Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Erich Huber
Aufzeichnungssicherheit bei der abgabenrechtlichen
Aufzeichnungs- und Kassenüberprüfung
vom Risiko zur Ordnungsmäßigkeit
Fair Play
Compliance
Risikobereiche
•Software
•Daten
•Nebenaufzeichnungen
•Bargeldgebarung
E. Huber – IVPTÖ-Informationsabend 30.1.2015
131 Abs 1 Z 6 BAOUnveränderbarkeitsgebot
• die Eintragungen sollen nicht mit leicht entfernbaren Schreibmitteln erfolgen
• an Stellen, die der Regel nach zu beschreiben sind, sollen keineleeren Zwischenräume gelassen werden
• der ursprüngliche Inhalt einer Eintragung soll nicht mittels Durchstreichens oder auf andere Weise unleserlich gemacht werden
• es soll nicht radiert werden • es sollen solche Veränderungen nicht vorgenommen werden,
deren Beschaffenheit ungewiss lässt, ob sie bei der ursprünglichen Eintragung oder erst später vorgenommen worden sind
• werden zur Führung von Büchern und Aufzeichnungen oder bei der Erfassung der Geschäftsvorfälle Datenträger verwendet, sollen Eintragungen oder Aufzeichnungen nicht in einer Weise verändert werden können, dass der ursprüngliche Inhalt nicht mehr ersichtlich ist
E. Huber – IVPTÖ-Informationsabend 30.1.2015
131 Abs 1 Z 6 BAOUnveränderbarkeitsgebot
• die Eintragungen sollen nicht mit leicht entfernbaren Schreibmitteln erfolgen• an Stellen, die der Regel nach zu beschreiben sind, sollen keine leeren Zwischenräume gelassen werden• der ursprüngliche Inhalt einer Eintragung soll nicht mittels Durchstreichens oder auf andere Weise unleserlich
gemacht werden• es soll nicht radiert werden • es sollen solche Veränderungen nicht vorgenommen werden, deren Beschaffenheit ungewiss lässt, ob sie bei
der ursprünglichen Eintragung oder erst später vorgenommen worden sind
• werden zur Führung von Büchern und Aufzeichnungen oder bei der Erfassung der Geschäftsvorfälle Datenträger verwendet, sollen Eintragungen oder Aufzeichnungen nicht in einer Weise verändert werden können, dass der ursprüngliche Inhalt nicht mehr ersichtlich ist.
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Führung von Aufzeichnungen (§§ 126, 131, 132 BAO)
• Bei Datenträgerverwendung – Vorlagepflicht von Daten auf Datenträgern
– elektronisches Radierverbot
– Überprüfung der vollständigen, richtigen und lückenlosen Erfassung aller GVF zBdurch Protokollierung der Datenerfassung
– Summenbildungen nachvollziehbar
– Sicherung der vollständigen und richtigen Erfassung und Wiedergabe aller GVF durch entsprechende Einrichtungen ( „E 131“)
E. Huber – IVPTÖ-Informationsabend 30.1.2015
EDV-gestützte Aufzeichnungen – Einsatz von Datenträgern
• Rechnungen aus Textprogramm• einfache elektronische Registrierkasse • POS-System, propriertäres Kassensystem• EDV-Kassenprogramm auf PC• “sonstige Einrichtungen“
– Ordermansystem– App-Kasse– Schanksystem– Waagensystem– Taxameter– Spielautomaten-CPU
–Fakturierungsprogramm, Branchenlösung
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Problem Physik
• im Bereich der Aufzeichnung mit Vorsystemen (Registrierkassen und Kassensysteme) werden bis heute magnetische Datenträger und elektronische Speichermedien eingesetzt
• Der magnetische Datenträger ist seiner Physik nach jederzeit veränderbar, ohne dass der ursprüngliche Inhalt festgestellt werden kann
• seine Beschaffenheit lässt niemals erkennen, ob er verändert worden ist oder nicht
• Ebenso verhält es sich mit elektronischen Speichermedien
E. Huber – IVPTÖ-Informationsabend 30.1.2015
… dann kam die EDV
• Als die EDV auf kam (60er, 70er) gab es außer magnetischen Datenträgern, Mikrofilm und Lochstreifen keine anderen nutzbaren Datenträger
• Datenspeicherung wurde zugelassen, ohne sie nach der Art der Datenträger einzuschränken
• seitdem gehen die Experten davon aus, dass Bücher und Aufzeichnungen bedenkenlos auf magnetischen Speichern gespeichert werden könnten und fragten nicht ernsthaft nach, ob und wie diese Bedingungen physikalisch erfüllt werden könnten
• § 131 Abs. 1 Z. 6 BAO wurde seither „nicht so richtig“ beachtet
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Erich Huberdie neue
PrüfungstechnikMögliche Lösung - nach Schuppenhauer 2007 (GoDV)
• es sind im elektronischen Buchführungsbereich Maßnahmen zum Schutz des Buchungswerks vor Manipulation zu treffen
• moderne EDV- Buchführung -Programme müssen programmmäßige Sicherungen und Sperren enthalten, die verhindern, dass einmal eingegeben Daten dem Zugriff zur Wiederaufbereitung (Änderung) preisgegeben sind. Das muss bereits vom Zeitpunkt der erstmaligen Speicherung – nicht erst nach durchgeführter Verarbeitung – gewährleistet sein
• die eingesetzten Datenträger müssen so eingerichtet sein, dass nachträglich vorhandene Daten weder vollständig, noch teilweise gelöscht und neue Daten nicht ohne Kenntlichmachung eingespielt werden können.
