Aus wirtschaftlichen Überlegungen heraus tritt bei computergestützten Arbeitsabläufen die Sachbearbeiter-Datenerfassung (SDE) zunehmend in den Vordergrund. Im Rahmen dieser Systemkonzeption werden die maschinell zu verarbeitenden Daten unmittelbar am Arbeitsplatz des Sachbearbeiters über Terminals beleglos direkt in das EDV-System eingespielt. Der Umweg des Datenflusses per Beleg über eine zentrale Datenerfassungsstelle kann entfallen. Die Rationalisierungsvorteile sind offensichtlich. Neben der Einsparung von Datentypistinnen wird gleichzeitig die Aufgabenabwicklung in den Fachabteilungen effizienter gestaltet. Im Rahmen von Informationssystemen wird durch die Möglichkeit eines schnellen und aktuellen Datenzugriffs der Servicegrad, beispielsweise bei Kundeninformationssystemen, zusätzlich verbessert. Bei der Einführung einer SDE ist eine Vielzahl von organisatorischen Problemen zu lösen. Dies ist wohl auch der Grund, warum die zu stellenden Kontrollanforderungen vergleichsweise nicht immer das notwendige Gewicht erhalten. Wie die Praxis zeigt, werden die Auswirkungen auf das interne Kontrollsystem häufig zweitrangig behandelt, oft erst in einer relativ späten Phase der Projektentwicklung. Um ein wirkungsvolles Kontrollsystem zu installieren, ist es jedoch erforderlich, gerade die zu stellenden. Kontrollanforderungen rechtzeitig im Rahmen der Systemkonzeption zu berücksichtigen. Zu diesem Zweck sollte es im Interesse der für die Projektentwicklung und Realisierung zuständigen Fachbereiche liegen, wenn sich die EDV-Revision zur Beurteilung des internen Kontrollsystems schon rechtzeitig in die Phase der Projektentwicklung einschalten kann.
Welche entscheidenden Grundanforderungen an das Kontrollsystem bei SDE sind aus der Sicht der EDV-Revision zu stellen?
Für EDV-Buchführungen muß unter dem Gesichtspunkt der GOB zwingend sichergestellt sein, daß sich ein sachverständiger Dritter in angemessener Zeit in den Abläufen zurechtfindet und die zu verarbeitenden Vorgänge hinsichtlich Vollständigkeit, Richtigkeit, Zeitgerechtheit und Sicherheit überprüfen und beurteilen kann. Aus der Zielsetzung des internen Kontrollsystems hat diese Anforderung aber auch generell für alle Ablaufsysteme zu gelten, auch wenn, diese, nicht den Buchführungsbereich berühren. Die Bedeutung der Überprüfbarkeit wächst dabei mit dem zunehmenden Sicherheitsbedürfnis für die zu verarbeitenden Daten.
Um mißbräuchliche Systemeingriffe zu verhindern (Eingeben, Ändern, Löschen) Lesen), sind die notwendigen Sicherungsmaßnahmen in einer. klaren Konzeption des Zugriffssystem, festzulegen. Es sind entsprechend dem jeweiligen Sicherheitsbedürfnis (Risikoeinschätzung) Autorisationsprüfungen durch Password oder Ausweisleser vorzusehen. Eine Klassifizierung der Daten nach ihrem Schutzbedürfnis ist als Ausgangsbasis für entsprechende Überlegungen zu empfehlen,
Am weitesten gehen wohl in der Praxis die Auffassungen hinsichtlich Inhalt und Umfang der Protokollierung auseinander. Dies erscheint zunächst verständlich, da die wesentlichen Bestimmungsfaktoren erst aus Inhalt und Zielsetzung des jeweiligen Ablaufsystems abgeleitet werden können. Dennoch lassen sich einige wesentliche Grundkriterien fixieren. Zunächst ist klar festzuhalten, daß bei SDE die Überprüfbarkeit der Eingaben eine Protokollierung zwingend voraussetzt. Die Protokolle müssen deshalb aussagefähig und überprüfbar sein. Dies gilt nicht nur für Prüfansätze aus der Sicht sachverständiger Dritter, wie Wirtschaftsprüfer und Betriebsprüfer bzw. die interne Revision. Genauso wichtig ist in diesem Zusammenhang eine zweckmäßige Aufbereitung als Grundlage für die Duchführung der Dienstaufsicht durch die Vorgesetzten. Gerade dieser Aspekt ist es, dem in der Praxis noch zu wenig Beachtung geschenkt wird. Es gilt deshalb, bei der Systemkonzeption einer SDE nicht nur zu fixieren, wie etwa bei EDV-Buchführungen das Belegprinzip und die Grundbuchfunktion zu sichern sind, sondern darüber hinaus rechtzeitig mit den zuständigen Fachvorgesetzten darüber zu sprechen, welche Anforderungen diese an die Protokolle zur wirtschaftlichen Durchführung ihrer Dienstaufsicht stellen. Schließlich wird mit dem Inkrafttreten des ° 6 und der Anlage zu, ° 6, Absatz 1, Satz 1 des Bundesdatenschutzgesetzes am 1. 1. 1979 die Protokollierung für die personenbezogenen Daten eine zusätzliche wesentliche Bedeutung erlangen. Besonders darauf gilt es sich rechtzeitig einzustellen.
Sowohl für eine Online- als auch für eine Offline-Bestandsführung sollten Mindestabstimmungen vorgesehen werden, um die physisch richtige Vorarbeitung sicherzustellen. So gilt in der traditionellen Batchverarbeitung eine maschinelle Zählung der eingelesenen, verarbeiteten und ausgegebenen Datensätze als allgemein üblich. Bei Online-Anwendungen auf Datenbanken hat sich dagegen als geeignete Kontrollmöglichkeit eine an die Sicherungsläufe gebundene Segmentzählung als zweckmäßig erwiesen.
Für die protokollierten Buchungsvorgänge sind die Aufbewahrungsfristen gesetzlich geregelt (° 147 AO, ° 44 HGB). Anders liegen die Dinge für die sonstigen Betriebsdaten. Hier müssen der Umfang und die Zeitdauer der Aufbewahrung für den jeweiligen Einzelfall überlegt werden. Neben den rein betriebsinternen Belangen ist dabei vor allem der Aspekt der Prüfbarkeit der Arbeitsergebnisse zusätzlich zu beachten.
Fazit: Die Einführung einer SDE hat erhebliche. Auswirkungen auf das interne Kontrollsystem. Deshalb sollten schon in der Phase der Projektplanung die erforderlichen Kontrollen klar konzipiert und möglichst rechtzeitig mit der EDV-Revision abgestimmt werden.