09.07.2018

Tax Compliance Management System – Teil C: Risiko-Analyse am Beispiel der GoBD (Phase II des PKF-Modells)

In der hier beschriebenen Phase I des PKF-Modells, der Tax-Compliance-Analyse, werden die Standardmodule GoBD einschl. Verfahrens- und Prozessdokumentation, Umsatzsteuer, Lohnsteuer/Sozialversicherung, Ertrag- und Bilanzsteuern, Internationales Steuerrecht und Verrechnungspreise einer Grobanalyse unterzogen. Ergebnis der Phase I ist die Entscheidung, welche Module in Phase II detailliert analysiert werden (zum Gesamtüberblick vgl. dieser Artikel). Phase II umfasst nun zunächst eine Analyse, inwiefern Kontrollen und Maßnahmen bei den Einzelrisiken der ausgewählten Module bestehen, um Schadenshöhe und Eintrittswahrscheinlichkeit zu reduzieren. Nachfolgend wird für das Modul GoBD dargestellt, wie eine Verfahrens- und Prozessdokumentation ausgestaltet sein muss, um Tax Compliance insoweit sicherzustellen. Besonders wichtig ist hierbei die Prozessdokumentation, die für nahezu alle Unternehmen die Grundlage der weiteren Module des Tax CMS bildet.

 

Abb. 1: Vier Phasen des PKF Tax Compliance Management Systems

Gesetzliche Vorgaben und GoBD

Buchungen und sonst erforderliche Aufzeichnungen müssen nach § 146 Abs. 1 Abgabenordnung (AO) und § 239 Abs. 1 Handelsgesetzbuch (HGB) einzeln, vollständig, richtig, zeitgerecht und geordnet vorgenommen werden. Die Finanzverwaltung konkretisiert dies bei Einsatz von Informations- und Kommunikations-Technik wie folgt: „Der Steuerpflichtige hat organisatorisch und technisch sicherzustellen, dass die elektronischen Buchungen und sonst erforderlichen elektronischen Aufzeichnungen vollständig, richtig, zeitgerecht und geordnet vorgenommen werden.“ (Tz. 82 der GoBD)


Unternehmen, die IT-Systeme für die Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen einsetzen, sind seit 2015 verpflichtet, die Anforderungen des BMF-Schreibens vom 14.11.2014 (Az.: IV A 4 - S 0316/13/1003) einzuhalten. Nach den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (den GoBD) müssen alle elektronischen, aufbewahrungspflichtigen Geschäftsunterlagen – insbesondere steuerrelevante Daten – den Anforderungen hinsichtlich Datensicherheit, Unveränderbarkeit, Aufbewahrung und maschineller Auswertbarkeit genügen. Die GoBD lassen sich wie in Abb. 1 dargestellt strukturieren.

 

Abb. 2: Bereiche der GoBD


Nachvollziehbarkeit und Nachprüfbarkeit der ersten drei Themenbereiche sind über eine ausführliche Verfahrensdokumentation sicherzustellen. Diese Verfahrensdokumentation lässt sich wiederum in vier Teilbereiche untergliedern (mehr dazu in Abschn. 3). Die größte Bedeutung kommt der in Abschn. 4 näher beschriebenen Anwenderdokumentation zu, worunter eine Prozessdokumentation einschließlich der Darstellung der internen Maßnahmen und Kontrollen zu verstehen ist. Unter Abschn. 5 werden die Inhalte der GoBD, die sich über die ersten 30 Seiten des BMF-Schreibens vom 14.11.2014 erstrecken, strukturiert zusammengefasst.


Hinweis: Ein Verstoß gegen die GoBD kann dazu führen, dass durch den Betriebsprüfer die Beweiskraft der Buchführung verworfen wird und die Besteuerungsgrundlagen im Wege der Schätzung ermittelt werden.

Überblick zur Risiko-Analyse im Modul GoBD

Die Analyse, ob die Vorgaben der GoBD eingehalten werden, ist der Phase II des PKF Modells eines Tax CMS zuzuordnen.

 

Zielsetzung der Analyse ist, ob

  • dem Grunde nach eine Verfahrensdokumentation vorliegt und
  • diese den Anforderungen der GoBD entspricht.

Wesentlicher Gegenstand der Risiko-Analyse ist die Prozessdokumentation einschließlich der Beschreibung des internen Kontrollsystems.

