Sie sind hier: Müller Blum » Willkommen in der Zukunft
Lesedauer: 12 Minuten

Willkommen in der Zukunft

Ein Gespräch mit Betriebsprüferin Frau Andrea Köchling zur Bedeutung von Prozessdokumentationen und Kontrollmechanismen im Rahmen von steuerlichen Betriebsprüfungen (TEIL 3)

Zur Person: Andrea Köchling

Frau Köchling ist seit 1999 als Umsatzsteuersonderprüferin erst in Dortmund, ab 2007 in Hamburg und dort seit 2014 als Betriebsprüferin für KMU und Großbetriebe tätig.

Nebenamtlich unterrichtet sie seit 2010 als Dozentin an der Norddeutschen Akademie der Finanzen im Bereich der Ausbildung für neu eingesetzte Betriebsprüfer sowie in der Fortbildung. Seit 2021 ist sie zudem nebenberuflich an der Dualen Hochschule Baden Württemberg (DHBW) tätig.

Seit 2018 ist sie als selbständige Referentin zu den Themen Kassenführung, Verfahrensdokumentation und Umsatzsteuer bundesweit tätig. Darüber hinaus ist Frau Köchling seit 2020 Autorin beim IWW – Verlag sowie für die Zeitschriften beck.digitax, und REThinking TAX.

Die wichtigsten Aussagen

  • Das interne Kontrollsystem Steuern (IKS) kann nicht losgelöst von der Verfahrensdokumentation betrachtet werden.

  • Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen, Daten und Dokumenten sind notwendig.

  • Die Vermeidung von jeglichen Fehlern ist unmöglich. Allerdings ist der Nachweis, dass Kontrollen durchgeführt wurden, erforderlich.

  • Der Einsatz eins IKS muss nicht immer mittels aufgeblähten Software-Lösungen erfolgen. Allerdings ist die Abbildung komplett ohne den Einsatz von technischen Hilfsmitteln kaum möglich.

  • Unabhängig davon, ob ich ein Ein-Mann-Betrieb oder ein Großkonzern bin, ist ein internes Kontrollsystem notwendig.

  • Für die Finanzverwaltung ist der Steuerpflichtige immer für Fehler verantwortlich.

  • Die Prüfung der Vorsysteme gewinnen erheblich an Bedeutung.

  • Der Einbezug eines Steuerberaters ist bei der Vereinfachung und Automatisierung von Abläufen ein entscheidender Erfolgsfaktor.

Das Gespräch (TEIL 3)

Frau Köchling führte das Gespräch in nicht dienstlicher Eigenschaft. Gesprächspartner war Steuerberater Eugen Müller, der sich auf die Themen Verfahrensdokumentation, Steuer-IKS und Tax-Compliance spezialisiert hat. Das Gespräch besteht aus mehreren Teilen.

Im Folgenden können Sie den dritten Teil lesen, bei dem es um alle Themen rund um die Erstellung einer Verfahrensdokumentation geht.

Eugen Müller: Angeschlossen an die ersten zwei Teile unseres Gesprächs, in dem es um es mehr allgemein um das Thema Verfahrensdokumentation ging, möchten wir uns nun insbesondere mit dem Thema „Internes Kontrollsystem (IKS)“ beschäftigen. Dieses ist Bestandteil der Verfahrensdokumentation und wird auch explizit in dem BMF-Schreiben zu den GoBD vom 28.11.2019 angesprochen wird. Zum Einstieg würde mich interessieren, was Sie unter einem internen Kontrollsystem im steuerlichen Kontext verstehen?

