Der IDW RS FAIT 3 ist erschienen. Es handelt sich hierbei um eine Sammlung von Anforderungen an den Betrieb einer DMS-Lösung aus Sicht der Deutschen Wirtschaftsprüfer. Im Gegensatz zu Gesetzen und Verordnungen wurden hier konkrete und DMS-spezifische Regelungen zusammengestellt.
Der erste Entwurf des IDW RS FAIT 3 war bereits seit Mitte 2005 auf der Homepage des IDW verfügbar. Dann dauerte es aber noch fast ein Jahr, bis die endgültige Version verabschiedet wurde. Eine Veröffentlichung in den Fachnachrichten des IDW erfolgte dann im November 2006. Eine Beschaffung über die eigene Wirtschaftsprüfungsgesellschaft sollte aber leicht möglich sein.
Die Inhalte des IDW RS FAIT 3
Die neuen Grundsätze für Wirtschaftsprüfer sind abgeleitet aus dem Handelsgesetzbuch, es werden aber auch andere rechtliche Grundlagen wie die Abgabenordnung, das Umsatzsteuerrecht und die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Lösungen (GDPdU) berücksichtigt.
Grob gliedert sich das Dokument in die Abschnitte:
- Darstellung der heutigen Archivierungsverfahren
- Komponenten einer DMS-Lösung
- Rechtliche Grundlagen, wie HGB, AO, GDPdU oder BDSG
- Beschreibung von typischen Einsatzszenarien, wie frühe oder späte Erfassung, Datenarchivierung oder E-Invoicing
- Darstellung der rechtlichen, technischen und organisatorischen Risiken beim Betrieb einer DMS-Lösung
- Anforderungen für den sicheren DMS-Betrieb
Somit ist der IDW RS FAIT 3 keine reine Kriteriensammlung oder Prüfliste, sondern eine Mischung von beschreibenden Texten und Anforderungsdefinitionen. Für einen DMS-erfahrenen Anwender sind sicher nur die letzten beiden Abschnitte von Interesse, da hier konkrete Vorgaben für das eigene System vorhanden sind.
Rechtlich |
|
Steuerlich |
|
Organisatorisch |
|
Technisch |
|
Tabelle 1: Typische Risiken beim DMS-Betrieb
Von den Grundlagen zu den Details
Aus den in den Grundsätzen ordnungsgemäßer Buchführungssysteme (GoBS) definierten Kriterien für die Ordnungsmäßigkeit der Buchführung und eines Buchführungssystems werden entsprechende Sicherheits- und Betriebsanforderungen für ein DMS abgeleitet.
Diese allgemeinen Anforderungen sind:
- Richtigkeit
- Vertraulichkeit und Autorisierung
- Integrität und Authentizität
- Verfügbarkeit
- Unveränderbarkeit
- Nachvollziehbarkeit
Diese Kriterien sind in den GoBS nur sehr allgemein und von wenigen Ausnahmen abgesehen nicht DMS-spezifisch konkretisiert, so dass der sorgfältige Anwender nicht genau weiß, was hier zu tun ist. Sie werden im RS FAIT 3 interpretiert und detailliert.
Beispielsweise wird für das Kriterium Richtigkeit die bildliche und inhaltliche Gleichheit definiert. Auch werden Anforderungen an das Farbscannen und die Brutto-Netto-Image-Verarbeitung beschrieben. Die Problematik des Scannens von AGBs ist ein weiteres praxisnahes Beispiel.
Für das Kriterium Integrität wird auf das Zusammenspiel zwischen Buchhaltungsanwendung und DMS eingegangen, da für die Ordnungsmäßigkeit des DMS häufig auch Teile der Buchhaltungsanwendung relevant sind. Beispielsweise sind bei der Dokumentenarchivierung mit SAP R/3 die Zugriffskriterien auf Dokumente in den Standard-Archivierungsszenarien nur in den SAP-Tabellen vorhanden, so dass die obigen DMS-relevanten Anforderungen auch für eine Buchhaltungsanwendung gelten.
Die GoBS aus 1995 leistet hier nichts Vergleichbares, da das Werk mit dem Fokus Buchführung erstellt wurde. Hier wurde allerdings Handlungsbedarf erkannt und im Rahmen einer AWV-Arbeitsgruppe erfolgt eine Überarbeitung dieser Grundsätze. Auch hat sich der VOI e.V. (Verband Organisations- und Informationssysteme) mit der Veröffentlichung der Prüfkriterien für DMS-Lösungen (PK-DML) ebenfalls dem Thema angenommen.
WORM oder nicht WORM: Sicherstellung der Unveränderbarkeit
Mit besonderer Spannung wurden die Regelungen für die Sicherstellung der Unveränderbarkeit erwartet. WORM oder nicht WORM war hier die Frage. Werden also konkrete Anforderungen an die Speichertechnologie formuliert oder überlässt man die Ausgestaltung der Unveränderbarkeit durch Hardware, Software und Organisation dem Betreiber eines DMS?
Die relevante Formulierung ist: Das Kriterium der Unveränderlichkeit verlangt, dass mit Hilfe von technischen und organisatorischen Maßnahmen sichergestellt wird, dass keine nachträglichen Änderungen an elektronisch archivierten Dokumenten und Daten vorgenommen werden.
Es ist also nicht ausschließlich eine Hardware-Technologie gefordert, wie dies die GDPdU für elektronisch signierte Rechnungen fordern. Somit steht es dem Anwender frei, ob er dies durch Hardware-Komponenten wie WORM-Jukeboxen oder WORM-Festplattensysteme oder die DMS-Software selbst sicherstellt.
