Direkt zum Inhalt | Direkt zur Navigation

Benutzerspezifische Werkzeuge

Sektionen
Prüfungsergebnisse
Sie sind hier: Startseite / Prüfungsergebnisse / Produkte / Leitsätze der externen Finanzkontrolle / Leitsatzsammlung / 01 Finanzen / Haushalt / Bewirtschaftung / 2019 Leitsatz 01/08 - Das Interne Kontrollsystem beim Einsatz automatisierter Verfahren zur Bewirtschaftung von Haushaltsmitteln des Bundes

Artikelaktionen

2019 Leitsatz 01/08 - Das Interne Kontrollsystem beim Einsatz automatisierter Verfahren zur Bewirtschaftung von Haushaltsmitteln des Bundes

25.01.2019

Leitsätze
pdf - download(1) Das Interne Kontrollsystem (IKS) beim Einsatz automatisierter Verfahren muss die Ordnungsmäßigkeit der Buchführung sicherstellen. Für die Einhaltung der Ordnungsvorschriften bei der Bewirtschaftung von Haushaltsmitteln mit automatisierten Verfahren sind verfahrensintegrierte und verfahrensübergreifende Kontrollen einzurichten, auszuüben und zu protokollieren.

(2) Das IKS kann nur dann wirksam durch einen Bewirtschafter implementiert sein, wenn eine aussagekräftige Verfahrensdokumentation vorhanden ist.

(3) Es muss sämtliche Verfahrensschritte der Erfassung und Bearbeitung zahlungs- und rechnungslegungsrelevanter Daten abdecken.

(4) Der Bewirtschafter muss im Falle organisatorischer oder systemtechnischer Veränderungen anlassbezogen prüfen, ob das eingesetzte automatisierte Verfahren einschließlich des IKS dem dokumentierten Verfahren entspricht.

Hintergründe
(1) Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet, die die Einhaltung der Ordnungsvorschriften sicherstellt.1 Das IKS besteht aus verfahrensintegrierten und verfahrensübergreifenden Überwachungsmaßnahmen. Die verfahrensintegrierten Kontrollen (z. B. Zugangs- und Zugriffskontrollen2) hat der Bewirtschafter extra für das jeweilige automatisierte Verfahren unter Zuhilfenahme der Verfahrensdokumentation, der Gefährdungsanalyse und des Ordnungsmäßigkeitskonzeptes implementiert. Verfahrensübergreifende Kontrollen, beispielsweise der Internen Revision, des Datenschutzes oder der Informationssicherheit, gelten für sämtliche Verfahrensabläufe einer Behörde und bilden das Rahmenwerk für den Einsatz des automatisierten Verfahrens.


Grafik IKS-Dokumentation


Nur ein eingerichtetes, ausgeübtes und dokumentiertes IKS versetzt Bewirtschafter in die Lage, die Ordnungsmäßigkeit der IT-unterstützten Bewirtschaftung von Haushaltsmitteln des Bundes zu beurteilen und eine werthaltige Erklärung über die Einhaltung der Mindestanforderungen für den Einsatz automatisierter Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes3 abgeben zu können.

Häufig stellte der Bundesrechnungshof fest, dass das automatisierte Verfahren nicht im Fokus der Innenrevisionen, der Datenschutz- oder IT-Sicherheitsbeauftragten war. U. a. lag dies daran, dass Unkenntnis über die Regelungen für das Verfahren bestand oder es nicht als kritisch für den jeweiligen Aufgabenbereich betrachtet wurde. Diese Einschätzungen basierten dabei jedoch in der Regel nicht auf einer systematischen Analyse des Verfahrens.

(2) Die Verfahrensdokumentation4 besteht mindestens aus einer allgemeinen Beschreibung des Verfahrens, der Anwenderdokumentation, der technischen Systemdokumentation und einer Betriebsdokumentation. Sie dokumentiert den technisch und organisatorisch gewollten Verfahrensablauf – sowohl für die manuellen als auch die automatisierten Verfahrensschritte – und dient als Grundlage für die Gefährdungsanalyse und das Ordnungsmäßigkeitskonzept.

Die Gefährdungsanalyse ermittelt und bewertet Gefährdungen, die durch Verfahrensmissbrauch oder Fehler zu haushaltswirtschaftlichen Risiken führen. Ermittelte Risiken sind gegen die zusätzlichen Ausgaben zur Erhöhung der Verfahrenssicherheit abzuwägen. Festgestellte Restrisiken sind zu dokumentieren. Das Ordnungsmäßigkeitskonzept enthält neben den Einzelheiten zur Abgrenzung der Verantwortlichkeiten Regelungen darüber, wie und welche Kontrollmaßnahmen zur Einhaltung der Ordnungsvorschriften zu implementieren sind. Die Gesamtheit aus Verfahrensdokumentation, Gefährdungsanalyse, Ordnungsmäßigkeitskonzept und weiteren Unterlagen, welche die Nachvollziehbarkeit des Verfahrensablaufs für einen sachverständigen Dritten beschreiben, bilden die Dokumentation sowohl der ordnungsmäßigen Haushaltsmittelbewirtschaftung als auch des IKS.

