temuco
Goto Top

Eigene Dokumentverwaltung revisionssicher machen - ungefähre Kosten?

Hallo,

nach einer Kundenanfrage überlegen wir, unsere Dokumentenverwaltung auf Revisionssicherheit umzustellen. Wir sind ein kleines Unternehmen mit einem selbst entwickelten ERP-System. Unsere derzeitige Dokumentenverwaltung kann unter anderem alle von uns erstellten Dokumente (Rechnungen, Lieferscheine, Auftragsbestätigungen usw.) automatisch als PDF archivieren. Zudem können auch eingehende Dokumente und andere Unterlagen archiviert werden.

Wir sind gerade dabei, "ZUGFeRD" zu implementieren, da dies in naher Zukunft in Deutschland verpflichtend sein wird. In diesem Zusammenhang fragte ein Kunde, ob wir unsere Archivierungslösung revisionssicher gestalten könnten. Das ist eine interessante Idee.

Für uns wäre es nur dann lohnenswert, wenn die Gesamtkosten für eine Zertifizierung in einem akzeptablen Rahmen liegen – einschließlich der anfallenden Folgekosten.

Hat jemand von euch bereits eine solche Zertifizierung durchlaufen? Könntet ihr uns einen groben Anhaltspunkt zu den Zertifizierungskosten und den Einflussfaktoren darauf geben?

Wir würden uns sehr freuen, wenn ihr hierzu einige Informationen teilen könntet.

Vielen Dank im Voraus und herzliche Grüße,

René

Content-ID: 8735893878

Url: https://administrator.de/contentid/8735893878

Ausgedruckt am: 21.11.2024 um 12:11 Uhr

8585324113
8585324113 09.11.2023 um 10:10:04 Uhr
Goto Top
Wo soll denn gespeichert werden?

Schon Mal was von Data Domain oder Fast LTA oder oder oder...
temuco
temuco 09.11.2023 um 10:13:42 Uhr
Goto Top
Danke. In einer eigens dafür entwickelten verschlüsselnden Datenbank auf dem Server.
8585324113
8585324113 09.11.2023 um 10:16:04 Uhr
Goto Top
Wo diese DB steht, war die Frage.

Und die Konstruktion würde ein Audit schaffen?
temuco
temuco 09.11.2023 um 10:19:52 Uhr
Goto Top
Wahrscheinlich ja, wenn ich mir die Anforderungen anschaue. Mir geht es aber in erster Linie darum, zu erfahren, was u. a. eine Zertifizierungsstelle kostet und mit welchen ungefähren Kosten für eine Zertifizierung rechnen muss. Daher frage ich explizit:

»Hat jemand von euch bereits eine solche Zertifizierung durchlaufen? Könntet ihr uns einen groben Anhaltspunkt zu den Zertifizierungskosten und den Einflussfaktoren darauf geben?«
8585324113
8585324113 09.11.2023 aktualisiert um 10:28:38 Uhr
Goto Top
Ein Auditorenteam kostet 5000+ pro Tag.
In zwei Tagen ist das selten erledigt.

Wir sind Automotive, dass ist schwer zu vergleichen. Wir haben eigene Regeln.
ukulele-7
ukulele-7 09.11.2023 aktualisiert um 10:36:02 Uhr
Goto Top
Zertifizierung der Revisionssicherheit von elektronischen Archivsystemen

Die Überprüfung der Einhaltung der Vorgaben und die Zertifizierung von elektronischen Archivsystemen, bzw. in kaufmännische Anwendungen oder Dokumentenmanagement integrierte Archivkomponenten, erfolgen in der Regel durch Wirtschaftsprüfer beim Anwender vor Ort. Seitens des Institut der Wirtschaftsprüfer in Deutschland e. V. gibt es hierfür mit den IDW RS FAIT 3 (Fachausschuss für Informationstechnologie) eigene Vorgaben.

Die Einhaltung der Revisionssicherheit kann auf Grundlage einer Verfahrensdokumentation auch durch TÜViT zertifiziert werden. Basis hierfür sind die Prüfkriterien für Dokumentenmanagementlösungen (PK-DML) des VOI e. V.

Allgemein gültige Zertifizierungen für die Revisionssicherheit einzelner Hardware- oder Softwareprodukte wie z. B. optische Speicher gibt es nicht. Die GoBD messen Zertifikaten Dritter keine Bedeutung zu. Die Revisionssicherheit einer Lösung wird individuell beim einzelnen Anwenderunternehmen geprüft und beinhaltet die Ordnungsmäßigkeit des gesamten Verfahrens, die Nutzung der eingesetzten Hard- und Softwaresysteme, die Qualität der Informationen und Prozesse sowie den sicheren Betrieb. Der ausschließliche Betrieb eines elektronischen Dokumentenmanagements ist somit also nicht ausreichend.
https://de.wikipedia.org/wiki/Revisionssicherheit

Heißt: Eine Zertifizierung wird zwar angeboten, ist aber nicht erforderlich. Die GoBD werden vom Wirtschaftsprüfer ihm Rahmen seiner Jahresabschlussprüfung beim Kunden geprüft, der die Software einsetzt.

