View
2
Download
0
Category
Preview:
Citation preview
1
1
{{{{KPMG1 VOI
Zertifizierung von DMS-Installationen
Regionalversammlung des Verbandes der OptischenIndustrie (VOI), Darmstadt, 6. Mai 1999
Philipp, Mathias: KPMG, IRM-Mannheim
Müller, Carsten: KPMG, IRM-Frankfurt
{{{{KPMG2 VOI
Die KPMG unterstützt ihre Kunden weltweit(Wirtschaftsprüfung, Steuern, Unternehmensberatung)
q KPMG (= Klynveld Peat Marwick Goerdeler)w eine der größten internationalen Prüfungs-
und Beratungsgesellschaften
w Umsatz: über 8,0 Mrd. US$
w rund 85.000 Mitarbeiter
w 812 Standorte in 150 Ländern
n KPMG Deutsche Treuhand Gruppe� große nationale Prüfungs- und Beratungs-
gesellschaft
� Umsatz: > 1,6 Mrd. DM
� über 6.300 Mitarbeiter
� 30 Niederlassungen
n KPMG Information Risk Management� weltweit: 1200 Mitarbeiter� europaweit: 500 Mitarbeiter
� Deutschlandweit: 150 Mitarbeiter� 6 Competence Center
2
2
{{{{KPMG3 VOI
IRM-Organisation
{{{{KPMG
kpmg
IRM Deutschland�6 Regionen�ca. 150 Mitarbeiter�Wachstum von > 30 % p.a.�international eingebunden
Regionale Schwerpunktbildung�IRM Competence Center�Verteilung von Nutzen und Know-How
{{{{KPMG4 VOI
IRM-Competence Center für ...
{{{{KPMG
IRM
Anwendungen(z.B. SAP R/3)
Sicherheit(z.B. Netzwerkanalysen)
E- Commerce(z.B. Internet-Konzepte)
Prozesse(z.B. BPA-Analysen)
Projekte(z.B. Projekt-Audits)
FS und Insurance(Branchen-Fokus)
3
3
{{{{KPMG5 VOI
Vortragsinhalte
1. Testierung von DMS-Systemen (IDW PS 880)
2. Projektbegleitende Prüfung von DMS-Installationen (HFA 4/1997)
3. Ausgewählte Praxisprobleme
{{{{KPMG6 VOI
1. Testierung von DMS-Systemen (IDW PS 880)
- Testierungsebenen=> Beispiel SAP-Archivierung
- Aussagekraft Softwaretestat=> IDW PS 880
- Nachweis der ordnungsmäßigen Anwendung=> projektbegleitende Revision (HFA 4/1997)
4
4
{{{{KPMG7 VOI
1. Testierung von DMS-Systemen (IDW PS 880) SAP-Archivierungssystem
Hersteller-TestatHersteller-Testat
SAP-Schnittstellen-
Zertifizierung
{{{{KPMG8 VOI
Testatsaussage PBS-Archiv
Das Ergebnis zu dieser Prüfung formulieren wir zusammenfassend wie folgt:"Die von uns geprüfte rechnungslegungsrelevante Software CFI der Firma PBS, Version 1.0ermöglicht bei sachgerechter Anwendung eine den Ordnungsmäßigkeitsgrundsätzenentsprechende Buchführung"Diese Beurteilung bezieht sich auf die uns zum Zeitpunkt unserer Prüfung vorgelegteProgrammversion zum SAP R/3 Release 3. IH, Stand Juli 1998.
Mannheim, 25. September 1998
5
5
{{{{KPMG9 VOI
Testatsaussage PBS-Archiv
Das Ergebnis zu dieser Prüfung formulieren wir zusammenfassend wie folgt:"Die von uns geprüfte rechnungslegungsrelevante Software CFI der Firma PBS, Version 1.0ermöglicht bei sachgerechter Anwendung eine den Ordnungsmäßigkeitsgrundsätzenentsprechende Buchführung"Diese Beurteilung bezieht sich auf die uns zum Zeitpunkt unserer Prüfung vorgelegteProgrammversion zum SAP R/3 Release 3. IH, Stand Juli 1998.
Mannheim, 25. September 1998
�bei sachgerechter Anwendung� !