Dokumentation der Prozesse

Die eigentliche Risiko-Analyse der Phase II setzt grundsätzlich und für alle Module auf einer Prozessdokumentation auf. Sofern diese noch nicht oder noch nicht vollständig vorliegt, ist sie gemeinsam mit dem Unternehmen zu erstellen. Dabei werden zunächst die steuerrelevanten Prozesse identifiziert und beschrieben. Dafür kommen zwei Methoden in Frage:

  • Retrograd: Aufnahme der Prozesse ausgehend von Jahresabschluss, Steueranmeldungen und -erklärungen bis zum zugrundeliegenden Geschäftsvorfall. Mit dem retrograden Ansatz wird sichergestellt, dass alle Prozesse erfasst werden, über die Daten in die Besteuerungsgrundlagen einfließen.
  • Progressiv: Ausgangspunkt ist hier der Geschäftsvorfall, der schließlich im Jahresabschluss und den Steueranmeldungen und -erklärungen endet.

Hinweis: Im Fall des Moduls GoBD kommt zur grundsätzlichen Voraussetzung der Prozessdokumentation hinzu, dass diese „modulimmanent“ ist und die Verfahrensdokumentation ergänzt. Die Verfahrensdokumentation im Allgemeinen und die Prozessdokumentation im Besonderen werden Abschn. 3 bzw. Abschn. 4 detailliert dargestellt.

Identifikation bestehender Maßnahmen und Kontrollen

Zunächst wird ein Verständnis der Prozessabläufe und integrierten Maßnahmen und Kontrollen durch Analyse der vorhandenen Prozessdokumentationen erreicht. Sollten solche nicht vorhanden sein, sind die bereits bestehenden Prozessabläufe, Maßnahmen und Kontrollen durch Befragung der Verantwortlichen aufzunehmen. Im Anschluss erfolgen eine Verifikation des gewonnenen Geschäftsprozessverständnisses sowie die Vervollständigung der Prozessbeschreibungen um fehlende Informationen im Gespräch mit den Verantwortlichen im Prozessverlauf. Das Ergebnis der Prozessaufnahme wird in einer Prozess-Kontroll-Matrix dargestellt, die unter Abschn. 6 ausführlich beschrieben wird.

Ermittlung von Prozessrisiken

Bei den Prozessrisiken werden unterschieden:

  • (1) Inhärentes Risiko,
  • (2) Kontrollrisiken aus der Bearbeitung von Geschäftsvorfällen,
  • (3) Risiken aus der IT-Unterstützung des Prozesses.

(1) Das inhärente Risiko beschreibt das Risiko, das ein Geschäftsvorfall in sich trägt. So birgt die Bearbeitung eines hochkomplexen, einmalig vorkommenden Sachverhalts ein höheres Risiko als die Bearbeitung eines Standardgeschäftsvorfalls, dessen Bearbeitung exakt geregelt und jahrelang praktiziert wurde.


(2) Kontrollrisiken ergeben sich, wenn im Prozess vorzusehende Kontrollen (z.B. Vier-Augen-Prinzip) nicht implementiert wurden, nicht angemessen ausgestaltet oder nicht wirksam sind. Konkret geht es darum, dass trotz rechtlicher oder interner Vorgaben im Prozess Fehler oder Verstöße bewusst oder unbewusst erfolgen, die durch die Maßnahmen und Kontrollen im Rahmen des bestehenden internen Kontrollsystems nicht aufgedeckt werden.


(3) Bei der Implementierung und dem Betrieb von prozessunterstützenden IT-Systemen können vielfältige Risiken in Bezug auf IT-Prozesse, IT-Anwendungen, Daten, IT-Infrastruktur, IT-Organisation und IT-Umfeld vorhanden sein. Mit der Komplexität der IT-Systeme und der Erhöhung der Anzahl der verarbeiteten Geschäftsvorfälle nehmen die IT-Risiken zu.


Bei der Identifikation der Prozessrisiken wird die Frage gestellt, welche Fehler bei der Ermittlung der Besteuerungsgrundlagen im Verlauf der einzelnen Prozessschritte auftreten können. Hierbei wird typischerweise von den konkretisierten steuerlichen Anforderungen ausgegangen und hinterfragt, ob die Einhaltung einzelner Anforderungen im Prozessschritt fehlerbedingt gefährdet sein kann. Die Prozessrisiken werden entlang der Kriterien ermittelt, die unter Abschn. 5 detailliert dargestellt werden.

