Die Zertifizierung nach ISAE 3402 Typ 2 benötigen kommunale Zweckverbände wie das krz und seine Kunden wiederkehrend im Rahmen des Jahresabschlusses.
Sonja Kaplan, zuständige Geschäftsbereichsleiterin im krz, und der externe Projektmanager Frank Eickelberg von der consult:FE zu den Beweggründen, zur Durchführung und zum Nutzen eines internen Kontrollsystems.
Wofür steht die Abkürzung „IKS“?
Frank Eickelberg: IKS steht für „Internes Kontrollsystem“. Ein internes Kontrollsystem dient dazu, die in einem Unternehmen eingeführten Grundsätze, Verfahren und Prozesse, die zur Sicherung der Wirksamkeit und Wirtschaftlichkeit, der Ordnungsmäßigkeit und Verlässlichkeit sowie zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften sicherzustellen.
Was hat das krz dazu bewogen, IKS in der Personalwirtschaft einzusetzen?
Sonja Kaplan: Der Treiber war ein Kundenprojekt. Der Vertrag forderte das Aufsetzen eines dienstleistungsbezogenen IKS im Bereich der Personalwirtschaft. Dieses wurde im Jahr 2015 begonnen, und im selben Jahr erhielt hierfür das krz erstmals die Zertifizierung gemäß ISAE 3402.
Was war das Ziel der Einführung eines IKS im krz und wie ist die Funktionsweise?
Sonja Kaplan: Durch die Übernahme von Tätigkeiten in der Personalwirtschaft für den krz-Kunden waren die ausgelagerten Prozesse und Risiken durch ein angemessenes und wirksames IKS abzubilden. Darauf aufbauend wurden die risikoorientierten Kontrollhandlungen entwickelt und in einer Risikokontrollmatrix erfasst. Diese qualitätssichernden Handlungen, immerhin 144 in Summe, sind die Grundlage für die Umsetzung, die Durchführung der Kontrollen sowie die krz-internen wie die externen Prüfungen.
Frank Eickelberg: Ein IKS funktioniert basierend auf insgesamt vier Prinzipien: Das Prinzip der Transparenz, das Prinzip der vier Augen, das Prinzip der Funktionstrennung und das Prinzip der Mindestinformation. Diese Prinzipien sind in einem IKS zu beachten und umzusetzen. Die erfolgreiche Zertifizierung hat dem krz die Einhaltung dieser Grundsätze bescheinigt.
Was bedeutet das konkret für die Arbeit im krz? Bedeutet sie nicht auch mehr Aufwand und eine größere Bürokratie?
Frank Eickelberg: Ganz klar „Ja“. Natürlich bedeutet ein IKS einen Mehraufwand für das gesamte Unternehmen. Dieses haben Dokumentationen grundsätzlich an sich. Bei der Umsetzung wurde stark darauf geachtet, die Einhaltung der vier IKS-Prinzipen bei gleichzeitig möglichst ausgewogenem Aufwand zu halten. Dies alles erfolgt neben dem täglichen Betrieb und stellt eine zusätzliche Belastung dar. Geholfen hat uns auch die Erfahrung der pwc, die die Prüfung und Zertifizierung des krz durchführte.
Sonja Kaplan: Die Kolleginnen und Kollegen haben sofort die Dokumentationen umfänglich in ihren Arbeitsablauf integriert. Das bescheinigte das Ergebnis der zweiten Zertifizierung im Jahr 2016.
Wie läuft eine Zertifizierung ab? Was ist zu tun? Wie oft muss diese durchgeführt werden?
Frank Eickelberg: Die Zertifizierung im Bereich Personalwirtschaft wird nach ISAE 3402, Typ 2 („Assurance Reports on Controls at a Service Organisation“) durchgeführt. Die beauftragte Wirtschaftsprüfungsgesellschaft begutachtet das eingerichtete Kontrollsystem und stellt die Ergebnisse in einem Bericht nach dem Prüfungsstandard ISAE 3402, Typ 2 zusammen. Die Audits werden nach einem vorgegebenen Regelwerk in Quantität und Qualität jährlich durchgeführt. Der Bericht wird dann im ersten Quartal des Folgejahres erstellt.
Bisher haben wir sehr viel über Aufwand gesprochen. Welche Vorteile ergeben sich aus der Zertifizierung zukünftig für die Kunden des krz?