• dazu hat der StPfl programmmäßige Vorkehrungen zu treffen. Änderungen (Überschreiben, Löschen) müssen erkennbar sein
E. Huber – IVPTÖ-Informationsabend 30.1.2015
aber …• diese Sicherheitsmaßnahmen sind in der Praxis der digitalen Grundaufzeichnungen aber nicht oder kaum vorzufinden.
• zusätzliches Problem ist die fragliche Wirksamkeit von Schutzmaßnahmen zur Datenintegrität, wenn viele der eingebauten „modernen“ Sicherheiten mangels Redundanz gleich wieder zu „knacken“ sind
• Risikobereich Datenbanksysteme
E. Huber – IVPTÖ-Informationsabend 30.1.2015
• Ein Datenbanksystem ist ein System zur
elektronischen Datenverwaltung
• Die wesentlichen Funktionen von
heutigen Datenbanksystemen sind:
–Speicherung, Überschreibung und Löschung von Daten
Datenbanksystem(aus Wikipedia)
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Prüfansatz bisher –späte BP
Problem Zeitvorsprung
Problem Ordnungsmäßigkeit –abstrakt technisch
• Problem Hardware –
–Verwendung von elektro-magnetischen Datenträgern
• Problem Software –
–Verwendung von Tabellen / Datenbanken
E. Huber – IVPTÖ-Informationsabend 30.1.2015
• Problem Hardware –
–Verwendung nur von Bleistift
• Problem Software –
–jederzeit spurloses Radieren–unendlich viele leere Zwischenräume
–zeitlich ungewisse Veränderungen
Problem Ordnungsmäßigkeit –rechtlich faktisch
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Fakten• Technisches Umfeld der Registrierkassen / Kassensysteme / Software
hat sich in den letzten 20 Jahren extrem weiterentwickelt• gesetzliche Grundlagen waren veraltet, in BP nur wenige Spezialisten• Problem mangelnde Prüfbarkeit
– flexible Software ersetzt Primitivprogrammierungen – fragliche Aussagekraft von früher glaubhaften Berichten, Protokollen– spurlose nachträgliche Veränderungen von Daten
• Problem betrifft Vielzahl von Systemen und Betriebsformen – Gastronomie, Hotellerie, Eventbetriebe– Einzelhandel, Kleinproduzenten (Bäcker, Metzger, ...)– Handwerk, Dienstleister (Friseure, Taxis, ...)– Gesundheitsbereich (Ärzte, Apotheken, ...)
• Betrugsbekämpfungsgesetz 2006 regelte gesetzliche Aufzeichnungsumgebung neu + Anpassung EDV-Bereich an Realität
– GF-Aufzeichnung, E 131, el. Radierverbot, ...
