DATEV eG

DATEV eG

DATEV eG Bericht zur Prüfung des DATEV Produkts Belege online Version V.1.6 (Stand: Mai 2014) August 2014 Inhaltsverzeichnis 1. 2. Auftrag und Au...

171KB Sizes 0 Downloads 14 Views

Recommend Documents

DATEV eG
28.04.2010 - Anforderungen an die sicheren Signaturerstellungseinheiten .... Diese entspricht der Sicheren Signaturerste

DATEV Dienstleistungskatalog - Ruoff, Brodacz & Kollegen
Steuervorauszahlung reduziert werden kann – wir sind Ihr kompetenter. Ansprechpartner. Die folgende Übersicht zeigt I

DATEV Dienstleistungskatalog - adfontis Steuerberatung
Steuervorauszahlung reduziert werden kann – wir sind Ihr kompetenter. Ansprechpartner. Die folgende Übersicht zeigt I

1995 - DATEV Challenge Roth
26 266 BUCHDRUCKER, Rudolf TV 40 ERLANGEN GER 17 T1130 4 .... 74 336 JACOBS, Ralph TRIATHLON TEAM HA GER 52 11425 26 09:

Formatbeschreibung ASCII-Weiterverarbeitungsdatei - Datev
01.03.2016 - Formatbeschreibung ASCII-Weiterverarbeitungsdatei. Feld. Art des Felds und Beispiele. 1. Bankleitzahl oder

Anleitung für einen erfolgreichen DATEV-Export
DATEV-Export ASCII-CSV. DATEV-Export KNE. Besonderheit Konto 2200. Problembehandlung häufiger Fehlermeldungen. Umfang d

Leseprobe Arbeitsunterlage DATEV Anwalt pro
Arbeitsplatz pro. Hier bekommen Sie bereits einen schnellen Überblick über viele wichtige Infos zur Akte – ohne die

eg 264 eg 609 eg 587 - ECC BOCHUM
26.04.2015 - SCHRIFTLESUNGEN / BIBLE READINGS. 1 John 3:16-24. NT, page 305 (302). Choirs/Chöre. Christ is our cornerst

EG 3 EG 2 EG 1 - IK-T
Rappoltengrün. Rappoltengrün. Rappoltengrün. Wiesenmühle. Wiesenmühle. Wiesenmühle. Wiesenmühle. Wiesenmühle. Wiesenmühl

DATEV-Vertreterwahl 2016 - Steuerberaterverband Schleswig-Holstein
17.02.2016 - 24860 Böklund. Geburtsdatum. 13.12.1964. Folgende DATEV-Programme werden in meiner/unserer Praxis angewende

DATEV eG Bericht zur Prüfung des DATEV Produkts Belege online Version V.1.6 (Stand: Mai 2014) August 2014

Inhaltsverzeichnis

1.

2.

Auftrag und Auftragsdurchführung ...................................................................... 2 1.1

Auftraggeber und Prüfungsgegenstand ............................................................. 2

1.2

Prüfungsdurchführung ..................................................................................... 2

1.3

Prüfungskriterien ............................................................................................. 3

Darstellung der Prüfungsergebnisse .................................................................... 4 2.1

2.2

2.3

3.

Anforderungen an das IT System ...................................................................... 4 2.1.1

Systemüberblick, Datenbank-Zugriff und Datenhaltung ..................... 4

2.1.2

Allgemeine regulatorische Anforderungen gemäß den GDPdU und IDW FAIT 3 ..................................................................................... 5

2.1.3

Anforderungen an die IT Infrastruktur .............................................. 7

Anforderungen zur Sicherung der Ordnungsmäßigkeit an den IT- gestützten Archivierungsprozess ....................................................................................... 8 2.2.1

Erfassung sowie Im- und Export Funktionalität .................................. 8

2.2.2

Sicherung der Vollständigkeit und Richtigkeit ................................... 9

2.2.3

Sicherung der Nachvollziehbarkeit - Belegfunktionalität .................. 10

2.2.4

Sicherung der Unveränderbarkeit................................................... 12

2.2.5

Sicherung der Lesbarkeit ............................................................... 12

Sicherheitsanforderungen an die IT Anwendungen ........................................... 13 2.3.1

Autorisierungsfunktion .................................................................. 13

2.3.2

Nachvollziehbarkeit, Protokollierung .............................................. 14

2.3.3

Dokumentation und Softwaresicherheit .......................................... 15

Zusammenfassung der Prüfungsergebnisse ....................................................... 18

Anlage Abkürzungsverzeichnis Allgemeine Auftragsbedingungen

I

1.

Auftrag und Auftragsdurchführung

1.1

Auftraggeber und Prüfungsgegenstand

Die DATEV eG (im Folgenden: „DATEV“) erteilte uns auf Basis unseres Angebots vom 11. März 2014 den Auftrag zur Prüfung der Ordnungsmäßigkeit des DATEV Produkts Belege online. Gegenstand des Auftrags war die Prüfung der Produktversion V.1.6 (Stand: Mai 2014) hinsichtlich der revisionssicheren Belegaufbewahrung, die sowohl das DATEV Produkt Belege online als auch dessen Einbindung in ablauforganisatorische Prozesse und Maßnahmen innerhalb der DATEV betreffen. 1.2

Prüfungsdurchführung

Die Prüfungshandlungen wurden im Mai und Juni 2014 in den Räumen der DATEV durchgeführt. Dabei haben wir eigene Funktionstests angesetzt, zu deren Durchführung uns von DATEV folgende Laborumgebung eingerichtet wurde: Produkt-Plattform Produkt

Belege online, Version V.1.6

Datenbank

DB2 Datenbank, Version 10 (Betriebssystem z/OS 2.1)

Anwendungsserver

WebSphere, Version V.8.5 (Betriebssystem AIX 5.3 TL9 SP3)

Authentifizierung

Sicherheitspaket pro, Version 3.2

Test-Plattform Betriebssystem

Microsoft Windows 7 Professional, Version 2009 Service Pack 1

Hardware

Intel ® Xenon ® CPU E5-2690 0 @ 2.90 GHz 2.80 GHz (2 Prozessoren) 8 GB RAM

Browser

Internet Explorer, Version 8 aktivierte 256-bit Verschlüsselung

Fax

Brother MFC 8820D und Brother MCD 8800

Smartcard-Leser

SCM Microsystems SCR3310 USB Smart Card Reader

Gerätetreiber für den SmartcardLeser

SCM Microsystems, Version 4.49.0.0

Software zum Auslesen der Kartendaten

Sicherheitspaket pro, Version 3.2 Modul TC GPKCS11

2

Der Zugriff auf das DATEV Produkt Belege online erfolgte über einen Webbrowser mit einer Secure Sockets Layer (SSL) Verschlüsselung und einer Authentifizierung durch eine Smart Card inkl. persönlicher Identifikationsnummer (PIN), die eine eingebundene elektronische Signatur enthält. Aussagegemäß wird das Zertifikat und die eindeutige Kartennummer an die rufende Applikation übergeben. Die Applikation überprüft durch Zugriff auf die Nutzungskontrolle Internet (NUKI), ob die angeforderten Berechtigungen bestehen. Außerdem wird in der Applikationsdatenbank überprüft, ob für die ausgegebene Berechtigung ein Mandant für die Applikation besteht. Ferner konnten wir auf die Online Hilfe des DATEV Produkts Belege online und die LEXinform-Dokumentation zugreifen. Die darin erhältlichen Dokumente sind in der Regel versionsunabhängig. Beziehen sich Informationen nur auf spezielle Versionen, so wird in den Dokumenten ausdrücklich darauf hingewiesen. Die bei der Prüfungsdurchführung benötigten Auskünfte erteilten uns Mitarbeiter aus den zuständigen fachlichen und technischen Bereichen der DATEV. Wir danken den DATEV Mitarbeitern für die gute Zusammenarbeit. Für die Durchführung des Auftrags und unsere Verantwortlichkeit sind, auch im Verhältnis zu Dritten, die Allgemeinen Auftragsbedingungen für Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften des IDW in der Fassung vom 1. Januar 2002 maßgebend, die in unserem Bericht als Anlage enthalten sind. Demgemäß gilt Nr. 9 Abs. 2 der Allgemeinen Auftragsbedingungen mit einer Haftungsbegrenzung von 4 Mio. € bzw. 5 Mio. €. Das Auftragsverhältnis beinhaltet ferner die Verpflichtung der DATEV zum Hinweis auf unsere Freistellung von allen Ansprüchen Dritter. 1.3

Prüfungskriterien

Bei der Prüfung orientierten wir uns an den folgenden Prüfungskriterien: ►

„Grundsätze ordnungsmäßiger Buchführungssysteme“ (GoB), gemäß Handels- und Steuerrecht (§§ 238 ff., 257 HGB und §§ 146, 147 AO),



„Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme“ (GoBS), gemäß Schreiben des Bundesministeriums der Finanzen (BMF) vom 7. November 1995 IV A 8 – S 0316 – 52/95,



„Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GDPdU), gemäß dem Schreiben des BMF vom 16. Juli 2001 – IV D 2 – S 0316 – 136/01,



IDW Stellungnahme zur Rechnungslegung „Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie“ (IDW RS FAIT 1, Stand 24. September 2002) und



Stellungnahme des Instituts der Wirtschaftsprüfer zur Rechnungslegung „Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren“ (IDW RS FAIT 3, Stand: 11. Juli 2006).

3

2.

