Das interne Kontrollsystem Steuern als Bestandteil der Verfahrensdokumentation (Teil 3)
Ein Gespräch mit Betriebsprüferin Frau Andrea Köchling zur Bedeutung von Prozessdokumentationen und Kontrollmechanismen im Rahmen von steuerlichen Betriebsprüfungen (TEIL 3)
Zur Person: Andrea Köchling
Frau Köchling ist seit 1999 als Umsatzsteuersonderprüferin erst in Dortmund, ab 2007 in Hamburg und dort seit 2014 als Betriebsprüferin für KMU und Großbetriebe tätig.
Nebenamtlich unterrichtet sie seit 2010 als Dozentin an der Norddeutschen Akademie der Finanzen im Bereich der Ausbildung für neu eingesetzte Betriebsprüfer sowie in der Fortbildung. Seit 2021 ist sie zudem nebenberuflich an der Dualen Hochschule Baden Württemberg (DHBW) tätig.
Seit 2018 ist sie als selbständige Referentin zu den Themen Kassenführung, Verfahrensdokumentation und Umsatzsteuer bundesweit tätig. Darüber hinaus ist Frau Köchling seit 2020 Autorin beim IWW – Verlag sowie für die Zeitschriften beck.digitax, und REThinking TAX.
Die wichtigsten Aussagen
-
Das interne Kontrollsystem Steuern (IKS) kann nicht losgelöst von der Verfahrensdokumentation betrachtet werden.
-
Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen, Daten und Dokumenten sind notwendig.
-
Die Vermeidung von jeglichen Fehlern ist unmöglich. Allerdings ist der Nachweis, dass Kontrollen durchgeführt wurden, erforderlich.
-
Der Einsatz eins IKS muss nicht immer mittels aufgeblähten Software-Lösungen erfolgen. Allerdings ist die Abbildung komplett ohne den Einsatz von technischen Hilfsmitteln kaum möglich.
-
Unabhängig davon, ob ich ein Ein-Mann-Betrieb oder ein Großkonzern bin, ist ein internes Kontrollsystem notwendig.
-
Für die Finanzverwaltung ist der Steuerpflichtige immer für Fehler verantwortlich.
-
Die Prüfung der Vorsysteme gewinnen erheblich an Bedeutung.
-
Der Einbezug eines Steuerberaters ist bei der Vereinfachung und Automatisierung von Abläufen ein entscheidender Erfolgsfaktor.
Das Gespräch (TEIL 3)
Frau Köchling führte das Gespräch in nicht dienstlicher Eigenschaft. Gesprächspartner war Steuerberater Eugen Müller, der sich auf die Themen Verfahrensdokumentation, Steuer-IKS und Tax-Compliance spezialisiert hat. Das Gespräch besteht aus mehreren Teilen.
Im Folgenden können Sie den dritten Teil lesen, bei dem es um alle Themen rund um die Erstellung einer Verfahrensdokumentation geht.
Eugen Müller: Angeschlossen an die ersten zwei Teile unseres Gesprächs, in dem es um es mehr allgemein um das Thema Verfahrensdokumentation ging, möchten wir uns nun insbesondere mit dem Thema „Internes Kontrollsystem (IKS)“ beschäftigen. Dieses ist Bestandteil der Verfahrensdokumentation und wird auch explizit in dem BMF-Schreiben zu den GoBD vom 28.11.2019 angesprochen wird. Zum Einstieg würde mich interessieren, was Sie unter einem internen Kontrollsystem im steuerlichen Kontext verstehen?
