• Home
• DIIR GmbH
• Termine
• News Magazine
• DIIRnet

Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)

Veröffentlicht im Bundessteuerblatt 1995 Teil I Nr. 18 (S. 738 ff.)

Vorwort

DV-gestützte Buchführungssysteme - oder auch kurz DV-Buchführung genannt - führen in bezug auf die Erfüllung der GoB zu Fragen, auf die die folgenden Grundsätze eine Antwort geben.

Seit erstmaliger Veröffentlichung der Grundsätze ordnungsmäßiger Speicherbuchführung (GoBS) im Jahre 1978 hat sich die Technik und Anwendung der DV weiterentwickelt und zu Veränderungen im Bereich des kaufmännischen Rechnungswesens und seinen Arbeitsabläufen geführt.

Die seinerzeit verfaßten GoS beruhen auf der Basis einer reinen Speicherbuchführung, bei der die Buchungen auf maschinell lesbaren Datenträgern gespeichert und nur für bestimmte Zwecke lesbar gemacht werden sollten. Es setzte sich allerdings rasch die heute herrschende Auffassung durch, daß die GoS als Auslegung der Grundsätze ordnungsmäßiger Buchführung (GoB) für alle DV-gestützten rechnungslegungsrelevanten Verfahren generell gelten müssen. Zur Anpassung an die heute eingerichteten und zukünftigen Informationssysteme in den Unternehmen werden daher die bisherigen "Grundsätze ordnungsmäßiger Speicherbuchführung" als "Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme" (GoBS) neu gefaßt.

Die Entwicklungen der letzten Jahre im Bereich der DV haben weiterhin zu einer veränderten Betrachtungsweise der DV-gestützten Buchhaltung geführt. Von wesentlicher Bedeutung ist dabei, daß die Unternehmensfunktion "Buchhaltung" nicht mehr ohne weiteres - wie früher - eindeutig abgrenzbar ist. Durch den Einsatz integrierter DV-Systeme können "Buchhaltungsdaten", die bereits in außerhalb der Abteilung "Buchhaltung" vorgesehenen Arbeitsabläufen entstehen, unmittelbar in das Buchführungssystem einfließen, z. B. bei Betriebsdatenerfassung (BDE) und Datenübermittlung (z. B. Electronic Data Interchange - EDI)). Derartige Verfahren im weiteren Sinne können somit Belegfunktion erlangen, wodurch sie dann ebenfalls den GoB und damit den Regeln der GoBS unterliegen. Der Begriff der Belegfunktion, der in Kapitel 2 näher erläutert wird, verdeutlicht, daß die Buchführung mehr als bislang in den Bereich der DV-gestützten Verfahren, die nicht immer auf den ersten Blick dem DV-gestützten Buchführungssystem zugeordnet werden, integriert sein kann. Aus diesem Grund ist es sinnvoll. den Begriff EDV-Buchführung durch den Begriff DV-gestütztes Buchführungssystem zu ersetzen.

Da die GoBS die Anforderungen an die Kontrollen, Regelungen und Maßnahmen beinhalten, die der Buchführungspflichtige vorsehen und umsetzen muß, um den GoB bei Einsatz der DV zu genügen, ist es erforderlich, den Begriff des Internen Kontrollsystems (IKS) in die GoBS einzuführen. Das IKS stellt unter anderem darauf ab, daß die Ausgestaltung organisatorischer Kontrollmechanismen, wie z. B. Funktionstrennungen und Abstimmkontrollen, die Ordnungsmäßigkeit einer Buchführung bestimmt.

Moderne Verfahren und Hilfsmittel der Programmerstellung und der Programmpflege und der daraus gewonnenen Dokumentation eines Programms führen unter Umständen zu weiteren, bisher nicht bekannten Dokumentationsformen. Dieser Entwicklung wird in dieser Schrift ebenso Rechnung getragen wie beispielsweise auch den Fragen der Herstellung der Programmidentität und des Zugriffsschutzes.

1. Anwendungsbereich

1.0 Die gesetzlichen Voraussetzungen für eine Buchführung, die auf Datenträgern geführt wird (DV-Buchführung), enthalten das Handelsgesetzbuch (HGB) und die Abgabenordnung (A0). Nach § 239 Abs. 4 HGB und § 146 Abs. 5 AO können Handelsbücher oder Bücher und die sonst erforderlichen Aufzeichnungen auch in der geordneten Ablage von Belegen bestehen oder auf Datenträgern geführt werden, soweit diese Formen der Buchführung einschließlich des dabei angewandten Verfahrens den GoB entsprechen

Die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme ersetzen nicht die GoB; sie stellen lediglich eine Präzisierung, der GoB im Hinblick auf die DV-Buchführung dar und beschreiben die Maßnahmen. die der Buchführungspflichtige ergreifen muß, will er sicherstellen, daß die Buchungen und sonst erforderlichen Aufzeichnungen vollständig, richtig, zeitgerecht und geordnet vorgenommen werden. Für die Einhaltung der GoB ist auch bei der DV-Buchführung der Buchführungspflichtige verantwortlich.