Andrea Köchling: In den GoBD wird das interne Kontrollsystem in sehr vielen Randziffern angesprochen. Ich habe mir diese mal rausgeschrieben, was gar nicht so einfach ist, da das interne Kontrollsystem verstreut über die GoBD hinweg häufig erwähnt wird. Da findet man sowas wie Zugangs- und Zugriffsberechtigungskontrollen, Funktionstrennung, Erfassungs- und Eingabekontrollen, Übertragungskontrollen, Verarbeitungskontrollen, Abstimmungskontrollen, Plausibilitätskontrollen, Vollständigkeitskontrollen und Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen, Daten und Dokumenten. Sie merken schon, dass in der Aufzählung ganz viel von Kontrollen die Rede ist. Ich würde jetzt mal behaupten das wir normalerweise in der Betriebsprüfung nicht so viel von dem IKS mitbekommen, sondern erst dann, wenn wir explizit nach Dingen fragen, es Unstimmigkeiten oder Ungereimtheiten gibt oder Daten nicht mehr vorgelegt werden können. Die Betriebsprüfung führt eine Retroperspektive durch, d.h. wir prüfen immer die Vergangenheit. Mitunter jahrelang zurückliegende Zeiträume. Wenn dann Daten nicht gesichert wurden oder man nicht mehr nachvollziehen kann wer für was zuständig war, wer welchen Zugang oder welche Rechte hatte oder man sieht das etwas gelöscht wurde, aber findet den gelöschten Datensatz nicht. Erst dann bekommen wir mit, dass ein IKS entweder gar nicht da ist oder nicht funktioniert hat. Zusammenfassend ist es ein Kontrollsystem für das Unternehmen bezüglich Daten und Zugriffsrechten.

Sie haben schon einige Beispiele genannt, wie das Thema auch im Rahmen einer Betriebsprüfung angegangen werden kann. Was ich jetzt rausgehört habe ist, dass das IKS immer erst im Nachgang thematisiert wird und meistens auch erst dann, wenn irgendetwas nicht optimal gelaufen ist, ein Fehler passiert ist oder Daten ggf. verloren gegangen sind. Gibt es denn auch den Ansatz das ganze proaktiver anzugehen und fehlerunabhängig? Nach dem Wortlaut des BMF-Schreibens wäre das ja möglich.

Das ist mit Sicherheit richtig, aber für die Verfahrensdokumentation muss noch sehr viel Überzeugungsarbeit geleistet werden. Und genauso ist das auch mit dem IKS. Das ist ein Bestandteil der Betriebsdokumentation, die vom Unternehmen zu erstellen ist. D.h. also auch, dass ich aus meiner Sicht das IKS nicht losgelöst von der Verfahrensdokumentation betrachten kann. Wenn man sich mal die wichtigsten Grundsätze eines IKS anschaut, haben wir zum einen das Vier-Augen-Prinzip. Das bedeutet, dass keine wichtigen Vorgänge nur von einer Person durchgeführt werden, sondern immer ein Zweiter nochmal drüber schaut, ob das Ganze richtig ist. Der betreffende Vorgang wird dann nochmal mit einer Art Gegenkontrolle abgesichert. Oder die Funktionstrennung: Diese bedeutet, dass der Prozess nicht nur in einer Hand liegt. Die dritte Säule betrifft die Berechtigungen. Diese orientieren sich an der Funktion des Mitarbeiters, also dass nicht jeder vollen Zugriff auf alles hat. Größere Unternehmen sind dergestalt recht gut aufgestellt. Problematisch ist da eher der Ein-Mann-Betrieb, denn wer soll denn da die Kontrollinstanz übernehmen? Da sind diese Sachen wie die Funktionstrennung nicht unbedingt gegeben. Nichtsdestotrotz braucht es auch in dieser Konstellation eine Datensicherheit, denn man muss sich überlegen, wie man die Daten in seinem Unternehmen schützt. Die Randziffer 100 des BMF-Schreibens vom 28.11.2019 sagt ganz klar, dass Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen, Daten und Dokumenten notwendig sind. Das ist eine zentrale Randziffer, die für alle und für jeden Unternehmer gilt.

Sie haben gerade einen schönen Unterschied angesprochen, ein Ein-Mann-Betrieb tut sich natürlich schwerer ein Kontrollsystem im Sinne von Funktionstrennungen einzurichten als ein größeres Unternehmen. Welche Unterschiede gibt es hier bei Betriebsprüfungen? Denn auch in Ein-Mann-Betrieben passieren Fehler. Haben Einzelunternehmer aus Ihrer Sicht denn überhaupt die Möglichkeit ein funktionsfähiges IKS einzurichten?

