Mikrocomputer tauchen in den Fachbereichen immer häufiger auf. Die Sammlung wichtiger Unternehmensdaten an den Arbeitsplätzen stellt Revision und Controlling beispielsweise hinsichtlich Datenschutz und Datensicherheit vor neue Anforderungen. Dr. Harald Wiedmann* versucht, Antworten auf die zahlreichen offenen Fragen zu finden.

Mit Hilfe der sachlogischen Programmprüfung wurde der herkömmliche Prüfungsansatz der Abstimmung von Eingabe und Ausgabe "um die EDV herum" (auditing around the computer) erweitert und auf eine Prüfung der Wirksamkeit der im Programmsystem realisierten Kontrollen verlagert.

Die computergestützte EDV-Systemprüfung, teilweise auch als computergestützte Programmprüfung bezeichnet, stellt wie die sachlogische Programmprüfung auf die Prüfung der Ordnungsmäßigkeit des einzelnen Programmes (Programmfunktionsprüfung) und auf die Prüfung der Programmidentität ab. Folgende Methoden sind hierbei erwähnenswert:

- Data-Dictionary-Software

- Rückübersetzungsprogramme (flow-charting-software)

- Testfallmethode

- Mini-Company-Konzept als Sonderform der Testfallmethode (integrated test facility)

- Program-Code-Compare-Programme

- Systemkontrollprogramme.

Mit Hilfe der Data-Distionary-Software läßt sich automatisch eine vollständige und aktuelle Dokumentation des in einem Datenbanksystem gehaltenen Datenmaterials erstellen. Damit läßt sich ein effektiver Testdatenbestand aufstellen und der Einsatz von Prüfsoftware für die computergestützte Datenprüfung unterstützen.

Durch Flow-Charting-Software läßt sich die Übereinstimmung von Quellenprogramm und Programmablaufplan lösen. Der gravierende Nachteil der sachlogischen Programmprüfung, nämlich die Dokumentationsabhängigkeit wird damit beseitigt. Im Rahmen der Testfallmethode kann wiederum auf FAMA 1/1978 verwiesen werden. Beispielsfälle für die Testfallmethode sind die allgemeinen Test-Daten-Methode, die Arbeitswiederholung mit Hilfe von Testdaten, die Wiederholung von Verarbeitungslaufen mit neuem Programm sowie die parallele Simulation.

Das Mini-Company-Konzept ist ein Sonderfall der Testfallmethode (integrated test facility), bei der fiktive Testfälle zusammen mit realen Testfällen durch die entsprechenden Programme verarbeitet werden, ohne jedoch mit den regulären Ergebnissen der Verarbeitung zu kollidieren.

Voraussetzung hierfür ist die Etablierung eines fiktiven Abrechnungssubsystems, das von den fiktiven Geschäftsdaten angesprochen wird.

Die Arbeitswiederholung mit Hilfe von Testdaten oder mit Hilfe von Prüfungssoftware ermöglicht bei positivem Ergebnis den Nachweis der Programmidentität, aber nicht den Nachweis der Richtigkeit des gesamten Arbeitsverfahrens und der gesamten Programmlogik. Nur soweit die Testdaten die vorgegebene Programmkomplexität abdecken, ist die Vermutung der Richtigkeit des Arbeitsverfahrens begründet.

Program-Code-Compare-Programme lassen sich als Hilfsmittel zur Feststellung der Identität zwischen dokumentierter und eingesetzter Programmversion benutzen. Meist werden hierbei die Unterschiede zwischen zwei Versionen eines Quellenprogrammes analysiert.

Im Rahmen von Systeskontrollprogrammen verschafft sich der Prüfer laufende Aufzeichnungen über das Verarbeitungs- und Systemverhalten im tatsächlichen Ablauf, speziell in bezug auf die organisatorischen Kontrollen.

Drei verschiedene Arten der Kontrolle von Anwendungsprogrammen lassen sich unterscheiden:

- Überwachungseinrichtung (monitor-facilities)

- Systemaktivitätsuntersuchung (job-accounting-facilities)

- Zugriffskontrolleinrichtung (access-control-facilities).

Als typisches Beispiel einer Zugriffskontrolleinrichtung können die Programme "Ressorts-Access-Control-Facility" oder "Secure" genannt werden, die den Systemzugriff kontrollieren, entsprechend einer bestimmten Hierarchie freigeben und jede Benutzung protokollieren.