1.1 Als DV-gestütztes Buchführungssystem soll nachfolgend eine Buchführung bezeichnet werden, die insgesamt oder in Teilbereichen kurzfristig oder auf Dauer unter Nutzung von Hardware und Software, auf DV-Datenträgern geführt wird. Dabei ist sicherzustellen, daß während der Dauer der DV-Speicherung die Bücher, Belege und sonst erforderlichen Aufzeichnungen jederzeit innerhalb angemessener Frist verfügbar und lesbar gemacht werden können. Zu den DV-Datenträgern gehören neben den magnetischen Datenträgern insbesondere auch elektro-optische Datenträger. Da die Erstellung der 'Mikrofilme mit Hilfe des COM-Verfahrens (Computer-Output-Microfilm) die integrierte Fortsetzung des EDV-Verfahrens ist, unterliegt dieses Verfahren ebenfalls den GoBS.

In einem DV-gestützten Buchführungssystem sind auch solche Prozesse zu berücksichtigen, in denen außerhalb des eigentlichen Buchhaltungsbereiches buchführungsrelevante Daten erfaßt, erzeugt, verarbeitet und/oder übermittelt werden.

1.2 Bei einer DV-Buchführung sind, wie bei jeder anderen Buchführung, die GoB, insbesondere die Ordnungsvorschriften der § 238, 239 und 257 HGB und die §§ 145 und 146 AO zu beachten. Danach gilt vor allem folgendes:

Die buchungspflichtigen Geschäftsvorfälle müssen richtig, vollständig und zeitgerecht erfaßt sein sowie sich in ihrer Entstehung und Abwicklung verfolgen lassen (Beleg- und Journalfunktion).

Die Geschäftsvorfälle sind so zu verarbeiten, daß sie geordnet darstellbar sind und ein Überblick über die Vermögens- und Ertragslage gewährleistet ist (Kontenfunktion).

Die Buchungen müssen einzeln und geordnet nach Konten und diese fortgeschrieben nach Kontensummen oder Salden sowie nach Abschlußposition dargestellt und jederzeit lesbar gemacht werden können.

Ein sachverständiger Dritter muß sich in dem jeweiligen Verfahren der Buchführung in angemessener Zeit zurechtfinden und sich eine Überblick über die Geschäftsvorfälle und die Lage des Unternehmens verschaffen können.

Das Verfahren der DV-Buchführung muß durch eine Verfahrensdokumentation, die sowohl die aktuellen als auch die historischen Verfahrensinhalte nachweist, verständlich und nachvollziehbar gemacht werden.

Es muß gewährleistet sein, daß das in der Dokumentation beschriebene Verfahren dem in der Praxis eingesetzten Programm (Version) voll entspricht (Programm-identität).

2. Beleg-, Journal- und Kontenfunktion
2.1 Grundsatz

Dem Prinzip, daß ein sachlicher und zeitlicher Nachweis über sämtliche buchführungspflichtigen Geschäftsvorfälle erbracht werden muß, hat auch die DV-Buchführung zu entsprechen.

Die Nachvollziehbarkeit des einzelnen buchführungspflichtigen Geschäftsvorfalls wird durch die Beachtung der Beleg-, Journal- und Kontenfunktion gewährleistet.

Der Zusammenhang zwischen dem zugrundeliegenden Geschäftsvorfall und dessen Buchung bzw. dessen DV-Verarbeitung muß durch eine aussagekräftige Verfahrensdokumentation ergänzt durch den Nachweis ihrer ordnungsmäßigen Anwendung - dargestellt werden (vgl. Kapitel 6 "Dokumentation und Prüfbarkeit"). Der Buchführungspflichtige muß im Einzelfall durch Hinzuziehung der Verfahrensdokumentation die Erfüllung der Beleg-, Journal- und Kontenfunktion sicherstellen, um damit einem sachverständigen Dritten in angemessener Zeit einen ausreichend sicheren, eindeutigen und verständlichen Nachweis der Geschäftsvorfälle und deren Verarbeitung zu ermöglichen.

2.2 Belegfunktion

2.2.1 Die Belegfunktion stellt die Basis für die Beweiskraft der Buchführung dar. Sie ist der nachvollziehbare Nachweis über den Zusammenhang zwischen den unternehmensexternen und -internen buchungspflichtigen Vorgängen in der Realität einerseits und dem gebuchten Inhalt in den Geschäftsbüchern andererseits. Selbstverständlich muß auch für die Buchungen in DV-Buchführungen die Belegfunktion erfüllt sein.

2.2.2 Aus dem Geschäftsverkehr mit Kunden, Lieferanten, Banken, Versicherungen, Behörden etc. ergeben sich unternehmensexterne buchführungspflichtige Geschäftsvorfälle, die die Vermögens-, Ertrags- und Finanzlage des Buchführungspflichtigen beeinflussen.

2.2.3 Soweit buchungspflichtige Vorgänge auf einem internen Leistungsprozeß beruhen oder zur Abgrenzung von Abrechnungsperioden dienen, handelt es sich um unternehmensinterne Geschäftsvorfälle.

