Die Datenverarbeitung hat sich heute mehr und mehr zu einem kritischen Faktor für den unternehmerischen Erfolg entwickelt. Unter Würdigung dieser Tatsache wächst der Wunsch nach einer Prüfung der Informationsverarbeitung mit dem Ziel der Gegenüberstellung von Anforderungen/Bedarf und dem tatsächlichen Ist-Zustand.
Um das geforderte Maß an Effektivität und Sicherheit für das Unternehmen zu erzielen beziehungsweise aufrechtzuerhalten, um die in der Informationsverarbeitung steckenden Risiken kalkulierbar zu gestalten, ist es notwendig, alle kritischen Erfolgsfaktoren der hauseigenen Informationsverarbeitung im Soll-Status zu definieren und diese regelmäßig einer Revision zu unterziehen.
Neben den klassischen Revisionszielen Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit treten die Forderungen nach Effizienz, Qualität, Datenverarbeitungs-Durchdringung und der marktpolitischen, strategischen Ausrichtung ebenfalls in den Vordergrund.
Um eine solche Revision der kritischen Erfolgsfaktoren bis zur Berichtsübergabe und Präsentation der Ergebnisse erfolgreich durchführen zu können, ist eine entsprechende Vorbereitung notwendig. Hierzu gehört zunächst ein Revisionskonzept, das heißt die präzise Beschreibung der Revisionsgrundsätze, der Revisionsinhalte und der konkreten hausspezifischen Vorgehensweise.
Der Prüfer benötigt einen Revisionsleitfaden, welcher ihn befähigt, die Vollständigkeit seiner Prüfung zu gewährleisten, um über den beschriebenen Idealzustand aller Prüfobjekte den Grad der Deckung durch den Ist-Zustand zu bestimmen. Dieser Leitfaden muß detailliert den Stand richtungsweisender, wirtschaftlicher und sicherer Informationsverarbeitung widerspiegeln neben der branchenspezifischen, marktpolitischen Ausrichtung der Datenverarbeitungstechnik. Er stellt somit über alle kritischen Erfolgsfaktoren eine Qualitätsskala dar, an der sich die unternehmenseigene Informationsverarbeitung konkret messen läßt.
Dynamik der Meinungsbildung
Den Idealzustand aller Prüfobjekte anzustreben ist nicht immer wirtschaftlich sinnvoll oder aus anderen Gründen nicht gewollt. Es bietet sich daher an, unmittelbar vor Revisionsbeginn ein Wunschergebnis (Sollkurve) für alle Prüfobjekte zu bestimmen. Allein diese Veranstaltung mit Geschäftsleitung und DV-Management wirkt sensibilisierend und fördert sehr das Verständnis für die kritischen Erfolgsfaktoren, da hier in der Meinungsbildung sehr viel Dynamik steckt. Dieses wird gefördert einerseits durch den Wunsch der Geschäftsleitung und des DV-Managements nach hoher Qualität und andererseits wiederum durch das Bremsen des DV-Chefs vor mutmaßlich zu hohen Anforderungen oder um die später zu entwickelnde Ist-Kurve seines Bereiches nicht zu sehr abfallen zu lassen. Die Festlegung des unternehmensspezifischen Bedeutungsfaktors (Gewichtung) für jedes Prüfobjekt ist eine weitere Komponente zur Meinungsbildung.
Es gilt, alle relevanten Prüffelder zu untersuchen (siehe Abbildung 1). Zu nennen sind hier die Felder
- Anwendungen
Die Anforderungen an die Software-Systeme aus Sicht der Benutzer bezüglich Benutzerfreundlichkeit, Qualität, Sicherheit und Flexibilität
- Anwendungsentwicklung
Die Anforderung an Wirtschaftlichkeit und Qualität der Software-Entwicklung
- Produktion
Das Maß der Sicherheit, Qualität und Wirtschaftlichkeit bei der täglichen Abwicklung im Rechenzentrum
- Hardware
Die Kapazität, Wirtschaftlichkeit und Flexibilität
- Organisationsstruktur
Die Ordnungsmäßigkeit, Sicherheit und Effektivität der Aufgabenverteilung
- Planung
Die Qualität der Planung bezüglich Vollständigkeit und strategischer Ausrichtung
- Internes Kontrollsystem
Ordnungsmäßigkeit, Sicherheit, Wirtschaftlichkeit aller Objekte in der Informationsverarbeitung
- Kosten/Nutzen
Das Verhältnis des nach der Untersuchung definierten Nutzens zu den DV-Gesamtkosten.
