7. Zunahme der Prüfungen
7.1. Beratungsbedarf
Steuerliche Betriebsprüfungen nach GdPDU werden zunehmen. Eine Aufgabe des Steuerberaters ist dabei die Beratung zur Erlangung einer „GdPDU-Fitness“ seiner Mandanten. Dass es derzeit nur wenige Prüfungsanordnungen gibt, die einen digitalen Datenzugriff ankündigen, liegt an der Zurückhaltung der Betriebsprüfungsdienste der Landesfinanzverwaltungen. Da die Prüfer aber inzwischen flächendeckend und ausreichend mit hard- und software ausgestattet sind, da auch die Schulungen inzwischen wenigstens die grundsätzliche Ausbildung mit Prüfprogrammen erledigt haben und da auch die Prüfroutinen zwischenzeitlich in die Prüfsoftware eingearbeitet wurden, wird die Anzahl der digitalen Prüfungen zunehmen.
Aktuelle Studien besagen, dass derzeit 5% der Unternehmen in Deutschland sich mit Fragen der GdPDU in der Betriebsprüfung befasst haben. Diese Unternehmen dürften eher im Bereich der Gross-Unternehmen zu finden sein. Das heisst: die klassische Klientel der steuerberatenden Berufe bietet ein weites Feld der Beratung und wird bald mit entsprechender Nachfrage auf den Markt treten.
Die im Rahmen einer GdPDU-Prüfung zu lösenden Aufgaben fordern zunächst einmal die Lösungsbereitschaft der Beteiligten. Es ist gerade nicht damit getan, Archiv-CDs abzurufen. In dem Masse, in dem Unternehmen Daten originär digital erzeugen, müssen viele verschiedene Probleme gelöst werden. Die Verwaltung des Unternehmens ist dauernd neu zu überdenken und bei Änderungen in der IT gibt es jetzt auch Dokumentationspflichten, die der Steuerprüfer einfordert. Die mit der gesetzlichen Vorgabe nach langzeitiger Verfügbarkeit über 10 Jahre bei gleichzeitiger maschineller Auswertbarkeit einhergehenden Anforderungen an die IT stellen eine echte Herausforderung dar, vor allem für mittlere bis kleine Unternehmen. Neben der Bereitstellung von Speicherplatz und regelmässigen Bestandstests zur Sicherstellung der Haltbarkeit und Lesbarkeit der Daten sind viele andere Themen auch zu bedenken. Als Beispiel sei nur die Migration von Datenbeständen genannt.
7.2. Beratung zur Gestaltung der IT ist betriebswirtschaftliche Beratung
Der Steuerberater kann seinem Mandanten wertvollen Rat erteilen, wenn er sich in dieses Sachgebiet einarbeitet und sich nicht dazu verleiten lässt, jedes Einzelproblem nur aus der Sicht der Finanzbuchhaltung oder nur aus der Sicht der Datenverarbeitung zu betrachten. Gerade seine Expertise in allen Fragen der betriebswirtschaftlichen Gestaltung von Unternehmen und im Management von Informationstechnik aus der Sicht des Praktikers ist doch bei den Mandanten gefragt. Natürlich ist die einfachste Anforderung einer Betriebsprüfung die nach Datenträgerüberlassung von Buchführungsdaten. Aber daneben sind auch solche Fragen zu beraten wie die einer effizienten, das Mandantenunternehmen wenig belastenden Datentrennung von „steuerlich relevanten“ und „anderen“ Daten. Die Organisation von Betriebsgeheimnissen gehört ebenso hierher wie die Organisation der Einhaltung von Regeln zum Datenschutz. Die vielen Subsysteme einer Buchführung wie Warenwirtschaftssystem, Rechnungsschreibung, Material- und Zeitverwaltung u.a. müssen zum Erreichen einer GdPDU-Fitness in ihrem Zusammenspiel neu organisiert werden, solche Daten wie Planung, interne Revision, Management-Informationssysteme und andere, die den Betriebsprüfer nichts angehen, weil sein Prüfungsauftrag sie nicht erfasst, müssen von Prüfungshandlungen fern gehalten werden. . Änderungen an der IT-Landschaft müssen dabei beachtet werden. Der Prüfer braucht im Falle von direktem oder indirektem Datenzugriff einen organisierten Prüfer-Arbeitsplatz und er braucht eine Einweisung. Unschwer zu erkennen: Das ist sehr beratungsintensiv. Und genauso beratungsintensiv ist die Erstellung einer Verfahrensbeschreibung. Es ist schon ausgeführt worden, dass diese Dokumentation nicht nur für die Betriebsprüfung geschrieben werden sollte. Das wäre einfach zu aufwendig, denn das Unternehmen profitiert von den Möglichkeiten einer Verfahrensbeschreibung und von der damit bewirkten Verbesserung der Unternehmensverwaltung deutlich mehr als die Betriebsprüfung.
7.3. besondere Beratungsfelder
Die Organisation der effizienten Analyse von Massendaten muss irgendwo im Unternehmen dokumentiert sein, damit die Mitarbeiter wissen, wer es macht und wie es geht. Diese Organisation ist Voraussetzung für das Einlesen und Zuordnen der Daten, mit denen sich dann in kürzester Zeit Auffälligkeiten der unterschiedlichsten Art entdecken lassen. Die haben keineswegs immer steuerliche Relevanz, führen aber oft zu einer Verschlankung der Verwaltung im Unternehmen.
Die Kassenminus-Prüfung gehört zum Standard moderner Buchhaltungsprogramme. Die Altersstruktur und die Reichweite des Waren- und Erzeugnislagers stets aktuell zu erhalten, ist da schon ein wichtigeres Steuerungsinstrument. Neben der Betriebswirtschaft liefert es auch noch die Begründung für die Vornahme von Teilwertabschreibungen wegen langer Lagerdauer. Zudem lassen sich so Inventuren in kürzester Zeit auch unterjährig durchführen.
Lückenanalysen in Bereich der Rechnungs- und Lieferbeleg-Nummern sichern die Vollständigkeit der erfassten Belege und verhindern Doppelvergaben.
Die Überprüfung von Kontodaten im Bereich der Kunden, der Lieferanten und der eigenen Mitarbeiter sichert den Zahlungsverkehr effektiv ab. Insbesondere zeigt es an, dass zB keine Beschäftigungsverhältnisse aufgeteilt wurden, um unter Gleitzonen- oder Geringverdienergrenzen zu gelangen. Diese Frage wäre dann in der Betriebsprüfung schon von vornherein erledigt.
Die Überprüfung von Verrechnungspreisen an verbundene Unternehmen wird in Zeiten der zunehmenden Verflechtung auch kleinerer Unternehmen sehr wichtig. Eine Überprüfung durch eine Artikel-Datei kann sehr effizient durchgeführt werden.
7.4. Beratungsposition der Berater
Der Steuerberater ist, dies zeigen alle einschlägigen Untersuchungen, „der“ Berater seiner Mandanten. Sein Rat ist in vielen Bereichen der Unternehmensführung gefragt. Die Mandanten sehen ihn in der Pflicht, eine Beratung zur Vorbereitung und Gestaltung eines modernen Rechnungswesens anzubieten. Das soll vor allem die Möglichkeiten der IT, ihre Effizienz und ihre Sparpotentiale ausnutzen. Das es daneben auch noch die Pflichtprüfung des Wirtschaftsprüfers oder in mittleren und kleinen Unternehmen die Arbeit des Betriebsprüfers beschleunigt, ist Nebeneffekt.
Der Steuerberater ist vor allem in der Beantwortung der Frage nach „steuerlich relevanten Daten“ herausgefordert. Auch die Erstellung von Datenträgern zur Überlassung an Prüfer könnte seine Aufgabe sein. Vor allem aber ist er Ratgeber bei der Organisation des Rechnungswesens und des Unternehmensarchivs. Und wer ausser dem Unternehmen und seinem Steuerberater könnte die Aufgabe nach einer fachlich durchdachten Verfahrensbeschreibung sonst erfüllen.
7.4.1. Prüfungs-Simulation durch Steuerberater/ Wirtschaftsprüfer?
Natürlich könnte man auf die Idee kommen, eine digitale Selbstprüfung als „vorweggenommene Betriebsprüfung“ durchzuführen. So könnten kritische Prüffelder aufgespürt und bearbeitet werden. Vor diesem Ansinnen ist zu warnen. Die allgemeinen Regeln der Betriebsprüfung sind nicht geändert worden. Die digitale Betriebsprüfung ist lediglich Werkzeug, nicht Prüfungszweck. Die Prüffelder der Betriebsprüfung sind im Vorherein selten bekannt und die Vorgehensweise des Prüfers sehr individuell. Die Sache ist also nicht vorhersehbar.
7.5. Schlussbemerkung
Immer noch ist und bleibt ein hochwertiges Rechnungswesen, eine gute Unternehmensorganisation eine Absicherung gegen böse Überraschungen. Das Stichwort heißt Qualitätssicherung in Finanzbuchhaltung und Unternehmensverwaltung; und Qualitätssicherung ist immer prozessbegleitend. Wer ausser dem Steuerberater wäre sonst noch so gut geeignet, diese Sache anzugehen und natürlich auch die Dokumentation hierzu vorzubereiten. Es geht hier vor allem um die Sachkenntnis des Praktikers. IT-spezifisches know-how lässt sich ebenso wie steuerverfahrensrechtliches Spezialwissen immer „dazukaufen“. Ausser dem Unternehmer ist doch nur sein Steuerberater aufgrund seines langjährigen Einsatzes im Mandat und durch seine Berufserfahrung so intim mit den Bedingungen des Unternehmens vertraut, dass er diese Aufgabe zum Erfolg führen kann.
Dienstag, 27. April 2010
Verfahrensdokumentation und Inventory
3. Bedeutung der Verfahrensdokumentation für Jahresabschlussprüfung, steuerliche Betriebsprüfung und due diligence
3.1. Inventory
IT-Management-Systeme sind aufwendig. Sie tragen nicht zur direkten Wertschöpfung bei und sie verursachen hohen Schulungs- und Betreuungsaufwand. Sie sind aber notwendig, um die Dokumentation der eingesetzten Systeme abbilden zu können. Erfreulicherweise sind die Komponenten zum Teil bereits vorhanden, zum Teil auch für vergleichsweise geringe Preise zu haben. Die Technik hat sich auch hier weiterentwickelt, und so sinken die Kosten. Im Grunde genommen ist ein IT-Management-System eine Zusammensetzung aus
• Überblick über die Software-Verteilung
• Remote-desktop
• Hard- und software-inventory
• License management
Ein Werkzeug zur Gestaltung der „Software-Landkarte“ ist bereits in Windows (ab W2000) enthalten, der remote desktop ist seit Windows XP Bestandteil des Betriebssystems.
3.2. Software-Einsatz zur Inventarisierung
Für ein hard- und software-inventory gibt es verschiedene Software zu kaufen. Die Programme unterscheiden sich in Leistung und Preis. Alle Systeme erfassen automatisch hard- und software-Informationen zu jedem System. Danach unterscheiden sie sich deutlich. So gibt es monolithische und modulare Systeme; solche mit und ohne license management; es gibt grafische Auswertungen in Form von Netzplänen und es gibt exception reports, die Störfälle dokumentieren. Einige Systeme verwalten auch die System-Handbücher, die Serviceverträge und sogar Notfall- und Wiederanlaufpläne. Werden die vorhandenen Informationen verknüpft, sind im Fehlerfall Auswirkungen erkennbar, Ausfälle eingrenzbar. Es gibt standortübergreifende Programme und lokale Anwendungen. Es gibt auch Systeme, die Soll- und Ist-Zustände der System-Komponenten erkennen und damit ein Frühwarnsystem darstellen. Wofür auch immer man sich entscheidet: Wichtig ist es, das Ziel einer Inventarisierung in Erinnerung zu halten: Denn in einem Unternehmen, in dem mehr als ein PC genutzt werden, ist es wichtig, den Überblick zu behalten. Hardware-Ausstattung und Software-Stände „leben“; ebenso die peripheren Systeme wie Scanner, Drucker etc. Daher sollte gelten:
• Eine betriebsbereite EDV ist für ein Unternehmen heute lebensnotwendig. Fehler oder Ausfälle mindern die Verfügbarkeit. Sie lassen sich nicht ausschliessen. Wer einen kurzfristig möglichen Wiederanlauf wünscht, braucht aktuelle Informationen zum Stand seiner Informationstechnik.
• Redundante Daten sind gefährlich für die Datenintegrität und die –konsistenz. Sie sind deshalb dringend zu vermeiden. Nutzen hieraus: Es muss immer nur ein Datum gepflegt werden.
• Schutz- und Verwaltungsprozesse wie Netzwerküberwachung, trouble-ticketing, facility management etc. brauchen zum Funktionieren aktuelle Dokumentationsdaten.
• Die Administration der Systeme muss zudem wissen, welche Wartungsverträge bestehen, welche Servicepartner wofür zuständig sind und wo die Notfallpläne liegen, abzulegen sind und zugeordnet werden.
• Die im Inventory enthalten Daten sind idealerweise verknüpft. Damit können Schadensanalysen und Schadensfolge-Schätzungen durchgeführt werden. Im Schadensfall sind damit schnelle Antworten auf nachstehende Fragen möglich:
o Was passiert, wenn System X für eine Zeit von Y ausfällt?
o Welche Anwendungen sind davon sonst noch betroffen?
o Welche Hilfsmassnahmen sind erforderlich?
• Wenn das Inventory mittels Software erzeugt wird, sollte diese Software offengelegte Schnittstellen aufweisen wie zB XML, damit die Inventardaten in anderen Anwendungen weiterverarbeitet werden können.
• Wenn das Inventory mittels Software erzeugt wird, sollte diese Software eine einfache und konsistente Benutzeroberfläche aufweisen. Nur dann wird sie von den Mitarbeitern, die sie in kleinen Unternehmen ja neben ihrem eigentlichen Tagesgeschäft bedienen müssen, akzeptiert.
• Das Inventory sollte Auskunft geben können über Chronologien und Historiken wie: Welche Änderung wurde wann an welchem Subsystem durchgeführt. Diese historischen Daten sind über die geplante Archivdauer ebenso verfügbar zu halten.
• Das Inventory braucht eine Rechte- und eine Benutzerverwaltung. Nur damit sind unterschiedliche „Sichten“ möglich.
• Ganz wichtig: Je umfassender, je unternehmensspezifischer die vorhandenen Daten ins Inventory eingestellt werden, umso höher der erzeugte Nutzen!
Ein Inventory ist als Bestandteil einer Verfahrensbeschreibung unverzichtbar.
3.1. Inventory
IT-Management-Systeme sind aufwendig. Sie tragen nicht zur direkten Wertschöpfung bei und sie verursachen hohen Schulungs- und Betreuungsaufwand. Sie sind aber notwendig, um die Dokumentation der eingesetzten Systeme abbilden zu können. Erfreulicherweise sind die Komponenten zum Teil bereits vorhanden, zum Teil auch für vergleichsweise geringe Preise zu haben. Die Technik hat sich auch hier weiterentwickelt, und so sinken die Kosten. Im Grunde genommen ist ein IT-Management-System eine Zusammensetzung aus
• Überblick über die Software-Verteilung
• Remote-desktop
• Hard- und software-inventory
• License management
Ein Werkzeug zur Gestaltung der „Software-Landkarte“ ist bereits in Windows (ab W2000) enthalten, der remote desktop ist seit Windows XP Bestandteil des Betriebssystems.
3.2. Software-Einsatz zur Inventarisierung
Für ein hard- und software-inventory gibt es verschiedene Software zu kaufen. Die Programme unterscheiden sich in Leistung und Preis. Alle Systeme erfassen automatisch hard- und software-Informationen zu jedem System. Danach unterscheiden sie sich deutlich. So gibt es monolithische und modulare Systeme; solche mit und ohne license management; es gibt grafische Auswertungen in Form von Netzplänen und es gibt exception reports, die Störfälle dokumentieren. Einige Systeme verwalten auch die System-Handbücher, die Serviceverträge und sogar Notfall- und Wiederanlaufpläne. Werden die vorhandenen Informationen verknüpft, sind im Fehlerfall Auswirkungen erkennbar, Ausfälle eingrenzbar. Es gibt standortübergreifende Programme und lokale Anwendungen. Es gibt auch Systeme, die Soll- und Ist-Zustände der System-Komponenten erkennen und damit ein Frühwarnsystem darstellen. Wofür auch immer man sich entscheidet: Wichtig ist es, das Ziel einer Inventarisierung in Erinnerung zu halten: Denn in einem Unternehmen, in dem mehr als ein PC genutzt werden, ist es wichtig, den Überblick zu behalten. Hardware-Ausstattung und Software-Stände „leben“; ebenso die peripheren Systeme wie Scanner, Drucker etc. Daher sollte gelten:
• Eine betriebsbereite EDV ist für ein Unternehmen heute lebensnotwendig. Fehler oder Ausfälle mindern die Verfügbarkeit. Sie lassen sich nicht ausschliessen. Wer einen kurzfristig möglichen Wiederanlauf wünscht, braucht aktuelle Informationen zum Stand seiner Informationstechnik.
• Redundante Daten sind gefährlich für die Datenintegrität und die –konsistenz. Sie sind deshalb dringend zu vermeiden. Nutzen hieraus: Es muss immer nur ein Datum gepflegt werden.
• Schutz- und Verwaltungsprozesse wie Netzwerküberwachung, trouble-ticketing, facility management etc. brauchen zum Funktionieren aktuelle Dokumentationsdaten.
• Die Administration der Systeme muss zudem wissen, welche Wartungsverträge bestehen, welche Servicepartner wofür zuständig sind und wo die Notfallpläne liegen, abzulegen sind und zugeordnet werden.
• Die im Inventory enthalten Daten sind idealerweise verknüpft. Damit können Schadensanalysen und Schadensfolge-Schätzungen durchgeführt werden. Im Schadensfall sind damit schnelle Antworten auf nachstehende Fragen möglich:
o Was passiert, wenn System X für eine Zeit von Y ausfällt?
o Welche Anwendungen sind davon sonst noch betroffen?
o Welche Hilfsmassnahmen sind erforderlich?
• Wenn das Inventory mittels Software erzeugt wird, sollte diese Software offengelegte Schnittstellen aufweisen wie zB XML, damit die Inventardaten in anderen Anwendungen weiterverarbeitet werden können.
• Wenn das Inventory mittels Software erzeugt wird, sollte diese Software eine einfache und konsistente Benutzeroberfläche aufweisen. Nur dann wird sie von den Mitarbeitern, die sie in kleinen Unternehmen ja neben ihrem eigentlichen Tagesgeschäft bedienen müssen, akzeptiert.
• Das Inventory sollte Auskunft geben können über Chronologien und Historiken wie: Welche Änderung wurde wann an welchem Subsystem durchgeführt. Diese historischen Daten sind über die geplante Archivdauer ebenso verfügbar zu halten.
• Das Inventory braucht eine Rechte- und eine Benutzerverwaltung. Nur damit sind unterschiedliche „Sichten“ möglich.
• Ganz wichtig: Je umfassender, je unternehmensspezifischer die vorhandenen Daten ins Inventory eingestellt werden, umso höher der erzeugte Nutzen!
Ein Inventory ist als Bestandteil einer Verfahrensbeschreibung unverzichtbar.
Ohne IT-Sicherheit keine Revisionssicherheit
6. Revisionssicherheit
6.1. Grundsatz
Eine revisionssichere Archivierung ohne Beschreibung des Archivs, seiner Arbeitsweise, seiner Aufbewahrungs-, Verwaltungs- und Entsorgungsregeln ist sicher nicht denkbar. Schon für die Papierablage gab es Verfahrensanweisungen, wie ein Archiv gestaltet wird, wie in ihm zu suchen, wie mit Entnahmen und Rückgaben umzugehen ist. Diese Verfahrensbeschreibung ist heute nur auf digitale Daten erweitert worden. Der traditionelle Dokumentenbegriff geht vom Papier aus, im Vordergrund steht das papiergebundene Dokument. Daher stand zunächst auch die bildhafte Reproduktion in der elektronischen Archivierung im Vordergrund. Dieser Dokumentenbegriff erfährt zur Zeit eine Wandlung. Der Gesetzgeber hat die elektronische Signatur eingeführt. Dies schafft die Möglichkeit der Abkehr von der bildhaften Wiederverfügbarkeit in Archiven. Auch Datenströme, die Dokumente darstellen, lassen sich so in Archive einbinden. Dies ergibt noch keine neuen Anforderungen an Verfahrensdokumentationen, denn die Qualität der Archivierung ist unverändert geblieben. Es gelten immer noch ZPO und BGB. Internet und Signaturgesetz schaffen die Möglichkeit des Datenaustauschs im Geschäftsleben. Die Grundlage für sichere elektronische Unterschrift und ebenso sichere Identifizierung des Unterzeichners sind gegeben; auch die Sicherung der Unverfälschtheit des „Dokuments“ ist da. Dass das Verfahren sich bislang noch nicht durchsetzte, liegt eher an seiner Komplexität, seinen Kosten und spricht nicht gegen die rechtlichen Möglichkeiten. Die Änderung des BGB führte zur Abkehr von der Schriftform und zur „Textform“. Auch die Änderung der AO muss in diesem Kontext gesehen werden. Die Betriebsprüfung gab es in der AO schon immer, nunmehr darf sie auch Werkzeuge nutzen, die einer modernen Unternehmensverwaltung entsprechend sind. Die §§ 146, 147 AO beschreiben ganz klar die Regeln, unter denen Betriebsprüfungen in einer zunehmend digitalen Welt ablaufen. Die Ausführungsbestimmungen dazu entwickeln sich weiter. Die Dokumentformate, die längerfristige Archive abgeben können müssen, sind
• Gescannte Papiere tiff (s/w) und jpg (Farbe)
• Digitales Fax tiff
• Farbbilder jpeg
• eMails ASCII-Basis, zB XML oder MIME
Signaturen nur im Originalformat
• Screen-dumps ASCII-basierter Druckstrom, XML
• Datenstrom d.o.
• Output-Dateien d.o.
• MultiMedia Objekte alle in Frage kommenden
• Sprachdateien d.o.
• Digitales Video d.o.
• Office-Dokumente steuerl. Relevanz: Originalformat
Wandlung in XML
Nicht steuerl. Relevanz:
pdf, tiff, jpg
6.2. Aussage der Verfahrensdokumentation
Die Verfahrensdokumentation zum Archiv muss Auskunft geben über
• Ordnungsmässigkeit
• Vollständigkeit
• Verfahrenssicherheit
• Schutz vor Änderung und Verfälschung
• Sicherung vor Verlust
• Berechtigungskonzepte, Zugriffskonzepte
• Aufbewahrungsfristen, Alterung, Lösch-Konzepte
• Nachvollziehbarkeit
• Prüfbarkeit
Schon an dieser Aufzählung wird sichtbar, dass es keine Neuerungen in den Grundanforderungen an Archive gibt. Bei Konstruktion, Aufbau und Betrieb eines digitalen Archivs gibt es verschiedene Beteiligte. Deren Verantwortlichkeit ist in einem Pflichtenheft zu regeln und auch dieses Pflichtenheft ist Bestandteil der Verfahrensbeschreibung.
• Der Anwender selbst ist für den ordnungsgemässen Betrieb unter Einhaltung der Herstellervorgaben verantwortlich.
• Der Lieferant des Systems verantwortet die Funktionsfähigkeit der einzelnen Bausteine wie Speichersysteme, Software, Scannersysteme, Drucker, Laufwerke etc.
• Der Konstrukteur verantwortet die Funktionsfähigkeit des Gesamtsystems, sofern es nach seinen Vorgaben aufgebaut wurde.
6.4. Beschreibung der Funktionsfähigkeit
Ein funktionierendes Archiv erfüllt nachstehende Massgaben:
Jedes Dokument wird unveränderbar archiviert. Die Sicherungsmedien erfüllen diese Bedingung auch über Generationenwechsel von software.
Dokumente gehen im Archiv nicht verloren. Das bedeutet nicht nur die Speicherung auf Speichermedien, es umfasst auch die Speichermedien selbst und ihre Haltbarkeit. Die Konsistenz der Verwaltungsdateien ist immer gesichert. Sicherungskopien, ggf. Doppelung oder Spiegelung sind Verfahren, die das Archiv beherrscht.
Jedes Dokument wird planvoll gesucht und plangemäss gefunden. Informationen werden schnell und ohne Medienbrüche zur Verfügung gestellt. Das bedeutet, dass der Anwender sich über Verschlagwortung und Indexierung Gedanken machen muss. Wenn Dokumente nicht wiedergefunden werden, sind zumeist inkonsistente oder unzureichende Indexierung die Gründe.
Es wird genau das Dokument gefunden, nach dem gesucht wird. Indexe sind und bleiben klar und trennscharf, sie verrutschen nicht. Dies setzt hohe Anforderungen an die Qualität der Eingabe.
Dokumente sind während der vorgesehenen Archivzeit vor Zerstörung absolut sicher. Eine der härtesten Anforderungen. Archive müssen Entsorgungskonzepte haben, sonst wuchern sie ins Unendliche und werden unbeherrschbar. Während der vorgesehenen Zeit aber muss das Dokument immer vorhanden sein. Das bedeutet, dass ein Archiv ein Sicherungskonzept einschliesslich desaster recovery und Wiederanlaufplanung braucht.
Ein Dokument muss formidentisch wieder verfügbar gemacht werden. In standardisierten Formaten ist das leicht einhaltbar, anders aber in Office-Umgebungen, wo verschiedenste Formate benutzt werden und diese in unterschiedlichen Dialekten vorkommen können und dynamische Verknüpfungen ein weiteres tun, um Formate zu individualisieren. Reine Archivsysteme lösen dies Problem mit Speicherplatz und Indexierung. Jedes Dokument, das in einer neuen Erscheinungsform auftritt, wird als neues Dokument archiviert. Dynamische Verfahren versionieren die Dokumente. Unterschiedliche Formate werden mit „Viewern“ bewältigt.
Jedes Dokument wird schnell gefunden. Die Zeit, ein full recovery durchlaufen zu lassen, gibt es nicht. Das ist der Vorteil der digitalen Welt.
Alle Manipulationen, die Organisation und/ oder Struktur des Archivs verändern, werden protokolliert; eine Wiederherstellung des Ausgangs-Zustands ist möglich. Diese Forderung bleibt auch für den Fall aufrechterhalten, dass in einer Datenbank Felder wegfallen oder hinzukommen oder zusammengeführt werden. Auch auf ältere Dokumente muss immer sicher zugegriffen werden können. Die tools und Verfahren hierzu sind in der Verfahrensbeschreibung zu dokumentieren.
Migrationen auf neue Plattformen, Medien, Software-Stände und auch das Hinzufügen neuer hardware sind ohne Verlust an Informationen möglich. Dies ist eine ungeheuer wichtige Anforderung. Ständig ändern sich IT-Systeme, sie „leben“. Archivinformationen aber müssen langzeitig verfügbar sein. Die Verantwortung dafür liegt allein beim Anwender. Der muss seine Strategie festlegen und sichern.
Das Archiv ist rechtssicher, gesetzliche Bestimmungen werden eingehalten. Hierzu gehört, dass personenbezogene Daten geheim bleiben müssen und dass nur logisch gelöscht wird. Die betrieblichen Regeln zur Archivierung sind über die gesamte Archivierungszeit zu gewährleisten, genauso wie die handels-, steuer- und datenschutzrechtlichen Bestimmungen. Darauf muss die Architektur des Systems schon in seiner Entwicklung ausgelegt werden. Der Betrieb des Archivs liegt allein in der Veranwortung des Betreibers. Die Architektur des Systems und die Regeln, unter denen es arbeitet, wird er mit den Anbietern der einzelnen Komponenten verhandeln und danach Kauf- und Leistungsverträge abschliessen. All dies ist idealerweise Anlage zur Verfahrensbeschreibung.
Neben funktionalen Anforderungen enthält die Verfahrensbeschreibung auch die technische Systembeschreibung. Die Prüfer, seien sie wirtschaftsprüfend tätig oder steuerliche Betriebsprüfer, sollen die Einhaltung der rechtlichen Vorschriften zur Archivierung aller Dokumente auf den Speichermedien prüfen können. Sie sollen auch die Funktionsfähigkeit dieser Speicherung nach Systemänderungen beurteilen können. Zur Darstellung einer geordneten Migration brauchen sie dazu Ablaufbeschreibungen, dokumentierte Schnittstellen und definierte Aufzeichnungsformate. Deshalb gibt die Verfahrensbeschreibung vorzugsweise im Anhang ein Verzeichnis der Versionierung, verweist auf Verträge zB zur Wartung, gibt Auskunft über die Ablage der Hersteller-Handbücher, über Testunterlagen, über Sicherheitshandbücher und Arbeitsanweisungen. So gesehen ist eine Verfahrensbeschreibung auch Qualitätssicherung.
Im allgemeinen Teil wird das Unternehmen eine kurze Beschreibung seiner selbst liefern, weiter die von diesem Dokument betroffenen Unternehmensbereiche bezeichnen und über deren Aufgabenstellung und die Einbindung in die Unternehmensorganisation darstellen.