2.2.4 Bei einer DV-Buchführung kann die Belegfunktion auf verschiedene Arten erfüllt werden. Das ergibt sich dadurch, daß bei DV-Buchführungen Buchungen nicht nur aufgrund vorliegender konventioneller Papierbelege, sondern zunehmend auch durch automatische Datenerfassung (z. B. Betriebsdatenerfassung), durch programminterne Routinen sowie durch Austausch maschinell lesbarer Datenträger oder durch Datenfernübertragung (z. B. EDI) ausgelöst werden können.

2.2.5 Unabhängig von der Art der Erfüllung der Belegfunktion müssen zum Buchungsvorgang die folgenden Inhalte belegt werden:

hinreichende Erläuterung des Vorganges,

zu buchender Betrag oder Mengen- und Wertangaben, aus denen sich der zu buchende Betrag ergibt,

Zeitpunkt des Vorganges (Bestimmung der Buchungsperiode),

Bestätigung des Vorganges (Autorisation) durch den Buchführungspflichtigen.

2.2.6 Bei Vorliegen konventioneller Belege ist eine erfassungsgerechte Aufbereitung der Belege sicherzustellen. Aus dem Beleg müssen die einzelnen zu buchenden Angaben eindeutig erkennbar sein.

Die Aufbereitung der Belege ist insbesondere bei Fremdbelegen von Bedeutung, da der Buchführungspflichtige im allgemeinen keinen Einfluß auf die Gestaltung der ihm zugesandten Handelsbriefe, z. B. Rechnungen, hat.

2.2.7 Im Unterschied zu den konventionell abgewickelten Geschäftsvorfällen muß die Belegfunktion zu programminternen Buchungen, Buchungen auf der Basis einer automatischen Betriebsdatenerfassung (BDE) und Buchungen auf der Basis eines elektronischen Datentransfers (EDI, Datenträgeraustausch) durch das jeweilige Verfahren erfüllt werden. Das Verfahren ist in diesem Zusammenhang wie ein Dauerbeleg zu betrachten.

Die Erfüllung der Belegfunktion ist in diesen Fällen durch die ordnungsgemäße Anwendung des jeweiligen Verfahrens nachzuweisen. Dies ist durch den Nachweis der Durchführung der in dem jeweiligen Verfahren vorgesehenen Kontrollen sowie durch die Verfahrensdokumentation (vgl. Kapitel 6 "Dokumentation und Prüfbarkeit") zu erbringen.

Durch die Verfahrenskontrollen (vgl. Kapitel 4 "Internes Kontrollsystem") ist die Vollständigkeit und Richtigkeit der Geschäftsvorfälle sowie deren Bestätigung (Autorisation) durch den Buchführungspflichtigen sicherzustellen.

2.3 Journalfunktion

2.3.1 Der Nachweis der vollständigen, zeitgerechten und formal richtigen Erfassung der Geschäftsvorfälle kann durch Protokollierung auf verschiedenen Stufen des Verarbeitungsprozesses erbracht werden (bei der Datenerfassung/-übernahme, im Verlauf der Verarbeitung, am Ende der Verarbeitung). Erfolgt die Protokollierung nicht bereits bei der Datenerfassung/-übernahme (z. B. Primanota), sondern erst auf einer nachfolgenden Verarbeitungsstufe (z. B. maschineninterne Buchungsprotokolle), dann muß durch Maßnahmen/Kontrollen in dem Verfahren die Vollständigkeit der Geschäftsvorfälle von deren Entstehung bis zur Protokollierung sichergestellt sein.

Die Protokollierung kann sowohl auf Papier als auch auf einem Bildträger oder anderen Datenträgern erfolgen (siehe auch Kapitel 8 "Wiedergabe der auf Datenträgern geführten Unterlagen").

2.3.2 Der Nachweis (Journalfunktion) über die vollständige, zeitgerechte und formal richtige Erfassung, Verarbeitung und Wiedergabe eines Geschäftsvorfalls muß während der gesetzlichen Aufbewahrungsfrist innerhalb eines angemessenen Zeitraumes darstellbar sein.

Die Geschäftsvorfälle müssen dabei in zeitlicher Reihenfolge sowie in übersichtlicher und verständlicher Form sowohl vollständig als auch auszugsweise dargestellt werden können.

2.4 Kontenfunktion

Zur Erfüllung der Kontenfunktion müssen die Geschäftsvorfälle nach Sach- und Personenkonten geordnet dargestellt werden können.

Die Ordnungsmäßigkeit bei Buchung verdichteter Zahlen auf Sach- und Personenkonten erfordert die Möglichkeit des Nachweises der in den verdichteten Zahlen enthaltenen Einzelposten.

Die Darstellung der Konten kann per Bildschirmanzeige, auf Papier sowie auf einem Bild oder anderem Datenträger erfolgen. Soweit eine Darstellung per Bildschirmanzeige oder anderem Datenträger erfolgt, ist bei berechtigter Anforderung eine ohne Hilfsmittel lesbare Wiedergabe bereitzustellen (siehe auch Kapitel 8 "Wiedergabe der auf Datenträgern geführten Unterlagen").