Die computergestützte Datenprüfung läßt sich mit Hilfe von Dienstprogrammen, speziellen und generellen Prüfprogrammen sowie mit Hilfe von Generator- und Interpretor-Software erreichen.

Mit Hilfe allgemeiner Dienstprogramme lassen sich informationsaufbereitende Tätigkeiten wie Selektieren, Sortieren, Mischen Rechnen durchführen. (Wegen Einzelheiten zum Prüfungseinsatz vergleiche FAMA 1/1978.)

Datenbankspezifische Dienstprogramme werden in der Praxis weniger zur Vornahme von Prüfungshandlungen eingesetzt, da sie aufgrund der Vielseitigkeit der Datenbankabfragesprache erhebliche EDV-Kenntnisse voraussetzen.

Beispielsfalle für den Einsatz von Prüfprogrammen enthält FAMA 1/1978. Wiederum nach Minz lassen sich hierbei die folgenden Programm-Module unterscheiden:

- Extraktion und Umformung von Dateien

- Dateiumsortierung nach vom Prüfer frei bestimmbaren Kriterien

- Vergleich mehrerer Dateien und ihre Zusammenfassung in einer neuen Datei

- Selektion von Datensätzen, die vorgegebene Grenzwerte über- oder unterschreiten

- Stichprobenverfahren

- Nachrechnungen aller Art

- Ausdruck von Saldenbestätigungen und Erstellung von Kontoauszügen.

Mit Hilfe von Interpretor-Software lassen sich einfache Dateiauswertungen erstellen, die dann mittels vorgefertigter Makrobefehle verarbeitet und ausgewertet werden können.

Einflußfaktoren des PC-Einsatzes auf Prüf- und Kontrollrichtlinien

Hinsichtlich Prüfung und Kontrolle sind Mikrocomputer grundsätzlich allen anderen EDV-Anlagen gleichzustellen. Eine globale Antwort darauf, welche besonderen Prüf- und

Kontrollmaßnahmen im Falle des PC-Einsatzes durchzuführen sind, ist so nicht möglich, sondern hängt ausschließlich vom konkreten Einzelfall ab. Von Bedeutung sind hierbei vor allem die gewählte Einsatzorganisation der jeweiligen Arbeitsplatzrechner (Stand-alone-System, In-house-Netz, einseitiger oder zweiseitiger File-, Datentransfer mit dem Mainframe-Rechner) sowie das jeweilige Aufgaben- und Anwendungsgebiet (zum Beispiel Kalkulation, Textverarbeitung, Grafik, Auftragsabwicklung, Fakturierung etc.).

Bevor im nachfolgenden Punkt auf die hier dargestellten Einzelprobleme näher eingegangen wird, sollen zunächst einige grundsätzliche Aussagen vorangestellt werden:

- Da durch Mikrocomputer die Schnittstellen der Informationssysteme nicht mehr wie bisher zwischen EDV und Fachabteilung liegen, sondern direkt in die Fachabteilung selbst verlagert wurden, muß dementsprechend auch die Fachabteilung selbst mit der gesamten Umfeldorganisation in eine Gesamtsystemprüfung einbezogen werden. Dies gilt um so stärker, da die Datenerfassung und Datenverantwortlichkeit sich ebenfalls mehr und mehr von der EDV auf den Fachbereich verlagern. Analog der Aufgabenverteilung zwischen Host und Mikro müssen Prüfungen und Kontrollen ebenfalls auf die dezentralen Arbeitsplatzrechner ausgeweitet werden. Die Prüfung der Richtigkeit der Daten wird mehr vorverlagert an den Ort ihrer Entstehung.

-Im Hinblick auf Prüfung und Kontrolle des dezentralen Rechner-Einsatzes in der Fachabteilung muß sichergestellt sein, daß die in der Vergangenheit für den zentralen EDV-Bereich entwickelten Standards und Richtlinien für zum Beispiel Programmentwicklung, Programmtest, Programmabnahme, Qualitätssicherung, System- und Ablaufdokumentation, Datenprüfung, Datenkontrolle etc. in der gleichen Form übertragen und auf ihre Einhaltung hin überwacht werden. Es muß daher vermieden werden, daß die in den Anfangsjahren der EDV gemachten Fehler, die oft nur in längeren Zeitabschnitten und mit viel Aufwand bereinigt wurden, nun nochmals an anderer Stelle in den Fachabteilungen wiederholt werden.