6.5. Beschreibung der Schnittstellen-Funktionen
Zum Verständnis des Zusammenwirkens der rechtlichen Bestimmungen sollten diese angeführt werden. Da der Datensicherheit in Produktions- und Archivsystemen eine besonders große Bedeutung zukommt, sollte in der Verfahrensbeschreibung klar dargestellt werden, wie die Datensicherung organisiert ist. Dabei kommt es an auf:
• Langfristige Verfügbarkeit
• Migrationskonzepte
• Vollständigkeit der Information
• Unveränderbarkeit der Information
• Bildliche Übereinstimmung da, wo es der Gesetzgeber oder die Betriebsabläufe im Unternehmen fordern
• Auffinden der Information in angemessener Zeit
• Sperrkonzepte
• Löschkonzepte
• Zugriffsberechtigungen
Da in jedem Unternehmen umfangreiche personenbezogene Daten erhoben und aufbewahrt werden und diese einem besonderen gesetzlichen Schutz unterliegen, sind geeignete Schutzmassnahmen zu treffen und zu beschreiben. Es gilt der Grundsatz, dass die Mitarbeiter die zu ihrer jeweiligen Aufgabe notwendigen Informationen zur Verfügung gestellt erhalten. Darüber hinaus sollten sie keine personenbezogenen Daten Dritter zur Kenntnis nehmen können. Auch Unbefugte wie zB Wartungspersonal darf keinen Zugriff auf solche Daten haben. Das gilt nicht nur bei der Arbeit mit diesen Daten, sondern auch bei Wartungsarbeiten, bei Aufbewahrung, Transport und Vernichtung. Die hardware eines Unternehmens sollte dazu physikalisch gesichert werden, die Benutzerverwaltung sowohl zentral als auch da, wo erforderlich, anwendungsspezifisch organisiert werden. Vertretungsregeln sind dabei ebenso zu beachten wie Bewegungen im Personalbereich, also das Ersetzen von Personen und Rollen.
6.6. Beschreibung des Datenschutzes
Ein Archiv darf nur Daten nur logisch löschen. Reicht diese Art der Löschung nicht, muss der Umweg durch Migration über umkopieren der nicht zu löschenden Teile gegangen werden.
Der Datenschutz erfordert in den betrieblichen Richtlinien hierzu Aussagen zu
• Benutzergruppen und/ oder Funktionsklassen
o Ein- und Ausstellen von Benutzerprofilen
o Protokollierung von Änderungen durch die Benutzerverwaltung
o Vergabe von Benutzerrechten
Einstellen von Informationen
Recherchieren, Anzeigen, Drucken, Kopieren
Ändern von Informationen
o Passwort-Konzept
• Steuerung des Zugriffs auf Systemteile
o User-ID
• Bildschirmschoner mit Passwortschutz
• LogIn-Prozeduren
o Arbeitsbeginn
o Kurzfristige Unterbrechung
o Remote access
o Zulässige Anzahl von Fehlversuchen beim LogIn
• Keine unverschlüsselten Daten auf dem Arbeitsplatzrechner, die über das Betriebssystem aufrufbar sind
• Absicherung der output-Schnittstellen am Arbeitsplatz
o Schloss am Disketten-Laufwerk, soweit noch solche Laufwerke vorhanden
o Software-mässige Sicherung von CD- und DVD-Laufwerken, serieller, paralleler und USB-Schnittstelle, Sicherung des PCMCIA-Schachts
• Sicherungskonzepte für notebooks
o Verschlüsselung
o Transportabler Diebstahlschutz
• Viren-Vorsorge
• Physikalischer Schutz der Arbeitsplätze und der Arbeitsräume
o Schliessanlage
o Klimatisierung
o Brandschutz
o Schutz vor Überspannung
o Pufferung der Energieversorgung
o Zugangsbarriere zu den Servern, Archivanlagen und zu offline-Medien
• Verschlüsselung bei Datentransfer über Telekommunikations-Anlagen
Der Umfang der Sicherungsmassnahmen ist individuell unterschiedlich und an die betrieblichen Erfordernisse anzupassen.
6.7. Beschreibung der Zugriffsbeschränkungen für die Prüfer
Da die steuerlichen Betriebsprüfer verschiedene Zugriffsrechte auf die Daten haben, sind für diese Zugriffe Beschreibungen zu erstellen. Aussagen zu nachstehenden Feldern sollten enthalten sein:
• Beschreibung der Zugriffsmöglichkeiten
• Definition der prüfungsrelevanten Datenbestände
• Beschreibung der prüfungsrelevanten Datenbestände
• Berechtigungskonzept
o Wie darf der Prüfer auf steuerlich relevante Informationen zugreifen?
o Wie wird der Datenschutz dabei gewährleistet?
• Schutzmechanismen
o Löschungssperre
o Veränderungs-Protokolle
6.8. Beschreibung des Archiv-Betriebs
Einführung und Betrieb eines Archivs müssen organisiert werden. Dabei ist zu beachten:
• Im System sind definierte Rollen mit zugewiesenen Kompetenzen zu schaffen
• Verständliche Arbeitsanweisungen sichern den Arbeitsablauf
• Jede Software braucht einen Nachweis der Funktionsfähigkeit und der Ordnungsmässigkeit der Verarbeitung. Dies Dokument gehört zur Verfahrensbeschreibung
• Unbefugte Eingriffe in den Arbeitsablauf sind nicht möglich.
• Die Eingriffskompetenz einzelner Personen richtet sich ausschliesslich nach ihrer Funktion, nicht nach ihrer hierarchischen Stellung.
• Die Betroffenen akzeptieren diese Vorschrift als ihren Beitrag zur ordnungsgemässen Funktion des Systems
• Nur berechtigte Benutzer können Auswertungen erstellen
• Das technische Umfeld wird in der Verfahrensbeschreibung abgebildet.
Die einzelnen Vorgänge im System –im Sinne von Prozessschritten- ist hinreichend beschrieben. Informationen im Archiv haben zwei Komponenten, einerseits den Inhalt und andererseits den Index. Der Index soll so gestaltet sein, dass die Information in angemessener Zeit aufgefunden wird. In der Verfahrensbeschreibung müssen neben der Beschreibung der Übernahme von Informationen die genutzten Formate offen zu legen. Bearbeitungs-Schritte sollen durch eine Vorgangsbeschreibung nachvollziehbar sein.
6.8.1. Beschreibung des Daten-Inputs
Beispielsweise sollte der Prozess „Dokumenten-Scan“ genau beschrieben sein. Dazu ist der Vorgang selbst genau zu beschreiben und die Massnahmen zu schildern, die die Unveränderbarkeit des gespeicherten Dokuments sichern. Zudem ist zu beschreiben, wie der Index gebildet wird
6.8.2. Beschreibung von Ein- und Auslagerung
Die Ein- und Auslagerung von Daten, der Austausch zwischen Produktivsystem und Archivsystem ist transparent darzustellen. Es kommt darauf an, den vollständigen, unveränderbaren und fehlerfreien Datentransport zu schildern. Das sichere Archiv ist ein Kernstück der Unternehmens-IT. Deshalb sollte neben der Darstellung des Datenflusses beschrieben sein
• Massnahmen der Vorbeugung des Datenverlustes bei Systemstörungen und –ausfällen
• Verfahren bei Spiegelung oder mehrfacher Sicherung
• Garantie der schnellen Suche des Dokuments
• Falls redundante Zwischenspeicherung auf Arbeitsplätzen erlaubt ist: Verfahren der Datenentnahme und –wiedereingliederung
• Protokollierung aller Vorgänge
• Wiederanlaufplanung/ desaster recovery
• Auslastungskontrolle
Die Indexdatenbank des Archivs ist einer seiner inneren Bestandteile. Diese integrierte Referenzdatenbank enthält die Indexmerkmale der archivierten Dokumente sowie alle nötigen Informatonen zu ihrer Verwaltung. Diese Indexdatenbank muss unzerstörbar sein oder sie muss in jedem Fall wieder hergestellt werden können. Deshalb ist in der Verfahrensbeschreibung zu nachstehenden Punkten Stellung zu nehmen:
• Wiederanlaufplanung/ desaster recovery
• Reorganisation der Daten
• Permanenter Konsistenzabgleich
• Verfahren des Im- und Exports
• Teilung und Auslagern von Datenbeständen
• Rücksichern von Datenbeständen/ Einspielen von Datenbeständen
• Statistiken
• Migration der Datenbank
Alle Änderungen und Ergänzungen der Datenbank sind zu protokollieren.
Es versteht sich von selbst, dass die hard- und software-Komponenten einschliesslich der Systemarchitektur hinreichend zu beschreiben sind.
6.8.3. Beschreibung der Speichermedien
Für die Archivierung der Dokumente sind heute optische Speicher Standard. Das Überschreiben der Daten muss durch die Wahl eines entsprechenden Aufzeichnungsverfahrens ausgeschlossen werden. In der Verfahrensbeschreibung sollte Auskunft gegeben werden über
• Art der Speichermedien
• Aufzeichnungsverfahren
o Formatierung
o Sicherung der Information
o Sicherung gegen Überschreiben
• Verfügbarkeit
• Kompatibilität
• Datenorganisation
o Gruppierung
o Clustering
• Gewährleistungs- und Haftungsvereinbarung
• Wiederherstellung
Die Funktion des Archivs wird durch Laufwerke beeinflusst. Diese technischen Teile sind deshalb in der Verfahrensbeschreibung zu erläutern:
• Hersteller
• Typ
• Betriebsbedingungen
o Spannung
o Klima
o Spannungspufferung
• Schnittstellen
• Austausch
• Serviceverfügbarkeit
• Generationen-Folge
• Lieferanten und Ersatz-Lieferanten
• Gewährleistung und Garantie
• Liefer- und Supportzusagen über den Garantiezeitraum hinaus
6.8.4. Beschreibung der Systemwartung
Der Anwender ist für die Funktionsfähigkeit seines Systems verantwortlich. Diese Verantwortung kann er nicht allein tragen, er braucht dazu Aussagen der Hersteller der Systemkomponenten hinsichtlich
• Support-Zeiträumen
• Reaktions-Fristen
• Kompatibilität der einzelnen Bestandteile
• Format-Standards bei Kompression
• Update-Garantien
Das System muss eine nahezu 100%ige Verfügbarkeit aufweisen. Es sollte daher so ausgelegt sein, dass ein Ausfall einzelner Teile die Systemstabilität nur insoweit beeinträchtigt, als dass mindestens ein Notbetrieb möglich sein muss. Dies und die Routinen zum Wiederanlauf muss in der Verfahrensbeschreibung enthalten sein. Bei besonders sensiblen Systemen kann vom Hersteller durchaus eine Garantie verlangt werden, auch sollten bei weniger sensiblen Systemen die Werte von Ausfallsicherheit und Lebensdauer zugesagt werden.
Das Datensicherungskonzept schützt Daten vor Verlust und Zerstörung. Die Anbieter von Sicherungs-Systemen sollen zur Verfahrensbeschreibung ihren Beitrag leisten und ausführen, welche Datensicherung sie mit ihren Systemen anbieten. Dazu gehören auch Testkonzepte und Wiederanlaufplanungen.
6.8.5. Beschreibung des Wiederanlauf-Konzepts
Diese Wiederanlauf-Konzepte müssen sicherstellen, dass bei nach Systemausfällen notwendigen Restarts keine Datenverluste und keine Inkonsistenzen entstehen. Darüberhinaus muss das Wiederanlauf-Konzept so gestaltet sein, dass nach Ausfall die Wiederanlaufzeit kurz ist. Auch die Darstellung der Konsistenz-Sicherung ist in der Verfahrensbeschreibung zu hinterlegen. Dazu gehört das Verfahren der Transaktions-Rücknahme, das Löschen teilvollständiger Dokumente und der Abgleich mit der Archivdatenbank.
6.8.6. Beschreibung der Betriebsbedingungen
Die Betriebsbedingungen des Archivs sind zu beschreiben. Dazu gehören insbesondere
• Stellenbeschreibungen für das Betriebspersonal
• Beschreibung der Kompetenzen der Mitarbeiter
o Aufgabentrennung
o Berechtigungskonzepte
• Benutzerhilfen
• Menusteuerung
• Beschreibung der Abnahme- und Freigabe-Prozesse
• Beschreibung der Löschfunktion
Zu den Betriebsbedingungen gehören auch die Wartungen. Deshalb sind Umfang und Rhythmus der Wartung aufzunehmen und auch die Verträge zur laufenden präventiven Wartung zu bezeichnen. Eigenwartung sollte in Handbüchern dokumentiert werden. Die Planung der Wartungsarbeiten sollte darauf ausgerichtet sein, den laufenden Betrieb eines Archivs möglichst nicht zu behindern.
Die technische Entwicklung schreitet schnell voran, und die Systemkomponenten müssen gelegentlich ausgetauscht werden, weil sich auch die Produktivsysteme erneut, modernisiert haben. In der Verfahrensbeschreibung wird daher das Thema Migration einen breiten Raum einnehmen. Vorzugsweise der Anbieter neuer Systeme liefert das Migrationskonzept mit und garantiert seine fehlerfreie Umsetzung. Bei einer Aufteilung zwischen verschiedenen Anbietern ist auf eine überschneidungsfreie, lückenlose Zuweisung der Verantwortung zu achten. In diese Garantien sind software-Komponenten einzubeziehen; und sollten die von anderen Herstellern kommen, dann sind auch diese Komponenten in die Garantie einzubeziehen.
6.8.7. Beschreibung der Prüfung der Ordnungsmässigkeit
Abschliessend sind in der Verfahrensbeschreibung Ausführungen zu Prüfungen der Ordnungsmässigkeit zu machen. Die formale Prüfung vergleicht die Verfahrensbeschreibung mit den System- und Anwendungsdokumentationen. Sie prüft, ob die Verfahren wahrheitsgemäß beschrieben werden, die Indexierung konsistent ist und die Wiederherstellung von Daten originalgetreu geschieht.
Die praktische Prüfung ist ein Funktionstest mit Testdaten. Erfassung, Indexierung, Suche und Finden werden „durchgespielt“. Die Abläufe und Ergebnisse müssen dem Tagesgeschäft gleichen. Sodann werden Manipulations- und Störungstests durchgeführt, um die Systemstabilität einschätzen zu können. Insbesondere die Abwehr unberechtigter Zugriffe, der Schutz der Datenkonsistenz, der Manipulationsschutz oder Eingriffe in die Indexdatenbank werden getestet. Danach sind Wiederanlaufroutinen zur Begutachtung dran. Für alle Tests gilt: Unter keinen Umständen darf ein Dokument verloren gehen, verändert werden, nicht mehr gefunden werden oder nicht in Übereinstimmung mit dem Original reproduziert werden.
Diese Tests führt ein sachkundiger neutraler Dritter durch. Im Prüfungszertifikat die die Prüfverfahren zu beschreiben, Testmaterial und Testfälle zu dokumentieren und die Ergebnisse niederzulegen.
6.1. Grundsatz
Eine revisionssichere Archivierung ohne Beschreibung des Archivs, seiner Arbeitsweise, seiner Aufbewahrungs-, Verwaltungs- und Entsorgungsregeln ist sicher nicht denkbar. Schon für die Papierablage gab es Verfahrensanweisungen, wie ein Archiv gestaltet wird, wie in ihm zu suchen, wie mit Entnahmen und Rückgaben umzugehen ist. Diese Verfahrensbeschreibung ist heute nur auf digitale Daten erweitert worden. Der traditionelle Dokumentenbegriff geht vom Papier aus, im Vordergrund steht das papiergebundene Dokument. Daher stand zunächst auch die bildhafte Reproduktion in der elektronischen Archivierung im Vordergrund. Dieser Dokumentenbegriff erfährt zur Zeit eine Wandlung. Der Gesetzgeber hat die elektronische Signatur eingeführt. Dies schafft die Möglichkeit der Abkehr von der bildhaften Wiederverfügbarkeit in Archiven. Auch Datenströme, die Dokumente darstellen, lassen sich so in Archive einbinden. Dies ergibt noch keine neuen Anforderungen an Verfahrensdokumentationen, denn die Qualität der Archivierung ist unverändert geblieben. Es gelten immer noch ZPO und BGB. Internet und Signaturgesetz schaffen die Möglichkeit des Datenaustauschs im Geschäftsleben. Die Grundlage für sichere elektronische Unterschrift und ebenso sichere Identifizierung des Unterzeichners sind gegeben; auch die Sicherung der Unverfälschtheit des „Dokuments“ ist da. Dass das Verfahren sich bislang noch nicht durchsetzte, liegt eher an seiner Komplexität, seinen Kosten und spricht nicht gegen die rechtlichen Möglichkeiten. Die Änderung des BGB führte zur Abkehr von der Schriftform und zur „Textform“. Auch die Änderung der AO muss in diesem Kontext gesehen werden. Die Betriebsprüfung gab es in der AO schon immer, nunmehr darf sie auch Werkzeuge nutzen, die einer modernen Unternehmensverwaltung entsprechend sind. Die §§ 146, 147 AO beschreiben ganz klar die Regeln, unter denen Betriebsprüfungen in einer zunehmend digitalen Welt ablaufen. Die Ausführungsbestimmungen dazu entwickeln sich weiter. Die Dokumentformate, die längerfristige Archive abgeben können müssen, sind
• Gescannte Papiere tiff (s/w) und jpg (Farbe)
• Digitales Fax tiff
• Farbbilder jpeg
• eMails ASCII-Basis, zB XML oder MIME
Signaturen nur im Originalformat
• Screen-dumps ASCII-basierter Druckstrom, XML
• Datenstrom d.o.
• Output-Dateien d.o.
• MultiMedia Objekte alle in Frage kommenden
• Sprachdateien d.o.
• Digitales Video d.o.
• Office-Dokumente steuerl. Relevanz: Originalformat
Wandlung in XML
Nicht steuerl. Relevanz:
pdf, tiff, jpg
6.2. Aussage der Verfahrensdokumentation
Die Verfahrensdokumentation zum Archiv muss Auskunft geben über
• Ordnungsmässigkeit
• Vollständigkeit
• Verfahrenssicherheit
• Schutz vor Änderung und Verfälschung
• Sicherung vor Verlust
• Berechtigungskonzepte, Zugriffskonzepte
• Aufbewahrungsfristen, Alterung, Lösch-Konzepte
• Nachvollziehbarkeit
• Prüfbarkeit
Schon an dieser Aufzählung wird sichtbar, dass es keine Neuerungen in den Grundanforderungen an Archive gibt. Bei Konstruktion, Aufbau und Betrieb eines digitalen Archivs gibt es verschiedene Beteiligte. Deren Verantwortlichkeit ist in einem Pflichtenheft zu regeln und auch dieses Pflichtenheft ist Bestandteil der Verfahrensbeschreibung.
• Der Anwender selbst ist für den ordnungsgemässen Betrieb unter Einhaltung der Herstellervorgaben verantwortlich.
• Der Lieferant des Systems verantwortet die Funktionsfähigkeit der einzelnen Bausteine wie Speichersysteme, Software, Scannersysteme, Drucker, Laufwerke etc.
• Der Konstrukteur verantwortet die Funktionsfähigkeit des Gesamtsystems, sofern es nach seinen Vorgaben aufgebaut wurde.
6.4. Beschreibung der Funktionsfähigkeit
Ein funktionierendes Archiv erfüllt nachstehende Massgaben:
Jedes Dokument wird unveränderbar archiviert. Die Sicherungsmedien erfüllen diese Bedingung auch über Generationenwechsel von software.
Dokumente gehen im Archiv nicht verloren. Das bedeutet nicht nur die Speicherung auf Speichermedien, es umfasst auch die Speichermedien selbst und ihre Haltbarkeit. Die Konsistenz der Verwaltungsdateien ist immer gesichert. Sicherungskopien, ggf. Doppelung oder Spiegelung sind Verfahren, die das Archiv beherrscht.
Jedes Dokument wird planvoll gesucht und plangemäss gefunden. Informationen werden schnell und ohne Medienbrüche zur Verfügung gestellt. Das bedeutet, dass der Anwender sich über Verschlagwortung und Indexierung Gedanken machen muss. Wenn Dokumente nicht wiedergefunden werden, sind zumeist inkonsistente oder unzureichende Indexierung die Gründe.
Es wird genau das Dokument gefunden, nach dem gesucht wird. Indexe sind und bleiben klar und trennscharf, sie verrutschen nicht. Dies setzt hohe Anforderungen an die Qualität der Eingabe.
Dokumente sind während der vorgesehenen Archivzeit vor Zerstörung absolut sicher. Eine der härtesten Anforderungen. Archive müssen Entsorgungskonzepte haben, sonst wuchern sie ins Unendliche und werden unbeherrschbar. Während der vorgesehenen Zeit aber muss das Dokument immer vorhanden sein. Das bedeutet, dass ein Archiv ein Sicherungskonzept einschliesslich desaster recovery und Wiederanlaufplanung braucht.
Ein Dokument muss formidentisch wieder verfügbar gemacht werden. In standardisierten Formaten ist das leicht einhaltbar, anders aber in Office-Umgebungen, wo verschiedenste Formate benutzt werden und diese in unterschiedlichen Dialekten vorkommen können und dynamische Verknüpfungen ein weiteres tun, um Formate zu individualisieren. Reine Archivsysteme lösen dies Problem mit Speicherplatz und Indexierung. Jedes Dokument, das in einer neuen Erscheinungsform auftritt, wird als neues Dokument archiviert. Dynamische Verfahren versionieren die Dokumente. Unterschiedliche Formate werden mit „Viewern“ bewältigt.
Jedes Dokument wird schnell gefunden. Die Zeit, ein full recovery durchlaufen zu lassen, gibt es nicht. Das ist der Vorteil der digitalen Welt.
Alle Manipulationen, die Organisation und/ oder Struktur des Archivs verändern, werden protokolliert; eine Wiederherstellung des Ausgangs-Zustands ist möglich. Diese Forderung bleibt auch für den Fall aufrechterhalten, dass in einer Datenbank Felder wegfallen oder hinzukommen oder zusammengeführt werden. Auch auf ältere Dokumente muss immer sicher zugegriffen werden können. Die tools und Verfahren hierzu sind in der Verfahrensbeschreibung zu dokumentieren.
Migrationen auf neue Plattformen, Medien, Software-Stände und auch das Hinzufügen neuer hardware sind ohne Verlust an Informationen möglich. Dies ist eine ungeheuer wichtige Anforderung. Ständig ändern sich IT-Systeme, sie „leben“. Archivinformationen aber müssen langzeitig verfügbar sein. Die Verantwortung dafür liegt allein beim Anwender. Der muss seine Strategie festlegen und sichern.
Das Archiv ist rechtssicher, gesetzliche Bestimmungen werden eingehalten. Hierzu gehört, dass personenbezogene Daten geheim bleiben müssen und dass nur logisch gelöscht wird. Die betrieblichen Regeln zur Archivierung sind über die gesamte Archivierungszeit zu gewährleisten, genauso wie die handels-, steuer- und datenschutzrechtlichen Bestimmungen. Darauf muss die Architektur des Systems schon in seiner Entwicklung ausgelegt werden. Der Betrieb des Archivs liegt allein in der Veranwortung des Betreibers. Die Architektur des Systems und die Regeln, unter denen es arbeitet, wird er mit den Anbietern der einzelnen Komponenten verhandeln und danach Kauf- und Leistungsverträge abschliessen. All dies ist idealerweise Anlage zur Verfahrensbeschreibung.
Neben funktionalen Anforderungen enthält die Verfahrensbeschreibung auch die technische Systembeschreibung. Die Prüfer, seien sie wirtschaftsprüfend tätig oder steuerliche Betriebsprüfer, sollen die Einhaltung der rechtlichen Vorschriften zur Archivierung aller Dokumente auf den Speichermedien prüfen können. Sie sollen auch die Funktionsfähigkeit dieser Speicherung nach Systemänderungen beurteilen können. Zur Darstellung einer geordneten Migration brauchen sie dazu Ablaufbeschreibungen, dokumentierte Schnittstellen und definierte Aufzeichnungsformate. Deshalb gibt die Verfahrensbeschreibung vorzugsweise im Anhang ein Verzeichnis der Versionierung, verweist auf Verträge zB zur Wartung, gibt Auskunft über die Ablage der Hersteller-Handbücher, über Testunterlagen, über Sicherheitshandbücher und Arbeitsanweisungen. So gesehen ist eine Verfahrensbeschreibung auch Qualitätssicherung.
Im allgemeinen Teil wird das Unternehmen eine kurze Beschreibung seiner selbst liefern, weiter die von diesem Dokument betroffenen Unternehmensbereiche bezeichnen und über deren Aufgabenstellung und die Einbindung in die Unternehmensorganisation darstellen.
6.5. Beschreibung der Schnittstellen-Funktionen
Zum Verständnis des Zusammenwirkens der rechtlichen Bestimmungen sollten diese angeführt werden. Da der Datensicherheit in Produktions- und Archivsystemen eine besonders große Bedeutung zukommt, sollte in der Verfahrensbeschreibung klar dargestellt werden, wie die Datensicherung organisiert ist. Dabei kommt es an auf:
• Langfristige Verfügbarkeit
• Migrationskonzepte
• Vollständigkeit der Information
• Unveränderbarkeit der Information
• Bildliche Übereinstimmung da, wo es der Gesetzgeber oder die Betriebsabläufe im Unternehmen fordern
• Auffinden der Information in angemessener Zeit
• Sperrkonzepte
• Löschkonzepte
• Zugriffsberechtigungen
Da in jedem Unternehmen umfangreiche personenbezogene Daten erhoben und aufbewahrt werden und diese einem besonderen gesetzlichen Schutz unterliegen, sind geeignete Schutzmassnahmen zu treffen und zu beschreiben. Es gilt der Grundsatz, dass die Mitarbeiter die zu ihrer jeweiligen Aufgabe notwendigen Informationen zur Verfügung gestellt erhalten. Darüber hinaus sollten sie keine personenbezogenen Daten Dritter zur Kenntnis nehmen können. Auch Unbefugte wie zB Wartungspersonal darf keinen Zugriff auf solche Daten haben. Das gilt nicht nur bei der Arbeit mit diesen Daten, sondern auch bei Wartungsarbeiten, bei Aufbewahrung, Transport und Vernichtung. Die hardware eines Unternehmens sollte dazu physikalisch gesichert werden, die Benutzerverwaltung sowohl zentral als auch da, wo erforderlich, anwendungsspezifisch organisiert werden. Vertretungsregeln sind dabei ebenso zu beachten wie Bewegungen im Personalbereich, also das Ersetzen von Personen und Rollen.
6.6. Beschreibung des Datenschutzes
Ein Archiv darf nur Daten nur logisch löschen. Reicht diese Art der Löschung nicht, muss der Umweg durch Migration über umkopieren der nicht zu löschenden Teile gegangen werden.
Der Datenschutz erfordert in den betrieblichen Richtlinien hierzu Aussagen zu
• Benutzergruppen und/ oder Funktionsklassen
o Ein- und Ausstellen von Benutzerprofilen
o Protokollierung von Änderungen durch die Benutzerverwaltung
o Vergabe von Benutzerrechten
Einstellen von Informationen
Recherchieren, Anzeigen, Drucken, Kopieren
Ändern von Informationen
o Passwort-Konzept
• Steuerung des Zugriffs auf Systemteile
o User-ID
• Bildschirmschoner mit Passwortschutz
• LogIn-Prozeduren
o Arbeitsbeginn
o Kurzfristige Unterbrechung
o Remote access
o Zulässige Anzahl von Fehlversuchen beim LogIn
• Keine unverschlüsselten Daten auf dem Arbeitsplatzrechner, die über das Betriebssystem aufrufbar sind
• Absicherung der output-Schnittstellen am Arbeitsplatz
o Schloss am Disketten-Laufwerk, soweit noch solche Laufwerke vorhanden
o Software-mässige Sicherung von CD- und DVD-Laufwerken, serieller, paralleler und USB-Schnittstelle, Sicherung des PCMCIA-Schachts
• Sicherungskonzepte für notebooks
o Verschlüsselung
o Transportabler Diebstahlschutz
• Viren-Vorsorge
• Physikalischer Schutz der Arbeitsplätze und der Arbeitsräume
o Schliessanlage
o Klimatisierung
o Brandschutz
o Schutz vor Überspannung
o Pufferung der Energieversorgung
o Zugangsbarriere zu den Servern, Archivanlagen und zu offline-Medien
• Verschlüsselung bei Datentransfer über Telekommunikations-Anlagen
Der Umfang der Sicherungsmassnahmen ist individuell unterschiedlich und an die betrieblichen Erfordernisse anzupassen.
6.7. Beschreibung der Zugriffsbeschränkungen für die Prüfer
Da die steuerlichen Betriebsprüfer verschiedene Zugriffsrechte auf die Daten haben, sind für diese Zugriffe Beschreibungen zu erstellen. Aussagen zu nachstehenden Feldern sollten enthalten sein:
• Beschreibung der Zugriffsmöglichkeiten
• Definition der prüfungsrelevanten Datenbestände
• Beschreibung der prüfungsrelevanten Datenbestände
• Berechtigungskonzept
o Wie darf der Prüfer auf steuerlich relevante Informationen zugreifen?
o Wie wird der Datenschutz dabei gewährleistet?
• Schutzmechanismen
o Löschungssperre
o Veränderungs-Protokolle
6.8. Beschreibung des Archiv-Betriebs
Einführung und Betrieb eines Archivs müssen organisiert werden. Dabei ist zu beachten:
• Im System sind definierte Rollen mit zugewiesenen Kompetenzen zu schaffen
• Verständliche Arbeitsanweisungen sichern den Arbeitsablauf
• Jede Software braucht einen Nachweis der Funktionsfähigkeit und der Ordnungsmässigkeit der Verarbeitung. Dies Dokument gehört zur Verfahrensbeschreibung
• Unbefugte Eingriffe in den Arbeitsablauf sind nicht möglich.
• Die Eingriffskompetenz einzelner Personen richtet sich ausschliesslich nach ihrer Funktion, nicht nach ihrer hierarchischen Stellung.
• Die Betroffenen akzeptieren diese Vorschrift als ihren Beitrag zur ordnungsgemässen Funktion des Systems
• Nur berechtigte Benutzer können Auswertungen erstellen
• Das technische Umfeld wird in der Verfahrensbeschreibung abgebildet.
Die einzelnen Vorgänge im System –im Sinne von Prozessschritten- ist hinreichend beschrieben. Informationen im Archiv haben zwei Komponenten, einerseits den Inhalt und andererseits den Index. Der Index soll so gestaltet sein, dass die Information in angemessener Zeit aufgefunden wird. In der Verfahrensbeschreibung müssen neben der Beschreibung der Übernahme von Informationen die genutzten Formate offen zu legen. Bearbeitungs-Schritte sollen durch eine Vorgangsbeschreibung nachvollziehbar sein.
