Praxisbuch IT-Dokumentation

1	Anforderungen an die IT-Dokumentation

Richtigerweise startet ein Projekt zur Erstellung bzw. Optimierung der IT-Dokumentation mit der Frage: »Was muss ich in meiner IT-Organisation eigentlich dokumentieren?« Denn es ist entscheidend, dass man neben individuellen Anforderungen und Zielen im ersten Schritt analysiert, welche verbindlichen Dokumentationsverpflichtungen oder mit anderen Worten, welche Compliance-Anforderungen es für das eigene Unternehmen gibt. Hierbei möchte dieses Kapitel Sie unterstützen. Es beleuchtet, welche Anforderungen sich aus gesetzlichen Anforderungen und Verordnungen für die IT-Dokumentation ableiten lassen.

Unternehmen müssen aber nicht nur sicherstellen, dass Compliance-Anforderungen eingehalten werden, sondern dies auch regelmäßig kontrollieren und im Rahmen der Jahresabschlussprüfung gegebenenfalls auch nachweisen. Welche Anforderungen Prüfer und Revisoren an die IT-Dokumentation stellen, wird daher ebenfalls vorgestellt.

Normen und Standards entfalten zwar für sich genommen keine Gesetzeskraft. Sie können jedoch durch entsprechende Hinweise in Gesetzen Compliance-Charakter annehmen. Zumindest können sie aber als „Best Practices“ gelten.

In diesem Kapitel finden Sie die folgenden Themenschwerpunkte:

• Was heißt Compliance?

• Branchenübergreifende Anforderungen an die IT-Dokumentation

• Anforderungen aus branchenspezifischen Vorschriften

• Was prüfen Abschlussprüfer und Revisoren?

• Dokumentationsanforderungen in Österreich und in der Schweiz

• Relevante Normen und Standards

1.1	Was heißt Compliance?

Die Bezeichnung Compliance stammt ursprünglich aus dem Englischen und bedeutet so viel wie »Einhaltung« oder »Befolgung«. Leider sucht man eine allgemeingültige Definition für den Begriff vergebens. Bezogen auf gesetzliche Anforderungen verbirgt sich hinter dem Begriff Compliance die Bedeutung eines gesetzestreuen Verhaltens. Weiter gefasst bedeutet Compliance die Erfüllung aller rechtlichen Vorgaben und aller branchenspezifischen Vorgaben sowie der innerbetrieblichen Richtlinien.

Bei IT-Compliance als Teilbereich von Compliance bezieht sich die oben genannte Einhaltung internationaler, nationaler und innerbetrieblicher Gesetze, Richtlinien und Bestimmungen auf den Umgang mit der im Unternehmen vorhandenen Informationstechnik. Dabei adressiert IT-Compliance vor allem die Bereiche Sicherheit, Verfügbarkeit, Integrität und Datenschutz. Für diese Bereiche müssen Maßnahmen, Prozesse und Kontrollen implementiert und nachvollziehbar dokumentiert werden.

Compliance-Anforderungen mit Relevanz für die IT

Für eine Umsetzung der Compliance-Anforderungen ist es aber selbstverständlich erst einmal notwendig, diese zu kennen. Leider gibt es keinen allgemeingültigen Standard, was in eine IT-Dokumentation aufzunehmen ist, oder gar ein gesondertes Dokumentationsgesetz.

Es existieren jedoch eine ganze Reihe von Verpflichtungen für die Erstellung und Vorhaltung einer Dokumentation, die deren Inhalt und Aufbau prägen. Branchenübergreifend sind insbesondere Vorschriften aus dem Bereich der Buchführung und Rechnungslegung sowie Datenschutz und steuerliche Thematiken für verschiedenartige Unternehmen relevant. Die Vorschriften des Handelsgesetzbuchs, die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) ? ersetzt durch die GoBD ab dem 01.01.2015, das Bundesdatenschutzgesetz (BDSG), die Regelungen der Abgabenordnung (AO) sowie das in 2015 beschlossene IT-Sicherheitsgesetz ? gilt es hier zu beachten. Und mit dem amerikanischen Sarbanes-Oxley Act (SOX) und dem europäischen Pendant 8. EU-Richtlinie (auch als »Euro-SOX« bezeichnet) bzw. deren Umsetzung in nationales Recht in Form des Bilanzrechtsmodernisierungsgesetzes (BilMoG) wurden in den letzten Jahren Regelungen mit Gesetzeskraft verabschiedet, die einen erheblichen Einfluss auf die vorzuhaltende IT-Dokumentation haben. Wenn auch die meisten gesetzlichen Regelungen von kaufmännischen Grundsätzen wie dem Gläubigerschutz getrieben sind, so haben sie dennoch für die IT eine direkte Bedeutung, da die kaufmännischen Kernprozesse wie Buchhaltung und Einkauf in aller Regel IT-gestützt ablaufen (z.?B. die ERP-Anwendung SAP). Das IT-Sicherheitsgesetz ist jedoch direkt an die IT-Organisationen adressiert. Neben den branchenübergreifenden Vorgaben unterliegen Unternehmen einzelner Branchen z.?T. zusätzlichen, sehr spezifischen Anforderungen.

