Version 1 Stand: 01.06.2013 Risikoanalyse gemäß Anlage 10 zu den VV-ZBR für das IT-Verfahren … Verfasser: … Erstellungsdatum: … 1 Version 1 Stand: 01.06.2013 Vorbemerkung Das vorliegende Muster ist als Hilfestellung für die Erstellung einer kassenrechtlichen Risikoanalyse i. S. v. Nr. 13 Anlage 10 zu den VV-ZBR konzipiert.1 An den Umgang mit öffentlichen Geldern werden zu Recht hohe Anforderungen gestellt. Nicht jedes Risiko, das aus dem Einsatz von IT-Verfahren mit Bezug zum Haushalts-, Kassen- und Rechnungswesen (HKR-Bezug) folgt, ist deshalb akzeptabel. Die Nutzung des IT-Verfahrens darf die Kassensicherheit nicht gefährden (Nr. 3 Satz 1 Anlage 10). Dementsprechend sind sowohl die Einführung als auch die Änderung eines ITVerfahrens nur zulässig, soweit Risiken für die Kassensicherheit durch technische oder organisatorische Maßnahmen wirksam beherrscht werden können (Nr. 3 Satz 2 Anlage 10). Eine Risikoanalyse ist für jedes IT-Verfahren zu erstellen, unabhängig davon, ob es kassenrechtliche Ausnahmen beansprucht oder nicht. Nähere Anforderungen an die Risikoanalyse legt Nr. 13 der Anlage 10 fest. Dabei ist zu berücksichtigen, dass eine Gefährdung der Kassensicherheit nicht nur bei Betrachtung eines jeweiligen Einzelrisikos vorliegen kann, sondern sich auch aus der kumulierten Betrachtung mehrerer Einzelrisiken ergeben kann. Das vorliegende Muster für eine Risikoanalyse enthält Vorgaben zur Gliederung und zu Inhalten, die bei einzelnen Gliederungspunkten behandelt werden sollten. Ergänzt werden diese Vorgaben um Beispiele. Bei Abweichungen von diesen Vorgaben ist zu berücksichtigen, dass dies in der Regel zu erhöhtem Prüfungsaufwand und somit zu einer längeren Bearbeitungszeit seitens der Finanzbehörde führt. Für Rückfragen ist das Referat 244 (Haushaltsund Kassenrecht, Haushaltssystematik; [email protected]) Ihr Ansprechpartner. Inhaltsverzeichnis I. Risikoidentifikation und Risikocharakterisierung ................................................................. 3 II. Risikoquantifizierung und -bewertung ................................................................................ 3 III. Risikokontrolle: Verfahren zur Überprüfung der Risikoanalyse ......................................... 7 1 Daneben wird für IT-Verfahren, die personenbezogene Daten verarbeiten – was bei IT-Verfahren mit HKRBezug regelmäßig der Fall ist – , gefordert, dass auch eine datenschutzrechtliche Risikoanalyse gem. § 8 Abs. 4 des Hamburgischen Datenschutzgesetzes (HmbDSG) angefertigt wird. Diese Risikoanalyse legt den Schwerpunkt der Betrachtung auf datenschutzrechtliche Risiken der IT-Verfahren. Dennoch kann es zwischen datenschutzrechtlicher und kassenrechtlicher Risikoanalyse teilweise inhaltliche Überschneidungen geben. 2 Version 1 Stand: 01.06.2013 I. Risikoidentifikation und Risikocharakterisierung Inhaltliche Vorgaben: Zunächst sind sämtliche Risiken, die durch die Nutzung des IT-Verfahrens für die Kassensicherheit entstehen können, zu identifizieren. In erster Linie sind hiermit Missbrauchsmöglichkeiten durch die Anwender des IT-Verfahrens oder durch Außenstehende gemeint. Hierzu gehören aber auch möglicherweise auftretende technische Fehler des IT-Verfahrens (ITSicherheit), Risiken für die Revisionssicherheit (z.B. im Zusammenhang mit Fehlern bei Datenübernahmen oder Datentransporten) etc., da dadurch die Kassensicherheit des Verfahrens ebenfalls gefährdet sein kann. Je nachdem wie komplex das IT-Verfahren ist, empfiehlt sich sowohl eine gesonderte Betrachtung einzelner Prozesse innerhalb des Verfahrens als auch