Ich sag es mal so: Dafür sollte der Ein-Mann-Betrieb dann auch einen guten Steuerberater haben. Aber da können Sie gleich bestimmt aus der Praxis noch etwas dazu sagen. Der Ein-Mann-Betrieb hat seinen Steuerberater, der vielleicht auch mal nach links und rechts schaut, Geschäftsvorfälle plausibilisiert oder aus den betriebswirtschaftlichen Auswertungen ableitet, dass etwas aus bestimmten Gründen oder aufgrund bestimmter Parameter nicht stimmen kann. In diesem Sinne ist der Steuerberater, sozusagen der verlängerte Arm des internen Kontrollsystems. In Deutschland haben wir für alles eine Versicherung, aber mit unseren Daten gehen wir streckenweise sehr unachtsam um. Fragen Sie sich doch mal: Wann habe ich das letzte Mal eine Datensicherung gemacht?

Ein internes Kontrollsystem Steuern (IKS) ist eng mit dem Thema Datensicherheit verbunden

Hierzu gibt es mittlerweile Möglichkeiten wie Rechenzentren, um Sicherheit zu erlangen. Ein interessanter Punkt ist aber, der Unterschied eines IKS je nach Unternehmensgröße, also je nach Anzahl der Personen und Tätigkeiten. Unabhängig davon, ob ein Kontrollsystem vorhanden ist und wie das ausgestaltet ist, werden trotzdem Fehler passieren. Das wird man nicht vermeiden können. Dies muss erstmal auch kein Beinbruch sein. In so einem Fall ist allerdings der Nachweis erforderlich, dass Kontrollen vorhanden waren. Sie haben das Vier-Augen-Prinzip angesprochen. Aber wie kann ein Unternehmen bei Anwendung des Vier-Augen-Prinzips tatsächlich nachweisen, dass die Kontrolle durchgeführt wurde?

Da kommt es jetzt ganz explizit auf den Einzelfall an. Als Betriebsprüferin kann ich immer etwas in Frage stellen. Ich führe auch gerade eine Prüfung durch, da werden mir Sachen vorgelegt, die absolut der Lebenserfahrung widersprechen. Wenn wirklich keinerlei Dokumentation, keine Nachweise, keine Unterschriften oder dergleichen vorhanden sind, dann sieht es für den Steuerpflichtigen schon mal eher schlecht aus. Lassen Sie uns nochmal einen Schritt zurück gehen und einen Blick auf die Randziffer 104 des BMF-Schreibens vom 28.11.2019 werfen. Diese besagt: „werden die Daten/Datensätze elektronische Dokumente und elektronische Unterlagen nicht ausreichend geschützt und können deswegen nicht mehr vorgelegt werden, so ist die Buchführung formell nicht ordnungsgemäß.“ Das ist natürlich der Worst-Case überhaupt. Das ist die zentrale Randziffer, die den Unternehmer „anbettelt“, einen Notfallplan zu erstellen bzw. vorzuhalten. Zum einen für das Unternehmen intern, damit die Daten nicht verloren gehen, aber auch extern zum Schutz vor Diebstahl, von außen. Das sind auch Themen, die in eine Verfahrensdokumentation gehören, wenn ich z.B. ein Betriebsgelände besonders schütze, sei es durch Schließanlagen, Videoanlagen, Alarmanlagen, etc. Das ist im weitesten Sinne auch ein Schutz meiner Daten, da ich es damit Externen schwer mache überhaupt auf mein Betriebsgelände zu kommen. Wir haben jetzt erstmal hauptsächlich die internen Daten betrachtet, aber auch da geht es wieder „wie bei der Zwiebel“, immer ein Stück weiter.

Es ist auf jeden Fall spannend, dass Sie die Datensicherheit oder allgemein Sicherheit eng mit dem Thema IKS sehen, denn in der Praxis steht da oftmals die Fehlervermeidung im Vordergrund und weniger die Datensicherheit. Das soll nicht bedeuten, dass Datensicherheit kein Thema ist, sondern separat betrachtet wird, also losgelöst oder maximal ergänzt zum IKS. Das IKS beschäftigt sich dann tatsächlich mehr mit der vorgelagerten Fehlervermeidung.

