RastedeKasse ist maximal sicher

Das Thema Berechtigungsmanagement in der Finanzbuchhaltung nimmt besonders in öffentlichen Verwaltungen einen wichtigen Stellenwert ein. Denn eine klare Arbeitsplatzbeschreibung und die damit verbundene Zuweisung von Berechtigungen ist das zentrale Steuerungsinstrument, um Kassensicherheit im kommunalen Finanzwesen zu gewährleisten. Die Kommunale Datenverarbeitung Oldenburg (KDO) hat daher gemeinsam mit der Gemeinde Rastede ein Berechtigungskonzept für die Lösung KDO-doppik&more entwickelt, das die Organisation der Kommune und den erforderlichen Handlungsspielraum der Mitarbeiter auf der Software-Ebene abbildet.

Kassenaufsicht wird komplexer

Kommunale Finanzwesenlösungen müssen in Zeiten der Doppik vielen Anforderungen gerecht werden – sollen aber dennoch leicht bedienbar sein. Denn mit dem Umstieg von der Kameralistik auf die Doppik sind die Arbeitsprozesse komplexer geworden – und somit auch die Aufgaben der Kassenaufsicht. Frank Dudek, Fachbereichsleiter Haushalt und Finanzen sowie Kassenaufsichtsbeamter der niedersächsischen Gemeinde Rastede, erklärt: „Die einfache Kassenzählung und die Kontrolle der Geschäftsabläufe in der Kasse reichen nicht mehr aus, die Veruntreuung öffentlicher Gelder zu verhindern. Vielmehr müssen alle finanzbuchhalterischen Vorgänge der Verwaltung hinterfragt werden.“ Das Gefahrenpotenzial, so Frank Dudek weiter, liege nicht im „Griff in die Kasse“, sondern eher in Bereichen, die nicht so offensichtlich seien. Das Überschreiben von Bankverbindungen oder die Manipulation von Datenträgern sind dabei noch die am leichtesten denkbaren Manipulationsmöglichkeiten. Vielmehr lassen das Zusammenspiel von Verwaltungszuständigkeiten und das damit verbundene, nicht hinterfragte Einräumen von Bedienerrechten im Finanzbuchhaltungsprogramm Gefahrenmomente entstehen, die entdeckt werden müssen.

Berechtigungen kritisch hinterfragen

Um seine Mitarbeiter zu schützen und die Kassensicherheit zu gewährleisten, hat Frank Dudek sich eingehend mit dem IT-Berechtigungskonzept im Finanzwesen seiner Gemeinde beschäftigt. Für das Thema sensibilisiert wurde er durch Manipulationsvorfälle in anderen Kommunen und seinen Erfahrungen aus dem täglichen Arbeitsprozess. „Es muss hinsichtlich finanzbuchhalterischer Tätigkeiten eine klare Aufgabendefinition für jeden Mitarbeiter geben, damit die Zugriffsrechte in der Software sinnvoll zu so genannten Rollen zusammengefasst werden können. Diese machen die Zugriffe auf die Software überschau- und kontrollierbar.“ Jede Finanzwesen-Software wird mit Grundeinstellungen geliefert. Aufgabe eines jeden Kassenaufsichtsbeamten muss es sein, die dort hinterlegten Berechtigungen kritisch mit den Arbeitsprozessen seiner Kommune abzugleichen und die notwendigen Rechte zuzuordnen.
Ergebnis ist ein dezidiert ausgearbeitetes Berechtigungskonzept in Form einer Dienstanweisung. In Rastede wurde diese unter Beteiligung des Rechnungsprüfungsamts erstellt. „Wir arbeiten mit einer Mischung aus Berechtigungen, die klar über die IT eingestellt sind und einer kompensierenden Kontrolle der Aspekte, die systemtechnisch nicht durch die Berechtigungsvergabe abgefangen werden können“, erklärt Frank Dudek. Die Auswertungen spielen dem Kämmerer in die Karten. „Durch die regelmäßigen Prüfungen habe ich gleich einen Großteil meiner Jahresabschlussarbeiten abgedeckt. Der Mehraufwand kompensiert sich in weiten Bereichen.“

Zuständigkeiten strikt geregelt

Auf Grundlage dieses Berechtigungskonzepts hat die KDO konsequent Schranken und Rollen in die Anwendung KDO-doppik&more eingesetzt, welche die Zuständigkeiten der Mitarbeiter strikt regeln. Seit dem Jahr 2008 arbeitet die Gemeinde Rastede mit der Finanz-Software. Vorteilhaft für das gemeinsame Projekt war die Struktur der Lösung. „Bei KDO-doppik&more werden auf Basis einer voreingestellten Musterlösung individuelle Anpassungen geschaffen, ganz auf die Bedürfnisse der einzelnen Kommune zugeschnitten. Berechtigungen werden beispielsweise dadurch vergeben, dass ihnen so genannte Rollen zugeordnet werden“, erklärt Annette Schimm, verantwortliche Produkt-Managerin bei der KDO. Diese geben an, welche Transaktionen durch den Anwender ausgeführt werden dürfen. Entscheidend für die Rollenvergabe ist die Berücksichtigung des Minimalprinzips, nach dem Anwender nur die Rechte erlangen, die zur Erledigung ihrer Aufgaben benötigt werden. Auch die Gemeinde Rastede arbeitet nach diesem Prinzip. Kristine Luers, Beraterin für KDO-doppik&more, hat die Kommune durch den Konzeptionsprozess begleitet und war für die Umsetzung auf der Software-Ebene verantwortlich: „Ein Mitarbeiter kann durchaus mehrere Rollen haben, wenn er mehrere Funktionen bekleidet. Wichtig ist die strikte Funktionstrennung von Stammdaten, Anordnung und Zahlung, um Manipulationen vorzubeugen. Hier greift das so genannte Vier-Augen-Prinzip. Zum Beispiel dürfen Rechnungslegung und Zahlungen nicht von ein und derselben Person durchgeführt werden.“

Rasteder Konzept ist übertragbar

Mit dem Ergebnis ist Frank Dudek sehr zufrieden. „Wir haben jetzt in Rastede maximale Kassensicherheit erreicht – soweit dies softwareseitig umsetzbar ist.“ Das Musterkonzept ist seiner Meinung nach auf Kommunen ähnlicher Größenordnung übertragbar: „Natürlich sind die Arbeitsprozesse in jeder Kommune individuell, aber mit dem Konzept der KDO und den damit einhergehenden Erfahrungen gut und flexibel anpassbar.“ Abschließend richtet Frank Dudek einen dringenden Appell an alle Kollegen: „Die Einstellungen im System müssen in Abständen kontrolliert werden, denn zurückblickend ist festzustellen, dass erst eine breite Erfahrung im Umgang mit der Software Schwachpunkte in der Rechtegestaltung erkennen lässt.“