Revisionssicherheit
Revisionssicher kommt von re-Vision, zurückblickend. Für Systeme, Lösungen, Prozesse und Organisation ist rückblickend überprüfbar, dass alles ordnungsmäßig war. Revisionssicherheit beinhaltet nicht, dass auch alles in Zukunft ordnungsmäßig ist, da sich auch rechtliche Vorgaben ändern können.
Der Begriff revisonssichere Archivierung beschreibt Lösungen, die sich aus Records-Management und unveränderbarer Aufbewahrung, populär Archivierung, zusammensetzen.
Der Begriff revisionssichere Archivierung wurde 1992 von Ulrich Kampffmeyer geprägt und vom Fachverband der Dokumentenmanagementbranche, Verband Organisations- und Informationssysteme (VOI) in einem „Code of Practice“ im Jahr 1996 allgemeingültig veröffentlicht.
Definition aus Wikipedia:
Der Begriff Revisionssicherheit bezieht sich auf die revisionssichere Archivierung für elektronische Archivsysteme. Der Begriff orientiert sich am Verständnis der Revision aus wirtschaftlicher Sicht und betrifft aufbewahrungspflichtige oder aufbewahrungswürdige Informationen und Dokumente.
Revisionssicherheit bezieht sich rückblickend auf die Prüfbarkeit des eingesetzten Verfahrens der Aufbewahrung und somit nicht nur auf technische Komponenten, sondern auf die gesamte Lösung. Revisionssicherheit schließt sichere Abläufe, die Organisation des Anwenderunternehmens, die ordnungsgemäße Nutzung, den sicheren Betrieb und den Nachweis in einer Verfahrensdokumentation ein. Wesentliches Merkmal revisionssicherer Archivsysteme ist, dass die Informationen wieder auffindbar, nachvollziehbar, unveränderbar und verfälschungssicher archiviert sind. Revisionssichere Archivierung ist ein wesentlicher Bestandteil für die Compliance von Informationssystemen.
Sicherheit = Revisionssicherheit ?
Der Begriff Sicherheit schließt verschiedene Aspekte ein: angefangen von der Zugriffs- und Datensicherheit über die Verfügbarkeits- und Reproduktionssicherheit der gespeicherten Informationen, die Migrationssicherheit und die Investitionssicherheit bis hin zur sogenannten „Revisionssicherheit“. Dieser Begriff wurde für elektronische Archive geprägt, die den gesetzlichen Anforderungen an aufbewahrungspflichtige Dokumente entsprechen. Der Verband Information und Organisation e.V. hat in seinem Code of Practice „Grundsätze der elektronischen Archivierung“ folgende Definitionen aufgeführt:
- Langzeitarchivierung
Unter „elektronische Langzeitarchivierung“ versteht man die Bereitstellung von Daten und Dokumenten über einen Zeitraum von mindestens 10 Jahren, genaugenommen, die „ewige“ unveränderbare Speicherung. - Revisionssichere Archivierung
Unter „revisionssicherer Archivierung“ versteht man Archiv- und Aufbewahrungssysteme, die nach den Vorgaben der Allgemeinen Abgabenordnung (HGB AO) und der GoBD Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten.
Ähnliche Definitionen gibt es inzwischen auch in anderen Codes of Practice, z.B. des British Standards Institute, den Leitlinien und dem MoReq-Standard des DLM-Forum der Europäischen Kommission, in der ISO Norm 15489 Records Management und anderen Standards.
Anforderungen an Revisionssicherheit aus Sicht des Gesetzgebers
Die Definition der „revisionssicheren Archivierung“ in Deutschland beschränkt sich auf Systeme, die aufbewahrungspflichtige Informationen speichern, die unter das Handelsgesetz, bzw. seit 1.1.2002, unter die Steuergesetzgebung, fallen. Sie muss auf Grund der gesetzlichen Aufbewahrungspflichten auch die Langzeitarchivierung wie definiert einschließen, da für die meisten kaufmännisch relevanten Daten und Dokumente eine Aufbewahrungsfrist von 10 Jahren besteht. Die allgemeine Abgabenordnung (HGB AO) gibt hier die Grundlagen für die Speicherung, unabhängig ob in herkömmlichen Papierarchiven oder elektronischen Systemen, vor:
- Ordnungsmäßigkeit
- Vollständigkeit © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer
- Sicherheit des Gesamtverfahrens
- Schutz vor Veränderung und Verfälschung
- Sicherung vor Verlust
- Nutzung nur durch Berechtigte
- Einhaltung der Aufbewahrungsfristen
- Dokumentation des Verfahrens
- Nachvollziehbarkeit
- Prüfbarkeit
Diese Kriterien sind fachlich definiert und bedürfen der Interpretation, wenn es um die Umsetzung in technischen Systemen geht. Hilfestellung gibt hierbei gibt hierfür die GoBS, die explizit auf die verschiedenen Verfahren der Scan- und Datenerfassung, Sicherheitsanforderungen und die Verfahrensdokumentation zur Nachvollziehbarkeit und Prüfbarkeit eingeht. Die Grundlagen für die Umsetzung wurden ebenfalls vom VOI in einem weiteren Code of Practice „Grundsätze der Verfahrensdokumentation nach GoBS“ zusammengestellt.
