Im Zusammenhang mit Digitalisierung liest man oft vom Begriff der „Revisionssicherheit“, etwas ist „revisionssicher“ gespeichert. Eine Definition des Begriffes im Gesetz bietet der Gesetzgeber nicht. Was unter Revisionssicherheit zu verstehen ist und wie sie im Unternehmen erreicht werden kann, erklären wir dir in diesem Blog-Artikel.
Revisionssicherheit: Definition und Bedeutung
Unter Revisionssicherheit versteht man die Aufbewahrung von digitalen Daten. Diese muss so erfolgen, dass die rechtlichen Anforderungen in Bezug auf Ordnungsmäßigkeit, Vollständigkeit, Sicherheit, Verfügbarkeit, Nachvollziehbarkeit, Unveränderlichkeit und Zugriffsschutz erfüllt sind. Hier kommen die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) ins Spiel.
6 Anforderungen an eine revisionssichere Archivierung und Aktenführung
Die Anforderungen an eine revisionssichere Archivierung und Aktenführung sind nämlich in genau dieser (GoBD) festgelegt. Eine revisionssichere Archivierung von Daten im steuerrechtlichen Sinne sollte demnach auch an der GoBD orientiert erfolgen. Die zentralen Anforderungen für Revisionssicherheit sind in Kapitel drei unter „Allgemeine Anforderungen“ festgehalten:
1. Nachvollziehbarkeit/Nachprüfbarkeit (GoBD-Kapitel 3.1)
Jedes Dokument, das über einen beliebigen Eingangskanal in ein revisionssicheres Archiv überführt wird, ist zu protokollieren. Es muss zwingend nachweisbar sein, zu welchem Zeitpunkt und von wem ein Dokument (elektronisch oder papierbezogen) den Weg in das elektronische Archiv gefunden hat. Jede Veränderung an den Dokumenten muss in entsprechenden Aktenstrukturen (z.B. digitale Akten) nachvollziehbar sein.
Projektguide: In 3 Schritten zur erfolgreichen Einführung digitaler Akten.
2. Vollständigkeit (GoBD-Kapitel 3.2.1)
Wichtig ist, dass dies vollständig geschieht. Um Aufbewahrungspflichten vollständig zu erfüllen, müssen sämtliche Datenobjekte, die für eine steuerrechtliche Bewertung von Relevanz sind, lückenlos erfasst werden. Prozesse sind so abzubilden, dass alle Informationen den Weg in das elektronische Archiv finden. Das heißt zum Beispiel auch, dass E-Mails berücksichtigt und archiviert werden müssen. In der Regel erreicht man eine Vollständigkeit nur, wenn E-Mails schon serverseitig archiviert werden.
3. Richtigkeit (GoBD-Kapitel 3.2.2)
Eine weitere zentrale Anforderung an eine revisionssichere Archivierung ist die Richtigkeit der Daten. So müssen das Original und das digitale Dokument für die Revisionssicherheit einen geforderten Grad an Übereinstimmung aufweisen. In einem konkreten Beispiel könnte dies bedeutet, dass ein eingescanntes Dokument einen schlechten Kontrast aufweist und daher digital nicht lesbar ist. Um in diesem Fall trotzdem die Richtigkeit zu bewahren, ist der Kontrast nachträglich anzupassen. Diese Veränderung ist wiederum zwingend zu dokumentieren, um nachweisen zu können, dass das Dokument im Sinne der Revisionssicherheit nicht manipuliert wurde.
4. Zeitgerechte Buchung und Aufzeichnungen (GoBD-Kapitel 3.2.3)
Hinzukommt, dass alle Eingangskanäle möglichst schnell eingescannt werden. In der klassischen Posteingangsverarbeitung gibt es in größeren Unternehmen daher sogar Scanning-Strecken, die unmittelbar nach Posteingang für eine digitale Erfassung sorgen.
5. Ordnung (GoBD-Kapitel 3.2.4)
Bei der Anschaffung eines elektronischen Archivs geht es im ersten Schritt darum, möglichst viele Informationen in das Archiv zu überführen. Es ist allerdings im Sinne der Revisionssicherheit zwingend darauf zu achten, dass die Dokumente passenden Strukturen zugeordnet und die Dokumente mit einer entsprechenden Aufbewahrungsfrist versehen werden. Mit Ablauf der Aufbewahrungsfristen können Betroffene, Beschäftigte, Kunden oder Verbraucher einen Anspruch auf Löschung der Dokumente erheben. Ein Löschkonzept spielt hier aus Datenschutzgründen (DSGVO) eine wichtige und ernstzunehmende Rolle.