• Risikofeld digitale Aufzeichnungen wurde in Ö bis 2010 dennoch nur sporadisch und regional unterschiedlich tiefgehend geprüft
E. Huber – IVPTÖ-Informationsabend 30.1.2015
• Schaffung klarer Vorgaben für Ordnungsmäßigkeit
• Ausschaltung der Spurlosigkeit der Manipulation von Geschäftsvorfällen
• Reduktion des Zeitvorsprunges zur Datenveränderung
• massive Erhöhung der Entdeckungswahrscheinlichkeit durch jederzeitige Steueraufsicht
• Durchsetzung der notwendigen chronologischen Nachvollziehbarkeit von Geschäftsvorfällen in den Daten
BMF-Risikostrategiegegen Datenmanipulation
E. Huber – IVPTÖ-Informationsabend 30.1.2015
• Kassen-Bildungsinitiative 2010/ 2011 -Ausbildung von rd. 1.100 Finanzbeamten zur Umsetzung des BBG06 in Kassenprüfung und Kassennachschau
• � vermehrter Nachschau- und Prüfungskontakt mit RegK-Fällen- hoher Anteil an Prüffällen mit Feststellung schwerer Mängel
• WKO, KWT beklagen unterschiedlicher Verwaltungspraxis bzwFehlen praktischer Vorgaben als Grundlagen zur Compliance
• � Kassenrichtlinie 2012- Rechtssicherheit für StPfl, Berater, Hersteller (und Prüfer)
- Prüfungs- und Kontrollfähigkeit für Fiskus
• seit 2012 Kassennetzwerk der FinPol, BP, FB, SteuFa, Strasa
• seit 2012 Kassennachschauen durch die FinPol
• 2013 Entwicklung Kassenmakro (neue Prüfungstechnik)
• 2013 Kassenschulungen für Fachbereich, Strafsachenstellen
• 2014 Neuregelung Prozess „abgabenrechtliche Aufzeichnungs- und Kassenüberprüfung“
BMF-Risikostrategiegegen Datenmanipulation
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Erich Huberdie neue
Prüfungstechniktechnische Eckpunkte Kassenrichtlinie
1. Verfahrensdokumentation
2. Vorhandensein einer „Einrichtung 131“ + Beschreibung der „ E131“ durch Systemhersteller
3. Erhöhung der Vermutung der Ordnungsmäßigkeit durch freiwillige Maßnahmen des StPfl– freiwillige Belegerteilung bei allen GF und
Ausfolgung der Belege an jeden Kunden
4. Fortlaufende und kontrollfähige Dokumentation der Erfassung als Journalfunktion (Datenerfassungsprotokoll)
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Erich Huberdie neue
PrüfungstechnikKasse Typ 3 Kassensysteme bzw. PC-Kassen
• Kassensysteme, welche meistens über ein eigenes Betriebssystem verfügen (so genannte „proprietäreKassensysteme“) und die Geschäftsvorfälle mittels Datenspeicherung in komplexeren Strukturen als bloßen Summenspeichern festhalten
• sowie PC-Kassen mit eigenem, handelsüblichen Betriebssystem, die im Regelfall mittels auf Datenbanken basierender Software die Geschäftsvorfälle permanent festhalten
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Erich Huberdie neue
Prüfungstechnik
• Für sonstige Einrichtungen gelten ebenfalls die Kriterien der Ordnungsmäßigkeit und die dabei erstellten Grundaufzeichnungen sind entsprechend aufzubewahren wie zB für– Fakturierungsprogramme
– branchenspezifische Softwareprogramme, die der Rechnungserstellung dienen / mit der Losungsermittlung verknüpft sind und damit verbundene Geschäftsprozesse darstellen
• Soweit diese Einrichtungen mit den jeweiligen Kassentypen vergleichbar sind, sind die technischen Bestimmungen analog anzuwenden
sonstige Einrichtungen
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Erich Huberdie neue
Prüfungstechnik
Erich Huberdie neue
Prüfungstechnik
Journalfunktion ???
Sicherheitseinrichtung E 131 ???
Serverstandorte –finaler Datenzugriff der
Finanz ???
