GoBD Verfahrensdokumentation (MOS'aik)

MOSER Gesamtdokumentation - 4.1. GoBD-Checkliste

4.1. GoBD-Checkliste

Versionsgeschichte
Version v2.0	26.4.2017	MZ
Neu (RDB061)

Mit der folgenden Checkliste kann schnell überprüft werden, ob das MOS'aik-System gemäß den Anforderungen der GoBD eingerichtet ist.

SQL Server Datenbank Zur Absicherung der Datenbank dürfen nur befugte Personen darauf zugreifen können. Darüber hinaus entsteht durch die Einhaltung der gesetzlichen Aufbewahrungspflicht sowie die Anforderungen nach Verfügbarkeit und Vollständigkeit ein höheres Datenvolumen, das von der eingesetzten Datenbank verarbeitet werden muss. Aus diesen Gründen ist der Einsatz einer SQL Server Datenbank unabdingbar.
	Zugriffsrechte	Zur Absicherung der Geschäftsdaten dürfen nur befugte Personen (gemäß Organigramm) auf die Datenbank zugreifen können. Die Einstellung erfolgt durch den Datenbankadministrator über das Programm SQL Server Manager.
Dateiablageordner Zur Absicherung der genutzten Dateisysteme dürfen nur befugte Personen darauf zugreifen können.
	Zugriffsrechte	Die Zugriffsrechte über das Betriebssystem auf das Dateiablageverzeichnis müssen (gemäß Organigramm) so eingerichtet sein, dass nur berechtigte Benutzer darauf zugreifen dürfen. Die Einstellung erfolgt durch den Systemadministrator über das Programm Windows Explorer.
Benutzerverwaltung MOS'aik-Anwender haben teils unterschiedliche betriebliche Aufgaben und nicht jeder Mitarbeiter ist beispielsweise berechtigt, Aufgaben der Buchhaltung auszuüben oder Geschäftsauswertungen einzusehen. Die MOS'aik Benutzerverwaltung gewährleistet die Einrichtung individueller Berechtigungen für Anwendergruppen und einzelne Anwender. Durch Vergabe persönlicher Systemzugänge werden die Aktivitäten der Benutzer nachvollziehbar (siehe auch Produktdokumentation Benutzerverwaltung). Um die Vollständigkeit, Unveränderbarkeit und Nachvollziehbarkeit der Daten zu gewährleisten, sind folgende Maßnahmen durch einen MOS'aik Administrator über das Menü Extras > Benutzer- und Gruppenkonten erforderlich:
	Separate Benutzerzugänge mit persönlichem Kennwort	Für jeden Benutzer ist einen separater Zugang (Account/Login) mit einem Kennwort anzulegen, welches nur diesem Benutzer/Mitarbeiter bekannt ist.
	Standardbenutzer ohne Administrationsrechte	Standardbenutzer dürfen nicht den Benutzergruppen Admins oder Journal Manager angehören.
	Ausgewählte 'Journal Manager'	Nur bevollmächtigte Buchhalter dürfen der Benutzergruppe Journal Manager angehören.
	Storno nur für bestimmte Benutzer (optional)	Ggf. sollen nur bevollmächtigte Mitarbeiter Vorgänge stornieren dürfen (Systemrichtlinie Stornieren von Vorgängen erlauben).
	Änderungssperren	Nach Einrichtung durch einen Administrator, darf es nicht-administrative Benutzern nicht mehr möglich sein, die Einstellungen folgender Arbeitsblätter zu ändern: Bereich Stammdaten > Einstellungen: Firmenstammdaten, Nummernkreise, Nummernkreis Bereich Stammdaten > Projekte: Vorgangsarten, Vorgangsart
Systemrichtlinien Über die korrekte Einstellung der Systemrichtlinien wird sichergestellt, dass kritische Systemzugriffe nicht oder nur durch dafür vorgesehene Benutzer vorgenommen werden können. Man meldet sich dazu als MOS'aik Administrator an und ruft das Menü Extras > Systemrichtlinien auf. Hier sollten die folgenden Richtlinien überprüft und bei Bedarf entsprechend angepasst werden:
	"Projektbearbeitung in klassischer Ansicht erlauben"	Die Richtlinie ist standardmäßig aktiv und auf die Benutzergruppe "Admins" eingeschränkt. Die Verwendung der "klassischen Bearbeitungsansicht" ist damit nur durch Administratoren möglich.
	"Dialogbuchen erlauben"	Die Richtlinie ist standardmäßig aktiv und auf die Benutzergruppe "Admins" eingeschränkt. Das direkte Buchen in den Buchungsstapel ist damit nur durch Administratoren möglich.
