Revisionstechnische Voraussetzungen fehlen:

EDV-Kontrolle noch unmöglich

18.09.1981

BASEL (sg) - Gezielte Kontrolle und laufende Überwachung der Datenverarbeitung wird in vielen Unternehmen, der sich bislang noch "datenschutzlos" gebenden Eidgenossenschaft, dennoch als dringliche Aufgabe verstanden. Nur wird diese Aufgabe selten entsprechend wahrgenommen.

Dafür, daß dem so ist, sprechen eine Reihe von Umständen. Allen voran der, daß in Folge fehlender Revisionstechnischer Voraussetzungen, welche bereits als Programmvorgaben definiert in die EDV-Applikation einzubeziehen wären, es grundsätzlich an den für eine Kontrolle der Datenverarbeitung definierten Ansatzpunkten mangelt. Dadurch aber wird gezielte Kontrolle unmöglich.

Naheliegend wäre, den Computer selber, beziehungsweise spezielle Prüfprogramme, sogenannte Audit-Software, wie sie in den USA eingesetzt wird, für Kontrollarbeiten einzusetzen. Da und dort dürften wohl auch in der Schweiz dergleichen Programme bereits Verwendung finden. Doch dürfte ihr Anteil bescheiden sein.

Im weiteren ist feststellbar, daß es vielerorts an der Dokumentation über Programme, Abläufe etc. fehlt. Und allein damit ist ein wesentlicher Grundsatz der nicht allein aus Revisions-technischen Anliegen heraus geforderten Ordnungsmäßigkeit aufs gröbste verletzt.

Es reicht nicht aus, durch bloße Bildung von Kontrollsummen nach jedem Verarbeitungsschritt Abstimmungsmöglichkeiten zu bieten. Vielmehr sollten die einzelnen Schritte, die zu solchen Kontrollsummen führen, in ihren Zusammenhängen ersichtlich sein, womit sich letztlich auch Manipulationen ausschließen lassen.

Von einer Prüfbarkeit der EDV, wie sie die Revision eigentlich verlangen müßte, also mit übersichtlichen, klaren und sachverständigen, für Dritte verständliche Aufzeichnungen, welche Kontrolle in angemessener Zeit ermöglichen, kann derzeit keine Rede sein. Und es sieht auch nicht danach aus, daß sich hierin und hierzulande schon bald etwas wesentliches ändern würde.