Der Bundesrechnungshof stellte regelmäßig fest, dass das IKS bei der Ersteinführung des Verfahrens zwar noch hinreichend dokumentiert war. Später aktualisierte der Bewirtschafter oftmals nur das Ist-System im laufenden Betrieb. So konnten weder die Betriebsverantwortlichen noch die Prüfer verlässlich in jedem Fall klären, welche Systemeinstellungen oder welche Benutzerkennungen und – rechte richtig im operativen System eingestellt waren und welche umgehend korrigiert werden mussten.

(3) Die Einhaltung der Ordnungsmäßigkeit kann nicht auf einzelne Verfahrensschritte beschränkt werden. So ist beispielsweise die Einrichtung eines IKS nur für die Anwendung, mit der ein Bewirtschafter Anordnungen an das HKRverfahren überträgt, nicht ausreichend, wenn weitere Vorsysteme und/oder Verfahrensschritte vorhanden sind, in denen zahlungsrelevante Informationen erfasst oder verarbeitet werden. Der Bewirtschafter muss sämtliche Verfahrensschritte von der Entstehung eines Geschäftsvorfalls über dessen buchhalterische Abbildung in seinem Mittelbewirtschaftungssystem bis hin zur Übersendung der Daten an das HKR-Verfahren in der Verfahrensdokumentation beschreiben. Er muss diese Verfahrensschritte im Hinblick auf mögliche Risiken in der Gefährdungsanalyse betrachten und im Ordnungsmäßigkeitskonzept darauf eingehen, wie den identifizierten Risiken begegnet wird.

Gerade an Systemschnittstellen ließ sich immer wieder feststellen, dass die bis dahin oftmals unter besonderem Aufwand systemseitig geschützten Buchführungsdaten ohne hinreichende Kontrolle in andere Systeme manuell übertragen wurden. Zudem war im Zielsystem bisweilen die Nichtänderbarkeit der Daten nur noch durch eine organisatorische Vorgabe und nicht mehr systemtechnisch sichergestellt, was für die Übertragung von Anordnungsdaten i. d. R. eine zu schwache Kontrollmaßahme des IKS darstellt.

(4) Um die Wirksamkeit des IKS zu gewährleisten muss ein Bewirtschafter neben der regelmäßigen Prüfung zur Erfüllung der Mindestanforderungen auch anlassbezogen sicherstellen, dass das dokumentierte Verfahren mit dem in der Praxis eingesetzten Verfahren übereinstimmt. Ansonsten kann er die Einhaltung der Ordnungsvorschriften nicht sicherstellen. Daher sind bei technischen und/oder organisatorischen Änderungen, die Auswirkungen auf die Buchungs- oder Anordnungsdaten haben, die Verfahrensbeschreibung, die Gefährdungsanalyse, das Ordnungsmäßigkeitskonzept und das IKS anzupassen (z. B. bei Aufgaben-, Personalveränderungen oder Systemaktualisierungen). Die Prüfungen stellen sicher, dass Abweichungen zwischen dem dokumentierten, beabsichtigten und dem eingesetzten automatisierten Verfahren nicht auftreten können.

Anmerkungen
Weitere Prüfungserkenntnisse des Bundesrechnungshofes zum Einsatz automatisierter Verfahren zur Bewirtschaftung von Haushaltsmitteln des Bundes finden sich auch in den Bemerkungen 2014, Nr. 3 (BT-Drs. 18/3300) sowie einem Bericht nach § 88 Absatz 2 BHO an den Rechnungsprüfungsausschuss des Haushaltsausschusses des Deutschen Bundestages vom 13. Mai 2016. Der RPA hat das Bundesministerium der Finanzen und die anderen Ressorts aufgefordert, die haushaltsrechtlichen Vorgaben für den Betrieb aller zahlungsrelevanten ITsysteme in ihrem jeweiligen Verantwortungsbereich einzuhalten.

Der Bundesbeauftragte für Wirtschaftlichkeit in der Verwaltung hat im April 2017 einen Bericht zum Thema „Modell eines Risikomanagements für die Bundesverwaltung“ veröffentlicht. Dieser erläutert umfassend, wie Behörden ihre Risiken identifizieren sowie ihre Kontroll- und Steuerungsinstrumente zuordnen können. Das Modell lässt dabei Raum für eine behördenspezifische Ausgestaltung und verbindet die Aspekte umfassendes Risikomanagement, Interne Kontroll- und Steuerungssysteme sowie verschiedene Wirkungszusammenhänge miteinander.

[1] Nummer 5 GoBIT-HKR.

[2] Vgl. hierzu 2018 Leitsatz 01/07 – Zugangs- und Zugriffskontrollen bei automatisierten Verfahren zur Bewirtschaftung von Haushaltsmitteln des Bundes.

[3] Bestimmungen über die Mindestanforderungen für den Einsatz automatisierter Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes (BestMaVB-HKR).

[4] Nummern 6.1.2 und 6.2 VV-ZBR BHO.

© 2019 Bundesrechnungshof