E-Book, Deutsch, 216 Seiten, E-Book
Bissinger / Lutz Verfahrensdokumentation nach GoBD
1. Auflage 2024
ISBN: 978-3-7910-6241-9
Verlag: Schäffer-Poeschel Verlag
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Praxisleitfaden für Umsetzung und Betriebsprüfung
E-Book, Deutsch, 216 Seiten, E-Book
ISBN: 978-3-7910-6241-9
Verlag: Schäffer-Poeschel Verlag
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Die Verfahrensdokumentation ist für jedes Unternehmen in Deutschland ein gesetzlich verpflichtender Bericht, der die digitalen Prozesse, Vorgehen und Maßnahmen interner Buchführung sowie das interne Kontrollsystem eines Unternehmens beschreibt. Mit der Veröffentlichung der »Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form (GoBD)« hat die Finanzverwaltung hierfür den rechtlichen Rahmen konkretisiert. Das Vorliegen eines GoBD-konformen Berichts gerät bei Betriebsprüfungen zunehmend in den Fokus. Erhebliche Mängel können zum Verwerfen der Buchführung und einer Schätzung der Besteuerungsgrundlagen führen.
Der Leitfaden zeigt daher praxisnah, wie diese Berichte entsprechend den GoBD zu erstellen sind. Die Autor:innen erläutern, welche Bestandteile erforderlich sind, wie eine strukturierte und übersichtliche Darstellung mit den richtigen Schwerpunkten aussehen sollte, wie der Prozessdarstellungsstandard BPMN und eine optimale grafische Aufbereitung eingesetzt werden können und wie schließlich das interne Kontrollsystem überzeugend aufgebaut wird. Viele konkrete Beispiele aus dem Beratungsalltag erleichtern den Leser:innen zu verstehen, wie eine Verfahrensdokumentation rechtssicher umgesetzt werden kann.
Die digitale und kostenfreie Ergänzung zu Ihrem Buch auf myBook+:
• Zugriff auf ergänzende Materialien und Inhalte
• E-Book direkt online lesen im Browser
• Persönliche Fachbibliothek mit Ihren Büchern
Jetzt nutzen auf mybookplus.de.
Autoren/Hrsg.
Fachgebiete
Weitere Infos & Material
6.1 Komponenten eines internen Kontrollsystems
Zentraler Baustein des internen Kontrollsystems sind Risiken. Diese müssen erkannt, bewertet und schließlich behandelt werden. Die praktischen Schritte hierzu werden ab Kapitel 6.2 erklärt. Für Interessierte folgt nun eine abstraktere Darstellung der Architektur eines internen Kontrollsystems. Darüber hinaus wird beschrieben, wie eine mögliche Integration der geforderten Inhalte der Verfahrensdokumentation in die Bereiche stattfinden kann. Die Inhalte basieren auf den Verlautbarungen des IDW, in welchen das interne Kontrollsystem auf verschiedene Elemente heruntergebrochen wurde.56 In Abbildung 12 (nach IDW) werden diese dargestellt. Abb. 12: Bereiche eines internen Kontrollsystems nach IDW Fundamental ist ein internes Kontrollsystem in zwei Bereiche unterteilt: Über das interne Steuerungssystem werden (nach den Vorgaben der GoBD) Regeln für die Verfahren aufgestellt. Das interne Überwachungssystem stellt anschließend die Einhaltung dieser Regeln durch verschiedene Maßnahmen sicher.57 Wenn in der Praxis der Begriff »internes Kontrollsystem« verwendet wird, sind zumeist die verschiedenen Kontrollschritte, Sicherungsmaßnahmen etc. gemeint, also das interne Überwachungssystem. Innerhalb der praktischen Aktivitäten zur Sicherung wird weiter zwischen prozessintegrierten und prozessunabhängigen Überwachungsmaßnahmen unterschieden. Prozessintegrierte Überwachungsmaßnahmen betreffen die konkreten Verfahren, Schritte und Prozesse des Unternehmens, beispielsweise Scannen, Entgegennahme von Post und Verbuchung im System. Hier existieren organisatorische Sicherungsmaßnahmen und Kontrollen. Prozessunabhängige Überwachungsmaßnahmen beschreiben die Sicherung durch Personen, welche nicht an den Arbeitsabläufen beteiligt sind und keine Betriebszugehörigkeit haben. Hierunter fällt die externe Revision oder alle sonstigen Überwachungsmaßnahmen.58 Folgendermaßen sind die konkreten Inhalte definiert: Organisatorische Sicherungsmaßnahmen: »Organisatorische Sicherungsmaßnahmen werden durch laufende automatische Einrichtungen wahrgenommen. Sie umfassen fehlerverhindernde Maßnahmen, die sowohl in die Aufbau- als auch die Ablauforganisation eines Unternehmens integriert sind und ein vorgegebenes Sicherheitsniveau gewährleisten sollen.«59 In der Praxis werden solche Sicherungsmaßnahmen beispielsweise durch Funktionstrennungen, also das Herunterbrechen von Prozessschritten auf verschiedene Verantwortlichkeitsbereiche, umgesetzt. Folgendermaßen lassen sich Tätigkeiten für eine möglichst umfangreiche Funktionstrennung aufteilen: Bearbeitung von Vorgängen, Verwaltung von Beständen, Buchung von Vorfällen und Autorisierung der Abläufe. Je mehr Trennung, desto stringenter wird diesem Prinzip entsprochen. Die Umsetzbarkeit ist hierbei verständlicherweise abhängig von der personellen Ausstattung eines Unternehmens. Wichtige Stichworte für die Finanzverwaltung sind »Vieraugenprinzip« und »Freigaben«. Neben der Aufteilung der Funktionen von Personen in Prozessen kann die Trennung von Aufgaben auch durch die internen DV-Systeme realisiert werden, welche durch Nutzerrechte und andere Regulierungen innerhalb des Systems forciert werden. Leitende Themen IT-integrierter Sicherungen sind Zugriffsbeschränkungen, Datensicherungsverfahren, Nutzerrechte etc.60 Kontrollen: »Kontrollen erfolgen durch Maßnahmen, die in den Arbeitsablauf integriert sind. Erfolgen die Kontrollen durch Überwachungsträger, so können diese sowohl für das Ergebnis des überwachten Prozesses als auch für das Ergebnis der Überwachung verantwortlich sein. Kontrollen sollen die Wahrscheinlichkeit für das Auftreten von Fehlern in den Arbeitsabläufen vermindern bzw. aufgetretene Fehler aufdecken.«61 Bei allen buchhalterisch bestimmenden Abläufen sollten möglichst viele Kontrollen integriert werden. Kontrollen können in einem Prozess entweder fehleraufdeckend, also als aktiv durchgeführte »Sperren« für den weiteren Ablauf, oder fehlervermeidend, also reaktiv mithilfe von gesammeltem Wissen zu möglichen Fehlerquellen, umgesetzt werden.62 Folgende Möglichkeiten bestehen für die Durchführung von Kontrollen: Kontrollhandlungen: Hierunter werden gängige Abstimmungen im Rahmen eines Prozesses verstanden. Typische Tätigkeiten sind hier Überprüfung auf Richtigkeit, Abstimmung mit Original, Freigabe durch Vorgesetzte etc. Kontrollvorrichtungen: Hierbei handelt es sich um Hard- oder Software, mit der die Einhaltung bestimmter Regelungen sichergestellt wird. Praktische Beispiele sind Messvorrichtungen in Kassen oder Zeiterfassungssysteme.63 Maschinenkontrollen: Die eingesetzten DV-Systeme sind in der Regel so entwickelt, dass eine Vielzahl von Mechanismen zur Sicherstellung korrekter Durchführung von Prozessen und entsprechender Datenqualität implementiert sind. Für die Dokumentation eines internen Kontrollsystems lohnt es sich