Wachsende Komplexität und hohe Kosten bei Fehlentwicklungen veranlassen immer mehr Unternehmen, EDV-Revisoren einzusetzen. Die Entdeckung von Schwachstellen sowie die Überprüfung der laufenden Projekte auf ihre Wirtschaftlichkeit lassen sich indes nur in einer vertrauensvollen Atmosphäre realisieren. Ob nun die "Aufpasser" von den DV-Leitern akzeptiert werden, hängt davon ab, inwieweit psychologische Schwellen abgebaut werden. Für das Gelingen des Projektes ist es entscheidend, den EDV-Revisor nicht nur als "Controller" hinzunehmen, sondern ihn als "Berater" in das Team zu integrieren. Damit, wie Rolf Dahl, Abteilungsdirektor bei der Deutschen Krankenversicherung, Köln, es formuliert, das Kind nicht erst in den Brunnen fallen muß.

Rolf Dahl

Abteilungsdirektor der Deutschen Krankenversicherung AG, Köln

Ein immer größeres Gewicht in den Revisionsabteilungen erhält die Überlegung, wie bei komplexen kostspieligen EDV-Lösungen die Revisionsfähigkeit sichergestellt werden kann. Im negativen Fall würde nämlich ohne Mitwirkung der Revision erst nachträglich festgestellt, daß bestimmte, in die Kompetenzen der Revision fallenden Anforderungen, nicht in die Planungen eingebunden worden sind.

Hier kann es sich bei der Verfahrensentwicklung um Fragen des internen Kontrollsystems, des Berechtigungs- und Zugriffssystems, der Aufbewahrungsfrage, der Dokumentation handeln.

Fragen der Ordnungsmäßigkeit, der Sicherheit, der Systenkonformität, der Wirtschaftlichkeit erhalten angesichts der hohen Kosten bei Fehlentwicklungen einen immer größeren Stellenwert. Die etwas genereller klingenden Ziele werden dann konkretisiert; beispielsweise durch Stichworte wie Einhaltung von Projektrichtlinien, Berichtswesen, Mitwirkung bei Testverfahren.

Diese Überlegungen haben in einem Wirtschaftsbetrieb ganz naheliegende ökonomische Gründe. Man sollte nicht erst das "Kind in den Brunnen" fallen lassen; vielmehr gibt es viele Ansätze, dieses Risiko zu verringern.

Sicher ist die Revision gut beraten, nicht in eine EDV-Euphorie zu verfallen, bei der man der Meinung ist, daß in Zukunft nur noch diese Variante geprüft würde. Andererseits ist die Entwicklung mit der steigenden Zahl von Anwendungen der EDV für die Fragen der Revisionsfähigkeit, der Rekonstruierbarkeit und ähnlicher Aspekte von großem Gewicht.

Welchen Part kann die Revision im Projektmanagement übernehmen?

Ein wesentlicher Punkt ist zunächst einmal (Selbst-) Erkenntnis, daß zumindest in großen Unternehmen die Revisionsabteilung von ihrer Personalkapazität her nicht in der Lage sein dürfte, bei allen EDV-Projekten begleitend mitzuwirken. Dabei ist ohnehin nicht von einer Fulltime-Lösung auszugehen- aber auch eine zeitweise Mitwirkung in allen laufenden Planungen dürfte nicht darzustellen sein.

Als Einstieg erscheint es empfehlenswert, ein oder zwei EDV-Projekte herauszugreifen und sich über die Vorgehensweise exemplarisch Klarheit zu verschaffen. Dabei werden nicht selten psychologische Schwellen im EDV-Bereich beziehungsweise im Projektmanagement zu überwinden sein, da man mancherorts gewohnt ist, die Probleme ausschließlich im Kontakt zwischen EDV und Fachabteilung abzuwickeln. Hier scheint es wichtig, Funktion und Aufgabe deutlich sichtbar zu machen: Nicht in erster Linie Kontrolle, sondern Hilfestellung während des Planungsverfahrens steht im Vordergrund.

Bei den Projekten, bei denen die Revision dem Projektteam angehört, ist der Informationsfluß durch die Teilnahme sichergestellt. Die Intensität der Mitwirkung hängt von der Planungsphase ab: Wenn die für die Revision relevanten Sektoren zur Debatte stehen, wird die Abstimmung selbstverständlich enger sein. In anderen Phasen steht gegebenenfalls mehr der Verbrauch an Zeit-, Personal-und Sachmittelkapazität im Vordergrund.

Wichtig ist die generelle Einbindung in das Planungsgeschehen, wenngleich zwei Prinzipien hierbei konkurrieren: Einerseits soll die Revision nicht selbst tätig werden (um ihre Unabhängigkeit zu bewahren), andererseits stehen sehr große Objekte zur Debatte an, zu deren Optimierung die Revision mit ihrem Know-how aus dem Gesamtunternehmen beitragen kann.

