Der AK DITS hat zu den folgenden Themen neue Leitlinien veröffentlicht:

• Informationssicherheit
• Notfallmanagement
• Risiken ohne IT-Prüfung

Bei Anregungen oder Anmerkungen kontaktieren Sie uns gern per Mail dits@idrd.de

Grundlagen

IT ist in sämtlichen Bereichen der Kommunen vorhanden. Eine Nutzung und Einbindung gibt es vom Computer-Arbeitsplatz über vollständige eAkten bis hin zu speziellen Fachverfahren in allen Bereichen. Eine Buchhaltung ohne digitales Buchführungssystem ist undenkbar. Die Notwendigkeit der Einbindung von elektronischen Prozessen und Abläufen wird sich im Zeitalter der „digitalen Revolution" weiter verstärken. Grund hierfür sind u.a. auch die einzelnen Gesetzgebungen (eGovernment-Gesetz, eJustice-Gesetz, Onlinezugangsgesetz, EU-DSGVO u.v.m.), welche insbesondere mit ihren Regelungen den öffentlichen Dienst betreffen. Die Digitalisierung wird darüber hinaus durch zahlreiche „Offensiven" in einzelnen Bundesländern wirksam verstärkt.

Die zunehmende Nutzung von IT-Systemen bietet nicht nur zahlreiche Chancen, sondern birgt auch erhebliche Risiken. Mit dem ansteigenden Digitalisierungsgrad steigt auch die Abhängigkeit von technischen Systemen. Technische Störungen führen häufig im Zusammenhang mit einer unzureichenden Notfallabsicherung und fehlenden Redundanzen zu Störungen in den Arbeitsabläufen und damit zu einer Einschränkung in der Verwaltungstätigkeit. Neben persönlichen Haftungen und finanziellen Schäden besteht somit auch die Gefahr von Vertrauens- und Imageverlust in der Öffentlichkeit. Daneben können fehlerhaft konzipierte bzw. konfigurierte Elemente in der IT beispielsweise Unbefugten den Zugriff auf sensible Daten erleichtern. Durch solche Schwachstellen besteht die Möglichkeit, relevante Daten unbemerkt zu verändern oder bewusst zu manipulieren. Schlimmstenfalls stehen durch Sicherheitsvorfälle die für einen Prozess oder ein bestimmtes Produkt notwendigen kritischen IT-Anwendungen nicht zur Verfügung. Neben technischen Ursachen sorgen leider häufig auch die Mitarbeiter selbst im Umgang mit IT-Anwendungen durch fahrlässiges Verhalten oder ggf. sogar vorsätzlich falsches Handeln für eine Gefahr. Die »Awareness« für die Risiken bei Einsatz und Nutzung von IT und damit auch das Bewusstsein für die Notwendigkeit von IT-Prüfungen werden neben anderen unternehmens-relevanten Elementen zu einem der wichtigsten Handlungsfelder.1

Einteilung und Struktur

Innerhalb der Prüfung sind grundlegend zwei Themenblöcke zu unterscheiden, das Prüfen der IT (Infrastruktur, Prozesse, Software) und die Prüfung des modernen, zeitgemäßen Rechnungsprüfers mit und innerhalb von IT-Systemen sowie Fachverfahren, sprich das Prüfen mit IT. Für die IT-Revision ergeben sich daraus die folgenden relevanten Elemente, die entsprechend ihrer jeweiligen Inhalte ein gemeinsames oder ein aufeinander aufbauendes Prüfungsobjekt bilden.

Im Themenbereich Prüfen der IT sollten folgende Schwerpunkte berücksichtigt werden:

• IT- Strategie
• Infrastruktur
  • Physische Infrastruktur (Gebäude / Serverräume)
  • Netzwerk (Datenübertragung, Schnittstellen, Konfigurationen)
  • Hardware
  • Software (Betriebssystem und Middleware (Dienste, wie Active Directory o.Ä., Verschlüsselung, Berechtigungs- sowie Identity und Access Management), Datenbank-und Applikationsebene, Schichtenmodell)
• IT-Personal und IT-Organisation
• IT-Prozesse (technische und fachliche, hierzu zählen auch alle Projekte)
• Organisatorische Regelungen (ergänzend zu den Prozessen/Projekten)
• Daten (Stamm-/Bewegungsdaten, Datenqualität, Klassifikation – Schutzbedarf)
• Finanzrelevante Fachverfahren2
  • Programm- / Anwendungsprüfungen
  • Funktionsprüfungen
  • Berechtigungsprüfungen

Der Themenblock Prüfen mit IT sollte folgende Aspekte beleuchten:

• Nutzung von Prüfsoftware
• Prüfen innerhalb der Fachverfahren
  • Daten / Stammdaten
  • Einhaltung gesetzlicher Vorgaben
  • Fachprozesse / Ablaufprozesse
• Prüfen mit Analysesoftware
  • Massendatenauswertungen

Die Prüfung hat sich grundsätzlich auf die IT- gestützten Verwaltungsprozesse zu erstrecken.