6.8.1. Beschreibung des Daten-Inputs
Beispielsweise sollte der Prozess „Dokumenten-Scan“ genau beschrieben sein. Dazu ist der Vorgang selbst genau zu beschreiben und die Massnahmen zu schildern, die die Unveränderbarkeit des gespeicherten Dokuments sichern. Zudem ist zu beschreiben, wie der Index gebildet wird
6.8.2. Beschreibung von Ein- und Auslagerung
Die Ein- und Auslagerung von Daten, der Austausch zwischen Produktivsystem und Archivsystem ist transparent darzustellen. Es kommt darauf an, den vollständigen, unveränderbaren und fehlerfreien Datentransport zu schildern. Das sichere Archiv ist ein Kernstück der Unternehmens-IT. Deshalb sollte neben der Darstellung des Datenflusses beschrieben sein
• Massnahmen der Vorbeugung des Datenverlustes bei Systemstörungen und –ausfällen
• Verfahren bei Spiegelung oder mehrfacher Sicherung
• Garantie der schnellen Suche des Dokuments
• Falls redundante Zwischenspeicherung auf Arbeitsplätzen erlaubt ist: Verfahren der Datenentnahme und –wiedereingliederung
• Protokollierung aller Vorgänge
• Wiederanlaufplanung/ desaster recovery
• Auslastungskontrolle
Die Indexdatenbank des Archivs ist einer seiner inneren Bestandteile. Diese integrierte Referenzdatenbank enthält die Indexmerkmale der archivierten Dokumente sowie alle nötigen Informatonen zu ihrer Verwaltung. Diese Indexdatenbank muss unzerstörbar sein oder sie muss in jedem Fall wieder hergestellt werden können. Deshalb ist in der Verfahrensbeschreibung zu nachstehenden Punkten Stellung zu nehmen:
• Wiederanlaufplanung/ desaster recovery
• Reorganisation der Daten
• Permanenter Konsistenzabgleich
• Verfahren des Im- und Exports
• Teilung und Auslagern von Datenbeständen
• Rücksichern von Datenbeständen/ Einspielen von Datenbeständen
• Statistiken
• Migration der Datenbank
Alle Änderungen und Ergänzungen der Datenbank sind zu protokollieren.
Es versteht sich von selbst, dass die hard- und software-Komponenten einschliesslich der Systemarchitektur hinreichend zu beschreiben sind.
6.8.3. Beschreibung der Speichermedien
Für die Archivierung der Dokumente sind heute optische Speicher Standard. Das Überschreiben der Daten muss durch die Wahl eines entsprechenden Aufzeichnungsverfahrens ausgeschlossen werden. In der Verfahrensbeschreibung sollte Auskunft gegeben werden über
• Art der Speichermedien
• Aufzeichnungsverfahren
o Formatierung
o Sicherung der Information
o Sicherung gegen Überschreiben
• Verfügbarkeit
• Kompatibilität
• Datenorganisation
o Gruppierung
o Clustering
• Gewährleistungs- und Haftungsvereinbarung
• Wiederherstellung
Die Funktion des Archivs wird durch Laufwerke beeinflusst. Diese technischen Teile sind deshalb in der Verfahrensbeschreibung zu erläutern:
• Hersteller
• Typ
• Betriebsbedingungen
o Spannung
o Klima
o Spannungspufferung
• Schnittstellen
• Austausch
• Serviceverfügbarkeit
• Generationen-Folge
• Lieferanten und Ersatz-Lieferanten
• Gewährleistung und Garantie
• Liefer- und Supportzusagen über den Garantiezeitraum hinaus
6.8.4. Beschreibung der Systemwartung
Der Anwender ist für die Funktionsfähigkeit seines Systems verantwortlich. Diese Verantwortung kann er nicht allein tragen, er braucht dazu Aussagen der Hersteller der Systemkomponenten hinsichtlich
• Support-Zeiträumen
• Reaktions-Fristen
• Kompatibilität der einzelnen Bestandteile
• Format-Standards bei Kompression
• Update-Garantien
Das System muss eine nahezu 100%ige Verfügbarkeit aufweisen. Es sollte daher so ausgelegt sein, dass ein Ausfall einzelner Teile die Systemstabilität nur insoweit beeinträchtigt, als dass mindestens ein Notbetrieb möglich sein muss. Dies und die Routinen zum Wiederanlauf muss in der Verfahrensbeschreibung enthalten sein. Bei besonders sensiblen Systemen kann vom Hersteller durchaus eine Garantie verlangt werden, auch sollten bei weniger sensiblen Systemen die Werte von Ausfallsicherheit und Lebensdauer zugesagt werden.
Das Datensicherungskonzept schützt Daten vor Verlust und Zerstörung. Die Anbieter von Sicherungs-Systemen sollen zur Verfahrensbeschreibung ihren Beitrag leisten und ausführen, welche Datensicherung sie mit ihren Systemen anbieten. Dazu gehören auch Testkonzepte und Wiederanlaufplanungen.
6.8.5. Beschreibung des Wiederanlauf-Konzepts
Diese Wiederanlauf-Konzepte müssen sicherstellen, dass bei nach Systemausfällen notwendigen Restarts keine Datenverluste und keine Inkonsistenzen entstehen. Darüberhinaus muss das Wiederanlauf-Konzept so gestaltet sein, dass nach Ausfall die Wiederanlaufzeit kurz ist. Auch die Darstellung der Konsistenz-Sicherung ist in der Verfahrensbeschreibung zu hinterlegen. Dazu gehört das Verfahren der Transaktions-Rücknahme, das Löschen teilvollständiger Dokumente und der Abgleich mit der Archivdatenbank.
6.8.6. Beschreibung der Betriebsbedingungen
Die Betriebsbedingungen des Archivs sind zu beschreiben. Dazu gehören insbesondere
• Stellenbeschreibungen für das Betriebspersonal
• Beschreibung der Kompetenzen der Mitarbeiter
o Aufgabentrennung
o Berechtigungskonzepte
• Benutzerhilfen
• Menusteuerung
• Beschreibung der Abnahme- und Freigabe-Prozesse
• Beschreibung der Löschfunktion
Zu den Betriebsbedingungen gehören auch die Wartungen. Deshalb sind Umfang und Rhythmus der Wartung aufzunehmen und auch die Verträge zur laufenden präventiven Wartung zu bezeichnen. Eigenwartung sollte in Handbüchern dokumentiert werden. Die Planung der Wartungsarbeiten sollte darauf ausgerichtet sein, den laufenden Betrieb eines Archivs möglichst nicht zu behindern.
Die technische Entwicklung schreitet schnell voran, und die Systemkomponenten müssen gelegentlich ausgetauscht werden, weil sich auch die Produktivsysteme erneut, modernisiert haben. In der Verfahrensbeschreibung wird daher das Thema Migration einen breiten Raum einnehmen. Vorzugsweise der Anbieter neuer Systeme liefert das Migrationskonzept mit und garantiert seine fehlerfreie Umsetzung. Bei einer Aufteilung zwischen verschiedenen Anbietern ist auf eine überschneidungsfreie, lückenlose Zuweisung der Verantwortung zu achten. In diese Garantien sind software-Komponenten einzubeziehen; und sollten die von anderen Herstellern kommen, dann sind auch diese Komponenten in die Garantie einzubeziehen.
6.8.7. Beschreibung der Prüfung der Ordnungsmässigkeit
Abschliessend sind in der Verfahrensbeschreibung Ausführungen zu Prüfungen der Ordnungsmässigkeit zu machen. Die formale Prüfung vergleicht die Verfahrensbeschreibung mit den System- und Anwendungsdokumentationen. Sie prüft, ob die Verfahren wahrheitsgemäß beschrieben werden, die Indexierung konsistent ist und die Wiederherstellung von Daten originalgetreu geschieht.
Die praktische Prüfung ist ein Funktionstest mit Testdaten. Erfassung, Indexierung, Suche und Finden werden „durchgespielt“. Die Abläufe und Ergebnisse müssen dem Tagesgeschäft gleichen. Sodann werden Manipulations- und Störungstests durchgeführt, um die Systemstabilität einschätzen zu können. Insbesondere die Abwehr unberechtigter Zugriffe, der Schutz der Datenkonsistenz, der Manipulationsschutz oder Eingriffe in die Indexdatenbank werden getestet. Danach sind Wiederanlaufroutinen zur Begutachtung dran. Für alle Tests gilt: Unter keinen Umständen darf ein Dokument verloren gehen, verändert werden, nicht mehr gefunden werden oder nicht in Übereinstimmung mit dem Original reproduziert werden.
Diese Tests führt ein sachkundiger neutraler Dritter durch. Im Prüfungszertifikat die die Prüfverfahren zu beschreiben, Testmaterial und Testfälle zu dokumentieren und die Ergebnisse niederzulegen.
Ohne IT-Sicherheit keine Revisionssicherheit
6. Revisionssicherheit
6.1. Grundsatz
Eine revisionssichere Archivierung ohne Beschreibung des Archivs, seiner Arbeitsweise, seiner Aufbewahrungs-, Verwaltungs- und Entsorgungsregeln ist sicher nicht denkbar. Schon für die Papierablage gab es Verfahrensanweisungen, wie ein Archiv gestaltet wird, wie in ihm zu suchen, wie mit Entnahmen und Rückgaben umzugehen ist. Diese Verfahrensbeschreibung ist heute nur auf digitale Daten erweitert worden. Der traditionelle Dokumentenbegriff geht vom Papier aus, im Vordergrund steht das papiergebundene Dokument. Daher stand zunächst auch die bildhafte Reproduktion in der elektronischen Archivierung im Vordergrund. Dieser Dokumentenbegriff erfährt zur Zeit eine Wandlung. Der Gesetzgeber hat die elektronische Signatur eingeführt. Dies schafft die Möglichkeit der Abkehr von der bildhaften Wiederverfügbarkeit in Archiven. Auch Datenströme, die Dokumente darstellen, lassen sich so in Archive einbinden. Dies ergibt noch keine neuen Anforderungen an Verfahrensdokumentationen, denn die Qualität der Archivierung ist unverändert geblieben. Es gelten immer noch ZPO und BGB. Internet und Signaturgesetz schaffen die Möglichkeit des Datenaustauschs im Geschäftsleben. Die Grundlage für sichere elektronische Unterschrift und ebenso sichere Identifizierung des Unterzeichners sind gegeben; auch die Sicherung der Unverfälschtheit des „Dokuments“ ist da. Dass das Verfahren sich bislang noch nicht durchsetzte, liegt eher an seiner Komplexität, seinen Kosten und spricht nicht gegen die rechtlichen Möglichkeiten. Die Änderung des BGB führte zur Abkehr von der Schriftform und zur „Textform“. Auch die Änderung der AO muss in diesem Kontext gesehen werden. Die Betriebsprüfung gab es in der AO schon immer, nunmehr darf sie auch Werkzeuge nutzen, die einer modernen Unternehmensverwaltung entsprechend sind. Die §§ 146, 147 AO beschreiben ganz klar die Regeln, unter denen Betriebsprüfungen in einer zunehmend digitalen Welt ablaufen. Die Ausführungsbestimmungen dazu entwickeln sich weiter. Die Dokumentformate, die längerfristige Archive abgeben können müssen, sind
• Gescannte Papiere tiff (s/w) und jpg (Farbe)
• Digitales Fax tiff
• Farbbilder jpeg
• eMails ASCII-Basis, zB XML oder MIME
Signaturen nur im Originalformat
• Screen-dumps ASCII-basierter Druckstrom, XML
• Datenstrom d.o.
• Output-Dateien d.o.
• MultiMedia Objekte alle in Frage kommenden
• Sprachdateien d.o.
• Digitales Video d.o.
• Office-Dokumente steuerl. Relevanz: Originalformat
Wandlung in XML
Nicht steuerl. Relevanz:
pdf, tiff, jpg
6.2. Aussage der Verfahrensdokumentation
Die Verfahrensdokumentation zum Archiv muss Auskunft geben über
• Ordnungsmässigkeit
• Vollständigkeit
• Verfahrenssicherheit
• Schutz vor Änderung und Verfälschung
• Sicherung vor Verlust
• Berechtigungskonzepte, Zugriffskonzepte
• Aufbewahrungsfristen, Alterung, Lösch-Konzepte
• Nachvollziehbarkeit
• Prüfbarkeit
Schon an dieser Aufzählung wird sichtbar, dass es keine Neuerungen in den Grundanforderungen an Archive gibt. Bei Konstruktion, Aufbau und Betrieb eines digitalen Archivs gibt es verschiedene Beteiligte. Deren Verantwortlichkeit ist in einem Pflichtenheft zu regeln und auch dieses Pflichtenheft ist Bestandteil der Verfahrensbeschreibung.
• Der Anwender selbst ist für den ordnungsgemässen Betrieb unter Einhaltung der Herstellervorgaben verantwortlich.
• Der Lieferant des Systems verantwortet die Funktionsfähigkeit der einzelnen Bausteine wie Speichersysteme, Software, Scannersysteme, Drucker, Laufwerke etc.
• Der Konstrukteur verantwortet die Funktionsfähigkeit des Gesamtsystems, sofern es nach seinen Vorgaben aufgebaut wurde.
6.4. Beschreibung der Funktionsfähigkeit
Ein funktionierendes Archiv erfüllt nachstehende Massgaben:
Jedes Dokument wird unveränderbar archiviert. Die Sicherungsmedien erfüllen diese Bedingung auch über Generationenwechsel von software.
Dokumente gehen im Archiv nicht verloren. Das bedeutet nicht nur die Speicherung auf Speichermedien, es umfasst auch die Speichermedien selbst und ihre Haltbarkeit. Die Konsistenz der Verwaltungsdateien ist immer gesichert. Sicherungskopien, ggf. Doppelung oder Spiegelung sind Verfahren, die das Archiv beherrscht.
Jedes Dokument wird planvoll gesucht und plangemäss gefunden. Informationen werden schnell und ohne Medienbrüche zur Verfügung gestellt. Das bedeutet, dass der Anwender sich über Verschlagwortung und Indexierung Gedanken machen muss. Wenn Dokumente nicht wiedergefunden werden, sind zumeist inkonsistente oder unzureichende Indexierung die Gründe.
Es wird genau das Dokument gefunden, nach dem gesucht wird. Indexe sind und bleiben klar und trennscharf, sie verrutschen nicht. Dies setzt hohe Anforderungen an die Qualität der Eingabe.
Dokumente sind während der vorgesehenen Archivzeit vor Zerstörung absolut sicher. Eine der härtesten Anforderungen. Archive müssen Entsorgungskonzepte haben, sonst wuchern sie ins Unendliche und werden unbeherrschbar. Während der vorgesehenen Zeit aber muss das Dokument immer vorhanden sein. Das bedeutet, dass ein Archiv ein Sicherungskonzept einschliesslich desaster recovery und Wiederanlaufplanung braucht.
Ein Dokument muss formidentisch wieder verfügbar gemacht werden. In standardisierten Formaten ist das leicht einhaltbar, anders aber in Office-Umgebungen, wo verschiedenste Formate benutzt werden und diese in unterschiedlichen Dialekten vorkommen können und dynamische Verknüpfungen ein weiteres tun, um Formate zu individualisieren. Reine Archivsysteme lösen dies Problem mit Speicherplatz und Indexierung. Jedes Dokument, das in einer neuen Erscheinungsform auftritt, wird als neues Dokument archiviert. Dynamische Verfahren versionieren die Dokumente. Unterschiedliche Formate werden mit „Viewern“ bewältigt.
Jedes Dokument wird schnell gefunden. Die Zeit, ein full recovery durchlaufen zu lassen, gibt es nicht. Das ist der Vorteil der digitalen Welt.
Alle Manipulationen, die Organisation und/ oder Struktur des Archivs verändern, werden protokolliert; eine Wiederherstellung des Ausgangs-Zustands ist möglich. Diese Forderung bleibt auch für den Fall aufrechterhalten, dass in einer Datenbank Felder wegfallen oder hinzukommen oder zusammengeführt werden. Auch auf ältere Dokumente muss immer sicher zugegriffen werden können. Die tools und Verfahren hierzu sind in der Verfahrensbeschreibung zu dokumentieren.
Migrationen auf neue Plattformen, Medien, Software-Stände und auch das Hinzufügen neuer hardware sind ohne Verlust an Informationen möglich. Dies ist eine ungeheuer wichtige Anforderung. Ständig ändern sich IT-Systeme, sie „leben“. Archivinformationen aber müssen langzeitig verfügbar sein. Die Verantwortung dafür liegt allein beim Anwender. Der muss seine Strategie festlegen und sichern.
Das Archiv ist rechtssicher, gesetzliche Bestimmungen werden eingehalten. Hierzu gehört, dass personenbezogene Daten geheim bleiben müssen und dass nur logisch gelöscht wird. Die betrieblichen Regeln zur Archivierung sind über die gesamte Archivierungszeit zu gewährleisten, genauso wie die handels-, steuer- und datenschutzrechtlichen Bestimmungen. Darauf muss die Architektur des Systems schon in seiner Entwicklung ausgelegt werden. Der Betrieb des Archivs liegt allein in der Veranwortung des Betreibers. Die Architektur des Systems und die Regeln, unter denen es arbeitet, wird er mit den Anbietern der einzelnen Komponenten verhandeln und danach Kauf- und Leistungsverträge abschliessen. All dies ist idealerweise Anlage zur Verfahrensbeschreibung.
Neben funktionalen Anforderungen enthält die Verfahrensbeschreibung auch die technische Systembeschreibung. Die Prüfer, seien sie wirtschaftsprüfend tätig oder steuerliche Betriebsprüfer, sollen die Einhaltung der rechtlichen Vorschriften zur Archivierung aller Dokumente auf den Speichermedien prüfen können. Sie sollen auch die Funktionsfähigkeit dieser Speicherung nach Systemänderungen beurteilen können. Zur Darstellung einer geordneten Migration brauchen sie dazu Ablaufbeschreibungen, dokumentierte Schnittstellen und definierte Aufzeichnungsformate. Deshalb gibt die Verfahrensbeschreibung vorzugsweise im Anhang ein Verzeichnis der Versionierung, verweist auf Verträge zB zur Wartung, gibt Auskunft über die Ablage der Hersteller-Handbücher, über Testunterlagen, über Sicherheitshandbücher und Arbeitsanweisungen. So gesehen ist eine Verfahrensbeschreibung auch Qualitätssicherung.
Im allgemeinen Teil wird das Unternehmen eine kurze Beschreibung seiner selbst liefern, weiter die von diesem Dokument betroffenen Unternehmensbereiche bezeichnen und über deren Aufgabenstellung und die Einbindung in die Unternehmensorganisation darstellen.
6.5. Beschreibung der Schnittstellen-Funktionen
Zum Verständnis des Zusammenwirkens der rechtlichen Bestimmungen sollten diese angeführt werden. Da der Datensicherheit in Produktions- und Archivsystemen eine besonders große Bedeutung zukommt, sollte in der Verfahrensbeschreibung klar dargestellt werden, wie die Datensicherung organisiert ist. Dabei kommt es an auf:
• Langfristige Verfügbarkeit
• Migrationskonzepte
• Vollständigkeit der Information
• Unveränderbarkeit der Information
• Bildliche Übereinstimmung da, wo es der Gesetzgeber oder die Betriebsabläufe im Unternehmen fordern
• Auffinden der Information in angemessener Zeit
• Sperrkonzepte
• Löschkonzepte
• Zugriffsberechtigungen
Da in jedem Unternehmen umfangreiche personenbezogene Daten erhoben und aufbewahrt werden und diese einem besonderen gesetzlichen Schutz unterliegen, sind geeignete Schutzmassnahmen zu treffen und zu beschreiben. Es gilt der Grundsatz, dass die Mitarbeiter die zu ihrer jeweiligen Aufgabe notwendigen Informationen zur Verfügung gestellt erhalten. Darüber hinaus sollten sie keine personenbezogenen Daten Dritter zur Kenntnis nehmen können. Auch Unbefugte wie zB Wartungspersonal darf keinen Zugriff auf solche Daten haben. Das gilt nicht nur bei der Arbeit mit diesen Daten, sondern auch bei Wartungsarbeiten, bei Aufbewahrung, Transport und Vernichtung. Die hardware eines Unternehmens sollte dazu physikalisch gesichert werden, die Benutzerverwaltung sowohl zentral als auch da, wo erforderlich, anwendungsspezifisch organisiert werden. Vertretungsregeln sind dabei ebenso zu beachten wie Bewegungen im Personalbereich, also das Ersetzen von Personen und Rollen.
6.6. Beschreibung des Datenschutzes
Ein Archiv darf nur Daten nur logisch löschen. Reicht diese Art der Löschung nicht, muss der Umweg durch Migration über umkopieren der nicht zu löschenden Teile gegangen werden.
Der Datenschutz erfordert in den betrieblichen Richtlinien hierzu Aussagen zu
• Benutzergruppen und/ oder Funktionsklassen
o Ein- und Ausstellen von Benutzerprofilen
o Protokollierung von Änderungen durch die Benutzerverwaltung
o Vergabe von Benutzerrechten
Einstellen von Informationen
Recherchieren, Anzeigen, Drucken, Kopieren
Ändern von Informationen
o Passwort-Konzept
• Steuerung des Zugriffs auf Systemteile
o User-ID
• Bildschirmschoner mit Passwortschutz
• LogIn-Prozeduren
o Arbeitsbeginn
o Kurzfristige Unterbrechung
o Remote access
o Zulässige Anzahl von Fehlversuchen beim LogIn
• Keine unverschlüsselten Daten auf dem Arbeitsplatzrechner, die über das Betriebssystem aufrufbar sind
• Absicherung der output-Schnittstellen am Arbeitsplatz
o Schloss am Disketten-Laufwerk, soweit noch solche Laufwerke vorhanden
o Software-mässige Sicherung von CD- und DVD-Laufwerken, serieller, paralleler und USB-Schnittstelle, Sicherung des PCMCIA-Schachts
• Sicherungskonzepte für notebooks
o Verschlüsselung
o Transportabler Diebstahlschutz
• Viren-Vorsorge
• Physikalischer Schutz der Arbeitsplätze und der Arbeitsräume
o Schliessanlage
o Klimatisierung
o Brandschutz
o Schutz vor Überspannung
o Pufferung der Energieversorgung
o Zugangsbarriere zu den Servern, Archivanlagen und zu offline-Medien
• Verschlüsselung bei Datentransfer über Telekommunikations-Anlagen
Der Umfang der Sicherungsmassnahmen ist individuell unterschiedlich und an die betrieblichen Erfordernisse anzupassen.
6.7. Beschreibung der Zugriffsbeschränkungen für die Prüfer
Da die steuerlichen Betriebsprüfer verschiedene Zugriffsrechte auf die Daten haben, sind für diese Zugriffe Beschreibungen zu erstellen. Aussagen zu nachstehenden Feldern sollten enthalten sein:
• Beschreibung der Zugriffsmöglichkeiten
• Definition der prüfungsrelevanten Datenbestände
• Beschreibung der prüfungsrelevanten Datenbestände
• Berechtigungskonzept
o Wie darf der Prüfer auf steuerlich relevante Informationen zugreifen?
o Wie wird der Datenschutz dabei gewährleistet?
• Schutzmechanismen
o Löschungssperre
o Veränderungs-Protokolle
6.8. Beschreibung des Archiv-Betriebs
Einführung und Betrieb eines Archivs müssen organisiert werden. Dabei ist zu beachten:
• Im System sind definierte Rollen mit zugewiesenen Kompetenzen zu schaffen
• Verständliche Arbeitsanweisungen sichern den Arbeitsablauf
• Jede Software braucht einen Nachweis der Funktionsfähigkeit und der Ordnungsmässigkeit der Verarbeitung. Dies Dokument gehört zur Verfahrensbeschreibung
• Unbefugte Eingriffe in den Arbeitsablauf sind nicht möglich.
• Die Eingriffskompetenz einzelner Personen richtet sich ausschliesslich nach ihrer Funktion, nicht nach ihrer hierarchischen Stellung.
• Die Betroffenen akzeptieren diese Vorschrift als ihren Beitrag zur ordnungsgemässen Funktion des Systems
• Nur berechtigte Benutzer können Auswertungen erstellen
• Das technische Umfeld wird in der Verfahrensbeschreibung abgebildet.
Die einzelnen Vorgänge im System –im Sinne von Prozessschritten- ist hinreichend beschrieben. Informationen im Archiv haben zwei Komponenten, einerseits den Inhalt und andererseits den Index. Der Index soll so gestaltet sein, dass die Information in angemessener Zeit aufgefunden wird. In der Verfahrensbeschreibung müssen neben der Beschreibung der Übernahme von Informationen die genutzten Formate offen zu legen. Bearbeitungs-Schritte sollen durch eine Vorgangsbeschreibung nachvollziehbar sein.
6.8.1. Beschreibung des Daten-Inputs
Beispielsweise sollte der Prozess „Dokumenten-Scan“ genau beschrieben sein. Dazu ist der Vorgang selbst genau zu beschreiben und die Massnahmen zu schildern, die die Unveränderbarkeit des gespeicherten Dokuments sichern. Zudem ist zu beschreiben, wie der Index gebildet wird
6.8.2. Beschreibung von Ein- und Auslagerung
Die Ein- und Auslagerung von Daten, der Austausch zwischen Produktivsystem und Archivsystem ist transparent darzustellen. Es kommt darauf an, den vollständigen, unveränderbaren und fehlerfreien Datentransport zu schildern. Das sichere Archiv ist ein Kernstück der Unternehmens-IT. Deshalb sollte neben der Darstellung des Datenflusses beschrieben sein
• Massnahmen der Vorbeugung des Datenverlustes bei Systemstörungen und –ausfällen
• Verfahren bei Spiegelung oder mehrfacher Sicherung
• Garantie der schnellen Suche des Dokuments
• Falls redundante Zwischenspeicherung auf Arbeitsplätzen erlaubt ist: Verfahren der Datenentnahme und –wiedereingliederung
• Protokollierung aller Vorgänge
• Wiederanlaufplanung/ desaster recovery
• Auslastungskontrolle
Die Indexdatenbank des Archivs ist einer seiner inneren Bestandteile. Diese integrierte Referenzdatenbank enthält die Indexmerkmale der archivierten Dokumente sowie alle nötigen Informatonen zu ihrer Verwaltung. Diese Indexdatenbank muss unzerstörbar sein oder sie muss in jedem Fall wieder hergestellt werden können. Deshalb ist in der Verfahrensbeschreibung zu nachstehenden Punkten Stellung zu nehmen:
• Wiederanlaufplanung/ desaster recovery
• Reorganisation der Daten
• Permanenter Konsistenzabgleich
• Verfahren des Im- und Exports
• Teilung und Auslagern von Datenbeständen
• Rücksichern von Datenbeständen/ Einspielen von Datenbeständen
• Statistiken
• Migration der Datenbank
Alle Änderungen und Ergänzungen der Datenbank sind zu protokollieren.
Es versteht sich von selbst, dass die hard- und software-Komponenten einschliesslich der Systemarchitektur hinreichend zu beschreiben sind.
6.8.3. Beschreibung der Speichermedien
Für die Archivierung der Dokumente sind heute optische Speicher Standard. Das Überschreiben der Daten muss durch die Wahl eines entsprechenden Aufzeichnungsverfahrens ausgeschlossen werden. In der Verfahrensbeschreibung sollte Auskunft gegeben werden über
• Art der Speichermedien
• Aufzeichnungsverfahren
o Formatierung
o Sicherung der Information
o Sicherung gegen Überschreiben
• Verfügbarkeit
• Kompatibilität
• Datenorganisation
o Gruppierung
o Clustering
• Gewährleistungs- und Haftungsvereinbarung
• Wiederherstellung
Die Funktion des Archivs wird durch Laufwerke beeinflusst. Diese technischen Teile sind deshalb in der Verfahrensbeschreibung zu erläutern:
• Hersteller
• Typ
• Betriebsbedingungen
o Spannung
o Klima
o Spannungspufferung
• Schnittstellen
• Austausch
• Serviceverfügbarkeit
• Generationen-Folge
• Lieferanten und Ersatz-Lieferanten
• Gewährleistung und Garantie
• Liefer- und Supportzusagen über den Garantiezeitraum hinaus
6.8.4. Beschreibung der Systemwartung
Der Anwender ist für die Funktionsfähigkeit seines Systems verantwortlich. Diese Verantwortung kann er nicht allein tragen, er braucht dazu Aussagen der Hersteller der Systemkomponenten hinsichtlich
• Support-Zeiträumen
• Reaktions-Fristen
• Kompatibilität der einzelnen Bestandteile
• Format-Standards bei Kompression
• Update-Garantien
Das System muss eine nahezu 100%ige Verfügbarkeit aufweisen. Es sollte daher so ausgelegt sein, dass ein Ausfall einzelner Teile die Systemstabilität nur insoweit beeinträchtigt, als dass mindestens ein Notbetrieb möglich sein muss. Dies und die Routinen zum Wiederanlauf muss in der Verfahrensbeschreibung enthalten sein. Bei besonders sensiblen Systemen kann vom Hersteller durchaus eine Garantie verlangt werden, auch sollten bei weniger sensiblen Systemen die Werte von Ausfallsicherheit und Lebensdauer zugesagt werden.
Das Datensicherungskonzept schützt Daten vor Verlust und Zerstörung. Die Anbieter von Sicherungs-Systemen sollen zur Verfahrensbeschreibung ihren Beitrag leisten und ausführen, welche Datensicherung sie mit ihren Systemen anbieten. Dazu gehören auch Testkonzepte und Wiederanlaufplanungen.
