[gnucash-de] GoB und Buchungen nicht mehr veränderbar machen
Raffael Luthiger
modir at huanga.com
Mo Feb 11 20:59:01 EST 2008
Thilo Pfennig wrote:
> können, oder ob eine Umsetzung ggf. einer Rechtslage in einem Land
> widerspricht? Vielleicht sollte man da mal recherchieren und dann
> Features ggf. gleich einem Standard zuweisen. Das wiederum eine Sache,
> die alle Finanzprogramme betrifft. Hier konkret die Frage ob die
> schweizerischen und deutschen Vorgaben sich an einem Puntk
> widersprechen? Ist jemand geübt darin, solche Dokumente zu lesen?
Ja, ich bin zwar kein Jurist, aber so langsam geübt darin. Ich habe
schon ein paar AGBs und SLAs verfasst. (Und notfalls habe ich noch
mehrere Personen in der Familie, welche mir helfen können :) )
Ich habe mir nun 4 bis 5 Stunden Zeig genommen mehrere relevante
Dokumente zu lesen. Dies sind für Deutschland: GoB, GoBS AO, und GDPdU.
Für die international relevanten Regelungen habe ich vor allem bei OECD
und ein wenig bei der BIS nachgeschaut.
Zuerst folgendes: Sowohl GoB als auch die Regelungen der BIS (Basel II)
sind Regelungen für die Buchhalter. Die GoB sind "generelle" Regeln zur
Buchhaltung (egal ob die Buchhaltung auf Papier oder am Computer gemacht
wird). Die Basel II Regelungen kommen vor allem zum Einsatz, wenn
Finanzdaten an Externe (z.B. an Bank zwecks Risikoprüfung bei
Kreditaufnahme) weitergegeben werden müssen. Diese habe ich nicht
genauer angschaut, da sie a) "nur" den Reporting/Statistikbereich von
GnuCash betreffen und b) vor allem für Firmen wichtig sind, welche zu
gross sind um GnuCash zu benutzen.
Die OECD versucht vor allem durch Definitionen und Empfehlungen die
(Volks-)Wirtschaften der verschiedenen Mitgliedsländern
zusammenzubringen. Unter anderem wurde auch beschrieben welche
Grundvoraussetzung eine Buchhaltungssoftware haben muss, damit in
anderen Ländern das jeweilige Steueramt die Buchhaltung akzeptiert. Der
Link zur Wegleitung hatte ich im letzten Email erwähnt. Die Grundidee
dahinter war, dass Tochterunternehmen zwecks Konsolidierung der
Buchhaltung die Daten an das Mutterunternehmen übergeben müssen.
Folgende Länder sind übrigens bei der OECD dabei:
http://www.oecd.org/countrieslist/0,3351,en_33873108_33844430_1_1_1_1_1,00.html
Die Dokument GoBS regelt, welche Massnahmen ein Unternehmen in Sachen
EDV unternehmen muss, damit eine Buchhaltung nach GoB geführt werden
kann. Wie folgender Abschnitt zeigt, geht es dabei nicht nur um die
Software selber:
"Der Schutz der Informationen gegen unberechtigte Veränderungen ist
durch wirksame Zugriffs- bzw. Zugangskontrollen zu gewährleisten. Dies
sind einmal die Zugriffsberechtigungskontrollen, die so zu gestalten
sind, daß nur berechtigte Personen in dem ihrem Aufgabenbereich
entsprechenden Umfang auf Programme und Daten zugreifen können. Es sind
zum anderen die Zugangskontrollen zu den Räumen, in denen die
Datenträger aufbewahrt werden. Diese Zugangskontrollen müssen
verhindern, daß unberechtigte Personen Zugang zu Datenträgern haben. Sie
müssen insbesondere auch für die Räumlichkeiten gelten, in die die
Datenträger der Datensicherung ausgelagert sind."