Andrea Köchling: In den GoBD wird das interne Kontrollsystem in sehr vielen Randziffern angesprochen. Ich habe mir diese mal rausgeschrieben, was gar nicht so einfach ist, da das interne Kontrollsystem verstreut über die GoBD hinweg häufig erwähnt wird. Da findet man sowas wie Zugangs- und Zugriffsberechtigungskontrollen, Funktionstrennung, Erfassungs- und Eingabekontrollen, Übertragungskontrollen, Verarbeitungskontrollen, Abstimmungskontrollen, Plausibilitätskontrollen, Vollständigkeitskontrollen und Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen, Daten und Dokumenten. Sie merken schon, dass in der Aufzählung ganz viel von Kontrollen die Rede ist. Ich würde jetzt mal behaupten das wir normalerweise in der Betriebsprüfung nicht so viel von dem IKS mitbekommen, sondern erst dann, wenn wir explizit nach Dingen fragen, es Unstimmigkeiten oder Ungereimtheiten gibt oder Daten nicht mehr vorgelegt werden können. Die Betriebsprüfung führt eine Retroperspektive durch, d.h. wir prüfen immer die Vergangenheit. Mitunter jahrelang zurückliegende Zeiträume. Wenn dann Daten nicht gesichert wurden oder man nicht mehr nachvollziehen kann wer für was zuständig war, wer welchen Zugang oder welche Rechte hatte oder man sieht das etwas gelöscht wurde, aber findet den gelöschten Datensatz nicht. Erst dann bekommen wir mit, dass ein IKS entweder gar nicht da ist oder nicht funktioniert hat. Zusammenfassend ist es ein Kontrollsystem für das Unternehmen bezüglich Daten und Zugriffsrechten.
Sie haben schon einige Beispiele genannt, wie das Thema auch im Rahmen einer Betriebsprüfung angegangen werden kann. Was ich jetzt rausgehört habe ist, dass das IKS immer erst im Nachgang thematisiert wird und meistens auch erst dann, wenn irgendetwas nicht optimal gelaufen ist, ein Fehler passiert ist oder Daten ggf. verloren gegangen sind. Gibt es denn auch den Ansatz das ganze proaktiver anzugehen und fehlerunabhängig? Nach dem Wortlaut des BMF-Schreibens wäre das ja möglich.
Das ist mit Sicherheit richtig, aber für die Verfahrensdokumentation muss noch sehr viel Überzeugungsarbeit geleistet werden. Und genauso ist das auch mit dem IKS. Das ist ein Bestandteil der Betriebsdokumentation, die vom Unternehmen zu erstellen ist. D.h. also auch, dass ich aus meiner Sicht das IKS nicht losgelöst von der Verfahrensdokumentation betrachten kann. Wenn man sich mal die wichtigsten Grundsätze eines IKS anschaut, haben wir zum einen das Vier-Augen-Prinzip. Das bedeutet, dass keine wichtigen Vorgänge nur von einer Person durchgeführt werden, sondern immer ein Zweiter nochmal drüber schaut, ob das Ganze richtig ist. Der betreffende Vorgang wird dann nochmal mit einer Art Gegenkontrolle abgesichert. Oder die Funktionstrennung: Diese bedeutet, dass der Prozess nicht nur in einer Hand liegt. Die dritte Säule betrifft die Berechtigungen. Diese orientieren sich an der Funktion des Mitarbeiters, also dass nicht jeder vollen Zugriff auf alles hat. Größere Unternehmen sind dergestalt recht gut aufgestellt. Problematisch ist da eher der Ein-Mann-Betrieb, denn wer soll denn da die Kontrollinstanz übernehmen? Da sind diese Sachen wie die Funktionstrennung nicht unbedingt gegeben. Nichtsdestotrotz braucht es auch in dieser Konstellation eine Datensicherheit, denn man muss sich überlegen, wie man die Daten in seinem Unternehmen schützt. Die Randziffer 100 des BMF-Schreibens vom 28.11.2019 sagt ganz klar, dass Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen, Daten und Dokumenten notwendig sind. Das ist eine zentrale Randziffer, die für alle und für jeden Unternehmer gilt.
Sie haben gerade einen schönen Unterschied angesprochen, ein Ein-Mann-Betrieb tut sich natürlich schwerer ein Kontrollsystem im Sinne von Funktionstrennungen einzurichten als ein größeres Unternehmen. Welche Unterschiede gibt es hier bei Betriebsprüfungen? Denn auch in Ein-Mann-Betrieben passieren Fehler. Haben Einzelunternehmer aus Ihrer Sicht denn überhaupt die Möglichkeit ein funktionsfähiges IKS einzurichten?