6.8.5. Beschreibung des Wiederanlauf-Konzepts
Diese Wiederanlauf-Konzepte müssen sicherstellen, dass bei nach Systemausfällen notwendigen Restarts keine Datenverluste und keine Inkonsistenzen entstehen. Darüberhinaus muss das Wiederanlauf-Konzept so gestaltet sein, dass nach Ausfall die Wiederanlaufzeit kurz ist. Auch die Darstellung der Konsistenz-Sicherung ist in der Verfahrensbeschreibung zu hinterlegen. Dazu gehört das Verfahren der Transaktions-Rücknahme, das Löschen teilvollständiger Dokumente und der Abgleich mit der Archivdatenbank.
6.8.6. Beschreibung der Betriebsbedingungen
Die Betriebsbedingungen des Archivs sind zu beschreiben. Dazu gehören insbesondere
• Stellenbeschreibungen für das Betriebspersonal
• Beschreibung der Kompetenzen der Mitarbeiter
o Aufgabentrennung
o Berechtigungskonzepte
• Benutzerhilfen
• Menusteuerung
• Beschreibung der Abnahme- und Freigabe-Prozesse
• Beschreibung der Löschfunktion
Zu den Betriebsbedingungen gehören auch die Wartungen. Deshalb sind Umfang und Rhythmus der Wartung aufzunehmen und auch die Verträge zur laufenden präventiven Wartung zu bezeichnen. Eigenwartung sollte in Handbüchern dokumentiert werden. Die Planung der Wartungsarbeiten sollte darauf ausgerichtet sein, den laufenden Betrieb eines Archivs möglichst nicht zu behindern.
Die technische Entwicklung schreitet schnell voran, und die Systemkomponenten müssen gelegentlich ausgetauscht werden, weil sich auch die Produktivsysteme erneut, modernisiert haben. In der Verfahrensbeschreibung wird daher das Thema Migration einen breiten Raum einnehmen. Vorzugsweise der Anbieter neuer Systeme liefert das Migrationskonzept mit und garantiert seine fehlerfreie Umsetzung. Bei einer Aufteilung zwischen verschiedenen Anbietern ist auf eine überschneidungsfreie, lückenlose Zuweisung der Verantwortung zu achten. In diese Garantien sind software-Komponenten einzubeziehen; und sollten die von anderen Herstellern kommen, dann sind auch diese Komponenten in die Garantie einzubeziehen.
6.8.7. Beschreibung der Prüfung der Ordnungsmässigkeit
Abschliessend sind in der Verfahrensbeschreibung Ausführungen zu Prüfungen der Ordnungsmässigkeit zu machen. Die formale Prüfung vergleicht die Verfahrensbeschreibung mit den System- und Anwendungsdokumentationen. Sie prüft, ob die Verfahren wahrheitsgemäß beschrieben werden, die Indexierung konsistent ist und die Wiederherstellung von Daten originalgetreu geschieht.
Die praktische Prüfung ist ein Funktionstest mit Testdaten. Erfassung, Indexierung, Suche und Finden werden „durchgespielt“. Die Abläufe und Ergebnisse müssen dem Tagesgeschäft gleichen. Sodann werden Manipulations- und Störungstests durchgeführt, um die Systemstabilität einschätzen zu können. Insbesondere die Abwehr unberechtigter Zugriffe, der Schutz der Datenkonsistenz, der Manipulationsschutz oder Eingriffe in die Indexdatenbank werden getestet. Danach sind Wiederanlaufroutinen zur Begutachtung dran. Für alle Tests gilt: Unter keinen Umständen darf ein Dokument verloren gehen, verändert werden, nicht mehr gefunden werden oder nicht in Übereinstimmung mit dem Original reproduziert werden.
Diese Tests führt ein sachkundiger neutraler Dritter durch. Im Prüfungszertifikat die die Prüfverfahren zu beschreiben, Testmaterial und Testfälle zu dokumentieren und die Ergebnisse niederzulegen.
6.1. Grundsatz
Eine revisionssichere Archivierung ohne Beschreibung des Archivs, seiner Arbeitsweise, seiner Aufbewahrungs-, Verwaltungs- und Entsorgungsregeln ist sicher nicht denkbar. Schon für die Papierablage gab es Verfahrensanweisungen, wie ein Archiv gestaltet wird, wie in ihm zu suchen, wie mit Entnahmen und Rückgaben umzugehen ist. Diese Verfahrensbeschreibung ist heute nur auf digitale Daten erweitert worden. Der traditionelle Dokumentenbegriff geht vom Papier aus, im Vordergrund steht das papiergebundene Dokument. Daher stand zunächst auch die bildhafte Reproduktion in der elektronischen Archivierung im Vordergrund. Dieser Dokumentenbegriff erfährt zur Zeit eine Wandlung. Der Gesetzgeber hat die elektronische Signatur eingeführt. Dies schafft die Möglichkeit der Abkehr von der bildhaften Wiederverfügbarkeit in Archiven. Auch Datenströme, die Dokumente darstellen, lassen sich so in Archive einbinden. Dies ergibt noch keine neuen Anforderungen an Verfahrensdokumentationen, denn die Qualität der Archivierung ist unverändert geblieben. Es gelten immer noch ZPO und BGB. Internet und Signaturgesetz schaffen die Möglichkeit des Datenaustauschs im Geschäftsleben. Die Grundlage für sichere elektronische Unterschrift und ebenso sichere Identifizierung des Unterzeichners sind gegeben; auch die Sicherung der Unverfälschtheit des „Dokuments“ ist da. Dass das Verfahren sich bislang noch nicht durchsetzte, liegt eher an seiner Komplexität, seinen Kosten und spricht nicht gegen die rechtlichen Möglichkeiten. Die Änderung des BGB führte zur Abkehr von der Schriftform und zur „Textform“. Auch die Änderung der AO muss in diesem Kontext gesehen werden. Die Betriebsprüfung gab es in der AO schon immer, nunmehr darf sie auch Werkzeuge nutzen, die einer modernen Unternehmensverwaltung entsprechend sind. Die §§ 146, 147 AO beschreiben ganz klar die Regeln, unter denen Betriebsprüfungen in einer zunehmend digitalen Welt ablaufen. Die Ausführungsbestimmungen dazu entwickeln sich weiter. Die Dokumentformate, die längerfristige Archive abgeben können müssen, sind
• Gescannte Papiere tiff (s/w) und jpg (Farbe)
• Digitales Fax tiff
• Farbbilder jpeg
• eMails ASCII-Basis, zB XML oder MIME
Signaturen nur im Originalformat
• Screen-dumps ASCII-basierter Druckstrom, XML
• Datenstrom d.o.
• Output-Dateien d.o.
• MultiMedia Objekte alle in Frage kommenden
• Sprachdateien d.o.
• Digitales Video d.o.
• Office-Dokumente steuerl. Relevanz: Originalformat
Wandlung in XML
Nicht steuerl. Relevanz:
pdf, tiff, jpg
6.2. Aussage der Verfahrensdokumentation
Die Verfahrensdokumentation zum Archiv muss Auskunft geben über
• Ordnungsmässigkeit
• Vollständigkeit
• Verfahrenssicherheit
• Schutz vor Änderung und Verfälschung
• Sicherung vor Verlust
• Berechtigungskonzepte, Zugriffskonzepte
• Aufbewahrungsfristen, Alterung, Lösch-Konzepte
• Nachvollziehbarkeit
• Prüfbarkeit
Schon an dieser Aufzählung wird sichtbar, dass es keine Neuerungen in den Grundanforderungen an Archive gibt. Bei Konstruktion, Aufbau und Betrieb eines digitalen Archivs gibt es verschiedene Beteiligte. Deren Verantwortlichkeit ist in einem Pflichtenheft zu regeln und auch dieses Pflichtenheft ist Bestandteil der Verfahrensbeschreibung.
• Der Anwender selbst ist für den ordnungsgemässen Betrieb unter Einhaltung der Herstellervorgaben verantwortlich.
• Der Lieferant des Systems verantwortet die Funktionsfähigkeit der einzelnen Bausteine wie Speichersysteme, Software, Scannersysteme, Drucker, Laufwerke etc.
• Der Konstrukteur verantwortet die Funktionsfähigkeit des Gesamtsystems, sofern es nach seinen Vorgaben aufgebaut wurde.
6.4. Beschreibung der Funktionsfähigkeit
Ein funktionierendes Archiv erfüllt nachstehende Massgaben:
Jedes Dokument wird unveränderbar archiviert. Die Sicherungsmedien erfüllen diese Bedingung auch über Generationenwechsel von software.
Dokumente gehen im Archiv nicht verloren. Das bedeutet nicht nur die Speicherung auf Speichermedien, es umfasst auch die Speichermedien selbst und ihre Haltbarkeit. Die Konsistenz der Verwaltungsdateien ist immer gesichert. Sicherungskopien, ggf. Doppelung oder Spiegelung sind Verfahren, die das Archiv beherrscht.
Jedes Dokument wird planvoll gesucht und plangemäss gefunden. Informationen werden schnell und ohne Medienbrüche zur Verfügung gestellt. Das bedeutet, dass der Anwender sich über Verschlagwortung und Indexierung Gedanken machen muss. Wenn Dokumente nicht wiedergefunden werden, sind zumeist inkonsistente oder unzureichende Indexierung die Gründe.
Es wird genau das Dokument gefunden, nach dem gesucht wird. Indexe sind und bleiben klar und trennscharf, sie verrutschen nicht. Dies setzt hohe Anforderungen an die Qualität der Eingabe.
Dokumente sind während der vorgesehenen Archivzeit vor Zerstörung absolut sicher. Eine der härtesten Anforderungen. Archive müssen Entsorgungskonzepte haben, sonst wuchern sie ins Unendliche und werden unbeherrschbar. Während der vorgesehenen Zeit aber muss das Dokument immer vorhanden sein. Das bedeutet, dass ein Archiv ein Sicherungskonzept einschliesslich desaster recovery und Wiederanlaufplanung braucht.
Ein Dokument muss formidentisch wieder verfügbar gemacht werden. In standardisierten Formaten ist das leicht einhaltbar, anders aber in Office-Umgebungen, wo verschiedenste Formate benutzt werden und diese in unterschiedlichen Dialekten vorkommen können und dynamische Verknüpfungen ein weiteres tun, um Formate zu individualisieren. Reine Archivsysteme lösen dies Problem mit Speicherplatz und Indexierung. Jedes Dokument, das in einer neuen Erscheinungsform auftritt, wird als neues Dokument archiviert. Dynamische Verfahren versionieren die Dokumente. Unterschiedliche Formate werden mit „Viewern“ bewältigt.
Jedes Dokument wird schnell gefunden. Die Zeit, ein full recovery durchlaufen zu lassen, gibt es nicht. Das ist der Vorteil der digitalen Welt.
Alle Manipulationen, die Organisation und/ oder Struktur des Archivs verändern, werden protokolliert; eine Wiederherstellung des Ausgangs-Zustands ist möglich. Diese Forderung bleibt auch für den Fall aufrechterhalten, dass in einer Datenbank Felder wegfallen oder hinzukommen oder zusammengeführt werden. Auch auf ältere Dokumente muss immer sicher zugegriffen werden können. Die tools und Verfahren hierzu sind in der Verfahrensbeschreibung zu dokumentieren.
Migrationen auf neue Plattformen, Medien, Software-Stände und auch das Hinzufügen neuer hardware sind ohne Verlust an Informationen möglich. Dies ist eine ungeheuer wichtige Anforderung. Ständig ändern sich IT-Systeme, sie „leben“. Archivinformationen aber müssen langzeitig verfügbar sein. Die Verantwortung dafür liegt allein beim Anwender. Der muss seine Strategie festlegen und sichern.
Das Archiv ist rechtssicher, gesetzliche Bestimmungen werden eingehalten. Hierzu gehört, dass personenbezogene Daten geheim bleiben müssen und dass nur logisch gelöscht wird. Die betrieblichen Regeln zur Archivierung sind über die gesamte Archivierungszeit zu gewährleisten, genauso wie die handels-, steuer- und datenschutzrechtlichen Bestimmungen. Darauf muss die Architektur des Systems schon in seiner Entwicklung ausgelegt werden. Der Betrieb des Archivs liegt allein in der Veranwortung des Betreibers. Die Architektur des Systems und die Regeln, unter denen es arbeitet, wird er mit den Anbietern der einzelnen Komponenten verhandeln und danach Kauf- und Leistungsverträge abschliessen. All dies ist idealerweise Anlage zur Verfahrensbeschreibung.
Neben funktionalen Anforderungen enthält die Verfahrensbeschreibung auch die technische Systembeschreibung. Die Prüfer, seien sie wirtschaftsprüfend tätig oder steuerliche Betriebsprüfer, sollen die Einhaltung der rechtlichen Vorschriften zur Archivierung aller Dokumente auf den Speichermedien prüfen können. Sie sollen auch die Funktionsfähigkeit dieser Speicherung nach Systemänderungen beurteilen können. Zur Darstellung einer geordneten Migration brauchen sie dazu Ablaufbeschreibungen, dokumentierte Schnittstellen und definierte Aufzeichnungsformate. Deshalb gibt die Verfahrensbeschreibung vorzugsweise im Anhang ein Verzeichnis der Versionierung, verweist auf Verträge zB zur Wartung, gibt Auskunft über die Ablage der Hersteller-Handbücher, über Testunterlagen, über Sicherheitshandbücher und Arbeitsanweisungen. So gesehen ist eine Verfahrensbeschreibung auch Qualitätssicherung.
Im allgemeinen Teil wird das Unternehmen eine kurze Beschreibung seiner selbst liefern, weiter die von diesem Dokument betroffenen Unternehmensbereiche bezeichnen und über deren Aufgabenstellung und die Einbindung in die Unternehmensorganisation darstellen.
6.5. Beschreibung der Schnittstellen-Funktionen
Zum Verständnis des Zusammenwirkens der rechtlichen Bestimmungen sollten diese angeführt werden. Da der Datensicherheit in Produktions- und Archivsystemen eine besonders große Bedeutung zukommt, sollte in der Verfahrensbeschreibung klar dargestellt werden, wie die Datensicherung organisiert ist. Dabei kommt es an auf:
• Langfristige Verfügbarkeit
• Migrationskonzepte
• Vollständigkeit der Information
• Unveränderbarkeit der Information
• Bildliche Übereinstimmung da, wo es der Gesetzgeber oder die Betriebsabläufe im Unternehmen fordern
• Auffinden der Information in angemessener Zeit
• Sperrkonzepte
• Löschkonzepte
• Zugriffsberechtigungen
Da in jedem Unternehmen umfangreiche personenbezogene Daten erhoben und aufbewahrt werden und diese einem besonderen gesetzlichen Schutz unterliegen, sind geeignete Schutzmassnahmen zu treffen und zu beschreiben. Es gilt der Grundsatz, dass die Mitarbeiter die zu ihrer jeweiligen Aufgabe notwendigen Informationen zur Verfügung gestellt erhalten. Darüber hinaus sollten sie keine personenbezogenen Daten Dritter zur Kenntnis nehmen können. Auch Unbefugte wie zB Wartungspersonal darf keinen Zugriff auf solche Daten haben. Das gilt nicht nur bei der Arbeit mit diesen Daten, sondern auch bei Wartungsarbeiten, bei Aufbewahrung, Transport und Vernichtung. Die hardware eines Unternehmens sollte dazu physikalisch gesichert werden, die Benutzerverwaltung sowohl zentral als auch da, wo erforderlich, anwendungsspezifisch organisiert werden. Vertretungsregeln sind dabei ebenso zu beachten wie Bewegungen im Personalbereich, also das Ersetzen von Personen und Rollen.
6.6. Beschreibung des Datenschutzes
Ein Archiv darf nur Daten nur logisch löschen. Reicht diese Art der Löschung nicht, muss der Umweg durch Migration über umkopieren der nicht zu löschenden Teile gegangen werden.
Der Datenschutz erfordert in den betrieblichen Richtlinien hierzu Aussagen zu
• Benutzergruppen und/ oder Funktionsklassen
o Ein- und Ausstellen von Benutzerprofilen
o Protokollierung von Änderungen durch die Benutzerverwaltung
o Vergabe von Benutzerrechten
Einstellen von Informationen
Recherchieren, Anzeigen, Drucken, Kopieren
Ändern von Informationen
o Passwort-Konzept
• Steuerung des Zugriffs auf Systemteile
o User-ID
• Bildschirmschoner mit Passwortschutz
• LogIn-Prozeduren
o Arbeitsbeginn
o Kurzfristige Unterbrechung
o Remote access
o Zulässige Anzahl von Fehlversuchen beim LogIn
• Keine unverschlüsselten Daten auf dem Arbeitsplatzrechner, die über das Betriebssystem aufrufbar sind
• Absicherung der output-Schnittstellen am Arbeitsplatz
o Schloss am Disketten-Laufwerk, soweit noch solche Laufwerke vorhanden
o Software-mässige Sicherung von CD- und DVD-Laufwerken, serieller, paralleler und USB-Schnittstelle, Sicherung des PCMCIA-Schachts
• Sicherungskonzepte für notebooks
o Verschlüsselung
o Transportabler Diebstahlschutz
• Viren-Vorsorge
• Physikalischer Schutz der Arbeitsplätze und der Arbeitsräume
o Schliessanlage
o Klimatisierung
o Brandschutz
o Schutz vor Überspannung
o Pufferung der Energieversorgung
o Zugangsbarriere zu den Servern, Archivanlagen und zu offline-Medien
• Verschlüsselung bei Datentransfer über Telekommunikations-Anlagen
Der Umfang der Sicherungsmassnahmen ist individuell unterschiedlich und an die betrieblichen Erfordernisse anzupassen.
6.7. Beschreibung der Zugriffsbeschränkungen für die Prüfer
Da die steuerlichen Betriebsprüfer verschiedene Zugriffsrechte auf die Daten haben, sind für diese Zugriffe Beschreibungen zu erstellen. Aussagen zu nachstehenden Feldern sollten enthalten sein:
• Beschreibung der Zugriffsmöglichkeiten
• Definition der prüfungsrelevanten Datenbestände
• Beschreibung der prüfungsrelevanten Datenbestände
• Berechtigungskonzept
o Wie darf der Prüfer auf steuerlich relevante Informationen zugreifen?
o Wie wird der Datenschutz dabei gewährleistet?
• Schutzmechanismen
o Löschungssperre
o Veränderungs-Protokolle
6.8. Beschreibung des Archiv-Betriebs
Einführung und Betrieb eines Archivs müssen organisiert werden. Dabei ist zu beachten:
• Im System sind definierte Rollen mit zugewiesenen Kompetenzen zu schaffen
• Verständliche Arbeitsanweisungen sichern den Arbeitsablauf
• Jede Software braucht einen Nachweis der Funktionsfähigkeit und der Ordnungsmässigkeit der Verarbeitung. Dies Dokument gehört zur Verfahrensbeschreibung
• Unbefugte Eingriffe in den Arbeitsablauf sind nicht möglich.
• Die Eingriffskompetenz einzelner Personen richtet sich ausschliesslich nach ihrer Funktion, nicht nach ihrer hierarchischen Stellung.
• Die Betroffenen akzeptieren diese Vorschrift als ihren Beitrag zur ordnungsgemässen Funktion des Systems
• Nur berechtigte Benutzer können Auswertungen erstellen
• Das technische Umfeld wird in der Verfahrensbeschreibung abgebildet.
Die einzelnen Vorgänge im System –im Sinne von Prozessschritten- ist hinreichend beschrieben. Informationen im Archiv haben zwei Komponenten, einerseits den Inhalt und andererseits den Index. Der Index soll so gestaltet sein, dass die Information in angemessener Zeit aufgefunden wird. In der Verfahrensbeschreibung müssen neben der Beschreibung der Übernahme von Informationen die genutzten Formate offen zu legen. Bearbeitungs-Schritte sollen durch eine Vorgangsbeschreibung nachvollziehbar sein.
6.8.1. Beschreibung des Daten-Inputs
Beispielsweise sollte der Prozess „Dokumenten-Scan“ genau beschrieben sein. Dazu ist der Vorgang selbst genau zu beschreiben und die Massnahmen zu schildern, die die Unveränderbarkeit des gespeicherten Dokuments sichern. Zudem ist zu beschreiben, wie der Index gebildet wird
6.8.2. Beschreibung von Ein- und Auslagerung
Die Ein- und Auslagerung von Daten, der Austausch zwischen Produktivsystem und Archivsystem ist transparent darzustellen. Es kommt darauf an, den vollständigen, unveränderbaren und fehlerfreien Datentransport zu schildern. Das sichere Archiv ist ein Kernstück der Unternehmens-IT. Deshalb sollte neben der Darstellung des Datenflusses beschrieben sein
• Massnahmen der Vorbeugung des Datenverlustes bei Systemstörungen und –ausfällen
• Verfahren bei Spiegelung oder mehrfacher Sicherung
• Garantie der schnellen Suche des Dokuments
• Falls redundante Zwischenspeicherung auf Arbeitsplätzen erlaubt ist: Verfahren der Datenentnahme und –wiedereingliederung
• Protokollierung aller Vorgänge
• Wiederanlaufplanung/ desaster recovery
• Auslastungskontrolle
Die Indexdatenbank des Archivs ist einer seiner inneren Bestandteile. Diese integrierte Referenzdatenbank enthält die Indexmerkmale der archivierten Dokumente sowie alle nötigen Informatonen zu ihrer Verwaltung. Diese Indexdatenbank muss unzerstörbar sein oder sie muss in jedem Fall wieder hergestellt werden können. Deshalb ist in der Verfahrensbeschreibung zu nachstehenden Punkten Stellung zu nehmen:
• Wiederanlaufplanung/ desaster recovery
• Reorganisation der Daten
• Permanenter Konsistenzabgleich
• Verfahren des Im- und Exports
• Teilung und Auslagern von Datenbeständen
• Rücksichern von Datenbeständen/ Einspielen von Datenbeständen
• Statistiken
• Migration der Datenbank
Alle Änderungen und Ergänzungen der Datenbank sind zu protokollieren.
Es versteht sich von selbst, dass die hard- und software-Komponenten einschliesslich der Systemarchitektur hinreichend zu beschreiben sind.
6.8.3. Beschreibung der Speichermedien
Für die Archivierung der Dokumente sind heute optische Speicher Standard. Das Überschreiben der Daten muss durch die Wahl eines entsprechenden Aufzeichnungsverfahrens ausgeschlossen werden. In der Verfahrensbeschreibung sollte Auskunft gegeben werden über
• Art der Speichermedien
• Aufzeichnungsverfahren
o Formatierung
o Sicherung der Information
o Sicherung gegen Überschreiben
• Verfügbarkeit
• Kompatibilität
• Datenorganisation
o Gruppierung
o Clustering
• Gewährleistungs- und Haftungsvereinbarung
• Wiederherstellung
Die Funktion des Archivs wird durch Laufwerke beeinflusst. Diese technischen Teile sind deshalb in der Verfahrensbeschreibung zu erläutern:
• Hersteller
• Typ
• Betriebsbedingungen
o Spannung
o Klima
o Spannungspufferung
• Schnittstellen
• Austausch
• Serviceverfügbarkeit
• Generationen-Folge
• Lieferanten und Ersatz-Lieferanten
• Gewährleistung und Garantie
• Liefer- und Supportzusagen über den Garantiezeitraum hinaus
6.8.4. Beschreibung der Systemwartung
Der Anwender ist für die Funktionsfähigkeit seines Systems verantwortlich. Diese Verantwortung kann er nicht allein tragen, er braucht dazu Aussagen der Hersteller der Systemkomponenten hinsichtlich
• Support-Zeiträumen
• Reaktions-Fristen
• Kompatibilität der einzelnen Bestandteile
• Format-Standards bei Kompression
• Update-Garantien
Das System muss eine nahezu 100%ige Verfügbarkeit aufweisen. Es sollte daher so ausgelegt sein, dass ein Ausfall einzelner Teile die Systemstabilität nur insoweit beeinträchtigt, als dass mindestens ein Notbetrieb möglich sein muss. Dies und die Routinen zum Wiederanlauf muss in der Verfahrensbeschreibung enthalten sein. Bei besonders sensiblen Systemen kann vom Hersteller durchaus eine Garantie verlangt werden, auch sollten bei weniger sensiblen Systemen die Werte von Ausfallsicherheit und Lebensdauer zugesagt werden.
Das Datensicherungskonzept schützt Daten vor Verlust und Zerstörung. Die Anbieter von Sicherungs-Systemen sollen zur Verfahrensbeschreibung ihren Beitrag leisten und ausführen, welche Datensicherung sie mit ihren Systemen anbieten. Dazu gehören auch Testkonzepte und Wiederanlaufplanungen.
6.8.5. Beschreibung des Wiederanlauf-Konzepts
Diese Wiederanlauf-Konzepte müssen sicherstellen, dass bei nach Systemausfällen notwendigen Restarts keine Datenverluste und keine Inkonsistenzen entstehen. Darüberhinaus muss das Wiederanlauf-Konzept so gestaltet sein, dass nach Ausfall die Wiederanlaufzeit kurz ist. Auch die Darstellung der Konsistenz-Sicherung ist in der Verfahrensbeschreibung zu hinterlegen. Dazu gehört das Verfahren der Transaktions-Rücknahme, das Löschen teilvollständiger Dokumente und der Abgleich mit der Archivdatenbank.
6.8.6. Beschreibung der Betriebsbedingungen
Die Betriebsbedingungen des Archivs sind zu beschreiben. Dazu gehören insbesondere
• Stellenbeschreibungen für das Betriebspersonal
• Beschreibung der Kompetenzen der Mitarbeiter
o Aufgabentrennung
o Berechtigungskonzepte
• Benutzerhilfen
• Menusteuerung
• Beschreibung der Abnahme- und Freigabe-Prozesse
• Beschreibung der Löschfunktion
Zu den Betriebsbedingungen gehören auch die Wartungen. Deshalb sind Umfang und Rhythmus der Wartung aufzunehmen und auch die Verträge zur laufenden präventiven Wartung zu bezeichnen. Eigenwartung sollte in Handbüchern dokumentiert werden. Die Planung der Wartungsarbeiten sollte darauf ausgerichtet sein, den laufenden Betrieb eines Archivs möglichst nicht zu behindern.
Die technische Entwicklung schreitet schnell voran, und die Systemkomponenten müssen gelegentlich ausgetauscht werden, weil sich auch die Produktivsysteme erneut, modernisiert haben. In der Verfahrensbeschreibung wird daher das Thema Migration einen breiten Raum einnehmen. Vorzugsweise der Anbieter neuer Systeme liefert das Migrationskonzept mit und garantiert seine fehlerfreie Umsetzung. Bei einer Aufteilung zwischen verschiedenen Anbietern ist auf eine überschneidungsfreie, lückenlose Zuweisung der Verantwortung zu achten. In diese Garantien sind software-Komponenten einzubeziehen; und sollten die von anderen Herstellern kommen, dann sind auch diese Komponenten in die Garantie einzubeziehen.
6.8.7. Beschreibung der Prüfung der Ordnungsmässigkeit
Abschliessend sind in der Verfahrensbeschreibung Ausführungen zu Prüfungen der Ordnungsmässigkeit zu machen. Die formale Prüfung vergleicht die Verfahrensbeschreibung mit den System- und Anwendungsdokumentationen. Sie prüft, ob die Verfahren wahrheitsgemäß beschrieben werden, die Indexierung konsistent ist und die Wiederherstellung von Daten originalgetreu geschieht.
Die praktische Prüfung ist ein Funktionstest mit Testdaten. Erfassung, Indexierung, Suche und Finden werden „durchgespielt“. Die Abläufe und Ergebnisse müssen dem Tagesgeschäft gleichen. Sodann werden Manipulations- und Störungstests durchgeführt, um die Systemstabilität einschätzen zu können. Insbesondere die Abwehr unberechtigter Zugriffe, der Schutz der Datenkonsistenz, der Manipulationsschutz oder Eingriffe in die Indexdatenbank werden getestet. Danach sind Wiederanlaufroutinen zur Begutachtung dran. Für alle Tests gilt: Unter keinen Umständen darf ein Dokument verloren gehen, verändert werden, nicht mehr gefunden werden oder nicht in Übereinstimmung mit dem Original reproduziert werden.
Diese Tests führt ein sachkundiger neutraler Dritter durch. Im Prüfungszertifikat die die Prüfverfahren zu beschreiben, Testmaterial und Testfälle zu dokumentieren und die Ergebnisse niederzulegen.
Der Fiskus hat stark aufgerüstet
5. Moderne Archivierung fordert modernisierte Prüfungstechniken
5.1. Neue Möglichkeiten der steuerlichen Betriebsprüfung
Der Fiskus hat technisch stark aufgerüstet. In Zeiten, in denen Unternehmen virtueller werden, hiesse ein Verbleiben bei den bisherigen Prüfungsverfahren heute eine Einschränkung der Prüfungsmöglichkeiten, morgen aber eine Unmöglichkeit der Prüfungsdurchführung, denn immer mehr steuerlich relevante Daten werden in IT-Systemen erzeugt. Das gilt auch für kleine Unternehmen, deren Affinität zu Internet & Co. ohnehin höher ist als bei Mittelständlern. Mit zunehmender Erzeugung digitaler Daten geht der Finanzverwaltung die Transparenz des Prüfungsstoffs verloren. Deshalb müssen neue Prüf-Verfahren her, die an den IT-Systemen der Steuerpflichtigen andocken können.
Warum ist dies eine wichtige Veränderung? Die Digitalisierung von Unternehmensdaten besitzt ein höheres Missbrauchs-Potential als das papiergebundene Archiv. So steigt vor allem der Missbrauch von Vorsteuer-Erstattungsansprüchen, beispielsweise bei Mehrfachanmeldungen und –auszahlungen in unterschiedlichen Bundesländern. Mit verschiedenen Werkzeugen versucht die Finanzverwaltung derzeit, die Prüfungs-Prozesse zu modernisieren und so Transparenz über den Prüfungsstoff zu behalten.
Beispielsweise „Luna“: Länderumfassende Namensauskunft. Mit diesem Check lässt sich erkennen, ob ein Steuerpflichtiger in mehreren Bundesländern eine Steuernummer hat und ggf. welche steuerlichen Begründungen das hat. So lassen sich Mehrfachauszahlungen von Vorsteuer-Beträgen schnell aufdecken.
