DV-Leiter müssen sich daran gewöhnen, daß ihnen bei ihrer Arbeit auf die Finger geschaut wird. Wachsende Komplexität und mangeln de Transparenz von EDV-Anwendungen sowie steigende Kosten veranlaßten viele Unternehmen, EDV-Revisoren auf die Datenverarbeitung "anzusetzen". Schwachstellen sollten aufgezeigt und die Wirtschaftlichkeit überprüft werden. Ob die DV-Revisoren vom DV-Leiter akzeptiert werden, hängt letztendlich von ihrem fachlichen Wissen und ihrem Auftreten ab. Entsteht der Eindruck, sie wollten den Datenverarbeitern "ans Schienbein treten", wird man sie nicht als Berater anerkennen, sondern nur als Controller "hinnehmen ". ih

Robert Hürten, Geschäftsführer der Gnosis GmbH, Seeheim, Gastreferent bei der ECU GmbH, Heppenheim

Die Aufgaben einer internen Revision bestehen hauptsächlich in der Überwachungsfunktion im weitesten Sinne. Es gilt festzustellen, ob die Arbeiten und Ergebnisse den Planen und organisatorischen Regeln entsprechen beziehungsweise die Kriterien der Funktionsfähigkeit, organisatorischen Zweckmäßigkeit, Sicherheit und Wirtschaftlichkeit beachtet werden. Im einzelnen handelt es sich hierbei um System- und Ordnungsmäßigkeitsprüfungen, betriebswirtschaftliche Untersuchungen, Vereinfachung und Vereinheitlichung organisatorischer Abläufe, Analysen von Kosten und Schwachstellen, Verbesserung des Berichtswesens und systematische (Mit-)Entwicklung von Sollkonzeptionen (Rahmenvorschläge) .

Zur Erfüllung dieser Aufgaben benötigt ein Revisor fundierte EDV-Kenntnisse und -Fähigkeiten, die ihn bei einer EDV-Revision in die Lage versetzen, einmal die Softwareherstellung inklusive Wartung sowie den Rechenzentrumsbetrieb auf Funktionsfähigkeit organisatorische Zweckmäßigkeit, Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit zu überprüfen. Darüber hinaus wird kontrolliert, ob die Abwicklung der EDV-Produktion termingerecht und störungsfrei erfolgt. Nur wenn der Revisor die erforderlichen DV-Kenntnisse besitzt wird er von den Datenverarbeitern akzeptiert.

Er muß sich bei den EDV-Spezialisten so überzeugend durchsetzen können, daß sie seinen Rat bereits bei der Systementwicklung (Ex-ante- statt Ex-post-Prüfungen) durch zeitweise Mitarbeit im Projektteam gern befolgen. Die Kritik eines EDV-Revisors sollte stets konstruktiver Art sein. Wichtig für ihn ist, daß er seine Kenntnisse und Fähigkeiten außer in der Betriebswirtschaft, Organisation und Revisionstechnik vor allem in Hard- und Software, Programmierung (mindestens als Anfänger), Prinzipien und Methoden zur rationellen Softwareherstellung, GoB und Prüfprogramme, EDV-Anwendungen, Datensicherheit inklusive Datenschutz ständig auf dem für sein Unternehmen und entsprechend dem Revisionsprogramm neuesten Stand hält. Hierzu ist die Teilnahme an Erfahrungsaustauschseminaren zu empfehlen.

Wenn EDV-Revisoren das aktuelle Wissen eines Organisationsprogrammierers besitzen und die übliche Revisionstechnik (Interviewmethoden, Berichtsschreibung, Berichtsschreibung, Berichtsbesprechung etc.) beherrschen, dann werden sie auch von den EDV-Leuten jederzeit als kritischer Partner bei der Realisierung der EDV-Dienstleistungen im Unternehmen akzeptiert.

Wenn sie unfähig und unbegründet infolge mangelnder EDV-Kenntnisse meinen, den EDV-Leuten "ans Schienbein treten zu können", werden die Revisoren allerdings Probleme bekommen.

In unseren wirtschaftlich schweren Zeiten müssen in einem Unternehmen Interne Revision und EDV-Abteilung nicht gegeneinander arbeiten, sondern eventuell noch vorhandenes gegenseitiges Mißtrauen schnellstens beseitigen. Hierauf einzuwirken ist schließlich eine wichtige Aufgabe der zuständigen Führungskräfte eines Unternehmens.