{{{{KPMG10 VOI
1. Testierung von DMS-Systemen (IDW PS 880)
Zielsetzung
=> Einhaltung der GoB
=> Rechtsgrundlage
HGB, AO,FAMA,GoBSweitere fachliche Stellungnahmen
6
6
{{{{KPMG11 VOI
1. Testierung von DMS-Systemen (IDW PS 880)
Prüfung von Softwareprodukten nach IDW PS 880
1. Prüfung der notwendigen Verarbeitungsfunktionen- Belegfunktion- Kontenfunktion- Journalfunktion- Internes Kontrollsystem (Eingabe-, Verarbeitungs- und Ausgabekontrollen)=> Testfallmethode
2. Prüfung der Softwaresicherheit- Differenzierung von Zugriffsberechtigungen- Datensicherungs- und Recoveryverfahren- Programmentwicklung, -wartung und -freigabe (Qualität des SW-Entwicklungsprozesses, ISO 9000-3)
{{{{KPMG12 VOI
1. Testierung von DMS-Systemen (IDW PS 880)
Prüfung von Softwareprodukten nach IDW PS 880
3. Prüfung der Dokumentation- Herstellerdokumemtation- Customizingdokumentation- Anwenderdokumentation=> Verfahrensdokumentaion i.S.d. GoBS vollständig, richtig, verständlich, übersichtlich, zugänglich
4. Folgeprüfungen- Delta-Zertifizierung
5. Vollständigkeitserklärung- Beispiel in: Die Wirtschaftsprüfung 12/98, S. 555ff.
6. Berichterstattung- Kurzfassungen nicht möglich
7
7
{{{{KPMG13 VOI
Vortragsinhalte
1. Testierung von DMS-Systemen (IDW PS 880)
2. Projektbegleitende Prüfung von DMS-Installationen (HFA 4/1997)
3. Ausgewählte Praxisprobleme
{{{{KPMG14 VOI
2. Projektbegleitende Prüfung
DMS
- Rechtliche Grundlagen- Betriebliche Umsetzung der rechtlichen Grundlagen- Ordnungsmäßige Anwendung
8
8
{{{{KPMG15 VOI
Rechtliche Grundlagen
GoBS �Rechnungslegungsrelevanter Geschäftsprozess�:
�In einem DV-gestützten Buchführungssystem sind auchsolche Prozesse zu berücksichtigen, in denen außerhalb deseigentlichen Buchhaltungsbereiches buchführungsrelevanteDaten erfaßt, erzeugt, bearbeitet und/oder übermitteltwerden.�[BMF 7.11.95 - GoBS]
Scannen, el. Archivierung
DMS/Workflow EDI, Internet
{{{{KPMG16 VOI
Rechtliche Grundlagen
DV-gestützte Verfahren gemäß GoBS
Dokumentenmangements-Systeme
Archivierungssysteme
Workflowsysteme
EDI / EDIFACT / SWIFT / el. Banking
Materialwirtschaftssysteme
...
9
9
{{{{KPMG17 VOI
Rechtliche Anforderungen
Allgemein-rechtliche
Grundlagen
Handels-rechtliche
Grundlagen
Steuer-rechtliche
Grundlagen
Zivil-rechtliche
Grundlagen
Datenschutz-rechtliche
Grundlagen
BGB AOEStGEStRGoBS
HGBGoBS
BDSGZPOVwGO
{{{{KPMG18 VOI
Gesetzliche Grundlagen
§ 239 Abs. 4 HGB läßt Führung von Büchern auf Datenträgern zu
§ 257Abs. 3 HGB unterscheidet zwischeninhaltlicher und bildlicher Wiedergabe von Handelsbriefen undsonstigen Unterlagen zum Zeitpunkt der Lesbarmachung
10
10
{{{{KPMG19 VOI
1.1 Inhaltliche und bildliche Wiedergabe
Inhaltliche WiedergabeOriginal und Reproduktion stimmen nach dem Inhalt überein, können in derForm abweichen.