3. Buchung

3.1 Geschäftsvorfälle bei DV-Buchführungen (batch-/dialogorlentlerte Verfahren) sind dann ordnungsgemäß gebucht, wenn sie nach einem Ordnungsprinzip vollständig, formal richtig, zeitgerecht und verarbeitungsfähig erfaßt und gespeichert sind:

Das Ordnungsprinzip bei DV-gestützten Buchführungssystemen setzt die Erfüllung der Belegfunktion sowie der Kontenfunktion voraus. Die Speicherung der Geschäftsvorfälle nach einem bestimmten Ordnungsmerkmal ist nicht vorgeschrieben. Die Forderung nach einem Ordnungsprinzip ist erfüllt, wenn auf die gespeicherten Geschäftsvorfälle und/oder Teile von diesen gezielt zugegriffen werden kann.

Die Verarbeitungsfähigkeit der Buchungen muß, angefangen von der maschinellen Erfassung über die weiteren Bearbeitungsstufen, sichergestellt sein. Sie setzt voraus, daß - neben den Daten zum Geschäftsvorfall selbst - auch die für die Verarbeitung erforderlichen Tabellendaten und Programme gespeichert sind.

Durch Kontrollen ist sicherzustellen, daß alte Geschäftsvorfälle vollständig erfaßt werden und nach erfolgter Buchung nicht unbefugt ( d. h. nicht ohne Zugriffsschutzverfahren) und nicht ohne Nachweis des vorausgegangenen Zustandes verändert werden können.

Der Nachweis der Kontrollen kann in Form von Buchungsprotokollen oder in anderer protokollierbarer, verfahrensabhängiger Darstellungsweise (maschinell erstellte Erfassungs-, Übertragungs- und Verarbeitungsprotokolle) geschehen (siehe auch Ausführungen in Kapitel 4 "Internes Kontrollsystem").

Die formale Richtigkeit der Buchungen muß durch Erfassungskontrollen sichergestellt werden, um zu gewährleisten, daß alle für die - unmittelbar oder zeitlich versetzt nachfolgende Verarbeitung erforderlichen Merkmale einer Buchung vorhanden und plausibel sind. Insbesondere müssen die Merkmale für eine zeitliche Darstellung sowie eine Darstellung nach Sach- und Personenkonten Gespeichert sein.

Die Forderung nach zeitgerechter Verbuchung bezieht sich auf die zeitnahe und periodengerechte (der richtigen Abrechnungsperiode zugeordnete) Erfassung der Geschäftsvorfälle.

3.2 Aus den vorangehend dargestellten Anforderungen für den Zeitpunkt der Buchung ergibt sich daß der Vollzug der Buchung vom gewählten Verfahren abhängig ist. Der Zeitpunkt der Buchung muß in der Verfahrensdokumentation (z. B. im Anwenderhandbuch) definiert sein.

Werden erfaßte Daten vor dem Buchungszeitpunkt, z. B. wegen offensichtlicher Unrichtigkeit korrigiert, braucht der ursprünglich gespeicherte Inhalt nicht feststellbar zu sein.

Werden Merkmale (Belegbestandteile, Kontierung) einer erfolgten Buchung verändert, so muß der Inhalt der ursprünglichen Buchung feststellbar bleiben, z. B. durch Aufzeichnungen über durchgeführte Änderungen (Storno- und Neubuchung). Diese Änderungsnachweise sind Bestandteil der Buchführung und aufzubewahren.

4. Internes Kontrollsystem (IKS)

4.1 Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet, die die folgenden Aufgaben haben:

Sicherung und Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller Art;

Bereitstellung vollständiger, genauer und aussagefähiger sowie zeitnaher Aufzeichnungen;

Förderung der betrieblichen Effizienz durch Auswertung und Kontrolle der Aufzeichnungen und

Unterstützung der Befolgung der vorgeschriebenen Geschäftspolitik.

4.2 Ziel des IKS im Zusammenhang mit einer DV-Buchführung muß es sein, den Buchführungspflichtigen dahingehend zu unterstützen, die Gesetz- und Satzungsmäßigkeit von Buchführung und Jahresabschluß sicherzustellen sowie sich einen Überblick über die wirtschaftliche Lage des Unternehmens zu verschaffen.

Für die Erfüllung der GoBS ist daher die Bereitstellung vollständiger, genauer, aussagefähiger und zeitgerechter Aufzeichnungen eine wesentliche Voraussetzung. Die Sicherung und der Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller Art ist zur Erfüllung der GoBS gegebenenfalls auch zu beachten.

4.3 Zum Nachweis der Ordnungsmäßigkeit einer DV-Buchführung muß daher das IKS im Hinblick auf die beiden in 4.2 genannten Aufgaben (Bereitstellen der Aufzeichnungen; Vermögensschutz i. w. S.) beurteilt werden. Dabei reichen wegen komplexen Abläufe und Strukturen beim Buchführungspflichtigen einzelne, voneinander isolierte Kontrollmaßnahmen keinesfalls aus. Vielmehr bedarf es einer planvollen und lückenlosen Vorgehensweise, um ein effizientes Kontrollsystem im Unternehmen zu installieren.

