IT-Audits in der kommunalen Rechnungsprüfung

Es ist Montag, 11. Mai 2020, knapp vor acht Uhr. Ich fahre mit meinem E-Bike die Einfahrt zu unserer Kreisverwaltung hinauf. Das Wochenende war ruhig. Das Dashboard auf meiner Smartwatch zeigt keine Auffälligkeiten. Keine der eingerichteten IT-Audit-Services hat Alarm geschlagen. Gut so. Gleich beginnt die Teamsitzung. Ich muss pünktlich sein. Ich leite die kommunale Rechnungsprüfung. Seit wir die digitalen IT-Audit-Services weitestgehend flächig im Einsatz haben, verlaufen die Besprechungen ruhiger, auch ein wenig strukturierter, da wir Zeit gewonnen haben. Wir rennen den Sachen nicht mehr hinterher, sondern sind proaktiv und zeitnah eingebunden.

 

Die IT-Audit-Services sind kleine digitale Anwendungen, die in regelmäßigen Zeitabständen Sachverhalte prüfen und bei Auffälligkeit uns in der Rechnungsprüfung informieren. Manche prüfen einmal in der Woche, manche in so kurzen Abständen, dass man nahezu von Echtzeit sprechen kann. Seit wir den Großteil unserer Verwaltungsprozesse mit digitalen Workflows und Datenbanken unterlegt haben, stellen die digitalen Datenflüsse für mich fast so etwas wie ein komplexes Nervensystem dar. Und wir messen laufend den Gesundheitszustand.

 

Ein Service prüft sekündlich, ob außer den namentlich benannten noch weitere Personen Administratorenrechte auf unserem Haushaltsbewirtschaftungssystem bekommen haben. Ist dem so, prüft der Service, ob eine Genehmigung vorliegt. Sollte das nicht der Fall sein, erscheint auf unserem Dashboard ein entsprechender Hinweis. Bei solchen Sachen reagieren wir sofort.

 

Ein anderer prüft, ob die Schnittstellen zu den vielen vor- und nachgelagerten Systemen noch ordnungsgemäß funktionieren. Aber nicht so, dass der Datenaustausch technisch klappt. Das macht die IT. Nein, wir prüfen ob die Werte unverändert übertragen wurden – also ob Quell- und Zieldaten zusammenpassen. Wenn ich daran denke, wie lange wir oft früher an Import-Protokollen aus den Vorjahren gesessen haben, um Fehler herauszufinden.

 

Von diesen Services haben wir zwischenzeitlich rund 300 laufen. Gute Sache. Gibt Sicherheit. Und seitdem achten die Kolleginnen und Kollegen aus der IT und aus den Fachbereichen auf das, was sie machen.

 

Nachdem wir vor rund drei Jahren zusätzlich die Aufgabe des IT-Sicherheitsbeauftragten übernommen haben, musste so ein System her. Wir hätten das kapazitativ nicht geschafft. Zwischenzeitlich prüfen wir hierüber auch, ob die IT-Infrastruktur Sicherheitslücken aufweist. Wir ersetzen nicht die IT-technischen Sicherheitsvorkehrungen, sondern prüfen damit ab, ob sich alle an die Vorgaben und Regelungen halten.

 

Ich komme in den Besprechungsraum, drei Kolleginnen und Kollegen sind da, zwei weitere schalten sich gleich per Konferenzschaltung hinzu. Sie prüfen derzeit bei kreisangehörigen Kommunen vor Ort. Aufgrund des Zugriffs auf deren Anwendungen und Datenbanken sowie die digitalisierten Belege im Dokumentenmanagementsystem über unser zentrales Rechenzentrum ist der Vor-Ort-Einsatz eigentlich nicht mehr nötig und deutlich zurückgegangen. Dennoch gibt es Sachverhalte, die eine Präsenz erfordern.

 

Nun, die Agenda steht soweit. Wir legen los.

 

Eine Kollegin berichtet, dass das Storno-Aufkommen im Haushaltswirtschaftssystem in einem Fachbereich im vergangenen Monat erheblich zugenommen hat. Sie vermutet, dass es mit der Reorganisation zu tun hat und geht der Sache nach. Es soll vermieden werden, dass sich die Fehler bis zum Jahresende so aufsummieren, dass die Beseitigung zu aufwendig wird. Zudem ist sicherzustellen, dass die Monatszahlen falsch sind. Wahrscheinlich reicht eine gezielte Schulung, um Fehler für die Zukunft zu vermeiden. Durch solche Prüfmethoden ist auch die Kämmerei schneller in der Aufstellung des Jahresabschlusses geworden.

 

Ein Kollege berichtet über den Wunsch des Hochbauamtes, eine Software anzuschaffen. Wir gehen gemeinsam die Punkte unserer „RP-Richtlinien zur Anschaffung von IT-Systemen” durch und halten fest, dass die dortigen Punkte bitte durchgesetzt werden sollen. Es hat sich in der Vergangenheit herausgestellt, dass unsere Prüfungshandlungen effektiver sind und die Belastung der Fachbereiche niedriger ist, wenn wir zum Beispiel vorher festgelegen, welche Datenbankprotokolle wir im Rahmen der späteren Prüfung sehen wollen, wie ausgeprägt das Berechtigungskonzept sein soll oder welche internen Kontrollen wir in den IT-gestützten Prozessen erwarten. Unter anderem wird hier auch verankert, dass wir mit unseren IT-Audit-Services andocken können. Früher hat es immer Schwierigkeiten gegeben, auf Daten und Systemeinstellungen der Fachbereichssoftware zugreifen zu können. Über die Verlinkung in den Leistungsbeschreibungen werden unsere Forderungen auch vergaberelevant. Gut so, dass die Schwierigkeiten der Vergangenheit angehören.