z.B. Datensatz einer ausgehenden Bestellung=> Briefkopf braucht nicht archiviert werden.=> Netto-Bild
Bildliche WiedergabeOriginal und Reproduktion stimmen nach demInhalt und Form überein.=> Brutto-Bild
Form = Anordnungen und Farben (soweit Beweiskraft)z.B. eingehende Bestellung
{{{{KPMG20 VOI
1.2 Vernichtung von Originalen
BdF-Schreiben vom 7. November 1995 zu den GoBS, Punkt VIII.c):
Es können �Originalunterlagen ... vernichtet werden, soweit sie nichtnach anderen Rechtsvorschriften im Original aufzubewahren sind.�
=> Belege können somit aus rein handels- und steuerrechtliche Sichtvernichtet werden
aber § 14 UStG i.V.m. Anlage zu Abschnitt 185 UStR verlangt Urkunde=> Probleme bei EDI
aber ZPO �Beleg / Urkundenproblem�
11
11
{{{{KPMG21 VOI
2. Betriebliche Umsetzung der rechtlichen Grundlagen
1. Generelle Anforderungen
2. Verfahrensspezifische Anforderungen
a. Ordnungsmäßige Transformation
b. Ordnungsmäßige Aufbewahrung
c. Ordnungsmäßige Wiedergabe
3. Zivilprozessuale Risikoreduzierungsmöglichkeiten
{{{{KPMG22 VOI
2.1 Generelle Anforderungen
Archivierungsrichtlinie
Freigabeverfahren und -protokoll
Verfahrensdokumentation
Zugriffsschutz
12
12
{{{{KPMG23 VOI
2.1 Generelle Anforderungen
Archivierungsrichtlinieq Welche Unterlagen in bildlicher / inhaltlicher Form
wiedergegeben werden sollen
q Welche Aufbewahrungsdauer für die jeweiligen Unterlagengelten
q Welches Aufbewahrungsformat für die jeweiligen Unterlagenangewendet werden soll (FAMA 1/1995)
q Welche Unterlagen nach der elektronischen Archivierungvernichtet werden können und welche im Originalaufzubewahren sind (siehe auch zivilprozessualeRisikoreduzierung)
{{{{KPMG24 VOI
2.1 Generelle Anforderungen
Freigabeverfahren und -protokoll
q Nachweis der sach- und programmlogischen Richtigkeit gemäßGoBS
q Neueinführung
q Systemänderungen
13
13
{{{{KPMG25 VOI
C.1 Generelle Anforderungen
VerfahrensdokumentationWo wird explizit auf Verfahrensdokumentation abgehoben?
q FAMA (1/1987 i.d.V. von 11/1993)
q GoBS inkl. BMF-Schreiben (1995)
q Urteil OFD Düsseldorf (1997) bzgl. Verlagerung der Buchführung insAusland
q BMF-Schreiben bzgl. optischer Speichermedien (1991)
q § 257 Abs. 1 HGB, § 147 Abs. 1 AO - �Arbeitsanweisungen und sonstigeOrganisationsunterlagen�
q IDW PS 880 zu Software-Bescheinigungen
=> Genaue Inhalte VOI-Schrift
{{{{KPMG26 VOI
2.1 Generelle Anforderungen
Zugriffs- und Sicherheitskonzept
Grund § 239 Abs. 3 �kein elektronisches Radieren�
Berechtigungskonzept
Benutzerverwaltungskonzept
physischer Zugriffschutz
14
14
{{{{KPMG27 VOI
2. Verfahrensspezifische Anforderungen
a. Ordnungsmäßige Transformation
b. Ordnungsmäßige Aufbewahrung
c. Ordnungsmäßige Wiedergabe
{{{{KPMG28 VOI
Ordnungsmäßige Anwendung vonDMS-Systemen
Anwendung
OrdnungsmäßigeTransformation
Ordnungsmäßige Aufbewahrung
Ordnungsmäßige Wiedergabe
Aufteilung in:
15
15
{{{{KPMG29 VOI
Ordnungsmäßige Transformation
Zulässigkeit des Speichermediums- § 239 (3) HGB, § 146 (4) AO: kein (elektronisches) Radieren- § 35 (2) BDSG: fordert Löschbarkeit bzw. Sperrbarkeit
=> trotzdem beliebiges Speichermedium=> Forderung an das Archivierungssystem
Vollständige und richtige Übertragung§ 239 (2) HGB, §§ 146 (1) AO
{{{{KPMG30 VOI
Vollständige und richtige Transformation
Unterscheidung zwischen CI und NCI
NCI CI
Belegaufbereitung,Scannen,Qual.-Kontrollen !