4.4 Bei der Gestaltung und Beurteilung eines IKS sind bei DV-Einsatz im Hinblick auf diese beiden Aufgabenstellungen folgende Punkte zu beachten:

Komplexe und integrierte Systeme erfordern maschinelle und manuelle Kontrollen zur Vollständigkeit und Richtigkeit. Die manuellen und maschinellen Kontrollen müssen aufeinander abgestimmt sein.

Die Zuständigkeit/Verantwortung für betriebliche Funktionen muß eindeutig geregelt sein. Bei der Zuständigkeits- bzw. Verantwortungsregelung ist das Prinzip der Funktionstrennung zu beachten. Ist eine Funktionstrennung nicht möglich bzw. wirtschaftlich nicht zumutbar, so sind weitere organisatorische Kontrollen in angemessener Form notwendig.

Buchungsrelevante Arbeitsabläufe müssen definiert und in ihrer Reihenfolge festgelegt sein.

Ausgeführte manuelle und maschinelle Kontrollen müssen dokumentiert werden (Abstimmkontrollen/Plausibilitätskontrollen, Freigabeverfahren).

Bei den Kontrollmaßnahmen ist zu beachten, daß manuelle Kontrollen umgehbar sind oder gegebenenfalls nicht mit der gebotenen Sorgfalt ausgeführt werden. Sie bedürfen daher grundsätzlich einer nachträglichen Überwachung.

Maschinelle Kontrollen sind in Programmabläufe integrierte Prüfbedingungen, die die Verarbeitung von nicht plausiblen und unvollständigen Daten verhindern sollen. Sie können sowohl auf den Ebenen der Betriebssysteme und betriebssystemnahen Software als auch auf der Ebene der Anwendungsprogramme eingerichtet werden.

Im Rahmen eines funktionsfähigen IKS muß auch die Programmidentität sichergestellt werden, d. h. es muß periodenbezogen geprüft werden, ob die eingesetzte DV-Buchführung auch tatsächlich dem dokumentierten System entsprochen hat (siehe auch Kapitel 6.2.3).

Die Notwendigkeit der Sicherstellung der Programmidentität besteht unabhängig von der Art der eingesetzten Rechnersysteme (von der Groß-DV bis zum Stand-alone-PC).

Wichtige Voraussetzung für die Sicherstellung der Programmidentität ist insbesondere das Vorhandensein und das abgestimmte Ineinanderwirken aktueller, den unternehmensspezifischen Besonderheiten Rechnung tragender

• Richtlinien für

Programmierung

Programmtests

Programmfreigaben

Programmänderungen

Änderungen von Stamm- und Tabellendaten

Zugriffs- und Zugangsverfahren

den ordnungsgemäßen Einsatz von Datenbanken, Betriebssystemen und Netzwerken

• Einsatz von Testdatenbeständen/-systemen

• Programmeinsatzkontrollen.

Entsprechend den generellen Anforderungen an Transparenz, Kontrollierbarkeit und Verläßlichkeit des eingesetzten maschinellen Verarbeitungssystems muß gewährleistet sein, daß jedes produktiv eingesetzte Programm autorisiert für den richtigen Zweck eingesetzt wird. Dabei muß die jeweils aktuelle Programmversion feststellbar sein und dokumentiert werden.

4.5 Das IKS ist zu beschreiben; insbesondere ist hierbei den "Mensch-Maschine-Schnittstellen" besondere Bedeutung beizumessen.

Die Beschreibung des IKS - soweit für das Verständnis des DV-Buchführungssystems relevant - ist Bestandteil der Verfahrensdokumentation (vgl. Kapitel 6).

5. Datensicherheit

5.1 Die starke Abhängigkeit der Unternehmung von ihren gespeicherten Informationen macht ein ausgeprägtes Datensicherheitskonzept für das Erfüllen der GoBS unabdingbar. Dabei muß dem Unternehmen bewußt und klar sein, daß Datensicherheit nur dann hergestellt und auf Dauer gewährleistet werden kann, wenn bekannt ist, was, wogegen, wie lange und wie zu sichern ist und geschützt werden soll.

5.2 Zu sichern und zu schützen sind neben den auf Datenträgern gespeicherten, für die Buchführung relevanten Informationen zugleich die weiteren Informationen, an deren Sicherung und Schutz das Unternehmen ein Eigeninteresse hat oder dies aufgrund anderer Rechtsgrundlagen erforderlich ist.

Unter "Informationen" sind in diesem Zusammenhang die Software (Betriebssystem, Anwendungsprogramme), die Tabellen- und Stammdaten, die Bewegungsdaten (z. B. die Daten eines Geschäftsvorfalles) sowie die sonstigen Aufzeichnungen zu verstehen.

Belege und sonstige Aufzeichnungen, die vom Buchführungspflichtigen in konventioneller Form (Papier) aufbewahrt werden, sind ebenfalls zu sichern und zu schützen.

5.3 Diese Informationen sind gegen Verlust zu sichern und gegen unberechtigte Veränderung zu schützen. Über die Anforderungen der GoBS hinaus sind die sensiblen Informationen des Unternehmens auch gegen unberechtigte Kenntnisnahme zu schützen.

