Happy birthday: schon 1 Jahr GoBD im Unternehmen …

Im November war es soweit: die GoBD feierten ihren ersten Geburtstag. Vor rund einem Jahr veröffentlichte das Bundesministerium der Finanzen das Schreiben zu den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff„, kurz GoBD.

Sie treten an die Stelle der bisherigen GoBS und der GDPdU und geben einen recht konkreten Rahmen vor, wie Prozesse und Systeme im Unternehmen auszugestalten sind, um die handels- und steuerrechtlichen Anforderungen einzuhalten. Zwar ergeben sich die Anforderungen u.a. aus der AO und dem HGB, aber eine genaue Interpretation der Gesetzestexte in Bezug auf die konkrete Ausgestaltung von IT-Anwendungen, Prozessen usw. ist daraus nicht wirklich ablesbar. Durch die Konkretisierung in Form des BMF-Schreibens steht nun eine Vorgabe im Raum, die – trotz aller Kritik – bei näherer Betrachtung doch sehr klare Anforderungen bereit hält. Es gibt gegenüber den bisherigen Vorgaben ein paar Neuerungen, einige Konkretisierungen, vor allem aber bestätigen und erneuern die GoBD die Verpflichtung, aktiv Maßnahmen in Bezug auf die Ordnungsmäßigkeit der rechnungslegungsrelevanten IT-Systeme zu ergreifen.

Wer in einem Unternehmen verantwortlich ist und „compliant“ sein will, also bestrebt ist, die Gesetze einzuhalten, sollte sich das Schreiben einmal durchlesen.

Nun könnte man meinen, dass – wenn es doch im Prinzip eine gesetzliche Vorgabe ist – selbstverständlich längst alle Unternehmen entsprechend aufgestellt sind, ihre Prozesse entsprechend ausgestaltet, ihre Anwendungen und IT-Systeme angepasst haben und selbstverständlich auch die geforderte Verfahrensdokumentation bereit halten. Gesetzesverstöße können unangenehme Folgen haben, von Bußgeldern, Steuerschätzungen und Reputationsschäden bis hin zu strafrechtlichen Konsequenzen für die Geschäftsführung.

 

Doch wie sieht es tatsächlich aus, ein Jahr nach Veröffentlichung der GoBD ?

In der täglichen Beratungs- und Prüfungspraxis ergibt sich ein sehr heterogenes Bild. Unabhängig von der Unternehmensgröße lässt sich sagen, dass Unternehmen in einem regulierten Umfeld (Banken, Versicherungen) die vergleichsweise größeren Anstrengungen unternehmen, „compliant“ zu sein – doch das bedeutet nicht, dass alle Unternehmen aus diesem Bereich schon optimal aufgestellt sind. Viele Unternehmen haben erkannt, dass zeitnah Handlungsbedarf besteht und haben mit einem Projekt begonnen, manches Unternehmen wünscht sich externe Unterstützung, weil die Einschätzung der Regelungsbereiche und Priorisierung der Maßnahmen Schwierigkeiten bereitet. Und eine – recht große – dritte Gruppe hat auch nach einem Jahr noch keinerlei Maßnahmen ergriffen und hat zum Teil wohl auch noch nicht die Relevanz erkannt.

Neben den oben genannten Folgen steigt das Risiko, dass Nichtkonformität a) erkannt wird und b) auch Folgen nach sich zieht, stetig. Die Praxis zeigt, dass die Betriebsprüfer der Finanzverwaltung das Thema heute deutlich schneller und tiefer aufgreifen als in der Vergangenheit. Die Prüfung wird IT-lastiger (Massendaten lassen sich eben nur effizient durch Massendatenanalysen auswerten), das Verständnis des Prüfers für die Prozesse und IT-Anwendungen im Unternehmen gewinnt zunehmend an Bedeutung – eine entsprechende Verfahrensdokumentation wird ebenso erwartet wie die Möglichkeit des Datenzugriffs und -exports. Der Haken dabei ist, dass die steuerliche Außenprüfung in der Regel um Jahre verzögert durchgeführt wird – es gibt also keine Möglichkeit, Versäumnisse der Vergangenheit kurzfristig während der Prüfung nachzuholen und zu heilen. Vielmehr multipliziert sich das Risiko dadurch, dass regelmäßig gleich mehrere Jahre betroffen sind, in denen eben keine den GoB(D) entsprechenden Systeme eingesetzt wurden, für die keine Verfahrensdokumentation vorliegt, und in denen keine internen Kontrollen implementiert waren.

 

Welchen Ausweg gibt es ?

Empfehlenswert ist in jedem Fall eine kurze Bestandsaufnahme, die aufzeigt, wie Ihr Unternehmen in den einzelnen Bereichen aufgestellt ist. Eine Gap-Analyse zeigt eventuelle Lücken auf, darauf aufbauend kann ein Maßnahmenplan erstellt werden, in dem mögliche Schritte priorisiert werden, um Konformität zu den rechtlichen Anforderungen herzustellen.

Dabei sollten unter anderem die folgenden Bereiche betrachtet werden:

  • Geschäftsprozesse mit Schnittstellen und Datenfluss zwischen verschiedenen IT-Anwendungen
  • Internes Kontrollsystem
  • Verfahrensdokumentation
  • Datensicherheit und Aufbewahrung, Archivierung, Unveränderbarkeit, Nachvollziehbarkeit und Nachprüfbarkeit
  • Datenzugriff und Auswertbarkeit
  • Prozesse von besonderer Bedeutung (z.B. Kassensysteme, Scannen von Eingangsrechnungen, Online-Shops etc.)

Damit wird klar, dass es sich hier um ein organisatorisches, prozessuales und auch technisches Thema handelt – vollkommen abteilungsübergreifend betrifft es Steuern, Rechnungswesen, IT, aber auch die Fachabteilungen wie Einkauf und Verkauf – und aufgrund der Verantwortung selbstverständlich auch die Geschäftsleitung. Neben der IT-Infrastruktur und allgemeinen IT-Prozessen sind auch die Anwendungsprogramme zu betrachten und die darin abgebildeten Geschäftsprozesse. Im Falle von ausgelagerten (Teil-)prozessen muss auch der Dienstleister GoBD-konform arbeiten, was sich durch entsprechende Prüfungsberichte oder eigene Audits dokumentieren lässt – die Verantwortung verbleibt hier aber regelmäßig beim auslagernden Unternehmen.

 

Fazit

Zum ersten Geburtstag der GoBD sind bisher nur wenige Unternehmen in Feierstimmung, eine Geburtstagsparty ist meist noch in weiter Ferne. Die Vorbereitungen haben schon begonnen, aber auch dies bei weitem noch nicht überall. Es gibt bewährte Lösungen, die nötigen Maßnahmen umzusetzen – das ist zwar im ersten Jahr noch kein Selbstläufer und erfordert auch intern eine gewisse Aufmerksamkeit, aber in der Regel lohnt sich der Aufwand, denn er schafft neben der Legal- und Tax-Compliance meist auch für das Unternehmen einen Mehrwert durch effizientere und besser dokumentierte Prozesse – und natürlich ein reduziertes Risiko im Falle von Betriebsprüfungen.

Gehen Sie daher lieber aktiv an das Thema heran, damit es nicht in einigen Jahren negative Überraschungen gibt, die im Nachhinein nicht mehr heilbar sind.

 

Ein Gedanke zu „Happy birthday: schon 1 Jahr GoBD im Unternehmen …

Schreibe einen Kommentar