Ich denke, das sind die beiden zentralen Komponenten und Aufgaben eines IKS. Wenn ich das natürlich in der Form implementieren kann, dass ich sofort, wenn ich einen Fehler mache, darauf hingewiesen werde, damit ich mir diesen gleich anschauen kann, ist das natürlich das Beste, was passieren kann. Aber das bekommen wir in der Betriebsprüfung kaum mit, weil wir immer für die Vergangenheit kommen und dann sind diese Fehler, wenn sie denn sofort überhaupt auftauchten, schon bereinigt und behoben.

Nicht der Fehler löst das Problem aus, sondern eine fehlende Dokumentation der Kontrolle

Allerdings im Hinblick darauf, dass ein Fehler nicht aufgefallen ist oder korrigiert wurde, kann zumindest der subjektive Tatbestand entkräftet werden, wenn nachgewiesen werden kann, dass der Fehler nicht mit Absicht begangen wurde. Was ich bei Ihnen immer wieder herausgehört habe, was auch in der Praxis ein sehr großes Feld ist und sehr viele Berater und Unternehmen beschäftigt, ist die Frage, ob das überhaupt machbar ist ohne den Einsatz von technischen Hilfsmitteln, Tools oder Software, die bei diesen ganzen Vorgängen unterstützen? Also weniger beim Thema Datensicherheit, vielmehr beim Thema Fehlervermeidung in den Abläufen des Unternehmens. Also weg vom Vier-Augen-Prinzip hin zur Kontrolle mittels eines systembasierten Workflows. Alternativ müsste man immer ein Protokoll erstellen, um die Durchführung des Vier-Augen-Prinzips auch nachweisen zu können. Das ist in der Praxis bei den Massen an Vorgängen, die in Unternehmen ablaufen natürlich unmöglich. Wenn Sie als Betriebsprüferin nach einem IKS fragen und keinerlei Softwareunterstützung dabei vorfinden, ist das dann überhaupt glaubhaft, dass das so geleistet werden kann?

Da kommt es auf das Unternehmen an. Bei einem großen Konzern ist das natürlich überhaupt nicht glaubhaft. Bei einem Ein-Mann-Handwerksbetrieb dagegen kann ich mir das schon vorstellen, weil dort werden vielleicht nicht so viele datenverarbeitende Systeme im Gebrauch sein. Vielleicht Word, Excel, ein E-Mail-Programm und vielleicht noch ein Tool für die Rechnungsschreibung mit integrierter Plausibilitätsprüfung genutzt und gleichzeitig haben diese Unternehmen ihren Steuerberater als verlängerten Arm des IKS. Es kommt demnach ganz entscheidend auf die Größe und Diversifikation des Unternehmens oder der Geschäftstätigkeit an. Haben Sie denn Beispiele für solche Tools, die sich auf IKS spezialisiert haben?

Ja, da gibt es einige Anbieter, aber ich glaube, dass es zumindest bis zu einer bestimmten Größe keine Tools sein müssen, die sich rein auf die Kontrollmechanismen spezialisieren. Für die toolunterstützte Durchführung einer Rechnungsprüfung braucht man kein IKS-Tool, sondern im Endeffekt ein vorbereitendes Buchhaltungssystem. Wenn man innerhalb dieses Systems mittels Status Dokumente kennzeichnet, ist der Vorgang dokumentiert und kann auch nachgewiesen werden, ohne zusätzliches IKS-Tool. Dieses wird dann sicherlich ab einer bestimmten Größe relevant, um alle Vorgänge zu dokumentieren.

Genau. Bei der klassischen Rechnungsüberprüfung kann ich die Programme mit Parameter füttern und beispielsweise auf Vollständigkeit prüfen lassen. Wenn man das händisch macht und drauf schreibt „Rechnung geprüft“, braucht man noch eine Art Checkliste, die mir dann sagt, was geprüft worden ist. Waren das nur die Merkmale § 14 UStG, die Richtigkeit der Adresse oder vielleicht nur die Abrechnung und Erhalt der Leistungen? Da brauche ich immer noch weitere Informationen.

Das führt dann wieder dazu, dass eine unrealisierbare Verwaltung aufgebaut wird, wenn man das Ganze manuell durchführen möchte, da es nicht mehr zu handeln ist. 

