Wirtschaftlichkeitsprüfung und Informationstechnologie (2004)

Dieser Anhang basiert auf Papieren des INTOSAI-Komitees für die IT-Prüfung und den von ASOSAI erarbeiteten Richtlinien für die Wirtschaftlichkeitsprüfung. Auch die Erfahrungen einzelner ORKBn wurden berücksichtigt. (Entnommen aus: GRUNDSÄTZE FÜR DIE DURCHFÜHRUNG VON WIRTSCHAFTLICHKEITSPRÜFUNGEN. Richtlinien und Grundsätze für die Wirtschaftlichkeitsprüfung, beruhend auf den INTOSAI-Richtlinien für die Finanzkontrolle sowie den Erfahrungen der Praxis. Stockholm 2004, S. 139-146. )

Die Informationstechnologie (IT) wird in immer stärkerem Maße bei der Planung, Durchführung und Kontrolle von Programmen der öffentlichen Verwaltung eingesetzt. Die gemeinsame Nutzung und Zusammenführung gespeicherter Informationen von unterschiedlichen Behörden wirft Fragen nach der Gefahr von Verletzungen in der Anwendungssicherheit oder der unerlaubten Manipulation von Daten auf. Prüfer sollten daher nicht nur Kenntnisse über die Anwendung von Informationstechnologie besitzen, sondern auch Strategien und Techniken entwickeln, die geeignet sind, bei den betroffenen Personengruppen Vertrauen in deren Funktionalität zu schaffen, was die erhöhte Wirtschaftlichkeit durch IT-Einsatz, die Systemsicherheit, die adäquate Prozesssteuerung und die Vollständigkeit und Richtigkeit der Datenausgaben angeht. Früher konzentrierte sich die Wirtschaftlichkeitsprüfung auf Themen wie Planung, Entwicklung und Pflege einzelner IT-Systeme. Heute ist dagegen eine übergeordnete Sichtweise erforderlich. IT-Systeme werden vor allem als wichtige Komponenten staatlicher Programme (e-government) gesehen. Diese Verschiebung der Betrachtungsweise hat auch Auswirkungen auf die Wirtschaftlichkeitsprüfung von IT-Systemen.

Gute IT-Systeme können die Sparsamkeit, Wirtschaftlichkeit und Wirksamkeit bestehender Programme und somit die öffentlichen Dienstleistungen verbessern. Sie können zur sparsamen und wirksamen Durchführung von Programmen beitragen, da sie in der Lage sind, bestimmte Dienstleistungen preisgünstiger zu erbringen und zudem eine Reihe zusätzlicher Leistungen, einschließlich Informationen über den Programmerfolg, mit höherer Effizienz, Sicherheit und Steuerungsmechanismen bereitzustellen, als dies mit manuellen Arbeitsabläufen möglich ist. Dennoch bergen IT-Systeme auch die Gefahr von großen Systemfehlern, deren Auswirkungen auf die Wirtschaftlichkeit einer Verwaltung viel weitreichender sein können als bei manuellen Systemen.

In diesem Anhang wird eine Reihe wichtiger Aspekte für die Wirtschaftlichkeitsprüfung in einem durch informationstechnische Systeme beeinflussten Umfeld hervorgehoben, die indes nicht als Ersatz für genaue Richtlinien gedacht sind, die in jeder einzelnen ORKB, zugeschnitten auf die IT-Umgebung der zu prüfenden Stellen, gegebenenfalls noch erarbeitet werden müssen.

Eine in einem IT-Umfeld vorgenommene Wirtschaftlichkeitsprüfung sollte folgende inhaltlich zusammenhängende Arbeitsschritte umfassen:

  • Aneignung von Kenntnissen über das EDV-System der geprüften Stelle und Feststellung seiner Bedeutung für das Prüfungsziel,
  • Feststellung des Umfangs der zur Erreichung des Prüfungsziels erforderlichen Systemprüfungen (z.B. Prüfung der IT-Investitionsverfahren sowie ihrer Verknüpfung mit den Betriebsstrategien; Prüfung der Systementwicklung; Prüfung der Umgebungs- und Anwendungskontrollen) und Einsatz spezialisierter Informationssystem/ IT-Prüfer für diese Aufgabe und
  • Entwicklung und Anwendung geeigneter EDV-gestützter Prüfungstechniken, zur Erleichterung der Prüfungsarbeit.

