Die GoBD regeln die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie den Datenzugriff der Finanzverwaltung im Rahmen von Außenprüfungen. Das Bundesfinanzministerium hat mit seinem Schreiben vom 14. November 2014 neue Rahmenbedingungen definiert.
Die Herausforderung, der sich die Unternehmen zu stellen haben, ist vor allem die Interpretation dieser Richtlinien. In einem Schreiben der Bundessteuerberaterkammer vom 16. August 2016 wird auf die verschiedenen Erfahrungen der Steuerberater bei der Prüfung zur Einhaltung der GoBD eingegangen. Es wird dabei deutlich, dass zum einen die Dokumentation der internen Prozesse und Verfahren und zum anderen die IT-Infrastruktur der Unternehmen im Fokus der Prüfer steht.
Im Folgenden beschreibe ich die wesentlichen Möglichkeiten zur Einhaltung der GoBD:
- Klare Dokumentation und Verfahrensbeschreibung der internen Prozesse im Rahmen der GoBD
- Interne Kontrollsysteme und aktuelle Stammdaten für die GoBD-konforme Arbeitsweise
- Steuerrelevante Meldungen aus dem Rechnungswesen-System ohne Medienbrüche
Klare Dokumentation und Verfahrensbeschreibung der internen Prozesse im Rahmen der GoBD
Die meisten Unternehmen setzen verschiedene Software-Systeme entlang ihrer Wertschöpfungskette und zur Administration ein. Dazu gehören das Hauptsystem, Vor- und Nebensysteme sowie die Integrationen zwischen diesen Systemen. Das Bundesfinanzministerium nennt dazu beispielhaft das Finanzbuchführungssystem, Lohnbuchhaltungssystem, Warenwirtschaftssystem und einige weitere. In dem GoBD-Schreiben wird ganz deutlich darauf hingewiesen, dass die Testierung oder Zertifizierung der eingesetzten Software nicht automatisch die Einhaltung der geforderten Regularien bedeutet. Die Begründung dafür liegt in der Vielzahl der Möglichkeiten zur Gestaltung und Kombination der einzelnen Systeme.
„Zertifikate“ oder „Testate“ Dritter können bei einer Auswahl eines Softwareproduktes dem Unternehmen als Entscheidungskriterium dienen, entfalten jedoch […] gegenüber der Finanzbehörde keine Bindungswirkung.“ (12. Zertifizierung und Software-Testate, S.37 GoBD Schreiben, 14.11.2014)
Daraus ergibt sich für die Unternehmen die Notwendigkeit, ihre internen Prozesse klar, transparent und lückenlos zu beschreiben. Ich empfehle daher die strukturierte und systemübergreifende Prozessbeschreibung zu den im Unternehmen angewendeten Geschäftsvorfällen.
Neben der Dokumentation der Geschäftsvorfälle ist eine klare Beschreibung der einzelnen, personenbezogenen Aufgaben und Berechtigungen dringend zu empfehlen. Demnach ist zu definieren, wer für welche Aufgabenbereiche Verantwortung trägt und welches Rechte- und Rollenkonzept dem jeweiligen Mitarbeiter zugeordnet ist. In Kombination mit den systemseitigen Protokollen ist dann zu jedem Zeitpunkt nachvollziehbar, wann welcher Mitarbeiter welche Tätigkeit durchgeführt hat und ob diese Tätigkeit mit seiner klar definierten Aufgabe übereinstimmt. Wichtig dabei ist, dass die Transparenz nicht auf einzelne Systeme bezogen ist, sondern entlang des ganzen Prozesses eingehalten wird.
Daher ist es wichtig, das auch Buchungen oder Kontierungen, die in einem vorgelagerten System erfolgen und anschließend in das Rechnungswesen übergeben werden, dem jeweiligen Mitarbeiter eindeutig zugeordnet werden können und protokolliert werden. Auch die progressive und retrograde Verknüpfung der Belege ist in diesem Zusammenhang von großer Bedeutung.
„Die Verfahrensdokumentation besteht in der Regel aus einer allgemeinen Beschreibung, einer Anwenderdokumentation, einer technischen Systemdokumentation und einer Betriebsdokumentation.“ (10.1 Verfahrensdokumentation, S.32 GoBD Schreiben, 14.11.2014)
Interne Kontrollsysteme und aktuelle Stammdaten für die GoBD-konforme Arbeitsweise
Gemäß des GoBD Schreibens des Bundesfinanzministeriums vom 14. November 2014, hat der Steuerpflichtige Kontrollen einzurichten, um die Ordnungsvorschriften nach § 146 der Abgabenordnung nachweislich einzuhalten und zu protokollieren. Das beinhaltet zum Beispiel Zugangs- und Zugriffsberechtigungen, Erfassungskontrollen (Fehlerhinweise, Plausibilitätsprüfungen), Abstimmungs- und Verarbeitungskontrollen sowie Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen und Daten.
