computerwoche.de

Archiv

Grundsätzliche Anforderungen an die Kontrolle der Informationsverarbeitung:

Mikrocomputer im Fachbereich erfordern neues Sicherheitsdenken

15.03.1985

Mikrocomputer tauchen in den Fachbereichen immer häufiger auf. Die Sammlung wichtiger Unternehmensdaten an den Arbeitsplätzen stellt Revision und Controlling beispielsweise hinsichtlich Datenschutz und Datensicherheit vor neue Anforderungen. Dr. Harald Weidmann* versucht Antworten auf die zahlreichen offenen Fragen zu finden.

Mikrocomputer sind während der letzten beiden Jahre endgültig den Kinderschuhen entwachsen und nehmen heute innerhalb der betrieblichen Informationsverarbeitung einen festen Platz ein. Der Vormarsch der Mikros zu den Arbeitsplätzen der Sachbearbeiter bis hin zu den Schreibtischen der Manager scheint unaufhaltsam. Der oft beschriebene und diskutierte technologische Fortschritt auf dem Gebiet der Bürokommunikation wird weitgehend durch den Computerzwerg markiert.

Welche Bedeutung die Mikros mittlerweile als Abteilungsrechner in den Fachbereichen erlangt haben, kann man sich sehr leicht vor Augen führen, wenn man Kapazität und Rechnerleistung einmal mit der Zahl der bereits angeschafften oder bestellten Systeme multipliziert. Das rechnerische Ergebnis zeigt oftmals sehr drastisch, daß die kumulierte DV-Leistungskapazität in den Fachbereichen die der zentralen EDV bei weitem übertreffen kann. So errechnet sich zum Beispiel aus 50 Rechnern des Typs XT mittlerer Ausbaustufe eine imponierende Größenordnung der Gesamtkapazität von:

50 x 320 KB Hauptspeicher =16 MB

50 x 320 KB Floppy =16 MB

50 x 20 MB externer Speicher = 1 GB

Der Einzug der Mikrocomputer in Büros, Fachabteilungen und Geschäftsführungsetagen hat aber gleichzeitig zu einer Reihe von organisatorischen Ausstrahlungen und Änderungen geführt, deren Konsequenzen heute nur schwer beurteilbar sind. Erwähnenswert scheinen in diesem Zusammenhang vor allem die Verlagerung von zentralen zu dezentralen DV-Verfahren sowie am Arbeitsplatz selbst die Leistungsintegration bisher vorwiegend monofunktionaler Arbeitsabläufe zu einheitlichen, logisch zusammenhängenden Arbeitsgebieten.

Durch in jüngster Zeit stark diskutierte Konzepte wie zum Beispiel Informationscenter, Prototyping und ähnlichem rücken innerhalb einer veränderten Datenverarbeitungslandschaft und Informationsinfrastruktur Fachabteilung und EDV näher zusammen. Der Mikro-Einsatz bietet dabei einerseits die Chance, häufig kritisierte Probleme der Zentral-EDV, wie zum Beispiel Maschinenengpässe, -verfügbarkeit, Responsezeiten, Anwendungs- und Entwicklungsstau, einer Lösung zuzuführen. Auf der anderen Seite bewirkt der Mikro-Einsatz derartiger Systeme neben der Umverteilung von Aufgaben in der Fachabteilung selbst eine Aufgabenverlagerung zwischen EDV- und Fachabteilung. Alt eingefahrene Formen der Arbeitsteilung werden zunehmend durch neue abgelöst. "Intelligenz und Rechnerkapazität vor Ort" heißt die Devise.

Heute noch vorwiegend getrennte Einzelgeräte mit Spezialfunktionen wie zum Beispiel Telefonanlage, Fernschreiber, Textsystem, Kopierer und DV-Terminal wachsen zu immer leistungsfähigeren Multifunktions-Systemen mit 32-Bit-Architektur zusammen. Analog hierzu läßt sich für integrierte Anwendungsprogramme für Datenbankmanagement, Planung/Kalkulation, Textverarbeitung, Geschäftsgrafik, Termin-/Projektplanung und Kommunikation in der Betriebspraxis eine immer größere Einsatzbreite feststellen.

