20
Eigene Dokumentverwaltung revisionssicher machen - ungefähre Kosten?
Hallo,
nach einer Kundenanfrage überlegen wir, unsere Dokumentenverwaltung auf Revisionssicherheit umzustellen. Wir sind ein kleines Unternehmen mit einem selbst entwickelten ERP-System. Unsere derzeitige Dokumentenverwaltung kann unter anderem alle von uns erstellten Dokumente (Rechnungen, Lieferscheine, Auftragsbestätigungen usw.) automatisch als PDF archivieren. Zudem können auch eingehende Dokumente und andere Unterlagen archiviert werden.
Wir sind gerade dabei, "ZUGFeRD" zu implementieren, da dies in naher Zukunft in Deutschland verpflichtend sein wird. In diesem Zusammenhang fragte ein Kunde, ob wir unsere Archivierungslösung revisionssicher gestalten könnten. Das ist eine interessante Idee.
Für uns wäre es nur dann lohnenswert, wenn die Gesamtkosten für eine Zertifizierung in einem akzeptablen Rahmen liegen – einschließlich der anfallenden Folgekosten.
Hat jemand von euch bereits eine solche Zertifizierung durchlaufen? Könntet ihr uns einen groben Anhaltspunkt zu den Zertifizierungskosten und den Einflussfaktoren darauf geben?
Wir würden uns sehr freuen, wenn ihr hierzu einige Informationen teilen könntet.
Vielen Dank im Voraus und herzliche Grüße,
René
nach einer Kundenanfrage überlegen wir, unsere Dokumentenverwaltung auf Revisionssicherheit umzustellen. Wir sind ein kleines Unternehmen mit einem selbst entwickelten ERP-System. Unsere derzeitige Dokumentenverwaltung kann unter anderem alle von uns erstellten Dokumente (Rechnungen, Lieferscheine, Auftragsbestätigungen usw.) automatisch als PDF archivieren. Zudem können auch eingehende Dokumente und andere Unterlagen archiviert werden.
Wir sind gerade dabei, "ZUGFeRD" zu implementieren, da dies in naher Zukunft in Deutschland verpflichtend sein wird. In diesem Zusammenhang fragte ein Kunde, ob wir unsere Archivierungslösung revisionssicher gestalten könnten. Das ist eine interessante Idee.
Für uns wäre es nur dann lohnenswert, wenn die Gesamtkosten für eine Zertifizierung in einem akzeptablen Rahmen liegen – einschließlich der anfallenden Folgekosten.
Hat jemand von euch bereits eine solche Zertifizierung durchlaufen? Könntet ihr uns einen groben Anhaltspunkt zu den Zertifizierungskosten und den Einflussfaktoren darauf geben?
Wir würden uns sehr freuen, wenn ihr hierzu einige Informationen teilen könntet.
Vielen Dank im Voraus und herzliche Grüße,
René
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8735893878
Url: https://administrator.de/contentid/8735893878
Printed on: April 27, 2024 at 22:04 o'clock
20 Comments
Latest comment
Wo soll denn gespeichert werden?
Schon Mal was von Data Domain oder Fast LTA oder oder oder...
Schon Mal was von Data Domain oder Fast LTA oder oder oder...
Danke. In einer eigens dafür entwickelten verschlüsselnden Datenbank auf dem Server.
Wo diese DB steht, war die Frage.
Und die Konstruktion würde ein Audit schaffen?
Und die Konstruktion würde ein Audit schaffen?
Wahrscheinlich ja, wenn ich mir die Anforderungen anschaue. Mir geht es aber in erster Linie darum, zu erfahren, was u. a. eine Zertifizierungsstelle kostet und mit welchen ungefähren Kosten für eine Zertifizierung rechnen muss. Daher frage ich explizit:
»Hat jemand von euch bereits eine solche Zertifizierung durchlaufen? Könntet ihr uns einen groben Anhaltspunkt zu den Zertifizierungskosten und den Einflussfaktoren darauf geben?«
»Hat jemand von euch bereits eine solche Zertifizierung durchlaufen? Könntet ihr uns einen groben Anhaltspunkt zu den Zertifizierungskosten und den Einflussfaktoren darauf geben?«
Ein Auditorenteam kostet 5000+ pro Tag.