-Durch die für den professionellen Mikro-Einsatz weit verbreiteten Datenbanksysteme (zum Beispiel dBase III, Knowledgeman etc.) kommt es zu einer Vereinheitlichung der Datenstrukturen, wodurch unter anderem Nachweis und Kontrolle von Änderungen oder Beziehungen von Datenelementen wesentlich vereinfacht und sicherer gemacht werden. Gegenüber den konventionellen Dateikonzepten weisen Datenbanksysteme durch zentrale Datensicherung, zentralen Datenschutz, einheitliche Dokumentation der Daten hinsichtlich der Kontrollmöglichkeit erhebliche Vorteile auf.

-Mit dem Zusammenwachsen bislang weitgehend getrennt gehandhabter Arbeitsfunktionen durch Integration innerhalb der Mikrocomputer-Anwendungssysteme werden Schnittstellen einfacher und systematischer kontrollierbar.

-Je nach Einsatzformen der Mikros werden bisher weitgehend geschlossene Informationssysteme für externe Zugriffe offener, das heißt die bislang eingesetzten Kontrollverfahren der Zugriffsberechtigung müssen analog auf die Kleincomputer übertragen werden.

- Kommt es durch den Einsatz von Mikrocomputern zu verteilten Datenbeständen mit lokalen Programmkopien/-versionen und Arbeitsplatzdateien, so muß innerhalb des angewendeten Kontrollsystems die Abstimmbarkeit untereinander sichergestellt werden. Geeignete Maßnahmen hierfür dürften sich derzeit aber noch im Entwicklungsstadium befinden.

- Der Mikro selbst kann verstärkt für maschinelle Prüf- und Kontrollverfahren ebenso wie für maschinelle Dokumentationshilfen (zum Beispiel automatische, zwangsläufige Zugriffs-, Fehler-, Ablaufprotokollierung) eingesetzt werden.

- Mit der größeren Selbständigkeit, die Fachabteilungen durch den Mikro-Einsatz realisieren, übernehmen sie gleichzeitig auch einen Großteil der Kontrollverantwortlichkeit von der EDV-Abteilung. So ist zum Beispiel dann auch die Fachabteilung für die Einhaltung von Datenschutzvorschriften verantwortlich zu machen, das heißt auf den Arbeitsplatzrechnern müssen in jedem Fall auch ausreichende Schutzmechanismen, wie zum Beispiel Paßwort-/Zugriffsberechtigung verfügbar sein.

- Werden Mikrocomputer in Form von isolierten Stand-alone-Systemen eingesetzt, so ist dafür Sorge zu tragen, daß die bisher üblichen Datensicherungsverfahren (zum Beispiel Großvater-, Vater-, Sohn-Prinzip) für Anwendungen auf dem Arbeitsplatzsystem gleichermaßen zum Standard gemacht werden. Bei allen Mikro-Mainframe-Verbundlösungen ist die zentrale Datensicherung über den Zentralrechner den dezentralen Disketten-Sicherungen vorzuziehen.

Hinsichtlich der Kontrolle des Mikro-Einsatzes ist in jedem Fall ein starkes Augenmerk darauf zu richten, daß durch die Dezentralisierung in keinem Fall die Konsistenz der zentralen Datenbasis gefährdet (zum Beispiel durch einen Austausch von vor Ort veränderten zentralen Daten) sowie ein ordnungsmäßiger und organisatorisch abgesicherter Datentransfer zwischen Mainframe und Mikrocomputern sichergestellt wird.

Definition und Anwendungsgebiete für den PC-Einsatz

Lange Zeit war der Begriff "Personal Computer" nur einer von vielen Sammelbezeichnungen für alle neu am Markt auftauchenden Kleinsysteme. Mikro, Mini, Supermini, Small-Business-Computer, Professional-Computer, Bürocomputer, Tischcomputer sind in diesem Zusammenhang ebenfalls immer wieder anzutreffende Produktschilder. Erst mit dem Eintritt des Marktführers (IBM) in dieses Marktsegment wurde der "PC" praktisch zum Markenbegriff, der allerdings heute schon durch Zusätze wie "XT" beziehungsweise "AT" darauf hinweist, daß ein Ende des Begriffswirrwarrs auch mit dem Quasi-Standardbegriff "PC" vorerst noch nicht abzusehen ist. Eine Klassifizierung nach Kaufpreis-Größenklassen bringt auch nicht unbedingt mehr Klarheit, da heute PC-Installationen durchaus bis über Hunderttausend Mark Kaufpreis aufrüstbar sind. Unter dem Begriff PC sollen daher hier für Aussagen zu Kontrollrichtlinien alle dezentralen Arbeitsplatzsysteme zusammengefaßt werden.