Darstellung der Prüfungsergebnisse

Eine Software, die aufbewahrungspflichtige Informationen transformiert, speichert und wiedergibt, muss sich in erster Linie daran messen lassen, ob sie die Anforderungen der Grundsätze ordnungsmäßiger Buchführung erfüllt. Ordnungsmäßige, computergestützte Archivierungssysteme sind solche, die unter Einbeziehung aller maschinellen und manuellen Verfahren die ordnungsmäßige Erfassung, Transformation, Verwaltung, Lesbarmachung und langfristige, unveränderbare Speicherung der aufbewahrungspflichtigen Informationen ermöglichen. Das DATEV Produkt Belege online wird im Umfeld der von Unternehmen (im Folgenden: „Mandanten“) an DATEV-Mitglieder (im Folgenden: „Berater“) ausgelagerten Finanzbuchführung eingesetzt. Durch die prozessuale Ausgestaltung kann die Belegerfassung durch den Mandanten räumlich getrennt von der Belegbuchung durch den Berater erfolgen. Die Belegerfassung wird hier und im Folgenden gemäß IDW RS FAIT 3 als automatisierte Übernahme von Daten bzw. Dokumenten aus vorgelagerten Rechnungslegungssystemen und als elektronische Erfassung (Digitalisierung) von physischen Dokumenten angesehen. Dementsprechend ergeben sich verschiedene Verantwortungsbereiche für die Erfassung, Transformation, Verwaltung, Lesbarmachung und langfristige, unveränderbare Speicherung der Belege. Die durchgeführten Prüfungstätigkeiten orientierten sich an der zur Verfügung stehenden Systemfunktionalität sofern diese die Kernfunktion des DATEV Produkts Belege online betreffen und im Verantwortungsbereich der DATEV liegen. Im praktischen Einsatz erfolgt die Buchung der Belege überwiegend in der DATEV Anwendung für Rechnungswesen, Kanzlei Rechnungswesen pro. Demzufolge stellt die DATEV eine Schnittstellenfunktionalität zwischen dem DATEV Produkt Belege online und der entsprechenden DATEV Rechnungswesenanwendung zur Verfügung. Sobald die Buchung in der Rechnungswesenanwendung durchgeführt wurde, wird der entsprechende Beleg mit einem „Gebucht“-Kennzeichen markiert. Um die Ordnungsmäßigkeit des DATEV Produkts Belege online zu prüfen, war eine Nutzung der Schnittstellenfunktionalität zwischen diesen Anwendungen erforderlich. Die Schnittstelle selbst war nicht Bestandteil der Prüfung. 2.1

Anforderungen an das IT System

2.1.1

Systemüberblick, Datenbank-Zugriff und Datenhaltung

Zur Beurteilung der ordnungsmäßigen Funktionalität des DATEV Produkts Belege online sind Betrachtungen der System- und Datenbankarchitektur unabdingbar. Die Systemarchitektur bildet eine Drei-Schichten-Architektur, deren Ebenen die Benutzerschnittstelle (Silverlight Rich Client), die Applikationsebene (Websphere Applikation Server) und die Datenhaltung (DB2 for z/OS) umfassen. 4

Das DATEV Produkt Belege online wird auf einem von DATEV betriebenen Anwendungsserver (WebSphere 8.5) über den Browser (Internet Explorer) aufgerufen. Der Anwendungsserver ist in die IT-Prozesse der DATEV eingebunden. Der Zugriff ist nur autorisierten Personen möglich. Der Anwender kann nicht direkt auf den Anwendungsserver zugreifen. Der Anwendungsserver greift auf eine Datenbank (DB2) zu, die ebenfalls von DATEV betrieben wird. Der Zugriff erfolgt verschlüsselt, die Authentifizierung erfolgt mit Hilfe einer elektronischen Signatur, die sich auf einer dem Benutzer eindeutig zugeordneten SmartCard befindet. Die Verifikation des Benutzers erfolgt durch die Eingabe einer PIN. Das personalisierte Zertifikat liegt nicht auf dem lokalen Rechner, sondern ist auf der SmartCard unveränderbar gespeichert. Für das Auslesen des Zertifikates wird Software der DATEV eingesetzt (Sicherheitspaket pro V.3.2). Ein direkter Zugriff auf die Datenbank durch den Anwender ist nicht möglich. Auskunftsgemäß erfolgt der Zugriff auf die Datenbank ausschließlich durch von DATEV autorisierte Mitarbeiter und auf schriftlichen Antrag des Mandanten bzw. des Beraters. Eine geeignete organisatorische Funktionstrennung zwischen Antragsannahme, Vorbereitung und Durchführung des Antrags zum Zugriff auf die Datenbank ist bei DATEV eingerichtet. Zusammenfassend stellen wir fest, dass die Prüfung der allgemeinen System- und Datenbankarchitektur sowie der Datenhaltung zu keinen Einwendungen führt. 2.1.2

Allgemeine regulatorische Anforderungen gemäß den GDPdU und IDW FAIT 3

Anforderungen gemäß den GDPdU Im Rahmen des Steuersenkungsgesetzes hat der Gesetzgeber durch Änderungen und Ergänzungen der Abgabenordnung mit Wirkung zum 1. Januar 2002 die Voraussetzungen für erweiterte Zugriffs- und Prüfungsmöglichkeiten der Finanzverwaltung in die EDVSysteme der Steuerpflichtigen im Rahmen der Betriebsprüfung geschaffen. Zur Anwendung dieser Vorschrift in der Praxis der Betriebsprüfung veröffentlichte das Bundesfinanzministerium am 16. Juli 2001 ein Schreiben über die „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GDPdU). Die Anforderungen in den GDPdU gelten für alle originär digital erzeugten und steuerlich relevanten Daten und Unterlagen. Die GDPdU beziehen sich auf die Verfügbarmachung dieser Informationen für den Betriebsprüfer. Der Betriebsprüfer entscheidet, ob der Datenzugriff mittelbar und/oder unmittelbar oder durch eine „Datenträgerüberlassung“ erfolgt. Eine Kombination aus diesen Zugriffsmöglichkeiten ist ebenfalls möglich. In den Rechenzentren der DATEV kann nach Bestellung durch den Anwender eine ArchivDVD erstellt werden. Voraussetzung hierfür ist, dass die Daten aus der Rechnungswesenanwendung an das Rechenzentrum übermittelt worden sind. Die Archiv-DVD beinhaltet die vom Anwender möglicherweise weiter einzuschränkenden Daten (z.B. Geschäftsjahre) aus der DATEV Rechnungswesenanwendung sowie die dazu gehörigen elektronischen Belege. Bei der Datenträgerüberlassung kann mittels GDPdU-Export von der Archiv-DVD ein entsprechender Teil extrahiert werden. Bei diesem Zugriff können auch die Belege mit übergeben werden, sodass ausgehend von den exportierten Buchungsdaten ein direkter Zugriff auf die digitalen Belege möglich ist. 5

Anforderungen an originär elektronische Unterlagen Die GDPdU schreiben (vereinfacht dargestellt) vor, dass die im Datenverarbeitungssystem originär digital erzeugten Unterlagen für die Dauer der zehnjährigen Aufbewahrungsfrist auf einem maschinell auswertbaren Datenträger zu speichern bzw. zu archivieren sind. Die DATEV bietet die Möglichkeit, EDI-Daten inklusive originär elektronische Rechnungsdaten von Kooperationspartnern zu übernehmen. Die übermittelten EDI-Daten sind nicht mehr veränderbar und können nicht gelöscht werden. In einem Vorsystem werden die empfangenen Daten in ein DATEV-eigenes XML Format umgewandelt, welches die digitale Auswertbarkeit gewährleistet. Auf die XML-formatierten Daten wird ein CSSStylesheets gelegt, um "echte" Belege zu simulieren. Die konvertierten Daten können im DATEV Produkt Belege online als bildlich dargestellte Belege eingesehen werden. Die diesbezüglichen GDPdU-Anforderungen werden von DATEV dahingehend erfüllt, dass neben der Speicherung der konvertierten Daten im DATEV Produkt Belege online auch eine Archivierung der Originaldaten und des Umwandlungsverfahrens in dem Vorsystem durchgeführt werden. Das angesprochene Vorsystem war kein Prüfungsgegenstand. Deshalb erfolgt in diesem Bericht keine Aussage über die ordnungsmäßige Umsetzung der „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GDPdU) bezogen auf das Vorsystem sowie eine ordnungsmäßige Bereitstellung der Daten, die im Vorsystem konvertiert wurden. Anforderungen an originär in Papierform angefallene Unterlagen Nicht originär elektronische Unterlagen können für die Dauer der zehnjährigen Aufbewahrungsfrist in digitalisierter Form aufbewahrt werden sofern ein gemäß IDW RS FAIT 3 ordnungsmäßiges Archivierungsverfahren im Einsatz ist. Die DATEV bietet mit dem Produkt Belege online die Möglichkeit, die digitalisierten Unterlagen dauerhaft in den Rechenzentren der DATEV abzulegen. Die überwiegende Mehrzahl der Anwender nutzt das DATEV Produkt Belege online derzeit zur dauerhaften Ablage von originär in Papierform angefallenen und im Anschluss digitalisierten Belegen. Details zur Datensicherung auf Seiten der DATEV werden im nachfolgenden Kapitel erläutert. Da der DATEV kein Einblick in die Dokumente erlaubt ist, können keine Klassifizierungen vorgenommen werden. Es liegt daher im Verantwortungsbereich des Anwenders die Unterlagen entsprechend den gesetzlichen Bestimmungen, vor allem im Hinblick auf die Aufbewahrungspflichten, vorzuhalten. Grundsätzlich ist ein Löschen der Belege von jeder SmartCard mit Zugriff auf den Mandanten möglich. Die Dokumente werden in den Papierkorb verschoben. Ein endgültiges Löschen der Belege im DATEV Produkt Belege online wird durch „Festschreibung“ von verlinkten Belegen und einem entsprechenden Rechtekonzept (via NUKI-Sonderrechten für das DATEV Produkt Belege online) vor Ablauf der entsprechenden Frist erschwert. Wenn der Mandant die Belege nicht selbstständig löscht, wird die Aufbewahrungsfrist der Daten von DATEV hinsichtlich der Lauffrequenz und Sicherungsart definiert. Weiterhin werden im DATEV Produkt Belege online jegliche Löschungen zusammen mit der zugehörigen SmartCard-ID protokolliert.

