[gnucash-de] GoB und Buchungen nicht mehr veränderbar machen

Raffael Luthiger modir at huanga.com
Mo Feb 11 20:59:01 EST 2008 

Thilo Pfennig wrote:
> können, oder ob eine Umsetzung ggf. einer Rechtslage in einem Land
> widerspricht? Vielleicht sollte man da mal recherchieren und dann
> Features ggf. gleich einem Standard zuweisen. Das wiederum eine Sache,
> die alle Finanzprogramme betrifft. Hier konkret die Frage ob die
> schweizerischen und deutschen Vorgaben sich an einem Puntk
> widersprechen? Ist jemand geübt darin, solche Dokumente zu lesen?

Ja, ich bin zwar kein Jurist, aber so langsam geübt darin. Ich habe 
schon ein paar AGBs und SLAs verfasst. (Und notfalls habe ich noch 
mehrere Personen in der Familie, welche mir helfen können :) )

Ich habe mir nun 4 bis 5 Stunden Zeig genommen mehrere relevante 
Dokumente zu lesen. Dies sind für Deutschland: GoB, GoBS AO, und GDPdU. 
Für die international relevanten Regelungen habe ich vor allem bei OECD 
und ein wenig bei der BIS nachgeschaut.

Zuerst folgendes: Sowohl GoB als auch die Regelungen der BIS (Basel II) 
sind Regelungen für die Buchhalter. Die GoB sind "generelle" Regeln zur 
Buchhaltung (egal ob die Buchhaltung auf Papier oder am Computer gemacht 
wird). Die Basel II Regelungen kommen vor allem zum Einsatz, wenn 
Finanzdaten an Externe (z.B. an Bank zwecks Risikoprüfung bei 
Kreditaufnahme) weitergegeben werden müssen. Diese habe ich nicht 
genauer angschaut, da sie a) "nur" den Reporting/Statistikbereich von 
GnuCash betreffen und b) vor allem für Firmen wichtig sind, welche zu 
gross sind um GnuCash zu benutzen.

Die OECD versucht vor allem durch Definitionen und Empfehlungen die 
(Volks-)Wirtschaften der verschiedenen Mitgliedsländern 
zusammenzubringen. Unter anderem wurde auch beschrieben welche 
Grundvoraussetzung eine Buchhaltungssoftware haben muss, damit in 
anderen Ländern das jeweilige Steueramt die Buchhaltung akzeptiert. Der 
Link zur Wegleitung hatte ich im letzten Email erwähnt. Die Grundidee 
dahinter war, dass Tochterunternehmen zwecks Konsolidierung der 
Buchhaltung die Daten an das Mutterunternehmen übergeben müssen. 
Folgende Länder sind übrigens bei der OECD dabei: 
http://www.oecd.org/countrieslist/0,3351,en_33873108_33844430_1_1_1_1_1,00.html

Die Dokument GoBS regelt, welche Massnahmen ein Unternehmen in Sachen 
EDV unternehmen muss, damit eine Buchhaltung nach GoB geführt werden 
kann. Wie folgender Abschnitt zeigt, geht es dabei nicht nur um die 
Software selber:
"Der Schutz der Informationen gegen unberechtigte Veränderungen ist 
durch wirksame Zugriffs- bzw. Zugangskontrollen zu gewährleisten. Dies 
sind einmal die Zugriffsberechtigungskontrollen, die so zu gestalten 
sind, daß nur berechtigte Personen in dem ihrem Aufgabenbereich 
entsprechenden Umfang auf Programme und Daten zugreifen können. Es sind 
zum anderen die Zugangskontrollen zu den Räumen, in denen die 
Datenträger aufbewahrt werden. Diese Zugangskontrollen müssen 
verhindern, daß unberechtigte Personen Zugang zu Datenträgern haben. Sie 
müssen insbesondere auch für die Räumlichkeiten gelten, in die die 
Datenträger der Datensicherung ausgelagert sind."