„Taube“ steht für technische Anwenderunterstützung und Bestandsführung, „Delfin“ für Datenübermittlung mit „Elster“ an das Finanzamt. Dies sind ebenso Programme für den Innendienst wie „Zauber“, die Zentrale Datenbank zur Speicherung und Auswertung von Umsatzsteuer-Betrugsfällen und Entwicklung von Risikoprofilen.
Für den Prüfer ist „IDEA“ das wichtigste Werkzeug in der Prüfung. Auffällige Geschäftspraktiken und Buchungsfehler lassen sich identifizieren. In verschiedenen Analyseverfahren nutzt IDEA mathematisch-statistische Methoden und Erkenntnisse der Zahlentheorie, als bekannteste Ausprägung gelten „benford law“ und Chi²-Test. Benford Law beschreibt eine fundamentale Gesetzmäßigkeit bei der Verteilung von Zahlen in Listen in Abhängigkeit von ihrer ersten Stelle. Benford Law gilt für Einwohnerzahlen von Städten ebenso wie für Geldbeträge in Buchhaltungen. Die Zahlen 1 bis 9 sind nicht gleichverteilt. Die „1“ kommt mit einer Wahrscheinlichkeit von 30,1% vor, die „9“ mit einer Wahrscheinlichkeit von 4,6%. Abweichungen beweisen keine Unregelmässigkeiten, sondern weisen auf Möglichkeiten der Manipulation hin.
Der Chi²-Test ist da schon wesentlich schärfer, denn er wurde von Finanzgerichten als Beweismittel zugelassen (FG Münster 6 V 4562/03 E, U). Der Chi²-Test ist Zahlentheorie, gehört in die Gruppe der Signifikanztests und überprüft statistische Hypothesen über unbekannte Häufigkeitsverteilungen. Es wird nicht die Erstziffern-Verteilung, sondern die Verteilung der letzten und vorletzten Ziffern vor und der ersten und zweiten Ziffer nach dem Komma geprüft. Da jeder Mensch „Lieblingszahlen“ hat, die er auch bei der Manipulation von Unterlagen unbewusst nutzt, lässt sich mit dem Chi²-Test eine Verfälschung oder eine Kreation von Zahlen mit hoher Wahrscheinlichkeit nachweisen. In einer endlichen Zahlenmenge wird unterstellt, dass die Endziffern 0 bis 9 gleichverteilt auftreten. Kleinere Abweichungen von der Null-Hypothese sind unerheblich, grössere Abweichungen erläuterungsbedürftig. Der Chic-Test-Wert ergibt sich aus der Differenz der erwarteten und der tatsächlichen Häufigkeit der einzelnen Zahlen. Die Abweichungen werden quadriert und die Summe der Quadrate durch die erwartete Verteilung je Ziffer dividiert. Liegt das Ergebnis zwischen 20 und 30, ist mit hoher Wahrscheinlichkeit keine zufällige Abweichung anzunehmen. Wird der Chi²-Test-Wert mit größer als 30 ausgewiesen, liegt mit hoher Wahrscheinlichkeit eine systematische Manipulation der Zahlen vor.
Eine sehr scharfe Analyse-Methode bringen die Zeitreihentests zusammen mit der Möglichkeit der Verprobung verschiedenster Datenreihen in kürzester Zeit wie zB der Absatz von Eiskugeln in Relation zu den Außentemperaturen im Prüfungszeitraum. Abweichungen von errechneten Normalwerten oder den Werten der Richtsatzsammlungen sind erläuterungsbedürftig. Ebenso lassen sich alle besonderen kalendarischen Daten wie zB Geburtstage mit den Rechnungsdaten für Bewirtungen abgleichen. Auch die unberechtigte Zahlung von Sonn-, Feiertags- und Nachtzuschlägen ermittelt IDEA anhand des ausgelesenen Produktionskalenders zB einer Maschine in einer Fabrikanlage. Auch Fahrtenbücher sind unter Betriebsprüfern ein beliebter Untersuchungsgegenstand für den Chi²-Test.
Ebenso vermag IDEA in eMail-Speichern nach vorgegebenen Schlüsselwörtern wie „Provision“ oder „Jersey“ zu suchen. Alle Treffer werden in einer Liste aufgestellt.
Zudem hat in den Finanzämtern auch das Internet Einzug gehalten. Entfernungen werden mit Routenplanern nachgeprüft, Bahnverbindungen und Postleitzahlen oder Telefonauskunft sind schnell überprüft.
Ein sehr wirksames Mittel beim Überprüfen der Angaben ist die Bankleitzahlenauskunft. Ein Unternehmer hatte sich selbst eine „fingierte Rechnung“ geschrieben. Die Rechnung enthielt eine falsche Konto-Nummer und eine falsche Bankleitzahl. Er zahlte diese Rechnung aus seinem Privatkonto, denn er wusste, dass die Bank ihm den Irrläufer nach einigen Tagen gutschreiben würde. Die „Auslage“ überwies er dann vom Betriebs- auf sein Privatkonto. Den privaten Kontoauszug mit der Belastung bewahrte er zum Nachweis der Zahlung auf, die anderen vernichtete er und argumentierte richtigerweise damit, dass seine und seiner Ehefrau gemeinsamen Kontoauszüge nicht einer Aufbewahrungspflicht unterliegen. In der Betriebsprüfung legte der die Kopie des privaten Kontoauszugs als Nachweis der Zahlung und des Anspruchs auf Erstattung aus dem Betriebsvermögen vor. Routinemässig wurden Bankleitzahl und dazugehöriges Format der Kontonummer geprüft und wurden auffällig.
5.2. Vollkontrolle und unterschiedliche Organisation der Datenzugriffe
Die Qualität der Betriebsprüfungen hat sich durch den Einsatz mathematisch-statistischer Verfahren grundlegend verändert. Die Mehrergebnisse, das wird jeder Praktiker bestätigen, erreichen bisher nicht gekannte Dimensionen. Ein Teil dieser Prüfungen führt zu Streit vor Finanzgerichten und/ oder Steuerstrafverfahren.
Die neuen Prüfverfahren führen zu einer systematischen Vollkontrolle des Betriebs. Ergaben sich in früheren Jahren moderate Sicherheitszuschläge, so wird man nun in praxi Nachkalkulationen erfahren, die mit statistischen Operationen begleitet werden.
Die AO gibt der Finanzverwaltung ab dem 01. Januar 2002 weitgehende Zugriffsrechte auf die IT-Systeme der Unternehmen. In der Praxis könnte es aussehen wie folgt: Der Betriebsprüfer bekommt seinen Prüfungsauftrag. Er beschließt, bestimmte Prüfungsfelder mit Hilfe von IDEA zu analysieren. Entsprechend wird die Prüfungsanordnung gefasst und bekannt gegeben.
Der Steuergesetzgeber hat sich mit der Neufassung der §§ 146, 147 und 200 AO vom Grundmodell der papiergestützten Buchführung und der danach papiergebundenen steuerrelevanten „Aufzeichnungen“ verabschiedet. Das neue Grundmodell ist nun die konzeptionell papierarme Buchführung und die digitale Erzeugung von Geschäftsunterlagen und Aufzeichnungen. Die Möglichkeit des Ausdrucks und der papiergebundenen Archivierung originär digitaler Daten gibt es nicht mehr.
Eine Verpflichtung zur ausschliesslichen Erstellung von steuerlich aufbewahrungspflichtigen Unterlagen mithilfe eines IT-Systems wollte der Gesetzgeber nicht einführen. Er wollte nur dem Zug der Zeit folgen und die Prüfungsprozesse an die Lebenswirklichkeit in den Unternehmen anpassen. Die Neuregelung betrifft nur sog. „originär digitale Unterlagen“, also solche, die im System erstellt oder durch Weiterverarbeitung erzeugt wurden. Nun ist die Finanzverwaltung in der Lage, Ihr Recht auf Einsichtnahme in steuerrelevante Unterlagen durch Zugriff auf das IT-System des Steuerpflichten oder auf den Inhalt der Archive des Steuerpflichtigen wahrnehmen zu können.
Als Faustregel gilt: Alle Daten des Rechnungswesens, die irgendwann einmal bei Steuerpflichtigen auf einem maschinell verwertbaren Datenträger gespeichert waren, sind auch in dieser Form vorzuhalten. Nur so können sie durch die Finanzverwaltung maschinell ausgewertet werden. Papiergebundene Daten, Bildplatten oder Mikrofilm lassen sich nicht maschinell auswerten.
Die Finanzverwaltung hat 3 Zugriffsarten:
• Unmittelbarer Zugriff; der Prüfer nutzt die unternehmenseigenen Systeme, greift damit auf die gespeicherten Daten zu und wertet selbst aus
• Mittelbarer Zugriff; der Prüfer gibt seine Wünsche an, das Unternehmen greift mit eigenem kompetenten Personal auf das Archiv zu, wertet aus und reicht die Auswertungen an den Prüfer weiter
• Datenträger-Überlassung: Der Prüfer enthält Archive für Prüfungsfeld und –zeitraum auf einem Datenträger so formatiert zur Verfügung, dass ihm mit seinen eigenen Systemen Zugriff und Auswertung möglich sind.
Die GdPDU gelten nur für Betriebsprüfungen, Lohnsteuer-Prüfungen und Umsatzsteuersonderprüfungen. Im Rahmen der Umsatzsteuernachschau ist ein digitaler Datenzugriff nicht vorgesehen.
5.3. Ziel: rationelle Prüfung
Das Ziel, das der Steuer-Gesetzgeber mit den GdPDU verfolgt, heisst: rationelle Betriebsprüfung. Eine Steigerung der Effizienz ist dringend geboten. Die Finanzverwaltung muss auch EDV-Buchführungen prüfen können. Diese verbreiten sich in den Unternehmen und werden in den nächsten Jahren Standard sein, zumindest was Neben-Bücher und feeder systems mit steuerlicher Relevanz angeht. Der Steuer-Gesetzgeber hat mit diesen Regeln den Prüfungsumfang unverändert gelassen. Die neuen Regeln ergeben keine erweiterten Prüfungen. Nach wie vor sind nur die steuerlichen Verhältnisse des geprüften Steuerpflichtigen Untersuchungsgegenstand; dies bedeutet zugleich, dass sich die Prüfung nach wie vor auf die Unterlagen erstreckt, die der Aufbewahrungspflicht des § 147 AO unterliegen. Dies bedeutet, dass die Prüfung auf folgende Unterlagen zugreifen kann:
• Finanzbuchhaltung
• Anlagenbuchhaltung
• Lohnbuchhaltung
• Andere Daten, soweit sie steuerlich relevant sind und sich in anderen IT-Systemen des Steuerpflichtigen befinden
Nach wie vor unverändert ist auch der Mindestinhalt der Buchführung
Finanzbuchhaltung
• Benennung der Buchführungspflichtigen
• Sachkontenstamm
• Journal
• Sachkonten
• Debitoren
• Kreditoren
• Steuerschlüssel
• Währung
Anlagenbuchhaltung
• Anlagenstammsätze
• Bestandslisten
• Stammdaten Abschreibungen
• Bewegungsdaten (Abschreibungen, Zuschreibungen)
• Anlagenbewegungen
o Zugänge
o Abgänge
o Umbuchungen
Lohn- und Gehaltsbuchhaltung
• Personalstammdaten
o Unterjährig historisiert
• Stammdaten Arbeitgeberleistungen
o Zuschüsse
o Versicherungen
o Darlehn
• Bewegungsdaten Löhne und Gehälter
o Entgeltnachweise
o Be- und Abzüge
o Lohnkonten
• Lohnjournal
• Stamm- und Bewegungsdaten Reisekosten
Andere steuerlich relevante Bereiche
o Kosten- und Leistungsrechnung
o Berechnung von Gemeinkostenzuschlägen
o Ermittlung von Verrechnungspreisen
o Kalkulationsnachweis zwischen Unternehmen im Konzern
o Warenwirtschafts-/ Materialwirtschafts-Systeme
o Vorratsbestand und Bewertung
Kalkulationsnachweis zwischen Unternehmen im Konzern
o Dokumenten-Management-Systeme
o Andere Archivierungssysteme
5.4. Definition „steuerlich relevante Daten“
Ein Definitionsproblem ergibt sich aus dem gesetzten, aber noch nicht übersetzten Begriff „steuerlich relevante Daten“. Was gemeint ist, ist klar; was der Begriff im Einzelfall bedeutet, wann Daten steuerlich relevant sind und vor allem, wann nicht, ist noch nicht ausgestritten. Bei einer falschen Auslegung durch den Steuerpflichtigen (oder seinen Steuerberater) und bei automatischer Steuerung der Selektion und Einsteuerung in diversifizierte Archive unterbleibt möglicherweise eine Archivierung von originär erzeugten digitalen Geschäftsunterlagen mit steuerlicher Relevanz in maschinell auswertbarer Form. Die Komplikation liegt in den 4 einzuhaltenden Bedingungen
o Originär erzeugt
o Digitale Geschäftsunterlagen
o Steuerliche Relevanz
o Maschinell auswertbar formatiert.
Es ist schlicht nicht möglich, diese im Nachhinein zu erfüllen. Eine Fehlbeurteilung der Bedingung „steuerliche Relevanz“ führt also zwingend zu einem Verstoss gegen gesetzliche Aufbewahrungsvorschriften.
5.5.1. Umfang des Archivs für steuerliche Prüfungszwecke
Der Umfang des digitalen Archivs –und damit auch die Gestaltung der Zugriffsmöglichkeiten zB für Zwecke steuerlicher Betriebsprüfungen- richtet sich aus am vorhandenen Datenbestand und seiner Partitionierung. Unstreitig unterliegen die archivierten Mindestinhalte der Buchhaltung dem Zugriff. Daneben sind aber im Einzelfall auch originär erzeugte digitale Geschäftsunterlagen mit steuerlicher Relevanz in Subsystemen enthalten, die mit der Buchführung keine direkte Verbindung haben, zB in Tabellenkalkulations-Blättern, eMail-Archiven etc. Auch diese Archive müssen darauf untersucht werden, ob sie dem Zugriff der steuerlichen Betriebsprüfung unterliegen, ggf. wie sie zu separieren sind. Den GOBS folgend, sind sie dann dauerhaft und sicher zu archivieren und für Datenzugriffe der Finanzverwaltung in der steuerlichen Aussenprüfung vorzuhalten. Befinden sich auch in anderen Bereichen der IT des Steuerpflichtigen solche Daten, zB in Kalendern, im customer relationship management oder im risk management system, gilt ein Gleiches. Da führt schon die Bewertungstabelle der Debitoren oder die Rabatt-Kalkulation der Kreditoren zu steuerlicher Relevanz und in vernetzten Systemen kann das damit eine komplexe Angelegenheit werden. Das Problem ist die Sensibilität der Steuerpflichtigen für die Verantwortung, die Ihnen der Steuergesetzgeber hier zuweist. Denn die Qualifizierung der Steuerrelevanz ist allein Sache des Steuerpflichtigen nach Massgabe seiner steuerlichen Aufzeichnungs- und Aufbewahrungspflichten. Die erforderliche Qualifizierung von Daten als „steuerlich relevant“ kann der Steuerpflichtige durch Berater vornehmen lassen. § 33 StBerG weist diese Aufgabe den Vorbehaltsaufgaben der steuerberatenden Berufe zu.
5.5.2. originäre digitale Daten
Die Finanzverwaltung geht von folgender Vorgabe aus: Die Daten können je nach Einzelfall bei einem Steuerpflichtigen von steuerlicher Bedeutung sein, bei einem anderen jedoch nicht. Steuerlich sind Daten immer dann relevant, wenn sie für die Besteuerung dieses Steuerpflichtigen von Bedeutung sein können. Die Finanzbehörde kann bei unzutreffender Qualifizierung verlangen, dass der Steuerpflichtige den Datenzugriff auf diese steuerlich relevanten Daten nachträglich ermöglicht. Mit dieser Aussage ist zu vermuten, dass die Qualifizierung „steuerlich relevant“ weit ausgelegt werden muss. Neben der sicheren Identifikation als „steuerlich relevant“ könnte eine weitere Qualifikation „möglicherweise steuerlich relevant“ treten; das Nachforderungsrecht der Finanzverwaltung könnte bei Nichterfüllen –auch bei Unmöglichkeit- zur Schätzung führen. Bis die Rechtsprechung die Sache zu einer gewissen Reife bringen wird, wird noch einige Zeit vergehen, in der die Finanzverwaltung Einzelfallentscheidungen treffen muss. Streitfälle sind vor allem im Rahmen von Lohnsteuer-Prüfungen denkbar, in denen auf Personalwirtschaftssysteme zugegriffen werden soll, die neben unstreitig steuerrelevanten Daten auch solche enthalten, die dem Datenschutzgesetz unterliegen. Möglicherweise werden Finanzverwaltung und betroffene Steuerpflichtige auch Anforderungen des Zugriffs auf Produktionssysteme und vorgelagerte Systeme zwecks Abgleich mit der Buchführung ausstreiten müssen. Insbesondere in Unternehmen mit hohem Anteil an Bargeldverkehr wie zB Einzelhandel oder Gastronomie werden solche Streitfälle vorkommen, denn in den dort vorzufindenden digitalen Kassen- und auch Warenwirtschaftssystemen werden originär digitale Daten erzeugt. Hierbei wird es sich in der überwiegenden Anzahl aller Datensätze um solche mit steuerlicher Relevanz handeln, die entsprechend zu archivieren sind.
In Einzelfällen wird es immer Auseinandersetzungen geben. Hier muss Rechtsfortbildung erfolgen. Für den Bereich von Ein- und Ausgangsrechnungen sieht das Schreiben des BMF beispielsweise für die Aufbewahrungspflicht nach den Regeln der GdPDU vor, dass die Daten originär erstellt worden und für eine maschinelle Auswertbarkeit geeignet sind. Auf elektronisch übermittelte Rechnungen im Textformat trifft die Voraussetzung der maschinellen Auswertbarkeit gerade nicht zu, denn es handelt sich hierbei um ein grafisch auswertbares Format. Die Überprüfbarkeit elektronischer Abrechnungen im Sinne des § 14 (4) UStG fordert den „Originalzustand“ des Dokuments inkl. Prüfmöglichkeit der Signatur und damit zwingend eine revisionssichere digitale Archivierung. Bei Konversion in ein unternehmenseigenes Format sind zwingend beide Versionen aufzubewahren und unter demselben Indes zu verwalten. Eingang, Archivierung und Konversion sind zu protokollieren, Signaturschlüssel und qualifizierte Zertifikate sind aufzubewahren. Dann handelt es sich bei dem digital übermittelten Dokument um eine Rechnung im Sinne des § 14 UStG, welches zum Vorsteuer-Abzug berechtigt. Welche Stelle ausser eben einer Verfahrensbeschreibung soll/ kann Auskunft über die Einhaltung der o.g. Voraussetzungen im Unternehmen geben?
Auf einer Speicherschreibmaschine erstellte Rechnungen sind natürlich nicht originär digital und sind daher auch nicht in maschinenlesbarer Form aufzubewahren. Sofern sich aber zB Ausgangsrechnungen zur Weiterverarbeitung etwa in der Debitoren-Überwachung oder dem Zahlungsverkehrssystem befinden, sind sie wiederum in maschinell auswertbarer Form vorzuhalten. Diese Aufbewahrungspflichten treffen alle jene Datenbestände, die im Unternehmen maschinell weiterverarbeitet werden (können!).Aus diesem Grunde sind dann auch die Arbeitspapiere des Steuerberaters oder Wirtschaftsprüfers, die mittels Tabellenkalkulationsprogrammen erstellt wurden und zB zur Bildung oder Dotierung von Rückstellungen führten, beim Mandanten (!) in maschinell auswertbarer Form aufzubewahren, selbst wenn nur die Ergebniszahl in die Gewinnermittlung eingeflossen ist.
5.5.3. eMails
Auch eMails mit steuerlich bedeutsamen Inhalten sind nach den Regeln des § 147 (6) AO aufzubewahren, was bedeutet, dass die maschinelle Auswertbarkeit gegeben sein muss. Als Beispiel mögen per Tabellenkalkulationsprogramm erstellte und ausgefüllte Reisekostenabrechnungen, die per eMail übermittelt wurden, dienen. Auch Kalkulations-Unterlagen, Angebote, Verträge, aber auch Urlaubsanträge und Provisionsabrechnungen sowie Zeitanschreibungen können dazugehören. Nach den GOBS muss die Übertragung sicher sein, während des Übertragungsvorgangs auf das Speichermedium darf eine Bearbeitung nicht möglich sein, das Dokument ist unveränderbar zu indexieren und es kann nur unter diesem Index bearbeitet und administriert werden. Bearbeitungsvorgänge müssen protokolliert und zum Dokument gespeichert werden. Das bedeutet, dass eine geordnete Archivierung, die allein in einer angemessenen Zeit ein Auffinden erlaubt, speicherintensiv ist, denn die Daten selbst bleiben unstrukturiert. Die Struktur kommt über die Indexierung ins Archiv. Daneben –und in PC-basierten Systemen für wenig Geld zu haben- sind Systeme zur Volltext-Recherche wie zB google desktop, damit auch ältere Geschäftsvorfälle, die auch nach den Regeln der GdPDU und der GOBS noch nicht indexiert werden mussten, über eine Volltext-Recherche schnell gefunden werden.
5.5.4. Erfordernis der maschinellen Auswertbarkeit
Für die maschinelle Auswertbarkeit ist es gleich, ob die Daten voll-, halb- oder gar nicht automatísch im Buchhaltungssystem weiterverarbeitet werden oder ob in der betrieblichen IT Importfunktionen zur Übernahme steuerlich relevanter Daten aus body oder attaches vorhanden sind. EMails können steuerlich relevante Daten enthalten, die nicht in Zahlen bestehen (zB Vertragsformulierungen oder Handlungsanweisungen). Über den Indes ist die maschinelle Auswertbarkeit sicherzustellen. Wie schon ausgeführt, gilt die Archivierungspflicht nur für Daten mit steuerlicher Relevanz. Sofern eMails die Qualität von Handelsbriefen beizumessen ist, müssen sie digital aufbewahrt werden. Hierbei ist wichtig zu wissen, dass die vom steuerlichen Betriebsprüfer eingesetzte Software IDEA eMail-Formate nicht verarbeiten kann. IDEA bildet und verarbeitet Datenbanken. IDEA braucht die Indexierung und der Prüfer braucht einen unmittelbaren Zugriff mit Volltextrecherche nach Schlüsselwörtern. Damit wird die Trennung der eMails zwischen „steuerlich relevanter Inhalt“ und „nicht steuerlich relevanter Inhalt“ wichtig. In Unternehmen mit Mitarbeitern mit eMail-Verkehr sollte das am Besten software-gestützt erfolgen, zB durch xBase der Easy Software AG, die eine Archivierungs- und Informationsmanagement-Lösung für Outlook/ MS Exchange anbietet. Für jeden Mitarbeiter kann ein eigener Ordner angelegt werden, die Indexierung erfolgt automatisch.
5.5.5. online-banking
Im online-banking werden elektronische Kontoauszüge übermittelt und per eMail übermittelt. Ein Ausdruck auf Papier und nachfolgende papiergebundene Archivierung wird als nicht regelgerecht angesehen. Der Kontoauszug ist originär digital erzeugt und enthält steuerlich relevante Informationen. Deshalb soll er maschinell auswertbar archiviert werden. Dazu ist er mit Inhalts- und Formatierungsangaben auf einem maschinell auswertbaren Datenträger zu speichern, vor dem Speichern ist die Unveränderbarkeit der Speicherung herzustellen und zu indexieren. Die OFD München weist allerdings in einem Schreiben vom 06. August 2004 darauf hin, dass auf die Kontoauszüge in Papierform nicht verzichtet werden wird.
5.5.6. sonstige zu archivierenden Unterlagen
Sonstige nach den Regeln der GdPDU zu archivierende Unterlagen sind unbedingt im Originalzustand und unveränderbar aufzubewahren. Es ist möglich, dass sie in dieser Form im Unternehmen nicht verarbeitet wurden, sondern in unternehmensinterne Formate konvertierten. Dann sind sowohl die Originalversion als auch die Konversion im selben Verzeichnis aufzubewahren wobei die Konversion als solche erkennbar zu bezeichnen ist.
Temporäre Zwischenspeicherungen von Ergebnissen sind auch dann nicht aufbewahrungspflichtig, wenn sie während der maschinellen Verarbeitung erzeugt wurden und ihr Inhalt im Laufe weiterer Verarbeitungsprozesse in die Buchführung aufgenommen wird. Es darf dabei aber nicht zu einer Verdichtung steuerlich relevanter Daten gekommen sein und die Signaturschlüssel sind zu archivieren.
All dies sind Aufgaben, deren Organisation und Erledigung das Unternehmen in einer Verfahrensbeschreibung für den Prüfer nachvollziehbar dokumentieren kann. Der Steuergesetzgeber fordert vor dem Hintergrund zunehmender Komplexität der IT-Systeme in Buchhaltung und Unternehmensverwaltung eine Prüfmöglichkeit zum Nachvollzug der steuerlich geordneten Verarbeitung digitaler Daten mit steuerlicher Relevanz.
5.6. Abkehr vom papiergebundenen Archiv in der Prüfung
Die Einführung des § 147 (6) AO ersetzt den § 147 (2) Satz 2 AO. Der Steuergesetzgeber streicht damit die Bindung der Betriebsprüfung an die Sichtung von „Papieren“. Zudem gibt er den Steuerpflichtigen auf, in eigener Verantwortung für die maschinelle Auswertbarkeit seiner Archive zu sorgen. .pdf-Formate erfüllen diese Anforderung nicht. Werden Bücher und sonstige Aufzeichnungen auf Datenträgern geführt, so müssen diese ferner während der gesamten Aufbewahrungsfrist jederzeit verfügbar sein und unverzüglich lesbar gemacht werden können. Diese Regeln eröffnen dann die Datenzugriffe der Finanzverwaltung gem. § 147 (6) AO. Das bedeutet also, dass während der Aufbewahrungsfrist die IT-Systeme der Steuerpflichtigen zur Verfügung stehen müssen, denn die Entscheidung zwischen den 3 Zugriffsarten werden erst in der Prüfungsanordnung bekanntgegeben. Das im Falle von Systemwechseln die Steuerpflichtigen mit der Erfüllung dieser Anforderungen Probleme bekommen können, hat der Steuergesetzgeber gesehen, im Interesse einer Steigerung der Effizienz der Betriebsprüfung aber billigend in Kauf genommen.
Zur Gruppe der Datenträger, deren Dateninhalte maschinell auswertbar sein können, gehören Disketten, CD, DVD, Festplatten, Magnetplatten, Magnetbänder, USB-Sticks. Sog. Bildträger gehören nicht dazu. COLD-Verfahren (computer output on laser disc) gehört dazu, soweit das Datenformat maschinell auswertbar ist.
5.6.1. Revisionssicherheit der Archivierung
Wichtig ist ferner, dass die Daten unveränderbar auf revisionssicheren Medien gespeichert werden sollen. Magnet-Datenträger erfüllen diese Anforderungen nicht. Einmalig beschreibbare optische Datenträger erfüllen diese Voraussetzungen (noch). In Fällen, wo der Datenträger die Unverändertheit nicht gewährleistet, sieht es die Finanzbehörde als ausreichend an, wenn sichergestellt ist, dass Zugriffe auf diesen Sicherungsbestand protokolliert und Veränderungen zusätzlich gespeichert werden. Dies bezeichnet die Finanzverwaltung mit „unveränderbarer Index“.
5.6.1.1. Haltbarkeit der Archivierungs-Medien
Der Steuergesetzgeber hat keine Vorgaben hinsichtlich der Datenträger gemacht. Angesichts der Entwicklungsgeschwindigkeit in der Informationstechnik wäre dies auch ein sinnloses Unterfangen gewesen. Die sog. „Radier-Paragraphen“ § 146 (4) AO und § 239 (3) HGB sind gleichwohl immer noch einzuhalten.
Die gesetzlichen Aufbewahrungsfristen von 6 und 10 Jahren sind in der IT eine fast unendlich lange Zeit. Dies macht sich auch bei der Mindesthaltbarkeit der Datenträger bemerkbar. Die sind nicht für die Ewigkeit gebaut. Es droht in dieser Zeit immer Datenverlust. Die Hersteller der Datenträger gehen im Allgemeinen von folgenden Haltbarkeitsdauern aus:
o Papier 100 Jahre
o Mikrofilm 30 Jahre
o CD-ROM 20 Jahre
o Magnetplatten 5 Jahre
o Disketten, je nach Qualität der Magnet-Oxydschicht 3 Jahre bis 1 Jahr
o Magnetbänder 2 Jahre
5.6.1.2. Sicherheit der Aufbewahrung
Für alle Sicherungen gilt, dass sie aus Sicherheitsgründen vorzugsweise ausserhalb der Betriebsumgebung gelagert werden sollten (zB im Banksafe). Werden sie im eigenen Safe gelagert, müssen die „magnetischen“ Sicherungen unbedingt von elektromagnetischen Störfeldern ferngehalten werden. Dies scheint leicht möglich, man sollte jedoch daran denken, dass sich Tresore im Falle eines Brandes so stark erhitzen können, dass sich ihre Schliessanlagen verziehen. Der Inhalt ist dann zwar möglicherweise noch erhalten, die Tür muss aber aufgeschweisst werden; und wenn dies mit elektrischen Schweissgeräten geschieht, dann entstehen eben diese starken elektromagnetischen Felder, die die Datensicherungen bis zur Unlesbarkeit beeinträchtigen. Dass ein Unternehmensarchiv wertvoll ist und eine Versicherung erhalten sollte, die desaster recovery und Wiederanlauf einschliesst, sei nur am Rande erwähnt.