	"Löschen von Offenen Posten erlauben"	Die Richtlinie ist standardmäßig nicht aktiv. Das Löschen von OPs ist damit nicht möglich.
	"Löschen von verbuchten Vorgängen erlauben"	Die Richtlinie ist standardmäßig nicht aktiv. Das Löschen verbuchter Geschäftsvorfälle ist damit nicht möglich.
	"Offene Posten Verwaltung erlauben"	Die Richtlinie ist standardmäßig aktiv und auf die Benutzergruppe "Admins" eingeschränkt. Der Aufruf der OP-Verwaltung über das Menü Projekt > Offene Posten Zur Buchung von Zahlungen ist damit nur durch Administratoren möglich. Selbstverständlich können hier eigene Benutzergruppen mit Buchungsbefugnis, wie z.B. die Mitarbeiter der "Buchhaltung", zugefügt werden.
	"Sperren der Bearbeitung von Offenen Posten"	Die Richtlinie ist standardmäßig nicht aktiv. Die Bearbeitung von OPs ist damit nicht möglich.
	"Löschen von Vorgängen erlauben" (Optional)	Standardmäßig dürfen alle Benutzer unverbuchte Vorgänge löschen. Um diese Möglichkeit auf bestimmte Benutzer oder Benutzergruppen einzuschränken, kann die Richtlinie aktiviert werden.
	"Stornieren von Vorgängen erlauben" (Optional)	Die Richtlinie ist standardmäßig nicht aktiv. Das Stornieren von verbuchten Vorgängen ist damit für alle Mitarbeiter möglich, solange keine Festschreibung der Buchungsgrenzperiode erfolgt ist. Storno-Berechtigungen können eingeschränkt werden, indem die Richtlinie aktiviert wird und verantwortliche Benutzer oder Benutzergruppen (z.B. "Buchhaltung", "Controlling" etc.) zugeordnet werden.
	"Verschieben von Vorgängen erlauben" (Optional)	Die Richtlinie ist standardmäßig nicht aktiv. Das Verschieben von Vorgängen in ein anderes Projekt ist damit für alle Mitarbeiter möglich, solange diese noch nicht verbucht wurden. Die Berechtigung kann eingeschränkt werden, indem die Richtlinie aktiviert wird und verantwortlichen Benutzer oder Benutzergruppen (z.B. "Controlling" etc.) zugeordnet werden.
Überarbeitungssperre Der Schalter Überarbeiten der Texte nach dem Verbuchen eins Vorgangs dieser Vorgangsart verhindern muss gesetzt sein, um sicherzustellen, dass Geschäftsvorfälle nach dem buchenden Druck nicht mehr geändert werden können (siehe dazu auch das Handbuch Projektverwaltung).
	Überarbeitungssperre aktiv	Die Einstellung erfolgt für sämtliche Vorgangsarten über das Arbeitsblatt Stammdaten > Projekte Vorgangsarten. Hier öffnet man den Bereich Direkt bearbeiten und stellt die Spalte `Überarbeitungssperre` für alle Vorgangsarten auf Ja. Anschließend werden die Änderungen mit F7 abgespeichert.
Logbuchspeicher Die Einstellung stellt sicher, dass die Protokolle des Logbuchs nicht vor Ablauf der gesetzlichen Aufbewahrungsfrist von Geschäftsdaten gelöscht werden. Damit kann in Verbindung mit dem internen Kontrollsystem nachgewiesen werden, dass keine unbegründeten administrativen Zugriffe in das System vorgenommen wurden.
	Ereignisprotokoll aufbewahren	Die Einstellung erfolgt über das Feld Logbuchspeicher im Arbeitsblatt Stammdaten > Einstellungen Firmenstammdaten. Das Feld sollte für eine mindestens 10-jährige Aufbewahrungszeit beispielsweise auf den Wert 4000 (>3650 Tage) eingestellt werden.
Textspeicherung Um die konsistente Darstellung von Stammdaten historischer Geschäftsvorfälle zu garantieren, muss sichergestellt sein, dass beschreibende Texte von Sets, Artikeln und Texten in den Geschäftsvorfällen abgelegt werden.
	Textspeicherung für Stammdaten	Man öffnet dazu das Arbeitsblatt Stammdaten > Projekte Vorlagen und bearbeitet dann nacheinander sämtliche Vorlagen mit F4, indem man die Eigenschaften der Vorlage mit F8 aufruft und sicherstellt, dass auf der Registerkarte Sonstiges das Feld Textspeicherung auf den Wert Set-, Text- und Artikelbeschreibungen übernehmen eingestellt ist.
IDEA-Datenexport
	Erweiterungsmodul lizenziert	Das Erweiterungsmodul IDEA-Datenarchivierung muss für die Möglichkeit zum Datenexport lizenziert sein. Die Lizenzierung erfolgt über das Menü Extras > Lizenzierung.

