Ein Terminal für die Revision

15.01.1982

Heinrich Adolphs*, EDV-Revisor, Siegburg

In dem Maße, wie die Automation von Prozessen in der Wirtschaft und in der öffentlichen Verwaltung, die der Revision unterliegen, fortschreitet, haben auch die Kontrollinstanzen ihre Prüfmethoden den geänderten Anforderungen angepaßt oder anzupassen versucht. Erinnert sei zum Beispiel an die inzwischen allgemein übliche präventive Programmprüfung, die in der Fachliteratur anerkannt und gefordert wird, in mehreren Bundesländern für die öffentliche Verwaltung teilweise sogar gesetzlich vorgeschrieben ist. Nachdem sich inzwischen Verfahren der Datenfernverarbeitung mehr und mehr ausbreiten, stellt sich für die Revision die Frage, ob diese Technik von ihr auf Dauer nicht neue Mittel zur adäquaten Arbeit fordert. Dabei wäre zu denken an den Einsatz von Bildschirmterminals eigens für Zwecke der Prüfung. Also gerade derjenigen Arbeitsmittel, die die Computerleistung am Arbeitsplatz heute kennzeichnen.

Rechtzeitige Information

Die Gewährung außergewöhnlicher Zinskonditionen an den Kunden eines Kreditinstituts löst per Programm eine Meldung auf dem Terminal der Innenrevision aus, die daraufhin den Gründen für dieses Geschäft unverzüglich nachgehen kann. Die mehrmalige Benutzung unerlaubter Paßwörter an einem Zweigstellen-Terminal eines bundesweiten Versicherungsunternehmens sperrt nicht nur die Tastatur des Geräts, sondern löst auch Alarm bei der zentralen Prüfabteilung aus. Das - an sich erlaubte - Einbuchen einer Mahn- und Vollstreckungssperre in das Personenkonto eines Gewerbesteuerpflichtigen bei einer deutschen Stadtkasse veranlaßt automatisch einen Hinweis auf das Bildschirmgerät des städtischen Rechnungsprüfungsamtes, der Revisionsinstanz der Kommunalverwaltungen.

Diese drei Beispiele mögen zeigen, wie in Systemen der Datenfernverarbeitung die jeweiligen Revisionsinstanzen rechtzeitig mit Informationen versorgt werden können, die für ihre Arbeit von Bedeutung sind.

In diesem Beitrag möchte der Autor den Gedanken aufgreifen, bei komplexen Verfahren des Teleprocessing die prüfenden Stellen mit Bildschirmgeräten und Datenschreibern auszustatten und sie von den

Programmen her in erforderlichem Umfang in den Ablauf der Arbeiten einzubinden. Dem Autor ist bisher weder aus der Fachliteratur noch aus der Praxis bekannt, daß solche Methoden realisiert sind. Es wäre denkbar, wenn dieser Aufsatz eine Diskussion über das Für und Wider auslösen würde.

Bisher sind Prüfinstanzen bei der Revision in Systemen der Datenfernverarbeitung meist darauf angewiesen, sich bei der überprüften Stelle oder im Rechenzentrum Listen mit denjenigen Daten ausdrucken zu lassen, die sie überprüfen wollen. Häufig erlauben die Programme dabei noch nicht einmal eine Selektion des Prüfstoffes nach Kriterien, die für die Prüfung relevant sind (zum Beispiel in der Buchhaltung offene Posten von bestimmter Höhe oder mit bestimmtem Alter). Allerdings ermöglichen es bereits verschiedene Softwaretools (zum Beispiel "Dabank") solche Selektionen durch verhältnismäßig einfache Parameterangaben aufbereitet ausgeben zu lassen. Grundsätzlich wird nichts dagegen einzuwenden sein, wenn die Revision solche Werkzeuge bei ihren Prüfarbeiten nutzt.

Wenn auch eine solche Vorgehensweise gegenüber konventionellen Prüfmethoden (etwa dem Durchsehen des gesamten ausgedruckten Buchungsstoffes) schon Vorteile bringt, wird sie dennoch nicht als modernes optimales Verfahren bei einem verzweigten System der Datenfernverarbeitung anzusehen sein. Was wäre dagegen einzuwenden, wenn die Prüfungsabteilung sich ihre Daten am eigenen Bildschirmgerät anzeigen und auf dem eigenen Datenschreiber ausdrucken ließe?

Die oft erhobene Forderung nach Computerleistung am Arbeitsplatz muß berechtigterweise auch für die Revision gelten.

Natürlich ist es den Prüfern nicht erlaubt, in die zu revidierenden Dateien zu schreiben, also darin Veränderungen vorzunehmen. Sie dürfen darin nur lesen. Aber moderne EDV-Verfahren (zum Beispiel Datenbanksysteme) ermöglichen es ja, einzelne Terminals oder bestimmte Paßworte (alternativ Codekarten) auf Lesevorgänge zu beschränken.

Datenschutzrechtliche Bedenken dürften im allgemeinen der Ausstattung der internen Prüfinstanzen nicht entgegenstehen, da es zur Aufgabe dieser Abteilungen beziehungsweise Dienststellen gehört, die Daten für ihre Kontrollarbeiten zu benutzen. Es läßt sich organisatorisch sicherstellen, daß die Prüfer - wie alle anderen Benutzer - keinen Mißbrauch mit den Daten treiben können.

Ein anderer Gedanke muß wohl noch in diesem Zusammenhang untersucht werden: Während bei herkömmlichen Prüfarbeiten der Geprüfte in der Regel stets unterrichtet ist, daß nunmehr in seinem Aufgabenbereich Prüfarbeiten stattfinden (denn man muß als selbstverständlich davon ausgehen, daß sich der Prüfer bei ihm anmeldet - selbst bei unvermuteten Prüfungen), wäre das bei der hier vorgeschlagenen Prüfmethode mittels Terminal nicht der Fall. Das eigene Bildschirmgerät gestattete der Revision gewissermaßen, permanent zu prüfen. Schlimmer noch: Muß der geprüfte Mitarbeiter oder die geprüfte Abteilung diese latente Prüfmöglichkeit psychologisch nicht als unzumutbar empfinden? Dieser Gesichtspunkt ist sicher nicht leichtfertig von der Hand zu weisen. Allerdings bei nüchterner und emotionsloser Betrachtung: Was kann der Geprüfte ernsthaft dagegen einwenden? Daß er überprüft wird, werden muß - meist ist es gesetzlich vorgeschrieben - , ist ihm bekannt. Ob er die Prüfungshandlung bemerkt (wie grundsätzlich bei herkömmlichen Prüfungen), oder ob sie von ihm unbemerkt abläuft - bei korrekter Arbeitsweise kann wohl nichts dagegen eingewendet werden. Selbstverständlich muß sein daß der Geprüfte die Prüfungsergebnisse, ob negativ oder positiv, zur Kenntnis erhält.

Der hier aufgeworfene Gedanke ließe sich noch weit tiefer untersuchen, als auf dem begrenzten Raum geschehen Und für einen praktischen Einsatz müßte das auch geschehen. Doch zunächst soll es mit der Vorstellung des Grundgedankens einmal sein Bewenden haben.

* Der Autor ist Leiter der EDV-Revision bei einer gemeinsamen kommunalen Datenverarbeitungszentrum die in fast allen Bereichen Datenfernverarbeitungsverfahren einsetzt.