Für

•  die Auswahl und den Einsatz der Software,
•  die Implementierung des IT- gestützten Verwaltungsprozesses sowie für
•  die Funktion, Kontrolle, Überwachung und Anpassung bzw. Verbesserung als auch für
•  die Sicherheit und den Schutz der Daten

ist der Hauptverwaltungsbeamte verantwortlich.

Bei Auftragsverarbeitung durch Dritte hat die Prüfung nach den gleichen Grundsätzen zu erfolgen. Die Beurteilung kann dabei auch durch Zertifikate berechtigter Stellen nachgewiesen werden.

Methoden

Die Methoden zur Prüfung von und mit IT unterscheiden sich hierbei nicht in der Herangehensweise. In allen Bereichen gelten die IDR Prüfungsleitlinien, insbesondere die IDR Prüfungsleitlinien:

•  L 10 Leitbild der Rechnungsprüfung 
•  L 100 Grundsätze der Rechnungsprüfung
•  L 111 IKS-Prüfung in der Rechnungsprüfung 
•  L 112 Der Planungsprozess der Rechnungsprüfung
•  L 113 Digitale Prüfungsunterstützung und Dokumentation der Rechnungsprüfung 
•  L 114 Die Prozessanalyse in der Rechnungsprüfung 
•  L 120 Methoden und Kommunikation in der Rechnungsprüfung.

Hierzu zählen vorrangig eine systematische Herangehensweise (Vorbereitung -> Durchführung -> Bericht/Maßnahmen) sowie die vordringliche Durchführung von Prozess- und IKS-Prüfungen.

Im Rahmen der Prüfung sind basierend auf einem ersten Grundverständnis sämtliche der IT-gestützten Verwaltungsprozesse aufzunehmen und aufbauend darauf eine Risikobeurteilung vorzunehmen.

Bei der Risikobewertung sollten folgende Maßstäbe herangezogen werden:

•  Ergeben sich aus dem jeweiligen Prozess bedeutsame Risiken?
•  Wie hoch ist das Transaktionsvolumen?
•  Wie groß ist die Bedeutung für den Haushalt?
•  Bestehen sonstige Risiken?

Anforderungen / Fortbildungen

Qualifizierungs- und Weiterbildungsmaßnahmen in den Bereichen der IT sind vielfältig. Der IT-Prüfer muss ein tiefgehendes Verständnis von Informationstechnologie besitzen, um detaillierte Prüfungen im Bereich der Prüfung von IT durchführen zu können. Eine Prüfung, ob Prozesse und Maßnahmen wie ein IKS vorhanden sind, kann jedoch auch von Prüfern ohne detailliertes IT-Wissen durchgeführt werden. Qualifizierungs- und Weiterbildungsmaßnahmen für IT-Prüfer sind hierbei die C-Titel (u.a. CISA) und BSI-Auditor Schulungen.

Der moderne Prüfer eines jeden Fachbereichs kommt nicht umhin, Prüfung mit IT durchzuführen. Hierbei muss das Verständnis der Verknüpfung zwischen Fachverfahren und allgemeiner IT-Infrastruktur beachtet und erkannt werden. Innerhalb von Prüfungen muss ggf. auf vorgelagerte Prüfungen und/oder Zertifizierungen der Fachverfahren, der IT-Infrastruktur und der IT-Prozesse zurückgegriffen werden.3

1Auszüge aus dem ISACA Leitfaden „Grundlagen der IT-Revision für den Einstieg in die Praxis" Stand Juli 2016
2Durch die jeweiligen gesetzlichen Regelungen der einzelnen Länder ergeben sich ggf. unterschiedliche Verantwortlichkeiten und Pflichten
3Leitlinien des IDR <link unsere-arbeit/prufungsleitlinien/>https://www.idrd.de/unsere-arbeit/prufungsleitlinien/</link>