6. Unveränderbarkeit (GoBD-Kapitel 3.2.5)
Der Anspruch der Unveränderbarkeit ist abschließend ein wesentlicher Anspruch der GoBD. Dokumente sollten auf spezieller Hardware gesichert werden, um verhindern zu können, dass Dokumente nachträglich verändert oder manipuliert werden können. Dokumente können zwar in neue Versionen überführt werden, allerdings müssen diese Änderungen dokumentiert und die Ursprungsinformationen weiterhin vorgehalten werden.
Revisionssicherheit: Vorgehensweise bei der Umsetzung
Nachdem die Anforderungen an Revisionssicherheit nun geklärt sind, bleibt nun noch die eigentlich zentrale Frage: Wie können Unternehmen ein revisionssicheres Archiv implementieren? Die Anschaffung einer DMS-Software ist ein erster wichtiger Schritt in Richtung revisionssicheres Archivs. Genauso wichtig ist es, neben der Software auch die Hardware sowie die Geschäftsprozesse an der GoBD auszurichten.
Die 4 Bausteine für revisionssichere Archivierung im Überblick
Auf dem Weg zur Revisionssicherheit gibt es vier zentrale Bausteine:
1. Software: ECM-Lösung
Die Revisionssicherheit setzt als ersten Baustein eine passende Software voraus. Eine ECM-Lösung bildet die Basis für Revisionssicherheit und die Einhaltung der beschriebenen Anforderungen. Bescheinigt werden kann dies zum Beispiel durch ein Testat einer unabhängigen Wirtschaftsprüfungsgesellschaft.
2. Hardware: Revisionssicherer Speicher
Der zweite Baustein für Revisionssicherheit ist die Hardware. Zur Sicherstellung der oben beschriebenen Unveränderbarkeit benötigen Unternehmen einen revisionssicheren Speicher bzw. Storage-Lösung. Hier werden Daten tatsächlich hardwarebezogen abgelegt und langfristig gesichert. Es ist zur Einhaltung der Revisionssicherheit technisch sicherzustellen, dass diese Daten nur unter ganz besonderen Gesichtspunkten geändert werden dürfen und eine Veränderung auch immer eine entsprechende Protokollierung mit sich bringt.
3. Revisionssichere Dokumentation
Basierend auf den Bausteinen Archivierungssoftware und -hardware existieren entsprechende Dokumentationsanforderungen für die Revisionssicherheit – das erweiterte Fundament. Es empfiehlt sich, eine Verfahrensdokumentation zu erstellen, um die unternehmensspezifische Implementierung der ECM-Lösung abzubilden.
4. Bestätigung eines Wirtschaftsprüfers
Auf Basis der implementierten und dokumentierten Lösung ist es empfehlenswert, einen Wirtschaftsprüfer mit einer gutachterlichen Stellungnahme zum Gesamtprozess der digitalen Archivierung zu beauftragen. Mit dem erstellten Testat können Sie gegenüber Steuer- oder sonstigen Aufsichtsbehörden darlegen, dass den entsprechenden Archivierungsanforderungen nachgekommen wird. Zertifizierungen nach IDW PS 880 und ISAE 3000 zur Revisionssicherheit sind für Unternehmen erstrebenswert.
PDF revisionssicher scannen und archivieren
Dokumentenmanagement-Systeme wie d.velop documents bieten Funktionen wie revisionssicheres Scannen. Revisionssicheres Scannen per DMS ermöglicht unter anderem:
- Automatische Datenextraktion
- Sekundenschnelle Erfassung von Daten
- Sofortige Klassifizierung des PDFs
Um ein PDF revisionssicher archivieren zu können, wurde im Jahr 2005 das PDF/A Format entwickelt. Die Nutzung des Formats ist zwar nicht vorgeschrieben, als Standard zur revisionssicheren Archivierung von PDF hat sich das PDF/A-Format inzwischen allerdings weltweit durchgesetzt.
Revisionssicheres Dokumentenmanagement – Revisionssicherheit mit d.velop Lösungen
Unsere Dokumentenmanagement-Lösungen schaffen die Basis für eine revisionssichere Archivierung von Dokumenten. Dies ist entsprechend von einer unabhängigen Wirtschaftsprüfung bestätigt:
Wie beschrieben ist es allerdings genauso wichtig diese auch mit Blick auf die Hardware und Dokumentation an der GoBD auszurichten. Hierbei beraten Sie unsere Experten gerne mit Empfehlungen und Vorlagen für Verfahrensdokumentationen.
Wie Ihnen die eine revisionssichere Archivierung in 3 Schritten gelingt und wie Sie ganz einfach das Projekt digitale Akten umsetzen, erfahren Sie in unserem kostenlosen Projektguide.
Durchblick im Compliance-Dschungel | Mit GoBD, DSGVO, ISO 27001, Revisionssicherheit & Co. zu mehr Sicherheit im Unternehmen