GoBD-Compliance schärft den technischen Blick der Steuerabteilung
Digitalisierung & Innovation
16. November 2021
Daten und Datenmanagement sind wesentliche Erfolgsfaktoren im 21. Jahrhundert. Doch mit der digitalen Transformation steigt die Anzahl unterschiedlichster IT-Systeme im Unternehmen. Dies bedeutet auch, dass die gesamte IT-Infrastruktur inklusive der Vernetzung immer komplexer wird. Eine systematische und dauerhafte Überwachung dieser Struktur hinsichtlich Vollständigkeit, Richtigkeit, Sicherheit und Verlässlichkeit ist absolut notwendig.
Doch wer ist dafür zuständig? Ist die Überprüfung eine reine IT-Verantwortung oder müssen auch andere Fachbereiche mitwirken? Gibt es gesetzliche und aufsichtliche Anforderungen, die erfüllt werden müssen?
Orientierung bieten zahlreiche Prüfungshinweise, Prüfungsstandards und BMF-Schreiben. Dazu gehören der IDW Prüfungsstandard PS 330, der IDW Prüfungsstandard PS 860, die IDW Prüfungshinweise PH 9.860.1, PH 9.860.2, PH 9.860.3 (neu) und PH 9.860.4 (neu), der DIN ISO/IEC 27001, die Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1) sowie das BMF-Schreiben zu den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD).
Neue Aufgaben für die Steuerabteilung
Die operative Implementierung und Überprüfung der IT-Infrastruktur liegt selbstverständlich bei der IT-Abteilung. Aber die Spezifikation der einzuhaltenden steuerlichen Anforderungen und die Überwachung dieser Anforderungen müssen durch die jeweiligen Experten erfolgen. Die steuerlichen IT-Anforderungen sind von der Finanzverwaltung in einem eigenständigen Regelungswerk dokumentiert. Ein Blick auf die GoBD zeigt, dass die Steuerabteilung vor neuen – insbesondere technischen – Herausforderungen steht. Die rechnungslegungsbezogene Überwachung der IT-Prozesse ist eine neue Aufgabe, die in der Neufassung der GoBD im Jahr 2019 bestätigt wurde. Mit der GoBD hat die Finanzverwaltung eine eigenständige Beschreibung der Anforderungen an die IT-Systeme des Steuerpflichtigen geschaffen. Doch welche Mittel hat die Steuerabteilung, diese Aufgaben effizient zu gestalten?
Das Damoklesschwert: unvollständige Dokumentation
Die Überprüfung der GoBD-Compliance erfolgt regelmäßig durch die Finanzverwaltung, und zwar im Rahmen der Betriebsprüfung. Die Praxis hat gezeigt, dass eine Bereitstellung der relevanten Dokumentationen und Einzelnachweise zur GoBD-Compliance mit zunehmendem Blick auf vergangene Wirtschaftsjahre des Unternehmens nicht immer ordnungsgemäß möglich ist.
Dieses Damoklesschwert einer unvollständig vorliegenden Dokumentation ohne die Möglichkeit einer Zertifizierung im jeweiligen Wirtschaftsjahr schwebt grundsätzlich über jedem Unternehmen. IT-Prüfungen des Wirtschaftsprüfers im Rahmen des Jahresabschlusses können als Beleg der steuerlichen Compliance nur bedingt weiterhelfen. Eine eigenständige Zertifizierung der GoBD-Compliance analog der Tax-Compliance war bis dato nicht standardisiert möglich. Den Bedarf hatten aber bereits einige Unternehmen erkannt und frühzeitig Konzepte zur Zertifizierung erarbeitet.
Sollte es darüber hinaus auch GoBD-Schwachstellen in der IT-Infrastruktur geben, bleiben diese möglicherweise über Jahre unerkannt, wenn Überprüfungen nicht stattfinden. Das Problem: GoBD-Schwachstellen gefährden die Tax-Compliance des Unternehmens.
Der PH 9.860.4 schließt eine Lücke
Der Prüfungshinweis PH 9.860.4, der im Juli 2021 veröffentlicht wurde (Quelle: IDW Life 8/2021, S. 865 ff.), ergänzt nun den Prüfungsstandard PS 860 um eine nichtabschlussbezogene Angemessenheits- oder zusätzliche Wirksamkeitsprüfung nach den steuerlichen Grundsätzen der GoBD. Durch den Prüfungshinweis wird die Lücke des BMF-Schreibens hinsichtlich einer standardisierten Prüfungsmöglichkeit der Erklärung des gesetzlichen Vertreters oder einer direkten Prüfung der GoBD-Compliance durch einen Wirtschaftsprüfer oder Steuerberater geschlossen.
