Beim IDW RS FAIT 3 ist eine Sammlung von Anforderungen an den Betrieb einer DMS-Lösung aus Sicht der Deutschen Wirtschaftsprüfer. Im Gegensatz zu Gesetzen und Verordnungen wurden hier konkrete und DMS-spezifische Regelungen zusammengestellt.
Stellungnahme zur Rechnungslegung (RS): Grundsätze ordnungsmäßiger
Buchführung beim Einsatz elektronischer Archivierungsverfahren des
Fachausschusses für Informationstechnik (IDW RS FAIT 3) des Institutes der
Deutschen Wirtschaftsprüfer (IDW), Stand 11.07.2006, erschienen in WPg (Die
Wirtschaftsprüfung) 2006, S. 1465 ff., Heft-Nr. 22/2006.
Der erste Entwurf des IDW RS FAIT 3 war bereits seit Mitte 2005 auf der
Homepage der IDW verfügbar. Dann dauerte es aber noch fast ein Jahr, bis die
endgültige Version verabschiedet wurde. Eine Veröffentlichung in den
Fachnachrichten des IDW erfolgte dann im November 2006. Eine Beschaffung über
die eigene Wirtschaftsprüfungsgesellschaft sollte aber leicht möglich sein.
Die Inhalte des IDW RS FAIT 3
Die neuen Grundsätze für Wirtschaftsprüfer sind abgeleitet aus dem
Handelsgesetzbuch, es werden aber auch andere rechtliche Grundlagen wie die
Abgabenordnung, das Umsatzsteuerrecht und die Grundsätze zum Datenzugriff und
zur Prüfbarkeit digitaler Lösungen (GDPdU) berücksichtigt.
Grob gliedert sich das Dokument in die Abschnitte:
- Darstellung der heutigen Archivierungsverfahren
- Komponenten einer DMS-Lösung
- Rechtliche Grundlagen, wie HGB, AO, GDPdU oder BDSG
- Beschreibung von typischen Einsatzszenarien, wie frühe oder späte Erfassung,
Datenarchivierung oder E-Invoicing
- Darstellung der rechtlichen, technischen und organisatorischen Risiken beim
Betrieb einer DMS-Lösung
- Anforderungen für den sicheren DMS-Betrieb
Somit ist der IDW RS FAIT 3 keine reine Kriteriensammlung oder Prüfliste,
sondern eine Mischung von beschreibenden Texten und Anforderungsdefinitionen.
Für einen DMS-erfahrenen Anwender sind sicher nur die letzten beiden Abschnitte
von Interesse, da hier konkrete Vorgaben für das eigene System vorhanden sind.
Rechtlich
|
- Sicherstellung des Beweiswertes von Dokumenten
- Langfristige Lesbarmachung
- Vernichtungsregeln
|
Steuerlich
|
- Zugriffsmöglichkeiten auf GDPdU-Archive
|
Organisatorisch
|
- Festlegungen für den Betrieb (Erfassung, Administration)
- Falsche oder unzureichende Indizierung
- Falsche oder fehlende Berechtigungen
|
Technisch
|
- Vollständigkeit und Korrektheit von Prozessen
- Nachvollziehbarkeit und Protokollierung
- Sicherstellung der Unveränderbarkeit
- Inkompatibilitäten aufgrund technischer Änderungen während der
Aufbewahrungsfrist
- Unzureichende Migrationskonzepte
|
Tabelle 1: Typische Risiken beim DMS-Betrieb
Von den Grundlagen zu den Details
Aus den in den Grundsätzen ordnungsgemäßer Buchführungssysteme (GoBS)
definierten Kriterien für die Ordnungsmäßigkeit der Buchführung und eines
Buchführungssystems werden entsprechende Sicherheits- und Betriebsanforderungen
für ein DMS abgeleitet.