Eine Wirtschaftlichkeitsprüfung in einem durch EDV geprägten Umfeld sollte:

  • abschätzen, ob durch die eingesetzte Informationstechnik die Sparsamkeit, Wirtschaftlichkeit und Wirksamkeit in den Zielsetzungen und in der Abwicklung der Programme erhöht werden, insbesondere im Hinblick auf die Programmplanung, -durchführung, -kontrolle und entsprechende Rückmeldungen,
  • ermitteln, ob der generierte Output des Systems den Anforderungen an die Qualität, die Kosten und die Serviceleistung entsprechen,
  • alle Schwachstellen der Informationssysteme und Kontrollmechanismen des IT-Systems ausmachen und deren Auswirkungen auf die Sparsamkeit, Wirtschaftlichkeit und Wirksamkeit der Leistung feststellen,
  • die IT-Systementwicklung und die Wartungspraxis der geprüften Stelle mit den maßgeblichen Verfahrensweisen und Normen vergleichen, und
  • die strategische Planung, das Risikomanagement und das Projektmanagement im IT-Bereich der geprüften Stelle mit den besten Verfahrensweisen und Normen, einschließlich der Praxis der Unternehmensführung vergleichen.

Ein hoch entwickeltes Modell für die Prüfung von IT-Systemen

Bei der Prüfung des EDV-Einsatzes in betrieblichen Programmen muss der Prüfer schwerpunktmäßig bestimmte Aspekte betrachten. Grundsätzlich lassen sich für ein hoch entwickeltes Modell zur Prüfung von IT-Systemen die folgenden Komponenten bestimmen:

  • Anforderungen der Regierung und sonstige Forderungen bezüglich des IT-Einsatzes in der öffentlichen Verwaltung
  • die staatliche Politik zur Verbesserung von IT-gestützten betrieblichen Abläufen und Entscheidungsprozesse für Investitionsvorhaben zur Verbesserung IT-gestützter betrieblicher Abläufe (Einführung IT-Systeme)
  • Entwicklungsprojekte des Staates, Betrieb und Instandhaltung IT-gestützter Betriebsabläufe/Programme, IT-Systeme und IT-Infrastruktur einschließlich Aspekte der Datensicherheit, Datenintegrität, Kontrolle usw.
  • Nutzung von IT-Systemen beim Kunden, einschließlich Aspekte der Einsatzfähigkeit und Interaktion zwischen Benutzern und IT-Systemen
  • Langfristige Wirksamkeit von IT-Systemen und IT-Support in betrieblichen Programmen (Geldwert durch den IT-Einsatz)
  • Unterstützung verschiedener Akteure für Behörden der öffentlichen Verwaltung in IT-bezogenen Themen, einschließlich solcher Themen wie IT-Richtlinien, IT-Technologie usw.
  • Hauptakteure, die in IT-bezogenen Themen, wie IT-Trends, IT-Knowhow usw. auf Regierung und Behörden einwirken.

Aspekte der Wirtschaftlichkeit
bei der Prüfung in einem EDV-geprägten Umfeld

Oft soll mit der Prüfung vor allem festgestellt werden, ob sich durch den Einsatz der EDV die Wirtschaftlichkeit erhöht hat, mit der die geprüfte Stelle ihre Programme abwickelt, und ob das EDV-System überhaupt positive Auswirkungen für die betroffenen Mitarbeiter hat. Vom Prüfer kann auch erwartet werden, dass er beurteilt, ob die IT­Systeme zu einem besseren Programmmanagement geführt haben. In diesem Zusammenhang sind u.a. folgende Bereiche zu berücksichtigen:

  • der IT-Investitionsprozess – insbesondere das Erneuerungskonzept der geprüften Stelle für Entwurf, Bearbeitung und Entscheidung über IT-Investitionsvorschläge – und seine Verknüpfung mit betrieblichen Strategie-, Management- und Planungsprozessen,
  • die IT sollte die Zielsetzungen und Geschäftspolitik der geprüften Stelle unterstützen und bildet einen integralen Bestandteil ihrer Tätigkeit,
  • der IT-Betrieb erfordert hoch qualifiziertes Personal,
  • der Beitrag der EDV zu den Betriebsabläufen wird anhand der betrieblichen Rentabilität gemessen,
  • die Vorteile der Informationstechnik kommen ohne die erforderlichen Veränderungen womöglich nicht zum Tragen, und
  • die Anwendung herkömmlicher wirtschaftlichkeitsorientierter Maßnahmen ist in diesem Zusammenhang unter Umständen schwieriger.