also, herauszuarbeiten, an welchen Stellen automatisierte Kontrollen stattfinden. Als Anregung für die Recherche in diesem Bereich sind die Stichworte Computerisierte Berechnung, Identitätsprüfung (2FA), Netzwerkprotokolle (UDP, IP) etc. relevant. Ein gutes Beispiel stellen die sich gegenüberstehenden Netzwerkprotokolle UDP und IP dar, welche für verschiedene Ansprüche beim Datentransfer genutzt werden. Physische Sicherung: Neben den DV-Systemen lassen sich Maßnahmen auch physisch umsetzen. So ist es möglich, Zugriffsbeschränkungen oder Überwachung über Kontrollen sicherzustellen. Typische Begriffe hier sind Abschließen oder Kameraüberwachung.64 Interne Revision: »Die Interne Revision ist eine prozessunabhängige Institution, die innerhalb eines Unternehmens Strukturen und Aktivitäten prüft und beurteilt. Dieser unternehmensinterne Überwachungsträger darf weder in den Arbeitsablauf integriert noch für das Ergebnis des überwachten Prozesses verantwortlich sein.«65 Zusätzlich zu den Kontrollen und Maßnahmen bei der Durchführung von Prozessen kann es Teil des internen Kontrollsystems sein, die Unternehmensaktivitäten durch externe Personen überwachen zu lassen. Die hierdurch entstehende interne Revision ist ein fortgeschrittenes Konzept und wird vor allem bei größeren Unternehmen Anwendung finden. Um eine Vorstellung der Dimensionen zu verdeutlichen: Hierunter fallen beispielsweise die nach § 91 Abs. 2 AktG geforderten Überwachungsmaßnahmen von Aktiengesellschaften. Die Tätigkeiten der internen Revision können entweder periodisch oder gesondert durchgeführt werden. Sie lassen sich unter dem Begriff »Auditing« zusammenfassen und können sich auf die unterschiedlichsten Bereiche konzentrieren. Beispiele hierfür sind Management, Finanzen oder Arbeitsweisen. Im Kontext der GoBD sind die finanziellen und betrieblichen Bereiche relevant. Finanz-Audit: Es wird überprüft, ob die finanziellen Aussagen mit den im Vorfeld festgelegten Kriterien übereinstimmen.66 Hier können die Buchhaltungsdaten beispielsweise auf Ordnungsmäßigkeit geprüft werden, wodurch betrügerische Handlungen vermieden werden. Auch der Grad des Schutzes der Vermögenswerte wird bewertet. Betriebs-Audit: Hier befinden sich Abläufe und Prozesse auf dem Prüfstand. Es wird beurteilt, wie effektiv und sicher die Durchführung und Konzeption der internen Vorgehensweisen funktioniert.67 Trotz des erhöhten Aufwands ist es auch für kleinere und mittelständige Unternehmen empfehlenswert, interne Revision innerhalb ihres internen Kontrollsystems in Anspruch zu nehmen. Je weniger ausführlich die interne Revision, desto detaillierter müssen die Aktivitäten innerhalb der prozessintegrierten Überwachungsmaßnahmen entwickelt sein. Für die Umsetzung eines angemessenen internen Kontrollsystems bietet es sich also an, beide Bereiche in einem durchschnittlichen Maß zu entwickeln. Sonstige Überwachungsmaßnahmen: »Daneben können sonstige prozessunabhängige Überwachungsmaßnahmen festgelegt sein, z.?B. in Form von High-level controls, die im besonderen Auftrag der gesetzlichen Vertreter oder durch diese selbst vorgenommen werden.«68 Zuletzt werden die im Rahmen des IDW nicht weiter spezifizierten sonstigen Überwachungsmaßnahmen thematisiert. Hierunter fallen die Aufgabenbereiche gesetzlicher Institutionen, welche sich durch die Ausübung ihrer Aufgabenbereiche, wie beispielsweise der Durchführung von...