6

Anforderungen gemäß des IDW FAIT 3 Weitere Anforderungen gemäß des IDW FAIT 3 an das Umfeld des IT Systems oder spezielle Archivierungsanforderungen für branchen- oder kontextspezifische Unterlagen, können nur durch den Mandanten oder Berater umgesetzt werden, da die Dokumenteninhalte der DATEV nicht bekannt sind. Zusamm enfassend stellen wir fest, dass die Prüfung der allgemeinen regulatorischen

Anforderungen, bezogen auf den Verantwortungsbereich der DATEV, zu keinen Einwendungen führt. 2.1.3

Anforderungen an die IT Infrastruktur

Voraussetzung für einen ordnungsmäßigen Betrieb ist es, dass die IT-Infrastruktur physisch und logisch gesichert ist, regelmäßige Sicherungen erstellt und Wiederherstellungsverfahren geprüft werden. Die IT Infrastruktur der DATEV wird durch effektive physische Sicherungsmaßnahmen, im Rahmen von Zutrittskontrollen und räumlich getrennten IT Systemen sowie logischen Zugriffskontrollen in den Rechenzentren der DATEV geschützt. Zudem existiert eine definierte Vorgehensweise für mögliche Notfälle in den Rechenzentren. Diese wird regelmäßig auf ihre Funktionsfähigkeit geprüft. Bei einem Ausfall eines Rechenzentrums wird die Leistung von DATEV I oder II so hochgefahren, dass ein Rechenzentrum den Ausfall des anderen kompensieren kann. Die Wiederanlaufzeit beträgt maximal vier Stunden. Ein durchgängig definiertes Datensicherungs-, Auslagerungs- und Wiederherstellungsverfahren existiert und ist effektiv umgesetzt. Die langfristige Sicherung der Dokumente und Daten ist durch die Datenhaltung und die kontinuierliche Datensicherung in den DATEV Rechenzentren gesichert. Täglich erfolgt eine Gesamtsicherung der Daten im DATEV Produkt Belege online. Eine zusätzliche Zwischensicherung der Datenbestände wird nach der Verarbeitung aus der Anwendung heraus und/oder nach jedem Update der Bestände für eventuelles Aufsetzen der Verarbeitung bei Fehler durchgeführt. Diese Zwischensicherungen ermöglichen die Wiederherstellung aller Daten ab der zuletzt durchgeführten Vollsicherung. Eine weitere wöchentliche ESTORE-Sicherung der vollständigen DATEV Datenbank gewährleistet eine anwendungsübergreifende Wiederherstellung aller relevanten Daten. Eine räumliche Trennung der Datensicherung von der Produktivumgebung ist durch eine verteilte Datenhaltung gewährleistet. Das Wiederherstellungsverfahren wird in regelmäßigen Abständen getestet und dokumentiert. Zudem erfolgt eine Überprüfung der Vollständigkeit und Richtigkeit des Uploads und der Datensicherung. Beim Fax-Upload wird die Vollständigkeit durch die Übertragung der letzten Seite sichergestellt. Die Lesbarkeit der in der Praxis gängigen Standardformate für Bilddateien, wie BMP, GIF, JPG, JPEG, PNG, TIF, TIFF und weitere Standardformate wie CSV, DOC, DOCX, DTA, MSG, ODS, ODT, PDF, PK7, PKCS7, RTF, TXT, XLS, XLSX, XML, EML und ZIP, wird durch die Anzeigefunktionalität des DATEV Produkts Belege online und die plattformunabhängige Speicherung der Daten unterstützt. Das DATEV Produkt Belege online ermöglicht dem Anwender den Upload von Dateien mit vorgegebenen Standardformaten. Die Sicherung der 7

langfristigen Lesbarkeit der Dokumentenformate liegt im Verantwortungsbereich des Mandanten, da DATEV keinen direkten Einfluss auf die abgelegten Dokumente hat. Zusammenfassend stellen wir fest, dass die Prüfung der zur IT Infrastruktur untersuchten Aspekte, bezogen auf den Verantwortungsbereich der DATEV, zu keinen Einwendungen führt. 2.2 Anforderungen zur Sicherung der Ordnungsmäßigkeit an den IT- gestützten Archivierungsprozess 2.2.1

Erfassung sowie Im- und Export Funktionalität

Das Erfassen der Dokumente im DATEV Produkt Belege online kann durch folgende Verfahren realisiert werden: ►

Senden einer Fax-Mitteilung an eine bei der Anlage eines neuen Mandanten generierte Ziel-Faxnummer, die jedem Mandanten eindeutig zugeordnet ist. Der Datenimport via Fax funktioniert über die eindeutige Zuordnung von AbsenderFaxnummern zu der Ziel-Faxnummer des Mandanten. Dabei können einem Mandanten mehrere Absender-Faxnummern zugeordnet werden. Eine Aufteilung mehrerer Seiten in verschiedene Belegtypen ist durch mitzusendende Vordrucke möglich. Der Faxeingang ist durch zwei Fax-Server (DMZBK001 und DMZBK002) gesichert. Durch eine Online-Kommunikation zum Applikationsserver erfolgen die Prüfung der Absender-Faxnummer, der Ziel-Faxnummer und die Zuordnung der Dokumente zum jeweiligen Datenbestand. Stimmen Absender- und Ziel-Faxnummer nicht überein, so wird der Anwender darüber informiert. Zu jeder erfolgreichen Fax-Übertragung werden eine Kopfzeile mit zugehörigem Ordnungsbegriff und eine eindeutige Beleg-ID generiert. Neben diesen beiden Daten wird auch die Faxnummer des Absenders gesichert. Weiterhin erfolgen eine Virenprüfung und die Generierung eines Vorschaubildes (Thumbnail). Das Fax wird als Tagged Image File Format (TIFF) Dokument abgelegt.



Importieren von Dokumenten in Standardformaten aus dem Dateisystem. Alle möglichen Bild- und sonstigen Dateiformate, die innerhalb des DATEV Produkts Belege online unterstützt werden, werden beim Import angezeigt und sind in Kapitel 2.1.3 beschrieben. Die Prüfung der Formate erfolgt anhand des Dateiinhaltes (magic number) in Verbindung mit der Dateiendung. Die Authentifizierung wird durch das Auslesen der SmartCard des Nutzers mit Hilfe des DATEV Sicherheitspakets sowie der anschließenden Überprüfung der Berechtigungen durch einen Authentifizierungsserver (DataPower-Server) realisiert. Falls komprimierte Dokumente importiert werden sollen, können diese auch wahlweise direkt beim Import extrahiert werden.



Importieren von Dokumenten mit Hilfe des DATEV Produkt Belegtransfer (Version 3.22). Mit dem DATEV Programm Belegtransfer können auch Rechnungen (wie beispielsweise elektronisch signierte, die aus eRechnung stammen) in die DB2 vom DATEV Produkt Belege online geladen werden. Hierzu wird von der Windows-ClientKomponente ein Webservice genutzt. Die Prüfung der Formate erfolgt anhand des 8

Dateiinhaltes (magic number) in Verbindung mit der Dateiendung im DATEV Produkt Belege online. Die Authentifizierung wird durch das Auslesen der SmartCard des Nutzers mit Hilfe des DATEV Sicherheitspakets sowie der anschließenden Überprüfung der Berechtigungen durch einen Authentifizierungsserver (DataPower-Server) realisiert. ►

Eingang von originär elektronisch erzeugten Rechnungen durch definierte Schnittstellen. Die EDI Daten werden von den Rechnungsstellern in eine von der Telekom betriebene Telebox hinterlegt. DATEV eigene Vorsysteme, die nicht Prüfungsgegenstand waren, gewährleisten die digitale Auswertbarkeit der Daten durch die Bereitstellung des DATEV eigenen XML-Formats und eines darauf liegenden CSS-Stylesheet um „echte“ Belege zu simulieren. Anschließend leiten die Vorsysteme die Daten an das DATEV Produkt Belege online weiter.

Bei dem Import eines Dokuments, unabhängig von dem gewählten Verfahren, wird eine eindeutige Beleg-ID vom System generiert. Mit Hilfe dieser Beleg-ID ist die Zuordnung der Dokumente zu Geschäftsvorfällen oder zu anderen Dokumenten innerhalb der Anwendung gewährleistet. Die Indexinformationen werden in den Informationen zu den einzelnen Belegen im DATEV Produkt Belege online gesichert. Dem Anwender stehen Suchfunktionalitäten zur Verfügung, die es ihm ermöglichen nach der Beleg-ID zu suchen. Die Prüfung des Datenimports aus dem DATEV Produkt Auftragswesen online war von der Prüfung ausgenommen. Der Export, der Druck und das Verschieben von Dokumenten ist jedem Nutzer mit Standardrechten möglich. Die Exportfunktionalität umfasst weiterhin die Übertragung aller Dokumente eines Mandanten in einen anderen Mandanten (Mandantenübertrag). Zusammenfassend stellen wir fest, dass die Prüfung der untersuchten Funktionen zur Erfassung sowie des Im- und Exports, bezogen auf den Verantwortungsbereich der DATEV, zu keinen Einwendungen führt. 2.2.2

Sicherung der Vollständigkeit und Richtigkeit

Die Verifikation der eingelesenen Dokumente muss manuell durch den Benutzer erfolgen. Automatisierte Überprüfungen zwischen der Originaldarstellung und dem systemseitig abgelegtem Beleg finden nicht statt, da dies im Verantwortungsbereich des Anwenders liegt. Systemseitige Fehler beim Transport der Dokumente in die angelegte Ordner- oder Registerstruktur in der Anwendung werden dokumentiert und an den Anwender kommuniziert. Der Faxversand wird durch ein Antwortfax mit einer Bestätigung quittiert. Treten beim Faxversand Fehler auf erhält der Anwender ein entsprechendes Antwortfax, das ihn darüber informiert, dass der Faxversand nicht erfolgreich war. Es ist möglich, mehrere Seiten eines Belegs zu „heften“ und somit als einen logischen Beleg in der Anwendung darzustellen. Die Metainformationen zu diesen Dokumentenverknüpfungen werden in der Kopfzeile des Dokuments abgebildet.

