Im Zuge der Digitalisierung von Unternehmensprozessen taucht häufig auch die Frage nach einer Zertifizierung auf. Das Thema steht dabei im Kontext der Akzeptanz durch das Finanzamt im Rahmen der GoBD, AO und dem HGB, sowie Qualitätsanforderungen von externen Partnern oder Kunden. Auch die im Unternehmen eingesetzte Software spielt dabei eine Rolle. Imixs-Office-Workflow hilft Ihnen dabei die entsprechende Rechtssicherheit zu erreichen bzw. den Qualitätsanforderungen Ihrer Partner und Kunden zu entsprechen. Grundsätzlich geht es bei Fragen rund um die Zertifizierung von Unternehmensprozessen jedoch weniger um die Software, sondern vor allem um die konkreten Abläufe im Unternehmen selbst.
Letztendlich ist immer die Geschäftsführung eines Unternehmens für die ordnungsgemäße Durchführung sämtlicher Unternehmensabläufe, sowie der dafür eingesetzten Technologien verantwortlich. Durch eine entsprechende Dokumentation sichern sich Unternehmen gegen Rechtsansprüche, z.B. der Aberkennung des Vorsteuerabzugs, Strafzahlungen, oder Zwangsgelder ab. Verfügt ein Unternehmen über kein geeignetes Dokumentenmanagement kann dies beispielsweise bei einer Betriebsprüfung negative Folgen haben. Der Einsatz von Imixs-Office-Workflow hilft hier sowohl die Unternehmensabläufe zu optimieren als auch die Rechtssicherheit auf allen Ebenen sofort zu verbessern. Dafür sind für die eingesetzte Software selbst keine Zertifikate oder Siegel notwendig und das Vorhandensein entbindet ein Unternehmen auch nicht von seiner rechtlichen Verantwortung.
Technische Verfahrensdokumentation
Selbstverständlich müssen auch Softwaresysteme, welche im Unternehmen zum Einsatz kommen, immer auch im Kontext der Implementierung ihrer Kernfunktionen, als auch in Bezug auf die eingesetzte technischen Infrastruktur, dokumentiert sein. Im Gegensatz zu proprietären Softwarelösungen, in denen die technische Umsetzung für das Unternehmen nicht offen gelegt ist, bietet Open Source Software eine offene und jederzeit nachvollziehbare Verfahrensdokumentation im technischen Sinne. Es ist also beim Einsatz von Open Source Software keine zusätzliche technische Dokumentation erforderlich.
Ein „Siegel“ oder eine Bestätigung eines Wirtschaftsprüfers oder einer Rechtskanzlei für einen begrenzten Funktionsausschnitt einer Softwarelösung oder einzelner Funktionen geben darüber hinaus keine ausreichende Rechtssicherheit. In diesem Fall spricht man von einem Produktzertifikat oder einer Softwarebescheinigung. Diese sind in Zusammenhang mit den Dokumentationspflichten jedoch nicht ausreichend.
Die Prozessdokumentation
Entscheidend ist immer die Dokumentation der Prozesse innerhalb eines Unternehmens, welche durch entsprechende DMS und Workflow Management Systeme unterstützt werden. Die jeweiligen konkreten Verfahrensdokumentationen müssen dazu speziell für das Unternehmen und seine Prozesse angepasst sein. Zwar gibt es für wenige Unternehmensbereiche, wie beispielsweise der Finanzbuchhaltung,, durchaus Musterverfahrensdokumentationen, diese gelten aber nicht für die individuellen Kernprozesse eines Unternehmens. Es müssen also die Kernprozesse eines Unternehmens ausreichend dokumentiert sein.