Bestens bewährt haben sich auch EDV-Ausschüsse, in denen neben den Leitern der wichtigsten Fachbereiche auch der Leiter der internen Revision und der Leiter der EDV-Abteilung ständig vertreten sein sollten. Hier wird vor allem die mittel- und langfristige EDV-Planung in Abstimmung mit der Unternehmensplanung festgelegt. Unter anderem berichten die Revisoren über ihre Ergebnisse aus der Erfolgskontrolle der realisierten EDV-Projekte.

Die Interne Revision beschäftigt sich in einem modern geführten Unternehmen also nicht nur isoliert mit dem Betriebsgeschehen im nachhinein, sondern sie ist sowohl für die Unternehmensführung als auch für die EDV-Abteilung und die Fachbereiche ein vollwertiger, beratender und überwachender Partner bei der Erfüllung aller Unternehmensfunktionen. Ihre konstruktive Kritik wird stets aufgeschlossen angenommen werden.

Nikolaus Nowak, Leiter der Konzern-Innenrevision, Salzgitter AG, Salzgitter

Die EDV-Revision ist Teil der Konzern-Revision der Salzgitter AG. Sie besteht seit 1977, hat derzeit sieben Mitarbeiter und prüft die EDV-Bereiche des Salzgitter-Konzerns. Dieser verfügt derzeit über sechs Rechenzentren und zahlreiche Anlagen der mittleren Datentechnik.

Die EDV-Revision wird von einem EDV-Spezialisten des Konzernabschlußprüfers beraten.

Hauptaufgabe der EDV-Revision ist die Prüfung kommerzieller DV-Anwendungssysteme auf Ordnungsmäßigkeit und Sicherheit (Systemprüfungen). Die Prüfungstätigkeit erstreckt sich dabei sowohl auf eigene als auch zugekaufte Software. Eigene Programme und Systeme werden nach Möglichkeit begleitend geprüft, das heißt die EDV-Revision wird bereits in der Entwicklungsphase tätig. Ebenso schaltet sich die EDV-Revision bei Änderungen von Programmen ein. In der Anfangs zeit waren naturgemäß insbesondere bereits eingesetzte EDV-Anwendungen zu prüfen.

Bei Einsatz von Fremd-Software ist die Tätigkeit der EDV-Revision hauptsächlich auf die Prüfung der sachgerechten Einpassung der unternehmensspezifischen Gegebenheiten des betreffenden Anwendungsbereichs in das gekaufte Softwarepaket gerichtet.

Die Systemprüfungen wer den auf Grundlage selbst erstellter Testdaten durchgeführt. Prüf-Software wird nicht verwendet.

Besondere Aufmerksamkeit widmet die EDV-Revision der Verfahrensdokumentation und den von den Benutzern zu erstellenden Arbeitsanweisungen. Prüfungsgrundlagen sind hierbei vor allem die Bestimmungen des Handels- und Steuerrechts, die Stellungnahmen des FAMA, die Vorschriften der Finanzverwaltung und die Richtlinien des Salzgitter-Konzerns.

Über die beschriebenen Tätigkeiten hinaus befaßt sich die EDV-Revision teilweise auch mit der Prüfung von Organisationsabläufen im Vor- und Nachfeld der DV.

Die EDV-Revision beteiligt sich nicht an der Planung und Beschaffung von Hard- und Software. Auch äußert sie sich in der Regel nicht zu Detailfragen der Systemanalyse und Programmierung. Der Frage der Wirtschaftlichkeit von EDV-Anwendungen mißt die EDV-Revision zwar große Bedeutung bei, sie zieht derartige Prüfungen bisher jedoch nicht in ihre Tätigkeit ein. Die laufenden Kosten des DV-Betriebes werden von den Unternehmen in eigener Zuständigkeit überwacht.