Bei den über PC abzuwickelnden Anwendungsgebieten kann zunächst eine Unterscheidung nach zwei großen Gruppen vorgenommen werden:

a) Autonome, lokale Abteilungsaufgaben, bei denen der PC nur für isoliert durchgeführte Anwendungen eingesetzt wird.

b) Anwendungsgebiete innerhalb eines integrierten Gesamtkonzeptes, bei denen die Fachabteilung über dezentral installierte PC auch auf zentrale Funktionen und Daten zugreifen kann.

In Anlehnung an eine im Rahmen eines Arbeitskreises des BVB (Bundesverband Vertriebsunternehmen Büro-, Informations- und Kommunikationstechnik e.V.) durchgeführte Mikrocomputereinsatzstudie lassen sich hinsichtlich der PC-Einsatzmöglichkeiten folgende Klassen von Anwendungsgebieten unterscheiden:

- Abteilungsinterne Verwaltungsaufgaben, wie Sonderbuchhaltungen/-statistiken, Terminplanung, Budgetierung, Testverarbeitung, Abteilungsarchiv/Retrievalsysteme, Dateiauswertungssysteme (zum Beispiel Karteien, Adressen, Kataloge etc.)

- Planungs- und Entscheidungsanwendungen, wie Kalkulations-, Simulations-, Planungsmodellrechnungen, Projektplanungs- und -kontrollsysteme, Kosten-/Gewinn-/Finanzvorschaurechnungen, Steuerplanung etc.

- Demo-, Präsentations-, Geschäftsgrafikanwendungen

- technisch, wissenschaftliche Anwendungen, wie Meßdaten-, Labordatenerfassungen, Lagersteuerung, CAD

- Bürokommunikationsanwendungen, wie Electronic Mail, Teletex, Btx, Textverarbeitung etc.

- Anwendungssysteme mit übergreifender, unternehmensrelevanter Datenbasis, wie Auftragserfassung, Fakturierung, Provisionsabrechnung, Vertragsverwaltung etc.

Charakteristische Merkmale für PC-Anwendungsgebiete lassen sich auch aus einer Gegenüberstellung mit den Anwendungen der traditionellen DV-Landschaft ableiten:

Leistungs-/Funktionsmerkmale

PC-Anwendungen

- Ad-hoc-Auswertungen

- Anwendungen mit kurzem SW-Lebenszyklus

- Bereichsübergreifende Anwendungen

- Relativ geringe Komplexität

- Geringe Datenmenge

- Geringe Datenschutzanforderungen

Leistungs-/Funktionsmerkmale

Zentrale Anwendungen

- Anwendungen mit hohem Wiederholungsfaktor

- Anwendungen mit hoher Lebensdauer

- Isolierte, eigenständige Anwendungen

- Hohe Komplexität

- Massendaten

- Hohe Datenschutzanforderungen

Allgemein läßt sich feststellen, daß die durch den PC-Einsatz bewirkte Dezentralisierung der DV-Funktionen auf anzuwendende Kontrollsysteme vor allem dadurch positive Auswirkungen hat, daß "in sich verfilzte", sehr komplexe Anwendungssysteme jetzt zu kleineren und damit leichter überschau- beziehungsweise kontrollierbaren Arbeitseinheiten entflochten werden. Für das oft erhebliche Fehlerrisiko bei Eingriffen Änderungen oder Anpassungen ist diese Entwicklung von besonderem Vorteil.

Stand-alone-PC

Bei Stand-alone-PC, wie sie beispielsweise für Zwecke der Finanzbuchhaltung eingesetzt werden, lassen sich folgende Risiken und Kontroll-Überlegungen differenzieren:

Verfahrensdokumentation

- Besondere Risiken

- Unzureichende Verfahrensdokumentation kann möglicherweise zu fehlerhafter Dateneingabe, Erarbeitung und Systempflege führen.

