Selbstdokumentierende Archivsysteme

09.05.2016

Mit den GoBD Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff ist das Thema Verfahrensdokumentation aktueller denn je.

Verfahrensdokumentation nach GoBD & selbstdokumentierende Archivsysteme

Die Erstellung von Verfahrensdokumentationen ist für Buchhaltungs- und Aufbewahrungslösungen in Deutschland Pflicht. In der Vergangenheit wurde bei Außenprüfungen durch die Finanzbehörden eher selten nach einer Verfahrensdokumentation gefragt. Dies hat6 sich geändert! Die GoBD gelten seit 1.1.2015 und nunmehr muss man sich auch auf den Nachweis des ordnungsmäßigen Betriebes der Lösungen einrichten, in denen steuer- und handelsrechtlich relevante Informationen entstehen, empfangen, verarbeitet und aufbewahrt werden.

Die Erstellung einer solchen Verfahrensdokumentation kann recht aufwändig sein. Verantwortlich ist hierfür der steuerpflichtige Anwender, nicht der Hersteller der Lösung. Es geht um die Beschreibung der tatsächlich beim Anwender eingesetzten und betriebenen Lösung inkl. der Prozesse, Organisation und Nutzung. Ohne Unterstützung des Anbieters in Bezug auf die Beschreibung der Software und ihrer Funktionalität, ist eine Verfahrensdokumentation durch den Anwender nur bruchstückhaft oder in Teilen erstellbar.

Muster-Verfahrensdokumentationen und Checklisten können hier helfen, aber es macht eigentlich wenig Sinn, Informationen aufwändig manuell zu dokumentieren, die im System bereits bekannt sind und aus der Software eigentlich automatisch gewonnen werden könnten. Bereits 2001 hatten wir bei PROJECT CONSULT den Wunsch an die Anbieter von Aufbewahrungs- und Archivierungssystemen gerichtet, doch die Anwender ihrer Software besser durch automatische Bereitstellung aller notwendigen Daten zu unterstützen. Damals galten noch die GoBS, später kamen die GDPdU dazu, heute gelten die GoBD. Und getan hat sich bei den Anbietern wenig. Stattdessen setzen viele Anbieter auf "Zertifikate" von Wirtschaftsprüfern, die aber dem Anwender nichts nützen, da der Steuerprüfer sich das tatsächlich im Einsatz befindliche System ansieht. Hierfür wird die Verfahrensdokumentation benötigt.

Aber nicht nur für den doch eher seltenen Prüfungsfall - die Verfahrensdokumentation ist generell nützlich um bei langlebigen Systemen und Daten die Entwicklung der Lösung nachvollziehen zu können. Die Erfüllung der Compliance-Vorgaben wird hier eher zum Nebeneffekt wenn es um die "Business Continuity" und die Sicherung des Wertes der Information im Unternehmen geht.

Wie also den Aufwand für die Erstellung und Pflege der notwendigen und sinnvollen Verfahrensdokumentation für den Anwender minimieren?

Wünschenswert ist, dass jeder Anbieter eines Buchhaltungs-, Aufbewahrungs- und Archivsystems eine kleine Anwendung oder elektronische Akte mitliefert, die die erforderliche Struktur der Verfahrensdokumentation nach GoBD aufweist und schon diejenigen Daten enthält, die das System selbst beinhaltet (Berechtigungen, Parameter, Dokumententypen, Aufbewahrungsfristen, Ordnung, Speicherort, Version usw.). Hinzu kann man gleich die Dokumentationen wie Anwenderhandbuch, technisches Handbuch usw. in dieser Anwendung hinterlegen. Ziel ist - weg von der manuell geführten VD und hin zu weitgehend automatisierten VD-Erstellung durch das System selbst.