In keiner der Dokumente wird geregelt, wie die Daten im Hintergrund
gesichert werden müssen. Im GDPdU (Grundsätze zum Datenzugriff und zur
Prüfbarkeit digitaler Unterlagen), welches diese eigentlich am ehesten
Regeln sollte, wird aber vor allem auf die Lagerung von
elektronischen/eingescannten Rechnungen. Dort steht unter anderem folgendes:
"Dies setzt neben den Anforderungen nach Abschnitt VIII Buchstabe b) Nr.
2 der GoBS (a.a.O.) insbesondere voraus,
[..Auflistung verschiedener Punkte..]
- dass bei Einsatz von Kryptographietechniken die verschlüsselte und die
entschlüsselte Abrechnung sowie der Schlüssel zur Entschlüsselung der
elektronischen Abrechnung aufbewahrt wird;"
(dies ist nur ein Auszug von mehreren ähnlichen.) Wenn man das ganze
Dokument gelesen hat, sieht man, dass keine Kryptographie vorgeschrieben
ist. Weiter sind folgende (schwammige) Texte aufgeführt:
"Als Maßnahmen zur Wahrung der Datenintegrität sind alle Vorkehrungen zu
beschreiben, durch die erreicht wird, daß Daten und Programme nicht von
Unbefugten geändert werden können. Hierzu gehören neben der Beschreibung
des Zugriffsberechtigungsverfahrens der Nachweis der sachgerechten
Vergabe von Zugriffsberechtigungen." (Die Beschreibung ist wichtiger als
die Umsetzung ;) ) Im Zusammenhang mit Kryptographie ist eher folgenes
noch wichtig:
"Da das „Wie" der Datensicherheit von dem jeweils gegebenen Stand der
EDV-Technik abhängt, ergibt sich aus der technischen Entwicklung für das
Unternehmen die Notwendigkeit, ihr Datensicherheitskonzept den jeweils
aktuellen Anforderungen und Möglichkeiten anzupassen." Mit anderen
Worten es ist egal, wie die Datensicherheit erreicht wird, Hauptsache es
ist dokumentiert.
Was aber sehr wichtig ist, ist folgende Aussage aus dem GoBS:
"Es muß gewährleistet sein, daß das in der Dokumentation beschriebene
Verfahren dem in der Praxis eingesetzten Programm (Version) voll
entspricht (Programmidentität)."
Es muss gewährleistet sein, dass die Dokumentation der Software (Code)
immer aktuell ist. Je nach Struktur einer Open Source Software (und des
Entwicklerteams) könnte das noch schwierig sein. (Ich kenne da GnuCash
noch zu wenig)
So, das ist nun schon relativ viel Text. Ich schreibe darum nur noch
schnell ein paar kurze Sätze hin:
- Gemäss GoBS gilt eine Speicherung der Daten auf eine CD oder DVD als
nicht mehr veränderbar und als eine gesetzeskonforme Speicherung einer
Buchhaltung. (Dies zeigt wie "flexibel" die Umsetzung zum Teil gemacht
werden kann)
- Der Text von OECD enthält alle wichtigen Punkte der GoBS. Da dieser
Text in Englisch ist, würde ich empfehlen diesen als "Vorlage" für die
Weiterentwicklung zu nehmen.
- Falls jemand Lust hat, kann er ja mal hier eine Demoversion
runterladen und testen, ob die Buchungen im Klartext gespeichert werden:
http://www.fibunet.de/ (Nicht, dass dies nachher nachgebaut wird, aber
vielleicht gibt dies uns ein paar weitere Ideen/Informationen)
Es ist mir klar, dass dies gerade relativ viel Text ist. Ich wollte aber
zum einten aufzeigen was hier alles eine Rolle spielt und zum anderen
wie die aktuelle Situation von Gesetzesseite in etwa ist. Falls jemand
nun Fragen hat (was ich annehme), so kann er diese gerne Stellen.
Sorry, falls ich viele Schreibfehler im Email haben sollte... Es war
schon spät. :)
Gruss
Raffael