Drei Prüfverfahren zur Auswahl
Betroffen von der Neuregelung sind Betriebsprüfungen, Umsatzsteuer-Sonderprüfungen oder die Lohnsteuer-Außenprüfung. Kernforderung der neuen "Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU) ist, dass steuerrelevante Daten, die digital erzeugt wurden, dem Prüfer auch originär, das heißt unverändert, und in elektronischer Form präsentiert werden müssen. Bislang genügte es, entsprechende Daten auszudrucken oder zu verfilmen und danach - um Ressourcen zu sparen - zu löschen. Dadurch, dass die Steuerbeamten nicht mehr Einzelbelege prüfen, sondern die Unternehmensdaten strukturiert analysieren, sollen mehr typische Steuerschlupflöcher gefunden werden.
Für die digitale Betriebsprüfung stehen den Finanzbehörden und ihren Beamten drei unterschiedliche Zugriffsverfahren zur Auswahl, die sie nach eigenem Ermessen zugleich oder einzeln anwenden dürfen:
1. Unmittelbarer Zugriff (Z1): Der Finanzbeamte darf vor Ort auf relevante Daten in betrieblichen DV-Systemen zugreifen und sie mit Auswertungsprogrammen, die im DV-System des Steuerpflichtigen vorhanden sind, filtrieren und sortieren.
2. Mittelbarer Zugriff (Z2): Unternehmen müssen ihre steuerlich relevanten Daten nach den Wünschen des Prüfers maschinell auswerten beziehungsweise auswerten lassen und dem Prüfer einen Nur-Lese-Zugriff darauf ermöglichen.
3. Datenträgerüberlassung (Z3): Unternehmen müssen den Prüfern die gewünschten originär erzeugten, steuerrelevanten Daten sowie die zur Auswertung benötigten Dateninformationen in maschinell auswertbarer Form zur Verfügung stellen.
Gerade die Datenträgerüberlassung bietet Finanzbeamten ganz neue Möglichkeiten zur Betriebsprüfung. Denn mithilfe einer speziellen Software aus dem Hause Audicon namens IDEA lassen sich über entsprechende Makros typische Sachverhalte automatisch prüfen: So können beispielsweise die Kontonummern von Mitarbeitern und Lieferanten miteinander verglichen und auf diese Weise verdeckte Zahlungen an Mitarbeiter aufgespürt werden, die die Lohnsteuer umgehen sollten.
Machen Sie Ihre Datenverarbeitung GDPdU-fit
Noch sehen die Unternehmen die neuen GDPdU-Anforderungen sehr gelassen. Eine Studie von Audicon und der Wirtschaftsprüfungsgesellschaft Ernst & Young ergab, dass aktuell nur etwa fünf Prozent aller Unternehmen die Vorgaben komplett erfüllen. Doch die ersten digitalen Betriebsprüfungen laufen bereits und Unternehmen, die unangenehme Sanktionen der Finanzbehörden wie Bußgelder, Zwangsmittel oder Schätzung vermeiden wollen, sollten sich dem Problem im eigenen Hause ganz allmählich einmal zuwenden.
Der erste Schritt in die richtige Richtung wäre es, zunächst einmal zu überprüfen, wo im eigenen Unternehmen denn eigentlich steuerrelevante digitale Daten entstehen. Hier gibt es schon die erste Schwierigkeit, da der Begriff "steuerrelevant" noch nirgends eindeutig definiert ist. Pauschal gesprochen sind steuerrelevante Daten all diejenigen, die Informationen über Aufwand und Ertrag enthalten. Auf jeden Fall zu prüfen sind daher Finanzbuchhaltung, Lohnabrechnung und Anlagenbuchhaltung, doch auch andere Quellen wie Zeiterfassung, Bestelldaten, Registrierkassendaten, per E-Mail ausgetauschte kaufmännische Dokumente, Kalkulationsdateien oder Daten aus E-Business-Anwendungen könnten für den Prüfer relevant sein.
Unternehmen, die glauben, sie speichern lieber zuviel als zuwenig, sollten dabei eines im Hinterkopf behalten: Versehentlich überlassene Daten, die eigentlich steuerlich nicht relevant sind, dürfen die Prüfer im Bedarfsfall dennoch verwerten. Weil die Daten den Prüfern ja im originären Zustand übermittelt werden müssen, ist es den Unternehmen auch nicht gestattet, die irrelevanten Daten nachträglich auszufiltern. Es gilt also, schon bei der Datenentstehung darauf zu achten, dass steuerlich relevante und irrelevante Informationen von vorneherein getrennt gespeichert werden.
