GoBD-Compliance Teil 2 | IDW veröffentlicht neuen Prüfungshinweis zu den Grundsätzen digitaler Buchführung der Finanzverwaltung (IDW PH 9.860.4)

Fokus Teil 2: Generelle IT-Kontrollen

In Teil 1 der Blogreihe zum IDW PH 9.860.4 ging es um die Anforderungen an eine Verfahrensdokumentation als Teil des Basiselements des PH. Komplettiert wird das Basiselement durch Prüfungshandlungen in Bezug auf die sog. generellen IT-Kontrollen, die nachfolgend in den Blick genommen werden.

Kontrollaktivitäten sind ein „Must Have“

Für die Einhaltung der Ordnungsvorschriften des § 146 AO hat der Steuerpflichtige Kontrollen einzurichten, auszuüben und zu protokollieren (GoBD, Tz. 100). Die Anforderungen der GoBD beziehen sich auf das gesamte Datenverarbeitungssystem, also das Hauptsystem (insb. Finanzbuchhaltung) sowie die Vor- und Nebensysteme einschließlich der Schnittstellen zwischen den Systemen (z.B. Systeme der Anlagen- und Lohnbuchhaltung, der Kassenführung, des Zahlungsverkehrs, der Waren- und Materialwirtschaft, der Fakturierung, der Zeiterfassung sowie des Datenmanagements und der Archivierung, s. GoBD, Tz. 20).

Was sind generelle IT-Kontrollen?

Unter generellen IT-Kontrollen versteht man Regelungen und Verfahren, die sich auf viele Anwendungen beziehen und die die Wirksamkeit von Anwendungskontrollen unterstützen, in dem den sie den ordnungsmäßigen IT-Betrieb gewährleisten (ISA 315 Apendix 1, Tz. 9). Im Unterschied dazu stellen Anwendungskontrollen die funktionsgerechte und zutreffende Anwendung bzw. Verarbeitung von Programmen und Daten sicher (z.B. Eingabe- und Abstimmkontrollen).

Zusammengenommen bilden die generellen IT-Kontrollen und die Anwendungskontrollen das Interne Kontrollsystem (IKS), das zum Schutz von IT-Ressourcen und Datenverarbeitungsprozesse einzurichten ist. Im Hinblick auf die Betriebssicherung von EDV-Systemen wurden aufbauend auf dem COSO-Framework verschiedene IT-Prozessmodelle entwickelt. Prominente Beispiele für die Beschreibung von generischen IT-Prozessen sind die Controll Objectives for Information and related Technology (COBIT), die IT Infrastructure Library (ITIL) und die internationale Norm ISO/IEC 27001 Information Technology – Security Techniques – Information Security Management Systems – Requirements sowie die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Die konkrete Ausgestaltung des Kontrollsystems ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur sowie des eingesetzten IT-Systems (GoBD, Tz. 100). Die GoBD führen in Tz. 100 die folgenden exemplarischen IKS-Kontrollen auf:

  1. Zugangs- und Zugriffsberechtigungskontrollen
  2. Funktionstrennungen
  3. Erfassungskontrollen (Fehlerhinweise, Plausibilitätsprüfungen),
  4. Abstimmungskontrollen bei der Dateneingabe,
  5. Verarbeitungskontrollen,
  6. Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen, Daten und Dokumenten.

Bei den Nummern 1, 2 und 6 handelt es sich um generelle IT-Kontrollen, während die übrigen Nummern den Anwendungskontrollen zuzuweisen sind.

Überblick über die generellen IT-Kontrollen im PH 9.860.4

Der PH greift die Systematisierung für generelle IT-Kontrollen aus dem o.g. ISA 315 revised (Appendix 6, Tz. 2) auf und unterscheidet bei den generellen Kontrollaktivitäten zwischen den folgenden (wesentlichen) Bereichen:

  • Change-Management (Programm- und Datenänderungsverfahren)
  • Zugang und Zugriff auf IT-Systeme (Datensicherheit)
  • Prozesse zum Betrieb der IT-Infrastruktur (IT-Betrieb).

Der PH unterscheidet zwischen Angemessenheits- und Wirksamkeitsprüfungen.

Die Angemessenheitsprüfung bezieht sich im Wesentlichen auf die Einsichtnahme der Dokumentationen in Richtlinien, Verfahrensanweisungen etc. Weil das IKS in der Verfahrensdokumentation zu beschreiben ist, bildet diese auch die Basis, um die Angemessenheit der generellen IT-Kontrollen beurteilen zu können. Im Rahmen der Angemessenheitsüberprüfung wird u.a. geprüft, ob der Change-Managementprozess nachvollziehbar beschrieben wird und den aktuellen Stand reflektiert, ob die physischen und logischen Zugangs- bzw. Zugriffsschutzmaßnahmen entsprechend angemessen ausgestaltet, vorhanden und nachvollziehbar beschrieben sind, und ob entsprechende Backup- und Recovery-Prozeduren nebst Protokollierungs- und Überwachungsdiensten bestehen, die die steuerrelevanten Daten sichern.

