GoBD-Compliance schärft den technischen Blick der Steuerabteilung
Daten und Datenmanagement sind wesentliche Erfolgsfaktoren im 21. Jahrhundert. Doch mit der digitalen Transformation steigt die Anzahl unterschiedlichster IT-Systeme im Unternehmen. Dies bedeutet auch, dass die gesamte IT-Infrastruktur inklusive der Vernetzung immer komplexer wird. Eine systematische und dauerhafte Überwachung dieser Struktur hinsichtlich Vollständigkeit, Richtigkeit, Sicherheit und Verlässlichkeit ist absolut notwendig.
Doch wer ist dafür zuständig? Ist die Überprüfung eine reine IT-Verantwortung oder müssen auch andere Fachbereiche mitwirken? Gibt es gesetzliche und aufsichtliche Anforderungen, die erfüllt werden müssen?
Orientierung bieten zahlreiche Prüfungshinweise, Prüfungsstandards und BMF-Schreiben. Dazu gehören der IDW Prüfungsstandard PS 330, der IDW Prüfungsstandard PS 860, die IDW Prüfungshinweise PH 9.860.1, PH 9.860.2, PH 9.860.3 (neu) und PH 9.860.4 (neu), der DIN ISO/IEC 27001, die Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1) sowie das BMF-Schreiben zu den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD).
Neue Aufgaben für die Steuerabteilung
Die operative Implementierung und Überprüfung der IT-Infrastruktur liegt selbstverständlich bei der IT-Abteilung. Aber die Spezifikation der einzuhaltenden steuerlichen Anforderungen und die Überwachung dieser Anforderungen müssen durch die jeweiligen Experten erfolgen. Die steuerlichen IT-Anforderungen sind von der Finanzverwaltung in einem eigenständigen Regelungswerk dokumentiert. Ein Blick auf die GoBD zeigt, dass die Steuerabteilung vor neuen – insbesondere technischen – Herausforderungen steht. Die rechnungslegungsbezogene Überwachung der IT-Prozesse ist eine neue Aufgabe, die in der Neufassung der GoBD im Jahr 2019 bestätigt wurde. Mit der GoBD hat die Finanzverwaltung eine eigenständige Beschreibung der Anforderungen an die IT-Systeme des Steuerpflichtigen geschaffen. Doch welche Mittel hat die Steuerabteilung, diese Aufgaben effizient zu gestalten?
Das Damoklesschwert: unvollständige Dokumentation
Die Überprüfung der GoBD-Compliance erfolgt regelmäßig durch die Finanzverwaltung, und zwar im Rahmen der Betriebsprüfung. Die Praxis hat gezeigt, dass eine Bereitstellung der relevanten Dokumentationen und Einzelnachweise zur GoBD-Compliance mit zunehmendem Blick auf vergangene Wirtschaftsjahre des Unternehmens nicht immer ordnungsgemäß möglich ist.
Dieses Damoklesschwert einer unvollständig vorliegenden Dokumentation ohne die Möglichkeit einer Zertifizierung im jeweiligen Wirtschaftsjahr schwebt grundsätzlich über jedem Unternehmen. IT-Prüfungen des Wirtschaftsprüfers im Rahmen des Jahresabschlusses können als Beleg der steuerlichen Compliance nur bedingt weiterhelfen. Eine eigenständige Zertifizierung der GoBD-Compliance analog der Tax-Compliance war bis dato nicht standardisiert möglich. Den Bedarf hatten aber bereits einige Unternehmen erkannt und frühzeitig Konzepte zur Zertifizierung erarbeitet.
Sollte es darüber hinaus auch GoBD-Schwachstellen in der IT-Infrastruktur geben, bleiben diese möglicherweise über Jahre unerkannt, wenn Überprüfungen nicht stattfinden. Das Problem: GoBD-Schwachstellen gefährden die Tax-Compliance des Unternehmens.
Der PH 9.860.4 schließt eine Lücke
Der Prüfungshinweis PH 9.860.4, der im Juli 2021 veröffentlicht wurde (Quelle: IDW Life 8/2021, S. 865 ff.), ergänzt nun den Prüfungsstandard PS 860 um eine nichtabschlussbezogene Angemessenheits- oder zusätzliche Wirksamkeitsprüfung nach den steuerlichen Grundsätzen der GoBD. Durch den Prüfungshinweis wird die Lücke des BMF-Schreibens hinsichtlich einer standardisierten Prüfungsmöglichkeit der Erklärung des gesetzlichen Vertreters oder einer direkten Prüfung der GoBD-Compliance durch einen Wirtschaftsprüfer oder Steuerberater geschlossen.
Der Prüfungshinweis PH 9.860.4 ist in ein Basiselement und vier Ergänzungselemente unterteilt:
- Basiselement: Verfahrensdokumentation und generelle IT-Kontrollen
- Ergänzungselement 1: Belegeingang
- Ergänzungselement 2: Elektronischer Belegausgang
- Ergänzungselement 3: Elektronische Aufbewahrung
- Ergänzungselement 4: Datenzugriff der Finanzverwaltung
Im Anhang zum PH 9.860.4 hat das Institut der Wirtschaftsprüfer (IDW) mögliche Prüfungshandlungen erarbeitet, die eine Angemessenheits- oder Wirksamkeitsprüfung ausführlich beschreiben und einen Verweis auf die einschlägigen GoBD-Regelungen enthalten.
