Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme GoBS

Arbeitsgemeinschaft für wirtschaftliche Verwaltung

DV-gestützte Buchführungssysteme - oder auch kurz DV-Buchführung genannt - führen in bezug auf die Erfüllung der GoB zu Fragen, auf die die folgenden Grundsätze eine Antwort geben.

Seit erstmaliger Veröffentlichung der Grundsätze ordnungsmäßiger Speicherbuchführung (GoS) im Jahr 1978 hat sich die Technik und Anwendung der DV weiterentwickelt und zu Veränderungen im Bereich des kaufmännischen Rechnungswesens und seinen Arbeitsabläufen geführt.

Die seinerzeit verfassten GoS beruhen auf der Basis einer reinen Speicherbuchführung, bei der die Buchungen auf maschinell lesbaren Datenträgern gespeichert und nur für bestimmte Zwecke lesbar gemacht werden sollten. Es setzte sich allerdings rasch die heute herrschende Auffassung durch, dasss die GoS als Auslegung der Grundsätze ordnungsmäßiger Buchführung (GoB) für alle DV-gestützten rechnungslegungsrelevanten Verfahren generell gelten müssen. Zur Anpassung an die heute eingerichteten und zukünftigen Informationssysteme in den Unternehmen werden daher die bisherigen "Grundsätze ordnungsmäßiger Speicherbuchführung" als "Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme"(GoBS) neu gefasst.

Die Entwicklungen der letzten Jahre im Bereich der DV haben weiterhin zu einer veränderten Betrachtungsweise der DV-gestützten Buchführung geführt. Von wesentlicher Bedeutung ist dabei, dass die Unternehmensfunktion "Buchhaltung" nicht mehr ohne weiteres - wie früher - eindeutig abgrenzbar ist. Durch den Einsatz integrierter DV-Systeme können "Buchhaltungsdaten", die bereits in außerhalb der Abteilung "Buchhaltung" vorgesehenen Arbeitsabläufen entstehen, unmittelbar in das Buchführungssystem einfließen, z.B. bei Betriebsdatenerfassung (BDE) und Datenübermittlung (z.B. Electronic Data Interchange - EDI). Derartige Verfahren im weiteren Sinne können somit Belegfunktion erlangen, wodurch sie dann ebenfalls den GoB und damit den Regeln der GoBS unterliegen. Der Begriff der Belegfunktion, der in Kapitel 2 näher erläutert wird, verdeutlicht, dass die Buchführung mehr als bislang in den Bereich der DV-gestützten Verfahren, die nicht immer auf den ersten Blick dem DV-gestützen Buchführungssystem zugeordnet werden, integriert sein kann. Aus diesem Grund ist es sinnvoll, den Begriff EDV-Buchführung durch den Begriff DV-gestütztes Buchführungssystem zu ersetzen.

Da die GoBS die Anforderungen an die Kontrollen, Regelungen und Maßnahmen beinhalten, die der Buchführungspflichtige vorsehen und umsetzen muss, um den GoB bei Einsatz der DV zu genügen, ist es erforderlich, den Begriff des Internen Kontrollsystems (IKS) in die GoBS einzuführen. Das IKS stellt unter anderem darauf ab, dass die Ausgestaltung organisatorischer Kontrollmechanismen, wie z.B. Funktionstrennungen und Abstimmkontrollen, die Ordnungsmäßigkeit einer Buchführung bestimmt.

Moderne Verfahren und Hilfsmittel der Programmerstellung und der Programmpflege und der daraus gewonnenen Dokumentation eines Programms führen unter Umständen zu weiteren, bisher nicht bekannten Dokumentationsformen. Dieser Entwicklung wird in dieser Schrift ebenso Rechnung getragen wie beispielsweise auch den Fragen der Herstellung der Programmidentität und des Zugriffsschutzes.

1 Anwendungsbereich

1.0
Die gesetzlichen Voraussetzungen für eine Buchführung, die auf Datenträgern geführt wird (DV-Buchführung) enthalten das Handelsgesetzbuch (HGB) und die Abgabenordnung (AO). Nach & 239 Abs. 4 HGB und & 146 Abs. 5 AO können Handelsbücher oder Bücher und die sonst erforderlichen Aufzeichnungen auch in der geordneten Ablage von Belegen bestehen oder auf Datenträgern geführt werden, soweit diese Formen der Buchführung einschließlich des dabei angewandten Verfahrens den GoB entsprechen.

Die Grundsätze ordnungsmäßiger DV-gestützer Buchführungssysteme ersetzen nicht die GoB; sie stellen lediglich eine Präzisierung der GoB im Hinblick auf die DV-Buchführung dar und beschreiben die Maßnahmen, die der Buchführungspflichtige ergreifen muss, will er sicherstellen, dass die Buchungen und sonst erforderlichen Aufzeichnungen vollständig, richtig, zeitgereicht und geordnet vorgenommen werden. Für die Einhaltung der GoB ist auch bei der DV-Buchführung der Buchführungspflichtige verantwortlich.

