdokumentation und dem Internen Kontrollsystem (IKS). Die IT-Systeme müssen vor unberechtigten Zugriffen geschützt werden (IT-Governance und IT-Security) und die Datenintegrität muss gewährleistet sein (Data Governance). Im materiellen Kern zielen die Prüffelder auf die Maßnahmen und Kontrollen zur Sicherung der Datenqualität ab. Das ist im Zeitalter der Digitalisierung und Automatisierung meines Erachtens auch das wichtigste Compliance-Thema (zum Thema Data Governance s. auch Liekenbrock/Danielmeyer, Rethinking Tax 2/2021, 32 sowie Blogbeitrag vom 26.10.2020). Wie die im Prüffeld 8 aufgelisteten IKS-Kontrollen (GoBD, Tz. 100) konkret ausgestaltet werden müssen, damit hierdurch wirksam die Datenqualität geschützt wird, kann dem Prüfungshinweis in verschiedenen Prüffeldern zu den generellen IT-Kontrollen und den Kontrollen in den beispielhaften Geschäftsprozessen der Ergänzungselemente 1-4 entnommen werden, worauf wir in Folgebeitragen eingehen werden.