Elektronisches Archiv
direkte Übertragung(COLD- Verfahren),Kontrolle meist durchautom. Bitvergleich
16
16
{{{{KPMG31 VOI
Vollständige und richtigeTransformation
1. Belegaufbereitung vor dem Scannen bei NCI:
2. Erhaltung von Farben, spez. Zeichen und Reihenfolgen / Anordnungen mit Beweiskraft
3. Berücksichtigung- doppelseitiger Unterlagen und- Anhängen
4. Arbeitsorganisation- Internes Kontrollsystem / Qualitätskontrolle beim Scannen- Indizierung und Verschlagwortung
{{{{KPMG32 VOI
Ordnungsmäßige Wiedergabe
(ohne Hilfsmittel) lesbare Wiedergabe§§ 239 (4), 257 (3) und 261 HGB
innerhalb angemessener Frist§ 257 (3) 2, 239 (4)
bildliche bzw. inhaltliche Übereinstimmung mit den Originalunterlagenbei der Lesbarmachung§ 257 (3) 1=> Speicherform unabhängig
=> Brutto / Nettobild-Problematik
17
17
{{{{KPMG33 VOI
2.3 ZPO-Risikoreduktionsmöglichkeiten
l Aufbewahrung von Unterlagen mit hohem Streitwert oder hoher Prozeßwahrscheinlichkeit im Original
l Einsatz von manipulationssicheren Archivierungsverfahren
l Systemtestate -zertifizierungen
l Testat der ordnungsmäßigen Anwendung
l Rahmenverträge mit Handelspartnern, der regelt wie Reproduktionen im Streitfall, also im Zivilprozeß, behandelt werden sollen. => Dies betrifft vor allem sogenannte Beweis- oder Beweislastvereinbarungen analog zu EDI-Rahmenvertrag
{{{{KPMG34 VOI
Finanzbehörde und DMS-Systeme
Genehmigungspflicht?gds. nein - BMF-Schreiben bzgl. optischer Speichermedien (1991)
Praxis:Formloses Anschreiben an zuständige FinanzamtBeispiele siehe AWV-Schrift 06 506 �Rechtliche Rahmenbedingungen für denEinsatz optischer Speicherplattensysteme - Anregungen, Stellungnahmen,Fallbeispiele�
18
18
{{{{KPMG35 VOI
Datenübernahmedokumentation
Beschreibung,
q der Organisation der Altdatenübernahme
q der zur Übernahme vorgesehenen Daten,
q der Art und Weise der Übernahme der einzelnen Daten
q der Satzstrukturen des Alt- und Neusystems
q die Abstimmmöglichkeiten des Alt- und Neusystems
q des Zeitpunkts der Altdatenübernahme,
q der Verantwortlichkeiten für die ordnungsmäßige Altdatenübernahme
q der Art und Weise der Übernahmedokumentation und Nachweise derdurchgeführten Kontrollen
=> 10 Jahre aufbewahrungspflichtig
...
{{{{KPMG36 VOI
2. Projektbegleitende Prüfung-HFA-Stellungnahme 4/1997-
1. Prüfungserfordernisse in einem komplexen EDV-Systemumfeld
2. Ziele der projektbegleitenden Prüfung
3. Die Stellung des Prüfers bei der projektbegleitenden Prüfung
4. Inhalt und Durchführung der projektbegleitenden Prüfung
a) Erstellung des fachlichen Feinkonzepts
b) Festlegung des Datenverarbeitungskonzepts der Programmierung oder der Software-Auswahl
c) Programm- und Systemtests
d) Systeminstallation im künftigen Umfeld
5. Berichterstattung über die projektbegleitende Prüfung
6. Die Bedeutung der projektbegleitenden Prüfung für die Abschlußprüfung
7. Zusätzliche Anforderungen des Mandanten
19
19
{{{{KPMG37 VOI
2. Projektbegleitende Prüfung-HFA-Stellungnahme 4/1997-
Die Stellung des Prüfers bei der projektbegleitenden Prüfung
Unabhängigkeit steht im Gegensatz zu einer aktiven Mitwirkung
Tätigkeit: ausschließlich Prüfung der Lösungen unterOrdnungsmäßigkeits- und Kontrollgesichtspunkten.