Bewertung der Risiken hinsichtlich Schadenshöhe und Eintrittswahrscheinlichkeit

Zu unterscheiden ist zwischen einer quantitativen und einer qualitativen Bewertung.


(1) Sofern das finanzielle Schadensausmaß (erhöhte Steuerfestsetzung, steuerliche Nebenleistungen etc.) bestimmbar ist, erfolgt eine quantitative Bewertung der identifizierten steuerlichen Risiken bzw. Prozessrisiken unter Berücksichtigung der bestehenden Regelungen und Kontrollen für das jeweilige finanzielle Schadensausmaß. Darüber hinaus wird die Eintrittswahrscheinlichkeit der einzelnen Risiken geschätzt. Aus der Multiplikation ergeben sich die sog. Nettorisiken. Diese Nettorisiken bilden die Grundlage für die Ausgestaltung von weiteren Maßnahmen und Kontrollen in der Phase III des PKF-Modells.


(2) Sofern das Schadensausmaß nicht quantifizierbar ist (Reputationsschaden, strafrechtliche Konsequenzen etc.), erfolgt eine qualitative Einstufung in die Risikoklassen.

Verfahrensdokumentation

Die Verfahrensdokumentation nach GoBD-Grundsätzen dient der Einhaltung der gesetzlichen Anforderungen der AO und des HGB. Ein konkreter Anforderungskatalog zur Gestaltung oder Detaillierung einer Verfahrensdokumentation existiert nicht. Nach herrschender Meinung sollte eine Verfahrensdokumentation jedoch eine Prozessdokumentation sowie eine Beschreibung des internen Kontrollsystems enthalten. In die Dokumentation des DV-Systems sind zum einen Haupt-, Vor- und Nebensysteme und zum anderen Hard- und Softwarekomponenten sowie die jeweiligen Schnittstellen einzubeziehen. Eine Gliederung sollte nach Tz. 153 GoBD in Anlehnung an RS FAIT 1 des Instituts der Wirtschaftsprüfer (IDW) folgende Bestandteile enthalten:


(1) Allgemeine Beschreibung: Darstellung der allgemeinen Organisation des Unternehmens (z.B. Aufbauorganisation, Organigramm, Rollen, Zuständigkeiten, Verantwortlichkeiten), der Aufgabenbereiche und Geschäftsprozesse (z.B. Ablauforganisation, Anwendungsfelder) und des rechtlichen Umfelds (z.B. außersteuerliche und steuerliche Buchführungs-, Aufzeichnungs- sowie Aufbewahrungspflichten und -fristen).


(2) Anwenderdokumentation: Sie umfasst alle Informationen, die für eine sachgerechte Bedienung einer IT-Anwendung erforderlich sind. Dies kann neben einer allgemeinen Beschreibung der durch die IT-Anwendung abgedeckten Aufgabenbereiche sowie der Module untereinander auch ganz konkret die Art und Bedeutung von verwendeten Eingabefeldern beinhalten. Sofern Standardsoftware eingesetzt wird, ist die vom Hersteller gelieferte Dokumentation um anwenderspezifische Anpassungen und die Dokumentation der Parameter (Customizing) zu ergänzen. Weiterhin wird unter diesen Punkt auch die im folgenden Abschnitt näher ausgeführte Prozessdokumentation subsumiert.


(3) Technische Systemdokumentation: Darunter ist die Beschreibung der Komponenten des IT-Systems, die den dokumentierten Prozessen und Prozessfunktionen zugrundeliegen, und deren Zusammenwirken zu verstehen. Die Dokumentation sollte insbes. über folgende Bereiche informieren (IDW FAIT 1):

  • Datenorganisation und -strukturen (Datensatzaufbau bzw. Tabellenaufbau bei Datenbanken),
  • veränderbare Tabelleninhalte, die bei der Erzeugung einer Buchung herangezogen werden,
  • programmierte Verarbeitungsregeln einschl. der implementierten Eingabe- und Verarbeitungskontrollen,
  • programminterne Fehlerbehandlungsverfahren und
  • Schnittstellen zu anderen Systemen.