In zwei Tagen ist das selten erledigt.
Wir sind Automotive, dass ist schwer zu vergleichen. Wir haben eigene Regeln.
In zwei Tagen ist das selten erledigt.
Wir sind Automotive, dass ist schwer zu vergleichen. Wir haben eigene Regeln.
Zertifizierung der Revisionssicherheit von elektronischen Archivsystemen
Die Überprüfung der Einhaltung der Vorgaben und die Zertifizierung von elektronischen Archivsystemen, bzw. in kaufmännische Anwendungen oder Dokumentenmanagement integrierte Archivkomponenten, erfolgen in der Regel durch Wirtschaftsprüfer beim Anwender vor Ort. Seitens des Institut der Wirtschaftsprüfer in Deutschland e. V. gibt es hierfür mit den IDW RS FAIT 3 (Fachausschuss für Informationstechnologie) eigene Vorgaben.
Die Einhaltung der Revisionssicherheit kann auf Grundlage einer Verfahrensdokumentation auch durch TÜViT zertifiziert werden. Basis hierfür sind die Prüfkriterien für Dokumentenmanagementlösungen (PK-DML) des VOI e. V.
Allgemein gültige Zertifizierungen für die Revisionssicherheit einzelner Hardware- oder Softwareprodukte wie z. B. optische Speicher gibt es nicht. Die GoBD messen Zertifikaten Dritter keine Bedeutung zu. Die Revisionssicherheit einer Lösung wird individuell beim einzelnen Anwenderunternehmen geprüft und beinhaltet die Ordnungsmäßigkeit des gesamten Verfahrens, die Nutzung der eingesetzten Hard- und Softwaresysteme, die Qualität der Informationen und Prozesse sowie den sicheren Betrieb. Der ausschließliche Betrieb eines elektronischen Dokumentenmanagements ist somit also nicht ausreichend.
https://de.wikipedia.org/wiki/RevisionssicherheitDie Überprüfung der Einhaltung der Vorgaben und die Zertifizierung von elektronischen Archivsystemen, bzw. in kaufmännische Anwendungen oder Dokumentenmanagement integrierte Archivkomponenten, erfolgen in der Regel durch Wirtschaftsprüfer beim Anwender vor Ort. Seitens des Institut der Wirtschaftsprüfer in Deutschland e. V. gibt es hierfür mit den IDW RS FAIT 3 (Fachausschuss für Informationstechnologie) eigene Vorgaben.
Die Einhaltung der Revisionssicherheit kann auf Grundlage einer Verfahrensdokumentation auch durch TÜViT zertifiziert werden. Basis hierfür sind die Prüfkriterien für Dokumentenmanagementlösungen (PK-DML) des VOI e. V.
Allgemein gültige Zertifizierungen für die Revisionssicherheit einzelner Hardware- oder Softwareprodukte wie z. B. optische Speicher gibt es nicht. Die GoBD messen Zertifikaten Dritter keine Bedeutung zu. Die Revisionssicherheit einer Lösung wird individuell beim einzelnen Anwenderunternehmen geprüft und beinhaltet die Ordnungsmäßigkeit des gesamten Verfahrens, die Nutzung der eingesetzten Hard- und Softwaresysteme, die Qualität der Informationen und Prozesse sowie den sicheren Betrieb. Der ausschließliche Betrieb eines elektronischen Dokumentenmanagements ist somit also nicht ausreichend.
Heißt: Eine Zertifizierung wird zwar angeboten, ist aber nicht erforderlich. Die GoBD werden vom Wirtschaftsprüfer ihm Rahmen seiner Jahresabschlussprüfung beim Kunden geprüft, der die Software einsetzt.
Technisch reicht es aus, wenn die Dokumente durch die Anwender und den Administrator innerhalb der Anwendung nicht mehr verändert werden können. Löschen z.B. geht bei uns, verschieben innerhalb der Strukur auch. In der Datenbank kann ich natürlich auch manipulieren, dennoch ist die Software allgemein Revisionssicher.