Diese allgemeinen Anforderungen sind:
- Richtigkeit
- Vertraulichkeit und Autorisierung
- Integrität und Authentizität
- Verfügbarkeit
- Unveränderbarkeit
- Nachvollziehbarkeit
Diese Kriterien sind in den GoBS nur sehr allgemein und von wenigen Ausnahmen
abgesehen nicht DMS-spezifisch konkretisiert, so dass der sorgfältige Anwender
nicht genau weiß, was hier zu tun ist. Sie werden im RS FAIT 3 interpretiert und
detailliert.
Beispielsweise wird für das Kriterium Richtigkeit die bildliche und
inhaltliche Gleichheit definiert. Auch werden Anforderungen an das Farbscannen
und die Brutto-Netto-Image-Verarbeitung beschrieben. Die Problematik des
Scannens von AGBs ist ein weiteres praxisnahes Beispiel.
Für das Kriterium Integrität wird auf das Zusammenspiel zwischen
Buchhaltungsanwendung und DMS eingegangen, da für die Ordnungsmäßigkeit des DMS
häufig auch Teile der Buchhaltungsanwendung relevant sind.
Beispielsweise sind bei der Dokumentenarchivierung mit SAP R/3 die
Zugriffskriterien auf Dokumente in den Standard-Archivierungsszenarien nur in
den SAP-Tabellen vorhanden, so dass die obigen DMS-relevanten Anforderungen auch
für eine Buchhaltungsanwendung gelten.
Die GoBS aus 1995 leistet hier nichts Vergleichbares, da das Werk mit dem
Fokus Buchführung erstellt wurde. Hier wurde allerdings Handlungsbedarf erkannt
und im Rahmen einer AWV-Arbeitsgruppe erfolgt eine Überarbeitung dieser
Grundsätze. Auch hat sich der VOI e.V. (Verband Organisations- und
Informationssysteme) mit der Veröffentlichung der Prüfkriterien für DMS-Lösungen
(PK-DML) ebenfalls dem Thema angenommen.
WORM oder nicht WORM: Sicherstellung der Unveränderbarkeit
Mit besonderer Spannung wurden die Regelungen für die Sicherstellung der
Unveränderbarkeit erwartet. WORM oder nicht WORM war hier die Frage. Werden also
konkrete Anforderungen an die Speichertechnologie formuliert oder überlässt man
die Ausgestaltung der Unveränderbarkeit durch Hardware, Software und
Organisation dem Betreiber eines DMS?
Die relevante Formulierung ist: Das Kriterium der Unveränderlichkeit
verlangt, dass mit Hilfe von technischen und organisatorischen Maßnahmen
sichergestellt wird, dass keine nachträglichen Änderungen an elektronisch
archivierten Dokumenten und Daten vorgenommen werden.
Es ist also nicht ausschließlich eine Hardware-Technologie gefordert, wie
dies die GDPdU für elektronisch signierte Rechnungen fordern. Somit steht es dem
Anwender frei, ob er dies durch Hardware-Komponenten wie WORM-Jukeboxen oder
WORM-Festplattensysteme oder die DMS-Software selbst sicherstellt.
Eine einfache Speicherung von archivierten Objekten auf File-Servern ohne
besondere Sicherheitsmechanismen ist hier sicher nicht ausreichend, aber
kombiniert mit softwaretechnischen Verfahren wie Prüfsummenbildung oder
elektronischen Signaturen kann die Unveränderbarkeit gewährleistet werden. In
jedem Fall sind organisatorische Regelungen zusätzlich erforderlich,
beispielsweise für das Medienhandling, die Erstellung von Sicherheitskopien oder
die Berechtigungsvergabe.
DMS-Betrieb konkret
Am Ende des Dokumentes wird dann schließlich der Konkretisierungsgrad
erreicht, an dem sich Anwender und Administratoren gut orientieren können. Hier
sind interessante Hinweise und Empfehlungen für die Einrichtung und den Betrieb
einer DMS-Lösung aufgeführt. Auf wichtige DMS-Prozesse wie Erfassung,
Indizierung oder Speicherung/Archivierung wird konkret eingegangen.
Hier einige Beispiele:
- Es sind die aufbewahrungspflichtigen Daten und Dokumente inkl. deren
Aufbewahrungsfrist, Index- und Erfassungsprofil zu definieren.
- Das Archivierungsverfahren ist für jede Dokumentenart festzulegen (z.B. vor
oder nach der Sachbearbeitung) sowie der Archivierungsprozess selbst (z.B.
Scanverfahren, Indexierung, Konvertierung).
- Regelungen und technische Verfahren zur Sicherstellung der Vollständigkeit
sind zu definieren bzw. zu implementieren. Hierzu zählen beispielsweise eine
Doppeleinzugskontrolle bei Scannern, Stapelprotokolle, Konsistenzprüfungen
zwischen Buchführungsanwendung und DMS, aber auch technische Protokolle mit
Prüfsummen und Jobinformationen.
- Sicherstellung der Lesbarkeit beim Einsatz von automatischen
Bildkorrekturverfahren wie PerfectPage oder VRS.
- Bei Systemen mit Eingangs-Cache, bei denen ein zu archivierendes Dokument
vor der endgültigen Archivierung beispielsweise in einem Datei-Verzeichnis auf
dem Archivserver liegt, müssen entsprechende Sicherheits- und Zugriffsregeln
vorhanden sein.
- Für Medien-Handling, Software-Updates, Löschen und Vernichtung von
Dokumenten, Datensicherung, Berechtigungsvergabe und Notfallbetrieb werden
konkrete Regelungen gefordert.
- Wiederanlauf und Wiederherstellung müssen geregelt, aber auch getestet
worden sein.
- Es müssen regelmäßige dokumentierte Tests erfolgen, insbesondere bei
hochverfügbar ausgelegten Systemen oder für die Lesbarkeit von
Archivmedien.
- Beim Outsourcing muss die Auslagerung von einzelnen Dienstleistungen (z.B.
Scannen) oder des gesamten DMS-Betriebes unterschieden werden. Je nach Grad der
Auslagerung müssen unterschiedlich umfangreiche Prüfungs- und
Kontrollmechanismen vertraglich vereinbart sein.
Bei den obigen Anforderungen geht es nicht immer um Produkteigenschaften,
die entwickelt oder hinzugekauft werden können. Vielmehr ist die Festlegung der
Verantwortlichkeiten und Kompetenzen in Archivierungsprozessen erforderlich.
Schnell kommt man hier auch wieder auf das Thema Verfahrensdokumentation, die
bereits in den GoBS von 1995 gefordert wurde. Auch im RS FAIT 3 wird erneut
darauf verwiesen, ohne aber die exakten Inhalte zu definieren. Hier hilft meist
ein Blick in Ver-öffentlichungen des VOI e.V. (www.voi.de).
Fazit
Bei RS FAIT 3 handelt es sich um eine kompakte und konkrete Darstellung zum
Thema elektronische Archivierung aus Sicht der Wirtschaftsprüfung. Neben den
technischen Anforderungen sind wichtige organisatorische Aspekte
(Verfahrensdokumentation, Test-Szenarien, Notfallkonzepte oder das
Change-Management) gut berücksichtigt und sinnvoll konkretisiert.
Es ist somit ein klarer Rahmen, der die Diskussion über den ordnungsgemäßen
Betrieb sicher erleichtert. Der RS FAIT 3 geht über die allgemeinen
Anforderungen der GoBS hinaus und liefert einen ähnlichen Konkretisierungsgrad,
wie die Prüfkriterien für DMS-Lösungen (PK-DML) des VOI.
Kritische oder unverhältnismäßige Anforderungen sind im RS FAIT 3 nicht
enthalten. Ein vertretbares Maß an IT-Sicherheit und die Beachtung von einigen
wichtigen Betriebsregeln sind immer die Voraussetzung für einen ordnungsgemäßen
Betrieb. Wenn der Anwender dann noch eine Musterverfahrensdokumentation vom
DMS-Anbieter bekommt und hier seine eigenen organisatorischen Regelungen
einfügt, kann man einer Systemprüfung durch die Wirtschaftsprüfer gelassen
entgegen sehen.
|
