Praxis |

Die Suche nach dem schwarzen Schaf

Digitale Betriebsprüfung

0Kommentare

Auch vor der Außen­prüfung der Finanz­be­hörden macht die Di­gi­ta­li­sie­rung nicht halt. So ge­hören IDEA, SRP und GoBD längst zum Stan­dard einer jeden Betriebs­prüfung.

Betriebsprüfer dürfen auf die EDV der Unternehmen zugreifen. Ihre Rechtsgrundlage findet die digitale Betriebs­prüfung in den §§ 146, 147 der Abgabenordnung (AO). Präzisiert werden diese Vorschriften durch die Grundsätze zur ord­nungs­mäßi­gen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD), die seit dem Jahr 2015 die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen des Bundes­mi­nis­te­riums der Finanzen (GDPdU) sowie die Grundsätze ord­nungs­mäßi­ger DV-gestützter Buch­füh­rungs­systeme (GoBS) ersetzt haben. Mithilfe dieser Re­ge­lun­gen hat die Finanzverwaltung das Recht, auf die EDV von Unternehmen zuzugreifen und alle steuerrelevanten Daten im Rahmen einer Betriebsprüfung auch in digitaler Form anzufordern. Hierzu zählen unter anderem die Daten aus der Finanz-, Anlagen- und Lohn­buch­hal­tung. Welche Daten als steuerlich relevant ein­zu­stufen sind, muss grundsätzlich im Einzelfall ent­schie­den werden; einen abschließenden Katalog steuer­re­le­vanter Daten gibt es nicht.

Zugriffsarten

Dem Betriebsprüfer stehen im Zusammenhang mit dem Datenzugriff drei Zugriffsarten – Z1, Z2 und Z3 – zur Verfügung:

1. Z1 (Unmittelbarer Datenzugriff): Der unmittelbare Datenzugriff beinhaltet den Nur-Lesezugriff auf Daten­ver­ar­bei­tungs­systeme (DV-Systeme) zur Prüfung der Buch­hal­tungs­daten, Stammdaten und Verknüpfungen (bei­spiels­weise zwischen den Tabellen einer relationalen Datenbank). Darunter fällt auch die Nutzung vorhandener Aus­wer­tungs­pro­gramme des betrieblichen DV-Systems zwecks Filterung und Sortierung der steuerlich relevanten ­Daten.
2. Z2 (Mittelbarer Datenzugriff): Daneben gibt es den mittelbaren Datenzugriff, mithilfe dessen die steuerlich relevanten Daten entsprechend den Vorgaben des Prüfers vom Unter­neh­men oder einem beauftragten Dritten maschinell ausgewertet werden müssen, um anschließend einen Nur-Lesezugriff durchführen zu können.
3. Z3 (Datenträgerüberlassung): Bei der sogenannten Datenträgerüberlassung sind der Finanzbehörde neben den gespeicherten Unterlagen und Aufzeichnungen alle zur Aus­wer­tung der Daten not­wen­di­gen Informationen, etwa über die Dateistruktur, die Datenfelder sowie interne und externe Ver­knüp­fun­gen, in maschinell auswertbarer Form auf einem geeigneten Datenträger – wie zum Beispiel CD-ROM oder DVD – zur Verfügung zu stellen. Das gilt auch in den Fällen, in denen sich die Daten bei Dritten befinden.
Alle Zugriffsarten können sowohl alternativ als auch kumulativ verwendet werden. Die GoBD verpflichten die Unternehmen jedenfalls, alle steuerrelevanten Daten für die Dauer der allgemeinen steuerlichen Aufbewahrungspflicht unveränderbar sowie maschinell les- und auswertbar für alle drei Zugriffsarten (Z1/Z2/Z3) kumulativ – nicht etwa nur alternativ – vorzuhalten. Die dafür entstehenden Kosten tragen die Unternehmen selbst. Dies kommt vor allem dann zum Tragen, wenn Systemwechsel durchgeführt wurden.

Ablauf einer digitalen Betriebsprüfung

Das ­Unternehmen hat die Daten unverzüglich, in der Regel binnen zwei bis drei Wochen, bereitzustellen.

Als erster Schritt wird auch bei einer digitalen Betriebs­prü­fung dem Unternehmen be­zie­hungs­weise dem Steuer­pflich­ti­gen die bekannte Prü­fungs­an­ord­nung von der zu­stän­di­gen Fi­nanz­be­hörde übersandt. In dieser werden zudem auch Fragebögen zur Abfrage der IT-Umgebung im Unternehmen und zu allgemeinen Sach­ver­halten der steuerrelevanten Prozesse verschickt. Spätestens bei Beginn der Betriebsprüfung, oft bereits eben schon im Zusammenhang mit der Versendung der Prü­fungs­an­ord­nung, wird ferner nach einer Ver­fah­rens­do­ku­men­ta­tion gefragt. Die laufende Prüfung beinhaltet den tatsächlichen Zugriff auf die Daten des Steuerpflichtigen, welcher, wie bereits beschrieben, in drei unterschiedlichen Varianten erfolgen kann. Das Unternehmen hat die Daten un­ver­züg­lich, in der Regel binnen zwei bis drei Wochen, bereit­zu­stellen. Unter Nutzung der Prüfsoftware IDEA werden die Daten durch den Betriebsprüfer mittels automatischer Prüfroutinen ausgewertet. Dadurch werden Schwerpunkte der Prüfung identifiziert und begonnen, die Daten auf Plausibilität zu überprüfen. In der Regel wird der Be­triebs­prüfer mit einer Liste von Fragestellungen, die er aus Erkenntnissen der Prüfroutinen gewonnen hat, auf das Unter­neh­men zurückkommen. Im Zweifel müssen weitere Belege zum Nachweis erbracht werden. Die Be­en­di­gung der digitalen Prüfung ist nahezu herkömmlich: Üb­licher­weise übersendet der Be­triebs­prüfer den Entwurf des Prüfungsberichts (Exposé). Bereits im Vorfeld hierzu oder erst auf dessen Grundlage wird eine Schluss­be­spre­chung mit dem Steuer­be­rater, dem Betriebs­prüfer und ge­ge­be­nen­falls den Auskunftspersonen aus dem Unternehmen statt­finden. Eventuell kommt hierbei auch eine tatsächliche Verständigung zur rechtssicheren Klärung von Sach­ver­hal­ten – auch für die Zukunft – zustande. Die Prüfung wird mit einem schriftlichen Schlussbericht abgeschlossen, der dem geprüften Unternehmen etwa vier Wochen nach der Schluss­be­spre­chung zugesandt wird. Auf Basis dieser Feststellung ergehen im Nachgang dann entsprechende Bescheide.