Die Verwaltung der angebundenen oder integrierten systemgestützten Verfahrensdokumentation muss hier zwei Zwecke erfüllen:

a) Aktualität (und so auch Programmidentität) mit dem aktuellen Stand der Lösung (Software, Hardware, Prozesse, Schutz, Sicherheit etc.), z.B. Zustand des aktuellen Jahres 2016, wie auch

b) Perioden-bezogen den Zustand des Zeitraumes, der geprüft werden soll, vollständig und richtig darstellen können, z.B. Zustand der Jahre als 2011 bis 2013 als "Zeitscheiben".

Für eine solche Verfahrensdokumentationsanwendung in Gestalt einer elektronischen Akte kann man 4 Ansätze unterscheiden - von einfach bis komfortabel (und damit auch den Aufwand für den Anbieter bestimmen, der eine solche Verfahrensdokumentationsakte kostenfrei in seine Lösung als Standard integrieren möchte).

 

(A) Einfache elektronische Akte

Der Anbieter liefert eine kleine Muster-Akte innerhalb des Systems mit, die die Gliederung der Verfahrensdokumentation abbildet. Die Teile, die das Softwareprodukt betreffen, sind bereits eingefügt. Der Anwender fügt einfach die Dokumente zu den Abschnitten, die ihn betreffen, manuell in die Struktur ein. Die Pflege, Versionierung und die Herstellung des erforderlichen Zustandes zu einem gegebenen Zeitpunkt obliegt der Sorgfalt des Anwenders. Das Archivsystem archiviert die Daten und Dokumente dieser Verfahrensdokumentationsakte selbstständig als Eigen-Anwendung.
 

(B) Komfortable elektronische Akte

Zusätzlich zu (A) enthält diese Akte nicht nur die Gliederung und bereits die Dokumente des Anbieters, sondern das System führt in einem "Deckblatt" oder "Stammdatenbereich" selbst die Verwaltungsdaten, Inhalte nebst Versionierung mit und fügt bei Änderungen Daten selbst ein oder erstellt Dokumente mit den Daten in dem entsprechenden Abschnitten der Gliederung. Der Anwender muss selbst nur noch die ihn betreffenden Abschnitte nachführen. Die Pflege, Versionierung und die Herstellung des erforderlichen Zustandes zu einem gegebenen Zeitpunkt wird vom System bereits unterstützt, obliegt aber weiterhin der Sorgfalt des Anwenders. Das Archivsystem archiviert die Daten und Dokumente dieser Verfahrensdokumentationsakte selbstständig als Eigen-Anwendung.

 

(C) Verfahrensdokumentation als einfache Anwendungskomponente

Zusätzlich und im Unterschied zu (A) und (B) werden die Daten, die das System verwaltet, nicht mehr als Dokumente geführt, sondern in einer entsprechend strukturierten Datenbank verwaltet. Die Anwendung ist integraler Bestandteil der Archivsoftware und wird durch diese gesteuert. Dort kann der Anwender auf Feld-orientiert seine Inhalte einpflege. Dokumente - wie Anhänge oder Anlagen - können an die Einträge angehängt werden. Das System kann den Anwender auf fehlende Bereiche oder Bereiche, wo Änderungen auf Grund anderer Eintragungen erforderlich sein könnten, hinweisen. Es stellt selbst Historisierung und Versionierung sicher. Der Anwender muss nur sorgfältig und zeitgerecht die ihn betreffenden Abschnitte der Verfahrensdokumentation einpflegen. Durch die Teilautomatisierung wird nicht nur der Aufwand der ständigen Pflege reduziert sondern auch die Vollständigkeit und Nachvollziehbarkeit sichergestellt. Die Anwendung archiviert in das Archivsystem hinein Daten und Dokumente dieser Verfahrensdokumentationsanwendung selbstständig als Eigen-Anwendung.

