Audit Trail Einkauf

Der Audit Trail im Einkauf ist die lückenlose, manipulationssichere Dokumentationsspur, die jede Transaktion und jede Statusänderung im Beschaffungsprozess so aufzeichnet, dass ein Dritter Wer, Wann, Was und Warum nachvollziehen kann. Rechtsgrundlage in Deutschland sind §§145 bis 147 der Abgabenordnung (AO), die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern in elektronischer Form (GoBD), zuletzt geändert durch BMF-Schreiben vom 11. März 2024 (Az. IV D 2 – S 0316/21/10001:002), sowie §239 Absatz 3 HGB zur Unveränderbarkeit von Buchungen. Der Einkauf liefert mit Bestellung, Auftragsbestätigung, Wareneingang und Rechnungsfreigabe vier der wichtigsten Belegarten und steht damit im Zentrum der GoBD-Prüfung durch die steuerliche Betriebsprüfung.

Detaillierte Erklärung

Die GoBD definieren fünf Kernprinzipien: Nachvollziehbarkeit, Vollständigkeit, Richtigkeit, zeitgerechte Buchung und Ordnung sowie Unveränderbarkeit. Konkret bedeutet das für ein ERP-System wie SAP S/4HANA, Microsoft Dynamics 365, Oracle NetSuite oder Sage 100: Jede Anlage, Änderung und Löschung eines Bestelldokuments muss mit Zeitstempel, Benutzer-ID und Vorzustand protokolliert werden, sodass die ursprüngliche Eingabe rekonstruierbar bleibt. §147 Absatz 3 AO setzt eine Aufbewahrungsfrist von 10 Jahren für Bücher, Inventare, Bilanzen, Lageberichte, Eröffnungsbilanzen, Jahresabschlüsse, Buchungsbelege und Rechnungen fest, sowie 6 Jahre für empfangene Handels- und Geschäftsbriefe. Ab dem Jahr 2025 wurde durch das Vierte Bürokratieentlastungsgesetz die Aufbewahrungsfrist für Buchungsbelege auf 8 Jahre verkürzt, während die 10-Jahres-Frist für Bücher und Bilanzen bleibt. Das BMF-Schreiben vom 11. März 2024 ergänzte die GoBD um Vorgaben zur E-Rechnungspflicht (§14 UStG) und die elektronische Verfahrensdokumentation. Die Verfahrensdokumentation nach Anlage 1 der GoBD muss für jeden Kernprozess Aufbau, Inhalt, Funktion und IT-Umsetzung beschreiben und ist Pflichtbestandteil der Betriebsprüfung; ihr Fehlen führt nicht automatisch zur Verwerfung der Buchführung, kann aber bei zusätzlichen Mängeln den Hinzuschätzungsspielraum nach §162 AO öffnen. Steuerliche Betriebsprüfungen nutzen das Datenzugriffsrecht aus §147 Absatz 6 AO (Z1 unmittelbarer Zugriff, Z2 mittelbarer Zugriff, Z3 Datenträgerüberlassung) und erwarten eine maschinell auswertbare Spur, das Idea-Tool von CaseWare ist hier de-facto-Standard bei der bayerischen, nordrhein-westfälischen und hessischen Finanzverwaltung. Im internationalen Kontext entspricht das US-amerikanische SOX Section 404 (Sarbanes-Oxley Act vom 30. Juli 2002) inhaltlich vergleichbaren Anforderungen, ist aber strenger formalisiert.

Praxisbeispiel (konkretes Einkaufsszenario)

Ein niedersächsischer Lebensmittelhersteller mit 480 Mitarbeitern und 89 Millionen Euro Umsatz wird im Mai 2025 von der Großbetriebsprüfung des Finanzamts Hannover-Nord für die Veranlagungszeiträume 2021 bis 2023 geprüft. Der Prüfer fordert nach §147 Absatz 6 AO einen Datenzugriff Z3 auf alle Bestelldaten des Geschäftsjahres 2022 und stößt auf 247 Bestellungen, bei denen das Anlagedatum nach dem Lieferdatum liegt. Die nachträgliche Erfassung verstößt gegen das Zeitnahegebot der GoBD. Ohne Audit Trail wäre der Vorwurf der nachträglichen Manipulation kaum zu entkräften; das eingesetzte SAP MM protokolliert jedoch die ursprüngliche Anlage als Bedarfsanforderung mit Datum vom Lieferzeitraum und die spätere Umwandlung in eine formelle Bestellung mit Genehmigung. Der Prüfer akzeptiert die Verfahrensdokumentation, in der dieser Sonderprozess für Just-in-Time-Lieferungen explizit beschrieben ist, und es kommt zu keiner Hinzuschätzung. Die Verfahrensdokumentation wurde 2023 für 24.500 Euro extern erstellt und seither viermal aktualisiert. Die Betriebsprüfung dauert 14 Wochen, prüft 3.800 Bestellungen über 1.000 Euro und 12 Lieferantenstammsätze. Ergebnis ist eine Steuernachforderung von lediglich 18.700 Euro für nicht abzugsfähige Bewirtungsbelege, weit unter dem Branchendurchschnitt von 0,4 Prozent des Einkaufsvolumens.

Typische Fehler & Verhandlungskontext

Drei Fehler treten in der GoBD-Praxis besonders häufig auf. Erstens wird Excel als Bestellsystem genutzt; das verstößt fast zwangsläufig gegen das Unveränderbarkeitsprinzip, weil eine Excel-Zelle ohne forensischen Nachweis überschrieben werden kann. Eine sachgerechte Lösung erfordert mindestens die Speicherung als revisionssichere PDF/A-3 in einem Dokumenten-Management-System wie d.velop, ELO Digital Office oder Microsoft SharePoint mit aktiviertem Aufbewahrungsetikett. Zweitens fehlt die Verfahrensdokumentation oder wird nach IT-Migrationen nicht aktualisiert; nach einem ERP-Wechsel oder einer Cloud-Migration muss die Dokumentation binnen 90 Tagen angepasst werden, sonst sind Migrationszeiträume von der ordnungsmäßigen Buchführung ausgenommen. Drittens werden E-Mails als Bestellbeleg genutzt, ohne dass die E-Mail revisionssicher archiviert wird; §147 AO fordert hier eine Archivierung im Originalformat einschließlich aller Header und Anhänge. In der Anbieterauswahl für Archivsysteme ist zentral, dass die Lösung das KGSt-Zertifikat oder das IDW-PS-880-Testat besitzt; ohne diese Bescheinigungen muss die Revisionssicherheit im Streitfall einzeln nachgewiesen werden, was den Prozess teuer und unsicher macht.

Verwandte Begriffe

[[internal-audit-einkauf]], [[forensik-einkauf]], [[funktionstrennung-im-einkauf]], [[vier-augen-prinzip]], [[drei-wege-abgleich]], [[eidas-elektronische-signatur]], [[zugferd]], [[xrechnung]]