Der Prüfungshinweis PH 9.860.4 ist in ein Basiselement und vier Ergänzungselemente unterteilt:
- Basiselement: Verfahrensdokumentation und generelle IT-Kontrollen
- Ergänzungselement 1: Belegeingang
- Ergänzungselement 2: Elektronischer Belegausgang
- Ergänzungselement 3: Elektronische Aufbewahrung
- Ergänzungselement 4: Datenzugriff der Finanzverwaltung
Im Anhang zum PH 9.860.4 hat das Institut der Wirtschaftsprüfer (IDW) mögliche Prüfungshandlungen erarbeitet, die eine Angemessenheits- oder Wirksamkeitsprüfung ausführlich beschreiben und einen Verweis auf die einschlägigen GoBD-Regelungen enthalten.
GoBD-Compliance ist Teil der Tax-Compliance
Unternehmen, die in der Vergangenheit bereits GoBD-Projekte erfolgreich abgeschlossen oder die GoBD seit ihrer Einführung 2014 bei allen IT-Projekten berücksichtigt haben, werden die Möglichkeit begrüßen, ihre GoBD-Compliance durch einen Wirtschaftsprüfer oder Steuerberater bestätigen lassen zu können. Profitieren werden auch Unternehmen, die über eine überschaubare Anzahl an IT-Systemen verfügen und die darin abgebildeten Geschäftsprozesse transparent aufgesetzt und mittels einer Verfahrensdokumentation gut dokumentiert haben.
Die neue Prüfungsmöglichkeit erhöht aber auch die Relevanz der kombinierten IT- und Tax-Compliance. Es ist offensichtlich, dass eine Tax-Compliance nur in Verbindung mit einer GoBD-Compliance erreicht werden kann. In der Praxis finden sich jedoch nicht selten Tax-Compliance-Management-Systeme (Tax CMS), die den Themenkomplex GoBD ausgeklammert haben. Der Knackpunkt: IT-Kontrollen wie Change-Management, Zugriff- und Zugangskontrollen, Prozesse und Betrieb der IT-Infrastruktur werden häufig als steuerlich nicht relevant eingestuft.
Praxisbeispiele für offene Punkte:
- die systematische Identifikation von GoBD-relevanten und -nichtrelevanten Systemen, insbesondere bei einer Veränderung des Systeminhalts über den Zeitablauf hinweg
- die Überwachung der Prozesse zur Etablierung, Änderung, Rezertifizierung und Entfernung von Nutzern und Berechtigungen inklusive Notfallusermanagement in steuerlich relevanten IT-Systemen
- die Überwachung der Prozesse zur vollständigen und lückenlosen Speicherung von empfangenen, veränderten oder gesendeten steuerlich relevanten Daten und Strukturinformationen über den gesamten Aufbewahrungszeitraum, was insbesondere bei dezentralen Systemen eine Herausforderung sein kann
Zertifizierung der steuerlichen IT-Systeme nach IDW PH 9.860.4
Der IDW Prüfungshinweis PH 9.860.4 bestätigt diese Aufgaben auch aus Sicht der Wirtschaftsprüfer. Seine Einführung (als Ergänzung zum Prüfungsstandard PS 860) zeigt: Das Institut der Wirtschaftsprüfer hat die in den letzten Jahren gestiegenen steuerlichen Anforderungen einer GoBD-Compliance klar erkannt. Mit dem Prüfungshinweis PH 9.860.4 wurde für Wirtschaftsprüfer und Steuerberater ein belastbarer Rahmen zur Angebotserstellung, Prüfung und Berichterstattung geschaffen. Diesen hatten die Unternehmen schon seit Längerem eingefordert. Damit skizziert der Prüfungshinweis den Weg zu einer GoBD-Compliance, die Teil der Tax-Compliance ist. Außerdem schafft das Rahmenwerk Raum für Verbesserungen und Anpassungen an die individuellen Erfordernisse der Unternehmen.
Trotzdem bleiben Fragen, die auch der IDW Prüfungshinweis PH 9.860.4 im Zusammenspiel mit dem BMF-Schreiben nicht beantwortet. Die regelmäßige Überprüfung der Einstufung eines steuerlich relevanten Systems ist und bleibt eine Herausforderung. Dies ist dem Umstand geschuldet, dass die Steuerfunktion in der Vergangenheit spätestens nach der Einführung eines neuen IT-Systems nicht mehr an Berechtigungsprozessen, Systemverbesserungen, Systemveränderungen oder der Abspaltung von Funktionsteilen beteiligt wurde. Der Bedarf an doppelt qualifiziertem Personal in den Bereichen Steuerrecht und IT ist offensichtlich, zumal die GoBD neben den explizit genannten Anforderungen noch weitere implizite Anforderungen enthält, die nur mit steuerlicher und technischer Kompetenz identifiziert werden können.