Anregungen zur Beachtung von Ordnungsmäßigkeitsgesichtspunkten.
Eigenverantwortlich, keine Weisungen vom Projektleiter
Zugang zu allen Unterlagen des Projekts
Recht an allen Projektsitzungen teilzunehmen
{{{{KPMG38 VOI
2. Projektbegleitende Prüfung-HFA-Stellungnahme 4/1997-
Besonderheiten und Umsetzung bei
Dokumentenmanagement-Systemen
20
20
{{{{KPMG39 VOI
Einführungsphasen DMS
Analyse
- Dokumentenbestand
- Dokumentenfluß
- Geschäftsprozeße
Sollkonzept
- Lastenheft
- Abnahmekriterien
Systemauswahl
- Marktrecherche
- Pflichtenheft
Prototypen-Test� Beispiel-Geschäftsprozeß
� Internes Kontrollsysten
Test� Migrationsplan
� Einführungsstrategie
� Altdatenübernahme
� Schulungen
� Systemanpassungen
Einführung� Freigabeverfahren
{{{{KPMG40 VOI
Dokumentenanalyse
Dokumentenbestand
Dokumentenaufkommen
Dokumentenstruktur
q Inhalt
q Form (Layout, Farbe)
Dokumentenbeschaffenheit
q physikalisch
q Doppelseitig, Anhang
Dokumentenfluß
Dokumentenzugriff (wann, wer, warum, wie oft)
21
21
{{{{KPMG41 VOI
Marktrecherche
Marktstudie:�Dokumenten- und Workflow-Management-Systeme�
Herausgeber:Fraunhofer Institut Arbeitswirtschaft und Organisation,Nobelstraße 12, 70569 Stuttgart, Telefon 0711-970-01
Erscheint: Anfang 1999
{{{{KPMG42 VOI
Anbieterbewertung
Referenzkunden
Anbietergröße (Deutschland, Europa, weltweit)
Kundennähe
Installationsvolumen
q Für das ausgewählte Produkt
q Marktpräsenz mit weiteren Produkten
q Entwicklungspotentiale
Freie Kapazitäten für Projekt
Kooperationsfähigkeit
22
22
{{{{KPMG43 VOI
Prototypen-Test
Definition des Geschäftsprozesses
Erstellung des Pflichtenheftes
Migrationsplan
Implementation Prototyp
Bewertung der Implementation
Verfeinerung des Migrationsplans
Verfeinerung des Systemdesigns und Systemimplementation
Durchführung der Migration
Systemeinführung und Schulung
{{{{KPMG44 VOI
Einführung
Mitarbeiter informieren und einbeziehen
Einführung planen
Migrationschritte ausführen
Schulungskonzept
Kosten/Nutzen-Rechnung
Altlasten
Outsourcing
23
23
{{{{KPMG45 VOI
Typische Probleme
l Keine Bereitschaft zur Veränderung der Geschäftsprozesse
l Paralleles Management von Papier und el. Dokumenten=> Medienbrüche
l Zu wenig Kommunikation mit Anwendern=> Akzeptanz
l Fehlende Meß- und Belohnungssysteme
� Systembewertung
� Mitarbeiterbewertung
l Produktauswahl; Interoperabilität, Investitionsrisiko
l Technokratische Lösungsansätze
l Vorgangssteuerung zur Bevormundung von Mitarbeitern=> Betriebsrat
{{{{KPMG46 VOI
Vortragsinhalte
1. Testierung von DMS-Systemen (IDW PS 880)
2. Projektbegleitende Prüfung von DMS-Installationen (HFA 4/1997)
3. Ausgewählte Praxisprobleme
24
24
{{{{KPMG47 VOI
Beispiele von Problemen während der projekt-begleitenden Revision und Zertifizierungen
Wirtschaftszweige:� Industrie� Handel� Banken� Versicherungen� Öffentlicher Sektor
{{{{KPMG48 VOI
Beispiele von Problemen während der projekt-begleitenden Revision und Zertifizierungen
1. Fehler beim Scannen: - wesentliche Informationen der Vorlage gehen beim Scannen verloren - einige Seiten rutschen durch ohne gescannt zu werden (Vollständigkeit) - schlechte Qualität des Scanners bzw. des Scannvor- ganges (Kontrast, optische Verschmutzungen oder schlechte Auflösung) - Belegrückseiten, auf denen z.B. Allgemeine Geschäftsbedingungen, Risikoklassen bei Banken, etc. aufgedruckt sind, werden nicht miterfaßt
