Oracle GDPdU Lösung

von Frank Dunkel

WWhhiittee PPaappeerr

White Paper: Oracle GDPdU Lösung

2

Umsetzung der GDPdU mit der Oracle E-Business Suite Die gesetzlichen Änderungen und die sich daraus ergebenden erweiterten Prüfungsrechte der Steuerbehörden stellen prüfungspflichtige Unterneh-men in Deutschland vor neue Herausforderungen. Alle betrieblichen DV-Anwendungen, die aus Prüfersicht steuerrechtlich relevante Daten beinhal-ten könnten, müssen in Zukunft zusätzliche aus der GDPdU resultierende Anforderungen erfüllen. Die GDPdU (Grundsätze des Datenzugriffs und der Prüfbarkeit digitaler Unterlagen) sind derzeit das Thema im Bereich der Rechnungswesenabtei-lungen. Im Rahmen der Einführung der "neuen" Abgabenordnung räumt der § 147 AO der Finanzbehörde das Recht ein, "die mit Hilfe eines Daten-verarbeitungssystems erstellte Buchführung des Steuerpflichtigen durch Datenzugriff zu prüfen" (Steuersenkungsgesetz (BGBl I S. 1433)). Durch diese Änderungen der Abgabenordnung hat die Finanzverwaltung seit dem 1. Januar 2002 im Rahmen von Betriebsprüfungen weitgehende Zugriffsrechte auf die Datenverarbeitungs-Systeme (DV-Systeme) von Un-ternehmen. Dabei kann die Dateneinsicht sowohl durch direkten Zugriff auf das Programm als auch durch Einsicht in gespeicherte Daten erfolgen:

Unmittelbarer Datenzugriff (Z1) Die Finanzverwaltung darf bei einer Prüfung unmittelbar auf die im Unter-nehmen zur Buchführung eingesetzte Hard- und Software zugreifen. Das Unternehmen hat dem Prüfer die für den Datenzugriff erforderlichen Hilfsmittel zur Verfügung zu stellen und ihn in das DV-System einzuwei-sen.

Mittelbarer Datenzugriff (Z2) Die Finanzverwaltung kann verlangen, dass die Unternehmen die gespei-cherten Daten nach entsprechenden Vorgaben durch eigene, mit den DV-Systemen vertraute Personen auswerten und zur Verfügung stellen.

Datenüberlassung in elektronischer Form (Z3) Auf Verlangen sind die gespeicherten Daten der Finanzverwaltung auch auf einem maschinell verwertbaren Datenträger zur Auswertung auf ver-waltungseigener DV zu überlassen.

White Paper: Oracle GDPdU Lösung

3

Neben der Festlegung der betroffenen Systeme und Daten stellt sich die Frage, wie die systemtechnische Umsetzung dieser neuen Anforderung realisiert werden kann. Konkret geht es hierbei um die Implementierung folgender Anforderungen:

Einrichten eines Lese-Zugriffs auf steuerrechtlich relevante Daten Sachliche und zeitliche Abgrenzung des Datenzugriffs Erstellung von Datenextrakten für Datenträgerüberlassung Protokollierung der Datenzugriffe des Prüfers

Für Anwender der Oracle E-Business Suite werden auf den nächsten Sei-ten Lösungsmöglichkeiten und Setup-Schritte beschrieben, um die ge-nannten Anforderungen auf Basis des Release 11i abzubilden. Obwohl der Gesetzgeber es unterlassen hat, den Begriff der steuerrele-vanten Daten abschließend zu definieren, ist für deutsche Oracle E-Business Suite Anwender regelmäßig davon auszugehen, dass die Finanz-buchhaltungsmodule Rechnungswesen (GL), Kreditoren (AP), Debitoren (AR), Anlagen (FA) und Bankenbuchhaltung (CE) Gegenstand einer Au-ßenprüfung durch die Finanzbehörden werden. Im Zweifelsfall sind aber alle Daten und Unterlagen relevant, die auf-wands- oder ertragsrelevante Informationen beinhalten, also eine ergeb-niswirksame Auswirkung haben, auch außerhalb der Finanzbuchhaltung. Einrichten eines Lese-Zugriffs auf steuerrechtlich rele-vante Daten Die drei Zugriffsarten Z1, Z2 und Z3 der GDPdU können einzeln, aber auch kombiniert nach Bedarf von den prüfenden Finanzbehörden angeord-net werden. Für den unmittelbaren Zugriff (Z1) sehen die GDPdU die Ein-richtung einer eigenen Benutzerberechtigung für den Steuerprüfer mit "Nur-Lese-Zugriff" auf die steuerrechtlich relevanten Daten vor. Für die Module Rechnungswesen (GL - General Ledger), Kreditoren (AP - Kreditoren), Debitoren (AR - Accounts Receivables), Anlagenbuchhaltung (FA - Fixed Assets) und Bankenbuchhaltung (CE - Cash Management) existieren in der E-Business Suite 11i bereits vordefinierte Menüs, die le-diglich einen "Nur-Lese-Zugriff" auf die wichtigsten Financials-Masken ge-währen. Auf Basis dieser vordefinierten Menüs lassen sich sehr einfach "Nur-Lese-Zuständigkeiten" aufsetzen, die dann dem Benutzer (User-Id) des Betriebsprüfers ("AUDITOR") zugeordnet werden können.

White Paper: Oracle GDPdU Lösung

4

Zusätzliche Masken aus weiteren Modulen, wie zum Beispiel Lager (INV - Inventory), Einkauf (PO - Purchasing) und Auftragsverwaltung (OM - Or-der Management) können bei Bedarf ebenfalls im "Nur-Lesezugriff" einge-bunden werden. Hierzu müssen die Masken vom Systemadminstrator als neue "Form Function" mit dem Parameter QUERY_ONLY=YES registriert und über ein neues Menü einer Zuständigkeit zugeordnet werden [SYS2003, S. 2-36]. Sachliche und zeitliche Abgrenzung des Datenzugriffs Es liegt im Interesse des geprüften Unternehmens, den Zugriff auf die prüfungsrelevanten Daten so abzugrenzen, dass die Steuerbehörde ledig-lich Zugriff auf die maßgeblichen Daten des jeweiligen Prüfungszeitraums erhält, sofern diese einen unmittelbaren Zugriff (Z1) oder mittelbaren Zugriff (Z2) verlangt hat. Eine sachliche Abgrenzung erfolgt bereits über die Standardmechanismen des Berechtigungssystems (Zuständigkeit, Menü, Auswertungssicherheits-gruppe, Sicherheitsregeln) der E-Business Suite durch Zuteilung der ein-gerichteten "Nur-Lese-Zuständigkeiten" an den Steuerprüfer. Eine Zugriffsbeschränkung auf Daten eines bestimmten Zeitraums lässt sich derzeit nicht direkt über das Berechtigungssystem der E-Business Suite konfigurieren. Allerdings lassen sich in Foldermasken Filterbedingungen hinterlegen und diese Datensichten dann fest mit einer Zuständigkeit ver-knüpfen, so dass auch eine zeitliche Abgrenzung der abrufbaren Daten sichergestellt ist. Außerdem steht ab dem Release 11.5.10 das Werkzeug "Forms Personalization" zur Verfügung, über das der Systemadministrator für jede Maske zusätzliche Filterbedingungen konfigurieren kann. Ein Patch ist geplant, der dieses Werkzeug auch Kunden älterer 11i Releases zur Verfügung stellt. Setup-Schritte: Einrichten der zeitlichen Abgrenzung Für die Steuerung der zeitlichen Abgrenzung bietet es sich an, im Modul „Anwendungsentwickler“ unter dem Menüpunkt „Profile“ zwei neue Profil-optionen aufzusetzen. Die beiden Profiloptionen sollen den Prüfungszeitraum eingrenzen ("Audit-period Start Date", "Audit Period End Date"). Im Anschluss kann man in das Modul „Systemadministration“ wechseln und den Prüfungszeitraum festlegen.

White Paper: Oracle GDPdU Lösung

5

Als nächstes ist in die Maske zu navigieren, für die ein Folder mit Filterbe-dingungen aufgesetzt werden soll. In der Maske muss das Feld festgelegt werden, welches als Kriterium für die zeitliche Abgrenzung dienen soll. In der Regel wird dies das Buchungsdatum sein. Für das Aufsetzen der Fil-terbedingung wird der interne Name des Feldes benötigt (z.B. GL_DATE oder EFFECTIVE_DATE). Dieser interne Name kann über die Menüoption HILFE / DIAGNOSE / EXAMINE ermittelt werden. Im Anschluss in den Abfragemodus wechseln, in ein beliebiges Feld einen Doppelpunkt eingeben und die Abfrage mit Strg-F11 auslösen. Auf dem Bildschirm erscheint nun ein Fenster mit dem Titel Abfrage/Wo, in das die Abfragebedingung für den neuen Folder einzugeben ist. <INTERNER FELDNAME> BETWEEN to_date(fnd_profile.value('XXX_JEDE_AUDIT_DATE_FROM' ),'DD.MM.YYYY') AND to_date(fnd_profile.value('XXX_JEDE_AUDIT_DATE_TO' ),'DD.MM.YYYY') Die Abfrage mit dem OK-Button ausführen und den Folder samt Abfrage-bedingung unter einem eindeutigen Namen abspeichern. Achtung: Falls nach Eingabe des Doppelpunkts und Ausführung der Query kein zusätzliches Fenster erscheint, ist die Environment-Variable FORMS60_RESTRICT_ENTER_QUERY auf TRUE gesetzt. In diesem Fall sollte der DBA die Environment-Datei editieren und folgende Variable set-zen: FORMS60_RESTRICT_ENTER_QUERY="FALSE" export FORMS60_RESTRICT_ENTER_QUERY Über „Sysadmin/Anwendung/Folder“ verwalten, den aufgesetzten Folder als Standardfolder für die aufgesetzte GDPdU "Nur-Lese-Zuständigkeit" zuordnen. Für alle aufgesetzten GDPdU Zuständigkeiten die Profiloption BB: Folder: Anpassung zulässig: auf Nein setzen. Diese Einstellung stellt sicher, dass der Prüfer keine eigenen Folder erstellt oder ändert.

White Paper: Oracle GDPdU Lösung

6

Erstellung von Datenextrakten für Datenträgerüber- lassung Laut GDPdU kann die Finanzverwaltung vom Steuerpflichtigen verlangen, dass ihr steuerrechtlich relevante Daten auf einem maschinell verwertba-ren Datenträger zur weiteren Prüfung überlassen werden (Z3-Zugriff). Hierzu sind vom Steuerpflichtigen Datenträger, in der Praxis wohl übli-cherweise CDs, als Übergabemedium zu erstellen. Es ist davon auszuge-hen, dass der Betriebsprüfer den Z3-Zugiff insbesondere bei Prüfungsbe-ginn nutzen wird, um Unregelmäßigkeiten zu identifizieren und im nächs-ten Schritt dann gezielter auf einzelne Geschäftsvorfälle zuzugreifen. Die Außenprüfer der Finanzbehörden nutzen für die Prüfung der überlassenen Daten die Prüfungssoftware IDEA der Firma CaseWare, die in Deutschland von der Firma Audicon (http://www.audicon.net/) vertrieben wird. Stan-dard-Prüfungen sind in dieser Software als eine Reihe von Makros hinter-legt, die Plausibilitätsprüfungen auf Basis der überlassenen Daten durch-führen, um schneller verdächtige Geschäftsvorfälle ermitteln zu können. Im Zweifelsfall muss davon ausgegangen werden, dass alle im ERP-System gespeicherten Daten steuerlich relevant sein könnten. Mit einer technisch verwertbaren Definition oder allgemeingültigen Aufzählung, wel-che Stamm- und Bewegungsdaten steuerlich relevant sind, ist laut Aussa-gen der Steuerbehörden auch in Zukunft nicht zu rechnen (BITKOM2003, S.14), da dies die eigenen Handlungsspielräume bei Prüfungen einengen würde. Für eine technische Umsetzung dieser Anforderung stellt sich somit sofort das Problem einer Abgrenzung der zu exportierenden Daten. Gleichzeitig stellen die GDPdU aber auch klar, dass sich der sachliche Um-fang der Außenprüfung nicht geändert hat und dieselben Sachverhalte, die vor Änderung der AO steuerrelevant waren, auch in Zukunft unverändert relevant sein werden. Erfolgte die Steuerprüfung in der Vergangenheit auf Basis von Buchungsbelegen sowie von bestimmten gedruckten Listen und Auswertungen, so stehen dieselben Informationen nun als maschinell aus-wertbare Daten zur Verfügung. Aus Sicht eines Anwenders der Oracle E-Business Suite stellt sich demnach primär die Frage, inwieweit die bisher genutzten Reporting-Werkzeuge der E-Business Suite in der Lage sind, neben einer Textausgabe auch maschinell verarbeitbare Ausgabeformate erzeugen zu können. Die folgende Tabelle gibt einen Überblick über die relevanten Auswer-tungswerkzeuge der E-Business Suite und die unterstützten Exportforma-te, die eine maschinelle Weiterverarbeitung erlauben:

White Paper: Oracle GDPdU Lösung

7

Reportingtool Exportformat Einschränkung Berichtsgenerator (FSG)

*.csv Nur für GL

Reports Exchange (Rxi) *.csv Nur wenige Standard-auswertungen für GL, AP, AR und FA

Oracle Discoverer MS Excel Wenige Standardaus-wertungen (nur für BIS Module)

Oracle Reports *.xml XML Publisher MS Excel *.xml Zur Zeit wenige

Templates vorhanden Kontakt: Lynx-Consulting GmbH Frank Dunkel frank.dunkel@lynx.de Johanniskirchplatz 6 33615 Bielefeld Telefon: +49 521/52 47–0 Telefax: +49 521/52 47–250 www.lynx.de