• entspricht idR
PC-Kasse (KRL-Typ 3)
• hat die selben
Risiken
Sonstige Einrichtungen -
Branchensoftware
• braucht
– die selben Sicherheitsmaßnahmen
– eine Journalfunktion
– eine Beschreibung der E 131
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Erich Huberdie neue
Prüfungstechniktechnische Eckpunkte Kassenrichtlinie
1. Verfahrensdokumentation
2. Vorhandensein einer „Einrichtung 131“ + Beschreibung der „ E131“ durch Systemhersteller
3. Erhöhung der Vermutung der Ordnungsmäßigkeit durch freiwillige Maßnahmen des StPfl– freiwillige Belegerteilung bei allen GF und
Ausfolgung der Belege an jeden Kunden
4. Fortlaufende und kontrollfähige Dokumentation der Erfassung als Journalfunktion (Datenerfassungsprotokoll)
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Erich Huberdie neue
PrüfungstechnikVerfahrensdokumentation
• Bedienungsanleitung, Handbuch• Konfigurationsanleitung, Einrichtungsprotokolle • sonstige zur Kasse gehörende Organisationsunterlagen• Darstellung
– Inhalt, Aufbau und Ablauf des Abrechnungsverfahrens und der – Umfang der tatsächlichen Nutzung von etwaigen Teilprogrammen – der Erfüllung der Prinzipien der Ordnungsmäßigkeit
• Dokumentation von – Änderungen in der Systemkonfiguration und der Verarbeitungsregeln
durch Stammdatenprotokoll– Einrichtung oder Änderung von Aufzeichnungsgrundlagen – sonstige Einstelländerungen, die Einfluss auf das Verhalten des
Systems nehmen – Veränderung von Programmen (Einsatzdatum, Versionsnummer, etc.)– Nachprüfbarkeit der Vollständigkeit von Änderungen (fortlaufende
Nummer, Datum / Uhrzeit und Dokumentation der Art der Änderung)
E. Huber – IVPTÖ-Informationsabend 30.1.2015
• E 131 = Sicherheitseinrichtung• soll nach KRL seit 1.1.2013 vorhanden und beschrieben sein
• ist formale Voraussetzung für die Ordnungsmäßigkeit
• ist technisch nicht näher spezifiziert („Maßnahme“)
• muss prozesslogisch und technisch zur Erfüllung der Voraussetzungen geeignet sein
• Beschreibung der E 131 ist Teil der Verfahrensdokumentation und kann durch den Kassenhersteller oder -programmierer erfolgen
Einrichtung nach § 131 Abs. 2 u.3 BAO
E. Huber – IVPTÖ-Informationsabend 30.1.2015
• soll beinhalten– die sachlogische Lösung der
• Sicherstellung des elektronischen Radierverbotes• Journalfunktion als Kontroll- und Prüfungsgrundlage
– die Beschreibung der ev. freiwilligen zusätzlichen technischen Sicherheitsmaßnahmen samt Wirkung • (zB Belegerteilung, Signaturen, Unveränderbarkeit …)
• soll darstellen – Prozesslogik der Maßnahme (Logik der Vorgänge)
– Technik der Maßnahme (techn. Umsetzung der Prozesslogik)
– Wirkung der Maßnahme (Gewähr maximaler Sicherheit)
• in Beschreibung der E131 bestätigt der Hersteller, dass es eine wirksame E131 gibt und damit dass das System sicher ist
Beschreibung der Einrichtung nach § 131 Abs. 2 u.3 BAO
Erich Huberdie neue
Prüfungstechnik
• nachvollziehbare Dokumentation über die gesetzlichen Aufzeichnungspflichten hinaus– freiwillige Belegerteilung bei allen
Geschäftsvorfälle – Ausfolgung der Belege an jeden Kunden – die einzelnen Kassenbelege sind den einzelnen
aufgezeichneten Geschäftsvorfälle aufgrund eindeutiger Merkmale konkret zuordenbar und dies ist leicht und sicher nachprüfbar
– Vergabe fortlaufender Rechnungsnummern – Offenlegung der entsprechenden
Dokumentationsgrundlagen der Geschäftsvorfälle
freiwillige Maßnahmen zur Erhöhung der Vermutung der Ordnungsmäßigkeit
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Erich Huberdie neue
PrüfungstechnikBeleg
• Mindestinhalte – Bezeichnung Betrieb
– Datum, Uhrzeit
– Belegnummer
– Einzelprodukte,
Preise
– Gesamtsumme
Erich Huberdie neue
Prüfungstechnik
• auch Aufzeichnungen über Ereignisse, die letztendlich keinen zu erfassenden Geschäftsvorfall bewirken, sollen - insoweit diese Vorgänge erfasst wurden – aufbewahrt werden, wie zB– mit einem Geschäftsvorfall zusammen hängende bzw. vorbereitende Vorgänge • z.B. nicht abgeschlossene oder zustande gekommene Geschäftsvorfälle, Preisabfragen, erstellte Angebote
