GoBD – was hat sich geändert?
GRC@SAVISCON: Compliance-Management
von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH
Nachdem wir in unserem letzten Blog-Beitrag „GRC@SAVISCON: IT-Sicherheit“ der Reihe über unsere Schritte nach der Schutzbedarfsanalyse berichtet haben, soll es heute um Compliance gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Compliance.
In meinem letzten Compliance-Blog-Beitrag habe ich über die Vorschrift GoBD geschrieben (GoBD = „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“) und dass sie zuletzt mit dem Stand von November 2019 zum 01.01.2020 aktualisiert wurde. Im GRC-COCKPIT hatten wir die GoBD als Norm bereits hinterlegt, haben jetzt aber festgestellt, dass wir die Aktualisierung der Norm noch durchführen müssen. Um welche Änderungen es sich genau handelt, will ich nun näher ausführen.
Am grundsätzlichen Aufbau der GoBD und der Nummerierung hat sich nicht viel verändert, aber es gibt einige Anpassungen, die aufgrund technischer Entwicklungen und zunehmender Digitalisierung längst überfällig waren. Hier ein paar Beispiele:
Verwendung von Cloudtechnologien
Im Kapitel 1.11 Datenverarbeitungssystem wurde unter Punkt 20 ergänzt, dass die Nutzung von Cloudsystemen ebenso möglich ist. Das Datenverarbeitungs- und Ablagesystem kann auch aus einer Kombination von eigener Hard- bzw. Software und einem Cloudsystem betrieben werden. Wichtiger Hinweis: Befindet sich der Cloud-Server im Ausland, ist eine Genehmigung zur Aufbewahrung der Buchführungsunterlagen im Ausland gem. § 146 Abs. 2 AO erforderlich.
Auszug aus der GoBD Stand 01.01.2015 (alt): | Auszug aus der GoBD Stand 01.01.2020 (neu): |
Digitalisierung von Belegen
Im Kapitel 9.2 Elektronische Aufbewahrung ist unter Punkt 130 beschrieben, dass Handels- oder Geschäftsbriefe sowie Buchungsbelege in Papierform empfangen und danach elektronisch erfasst (gescannt) werden dürfen. Durch die Aktualisierung wird nun klargestellt, dass auch das mobile Scannen bzw. Abfotografieren mittels Smartphone erlaubt ist. Dies gilt sowohl im In- als auch im Ausland und stellt gerade bei Reisekostenabrechnungen eine erhebliche Erleichterung dar. Das elektronische Dokument muss selbstverständlich weiterhin bildlich mit dem Original übereinstimmen.
Auszug aus der GoBD Stand 01.01.2015 (alt): | Auszug aus der GoBD Stand 01.01.2020 (neu): |
Umwandlung (Konvertierung) und Aufbewahrung von Belegen
Ebenfalls im Kapitel 9.2 Elektronische Aufbewahrung ist unter Punkt 135 eine weitere Erleichterung zu finden, und zwar ist es zukünftig ausreichend die konvertierte Fassung aufzubewahren, wenn bestimmte Voraussetzungen erfüllt sind (s. nachfolgenden Auszug). Die Ursprungsversion kann dann vernichtet werden.
Auszug aus der GoBD Stand 01.01.2015 (alt): | Auszug aus der GoBD Stand 01.01.2020 (neu): |
Verfahrensdokumentation
Für jedes buchführungsrelevante IT-System muss eine Verfahrensdokumentation geführt werden (Kapitel 10.1 Verfahrensdokumentation Punkt 154). Bislang war vorgeschrieben, bei Änderungen immer eine neue Version zu erstellen. Dies wurde nun vereinfacht: es reicht zukünftig aus, wenn die Änderungen versioniert sind und eine nachvollziehbare Änderungshistorie vorgehalten wird.