Mit der Entscheidung für eine konsequente Nutzung der durch Mikrocomputer eröffneten Möglichkeiten wird also noch weitgehend unbekanntes organisatorisches Neuland betreten, in dem neben konzeptionellen Fragen insbesondere auch die traditionellen EDV-Fragestellungen hinsichtlich Datenschutz, Datensicherheit, Datenverantwortung, Qualitätskontrolle und Verarbeitungskontrollen noch gelöst werden müssen.

Auch wenn künftige Organisationsformen und Einbindungen von Mikrocomputer-Arbeitsplätzen in die bestehende DV-Welt noch nicht in allen Einzelheiten geklärt sind und die meisten Betriebe sich erst mit schrittweise weiter ausgebauten Pilotinstallationen an die beste Lösung herantasten (-testen,) müssen sich Prüfung und Kontrolle in Richtlinien, Methoden, Techniken und Instrumenten auf die veränderten Konzepte der Informationsverarbeitung einstellen. Bereits heute erkenn- und absehbare Trends der neuen Informationstechnologien dürfen dabei ebensowenig aus dem Auge verloren werden wie Neu- oder Weiterentwicklungen der speziell auf Arbeitsplatzsysteme ausgerichteten neuen Generation von Softwareprodukten. Unter Revisions-/Kontrollgesichtspunkten kann der Mikro aber nicht etwa als isoliertes Einzelproblem, sondern nur als Teilsystem des gesamten Informations- und Kontrollsystems eines Unternehmens gesehen werden.

Von Bedeutung ist weiterhin, aus welchem Blickwinkel man an die Frage der Prüfung und Kontrolle des Einsatzes von Kleinstrechnern herangeht. So werden zum Beispiel interne Revision und EDV-Controlling andere Schwerpunkte setzen als vergleichsweise die externe Prüfung. Während im ersteren Fall eher

- Wirtschaftlichkeitsfragen des Mikrocomputer-Arbeitsplatzes

- Zweckmäßigkeitsuntersuchungen "selbstgestrickter" Einzel-/Individuallösungen

- Sicherstellung der Anwenderberatung/-unterstützung

-Vermeidung des gefürchteten Software-Wildwuchses durch Vereinheitlichung der Betriebs- und Programmsysteme

- Kompatibilitäts- und Schnittstellenfragen

- Organisatorische Gestaltung des Programm-, Datei- und Datentransfers

- Gewährleistung der Verarbeitungssicherheit

im Vordergrund stehen, liegen die Schwerpunkte aus der Sicht der externen Revision eher auf Problemstellungen wie

- Ordnungsmäßigkeit der Erfassungs-, Verarbeitungs-Ausgabeabläufe

- Datenhaltung, -verantwortung und Datensicherung bei verteilten Datenbeständen

- Abstimmbarkeit zwischen verteilten Datenbeständen

- Steuerung und Kontrolle der Zugriffsberechtigung

- Sicherstellung der Verfahrensdokumentation in verteilten Systemen

- Abstimmung unterschiedlicher Programmversionen in verteilten Rechnersystemen.

Grundsätzliche formale und materielle Anforderungen an die Kontrolle der

Informationsverarbeitung

Für Wirtschaftsprüfer ist die Frage der Ordnungsmäßigkeit der Datenverarbeitung identisch mit der Frage der Ordnungsmäßigkeit der Buchführung. Die Grundsätze ordnungsmäßiger Buchführung schreiben kein bestimmtes Informationsverarbeitungs- und -kontrollsystem vor; sie lassen vielmehr jedes System - auch computergestützte Systeme - zu, wenn diese die Anforderungen, die durch die Grundsätze ordnungsmäßiger Buchführung an sie gestellt werden, erfüllen.

Die Anforderungen an die Ordnungsmäßigkeit ändern sich also nicht dadurch, daß die Buchhaltung oder andere Informationsverarbeitungssysteme mit Hilfe der EDV erstellt werden. Mit jeder Veränderung der Technik, die im Rahmen der Informationsverarbeitung oder zur Durchführung der Buchhaltung eingesetzt wird, ändert sich lediglich die Realisierung der Anforderungen an die Ordnungsmäßigkeit. Die Vorschriften fordern, daß eine Eintragung oder eine Aufzeichnung nicht in einer Weise verändert werden darf, daß der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiß läßt, ob sie ursprünglich oder erst später gemacht worden sind. Mit diesen Bestimmungen wird damit die Kontrollierbarkeit von Dateneingaben und Datenänderungen im Rahmen des buchhalterischen Informationsverarbeitungsprozesses gesetzlich normiert.