9

Um den originalgetreuen Import der Dokumente zu gewährleisten, sind organisatorische Maßnahmen durch den Anwender zu definieren. Diese Maßnahmen sind manuell vom Anwender durzuführen. DATEV subsummiert hierunter u.a. die folgenden Kontrollen: ►

Kontrolle von Doppelerfassungen,



Kontrolle einer ausreichenden Qualität des digitalen Dokuments,



Kontrolle einer korrekten Kategorisierung des Dokuments und



Kontrolle der Vollständigkeit und Richtigkeit des Dokuments.

Zusammenfassend stellen wir fest, dass das DATEV Produkt Belege online zur Umsetzung der Maßnahmen systemseitige Unterstützung leistet, um eine ordnungsmäßige Verarbeitung gewährleisten zu können. 2.2.3

Sicherung der Nachvollziehbarkeit - Belegfunktionalität

Die Belegfunktion stellt den Nachweis über den Zusammenhang zwischen dem konkreten Geschäftsvorfall und dessen Abbildung in der Buchführung dar. Die Software hat sicherzustellen, dass die archivierten Buchungsdaten und Belege eindeutig zugeordnet und gespeichert werden (Verschlagwortungs- und Archivierungsfunktion). Die eindeutige Zuordnung von Dokumenten zu Geschäftsvorfällen kann durch folgende Verfahren, auch in Kombination, erfolgen: ►

Manuelle Bearbeitung in Erfassungsmasken zum Beleg in der Anwendung Belege online. Im DATEV Produkt Belege online können über die Bearbeitungsfunktion verschiedene Metainformationen, wie Belegdatum, Belegnummer oder weitere Informationen für eine geeignete Verschlagwortung eingegeben werden. Dem Anwender steht dafür auch eine Eingabehilfe via OCR zur Verfügung, die die Informationen in der Bearbeitungsmaske aus dem Beleg vorbelegt. Diese können übernommen oder abgeändert werden.



Verknüpfung der eindeutigen Beleg-ID mit einem Buchungseintrag in dem DATEV Produkt Kanzlei Rechnungswesen pro zur Zuordnung des Belegs zu einem Geschäftsvorfall. Für die Verknüpfung von Belegen mit Buchungseinträgen gibt es zwei Möglichkeiten. Beim digitalen Belegbuchen werden standardmäßig die Buchungssätze automatisch mit dem Beleg verknüpft. Dem Anwender steht dabei eine Eingabehilfe in Form von OCR zur Verfügung. Alternativ können die Buchungssätze in Kanzlei Rechnungswesen pro angelegt werden und anschließend manuell mit Belegen aus dem DATEV Produkt Belege online verknüpft werden.



Übertragung der Metadaten aus dem DATEV Rechnungswesen Produkt an das DATEV Produkt Belege online. Nach der Übergabe der Daten aus Kanzlei Rechnungswesen pro werden die Belege im DATEV Produkt Belege online automatisch als „gebucht" markiert. Die Verknüpfung der Belege zu den Buchungssätzen kann in Kanzlei Rechnungswesen pro bis zur Festschreibung der Buchung wieder aufgehoben werden. Wird eine Verknüpfung in 10

Kanzlei Rechnungswesen pro aufgehoben oder ein Buchungssatz gelöscht, erhält das DATEV Produkt Belege online hierüber keine Information. Der entsprechende Beleg wird weiterhin als „gebucht“ markiert. Die Markierung muss manuell wieder gelöscht werden. Nach der Festschreibung eines Belegs in Kanzlei Rechnungswesen pro muss der Anwender die Belege im DATEV Produkt Belege online ebenfalls manuell festschreiben, da hier keine Synchronisation besteht. Besteht eine Festschreibung in Kanzlei Rechnungswesen pro ist diese dauerhaft. Die Festschreibung eines Belegs im DATEV Produkt Belege online kann mittels Sonderrechten wieder aufgehoben werden. ►

Automatisierte Verknüpfung der aus elektronischen Daten erzeugten Dokumente (XML-Dokumente aus DATEV Vorsystemen), mit elektronischen Rechnungen (EDI). Die buchführungsrelevanten Daten dieser Rechnungen werden innerhalb des DATEV Produkts Rechnungseingangsbuch online (nicht Prüfungsgegenstand) verwaltet.



Zuordnung der Belege zu Belegtypen. Von DATEV sind Belegtypen vordefiniert und können nicht verändert werden. Der Anwender kann allerdings weitere individuelle Belegtypen anlegen. Die Zuordnung der Belege zu Belegtypen kann sowohl beim Faxversand automatisiert mit Hilfe vordefinierter Vordrucke als auch beim Beleg-Upload anhand einer vom Anwender zu setzenden Kennzeichnung als auch bei der Bearbeitung der Belege durch die Auswahl des entsprechenden Belegtyps im Dropdown erfolgen. Die Belegtypen können zur Klassifizierung der Belege im DATEV Produkt Kanzlei Rechnungswesen pro verwendet werden.

Die Verknüpfungen der Belege sind für einen sachverständigen Dritten in angemessener Zeit nachvollziehbar. Dabei unterstützen geeignete Suchfunktionen im DATEV Produkt Belege online und in Kanzlei Rechnungswesen pro diese Nachvollziehbarkeit. Für eine zeitgerechte Erfassung und Bearbeitung ist der Anwender verantwortlich. Die Verknüpfungen können ohne weitere manuelle Tätigkeiten keinen Schutz vor Löschung oder Veränderung darstellen. Erst die Festschreibung sowohl der Belege im DATEV Produkt Belege online als gegebenenfalls auch die davon unabhängige Festschreibung der Buchungen in Kanzlei Rechnungswesen pro stellt die Unveränderbarkeit der Zuordnung sicher. Es liegt im Verantwortungsbereich des Anwenders die programmtechnisch zwischen dem DATEV Produkt Belege online und Kanzlei Rechnungswesen pro unabhängige Festschreibung zeitnah bei beiden Produkten durchzuführen. Weiterhin muss dieser durch geeignete Zugriffkontrollen sicherstellen, dass verknüpfte Belege nicht bewusst oder versehentlich gelöscht werden. In Kanzlei Rechnungswesen pro besteht die Möglichkeit durch eine Beleglinkprüfung die Konsistenz der Verknüpfungen zwischen dem DATEV Produkt Belege online und Kanzlei Rechnungswesen pro sicher zu stellen. Da diese Funktionalität nicht Bestandteil vom DATEV Produkt Belege online ist, wurde diese im Rahmen unserer Prüfungsaktivitäten sowie die Festschreibung in Kanzlei Rechnungswesen pro nicht geprüft.

11

Zusammenfassend stellen wir fest, dass die Prüfung der untersuchten Funktionen zur Belegfunktion, bezogen auf den Verantwortungsbereich der DATEV, zu keinen Einwendungen führt. 2.2.4

Sicherung der Unveränderbarkeit

Die systemseitige Sicherung der Unveränderbarkeit von relevanten Belegen ist eine wesentliche Anforderung an eine Software zur Belegverwaltung. Eine Veränderung der Bilddaten oder der Beleginhalte ist grundsätzlich für alle abgelegten Belege systemseitig ausgeschlossen. Im DATEV Produkt Belege online können Metadaten durch die manuelle Festschreibung der Belege vor Veränderung geschützt werden. Nach der Überführung der Belege in den Zustand „Festgeschrieben“ sind Veränderungen der Metadaten und das Löschen der Belege nicht mehr möglich. Die Aufhebung des Status „Festgeschrieben“ ist lediglich mit dem Benutzerrecht „Sonderrechte“ möglich. Es besteht die Möglichkeit, Belege in die Ordner- und Registerstruktur der Anwendung einzuordnen. Wie in Kapitel 2.3.1 noch genauer erläutert ist, kann dadurch eine Auswahl von Belegen nur für autorisierte Benutzer zugänglich gemacht werden. Zur Identifikation der zu schützenden Belege können Recherchen zum Buchungsstatus, zum Belegtyp oder nach weiteren Merkmalen verwendet werden. Das DATEV Produkt Belege online stellt die grundsätzlichen Sicherheitsmechanismen zur Verfügung, um Dokumente vor unberechtigten Veränderungen, vor Manipulation oder vor unberechtigtem Löschen zu schützen. In welcher Ausprägung diese Mechanismen zum Einsatz kommen, ist abhängig von den konkreten ablauforganisatorischen Kontrollen des Endbenutzers, die eine ordnungsmäßige Einhaltung der Archivierungserfordernisse widerspiegeln sollten. Zusammenfassend stellen wir fest, dass die Prüfung der untersuchten Funktionen zur Sicherung der Unveränderbarkeit (bei ordnungsmäßiger Anwendung), bezogen auf den Verantwortungsbereich der DATEV, zu keinen Einwendungen führt. 2.2.5