1.1
Als DV-gestütztes Buchführungssystem soll nachfolgend eine Buchführung bezeichnet werden, die insgesamt oder in Teilbereichen kurzfristig oder auf Dauer unter Nutzung von Hardware und Software auf DV-Datenträgern geführt wird. Dabei ist sicherzustellen, dass während der Dauer der DV-Speicherung die Bücher, Belege und sonst erforderlichen Aufzeichnungen jederzeit innerhalb angemessener Frist verfügbar und lesbar gemacht werden können. Zu den DV-Datenträgern gehören neben den magnetischen Datenträgern insbesondere auch elektro-optische Datenträger. Da die Erstellung der Mikrofilme mit Hilfe des COM-Verfahrens (Computer-Output-Microfilm) die integrierte Fortsetzung des EDV-Verfahrens ist, unterliegt dieses Verfahren ebenfalls den GoBS.

In einem DV-gestützten Buchführungssystem sind auch solche Prozesse zu berücksichtigen, in denen außerhalb des eigentlichen Buchhaltungsbereiches buchführungsrelevante Daten erfasst, erzeugt, verarbeitet und/oder übermittelt werden.

1.2
Bei einer DV-Buchführung sind, wie bei jeder anderen Buchführung, die GoB, insbesondere die Ordnungsvorschriften der && 238, 239 und 257 HGB und die && 145 und 146 AO zu beachten. Danach gilt vor allem folgendes:

  • Die buchungspflichtigen Geschäftsvorfälle müssen richtig, vollständig und zeitgerecht erfasst sein sowie sich in ihrer Entstehung und Abwicklung verfolgen lassen (Beleg- und Journalfunktion).
  • Die Geschäftsvorfälle sind so zu verarbeiten, dass sie geordnet darstellbar sind und ein Überblick über die Vermögens- und Ertragslage gewährleistet ist (Kontenfunktion).
  • Die Buchungen müssen einzeln und geordnet nach Konten und diese fortgeschrieben nach Notensummen oder Salden sowie nach Abschlussposition dargestellt und jederzeit lesbar gemacht werden können.
  • Ein sachverständiger Dritter muss sich in dem jeweiligen Verfahren der Buchführung in angemessener Zeit zurechtfinden und sich einen Überblick über die Geschäftsvorfälle und die Lage des Unternehmens verschaffen können.
  • Das Verfahren der DV-Buchführung muss durch eine Verfahrensdokumentation, die sowohl die aktuellen als auch die historischen Verfahrensinhalte nachweist, verständlich und nachvollziehbar gemacht werden.
  • Es muss gewährleistet sein, dass das in der Dokumentation beschriebene Verfahren dem in der Praxis eingesetzten Programm (Version) voll entspricht (Programmidentität).

2 Beleg-, Journal- und Kontenfunktion

2.1 Grundsatz

Dem Prinzip, dass ein sachlicher und zeitlicher Nachweis über sämtliche buchführungspflichtigen Geschäftsvorfälle erbracht werden muss, hat auch die DV-Buchführung zu entsprechen.

Die Nachvollziehbarkeit des einzelnen buchführungspflichtigen Geschäftsvorfalls wird durch die Beachtung der Beleg-, Journal- und Kontenfunktion gewährleistet.

Der Zusammenhang zwischen dem zugrundeliegenden Geschäftsvorfall und dessen Buchung bzw. dessen DV-Verarbeitung muss durch eine aussagekräftige Verfahrensdokumentation - ergänzt durch den Nachweis ihrer ordnungsmäßigen Anwendung - dargestellt werden (vgl. Kapitel 6 "Dokumentation und Prüfbarkeit"). Der Buchführungspflichtige muss im Einzelfall durch Hinzuziehung der Verfahrensdokumentation die Erfüllung der Beleg-, Journal - und Kontenfunktion sicherstellen, um damit einem sachverständigen Dritten in angemessener Zeit einen ausreichend sicheren, eindeutigen und verständlichen Nachweis der Geschäftsvorfälle und deren Verarbeitung zu ermöglichen.

2.2. Belegfunktion

2.2.1
Die Belegfunktion stellt die Basis für die Beweiskraft der Buchführung dar. Sie ist der nachvollziehbare Nachweis über den Zusammenhang zwischen den unternehmensexternen und -internen buchungspflichtigen Vorgängen in der Realität einerseits und dem gebuchten Inhalt in den Geschäftsbüchern andererseits. Selbstverständlich muss auch für die Buchungen in DV-Buchführungen die Belegfunktion erfüllt sein.

2.2.2
Aus dem Geschäftsverkehr mit Kunden, Lieferanten, Banken, Versicherungen, Behörden etc. ergeben sich unternehmensexterne buchführungspflichtige Geschäftsvorfälle, die die Vermögens-, Ertrags- und Finanzlage des Buchführungspflichtigen beeinflussen.

2.2.3
Soweit buchungspflichtige Vorgänge auf einem internen Leistungsprozess beruhen oder zur Abgrenzung von Abrechnungsperioden dienen, handelt es sich um unternehmungsinterne Geschäftsvorfälle.

2.2.4
Bei einer DV-Buchführung kann die Belegfunktion auf verschiedene Arten erfüllt werden. Das ergibt sich dadurch, dass bei DV- Buchführungen Buchungen nicht nur aufgrund vorliegender konventioneller Papierbelege, sondern zunehmend auch durch automatische Datenerfassung (z.B. Betriebsdatenerfassung), durch programminterne Routinen sowie durch Austausch maschinell lesbarer Datenträger oder durch Datenfernübertragung (z.B. durch EDI) ausgelöst werden können.

2.2.5
Unabhängig von der Art der Erfüllung der Belegfunktion müssen zum Buchungsvorgang die folgenden Inhalte belegt werden:

  • hinreichende Erläuterung des Vorganges,
  • zu buchender Betrag oder Mengen- und Wertangaben, aus denen sich der zu buchende Betrag ergibt,
  • Zeitpunkt des Vorganges (Bestimmung der Buchungsperiode),
  • Bestätigung des Vorganges (Autorisation) durch den Buchführungspflichtigen.

2.2.6
Bei Vorliegen konventioneller Belege ist eine erfassungsgerechte Aufbereitung der Belege sicherzustellen. Aus dem Beleg müssen die einzelnen zu buchenden Angaben eindeutig erkennbar sein.

Die Aufbereitung der Belege ist insbesondere bei Fremdbelegen von Bedeutung, da der Buchführungspflichtige im allgemeinen keinen Einfluss auf die Gestaltung der ihm zugesandten Handelsbriefe, z.B. Rechnungen hat.

2.2.7
Im Unterschied zu den konventionell abgewickelten Geschäftsvorfällen muss die Belegfunktion zu programminternen Buchungen, Buchungen auf der Basis einer automatischen Betriebsdatenerfassung (BDE) und Buchungen auf der Basis eines elektronischen Datentransfers (EDI, Datenträgeraustausch) durch das jeweilige Verfahren erfüllt werden. Das Verfahren ist in diesem Zusammenhang wie ein Dauerbeleg zu betrachten.

Die Erfüllung der Belegfunktion ist in diesen Fällen durch die ordnungsgemäße Anwendung des jeweiligen Verfahrens nachzuweisen. Dies ist durch den Nachweis der Durchführung der in dem jeweiligen Verfahren vorgesehenen Kontrollen sowie durch die Verfahrensdokumentation (vgl. Kapitel 6 "Dokumentation und Prüfbarkeit") zu erbringen.

Durch die Verfahrenskontrollen (vgl. Kapitel 4 "Internes Kontrollsystem") ist die Vollständigkeit und Richtigkeit der Geschäftsvorfälle sowie deren Bestätigung (Autorisation) durch den Buchführungspflichtigen sicherzustellen.

2.3 Journalfunktion

2.3.1
Der Nachweis der vollständigen, zeitgerechten und formal richtigen Erfassung der Geschäftsvorfälle kann durch Protokollierung auf verschiedenen Stufen des Verarbeitungsprozesses erbracht werden (bei der Datenerfassung/-übernahme, im Verlauf der Verarbeitung, am Ende der Verarbeitung). Erfolgt die Protokollierung nicht bereits bei der Datenerfassung/-übernahme (z.B. Primanota), sondern erst auf einer nachfolgenden Verarbeitungsstufe (z.B. maschineninterne Buchungsprotokolle), dann muss durch Maßnahmen/Kontrollen in dem Verfahren die Vollständigkeit der Geschäftsvorfälle von deren Entstehung bis zur Protokollierung sichergestellt sein.

Die Protokollierung kann sowohl auf Papier als auch auf einem Bildträger oder anderen Datenträgern erfolgen (siehe auch Kapitel 8 "Wiedergabe der auf Datenträgern geführten Unterlagen").

2.3.2
Der Nachweis (Journalfunktion) über die vollständige, zeitgerechte und formal richtige Erfassung, Verarbeitung und Wiedergabe eines Geschäftsvorfalls muss während der gesetzlichen Aufbewahrungsfrist innerhalb eines angemessenen Zeitraumes darstellbar sein.

Die Geschäftsvorfälle müssen dabei in zeitlicher Reihenfolge sowie in übersichtlicher und verständlicher Form sowohl vollständig als auch auszugsweise dargestellt werden können.

2.4 Kontenfunktion

Zur Erfüllung der Kontenfunktion müssen die Geschäftsvorfälle nach Sach- und Personenkonten geordnet dargestellt werden können.

Die Ordnungsmäßigkeit bei Buchung verdichteter Zahlen auf Sach- und Personenkonten erfordert die Möglichkeit des Nachweises der in den verdichteten Zahlen enthaltenen Einzelposten.

Die Darstellung der Konten kann per Bildschirmanzeige, auf Papier sowie auf einem Bild- oder anderem Datenträger erfolgen. Soweit eine Darstellung per Bildschirmanzeige oder anderem Datenträger erfolgt, ist bei berechtigter Anforderung eine ohne Hilfsmittel lesbare Wiedergabe bereitzustellen (siehe auch Kapitel 8 "Wiedergabe der auf Datenträgern geführten Unterlagen").