Zusätzlich zur Begutachtung, ob das IT-System der geprüften Stelle zur Wirtschaftlichkeit beiträgt, dürfte der Prüfer auch festzustellen haben, ob durch die Einführung der Informationstechnik ein Gewinn an Transparenz, Verantwortlichkeit und guter Verwaltungsführung erreicht wird.

Die Prüfung kann ferner auch spezielle EDV-Themen umfassen, z.B. die IT-Systementwicklung und das operative IT-Systemmanagement.

Wirtschaftlichkeitsprüfung
unter Einbeziehung von IT-Systementwicklung

Eine Wirtschaftlichkeitsprüfung unter Einbeziehung der IT-Systementwicklung sollte ermitteln, ob die geprüfte Stelle

  • über die entsprechenden Genehmigungen übergeordneter Stellen zur Entwicklung des IT-Systems verfügt, d.h. dass die computergestützte Verwaltung mit dem Unternehmenskonzept der geprüften Stelle in Einklang steht,
  • geeignete Projektmanagementabläufe zur Projektverwaltung vorgesehen hat,
  • die Vorgaben hinsichtlich Zeit, Kosten, Systemfunktion und Wirtschaftlichkeit erfüllt hat,
  • eine geeignete Methodologie zur Systementwicklung anwendet, und
  • über geeignete Mechanismen verfügt – u.a. die interne Kontrolle – um zu gewährleisten, dass das neue System allen notwendigen Kontrollen und Rechnung trägt, Prüfpfade enthält und den Anforderungen der geprüften Stelle und der Betroffenen entspricht.

Wirtschaftlichkeitsprüfung und operative IT-Systeme

Die folgende Aufstellung enthält einige besonders wichtige Aspekte, die ein Prüfer beachten und den jeweiligen Erfordernissen der geprüften Stelle anpassen sollte:

  • das strategische und operative Management der Informationstechnologie, einschließlich der Absicherung, dass diese in das unternehmerische Gesamtführungskonzept der geprüften Stelle eingeflossen ist;
  • das Projektmanagement des IT-Systems, einschließlich der Zuverlässigkeit der geprüften Stelle hinsichtlich der Einhaltung gesetzlicher und anderer Fristen,
  • das Risikomanagement im IT-Bereich in der Praxis,
  • die Systemplanung und -entwicklung sowie die Kontrollen zur Pflege des IT-Systems,
  • die Einhaltung von Normen, einschließlich externer Standards,
  • die Anwendungssteuerung,
  • die Prozesssteuerung, einschließlich der Prüfpfade,
  • Maßnahmen zur Unternehmenskontinuität,
  • die Datenintegrität, einschließlich Stichprobennahmen (ggf. unter Anwendung EDV-gestützter Prüfungstechniken),
  • Zugangskontrollen sowie die physische und logische Sicherheit der Netzwerke und Computer, einschließlich der Internet Firewalls,
  • Kontrollen zur Absicherung gegen illegale Softwareprodukte,
  • Leistungsmanagement und -messung, sowie
  • weitere Fragen, die sich im Laufe der Prüfung ergeben.

Bei seiner Bewertung kann der Prüfer:

  • Akten und andere Dokumente einsehen, die für die Entwicklung und den Betrieb der IT-Systeme von Bedeutung sind,
  • geeignete Softwareprodukte einsetzen, um die zentralen und vernetzten Systemkontrollen zu testen,
  • stichprobenweise eine Reihe von Prozessen testen (auch unter Einsatz EDV-gestützter Prüfungstechniken), zwecks Validierung der Systeme und der Kontrollen, und
  • Gespräche mit dem Stellenleiter und Mitarbeitern in Schlüsselpositionen führen.

