Herr Wosnitza kritisiert die auf S. 31 des Prüfungsberichts dargestellte Möglichkeit der neuen Finanzsoftware, das zwingend erforderliche 4-Augen-Prinzip umgehen zu können, indem die/der einen Vorgang buchende BuchhalterIn darüber hinaus auch den entsprechenden Zahllauf für die Bank erstellen kann.
Herr Wieschendorf bestätigt daraufhin, dass im Zuge der Prüfungshandlungen festgestellt worden sei, dass die Beträge von Buchungsbelegen ohne die erforderlichen Bestätigungsvermerke durch entsprechende Prüftestate von den BuchhalterInnen in den Zahllauf gegeben werden können.
Herr Szymczak erläutert dazu, dass der Bereich Buchhaltung und Finanzen ständig bemüht sei, das Finanzverfahren zu verbessern bzw. zu optimieren. Insofern nehme man dankbar die diesbezüglichen Hinweise des RPA an. Herr Stosberg ergänzt dazu, dass es mitunter schwierig sei, notwendige Prozesssicherungen im Zuge des internen Kontrollsystems zu identifizieren und in das System zu integrieren und dabei gleichzeitig die Handhabbarkeit der Buchungsvorgänge zu gewährleisten. Ob die zitierte Schwachstelle des Prüfungsberichts inzwischen tatsächlich abgestellt sei, könne er nicht konkret bestätigen, dies werde aber nachgeprüft. Einen Buchungsvorgang grundsätzlich zweimal durch verschiedene MitarbeiterInnen bearbeiten zu lassen sei allerdings aus Zeitgründen nicht darstellbar. Hinsichtlich der Einhaltung des 4-Augen-Prinzips auch in weiteren Buchungsfragen wolle man künftig unter Beteiligung des RPA einen vertretbaren Mittelweg erarbeiten und umsetzen.
Herr Wosnitza beklagt sich, dass hier offenbar eine Finanzsoftware eingekauft worden ist, die Lücken in Sicherheitsfragen aufweise. Es müsse geklärt werden, wer die Beauftragung der Erstellung einer solchen Software zu verantworten habe. Herr Szymczak erläutert dazu, dass die Standardsoftware der Herstellerfirma an die Lübecker Verhältnisse anzupassen bzw. die Lübecker Verhältnisse zumindest zum Teil auf die Standardsoftware anzugleichen waren. Insofern könne er momentan nicht mit Bestimmtheit sagen, ob es sich hier um ein Erfordernis der Anpassung der Finanzsoftware handele oder ob die Lübecker Verhältnisse verantwortlich für die im Prüfungsbericht erwähnte Sicherheitslücke seien. Das müsse noch recherchiert werden.
Herr Wieschendorf erläutert dazu, dass es grundsätzlich möglich sei, dass hier ein Einrichtungsfehler seitens der Verwaltung vorliege, die neu eingeführte Standardsoftware also eigentlich diese Sicherheitslücke geschlossen habe, aber durch individuelle Einstellung von der Hansestadt Lübeck ausgehebelt worden sei. Das sei allerdings eine Mutmaßung seinerseits und müsse entsprechend seitens der Verwaltung recherchiert und geklärt werden. Herr Szymczak erwidert dazu, dass der Bereich Buchhaltung und Finanzen sich bereits entsprechend in seiner Stellungnahme zum Internen Kontrollsystem geäußert habe und sichert die entsprechende Klärung des in Rede stehenden Sachverhalts zu.
Der Vorsitzende lässt den vorhergehenden Sachverhalt zu Protokoll nehmen.
Herr Wolter fragt, ob die im Prüfungsbericht auf S. 33 erwähnten Arbeitsrückstände inzwischen, wie vom Bereich Buchhaltung und Finanzen in seiner Stellungnahme angekündigt, in einer Liste per 31.12.2015 zusammengefasst worden seien und wann diese Rückstandsliste den Ausschussmitgliedern zur Verfügung gestellt werde. Herr Szymczak berichtet dazu, dass die in Rede stehenden Listen per 30.09. und 31.12.2015 erstellt und dem RPA per E-Mail am 05.02.2016 zur Verfügung gestellt worden seien, was von Herrn Wieschendorf bestätigt wird.
Da der Prüfungsbericht bereits vorher zum 14.01.2016 fertig gestellt worden war, habe das RPA diese Listen nicht mehr im Bericht berücksichtigen können, so Herr Wieschendorf. Gleichwohl räumt Herr Meyer auf Nachfrage Herrn Wolters ein, hätten die inzwischen vorliegenden Listen den Ausschussmitgliedern zur Vorbereitung dieser Sitzung zur Verfügung gestellt werden sollen, was das RPA bedauerlicherweise versäumt habe, aber nunmehr als Anlage 2 zum Protokoll nachholen werde.
Der Prüfungsbericht wird einstimmig zur Kenntnis genommen.