Die 10 Merksätze des VOI zur revisionssicheren elektronischen Archivierung
- Jedes Dokument muss unveränderbar archiviert werden
- Es darf kein Dokument auf dem Weg ins Archiv oder im Archiv selbst verloren gehen
- Jedes Dokument muss mit geeigneten Retrievaltechniken wieder auffindbar sein
- Es muss genau das Dokument wiedergefunden werden, das gesucht worden ist
- Kein Dokument darf während seiner vorgesehenen Lebenszeit zerstört werden können
- Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können
- Jedes Dokument muss zeitnah wiedergefunden werden können
- Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist
- Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer
- Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB/AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen
Erhöhte Sicherheit ist kostenträchtig
Alle diese gesetzlichen Regularien, Codes of Practice und Standards nehmen nur eingeschränkt auf technische Eigenschaften Rücksicht. Dies ist auch im Prinzip angesichts der rasanten Entwicklung im Markt richtig. Je technisch detaillierter ein Standard ist, des do schneller wird er von der Entwicklung überholt. Für den Anwender bedeutet dies, dass er die angebotenen Systeme in Hinblick auf ihre Eignung bewerten muss. Hierbei spielt nicht nur die Revisionssicherheit eine Rolle, sondern wie Sicherheit im Unternehmen generell bewertet wird. Erhöhte Sicherheit bedeutet auch deutlich erhöhte Kosten. Die doppelte Auslegung von Hardware, Spiegelung der Systeme, Erstellung von Mediensicherheitskopien – dies kostet alles mehr als eine einfache Systemauslegung. Auch die Implementierung von Standards, die man vielleicht zunächst noch nicht einmal benötigt, kann aus Sicherheitsüberlegungen sinnvoll sein. Letztlich muss jeder für sich seinen Anspruch an Sicherheit definieren. Dies gilt auch für die „revisionssichere Archivierung“. Die funktionalen Anforderungen lassen sich mit vielen Formen von Systemen abbilden.
Revisionssicherheit ist keine Produkteigenschaft
Vielen Anbieter im Markt werben mit dem Thema „Revisionssicherheit“. Hierfür wird auf Zertifikate von Wirtschaftsprüfern oder des TüVIT verwiesen. In Hinblick auf die „revisionssichere Archivierung“ gilt jedoch, dass für jede individuelle Anwendung eine Verfahrensdokumentation und Abnahme benötigt wird, die den gesamten Prozess, Organisation, Abläufe und technische Lösung eingeschlossen, beinhaltet. Es gibt keinen allgemeingültigen Stempel „Revisionssicher“, den man auf eine Produktverpackung kleben könnte.
Heute werden unterschiedlichste Systemkategorien angeboten. Einerseits spezielle Archivsysteme für die Entlastung des E-Mail-Posteingangskorbes, nachgeordnete Lösungen für ERP-Systeme wie SAP oder spezielle Anwendungslösungen, die auf einem Archivsystem basieren. Zunehmend setzt sich der Trend durch, Archivsysteme als Dienst anzubieten und die Anwenderfunktionalität in andere führende Systeme zu integrieren. Letztere Archivsysteme können auch den Anspruch einer unternehmensweiten Lösung erfüllen, bei der es nur noch einen Archivdienst gibt, der für alle Anwendungen die Aufgabe der Langzeitarchivierung übernimmt.
Bei der Auswahl eines geeigneten Systems spielt die vorhergehende Analyse der zu speichernden Informationen und des geplanten Nutzungsmodelles eine entscheidende Rolle. Will man ein System einführen, dass den Ansprüchen von HGB AO, GoBS und GDPdU gerecht wird, sind Funktionen wie die direkte Recherchierbarkeit in steuerrelevanten Daten, die nicht als Bild konvertiert gespeichert werden dürfen, die geeignete Aufteilung der Bestände nach Kategorien wie „was darf der Aussenprüfer sehen, was nicht“, der Schutz personenbezogener Daten „was fällt unter das BDSG Bundesdatenschutzgesetz“, welche Information gehört überhaupt ins Archiv „was ist aufbewahrungswürdig und was ist aufbewahrungspflichtig“ sowie andere Kriterien zu berücksichtigen. (Dr. Ulrich Kampffmeyer, 2010)
Immerwährende Rechtssicherheit bei Lösungen und Prozessen gibt es nicht, sondern nur rückblickende Revisionssicherheit, ob in der Vergangenheit alles ordnungsmäßig gelaufen ist.
Dr. Ulrich Kampffmeyer
VOI Workshop Revisionssichere Archivierung 1993
Ressourcen
- Wikipedia Revisionssicherheit
- Ulrich Kampffmeyer Grundsätze der elektronischen Archivierung
- Ulrich Kampffmeyer Elektronische Archivierung