MÜNCHEN (hh) - Vollständigkeit, Richtigkeit und Prüfbarkeit sind die Grundvoraussetzungen für eine revisionsfähige Datenverarbeitung. Gesetzliche Anforderungen müssen ebenso erfüllt werden wie die organisatorischen Ziele der Datenverarbeitung. Diese Dualität führt in der Praxis nicht selten zu Lösungen, die im Widerspruch zueinander stehen. Auf einer Veranstaltung der Seminargruppe CW/CSE der COMPUTERWOCHE informierten sich über 50 leitende DVler über "Wahrheit und Klarheit der praktischen EDV-Revision".

Der Ausgangspunkt für die Ordnungsmäßigkeit der Datenverarbeitung ist die Ordnungsmäßigkeit der Buchführung, die in verschiedenen gesetzlichen Regelungen und Bestimmungen sowohl formell als auch materiell erläutert ist. Hierbei ist nach Aussage des Referenten Rainer Schuppenhauer zu berücksichtigen, daß die gesetzlichen Vorschriften in der Regel sehr pauschal gehalten sind, so daß sie einer fachlichen Interpretation bedürfen. Die Grundsätze ordnungsgemäßer Buchführung (GoB), die im wesentlichen die Buchführung im Fachbereich ansprechen, müssen ergänzt werden um die Grundsätze ordnungsgemäßer Datenverarbeitung (GoDV), die die Einhaltung der GoB auch im Bereich der Datenverarbeitung mit Arbeitsabwicklung und Dokumentation sicherstellen. Die Ordnung der Datenverarbeitung basiert danach auf den Hauptgrundsätzen der Transparenz, der Kontrollierbarkeit und der Funktionssicherheit. Darauf sind die Grundsätze der Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, Klarheit, Belegbarkeit, Sicherheit und Prüfbarkeit sachgerecht anzuwenden, führte Schuppenhauer aus. Ziel ist es, einem sachverständigen Dritten zu ermöglichen, sich ohne DV-technisches Spezialwissen und ohne fremde Hilfe in angemessener Zeit über ein Abrechnungsverfahren einen Überblick zu verschaffen und die Abläufe und Funktionen des Abrechnungsverfahrens nachzuvollziehen.

Fehlerquellen ausschalten

Der Datenfluß muß, folgt man Schuppenhauer, beginnend bei der Dateneingabe an jeder datenabzweigenden und datenzuführenden Stelle abstimmbar sein. Fehlerquellen, die in der Praxis häufig auftauchen, liegen in der Auslassung bestimmter Vorgänge, in Erfassungsfehlern, Bedienungsfehlern und Datenverwaltungsfehlern. Auch die korrekte Behandlung unerwarteter Vorkommnisse, wie zum Beispiel Systemabstürze, verdient besondere Aufmerksamkeit.

Es ist das Ziel, daß eine hohe Kontrollsicherheit durch möglichst wenig Kontrollarbeit erreicht wird. Dazu sind geeignete Punkte des Systems für die Checks auszuwählen, da wirkungslose Kontrollschritte ein falsches Gefühl der Sicherheit erzeugen. In einem letzten Punkt führte der Referent aus, daß auch die Sicherungsmaßnahmen gegen mißbräuchliche Datenverwendung sowie auch Maßnahmen zur Aufrechterhaltung der Betriebsbereitschaft der EDV-Anlage und des Betriebssystems zu den abzudeckenden Risiken gehören.

Lückenloser Nachweis

Auf ein anderes Gebiet der Revisionsfähigkeit lenkte Hans Gliss von der Gesellschaft für Datenschutz und Datensicherung das Augenmerk der Teilnehmer: die Zusammenhänge zwischen der Datensicherung und der Ordnungsmäßigkeit der DV. In den einschlägigen Vorschriften sei festgelegt, daß der lückenlose Nachweis aller Schritte zur Programmentwicklung und -wartung sowie des Programmeinsatzes von allen maschinellen Verfahren verlangt werde, die finanzwirksame Daten verarbeiten. Darüber hinaus seien die Datenbestände gegen Verlust und Manipulation zu schützen. Die Auslagerung von Daten sei ein Mittel zur Erfüllung dieser Forderung, jedoch müßten entsprechende Verlustsicherungsverfahren strengen Zugriffsregeln unterworfen werden, damit sich der potentielle Datendieb nicht im Sicherheitsarchiv bedienen könne.

