Whitepaper von Comarch zur Kontrolle von EDI-Anwendungen

GoBD 2.0 und WebEDI

Pflichten zu Aufbewahrung, Kontrollen, Berechtigungen und Prüfungen beim Einsatz dieser EDI-Lösungen erklärt das Softwarehaus Comarch unter der Mitwirkung von PSP im ersten WebEDI-Ratgeber zu GoBD.

Die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ sind eine 2014 erlassene Verwaltungsanweisung des Bundesministerium der Finanzen.

Die GoBD regeln, welche steuerlich relevanten Unterlagen die Unternehmen aufbewahren müssen, wobei speziell WebEDI einige Fragen zur GoBD-konformen Aufbewahrung aufwirft. Wie das Whitepaper aufzeigt, wurden mit der Neufassung der GoBD vom 28. November 2019 einige unklare Inhalte konkretisiert. Klar ist vor allem: Für die Einhaltung aller Vorschriften muss jedes steuerpflichtige Unternehmen entsprechende Kontrollen ausüben und protokollieren.

WebEDI können im Software-as-a-Service-Modell bezogen werden. Eine solche Web-Anwendung kommt bei einem geringen Volumen an ausgetauschten Daten, bei geringer technologischer Entwicklung der IT-Systeme des Geschäftspartners oder aufgrund eingeschränkter IT-Ressourcen bei Partnern zum Einsatz.

WebEDI-Nutzer können Dokumente empfangen und online anzeigen lassen oder sie herunterladen. Des Weiteren können Sie Dokumente im WebEDI erstellen und versenden. Entsprechend enthält die GoBD auch Vorgaben für das erforderliche Kontroll- und Protokollumfeld. Die Regelungen betreffen alle Unternehmen, die WebEDI einsetzen sowie deren Kunden und Lieferanten, die über WebEDI angebunden sind und die Dokumente empfangen, erstellen und senden.

GOBD-Konformität im konkreten Fall

Für WebEDI-Anwender stellen sich zahlreiche Fragen, wie die GoBD konkret auszulegen ist. Welche Anforderungen gibt es an die Berechtigungsverwaltung von Nutzern? Welche Vorgaben gibt es in Bezug auf die Angemessenheit von Kontrollmaßnahmen? Müssen Zugriffsberechtigungskonzepte einfach nur vorhanden sein oder gibt es spezielle Anforderungen an diese Konzepte? Gibt es Konzepte die unzureichend wären? Welche Vorgaben gibt es hinsichtlich Funktionstrennungen?

Weitere typische Fragen lauten: Wie sind Plausibilitätsprüfungen zu realisieren? Sind technische Eingabekontrollen ausreichend? Welche Vorgaben gibt es in Bezug auf die Angemessenheit von Schutzmaßnahmen gegen Verfälschung? Ist die Anforderung hinsichtlich Verarbeitungskontrollen durch Statustracking erfüllt? Wer muss welche Fehler wann melden?

Die Sicherheit spielt ebenfalls eine wichtige Rolle: Welche konkreten Anforderungen gibt es an den Registrierungsprozess von neuen Nutzern? Gibt es eine Anforderung zur Multi-Faktor Authentifizierung? Welche zeitlichen Abstände sind bei Benutzerkontenkontrollen angemessen (z.B. in Bezug auf saisonale Lieferanten)? Wann ist eine Prüfung und Bearbeitung von Fehlermeldungen und -protokollen nicht mehr zeitnah?

Dazu kommen technische Fragen: In welcher Form müssen Mapping-Tabellen des Dienstleisters beim eigenen Unternehmen verfügbar sein? Ist bei der Erstellung eines Dokuments im WebEDI das im System hinterlegte Format (natives Systemformat) als Originaldatei anzusehen und das dem Kunden des Dienstleisters gesendete Format als ein konvertiertes Format? Diese und weitere Fragen soll der erste WebEDI-Ratgeber zu GoBD beantworten.

Bildquelle: Gerd Altmann / Pixabay

©2021Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok