Ein Wunsch vieler IT-Prüfer:innen wird wahr. Die ersten Checklisten des „Leitfadens zur begleitenden IT-Prüfung im Rahmen der Einführung rechnungslegungsrelevanter Verfahren in NRW“ des Arbeitskreises „Prüfung der Informationstechnologie“ der IDR-Landesgruppe NRW wurden jetzt auf der IDR-Homepage online gestellt.

Im Frühjahr 2019 entstand die Idee, im Arbeitskreis „Prüfung der Informationstechnologie“ der IDR-Landesgruppe NRW Checklisten zu erarbeiten, um IT-Prüfer:innen in kommunalen Rechnungsprüfungsämtern bei der Prüfung neuer rechnungslegungsrelevanter Verfahren zu unterstützen. Die Umsetzung dieser Idee erforderte zwei Jahre und etliche Arbeitsstunden.

Der nun zum Download bereit gestellte Leitfaden besteht aus einem einführenden Text und den eigentlichen Checklisten.

Im Einführungstext werden u. a. grundlegende Informationen zur Zulassungsprüfung der gpaNRW gegeben und die Aufgaben der gpaNRW von der „Anwendungsprüfung“ (oder auch Implementierungsprüfung), die im Zuständigkeitsbereich der örtlichen Rechnungsprüfung liegt, abgegrenzt.

Die bisher erstellten Checklisten umfassen die Bereiche und sind mittels Link direkt hinterlegt: 

• Verfahrensdokumentation 
• Rollen und Berechtigungen (Stand 02/2022)
• Test und Freigabe (Stand 02/2022)
• Datenmigration (Stand 02/2022)
• Datenschutz
• Anwenderdokumentation (Stand 02/2022)
• Lizenzmanagement

Sie bieten mögliche Prüffragen und Informationen zu den Sollvorgaben, die sich auf jedes rechnungslegungsrelevante Fachverfahren anwenden lassen, unabhängig von den fachlichen Aufgaben, die mit dem jeweiligen Verfahren bearbeitet werden. Fachliche Aspekte z. B. für die Bereiche Haushaltsplanung oder Anlagenbuchhaltung sind nicht Gegenstand der bereitstellten Checklisten.

Jede Checkliste beginnt mit einer Kurzeinleitung („Worum geht es?), der Nennung der relevanten Rechtsgrundlagen und einer Einführung in die Prüfthematik. Daran schließt sich die eigentliche Checkliste in Tabellenform mit Nennung der Soll-Vorgaben bzw. Best-Practice-Empfehlungen, Prüffragen und ergänzenden Zusatzinformationen an. Hierbei werden relevante IT-spezifische Aspekte der beim Anwender implementierten Prozesse und IT-Systeme betrachtet.

So ist beispielsweise die Thematik der Zugangs- und Zugriffsberechtigungen für die Sicherstellung eines ordnungsgemäßen Verfahrens immens wichtig. Hier geht es darum, Vertraulichkeit und Integrität der Daten zu gewährleisten. Anforderungen hierzu finden sich in der KomHVO NRW, den GoBD sowie in den datenschutzrechtlichen Regelungen. Im Zuge der Zulassungsprüfung kann die gpaNRW lediglich prüfen, ob das Programm zur Zugriffskontrolle die Vergabe individueller beziehungsweise differenzierter Zugriffsrechte der Anwender beziehungsweise Anwenderinnen für die einzelnen Programmfunktionen und Aufgabenbereiche ermöglicht. Ob diese Möglichkeiten - wie erforderlich - im Zuge des Customizing auch ordnungsgemäß genutzt werden, kann im Rahmen der Zulassungsprüfung nicht geprüft werden. Hier ist die örtliche Rechnungsprüfung gefragt.

Die Erstellung weiterer Checklisten zu den folgenden Bereichen ist in Planung:

• Notfallmanagement
• Schnittstellen
• Datensicherung (inkl. Archivierung)
• Relevante Fragen zum Beschaffungsprozess 

Die Checklisten stellen eine Arbeits- und Orientierungshilfe dar. Sie richten sich vornehmlich an IT-Prüfer:innen in NRW, da sie auf die NRW-spezifischen Regelungen abgestimmt sind. Nichtsdestotrotz können sie auch für die örtliche Rechnungsprüfung in anderen Bundesländern hilfreich sein.

Wir, die Mitglieder des Arbeitskreises, hoffen, mit den Checklisten die Arbeit der kommunalen Rechnungsprüfung im Bereich der IT-Prüfung effektiv unterstützen zu können und freuen uns auf ein Feedback von Ihnen.

Haben Sie vielleicht auch Interesse daran, selbst aktiv im Arbeitskreis mitzuarbeiten? Dann sprechen Sie mich gerne an.

Marie-Luise Nee

Leiterin des Arbeitskreises Informationstechnologie der IDR-Landesgruppe NRW | Landschaftsverband Westfalen-Lippe | LWL-Rechnungsprüfungsamt

Telefon: 0251 591-3366 | marie-luise.nee@lwl.org