3 Buchung

3.1
Geschäftsvorfälle bei DV-Buchführungen (batch-/dialogorientierte Verfahren) sind dann ordnungsgemäß gebucht, wenn sie nach einem Ordnungsprinzip vollständig, formal richtig, zeitgerecht und verarbeitungsfähig erfasst und gespeichert sind:

  • Das Ordnungsprinzip bei DV-gestützten Buchführungssystemen setzt die Erfüllung der Belegfunktion sowie der Kontenfunktion voraus. Die Speicherung der Geschäftsvorfälle nach einem bestimmten Ordnungsmerkmal ist nicht vorgeschrieben. Die Forderung nach einem Ordnungsprinzip ist erfüllt, wenn auf die gespeicherten Geschäftsvorfälle und/oder Teile von diesen gezielt zugegriffen werden kann.
  • Die Verarbeitungsfähigkeit der Buchungen muss, angefangen von der maschinellen Erfassung über die weiteren Bearbeitungsstufen, sichergestellt sein. Sie setzt voraus, dass - neben den Daten zum Geschäftsvorfall selbst - auch die für die Verarbeitung erforderlichen Tabellendaten und Programme gespeichert sind.
  • Durch Kontrollen ist sicherzustellen, dass alle Geschäftsvorfälle vollständig erfasst werden und nach erfolgter Buchung nicht unbefugt (d.h. nicht ohne Zugriffsschutzverfahren) und nicht ohne Nachweis des vorausgegangenen Zustandes verändert werden können.
  • Der Nachweis der Kontrollen kann in Form von Buchungsprotokollen oder in anderer, protokollierbarer, verfahrensabhängiger Darstellungsweise (maschinell erstellte Erfassungs-, Übertragungs- und Verarbeitungsprotokolle) geschehen (siehe auch Ausführungen in Kapitel 4 "Internes Kontrollsystem").
  • Die formale Richtigkeit der Buchungen muss durch Erfassungskontrollen sichergestellt werden, um zu gewährleisten, dass alle für die - unmittelbar oder zeitlich versetzt - nachfolgende Verarbeitung erforderlichen Merkmale einer Buchung vorhanden und plausibel sind. Insbesondere müssen die Merkmale für eine zeitliche Darstellung sowie eine Darstellung nach Sach- und Personenkonten gespeichert sein.
  • Die Forderung nach zeitgerechter Verbuchung bezieht sich auf die zeitnahe und periodengerechte (der richtigen Abrechnungsperiode zugeordnete) Erfassung der Geschäftsvorfälle.
3.2

Aus den vorangehend dargestellten Anforderungen für den Zeitpunkt der Buchung ergibt sich, dass der Vollzug der Buchung vom gewählten Verfahren abhängig ist. Der Zeitpunkt der Buchung muss in der Verfahrensdokumentation (z.B. im Anwenderhandbuch) definiert sein.

Werden erfasste Daten vor dem Buchungszeitpunkt, z.B. wegen offensichtlicher Unrichtigkeit korrigiert, braucht der ursprünglich gespeicherte Inhalt nicht feststellbar zu sein.

Werden Merkmale (Belegbestandsteile, Kontierung) einer erfolgten Buchung verändert, so muss der Inhalt der ursprünglichen Buchung feststellbar bleiben, z.B. durch Aufzeichnungen über durchgeführte Änderungen (Storno- und Neubuchung). Diese Änderungsnachweise sind Bestandteil der Buchführung und aufzubewahren.

4 Internes Kontrollsystem (IKS)

4.1
Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet, die die folgenden Aufgaben haben:

  • Sicherung und Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller Art;
  • Bereitstellung vollständiger, genauer und aussagefähiger sowie zeitnaher Aufzeichnungen;
  • Förderung der betrieblichen Effizienz durch Auswertung und Kontrolle der Aufzeichnungen und
  • Unterstützung der Befolgung der vorgeschriebenen Geschäftspolitik.

4.2
Ziel des IKS im Zusammenhang mit einer DV-Buchführung muss es sein, den Buchführungspflichtigen dahingehend zu unterstützen, die Gesetz- und Satzungsmäßigkeit von Buchführung und Jahresabschluss sicherzustellen sowie sich einen Überblick auf die wirtschaftliche Lage des Unternehmens zu verschaffen.

Für die Erfüllung der GoBS ist daher die Bereitstellung vollständiger, genauer, aussagefähiger und zeitgerechter Aufzeichnungen eine wesentliche Voraussetzung. Die Sicherung und der Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller Art ist zur Erfüllung der GoBS gegebenenfalls auch zu beachten.

4.3
Zum Nachweis der Ordnungsmäßigkeit einer DV-Buchführung muss daher das IKS im Hinblick auf die beiden in 4.2. genannten Aufgaben (Bereitstellen der Aufzeichnungen; Vermögensschutz i. w. S.) beurteilt werden. Dabei reichen wegen komplexer Abläufe und Strukturen beim Buchführungspflichtigen einzelne, voneinander isolierte Kontrollmaßnahmen keinesfalls aus. Vielmehr bedarf es einer planvollen und lückenlosen Vorgehensweise, um ein effizientes Kontrollsystem im Unternehmen zu installieren.

