Revisionssicherheit: Definition und Bedeutung für die Cloud
Informationen in elektronischer Form aufzubewahren, gehört mittlerweile in vielen Unternehmen zur Tagesordnung. Das papierlose Büro wird immer beliebter. Bei der digitalen Archivierung gilt es aber allerhand zu beachten: Aufbewahrungspflichtige und -würdige Dokumente sind beispielsweise immer revisionssicher im digitalen Speicherraum abzulegen. Wir verraten, was es damit auf sich hat.
- Kostengünstige vCPUs und leistungsstarke dedizierte Cores
- Höchste Flexibilität ohne Mindestvertragslaufzeit
- Inklusive 24/7 Experten-Support
Was ist Revisionssicherheit?
Der Begriff der Revisionssicherheit beschreibt eine sichere Aufbewahrung von Informationen in elektronischer Form, die man auch als revisionssichere Archivierung bezeichnet. Ursprünglich betrifft die Revisionssicherheit aufbewahrungspflichtige und -würdige Daten im handels- und steuerrechtlichen Bereich, deren Archivsysteme verschiedenen Anforderungen entsprechen müssen. Neben verschiedenen handels- und steuerrechtlichen Vorgaben geht eine revisionssichere Informationsaufbewahrung auf folgende Richtlinien zurück:
- die Anforderungen des Handelsgesetzbuches (HGB) an die Führung von Handelsbüchern (§ 239) und an die Aufbewahrung von Unterlagen (inklusive Aufbewahrungsfristen) (§ 257)
- die Anforderungen der Abgabenordnung (AO) an die Buchführung und Aufzeichnung (§ 146) und an die Aufbewahrung von Unterlagen (§ 147)
- die Grundsätze der ordnungsgemäßen elektronischen Buchführung (GoBD)
Mittlerweile ist Revisionssicherheit bzw. revisionssichere Archivierung auch außerhalb der Handels- und Steuerwelt ein Thema: Immer häufiger wird der Begriff beispielsweise verwendet, um eine verfälschungssichere und langzeitige Aufbewahrung elektronischer Informationen zu kennzeichnen.
Der Begriff der Revisionssicherheit existiert bereits seit 1992. Vom deutschen Unternehmensberater und Autor Ulrich Kempffmeyer geprägt, veröffentlichte der Verband Organisations- und Informationssysteme (VOI), Fachverband der Dokumentenmanagementbranche, die revisionssichere Archivierung im Jahr 1996 erstmalig in einem „Code of Practice“.
Die 10 Merkmale revisionssicherer Archivierung im Überblick
Aus den Anforderungen, die das Handelsgesetzbuch, die Abgabenordnung und die GoBD stellen, lassen sich folgende zehn Merkmale für Revisionssicherheit ableiten:
- Vollständigkeit: Auf dem Weg ins Archiv darf kein Dokument verloren gehen.
- Unveränderbarkeit: Jegliche Dokumente werden unverändert und unveränderbar archiviert.
- Ordnungsmäßigkeit: Jedes Dokument ist den rechtlichen und organisationsinternen Richtlinien folgend aufzubewahren.
- Wiederauffindbarkeit: Alle Informationen müssen wiederauffindbar bzw. abrufbar sein, beispielsweise durch das Indexieren mit Metadaten.
- Nutzung nur durch Berechtigte: Alle Informationen müssen derartig archiviert sein, dass sie nur von berechtigten Personen eingesehen werden können.
- Sicherung vor Verlust: Die Datensicherheit muss zu jedem Zeitpunkt gewährleistet sein.
- Achtung der Aufbewahrungsfristen: Ein Dokument darf frühestens dann aus dem Archiv gelöscht werden, wenn seine Aufbewahrungsfrist abgelaufen ist.
- Dokumentation: Eine ausführliche Dokumentation des Archivierungsverfahrens ist Pflicht, um beispielsweise eine reibungslose Migration des Archivs zu ermöglichen.
- Nachvollziehbarkeit: Sämtliche Veränderungen im Archiv sind zu protokollieren, sodass sie nachvollziehbar sind und die Wiederherstellung des ursprünglichen Zustands möglich ist.
- Prüfbarkeit: Ein revisionssicheres Archivsystem muss jederzeit von einem dritten Sachverständigen überprüfbar sein.
Welche Vorteile bietet Revisionssicherheit?
Ein digitales Archiv, das die aufgezeigten Ansprüche der Revisionssicherheit erfüllt, kann sich aus verschiedensten Gründen auszahlen. Zum einen hilft ein revisionssicheres Archiv, Geschäftsprozesse zu optimieren: Passende Suchmechanismen und eine verbesserte Informationsstruktur sorgen dafür, dass gewünschte Dokumente in kürzester Zeit verfügbar sind, um beispielsweise Kundenanfragen noch schneller beantworten zu können.
Zum anderen hilft Revisionssicherheit dabei, Fehler im Umgang mit wichtigen Daten bzw. Dokumenten langfristig auf ein Minimum zu reduzieren. Die revisionssichere elektronische Archivierung stellt sicher, dass keine mehrfachen Exemplare eines Dokuments auftauchen oder dass keine Informationen versehentlich gelöscht werden.
