Revisionssicherheit

Sicherheit = Revisionssicherheit ?

Der Begriff Sicherheit schließt verschiedene Aspekte ein: angefangen von der Zugriffs- und Datensicherheit über die Verfügbarkeits- und Reproduktionssicherheit der gespeicherten Informationen, die Migrationssicherheit und die Investitionssicherheit bis hin zur sogenannten „Revisionssicherheit“. Dieser Begriff wurde für elektronische Archive geprägt, die den gesetzlichen Anforderungen an aufbewahrungspflichtige Dokumente entsprechen. Der Verband Information und Organisation e.V. hat in seinem Code of Practice „Grundsätze der elektronischen Archivierung“ folgende Definitionen aufgeführt:

  • Langzeitarchivierung
    Unter „elektronische Langzeitarchivierung“ versteht man die Bereitstellung von Daten und Dokumenten über einen Zeitraum von mindestens 10 Jahren.
  • Revisionssichere Archivierung
    Unter „revisionssicherer Archivierung“ versteht man Archivsysteme, die nach den Vorgaben der Allgemeinen Abgabenordnung (HGB AO) und der GoBS Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten.

Ähnliche Definitionen gibt es inzwischen auch in anderen Codes of Practice, z.B. des British Standards Institute, den Leitlinien und dem MoReq-Standard des DLM-Forum der Europäischen Kommission, in der ISO Norm 15489 Records Management und anderen Standards.

Anforderungen an Revisionssicherheit aus Sicht des Gesetzgebers

Die Definition der „revisionssicheren Archivierung“ in Deutschland beschränkt sich auf Systeme, die aufbewahrungspflichtige Informationen speichern, die unter das Handelsgesetz, bzw. seit 1.1.2002, unter die Steuergesetzgebung, fallen. Sie muss auf Grund der gesetzlichen Aufbewahrungspflichten auch die Langzeitarchivierung wie definiert einschließen, da für die meisten kaufmännisch relevanten Daten und Dokumente eine Aufbewahrungsfrist von 10 Jahren besteht. Die allgemeine Abgabenordnung (HGB AO) gibt hier die Grundlagen für die Speicherung, unabhängig ob in herkömmlichen Papierarchiven oder elektronischen Systemen, vor:

  • Ordnungsmäßigkeit
  • Vollständigkeit © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer
  • Sicherheit des Gesamtverfahrens
  • Schutz vor Veränderung und Verfälschung
  • Sicherung vor Verlust
  • Nutzung nur durch Berechtigte
  • Einhaltung der Aufbewahrungsfristen
  • Dokumentation des Verfahrens
  • Nachvollziehbarkeit
  • Prüfbarkeit

Diese Kriterien sind fachlich definiert und bedürfen der Interpretation, wenn es um die Umsetzung in technischen Systemen geht. Hilfestellung gibt hierbei gibt hierfür die GoBS, die explizit auf die verschiedenen Verfahren der Scan- und Datenerfassung, Sicherheitsanforderungen und die Verfahrensdokumentation zur Nachvollziehbarkeit und Prüfbarkeit eingeht. Die Grundlagen für die Umsetzung wurden ebenfalls vom VOI in einem weiteren Code of Practice „Grundsätze der Verfahrensdokumentation nach GoBS“ zusammengestellt.

Die 10 Merksätze des VOI zur revisionssicheren elektronischen Archivierung

  1. Jedes Dokument muss unveränderbar archiviert werden
  2. Es darf kein Dokument auf dem Weg ins Archiv oder im Archiv selbst verloren gehen
  3. Jedes Dokument muss mit geeigneten Retrievaltechniken wieder auffindbar sein
  4. Es muss genau das Dokument wiedergefunden werden, das gesucht worden ist
  5. Kein Dokument darf während seiner vorgesehenen Lebenszeit zerstört werden können
  6. Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können
  7. Jedes Dokument muss zeitnah wiedergefunden werden können
  8. Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist
  9. Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer
  10. Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB/AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen

Erhöhte Sicherheit ist kostenträchtig

Alle diese gesetzlichen Regularien, Codes of Practice und Standards nehmen nur eingeschränkt auf technische Eigenschaften Rücksicht. Dies ist auch im Prinzip angesichts der rasanten Entwicklung im Markt richtig. Je technisch detaillierter ein Standard ist, des do schneller wird er von der Entwicklung überholt. Für den Anwender bedeutet dies, dass er die angebotenen Systeme in Hinblick auf ihre Eignung bewerten muss. Hierbei spielt nicht nur die Revisionssicherheit eine Rolle, sondern wie Sicherheit im Unternehmen generell bewertet wird. Erhöhte Sicherheit bedeutet auch deutlich erhöhte Kosten. Die doppelte Auslegung von Hardware, Spiegelung der Systeme, Erstellung von Mediensicherheitskopien – dies kostet alles mehr als eine einfache Systemauslegung. Auch die Implementierung von Standards, die man vielleicht zunächst noch nicht einmal benötigt, kann aus Sicherheitsüberlegungen sinnvoll sein. Letztlich muss jeder für sich seinen Anspruch an Sicherheit definieren. Dies gilt auch für die „revisionssichere Archivierung“. Die funktionalen Anforderungen lassen sich mit vielen Formen von Systemen abbilden.

Revisionssicherheit ist keine Produkteigenschaft

Vielen Anbieter im Markt werben mit dem Thema „Revisionssicherheit“. Hierfür wird auf Zertifikate von Wirtschaftsprüfern oder des TüVIT verwiesen. In Hinblick auf die „revisionssichere Archivierung“ gilt jedoch, dass für jede individuelle Anwendung eine Verfahrensdokumentation und Abnahme benötigt wird, die den gesamten Prozess, Organisation, Abläufe und technische Lösung eingeschlossen, beinhaltet. Es gibt keinen allgemeingültigen Stempel „Revisionssicher“, den man auf eine Produktverpackung kleben könnte.
Heute werden unterschiedlichste Systemkategorien angeboten. Einerseits spezielle Archivsysteme für die Entlastung des E-Mail-Posteingangskorbes, nachgeordnete Lösungen für ERP-Systeme wie SAP oder spezielle Anwendungslösungen, die auf einem Archivsystem basieren. Zunehmend setzt sich der Trend durch, Archivsysteme als Dienst anzubieten und die Anwenderfunktionalität in andere führende Systeme zu integrieren. Letztere Archivsysteme können auch den Anspruch einer unternehmensweiten Lösung erfüllen, bei der es nur noch einen Archivdienst gibt, der für alle Anwendungen die Aufgabe der Langzeitarchivierung übernimmt.
Bei der Auswahl eines geeigneten Systems spielt die vorhergehende Analyse der zu speichernden Informationen und des geplanten Nutzungsmodelles eine entscheidende Rolle. Will man ein System einführen, dass den Ansprüchen von HGB AO, GoBS und GDPdU gerecht wird, sind Funktionen wie die direkte Recherchierbarkeit in steuerrelevanten Daten, die nicht als Bild konvertiert gespeichert werden dürfen, die geeignete Aufteilung der Bestände nach Kategorien wie „was darf der Aussenprüfer sehen, was nicht“, der Schutz personenbezogener Daten „was fällt unter das BDSG Bundesdatenschutzgesetz“, welche Information gehört überhaupt ins Archiv „was ist aufbewahrungswürdig und was ist aufbewahrungspflichtig“ sowie andere Kriterien zu berücksichtigen.

Externe Links
Wikipedia: Revisionssicherheit