Definierte Kontrollen im Sinne der GoBD – gibt es die?
Die GoBD nennen an verschiedenen Stellen, z. B. in den Randziffern 40 und 100, Kontrollen. Allerdings sollten Sie beachten, dass es sich dabei ausdrücklich nur um Beispiele handelt. Die Kontrollen sind nicht abschließend.
Dennoch sind die hier genannten Beispiele für Sie hilfreich, um Mindestanforderungen an die Kontrolle und Überwachung einer IT-gestützten Buchführung abzuleiten. Die GoBD stellen in Kapitel 3 allgemeine Anforderungen an die Buchführung wie beispielsweise „Vollständige Erfassung der Geschäftsvorfälle“. Diese Ordnungsmäßigkeitsanforderungen sind dabei so grundsätzlich, dass sich die Frage nach einer Beurteilung des Risikos eines Verstoßes gegen den Grundsatz kaum stellt: Dieses Risiko ist ein Standardrisiko einer jeder Buchführung, ihm ist durch geeignete Maßnahmen im Rahmen des Tax Compliance Management zu begegnen, z. B. durch Ausübung der in GoBD Rz. 40 explizit genannten Kontrollen Lückenanalyse und Mehrfachbelegungsanalyse bei Belegnummern. Soweit diese Kontrollen nicht bereits im ERP-System als präventive Erfassungskontrollen umgesetzt sind, sollten Sie im Nachgang als detektive Kontrollen implementiert werden; hier bietet sich natürlich die Umsetzung mittels Datenanalyse als automatisierte Kontrolle an.
Weitere in den GoBD als Beispiele genannte Kontrollen sind (Auswahl): Plausibilitätskontrollen, automatisierte Vergabe von Datensatznummern, Zugangs- und Zugriffsberechtigungskontrollen, Funktionstrennungen, Abstimmungskontrollen.
Auch dort, wo die GoBD keine Kontrollen als Beispiele nennen sondern nur die Anforderungen an die Buchhaltung formulieren (z.B. zeitgerechtes Buchen, Rz. 45) bzw. für grundsätzliche Anforderungen, auf die in den GoBD nur verwiesen wird, z.B. die besonderen umsatzsteuerlichen Aufzeichnungspflichten (GoBD Tz. 4, § 22 UStG), können Standardrisiken der Buchführung und an diesen ausgerichtete Kontrollen nach dem gleichen Prinzip abgeleitet werden.