 

(D) Verfahrensdokumentation als prozessgesteuerte, mandantenfähige, Multi-User Anwendungskomponente

Zusätzlich zu (C) hat die Anwendung ein eigenständiges Berechtigungssystem, ist mandantenfähig und verfügt über Benachrichtigungs-(Alert)Mechanismen. So können die Zuständigkeiten für verschiedene Bereiche an unterschiedliche Verantwortliche delegiert werden - z.B.: Technik an die IT-Abteilung, Aufbewahrungsfristen an die Rechtsabteilung oder Prozesse an die betroffene Projektabteilung. Das Alert-System stellt sich, wenn von jemandem Änderungen eingeben werden, dass die der Gliederung hinterlegte Logik diejenigen benachrichtigt, deren Teile der VD durch die Änderung betroffen sein können. Zu dem erlaubt die Strukturierung die Separierung von Standard-Komponenten und Mandanten. So lässt sich ein Grundgerüst aufbauen, dass für alle Mandanten und diese Infrastruktur nutzenden Anwendungen nur an einer zentralen Stelle die Pflege notwendig ist. Durch das Alertsystem werden bei zentralen Änderungen (Konfigurationen, Berechtigungen, Updates, Aufbewahrungsfristen, Legal Hold, etc.) die Zuständigen für betroffene Mandanten, Anwendungen und Teilbereiche benachrichtigt. Die Versionierung und Historisierung - und damit auch die Reproduktion eines zeitlich eingegrenzten Bereiches für genau eine Anwendung oder einen Mandanten - erfolgt durch das System. Die Last der Pflege verteilt sich mehrere Mitarbeiter, die zu dem hierfür die Verantwortung tragen und deren Pflegemaßnahmen durch Protokolle nachvollziehbar sind. Die Anwendung archiviert in das Archivsystem hinein Daten, Dokumente und Protokolle selbstständig als Eigen-Anwendung.



Eine solche Compliance- oder Information-Governance-Lösung lässt sich auch für andere Bereiche als nur für die GoBD einsetzen, denn es gibt noch zahlreiche andere rechtliche, regulative und interne Anforderungen für eine geordnete Dokumentation. Und eigentlich ist es eine Selbstverständlichkeit, dass Systeme, die für eine revisionssichere Dokumentation und Archivierung verwendet werden, als aller Erstes sich und ihre Einstellungen selbst dokumentieren und archivieren.

Selbstdokumentierende Archivsysteme sind seit Jahrzehnten unser Credo an die Anbieter! Und eine solche Funktionalität ist für den Anwender nützlicher und besser als jedwedes Zertifikat, das lediglich bescheinigen kann, dass theoretisch bei richtigem Einsatz die Lösung geeignet sein könnte die rechtlichen Anforderungen nach den GoBD zu erfüllen.

Kommentare

Das Thema Selbstdokumentation bei Software, zumindest von Aufbewahrungs-, Records-Management- und Archivierungssystemen, wurde in der Branche weitgehend ignoriert. Nur wenige Anbieter, und dann auch nur Projekt-orientiert, setzten auf diese Funktionalität. Es klingt zwar logisch, dass doch das System, alle seine zugehörigen Daten und Konfigurationen geordnet ausgibt und selbst verwaltet, aber gerade bei älteren Architekturen macht es halt Arbeit. Und wenn dann noch solche "automatisch verwaltete Verfahrensdokumentationen als elektronische Akte" kostenfrei mitgeliefert sollen, dann sinkt das Interesse beim Anbieter. Und so werkeln tausende von Anwenderorganisationen mit Word-Dateien oder speziellen Datenbanken herum. Da laufend neue rechtliche Anforderungen kommen und es zahlreiche nebeneinanderher bestehende Regularien gibt, die eine Dokumentation erfordern, ist so keine Compliance zu erreichen.

Dabei zeichnet sich längst die nächste Welle der Innovation ab: Selbstinstallation und Selbstkonfiguration. Wir kennen dies von Apps auf unseren Mobiltelefonen. In der Welt der Unternehmenssoftware ist allerdings die Einrichtung und Integration mit anderen Anwendungen immer sehr aufwändig. Dies ändert sich mit Standardlösungen in der Cloud, da man hier nicht individuell jede Schnittstelle einzeln basteln kann. Motoren sind die weitergehende Automatisierung in Rechenzentren und natürlich Künstliche Intelligenz (KI).