Sowohl die Fachabteilungen als auch die DV betrachten die EDV-Revision heute als Partner, wobei sie mehr als Berater denn als Prüfer empfunden wird. Dies war nicht immer der Fall; insbesondere in ihrer Anfangsphase hatte die EDV-Revision namentlich in ihrem Verhältnis zur DV einige Hürden zu überwinden. Vor allem den DV-Leitern fiel es nicht leicht zu akzeptieren, ihre Arbeit, die bis dahin nicht oder kaum von außen behelligt wurde, fortan unter bestimmten Gesichtspunkten kritischen Untersuchungen durch eine Instanz außerhalb ihres Bereichs zu unterwerfen. Außerdem sahen die DV-Leiter die Qualifikation der EDV-Revisoren als nicht ausreichend an; diese waren ja nicht aus den Reihen der DV hervorgegangen und verfügten somit auch nicht über spezielle DV-Kenntnisse, zum Beispiel auf den Gebieten der Systemanalyse und Programmierung. Die beachtlichen Ergebnisse der Tätigkeit der EDV-Revision überzeugten die DV-Leiter jedoch mehr und mehr davon, daß es für die EDV-Revisoren bei der Erfüllung ihrer Aufgaben außer auf fundierte spezifische Revisionskenntnisse und -erfahrungen zwar auf solide DV-Grundkenntnisse, nicht jedoch auf perfektes DV-Spezialwissen ankommt. Entscheidend sind die bereits genannten Revisionsgesichtspunkte.

Inzwischen ist die Phase des Sich-aneinander-Gewöhnens abgeschlossen. Jedenfalls kann die Zusammenarbeit zwischen Fachabteilungen, Datenverarbeitung und EDV-Revision heute uneingeschränkt als problemlos bezeichnet werden.

Bernd Wittek, Leiter der Internen Revision, Alte Leipziger Lebensversicherung AG, Oberursel

Die Aufgaben der Internen Revision und somit auch der EDV-Revision werden von der Unternehmensleitung festgelegt. Die Aufgabendelegation schließt die Möglichkeit ein, vom Management Einfluß auf die Prüfungsplanung zu nehmen und die Revision im EDV-Bereich einzusetzen oder aber auch zurückzustellen. Durch den immer stärkeren Einsatz der EDV in allen Unternehmensbereichen ist es zunehmend erforderlich, die EDV-Revision in die Gesamtrevision einzubeziehen. EDV-Revision bedeutet in diesem Zusammenhang nicht nur Prüfung der programmgesteuerten EDV-Verfahren, sondern auch Beurteilung des wirtschaftlichen Einsatzes der EDV. Das verlangt allerdings Kenntnisse in der Programmierung, der Systementwicklung, Organisation im Operating sowie der Dokumentationsverfahren.

Um auch den EDV-Bereich revisionsmäßig abdecken zu können, muß der Revisor nicht nur über betriebswirtschaftliche und branchenspezifische Kenntnisse, sondern ebenfalls über das für eine EDV-Revision notwendige Rüstzeug verfügen. Besondere Bedeutung kommt der Revision bei der Entwicklung neuer EDV-Verfahren zu, weil sie im Zuge einer projektbegleitenden Revision rechtzeitig ihre Anforderungen an das Verfahren einbringen kann, so daß ein größerer Aufwand, der aus nachträglich notwendigen Änderungen resultiert, vermieden wird. Ob ein Revisor letztlich vom DV-Leiter und seinen Mitarbeitern akzeptiert wird, hängt von seinem fachlichen Wissen und seinem Auftreten ab. Allgemein gilt: Spannungen werden immer dann auftreten, wenn Revisoren zur Herausstellung der formellen Kompetenz neigen, um auf diese Weise unzureichenden Sachverstand zu überdecken.

Wohlgemerkt, es kommt nicht darauf an, daß der Revisor über ebenbürtige Programmierkenntnisse wie ein EDV-Mitarbeiter verfügt, er muß aber in der Lage sein, die relevanten Sachverhalte erkennen und auswerten zu können. In jedem Falle sollte sich der Revisor nicht einer ihn überfordernden Materie gegenübersehen.