Jedes Unternehmen ist verpflichtet, folgende Unterlagen geordnet aufzubewahren:

- Belege, Verbuchungen (Dateneingabe)

- Handelsbücher, Inventare und Bilanzen (Listenausgabe)

- die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsanweisungen (zum Beispiel Organisationshandbücher, Programmakten, Bedienungsanweisungen).

Zusätzlich enthält das Bundesdatenschutzgesetz Bestimmungen über den Schutz der Daten von natürlichen Personen zusammen mit einem Katalog an Sicherungsmaßnahmen.

Die einzelnen Bestimmungen des HGB und der AO bedürfen einer laufenden Interpretation vor dem Hintergrund einer sich ständig verändernden Computertechnologie, die laufend neue Möglichkeiten zur Gestaltung von noch aussagekräftigeren und rationelleren Informationsverarbeitungssystemen bietet. Die Ordnungsmäßigkeitsanforderungen an Informationsverarbeitungs- und Buchführungssysteme können daher nicht im Hinblick auf eine konkrete technische Realisierung absolut bestimmt werden. Als Grundsatz bestimmt daher ° 38 HGB, daß Informationsverarbeitungs- und Buchführungssysteme ihren Zweck erfüllen, das heißt ordnungsmäßig sind, wenn sie einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Vermögens-, Finanz- und Ertragslage des Unternehmens vermitteln.

Zur Interpretation dieser gesetzlichen Vorschriften kommen folgende Hilfen in Betracht:

- Einkommensteuerrichtlinien

- Fachgutachten des Instituts der Wirtschaftsprüfer

- Stellungnahmen des Fachausschusses für moderne Abrechnungssysteme (FAMA) beim Institut der Wirtschaftsprüfer

- Erlaß "Grundsätze ordnungsmäßiger Speicherbuchführung (GoS)"

- AWV-"Leitfaden zur Erstellung von Verfahrensdokumentationen für EDV-Buchführungen"

- Guidelines des Auditing Practice Committee der IFAC

- Fachliteratur.

Der Erlaß "Grundsätze ordnungsmäßiger Speicherbuchführung (GoS)", der sich entgegen seinem Wortlaut nicht nur auf die Speicherbuchführung, sondern auf jede Form von EDV-Buchführung bezieht, enthält insbesondere Regelungen zur

- Belegaufbereitung und Belegfunktion

- Buchung

- Kontrolle und Abstimmung

- Datensicherung

- Dokumentation und Prüfbarkeit

- Aufbewahrung und Sicherung der Datenträger

- Wiedergabe der auf Datenträger geführten Unterlagen

- Verantwortlichkeit.

Das Institut der Wirtschaftsprüfer hat in den Stellungnahmen FAMA 1/1974 "Zur Prüfung von EDV-Buchführungen" und 1/1975 "Zur Auslegung der Grundsätze ordnungsmäßiger Buchführung beim Einsatz von EDV-Anlagen im Rechnungswesen

sehr ausführlich zur Ordnungsmäßigkeit und zur Prüfung von EDV-Buchführungen Stellung genommen.

Ähnlich wie die Grundsätze ordnungsmäßiger Speicherbuchführung enthält die Stellungnahme 1/1975 "Zur Auslegung der Grundsätze ordnungsmäßiger Buchführung bei Einsatz von EDV-Anlagen im Rechnungswesen" Richtlinien zu:

- Ordnungsmäßigkeit des Verarbeitungssystems;

- Belegprinzip;

- Sicherung und Darstellung des Buchungsstoffes;

- Aufbewahrungspflicht für Organisationsunterlagen.

In der Literatur wird teilweise versucht, die verschiedenen Stellungnahmen und Grundsätze zu einem System der "Grundsätze ordnungsmäßiger Datenverarbeitung (GoDV)" zusammenzufassen (zum Beispiel Schuppenhauer). Danach gliedern sich die Grundsätze ordnungsmäßiger Datenverarbeitung in:

- Grundsätze ordnungsmäßiger EDV-Dokumentation (GoDVD)

- Grundsätze ordnungsmäßiger EDV-Arbeitsabwicklung (GoDVA)

- Grundsätze ordnungsmäßiger Sicherung der Funktionsfähigkeit der EDV (GoDVS).