5.4 Die buchhalterisch relevanten Informationen sind zumindest für die Dauer der gesetzlichen Aufbewahrungsfrist zu sichern und zu schätzen (vgl. Kapitel 7 "Aufbewahrungsfristen"). Vom Unternehmen ist zu entscheiden. ob und für welche Informationen aus unternehmensinternen Gründen eine längere Aufbewahrungsdauer gelten soll.

Da zur Erfüllung der Anforderung, die buchhalterisch relevanten Informationen während der Dauer der Aufbewahrungspflicht jederzeit lesbar machen zu können, nicht nur die Verfügbarkeit der Daten und der Software, sondern auch der Hardware gewährleistet sein muß, muß das Datensicherungskonzept im weiteren Sinne auch die Sicherung der EDV-technischen Installationen (Hardware, Leitungen etc.) umfassen.

5.5 Wie im einzelnen Unternehmen die erforderlichen Datensicherheit hergestellt und auf Dauer gewährleistet werden kann, ist von den im Einzelfall gegebenen technischen Bedingungen sowie den sich aus diesen ergebenden Möglichkeiten abhängig.

5.5.1 Der Schutz der Informationen gegen unberechtigte Veränderungen ist durch wirksame Zugriffs - bzw. Zugangskontrollen zu gewährleisten. Dies sind einmal die Zugrffsberechtigungskontrollen, die so zu gestalten sind, daß nur berechtigte Personen in dem ihrem Aufgabenbereich entsprechenden Umfang auf Programme und Daten zugreifen können. Es sind zum anderen die Zugangskontrollen zu den Räumen, in denen die Datenträger aufbewahrt werden. Diese Zugangskontrollen müssen verhindern, daß unberechtigte Personen Zugang zu Datenträgern haben. Sie müssen insbesondere auch für die Räumlichkeiten gelten, in die die Datenträger der Datensicherung ausgelagert sind.

5.5.2 Die Sicherung der Informationen vor Verlust erfordert im ersten Schritt die Durchführung von Datensicherungsprozeduren zu den auf dem EDV-System geführten Programmen und Daten. Die Durchführung von Datensicherungsprozeduren ist verbindlich anzuweisen. Es ist zweckmäßig periodische Datensicherungsprozeduren vorzusehen und ergänzend zu diesen ad hoc Sicherungen durchzuführen, wenn im Zeitraum zwischen zwei Datensicherungen außergewöhnlich intensiv Programme und/oder Daten geändert/verarbeitet wurden. Zu den aufbewahrungspflichtigen und weiteren sensiblen Daten und Programmen sollten Sicherungskopien zusätzlich erstellt und an einem anderen Standort (anderer Sicherheitsbereich) aufbewahrt werden.

Der zweite Schritt der Sicherung der Informationen vor Verlust umfaßt die Maßnahmen, durch die für die gesicherten Programme/Datenbestände die Risiken hinsichtlich Unauffindbarkeit, Vernichtung und Diebstahl im erforderlichen Maß reduziert werden.

Das Risiko der Unauffindbarkeit ist durch das Führen eines systematischen Verzeichnisses über die gesicherten Programme/Datenbestände zu reduzieren. Aus dem Verzeichnis muß sich zu dem einzelnen Datenträger dessen Standort, dessen Inhalt, Datum der Sicherung und frühestes Datum des Löschens des Datenträgerinhaltes ergeben.

Das Risiko der Vernichtung der Datenträger ist dadurch zu reduzieren, daß für die Aufbewahrungsstandorte die Bedingungen geschaffen werden, durch die eine Vernichtung/Beeinträchtigung der gesicherten Informationen durch Feuer, Temperatur/Feuchtigkeit, Magnetfelder etc. weitestgehend ausgeschlossen ist.

Das Risiko des Diebstahls der Datenträger ist dadurch zu reduzieren, daß diese in verschlossenen und ausreichend gegen Einbruch gesicherten Räumen bzw. Tresoren aufbewahrt werden.

Um bei Langzeitspeicherung der aufbewahrungspflichtigen Informationen die Lesbarkeit der Datenträger sicherzustellen, ist anzuweisen, in weichen Zeitabständen die Lesbarkeit der Datenträger zu überprüfen ist. Wie groß diese Zeitabstände sein dürfen, ist von der benutzten Speicherungstechnik abhängig.

5.6 Da das "Wie" der Datensicherheit von dem jeweils gegebenen Stand der EDV-Technik abhängt, ergibt sich aus der technischen Entwicklung für das Unternehmen die Notwendigkeit, ihr Datensicherheitskonzept den jeweils aktuellen Anforderungen und Möglichkeiten anzupassen.

5.7 Das Datensicherungskonzept des Unternehmens ist zu dokumentieren. Dies gilt insbesondere für das Verfahren/die Prozeduren der Datensicherung vgl. Kapitel 6 "Dokumentation und Prüfbarkeit").