Für Revisoren, denen die nötigen EDV-Kenntnisse fehlen empfiehlt es sich deshalb, sich erst einmal an die Datenverarbeitung "heranzutasten", das heißt EDV-Randbereiche zu prüfen. Gebiete, wie Revision der RZ-Organisation, Sicherung des RZ, Datenträgerarchivierung bilden eine wichtige Vorstufe für die Prüfung der übrigen EDV-Bereiche, die dann zu den bereits erworbenen Grundkenntnissen weitergehende Spezialkenntnisse verlangen. Die gerade angestellten Überlegungen über das Anforderungsprofil eines EDV-Revisors lassen die Frage aufkommen, ob es zweckmäßiger ist, daß ein EDV-Revisor aus (möglichst) externen EDV-Bereichen kommt und als Revisor ausgebildet wird oder umgekehrt. Meines Erachtens gelangt man rascher zu befriedigenden Revisionsergebnissen, wenn bislang in der EDV tätigen Mitarbeitern die Revisionskriterien vermittelt werden.

Ganz unerläßlich für die mit der EDV-Revision betrauten Mitarbeiter ist, daß sie sich auf die rasante Entwicklung der DV einstellen und permanent weiterbilden.

Rainer Zirn, Leiter des Arbeitskreises "Revision bei EDV in Kreditinstituten" des Deutschen Instituts für Interne Revision e.V., Frankfurt

Die EDV-Revision ist zu meist ein Teilbereich der internen Revision im Unternehmen. Ihre Stellung leitet sich daher aus der von der Unternehmensleitung delegierten Überwachungsfunktion ab. Schwerpunkte ihrer Tätigkeit liegen in der Prüfung der Entwicklung und Anwendung von EDV-Verfahren sowie des EDV-Betriebs (insbesondere Rechenzentren), wobei Sicherheits- und Wirtschaftlichkeitsaspekte gleichermaßen als Kriterien gelten. Zur Systemsverbesserung unterbreitet die Revision auch Vorschläge für die Erstellung/Aktualisierung aller Richtlinien des EDV-Bereichs (zum Beispiel Dokumentations-, Test-, Rechenzentrumsrichtlinien). Mit dem Vordringen der EDV in den letzten Jahrzehnten, mit der wachsenden Komplexität und Intransparenz von EDV-Anwendungen sowie mit der steigenden Größenordnung von EDV-Investitionen und -kosten nahm die Bedeutung der EDV-Revision weiter zu. Verschiedentlich halten sich EDV-Fachleute mit ihrem "Fach-Chinesisch" und ihren Sachzwängen gegenüber Geschäftsleitung und Usern hinter hohen Schutzmauern verborgen. Teilweise entstanden sogar infolge EDV-Unkenntnis oder -Desinteresse Grauzonen ohne geregelte Verantwortung. Auch hier öffnet sich dem sachkundigen EDV-Revisor ein weites Feld. EDV-Revisoren werden aufgrund ihrer speziellen Erfahrung und Sachkenntnis von Führungskräften häufig als Berater herangezogen. Die IRR-Arbeitskreise haben in einem Anforderungsprofil die Voraussetzungen für diesen Beruf formuliert und wirken bei der Revisoren-Fortbildung mit.

Die Einschaltung der EDV-Revision schon in der Entwicklungsphase von EDV-Projekten (Ex ante-Prüfung) wird nach unserer Kenntnis mit unterschiedlicher Intensität durchgeführt. Aus Wirtschaftlichkeitsgründen werden entsprechende Stellungnahmen der EDV-Revision vielfach sehr frühzeitig eingeholt, um die Anforderungen (zum Beispiel zum Kontroll- und Abstimmsystem) entsprechend zu berücksichtigen.

Eine Nachschau der eingesetzten Verfahren unter Berücksichtigung der laufenden Kosten und des beim User erzielten Nutzens (Investitionsnachrechnung) wird von einigen EDV-Revisionsabteilungen als wichtige Aufgabe durchgeführt. Rechenzentrumsprüfungen betreffen neben den Sicherheitsaspekten vor allem die Kapazitätsauslastung und die laufenden Kosten.

Die Zielsetzung der EDV-Revision liegt im Aufzeigen von Schwachstellen oder Unwirtschaftlichkeiten sowie in Empfehlungen zur Bereinigung und Verbesserung der Systeme. Es darf nicht verkannt werden, daß in der Praxis noch zu oft der EDV-Revisor als reine "Kontrollinstanz" gesehen wird. Diese Sicht resultiert allerdings vielfach aus der Unkenntnis der geprüften Stellen über die obengenannte Zielsetzung. Hier gilt es, Vorurteile abzubauen und durch kooperativen Prüfungsstil eine bessere Basis für die fachliche Arbeit zu finden.