Das bindet Personal, Zeit und Ressourcen, welche an anderer Stelle viel effektiver eingesetzt werden könnten. Deswegen gibt es mittlerweile so viele Toolanbieter mit den unterschiedlichsten Ausrichtungen, die Hilfestellungen leisten. Wenn man das mal auf die Waschmaschinen überträgt, da haben wir uns auch vom Waschbrett hin zum „Knopfdruck“ entwickelt.

Zusammenfassend kann man also sagen, dass unabhängig davon, ob ich ein Ein-Mann-Betrieb oder Großkonzern bin, ein Kontrollsystem – ob wir von einem internen steuerlichen Kontrollsystem oder von einem Tax-Compliance-Management System sprechen – vorhanden sein muss.

Gerade auch im Hinblick auf § 153 AO, die Berichtigung von Steuererklärungen. Sie kennen die Ansicht der Finanzverwaltung, die eher eine Selbstanzeige als eine berichtigte Steuererklärung erwartet. Wenn ein Tax-Compliance-System vorhanden ist, kann man dann auch nachweisen, dass es sich wirklich nur um eine Berichtung handelt. Mit so einem IKS oder Tax-Compliance-Management-System habe ich als Unternehmen auch eine Schutzfunktion für mich.

Die Verantwortung eines Fehlers liegt immer beim Steuerpflichtigen

Einen Punkt haben Sie gerade angesprochen, der in der Zukunft sicherlich immer mehr an Bedeutung gewinnen wird. Die Vorteile, die diese Systeme mit sich bringen in Form von effizienteren Abläufen, Automatismen, automatischer Dokumentation, führen natürlich auch dazu, dass die Gefahr besteht sich irgendwann zu sehr auf Systeme zu verlassen. D.h., ich stelle ein System einmal richtig ein, sodass beispielsweise meine Ausgangsrechnungen immer korrekt erzeugt werden und plötzlich hat sich im Hinblick des Warenversands innerhalb der EU irgendeine umsatzsteuerliche Regelung geändert. Wenn ich die Einstellungen, die ich getroffen habe, jetzt nicht anpasse und jede Rechnung falsch generiert wird, – im Online-Handel teilweise täglich tausende Vorgänge – entsteht ein riesiger Schaden, der im Zweifel auch bis zu einer Betriebsprüfung nie auffällt.

Und da komme ich wieder auf meine Aussage zurück, dass eine Betriebsprüfung das Beste ist, was einem passieren kann.

Je nachdem wie groß der Schaden bis dahin ist und natürlich wie ein Betriebsprüfer damit umgeht. Das Spannende daran ist, dass das zu ganz neuen Fragestellungen führt: „Wer ist denn jetzt schuld daran?“ Gehen wir mal davon aus, dass lediglich ein Systemupdate durchgeführt wird, welches der Steuerpflichtige vielleicht gar nicht aktiv mitbekommt und plötzlich wird ein anderes Konto hinterlegt, das dann falsch in die Buchhaltung einfließt. Das ist übrigens auch ein Fall, den ich aus der Praxis tatsächlich kenne, der glücklicherweise sofort im Monat nach dem Update auch aufgefallen ist, weil das Ganze dann über den Steuerberater läuft und dort dann sofort auffällt. Aber das muss nicht immer so sein. Gibt es denn aktuell eine ganz klare Aussage, was in so einem Fall passiert und wer die Schuld des Fehlers trägt oder ist das auch ein Punkt, mit dem es aktuell noch zu wenig Erfahrung gibt?