6. Dokumentation und Prüfbarkeit

6.0 Die DV-Buchführung muß - wie jede Buchführung - von einem sachverständigen Dritten hinsichtlich ihrer formellen und sachlichen Richtigkeit in angemessener Zeit prüfbar sein. Dies bezieht sich sowohl auf die Prüfbarkeit einzelner Geschäftsvorfälle (Einzelprüfung) als auch auf die Prüfbarkeit des Abrechnungsverfahrens (Verfahrens- oder Systemprüfung). Weiterhin muß sich aus der Dokumentation ergeben, daß das Verfahren entsprechend seiner Beschreibung durchgeführt worden ist.

6.1 Aus der zugrunde zu legenden Verfahrensdokumentation müssen Inhalt, Aufbau und Ablauf des Abrechnungsverfahrens vollständig ersichtlich sein. Insbesondere muß sich aus der Verfahrensdokumentation die Umsetzung der in den Kapiteln 1 bis 5 enthaltenen Anforderungen an ein ordnungsmäßiges Verfahren ergeben.

Wie die erforderliche Verfahrensdokumentation formal gestaltet und technisch geführt wird, kann der Buchführungspflichtige individuell entscheiden. Die jeweilige Verfahrensdokumentation muß für einen sachverständigen Dritten aber verständlich sein.

Der Umfang der erforderlichen Verfahrensdokumentation richtet sich nach der Komplexität der DV-Buchführung (z. B. Anzahl und Größe der Programme, Struktur ihrer Verbindungen untereinander, Nutzung von Tabellen). Die Anforderungen an die Verfahrensdokumentation sind unabhängig von der Größe/Kapazität der genutzten DV-Anlage (Hardware) zu stellen, das heißt, sowohl bei Großrechnersystemen als auch bei PC-Systemen ist für eine entsprechende Verfahrensdokumentation zu sorgen.

Auch bei fremderworbener Software, bei der die Dokumentation vom Software-Ersteller angefertigt wird, ist der Buchführungspflichtige für die Vollständigkeit und den Informationsgehalt der Verfahrensdokumentation verantwortlich. Er ist deshalb auch dafür verantwortlich, daß im Bedarfsfalle die Teile der Verfahrensdokumentation eingesehen werden können, die ihm nicht ausgehändigt worden sind.

6.2 Die Verfahrensdokumentation muß insbesondere beinhalten:

eine Beschreibung der sachlogischen Lösung

die Beschreibung der programmtechnischen Lösung

eine Beschreibung, wie die Programm-Identität gewahrt wird

Beschreibung, wie die Integrität von Daten gewahrt wird

Arbeitsanweisungen für den Anwender.

Die Beschreibung eines jeden der vorgenannten Bereiche muß den Umfang und die Wirkungsweise des internen Kontrollsystems erkennbar machen.

6.2.1 Die sachlogische Beschreibung enthält die Darstellung der fachlichen Aufgabe aus der Sicht das Anwenders.

Diese enthält insbesondere folgende Punkte:

Generelle Aufgabenstellung,

Beschreibung der Anwenderoberflächen für Ein- und Ausgabe einschließlich der manuellen Arbeiten

Beschreibung der Datenbestände

Beschreibung von Verarbeitungsregeln

Beschreibung des Datenaustausches (Datenträgeraustausch/Datentransfer)

Beschreibung der maschinellen und manuellen Kontrollen

Beschreibung der Fehlermeldungen und der sich aus den Fehlern ergebenden Maßnahmen

Schlüsselverzeichnisse

Schnittstellen zu anderen Systemen.

6.2.2 Die Beschreibung der programmtechnischen Lösung hat zu zeigen, wo und wie die sachlogischen Forderungen in Programmen umgesetzt sind. Tabellen, über die die Funktionen der Programme beeinflußt werden können, sind wie Programme zu behandeln.

Programmänderungen sind in der Verfahrensdokumentation auszuweisen. Soweit die Programmänderungen nicht automatisch dokumentiert werden, muß durch zusätzliche organisatorische Maßnahmen gewährleistet werden, daß Alt- und Neuzustand eines geänderten Programms nachweisbar sind. Änderungen von Tabellen mit Programmfunktion sind in der Weise zu dokumentieren, daß für die Dauer der Aufbewahrungsfrist der jeweilige Inhalt einer Tabelle festgestellt werden kann.

6.2.3 In der Beschreibung, wie die Programmidentität gewahrt wird, hat der Buchführungspflichtige nachzuweisen, daß die sachlogischen Forderungen durch die eingesetzten Programme erbracht werden bzw. erbracht worden sind. Hierzu gehören die präzise Beschreibung des Freigabeverfahrens mit Regelungen über Freigabekompetenzen, der durchzuführenden Testläufe und die dabei zu verwendenden Daten sowie Anweisungen für Programmeinsatzkontrollen.

Zum Nachweis der Programmidentität gehört im wesentlichen die Freigabeerklärung in Verbindung mit vorhandenen Testdatenbeständen. Aus der Freigabeerklärung muß sich ergeben, welche Programmversion ab welchem Zeitpunkt für den produktiven Einsatz vorgesehen ist.

6.2.4 Als Maßnahmen zur Wahrung der Datenintegrität sind alle Vorkehrungen zu beschreiben, durch die erreicht wird, daß Daten und Programme nicht von Unbefugten geändert werden können. Hierzu gehört neben der Beschreibung des Zugriffsberechtigungsverfahrens der Nachweis der sachgerechten Vergabe von Zugriffsberechtigungen.