 

Im Anschluss gehen wir die Prüfungsplanung für den Monat durch. Es steht noch die Prüfung über die Wirksamkeit des IT-Notfallplans an. Eine ständige Baustelle, da die IT kaum Zeit hat, die Pläne anzupassen und regelmäßig die Funktionsfähigkeit zu testen. Ohne IT würde bei uns nichts mehr funktionieren. Die Abhängigkeit ist in den letzten Jahren enorm gewachsen. Zum Glück kommen im Tagesbetrieb immer wieder Zustände auf, die wie kleine Notfälle zu interpretieren sind, sodass schon der normale Betrieb ein ständiges Testen ist. Glücklicherweise hat sich die IT darauf eingelassen, diese Sachverhalte so zu dokumentieren, dass sie für uns nachvollziehbar sind. So können wir aus den vielen Puzzle-Steinen ein Ganzes bauen und uns einen belastbaren Eindruck verschaffen. Das hat auch uns Zeit gekostet. Ohne tiefes IT-technisches Know-how geht in der Rechnungsprüfung auch nichts mehr. Hier mussten wir investieren und ausbilden. Über unseren Verband der kommunalen Rechnungsprüfer haben wir uns in der interkommunalen Zusammenarbeit ganz neu organisiert. Wir können nun auf spezielle IT-Auditoren in anderen Kommunen verlässlich zurückgreifen, stimmen uns mit diesen im Rahmen unserer mehrjährigen Prüfungsplanung ab. Und auch im Ernstfall stehen sie uns flexibel zur Verfügung. Aus unserem Landkreis stellen wir die Spezialisten für IT-Infrastruktur. Das hat einige Mühen gekostet. Zum einen mussten wir die Kollegen auswählen und auf Basis der entsprechenden rechtlichen Grundlagen (unter anderem Bundes- und Landesdatenschutzgesetz) verpflichten. Die Ausarbeitung einer passenden Regelung über die interkommunale Zusammenarbeit war hier die Grundlage.

 

Zum Schluss besprechen wir noch die Weiterentwicklung unserer eigenen IT-gestützten Prüfungshandlungen. Einige Projekte laufen derzeit. Eines ist eine Plattform für Eigen-Audits der Fachbereiche. Hier bekommen unsere Fachbereiche regelmäßig oder anlassbezogen einen überschaubaren Satz an spezifischen Fragen, die sie beantworten und mit Links zu den Nachweisen belegen müssen. Diese Technik ist dann sinnvoll, wenn wir diese Prüfungshandlung in jedem Fall machen müssen, diese aber aufgrund des individuellen Risikos und der Eintrittswahrscheinlichkeit nicht so hoch priorisieren. Sind aufgrund der Antworten Auffälligkeiten erkennbar, dann haken wir nach.

 

Ein weiteres Projekt ist, dass unser Verwaltungsvorstand vor einem Jahr beschlossen hat, die in der Verwaltung vorhandenen manuellen und automatisierten Kontrollen (im Sinne eines internen Kontrollsystems) zu dokumentieren und in allen einschlägigen Regelwerken (Stellenbeschreibung, Prozessbeschreibungen, Orga-Plänen mit Vier-Augen-Prinzip, Controllingberichten etc.) zu verankern. Das war natürlich aus unserer Sicht genau die richtige Entscheidung und wir unterstützen seither das Team, das die Kontrollen aufnimmt, aktualisiert und die Umsetzung sicherstellt. Ich muss mich heute um einen Release-Wechsel bei einer unserer kreisangehörigen Kommunen kümmern. Ich habe zehn kreisangehörige Kommunen und diese wenden drei Haushaltsbewirtschaftungssysteme unterschiedlicher Hersteller an. Keine leichte Angelegenheit. Aber auch hier hat sich über unseren Verband eine sinnvolle Arbeitsteilung über die Jahre herausentwickelt. Ich kann deutschlandweit auf IT-Auditoren anderer Kommunen zurückgreifen, die in Haushaltsbewirtschaftungssystemen verschiedener Hersteller und sogar darin in verschiedenen Modulen Spezialisten sind. Die sehen Sachen in den Tabellen und Protokollen, die würden mir nicht einmal einfallen. Stellt man sich vor, dass jeder Tabelleneintrag in fast jedem System so protokolliert werden kann, dass man genau sieht, wann was eingetragen, verändert oder gelöscht wurde, dann kann man sehr genau prüfen. Nur mein Team und ich können unmöglich einen solchen Tiefgang (SAP hat mehrere zigtausend Tabellen) in jedem System vorweisen.

 

So, und gerade kommt über unser Dashboard ein Hinweis, dass in einem der Zahlwege einer kreisangehörigen Kommune eine Zahlung über 25.000 Euro angewiesen wird, bei der die Freigabe fehlt. Normalerweise werden die Eingangsrechnungen, die Freigabe der Rechnung sowie die Zahlbarmachung über einen entsprechenden Workflow (sogenannte Freigabestrategien in SAP) autorisiert. Manchmal kann es aber sein, dass es Rechnungen in die Zahlbarmachung schaffen und an den Freigabestrategien vorbeikommen. Hier haben wir uns mit den Fachbereichen eine Grenze von 15.000 Euro gesetzt, die wir in kurzen Abständen prüfen. Ich werde mir den Beleg einmal auf den Bildschirm holen und dort anrufen.

 

Anmerkung: Der hier dargestellte Blick in die Zukunft ist technisch zwar eine Herausforderung, aber machbar. Wenn Sie Interesse an einer solchen Entwicklung haben, wenden Sie sich bitte an uns.