4.4
Bei der Gestaltung und Beurteilung eines IKS sind bei DV-Einsatz im Hinblick auf diese beiden Aufgabenstellungen folgende Punkte zu beachten:

  1. Komplexe und integrierte Systeme erfordern maschinelle und manuelle Kontrollen zur Vollständigkeit und Richtigkeit. Die manuellen und maschinellen Kontrollen müssen aufeinander abgestimmt sein.
  2. Die Zuständigkeit/Verantwortung für betriebliche Funktionen muss eindeutig geregelt sein. Bei der Zuständigkeits- bzw. Verantwortungsregelung ist das Prinzip der Funktionstrennung zu beachten. Ist eine Funktionstrennung nicht möglich bzw. wirtschaftlich nicht zumutbar, so sind weitere organisatorische Kontrollen in angemessener Form notwendig.
  3. Buchungsrelevante Arbeitsabläufe müssen definiert und in ihrer Reihenfolge festgelegt sein.
  4. Ausgeführte manuelle und maschinelle Kontrollen müssen dokumentiert werden (Abstimmkontrollen/Plausibilitätskontrollen, Freigabeverfahren).
  5. Bei den Kontrollmaßnahmen ist zu beachten, dass manuelle Kontrollen umgehbar sind oder gegebenenfalls nicht mit der gebotenen Sorgfalt ausgeführt werden. Sie bedürfen daher grundsätzlich einer nachträglichen Überwachung.
  6. Maschinelle Kontrollen sind in Programmabläufe integriertePrüfbedingungen, die die Verarbeitung von nicht plausiblen und unvollständigen Daten verhindern sollen. Sie können sowohl auf den Ebenen der Betriebssysteme und betriebssystemnahen Software als auch auf der Ebene der Anwendungsprogramme eingerichtet werden.
  7. Im Rahmen eines funktionsfähigen IKS muss auch die Programmidentität sichergestellt werden, d.h. es muss periodenbezogen geprüft werden, ob die eingesetzte DV-Buchführung auch tatsächlich dem dokumentierten System entsprochen hat (siehe auch Kapitel 6.2.3).

Die Notwendigkeit der Sicherstellung der Programmidentität besteht unabhängig von der Art der eingesetzten Rechnersysteme (von der Groß-DV bis zum Stand-alone-PC).

Wichtige Voraussetzung für die Sicherstellung der Programmidentität ist insbesondere das Vorhandensein und das abgestimmte ineinanderwirken aktueller, den unternehmensspezifischen Wichtige Voraussetzung für die Sicherstellung der Programmidentität ist insbesondere das Vorhandensein und das abgestimmte ineinanderwirken aktueller, den unternehmensspezifischen Besoinderheiten Rechnung tragender Richtlinien für:

  • Programmierung
  • Programmtest
  • Programmfreigaben
  • Programmänderungen
  • Änderungen von Stamm- und Tabellendaten
  • Zugriffs- und Zugangsverfahren
  • den ordnungsgemäßen Einsatz von Datenbanken, Betriebssystemen und
  • Netzwerken
  • Einsatz von testdatenbeständen/-systemen
  • Programmeinsatzkontrollen.

Entsprechend den generellen Anforderungen an Transparenz, Kontrollierbarkeit und Verläßlichkeit des eingesetzten maschinellen Verarbeitungssystems muss gewährleistet sein, dass jedes produktiv eingesetzte Programm autorisiert für den richtigen Zweck eingesetzt wird. Dabei muss die jeweils aktuelle Programmversion feststellbar sein und dokumentiert werden.

4.5
Das IKS ist zu beschreiben; insbesondere ist hierbei den "Mensch-Maschine-Schnittstellen" besondere Bedeutung beizumessen.

Die Beschreibung des IKS. soweit für das Verständnis des DV-Buchführungssystems relevant - ist Bestandteil der Verfahrensdokumentation (vgl. Kapitel 6).

5 Datensicherheit

5.1
Die starke Abhängigkeit der Unternehmung von ihren gespeicherten Informationen macht ein ausgeprägtes Datensicherheitskonzept für das Erfüllen der GoBS unabdingbar. Dabei muss dem Unternehmen bewusst und klar sein, dass Datensicherheit nur dann hergestellt und auf Dauer gewährleistet werden kann, wenn bekannt ist, was, wogegen, wie lange und wie zu sichern ist und geschützt werden soll.

5.2
Zu sichern und zu schützen sind neben den auf Datenträgern gespeicherten, für die Buchführung relevanten Informationen zugleich die weiteren Informationen, an deren Sicherung und Schutz das Unternehmen ein Eigeninteresse hat oder dies aufgrund anderer Rechtsgrundlagen erforderlich ist.

Unter "Informationen" sind in diesem Zusammenhang die Software (Betriebssystem, Anwendungsprogramme), die Tabellen- und Stammdaten, die Bewegungsdaten (z.B. die Daten eines Geschäftsvorfalles) sowie die sonstigen Aufzeichnungen zu verstehen.

Belege und sonstige Aufzeichnungen, die vom Buchführungspflichtigen in konventioneller Form (Papier) aufbewahrt werden, sind ebenfalls zu sichern und zu schützen.

5.3
Diese Informationen sind gegen Verlust zu sichern und gegen unberechtigte Veränderung zu schützen. Über die Anforderungen der GoBS hinaus sind die sensiblen Informationen des Unternehmens auch gegen unberechtigte Kenntnisnahme zu schützen.

