Die generellen IT-Kontrollen «ITGC» des BIT sind ein wichtiger Bestandteil im übergeordneten Kontrollsystem des Bundes. Dieses Kontrollsystem trägt dazu bei, dass die Staatsrechnung in Übereinstimmung mit den gesetzlichen Vorschriften erstellt wird.
Alle, die in einem Verein aktiv sind, kennen das: Jedes Jahr wird an der Generalversammlung über die Vereinsrechnung und Buchführung des Vorjahres abgestimmt. Rechnung und Buchführung wurden von der Revisionsstelle nach allgemein anerkannten Standards geprüft. Die Revisionsstelle verfasst einen Prüfbericht zuhanden der Versammlung, welche dann über die Abnahme der Rechnung bestimmt. Mit diesem mehrstufigen Verfahren kann das Risiko wesentlich falscher Angaben als Folge von Verstössen oder Irrtümern in der Rechnung vermindert werden.
Ähnlich verläuft dies in der Bundesverwaltung. Die Eidgenössische Finanzkontrolle (EFK) prüft alljährlich die «Staatsrechnung der Schweizerischen Eidgenossenschaft (Bundesrechnung)» und verfasst zuhanden der Finanzkommissionen der eidgenössischen Räte einen Bericht. Am Schluss entscheidet die Bundesversammlung über die Abnahme der Rechnung.
Die Arbeiten der EFK stützen sich auf das Finanzkontrollgesetz (FKG). Dieses legt fest, dass die EFK die internen Kontrollsysteme überprüft (Art. 6.d). Die EFK kontrolliert, ob EDV-Anwendungen in Bereichen des Finanzgebarens die erforderliche Sicherheit und Funktionalität aufweisen (Art. 6.h). Ziel ist immer, dass die wesentlichen Risiken erkannt und falls nötig geeignete Massnahmen eingeleitet werden können. Zu diesem Zweck prüft die EFK jährlich alle staatsrechnungsrelevanten Systeme, welche im BIT betrieben werden.
Eine strukturierte Checkliste
Bei den IT-General Controls (kurz ITGC) handelt es sich um ein branchenübliches Kontrollverfahren, welches im BIT im Einsatz ist. Vereinfacht kann man sich das Verfahren als eine strukturierte Checkliste vorstellen, die schrittweise abgearbeitet wird. So wird unter anderem überprüft, welche Personen Adminrechte haben, und ob die angetroffenen Verhältnisse den Vorgaben entsprechen. Beispielsweise darf es nicht möglich sein, dass jemand eine Software entwickeln, diese selber freigeben und auf die Produktivumgebung einspielen kann, oder dass sich ein Mitarbeiter im System unbemerkt den Lohn aufbessert, wie Taria Bretscher vom BIT erklärt. Sie ist die Compliance-Officerin des BIT und in ihrer Funktion zuständig für die Konzeption und die korrekte Durchführung der ITGC. «Mit den neuen Zusammenarbeitsweisen wie DevOps ergeben sich hier aber neue Herausforderungen», so Taria Bretscher. In der Tat verändert DevOps die Kontrolltätigkeit, da mit dieser Zusammenarbeitsform die Entwicklung und der Betrieb näher zusammengeführt werden. Auch Grossprojekte wie FISCAL-IT haben wegen der Einführung von neuen Technologien und Abläufen dazu geführt, dass die Kontrollen angepasst werden mussten.
Fokus auf staatsrechnungsrelevante Systeme
Die EFK definiert im Rahmen ihres Auftrages jährlich den Umfang der staatsrechnungsrelevanten Systeme. Als staatsrechnungsrelevant gelten Applikationen, über welche grosse Geldmengen abgewickelt werden. Im Jahr 2019 sind dies 28 produktive Systeme. Pro definiertes System werden jeweils Betriebssystem-, Datenbank- und Applikationsebene geprüft. Insgesamt müssen im BIT über 300 Kontrollen zusätzlich zum Alltagsgeschäft abgearbeitet werden.