Es ist so, dass für die Finanzverwaltung der Steuerpflichtige immer für alles verantwortlich ist, auch wenn er fremden dritten Arbeiten überträgt. Ich schreibe gerade an einem Artikel, der den Namen tragen wird „Traue keinem Scan, den du nicht selbst gefälscht hast“. Da geht es darum, dass dieser Scan aufgrund eines internen Softwarefehlers Zahlen und Buchstaben verändert hat. Das Original stimmte also mit dem Digitalisat nicht mehr überein. Das ist natürlich der Worst-Case, der einem passieren kann. Wir ziehen uns da zurück und wenden uns an den Steuerpflichtigen. Der ist unser Ansprechpartner und er muss sicherstellen, dass bei ihm auch alles funktioniert. Beispielsweise bei den Kassen in der Gastronomie. Da müsste man sich dermaßen mit der Kasse auseinandersetzten, nicht nur dass man sie bedienen kann, sondern auch technisch einarbeiten, sodass man weiß, welche Eingabe und welche Kasseneinzeldaten in welche Felder kommen und welche Auswirkung das dann hat. Ich muss also selbst in die technische Systemdokumentation einsteigen und dazu ist sie auch da. Ob das dann in der Praxis wirklich so gemacht wird, da habe ich auch ehrlich gesagt meine Zweifel. Wer technisch nicht versiert ist, verlässt sich da natürlich auf den Hersteller. Jeder von uns kann ja auch kein Auto herstellen, da vertrauen wir auch auf die Kfz-Hersteller, dass da alles richtig funktioniert und wenn nicht, wenden wir uns an einen Fachmann. Genauso muss man das auch hier machen. Auch da brauchen wir Leute, die uns unterstützen, die der verlängerte Arm des IKS sind. Also den Kassenhersteller, den Kfz-Meister, den Steuerberater, wir können das nicht alles allein machen.

Das heißt aber auch, dass ich mich nicht zurücklehnen und sagen kann: „Da kann ich jetzt nichts dafür, das kam vom Kassenhersteller.“ Der Steuerpflichtige ist dafür verantwortlich und die Finanzverwaltung interessiert erstmal nicht, was da im Hintergrund passiert ist. Das Beispiel zeigt aber auch, dass die Fehlerquellen sich im Vergleich zu vor 15-20 Jahren in die Vorsysteme verschieben. Die Fehler passieren gar nicht mehr bei Erstellung der Buchhaltung, sondern fallen dort maximal auf. Wie erfolgt denn seitens der Betriebsprüfung der Umgang mit diesen Vorsystemen? Ich glaube mittlerweile ist es jedem klar, dass diese sogenannten Vorsysteme ebenfalls Bestandteil der Buchhaltung sind und dementsprechend sicherlich auch Bestandteil einer Betriebsprüfung. 

Auf jeden Fall. Sie haben gerade das Beispiel mit dem Online-Handel angesprochen und da finde ich das wirklich ganz extrem. Da muss man aus meiner Sicht als Betriebsprüfer einfach in diese Tools und Programme „reingehen“, die der Online-Händler verwendet und ganz genau hinschauen, welche Voreinstellungen oder Parameter getroffen wurden oder auch aktiv nicht abgewählt wurden. Bei manchen Systemen – Amazon macht das auch ganz gerne – ist dann plötzlich an einer Stelle ein Haken gesetzt, der z.B. dazu führt, dass jede Lieferung als steuerpflichtig angesehen wird. Wenn ich aber 80% Ausfuhrlieferungen habe, also wirklich in Drittländer, dann ist dieser Haken für mich absolut fatal, weil ich dann jedes Mal mehr Umsatzsteuer zahlen muss, weil ich sie offen ausweise, obwohl ich eigentlich steuerfreie Ausfuhrlieferungen durchführe.

In ihrem Beispiel haben Sie den Fall gewählt, dass der Fehler zu Ungunsten des Steuerpflichtigen passiert ist, aufgrund der mehr abgeführten Steuer. Es kann aber auch genau andersrum sein, dass es zu Gunsten des Steuerpflichtigen abläuft und dann sind wir auch wieder sehr schnell in einem Thema drin, in dem ihre Kollegen von der Steuerfahndung mit ins Spiel kommen.

Das ist richtig. Aber dafür sind wir auch da, denn wir müssen natürlich auch zu Gunsten prüfen. Wenn mir so etwas auffällt, kann ich nicht die Augen davor verschließen und so tun als hätte ich es nicht gesehen. Wenn der Fall andersrum abläuft, also ein Fehler zu Gunsten des Steuerpflichtigen passiert, bin ich natürlich noch mehr in Erklärungsnot. Da stellt sich auch dann die Frage, warum das dem Berater auch nicht aufgefallen ist, wenn einer beauftragt wurde? In dem Fall, den ich jetzt gerade prüfe, wollte ich eine Betriebsbesichtigung machen und dann meinte der Steuerberater: „Ja, das können wir gerne machen. Ich komme dann auch mit dazu, denn ich war auch noch nie dort.“ Das ist für mich unverständlich. Wie kann ich unter solchen Umständen jemanden betreuen?