Die Verfahrensdokumentation im IT-Bereich ist immer wieder ein leidiges Thema, insbesondere dann, wenn Datenschutzbeauftragte, Revisoren oder Wirtschaftsprüfer danach fragen.
Einerseits stehen der Erstellung einer vollumfänglichen Verfahrensdokumentation enge Personalressourcen, zeitliche Restriktionen sowie ggf. auch Eigeninteressen mancher Mitarbeiter im IT-Bereich entgegen. Andererseits verlangen gerade Revisoren und Wirtschaftsprüfer nach entsprechenden nachvollziehbaren Unterlagen, um sich einen Überblick über die vorhandenen Abläufe und Geschäftsprozesse sowie das vorhandene interne Kontrollsystem (IKS) zu verschaffen.
Nur bei Vorlage einer vollständigen Dokumentation besteht die Möglichkeit, einen Soll-/Ist-Vergleich zwischen der schriftlich fixierten Ordnung und den tatsächlichen Abläufen innerhalb eines Unternehmens durchzuführen und mögliche Risiken im IKS zu erkennen.
Was ist eine Verfahrensdokumentation?
Bei der Verfahrensdokumentation handelt es sich um die Anwenderdokumentation sowie die Systemdokumentation eines Softwareproduktes, beispielsweise eines ERP-Systems. Während die Anwenderdokumentation im Wesentlichen eine Beschreibung bzw. Anleitung zur Bedienung des Anwendungssystems liefert, also für den Endbenutzer gedacht ist, handelt es sich bei der Systemdokumentation um eine technische Beschreibung der Software, beispielsweise hinsichtlich der Installation und Konfiguration, der Schnittstellenkonfiguration sowie der systemtechnischen Wartung. Die Systemdokumentation ist also für den Systemadministrator notwendig.
Gemäß den Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) ist eine Verfahrensdokumentation für alle IT-Systeme im Bereich des Rechnungswesens vorgeschrieben. Die GoBS schreiben vor, dass die ordnungsgemäße Anwendung des jeweiligen Verfahrens zu belegen ist und der Nachweis der Durchführung der in dem jeweiligen Verfahren vorgesehenen Kontrollen u.a. durch Programmkontrollen sowie durch die Verfahrensdokumentation zu erbringen ist.
Darüber hinaus ist eine Beschreibung des internen Kontrollsystems (IKS) notwendig und die Beschreibung des IKS ist ein Bestandteil der Verfahrensdokumentation. In den GoBS sind einzelne Bereiche aufgeführt, auf die sich die Verfahrensdokumentation insbesondere erstrecken muss. Es handelt sich hierbei nicht um eine abschließende Aufzählung sämtlicher Aufbewahrungspflichtiger Dokumentationsunterlagen, sondern nur um einen Rahmen für den Umfang der Dokumentation. Der Umfang der im Einzelfall erforderlichen Dokumentation wird dadurch bestimmt, was zum Verständnis der Buchführung notwendig ist. Je komplexer ein IT-System bzw. Anwendungssystem ist, um so umfangreicher gestaltet sich die Dokumentation.
Darüber hinaus ist auch eine Beschreibung der vom Programm zugelassenen Änderungen von Systemeinstellungen durch den Anwender ein Bestandteil der Verfahrensdokumentation. Die Beschreibung der variablen, benutzerdefinierten Aufgabenstellungen ist Teil der sachlogischen Beschreibung. Daraus lässt sich die Notwendigkeit der Dokumentation von Änderungen an Tabellendaten, beispielsweise in einem SAP-System, ableiten. Folglich sehen die GoBS vor, dass eine Beschreibung der programmtechnischen Lösung auch die Gültigkeitsdauer einer Tabelle beinhaltet.
Ebenfalls zur Verfahrensdokumentation gehören die Nachweise über die Programmidentität. Hierzu gehört sowohl die Programmdokumentation als auch der Nachweis des gesamten Programmchangemanagements während der gesamten Aufbewahrungsfrist.
Wir unterstützen Sie bei der Erstellung einer angemessenen Verfahrensdokumentation, sei es in Form von Organisationshandbüchern, Dokumentation von Geschäftsprozessen, IT-Systemdokumentationen und Betriebshandbüchern oder Berechtigungskonzepten. Darüber hinaus unterstützen wir Sie bei der Prüfung der Verfahrensdokumentation.
Neben dem Einsatz von modernen Tools, wie beispielsweise ViFlow, Wiki oder SharePoint, können wir in diesem Zusammenhang auf umfangreiche Erfahrungen aus vorangegangenen Projekten zurückgreifen.
Auf unserer Kontaktseite finden Sie alle Möglichkeiten, mit uns in Kontakt zu treten.
Die zunehmenden Vernetzung von Computersystemen sowie die automatisierte Verarbeitung personenbezogenen Daten in Unternehmen bergen erhebliche Risiken hinsichtlich der Beeinträchtigung bzw. Verletzung der Persönlichkeitsrechte von Mitarbeitern, Kunden, Lieferanten und ggf. weiterer Personen. Hierbei kommt der Beachtung des Bundesdatenschutzgesetzes durch den innerbetrieblichen bzw. externen Datenschutzbeauftragten eine wichtige Aufgabe zu.