eine Gesamtbetrachtung des IT-Verfahrens hinsichtlich möglicher Risiken. z.B.: Risiko des Zugriffs durch Unbefugte auf das IT-Verfahren, Manipulation von zahlungsrelevanten Daten durch Administratoren, Datenverlust beim Transport der Daten, Manipulation von zahlungsrelevanten Daten bei der Umwandlung von (papiernen) Originalbelegen in elektronische Belege etc. Risiken ergeben sich zudem fast immer, wenn von den kassenrechtlichen Standards in der Anlage 10 oder von den übrigen Kassenvorschriften abgewichen wird. z.B.: Risiko infolge des Einsatzes eines Stichprobenkontrollverfahrens anstelle des VierAugen-Prinzips, Risiko bei Verzicht auf die Bescheinigung der ordnungsgemäßen und vollständigen Datenerfassung bei Stammdatenerfassung etc. Art, Ursprung und Folgen des jeweiligen Risikos sind so zu beschreiben, dass dies von Dritten nachvollzogen werden kann (Risikocharakterisierung, vgl. Nr. 13.3 Satz 2 Anlage 10). Im Falle einer Abweichung von einer kassenrechtlichen Vorschrift ist dies zu begründen. z.B.: Beim IT-Verfahren „eBuch“ erfolgt die Datenerfassung im System lediglich durch eine einzelne Person. Eine regelmäßige Kontrolle der ordnungsgemäßen und vollständigen Datenerfassung durch eine zweite Person ist nicht vorgesehen. Die Datenprüfung wird lediglich stichprobenartig durch eine zweite Person, hier den Vorgesetzten, durchgeführt. Es besteht somit das Risiko, dass Fehler bei der Datenerfassung nicht in jedem Fall erkannt werden und somit eine falsche Zahlung angeordnet wird. Durch die Abweichung von Nr. 6.4.1 der Anlage 10 und damit durch den Verzicht auf eine durchgängige Vier-Augen-Prüfung können Personalkapazitäten in Höhe einer Vollzeitkraft eingespart werden. II. Risikoquantifizierung und -bewertung Inhaltliche Vorgaben: Im zweiten Schritt der Risikoanalyse sind die Risiken zu quantifizieren und zu bewerten. Wie groß das Risiko tatsächlich ist, ergibt sich aus dem Zusammenwirken von seiner Eintrittswahrscheinlichkeit und dem Ausmaß der negativen Folgen (Schadensausmaß). 3 Version 1 Stand: 01.06.2013 Risikoquantifizierung Vor Schätzung der Eintrittswahrscheinlichkeit und des Schadensausmaßes sind zunächst die ergriffenen Sicherheitsvorkehrungen/Schutzmaßnahmen zur Risikoprävention bzw. Risikominderung zu beschreiben. Hier sollten sämtliche technischen oder organisatorischen Maßnahmen zur Verringerung der Eintrittswahrscheinlichkeit oder zur Minderung des Schadensausmaßes bezüglich des Risikos geschildert werden. z.B.: systemtechnische Plausibilitätskontrollen oder systemtechnische Vorgaben zur Vermeidung von Eingabefehlern bei der Datenerfassung, regelmäßige Rücklaufkontrollen um Fehler oder Missbrauch aufzudecken, Saldenabgleich o.ä. systemtechnische Kontrollen zur Sicherstellung des ordnungsgemäßen Datentransports, nachträgliche stichprobenhafte Kontrolle von Abrechnungen der Vertragspartner etc. Unter Berücksichtigung der ergriffenen Schutzmaßnahmen ist die verbleibende Eintrittswahrscheinlichkeit des Risikos in 4 Stufen zu schätzen2: Eintrittswahrscheinlichkeit in Bezug auf Gesamtzahl der Geschäftsvorfälle Art des Risikos aufgrund Eintrittswahrscheinlichkeit Risikowahrscheinlichkeit 0-0,1 Prozent Sehr geringes Risiko 0 0,1-2,5 Prozent Geringes Risiko 0,025 2,5-10 Prozent Mittleres Risiko 0,1 10-100 Prozent Hohes Risiko 0,5 Bei der Schätzung sind – sofern möglich – Erfahrungen aus ähnlichen IT-Verfahren oder Altverfahren zu berücksichtigen (s. Nr. 13.4 Satz 2 Anlage 10). Handelt es sich um ein völlig neues IT-Verfahren, so ist die Schätzung der Eintrittswahrscheinlichkeit eine erste Einschätzung, die