Wenn die Kapazität der Revisionsabteilung nicht für alle Projekte ausreicht - und das dürfte weitgehend der Fall sein - müßte man ein Verfahren mit dem Projektmanagement absprechen, damit als Minimallösung auf jeden Fall sichergestellt ist, daß bei bestimmten Schnittstellen aussagefähige Protokolle erstellt und der Revision zugänglich gemacht werden. Sie hat das Recht, daraufhin im Wege der Selbstinformation weitere Fakten zu recherchieren.

Dadurch wäre die Revision in die Lage versetzt, sich zeitnah in für sie relevante Phasen einzuschalten und - wenn das gewollt ist - bereits während des Projektfortschritts kleinere, fertiggestellte Teile, quasi portionsweise ex post zu prüfen, also jeweils kleine Eingabeprüfungen durchzuführen.

Standardisierung der Revisionsforderungen und Details der Vorgehensweise werden in manchen Revisionsabteilungen derzeit entwickelt. Für die Versicherungswirtschaft ist von einigen Revisionsleitern unter Mitwirkung eines Unternehmensberaters bereits das Konzept für ein entsprechendes Seminar entwickelt worden.

Günter Gelhaar

Gerling-Konzern Zentrale Verwaltungs-AG, Konzern-Revision, Köln

Die Versicherungswirtschaft gehört neben den Kreditinstituten zu den DV-Anwendern, für die die Installation und Nutzung neuer Technologien zunehmende Bedeutung erlangt. Sie resultiert nicht zuletzt aus der Notwendigkeit, immer größere Datenmengen mit spartenspezifischen Besonderheiten im Dialog zu verarbeiten und dem Benutzer zur Verfügung zu stellen.

Das bedingt nicht nur von den DV-Bereichen/Abteilungen eine permanente Planung und konsequente Anpassung an jeweils neue Gegebenheiten, die sich zwangsläufig auf die Konzeption und Entwicklung neuer EDV-Systeme sowie deren Arbeitsabläufe auswirken. Hier ist die interne Revision in Versicherungsunternehmen und speziell die EDV-Revision angesprochen und gefordert. Ihre wesentliche Aufgabe liegt in der Überprüfung der Funktionsfähigkeit, Wirtschaftlichkeit, Ordnungsmäßigkeit und Sicherheit der EDV-Abläufe sowie der Informations- und Kontrollsysteme, um das Unternehmen vor Vermögensverlusten im weitesten Sinne zu schützen. Somit sind die Anforderungen an die EDV-Revision definiert und festgeschrieben - es bleibt nur noch das Umsetzen in die tägliche Praxis. Spätestens jetzt ereilt die Realität die EDV-Revision, kämpft doch ein allgemein "kleines Häufchen" von neuerdings immer besser ausgebildetem Personal gegen eine Übermacht von täglich produzierenden Spezialisten der Abteilungen Programmierung, System-/Basissoftware, RZ-Planung/Produktion/Sicherung/Kontrolle.

Aus diesem Bewußtsein her aus, nicht alles prüfen zu können, gewinnt die Prüfungsplanung des EDV-Revisionseinsatzes eine besondere Bedeutung. Im Hinblick auf größtmögliche Effizienz des Personaleinsatzes ist die Vorgehensweise der Revision bereits vorgegeben: die projektbegleitende (exante) Revision.

Dies erfordert unter anderem einen stetigen und intensiven Dialog mit den DV-Verantwortlichen über dort geplante und zu realisierende Projekte, ein kooperatives Verhältnis zu- und untereinander hilft letztlich beiden bei ihrer Aufgabenerfüllung. Im Rahmen der projektbegleitenden Revision bietet das einem ordnungsgemäß geplanten Projekt zugrundeliegende Phasen konzept den Einstieg in die revisionsrelevante Phase. Die

starke zeitliche Belastung bei der Einarbeitung in die Sachprobleme bindet zwar die Kapazität des Revisors, doch ist die Möglichkeit der direkten Einflußnahme auf die Projektentwicklung ein sehr wichtiger und "kostengünstiger" Faktor im Sinne der der Revision von der Unternehmensleitung übertragenen Aufgabe.

In Abhängigkeit von der Komplexität der zu prüfenden Projekte wird zur Unterstützung (Fremd-)Software in der und durch die Revision eingesetzt, die der Selektion von Testdaten aus Dateien beziehungsweise der Erstellung von Testdateien sowie der Auswahl von Prüffällen aus Praxisdateien dient. Von Fall zu Fall wird in diesem Zusammenhang ein mathematisch-statistisches Stichprobenverfahren angewandt. Der Revisor erhält hierbei aus dem Datenbestand (Prüfungsbereich) präzise Prüffälle als Ergebnis der individuellen Parameterangaben zur qualitativen oder quantitativen Fragestellung sowie seiner Vorgabe des zulässigen Fehleranteiles und des Sicherheitsgrades. Nach Beendigung der Revision werden die festgestellten Fehlerquoten maschinell hochgerechnet und geben Aufschluß über den Zustand des Gesamtbestandes.

