Dokumentenarchivierung in SharePoint einfach und revisionssicher mit AuditProof

Das AuditProof Add-on von free-com ermöglicht eine einfache Verwendung von SharePoint als revisionssicheres und beweiskräftiges eArchiv.

Revisionssichere Dokumentenarchivierung

Viele Unternehmen stellen sich die Frage ob es tatsächlich notwendig ist, neben der oft bereits vorhandenen SharePoint Infrastruktur ein zusätzliches eArchiv System zur Dokumentenarchivierung zu betreiben, um den gesetzlichen Archivierungspflichten nachzukommen.

Ab Version 2010 wird von Wirtschaftsprüfern grundsätzlich bestätigt, dass SharePoint unter bestimmten Voraussetzungen als eArchiv zur konformen Ablage von Belegen, insbesondere von elektronischen Rechnungen verwendet werden kann. Ein detaillierter Blick zeigt jedoch, dass eine konkrete, konforme Umsetzung mit detailliertem Knowhow, komplexer Konfiguration und umfangreichen organisatorischen Maßnahmen verbunden ist.

Mit dem AuditProof Add-on von free-com lösen Sie dieses Problem einfach und nachhaltig.

Revisionssichere Dokumentenarchivierung auf Basis von SharePoint ist mit dem AuditProof Add-On günstig und einfach realisierbar.

GoB Konformität für Österreich und Deutschland nach IDW PS880

Jetzt auch mit KPMG Prüfbericht für SharePoint Foundation.


Ihr direkter Draht

Ihr Ansprechpartner für die Eingangsrechnungsverarbeitung: Muhammed Al-Khoutani

Muhammed Al-Khoutani
muhammed.alkhoutani@free-com.at
Tel.: +43 1 50136 91451

Screenshot Dashboard AuditProof eArchive
Dashboard Ansicht des revisionsicheren Dokumentenarchivs AuditProof eArchive

Günstiges und einfaches eArchiv für Sharepoint gesucht?
Setzen Sie auf unser AuditProof Add-on.

Nach der Installation wird SharePoint in einen „revisionssicheren" Modus versetzt und damit dies so bleibt auch automatisch überwacht. Die notwendigen organisatorischen Maßnahmen werden dadurch auf ein Minimum reduziert. Digitale Signaturen samt Zeitstempel auf allen Dokumenten stellen zusätzlich deren Integrität sicher.

Kostenlose Demo anfordern

Screenshot Startseite des AuditProof eArchive
Startseite des AuditProof eArchive
Screenshot Dashboard des AuditProof eArchive
Dashboard des AuditProof eArchive
Screenshot Rechnungsübersicht des AuditProof eArchive
Rechnungsübersicht des AuditProof eArchive
Screenshot AuditProof Report
AuditProof Report für jedes archivierte Dokument

Die Highlights des AuditProof eArchive

Features

  • Revisionssichere Archivierung
  • Deutliche Kostenersparnis
  • Keine zusätzliche Hardware
  • Reduktion des organisatorischen Aufwands
  • Einfach zu installierendes Add-on
  • GoB Konformität für Österreich und Deutschland nach IDW PS880 geprüft durch KPMG
  • Kompatibel mit Backup und BLOB-Offloading Lösungen

Angebot anfordern

Sie haben Fragen zur revisionssicheren Dokumentenarchivierung?

Wir haben die häufigsten Fragen und Antworten für Sie zusammengestellt.
Ein Klick auf die Frage öffnet die Antwort.

Warum sollte ich als Unternehmen bzw. Geschäftsführer darauf achten, dass relevante elektronische Belege und Dokumente revisionssicher abgelegt werden? Und wer überprüft das?

Einerseits ist es natürlich im eigenen Intresse des Unternehmens unternehmensrelevante Dokumente so aufzubewahren, dass diese vor unbefugter Löschung oder Manipulation grundsätzlich geschützt sind. Andererseits gibt es in Österreich und Deutschland im jeweiligen Unternehmens- bzw. Steuerrecht an verschiedenen Stellen konkrete Anforderungen an die Qualität und Dauer der Aufbewahrung bestimmter Dokumente. Diese Anforderungen sind zum Beispiel…

für Deutschland

  • die gesetzlichen Vorschriften des deutschen Handels- und Steuerrechts (insbesondere §§ 238 ff. HGB sowie §§ 140-148 AO),
  • die Grundsätze ordnungsmäßiger Buchführung (GoB),
  • das BMF-Schreiben betreffend die „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)“ vom 7. November 1995,
  • das BMF-Schreiben zu den „Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GDPdU) vom 16. Juli 2001 unter Berücksichtigung der Änderung des BMF-Schreibens vom 14. September 2012,
  • die Stellungnahme des Fachausschusses für Informationstechnologie (FAIT) des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW) „Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie“ (IDW RS FAIT 1),
  • die Stellungnahme des Fachausschusses für Informationstechnologie (FAIT) des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW) „Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren“ (IDW RS FAIT 3)
  • der IDW-Prüfungsstandard 330 des Hauptfachausschusses des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW) „Abschlussprüfung bei Einsatz von Informationstechnologie“ (IDW PS 330) und
  • der IDW-Prüfungsstandard 880 des Hauptfachausschusses des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW) „Die Prüfung von Softwareprodukten“ (IDW PS 880) in der Fassung vom 11. März 2010

für Österreich

  • das Unternehmensgesetzbuch (UGB, insbesondere §§ 190 und 216),
  • die Bundesabgabenordnung (BAO, insbesondere §§ 131 und 132),
  • die Grundsätze ordnungsmäßiger Buchführung (GoB),
  • das Datenschutzgesetz (DSG, insbesondere § 14) und
  • die Fachgutachten „Die Ordnungsmäßigkeit von EDV-Buchführungen“ (KFS/DV1) und
  • „Abschlussprüfung bei Einsatz von Informationstechnik“ (KFS/DV2) des Fachsenats für Datenverarbeitung des Institutes für Betriebswirtschaft, Steuerrecht und Organisation der Kammer der Wirtschaftstreuhänder

Überprüft wird die Einhaltung der entsprechenden Auflagen typischerweise von der interne Revision (wenn vorhanden) sowie einem beauftragten Wirtschaftsprüfer bei den regelmässigen Audits. Auf der anderen Seite aber - aus Sicht der Risikobetrachtung wahrscheinlich noch wichtiger - der Betriebsprüfer des Finanzamts im Fall einer Steuerprüfung.

Leider gibt es aus unserer Sicht keine klare allgemeingültige Definition des Begriffes "revisionssicher". Der Begriff hat sich aber in der Archiv bzw. ECM (Enterprise Content Management) Branche durchgesetzt und wird meist verwendet, um die Einhaltung der in der vorausgehenden Frage beschriebenen gesetzlichen Anforderungen bzgl. Qualität und Dauer der Ablage zusammen zu fassen. Auch wir verwenden den Begriff in weiterer Folge in diesem Sinn.

Folgende Anforderungen werden an ein revisionssicheres Archivsystem grundsätzlich gestellt:

  • Die Dokumente werden vollständig und zeitnahe archiviert.
  • Die Dokumente werden vor Veränderung geschützt.
  • Die Dokumente können einfach wiedergefunden werden.
  • Die Dokumente sind langfristig lesbar und wiederherstellbar.
  • Die Dokumente werden durch ein Berechtigungskonzept geschützt.

Der Ansatz unseres AuditProof eArchive ist folgender:

Viele dieser Anforderungen können mit den Standardfunktionen des SharePoint Servers oder der SharePoint Foundation abgebildet werden. So kann ein Dokument in einer SharePoint Bibliothek abgelegt, mit entsprechenden Metadaten versehen und damit auch leicht wieder gefunden werden.

Um die Anforderung der langfristigen Lesbarkeit und Wiederherstellbarkeit zu erfüllen, ist es wichtig ein entsprechendes Dokumentenformat (z.b.: PDF/A, TIFF) zu verwenden. Es ist also kein Thema auf das SharePoint direkten Einfluß hat.

Schwieriger wird das Thema bei den Anforderungen bzgl. Schutz vor Manipulation und Löschung von Dokumenten. SharePoint bietet dazu zwar einige Basisfunktionen, wie z.B.: rollenbasiertes Berechtigungskonzept, Records Management (nur SharePoint Server) und Auditing. Die Konfiguration all dieser Funktionen ist jedoch durchaus anspruchsvoll. Auch muss sichergestellt werden, dass keine Manipulationen an der Konfiguration durchgeführt werden. Schließlich bleiben aber auch nach eine entsprechenden Konfiguration einige Schwachstellen offen.

Hier tritt nun unser AuditProof eArchive Add-on an, dieses Problem mit einem dualen Ansatz nachhaltig zu lösen:

  • Auf der einen Seite bietet AuditProof eArchive Schutz vor Manipulation und Löschung innerhalb von SharePoint durch automatisierte Konfiguration, Überwachung und programmtechnische  Erweiterungen.
  • Auf der anderen Seite kann durch elektronische Signatur und qualifizierten Timestamp immer nachgewiesen werden, dass ein Dokument seit dem Archivierungszeitpunkt nicht verändert wurde.