Generell können Unternehmen durch die Realisierung eines revisionssicheren Archivsystems größeren finanziellen Schäden und einem möglichen Imageverlust infolge verlorengegangener Dokumente oder unberechtigter Zugriffe vorbeugen.
Revisionssicherheit ist auch bei der rechtssicheren E-Mail-Archivierung ein wichtiger Faktor.
Zertifizierung von revisionssicheren Archivsystemen
Wer ein revisionssicheres System für die digitale Aufbewahrung von Dokumenten aufbaut und einsetzt, kann damit auch ganz grundsätzlich auf Kunden- und Partnerseite punkten. Zertifikate, die Revisionssicherheit bestätigen, schaffen Vertrauen und sind damit nicht nur als wichtiger Überzeugungsfaktor für neue Kunden, Partner und Investoren, sondern auch als Basis für eine langfristige Zusammenarbeit gefragt.
Informationssicherheit im Allgemeinen können sich Unternehmen in Form des ISO-27001-Standards zertifizieren lassen.
Typischerweise findet eine Überprüfung und Zertifizierung der Revisionssicherheit von elektronischen Archivsystemen durch Wirtschaftsprüfer vor Ort statt. Das IDW (Institut der Wirtschaftsprüfer in Deutschland) hat hierfür 2015 mit der Verlautbarung IDW RS FAIT 3 („Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren“) eigene Vorgaben gemacht, die Unternehmen für einen erfolgreichen Check erfüllen müssen.
Eine „revisionssichere Archivierung von Dokumentenmanagement-Lösungen“ können sich Unternehmen außerdem von TÜV Informationstechnik (TÜViT) zertifizieren lassen. Als Grundlage für den Zertifizierungsprozess verwenden die TÜViT-Experten die Prüfkriterien für Dokumentenmanagement- und Dokumentenprozess-Lösungen (PK-DML) des Verbands für Organisations- und Informationssysteme (VOI).
Revisionssicherheit in der Cloud: GoBD-Konformität als Schlüsselfaktor
Die Vorteile von Cloud-Computing haben das Arbeiten in der Cloud in vielen Unternehmen unverzichtbar gemacht. Besonders beliebt bei KMUs: Das Speichern und Archivieren von Dateien und Dokumenten in einem Cloud-Speicher.
Ähnlich wie das Thema Datenschutz wird Revisionssicherheit von den Anbietern der verschiedenen Marktlösungen ganz unterschiedlich gewichtet. Insbesondere zwischen Providern aus dem deutschen bzw. europäischen Bereich und US-amerikanischen Dienstleistern geht das Bewusstsein für eine datenschutzkonforme und revisionssichere Aufbewahrung der Informationen weit auseinander. Ein wichtiger Anhaltspunkt für Nutzer ist daher, ob ein Cloud-Service nicht nur die DSGVO beachtet, sondern auch die bereits erwähnten Grundsätze der ordnungsgemäßen elektronischen Buchführung (GoBD) umsetzt.
Die typischen Merkmale für Revisionssicherheit lassen sich dabei eins zu eins auf eine revisionssichere Cloud übertragen:
- Die Unveränderbarkeit gespeicherter Informationen muss gewährleistet sein. Anbieter können dieses Ziel u. a. durch eine automatisierte Versionierung aller Cloud-Daten erreichen.
- Die Nachvollziehbarkeit der Revisionssicherheit lässt sich in der Cloud durch ein geschütztes Aktivitätenprotokoll realisieren, das sämtliche Dateiübertragungen sowie Änderungs- und Löschprozesse erfasst.
- Die Sicherung vor Dateiverlust ist ebenfalls ein wichtiger Punkt. Cloud-Provider versprechen eine hohe Datensicherheit und setzen hierfür beispielsweise auf georedundante Hardware, Verschlüsselung und leistungsstarke Sicherheitssoftware. Für eine revisionssichere Archivierung sollte auch die Möglichkeit eines zusätzlichen Backups nicht fehlen.
- Integrierte Suchfunktionen sorgen dafür, dass Cloud-Speicher auch den Faktor „Wiederauffindbarkeit“ erfüllen.
- Der Forderung, unberechtigte Zugriffe zu verhindern, können Cloud-Speicher durch eine entsprechende Zugriffsverwaltung ebenfalls nachkommen. Auf Basis eines solchen Management-Tools können Verantwortliche Nutzerrollen erstellen und zuteilen, sodass jeder Cloud-User nur das sehen, öffnen und bearbeiten kann, was seinem Status im Unternehmen entspricht.
IONOS bietet Ihnen die europäische Cloud Alternative für Ihr Unternehmen: hochperformant, 100% DSGVP-konform und einfach zu bedienen.
- Jederzeit vollständige Datenhoheit sowie Datenkontrolle
- Im Einklang mit allen gesetzlichen Regelungen in Deutschland
- Ohne Vendor Lock-in für höchste Flexibilität