|
 |
|
Stefan Groß. Stefan Groß, Steuerberater und Certified Informations Systems Auditor (CISA) ist Partner von Peters Schönberger & Partner GbR,
einer renommierten Kanzlei von Steuerberatern, Wirtschaftsprüfern und
Anwälten in München. Er beschäftigt sich bereits seit vielen Jahren mit
den steuerrechtlichen und verfahrenstechnischen Umfeld der
elektronischen Steuerprüfung.
|
 |
|
|
 |
|
Martin Lamm. Martin Lamm, Dipl.-Oec., Dipl.-Inform.(FH) ist Steuerberater und Certified Informations Systems Auditor (CISA) bei Peters Schönberger & Partner in München. Zu seinen Schwerpunktthemen gehören IT-Systemprüfungen nach PS 330, GDPdU-Projekte, Datenanalysen, Erstellung/Prüfung von Verfahrensdokumentationen, Migrationsprüfungen, IT Due Diligence, IT Forensics und IT Compliance.
|
|
|
|
|
|
|
In ihrem Abschlussbericht vom November 2009 schlägt die EU-Expertengruppe "E-Invoicing" vor, die Verwendung einer elektronischen Signatur im Zusammenhang mit der elektronischen Rechnungsstellung nicht mehr zwingend vorzuschreiben. Das Hauptaugenmerk müsse stattdessen auf den im Unternehmen ablaufenden Prozessen und deren Sicherheit liegen. Doch warum nicht das eine tun, ohne das andere zu lassen? So kommt die Prozess-Sicherheit all jenen Unternehmen entgegen, die sich schon alleine aufgrund Ihrer Größe mit internen Kontrollsystemen und IT-Sicherheit auseinandersetzen müssen. Die Signatur wiederum würde den elektronischen Rechnungsversand für all jene absichern, die sich eben gerade nicht in derartige Prozesstiefen begeben möchten. "Entweder oder" das wäre der Königsweg, den der Gesetzgeber beschreiten sollte.
Im November 2009 hat die EU-Expertengruppe "E-Invoicing" (European Commission Expert Group on E-Invoicing) ihren Abschlussbericht präsentiert, in dem ein europäisches E-Invoicing-Rahmenwerk (European Electronic Invoicing Framework EEIF) der Öffentlichkeit vorgestellt wurde. Das Ziel: Der elektronische Rechnungsstellungsprozess soll vereinheitlicht und vereinfacht werden. Die Expertengruppe schlägt hierzu vor, die Verwendung einer elektronischen Signatur im Zusammenhang mit der elektronischen Rechnungsstellung nicht mehr zwingend vorzuschreiben. Das Hauptaugenmerk müsse nach Ansicht der Expertengruppe stattdessen auf den im Unternehmen ablaufenden Prozessen und deren Sicherheit liegen. Der auf den ersten Blick durchaus positive Ansatz hin zur Prozess-Sicherheit stellt jedoch eine entscheidende Weichenstellung dar. Während die Signatur ein übergeordnetes und unternehmensübergreifendes Sicherheitsmerkmal darstellt, muss bei der Beurteilung von Prozessen auf unternehmensspezifische Besonderheiten abgestellt werden. Besonders im Fokus steht dabei regelmäßig das aufeinander abgestimmte und mit Kontrollen versehene Zusammenspiel der einzelnen Ressourcen im Unternehmen (Hardware, Software, Mitarbeiter). Soll insoweit künftig auf das Interne Kontrollsystem (IKS) abgestellt werden, so sieht sich insbesondere der Rechnungsempfänger einem gegenüber heute größeren Risiko ausgesetzt. Warum? Im Signaturfall manifestiert sich die geforderte Authentizität und Integrität, die letztlich den Vorsteuerabzug sicherstellt, über ein übergeordnetes Sicherheitsmerkmal, eben die Signatur. Soll der Übertragungsweg nun künftig über den Prozess abgesichert werden, muss der Rechnungsempfänger insbesondere auf die Prozess-Sicherheit beim Rechnungsaussteller vertrauen. Ist diese nicht gegeben, sind Manipulationen Tür und Tor geöffnet. Ergänzend kommt hinzu, dass die Prozess-Sicherheit primär den lokalen Ablauf bis zum Versand bzw. ab Empfang einer Rechnung umfasst, der Übertragungsweg selbst ist davon im Regelfall ausgenommen. Doch gerade dieser soll nach den ursprünglichen Vorgaben zum elektronischen Rechnungsversand abgesichert werden.
Ruft man sich die seit Jahrzehnten geführten Diskussionen zum Internen Kontrollsystem und dessen Wirksamkeit ins Gedächtnis, so erscheint die Zielsetzung der Expertengruppe, dass nationale Rahmenwerke für Prozesssicherheit innerhalb der EU gegenseitig anerkannt werden sollen, fast aussichtslos. Nicht nur, dass es an einer konkreten und vor allem praxistauglichen Definition derartiger Rahmenwerke mangelt, ein Konsens und die gegenseitige Anerkennung auf EU-Ebene scheint unerreichbar.
Doch warum nicht das eine tun, ohne das andere zu lassen? So kommt die Prozess-Sicherheit all jenen Unternehmen entgegen, die sich schon alleine aufgrund Ihrer Größe mit internen Kontrollsystemen und IT-Sicherheit auseinandersetzen müssen. Die Signatur wiederum würde den elektronischen Rechnungsversand für all jene absichern, die sich eben gerade nicht in derartige Prozesstiefen begeben möchten. "Entweder oder" das wäre der Königsweg, den der Gesetzgeber beschreiten sollte.
|
|