Ich sag es mal so: Dafür sollte der Ein-Mann-Betrieb dann auch einen guten Steuerberater haben. Aber da können Sie gleich bestimmt aus der Praxis noch etwas dazu sagen. Der Ein-Mann-Betrieb hat seinen Steuerberater, der vielleicht auch mal nach links und rechts schaut, Geschäftsvorfälle plausibilisiert oder aus den betriebswirtschaftlichen Auswertungen ableitet, dass etwas aus bestimmten Gründen oder aufgrund bestimmter Parameter nicht stimmen kann. In diesem Sinne ist der Steuerberater, sozusagen der verlängerte Arm des internen Kontrollsystems. In Deutschland haben wir für alles eine Versicherung, aber mit unseren Daten gehen wir streckenweise sehr unachtsam um. Fragen Sie sich doch mal: Wann habe ich das letzte Mal eine Datensicherung gemacht?
Ein internes Kontrollsystem Steuern (IKS) ist eng mit dem Thema Datensicherheit verbunden
Hierzu gibt es mittlerweile Möglichkeiten wie Rechenzentren, um Sicherheit zu erlangen. Ein interessanter Punkt ist aber, der Unterschied eines IKS je nach Unternehmensgröße, also je nach Anzahl der Personen und Tätigkeiten. Unabhängig davon, ob ein Kontrollsystem vorhanden ist und wie das ausgestaltet ist, werden trotzdem Fehler passieren. Das wird man nicht vermeiden können. Dies muss erstmal auch kein Beinbruch sein. In so einem Fall ist allerdings der Nachweis erforderlich, dass Kontrollen vorhanden waren. Sie haben das Vier-Augen-Prinzip angesprochen. Aber wie kann ein Unternehmen bei Anwendung des Vier-Augen-Prinzips tatsächlich nachweisen, dass die Kontrolle durchgeführt wurde?
Da kommt es jetzt ganz explizit auf den Einzelfall an. Als Betriebsprüferin kann ich immer etwas in Frage stellen. Ich führe auch gerade eine Prüfung durch, da werden mir Sachen vorgelegt, die absolut der Lebenserfahrung widersprechen. Wenn wirklich keinerlei Dokumentation, keine Nachweise, keine Unterschriften oder dergleichen vorhanden sind, dann sieht es für den Steuerpflichtigen schon mal eher schlecht aus. Lassen Sie uns nochmal einen Schritt zurück gehen und einen Blick auf die Randziffer 104 des BMF-Schreibens vom 28.11.2019 werfen. Diese besagt: „werden die Daten/Datensätze elektronische Dokumente und elektronische Unterlagen nicht ausreichend geschützt und können deswegen nicht mehr vorgelegt werden, so ist die Buchführung formell nicht ordnungsgemäß.“ Das ist natürlich der Worst-Case überhaupt. Das ist die zentrale Randziffer, die den Unternehmer „anbettelt“, einen Notfallplan zu erstellen bzw. vorzuhalten. Zum einen für das Unternehmen intern, damit die Daten nicht verloren gehen, aber auch extern zum Schutz vor Diebstahl, von außen. Das sind auch Themen, die in eine Verfahrensdokumentation gehören, wenn ich z.B. ein Betriebsgelände besonders schütze, sei es durch Schließanlagen, Videoanlagen, Alarmanlagen, etc. Das ist im weitesten Sinne auch ein Schutz meiner Daten, da ich es damit Externen schwer mache überhaupt auf mein Betriebsgelände zu kommen. Wir haben jetzt erstmal hauptsächlich die internen Daten betrachtet, aber auch da geht es wieder „wie bei der Zwiebel“, immer ein Stück weiter.
Es ist auf jeden Fall spannend, dass Sie die Datensicherheit oder allgemein Sicherheit eng mit dem Thema IKS sehen, denn in der Praxis steht da oftmals die Fehlervermeidung im Vordergrund und weniger die Datensicherheit. Das soll nicht bedeuten, dass Datensicherheit kein Thema ist, sondern separat betrachtet wird, also losgelöst oder maximal ergänzt zum IKS. Das IKS beschäftigt sich dann tatsächlich mehr mit der vorgelagerten Fehlervermeidung.