Wie soll dies funktionieren, gerade bei Records Management und Archivierung, wo man langfristig stabile Lösungen braucht?

Mit "ein wenig Analytics & KI" geht das ganz gut. Nur "ein wenig" passt natürlich heute noch nicht.

Schritt 1 ist, dass die Software die gesamte Umgebung analysiert. Andere vorhandene Systeme, vorhandene Datenbestände, Berechtigungssystem, usw. Eine solche Analyse-Funktion ist schon auf Grund der Anforderungen der DSGVO generell sinnvoll.

Nach dieser Indentifikation und Lokalisierung von Systemen, Repositories und Schnittstellen wird dann festgelegt, welche Lösungen an das neue System anzubinden sind. Dies wird bereits von der Lösung, die ja auf Aufbewahrung und Archivierung ausgelegt ist, vorgeschlagen. Dabei wird auch ermittelt, welche Komponenten und Schnittstellen nicht automatisiert integriert werden können.

Als nächstes werden die Datenbanken und Datenbestände im Detail ausgewertet. Hieraus ermitteln sich die zu verwendenden Metadaten, Ablage- und Aktenstrukturen, Retrievalroutinen und Migrationsstrategien. Was heute manuell und theoretisch entwickelt wird, kann die Software auf Basis der vorhandenen Informationen und Strukturen bereits selbsttätig tun, bzw. solche Strukturen und Metadaten-Konzepte vorschlagen. Liefert der Anbieter noch ein paar Muster mit und gibt es schon per Datenbank erschlossene Repositories, wird es natürlich einfacher, schneller und genauer.

Danach startet dann das Konfigurations- und Test-Entwicklungsprogramm, dass alle notwendigen Installations- und Konfigurationsarbeiten der Software testet, nachvollziehbar macht und dokumentiert. Damit ist auch schon einmal die alte Konfiguration, die Migrationen der ursprünglichen Informationsbasen und die neue Konfiguration dokumentiert. Hier wird die Brücke zur selbstgenerierenden Verfahrensdokumentation geschlagen.

Erst als 5. Schritt installiert und konfiguriert sich die neue Software, implementiert die notwendigen Schnittstellen, importiert die ausgewählten Datenbestände, baut die Ordnungs- und Erschließungssystematik sowie alle Mechanismen zur Compliance-Wahrung auf. Da es bei Aufbewahrungs-, Records-Management- und Archivierungssystemen viel um Informationsverwaltung und weniger um Anwendungsfunktionalität geht, sind solche Lösungen sogar prädestiniert für automatische Installation und Konfiguration, automatische Updates wie wir sie aus der App-Welt der mobilen Geräte kennen, und natürlich Selbstdokumentation, um die langfristige Nutzbarkeit sicherzustellen und rechtliche Anforderungen zu erfüllen.

"Software-Robots" bei Workflows und Informationsmanagementtätigkeiten, wo es hauptsächlich um Verwaltungs- Indizierungs- und andere "langweilige" Tätigkeiten geht, sehr nützlich. Automatisierung ist daher bei Records Management und Enterprise Information Management eine Schlüsselkomponente. Bei der Klassifikation von Information in Eingangsprozessen und intelligenten Suchstrategien bei der Informationserschließung ist der Einsatz von Bigdata Analytics, Machine Learning (ML) und Künstlicher Intelligenz (KI) bereits verbreitet. Auch kleinere Werkzeuge wie Robotik Process Automationen (RPA) finden hier ein Anwendungsfeld. Die Automatisierung sollte aber nicht nur für die laufenden Prozesse gelten sondern ebenso für Installation, Pflege, selbstlernende Weiterentwicklung und Dokumentation der Systeme. Gerade selbstdokumentierende Systeme sind so nur ein erster Schritt zum Einsatz von Analytics, Automatisierung und Künstlicher Intelligenz bei Erstellung, Implementierung und Pflege moderner Software, die sich zunehmend selbst konfiguriert, installiert, pflegt, Neues erlernt, optimiert und ... verselbständigt.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO

Neuen Kommentar schreiben

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.

This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.