Auch die Zugriffskontrolle auf die arbeitenden Programme muß aus Gründen der Datenmanipulation streng gehandhabt werden. Dazu gehöre, daß die Benutzer bekannt sein müssen. Benutzerrechte müssen innerhalb der Anwendungssysteme und der Zugriffssicherungssoftware abgebildet und so festgeschrieben sein, daß das System keine Ausnahme zuläßt. Eine weitere Gefahr für die Realisierung von Datenmanipulationen sieht Gliss im Einsatz von Hilfsprogrammen, die erforderlich sind, wenn es Schwierigkeiten mit dem System gebe, gleichzeitig aber auch dem geübten Profi Möglichkeiten in die Hand geben, festgelegte Benutzerrechte, Kontrollpunkte und Nachweise zu umgehen.

Ein weiteres Problem sieht der Referent in der Dezentralisierung der DV. Für den Prüfer ergebe sich ein völlig neues Problem. Nicht nur, daß er nicht mehr nur an wenigen Stellen prüfen kann, die Kompakthardware sei zudem meist mit so dürftiger Betriebssoftware ausgestattet, daß Dokumentation und Prüfbarkeit kaum systemseitig unterstützt werden können.

Ein wichtiger Punkt zur Revisionsfähigkeit liegt in der Kontrolle der Programmänderungen.

Vier-Augen-Prinzip

Während den Programmierern der Zugriff zu den Testbibliotheken relativ einfach gemacht werde, wird ihnen der Zugang zu den echten Bibliotheken nur unter Einschaltung einer weiteren Person ermöglicht (Vier-Augen-Prinzip), so ein Vorschlag des Redners. Wichtig erscheint ihm, daß sowohl Programm- und Systemtests durchgeführt werden, als auch eine visuelle (stichprobenartige) Kontrolle der fertigen Programme erfolgt. Gerade bei der Neuerstellung von "Softwareprogrammen sei die Chance relativ gering, unerwünschte Routinen zu übersehen, wenn möglichst alle zukünftigen Benutzer mit dem System "spielen" dürften.

Hans-Jürgen Weiss von der Arthur Anderson GmbH aus Stuttgart befaßte sich in seinem Referat mit risikoorientierten Prüfmethoden. Er stellte das Transaction-Flow-Auditing-Konzept (TFA) der Zuhörerschaft vor.

Durch diesen Ansatz soll die Verbindung vom internen Kontrollsystem des zu prüfenden Unternehmens zu Art und Umfang der Prüfungshandlung besser bestimmt und dokumentiert werden. Dabei konzentriere sich das Konzept auf die Kontrolleinrichtungen und Maßnahmen im Betriebsablauf und Verarbeitungsprozesse der Geschäftsvorfälle. Die einzelnen Transaktionen werden dabei verschiedenen Zyklen zugeordnet, die untereinander in einem gesteuerten Informationsaustausch stehen.

Eine detaillierte Prüfung aller Maßnahmen und Einrichtungen der internen Kontrolle für eine bestimmte Art von Geschäftsvorfällen (Transaction-Flow-Untersuchung) bildet eine Voraussetzung für die Planung der Prüfungsmaßnahmen und die durchzuführenden Prüfungshandlungen. Rudolf Voit von der SCS GmbH erläuterte der Zuhörerschaft das DV-Audit. Dieser Ansatz kann nach seinen Worten als Regelkreis betrachtet werden, in dem mittels einer Untersuchung, an der Geschäftsleitung, Stabsabteilung, DV-Anwender und DV-Bereich teilnehmen, Stärken und Schwächen des Systems dargestellt und Maßnahmen zur Überarbeitung verabredet werden können.

Wolfgang Hinze von der Datev eG aus Nürnberg schilderte in einem Bericht, wie sich diese Genossenschaft auf der Anwenderseite mit der Systemrevision und der Softwarequalitätsprüfung auseinandersetzt. Durch externe Wirtschaftsprüfer durchgeführt, besteht die DV-Systemprüfung bei den Nürnbergern aus drei Phasen, der systemunabhängigen Prüfung, der Einzelsystemprüfung und der Programmprüfung als kleinster Prüfungseinheit. Die Wirtschaftsprüfungsgesellschaft stützt sich zur Beurteilung der Ordnungsmäßigkeit im wesentlichen auf die Stellungnahmen der FAMA.