Davon zu unterscheiden sind die Wirksamkeitsprüfungen, bei denen der lebende IT-Betrieb und die tatsächliche Durchführung der Kontrollen verprobt wird. Nicht nur im IT-Umfeld ist zu beobachten, dass es teilweise ein „GAP“ zwischen den vorgegebenen Kontrollen und den tatsächlich durchgeführten bzw. dokumentierten Kontrollen gibt.

Wirksames Change-Management

Das Change-Management umfasst die Autorisierung und Protokollierung von Änderungen am DV-System sowie Test- und Freigabeprozeduren bei Änderungen von DV-Systemen. Im Bereich des Change-Managements ist ein sorgfältiges Testing vor der Inbetriebnahme sicherzustellen. Die Funktionstests sind von den anwendenden Fachabteilungen (z.B. Finanzbuchhaltung) durchzuführen; dies gilt auch dann, wenn Tabellen oder Programmverknüpfungen bspw. für die automatisierte Steuerfindung angepasst werden. Das Changemanagement ist so zu organisieren, dass das Onboarding von steuerrelevanten DV-Systeme frühzeitig erkannt wird (wird nicht explizit im PH adressiert). Auch bei bevorstehenden Systemwechseln oder Datenauslagerungen muss das Changemanagement „rote Ampeln“ anschalten, damit die GoBD-Vorgaben (Tz. 142) erfüllt werden. Systemwechsel und Datenauslagerungen sind nicht Gegenstand der Prüfung des IDW PH 9.860.4.

Wirksamer Zugangs- und Zugriffsschutz

Maßnahmen zum Zugangs- und Zugriffsschutz umfassen einerseits bauliche und technische Maßnahmen zur Verhinderung eines nicht autorisierten Zugangs zu Hardware, Datenbanken oder Netzwerkkomponenten sowie andererseits Maßnahmen, die den logischen Zugriff auf Betriebssysteme und Datenbanken nur besonders autorisierten Mitarbeitern gestatten.

Hinsichtlich der Zugangsschutzmaßnahmen ist ein solides und administrierbares Berechtigungskonzept von zentraler Bedeutung. Innerhalb der jeweiligen Applikationen ist sicherzustellen, dass die User nur die zur Erfüllung ihrer Aufgaben erforderlichen Zugriffsrechte erhalten (Need-to-Know-Prinzip) und in Bezug auf die Zugriffsrechteverwaltung die Funktionstrennung umgesetzt ist (Segregation of Duties).

In komplexen und historisch gewachsenen IT-Landschaften bestehen zwar vielfach Rollen- und Rechtekonzepte, aber sie sind teils nur schwer zu managen. Nicht selten klafft hier eine Lücke zwischen Soll und Ist. Teilweise werden die Benutzerberechtigungskonzepte auch nicht entsprechend fortentwickelt. Benutzerberechtigungen müssen insbesondere bei Abteilungswechseln angepasst werden und Benutzerlisten von den Abteilungsleitern entsprechend regelmäßig bestätigt werden.

Die Vergabe von Admin-, Gruppen- oder Notfall-Usern ist streng zu überwachen. Nicht autorisierte sowie nicht nachverfolgbare Programmnutzungen müssen unterbunden werden. Kritische Programmverwendungen können detektivisch mithilfe von entsprechenden Softwarelösungen identifiziert werden. Je nach Komplexität der Systeme ist dies aber sehr zeitaufwendig. Eine Modernisierung des Benutzerberechtigungskonzepts stellt sich dann häufig als die wirtschaftlich günstigere Maßnahme heraus, weil präventiv wirkende Maßnahmen umgesetzt werden können, sodass der nachgelagerte Kontrollaufwand sinkt. Umstellungsprojekte, mit denen Benutzerberechtigungskonzepte modernisiert und Identitätsmanagementsysteme eingeführt werden, können sich über einen längeren Zeitraum ziehen.

Wirksam gesicherter IT-Betrieb

Die Maßnahmen zur Einrichtung und Aufrechterhaltung eines angemessenen IT-Betriebs umfassen alle Aktivitäten, die für einen geordneten, sicheren und störungsfreien Betrieb von IT-Anwendungen erforderlich sind. Typische IT-Prozesse sind neben dem Change Management etwa das Incident- und Problemmanagement sowie die Jobsteuerung, die Produktionsüberwachung und der Netzbetrieb.

Die Prozesse müssen einen störungsfreien IT-Betrieb gewährleisten. Im Falle von Störungen (bspw. Stromausfall oder Brand) müssen die gesicherten Daten wiederherstellbar sein. Im Rahmen der Wirksamkeitsprüfungen wird bspw. nachvollzogen, ob Datensicherungen zu den vorgegebenen Intervallen tatsächlich durchgeführt wurden, nur berechtigte Personen auf die gesicherten Daten zugreifen können und automatisierte Kontrollen für Datensicherungs- und Datenwiederherstellungsdienste durchgeführt wurden.

Schlussworte

Die Relevanz des Lebens von generellen IT-Kontrollen wird durch den IDW PH und auch durch ISA 315 steigen. Meine Prognose ist, dass Projekte insbesondere im Bereich der Data Governance (u.a. Data-Management und Benutzerberechtigungskonzepte) viele Unternehmen bewegen werden.

In unseren nächsten Teilen befassen wir uns dann mit den Ergänzungselementen des IDW PH 9.860.4.