Sicherung der Lesbarkeit

Die Sicherung der Lesbarkeit der abgelegten Dokumente, unabhängig von der eingesetzten Plattform und den eingesetzten Releaseständen, ist eine notwendige Voraussetzung für die Ordnungsmäßigkeit eines Archivierungssystems. Die im DATEV Produkt Belege online integrierte Dokumentenanzeige ermöglicht die unverzügliche Lesbarmachung der abgelegten Dokumente in Standardformaten. Die Standardformate, die durch die Anzeigefunktionalität unterstützt werden, sind in der Dokumentation hinterlegt (siehe auch Kapitel 2.1.3). Zusätzlich können nur Dokumente der vorgegebenen Standardformate hochgeladen werden. Weiterhin erfolgt die Speicherung der Daten plattform- und releaseunabhängig damit eine langfristige Lesbarkeit gesichert ist. Ein Export der abgelegten Dokumente ermöglicht zusätzlich die Lesbarmachung mit lokal installierten Applikationen. Darüberhinaus ist der Anwender dafür verantwortlich 12

entsprechende Applikationen vorzuhalten, die die Lesbarmachung bis zum Ablauf der entsprechenden Aufbewahrungspflicht ermöglichen. Zur Sicherstellung der Lesbarkeit seitens DATEV in technischer Hinsicht erfolgt die Archivierung der Dokumente synchron auf Plattensystemen über Kassettenroboter an mindestens zwei Standorten. Diese Platten werden aussagegemäß ausgewechselt, wenn die Haltbarkeitsfrist erreicht ist. Außerdem werden Vorkehrungen getroffen um die Lesbarkeit der Kassetten sicherzustellen. Darüberhinaus wird der Anwender in der Leistungsbeschreibung des DATEV Produkts Belege online auf technische Vorraussetzungen hingewiesen, um Daten hochzuladen, zu bearbeiten und zu lesen. Dabei wird ihm auch eine Übersicht der derzeit unterstützten Arbeitsplatz-/ServerBetriebssysteme, Services Packs und Systemkomponenten zur Verfügung gestellt. Die Vernichtung der Originaldokumente kann gemäß des IDW FAIT 3 unter strengen Voraussetzungen im Rahmen eines ordnungsmäßigen Archivierungsverfahrens erfolgen. Ob diese im Einzelfall für die jeweiligen Dokumente erfüllt sind, kann endgültig nur durch den Anwender entschieden werden und liegt somit in dessen Verantwortungsbereich. Die Sicherung der Lesbarkeit bis zum Ablauf der Aufbewahrungsfrist von nicht unterstützten Sonderformaten (siehe auch Kapitel 2.1.3) liegt im Verantwortungsbereich des Anwenders. Da die Dokumenteninhalte durch die DATEV grundsätzlich nicht eingesehen werden, liegt die Überprüfung der tatsächlichen Lesbarkeit im Verantwortungsbereich des Anwenders und steht in engem Zusammenhang mit der Überprüfung der Richtigkeit der abgelegten Dokumente. Zusammenfassend stellen wir fest, dass die Prüfung der untersuchten Funktionen zur technischen Sicherung der Lesbarkeit der Standardformate (bei ordnungsmäßiger Anwendung), bezogen auf den Verantwortungsbereich der DATEV, zu keinen Einwendungen führt. 2.3 2.3.1

Sicherheitsanforderungen an die IT Anwendungen Autorisierungsfunktion

Der Zugriff auf das DATEV Produkt Belege online erfolgt durch dezidierte Funktions- und Ordnerberechtigungen innerhalb der DATEV-eigenen Rechteverwaltung online. Die Berechtigungen sind abhängig von der verwendeten SmartCard, deren Signatur mit Hilfe des DATEV Sicherheitspakets ausgelesen und mit einer PIN verifiziert werden muss. Die PIN ist unter der Maßgabe einer Mindestlänge von sechs Zeichen durch den Anwender änderbar. Innerhalb des DATEV Produkts Rechteverwaltung online wird zwischen „Standardrechten“, „Ordnerrechten“, „Sonderrechten“ und „Vertraulichen Rechten“ unterschieden. Die jeweiligen Rechte werden für einzelne Ordnungsbegriffe, demnach für einzelne BeraterMandanten Kombinationen, vergeben. Es besteht ebenfalls die Möglichkeit, mehrere Mandanten für einen Berater auf der Smartcard freizugeben. Im Fall einer kanzleiübergreifenden Zusammenarbeit kann in Einzelfällen die Freigabe von mehreren Beratern auf einer SmartCard erfolgen.

13

Die „Standardrechte“ beinhalten das Recht, alle Belege im Posteingang und alle Stammdaten bearbeiten zu können. Die Belege in der Ordner- und Register-Struktur können angezeigt, jedoch nicht verändert werden. Die Anzeigeberechtigung beschränkt sich auf Ordner mit dem Status „Öffentlich“. Die Ordner mit dem Status „Vertraulich“ oder „Privat“ werden mit „Standardrechten“ demnach nicht angezeigt. Die „Ordnerrechte“ beinhalten die Berechtigung zur Ablage und Bearbeitung von Belegen in Ordnern. Bearbeiten bedeutet hierbei Belege zu verschieben, sie festzuschreiben und in den Papierkorb zu verschieben. Belege in einem Ordner mit dem Status „Privat“ sind nur für den Bearbeiter sichtbar, der diesen Ordner erstellt hat. Eine Vergabe der „Ordnerrechte“ umfasst nicht zwangsläufig auch die Vergabe der „Standardrechte“. Im Regelfall sollten SmartCard IDs mit „Ordnerrechten“ jedoch ebenfalls über die „Standardrechte“ verfügen. Mit „Sonderrechten“ ist ein Anwender befugt, den Papierkorb zu leeren, getätigte Festschreibungen oder das „Gebucht-Kennzeichen“ aufzuheben, Mandanteninhalte durch den so genannten Mandantenübertrag auf andere Mandanten zu verschieben. Diese Rechte sollten für eine revisionssichere Archivierung nur temporär und restriktiv an Smartcard Identifikationsnummern (ID) vergeben werden. Die Vergabe dieser Berechtigung sollte gesondert protokolliert werden. Mit Hilfe der vertraulichen Rechte ist es möglich, Ordner nur bestimmten SmartCard IDs zugänglich zu machen. Dabei können von diesen SmartCard IDs Ordner mit dem Status „Vertraulich“ angelegt und deren Belege bearbeitet werden. SmartCard IDs mit „Vertraulichen Rechten“ sollten ebenfalls über „Standardrechte“ und „Ordnerrechte“ verfügen. Es liegt im Verantwortungsbereich des Anwenders eine angemessene Vergabe der Zugriffsberechtigungen durch Rechteverwaltung online einzurichten und zu pflegen. Die PIN werden verschlüsselt angezeigt und verschlüsselt auf der SmartCard hinterlegt. Zusammenfassend stellen wir fest, dass die Prüfung der untersuchten Funktionen zur Sicherung der Autorisierung, bezogen auf den Verantwortungsbereich der DATEV, zu keinen Einwendungen führt. 2.3.2

Nachvollziehbarkeit, Protokollierung

Es existieren drei Ebenen der Protokollierung innerhalb des DATEV Produkts Belege online. Es wird zwischen der Protokollierung von Belegdaten, der Protokollierung von Faxuploads und der Protokollierung von Logbüchern unterschieden. ►

Die Belegprotokollierung zeigt die wesentlichen Punkte im Lebenszyklus eines Belegs von der Erfassung über die Verwaltung, die Bearbeitung, die Festschreibung und die Löschung von Belegen.



Die Protokollierung der Faxuploads umfasst die Importübersicht und das Faxprotokoll. Die Importübersicht zeigt je nach ausgewähltem Zeitraum und ausgewählter Belegherkunft alle hochgeladenen Belege mit Datum, Status und der SmartCard-ID mit 14

welcher das Hochladen durchgeführt wurde. Das Faxprotokoll zeigt im Wesentlichen das Datum des Faxempfangs, die Herkunftsfaxnummer und den Status. ►

Die Logbücher beinhalten den Belegzugang. Diese können entweder „Gesamt“ oder „auf Fehler oder Hinweise reduziert“ angezeigt werden. Geloggt werden dabei Datum und Uhrzeit, SmartCard-ID, Typ, Text und Herkunft.

Es werden zu allen Protokolleinträgen das bearbeitete Objekt, die SmartCard-ID des Bearbeiters, das Datum und die Uhrzeit des Bearbeitungszeitpunkts gesichert. Die Auswertung der Protokollierung ist mit Hilfe von klar strukturierten Suchfunktionen für einen sachverständigen Dritten innerhalb angemessener Zeit nachvollziehbar. Zusätzlich zu der Protokollierung im DATEV Produkt Belege online wird auch der Datenbankzugriff protokolliert. Diese Protokollierung wird im Rechenzentrum vorgehalten und nur auf Nachfrage oder im Fehlerfall ausgewertet. Generell wird zwischen zwei Formen von Auswertungen unterschieden. Eine Auswertung erfasst alle User, die einen schreibenden Zugriff auf das DATEV Produkt Belege online haben. Da eine Veränderung dieser Rechte einem strikten Antragsverfahren unterliegt, in dem der Vorgesetzte des Antragstellers und der Dateneigentümer zustimmen müssen erfolgt eine Auswertung dieser Art nicht regelmäßig sondern nur auf Anfrage. Eine weitere Auswertung betrifft die Systemadministratoren. Einmal im Jahr erfolgt eine Auswertung bei der zusätzlich eine Überprüfung stattfindet. Der Mitarbeiter bestätigt, dass er die Berechtigung weiterhin benötigt, die Führungskraft bestätigt diese Aussage und der Administrator bestätigt, dass die Mitglieder berechtigterweise eingetragen sind. Zur Sicherstellung der Vollständigkeit kann die Auswertung zum „Datenvolumen“ genutzt werden. Diese zeigt die Zahl der vorhandenen Belege mit Ablageort an, sowie die Anzahl gelöschter Belege. Zusammenfassend stellen wir fest, dass die Prüfung der untersuchten Funktionen zur Sicherung der Nachvollziehbarkeit durch angemessene Protokollierung, bezogen auf den Verantwortungsbereich der DATEV, zu keinen Einwendungen führt. 2.3.3

Dokumentation und Softwaresicherheit

Die Prüfung der Softwaresicherheit umfasst die Beurteilung der Programmentwicklung, Programmwartung und des Programmfreigabeverfahrens. Der gesamte Entwicklungsprozess orientiert sich am etablierten DATEV Software Entwicklungsmodell (DASEM). In DASEM sind klare Rollen inkl. Verantwortungsbereiche und Kompetenzen definiert. Daneben existieren klare Arbeitsanweisungen, die das spezifische Vorgehen für das Change- und Incident Management festlegen. Zur kontinuierlichen Weiterentwicklung werden sowohl marktseitige als auch interne Änderungsvorschläge gesammelt, toolbasiert dokumentiert, kategorisiert und priorisiert. Produktverantwortliche, Support und Entwicklung definieren das weitere Vorgehen. Interne als auch externe Kommunikation bezüglich anstehender Änderungen wird in angemessenem Umfang betrieben.