Mit den materiellen Anforderungen an die Prüfbarkeit computergestützter Informationsverarbeitungs- und Buchführungssysteme hat sich insbesondere die Stellungnahme FAMA 1/1974 "Prüfung von EDV-Buchführung" befaßt. FAMA 1/ 1974 ist die umfassendste fachliche Stellungnahme seitens der Wirtschaftsprüfer bezüglich der Ordnungsmäßigkeit der Datenverarbeitung. Nach dieser Stellungnahme ist das interne Kontrollsystem das wesentliche Kriterium für die Einhaltung der Richtigkeit computergestützter Informationsverarbeitungs- und Buchführungssysteme. Folgende Arbeitsgebiete werden in die Untersuchung des internen Kontrollsystems hiernach einbezogen:

- Programmerstellung und Programmdokumentation

- Belegverarbeitung und Datenerfassung

- Datenverarbeitung:

Arbeitsabwicklung im Rechenzentrum

Datensicherung

- Kontrollen:

Erfassungskontrolle

Ergebniskontrolle

Kontrolle des Änderungsdienstes

- Interne Revision.

Bei der Beurteilung des internen Kontrollsystems kommt dem Grundsatz der Funktionstrennung eine besondere Bedeutung zu. Der Grundsatz der Funktionstrennung entspricht sowohl Sicherheitsbedürfnissen als auch Rationalisierungsüberlegungen. Durch die Funktionstrennung, das heißt durch weitestmögliche Kompetenzverteilung innerhalb bestimmter Arbeitsabläufe, soll verhindert werden, daß:

- Informationen beziehungsweise Buchhaltungsdaten manipuliert werden,

- eigene Fehler vertuscht werden,

- fremde Fehler möglichst schnell und umfassend entdeckt und berichtigt werden.

Im Bereich der computergestützten Informationsverarbeitungs- und Buchführungssysteme kommt gerade der Funktionstrennung im Sinne einer Zugriffskontrolle auf Dateien, Bänder und Programme sowie im Sinne einer getrennten Festlegung der Verarbeitungsparameter, der Dateneingabe und der Datenfreigabe, eine besondere Bedeutung zu.

Für die Beurteilung des internen Kontrollsystems ist festzustellen, für welche Arbeitsvorgänge welche Kontrollmaßnahmen vorgesehen sind, und ob diese Kontrollmaßnahmen eine ausreichende Sicherheit dafür geben, daß der Verarbeitungsprozeß vollständig, richtig und zeitgerecht erfolgt ist. Neben der Adäquanz des Kontrollsystems ist festzustellen, ob die Kontrollen auch wirksam durchgeführt worden sind.

Üblicherweise wird hier zwischen Kontrollen mit fehlerverhinderndem (präventivem) und fehleraufdeckendem Charakter unterschieden. Präventive Kontrollen können nicht ausschließen, daß sich ein Verarbeitungsfehler in den auf die präventiven Kontrollen folgenden Arbeitsprozeß einschleicht, dessen Ursache nicht vorhergesehen wurde. Fehleraufdeckende Kontrollen überprüfen das Ergebnis und bieten daher für den Nachweis der Vollständigkeit Richtigkeit und Zeitgerechtheit der Verarbeitung eine höhere Sicherheit.

Übersicht über die gängisten in der Praxis angewendeten Prüf- und Kontrollverfahren

Der Einsatz computergestützter Informationsverarbeitungs- und Buchführungssysteme in den Unternehmen hat zur Entwicklung neuer Prüfungsmethoden geführt. Es fehlt nicht an Versuchen, die alten Prüfungskonzepte, insbesondere die Stichprobenprüfung, zu erweitern und für die Prüfung von computergestützten Informationsverarbeitungs- und Buchführungssystemen gewisse Richtlinien vorzugeben. Die herkömmliche Prüfungstechnik wird aber dem gestiegenen Datenvolumen nicht mehr gerecht, was vielfach zur Folge hat, daß bei Einsatz herkömmlicher Prüfungstechniken die geforderte Prüfungsqualität nicht mehr eingehalten werden kann. Dies bedeutet, daß sich die Prüfung von computergestützten Informationsverarbeitungs- und Buchführungssystemen im wesentlichen auf zwei Bereiche konzentrieren muß:

