DMS-Integrität bei Betriebsprüfung nachweisen

1st Official Post

    Hallo!


    Ich nutze das DMS zur Archivierung und Festschreibung meiner Buchungsbelege sowie Kontoauszüge, Lohnabrechnungen und einiger sonstiger buchungsrelevanter Dateien. Dass die Integrität der Datenbank intakt ist, sagt mir der Menüpunkt "DMS > Daten in DMs prüfen".


    Aber wie würde das konkret bei einer Betriebsprüfung ablaufen? Was zeige ich dem Prüfer als "Beweis", dass die Dokumente unverändert sind?


    Denn um sich auf die interne DMS-Prüfung in Taxpool verlassen zu können, würde das ja voraussetzen, dass die interne Routine von Taxpool vom Prüfer anerkannt ist. Hat damit schon jemand Erfahrungen gemacht bzw. wie ist das vom Hersteller vorgesehen?


    Vielen Dank und Gruß

    Nils

    Zuerst muss mal der Prüfer einen Anhaltspunkt dafür finden, dass die vorgelegten Dokumente unprotokolliert verändert wurden, ehe Du etwas beweisen musst.

    Der Prüfer wird sich allerdings die Verfahrensbeschreibung über den Gesamtprozess Deiner Buchhaltung zeigen lassen, schon um zu prüfen, ob Du überhaupt eine erstellt hast.


    Es gibt keine, von einem Prüfer (besser vom FA) anerkannte Software!

    Alle diese Testate die rein Werbezwecken dienen, aber gegenüber der Finanzverwaltung keinerlei Wirkung haben, sagen i. d. R. nichts anderes aus als, dass mit der betreffenden Software ein GoBD-konformes arbeiten lediglich möglich ist.

    Dass damit ein nicht GoBD-konformes Arbeiten auszuschließen ist kann nicht testiert werden.


    Das DMS kann hingegen hilfreich sein, wenn es darum geht ein gefordertes IKS im Unternehmen zu etablieren und praktikabel umzusetzen. Dabei ist aber das DMS eher nur ein kleiner Teil und seine interne Integritätsprüfung nur ein Tool in der Kette von Prüfungen und Kontrollen.

    Beiträge stellen keine rechtliche Beratung dar, sie sind lediglich Meinungsäußerung des Verfassers. Das Urheberrecht für durch mich erstellte Inhalte in Themen und Beiträgen verbleibt, ungeachtet der eingeräumten Rechte an den Forenbetreiber, bei mir. Weitere Infos über mich.

    Thanks 2
    • Official Post

    In diesem Fall, der noch nie eingetreten ist, wendest Du Dich am Besten an unseren Email-Support, ich denke Taxpool wird dies dann mit Deinem Prüfer klären.

    Die Beträge des Autors dienen ausschließlich dem Zweck der Information oder Meinungsäußerung und stellen keine rechtliche oder andersweitige Beratung oder Zusicherung dar.

    Änderungen und Irrtümer sind vorbehalten.

    • Official Post

    Technischer Hintergrund:


    Intern sind die Daten über Hashes verkettet: Blockchain, die evtl. externe Änderungen (z.B. SQL-Anweisung) erkennt und als Fehler ausgibt.


    Mit dem Festschreiben wird sichergestellt, dass eine neuere Version der Datei nicht die alte Datei überschreibt, zusätzlich können aber auch Versionen festgelegt werden. Festgeschriebene Daten können nicht mehr gelöscht werden.

    Es ist zu empfehlen, einmal im Monat festzuschreiben und zu stempeln.


    Mit dem Zeitstempel kannst Du in Verbindung mit dem kryptografischen Hash (SHA 512) beweisen, dass alle davon betroffenen DMS-Dateien, für die der Stempel erstellt wurde, nach dem Zeitpunkt der Erstellung des Stempels nicht mehr geändert wurden.

    Es sollte dabei ein EIDAS-Stempel verwendet werden.

    Wenn also im letzten Monat z.B. 1000 Dokumente zusammengekommen sind, erstellt das Programm einen Summenstempel f.d. Dokumente und eine PDF-Datei für eine Langzeitarchivierung (LTV), die ebenfalls gestempelt ist, und die die Dateien namentlich und deren Hashwerte (SHA512) auflistet.


    Für den Fall, dass nicht gestempelt wird, ist auch noch zusätzlich eine 'Security through obscurity'-Routine enthalten. Dies ist zwar nach NIST nicht zu empfehlen, in Kombination mit anderen Methoden kann es jedoch durchaus sinnvoll sein.


    Wie WIKO bereits erwähnte: Zertifikate bzw. Testate entfalten gegenüber der Finanzbehörde keinerlei Bindungswirkung.


    Ausblicke: Jeder registrierte Benutzer wird in Kürze mindestens 12 kostenlose EIDAS-Stempel pro Jahr erhalten.

    Evtl. wird es auch eine Online-Version des DMS geben. In diesem Fall wird die bisherige AES-256-Verschlüsselung quantensicher gemacht.

    Eine überarbeitete DMS-Version ist am Jahresende zu erwarten, da diese vermutlich als Patent angemeldet wird, darf ich dazu noch nichts sagen.


    Vergleich mit anderen Anbietern: Bei den Online-DMS-Anbietern hat man auch als IT-Freak nicht die Möglichkeit die Daten in der Datenbank zu manipulieren, da man keine Datenhoheit hat. Aber wie bereits erwähnt, sind im Taxpool-DMS Antimanipulationsstategien enthalten, desweiteren funktioniert das DMS auch weiterhin, wenn Du keine Updates kaufst, während ich vermute dass, Du bei einem Wechsel des Onlineanbieters zwar die Daten exportieren kannst, aber diese dann 'nackt' vorliegen und dann die GoBD für diese nicht mehr vorhanden ist.


    Wenn Du ein Online-DMS bevorzugst, dann verwende das DATEV-DMS. Die DATEV eG ist ein qualifizierter und hochwertiger Anbieter. Das Datev-Forum reagiert zeitnah auf Anfragen, die Moderatoren geben dort i.d.R. sehr gute Antworten.

    Die Beträge des Autors dienen ausschließlich dem Zweck der Information oder Meinungsäußerung und stellen keine rechtliche oder andersweitige Beratung oder Zusicherung dar.

    Änderungen und Irrtümer sind vorbehalten.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login