AuditProof eArchive stellt alle technischen Funktionen zur Verfügung, die notwendig sind, um Dokumente mit wenig organisatorischem Aufwand revisionssicher in SharePoint abzulegen. Das stellt auch das entsprechende PS880 Testat der KPMG fest. Es gibt jedoch kein technisches System - auch keine teure Hardwarelösung - das für sich Revisionssicherheit herstellen kann. Es wird in jedem Fall begleitende organisatorische Massnahmen geben müssen, die einen ordentlichen und sachgemässen Betrieb des Systems im jeweiligen Unternehmensumfeld sicherstellen. Man spricht in diesem Zusammenhang oft vom sog. Internen Kontrollsystem (IKS).

Wir haben kein Gesetz, Verordnung oder Durchführungsbestimmung gefunden, die eine technische Umsetzung in dieser Richtung vorschreibt.

Nicht automatisch:

Bei der Verwendung von Compliance Hardware (WORM) zur Ablage von Dokumenten, die in SharePoint abgelegt wurden, müssen diese Dokumente über eine entsprechende Schnittstelle an die Hardware zu Speicherung übergeben werden. Jede Schnittstelle erhöht die Komplexität und damit auch das Risiko für potentielle Manipulationen.

Weiter sollte man in dem Zusammenhang beachten, dass auf der Compliance Hardware im Normalfall lediglich das File unveränderlich gespeichert wird - nicht jedoch die dazugehörigen Metadaten, die benötigt werden, um das Dokument später wieder zu finden. Die Metadaten verbleiben in den meisten Fällen im SharePoint und sind damit potentiell nach wie vor manipulierbar.

Auch ist zu erwähnen, dass moderne Compliance Hardware Storages meist einen Ansatz verfolgen, der sehr ähnlich dem Ansatz von AuditProof eArchive ist. Grundsätzlich werden hier meist Standard- Festplatten in entsprechenden RAID Arrays verbaut um eine gewisse Redundanz zu schaffen. Eine in der "Box" integrierte Softwarelösung verhindert das Löschen von Dokumenten. Oft werden Signaturen und Timestamps verwendet, um die Authenzität sicherzustellen. Wie in einer anderen Fragebeantwortung bereits erwähnt - AuditProof eArchive verfolgt einen ähnlichen Ansatz - ohne Schnittstellen und extra Hardware - direkt in SharePoint.

Gegenfrage: Was passiert, wenn ein Administrator mit einer Axt seine Compliance Hardware zerstört? Warum das ein Administrator machen sollte? Naja. Unser erster Datenbank Administrator löscht ja auch einfach die Content Datenbank ;-)

Mit dem Vergleich möchten wir zum Ausdruck bringen, dass es eben nicht nur auf technische Maßnahmen ankommt, sondern auch auf die bereits angesprochenen organisatorischen Maßnahmen im jeweiligen Unternehmen.

Solche ergänzende Maßnahmen beim Betrieb von AuditProof eArchive mit SharePoint könnten zum Beispiel folgende sein:

  • Minimale Anzahl von Administratoren im Archivbereich.
  • Striktes 4-Augen Prinzip bei Änderungen in der Konfiguration.
  • Sauberes Backup Konzept - inkl. regelmässigen Restore Tests.
  • Dokumentation aller Änderungen in einem Logbuch oder Ticket System.

Eigentlich alles Dinge, die eine moderne und professionelle IT sowieso haben sollte.

Das würde uns zwar traurig stimmen - als Profis wollen wir unsere Gefühle hier aber aus dem Spiel lassen ;-) Objektiv betrachtet, wird es immer wieder Gründe für einen notwendigen Wechsel geben. Deshalb wird von uns mit AuditProof eArchive standardmässig ein Export Tool mitgeliefert, dass es Ihnen ermöglicht alle Dokumente inkl. Metainformationen, allen Signaturen sowie den qualifizierten Timestamps in Files zu exportieren. Es werden also alle Informationen exportiert, die die Authentizität der Dokumente sicherstellen.

Natürlich! AuditProof beruht ausschließlich auf von MS SharePoint zur Verfügung gestellten Standard Komponenten und Features. Sobald Microsoft eine neue Version von SharePoint verfügbar macht, wird unser Team so schnell wie möglich eine neue Version von AudiProof eArchive zur Verfügung stellen.

Ihre Fragen wurden nicht beantwortet?

Wir beantworten gerne Ihre Frage

Jetzt Frage senden