GoBD-Compliance ist Teil der Tax-Compliance
Unternehmen, die in der Vergangenheit bereits GoBD-Projekte erfolgreich abgeschlossen oder die GoBD seit ihrer Einführung 2014 bei allen IT-Projekten berücksichtigt haben, werden die Möglichkeit begrüßen, ihre GoBD-Compliance durch einen Wirtschaftsprüfer oder Steuerberater bestätigen lassen zu können. Profitieren werden auch Unternehmen, die über eine überschaubare Anzahl an IT-Systemen verfügen und die darin abgebildeten Geschäftsprozesse transparent aufgesetzt und mittels einer Verfahrensdokumentation gut dokumentiert haben.
Die neue Prüfungsmöglichkeit erhöht aber auch die Relevanz der kombinierten IT- und Tax-Compliance. Es ist offensichtlich, dass eine Tax-Compliance nur in Verbindung mit einer GoBD-Compliance erreicht werden kann. In der Praxis finden sich jedoch nicht selten Tax-Compliance-Management-Systeme (Tax CMS), die den Themenkomplex GoBD ausgeklammert haben. Der Knackpunkt: IT-Kontrollen wie Change-Management, Zugriff- und Zugangskontrollen, Prozesse und Betrieb der IT-Infrastruktur werden häufig als steuerlich nicht relevant eingestuft.
Praxisbeispiele für offene Punkte:
- die systematische Identifikation von GoBD-relevanten und -nichtrelevanten Systemen, insbesondere bei einer Veränderung des Systeminhalts über den Zeitablauf hinweg
- die Überwachung der Prozesse zur Etablierung, Änderung, Rezertifizierung und Entfernung von Nutzern und Berechtigungen inklusive Notfallusermanagement in steuerlich relevanten IT-Systemen
- die Überwachung der Prozesse zur vollständigen und lückenlosen Speicherung von empfangenen, veränderten oder gesendeten steuerlich relevanten Daten und Strukturinformationen über den gesamten Aufbewahrungszeitraum, was insbesondere bei dezentralen Systemen eine Herausforderung sein kann
Zertifizierung der steuerlichen IT-Systeme nach IDW PH 9.860.4
Der IDW Prüfungshinweis PH 9.860.4 bestätigt diese Aufgaben auch aus Sicht der Wirtschaftsprüfer. Seine Einführung (als Ergänzung zum Prüfungsstandard PS 860) zeigt: Das Institut der Wirtschaftsprüfer hat die in den letzten Jahren gestiegenen steuerlichen Anforderungen einer GoBD-Compliance klar erkannt. Mit dem Prüfungshinweis PH 9.860.4 wurde für Wirtschaftsprüfer und Steuerberater ein belastbarer Rahmen zur Angebotserstellung, Prüfung und Berichterstattung geschaffen. Diesen hatten die Unternehmen schon seit Längerem eingefordert. Damit skizziert der Prüfungshinweis den Weg zu einer GoBD-Compliance, die Teil der Tax-Compliance ist. Außerdem schafft das Rahmenwerk Raum für Verbesserungen und Anpassungen an die individuellen Erfordernisse der Unternehmen.
Trotzdem bleiben Fragen, die auch der IDW Prüfungshinweis PH 9.860.4 im Zusammenspiel mit dem BMF-Schreiben nicht beantwortet. Die regelmäßige Überprüfung der Einstufung eines steuerlich relevanten Systems ist und bleibt eine Herausforderung. Dies ist dem Umstand geschuldet, dass die Steuerfunktion in der Vergangenheit spätestens nach der Einführung eines neuen IT-Systems nicht mehr an Berechtigungsprozessen, Systemverbesserungen, Systemveränderungen oder der Abspaltung von Funktionsteilen beteiligt wurde. Der Bedarf an doppelt qualifiziertem Personal in den Bereichen Steuerrecht und IT ist offensichtlich, zumal die GoBD neben den explizit genannten Anforderungen noch weitere implizite Anforderungen enthält, die nur mit steuerlicher und technischer Kompetenz identifiziert werden können.
Vorbereitende Maßnahmen zur zertifizierten GoBD-Compliance
Die Einhaltung der „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ ist durchaus eine Herausforderung für die Steuerabteilung. Aber eine, die sie meistern kann – mit steuerlich und technisch geschärftem Blick. Von Vorteil ist, wenn Unternehmen eine steuerliche Digitalisierungsstrategie aufsetzen, einen GoBD-Verantwortlichen benennen, die GoBD-Anforderungen in den IT-Kernprozessen berücksichtigen und regelmäßige Kontrollen zur Überwachung und Verbesserung der GoBD-Compliance in ihr Tax CMS aufnehmen.
Für weitere Themen rund um die Wirtschaftsprüfung und Mazars folgen Sie uns auch auf LinkedIn, X und XING.
Kommentare