Wachsende Komplexität der DV sowie der Einzug der Mikrocomputer in die Fachabteilungen stellen immer größere Anforderungen an die EDV-Revisoren. Neben dem Einsatz geeigneter Prüfungsmethoden und -werkzeuge wird von ihnen zusätzlich zum betriebswirtschaftlichen Wissen ein umfassendes Know-how über den Stand und die zukünftige Entwicklung der Datenverarbeitung verlangt. Dies ist nach Ansicht von Professor Scheer vom Institut für Wirtschaftsinformatik in Saarbrücken auch eine Herausforderung an die Universitäten, mehr für die Ausbildung der zukünftigen Revisoren zu tun. Für Helmut Eikelmann, Berater bei der SCS, Frankfurt, spielt für die Ziel-Umsetzung der EDV-Revisoren vor allem die Unterstützung des Managements eine entscheidende Rolle.

Helmut Eikelmann

Berater SCS GmbH, Frankfurt

Neuartige Informationstechniken und -instrumente haben die Laborphase durchschritten und gehen mehr und mehr in die Praxis. Die Entwicklungstendenzen hinsichtlich der zukünftigen DV-Landschaft sehen folgendermaßen aus:

- Verlagerung von zentralen zu dezentralen DV-Verfahren, - Einsatz von Mikrocomputern in den Fachabteilungen,

- In Rahmen von Büroautomation die Verknüpfung von Telefonanlage, Textsystem, Fernschreiber, Kopierer und DV mit Hilfe immer leistungsfähigerer Multifunktions-Rechner,

- im Rahmen von Computer-Integrated-Manufacturing (CIM) die Verknüpfung der vielen Teillösungen im technischen Bereich.

Es gilt also, das Problem zukünftiger Organisationsformen und die Einbindung der Mikros in die bestehende DV-Welt zu lösen.

Welche Risiken bringen nun diese neuen Entwicklungen mit sich?

Bei zunehmender Dezentralisierung ist für kritische Anwendungen eine Zugriffskontrolle nur noch bedingt gegeben. Die Kontrolle der Identifikation und die Autorisierung, das heißt Festlegung der Aktivitäten, die durchgeführt werden dürfen, sind Problempunkte.

Bei zunehmender Integration von Systemen sind Kontrollen der Schnittstellen erschwert, Anwendungen müssen sich also überwiegend selbst kontrollieren.

Die vielfach schon heute eingesetzten End-user-Systeme, auch Decision-Support-Systeme genannt, beinhalten Query-Sprachen, deren Ausnutzung hinsichtlich Änderungs- beziehungsweise Löschfunktionen verheerende Folgen mit sich bringen kann.

Bei der Kommunikation in Netzen und verteilten Systemen stellt die Verschlüsselung der zu übertragenden Informationen und die Verlustsicherung ein Risikofeld über Identifikation und Autorisierung hinaus dar.

Auch bei zukünftiger, dezentraler Entwicklung von Systemen tauchen Risiken auf. Die DV-Abteilungen sind heute mit dem Know-how ausgestattet, projektbezogen zu entwickeln. Benutzte Methoden und Tools beinhalten Schritte zur Identifikation von Kontrollerfordernissen und deren Implementierung. Bei der Entwicklung auf Anwenderseite fehlt diese organisierte systematisierte Vorgehensweise. Das gilt insbesondere für

die Entwicklung von Mikro-Insellösungen.

Welche Konsequenzen haben die hier sicher nicht vollständig aufgeführten Risiken auf die DV-Revision?

Laßt man DV-Revision als Bestandteil der Wirtschaftsprüfung außer Betracht, so stellt sich die Prüfung und Kontrolle mit folgenden Schwerpunkten dar:

- Wirtschaftlichkeitsaspekte,

- Zweckmäßigkeitsuntersuchungen von Einzel- beziehungsweise Integrationslösungen,

- Vermeidung des vielfach gefürchteten Wildwuchses,

- Kompatibilität und Schnittstellen,

- organisatorische Einbindung der neuen Lösungen,

- Gewährleistung der Verarbeitungs- und Datensicherheit,

- Sicherstellung von Anwenderberatung und -unterstützung.