In keiner der Dokumente wird geregelt, wie die Daten im Hintergrund 
gesichert werden müssen. Im GDPdU (Grundsätze zum Datenzugriff und zur 
Prüfbarkeit digitaler Unterlagen), welches diese eigentlich am ehesten 
Regeln sollte, wird aber vor allem auf die Lagerung von 
elektronischen/eingescannten Rechnungen. Dort steht unter anderem folgendes:
"Dies setzt neben den Anforderungen nach Abschnitt VIII Buchstabe b) Nr. 
2 der GoBS (a.a.O.) insbesondere voraus,
[..Auflistung verschiedener Punkte..]
- dass bei Einsatz von Kryptographietechniken die verschlüsselte und die 
entschlüsselte Abrechnung sowie der Schlüssel zur Entschlüsselung der 
elektronischen Abrechnung aufbewahrt wird;"
(dies ist nur ein Auszug von mehreren ähnlichen.) Wenn man das ganze 
Dokument gelesen hat, sieht man, dass keine Kryptographie vorgeschrieben 
ist. Weiter sind folgende (schwammige) Texte aufgeführt:
"Als Maßnahmen zur Wahrung der Datenintegrität sind alle Vorkehrungen zu 
beschreiben, durch die erreicht wird, daß Daten und Programme nicht von 
Unbefugten geändert werden können. Hierzu gehören neben der Beschreibung 
des Zugriffsberechtigungsverfahrens der Nachweis der sachgerechten 
Vergabe von Zugriffsberechtigungen." (Die Beschreibung ist wichtiger als 
die Umsetzung ;) ) Im  Zusammenhang mit Kryptographie ist eher folgenes 
noch wichtig:
"Da das „Wie" der Datensicherheit von dem jeweils gegebenen Stand der 
EDV-Technik abhängt, ergibt sich aus der technischen Entwicklung für das 
Unternehmen die Notwendigkeit, ihr Datensicherheitskonzept den jeweils 
aktuellen Anforderungen und Möglichkeiten anzupassen." Mit anderen 
Worten es ist egal, wie die Datensicherheit erreicht wird, Hauptsache es 
ist dokumentiert.


Was aber sehr wichtig ist, ist folgende Aussage aus dem GoBS:
"Es muß gewährleistet sein, daß das in der Dokumentation beschriebene 
Verfahren dem in der Praxis eingesetzten Programm (Version) voll 
entspricht (Programmidentität)."
Es muss gewährleistet sein, dass die Dokumentation der Software (Code) 
immer aktuell ist. Je nach Struktur einer Open Source Software (und des 
Entwicklerteams) könnte das noch schwierig sein. (Ich kenne da GnuCash 
noch zu wenig)


So, das ist nun schon relativ viel Text. Ich schreibe darum nur noch 
schnell ein paar kurze Sätze hin:
- Gemäss GoBS gilt eine Speicherung der Daten auf eine CD oder DVD als 
nicht mehr veränderbar und als eine gesetzeskonforme Speicherung einer 
Buchhaltung. (Dies zeigt wie "flexibel" die Umsetzung zum Teil gemacht 
werden kann)
- Der Text von OECD enthält alle wichtigen Punkte der GoBS. Da dieser 
Text in Englisch ist, würde ich empfehlen diesen als "Vorlage" für die 
Weiterentwicklung zu nehmen.
- Falls jemand Lust hat, kann er ja mal hier eine Demoversion 
runterladen und testen, ob die Buchungen im Klartext gespeichert werden:
http://www.fibunet.de/ (Nicht, dass dies nachher nachgebaut wird, aber 
vielleicht gibt dies uns ein paar weitere Ideen/Informationen)

Es ist mir klar, dass dies gerade relativ viel Text ist. Ich wollte aber 
zum einten aufzeigen was hier alles eine Rolle spielt und zum anderen 
wie die aktuelle Situation von Gesetzesseite in etwa ist. Falls jemand 
nun Fragen hat (was ich annehme), so kann er diese gerne Stellen.

Sorry, falls ich viele Schreibfehler im Email haben sollte... Es war 
schon spät. :)

Gruss
Raffael