Auszug aus der GoBD Stand 01.01.2015 (alt): | Auszug aus der GoBD Stand 01.01.2020 (neu): |
Aber es gibt nicht nur Erleichterungen, die die aktualisierte GoBD mit sich bringt. Hier zum Beispiel auch eine verschärfende Anpassung:
Zeitgerechte Buchungen
Bisher wurde eine tägliche Erfassung von Kasseneinnahmen und Kassenausgaben empfohlen, nun ist die tägliche Erfassung verbindlich vorgeschrieben (Kapitel 3.2.3 Zeitgerechte Buchungen und Aufzeichnungen Punkt 48):
Auszug aus der GoBD Stand 01.01.2015 (alt): | Auszug aus der GoBD Stand 01.01.2020 (neu): |
Weiterentwicklung GRC-COCKPIT
Es ist wichtig bei Neuerungen eines Gesetzes oder einer Vorschrift die Neuerungen zu (er)kennen, einen eventuellen Änderungsbedarf festzustellen, die eigenen Prozesse dahingehend zu prüfen, und daraus passende Maßnahmen / Anpassungen zu ergreifen, wenn notwendig. Um unsere Kunden hierbei mit unserem GRC-COCKPIT unterstützen zu können, entwickeln wir das System kontinuierlich weiter. Bislang ist der Aktualisierungsservice nur für gängige Gesetze (die im Internet abrufbar sind) möglich, doch unsere Entwicklungsabteilung ist gerade dabei, die Funktion technisch zu erweitern. So soll es zukünftig möglich sein, anhand von zwei PDF-Dateien individuell einen Abgleich zu starten, der textliche Änderungen/Ergänzungen hervorbringt. So können auch diverse Vorschriften, wie z. B. eine Neufassung der GoBD über den Aktualisierungsservice aktualisiert werden.
Die Änderungen werden im System in der entsprechenden Norm kenntlich gemacht und es soll ebenso ein Hinweis an den Anwender erfolgen, dass sich etwas geändert hat, ein sogenannter Alert. Bei bestehendem Handlungsbedarf können dann gleich im System Maßnahmen angepasst oder neue Maßnahmen abgeleitet werden.
GoBD in der Praxis
Da wir nun Klarheit haben, welche Änderungen die aktualisierte Version der GoBD beinhaltet, ist die praktische Umsetzung intern in vollem Gange. Wir prüfen unsere Prozesse, führen bei Bedarf Anpassungen durch und ergreifen ggf. neue Maßnahmen. Zum Beispiel haben wir die E-Mail-Archivierung vollständig umgesetzt. Warum ist das wichtig?
Wie in meinem letzten Blog „Zu klein für Compliance?“ bereits ausführlich berichtet, nimmt der Versand von elektronischen Rechnungen und aufbewahrungspflichtigen Handelsbriefen per E-Mail immer mehr zu. Hier ist die GoBD-konforme Aufbewahrung zu beachten und die E-Mail-Archivierung ist unumgänglich. Demnach muss beispielsweise die Buchhaltung E-Mails mit steuerrelevanten Dokumenten elektronisch aufbewahren. Es ist aber nicht ausreichend, die E-Mails einfach im Mailprogramm (ggf. in Unterordner) aufzubewahren. Denn dort sind Grundsätze der GoBD (z. B. Unveränderbarkeit, die zuverlässige Protokollierung von Änderungen und die Indexierung) nicht gewährleistet. Es ist aber auch nicht zwingend notwendig, alle E-Mails zu archivieren. E-Mail-Korrespondenz, die keiner Aufbewahrungspflicht unterliegt und auch keine steuerrelevanten Daten beinhaltet muss nicht archiviert werden.
Wir haben uns im ersten Schritt für eine E-Mail-Archivierung über unseren Hosting-Anbieter entschieden. Uns war wichtig, dass die Sicherung in deutschen Rechenzentren und natürlich GoBD-konform stattfindet. Aufgrund unserer noch überschaubaren Firmengröße ist die Entscheidung erstmal gegen ein professionelles Dokumentenmanagement-System (DMS) gefallen. Aber was nicht ist, kann ja noch werden. Zu einem späteren Zeitpunkt ist ein DMS für uns auf jeden Fall ein nächster Schritt. Durch unsere aktuelle Archivierungslösung sind jedenfalls die maschinelle Auswertbarkeit, die Volltextrecherche und die Unveränderbarkeit gewährleistet.
Wie sieht es bei Ihnen aus? Sind Sie in Ihrem Unternehmen GoBD-konform oder sind noch Anpassungen notwendig?
…to be continued:
Hier die Zusammenfassung unserer neuen Erkenntnisse:
- Änderungen in Gesetzen und Vorschriften immer im Auge behalten
- Änderungsbedarf ist immer individuell für jedes Unternehmen zu betrachten
- Maßnahmen sind ebenso individuell (je nach Risikobetrachtung) verhältnismäßig umzusetzen
- Klein anfangen (E-Mail-Archivierung über Hosting-Anbieter) und nach und nach optimieren/ausbauen (eigenes DMS)
- Compliance ist kein Projekt mit einem festen Ende – Compliance ist ein dauerhafter Prozess, der gelebt werden muss
Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Datenschutz: Verzeichnis von Verarbeitungstätigkeiten aufbauen.
Über die Autorin:
Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de