Geschäftsprozesse mit Hilfe von BPMN dokumentieren
Beim Einsatz von Imixs-Office-Workflow verfügen Sie automatisch über eine professionelle Geschäftsprozess Management Lösung mit der Sie sämtliche Unternehmensabläufe dokumentieren und damit der Dokumentationspflicht nachkommen. Mit Hilfe der „Business Process Modelling Notation“ kurz BPMN 2.0 werden dazu sämtliche Geschäftsprozesse nach einem einheitlichen Standard beschrieben und dokumentiert. BPMN bietet hier den Vorteil, Geschäftsprozesse schneller und klarer beschreiben zu können. Durch die leicht verständliche Notation werden auch komplexe Unternehmensabläufe für alle Beteiligte transparent dargestellt und schneller verstanden. Innerhalb von Imixs-Office-Workflow stellt das BPMN Modell somit eine wichtige Grundlage für eine ordnungsgemäße Verfahrensdokumentation dar und dokumentiert gleichzeitig sämtliche technischen Details eines Unternehmensablaufes. Ein Geschäftsprozess, der mit Hilfe von BPMN 2.0 dokumentiert ist, beinhaltet folgende Informationen:
- Auf welche Weise werden Geschäftsdokumente im Unternehmen erfasst (E-Mail, Scanner, Online Systeme)?
- Welche Mitarbeiter dürfen neue Prozesse anlegen und starten?
- Welche Daten werden zu welchem Zeitpunkt erfasst?
- Welche Berechtigungen besitzen einzelne Mitarbeiter im Laufe eines Geschäftsprozesses?
- Wann werden Geschäftsdaten im Sinne der DSGVO gelöscht?
- Wie werden Geschäftsdaten an Partner Kunden oder Lieferanten versendet (z.b. E-Mail)?
- Wie werden Genehmigungs- und Prüfverfahren nach einem 4-Augen-Prinzip sicher gestellt?
- Wie wird mit Vertreterregelungen verfahren?
- Wie werden Dokumente bei Änderungen versioniert?
- Wie werden Dokumente und Prozessdaten archiviert?
Neben diesen Prozessinformationen, welche durch das BPMN Prozessmodell bereitgestellt werden, dokumentiert Imixs-Office-Workflow darüber hinaus auch die konkrete Ausführung jedes einzelnen Geschäftsvorfalls. Damit erfüllt Imixs-Office-Workflow die eigentliche Anforderung an die Dokumentationspflicht der Prozessabläufe innerhalb eines Unterhemmens. Hierzu zählen:
- Wann wurde welcher Prozess von wem gestartet, bearbeitet und abgeschlossen?
- Wer ist aktuell für die Bearbeitung eines Vorgangs verantwortlich?
- An welche Personen wurden wann welche Informationen verteilt?
- Welche Prüfungen, Genehmigungen oder Freigabeverfahren wurden angewendet?
- Welche Mitarbeiter haben welche Dokumente zu welchem Zeitpunkt erstellt oder aktualisiert?
- Welche Versionsstände existieren zu einem Prozess?
- Wie kann nach bereits abgeschlossenen Vorgängen recherchiert werden?
- Wie werden Bearbeitergruppen verwaltet und welche Personen arbeiten gemeinsam an einem Prozess?
Änderungen im Ablauf eines Geschäftsprozesses werden direkt in der zuvor erstellten BPMN Dokumentation festgehalten und durch eine neue Version des Prozessmodells in das Softwaresystem übertragen. Damit ist sicher gestellt, dass die jeweiligen konkreten Verfahrensdokumentationen stets aktuell sind und sämtliche Prozesse auch tatsächlich nach dem letzten gültigen Stand im Unternehmen bearbeitet werden. Ein spezielles Versionsmanagement von Prozessmodellen erlaubt zusätzlich die Steuerung von abweichenden Verfahrensanweisungen im laufenden Geschäftsbetrieb.