Der Steuergesetzgeber fordert eine Aufbewahrung und Wiedergabe aller elektronisch archivierten „Geschäftsunterlagen“ in bildlicher Übereinstimmung. Gescannte Buchungsbelege, Handels- oder Geschäftsbriefe müssen also in derselben Erscheinung wie das Original daherkommen, auch was die farbliche und andere optische Gestaltung angeht.
5.6.1.2. Systemunabhängigkeit der Archivierung
Es ist damit klar, dass für die digitale Archivierung ein systemunabhängiges Archiv benötigt wird. Die Erfüllung der gesetzlichen Vorgaben zur Aufbewahrung, Lesbarmachung und maschinellen Auswertbarkeit ist eine hochkomplexe Aufgabe. Sie wird problematisch bleiben, denn in allen Unternehmen wird software unterschiedlichster Lieferanten, wird Individualsoftware eingesetzt. Die Formate der Datensätze, die Seitenbeschreibungssprachen, die Dialekte der Programmiersprachen, die Trennung und die Länge der Datenfelder, all das ist individuell. Die Komplexität wird noch gesteigert durch Systemwechsel bei hard- und software, sei es ein update oder ein Wechsel des Herstellers; und insgesamt wird die Sache noch weiter verkompliziert dadurch, dass Datenmodelle und Datenbanken innerhalb der gesetzlichen Aufbewahrungsfristen „leben“, sich also ständig verändern; die Finanzverwaltung verlangt aber die Auswertungsfähigkeit auf dem Stand des untersuchten Buchungsjahres. Um den Betriebsprüfern die Möglichkeit zu geben, die Arbeitsweise des Unternehmensarchivs, das Zustandekommen von originär erzeugten Daten mit steuerlicher Relevanz zu prüfen, schreibt er den Steuerpflichtigen die Erstellung und Vorlage einer „Verfahrensbeschreibung“ zwingend vor. Mit dieser Verfahrensbeschreibung erhält der Prüfer ein Organisationshandbuch des Unternehmens, eine Landkarte über die IT-Umgebung, historisiert nach den Prüfungszeiträumen; ausserdem Auskunft über die in der IT arbeitenden Stellen und ihre Kompetenzen zB hinsichtlich Löschung und Änderung von Daten. Der Prüfer erfährt, wo Systemdateien, exception reports und LogFiles abgelegt sind und wie der work flow der Dokumente im Unternehmen gestaltet ist. All dies sind wertvolle Informationen für jede Prüfung, aber auch für jedes Unternehmen. Den Prüfer setzt es im Jahr 2008 in die Lage, die Informationsverarbeitung des Jahres 2005 zu überblicken und seine Prüfungshandlungen entsprechend den Effizienzanforderungen der Finanzverwaltung zu planen. Und dem Gesetzgeber scheint das dringend notwendig. Allein Umsatzsteuer-Karussells kosten den Fiskus jährlich, je nach Berechnungsmethode, zwischen 15 und 21 Milliarden Euro; bedeutet konkret: Gelingt es, diese Summe zu halbieren, ist eine Erhöhung des vollen Umsatzsteuersatzes zunächst nicht mehr nötig. Die Umsatzsteuer ist neben den Ertragssteuern die 2. grosse Quelle der Finanzierung des Staatshaushalts. Um allein diese Form des Steuerbetrugs zu unterbinden, denkt der Steuergesetzgeber über einen tiefen Einschnitt in das Mehrwertsteuer-System nach; die Finanzminister-Konferenz hat am 17. Oktober 2005 die Einführung des sog. reverse-charge-Verfahrens beschlossen. Es gibt damit keinen Vorsteuer-Abzug mehr, die Umsatzsteuer wird an der Schnittstelle zum Endverbraucher angemeldet und abgeführt. Aus dem selben Grund, aus dem das reverse-charge-Verfahren eingeführt werden soll, wird die Finanzverwaltung auf der Einhaltung der Vorschriften der GdPDU und der GOBS bestehen: Die Staatsfinanzen bedürfen einer dringenden Sanierung. Kosteneinsparungen sind zugleich Leistungskürzungen; deren Durchsetzung ist problematisch bis fraglich; bleibt als der „leichtere Weg“ die Erhöhung der Einnahmen. Eine Steuererhöhung ist ebenfalls problematisch bis gar nicht durchsetzbar, die Einführung neuer Steuern scheidet aus, aber die Prüfungsdichte, die Prüfungseffizienz kann mit dem vorhandenen Personal verstärkt werden und wird dann zu Mehr-Einnahmen führen, ohne dass es –vom Einzelfall abgesehen- grössere Durchsetzungsprobleme geben wird. Und um den Prüfern die Struktur der Informationsverarbeitung digitaler Daten mit steuerlicher Relevanz im geprüften Unternehmen zu verdeutlichen, beurteilen zu lassen, verlangt der Steuergesetzgeber nun einen Einblick in die Verfahrensbeschreibung, die er als steuerlich relevantes Geschäftspapier und damit als vorlagepflichtig ansieht.
Auch der Unternehmer profitiert von der Verfahrensbeschreibung, erhält er doch einen Überblick über seine IT-Umgebung, die Speicherplätze wichtiger Dokumente, die Verteilung von hard- und software, eine historisierte Auflistung der software-Stände und der Zugriffskompetenzen seiner Mitarbeiter etc. Eine gepflegte Verfahrensbeschreibung ist eine Abbildung der Organisations-Kultur des Unternehmens.
5.7. GdPDU-Konformität
Der Steuergesetzgeber lässt die Frage nach der GdPDU-Konformität von Archivsystemen unter folgenden Grundsätzen prüfen:
o Wird das Archiv lediglich zur Speicherung und Wiedereinspielung von Daten in Produktiv-Systeme genutzt, ist es für die Prüfung nicht interessant. Der Prüfer hat Zugriffs-Möglichkeiten auf das produktive System und wird sie nutzen.
o Soll die Prüfung mittels Zugriff aufs Archiv geschehen, muss das Archivsystem qualitativ und quantitativ Auswertungen ermöglichen, die denen des Produktivsysteme inkl. Der Auswertungstools im Prüfungsjahr (!) gleichen.
o Bei einem Systemwechsel müssen die Auswertungsmöglichkeiten denen des Alt-Systems im Prüfungsjahr (!) gleichen. Ist das technisch nicht möglich, sind die Alt-Systeme während des Aufbewahrungszeitraums betriebsbereit vorzuhalten.
o Standardisierte Auswertungsprogramme, die vorhanden, aber nicht installiert sind, sind auf Anfrage zur Nutzung durch den Prüfer bereitzustellen.
5.1. Neue Möglichkeiten der steuerlichen Betriebsprüfung
Der Fiskus hat technisch stark aufgerüstet. In Zeiten, in denen Unternehmen virtueller werden, hiesse ein Verbleiben bei den bisherigen Prüfungsverfahren heute eine Einschränkung der Prüfungsmöglichkeiten, morgen aber eine Unmöglichkeit der Prüfungsdurchführung, denn immer mehr steuerlich relevante Daten werden in IT-Systemen erzeugt. Das gilt auch für kleine Unternehmen, deren Affinität zu Internet & Co. ohnehin höher ist als bei Mittelständlern. Mit zunehmender Erzeugung digitaler Daten geht der Finanzverwaltung die Transparenz des Prüfungsstoffs verloren. Deshalb müssen neue Prüf-Verfahren her, die an den IT-Systemen der Steuerpflichtigen andocken können.
Warum ist dies eine wichtige Veränderung? Die Digitalisierung von Unternehmensdaten besitzt ein höheres Missbrauchs-Potential als das papiergebundene Archiv. So steigt vor allem der Missbrauch von Vorsteuer-Erstattungsansprüchen, beispielsweise bei Mehrfachanmeldungen und –auszahlungen in unterschiedlichen Bundesländern. Mit verschiedenen Werkzeugen versucht die Finanzverwaltung derzeit, die Prüfungs-Prozesse zu modernisieren und so Transparenz über den Prüfungsstoff zu behalten.
Beispielsweise „Luna“: Länderumfassende Namensauskunft. Mit diesem Check lässt sich erkennen, ob ein Steuerpflichtiger in mehreren Bundesländern eine Steuernummer hat und ggf. welche steuerlichen Begründungen das hat. So lassen sich Mehrfachauszahlungen von Vorsteuer-Beträgen schnell aufdecken.
„Taube“ steht für technische Anwenderunterstützung und Bestandsführung, „Delfin“ für Datenübermittlung mit „Elster“ an das Finanzamt. Dies sind ebenso Programme für den Innendienst wie „Zauber“, die Zentrale Datenbank zur Speicherung und Auswertung von Umsatzsteuer-Betrugsfällen und Entwicklung von Risikoprofilen.
Für den Prüfer ist „IDEA“ das wichtigste Werkzeug in der Prüfung. Auffällige Geschäftspraktiken und Buchungsfehler lassen sich identifizieren. In verschiedenen Analyseverfahren nutzt IDEA mathematisch-statistische Methoden und Erkenntnisse der Zahlentheorie, als bekannteste Ausprägung gelten „benford law“ und Chi²-Test. Benford Law beschreibt eine fundamentale Gesetzmäßigkeit bei der Verteilung von Zahlen in Listen in Abhängigkeit von ihrer ersten Stelle. Benford Law gilt für Einwohnerzahlen von Städten ebenso wie für Geldbeträge in Buchhaltungen. Die Zahlen 1 bis 9 sind nicht gleichverteilt. Die „1“ kommt mit einer Wahrscheinlichkeit von 30,1% vor, die „9“ mit einer Wahrscheinlichkeit von 4,6%. Abweichungen beweisen keine Unregelmässigkeiten, sondern weisen auf Möglichkeiten der Manipulation hin.
Der Chi²-Test ist da schon wesentlich schärfer, denn er wurde von Finanzgerichten als Beweismittel zugelassen (FG Münster 6 V 4562/03 E, U). Der Chi²-Test ist Zahlentheorie, gehört in die Gruppe der Signifikanztests und überprüft statistische Hypothesen über unbekannte Häufigkeitsverteilungen. Es wird nicht die Erstziffern-Verteilung, sondern die Verteilung der letzten und vorletzten Ziffern vor und der ersten und zweiten Ziffer nach dem Komma geprüft. Da jeder Mensch „Lieblingszahlen“ hat, die er auch bei der Manipulation von Unterlagen unbewusst nutzt, lässt sich mit dem Chi²-Test eine Verfälschung oder eine Kreation von Zahlen mit hoher Wahrscheinlichkeit nachweisen. In einer endlichen Zahlenmenge wird unterstellt, dass die Endziffern 0 bis 9 gleichverteilt auftreten. Kleinere Abweichungen von der Null-Hypothese sind unerheblich, grössere Abweichungen erläuterungsbedürftig. Der Chic-Test-Wert ergibt sich aus der Differenz der erwarteten und der tatsächlichen Häufigkeit der einzelnen Zahlen. Die Abweichungen werden quadriert und die Summe der Quadrate durch die erwartete Verteilung je Ziffer dividiert. Liegt das Ergebnis zwischen 20 und 30, ist mit hoher Wahrscheinlichkeit keine zufällige Abweichung anzunehmen. Wird der Chi²-Test-Wert mit größer als 30 ausgewiesen, liegt mit hoher Wahrscheinlichkeit eine systematische Manipulation der Zahlen vor.
Eine sehr scharfe Analyse-Methode bringen die Zeitreihentests zusammen mit der Möglichkeit der Verprobung verschiedenster Datenreihen in kürzester Zeit wie zB der Absatz von Eiskugeln in Relation zu den Außentemperaturen im Prüfungszeitraum. Abweichungen von errechneten Normalwerten oder den Werten der Richtsatzsammlungen sind erläuterungsbedürftig. Ebenso lassen sich alle besonderen kalendarischen Daten wie zB Geburtstage mit den Rechnungsdaten für Bewirtungen abgleichen. Auch die unberechtigte Zahlung von Sonn-, Feiertags- und Nachtzuschlägen ermittelt IDEA anhand des ausgelesenen Produktionskalenders zB einer Maschine in einer Fabrikanlage. Auch Fahrtenbücher sind unter Betriebsprüfern ein beliebter Untersuchungsgegenstand für den Chi²-Test.
Ebenso vermag IDEA in eMail-Speichern nach vorgegebenen Schlüsselwörtern wie „Provision“ oder „Jersey“ zu suchen. Alle Treffer werden in einer Liste aufgestellt.
Zudem hat in den Finanzämtern auch das Internet Einzug gehalten. Entfernungen werden mit Routenplanern nachgeprüft, Bahnverbindungen und Postleitzahlen oder Telefonauskunft sind schnell überprüft.
Ein sehr wirksames Mittel beim Überprüfen der Angaben ist die Bankleitzahlenauskunft. Ein Unternehmer hatte sich selbst eine „fingierte Rechnung“ geschrieben. Die Rechnung enthielt eine falsche Konto-Nummer und eine falsche Bankleitzahl. Er zahlte diese Rechnung aus seinem Privatkonto, denn er wusste, dass die Bank ihm den Irrläufer nach einigen Tagen gutschreiben würde. Die „Auslage“ überwies er dann vom Betriebs- auf sein Privatkonto. Den privaten Kontoauszug mit der Belastung bewahrte er zum Nachweis der Zahlung auf, die anderen vernichtete er und argumentierte richtigerweise damit, dass seine und seiner Ehefrau gemeinsamen Kontoauszüge nicht einer Aufbewahrungspflicht unterliegen. In der Betriebsprüfung legte der die Kopie des privaten Kontoauszugs als Nachweis der Zahlung und des Anspruchs auf Erstattung aus dem Betriebsvermögen vor. Routinemässig wurden Bankleitzahl und dazugehöriges Format der Kontonummer geprüft und wurden auffällig.
5.2. Vollkontrolle und unterschiedliche Organisation der Datenzugriffe
Die Qualität der Betriebsprüfungen hat sich durch den Einsatz mathematisch-statistischer Verfahren grundlegend verändert. Die Mehrergebnisse, das wird jeder Praktiker bestätigen, erreichen bisher nicht gekannte Dimensionen. Ein Teil dieser Prüfungen führt zu Streit vor Finanzgerichten und/ oder Steuerstrafverfahren.
Die neuen Prüfverfahren führen zu einer systematischen Vollkontrolle des Betriebs. Ergaben sich in früheren Jahren moderate Sicherheitszuschläge, so wird man nun in praxi Nachkalkulationen erfahren, die mit statistischen Operationen begleitet werden.
Die AO gibt der Finanzverwaltung ab dem 01. Januar 2002 weitgehende Zugriffsrechte auf die IT-Systeme der Unternehmen. In der Praxis könnte es aussehen wie folgt: Der Betriebsprüfer bekommt seinen Prüfungsauftrag. Er beschließt, bestimmte Prüfungsfelder mit Hilfe von IDEA zu analysieren. Entsprechend wird die Prüfungsanordnung gefasst und bekannt gegeben.
Der Steuergesetzgeber hat sich mit der Neufassung der §§ 146, 147 und 200 AO vom Grundmodell der papiergestützten Buchführung und der danach papiergebundenen steuerrelevanten „Aufzeichnungen“ verabschiedet. Das neue Grundmodell ist nun die konzeptionell papierarme Buchführung und die digitale Erzeugung von Geschäftsunterlagen und Aufzeichnungen. Die Möglichkeit des Ausdrucks und der papiergebundenen Archivierung originär digitaler Daten gibt es nicht mehr.
Eine Verpflichtung zur ausschliesslichen Erstellung von steuerlich aufbewahrungspflichtigen Unterlagen mithilfe eines IT-Systems wollte der Gesetzgeber nicht einführen. Er wollte nur dem Zug der Zeit folgen und die Prüfungsprozesse an die Lebenswirklichkeit in den Unternehmen anpassen. Die Neuregelung betrifft nur sog. „originär digitale Unterlagen“, also solche, die im System erstellt oder durch Weiterverarbeitung erzeugt wurden. Nun ist die Finanzverwaltung in der Lage, Ihr Recht auf Einsichtnahme in steuerrelevante Unterlagen durch Zugriff auf das IT-System des Steuerpflichten oder auf den Inhalt der Archive des Steuerpflichtigen wahrnehmen zu können.
Als Faustregel gilt: Alle Daten des Rechnungswesens, die irgendwann einmal bei Steuerpflichtigen auf einem maschinell verwertbaren Datenträger gespeichert waren, sind auch in dieser Form vorzuhalten. Nur so können sie durch die Finanzverwaltung maschinell ausgewertet werden. Papiergebundene Daten, Bildplatten oder Mikrofilm lassen sich nicht maschinell auswerten.
Die Finanzverwaltung hat 3 Zugriffsarten:
• Unmittelbarer Zugriff; der Prüfer nutzt die unternehmenseigenen Systeme, greift damit auf die gespeicherten Daten zu und wertet selbst aus
• Mittelbarer Zugriff; der Prüfer gibt seine Wünsche an, das Unternehmen greift mit eigenem kompetenten Personal auf das Archiv zu, wertet aus und reicht die Auswertungen an den Prüfer weiter
• Datenträger-Überlassung: Der Prüfer enthält Archive für Prüfungsfeld und –zeitraum auf einem Datenträger so formatiert zur Verfügung, dass ihm mit seinen eigenen Systemen Zugriff und Auswertung möglich sind.
Die GdPDU gelten nur für Betriebsprüfungen, Lohnsteuer-Prüfungen und Umsatzsteuersonderprüfungen. Im Rahmen der Umsatzsteuernachschau ist ein digitaler Datenzugriff nicht vorgesehen.
5.3. Ziel: rationelle Prüfung
Das Ziel, das der Steuer-Gesetzgeber mit den GdPDU verfolgt, heisst: rationelle Betriebsprüfung. Eine Steigerung der Effizienz ist dringend geboten. Die Finanzverwaltung muss auch EDV-Buchführungen prüfen können. Diese verbreiten sich in den Unternehmen und werden in den nächsten Jahren Standard sein, zumindest was Neben-Bücher und feeder systems mit steuerlicher Relevanz angeht. Der Steuer-Gesetzgeber hat mit diesen Regeln den Prüfungsumfang unverändert gelassen. Die neuen Regeln ergeben keine erweiterten Prüfungen. Nach wie vor sind nur die steuerlichen Verhältnisse des geprüften Steuerpflichtigen Untersuchungsgegenstand; dies bedeutet zugleich, dass sich die Prüfung nach wie vor auf die Unterlagen erstreckt, die der Aufbewahrungspflicht des § 147 AO unterliegen. Dies bedeutet, dass die Prüfung auf folgende Unterlagen zugreifen kann:
• Finanzbuchhaltung
• Anlagenbuchhaltung
• Lohnbuchhaltung
• Andere Daten, soweit sie steuerlich relevant sind und sich in anderen IT-Systemen des Steuerpflichtigen befinden
Nach wie vor unverändert ist auch der Mindestinhalt der Buchführung
Finanzbuchhaltung
• Benennung der Buchführungspflichtigen
• Sachkontenstamm
• Journal
• Sachkonten
• Debitoren
• Kreditoren
• Steuerschlüssel
• Währung
Anlagenbuchhaltung
• Anlagenstammsätze
• Bestandslisten
• Stammdaten Abschreibungen
• Bewegungsdaten (Abschreibungen, Zuschreibungen)
• Anlagenbewegungen
o Zugänge
o Abgänge
o Umbuchungen
Lohn- und Gehaltsbuchhaltung
• Personalstammdaten
o Unterjährig historisiert
• Stammdaten Arbeitgeberleistungen
o Zuschüsse
o Versicherungen
o Darlehn
• Bewegungsdaten Löhne und Gehälter
o Entgeltnachweise
o Be- und Abzüge
o Lohnkonten
• Lohnjournal
• Stamm- und Bewegungsdaten Reisekosten
Andere steuerlich relevante Bereiche
o Kosten- und Leistungsrechnung
o Berechnung von Gemeinkostenzuschlägen
o Ermittlung von Verrechnungspreisen
o Kalkulationsnachweis zwischen Unternehmen im Konzern
o Warenwirtschafts-/ Materialwirtschafts-Systeme
o Vorratsbestand und Bewertung
Kalkulationsnachweis zwischen Unternehmen im Konzern
o Dokumenten-Management-Systeme
o Andere Archivierungssysteme
5.4. Definition „steuerlich relevante Daten“
Ein Definitionsproblem ergibt sich aus dem gesetzten, aber noch nicht übersetzten Begriff „steuerlich relevante Daten“. Was gemeint ist, ist klar; was der Begriff im Einzelfall bedeutet, wann Daten steuerlich relevant sind und vor allem, wann nicht, ist noch nicht ausgestritten. Bei einer falschen Auslegung durch den Steuerpflichtigen (oder seinen Steuerberater) und bei automatischer Steuerung der Selektion und Einsteuerung in diversifizierte Archive unterbleibt möglicherweise eine Archivierung von originär erzeugten digitalen Geschäftsunterlagen mit steuerlicher Relevanz in maschinell auswertbarer Form. Die Komplikation liegt in den 4 einzuhaltenden Bedingungen
o Originär erzeugt
o Digitale Geschäftsunterlagen
o Steuerliche Relevanz
o Maschinell auswertbar formatiert.
Es ist schlicht nicht möglich, diese im Nachhinein zu erfüllen. Eine Fehlbeurteilung der Bedingung „steuerliche Relevanz“ führt also zwingend zu einem Verstoss gegen gesetzliche Aufbewahrungsvorschriften.
5.5.1. Umfang des Archivs für steuerliche Prüfungszwecke
Der Umfang des digitalen Archivs –und damit auch die Gestaltung der Zugriffsmöglichkeiten zB für Zwecke steuerlicher Betriebsprüfungen- richtet sich aus am vorhandenen Datenbestand und seiner Partitionierung. Unstreitig unterliegen die archivierten Mindestinhalte der Buchhaltung dem Zugriff. Daneben sind aber im Einzelfall auch originär erzeugte digitale Geschäftsunterlagen mit steuerlicher Relevanz in Subsystemen enthalten, die mit der Buchführung keine direkte Verbindung haben, zB in Tabellenkalkulations-Blättern, eMail-Archiven etc. Auch diese Archive müssen darauf untersucht werden, ob sie dem Zugriff der steuerlichen Betriebsprüfung unterliegen, ggf. wie sie zu separieren sind. Den GOBS folgend, sind sie dann dauerhaft und sicher zu archivieren und für Datenzugriffe der Finanzverwaltung in der steuerlichen Aussenprüfung vorzuhalten. Befinden sich auch in anderen Bereichen der IT des Steuerpflichtigen solche Daten, zB in Kalendern, im customer relationship management oder im risk management system, gilt ein Gleiches. Da führt schon die Bewertungstabelle der Debitoren oder die Rabatt-Kalkulation der Kreditoren zu steuerlicher Relevanz und in vernetzten Systemen kann das damit eine komplexe Angelegenheit werden. Das Problem ist die Sensibilität der Steuerpflichtigen für die Verantwortung, die Ihnen der Steuergesetzgeber hier zuweist. Denn die Qualifizierung der Steuerrelevanz ist allein Sache des Steuerpflichtigen nach Massgabe seiner steuerlichen Aufzeichnungs- und Aufbewahrungspflichten. Die erforderliche Qualifizierung von Daten als „steuerlich relevant“ kann der Steuerpflichtige durch Berater vornehmen lassen. § 33 StBerG weist diese Aufgabe den Vorbehaltsaufgaben der steuerberatenden Berufe zu.
5.5.2. originäre digitale Daten
Die Finanzverwaltung geht von folgender Vorgabe aus: Die Daten können je nach Einzelfall bei einem Steuerpflichtigen von steuerlicher Bedeutung sein, bei einem anderen jedoch nicht. Steuerlich sind Daten immer dann relevant, wenn sie für die Besteuerung dieses Steuerpflichtigen von Bedeutung sein können. Die Finanzbehörde kann bei unzutreffender Qualifizierung verlangen, dass der Steuerpflichtige den Datenzugriff auf diese steuerlich relevanten Daten nachträglich ermöglicht. Mit dieser Aussage ist zu vermuten, dass die Qualifizierung „steuerlich relevant“ weit ausgelegt werden muss. Neben der sicheren Identifikation als „steuerlich relevant“ könnte eine weitere Qualifikation „möglicherweise steuerlich relevant“ treten; das Nachforderungsrecht der Finanzverwaltung könnte bei Nichterfüllen –auch bei Unmöglichkeit- zur Schätzung führen. Bis die Rechtsprechung die Sache zu einer gewissen Reife bringen wird, wird noch einige Zeit vergehen, in der die Finanzverwaltung Einzelfallentscheidungen treffen muss. Streitfälle sind vor allem im Rahmen von Lohnsteuer-Prüfungen denkbar, in denen auf Personalwirtschaftssysteme zugegriffen werden soll, die neben unstreitig steuerrelevanten Daten auch solche enthalten, die dem Datenschutzgesetz unterliegen. Möglicherweise werden Finanzverwaltung und betroffene Steuerpflichtige auch Anforderungen des Zugriffs auf Produktionssysteme und vorgelagerte Systeme zwecks Abgleich mit der Buchführung ausstreiten müssen. Insbesondere in Unternehmen mit hohem Anteil an Bargeldverkehr wie zB Einzelhandel oder Gastronomie werden solche Streitfälle vorkommen, denn in den dort vorzufindenden digitalen Kassen- und auch Warenwirtschaftssystemen werden originär digitale Daten erzeugt. Hierbei wird es sich in der überwiegenden Anzahl aller Datensätze um solche mit steuerlicher Relevanz handeln, die entsprechend zu archivieren sind.
In Einzelfällen wird es immer Auseinandersetzungen geben. Hier muss Rechtsfortbildung erfolgen. Für den Bereich von Ein- und Ausgangsrechnungen sieht das Schreiben des BMF beispielsweise für die Aufbewahrungspflicht nach den Regeln der GdPDU vor, dass die Daten originär erstellt worden und für eine maschinelle Auswertbarkeit geeignet sind. Auf elektronisch übermittelte Rechnungen im Textformat trifft die Voraussetzung der maschinellen Auswertbarkeit gerade nicht zu, denn es handelt sich hierbei um ein grafisch auswertbares Format. Die Überprüfbarkeit elektronischer Abrechnungen im Sinne des § 14 (4) UStG fordert den „Originalzustand“ des Dokuments inkl. Prüfmöglichkeit der Signatur und damit zwingend eine revisionssichere digitale Archivierung. Bei Konversion in ein unternehmenseigenes Format sind zwingend beide Versionen aufzubewahren und unter demselben Indes zu verwalten. Eingang, Archivierung und Konversion sind zu protokollieren, Signaturschlüssel und qualifizierte Zertifikate sind aufzubewahren. Dann handelt es sich bei dem digital übermittelten Dokument um eine Rechnung im Sinne des § 14 UStG, welches zum Vorsteuer-Abzug berechtigt. Welche Stelle ausser eben einer Verfahrensbeschreibung soll/ kann Auskunft über die Einhaltung der o.g. Voraussetzungen im Unternehmen geben?
Auf einer Speicherschreibmaschine erstellte Rechnungen sind natürlich nicht originär digital und sind daher auch nicht in maschinenlesbarer Form aufzubewahren. Sofern sich aber zB Ausgangsrechnungen zur Weiterverarbeitung etwa in der Debitoren-Überwachung oder dem Zahlungsverkehrssystem befinden, sind sie wiederum in maschinell auswertbarer Form vorzuhalten. Diese Aufbewahrungspflichten treffen alle jene Datenbestände, die im Unternehmen maschinell weiterverarbeitet werden (können!).Aus diesem Grunde sind dann auch die Arbeitspapiere des Steuerberaters oder Wirtschaftsprüfers, die mittels Tabellenkalkulationsprogrammen erstellt wurden und zB zur Bildung oder Dotierung von Rückstellungen führten, beim Mandanten (!) in maschinell auswertbarer Form aufzubewahren, selbst wenn nur die Ergebniszahl in die Gewinnermittlung eingeflossen ist.
5.5.3. eMails
Auch eMails mit steuerlich bedeutsamen Inhalten sind nach den Regeln des § 147 (6) AO aufzubewahren, was bedeutet, dass die maschinelle Auswertbarkeit gegeben sein muss. Als Beispiel mögen per Tabellenkalkulationsprogramm erstellte und ausgefüllte Reisekostenabrechnungen, die per eMail übermittelt wurden, dienen. Auch Kalkulations-Unterlagen, Angebote, Verträge, aber auch Urlaubsanträge und Provisionsabrechnungen sowie Zeitanschreibungen können dazugehören. Nach den GOBS muss die Übertragung sicher sein, während des Übertragungsvorgangs auf das Speichermedium darf eine Bearbeitung nicht möglich sein, das Dokument ist unveränderbar zu indexieren und es kann nur unter diesem Index bearbeitet und administriert werden. Bearbeitungsvorgänge müssen protokolliert und zum Dokument gespeichert werden. Das bedeutet, dass eine geordnete Archivierung, die allein in einer angemessenen Zeit ein Auffinden erlaubt, speicherintensiv ist, denn die Daten selbst bleiben unstrukturiert. Die Struktur kommt über die Indexierung ins Archiv. Daneben –und in PC-basierten Systemen für wenig Geld zu haben- sind Systeme zur Volltext-Recherche wie zB google desktop, damit auch ältere Geschäftsvorfälle, die auch nach den Regeln der GdPDU und der GOBS noch nicht indexiert werden mussten, über eine Volltext-Recherche schnell gefunden werden.