(4) Betriebsdokumentation: Diese umfasst die Darstellung organisatorischer Abläufe zur Dokumentation der ordnungsgemäßen Anwendung des DV-Verfahrens (u.a. Beschreibung von Berechtigungsverfahren, relevanten Arbeitsabläufen, Datensicherungsverfahren). Bei der Dokumentation stehen die folgenden Aspekte im Vordergrund:

  • Einhaltung des Grundsatzes der Nachvollziehbarkeit für einen sachverständigen Dritten,
  • Implementierung eines Prozesses für die Erstellung einer Verfahrensorganisation und von Organisationsanweisungen,
  • Erzeugung und Aufbewahrung von Verarbeitungs- und Kontrollnachweisen (Protokollierung etc.).

Prozessdokumentation als Bestandteil der Verfahrensdokumentation

Prozessbeschreibung

Ausgangspunkt einer Prozessbeschreibung ist eine systematische Prozessanalyse. Im Kern geht es dabei um die Frage: „Wer macht was, wann und womit?“.


Dadurch soll der Mitarbeiter des Unternehmens in die Lage versetzt werden, die Geschäftsvorfälle nach den internen Vorgaben und in Einklang mit den steuerrechtlichen Vorschriften zu bearbeiten. In den GoBD wird erwartet, dass der organisatorisch und technisch umgesetzte Prozess beschrieben wird. Eine Prozessdokumentation kann z.B. wie folgt gegliedert werden:

  • Prozessziel
  • Geltungsbereich
  • Begriffe und Abkürzungen
  • Grundsätzliche Rahmenbedingungen
  • Allgemeine Regelungen zum Prozess
    • Einstiegs- und Ausstiegskriterien
    • Rückmeldung zum Prozesseigner (Alerting etc.)
    • Prüfkriterien
  • Prozessmodell und Aktivitäten
    • Beteiligte Rollen
    • Aktivitäten im Prozess (Prozessschritte)
  • Kennzahlen
  • IT-Systeme und Betriebsmittel
  • Mitgeltende Dokumente
  • Angrenzende Prozesse

Die Finanzverwaltung liefert in den GoBD ein Beispiel: Bei elektronischen Dokumenten ist der organisatorische und technische Prozess von der Entstehung der Informationen über die Indizierung, Verarbeitung und Speicherung, das eindeutige Wiederfinden und der maschinellen Auswertbarkeit bis hin zu der Absicherung gegen Verlust und Verfälschung sowie der Reproduktion darzustellen.

 

Hinweis: Bereits vorhandene Prozessbeschreibungen (z.B. im Zusammenhang mit einer ISO-Zertifizierung) können in vielen Fällen als Grundlage herangezogen werden.

Prozessvisualisierung

Es empfiehlt sich, die Beschreibungen der Prozesse durch Abbildungen und Skizzen zu veranschaulichen. Dazu sind die steuerrelevanten Prozessbeschreibungen um Prozesslandkarten und Prozessablaufdarstellungen zu ergänzen.


Bei der Anfertigung der Prozessablaufdarstellung (Flow-Charts) werden Tools für Prozessdesign und -visualisierung (Office-Anwendungen, Prozessvisualisierungstools, Signavio, ARIS etc.) eingesetzt. Für eine prozessübergreifende Einheitlichkeit in der Darstellung empfiehlt sich die Anwendung eines Prozessvisualisierungs-Frameworks (Business Process Modelling Notation, Ereignisgesteuerte Prozessketten etc.). Wie für alle Dokumentationsunterlagen ist auch für die Prozessdokumentation sicherzustellen, dass Änderungen des Prozessablaufs in chronologischer Folge beschrieben werden (Versionierung). Darüber hinaus muss der Change-Management-Prozess gewährleisten, dass Änderungen in steuerrelevanten Prozessen zwingend zu einer Aktualisierung der Prozessdokumentationen führen.

Zielsystem des Internen Kontrollsystems im Sinne der GoBD

Das Zielsystem des Internen Kontrollsystems (IKS) im Sinne der GoBD setzt sich aus den folgenden Bestandteilen zusammen:

  • Grundsätze der Nachvollziehbarkeit, Nachprüfbarkeit, Wahrheit, Klarheit und der fortlaufenden Aufzeichnung;
  • Sicherstellung der Einhaltung der steuerlichen Ordnungsmäßigkeits- und Sicherheitsanforderungen;
  • Definition von Verantwortlichkeiten.