Rechenzentrum
Selbstverständlich betreiben wir Imixs-Office-Workflow ausschließlich in Rechenzentren in Deutschland, welche nach der DIN ISO/IEC 27001 zertifiziert sind. Dieser international anerkannte Standard für Informationssicherheit bescheinigt, dass für den Betrieb ein geeignetes Informationssicherheits-Managementsystem, kurz ISMS, implementiert wurde. Das Zertifikat weist ein adäquates Sicherheitsmanagement, die Sicherheit der Daten, die Vertraulichkeit der Informationen und die Verfügbarkeit der IT-Systeme nach. Es bestätigt zudem, dass die Sicherheitsstandards kontinuierlich verbessert und nachhaltig kontrolliert werden.
GoBD
Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff – kurz GoBD wurden von der Finanzverwaltung im November 2019 neu verfasst und stellen einige zusätzliche Regeln auf, die der betrieblichen Praxis beim Einsatz moderner Software Systeme wie Imixs-Office-Workflow vor allem in Hinblick auf die Möglichkeiten zur Prozessoptimierung entgegenkommen.
So erfüllt laut GoBD die reine Ablage von Daten und elektronischen Dokumenten in einem üblichen Dateisystem die Anforderungen der Unveränderbarkeit regelmäßig nicht, soweit nicht zusätzliche Maßnahmen ergriffen werden, die eine Unveränderbarkeit gewährleisten. An dieser Stelle tritt die Notwendigkeit eines Workflow Management Systems deutlich zutage. Die in den GoBD definierten Grundsätze werden durch Imixs-Office-Workflow vollständig abgedeckt. Zu diesen Grundsätzen zählen Unveränderbarkeit, Ordnung, Vollständigkeit oder Nachvollziehbarkeit. Dabei wird selbstverständlich auch sichergestellt, dass aufbewahrungspflichtige Unterlagen während der Dauer der Aufbewahrungsfrist jederzeit verfügbar sind, unverzüglich lesbar gemacht und maschinell ausgewertet werden können.
Der Branchenverband Bitcom stellt hierzu eine Checkliste bereit anhand derer geprüft werden kann, ob die eigenen Unternehmensabläufe GoBD konform umgesetzt sind.
Geschäftsprozesse zertifizieren
Natürlich können sämtliche Geschäftsprozesse aus Imixs-Office-Workflow auch durch einen Wirtschaftsprüfer, für das eigene Unternehmen zertifiziert werden. Dies kann beispielsweise im Zuge einer ISO 9001 Zertifizierung erfolgen. Wichtig ist jedoch auch hier, dass Änderungen im Prozess immer sofort nach-dokumentiert werden müssen. Andernfalls kann eine bereits ausgestellte Zertifizierung ihre Grundlage und damit ihre Gültigkeit verlieren. Eine Prozesszertifizierung hat somit immer nur eine begrenzte Gültigkeit. Daher ist bei der Zertifizierung von Geschäftsprozessen auch immer die Frage zu stellen, für wen konkret eine solche Zertifizierung erforderlich ist und welchen Nutzen diese konkret bietet.
Grundsätzlich gilt, das Testate von Wirtschaftsprüfungsunternehmen auch nur für diese gelten. Der Gesetzgeber selbst schreibt keine Zertifikate vor, sondern definiert lediglich Rahmenbedingungen. Zertifikate unabhängiger Stellen beweisen somit nur die Einhaltung der Bedingungen zu einer konkreten Fragestellung. Rund um das Thema elektronische Dokumente gibt es mittlerweile einen Dschungel von verschiedenen Richtlinien, die meist nur mit hohem Aufwand zu durchschauen sind. Das BSI stellt Informationen und Unterlagen zu dem Themengebiet „Ersetzendes Scannen (RESISCAN)“ unter BSI TR 03138 zur Verfügung.
Gerne empfehlen wir Ihnen Wirtschaftsprüfer, die Imixs-Office-Workflow bereits kennen und so im Kontext mit Ihrem Unternehmen eine Verfahrensdokumentation zertifizieren und Sie bei die Erreichung der notwendigen technischen und organisatorischen Maßnahmen begleiten.