15

Aussagegemäß gilt innerhalb der DATEV grundsätzlich eine 5-Jahresplanung (Produkt- und Marktleitlinie). Zusätzlich gibt es eine Jahresplanung (Zielverschränkungen), die sich auf die 5-Jahresplanung stützt. Innerhalb der Zielverschränkungen werden Kurzsteckbriefe geschrieben. Aus den Zielverschränkungen entstehen die konkreten Projekte. Dies wird von einem zentralen Projektmanagement geleitet, das sich unter anderem mit allgemeinen Unterstützungsmaßnahmen befasst. Innerhalb der DATEV existiert aussagegemäß ein zentrales Change Management zur Bearbeitung aller Changes. Diese Abteilung führt eine zentrale Change-GenehmigungsListe. Jedem Change wird vom zentralen Team ein Change Manager zugeordnet, der diesen Change verantwortet. Der Change Manager erstellt zu jedem Change einen Ablaufplan, der wichtige Informationen wie beispielsweise den Security Check, die Festlegung der nichtfunktionalen Anforderungen, die NUKI-Struktur, die Tests und die Pilotierung beinhaltet. Entwicklungen, Tests und Freigaben zur produktiven Nutzung erfolgen auf getrennten Umgebungen und werden von qualifizierten Mitarbeitern unter Beachtung der Aufgabentrennung durchgeführt. Es existieren Checklisten für neue Anwendungen. Diese werden durch den gesamten Prozess weitergeführt um den aktuellen Stand zu verfolgen. Sofern realisierbar werden automatisierte Testverfahren zur Ergänzung manueller Tests eingesetzt. Die Freigaben zur produktiven Nutzung erfolgen nach Abschluss qualifizierter Tests im Rahmen eines wöchentlichen Produktionsübergabe-Jour-Fixes. Der Umfang und die Aussagefähigkeit der Software-Dokumentation sind wichtige Qualitätsparameter für Anwender und Prüfer. Die Verfahrensdokumentation besteht aus der Systemdokumentation und der Anwenderdokumentation. Sie ist erforderlich für die sachgerechte Handhabung, Wartung und Weiterentwicklung der Software. Eine sachgerechte Dokumentation ist die Voraussetzung für die Nachvollziehbarkeit und damit die Ordnungsmäßigkeit des Verfahrens. Aus der geforderten Verfahrensdokumentation müssen Inhalt, Aufbau und Ablauf des Aufbewahrungsverfahrens ersichtlich sein und sie muss sowohl die sachlogische Lösung als auch eine programmtechnische Realisierung beschreiben. Die bereitgestellte Verfahrensdokumentation wurde von uns stichprobenartig überprüft. Zusätzlich haben wir die fachliche Richtigkeit einzelner, von uns geprüfter Verarbeitungsregeln anhand der Dokumentation nachvollzogen. Die Dokumentation von technischen Anforderungen und Rahmenbedingungen ist im DASEM definiert. Die technische Dokumentation wird in den relevanten Entwicklungstools und -umgebungen als auch in den entsprechenden Abschnitten der Anwenderdokumentation festgehalten und ist revisionssicher verfügbar. Die Dokumentation für die Anwender steht in Form einer Online Hilfe sowie der „Informations-Datenbank“ zur Verfügung. Die Dokumentation erfüllt die Anforderungen hinsichtlich zielgruppenspezifischer Detaillierung, Verständlichkeit, Vollständigkeit und Aktualität.

16

Zusammenfassend stellen wir fest, dass die Prüfung der Softwaresicherheit und den vorliegenden Dokumentationen zu keinen Einwendungen führt.

17

3.

Zusammenfassung der Prüfungsergebnisse

Auftragsgemäß haben wir die Prüfung der Ordnungsmäßigkeit des DATEV Produkts Belege online in der Version V.1.6 (Stand: Mai 2014) hinsichtlich der revisionssicheren Belegaufbewahrung durchgeführt. Dabei war auch die Einbindung in ablauforganisatorische Prozesse und Maßnahmen innerhalb der DATEV Gegenstand der Prüfungshandlungen. Ferner haben wir uns über die bestehende Ordnungsmäßigkeit in den Bereichen: ►

Softwaresicherheit



Programmentwicklung, -freigabe und –wartung



Dokumentation

überzeugt. Der Prüfung wurden folgende Prüfungskriterien zu Grunde gelegt: ►

„Grundsätze ordnungsmäßiger Buchführungssysteme“ (GoB), gemäß Handels- und Steuerrecht (§§ 238 ff., 257 HGB und §§ 146, 147 AO),



„Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme“ (GoBS), gemäß Schreiben des Bundesministeriums der Finanzen (BMF) vom 7. November 1995 IV A 8 – S 0316 – 52/95,



„Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GDPdU), gemäß dem Schreiben des BMF vom 16. Juli 2001 – IV D 2 – S 0316 – 136/01,



IDW Stellungnahme zur Rechnungslegung „Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie“ (IDW RS FAIT 1, Stand 24. September 2002) und



Stellungnahme des Instituts der Wirtschaftsprüfer zur Rechnungslegung „Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren“ (IDW RS FAIT 3, Stand: 11. Juli 2006).

Eine Vollständigkeitserklärung, gemäß der alle für die Prüfung bedeutsamen Unterlagen, Angaben, Erläuterungen und Auskünfte vollständig und richtig geliefert wurden, wurde eingeholt. Bei der Beurteilung der Frage, ob die geprüfte Software den Ordnungsmäßigkeitsgrundsätzen entspricht, sind zwingend auch ablauforganisatorische Regelungen bei dem Anwender erforderlich. Diese Regelungen sollten insbesondere die Erfassung, die Verwaltung, die Zuordnung der Belege zu Geschäftsvorfällen, die Festschreibung und die eventuelle Vernichtung von Originaldokumenten beschreiben und verbindlich regeln. Weiterhin liegt es im Verantwortungsbereich des Anwenders, eine angemessene Vergabe der Zugriffsberechtigungen einzurichten und zu pflegen.

18

Da zukünftige Programmänderungen die Ordnungsmäßigkeit der Software beeinflussen können, bezieht sich unsere Aussage nur auf die von uns geprüfte Version V.1.6 des DATEV Produkts Belege online mit Stand Mai 2014. Als Ergebnis unserer Prüfung stellen wir fest: Die von uns geprüfte Anwendungssoftware Belege online Version V.1.6 mit Stand Mai 2014 ermöglicht bei sachgerechter Anwendung eine den Grundsätzen ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren entsprechende Belegaufbewahrung.

München, 14. August 2014 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft

Gunter Ernst

ppa. Stephanie Fauler

19

Abkürzungsverzeichnis

AO

Abgabenordnung

Abs.

Absatz

BMF

Bundesministerium der Finanzen

BMP

Windows Bitmap

CSS

Cascading Style Sheets

DASEM

DATEV Software Entwicklungsmodell

DB

Datenbank

DTA

Datenträgeraustausch; Format für Verfahren im bargeldlosen Zahlungsverkehr

EDI

Electronic Data Interchange

EML

E-Mail; Format ursprünglich für das Mailprogramm Outlook Express

FAIT

Fachausschuss für Informationstechnologie

GDPdU

Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen

GIF

Graphics Interchange Format

GoB

Grundsätze ordnungsmäßiger Buchführung

GoBS

Grundsätze ordnungsmäßiger PIN DV-gestützter Buchführungssysteme

HGB

Handelsgesetzbuch

ID

Identifikation

IDW

Institut der Wirtschaftsprüfer

NUKI

Nutzungskontrolle Internet

IT

Information Technology

Nr.

Nummer

OCR

Optical Character Recognition

ODS

OpenDocument Spreadsheet

ODT

OpenDocument Text

PIN

Persönliche Identifikationsnummer

PK7

Elektronisch signierte Datei

PKCS7

Elektronisch signierte Datei; Signatur liegt in einer eigenen Datei

RS

Rechnungslegungsstandard

RTF

Rich Text Format

SSL

Secure Sockets Layer

TIFF

Tagged Image File Format 20

XML

Extensible Markup Language

z/OS

Betriebssystem für IBM Großrechner

21

G7AACN0

Allgemeine Auftragsbedingungen für

DokID: 11249

Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften vom 1. Januar 2002

1. Geltungsbereich

7. Weitergabe einer beruflichen Äußerung des Wirtschaftsprüfers

(1) Die Auftragsbedingungen gelten für die Verträge zwischen Wirtschaftsprüfern oder Wirtschaftsprüfungsgesellschaften (im nachstehenden zusammenfassend „Wirtschaftsprüfer genannt) und ihren Auftraggebern über Prüfungen, Beratungen und sonstige Aufträge, soweit nicht etwas anderes ausdrücklich schriftlich vereinbart oder gesetzlich zwingend vorgeschrieben ist.