25
25
{{{{KPMG49 VOI
Ursachen:- Qualitätskontrolle und Vier-Augen-Prinzip- Funktionstrennung und Internes Kontrollsystem
2. Fehlen von Verfahrensanweisungen und -dokumentation - Sicherstellung einer einheitlichen Vorgehensweise der Archivierung - Nachvollziehbarkeit durch einen unabhängigen Dritten in angemessener Zeit - Aktualität und Umfang der Verfahrensdokumentation (fehlende, unvollständige oder veraltete Dokumentation)
Beispiele von Problemen während der projekt-begleitenden Revision und Zertifizierungen
{{{{KPMG50 VOI
3. Vollständige und originalgetreue Speicherung - Dokumente werden nicht vollständig archiviert (z.B. fehlende Belegbestandteile nach GoBS) - nicht alle aufbewahrungspflichtigen Dokumente werden archiviert (Änderungsbelege aus SAP werden vergessen) - einmal erfaßte Dokumente sind später veränderbar (zu löschende Daten nach BDSG, aber fehlendes IKS, wie z.B. Zugriffsberechtigungskonzept)
4. Fehlende Protokollierungen - Sicherstellung, daß die Ablage der Dokumente für Zwecke der Nachvollziehbarkeit protokolliert sind (wer, wann, etc.)
Beispiele von Problemen während der projekt-begleitenden Revision und Zertifizierungen
26
26
{{{{KPMG51 VOI
5. Fehlende Indexierung - Gewährleistung, daß die archivierten Daten nachvollziehbar gespeichert werden, um sie in angemessener Zeit lesen zu können (Verknüpfung Belegnummer mit Barcode)
6. Fehlende Retrievalhilfen - Sicherstellung, daß implementierte Suchmechanismen ein Wiederfinden der abgelegten Dokumente ermöglichen
7. Systemseitige Sicherstellung der Einhaltung der 10-jährigen Aufbewahrungsfrist (Lesbarkeitsprobleme nach Programm- änderungen oder Implementierung neuer Programme -Y2K)
Beispiele von Problemen während der projekt-begleitenden Revision und Zertifizierungen
{{{{KPMG52 VOI
8. Fehlerbehandlung - Vollständigkeit und Richtigkeit übertragener Daten aus anderen Systemen per maschineller Schnittstelle - fehlende Abstimmungen und Qualitätskontrollen - Fehlerbehandlungen ohne einheitlichem und dokumentiertem Verfahren (fehlende Nachvollziehbarkeit) - gleiche Dokumente mehrfach archiviert (verschiedene Abteilungen benötigen gleiche Dokumente)
Beispiele von Problemen während der projekt-begleitenden Revision und Zertifizierungen
27
27
{{{{KPMG53 VOI
9. Konzept der zu archivierenden Dokumente - nicht alle Dokumente dürfen archiviert werden, wie z.B. Jahresabschlußunterlagen, etc., aber nicht alle Dokumente brauchen archiviert zu werden, wie z.B. Konzernabschluß- unterlagen, etc. - zu späte Einbeziehung von IRM bei der Erstellung von Archivierungskonzepten bei der Implementierung neuer EDV-Systeme - nur Post-Implementation Reviews oder Zertifizierung von Dokumentenverwaltungssystemen nach der Einführung - Notwendigkeit von Folgeprüfungen (unerwartete Mehrkosten)
Beispiele von Problemen während der projekt-begleitenden Revision und Zertifizierungen
{{{{KPMG54 VOI
Lösung: Pre-Implementation Reviews und projektbegleitende Revision - Zertifizierung mit �Going Live�
Beispiele von Problemen während der projekt-begleitenden Revision und Zertifizierungen
28
28
{{{{KPMG55 VOI
Kaffee und FRAGEN?
Recommended