Eine einfache Speicherung von archivierten Objekten auf File-Servern ohne besondere Sicherheitsmechanismen ist hier sicher nicht ausreichend, aber kombiniert mit softwaretechnischen Verfahren wie Prüfsummenbildung oder elektronischen Signaturen kann die Unveränderbarkeit gewährleistet werden. In jedem Fall sind organisatorische Regelungen zusätzlich erforderlich, beispielsweise für das Medienhandling, die Erstellung von Sicherheitskopien oder die Berechtigungsvergabe.
DMS-Betrieb konkret
Am Ende des Dokumentes wird dann schließlich der Konkretisierungsgrad erreicht, an dem sich Anwender und Administratoren gut orientieren können. Hier sind interessante Hinweise und Empfehlungen für die Einrichtung und den Betrieb einer DMS-Lösung aufgeführt. Auf wichtige DMS-Prozesse wie Erfassung, Indizierung oder Speicherung/Archivierung wird konkret eingegangen.
Hier einige Beispiele:
- Es sind die aufbewahrungspflichtigen Daten und Dokumente inkl. deren Aufbewahrungsfrist, Index- und Erfassungsprofil zu definieren.
- Das Archivierungsverfahren ist für jede Dokumentenart festzulegen (z.B. vor oder nach der Sachbearbeitung) sowie der Archivierungsprozess selbst (z.B. Scanverfahren, Indexierung, Konvertierung).
- Regelungen und technische Verfahren zur Sicherstellung der Vollständigkeit sind zu definieren bzw. zu implementieren. Hierzu zählen beispielsweise eine Doppeleinzugskontrolle bei Scannern, Stapelprotokolle, Konsistenzprüfungen zwischen Buchführungsanwendung und DMS, aber auch technische Protokolle mit Prüfsummen und Jobinformationen.
- Sicherstellung der Lesbarkeit beim Einsatz von automatischen Bildkorrekturverfahren wie PerfectPage oder VRS.
- Bei Systemen mit Eingangs-Cache, bei denen ein zu archivierendes Dokument vor der endgültigen Archivierung beispielsweise in einem Datei-Verzeichnis auf dem Archivserver liegt, müssen entsprechende Sicherheits- und Zugriffsregeln vorhanden sein.
- Für Medien-Handling, Software-Updates, Löschen und Vernichtung von Dokumenten, Datensicherung, Berechtigungsvergabe und Notfallbetrieb werden konkrete Regelungen gefordert.
- Wiederanlauf und Wiederherstellung müssen geregelt, aber auch getestet worden sein.
- Es müssen regelmäßige dokumentierte Tests erfolgen, insbesondere bei hochverfügbar ausgelegten Systemen oder für die Lesbarkeit von Archivmedien.
- Beim Outsourcing muss die Auslagerung von einzelnen Dienstleistungen (z.B. Scannen) oder des gesamten DMS-Betriebes unterschieden werden. Je nach Grad der Auslagerung müssen unterschiedlich umfangreiche Prüfungs- und Kontrollmechanismen vertraglich vereinbart sein.
Bei den obigen Anforderungen geht es nicht immer um Produkteigenschaften, die entwickelt oder hinzugekauft werden können. Vielmehr ist die Festlegung der Verantwortlichkeiten und Kompetenzen in Archivierungsprozessen erforderlich. Schnell kommt man hier auch wieder auf das Thema Verfahrensdokumentation, die bereits in den GoBS von 1995 gefordert wurde. Auch im RS FAIT 3 wird erneut darauf verwiesen, ohne aber die exakten Inhalte zu definieren. Hier hilft meist ein Blick in Veröffentlichungen des VOI e.V. (www.voi.de).
Fazit
Bei RS FAIT 3 handelt es sich um eine kompakte und konkrete Darstellung zum Thema elektronische Archivierung aus Sicht der Wirtschaftsprüfung. Neben den technischen Anforderungen sind wichtige organisatorische Aspekte (Verfahrensdokumentation, Test-Szenarien, Notfallkonzepte oder das Change-Management) gut berücksichtigt und sinnvoll konkretisiert.
Es ist somit ein klarer Rahmen, der die Diskussion über den ordnungsgemäßen Betrieb sicher erleichtert. Der RS FAIT 3 geht über die allgemeinen Anforderungen der GoBS hinaus und liefert einen ähnlichen Konkretisierungsgrad, wie die Prüfkriterien für DMS-Lösungen (PK-DML) des VOI.
Kritische oder unverhältnismäßige Anforderungen sind im RS FAIT 3 nicht enthalten. Ein vertretbares Maß an IT-Sicherheit und die Beachtung von einigen wichtigen Betriebsregeln sind immer die Voraussetzung für einen ordnungsgemäßen Betrieb. Wenn der Anwender dann noch eine Musterverfahrensdokumentation vom DMS-Anbieter bekommt und hier seine eigenen organisatorischen Regelungen einfügt, kann man einer Systemprüfung durch die Wirtschaftsprüfer gelassen entgegen sehen.
Quellen:
Stellungnahme zur Rechnungslegung (RS): Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren des Fachausschusses für Informationstechnik (IDW RS FAIT 3) des Institutes der Wirtschaftsprüfer in Deutschland e.V. (IDW), Stand 11.07.2006, erschienen in WPg (Die Wirtschaftsprüfung) 2006, S. 1465 ff., Heft-Nr. 22/2006