Ich denke, das sind die beiden zentralen Komponenten und Aufgaben eines IKS. Wenn ich das natürlich in der Form implementieren kann, dass ich sofort, wenn ich einen Fehler mache, darauf hingewiesen werde, damit ich mir diesen gleich anschauen kann, ist das natürlich das Beste, was passieren kann. Aber das bekommen wir in der Betriebsprüfung kaum mit, weil wir immer für die Vergangenheit kommen und dann sind diese Fehler, wenn sie denn sofort überhaupt auftauchten, schon bereinigt und behoben.
Nicht der Fehler löst das Problem aus, sondern eine fehlende Dokumentation der Kontrolle
Allerdings im Hinblick darauf, dass ein Fehler nicht aufgefallen ist oder korrigiert wurde, kann zumindest der subjektive Tatbestand entkräftet werden, wenn nachgewiesen werden kann, dass der Fehler nicht mit Absicht begangen wurde. Was ich bei Ihnen immer wieder herausgehört habe, was auch in der Praxis ein sehr großes Feld ist und sehr viele Berater und Unternehmen beschäftigt, ist die Frage, ob das überhaupt machbar ist ohne den Einsatz von technischen Hilfsmitteln, Tools oder Software, die bei diesen ganzen Vorgängen unterstützen? Also weniger beim Thema Datensicherheit, vielmehr beim Thema Fehlervermeidung in den Abläufen des Unternehmens. Also weg vom Vier-Augen-Prinzip hin zur Kontrolle mittels eines systembasierten Workflows. Alternativ müsste man immer ein Protokoll erstellen, um die Durchführung des Vier-Augen-Prinzips auch nachweisen zu können. Das ist in der Praxis bei den Massen an Vorgängen, die in Unternehmen ablaufen natürlich unmöglich. Wenn Sie als Betriebsprüferin nach einem IKS fragen und keinerlei Softwareunterstützung dabei vorfinden, ist das dann überhaupt glaubhaft, dass das so geleistet werden kann?
Da kommt es auf das Unternehmen an. Bei einem großen Konzern ist das natürlich überhaupt nicht glaubhaft. Bei einem Ein-Mann-Handwerksbetrieb dagegen kann ich mir das schon vorstellen, weil dort werden vielleicht nicht so viele datenverarbeitende Systeme im Gebrauch sein. Vielleicht Word, Excel, ein E-Mail-Programm und vielleicht noch ein Tool für die Rechnungsschreibung mit integrierter Plausibilitätsprüfung genutzt und gleichzeitig haben diese Unternehmen ihren Steuerberater als verlängerten Arm des IKS. Es kommt demnach ganz entscheidend auf die Größe und Diversifikation des Unternehmens oder der Geschäftstätigkeit an. Haben Sie denn Beispiele für solche Tools, die sich auf IKS spezialisiert haben?
Ja, da gibt es einige Anbieter, aber ich glaube, dass es zumindest bis zu einer bestimmten Größe keine Tools sein müssen, die sich rein auf die Kontrollmechanismen spezialisieren. Für die toolunterstützte Durchführung einer Rechnungsprüfung braucht man kein IKS-Tool, sondern im Endeffekt ein vorbereitendes Buchhaltungssystem. Wenn man innerhalb dieses Systems mittels Status Dokumente kennzeichnet, ist der Vorgang dokumentiert und kann auch nachgewiesen werden, ohne zusätzliches IKS-Tool. Dieses wird dann sicherlich ab einer bestimmten Größe relevant, um alle Vorgänge zu dokumentieren.