Es liegt also in eurem Ermessen, welche technische Sicherungsmaßnahmen ihr ergreift. Wenn der Kunde nur den GoBD genügen will, wird ihm eine Zertifizierung egal sein (es sei denn der WP sagt mit Zertifikat ist sein Aufwand geringer, das wird aber sicherlich am Anfang die Kosten der Zertifizierung nicht decken
). Wenn ihr damit werben wollt oder der Kunde besondere Ansprüche an seine eigene Compliance hat, dann sind sicherlich technisch ausgefeiltere Systeme sinnvoll.Zitat von @ukulele-7:
Es liegt also in eurem Ermessen, welche technische Sicherungsmaßnahmen ihr ergreift. Wenn der Kunde nur den GoBD genügen will, wird ihm eine Zertifizierung egal sein (es sei denn der WP sagt mit Zertifikat ist sein Aufwand geringer, das wird aber sicherlich am Anfang die Kosten der Zertifizierung nicht decken ). Wenn ihr damit werben wollt oder der Kunde besondere Ansprüche an seine eigene Compliance hat, dann sind sicherlich technisch ausgefeiltere Systeme sinnvoll.
Zertifizierung der Revisionssicherheit von elektronischen Archivsystemen
...Es liegt also in eurem Ermessen, welche technische Sicherungsmaßnahmen ihr ergreift. Wenn der Kunde nur den GoBD genügen will, wird ihm eine Zertifizierung egal sein (es sei denn der WP sagt mit Zertifikat ist sein Aufwand geringer, das wird aber sicherlich am Anfang die Kosten der Zertifizierung nicht decken
). Wenn ihr damit werben wollt oder der Kunde besondere Ansprüche an seine eigene Compliance hat, dann sind sicherlich technisch ausgefeiltere Systeme sinnvoll.Verstanden, unser Hauptziel ist, dem Finanzamt ein Lächeln aufs Gesicht zu zaubern...
- Wir möchten in erster Linie unsere eigenen erstellten Dokumente, wie zum Beispiel Rechnungen, revisionssicher archivieren. Dies erfordert im Wesentlichen, dass wir diese Transaktionen protokollieren und die Dokumente außerhalb des Einflussbereichs von Benutzern unveränderbar ablegen.
- Für eingehende elektronische Dokumente im B2B-Bereich ist es entscheidend, bereits am Unternehmenseingang anzusetzen, etwa durch die Implementierung einer Journal-Regel für Exchange.
Tatsächlich haben wir dies bereits seit Jahren für ein- und ausgehende E-Mails mithilfe einer Lösung eines Drittanbieters (UMA von Securepoint) umgesetzt. Dies funktioniert einwandfrei. Das bedeutet, dass alle ein- und ausgehenden E-Mails bereits revisionssicher archiviert sind. Eventuell könnten wir dies nutzen, um die steuerrelevanten Dokumente in unserem Archivsystem zu überprüfen.
Zitat von @8585324113:
Ein Auditorenteam kostet 5000+ pro Tag.
In zwei Tagen ist das selten erledigt.
Wir sind Automotive, dass ist schwer zu vergleichen. Wir haben eigene Regeln.
Ein Auditorenteam kostet 5000+ pro Tag.
In zwei Tagen ist das selten erledigt.
Wir sind Automotive, dass ist schwer zu vergleichen. Wir haben eigene Regeln.
Mhm Schlimmer sind nur die Jungs von der DB / ÖBB, dagegen ist Flugwesen eine einfache Wiese ...
Zitat von @8585324113:
Ein Auditorenteam kostet 5000+ pro Tag.
In zwei Tagen ist das selten erledigt.
Wir sind Automotive, dass ist schwer zu vergleichen. Wir haben eigene Regeln.
Ein Auditorenteam kostet 5000+ pro Tag.
In zwei Tagen ist das selten erledigt.
Wir sind Automotive, dass ist schwer zu vergleichen. Wir haben eigene Regeln.
Die hohen Anforderungen haben wir nicht, wenn es darum geht, lediglich steuerrelevante Dokumente revisionssicher zu archivieren.
Zitat von @temuco:
Die hohen Anforderungen haben wir nicht, wenn es darum geht, lediglich steuerrelevante Dokumente revisionssicher zu archivieren.
Zitat von @8585324113:
Ein Auditorenteam kostet 5000+ pro Tag.