Stellt man jetzt den Entwicklungstendenzen in der Informationsverarbeitung mit ihren Risiken die Zielsetzungen der DV-Revision gegenüber, so ist festzuhalten:

Sicherlich müssen sich Prüfung und Kontrolle auf die Veränderungen einstellen.

Der Einzug der Mikros in die Fachabteilungen darf nicht als isoliertes Einzelproblem, sondern als Teil des gesamten Informations- und Kontrollsystems eines Unternehmens betrachtet werden. Die Aktivitäten der Anwender sind auf ein überschaubares, kontrollierbares Maß zu bringen. Gleichermaßen wichtig ist aber die Managementunterstützung bei der künftigen, wirksamen Umsetzung der Ziele der DV-Revision. Das Management muß die Investitionen für die zukünftige Infrastruktur der Informationsverarbeitung sicherstellen. Diese Entscheidungen ohne ein Datenverarbeitungs-Rahmenkonzept zu treffen, ist fast unmöglich. Ein solches Rahmenkonzept muß strategische Aussagen liefern über: verteilte Informationsverarbeitung und Datenbanken, den geplanten Einsatz von Mikros, den Einsatz von End-user-Systemen, Büroautomation, Computer-lntegrated-Manufacturing und Netzunterstützung.

Mit einem Rahmenkonzept lassen sich Risikofelder eingrenzen, werden Prüfung und Kontrolle überschau- und durchführbar.

Alle Unternehmen, die mit der Entwicklung der Informations- und Kommunikationstechnologien Schritt halten wollen, sind gut beraten, wenn sie ein Projekt "Informationsmanagement" etablieren und hierzu kompetente Unterstützungsleistung hinzuziehen.

Wolfgang Haschke

Geschäftsführer der EDV-Controlling Unternehmensberatung (ECU) GmbH, Heppenheim

Der Einsatz der Mikrocomputer an den Arbeitsplätzen der Fachabteilungen, aber auch bei den Managern sämtlicher Ebenen schreitet stetig voran. Die technologische Entwicklung auf dem Gebiet der Bürokommunikation wird vorwiegend von den Arbeitsplatzcomputern getragen werden.

Wie sehen nun die Auswirkungen des Mikro-Einsatzes auf die EDV-Revision aus?

In der EDV-Revision werden die schon teilweise benutzten Bildschirmterminals immer mehr durch Mikros abgelöst werden, um noch unabhängiger und vor allem computergestützt prüfen zu können. Nur dadurch kann versucht werden, den zusätzlich auf die EDV-Revision zukommenden Prüfungsmehraufwand etwas zu kompensieren. Weitere Fachrevisionen (klassische oder allgemeine Revisionen) werden gezwungen werden, ihre vor allem mit Mikros gelösten EDV-Anwendungen selbst zu prüfen, weil es einfach immer noch zu wenige EDV-Revisoren beziehungsweise -Revisorinnen gibt. Von den schätzungsweise 5000 tätigen Revisoren in der Bundesrepublik sind höchstens 1200 in der Lage, EDV-Revisionen durchzufühen.

Die meisten davon finden bei Banken, Versicherungen und multinationalen Unternehmen statt. Ohne den zusätzlichen Bedarf infolge verstärkten Mikro-Einsatzes sollten aber in den nächsten Jahren mindestens 6000 EDV-Revisoren tätig werden. Diese Zahl ergibt sich, wenn erfahrungsgemäß auf rund 30 Personen in der Softwareherstellung inklusive -pflege und im Rechenzentrumsbetrieb ein EDV-Revisor kommen sollte - das Datenerfassungspersonal (zunehmend bei den Fachabteilungen) und die EDV-Koordinatoren sowie ähnliche Funktionen nicht mitgerechnet.