Sobald der Umfang definiert ist, werden die betroffenen Systeme ins Kontrollinventar des BIT aufgenommen. Momentan sind im BIT 30 Führungskräfte für die Durchführung der Kontrollen verantwortlich. Zwölf BIT-interne Revisoren überprüfen die Existenz und die Implementation der Kontrollen.
Die Prüfung des ITGC-Systems erfolgt durch eine spezialisierte externe Audit-Stelle im Auftrag der EFK. Die externen Revisoren prüfen das Design und die Konzeption der ITGC inklusive deren Dokumentation durch das BIT sowie die Ausgestaltung und Wirksamkeit der Kontrollen, die zur Erreichung der Kontrollziele notwendig sind. Sämtliche Kontrollnachweise des BIT werden den Revisoren zur Verfügung gestellt. Weiter werden in einem sogenannten «Walk-through» Abläufe direkt am System vorgeführt und Interviews mit Fachspezialisten und –verantwortlichen vor Ort durchgeführt. Am Ende stellt die EFK den Schlussbericht der Finanzdelegation sowie den Amtsdirektoren zur Einsicht zur Verfügung.
Neue Version vereinfacht Kontrollen
Eine grosse Vereinfachung der Kontrollen im BIT wurde kürzlich durch die Einführung einer neuen Version der Sharepoint-basierten Anwendung «Tool GRC» erzielt. GRC steht für Governance, Risk and Compliance. In dieser Anwendung werden Kontrollaufträge und Massnahmen zentralisiert beauftragt, überwacht und abgewickelt sowie sämtliche Nachweise hinterlegt. GRC wird bereits seit einigen Jahren für die Abwicklung der Kontrollaktivitäten im BIT eingesetzt. Dank einer neuen benutzerfreundlicheren Oberfläche des Tools kann der administrative Aufwand optimiert werden. Die zentralisierte Erfassung vereinfacht die Abläufe zusätzlich. Analog gesprochen kann man sich das so vorstellen, dass alle zu prüfenden Unterlagen in ein und dasselbe Büro gebracht werden, so dass die Revisoren nicht mehr von Büro zu Büro wandern müssen, um die Unterlagen zu prüfen. Ob zum Beispiel die Zugriffsberechtigungen auf eine Anwendung korrekt vergeben wurden, kann damit zentral überprüft werden.
In den Schlussberichten der vergangenen Jahre kommt die Audit-Stelle zum Schluss, dass die Beschreibungen den tatsächlichen Verhältnissen entsprechen, die definierten Kontrollen angemessen konzipiert sind und die Kontrollen wirksam umgesetzt wurden. In den Audits sind keine Aspekte aufgetaucht, welche die Wirksamkeit des BIT-internen ITGC-Systems mindern oder darauf hindeuten, dass die Abnahme und Korrektheit der Staatsrechnung der Schweizerischen Eidgenossenschaft in Frage gestellt sein könnte.
Essentiell für den Staat
Die zunehmende digitale Durchdringung sämtlicher Geschäftsprozesse zeigt sich hier am Beispiel der Staatsrechnung ganz deutlich. Es geht um nicht mehr und nicht weniger als um das Vertrauen der Bevölkerung, dass bei der Führung der Bundeskasse alles mit rechten Dingen zu und hergeht. Wenn Informatikprobleme oder unzureichende Abläufe im BIT die Erstellung und Abnahme der Staatsrechnung gefährden, so hat dies Auswirkungen auf die Reputation der ganzen Eidgenossenschaft.
IT-General Controls: Was sehr technisch klingt und nicht auf Anhieb mit Buchhaltung in Verbindung gebracht wird, ist bei genauerer Betrachtung also hochrelevant für das Funktionieren des Staates – ganz wie die Buch- und Rechnungsprüfung essentiell für das Funktionieren eines Vereins ist. Wenn das nicht überzeugt, so stelle man sich vor, dass der Vereinskassier ein unsicheres Passwort für das E-Banking aufsetzt, allen Vereinsmitgliedern Zugriff auf die Bargeldkasse gewährt oder sich ohne Überprüfung Geld auf sein privates Konto überweisen kann – und niemandem fällt es auf.
BIT-Kontakt:
Taria Bretscher
Compliance Officer
Tel.: 058 463 01 82
Text: Philippe Schultheiss