In zwei Tagen ist das selten erledigt.
Wir sind Automotive, dass ist schwer zu vergleichen. Wir haben eigene Regeln.
Ein Auditorenteam kostet 5000+ pro Tag.
In zwei Tagen ist das selten erledigt.
Wir sind Automotive, dass ist schwer zu vergleichen. Wir haben eigene Regeln.
Die hohen Anforderungen haben wir nicht, wenn es darum geht, lediglich steuerrelevante Dokumente revisionssicher zu archivieren.
Und ihr bekommt für eine eigene Lösung dann per Zuruf eine Zertifizierung?
So läuft das nicht.
Zitat von @8585324113
Und ihr bekommt für eine eigene Lösung dann per Zuruf eine Zertifizierung?
So läuft das nicht.
Und ihr bekommt für eine eigene Lösung dann per Zuruf eine Zertifizierung?
So läuft das nicht.
Entschuldigung, ich habe nach Erfahrungen und einem Kostenrahmen für den von mir beschriebenen Lösungsansatz gefragt. Die unerwarteten Belehrungen waren in der Tat ein überraschender Bonus, den ich nicht erwartet hatte. Es gibt sicher viele andere, die deine Hilfe dringender benötigen. Vielen Dank!
Zitat von @temuco:
Entschuldigung, ich habe nach Erfahrungen und einem Kostenrahmen für den von mir beschriebenen Lösungsansatz gefragt. Die unerwarteten Belehrungen waren in der Tat ein überraschender Bonus, den ich nicht erwartet hatte. Es gibt sicher viele andere, die deine Hilfe dringender benötigen. Vielen Dank!
Zitat von @8585324113
Und ihr bekommt für eine eigene Lösung dann per Zuruf eine Zertifizierung?
So läuft das nicht.
Und ihr bekommt für eine eigene Lösung dann per Zuruf eine Zertifizierung?
So läuft das nicht.
Entschuldigung, ich habe nach Erfahrungen und einem Kostenrahmen für den von mir beschriebenen Lösungsansatz gefragt. Die unerwarteten Belehrungen waren in der Tat ein überraschender Bonus, den ich nicht erwartet hatte. Es gibt sicher viele andere, die deine Hilfe dringender benötigen. Vielen Dank!
Kostenrahmen ist so eine Sache, kann von 10K bis zu 100k gehen, je nachdem, welcher Zertifizierungstelle du beauftragst dein Produkt freigzuben .....
Zitat von @godlie:
Kostenrahmen ist so eine Sache, kann von 10K bis zu 100k gehen, je nachdem, welcher Zertifizierungstelle du beauftragst dein Produkt freigzuben .....
Kostenrahmen ist so eine Sache, kann von 10K bis zu 100k gehen, je nachdem, welcher Zertifizierungstelle du beauftragst dein Produkt freigzuben .....
Eigentlich die billigste Zertifizierungsstelle, die vom Finanzamt akzeptiert wird. Es geht in der Tat nicht darum, die großen Systeme wie ELO & Co. Konkurrenz zu machen, sondern das Finanzamt bezüglich steuerrelevanter Unterlagen zu befrieden.
Zitat von @temuco:
Eigentlich die billigste Zertifizierungsstelle, die vom Finanzamt akzeptiert wird. Es geht in der Tat nicht darum, die großen Systeme wie ELO & Co. Konkurrenz zu machen, sondern das Finanzamt bezüglich steuerrelevanter Unterlagen zu befrieden.
Eigentlich die billigste Zertifizierungsstelle, die vom Finanzamt akzeptiert wird. Es geht in der Tat nicht darum, die großen Systeme wie ELO & Co. Konkurrenz zu machen, sondern das Finanzamt bezüglich steuerrelevanter Unterlagen zu befrieden.
Vorrausgesetzt ihr könnt das alles selber abdecken / entwickeln,
dann berechne das ganze mal mit 20k + 10k Buffer, denen vom Amt fällt immer was ein ...
Zitat von @godlie:
Vorrausgesetzt ihr könnt das alles selber abdecken / entwickeln,
dann berechne das ganze mal mit 20k + 10k Buffer, denen vom Amt fällt immer was ein ...
