Unternehmens-IT step by step GoBD-gerecht gestalten

Betroffen sind nicht nur das Finanzbuchführungssystem, sondern beispielsweise auch die Anlagen- und Lohnbuchhaltung sowie Warenwirtschafts- und Zahlungsverkehrssysteme. Wir zeigen auf, welche Anwendungen Sie sicherstellen sollten und wie Sie Ihre IT GoBD-fit machen. Wurden im ersten Teil unseres TreuenFels-Briefes zu den GoBD deren grundsätzliche Fragen erörtert, geht es nun darum, die Verfahrensdokumentation praktisch anzugehen. „Nahezu alle IT-Anwendungen im Unternehmen sind von den Regeln der GoBD betroffen“, sagt Doris Dreyer, Geschäftsführerin eines auf Lösungen für Finanzbuchhaltung und Controlling spezialisierten Softwareunternehmens.

Anwendungen sicherstellen

Es empfiehlt sich, folgende Anwendungen im Unternehmen zu erstellen:

1. Ein Berechtigungskonzept
   

   Es muss dezidierte Zugriffs- und Änderungsrechte enthalten sowie unberechtigte Eingaben und Veränderungen/Löschungen verhindern.

2. Ein Datensicherheitskonzept
   

   Das Datensicherheitskonzept sollte über den kompletten Aufbewahrungszeitraum folgende Aspekte sicherstellen:

   • den Prüfungs-Zugriff auf den Einzelbeleg (progressiv und retrograd).
   • die Lesbarmachung (Verschlüsselung, Format).
   • die Veränderungs- und Löschungsprotokollierung.
   • die Verhinderung eines Verlusts (u. a. Unauffindbarkeit, Vernichtung, Untergang, Diebstahl).
   • die Historisierung der Stamm- und Bewegungsdaten. Dies betrifft auch die Datensicherung und Auslagerung.
3. Ein IT-Sicherheitskonzept
   

   Es muss die komplette IT-Infrastruktur, unter anderem Firewall, Intrusion Detection, Zugriff durch Externe, etc., einbeziehen.

4. Ein geregelter Auswahl-, Entwicklungs- und Änderungsprozess
   

   Hierunter fallen auch Updates, Release-Wechsel und ganze System-Migrationen.

5. Eine Historisierung aller mitgeltenden Dokumente
   

   Das meint beispielsweise Verfahrensbeschreibungen und -anweisungen, Schnittstellenbeschreibungen oder interne Regelungen.

6. Vorgaben zu einem IT-Regel- und Notbetrieb
   

   Um den IT-Betrieb auch im Notfall sicherzustellen, benötigen Sie besondere Vorgaben, wie auch zur Sicherung der allgemeinen Betriebsbereitschaft.

7. Aufbau und Umsetzung angemessener Kontrollen
   

   Um die Einhaltung obiger Konzepte sicherzustellen, müssen angemessene Kontrollen eingeführt werden.

Der Praxischeck: Doris Dreyer empfiehlt, die IT-Umgebung in vier Schritten zu prüfen und anzupassen

Schritt 1: Sie benötigen für alle kaufmännischen Vor-, Neben- und Hauptsysteme einen GDPdU-konformen Export

1. Erstellen Sie zunächst eine Übersicht der genutzten Software.
2. Prüfen Sie, für welche Systeme ein GDPdU-Export möglich ist.
3. Schreiben Sie die Hersteller der Systeme an, die keinen Export zur Verfügung stellen und fordern Sie die steuerliche Schnittstelle an.
   Praxistipp: Sichern Sie sich über ein Einschreiben mit Rückschein und einer Fristsetzung ab.
4. Wenn es keinen Export oder den Hersteller nicht mehr gibt, planen Sie einen Systemwechsel und führen diesen durch.

Schritt 2: Alle kaufmännischen Vor-, Neben- und Hauptsysteme müssen die Daten historisieren

1. Erstellen Sie zunächst eine Übersicht der genutzten Software.
2. Prüfen Sie, welche Systeme über eine Datenprotokollierung/Historisierung verfügen.
3. Schreiben Sie die Hersteller der Systeme an, die keine Historisierung zur Verfügung stellen und fordern Sie diese auf, dies zu ermöglichen. Auch hier empfiehlt sich ein Einschreiben mit Rückschein und Fristsetzung.
4. Wenn die Möglichkeit nicht besteht oder es den Hersteller nicht mehr gibt: Systemwechsel planen und durchführen.

Schritt 3: Sie benötigen für alle Schnittstellen eine Verfahrensbeschreibung

1. Erstellen Sie eine Übersicht der genutzten Schnittstellen.
2. Erstellen Sie pro Schnittstelle eine Verfahrensdokumentation:
   
   • Name der Schnittstelle, Hersteller.
   • Datenfluss von Programm X zu Programm Y.
   • Welche Daten werden übertragen (Stammdaten, Bewegungsdaten)?
   • Wie wird die Kontierung im abgebenden System ermittelt?
   • Wann/wie oft/von wem werden die Daten eingespielt? Wie sieht das Abstimmungsprozedere aus?
   • Fehlerbereinigung.

Schritt 4: Elektronische Rechnungen nur noch im ZUGFeRD-Format akzeptieren und erstellen

1. Eingangsrechnungen
   

   Ziehen Sie die bisher Ihren Lieferanten erteilten Zustimmungen zurück und erteilen Sie die Genehmigung nur noch für das ZUGFeRD-Format. Der Vorteil:

   • XML-Daten können von Ihnen weiterverarbeitet werden.
   • OCR-Erkennung nicht mehr erforderlich.
2. Ausgangsrechnungen
   

   Versenden Sie selbst in absehbarer Zeit nur noch Rechnungen im ZUGFeRD-Format per E-Mail:

   • Fordern Sie den Hersteller Ihrer ERP-Software auf, dass er den Versand von elektronischen Rechnungen im ZUGFeRD-Format kurzfristig möglich macht.

Ein sicherer, belastbarer und nachvollziehbarer IT-Betrieb stellt die Grundlage zur Erfüllung der GoBD-Anforderungen dar. Doris Dreyer empfiehlt, die GoBD zum Anlass zu nehmen, das Unternehmen in Sachen IT-Sicherheit einem Check zu unterwerfen. „Auf Basis eines solchen Checks können gezielte Maßnahmen ergriffen werden, die nicht nur der Erfüllung der Anforderungen aus den GoBD dienen, sondern dem Unternehmen insgesamt“, sagt Dreyer.