5.4
Die buchhalterisch relevanten Informationen sind zumindest für die Dauer der gesetzlichen Aufbewahrungsfrist zu sichern und zu schützen (vgl. Kapitel 7 "Aufbewahrungsfristen"). Vom Unternehmen ist zu entscheiden, ob und für welche Informationen aus unternehmensinternen Gründen eine längere Aufbewahrungsdauer gelten soll.

Da zur Erfüllung der Anforderung, die buchhalterisch relevanten Informationen während der Dauer der Aufbewahrungspflicht jederzeit lesbar machen zu können, nicht nur die Verfügbarkeit der Daten und der Software, sondern auch der Hardware gewährleistet sein muss, muss das Datensicherungskonzept im weiteren Sinne auch die Sicherung der EDV-technischen Installationen (Hardware, Leitungen etc.) umfassen.

5.5
Wie im einzelnen Unternehmen die erforderliche Datensicherheit hergestellt und auf Dauer gewährleistet werden kann, ist von den im Einzelfall gegebenen technischen Bedingungen sowie den sich aus diesen ergebenden Möglichkeiten abhängig.

5.5.1
Der Schutz der Information gegen unberechtigte Veränderung ist durch wirksame Zugriffs- bzw. Zugangskontrollen zu gewährleisten. Dies sind einmal die Zugriffsberechtigungskontrollen, die so zu gestalten sind, dass nur berechtigte Personen in dem ihrem Aufgabenbereich entsprechenden Umfang auf Programme und Daten zugreifen können. Es sind zum anderen die Zugangskontrollen zu den Räumen, in denen die Datenträger aufbewahrt werden. Diese Zugangskontrollen müssen verhindern, dass unberechtigte Personen Zugang zu Datenträgern haben. Sie müssen insbesondere auch für die Räumlichkeiten gelten, in die die Datenträger der Datensicherung ausgelagert sind.

5.5.2
Die Sicherung der Informationen vor Verlust erfordert im ersten Schritt die Durchführung von Datensicherungsprozeduren zu den auf dem EDV-System geführten Programmen und Daten. Die Durchführung von Datensicherungsprozeduren ist verbindlich anzuweisen. Es ist zweckmäßig, periodische Datensicherungsprozeduren vorzusehen und ergänzend zu diesen ad hoc Sicherungen durchzuführen, wenn im Zeitraum zwischen zwei Datensicherungen außergewöhnlich intensiv Programme und/oder Daten geändert/verarbeitet wurden. Zu den aufbewahrungspflichtigen und weiteren sensiblen Daten und Programmen sollen Sicherungskopien zusätzlich erstellt und an einem anderen Standort (anderer Sicherheitsbereich) aufbewahrt werden. Der zweite Schritt der Sicherung der Informationen vor Verlust umfasst die Maßnahmen, durch die für die gesicherten Programme/Datenbestände die Risiken hinsichtlich Unauffindbarkeit, Vernichtung und Diebstahl im erforderlichen Maß reduziert werden.

Das Risiko der Unauffindbarkeit ist durch das Führen eines systematischen Verzeichnisses über die gesicherten Programme/Datenbestände zu reduzieren. Aus dem Verzeichnis muss sich zu dem einzelnen Datenträger dessen Standort, dessen Inhalt, Datum der Sicherung und frühestes Datum des Löschens des Datenträgerinhaltes ergeben.

Das Risiko der Vernichtung der Datenträger ist dadurch zu reduzieren, dass für die Aufbewahrungsstandorte die Bedingungen geschaffen werden, durch die eine Vernichtung/Beeinträchtigung der gesicherten Informationen durch Feuer, Temperatur/Feuchtigkeit, Magnetfelder etc. weitesgehend ausgeschlossen ist.

Das Risiko des Diebstahls der Datenträger ist dadurch zu reduzieren, dass diese in verschlossenen und ausreichend gegen Einbruch gesicherten Räumen bzw. Tresoren aufbewahrt werden.

Um bei Langzeitspeicherung der aufbewahrungspflichtigen Informationen die Lesbarkeit der Datenträger sicherzustellen, ist anzuweisen, in welchen Zeitabständen die Lesbarkeit der Datenträger zu überprüfen ist. Wie groß diese Zeitabstände sein dürfen, ist von der benutzten Speicherungstechnik abhängig. 5.6

Da das "Wie" der Datensicherheit von dem jeweils gegebenen Stand der EDV-Technik abhängt, ergibt sich aus der technischen Entwicklung für das Unternehmen die Notwendigkeit, ihr Datensicherheitskonzept den jeweils aktuellen Anforderungen und Möglichkeiten anzupassen.

5.7
Das Datensicherungskonzept des Unternehmens ist zu dokumentieren. Dies gilt insbesondere für das Verfahren/die Prozeduren der Datensicherung (vgl. Kapitel 6 "Dokumentation und Prüfbarkeit").