Die Beschreibung dieses internen Kontrollsystems ist ein Teil der Verfahrensdokumentation und dient der stichprobenartigen und anlassbezogenen Prüfung der Prozesse und des Systems.
Fallbeispiel:
- Wenn die übliche Rechnungssumme eines Lieferanten bei ca. 10.000 € liegt, sind auffällige Abweichungen, sowohl positiver als auch negativer Art, automatisiert oder manuell aufzuzeigen und zu hinterfragen.
- Die Zugänge zum Rechnungswesen-System müssen personalisiert und ausschließlich für den jeweiligen Anwender angelegt sein. Die Erfahrung zeigt, dass einzelne Unternehmen den Administratorzugang nutzen um Buchungen durchzuführen oder keine eindeutige Zuordnung wählen (Bsp. Nutzerbezeichnung „002“, durch Personalwechsel können sich hinter Buchungen durch den Nutzer „002“ mindestens 2 unterschiedliche Personen verbergen).
Hintergrund dieses Kontrollmechanismus ist die Vermeidung von Steuerhinterziehung und Verschleierung. Die vom Bundesministerium für Finanzen bereitgestellte IDEA-Schnittstelle ermöglicht die Bereitstellung der Buchungssätze und Protokolle gemäß den Anforderungen einer Außenprüfung. Ein Teil dieser Prüfung sind unter anderem Prüfszenarien für die genannten Anwendungsbeispiele.
Neben der Pflicht zur Dokumentation und Protokollierung seiner Prozesse, sind die Unternehmen dringend angehalten, ihre Stammdaten regelmäßige Kontrollen auf Richtigkeit zu unterziehen.
Fallbeispiel:
- Durch eine veraltete USt.-ID eines Kunden kam es bei der Meldung der Umsatzsteuer und der Zusammenfassenden Meldung zu Fehlern. Daraus resultierend, wurde bei einer Prüfung festgestellt, dass die Steuerschuld über der tatsächlich gezahlten Steuer liegt. In diesem Fall muss das geprüfte Unternehmen nachweisen, wann die letzte Kontrolle der USt.-ID stattgefunden hat. Liegt diese Prüfung eine unverhältnismäßig lange Zeit zurück, ist es im Rahmen der Möglichkeiten der Prüfer, vorsätzliches Handeln zu unterstellen.
Bezugnehmend auf das Fallbeispiel wird empfohlen, regelmäßige und/oder anlassbezogene Prüfroutinen für sensible Stammdaten zu installieren, um so sicherzustellen, dass die systemseitig vorgehaltenen Daten dem aktuellsten Stand entsprechen. Wichtig hierbei ist zu beachten, dass bei etwaigen Änderungen von Stammdaten eine entsprechende Protokollierung und Historisierung der Daten erfolgt. Dadurch wird sichergestellt, dass in der Vergangenheit liegende Daten zu Geschäftsvorfällen nicht beeinflusst werden.
Steuerrelevante Meldungen aus dem Rechnungswesen-System ohne Medienbrüche
Viele moderne Rechnungswesen-Systeme ermöglichen die Meldung von steuerlich relevanten Daten direkt aus dem System heraus. Über Schnittstellen zum Server des Bundesministeriums für Finanzen ist es möglich, die Meldung der Umsatzsteuer, der Zusammenfassenden Meldung sowie der elektronischen Bilanz direkt aus dem System heraus zu erstellen und zu versenden. Dadurch wird sichergestellt, dass die Daten ohne Medienbrüche und ohne mögliche Übertragungsfehler, versandt und protokolliert werden.
Je nach dem zuständigen Finanzamt kann es zu individuellen Vorgaben seitens der Behörden kommen. So kann die automatisierte Meldung der Zusammenfassenden Meldung aus dem System heraus eingefordert werden.
Zusammenfassung der GoBD-konformen Arbeitsweisen im Unternehmen
Die genannten Tipps umfassen ausschließlich einen kleinen Teil der Anforderungen an die GoBD. Dennoch gehören die transparenten und lückenlosen Dokumentationen, interne Kontrollmechanismen und die medienbruchfreie Übertragung von steuerrelevanten Daten zu den Eckpfeilern der Anforderungen an die GoBD.
Selbstverständlich sind die Geschäftsprozesse jedes einzelnen Steuerpflichtigen sehr individuell, sodass die entsprechenden Prüfmechanismen ebenso individuell einzurichten sind.
Bei Fragen rund um die Thematik GoBD stehen wir als Lösungspartner selbstverständlich zur Verfügung.