Technisch reicht es aus, wenn die Dokumente durch die Anwender und den Administrator innerhalb der Anwendung nicht mehr verändert werden können. Löschen z.B. geht bei uns, verschieben innerhalb der Strukur auch. In der Datenbank kann ich natürlich auch manipulieren, dennoch ist die Software allgemein Revisionssicher.

Es liegt also in eurem Ermessen, welche technische Sicherungsmaßnahmen ihr ergreift. Wenn der Kunde nur den GoBD genügen will, wird ihm eine Zertifizierung egal sein (es sei denn der WP sagt mit Zertifikat ist sein Aufwand geringer, das wird aber sicherlich am Anfang die Kosten der Zertifizierung nicht decken face-smile ). Wenn ihr damit werben wollt oder der Kunde besondere Ansprüche an seine eigene Compliance hat, dann sind sicherlich technisch ausgefeiltere Systeme sinnvoll.
temuco
temuco 09.11.2023 aktualisiert um 11:01:28 Uhr
Goto Top
Zitat von @ukulele-7:

Zertifizierung der Revisionssicherheit von elektronischen Archivsystemen
...
Es liegt also in eurem Ermessen, welche technische Sicherungsmaßnahmen ihr ergreift. Wenn der Kunde nur den GoBD genügen will, wird ihm eine Zertifizierung egal sein (es sei denn der WP sagt mit Zertifikat ist sein Aufwand geringer, das wird aber sicherlich am Anfang die Kosten der Zertifizierung nicht decken face-smile ). Wenn ihr damit werben wollt oder der Kunde besondere Ansprüche an seine eigene Compliance hat, dann sind sicherlich technisch ausgefeiltere Systeme sinnvoll.

Verstanden, unser Hauptziel ist, dem Finanzamt ein Lächeln aufs Gesicht zu zaubern... face-wink

  • Wir möchten in erster Linie unsere eigenen erstellten Dokumente, wie zum Beispiel Rechnungen, revisionssicher archivieren. Dies erfordert im Wesentlichen, dass wir diese Transaktionen protokollieren und die Dokumente außerhalb des Einflussbereichs von Benutzern unveränderbar ablegen.

  • Für eingehende elektronische Dokumente im B2B-Bereich ist es entscheidend, bereits am Unternehmenseingang anzusetzen, etwa durch die Implementierung einer Journal-Regel für Exchange.

Tatsächlich haben wir dies bereits seit Jahren für ein- und ausgehende E-Mails mithilfe einer Lösung eines Drittanbieters (UMA von Securepoint) umgesetzt. Dies funktioniert einwandfrei. Das bedeutet, dass alle ein- und ausgehenden E-Mails bereits revisionssicher archiviert sind. Eventuell könnten wir dies nutzen, um die steuerrelevanten Dokumente in unserem Archivsystem zu überprüfen.
godlie
godlie 09.11.2023 um 11:05:00 Uhr
Goto Top
Zitat von @8585324113:

Ein Auditorenteam kostet 5000+ pro Tag.
In zwei Tagen ist das selten erledigt.

Wir sind Automotive, dass ist schwer zu vergleichen. Wir haben eigene Regeln.

Mhm Schlimmer sind nur die Jungs von der DB / ÖBB, dagegen ist Flugwesen eine einfache Wiese ... face-smile
temuco
temuco 09.11.2023 um 11:08:51 Uhr
Goto Top
Zitat von @8585324113:

Ein Auditorenteam kostet 5000+ pro Tag.
In zwei Tagen ist das selten erledigt.

Wir sind Automotive, dass ist schwer zu vergleichen. Wir haben eigene Regeln.

Die hohen Anforderungen haben wir nicht, wenn es darum geht, lediglich steuerrelevante Dokumente revisionssicher zu archivieren.
8585324113
8585324113 09.11.2023 um 11:10:46 Uhr
Goto Top
Zitat von @temuco:

Zitat von @8585324113:

Ein Auditorenteam kostet 5000+ pro Tag.
In zwei Tagen ist das selten erledigt.

Wir sind Automotive, dass ist schwer zu vergleichen. Wir haben eigene Regeln.