Vorrausgesetzt ihr könnt das alles selber abdecken / entwickeln,
dann berechne das ganze mal mit 20k + 10k Buffer, denen vom Amt fällt immer was ein ...
Ja, das haben wir vor. 30k ist schon ein stolzer Preis für einen Stempel, aber wenn es sein muss, dann müssen die Kunden dies eben über den Preis finanzieren.
Danke!
LG
René
Zitat von @temuco:
Eigentlich die billigste Zertifizierungsstelle, die vom Finanzamt akzeptiert wird. Es geht in der Tat nicht darum, die großen Systeme wie ELO & Co. Konkurrenz zu machen, sondern das Finanzamt bezüglich steuerrelevanter Unterlagen zu befrieden.
Eigentlich die billigste Zertifizierungsstelle, die vom Finanzamt akzeptiert wird. Es geht in der Tat nicht darum, die großen Systeme wie ELO & Co. Konkurrenz zu machen, sondern das Finanzamt bezüglich steuerrelevanter Unterlagen zu befrieden.
Ich bin nicht sicher ob sich das Finanzamt wirklich in erster Instanz um Zertifikate schert. Die haben eventuell eine interne Liste mit bekannten Lösungen die sie grundsätzlich als GoBD Konform einstufen, aber nicht mal da würde ich drauf wetten. Ein Zertifikat mag denen gefallen aber wenn die am Wirtschaftsprüfer zweifeln und dem Unternehmen Betrug und Manipulationen unterstellen dann lassen die sich vom Zertifikat sicherlich nur mäßig beieindrucken.
In erster Linie prüft ein Wirtschaftsprüfer deine Lösung bei seinem Mandanten und macht seinen Stempel unter den Jahresabschluss. Da gibt es natürlich solche und solche, aber meist haben die kein Interesse ihren Mandanten wegen Nichtigkeiten anzupissen. Ein Zertifikat werden die nicht voraussetzen, nur die Revisionssicherheit wie oben beschrieben in einer einfachen Form abfragen.
Der WP hat eigentlich keine Vorgaben aus dem Gesetz sondern die WPs geben sich ihre Vorgaben quasi selbst, der IDW ist nichts anderes als ein Zusammenschluss der Big Four+, an die Vorgaben halten sich aber eigentlich alle. Also ist
https://shop.idw-verlag.de/IDW-Stellungnahme-zur-Rechnungslegung-Grundsa ...
vielleicht ein guter Einstieg. Setze das in deiner Software um, beschreibe, wie du es umsetzt zielgerichtet in einer Doku und gib das deinem Kunden an die Hand.
Zitat von @temuco:
Entschuldigung, ich habe nach Erfahrungen und einem Kostenrahmen für den von mir beschriebenen Lösungsansatz gefragt. Die unerwarteten Belehrungen waren in der Tat ein überraschender Bonus, den ich nicht erwartet hatte. Es gibt sicher viele andere, die deine Hilfe dringender benötigen. Vielen Dank!
Zitat von @8585324113
Und ihr bekommt für eine eigene Lösung dann per Zuruf eine Zertifizierung?
So läuft das nicht.
Und ihr bekommt für eine eigene Lösung dann per Zuruf eine Zertifizierung?
So läuft das nicht.
Entschuldigung, ich habe nach Erfahrungen und einem Kostenrahmen für den von mir beschriebenen Lösungsansatz gefragt. Die unerwarteten Belehrungen waren in der Tat ein überraschender Bonus, den ich nicht erwartet hatte. Es gibt sicher viele andere, die deine Hilfe dringender benötigen. Vielen Dank!
[Inhalt von Moderation entfernt, bitte an unsere Diskussionsrichtlinien halten und höflich bleiben! #09.11.2023, 13:18#]Wir wissen nur on einer Software mit einer angeblich verschlüsselten Datenbank. Ein Paar Dokumente in/out landen in einer anderen Software.
Bei diesen Informationen willst Du bitte was hören?
Könnt ihr überhaupt richtig programmieren?
Ist euer Laden überhaut grundsätzlich zertifizierungsfähig?
Wir reden im Jahr 2023 darüber, dass ihr keine Ahnung habt, was das Finanzamt sagen würde? Aber AO und HGB kennt ihr?
