Archivierung von digitalen Rechnungen

Die Digitalisierung von Rechnungen gewinnt im Geschäftsleben immer mehr an Bedeutung – eine Umstellung, die auch für sozialtätige Unternehmen noch große Herausforderungen mit sich bringt. Das innerbetriebliche Kontrollverfahren im Sinne des § 14 Abs. 1 UStG beim Rechnungsempfang, die organisatorische Umsetzung, insbesondere bei der Weiterverarbeitung, die revisionssichere Archivierung – das sind Themen, denen sich die Unternehmen in diesem Kontext stellen müssen. Dass viele Lieferanten und Dienstleister ihre Rechnungen mittlerweile elektronisch versenden, bringt für die Rechnungsempfänger nicht nur eine nicht von der Hand zu weisende Effizienzsteigerung, sondern auch neue technische und organisatorische Erfordernisse mit sich. Denn sowohl der Rechnungsempfang per E-Mail als auch die Digitalisierung durch das Scannen von Papierrechnungen machen eine elektronische Archivierung erforderlich.

Aufgrund der kurzen Innovationszyklen in der Informationstechnologie ergibt sich bei den langen gesetzlichen Aufbewahrungspflichten von zehn Jahren für Rechnungen zwangsläufig die Notwendigkeit, Archivierungsverfahren so einzurichten und umzusetzen, dass trotz der fortschreitenden technologischen Entwicklung die elektronische Lesbarmachung der Belege gewährleistet wird. Dabei gefährden insbesondere die folgenden technischen und organisatorischen Risiken aus dem Einsatz von Archivierungsverfahren die Sicherheit und Ordnungsmäßigkeit der Rechnungslegung:

  • fehlende bzw. unzureichende Verfahrensdokumentation,
  • unzureichende organisatorische Verfahrensanweisungen,
  • fehlende Regelungen von Verantwortlichkeiten für das Archivierungsverfahren,
  • mangelhafte Zugriffskontrollen innerhalb des Archivie-rungssystems sowie
  • Änderungen des IT-Systems.

Die Verfahrensdokumentation beschreibt den organisatorisch und technisch gewollten Prozess vom Rechnungseingang über den Scanvorgang, die Verarbeitung und Speicherung, das eindeutige Wiederfinden und die maschinelle Auswertbarkeit, die Absicherung gegen Verlust und Verfälschung bis zur Reproduktion. Für den Zeitraum der Aufbewahrungsfrist muss gewährleistet und nachgewiesen sein, dass das in der Dokumentation beschriebene Verfahren dem in der Praxis eingesetzten Verfahren vollständig entspricht. Aus der Verfahrensdokumentation muss sich ergeben, wie die in den Ordnungsvorschriften (z. B. §§ 145 ff. AO, §§ 238 ff. HGB) enthaltenen Anforderungen beachtet werden. Erfahrungsgemäß ist die Verfahrensdokumentation immer häufiger Gegenstand von Betriebsprüfungen.

Bereits beim Rechnungsempfang muss die folgende Archivierung durch organisatorische Festlegungen und Verfahrensanweisungen geregelt sein. Werden Rechnungen etwa per E-Mail empfangen, müssen das innerbetriebliche Kontrollverfahren und die Verantwortlichkeine eindeutig definiert sein, um den Archivierungsanforderungen zu genügen. Gleiches gilt auch für den Scanvorgang von Eingangsrechnungen in Papierform. Zusätzlich ist zu klären, ob eine autarke Archivlösung zum Einsatz kommt oder das Produktivsystem zum Archivsystem ausgeweitet werden kann. Bei der Ausweitung des Produktivsystems sind aber zumindest organisatorische und technische Anpassungen erforderlich, außerdem ist zu beachten, dass bei einer Systemmigration das alte Produktivsystem gegebenenfalls zusätzlich für weitere zehn Jahre vorgehalten werden muss.

Wesentlicher Bestandteil eines funktionierenden Archivierungssystems ist das zugrundeliegende Berechtigungskonzept. Der Zugriff auf die digitalen Belege ist auf ein Minimum zu reduzieren, um dem Risiko einer Belegveränderung bzw. Löschung zu begegnen. Eine Ablage der Belege in einem Windows-Verzeichnis mit entsprechender Datensicherung allein ist nicht ausreichend.

Praxis-Hinweis
Bei vielen unserer Mandanten stellen wir regelmäßig Unsicherheiten im Hinblick auf die geschilderten Risiken fest. Wir begleiten Sie bei der Umsetzung der Archivierungsanforderungen. Zugleich bescheinigen wir Ihnen die Ordnungsmäßigkeit Ihres Archivierungssystems.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Köln
Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM)
Ingo Kreutz
+49 (0)2203 8997-217
 
Leitung IT-Revision
Solidaris Revisions-GmbH
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft
Kreutz
Schwerpunkte
  • Informationssicherheitsmanagement (ISMS)
  • IT-Systemprüfungen und Prozessanalysen
  • Begleitung von Softwaremigrationen
Veröffentlichungen in der Fachpresse
2019
  • Wie sichern Sie Ihre Kronjuwelen? Der Umgang mit Informationswerten im digitalen Zeitalter: PflegeManagemet, 10/11/2019, S.11.
Veröffentlichungen in der Fachpresse
2016
  • Steuerung von IT-Risiken: Health&Care Management, 11/2016, S. 66-67.