Die summarische Risikoprüfung

Chi-Quadrat-Test und Zeitreihenvergleich gehören inzwischen ebenfalls zum Standard vieler Betriebs­prü­fun­gen. Die Digitalisierung von Buchführungs- und Kas­sen­daten und die damit einhergehende rasante Zunahme des Datenumfangs sowie der entsprechenden Fehler- und Manipulationsrisiken erfordern jedoch neue Vor­ge­hens­weisen. Entwickelt vom Bundesland Schleswig-Holstein, wird nun in einem Großteil der Bundesländer und teilweise sogar im Ausland das systemische Prüfungs­kon­zept der sum­ma­ri­schen Risikoprüfung (SRP) eingesetzt. Bei diesem Programm handelt es sich um ein systemisches, vor­la­gen­ge­stütztes, weitgehend automatisiertes, inter­ak­ti­ves Prü­fungs­netz für digitale betriebliche Daten auf Basis von Excel, das als Strukturtest zur Risikoabschätzung und strategischen Ausrichtung, zur einzel­fall­be­zo­ge­nen Prüffeldselektion sowie zur Aufdeckung von Mani­pu­la­tio­nen ein­ge­setzt wird. Der Anwender wird system­seitig durch unter­schied­liche Tests gelei-tet, die die Ergebnisse gegen­ein­an­der absichern. Dabei kommen modernste Prüfansätze, wie zum Beispiel Benford, und Verteilungsmuster zum Einsatz. Keine Methode in der Betriebsprüfung nutzt so konsequent und systematisch die verschiedenen Methoden zur Untersuchung von Daten und vernetzt diese überdies miteinander. Dadurch werden sämtliche gesammelte Auffälligkeiten aus Zeitreihen- und Strukturanalyse einer schnellen Risikoeinschätzung zugeführt, um die Gefahr einer Manipulation beziehungsweise die Möglichkeit von Steuerausfällen abzuleiten. In letzter Konsequenz kann diese Indiziengesamtheit sogar Beweiskraft erlangen.

Maßnahmen des Steuerpflichtigen

Dieser verstärkte Einsatz technischer Hilfsmittel durch die Betriebsprüfer sowie eine ausgeprägte Tendenz zur Einleitung von Steuerstrafverfahren bei bestehenden Verdachtsmomenten führen dazu, dass sich jeder Steuer­pflich­tige dieser deutlich härteren Gangart der Finanz­ver­wal­tung bewusst werden muss und sich dem­ent­spre­chend auf an­ste­hen­de beziehungsweise potenzielle Betriebs­prü­fun­gen vorbereiten sollte. Nach den Grund­sätzen zum Daten­zu­griff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) ist es Aufgabe jedes Steuer­pflich­ti­gen, die steuerlich relevanten Daten von steuer­lich nicht relevanten Daten abzugrenzen. Vor dem Hintergrund, dass für letztere Daten, soweit diese versehentlich der Finanzverwaltung überlassen werden, kein Ver­wer­tungs­verbot besteht, sollte jeder Steuerpflichtige dafür Sorge tragen, den Zugriff der Finanzverwaltung auf die steuerlich relevanten Daten zu beschränken. Folglich sollte man steuerlich relevante und steuerlich nicht relevante Daten stets nach­voll­zieh­bar getrennt voneinander speichern beziehungsweise steuerlich nicht relevante Daten gar nicht mehr im betrieblichen Computer belassen oder aber durch Passwörter be­zie­hungs­weise eine sogenannte Betriebs­prüfer­funktion in Archi­vie­rungs­systemen, die in diversen Soft­ware­pro­grammen enthalten ist, schützen.

Fazit

In Zeiten von Datenflut und systemischen Prüfkonzepten ist die Betriebsprüfung mittlerweile in der Lage, auch aus­ge­feil­te Manipulationsmöglichkeiten zu erkennen und steuerehrliche von steuer­un­ehr­lichen Unternehmern zu unterscheiden. Mit der Folge, dass Prüferressourcen auf verdächtige und damit steuerrelevante Fälle konzentriert werden. Daher empfiehlt es sich aus Sicht des Steuer­pflich­ti­gen, im Vorfeld einer Betriebsprüfung auch die Zur­ver­fü­gung­stel­lung der Daten und deren systemische Lesbarkeit zu überprüfen. Zudem kann ein sogenannter Quick-Check, der die digitale Betriebsprüfung und deren automatische Prüfungsroutinen simuliert, für Sicherheit und gute Vorbereitung sorgen.

Fotos: Denis08131 / Getty Images

0Kommentare Neuen Kommentar verfassen

Einen neuen Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.