- In der Aufbau- und Ablauforganisation implementierte Kontrollverfahren

- Erweiterung der Prüfungstechniken. Kontrollverfahren

Bezüglich der in die Aufbau- und die Ablauforganisation implementierten Kontrollverfahren kann auf die oben gemachten Ausführungen verwiesen werden. Diese Kontrollverfahren können unter folgendem Gesichtspunkt systematisiert werden:

- Aufbauorganisation

- Systementwicklung

- Arbeitsablauf

- Bearbeitung

- Dokumentation.

Bei den in die Aufbauorganisation eingebauten Kontrollen stehen Überlegungen zu einer Funktionstrennung zwischen der Fachabteilung der EDV-Abteilung sowie eine weitere Funktionstrennung innerhalb der EDV-Abteilung in die Gebiete Systemprogrammierung, Anwendungsprogrammierung, Band- und Dateiverwaltung, Operating, RZ-Betrieb im Vordergrund. Diese organisatorischen Kontrollen müßten gewährleisten, daß jede Tätigkeitsfunktion innerhalb der EDV-Abteilung durch den nächsthöheren Funktionsträger überprüft oder freigegeben wird. In praxi finden sich jedoch hier trotz aller modernen Zugriffskontrollverfahren die größten organisatorischen Schwächen, die jedoch teilweise auch durch mangelnde personelle Besetzung bedingt sind.

Im Rahmen der Systementwicklung darf eine Systemumstellung nur erfolgen, wenn die Vorteilhaftigkeit der Umstellung nachgewiesen ist. Ziel der Arbeitsablaufkontrollen muß sein:

- Verhinderung der Aufdeckung unabsichtlicher Verarbeitungsfehler

- Vorbeugung oder Aufdeckung betrügerischer Manipulationen von Daten bei der Verarbeitung und Verhütung des Mißbrauchs vertraulicher Informationen

- Schutz gegen versehentliche Zerstörung von Datenbeständen und Sicherung kontinuierlicher Verarbeitung.

Mit Verarbeitungskontrollen schließlich soll die Vollständigkeit, Richtigkeit und Gültigkeit aller von der EDV verarbeiteten Daten sowie ein zureichendes System von Verweisungen sichergestellt werden.

Mit der ausreichenden Dokumentation hat sich FAMA 1/1974 am ausführlichsten befaßt. Die dort auf geführten Unterlagen sollen sicherstellen, daß Systeme, Programme sowie Arbeitsanweisungen für Maschinenbedienung und Fachpersonal ausreichend dokumentiert sind.

Prüfungstechniken

In der Praxis setzen sich computergestützte Prüfungstechniken immer mehr durch. Mit dem Einsatz des Computers als Prüfungshilfsmittel reiht sich der Prüfer in die Gruppe der Benutzer des EDV-Systems ein. Wie der innerbetriebliche EDV-Benutzer sieht sich damit der Prüfer der Vielzahl von Datenbanksystemen und Betriebssystem gegenübergestellt; der Einsatz des Computers für Prüfungszwecke wird damit zu einem Schnittstellenproblem (Audit-Interface).

Entsprechend der Systematisierung von Minz lassen sich folgende Prüfungstechniken unterscheiden:

- Konventionelle (nicht computergestützte) EDV-Systemprüfung

- Computergestützte EDV-Systemprüfung

- Computergestützte Datenprüfung.

Im Rahmen der konventionellen, nicht computergestützten EDV-Systemprüfung (traditionelle Prüfungstechnik) stehen die sachlogische Programmprüfung, der Einsatz von Fragebogen und Checklisten, die Prüfung der Systemdokumentation und die Durchführung von Interviews im Vordergrund.

Besondere Bedeutung kommt der sachlogischen Programmprüfung, die sich mit der Untersuchung der Verarbeitungsfolge in ihrem komplexen strukturellen Aufbau und mit der Prüfung aller automatisierten Arbeitsgänge einzelner Abrechnungsprobleme befaßt, zu.

(wird fortgesetzt)