Planung

Wie jede Prüfung, bedarf auch die Wirtschaftlichkeitsprüfung in einem IT-Umfeld einer Planung. Im Rahmen des Planungsprozesses sollten Prüfungsziele formuliert werden, die sich an den Zielsetzungen orientieren, die die geprüfte Stelle selbst mit der IT-Einführung/Umstellung auf EDV verfolgt, und die den Belangen der Prüfer hinsichtlich der Wirtschaftlichkeit, der Kontrollen und der Sicherheit Rechnung trägt. Auch sollten schon in der Planungsphase die IT-Systeme – sowie deren Rolle in den Programmen – bzw. die Computersysteme und Softwareprodukte festgestellt werden, die in der betroffenen Stelle eingesetzt werden. Ebenfalls sollten die Prüfer bereits in dieser Phase feststellen, welches die größten potenziellen Risiken und Sicherheitslücken in den IT-Systemen sind.

Die Wirtschaftlichkeitsprüfung in einem informationstechnisch geprägten Umfeld erfordert spezialisierte Fachkenntnisse, so dass für diese Aufgabe nur geschultes Personal mit ausreichender Qualifikation in den Bereichen EDV, Finanzkontrolle und Rechnungsführung eingesetzt werden sollte. Auch die Hinzuziehung von Fachberatern für bestimmte technische Spezialgebiete könnte ratsam sein. Ebenso können die ORKBn die Anschaffung geeigneter Hardware- und Softwareprodukte erwägen. Um auf dem aktuellen Stand der technischen Entwicklung und der Prüfungstechniken im IT-Bereich zu bleiben, wird ein erheblicher Fortbildungsbedarf des Prüfungspersonals zu decken sein.

IT-gestützte Prüfungstechniken

Prüfer nutzen in immer stärkerem Maße IT-gestützte Prüfungstechniken, die die Durchführung der Prüfung mittels kundenspezifischer Softwareprogramme unterstützen. Diese Anwendungen können sowohl zur Ziehung von Stichproben aus den Geschäftsdaten als auch zur Überprüfung des Gesamtsystems herangezogen werden. Geeignete Softwaretools lassen sich für folgende Aufgaben entwickeln:

  • Zugang zu und Entnahme von Daten aus den Datenbanken der geprüften Stelle,
  • Addition, Zusammenfassung, Sortierung, Abgleich und Auswahl von großen Datenmengen nach festgelegten Kriterien,
  • tabellarische Darstellung, Überprüfung und Durchführung von Berechnungen anhand der Daten,
  • Stichprobenverfahren, statistische Verarbeitung und Analyse,
  • auf spezifische Prüfungserfordernisse zugeschnittene Berichterstattung,
  • Erleichterung der Prüfungsplanung und -kontrolle, beispielsweise durch elektronisch erstellte Arbeitsunterlagen, die das Anlegen von Registern sowie die Überprüfung und Berichterstattung effektiver gestalten,
  • Durchführung von Erhebungen mit Hilfe webgestützter Fragebögen,
  • verbesserte Analyse von Prüfungsnachweisen und -feststellungen.

EDV-gestützte Prüfungstechniken können herangezogen werden, um Daten zu erfassen, die Validität der Arbeitsprozesse zu beurteilen oder die Daten zu analysieren. Die Prüfer sollten solche Prüftechniken entwickeln und auch das Personal der geprüften Stelle darin schulen. Bei der Entwicklung bzw. Veränderung solcher automatisierten Tools sollten stets das IT-Umfeld der geprüften Stelle sowie die Prüfungsziele berücksichtigt werden. EDV-gestützte Prüfungstechniken können für Wirtschaftlichkeitsprüfungen von Behörden mit IT-Ausstattung ebenso eingesetzt werden wie für solche, die nicht über diese Technik verfügen.

Berichterstattung

Bei der Abfassung des Berichts über die Wirtschaftlichkeitsprüfung sollte die Verwendung von Fachterminologie auf ein notwendiges Mindestmaß beschränkt werden, damit er für die Leitungsebene, die Mitglieder der Legislative und die Öffentlichkeit leicht verständlich ist. Wo die Benutzung von Fachtermini unumgänglich ist, sollten diese erklärt werden. Die Prüfberichte sollten auf den Webseiten der ORKB oder auf CD veröffentlicht werden, um sie einem möglichst großen Publikum zugänglich zu machen.