5.5.4. Erfordernis der maschinellen Auswertbarkeit
Für die maschinelle Auswertbarkeit ist es gleich, ob die Daten voll-, halb- oder gar nicht automatísch im Buchhaltungssystem weiterverarbeitet werden oder ob in der betrieblichen IT Importfunktionen zur Übernahme steuerlich relevanter Daten aus body oder attaches vorhanden sind. EMails können steuerlich relevante Daten enthalten, die nicht in Zahlen bestehen (zB Vertragsformulierungen oder Handlungsanweisungen). Über den Indes ist die maschinelle Auswertbarkeit sicherzustellen. Wie schon ausgeführt, gilt die Archivierungspflicht nur für Daten mit steuerlicher Relevanz. Sofern eMails die Qualität von Handelsbriefen beizumessen ist, müssen sie digital aufbewahrt werden. Hierbei ist wichtig zu wissen, dass die vom steuerlichen Betriebsprüfer eingesetzte Software IDEA eMail-Formate nicht verarbeiten kann. IDEA bildet und verarbeitet Datenbanken. IDEA braucht die Indexierung und der Prüfer braucht einen unmittelbaren Zugriff mit Volltextrecherche nach Schlüsselwörtern. Damit wird die Trennung der eMails zwischen „steuerlich relevanter Inhalt“ und „nicht steuerlich relevanter Inhalt“ wichtig. In Unternehmen mit Mitarbeitern mit eMail-Verkehr sollte das am Besten software-gestützt erfolgen, zB durch xBase der Easy Software AG, die eine Archivierungs- und Informationsmanagement-Lösung für Outlook/ MS Exchange anbietet. Für jeden Mitarbeiter kann ein eigener Ordner angelegt werden, die Indexierung erfolgt automatisch.
5.5.5. online-banking
Im online-banking werden elektronische Kontoauszüge übermittelt und per eMail übermittelt. Ein Ausdruck auf Papier und nachfolgende papiergebundene Archivierung wird als nicht regelgerecht angesehen. Der Kontoauszug ist originär digital erzeugt und enthält steuerlich relevante Informationen. Deshalb soll er maschinell auswertbar archiviert werden. Dazu ist er mit Inhalts- und Formatierungsangaben auf einem maschinell auswertbaren Datenträger zu speichern, vor dem Speichern ist die Unveränderbarkeit der Speicherung herzustellen und zu indexieren. Die OFD München weist allerdings in einem Schreiben vom 06. August 2004 darauf hin, dass auf die Kontoauszüge in Papierform nicht verzichtet werden wird.
5.5.6. sonstige zu archivierenden Unterlagen
Sonstige nach den Regeln der GdPDU zu archivierende Unterlagen sind unbedingt im Originalzustand und unveränderbar aufzubewahren. Es ist möglich, dass sie in dieser Form im Unternehmen nicht verarbeitet wurden, sondern in unternehmensinterne Formate konvertierten. Dann sind sowohl die Originalversion als auch die Konversion im selben Verzeichnis aufzubewahren wobei die Konversion als solche erkennbar zu bezeichnen ist.
Temporäre Zwischenspeicherungen von Ergebnissen sind auch dann nicht aufbewahrungspflichtig, wenn sie während der maschinellen Verarbeitung erzeugt wurden und ihr Inhalt im Laufe weiterer Verarbeitungsprozesse in die Buchführung aufgenommen wird. Es darf dabei aber nicht zu einer Verdichtung steuerlich relevanter Daten gekommen sein und die Signaturschlüssel sind zu archivieren.
All dies sind Aufgaben, deren Organisation und Erledigung das Unternehmen in einer Verfahrensbeschreibung für den Prüfer nachvollziehbar dokumentieren kann. Der Steuergesetzgeber fordert vor dem Hintergrund zunehmender Komplexität der IT-Systeme in Buchhaltung und Unternehmensverwaltung eine Prüfmöglichkeit zum Nachvollzug der steuerlich geordneten Verarbeitung digitaler Daten mit steuerlicher Relevanz.
5.6. Abkehr vom papiergebundenen Archiv in der Prüfung
Die Einführung des § 147 (6) AO ersetzt den § 147 (2) Satz 2 AO. Der Steuergesetzgeber streicht damit die Bindung der Betriebsprüfung an die Sichtung von „Papieren“. Zudem gibt er den Steuerpflichtigen auf, in eigener Verantwortung für die maschinelle Auswertbarkeit seiner Archive zu sorgen. .pdf-Formate erfüllen diese Anforderung nicht. Werden Bücher und sonstige Aufzeichnungen auf Datenträgern geführt, so müssen diese ferner während der gesamten Aufbewahrungsfrist jederzeit verfügbar sein und unverzüglich lesbar gemacht werden können. Diese Regeln eröffnen dann die Datenzugriffe der Finanzverwaltung gem. § 147 (6) AO. Das bedeutet also, dass während der Aufbewahrungsfrist die IT-Systeme der Steuerpflichtigen zur Verfügung stehen müssen, denn die Entscheidung zwischen den 3 Zugriffsarten werden erst in der Prüfungsanordnung bekanntgegeben. Das im Falle von Systemwechseln die Steuerpflichtigen mit der Erfüllung dieser Anforderungen Probleme bekommen können, hat der Steuergesetzgeber gesehen, im Interesse einer Steigerung der Effizienz der Betriebsprüfung aber billigend in Kauf genommen.
Zur Gruppe der Datenträger, deren Dateninhalte maschinell auswertbar sein können, gehören Disketten, CD, DVD, Festplatten, Magnetplatten, Magnetbänder, USB-Sticks. Sog. Bildträger gehören nicht dazu. COLD-Verfahren (computer output on laser disc) gehört dazu, soweit das Datenformat maschinell auswertbar ist.
5.6.1. Revisionssicherheit der Archivierung
Wichtig ist ferner, dass die Daten unveränderbar auf revisionssicheren Medien gespeichert werden sollen. Magnet-Datenträger erfüllen diese Anforderungen nicht. Einmalig beschreibbare optische Datenträger erfüllen diese Voraussetzungen (noch). In Fällen, wo der Datenträger die Unverändertheit nicht gewährleistet, sieht es die Finanzbehörde als ausreichend an, wenn sichergestellt ist, dass Zugriffe auf diesen Sicherungsbestand protokolliert und Veränderungen zusätzlich gespeichert werden. Dies bezeichnet die Finanzverwaltung mit „unveränderbarer Index“.
5.6.1.1. Haltbarkeit der Archivierungs-Medien
Der Steuergesetzgeber hat keine Vorgaben hinsichtlich der Datenträger gemacht. Angesichts der Entwicklungsgeschwindigkeit in der Informationstechnik wäre dies auch ein sinnloses Unterfangen gewesen. Die sog. „Radier-Paragraphen“ § 146 (4) AO und § 239 (3) HGB sind gleichwohl immer noch einzuhalten.
Die gesetzlichen Aufbewahrungsfristen von 6 und 10 Jahren sind in der IT eine fast unendlich lange Zeit. Dies macht sich auch bei der Mindesthaltbarkeit der Datenträger bemerkbar. Die sind nicht für die Ewigkeit gebaut. Es droht in dieser Zeit immer Datenverlust. Die Hersteller der Datenträger gehen im Allgemeinen von folgenden Haltbarkeitsdauern aus:
o Papier 100 Jahre
o Mikrofilm 30 Jahre
o CD-ROM 20 Jahre
o Magnetplatten 5 Jahre
o Disketten, je nach Qualität der Magnet-Oxydschicht 3 Jahre bis 1 Jahr
o Magnetbänder 2 Jahre
5.6.1.2. Sicherheit der Aufbewahrung
Für alle Sicherungen gilt, dass sie aus Sicherheitsgründen vorzugsweise ausserhalb der Betriebsumgebung gelagert werden sollten (zB im Banksafe). Werden sie im eigenen Safe gelagert, müssen die „magnetischen“ Sicherungen unbedingt von elektromagnetischen Störfeldern ferngehalten werden. Dies scheint leicht möglich, man sollte jedoch daran denken, dass sich Tresore im Falle eines Brandes so stark erhitzen können, dass sich ihre Schliessanlagen verziehen. Der Inhalt ist dann zwar möglicherweise noch erhalten, die Tür muss aber aufgeschweisst werden; und wenn dies mit elektrischen Schweissgeräten geschieht, dann entstehen eben diese starken elektromagnetischen Felder, die die Datensicherungen bis zur Unlesbarkeit beeinträchtigen. Dass ein Unternehmensarchiv wertvoll ist und eine Versicherung erhalten sollte, die desaster recovery und Wiederanlauf einschliesst, sei nur am Rande erwähnt.
Der Steuergesetzgeber fordert eine Aufbewahrung und Wiedergabe aller elektronisch archivierten „Geschäftsunterlagen“ in bildlicher Übereinstimmung. Gescannte Buchungsbelege, Handels- oder Geschäftsbriefe müssen also in derselben Erscheinung wie das Original daherkommen, auch was die farbliche und andere optische Gestaltung angeht.
5.6.1.2. Systemunabhängigkeit der Archivierung
Es ist damit klar, dass für die digitale Archivierung ein systemunabhängiges Archiv benötigt wird. Die Erfüllung der gesetzlichen Vorgaben zur Aufbewahrung, Lesbarmachung und maschinellen Auswertbarkeit ist eine hochkomplexe Aufgabe. Sie wird problematisch bleiben, denn in allen Unternehmen wird software unterschiedlichster Lieferanten, wird Individualsoftware eingesetzt. Die Formate der Datensätze, die Seitenbeschreibungssprachen, die Dialekte der Programmiersprachen, die Trennung und die Länge der Datenfelder, all das ist individuell. Die Komplexität wird noch gesteigert durch Systemwechsel bei hard- und software, sei es ein update oder ein Wechsel des Herstellers; und insgesamt wird die Sache noch weiter verkompliziert dadurch, dass Datenmodelle und Datenbanken innerhalb der gesetzlichen Aufbewahrungsfristen „leben“, sich also ständig verändern; die Finanzverwaltung verlangt aber die Auswertungsfähigkeit auf dem Stand des untersuchten Buchungsjahres. Um den Betriebsprüfern die Möglichkeit zu geben, die Arbeitsweise des Unternehmensarchivs, das Zustandekommen von originär erzeugten Daten mit steuerlicher Relevanz zu prüfen, schreibt er den Steuerpflichtigen die Erstellung und Vorlage einer „Verfahrensbeschreibung“ zwingend vor. Mit dieser Verfahrensbeschreibung erhält der Prüfer ein Organisationshandbuch des Unternehmens, eine Landkarte über die IT-Umgebung, historisiert nach den Prüfungszeiträumen; ausserdem Auskunft über die in der IT arbeitenden Stellen und ihre Kompetenzen zB hinsichtlich Löschung und Änderung von Daten. Der Prüfer erfährt, wo Systemdateien, exception reports und LogFiles abgelegt sind und wie der work flow der Dokumente im Unternehmen gestaltet ist. All dies sind wertvolle Informationen für jede Prüfung, aber auch für jedes Unternehmen. Den Prüfer setzt es im Jahr 2008 in die Lage, die Informationsverarbeitung des Jahres 2005 zu überblicken und seine Prüfungshandlungen entsprechend den Effizienzanforderungen der Finanzverwaltung zu planen. Und dem Gesetzgeber scheint das dringend notwendig. Allein Umsatzsteuer-Karussells kosten den Fiskus jährlich, je nach Berechnungsmethode, zwischen 15 und 21 Milliarden Euro; bedeutet konkret: Gelingt es, diese Summe zu halbieren, ist eine Erhöhung des vollen Umsatzsteuersatzes zunächst nicht mehr nötig. Die Umsatzsteuer ist neben den Ertragssteuern die 2. grosse Quelle der Finanzierung des Staatshaushalts. Um allein diese Form des Steuerbetrugs zu unterbinden, denkt der Steuergesetzgeber über einen tiefen Einschnitt in das Mehrwertsteuer-System nach; die Finanzminister-Konferenz hat am 17. Oktober 2005 die Einführung des sog. reverse-charge-Verfahrens beschlossen. Es gibt damit keinen Vorsteuer-Abzug mehr, die Umsatzsteuer wird an der Schnittstelle zum Endverbraucher angemeldet und abgeführt. Aus dem selben Grund, aus dem das reverse-charge-Verfahren eingeführt werden soll, wird die Finanzverwaltung auf der Einhaltung der Vorschriften der GdPDU und der GOBS bestehen: Die Staatsfinanzen bedürfen einer dringenden Sanierung. Kosteneinsparungen sind zugleich Leistungskürzungen; deren Durchsetzung ist problematisch bis fraglich; bleibt als der „leichtere Weg“ die Erhöhung der Einnahmen. Eine Steuererhöhung ist ebenfalls problematisch bis gar nicht durchsetzbar, die Einführung neuer Steuern scheidet aus, aber die Prüfungsdichte, die Prüfungseffizienz kann mit dem vorhandenen Personal verstärkt werden und wird dann zu Mehr-Einnahmen führen, ohne dass es –vom Einzelfall abgesehen- grössere Durchsetzungsprobleme geben wird. Und um den Prüfern die Struktur der Informationsverarbeitung digitaler Daten mit steuerlicher Relevanz im geprüften Unternehmen zu verdeutlichen, beurteilen zu lassen, verlangt der Steuergesetzgeber nun einen Einblick in die Verfahrensbeschreibung, die er als steuerlich relevantes Geschäftspapier und damit als vorlagepflichtig ansieht.
Auch der Unternehmer profitiert von der Verfahrensbeschreibung, erhält er doch einen Überblick über seine IT-Umgebung, die Speicherplätze wichtiger Dokumente, die Verteilung von hard- und software, eine historisierte Auflistung der software-Stände und der Zugriffskompetenzen seiner Mitarbeiter etc. Eine gepflegte Verfahrensbeschreibung ist eine Abbildung der Organisations-Kultur des Unternehmens.
5.7. GdPDU-Konformität
Der Steuergesetzgeber lässt die Frage nach der GdPDU-Konformität von Archivsystemen unter folgenden Grundsätzen prüfen:
o Wird das Archiv lediglich zur Speicherung und Wiedereinspielung von Daten in Produktiv-Systeme genutzt, ist es für die Prüfung nicht interessant. Der Prüfer hat Zugriffs-Möglichkeiten auf das produktive System und wird sie nutzen.
o Soll die Prüfung mittels Zugriff aufs Archiv geschehen, muss das Archivsystem qualitativ und quantitativ Auswertungen ermöglichen, die denen des Produktivsysteme inkl. Der Auswertungstools im Prüfungsjahr (!) gleichen.
o Bei einem Systemwechsel müssen die Auswertungsmöglichkeiten denen des Alt-Systems im Prüfungsjahr (!) gleichen. Ist das technisch nicht möglich, sind die Alt-Systeme während des Aufbewahrungszeitraums betriebsbereit vorzuhalten.
o Standardisierte Auswertungsprogramme, die vorhanden, aber nicht installiert sind, sind auf Anfrage zur Nutzung durch den Prüfer bereitzustellen.
Inhalt der Verfahrensdokumentation
2. Inhalt der Verfahrensdokumentation
2.1. Einführung
Eine Verfahrensdokumentation bildet den organisatorischen und technischen Prozess von der Informationsentstehung über Indexierung und Speicherung, Wiederfinden, Absicherung gegen Verlust oder Verfälschung und Reproduktion an Bildschirm und Drucker ab.
Das HGB schreibt –in Grundzügen- die Belegverwaltung für das Rechnungswesen vor. Es fordert Ordnungsmässigkeit, Nachvollziehbarkeit, Unverfälschbarkeit etc. Die AO wurde am 16. Juli 2001 durch die Verabschiedung der Grundsätze der Prüfbarkeit digitaler Unterlagen (GdPDU) geändert. Diese Grundsätze regeln aus steuerlicher Sicht die Archivierung selbsterstellter Dokumente. Sie berechtigen den steuerlichen Betriebsprüfer zugleich zu lesenden Zugriffen auf Dokumente und Transaktionsabbildungen wie Buchungssätze und andere. Die Verfahrensdokumentation dient in der steuerlichen Betriebsprüfung zum Nachweis des Einhalts der o.g. Anforderungen. Eine gut gemachte Verfahrensdokumentation bietet jedoch weiteren Nutzen, der über die steuerliche Betriebsprüfung hinausgeht. Sie dokumentiert die vollständige und geplante Unternehmensverwaltung. Da die Abbildung der Unternehmensverwaltung vor allem auf Belegebene, sowohl papiergebunden als auch digital erfolgt, ist die Abbildung der in der Bearbeitung und Archivierung von Belegen genutzten Systeme und gewählten Prozesse wichtig. Dies bestimmt die Detaillierung der Verfahrensbeschreibung. Alle Punkte, die für die Nachvollziehbarkeit von Organisationshandeln erforderlich sind, sind hier aufzunehmen.
2.2.1. Allgemeine Inhaltsbeschreibung
In einer Verfahrensbeschreibung sollten enthalten sein:
• Allgemeine Definition der Verwaltungsprozesse im Unternehmen, der Erstellung von Dokumenten und deren Archivierung
• Sachlogische Systemlösung
• Technische Ausführung der Systemlösung; Migration
• Systemschutz und –sicherheit
• Beschreibung des Betriebs des Systems
• Prozessbeschreibungen
• Mitarbeiter-Qualifikation
• Tests, updates, Wartungen
2.2.2 Struktur und Inhalt
Sind diese Punkte umfänglich beschrieben, ist die Verfahrensbeschreibung fertig. Damit Aussenstehende Struktur und Inhalt nachvollziehen können, sollten zusätzlich Informationen gegeben werden zur Verantwortlichkeit; aufgeteilt auf Hersteller, Integrator und Betreiber.
Allgemeine Definition der Verwaltungsprozesse im Unternehmen, der Erstellung von Dokumenten und deren Archivierung
Beschreibung des Unternehmens allgemein, Identifizierung der betroffenen Bereiche, Beschreibung der Aufgaben;
Beschreibung der allgemeinen Aufbau-Organisation, zB in Form eines Organigramms, Darstellung zwischen fachlichen und technischen Bereichen der Verwaltung, Stellenpläne, Arbeitsanweisungen;
Darstellung der Verwaltungsprozesse der betroffenen Bereiche (Zugang, Absicherung, Stellvertretungen);
Sachlogische Systemlösung
Anwendungsbeschreibung
Welche Aufgaben hat die Anwendung? Wie löst sie die Aufgaben?
Strukturbeschreibung für Schlüsselverzeichnisse, Aktenpläne, Klasseneinteilung der Dokumente, Befristung der Aufbewahrung, Vernichtungs- und Löschpläne
GdPDU-Relevanz
Welche Dokumentenbestände sind für Prüfungen wichtig?
Welche Systeme erstellen Dokumente? In welchen Bereichen?
Finanzbuchhaltung
Anlagen-Buchhaltung
Warenwirtschafts-System
Liquiditätssteuerung
Debitoren- und Kreditoren-Buchhaltung
Fremdkapital-Verwaltung
Lohnbuchhaltung
Etc.
Wie lauten die Dokumentformate?
Wo sind die Dokumente gespeichert?
Wie sind ihre Indizes strukturiert?
All
Wer darf wann auf Daten zugreifen? Wie sind die Zugriffsberechtigungen für Prüfungen?
Die Berechtigungseinstellungen sind zu beschreiben
Wie wird sichergestellt, dass nur berechtigte Personen nur auf von ihnen aktuell benötigte Daten zugreifen?
Wie werden diese Berechtigung im Fall einer Prüfung organisiert?
Welche Möglichkeiten des Zugriffs werden den Prüfern eingeräumt?
Die Möglichkeiten des Zugriffs sind ebenso zu beschreiben wie die Art der Bereitstellung von Dokumenten
Es ist zu unterscheiden
• Lesender Zugriff über die ausführende Anwendung oder das Archiv
• Bereitstellung der Daten zur maschinellen Auswertung
• Bereitstellung von Dokumenten zur maschinellen Auswertung
Wie wird sichergestellt, dass auch archivierte Daten in der Prüfung unverzüglich bereitgestellt werden?
Welche Vorgaben für Löschungen von Informationen/ Dateien und Vernichtung von Dokumenten gibt es?
Wie sind die Regeln der Löschung prüfungsrelevanter Daten in den produktiven Systemen?
Wie sind die maschinellen Auswertungsmöglichkeiten nach dem Löschdatum organisiert?
Technische Ausführung der Systemlösung, Migration
Welche Standard-Software wird im Unternehmen genutzt?
Wie sind die eingesetzten Programme zu beschreiben?
• Betriebssysteme
• Treiber-Software
• Standard-Module
• Werkzeuge zur System-Administration
• Programmier-Werkzeuge
Welche Software-Komponenten sind individualisiert/ customized?
Gibt es dafür ein Pflichtenheft?
Welche Anwendungserweiterungen gibt es?
Welche Konfigurationseinstellungen brauchen die?
Wie heissen die Module?
Welche Aufgaben erledigen sie?
Welche Standard-Software-Module beliefern sie?
Über welche Schnittstellen?
In welchen Versionen wurden sie genutzt?
Ist die Nutzung historisiert? Ist die Historisierung erkennbar?
Welche Programmiersprachen wurden genutzt?
Wer pflegt die Software?
Welche Datenbanken sind im System vorhanden?
Beschreibung der Datenbank-Typen mit technischen Daten
Wie sind die Datenbanken konfiguriert?
Wie wird die Integrität der Datenbank gesichert?
Wie wird die Konsistenz der Daten gesichert?
Wie laufen die Sicherungen innerhalb der Datenbank?
Mit welchen Anwendungen kommuniziert die Datenbank?
Werden Datenbank-Transaktionen protokolliert?
Gibt es abgesicherte Zugriffsverfahren?
Welche Möglichkeiten der Änderung von Daten gibt es?
Welche Löschungsregeln und –verfahren gibt es?
Wie sind die Replikations-Möglichkeiten gestaltet?
Wie ist die Datenbank in die Sammlung der Datenbanken integriert?
Wie ist dieses Modell zu beschreiben?
Hardware
Welche Server sind im Einsatz?
Welche Clients sind im Einsatz
Welche Subsysteme unterstützen Server und Clients?
Technische Daten für jede Komponente
Hersteller
Speicherkapazität
RAM
Festplatte
Prozessoren
Anzahl
Typ
Taktung
Services und Umgebung
Wartungsverträge
Garantie-Ansprüche
Verfügbarkeits-Vereinbarungen
Wartungspläne
Betriebsbedingungen
Energieversorgung
Pufferung der Energieversorgung
Klimatisierung der Betriebsräume
Autarkie der Betriebsräume
Wie ist das Netzwerk des Unternehmens aufgebaut?
Logischer Aufbau
Konfiguration
Netzwerkbetriebssystem
Durchsatzraten
Genutzte Protokolle
Abnahme-Zertifikate
Typen und mögliche Anzahl der Clients
Redundanz und Absicherung der Ausfallsicherheit
Welche Ausgabe-Geräte gibt es?
Wie ist die Druckerlandschaft aufgestellt?
Wie werden die Daten im Unternehmen gespeichert?
Welche Speichersysteme gibt es?
Wie heissen die Hersteller?
Welche Speicherung wird genutzt?
Streamer
Festplatte
Optische Speichermedien
Einmalig beschreibbar
Wiederbeschreibbar
Wieviele Laufwerke sind im Einsatz?
Wie sind sie konfiguriert?
Wie stellt das Unternehmen sicher, dass die Sicherung über mehrere Generationen funktioniert?
Wer hat Zugang zu den Speicher-Medien?
Wer hat Zugriff auf die Sicherungen?
Darf die „Fernwartung“ die Sicherungen einsehen?
Kann die „Fernwartung“ Sicherungs-Prozesse anstossen/ überwachen?
Wie ist die Verwaltung der Sicherungsmedien organisiert
Logisch
Physikalisch
Welche Schnittstellen aus der Produktiv-Umgebung haben Kommunikation zur Sicherungs-Umgebung?
Wie ist die Betriebs- und Steuerungs-Software zu beschreiben?
Gibt es einen Wartungsplan für Sicherungen?
Gibt es eine Wiederanlaufplanung?
Gibt es eine Planung für desaster-recovery?
Welche Erfassungssysteme werden im Unternehmen genutzt?
Welche Input-Systeme gibt es?
Tastaturen
VoiceRecorder
Scanner
Wie ist deren technische Beschreibung?
Hersteller
Typenbeschreibung
Geschwindigkeit, Auflösung, Format, Komprimierungsverfahren
Welche Schnittstellen werden bedient?
Wird zusätzliche hard- und software wie zB compression boards oder spezielle Treiber benötigt?
Wie ist die Versionsverwaltung im Unternehmen geregelt?
Gibt es Dokumente über die eingesetzte Software und die zeitliche Nutzung unterschiedlicher Versionen?
Gibt es Dokumente zu Anpassungs-Anforderungen und deren Durchführung bei Fehlern oder Ergänzungen?
Wie werden Anpassungsanforderungen festgestellt?
Wie werden sie dokumentiert?
Wie sind die update-Verfahren organisiert?
Wie sind die Systeme konfiguriert?
Gibt es eine Übersicht der verschiedenen Konfigurationen?
Gibt es eine Übersicht über die Konfigurations-Parameter je genutzter Anwendung?
In welcher Form liegt diese Übersicht vor?
Wer hat darauf Zugriff?
Wie sind die Systeme dokumentiert?
Welche Dokumente gibt es über die Systemkomponenten?
Gibt es Hersteller-Dokumentationen?
Zu hardware, Systemkonfigurationen, Installationen, zu software, zu installierten Datenbanktabellen, zu Benutzerprofilen, zur Systemadministration
Fachkonzepte, IT-Konzeptionen, IT-Administration, operating handbooks, Prozessanleitungen für wiederkehrende Prozesse
Dokumentation der Datenbanken
Soll-Konzepte, anwendungsspezifische Handbücher, Betriebs- und Störungshandbücher
Wie abhängig ist das Unternehmen von der eingesetzten Software? Wie flexibel sind die Möglichkeiten des Systemwechsels/ Lieferantenwechsels?
Wie schwierig ist es, den Systemlieferanten zu wechseln? Müssen dazu grosse Teile der IT-Umgebung ausgetauscht werden?
Was geschieht mit den bisher genutzten Datenbanken?
Was geschieht mit den Archiven/ den Sicherungen?
Ist dann auch ein Wechsel der Betriebssysteme fällig?
Muss dann auch hardware getauscht werden?
Liegen Herstellerdokumentationen der Exportschnittstellen vor?
Systemschutz und –sicherheit
Wer darf auf welche Daten zugreifen?
Wie sind die Berechtigungsverfahren aufgebaut?
Wer darf was? Wann? Wird das protokolliert?
Gibt es eine Zugriffssicherung?
Password
LogIn
Client
Remote access
Schnittstellen
Sind die Clients geschützt?
Permanente Zugangssicherung
Arbeitsplätze
Serverräume
Schließanlage
Zugangskontrollen
Verbot der Mitnahme von Datenträgern
Verschlusszustand der Clients
Besitzen die Clients Disketten-Laufwerke?
Besitzen die Clients CD- oder DVD-Laufwerke?
Dürfen die genutzt werden? Sind die aktiviert?
Verfügen die Clients über SSB-Ports?
Gibt es Virenschutz?
Wie ist die Sicherheit des LAN/ des WAN?
Ist das Intranet durch firewalls abgeschottet?
Ist Internet-Nutzung erlaubt?
Wie ist dann das Sicherheitskonzept?
Wie wird der Datenfluss kontrolliert?
Welchen Datenfluss gibt es?
Wie wird er gegen Verluste im laufenden Betrieb abgesichert?
Wie redundant ist die Speicherung?
Wie ist der Datenfluss gegen Manipulationsversuche gesichert?
Wie wird das Netzwerk gegen Überlastungen gesichert?
Gibt es ein flow-control?
Wie ist die Speicherhierarchie organisiert?
Wie ist der Cache organisiert?
Gibt es eine Transaktionskontrolle?
Wie sind die Verfahren zur Wahrung der Datenintegrität gestaltet?
Wie werden die Referenzen zwischen aktiver Datenbank und Archiv hergestellt?
Wie werden die Daten vor Veränderungen geschützt?
Welche Regeln gibt es für
Restart
Recovery
Gibt es Protokollierungen bei allen Änderungen?
Wie sind die Archive konstruiert?
Wie ist das Ablagekonzept?
Wie ist die Beschreibung des vollständigen Ablaufs einer Archivierung?
Wie sind die Speicherformate der Dokumente, wie ist das Speicherverfahren?
Welche technischen Komponenten werden zur Speicherung eingesetzt?
Gibt es eine Auflistung der Speichermedien?
Gibt es Vorgaben über Aufbewahrungsdauer und –ort?
In welchen Formaten sind die Dokument-Typen abgelegt?
Welchen weiteren Standards und Normen unterliegt das Archiv?
Wie werden Arbeiten am Archiv protokolliert?
Wie sind die Protokollmechanismen in den Anwendungen konstruiert?
Gibt es eine Übersicht über vorhandene Protkolldateien, deren Aufbau mit Feld- und Inhaltsbeschreibung?
Gibt es Herstellerdokumentationen, auf die verwiesen wird?
Gibt es Musterausdrucke der Protokolldateien?
Unter welchen Konditionen werden die Daten archiviert?
Gibt es eine Beschreibung der Einsatzvoraussetzungen, differenziert nach
• Hardware
o Server
o Netzwerk
o Scanner
o Digitale Speicher
• Software
o Betriebssysteme
o Netzwerk
Welche Umgebungsbedingungen sind Voraussetzung für ordnungsgemässes Arbeiten?
• Technische Konditionen
o Klima
o Spannung
o Überspannungsschutz
o Spannungsab-/ ausfall
• Physische Schutzmassnahmen
o Zugangsbeschränkungen
o Zugangskontrollen
o Schutzmassnahmen
Feuer
Wasser
Einbruch/ Diebstahl
Vandalismus
Raumüberwachung
Temperaturüberwachung Prozessoren
Funktionsüberwachung Lüfter
o Wartungsanforderungen
o Sicherungskonzept
o Betriebs- und Bedienungsanweisung
Wie ist die Datenerfassung organisiert?
Wie ist die Beschreibung der Arbeitsanweisung bei der Datenerfassung?
Personenkreis, Stellenbeschreibung
Zeitpunkte der Erfassung
Vor- und Nachbearbeitung der Datenerfassung
Massnahmen der Qualitätssicherung
Kompressionsverfahren
Erfassungs-Protokolle
Versionierung der Dokumente
Löschungsregeln
Verfallsdaten
Wie ist der Import von Dokumenten organisiert?