6.2-5 Die Arbeitsanweisungen, die für den Anwender zur sachgerechten Erledigung und Durchführung seiner Aufgaben vorhanden sein müssen, gehören ebenfalls zur Verfahrensdokumentation und sind schriftlich zu fixieren. Das ist insbesondere die Beschreibung der im Verfahren vorgesehenen manuellen Kontrollen und Abstimmungen. Die Schnittstellen zu vor- und nachgelagerten Systemen sind hierbei zu berücksichtigen.

7. Aufbewahrungsfristen

Daten mit Belegfunktion sind grundsätzlich sechs Jahre, Daten und sonst erforderliche Aufzeichnungen mit Grundbuch- oder Kontenfunktion sind grundsätzlich zehn Jahre aufzubewahren.

Die Verfahrensdokumentation zur DV-Buchführung gehört zu den Arbeitsanweisungen und sonstigen Organisationsunterlagen im Sinne des § 257 Abs. 1 HGB bzw. § 147 Abs. 1 AO und ist grundsätzlich zehn Jahre aufzubewahren. Teile der Verfahrensdokumentation, denen ausschließlich Belegfunktion zukommt (z. B. die Dokumentation zur DV-Verkaufsabrechnung, aus der sich die Buchungen zu den Forderungen ergeben), sind grundsätzlich sechs Jahre aufzubewahren. Die Verfahrensdokumentation kann auch auf Bildträgern oder auf anderen Datenträgern aufbewahrt werden.

Die Aufbewahrungsfristen für die Verfahrensdokumentation beginnen mit dem Schluß des Kalenderjahres, in dem buchhaltungsrelevante Daten in Anwendung des jeweiligen Verfahrens erfaßt wurden, entstanden sind oder bearbeitet wurden.

8. Wiedergabe der auf Datenträgern geführten Unterlagen

8.0 Der Buchungspflichtige hat zu gewährleisten, daß die gespeicherten Buchungen sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen jederzeit innerhalb angemessener Frist lesbar gemacht werden können. Er muß die dafür erforderlichen Daten, Programme sowie Maschinenzeiten und sonstigen Hilfsmittel, z. B. Personal, Bildschirme, Lesegeräte, bereitstellen. Auf Verlangen eines berechtigten Dritten (z. B. Finanzbehörde, Abschlußprüfer) hat er in angemessener Zeit die gespeicherten Buchungen lesbar zu machen sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen vorzulegen und auf Anforderung ohne Hilfsmittel lesbare Reproduktionen beizubringen.

8.1 Die inhaltliche Übereinstimmung der Wiedergabe mit den auf den maschinell lesbaren Datenträgern geführten Unterlagen muß durch das jeweilige Archivierungsverfahren sichergestellt sein.

Ist eine bildliche Übereinstimmung der Wiedergabe mit der Originalunterlage gefordert - dies trifft gemäß § 257 HGB und § 147 Abs. 2, Ziffer 1 AO für empfangene Handelsbriefe und Buchungsbelege zu, soweit sie ursprünglich bildlich vorgelegen haben -, muß das jeweilige Archivierungsverfahren eine originalgetreue, bildliche Wiedergabe sicherstellen. Die Anforderung nach bildlicher Wiedergabe ist erfüllt. wenn alle auf der Originalunterlage enthaltenen Angaben zur Aussage- und Beweiskraft des Geschäftsvorfalles originalgetreu bildlich wiedergegeben werden.

8.2 Das Verfahren für die Wiedergabe der auf Bildträgern und auf anderen Datenträgern geführten Unterlagen (Datenausgabe) ist in einer Arbeitsanweisung des Buchführungspflichtigen schriftlich niederzulegen (z. B. Druckanweisung, COM-Anweisungen, Anweisungen für den Dialogverkehr zur Selektion und Darstellung der gespeicherten Unterlagen auf Sichtgeräten, z. B. bei Einsatz optischer Speichersysteme).

In der Arbeitsanweisung ist das Ordnungsprinzip für die Wiedergaben zu beschreiben und das Verfahren zur Feststellung der Vollständigkeit und der Richtigkeit der Wiedergaben zu regeln. Die Wiedergaben müssen der Rechnungslegung des Buchführungspflichtigen eindeutig zugeordnet werden können.

Die inhaltliche Übereinstimmung der selektiven Wiedergabe mit den auf maschinell lesbaren Datenträgern geführten Unterlagen muß nachprüfbar sein.

9. Verantwortlichkeit

Für die Einhaltung der GoB - und damit auch der GoBS - ist auch bei einer DV-Buchführung allein der Buchführungspflichtige verantwortlich.

Die Verantwortlichkeit erstreckt sich dabei auf den Einsatz sowohl von selbst- als auch fremderstellter DV-Buchführungssysteme.

Wird die DV-Buchführung im Auftrag durch Fremdfirmen durchgeführt, obliegt die Einhaltung der GoB/GoBS ebenfalls dem auftraggebenden Buchführungspflichtigen.