Also, liefer Details dann bekommst du Meinungen und Erfahrungen die dir was auch immer sagen. Aber Vergleiche sind untauglich in fast allen Fällen.
Was mach dein euer Anwalt so?
Zitat von @temuco:
Ja, das haben wir vor. 30k ist schon ein stolzer Preis für einen Stempel, aber wenn es sein muss, dann müssen die Kunden dies eben über den Preis finanzieren.
Danke!
LG
René
Zitat von @godlie:
Vorrausgesetzt ihr könnt das alles selber abdecken / entwickeln,
dann berechne das ganze mal mit 20k + 10k Buffer, denen vom Amt fällt immer was ein ...
Vorrausgesetzt ihr könnt das alles selber abdecken / entwickeln,
dann berechne das ganze mal mit 20k + 10k Buffer, denen vom Amt fällt immer was ein ...
Ja, das haben wir vor. 30k ist schon ein stolzer Preis für einen Stempel, aber wenn es sein muss, dann müssen die Kunden dies eben über den Preis finanzieren.
Danke!
LG
René
Die haben aber Standards und jede Einfall muss sich vom Gesetz ableiten lassen. Meinungen kosten da keine 30k.
Danke vielmals! Ich werde mich mit unserer Steuerberaterkanzlei diesbezüglich in Verbindung setzen. Wir haben einen sehr guten Draht zur Kanzlei, welche nicht nur über Steuerfachkräfte und -berater verfügt, sondern auch über Wirtschaftsprüfer und Anwälte.
LG
René
LG
René
Moin!
Also das Thema geht irgendwie völlig in die falsche Richtung.
1. Woher sollen wir wissen, wie deine Software aufgebaut ist.
Das ist wesentlich. Eine Burg lässt sich einfacher sichern als ein Zelt.
2. Woher sollen wir wissen, wie gut oder schlecht Ihr programmiert UND dokumentiert habt
3. Geht es um euer internes System oder verkauft Ihr das an Kunden (das sind zwei paar Stiefel)!
4. Wie groß sind die Kunden, welche Branchen umfasst das (manche Branchen sind sensibler, manche weniger. E.g Hotellerie, Bau, heißes Eisen. Brachen mit weniger Schwarzmarktverdacht sind einfacher
5. Es hilft nichts, wenn das Ding nur in einer verschlüsselten DB liegt, diese dann aber einfach nur austauschbar ist.
6. Auch die UMA ist nur so gut, wie Ihre Einrichtung - habt ihr die mal geprüft?
7. Ihr braucht vermutlich erstmal ein grundsätzliches Audit und schauen, wie das aussieht - wenn Safe, dann mit diesem Konzept mal bei den Zert. Stellen vorsprechen. Ich gehe aber eher von 6 Stellen, als von 5 aus, kann auch mehr sein. Kommt eben wieder auf 1,2,3 an.
VG
Also das Thema geht irgendwie völlig in die falsche Richtung.
1. Woher sollen wir wissen, wie deine Software aufgebaut ist.
Das ist wesentlich. Eine Burg lässt sich einfacher sichern als ein Zelt.
2. Woher sollen wir wissen, wie gut oder schlecht Ihr programmiert UND dokumentiert habt
3. Geht es um euer internes System oder verkauft Ihr das an Kunden (das sind zwei paar Stiefel)!
4. Wie groß sind die Kunden, welche Branchen umfasst das (manche Branchen sind sensibler, manche weniger. E.g Hotellerie, Bau, heißes Eisen. Brachen mit weniger Schwarzmarktverdacht sind einfacher
5. Es hilft nichts, wenn das Ding nur in einer verschlüsselten DB liegt, diese dann aber einfach nur austauschbar ist.
6. Auch die UMA ist nur so gut, wie Ihre Einrichtung - habt ihr die mal geprüft?
7. Ihr braucht vermutlich erstmal ein grundsätzliches Audit und schauen, wie das aussieht - wenn Safe, dann mit diesem Konzept mal bei den Zert. Stellen vorsprechen. Ich gehe aber eher von 6 Stellen, als von 5 aus, kann auch mehr sein. Kommt eben wieder auf 1,2,3 an.
VG
1