Vorbereitende Maßnahmen zur zertifizierten GoBD-Compliance
Die Einhaltung der „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ ist durchaus eine Herausforderung für die Steuerabteilung. Aber eine, die sie meistern kann – mit steuerlich und technisch geschärftem Blick. Von Vorteil ist, wenn Unternehmen eine steuerliche Digitalisierungsstrategie aufsetzen, einen GoBD-Verantwortlichen benennen, die GoBD-Anforderungen in den IT-Kernprozessen berücksichtigen und regelmäßige Kontrollen zur Überwachung und Verbesserung der GoBD-Compliance in ihr Tax CMS aufnehmen.
Für weitere Themen rund um die Wirtschaftsprüfung und Mazars folgen Sie uns auch auf LinkedIn, X und XING.
Macht Künstliche Intelligenz Wirtschaftsprüfer*innen überflüssig?
Wird Künstliche Intelligenz in Zukunft den Job der Wirtschaftsprüfer*innen übernehmen? Vier Einschränkungen der KI sprechen eher gegen die These. Eine Ergänzung der Prüfungsarbeit durch KI erscheint gleichwohl sinnvoll.
Weiterlesen
DORA: Bessere Cybersicherheit dank Wirtschaftsprüfer*innen?
Cyberangriffe nehmen weltweit rasant zu – vor allem die Finanzbranche gerät vermehrt ins Visier von Hackern. Um die Institute widerstandsfähiger zu machen, hat die EU den Digital Operational Resilience Act (DORA) verabschiedet. Wirtschaftsprüfer*innen sollen die Umsetzung der Maßnahmen ab 2025 kontrollieren. Sind sie dafür ausreichend vorbereitet? Digitale Technologien haben heutzutage eine zentrale Bedeutung für die […]
Weiterlesen
KI und Audit: Werden Wirtschaftsprüfer*innen noch gebraucht?
Immer mehr WPG setzen KI-Systeme in der Prüfung ein. Was bedeutet das für die Wirtschaftsprüfer*innen? Werden sie in der schönen neuen Prüfungswelt noch gebraucht? Und wenn ja: Wie machen sie sich fit für die Zukunft?
Weiterlesen
KI in der Wirtschaftsprüfung: Hat die Revolution begonnen?
Schon jetzt steigern WPG durch den Einsatz von KI ihre Effizienz und Prüfungsqualität. Zukünftig wird KI immer mehr prüfungsrelevante Bereiche erobern. Wo sind die Grenzen der neuen Technologie? Und gibt es auch Risiken?
Weiterlesen
Wie schützen Unternehmen ihre Daten wirksam gegen Gefahren?
Es braucht gar nicht die großen Investitionen und harten Sicherheitsmaßnahmen, um Hacker abzuwehren. Durch das Ordnen der bestehenden Sicherheitsmaßnahmen kann oft schon ein wirksamer Schutz gegen den Datenklau erreicht werden.
Weiterlesen
Mit Transparenz und Vertrauen zur neuen deutschen Datenkultur
ChatGPT macht es deutlich: Daten und ihre Verarbeitung werden immer wichtiger. Wie ein zeitgemäßer Umgang mit Daten aussehen könnte und welche Rolle Wirtschaftsprüfer*innen hierbei spielen, zeigt jetzt ein Positionspapier des IDW.
Weiterlesen
Machine Learning: Wie Wirtschaftsprüfer*innen davon profitieren
Um von den neuen Möglichkeiten des maschinellen Lernens zu profitieren, sollten Wirtschaftsprüfer*innen an ihrer Datenkompetenz arbeiten. Welche Möglichkeiten gibt es?
Weiterlesen
Spagat zwischen den Kulturen: Erfolgreiche Zusammenarbeit über Ländergrenzen hinweg
Interkulturelle Zusammenarbeit wird in der modernen Wirtschaftsprüfung immer wichtiger. Wie der Austausch mit internationalen Teams funktioniert, zeigen wir am Beispiel unseres Shared Service Centers in Marokko.
Weiterlesen
Green IT – der strategische Weg zur nachhaltigen Digitalisierung und Transformation
Das Thema Nachhaltigkeit ist in der IT angekommen: Unter dem Stichwort Green IT realisieren Unternehmen Chancen und sichern sich gegen Risiken ab. Wir zeigen, wie das funktioniert und welchen Stellenwert Green IT für die Wirtschaftsprüfung hat.
Weiterlesen
Nachhaltiges Daten-Management – eine strategische Voraussetzung für Datennutzung und Klimaschutz
Wirtschaftsprüfer*innen benötigen Daten, um ihrem Prüfauftrag nachzukommen. Doch damit Daten im Sinne der gewünschten Nachhaltigkeit gesammelt, analysiert und archiviert werden können, ist effizientes Daten-Management unerlässlich.
Weiterlesen
Kommentare