Ordnungsmäßigkeit und Sicherheit

Die nachfolgenden Ordnungsmäßigkeits- und Sicherheitsanforderungen an steuerrelevante Verfahren und IT-Systeme ergeben sich aus dem Gesetz und der Verwaltungsauffassung (GoBD etc.):

  • Beleg-, Journal- und Kontenfunktion
  • Vollständigkeit
  • Richtigkeit
  • Zeitgerechtheit
  • Ordnung und Indexierung
  • Unveränderbarkeit
  • Sicherheit
  • Aufbewahrung inkl. Historisierung
  • Lesbarmachung und Dekryptierung verschlüsselter Daten
  • Gewährleistung der maschinellen Auswertbarkeit nach § 147 Abs. 2 AO und
  • Prüfbarkeit von Inhouse-Datenkonvertierungen und proprietärer Datenformate

Migration und Archivierung

Für die Migration und Archivierung sind die folgenden Anforderungen sicherzustellen:

  • Einhaltung steuer- und handelsrechtlicher Ordnungsmäßigkeitsanforderungen bei Migration und in selbsttragenden Archivsystemen
  • Auswertungsmöglichkeit steuerrelevanter Daten über den Aufbewahrungszeitraum (Unveränderbarkeit)
  • Datenmigration oder Einfrieren von Altsystemen bei Ablösung steuerrelevanter IT-Systeme
  • Ordnungsmäßige Auslagerung von Daten in steuerrechtskonforme Archivsysteme
  • Beachtung der steuerlichen Vorgaben zu Inhouseformaten und Datenkonvertierungen.

Nachprüfbarkeit inkl. Datenzugriff der Finanzverwaltung

Die Prüfbarkeit der Besteuerungsgrundlagen ist aus progressiver (vom Beleg zur Steuererklärung) und retrograder Sicht (von der Steuererklärung zum Beleg) zu gewährleisten. Grundlage hierfür bildet die Verfahrensdokumentation. Notwendige Voraussetzung für die Prüfbarkeit ist, dass die Betriebsprüfung ein Datenzugriffsrecht auf die IT-Anwendungen erhält. Dieses ist durch folgende wesentliche Vorkehrungen einzurichten:

  • Definition und Implementierung von Benutzerrollen für die steuerliche Betriebsprüfung: nur-lesender Datenzugriff (Z1) oder zusätzlich mit Recht auf Aufbereitung (Z2) oder Recht auf Datenträgerüberlassung (Z3),
  • Verfügbarmachung prüfbarer Datenformate nach Maßgabe der ergänzenden Informationen zur Datenträgerüberlassung im BMF-Schreiben vom 14.11.2014,
  • Beachtung von Besonderheiten (z.B. Einrichtung eines Mitwirkungsprozesses für die Kassennachschau nach § 146b AO).

Prozess-Kontroll-Matrix

In der Prozess-Kontroll-Matrix (vgl. Abb. 3) werden über den Prozessablauf sämtliche Prozessschritte aufgelistet und mit den relevanten Maßnahmen und Kontrollen verknüpft. In einer gesonderten Aufstellung werden die im Unternehmen eingerichteten (und geplanten) Kontrollen definiert und beschrieben. Dabei sind insbesondere auch der Typ (z.B. präventiv, detektivisch) und die Frequenz (z.B. monatlich, täglich, Stichprobe, lückenlos) zu bezeichnen.

 

Abb. 3: Prozess-Kontroll-Matrix


Anschließend sind die Angemessenheit und die Wirksamkeit zu beurteilen; zumindest letzteres lässt sich verlässlich jedoch erst in Phase IV „Wirksamkeit und Review“ des PKF-Modells prüfen. Auf der Grundlage der Prozess-Kontroll-Matrix erfolgt dann die eigentliche Risiko-Analyse in der Risiko-Kontroll-Matrix – quasi der DNA des PKF Tax CMS Tools.


Eine besondere Herausforderung stellt die Bestimmung von Prozessverantwortlichen (Process Owner) dar. Die Process Owner sind u.a. für die Aufrechterhaltung einer vollständigen und aktuellen Prozessdokumentation sowie für die Prozess-Kontroll-Matrix verantwortlich.

 

RAin/StBin Antje Ahlert,
WP/StB Tobias Hochow,
WP/StB Gerd Bichler,
WP/StB Dr. Christoph Swart,
WP/StB Daniel Scheffbuch

Aus: PKF Nachrichten 07-08/2018

 

Lesen Sie auch Teil A: Chancen nutzen und Risiken verhindern mittels des Vier-Phasen-Modells und Teil B: Compliance-Analyse (Phase I des PKF-Modells).