DV-Systeme auf dem Prüfstand
Hat man alle steuerrelevanten Daten und Dokumente zusammengestellt, gilt es, die DV-Systeme zu ermitteln, in denen diese Daten entstanden oder vorhanden sind. Für jedes einzelne System sollten die Unternehmen anschließend prüfen, ob diese den unterschiedlichen Zugriffsarten Z1, Z2 und Z3 der Steuerprüfer gerecht werden. Kann beispielsweise die Finanzbuchhaltung gemäß Z3-Zugriff Daten so exportieren, dass sie den Anforderungen der Prüfer gerecht werden? Ist gewährleistet, dass Daten nachweisbar unveränderbar gespeichert werden? Und hat der Prüfer beim Z1-Verfahren Zugriff auf Daten, die ihn eigentlich gar nichts angehen? Der Verband Organisations- und Informationssysteme e.V. (VOI) empfiehlt in seinem Leitfaden für die Durchführung eines Projektes zur Abdeckung der Anforderungen der GDPdU, für jedes System eine eigene Matrix zu erstellen, in der sämtliche Zugriffsarten geprüft und dokumentiert werden.
Die Matrix ist hilfreich für den nächsten Schritt, in dem es darum geht, für Daten, die innerhalb der DV-Systeme nicht regelkonform bereitgehalten werden können, andere Wege zur Archivierung zu finden. Wichtig dabei ist, dass nicht nur die Daten allein, sondern auch Strukturinformationen wie beispielsweise Feldnamen, Feldtypen oder Abhängigkeiten gespeichert werden müssen, da sonst keine sinnvolle Auswertung möglich ist. Die vorgesehene Syntax dafür ist XML. Viele kaufmännischen Anwendungen sind heute jedoch noch nicht in der Lage, die steuerrelevanten Daten in einem der zugelassenen Formate zu exportieren. Der VOI geht jedoch davon aus, dass die Exportfunktion in Zukunft zum Standard-Ausstattungsmerkmal der kaufmännischen Software wird.
Archivieren, aber richtig
Bei der Migration von steuerrelevanten Daten in eine andere Umgebung stellt die Gesetzgebung auch spezielle Anforderungen: So muss beispielsweise das Archivierungssystem die gleichen Bedingungen zur Sicherheit, Unveränderbarkeit, Ordnungsmäßigkeit, Wiederauffindbarkeit und Reproduzierbarkeit wie das Ursprungssystem erfüllen. Darüber hinaus müssen die Daten maschinell auswertbar sein, das heißt, der Finanzbeamte muss in der Lage sein, die Daten nach eigenem Gutdünken zu filtern, sortieren oder analysieren. Dieses Kriterium erfüllen beispielsweise PDF- oder TIFF-Dateien nicht. Das BMF hat eine Liste mit maschinell auswertbaren Formaten erstellt. Hierzu zählen:
- ASCII feste Länge und ASCII Delimited (einschließlich kommagetrennter Werte)EBCDIC feste Länge, EBCDIC Dateien mit variabler LängeExcel (auch ältere Version)Access (auch ältere Version)DBaseeinfache ASCII-Durckdateien (plus Info für Struktur und Datenelemente etc.)Lotus 123Dateien von SAP/AISKonvertieren von AS/400 Datensatzbeschreibungen (FDF-Dateien erstellt von PC Support/400) in RDE-DatensatzbeschreibungenImport durch ODBC Schnittstelle
Zur Wahl des Speichermediums hingegen gibt es keine Bestimmungen. Egal ob Magnetband, Festplatte, CD-ROM oder DVD - die Finanzbehörden lassen alles zu. Es obliegt den einzelnen Unternehmen, die individuellen Vor- und Nachteile der Speichermedien zu beurteilen und sich für eines zu entscheiden (siehe Hintergrund).
Ist ein Unternehmen jetzt soweit gerüstet für die digitale Betriebsprüfung, empfiehlt der VOI, das Projektergebnis noch genau zu überprüfen. So können beispielsweise mit IDEA einfache Prüfroutinen durchgeführt werden. Auch sollten im letzten Schritt der Steuerberater und der Wirtschaftsprüfer noch einen Blick auf das Ergebnis werfen, damit es keine bösen Überraschungen gibt, wenn der Finanzbeamte tatsächlich an der Türe läutet.
Nicht auf Marketing-Tricks reinfallen
Trotz aller guten Vorbereitung: Endgültige Sicherheit gibt es wohl erst, wenn die erste digitale Betriebsprüfung reibungslos vonstatten ging. Zwar gibt es mittlerweile findige Software-Anbieter, die mit Zertifikaten dafür werben, alle GDPdU-Bestimmungen zu erfüllen, doch warnt der VOI Unternehmen davor, sich auf derartige Marketing-Tricks zu verlassen. In jedem Unternehmen ist die Einsatzsituation sehr individuell, so dass es auch in Kürze keinem Software-Entwickler gelingen wird, ein Allheilmittel für alle Branchen, Unternehmensformen oder Tätigkeitsfelder zu programmieren.
&HTRE)