Für die Geschäftsleitung und auch für den Prüfer müssen die Prüffelder durch eine Vielzahl von Prüfobjekten weiter transparent dargestellt werden (siehe Abbildung 2). So gehören zum Prüffeld "Anwendungen" beispielsweise
- DV-Durchdringungsgrad
- Dialog-Konzept
- geschäftsvorfallbezogene Verarbeitung
- Antwortzeitverhalten
- Software-Stabilität
- Auftragsstau
- Berechtigungskonzept oder für das Prüffeld "Internes Kontrollsystem" etwa
- Sicherung des Rechenzentrums
- RZ-Betrieb
- Daten-Chiffrierung
- unangekündigte Verarbeitung
- Abstimmkreise
- Richtlinien
- Funktionstrennung
- Verursachernachweis zu den Prüfobjekten.
Diese Prüfobjekte wiederum müssen zur präzisen, objektiven Beurteilung mit ausreichenden Prüfkriterien (siehe Abbildung 3) ausgestattet sein. Dazu gehören zum Beispiel
- die umfassende, für jeden verständliche Beschreibung, was unter DV-Durchdringungsgrad zu verstehen ist
- die Nutzung von Methoden, Verfahren und Werkzeugen in den Phasen der Anwendungsentwicklung
- die Beschreibung, was unter RZ-Zutrittsberechtigung zu verstehen ist
- Bestimmung der unterschiedlichen Funktionstrennungen und anderes mehr.
Dieses Mehrstufenkonzept hilft dem Prüfer bis ins Detail bei der Bestimmung des Ist-Zustandes. Dem Leser des Revisionsberichtes ermöglicht es wiederum das exakte Nachvollziehen der Entwicklung der Ergebnisse.
Verständliche Darstellung der Prüfergebnisse
Der Revisionsbericht wendet sich an den Informationsmanager und an die Geschäftsleitung. In einer klaren Berichtsstruktur müssen die Prüfergebnisse verständlich dargestellt werden. Die Soll-Ist-Vergleiche lassen sich in ihrer Gewichtung auch grafisch gut darstellen. Der Prüfer soll seine Feststellungen zu den Prüffeldern/Prüfobjekten umfassend beschreiben. Diese Feststellungen müssen mit vorgefundenen Dokumenten im Berichtswesen nachvollziehbar sein. Neben dieser emotionslosen Darstellung des Ist-Zustandes werden die Prüffelder/Prüfobjekte von dem Prüfer subjektiv beurteilt, wobei er sich auch hier zusätzlich des Revisionsleitfadens bedient. Die dann folgende Darstellung der notwendigen Maßnahmen zur Verbesserung des Soll-Ist-Vergleichs dokumentiert wesentlich die Qualität der Untersuchung und den Wert für das Unternehmen. Die vorgeschlagenen Maßnahmen müssen den tatsächlichen haus- und marktspezifischen Erfordernissen entsprechen und vor allen Dingen auch machbar sein. Der Prüfer muß die Machbarkeit mit allen ihren Konsequenzen nachweisen. Akzeptanz erreicht er nur über eine konstruktive Revision.
Und der Nutzen für das Management? Er hat einen Ausweis seiner möglichen Schwachstellen im Kontrollgefüge der Informationsverarbeitung. Es hat die eindeutige Bestimmung der Informationsverarbeitung in bezug auf
- Qualität
- Effizienz, Produktivität
- Wirtschaftlichkeit, Kosten/Nutzen
- Elastizitätspotential, Flexibilität und strategische Ausrichtung.
Es hat einen Katalog von Maßnahmen zur Beseitigung der Schwachstellen und der notwendigen Ausrichtung.
Nach Umsetzung der Maßnahmen kann es dem Mitbewerb einen Schritt voraus sein. Zur Erhaltung dieses Niveaus kann das Konzept der Revision der kritischen Erfolgsfaktoren regelmäßig fortgeschrieben werden und gewinnt damit den Wert eines Führungsinstruments.
Zur ersten Revision gehört ein wenig Mut, da die Ergebnisse häufig Überraschung oder gar Bestürzung auslösen und teilweise auch mehr oder weniger bekannte Fakten deutlich ausgewiesen werden. In dieser Feststellung spiegelt sich allerdings auch die Notwendigkeit und der Wert einer Revision der kritischen Erfolgsfaktoren für das Unternehmen wider.
Jürgen Kohlmetz ist geschäftsführender Gesellschafter der Agens Consulting GmbH in Ellerau bei Hamburg.