Ein allgemein gültiges Rezept zur Auswahl der auf dem Markt angebotenen revisionsunterstützenden Programme gibt es nicht, der Anforderungskatalog zur möglichst objektiven Auswahl solcher Systeme sollte individuell von unternehmens- und revisionsspezifischen Belangen abhängig gemacht werden. Es empfiehlt sich, von den verschiedenen Bereichen, zum Beispiel Betriebsorganisation/Datenverarbeitung, Fachbereich, Revision Anforderungsprofile zu erarbeiten und die Produkte der Anbieter daraufhin zu vergleichen. Ein vorher gemeinsam festgelegtes Bewertungssystem führt dann zu einer Rangfolge der untersuchten Softwareprodukte. Testinstallationen der auf den ersten Plätzen rangierenden Produkte zeigen bei gleicher Aufgabenstellung dann den eigentlichen Favoriten auf.

Robert Hürten

Geschäftsführer, Gnosis GmbH, Seeheim

Die Zeiten sind wohl allgemein vorbei, in denen Firmen mit einer eigenen Revisionsabteilung ohne EDV-Anlage arbeiten. Ebenso dürften die EDV-Organisationen in der Minderheit sein, bei denen der Computer nicht in einem Bildschirmterminal auf dem Schreibtisch des Sachbearbeiters endet beziehungsweise beginnt. Unverständlich ist es deswegen, daß die Revisionsabteilungen, die über eigene Bildschirme und Programme verfügen, in der Minderheit sind. Die Mehrheit erfüllt ihre Aufgabe immer noch mit Listen, die von der EDV-Abteilung erstellt werden.

Wenn dies nun ein technischer Anachronismus wäre, so wäre dies nicht von besonderer Wichtigkeit. Die direkte Abhängigkeit der Revision von der EDV-Abteilung führt jedoch zu einer Beschränkung der Arbeitsweise, da bestimmte Prüfungen nie ohne vorherige Ankündigungen (in Form von Kapazitäts- und Programmanforderungen bei der EDV) erfolgen können.

Die Revisions-Abteilungen sollten deswegen folgende Forderungen stellen:

- Zugang zu den zu prüfenden Datenbeständen zu haben, ohne als Bittsteller bei der EDV-Abteilung antreten zu müssen

- programmiertechnische Hilfsmittel zu erhalten, mit denen sie selbständig, ohne EDV-Spezialist zu sein, Daten für die Untersuchung selektieren gruppieren und numerisch verarbeiten können

- eigene Datenbestände aufbauen zu dürfen, an Hand derer sie eingesetzte Programme überprüfen können.

Es gibt keinen stichhaltigen Grund, der Revisionsabteilung den Zugang zu den aktuellen Dateien zu verwehren. Der Zugriff sollte jedoch so abgesichert sein, daß er nur das Lesen der Daten erlaubt. Dies geschieht auch im Sinne der Revisionsabteilung, da dann niemand ihr den berechtigten oder unberechtigten Vorwurf machen kann, sie habe Dateien abgeändert.

Prüfprogramme für die Revisionsabteilungen werden für viele EDV-Anlagen angeboten. Man muß jedoch feststellen daß diese Programme in den meisten Fällen zu teuer sind und auch nicht immer leicht vom Revisor zu handhaben sind. Die Mehrzahl der bei uns angebotenen Prüfprogramme sind amerikanische Produkte und legen deswegen bald mehr Wert auf die Anwendung statistischer Prüfungsmethoden als auf leichte Handhabung. Den Revisoren wäre schnell geholfen, wenn sie preiswerte Generatoren mit folgenden Funktionen erhielten: selektieren, gruppieren, sortieren, Summen- und Prozentrechnung.

Eigene Datenbestände für die Revisionsabteilung sind aus zwei Gründen wichtig: Aufbau von Statistikdateien Diese bilden die Basis für zeitvergleichende Berichte und erlauben dazu die Verwendung von Textsystemen. Testdateien ermöglichen, die Arbeitsweise von Programmen zu überprüfen, ohne aktuelle Datenbestände zu verändern

Daß zur Erfüllung der drei Forderungen zusätzlich ein Terminal auf dem Arbeitsplatz des Revisors notwendig ist, ist wohl selbstverständlich. Der finanzielle Aufwand für das Unternehmen dürfte sich rasch durch aktuellere und besser fundierte Revisionsberichte amortisieren.