Die hohen Anforderungen haben wir nicht, wenn es darum geht, lediglich steuerrelevante Dokumente revisionssicher zu archivieren.

Und ihr bekommt für eine eigene Lösung dann per Zuruf eine Zertifizierung?
So läuft das nicht.
temuco
temuco 09.11.2023 um 11:21:06 Uhr
Goto Top
Zitat von @8585324113

Und ihr bekommt für eine eigene Lösung dann per Zuruf eine Zertifizierung?
So läuft das nicht.

Entschuldigung, ich habe nach Erfahrungen und einem Kostenrahmen für den von mir beschriebenen Lösungsansatz gefragt. Die unerwarteten Belehrungen waren in der Tat ein überraschender Bonus, den ich nicht erwartet hatte. Es gibt sicher viele andere, die deine Hilfe dringender benötigen. Vielen Dank!
godlie
godlie 09.11.2023 um 11:24:54 Uhr
Goto Top
Zitat von @temuco:

Zitat von @8585324113

Und ihr bekommt für eine eigene Lösung dann per Zuruf eine Zertifizierung?
So läuft das nicht.

Entschuldigung, ich habe nach Erfahrungen und einem Kostenrahmen für den von mir beschriebenen Lösungsansatz gefragt. Die unerwarteten Belehrungen waren in der Tat ein überraschender Bonus, den ich nicht erwartet hatte. Es gibt sicher viele andere, die deine Hilfe dringender benötigen. Vielen Dank!

Kostenrahmen ist so eine Sache, kann von 10K bis zu 100k gehen, je nachdem, welcher Zertifizierungstelle du beauftragst dein Produkt freigzuben .....
temuco
temuco 09.11.2023 um 11:28:50 Uhr
Goto Top
Zitat von @godlie:

Kostenrahmen ist so eine Sache, kann von 10K bis zu 100k gehen, je nachdem, welcher Zertifizierungstelle du beauftragst dein Produkt freigzuben .....

Eigentlich die billigste Zertifizierungsstelle, die vom Finanzamt akzeptiert wird. Es geht in der Tat nicht darum, die großen Systeme wie ELO & Co. Konkurrenz zu machen, sondern das Finanzamt bezüglich steuerrelevanter Unterlagen zu befrieden.
godlie
godlie 09.11.2023 aktualisiert um 11:32:19 Uhr
Goto Top
Zitat von @temuco:

Eigentlich die billigste Zertifizierungsstelle, die vom Finanzamt akzeptiert wird. Es geht in der Tat nicht darum, die großen Systeme wie ELO & Co. Konkurrenz zu machen, sondern das Finanzamt bezüglich steuerrelevanter Unterlagen zu befrieden.

Vorrausgesetzt ihr könnt das alles selber abdecken / entwickeln,
dann berechne das ganze mal mit 20k + 10k Buffer, denen vom Amt fällt immer was ein ...
temuco
temuco 09.11.2023 um 11:37:34 Uhr
Goto Top
Zitat von @godlie:

Vorrausgesetzt ihr könnt das alles selber abdecken / entwickeln,
dann berechne das ganze mal mit 20k + 10k Buffer, denen vom Amt fällt immer was ein ...

Ja, das haben wir vor. 30k ist schon ein stolzer Preis für einen Stempel, aber wenn es sein muss, dann müssen die Kunden dies eben über den Preis finanzieren.

Danke!

LG

René
ukulele-7
ukulele-7 09.11.2023 aktualisiert um 12:33:45 Uhr
Goto Top
Zitat von @temuco:

Eigentlich die billigste Zertifizierungsstelle, die vom Finanzamt akzeptiert wird. Es geht in der Tat nicht darum, die großen Systeme wie ELO & Co. Konkurrenz zu machen, sondern das Finanzamt bezüglich steuerrelevanter Unterlagen zu befrieden.

Ich bin nicht sicher ob sich das Finanzamt wirklich in erster Instanz um Zertifikate schert. Die haben eventuell eine interne Liste mit bekannten Lösungen die sie grundsätzlich als GoBD Konform einstufen, aber nicht mal da würde ich drauf wetten. Ein Zertifikat mag denen gefallen aber wenn die am Wirtschaftsprüfer zweifeln und dem Unternehmen Betrug und Manipulationen unterstellen dann lassen die sich vom Zertifikat sicherlich nur mäßig beieindrucken.

In erster Linie prüft ein Wirtschaftsprüfer deine Lösung bei seinem Mandanten und macht seinen Stempel unter den Jahresabschluss. Da gibt es natürlich solche und solche, aber meist haben die kein Interesse ihren Mandanten wegen Nichtigkeiten anzupissen. Ein Zertifikat werden die nicht voraussetzen, nur die Revisionssicherheit wie oben beschrieben in einer einfachen Form abfragen.