gegebenenfalls nach einer gewissen Zeit der Inbetriebnahme des Verfahrens korrigiert werden muss. Die Schätzung ist zu begründen (Nr. 13.4 Satz 3 Anlage 10). Hinsichtlich des Schadensausmaßes des Risikos ist unter Berücksichtigung der ergriffenen Schutzmaßnahmen der maximale Vermögensschaden für die FHH in einem Jahr durch Schätzung zu bestimmen. Hierbei sind gegebenenfalls auch mittelbare Schäden, insbesondere Personalkosten zur Beseitigung entstandener Fehler zu berücksichtigen. Auch diese Schätzung ist zu begründen (s. Nr. 13.5 Anlage 10). 2 Bei der Ermittlung der Eintrittswahrscheinlichkeit handelt es sich um eine Schätzung. Die Unterteilung in 4 Risikostufen soll diese erleichtern. Für die nachfolgende Berechnung des Risikowertes ist lediglich die Risikowahrscheinlichkeit aus der 3. Spalte der Tabelle zu nehmen und nicht die Prozentangaben aus der 1. Spalte. 4 Version 1 Stand: 01.06.2013 Risikobewertung Das ermittelte Risiko für die Kassensicherheit muss beherrschbar sein (vgl. Nr. 13.1 Anlage 10). In Nr. 13.4 Satz 4 Anlage 10 sind Kriterien aufgeführt, bei deren Vorliegen ein Risiko nicht mehr als beherrschbar gilt. Dies ist der Fall, wenn - dessen Eintrittswahrscheinlichkeit in Bezug auf die Gesamtzahl der Geschäftsvorfälle hoch ist (siehe Tabelle zur Eintrittswahrscheinlichkeit, unterste Zeile), - der maximale Vermögensschaden 200 000 € übersteigt oder - wenn der Risikowert 0,001 übersteigt. Bei dem Risikowert handelt es sich um einen rein rechnerischen Wert, durch den Eintrittswahrscheinlichkeit, maximaler Vermögensschaden und insgesamt mit dem Verfahren verwaltete Finanzmittel in ein angemessenes Verhältnis zueinander gesetzt werden sollen, um zu entscheiden, ob ein IT-Verfahren aufgrund der möglichen Risiken noch kassensicher ist. Der Risikowert ist folgendermaßen zu ermitteln (vgl. Nr. 13.6 Anlage 10): Risikowert (Rw) = Eintrittswahrscheinlichkeit x relativer Vermögensschaden Relativer Vermögensschaden = maximaler Vermögensschaden verwaltete Finanzmittel z.B.: Rw = 0,025 x 50 000 = 0,0005 2 500 000 Sofern ein Risiko aufgrund dieser Kriterien nicht als unbeherrschbar gilt, ist im Rahmen der Risikobewertung darzulegen, warum es akzeptabel ist und warum auf das Ergreifen weiterer Schutzmaßnahmen verzichtet wird. z.B.: Kosten-Nutzen-Analyse => Abwägung des Nutzens einer Risikoreduzierung mit dem dafür benötigten Aufwand, Vergleich mit anderen tolerierten Risiken => Ist das Risiko geringer als bereits akzeptierte Risiken? 5 Version 1 Stand: 01.06.2013 Prüfungsschema Für die Risikocharakterisierung, -quantifizierung und –bewertung empfiehlt sich folgende Darstellung: 1. Beschreibung des Risikos Das Risiko ist detailliert zu beschreiben. Im Falle einer Abweichung von einer kassenrechtlichen Vorschrift ist diese zu benennen. Des Weiteren sind die Folgen für die Kassensicherheit bei Eintritt des Risikos zu erläutern. Die Beschreibung muss von externen Dritten nachvollzogen werden können. 2. Ergriffene Schutzmaßnahmen Es sind die ergriffenen Schutzmaßnahmen zur Reduzierung des unter 1. beschriebenen Risikos zu erläutern. Dazu gehören insbesondere technische und organisatorische Gegenmaßnahmen sowie die Einrichtung eines Fehlermanagements. 3. Bewertung des nach Einführung der Schutzmaßnahmen verbleibenden Risikos a) Eintrittswahrscheinlichkeit in Bezug auf die Gesamtzahl der Geschäftsvorfälle 0 - 0,1 Prozent Das Risiko ist infolge der ergriffenen Schutzmaßnahmen sicher ausgeschlossen. 0,1 – 2,5 Prozent Die Wahrscheinlichkeit des Risikoeintritts ist verschwindend gering. 