Den Gesetzen und Verordnungen ist allerdings gemein, dass die beschriebenen Anforderungen mehr oder weniger allgemein gehalten sind und die konkrete Umsetzung offen bleibt. Mit der Frage, wie der Aufbau einer gesetzeskonformen IT-Dokumentation sichergestellt werden kann, werden die Verantwortlichen allein gelassen. An dieser Stelle lohnt sich ein Blick auf einige relevante Standards und Normen.

Während Gesetze und daraus abgeleitete Rechtsnormen verbindlichen Charakter haben, entfalten Standards ihre Wirkung durch nationale oder internationale Anerkennung wie beispielsweise bei den ISO-Normen oder den DIN-Standards. Normen und Standards helfen dabei, gesetzliche Anforderungen einzuhalten, und dienen bei deren Umsetzung als Nachweis der Einhaltung. So weist ein Unternehmen, das eine Zertifizierung nach dem Sicherheitsstandard ISO 27001 erlangt hat, damit nach, dass es einen Sicherheitsprozess und die nach aktuellem Erkenntnisstand möglichen Sicherheitsmaßnahmen implementiert hat. Eine Organisation, die nicht über diese Zertifizierung verfügt, muss hierfür Einzelnachweise erbringen.

1.2	Branchenübergreifende Anforderungen an die IT-Dokumentation

Ein Gesetz ist eine Sammlung von verbindlichen Festlegungen für einen definierten Geltungsbereich, die in einem förmlichen Verfahren vom Gesetzgeber erlassen worden ist. Und entgegen der landläufigen Meinung gerade auch vieler erfahrener IT-Administratoren gibt es eine Reihe von allgemeinen Unternehmensgesetzen, aus denen sich aufgrund der immer stärkeren Abhängigkeiten der Geschäftsprozesse von der IT direkt oder indirekt Anforderungen an die IT-Dokumentation ergeben.

Zusätzlich zu den allgemeinen Unternehmensgesetzen gibt es eine Reihe weiterer Gesetze, Richtlinien und Verordnungen, die ebenfalls Relevanz für die IT-Dokumentation haben. Bei den Richtlinien und Verordnungen handelt es sich um Handlungsvorschriften mit bindendem Charakter, die im Gegensatz zu Gesetzen nicht vom Staat, sondern von einer Organisation ausgegeben werden.

In den folgenden Abschnitten werden die vorstehend aufgeführten Gesetze und Verordnungen im Überblick vorgestellt und die daraus ableitbaren Anforderungen an die IT-Dokumentation erläutert. Weitere Dokumentationsanforderungen finden Sie in Abschnitt 1.4. Hier wird beschrieben, welche Anforderungen Wirtschaftsprüfer und Revisoren an die Dokumentation stellen.

1.2.1

Handelsgesetzbuch (HGB)

Das Handelsgesetzbuch (HGB) ist die zentrale Vorschrift für das Handelsrecht in Deutschland. Es enthält sowohl Regelungen für Gesellschaftsformen als auch für Handelsgeschäfte und die Führung der relevanten Handelsbücher.

Im dritten Buch des HGB sind die Vorschriften für das Führen der Handelsbücher enthalten. So ist in § 238 Abs. 1 geregelt, »dass die Buchführung so beschaffen sein muss, dass sie einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Lage des Unternehmens vermitteln kann« (HGB, 2015). Die Geschäftsvorfälle müssen sich in ihrer Entstehung und Abwicklung verfolgen lassen. Gemäß § 239 Abs. 2 müssen die Eintragungen in Büchern und die sonst erforderlichen Aufzeichnungen vollständig, richtig, zeitgerecht und geordnet vorgenommen werden. Und in Abs. 4 ist festgelegt, dass »die Handelsbücher und die sonst erforderlichen Aufzeichnungen auch in der geordneten Ablage von Belegen bestehen oder auf Datenträgern geführt werden können, soweit diese Formen der Buchführung einschließlich des dabei angewandten Verfahrens den Grundsätzen ordnungsmäßiger Buchführung entsprechen. Bei der Führung der Handelsbücher und der sonst erforderlichen Aufzeichnungen auf Datenträgern muss insbesondere sichergestellt sein, dass die Daten während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb einer angemessenen Frist lesbar gemacht werden können« (HGB, 2015).

Ableitbare Anforderungen an die IT-Dokumentation

Die zuvor genannten Absätze sind der Kern der Grundsätze ordnungsgemäßer Buchführung (GoB), die wiederum die Basis für die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) darstellen. Informationen zur GoBS finden Sie in Abschnitt 1.2.5. Wichtig ist in diesem Zusammenhang, dass die Zulässigkeit der Speicherung auf Datenträger davon abhängig gemacht wird, dass auch das dabei angewandte Verfahren den Grundsätzen ordnungsmäßiger Buchführung entsprechen muss. Hier ist bereits ein sehr direkter Bezug zur IT und damit zur IT-Dokumentation gegeben.

Auch im Zusammenhang mit den Festlegungen zur Aufbewahrung von Unterlagen in § 257 wird ein Bezug zur IT hergestellt. So ist nach Abs. 1 jeder Kaufmann verpflichtet, Unterlagen wie zum Beispiel Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse,...