Genau. Bei der klassischen Rechnungsüberprüfung kann ich die Programme mit Parameter füttern und beispielsweise auf Vollständigkeit prüfen lassen. Wenn man das händisch macht und drauf schreibt „Rechnung geprüft“, braucht man noch eine Art Checkliste, die mir dann sagt, was geprüft worden ist. Waren das nur die Merkmale § 14 UStG, die Richtigkeit der Adresse oder vielleicht nur die Abrechnung und Erhalt der Leistungen? Da brauche ich immer noch weitere Informationen.
Das führt dann wieder dazu, dass eine unrealisierbare Verwaltung aufgebaut wird, wenn man das Ganze manuell durchführen möchte, da es nicht mehr zu handeln ist.
Das bindet Personal, Zeit und Ressourcen, welche an anderer Stelle viel effektiver eingesetzt werden könnten. Deswegen gibt es mittlerweile so viele Toolanbieter mit den unterschiedlichsten Ausrichtungen, die Hilfestellungen leisten. Wenn man das mal auf die Waschmaschinen überträgt, da haben wir uns auch vom Waschbrett hin zum „Knopfdruck“ entwickelt.
Zusammenfassend kann man also sagen, dass unabhängig davon, ob ich ein Ein-Mann-Betrieb oder Großkonzern bin, ein Kontrollsystem – ob wir von einem internen steuerlichen Kontrollsystem oder von einem Tax-Compliance-Management System sprechen – vorhanden sein muss.
Gerade auch im Hinblick auf § 153 AO, die Berichtigung von Steuererklärungen. Sie kennen die Ansicht der Finanzverwaltung, die eher eine Selbstanzeige als eine berichtigte Steuererklärung erwartet. Wenn ein Tax-Compliance-System vorhanden ist, kann man dann auch nachweisen, dass es sich wirklich nur um eine Berichtung handelt. Mit so einem IKS oder Tax-Compliance-Management-System habe ich als Unternehmen auch eine Schutzfunktion für mich.
Die Verantwortung eines Fehlers liegt immer beim Steuerpflichtigen
Einen Punkt haben Sie gerade angesprochen, der in der Zukunft sicherlich immer mehr an Bedeutung gewinnen wird. Die Vorteile, die diese Systeme mit sich bringen in Form von effizienteren Abläufen, Automatismen, automatischer Dokumentation, führen natürlich auch dazu, dass die Gefahr besteht sich irgendwann zu sehr auf Systeme zu verlassen. D.h., ich stelle ein System einmal richtig ein, sodass beispielsweise meine Ausgangsrechnungen immer korrekt erzeugt werden und plötzlich hat sich im Hinblick des Warenversands innerhalb der EU irgendeine umsatzsteuerliche Regelung geändert. Wenn ich die Einstellungen, die ich getroffen habe, jetzt nicht anpasse und jede Rechnung falsch generiert wird, – im Online-Handel teilweise täglich tausende Vorgänge – entsteht ein riesiger Schaden, der im Zweifel auch bis zu einer Betriebsprüfung nie auffällt.
Und da komme ich wieder auf meine Aussage zurück, dass eine Betriebsprüfung das Beste ist, was einem passieren kann.
Je nachdem wie groß der Schaden bis dahin ist und natürlich wie ein Betriebsprüfer damit umgeht. Das Spannende daran ist, dass das zu ganz neuen Fragestellungen führt: „Wer ist denn jetzt schuld daran?“ Gehen wir mal davon aus, dass lediglich ein Systemupdate durchgeführt wird, welches der Steuerpflichtige vielleicht gar nicht aktiv mitbekommt und plötzlich wird ein anderes Konto hinterlegt, das dann falsch in die Buchhaltung einfließt. Das ist übrigens auch ein Fall, den ich aus der Praxis tatsächlich kenne, der glücklicherweise sofort im Monat nach dem Update auch aufgefallen ist, weil das Ganze dann über den Steuerberater läuft und dort dann sofort auffällt. Aber das muss nicht immer so sein. Gibt es denn aktuell eine ganz klare Aussage, was in so einem Fall passiert und wer die Schuld des Fehlers trägt oder ist das auch ein Punkt, mit dem es aktuell noch zu wenig Erfahrung gibt?
Es ist so, dass für die Finanzv