2,5 – 10 Prozent Es besteht eine signifikante Wahrscheinlichkeit, dass das Risiko eintreten wird. 10 – 100 Prozent Die Wahrscheinlichkeit des Risikoeintritts ist so hoch, dass der Eintritt nicht überraschend wäre. b) Begründung Die Risikoeinschätzung ist zu begründen. Dabei können insbesondere das aus früheren Verfahren gewonnene Erfahrungswissen und die ergriffenen Schutzmaßnahmen herangezogen werden. c) maximaler Schaden bei Risikoeintritt Zu schätzen ist der bei Risikoeintritt maximal mögliche Schaden pro Jahr. d) Begründung und Bewertung Es sind die Grundlagen zu erläutern, auf denen die Risikoeinschätzung beruht. Insbesondere folgende Aspekte können dabei berücksichtigt werden: maximaler finanzieller Umfang eines Geschäftsvorfalls, Gesamtanzahl der Geschäftsvorfälle und maximaler prozentualer Anteil der unrichtigen Geschäftsvorfälle. Das verbleibende Risiko ist nach Prüfung der Ausschlusskriterien gem. Nr. 13.4 Satz 4 Anlage 10 schließlich zu bewerten. Hierbei ist auch zu begründen, warum von weiteren Schutzmaßnahmen zur Risikominimierung abgesehen wird. 6 Version 1 Stand: 01.06.2013 III. Risikokontrolle: Verfahren zur Überprüfung der Risikoanalyse Inhaltliche Vorgaben: Quellen von Fehlern sind dynamisch. Die für das IT-Verfahren verantwortliche Stelle ist daher gemäß der Anlage 10 zu den VV-ZBR verpflichtet, nach Einführung des IT-Verfahrens zu prüfen, ob auf Grundlage des gesammelten Erfahrungswissens die ursprüngliche Gefahreinschätzung weiterhin zutreffend ist. Die Prüfung ist zu dokumentieren und der Finanzbehörde (Referat 244) zu übersenden. In der Risikoanalyse sind hierzu folgende Angaben zu machen: 1. Verantwortliche Person Es ist eine Person zu benennen, die für die Durchführung der Risikokontrolle verantwortlich ist. 2. Ausgestaltung der Risikokontrolle Die Anlage 10 zu den VV-ZBR enthält keine verbindlichen Vorgaben, wie die Risikokontrolle auszugestalten ist. Diesbezüglich sind eine Vielzahl von Verfahren möglich, beispielsweise eine schriftliche Befragung der Anwender mittels Fragebögen, eine statistische Auswertung oder eine Evaluation durch Externe. Welches Verfahren am besten geeignet ist, ist von den Spezifika des jeweiligen Verfahrens abhängig. Der für das HKR-Verfahren zuständigen Behörde steht aus diesem Grund ein Einschätzungsspielraum zu. 3. Frequenz der Risikokontrolle Es ist darzulegen, in welchen zeitlichen Abständen eine Überprüfung der Risikoanalyse vorgesehen ist. Die Zeiträume zwischen den Überprüfungen dürfen nicht zu lang sein, um zu verhindern, dass die Schutzmaßnahmen auf einer unzureichenden Risikoanalyse aufbauen. Gemäß Anlage 10 zu den VV-ZBR muss daher jedenfalls alle zwei Jahre eine Überprüfung stattfinden. Ist das Verfahren bereits 5 Jahre ohne Beanstandung und Änderung in Betrieb, ist eine Risikokontrolle alle fünf Jahre ausreichend. Beispiel: Verantwortliche Person Jörg Meier Behörde für Wissenschaft und Forschung Hamburger Straße 35, 20046 Hamburg Tel.: 040/42863 2347 E-Mail: [email protected] Ausgestaltung der Risikokontrolle Die Benutzer des HKR-Verfahrens werden zunächst mittels Fragebögen um Einschätzung zum HKR-Verfahren gebeten. Die Ergebnisse der Befragung werden in einem gemeinsamen Gespräch mit allen Benutzern ausgewertet. Dies ermöglicht es insbesondere, Gründe für unterschiedliche Einschätzungen zu ermitteln. Auf Grundlage dieser Ergebnisse erstellt im Anschluss die für die Risikokontrolle verantwortliche Person eine schriftliche Zusammenfassung. Frequenz der Risikokontrolle Aufgrund des aufwendigen Verfahrens ist eine Risikokontrolle lediglich alle zwei Jahre vorgesehen. 7