Sonja Kaplan: Durch die Einführung des dienstleistungsbezogenen IKS im krz wurden alle Prozesse intensiv betrachtet und Kontrollmechanismen zur Sicherstellung des Ablaufes aufgesetzt. Für die Kunden und das krz ergibt sich auch hieraus die Sicherheit, dass die Personalwirtschafts-Prozesse sauber und fehlerfrei umgesetzt sind und gelebt werden. Die internen Prüfungen im Rahmen des IKS und die jährlichen Zertifizierungen sichern die stetige Anpassung an Veränderungen im Ablauf.
Frank Eickelberg: In vielen Ausschreibungen ist heute ein geprüftes dienstleistungsbezogenes IKS eine grundsätzliche Anforderung. Hier ist das krz, nachdem im Jahr 2016 die Zertifizierung auf alle asp- und ZGS-Kunden ausgeweitet wurde, optimal und wettbewerbsgerecht aufgestellt.
Was ist die Aufgabe eines externen Projektmanagers bei einer Zertifizierung?
Frank Eickelberg: Gemeinsam mit Sonja Kaplan hatten wir bereits das gesamte Kundenprojekt umgesetzt. Jetzt fehlte noch das vertraglich vereinbarte IKS. Aufgrund unserer Kenntnisse haben wir dann gemeinsam auch die Umsetzung des IKS und der Zertifizierung übernommen. 2015 entwickelten wir das IKS im krz sozusagen „aus dem Nichts“ und setzten es gemeinsam auf, was dann zu einer erfolgreichen Zertifizierung durch die pwc führte. In 2016 haben wir dann das IKS auf den gesamten Bereich mit den asp- und ZGS-Kunden ausgeweitet. Ich selbst habe die Umsetzung der Einführung und der Zertifizierung übernommen und war Mittler zwischen dem krz und der Prüfungsgesellschaft pwc.
Das Interview führte Internetredakteurin Bettina Hoven (krz).
Kommunales Rechenzentrum Minden-Ravensberg / Lippe (krz)
Der ostwestfälische Service-Provider
Das Kommunale Rechenzentrum Minden-Ravensberg/Lippe (krz) in Lemgo wurde 1971 gegründet und ist seit 1972 Informatik-Dienstleister der Kreise Minden-Lübbecke, Herford und Lippe sowie von allen 36 Städten und Gemeinden aus diesen Kreisgebieten. Direkt oder indirekt werden über 11,5 Mio. Einwohner in NRW mit Services des krz betreut.
Als kommunaler Zweckverband besitzt das krz den Status einer Körperschaft des Öffentlichen Rechts. Zu den traditionellen Aufgaben zählen unter anderem die Entwicklung, Einführung und Wartung klassischer Kommunalanwendungen. Um dem hohen Anspruch gerecht zu werden, hält das krz für seine Kunden ein reichhaltiges Angebot an Software-Applikationen (Verfahren), Netzwerktechnik, Arbeitsplatz- und Server-Hardware und Dienstleistungen (Beratung, Schulung, Installation, Wartung und Support) bereit. Das krz ist bekannt für einen ausgeprägten Datenschutz sowie eine höchstmögliche Datensicherheit und ist der erste kommunale IT-Dienstleister mit der BSI-Zertifizierung (ISO 27001).
Über 250 engagierte und qualifizierte Mitarbeiterinnen und Mitarbeiter, von der Verwaltungsfachkraft bis hin zum Technik-Experten, sind Garant für die Umsetzung der Unternehmensziele. Das krz unterstützt etwa 8.000 PC-Arbeitsplätze mit rund 10.500 Geräten in den Verwaltungen des Verbandsgebietes. Über die Mitglieder hinaus nehmen noch mehr als 600 weitere Kunden aus dem kommunalen Umfeld Dienstleistungen des krz in Anspruch. Der Servicedienst und die Hotline sorgen für eine Datenverfügbarkeit von nahezu 100%.
Unter dem Motto "krz – Kunden rundum zufrieden" ist das krz für seine Geschäftskunden ein zuverlässiger Partner. Ebenso stehen dem krz aufgrund seiner Mitgliedschaften in der Bundes-Arbeitsgemeinschaft der kommunalen IT-Dienstleister – VITAKO e. V. und im KDN, der Leistungsgemeinschaft von Kommunen, Landkreisen und Datenzentralen, starke Partner zur Seite, um Synergieeffekte optimal zu nutzen.
Ostwestfalen-Lippe-IT
Am Lindenhaus 19
32657 Lemgo
Telefon: +49 (5261) 252-0
Telefax: +49 (5261) 252-200
http://www.owl-it.de
Telefon: +49 (5261) 252-181
Fax: +49 (5261) 932-181
E-Mail: B.Hoven@krz.de