(1) Die Weitergabe beruflicher Äußerungen des Wirtschaftsprüfers (Berichte, Gutachten und dgl.) an einen Dritten bedarf der schriftlichen Zustimmung des Wirtschaftsprüfers, soweit sich nicht bereits aus dem Auftragsinhalt die Einwilligung zur Weitergabe an einen bestimmten Dritten ergibt. Gegenüber einem Dritten haftet der Wirtschaftsprüfer (im Rahmen von Nr. 9) nur, wenn die Voraussetzungen des Satzes 1 gegeben sind.

(2) Werden im Einzelfall ausnahmsweise vertragliche Beziehungen auch zwischen dem Wirtschaftsprüfer und anderen Personen als dem Auftraggeber begründet, so gelten auch gegenüber solchen Dritten die Bestimmungen der nachstehenden Nr. 9.

(2) Die Verwendung beruflicher Äußerungen des Wirtschaftsprüfers zu Werbezwecken ist unzulässig; ein Verstoß berechtigt den Wirtschaftsprüfer zur fristlosen Kündigung aller noch nicht durchgeführten Aufträge des Auftraggebers.

2. Umfang und Ausführung des Auftrages 8. Mängelbeseitigung

Alle Rechte vorbehalten. Ohne Genehmigung des Verlages ist es nicht gestattet, die Vordrucke ganz oder teilweise nachzudrucken bzw. auf fotomechanischem oder elektronischem Wege zu vervielfältigen und/oder zu verbreiten. © IDW Verlag GmbH · Tersteegenstraße 14 · 40474 Düsseldorf

(1) Gegenstand des Auftrages ist die vereinbarte Leistung, nicht ein bestimmter wirtschaftlicher Erfolg. Der Auftrag wird nach den Grundsätzen ordnungsmäßiger Berufsausübung ausgeführt. Der Wirtschaftsprüfer ist berechtigt, sich zur Durchführung des Auftrages sachverständiger Personen zu bedienen. (2) Die Berücksichtigung ausländischen Rechts bedarf - außer bei betriebswirtschaftlichen Prüfungen - der ausdrücklichen schriftlichen Vereinbarung. (3) Der Auftrag erstreckt sich, soweit er nicht darauf gerichtet ist, nicht auf die Prüfung der Frage, ob die Vorschriften des Steuerrechts oder Sondervorschriften, wie z. B. die Vorschriften des Preis-, Wettbewerbsbeschränkungs- und Bewirtschaftungsrechts beachtet sind; das gleiche gilt für die Feststellung, ob Subventionen, Zulagen oder sonstige Vergünstigungen in Anspruch genommen werden können. Die Ausführung eines Auftrages umfasst nur dann Prüfungshandlungen, die gezielt auf die Aufdeckung von Buchfälschungen und sonstigen Unregelmäßigkeiten gerichtet sind, wenn sich bei der Durchführung von Prüfungen dazu ein Anlass ergibt oder dies ausdrücklich schriftlich vereinbart ist. (4) Ändert sich die Rechtslage nach Abgabe der abschließenden beruflichen Äußerung, so ist der Wirtschaftsprüfer nicht verpflichtet, den Auftraggeber auf Änderungen oder sich daraus ergebende Folgerungen hinzuweisen.

(1) Bei etwaigen Mängeln hat der Auftraggeber Anspruch auf Nacherfüllung durch den Wirtschaftsprüfer. Nur bei Fehlschlagen der Nacherfüllung kann er auch Herabsetzung der Vergütung oder Rückgängigmachung des Vertrages verlangen; ist der Auftrag von einem Kaufmann im Rahmen seines Handelsgewerbes, einer juristischen Person des öffentlichen Rechts oder von einem öffentlich-rechtlichen Sondervermögen erteilt worden, so kann der Auftraggeber die Rückgängigmachung des Vertrages nur verlangen, wenn die erbrachte Leistung wegen Fehlschlagens der Nacherfüllung für ihn ohne Interesse ist. Soweit darüber hinaus Schadensersatzansprüche bestehen, gilt Nr. 9. (2) Der Anspruch auf Beseitigung von Mängeln muß vom Auftraggeber unverzüglich schriftlich geltend gemacht werden. Ansprüche nach Abs. 1, die nicht auf einer vorsätzlichen Handlung beruhen, verjähren nach Ablauf eines Jahres ab dem gesetzlichen Verjährungsbeginn. (3) Offenbare Unrichtigkeiten, wie z. B. Schreibfehler, Rechenfehler und formelle Mängel, die in einer beruflichen Äußerung (Bericht, Gutachten und dgl.) des Wirtschaftsprüfers enthalten sind, können jederzeit vom Wirtschaftsprüfer auch Dritten gegenüber berichtigt werden. Unrichtigkeiten, die geeignet sind, in der beruflichen Äußerung des Wirtschaftsprüfers enthaltene Ergebnisse in Frage zu stellen, berechtigen diesen, die Äußerung auch Dritten gegenüber zurückzunehmen. In den vorgenannten Fällen ist der Auftraggeber vom Wirtschaftsprüfer tunlichst vorher zu hören.

3. Aufklärungspflicht des Auftraggebers (1) Der Auftraggeber hat dafür zu sorgen, daß dem Wirtschaftsprüfer auch ohne dessen besondere Aufforderung alle für die Ausführung des Auftrages notwendigen Unterlagen rechtzeitig vorgelegt werden und ihm von allen Vorgängen und Umständen Kenntnis gegeben wird, die für die Ausführung des Auftrages von Bedeutung sein können. Dies gilt auch für die Unterlagen, Vorgänge und Umstände, die erst während der Tätigkeit des Wirtschaftsprüfers bekannt werden. (2) Auf Verlangen des Wirtschaftsprüfers hat der Auftraggeber die Vollständigkeit der vorgelegten Unterlagen und der gegebenen Auskünfte und Erklärungen in einer vom Wirtschaftsprüfer formulierten schriftlichen Erklärung zu bestätigen. 4. Sicherung der Unabhängigkeit Der Auftraggeber steht dafür ein, daß alles unterlassen wird, was die Unabhängigkeit der Mitarbeiter des Wirtschaftsprüfers gefährden könnte. Dies gilt insbesondere für Angebote auf Anstellung und für Angebote, Aufträge auf eigene Rechnung zu übernehmen.

5. Berichterstattung und mündliche Auskünfte Hat der Wirtschaftsprüfer die Ergebnisse seiner Tätigkeit schriftlich darzustellen, so ist nur die schriftliche Darstellung maßgebend. Bei Prüfungsaufträgen wird der Bericht, soweit nichts anderes vereinbart ist, schriftlich erstattet. Mündliche Erklärungen und Auskünfte von Mitarbeitern des Wirtschaftsprüfers außerhalb des erteilten Auftrages sind stets unverbindlich.

6. Schutz des geistigen Eigentums des Wirtschaftsprüfers Der Auftraggeber steht dafür ein, daß die im Rahmen des Auftrages vom Wirtschaftsprüfer gefertigten Gutachten, Organisationspläne, Entwürfe, Zeichnungen, Aufstellungen und Berechnungen, insbesondere Massen- und Kostenberechnungen, nur für seine eigenen Zwecke verwendet werden.

9. Haftung (1) Für gesetzlich vorgeschriebene beschränkung des § 323 Abs. 2 HGB. (2)

Prüfungen

gilt

die

Haftungs-

Haftung bei Fahrlässigkeit, Einzelner Schadensfall

Falls weder Abs. 1 eingreift noch eine Regelung im Einzelfall besteht, ist die Haftung des Wirtschaftsprüfers für Schadensersatzansprüche jeder Art, mit Ausnahme von Schäden aus der Verletzung von Leben, Körper und Gesundheit, bei einem fahrlässig verursachten einzelnen Schadensfall gem. § 54 a Abs. 1 Nr. 2 WPO auf 4 Mio. € beschränkt; dies gilt auch dann, wenn eine Haftung gegenüber einer anderen Person als dem Auftraggeber begründet sein sollte. Ein einzelner Schadensfall ist auch bezüglich eines aus mehreren Pflichtverletzungen stammenden einheitlichen Schadens gegeben. Der einzelne Schadensfall umfaßt sämtliche Folgen einer Pflichtverletzung ohne Rücksicht darauf, ob Schäden in einem oder in mehreren aufeinanderfolgenden Jahren entstanden sind. Dabei gilt mehrfaches auf gleicher oder gleichartiger Fehlerquelle beruhendes Tun oder Unterlassen als einheitliche Pflichtverletzung, wenn die betreffenden Angelegenheiten miteinander in rechtlichem oder wirtschaftlichem Zusammenhang stehen. In diesem Fall kann der Wirtschaftsprüfer nur bis zur Höhe von 5 Mio. € in Anspruch genommen werden. Die Begrenzung auf das Fünffache der Mindestversicherungssumme gilt nicht bei gesetzlich vorgeschriebenen Pflichtprüfungen. (3)

Ausschlußfristen

Ein Schadensersatzanspruch kann nur innerhalb einer Ausschlußfrist von einem Jahr geltend gemacht werden, nachdem der Anspruchsberechtigte von dem Schaden und von dem anspruchsbegründenden Ereignis Kenntnis erlangt hat, spätestens aber innerhalb von 5 Jahren nach dem anspruchsbegründenden Ereignis. Der Anspruch erlischt, wenn nicht innerhalb einer Frist von sechs Monaten seit der schriftlichen Ablehnung der Ersatzleistung Klage erhoben wird und der Auftraggeber auf diese Folge hingewiesen wurde. Das Recht, die Einrede der Verjährung geltend zu machen, bleibt unberührt. Die Sätze 1 bis 3 gelten auch bei gesetzlich vorgeschriebenen Prüfungen mit gesetzlicher Haftungsbeschränkung.