– rückgängig machende Vorgänge • z.B. nachträgliche Stornos, Rücklieferungen
– sonstige Vorgänge im Geschäftsprozess, soweit diese aus Gründen der Überprüfung der vollständigen und richtigen Erfassung aller Geschäftsvorfälle oder aus sonstigen für die Abgabenerhebung bedeutsamen Gründen aufzeichnungs-bzw. aufbewahrungspflichtig sind
bedingt aufbewahrungspflichtige Nicht-Geschäftsvorfälle
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Erich Huberdie neue
Prüfungstechnik
zusätzliche Aufzeichnungen von abgabenrechtlicher Bedeutung -„Nebenaufzeichnungen“
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Erich Huberdie neue
PrüfungstechnikDatenerfassungsprotokoll
bei Typ 3-Kassen
• Ereignisprotokolldatei mit Protokollierung der erfassten Buchungsvorgänge – Geschäftsvorfall– dessen Gesamtbetrag– dessen betragliche Grundlagen bzw. Einzelleistungen oder Einzelprodukte
– sonstige aufzeichnungspflichtige Vorgänge
• Sicherstellung der jederzeitigen Möglichkeit der Prüfung der Vollständigkeit und Richtigkeit der chronologisch geordneten, vollständigen, richtigen und zeitgerechten Erfassung jedenfalls durch – Datum, Uhrzeit– fortlaufende Nummerierung der einzelnen Buchungen
• Überprüfungsmöglichkeit soll auch bei aktuellen Maßnahmen der Steueraufsicht gegeben sein
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Risikomanagement bei Aufzeichnungssicherheit -Paradigmenwechsel
• späte Revision–Buchprüfung zur Ermittlung der
aufgezeichneten Verhältnisse der Vergangenheit in der Zukunft
• versus
• frühe Steueraufsicht–vor Ort Kontrolle zur Ermittlung der wahren Verhältnisse der Gegenwart in der Gegenwart
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Erich Huberdie neue
Prüfungstechnik
Kontrollansatz neu -frühe Steueraufsicht
E. Huber – IVPTÖ-Informationsabend 30.1.2015
OHB – 9.FinPol -
E. Huber – IVPTÖ-Informationsabend 30.1.2015
OHB – 16.FinPol - Allgemeines
E. Huber – IVPTÖ-Informationsabend 30.1.2015
OHB – 16.FinPol - Allgemeines
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Erich Huberdie neue
PrüfungstechnikKontrollansätze bei Kassennachschau
• Aufforderung zur Datenvorlage
–Datenerfassungsprotokoll
–Datenzugriff zur späteren
Einsicht in Journalfunktion zur
Auffindung von bekannten oder
beobachteten Geschäftsfällen
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Exportjournal
? Sofortige Lesbarkeit !
Erich Huberdie neue
PrüfungstechnikKontrollansätze bei Kassennachschau
Erich Huberdie neue
Prüfungstechnik
• Systemhandbuch
• Stammdatenprotokoll
• Versionsdokumentation
• sonstige Teile der Verfahrensdokumentation
• Beschreibung der E 131
Kontrollansätze bei Kassennachschau
Erich Huberdie neue
Prüfungstechnik
• Datensicherung– Modus, Medium Sicherungsroutinen Sicherungsort, sofortige Vorlage möglich?
• Kontrolle der Bargeldgebarung– Kassensturz, Kassenberichte, Münzlisten– rechnerische Losung (lt. Aufzeichnungssystem) und Bargeld in Kasse - wie und wie oft erfolgt die tatsächliche Abstimmung?
– Wann gab es Differenzen ?– Was passiert mit Differenzen ?
• Festhaltung von Nebenaufzeichnungen – obligatorische / fakultative Aufzeichnungen die neben bzw. außerhalb des Primär-Aufzeichnungssystems erstellt werden
– wozu werden diese erstellt ?– sind diese von abgabenrechtlicher Bedeutung und aufbewahrungspflichtig ?
– finden sich diese bei Anschluss-BP im Rechenwerk wieder ?
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Kontrollansätze bei Kassennachschau
Compliance - Maßnahmenvom Risiko zur Ordnungsmäßigkeit
• Software– Verfahrensdokumentation, E131-Beschreibung
– Journalfunktion
• Daten– Datenerfassungsprotokoll jederzeit lesbar exportfähig
– Beachtung von Vorgängen bei Daten mit abgabenrechtlicher Bedeutung iZm Verfolgbarkeit der Geschäftsfälle
– Datensicherung gewährleisten
• Nebenaufzeichnungen– geordnet aufbewahren
• Bargeldgebarung– formell ordnungsmäßig durchführen
E. Huber – IVPTÖ-Informationsabend 30.1.2015
Fair Play Compliance
Aufzeichnungssicherheit vom Risiko zur Ordnungsmäßigkeit
Danke für Ihre
Aufmerksamkeit !
E. Huber – IVPTÖ-Informationsabend 30.1.2015