Wiederkehrende Abläufe

Speicherung von E-Mails und weiteren Daten

Geschäftliche E-Mails müssen regelmäßig gespeichert und gesichert werden. Außerdem handelt es sich bei den mit mobilen Anwendungen, wie z.B. dem Mobilen Service, der Mobilen Zeiterfassung (per mobiler App oder Handscanner) oder dem Mobilen Aufmaß, ausgetauschten E-Mails um aufbewahrungspflichtige Daten.
Buchungsgrenzperiode festlegen

Das Stornieren von bereits versendeten, d.h. buchend gedruckten, Vorgängen sollte regelmäßig (z.B. monatlich) durch Festsetzung der Buchungsgrenzperiode verhindert werden. Korrekturen können anschließend noch durch Erstellung neuer Rechnungen bzw. Gutschriften erfolgen. Die Festsetzung der Grenzperiode ist nur Benutzern der Benutzergruppe Journal Manager (oder Administratoren) möglich. Siehe Abschnitt 3.3.17, „Buchungsgrenzperiode festschreiben“.
Datensicherung

Um sicherzustellen, dass Ihre Geschäftsdaten über die gesetzliche Aufbewahrungsdauer hinweg vollständig sind, ist eine regelmäßige Sicherung der Datenbank und des Dateiablageordners erforderlich. Ein sinnvolles Sicherungskonzept ist es beispielsweise, eine tägliche Sicherung nach Geschäftsschluss vorzunehmen. Darüber hinaus werden wöchentliche, monatliche und jährliche Sicherungen aufbewahrt. Für abgeschlossene Geschäftsjahre sollte mindestens eine Jahressicherung aufbewahrt werden.
Internes Kontrollsystem (IKS)
- Periodische Prüfung der Einhaltung aller GoBD-Anforderungen sowie dieser Checkliste.
- Systemeingriffe dokumentieren, z.B. für eigene und extern beauftragte Wartungsmaßnahmen (z.B. durch die Firma Moser), Softwareupdates, Lizenzierungen, Änderungen der Benutzer- und Gruppenkonten im Rahmen der Benutzerverwaltung, Formularanpassungen, etc.