52001 1/2002 Lizensiert für / Licensed to: Mitgliedsunternehmen des Verbunds von EY-Gesellschaften | 4309421

G7AACN0 DokID: 11249

10 Ergänzende Bestimmungen für Prüfungsaufträge (1) Eine nachträgliche Änderung oder Kürzung des durch den Wirtschaftsprüfer geprüften und mit einem Bestätigungsvermerk versehenen Abschlusses oder Lageberichts bedarf, auch wenn eine Veröffentlichung nicht stattfindet, der schriftlichen Einwilligung des Wirtschaftsprüfers. Hat der Wirtschaftsprüfer einen Bestätigungsvermerk nicht erteilt, so ist ein Hinweis auf die durch den Wirtschaftsprüfer durchgeführte Prüfung im Lagebericht oder an anderer für die Öffentlichkeit bestimmter Stelle nur mit schriftlicher Einwilligung des Wirtschaftsprüfers und mit dem von ihm genehmigten Wortlaut zulässig.

(6) Soweit auch die Ausarbeitung der Umsatzsteuerjahreserklärung als zusätzliche Tätigkeit übernommen wird, gehört dazu nicht die Überprüfung etwaiger besonderer buchmäßiger Voraussetzungen sowie die Frage, ob alle in Betracht kommenden umsatzsteuerrechtlichen Vergünstigungen wahrgenommen worden sind. Eine Gewähr für die vollständige Erfassung der Unterlagen zur Geltendmachung des Vorsteuerabzuges wird nicht übernommen.

12. Schweigepflicht gegenüber Dritten, Datenschutz (2) Widerruft der Wirtschaftsprüfer den Bestätigungsvermerk, so darf der Bestätigungsvermerk nicht weiterverwendet werden. Hat der Auftraggeber den Bestätigungsvermerk bereits verwendet, so hat er auf Verlangen des Wirtschaftsprüfers den Widerruf bekanntzugeben. (3) Der Auftraggeber hat Anspruch auf fünf Berichtsausfertigungen. Weitere Ausfertigungen werden besonders in Rechnung gestellt.

11. Ergänzende Bestimmungen für Hilfeleistung in Steuersachen (1) Der Wirtschaftsprüfer ist berechtigt, sowohl bei der Beratung in steuerlichen Einzelfragen als auch im Falle der Dauerberatung die vom Auftraggeber genannten Tatsachen, insbesondere Zahlenangaben, als richtig und vollständig zugrunde zu legen; dies gilt auch für Buchführungsaufträge. Er hat jedoch den Auftraggeber auf von ihm festgestellte Unrichtigkeiten hinzuweisen. (2) Der Steuerberatungsauftrag umfaßt nicht die zur Wahrung von Fristen erforderlichen Handlungen, es sei denn, daß der Wirtschaftsprüfer hierzu ausdrücklich den Auftrag übernommen hat. In diesem Falle hat der Auftraggeber dem Wirtschaftsprüfer alle für die Wahrung von Fristen wesentlichen Unterlagen, insbesondere Steuerbescheide, so rechtzeitig vorzulegen, daß dem Wirtschaftsprüfer eine angemessene Bearbeitungszeit zur Verfügung steht. (3) Mangels einer anderweitigen schriftlichen Vereinbarung umfaßt die laufende Steuerberatung folgende, in die Vertragsdauer fallenden Tätigkeiten: a) Ausarbeitung der Jahressteuererklärungen für die Einkommensteuer, Körperschaftsteuer und Gewerbesteuer sowie der Vermögensteuererklärungen, und zwar auf Grund der vom Auftraggeber vorzulegenden Jahresabschlüsse und sonstiger, für die Besteuerung erforderlicher Aufstellungen und Nachweise b) Nachprüfung von Steuerbescheiden zu den unter a) genannten Steuern c) Verhandlungen mit den Finanzbehörden im Zusammenhang mit den unter a) und b) genannten Erklärungen und Bescheiden d) Mitwirkung bei Betriebsprüfungen und Auswertung der Ergebnisse von Betriebsprüfungen hinsichtlich der unter a) genannten Steuern e) Mitwirkung in Einspruchs- und Beschwerdeverfahren hinsichtlich der unter a) genannten Steuern.

(1) Der Wirtschaftsprüfer ist nach Maßgabe der Gesetze verpflichtet, über alle Tatsachen, die ihm im Zusammenhang mit seiner Tätigkeit für den Auftraggeber bekannt werden, Stillschweigen zu bewahren, gleichviel, ob es sich dabei um den Auftraggeber selbst oder dessen Geschäftsverbindungen handelt, es sei denn, daß der Auftraggeber ihn von dieser Schweigepflicht entbindet. (2) Der Wirtschaftsprüfer darf Berichte, Gutachten und sonstige schriftliche Äußerungen über die Ergebnisse seiner Tätigkeit Dritten nur mit Einwilligung des Auftraggebers aushändigen. (3) Der Wirtschaftsprüfer ist befugt, ihm anvertraute personenbezogene Daten im Rahmen der Zweckbestimmung des Auftraggebers zu verarbeiten oder durch Dritte verarbeiten zu lassen.

13. Annahmeverzug und unterlassene Mitwirkung des Auftraggebers Kommt der Auftraggeber mit der Annahme der vom Wirtschaftsprüfer angebotenen Leistung in Verzug oder unterläßt der Auftraggeber eine ihm nach Nr. 3 oder sonst wie obliegende Mitwirkung, so ist der Wirtschaftsprüfer zur fristlosen Kündigung des Vertrages berechtigt. Unberührt bleibt der Anspruch des Wirtschaftsprüfers auf Ersatz der ihm durch den Verzug oder die unterlassene Mitwirkung des Auftraggebers entstandenen Mehraufwendungen sowie des verursachten Schadens, und zwar auch dann, wenn der Wirtschaftsprüfer von dem Kündigungsrecht keinen Gebrauch macht.

14. Vergütung (1) Der Wirtschaftsprüfer hat neben seiner Gebühren- oder Honorarforderung Anspruch auf Erstattung seiner Auslagen; die Umsatzsteuer wird zusätzlich berechnet. Er kann angemessene Vorschüsse auf Vergütung und Auslagenersatz verlangen und die Auslieferung seiner Leistung von der vollen Befriedigung seiner Ansprüche abhängig machen. Mehrere Auftraggeber haften als Gesamtschuldner. (2) Eine Aufrechnung gegen Forderungen des Wirtschaftsprüfers auf Vergütung und Auslagenersatz ist nur mit unbestrittenen oder rechtskräftig festgestellten Forderungen zulässig.

Der Wirtschaftsprüfer berücksichtigt bei den vorgenannten Aufgaben die wesentliche veröffentlichte Rechtsprechung und Verwaltungsauffassung. (4) Erhält der Wirtschaftsprüfer für die laufende Steuerberatung ein Pauschalhonorar, so sind mangels anderweitiger schriftlicher Vereinbarungen die unter Abs. 3 d) und e) genannten Tätigkeiten gesondert zu honorieren. (5) Die Bearbeitung besonderer Einzelfragen der Einkommensteuer, Körperschaftsteuer, Gewerbesteuer, Einheitsbewertung und Vermögensteuer sowie aller Fragen der Umsatzsteuer, Lohnsteuer, sonstigen Steuern und Abgaben erfolgt auf Grund eines besonderen Auftrages. Dies gilt auch für a) die Bearbeitung einmalig anfallender Steuerangelegenheiten, z. B. auf dem Gebiet der Erbschaftsteuer, Kapitalverkehrsteuer, Grunderwerbsteuer, b) die Mitwirkung und Vertretung in Verfahren vor den Gerichten der Finanz- und der Verwaltungsgerichtsbarkeit sowie in Steuerstrafsachen und c) die beratende und gutachtliche Tätigkeit im Zusammenhang mit Umwandlung, Verschmelzung, Kapitalerhöhung und -herabsetzung, Sanierung, Eintritt und Ausscheiden eines Gesellschafters, Betriebsveräußerung, Liquidation und dergleichen.

15. Aufbewahrung und Herausgabe von Unterlagen (1) Der Wirtschaftsprüfer bewahrt die im Zusammenhang mit der Erledigung eines Auftrages ihm übergebenen und von ihm selbst angefertigten Unterlagen sowie den über den Auftrag geführten Schriftwechsel zehn Jahre auf. (2) Nach Befriedigung seiner Ansprüche aus dem Auftrag hat der Wirtschaftsprüfer auf Verlangen des Auftraggebers alle Unterlagen herauszugeben, die er aus Anlaß seiner Tätigkeit für den Auftrag von diesem oder für diesen erhalten hat. Dies gilt jedoch nicht für den Schriftwechsel zwischen dem Wirtschaftsprüfer und seinem Auftraggeber und für die Schriftstücke, die dieser bereits in Urschrift oder Abschrift besitzt. Der Wirtschaftsprüfer kann von Unterlagen, die er an den Auftraggeber zurückgibt, Abschriften oder Fotokopien anfertigen und zurückbehalten.

16. Anzuwendendes Recht Für den Auftrag, seine Durchführung und die sich hieraus ergebenden Ansprüche gilt nur deutsches Recht.

Lizensiert für / Licensed to: Mitgliedsunternehmen des Verbunds von EY-Gesellschaften | 4309421