6 Dokumentation und Prüfbarkeit

6.0
Die DV-Buchführung muss -wie jede Buchführung - von einem sachverständigen Dritten hinsichtlich ihrer formellen und sachlichen Richtigkeit in angemessener Zeit prüfbar sein. Dies bezieht sich sowohl auf die Prüfbarkeit einzelner Geschäftsvorfälle (Einzelprüfung) als auch auf die Prüfbarkeit des Abrechnungsverfahrens (Verfahrens- oder Systemprüfung). Weiterhin muss sich aus der Dokumentation ergeben, dass das Verfahren entsprechend seiner Beschreibung durchgeführt worden ist.

6.1
Aus der zugrunde zu legenden Verfahrensdokumentation müssen Inhalt, Aufbau und Ablauf des Abrechnungsverfahrens vollständig ersichtlich sein. Insbesondere muss sich aus der Verfahrensdokumentation die Umsetzung der in den Kapiteln 1 bis 5 enthaltenen Anforderungen an ein ordnungsmäßiges Verfahren ergeben.

Wie die erforderliche Verfahrensdokumentation formal gestaltet und technisch geführt wird, kann der Buchführungspflichtige individuell entscheiden. Die jeweilige Verfahrensdokumentation muss für einen sachverständigen Dritten aber verständlich sein.

Der Umfang der erforderlichen Verfahrensdokumentation richtet sich nach der Komplexität der DV-Buchführung (z.B. Anzahl und Größe der Programme, Struktur ihrer Verbindungen untereinander, Nutzung von Tabellen). Die Anforderungen an die Verfahrensdokumentation sind unabhängig von der Größe/Kapazität der genutzten DV-Anlage (Hardware) zu stellen, das heißt, sowohl bei Großrechnersystemen als auch bei PC-Systemen ist für eine entsprechende Verfahrensdokumentation zu sorgen.

Auch bei fremderworbener Software, bei der die Dokumentation vom Software-Ersteller angefertigt wird, ist der Buchführungspflichtige für die Vollständigkeit und den Informationsgehalt der Verfahrensdokumentation verantwortlich. Er ist deshalb auch dafür verantwortlich, dass im Bedarfsfalle die Teile der Verfahrensdokumentation eingesehen werden können, die ihm nicht ausgehändigt worden sind.

6.2
Die Verfahrendokumentation muss insbesondere beinhalten:

  • eine Beschreibung der sachlogischen Lösung
  • die Beschreibung der programmtechnischen Lösung
  • eine Beschreibung, wie die Programm-Identität gewahrt wird
  • Beschreibung, wie die Integrität von Daten gewahrt wird
  • Arbeitsanweisungen für den Anwender.

Die Beschreibung eines jeden der vorgenannten Bereiche muss den Umfang und die Wirkungsweise des internen Kontrollsystems erkennbar machen.

6.2.1
Die sachlogische Beschreibung enthält die Darstellung der fachlichen Aufgabe aus der Sicht des Anwenders.

Diese enthält insbesondere folgende Punkte:

  • generelle Aufgabenstellung
  • Beschreibung der Anwenderoberflächen für Ein- und Ausgabe einschließlich der manuellen Arbeiten
  • Beschreibung der Datenbestände
  • Beschreibung von Verarbeitungsregeln
  • Beschreibung des Datenaustausches (Datenträgeraustausch/ Datentransfer)
  • Beschreibung der maschinellen und manuellen Kontrollen Beschreibung der Fehlermeldungen und der sich aus den Fehlern ergebenden
  • Maßnahmen
  • Schlüsselverzeichnisse
  • Schnittstellen zu anderen Systemen.

6.2.2
Die Beschreibung der programmtechnischen Lösung hat zu zeigen, wo und wie die sachlogischen Forderungen in Programmen umgesetzt sind. Tabellen, über die die Funktionen der Programme beeinflusst werden können, sind wie Programme zu behandeln.

Programmänderungen sind in der Verfahrensdokumentation auszuweisen. Soweit die Programmänderungen nicht automatisch dokumentiert werden, muss durch zusätzliche organisatorische Maßnahmen gewährleistet werden, dass Alt- und Neuzustand eines geänderten Programms nachweisbar sind. Änderungen von Tabellen mit Programmfunktion sind in der Weise zu dokumentieren, dass für die Dauer der Aufbewahrungsfrist der jeweilige Inhalt einer Tabelle festgestellt werden kann.

6.2.3
In der Beschreibung, wie die Programmidentität gewahrt wird, hat der Buchführungspflichtige nachzuweisen, dass die sachlogischen Forderungen durch die eingesetzten Programme erbracht werden bzw. erbracht worden sind. Hierzu gehören die präzise Beschreibung des Freigabeverfahrens mit Regelungen über Freigabekompetenzen, der durchzuführenden Testläufe und die dabei zu verwendenden Daten sowie Anweisungen für Programmeinsatzkontrollen.

Zum Nachweis der Programmidentität gehört im wesentlichen die Freigabeerklärung in Verbindung mit vorhandenen Testdatenbeständen. Aus der Freigabeerklärung muss sich ergeben, welche Programmversion ab welchem Zeitpunkt für den produktiven Einsatz vorgesehen ist.

6.2.4
Als Maßnahmen zur Wahrung der Datenintegrität sind alle Vorkehrungen zu beschreiben, durch die erreicht wird, dass Daten und Programme nicht von Unbefugten geändert werden können. Hierzu gehört neben der Beschreibung des Zugriffsberechtigungsverfahrens der Nachweis der sachgerechten Vergabe von Zugriffsberechtigungen.

6.2.5
Die Arbeitsanweisungen, die für den Anwender zur sachgerechten Erledigung und Durchführung seiner Aufgaben vorhanden sein müssen, gehören ebenfalls zur Verfahrensdokumentation und sind schriftlich zu fixieren. Das ist insbesondere die Beschreibung der im Verfahren vorgesehenen manuellen Kontrollen und Abstimmungen. Die Schnittstellen zu vor- und nachgelagerten Systemen sind hierbei zu berücksichtigen.

7 Aufbewahrungsfristen

Daten mit Belegfunktion sind grundsätzlich sechs Jahre, Daten und sonst erforderliche Aufzeichnungen mit Grundbuch- oder Kontenfunktion sind grundsätzlich zehn Jahre aufzubewahren.

Die Verfahrensdokumentation zur DV-Buchführung gehört zu den Arbeitsanweisungen und sonstigen Organisationsunterlagen im Sinne des & 257 Abs. 1 HGB bzw. & 147 Abs. 1 AO und ist grundsätzlich zehn Jahre aufzubewahren. Teile der Verfahrensdokumentation, denen ausschließlich Belegfunktion zukommt (z.B. die Dokumentation zur DV-Verkaufsabrechnung, aus der sich die Buchungen zu den Forderungen ergeben), sind grundsätzlich sechs Jahre aufzubewahren. Die Verfahrensdokumentation kann auch auf Bildträgern oder auf anderen Datenträgern aufbewahrt werden. Die Aufbewahrungsfristen für die Verfahrensdokumentation beginnen mit dem Schluss des Kalenderjahres, in dem buchhaltungsrelevante Daten in Anwendung des jeweiligen Verfahrens erfasst wurden, entstanden sind oder bearbeitet wurden.

8 Wiedergabe der auf Datenträgern geführten Unterlagen

8.0
Der Buchungspflichtige hat zu gewährleisten, dass die gespeicherten Buchungen sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen jederzeit innerhalb angemessener Frist lesbar gemacht werden können. Er muss die dafür erforderlichen Daten, Programme sowie Maschinenzeiten und sonstigen Hilfsmittel, z.B. Personal, Bildschirme, Lesegeräte, bereitstellen. Auf Verlangen eines berechtigten Dritten (z.B. Finanzbehörde, Abschlussprüfer) hat er in angemessener Zeit die gespeicherten Buchungen lesbar zu machen sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen vorzulegen und auf Anforderung ohne Hilfsmittel lesbare Reproduktionen beizubringen.

8.1
Die inhaltliche Übereinstimmung der Wiedergabe mit den auf den maschinell lesbaren Datenträgern geführten Unterlagen muss durch das jeweilige Archivierungsverfahren sichergestellt sein.

Ist eine bildliche Übereinstimmung der Wiedergabe mit der Originalunterlage gefordert - dies trifft gemäß & 257 HGB und & 147 Abs. 2, Ziffer 1 AO für empfangene Handelsbriefe und Buchungsbelege zu, soweit sie ursprünglich bildlich vorgelegen haben -, muss das jeweilige Archivierungsverfahren eine originalgetreue, bildliche Wiedergabe sicherstellen. Die Anforderung nach bildlicher Wiedergabe ist erfüllt, wenn die auf der Originalunterlage enthaltenen Angaben zur Aussage- und Beweiskraft des Geschäftsvorfalles originalgetreu bildlich wiedergegeben werden.

8.2
Das Verfahren für die Wiedergabe der auf Bildträgern und auf anderen Datenträgern geführten Unterlagen (Datenausgabe) ist in einer Arbeitsanweisung des Buchführungspflichtigen schriftlich niederzulegen (z.B. Druckanweisung, COM-Anweisungen, Anweisungen für den Dialogverkehr zur Selektion und Darstellung der gespeicherten Unterlagen auf Sichtgeräten, z.B. bei Einsatz optischer Speichersysteme).

In der Arbeitsanweisung ist das Ordnungsprinzip für die Wiedergaben zu beschreiben und das Verfahren zur Feststellung der Vollständigkeit und der Richtigkeit der Wiedergaben zu regeln. Die Wiedergaben müssen der Rechnungslegung des Buchführungspflichtigen eindeutig zugeordnet werden können. Die inhaltliche Übereinstimmung der selektiven Wiedergabe mit den auf maschinell lesbaren Datenträgern geführten Unterlagen muss nachprüfbar sein.

9 Verantwortlichkeit

Für die Einhaltung der GoB - und damit auch der GoBS - ist auch bei einer DV-Buchführung allein der Buchführungspflichtige verantwortlich.

Die Verantwortlichkeit erstreckt sich dabei auf den Einsatz sowohl von selbst- als auch fremderstellter DV-Buchführungssysteme.

Wird die DV-Buchführung im Auftrag durch Fremdfirmen durchgeführt, obliegt die Einhaltung der GoB/GoBS ebenfalls dem auftraggebenden Buchführungspflichtigen.

Aus: AWV-Schrift 09546: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme GoBS