Gibt es eine Arbeitsanweisung?
Import von Dateien
Import von Objekten
Ablauf des Scannens
Wie sind die Erfassungsprozesse organisiert?
Gibt es eine automatisierte Übernahme von digitalen (Massen-) Daten?
Wie sind die Regeln der Wiedergabe beschrieben?
Gibt es eine Beschreibung der Daten, die zusammen mit dem Dokument archiviert werden müssen?
Gibt es eine Stellenbeschreibung der mit dem Import-Prozess beteiligten Mitarbeiter, die Auskunft über deren dabei zu erledigenden Aufgaben gibt?
Wie wird der Dokumentenimport auf Vollständigkeit, Richtigkeit, Datenintegrität und –konsistent geprüft?
Wie ist der Prozess der Indizierung von Dokumenten organisiert?
Gibt es eine Arbeitsanweisung?
Gibt es ein flow-chart, welches den Ablauf vollständig abbildet?
Welche Begriffe sind als Ordnungskriterien und welche als Schlagworte zugelassen?
Gibt es Plausibilitätskontrollen?
Gibt es Übernahme- und Abgleichverfahren mit anderen Systemen?
Welche Massnahmen der Qualitätssicherung und –überwachung gibt es?
Wie ist der Prozess der Archivierung organisiert? Wie ist die Recherche organisiert?
Gibt es eine Arbeitsanweisung?
Gibt es Anweisungen, wann welches Dokument archiviert werden muss?
Gibt es Anweisungen, weil lange die Dokumente im Archiv verbleiben dürfen? Gibt es eine Organisation der Verfallsdaten? Was geschieht bei Eintritt des Verfallsdatums?
Gibt es ein Migrationskonzept zwischen Archiven verschiedener Ordnungen?
Gibt es Anweisungen, die Aufschluss geben über Dateien/ Dokumente, die Löschungsregeln vorgeben hinsichtlich physikalischer oder logischer Löschung?
Gibt es eine Beschreibung der unterschiedlichen Rechercheprozesse?
Clients
Web
Enabling
Wie ist der Prozess der Dokumentenbearbeitung/ der Reproduktion organisiert?
Gibt es eine Arbeitsanweisung?
In welcher Form dürfen die Dokumente bearbeitet/ verwendet/ verändert werden?
Welche Möglichkeiten der Reproduktion gibt es?
Formate
Qualität
Sind die Reproduktionsprozesse vollumfänglich beschrieben?
Anzeige
Ausdruck
Bereitstellung und Export
Welche Druck-Optionen gibt es? Wie ist deren Qualitätsstandard?
Gibt es Konfigurationslisten der Druckereinstellungen?
Gibt es Kompetenz-Beschreibungen hinsichtlich der Freigabe von Änderungen, Weiterleitungen, Genehmigungen, Speicherungen, Versionierungen?
Wie ist die Protokollierung organisiert?
Gibt es eine Beschreibung der Einstellung und der Nutzung der Protokollfunktionen?
Welchen Einstellungen folgen die Protokoll-Funktionen?
Wie lange werden die Protokolle erhalten?
Wie werden die Protokolle gespeichert?
Dateien
Druckdateien
Archivierungsdateien
Gibt es Protokolle, die in Papierform vorhanden sein müssen?
Wie wird deren Sicherheit gegen Verlust oder Verfälschung organisiert?
Welche Such- und Auswertungsoptionen der Protokolle/ in den Protokollen gibt es?
Wie ist die System-Administration organisiert?
Gibt es Beschreibungen
• Stelle des System-Administrators
• Stelle des System-Operators
• Benutzerverwaltung
• Kennwort-Verwaltung
o Regeln der Kennwort-Zulässigkeit
o Kalendarium der Kennwort-Wechsel
• Pflege der Verschlagwortung
• Wiederkehrende Sicherungs-Überprüfung
• Ablaufdaten der Verschleissteile
• Spiegelung der Archiv-Medien
• Auslagerung der Sicherung der Archiv-Medien
• Datensicherung
• Administration der Datenbanken
• Regeln der Fernwartung
• Fehler-Management
• Desaster Recovery
• Wiederanlaufplanung
• Dokumentation der durchzuführenden/ durchgeführten Tätigkeiten
o Mit Beschreibung der ausführenden Stellen/ Personen und Benennung/ Protokollierung der kalendarischen Aktionsdaten
Welche Anforderungen an die Mitarbeiter-Qualifikation gibt es? Sind diese Anforderungen dokumentiert?
Welche Rollen sind welchen Mitarbeitern zugewiesen?
In den Bereichen
• Erfassung
• Indizierung
• Bearbeitung
• Fachadministration
• Systemadministration
Welche Kompetenzen benötigen die Mitarbeiter?
Gibt es in den Stellenbeschreibungen?
• Gibt es dort Mindestanforderungen?
o Persönliche Anforderungen
o Fachliche Qualifikation
o Technische Qualifikation
o Soziale Qualifikation
Wie ist die Zuordnung der Mitarbeiter zu ihren definierten Rollen?
Wie werden die erforderlichen Qualifikationen nachgewiesen und auf dem benötigten Stand der Aktualität gehalten?
Gibt es Test- und formelle Abnahmeverfahren für die eingesetzte Technik?
Welche Testdokumentation für die durchgeführen Systemtests liegen vor?
Wo lagern die dazugehörigen Testdaten?
Wo ist die Systemkonfiguration für die Tests festgehalten?
Gibt es förmliche und von den Teilnehmern unterzeichnete Testprotokolle?
Enthaltend:
• Beschreibung der Testfälle mit ihren Parametern
• Testnummer und Testfall
• Beschreibung
• Testergebnis
• Fehlerbeschreibung und Klassifizierung der Abnahmerelevanz
• Anzahl der Durchläufe
• Teilnehmer
• Testdatum und –status
Gibt es ein förmliches Abnahmedokument vom Betreiber oder von einer dritten Seite?
Ist darin enthalten:
• Versionen der eingesetzten Software
• Verweis auf Verfahrensdokumentation
• Art und Weise der Abnahmetests
• Einschränkungen im laufenden Betrieb
• Einschränkungen der Abnahme
• Nummer der Abnahme
• Abnehmende Instanz
• Datum und Unterschrift
Gibt es eine organisierte Systemwartung?
Welches sind die wartungsbezogenen Anforderungen
• Konzept
o Fristen
o Einzelne Massnahmen
o Terminüberwachung
o Überwachung der Wartung
o Eskalations-Stufen
o Abnahme der Wartungsleistung
• Prophylaxe
o Richtlinien der Betreiber oder der Hersteller
o Systemanalysen
o Protokoll-Überwachungen
Wie werden die Wartungen personell umgesetzt?
• Personelle Zuordnung
• Umfang des Wartungsstabes
• Qualifikation der handelnden Personen
Wie wird die Wartung dokumentiert?
Ist die Dokumentation in das Wartungskonzept einbezogen?
Werden die Zeitpunkte, der Umfang, die Ergebnisse der Wartungsarbeiten dokumentiert? Werden die Namen der durchführenden Mitarbeiter festgehalten?
Die vorstehende Ausführung ist ein „Masterplan“, der natürlich angepasst werden muss. Die Individualisierung wird dann zu einer deutlichen Verkürzung führen.
2.1. Einführung
Eine Verfahrensdokumentation bildet den organisatorischen und technischen Prozess von der Informationsentstehung über Indexierung und Speicherung, Wiederfinden, Absicherung gegen Verlust oder Verfälschung und Reproduktion an Bildschirm und Drucker ab.
Das HGB schreibt –in Grundzügen- die Belegverwaltung für das Rechnungswesen vor. Es fordert Ordnungsmässigkeit, Nachvollziehbarkeit, Unverfälschbarkeit etc. Die AO wurde am 16. Juli 2001 durch die Verabschiedung der Grundsätze der Prüfbarkeit digitaler Unterlagen (GdPDU) geändert. Diese Grundsätze regeln aus steuerlicher Sicht die Archivierung selbsterstellter Dokumente. Sie berechtigen den steuerlichen Betriebsprüfer zugleich zu lesenden Zugriffen auf Dokumente und Transaktionsabbildungen wie Buchungssätze und andere. Die Verfahrensdokumentation dient in der steuerlichen Betriebsprüfung zum Nachweis des Einhalts der o.g. Anforderungen. Eine gut gemachte Verfahrensdokumentation bietet jedoch weiteren Nutzen, der über die steuerliche Betriebsprüfung hinausgeht. Sie dokumentiert die vollständige und geplante Unternehmensverwaltung. Da die Abbildung der Unternehmensverwaltung vor allem auf Belegebene, sowohl papiergebunden als auch digital erfolgt, ist die Abbildung der in der Bearbeitung und Archivierung von Belegen genutzten Systeme und gewählten Prozesse wichtig. Dies bestimmt die Detaillierung der Verfahrensbeschreibung. Alle Punkte, die für die Nachvollziehbarkeit von Organisationshandeln erforderlich sind, sind hier aufzunehmen.
2.2.1. Allgemeine Inhaltsbeschreibung
In einer Verfahrensbeschreibung sollten enthalten sein:
• Allgemeine Definition der Verwaltungsprozesse im Unternehmen, der Erstellung von Dokumenten und deren Archivierung
• Sachlogische Systemlösung
• Technische Ausführung der Systemlösung; Migration
• Systemschutz und –sicherheit
• Beschreibung des Betriebs des Systems
• Prozessbeschreibungen
• Mitarbeiter-Qualifikation
• Tests, updates, Wartungen
2.2.2 Struktur und Inhalt
Sind diese Punkte umfänglich beschrieben, ist die Verfahrensbeschreibung fertig. Damit Aussenstehende Struktur und Inhalt nachvollziehen können, sollten zusätzlich Informationen gegeben werden zur Verantwortlichkeit; aufgeteilt auf Hersteller, Integrator und Betreiber.
Allgemeine Definition der Verwaltungsprozesse im Unternehmen, der Erstellung von Dokumenten und deren Archivierung
Beschreibung des Unternehmens allgemein, Identifizierung der betroffenen Bereiche, Beschreibung der Aufgaben;
Beschreibung der allgemeinen Aufbau-Organisation, zB in Form eines Organigramms, Darstellung zwischen fachlichen und technischen Bereichen der Verwaltung, Stellenpläne, Arbeitsanweisungen;
Darstellung der Verwaltungsprozesse der betroffenen Bereiche (Zugang, Absicherung, Stellvertretungen);
Sachlogische Systemlösung
Anwendungsbeschreibung
Welche Aufgaben hat die Anwendung? Wie löst sie die Aufgaben?
Strukturbeschreibung für Schlüsselverzeichnisse, Aktenpläne, Klasseneinteilung der Dokumente, Befristung der Aufbewahrung, Vernichtungs- und Löschpläne
GdPDU-Relevanz
Welche Dokumentenbestände sind für Prüfungen wichtig?
Welche Systeme erstellen Dokumente? In welchen Bereichen?
Finanzbuchhaltung
Anlagen-Buchhaltung
Warenwirtschafts-System
Liquiditätssteuerung
Debitoren- und Kreditoren-Buchhaltung
Fremdkapital-Verwaltung
Lohnbuchhaltung
Etc.
Wie lauten die Dokumentformate?
Wo sind die Dokumente gespeichert?
Wie sind ihre Indizes strukturiert?
All
Wer darf wann auf Daten zugreifen? Wie sind die Zugriffsberechtigungen für Prüfungen?
Die Berechtigungseinstellungen sind zu beschreiben
Wie wird sichergestellt, dass nur berechtigte Personen nur auf von ihnen aktuell benötigte Daten zugreifen?
Wie werden diese Berechtigung im Fall einer Prüfung organisiert?
Welche Möglichkeiten des Zugriffs werden den Prüfern eingeräumt?
Die Möglichkeiten des Zugriffs sind ebenso zu beschreiben wie die Art der Bereitstellung von Dokumenten
Es ist zu unterscheiden
• Lesender Zugriff über die ausführende Anwendung oder das Archiv
• Bereitstellung der Daten zur maschinellen Auswertung
• Bereitstellung von Dokumenten zur maschinellen Auswertung
Wie wird sichergestellt, dass auch archivierte Daten in der Prüfung unverzüglich bereitgestellt werden?
Welche Vorgaben für Löschungen von Informationen/ Dateien und Vernichtung von Dokumenten gibt es?
Wie sind die Regeln der Löschung prüfungsrelevanter Daten in den produktiven Systemen?
Wie sind die maschinellen Auswertungsmöglichkeiten nach dem Löschdatum organisiert?
Technische Ausführung der Systemlösung, Migration
Welche Standard-Software wird im Unternehmen genutzt?
Wie sind die eingesetzten Programme zu beschreiben?
• Betriebssysteme
• Treiber-Software
• Standard-Module
• Werkzeuge zur System-Administration
• Programmier-Werkzeuge
Welche Software-Komponenten sind individualisiert/ customized?
Gibt es dafür ein Pflichtenheft?
Welche Anwendungserweiterungen gibt es?
Welche Konfigurationseinstellungen brauchen die?
Wie heissen die Module?
Welche Aufgaben erledigen sie?
Welche Standard-Software-Module beliefern sie?
Über welche Schnittstellen?
In welchen Versionen wurden sie genutzt?
Ist die Nutzung historisiert? Ist die Historisierung erkennbar?
Welche Programmiersprachen wurden genutzt?
Wer pflegt die Software?
Welche Datenbanken sind im System vorhanden?
Beschreibung der Datenbank-Typen mit technischen Daten
Wie sind die Datenbanken konfiguriert?
Wie wird die Integrität der Datenbank gesichert?
Wie wird die Konsistenz der Daten gesichert?
Wie laufen die Sicherungen innerhalb der Datenbank?
Mit welchen Anwendungen kommuniziert die Datenbank?
Werden Datenbank-Transaktionen protokolliert?
Gibt es abgesicherte Zugriffsverfahren?
Welche Möglichkeiten der Änderung von Daten gibt es?
Welche Löschungsregeln und –verfahren gibt es?
Wie sind die Replikations-Möglichkeiten gestaltet?
Wie ist die Datenbank in die Sammlung der Datenbanken integriert?
Wie ist dieses Modell zu beschreiben?
Hardware
Welche Server sind im Einsatz?
Welche Clients sind im Einsatz
Welche Subsysteme unterstützen Server und Clients?
Technische Daten für jede Komponente
Hersteller
Speicherkapazität
RAM
Festplatte
Prozessoren
Anzahl
Typ
Taktung
Services und Umgebung
Wartungsverträge
Garantie-Ansprüche
Verfügbarkeits-Vereinbarungen
Wartungspläne
Betriebsbedingungen
Energieversorgung
Pufferung der Energieversorgung
Klimatisierung der Betriebsräume
Autarkie der Betriebsräume
Wie ist das Netzwerk des Unternehmens aufgebaut?
Logischer Aufbau
Konfiguration
Netzwerkbetriebssystem
Durchsatzraten
Genutzte Protokolle
Abnahme-Zertifikate
Typen und mögliche Anzahl der Clients
Redundanz und Absicherung der Ausfallsicherheit
Welche Ausgabe-Geräte gibt es?
Wie ist die Druckerlandschaft aufgestellt?
Wie werden die Daten im Unternehmen gespeichert?
Welche Speichersysteme gibt es?
Wie heissen die Hersteller?
Welche Speicherung wird genutzt?
Streamer
Festplatte
Optische Speichermedien
Einmalig beschreibbar
Wiederbeschreibbar
Wieviele Laufwerke sind im Einsatz?
Wie sind sie konfiguriert?
Wie stellt das Unternehmen sicher, dass die Sicherung über mehrere Generationen funktioniert?
Wer hat Zugang zu den Speicher-Medien?
Wer hat Zugriff auf die Sicherungen?
Darf die „Fernwartung“ die Sicherungen einsehen?
Kann die „Fernwartung“ Sicherungs-Prozesse anstossen/ überwachen?
Wie ist die Verwaltung der Sicherungsmedien organisiert
Logisch
Physikalisch
Welche Schnittstellen aus der Produktiv-Umgebung haben Kommunikation zur Sicherungs-Umgebung?
Wie ist die Betriebs- und Steuerungs-Software zu beschreiben?
Gibt es einen Wartungsplan für Sicherungen?
Gibt es eine Wiederanlaufplanung?
Gibt es eine Planung für desaster-recovery?
Welche Erfassungssysteme werden im Unternehmen genutzt?
Welche Input-Systeme gibt es?
Tastaturen
VoiceRecorder
Scanner
Wie ist deren technische Beschreibung?
Hersteller
Typenbeschreibung
Geschwindigkeit, Auflösung, Format, Komprimierungsverfahren
Welche Schnittstellen werden bedient?
Wird zusätzliche hard- und software wie zB compression boards oder spezielle Treiber benötigt?
Wie ist die Versionsverwaltung im Unternehmen geregelt?
Gibt es Dokumente über die eingesetzte Software und die zeitliche Nutzung unterschiedlicher Versionen?
Gibt es Dokumente zu Anpassungs-Anforderungen und deren Durchführung bei Fehlern oder Ergänzungen?
Wie werden Anpassungsanforderungen festgestellt?
Wie werden sie dokumentiert?
Wie sind die update-Verfahren organisiert?
Wie sind die Systeme konfiguriert?
Gibt es eine Übersicht der verschiedenen Konfigurationen?
Gibt es eine Übersicht über die Konfigurations-Parameter je genutzter Anwendung?
In welcher Form liegt diese Übersicht vor?
Wer hat darauf Zugriff?
Wie sind die Systeme dokumentiert?
Welche Dokumente gibt es über die Systemkomponenten?
Gibt es Hersteller-Dokumentationen?
Zu hardware, Systemkonfigurationen, Installationen, zu software, zu installierten Datenbanktabellen, zu Benutzerprofilen, zur Systemadministration
Fachkonzepte, IT-Konzeptionen, IT-Administration, operating handbooks, Prozessanleitungen für wiederkehrende Prozesse
Dokumentation der Datenbanken
Soll-Konzepte, anwendungsspezifische Handbücher, Betriebs- und Störungshandbücher
Wie abhängig ist das Unternehmen von der eingesetzten Software? Wie flexibel sind die Möglichkeiten des Systemwechsels/ Lieferantenwechsels?
Wie schwierig ist es, den Systemlieferanten zu wechseln? Müssen dazu grosse Teile der IT-Umgebung ausgetauscht werden?
Was geschieht mit den bisher genutzten Datenbanken?
Was geschieht mit den Archiven/ den Sicherungen?
Ist dann auch ein Wechsel der Betriebssysteme fällig?
Muss dann auch hardware getauscht werden?
Liegen Herstellerdokumentationen der Exportschnittstellen vor?
Systemschutz und –sicherheit
Wer darf auf welche Daten zugreifen?
Wie sind die Berechtigungsverfahren aufgebaut?
Wer darf was? Wann? Wird das protokolliert?
Gibt es eine Zugriffssicherung?
Password
LogIn
Client
Remote access
Schnittstellen
Sind die Clients geschützt?
Permanente Zugangssicherung
Arbeitsplätze
Serverräume
Schließanlage
Zugangskontrollen
Verbot der Mitnahme von Datenträgern
Verschlusszustand der Clients
Besitzen die Clients Disketten-Laufwerke?
Besitzen die Clients CD- oder DVD-Laufwerke?
Dürfen die genutzt werden? Sind die aktiviert?
Verfügen die Clients über SSB-Ports?
Gibt es Virenschutz?
Wie ist die Sicherheit des LAN/ des WAN?
Ist das Intranet durch firewalls abgeschottet?
Ist Internet-Nutzung erlaubt?
Wie ist dann das Sicherheitskonzept?
Wie wird der Datenfluss kontrolliert?
Welchen Datenfluss gibt es?
Wie wird er gegen Verluste im laufenden Betrieb abgesichert?
Wie redundant ist die Speicherung?
Wie ist der Datenfluss gegen Manipulationsversuche gesichert?
Wie wird das Netzwerk gegen Überlastungen gesichert?
Gibt es ein flow-control?
Wie ist die Speicherhierarchie organisiert?
Wie ist der Cache organisiert?
Gibt es eine Transaktionskontrolle?
Wie sind die Verfahren zur Wahrung der Datenintegrität gestaltet?
Wie werden die Referenzen zwischen aktiver Datenbank und Archiv hergestellt?
Wie werden die Daten vor Veränderungen geschützt?
Welche Regeln gibt es für
Restart
Recovery
Gibt es Protokollierungen bei allen Änderungen?
Wie sind die Archive konstruiert?
Wie ist das Ablagekonzept?
Wie ist die Beschreibung des vollständigen Ablaufs einer Archivierung?
Wie sind die Speicherformate der Dokumente, wie ist das Speicherverfahren?
Welche technischen Komponenten werden zur Speicherung eingesetzt?
Gibt es eine Auflistung der Speichermedien?
Gibt es Vorgaben über Aufbewahrungsdauer und –ort?
In welchen Formaten sind die Dokument-Typen abgelegt?
Welchen weiteren Standards und Normen unterliegt das Archiv?
Wie werden Arbeiten am Archiv protokolliert?
Wie sind die Protokollmechanismen in den Anwendungen konstruiert?
Gibt es eine Übersicht über vorhandene Protkolldateien, deren Aufbau mit Feld- und Inhaltsbeschreibung?
Gibt es Herstellerdokumentationen, auf die verwiesen wird?
Gibt es Musterausdrucke der Protokolldateien?
Unter welchen Konditionen werden die Daten archiviert?
Gibt es eine Beschreibung der Einsatzvoraussetzungen, differenziert nach
• Hardware
o Server
o Netzwerk
o Scanner
o Digitale Speicher
• Software
o Betriebssysteme
o Netzwerk
Welche Umgebungsbedingungen sind Voraussetzung für ordnungsgemässes Arbeiten?
• Technische Konditionen
o Klima
o Spannung
o Überspannungsschutz
o Spannungsab-/ ausfall
• Physische Schutzmassnahmen
o Zugangsbeschränkungen
o Zugangskontrollen
o Schutzmassnahmen
Feuer
Wasser
Einbruch/ Diebstahl
Vandalismus
Raumüberwachung
Temperaturüberwachung Prozessoren
Funktionsüberwachung Lüfter
o Wartungsanforderungen
o Sicherungskonzept
o Betriebs- und Bedienungsanweisung
Wie ist die Datenerfassung organisiert?
Wie ist die Beschreibung der Arbeitsanweisung bei der Datenerfassung?
Personenkreis, Stellenbeschreibung
Zeitpunkte der Erfassung
Vor- und Nachbearbeitung der Datenerfassung
Massnahmen der Qualitätssicherung
Kompressionsverfahren
Erfassungs-Protokolle
Versionierung der Dokumente
Löschungsregeln
Verfallsdaten
Wie ist der Import von Dokumenten organisiert?
Gibt es eine Arbeitsanweisung?
Import von Dateien
Import von Objekten
Ablauf des Scannens
Wie sind die Erfassungsprozesse organisiert?
Gibt es eine automatisierte Übernahme von digitalen (Massen-) Daten?
Wie sind die Regeln der Wiedergabe beschrieben?
Gibt es eine Beschreibung der Daten, die zusammen mit dem Dokument archiviert werden müssen?
Gibt es eine Stellenbeschreibung der mit dem Import-Prozess beteiligten Mitarbeiter, die Auskunft über deren dabei zu erledigenden Aufgaben gibt?
Wie wird der Dokumentenimport auf Vollständigkeit, Richtigkeit, Datenintegrität und –konsistent geprüft?
Wie ist der Prozess der Indizierung von Dokumenten organisiert?
Gibt es eine Arbeitsanweisung?
Gibt es ein flow-chart, welches den Ablauf vollständig abbildet?
Welche Begriffe sind als Ordnungskriterien und welche als Schlagworte zugelassen?
Gibt es Plausibilitätskontrollen?
Gibt es Übernahme- und Abgleichverfahren mit anderen Systemen?
Welche Massnahmen der Qualitätssicherung und –überwachung gibt es?
Wie ist der Prozess der Archivierung organisiert? Wie ist die Recherche organisiert?
Gibt es eine Arbeitsanweisung?
Gibt es Anweisungen, wann welches Dokument archiviert werden muss?
Gibt es Anweisungen, weil lange die Dokumente im Archiv verbleiben dürfen? Gibt es eine Organisation der Verfallsdaten? Was geschieht bei Eintritt des Verfallsdatums?
Gibt es ein Migrationskonzept zwischen Archiven verschiedener Ordnungen?
Gibt es Anweisungen, die Aufschluss geben über Dateien/ Dokumente, die Löschungsregeln vorgeben hinsichtlich physikalischer oder logischer Löschung?
Gibt es eine Beschreibung der unterschiedlichen Rechercheprozesse?
Clients
Web
Enabling
Wie ist der Prozess der Dokumentenbearbeitung/ der Reproduktion organisiert?
Gibt es eine Arbeitsanweisung?
In welcher Form dürfen die Dokumente bearbeitet/ verwendet/ verändert werden?
Welche Möglichkeiten der Reproduktion gibt es?
Formate
Qualität
Sind die Reproduktionsprozesse vollumfänglich beschrieben?
Anzeige
Ausdruck
Bereitstellung und Export
Welche Druck-Optionen gibt es? Wie ist deren Qualitätsstandard?
Gibt es Konfigurationslisten der Druckereinstellungen?
Gibt es Kompetenz-Beschreibungen hinsichtlich der Freigabe von Änderungen, Weiterleitungen, Genehmigungen, Speicherungen, Versionierungen?
Wie ist die Protokollierung organisiert?
Gibt es eine Beschreibung der Einstellung und der Nutzung der Protokollfunktionen?
Welchen Einstellungen folgen die Protokoll-Funktionen?
Wie lange werden die Protokolle erhalten?
Wie werden die Protokolle gespeichert?
Dateien
Druckdateien
Archivierungsdateien
Gibt es Protokolle, die in Papierform vorhanden sein müssen?
Wie wird deren Sicherheit gegen Verlust oder Verfälschung organisiert?
Welche Such- und Auswertungsoptionen der Protokolle/ in den Protokollen gibt es?
Wie ist die System-Administration organisiert?
Gibt es Beschreibungen
• Stelle des System-Administrators
• Stelle des System-Operators
• Benutzerverwaltung
• Kennwort-Verwaltung
o Regeln der Kennwort-Zulässigkeit
o Kalendarium der Kennwort-Wechsel
• Pflege der Verschlagwortung
• Wiederkehrende Sicherungs-Überprüfung
• Ablaufdaten der Verschleissteile
• Spiegelung der Archiv-Medien
• Auslagerung der Sicherung der Archiv-Medien
• Datensicherung
• Administration der Datenbanken
• Regeln der Fernwartung
• Fehler-Management
• Desaster Recovery
• Wiederanlaufplanung
• Dokumentation der durchzuführenden/ durchgeführten Tätigkeiten
o Mit Beschreibung der ausführenden Stellen/ Personen und Benennung/ Protokollierung der kalendarischen Aktionsdaten
Welche Anforderungen an die Mitarbeiter-Qualifikation gibt es? Sind diese Anforderungen dokumentiert?
Welche Rollen sind welchen Mitarbeitern zugewiesen?
In den Bereichen
• Erfassung
• Indizierung
• Bearbeitung
• Fachadministration
• Systemadministration
Welche Kompetenzen benötigen die Mitarbeiter?
Gibt es in den Stellenbeschreibungen?
• Gibt es dort Mindestanforderungen?
o Persönliche Anforderungen
o Fachliche Qualifikation
o Technische Qualifikation
o Soziale Qualifikation
Wie ist die Zuordnung der Mitarbeiter zu ihren definierten Rollen?
Wie werden die erforderlichen Qualifikationen nachgewiesen und auf dem benötigten Stand der Aktualität gehalten?
Gibt es Test- und formelle Abnahmeverfahren für die eingesetzte Technik?
Welche Testdokumentation für die durchgeführen Systemtests liegen vor?
Wo lagern die dazugehörigen Testdaten?
Wo ist die Systemkonfiguration für die Tests festgehalten?
Gibt es förmliche und von den Teilnehmern unterzeichnete Testprotokolle?
Enthaltend:
• Beschreibung der Testfälle mit ihren Parametern
• Testnummer und Testfall
• Beschreibung
• Testergebnis
• Fehlerbeschreibung und Klassifizierung der Abnahmerelevanz
• Anzahl der Durchläufe
• Teilnehmer
• Testdatum und –status
Gibt es ein förmliches Abnahmedokument vom Betreiber oder von einer dritten Seite?
Ist darin enthalten:
• Versionen der eingesetzten Software
• Verweis auf Verfahrensdokumentation
• Art und Weise der Abnahmetests
• Einschränkungen im laufenden Betrieb
• Einschränkungen der Abnahme
• Nummer der Abnahme
• Abnehmende Instanz
• Datum und Unterschrift
Gibt es eine organisierte Systemwartung?
Welches sind die wartungsbezogenen Anforderungen
• Konzept
o Fristen
o Einzelne Massnahmen
o Terminüberwachung
o Überwachung der Wartung
o Eskalations-Stufen
o Abnahme der Wartungsleistung
• Prophylaxe
o Richtlinien der Betreiber oder der Hersteller
o Systemanalysen
o Protokoll-Überwachungen
Wie werden die Wartungen personell umgesetzt?
• Personelle Zuordnung
• Umfang des Wartungsstabes
• Qualifikation der handelnden Personen
Wie wird die Wartung dokumentiert?
Ist die Dokumentation in das Wartungskonzept einbezogen?
Werden die Zeitpunkte, der Umfang, die Ergebnisse der Wartungsarbeiten dokumentiert? Werden die Namen der durchführenden Mitarbeiter festgehalten?
Die vorstehende Ausführung ist ein „Masterplan“, der natürlich angepasst werden muss. Die Individualisierung wird dann zu einer deutlichen Verkürzung führen.
Abonnieren
Posts (Atom)