- Unzureichende Verfahrensdokumentation kann zu ungenügender Sicherung und fehlerhaften Restart-procedures führen.

- Erfordernis einer Verfahrensdokumentation besteht auch bei automatisierter Bedienungsführung.

- Konsequenzen für das Kontrollverfahren

- Begrenzung der Fehlermöglichkeiten durch:

Zugangskontrollen (Password) Dateneingabekontrollen

Abstimmsummen

Ausgabekontrollen

- Mindestinhalt der Verfahrensdokumentation (analog FAMA 1/1974)

Kontrolle der Anlagebedienung Formelle Bedieneranweisungen

- Besondere Risiken

- Formelle Bedieneranweisungen seitens des Herstellers oder Software-Lieferanten fehlen oder sind unzureichend.

- Fehlbedienungen durch fehlendes Verständnis der Abläufe.

- Vorhandene Kontrollen der Bedienerführung sind unzureichend oder können übergangen werden.

- Benutzer ist mit besonderen Situationen (Sichern, Restart) nicht vertraut oder kann Fehlermeldungen sowie Kontrollergebnisse nicht richtig auswerten.

- Konsequenzen für das Kontrollverfahren

- Mindestinhalt der formellen Bedieneranweisung:

Dateikennzeichnungen (intern/extern)

Trennung von Produktions- und Testversionen von Programmen

Restart Procedures Datensicherung

Fehlermeldungen und Korrekturen.

Überwachung und Kontrolle der Anlagebedienung

- Besondere Risiken

- Unbefugte Benutzung der Anlage.

- Bewußter oder unbewußter Fehlaufruf von Dateien und Programmen und Änderungen.

-Verursachung von Systemzusammenbrüchen.

- Konsequenzen für das Kontrollverfahren

- Kontrolle der Library Directories durch Management.

- Aufzeichnung aller Aktivitäten.

- Selektiver Ausdruck nach bestimmten Kriterien (zum Beispiel aufgerufene Programme; Verwendung von Utilities).

Einschränkung des Zugriff zur EDV-Anlage

- Besondere Risiken

- Fehlende Funktionstrennung zwischen Programmierungs- und Bedienungsfunktion.

- Leichte Bedienbarkeit

- Standort der Anlage.

- Konsequenzen für das Kontrollverfahren

- Password zur Beschränkung des Zugriffs auf bestimmte Systeme oder Dateien.

- Aufzeichnung von Password-Verletzungen.

- Trennung von Produktions- und Testverfahren einzelner Programme.

- Aufzeichnung aller Programm- und Utility-Aufrufe.

Kontrolle über die Systemsoftware Zugriff zur Systemsoftware

- Besondere Risiken

- Unbewußte oder bewußte Änderungen der Systemsoftware.

- Unbewußte oder bewußte Änderungen in Programmen und Dateien mit Hilfe der Systemsoftware

- Konsequenzen für das Kontrollverfahren.

- Zugangsschutz durch Passwords.

- Password-Hierarchie (Definition von Passwords) Ausgabe und Änderung von Passwords)

- Änderung von Dateien und Programmen.

- Kontrolle der Library Directories durch Vergleich mit Aufzeichnungen.

Testen von Systemsoftwareänderungen

- Besondere Risiken

- Ungenügendes Austesten von erworbener oder selbsterstellter Software.

- Unerkannte Mängel in der Systemsoftware

- Fehlen von Anwendungskontrollen.

- Konsequenzen für das Kontrollverfahren

- Prüfung und Bewertung der Systemsoftwareänderung durch sachverständige Dritte.

Systemsoftwaredokumentation

- Besondere-Risiken

- Systempflege erschwert oder unmöglich wegen fehlender Dokumentation.

- Programmabläufe nicht nachvollziehbar.

- Fehler in der System- und Programmpflege; eventuell Systemzusammenbrüche.

- Konsequenzen für das Kontrollverfahren

- Ausreichende Dokumentation.

- Verwendung von Kontroll- und Abstimmsummen in den Anwendungsprogrammen.

* Dr. Harald Wiedmann, Peat, Marwick, Mitchell & Co., Frankfurt, referierte auf dem Kongreß "EDV-Revision & Controlling, veranstaltet von CW-CSE, der Seminargruppe aus dem Haus der COMPUTERWOCHE.

Informationen: CW-CSE, Herzogstr. 39, 8000 München 40, Tel.: 089/3 81 72-166.