Der WP hat eigentlich keine Vorgaben aus dem Gesetz sondern die WPs geben sich ihre Vorgaben quasi selbst, der IDW ist nichts anderes als ein Zusammenschluss der Big Four+, an die Vorgaben halten sich aber eigentlich alle. Also ist
https://shop.idw-verlag.de/IDW-Stellungnahme-zur-Rechnungslegung-Grundsa ...
vielleicht ein guter Einstieg. Setze das in deiner Software um, beschreibe, wie du es umsetzt zielgerichtet in einer Doku und gib das deinem Kunden an die Hand.
8585324113
8585324113 09.11.2023 um 12:35:05 Uhr
Goto Top
Zitat von @temuco:

Zitat von @8585324113

Und ihr bekommt für eine eigene Lösung dann per Zuruf eine Zertifizierung?
So läuft das nicht.

Entschuldigung, ich habe nach Erfahrungen und einem Kostenrahmen für den von mir beschriebenen Lösungsansatz gefragt. Die unerwarteten Belehrungen waren in der Tat ein überraschender Bonus, den ich nicht erwartet hatte. Es gibt sicher viele andere, die deine Hilfe dringender benötigen. Vielen Dank!

[Inhalt von Moderation entfernt, bitte an unsere Diskussionsrichtlinien halten und höflich bleiben! #09.11.2023, 13:18#]

Wir wissen nur on einer Software mit einer angeblich verschlüsselten Datenbank. Ein Paar Dokumente in/out landen in einer anderen Software.

Bei diesen Informationen willst Du bitte was hören?
Könnt ihr überhaupt richtig programmieren?
Ist euer Laden überhaut grundsätzlich zertifizierungsfähig?

Wir reden im Jahr 2023 darüber, dass ihr keine Ahnung habt, was das Finanzamt sagen würde? Aber AO und HGB kennt ihr?

Also, liefer Details dann bekommst du Meinungen und Erfahrungen die dir was auch immer sagen. Aber Vergleiche sind untauglich in fast allen Fällen.
Was mach dein euer Anwalt so?
8585324113
8585324113 09.11.2023 um 12:37:11 Uhr
Goto Top
Zitat von @temuco:

Zitat von @godlie:

Vorrausgesetzt ihr könnt das alles selber abdecken / entwickeln,
dann berechne das ganze mal mit 20k + 10k Buffer, denen vom Amt fällt immer was ein ...

Ja, das haben wir vor. 30k ist schon ein stolzer Preis für einen Stempel, aber wenn es sein muss, dann müssen die Kunden dies eben über den Preis finanzieren.

Danke!

LG

René

Die haben aber Standards und jede Einfall muss sich vom Gesetz ableiten lassen. Meinungen kosten da keine 30k.
temuco
temuco 09.11.2023 um 13:15:24 Uhr
Goto Top
Danke vielmals! Ich werde mich mit unserer Steuerberaterkanzlei diesbezüglich in Verbindung setzen. Wir haben einen sehr guten Draht zur Kanzlei, welche nicht nur über Steuerfachkräfte und -berater verfügt, sondern auch über Wirtschaftsprüfer und Anwälte.

LG

René
Mystery-at-min
Mystery-at-min 09.11.2023 um 17:46:22 Uhr
Goto Top
Moin!

Also das Thema geht irgendwie völlig in die falsche Richtung.

1. Woher sollen wir wissen, wie deine Software aufgebaut ist.
Das ist wesentlich. Eine Burg lässt sich einfacher sichern als ein Zelt.
2. Woher sollen wir wissen, wie gut oder schlecht Ihr programmiert UND dokumentiert habt
3. Geht es um euer internes System oder verkauft Ihr das an Kunden (das sind zwei paar Stiefel)!
4. Wie groß sind die Kunden, welche Branchen umfasst das (manche Branchen sind sensibler, manche weniger. E.g Hotellerie, Bau, heißes Eisen. Brachen mit weniger Schwarzmarktverdacht sind einfacher
5. Es hilft nichts, wenn das Ding nur in einer verschlüsselten DB liegt, diese dann aber einfach nur austauschbar ist.
6. Auch die UMA ist nur so gut, wie Ihre Einrichtung - habt ihr die mal geprüft?
7. Ihr braucht vermutlich erstmal ein grundsätzliches Audit und schauen, wie das aussieht - wenn Safe, dann mit diesem Konzept mal bei den Zert. Stellen vorsprechen. Ich gehe aber eher von 6 Stellen, als von 5 aus, kann auch mehr sein. Kommt eben wieder auf 1,2,3 an. face-smile

VG