Zur Realisierung dieses beträchtlichen Zusatzbedarfes an EDV-Revisoren bietet sich nur eine systematische, praxisnahe Aus- und Weiterbildung - sowohl von Fachrevisoren zu "EDV-Anwendungsrevisoren" als auch von jungen Nachwuchskräften frisch von den Fach- und Hochschulen- an. Besonders anspruchsvolle EDV-Revisionspunkte, wie das Überprüfen und Beraten betreffend Planung des EDV-Einsatzes inklusive Mikro, Softwareengineering, Auslastung beziehungsweise Produktivität der Hardware, Kosten- und Leistungsverrechnung sowie Berichtswesen sollten bei Großunternehmen "EDV-Spezialrevisoren" überlassen bleiben. Diese werden größtenteils aus der Organisation und Datenverarbeitung selbst hervorgehen und große Zukunftschancen haben. Besonders die EDV-Spezialisten in der Internen Revision sollten vielmehr an Erfahrungsaustausch-Seminaren teilnehmen, an denen auch Themen zum Beispiel über Ordnungsmäßigkeits- und vor allem Sicherheitsprobleme bei Mikro-Einsatz unter wirtschaftlichen Gesichtspunkten behandelt werden, neben generell praktischen Erfahrungen über zentrale oder dezentrale EDV-Konzeptionen.

Unternehmen, die sich von ihrer Größe her keine eigene Interne Revision leisten können, sollten betreffend ihrer EDV-Revisionsprobleme bei zunehmendem Mikro-Einsatz auf hierfür spezialisierte Unternehmensberatungen zurückgreifen und ihnen nur festumrissene, zeitlich begrenzte Prüfungsaufträge übertragen.

Prof. Dr. A.-W. Schaer

Institut für Wirtschaftsinformatik, Universität Saarbrücken

Aufgrund des Wandels in der Datenverarbeitung werden von der Revision neue Prüfungsmethoden und ein qualifiziertes Know-how gefordert. Die kommerziellen Anwendungssysteme werden durch Dialogverarbeitung, Datenbankeinsatz, Vernetzung

von EDV-Systemen und Einsatz von Mikrocomputern zunehmend verändert.

Eine wichtige Komponente der Dialogverarbeitung ist die Regelung von Zugriffs- und Ausführungsrechten. Bisher wurden Zuständigkeiten für Verarbeitungsfunktionen

durch Institutionalisierung von Abteilungen und Unterabteilungen definiert. Dialogsysteme gestatten aber den bereichsübergreifenden Zugriff auf Daten und Verarbeitungen. Deshalb müssen die aufbauorganisatorischen Maßnahmen durch programmierte Regelungen ersetzt werden, die dann Gegenstand der Prüfung sein müssen.

Die Anzahl der manuellen Verarbeitungsschritte sowie der Umfang des Belegwesens und Belegtransports werden durch die Dialogverarbeitung geringer. Gleichzeitig werden die automatisierten Verarbeitungsprozesse komplexer. Ein Beispiel dafür ist die Möglichkeit, einzelne Verarbeitungsprozesse automatisch während der Dialogverarbeitung durch sogenannte Trigger-Funktionen auszulösen.

Der Einsatz von Datenbanksystemen verstärkt die Integration betriebswirtschaftlicher Teilbereiche und führt zu einer Verringerung manueller Bearbeitungen. Beispiel hierfür ist der Wegfall der noch oft anzutreffenden redundanten Datenerfassungen und Datenhaltung in einzelnen Funktionalbereichen.

Weiterhin nimmt der Umfang an programmierten Kontroll- und Sicherungsfunktionen bei Einsatz eines Datenbanksystems zu. Dialogverarbeitung und Datenbankeinsatz verstärken die Notwendigkeit einer Systemprüfung, bei der auch die Programme geprüft werden, da in diese ein großer Teil der bisher manuellen Verarbeitungsabläufe verlagert wird.

Die Vernetzung von DV-Systemen im lokalen Bereich einer Unternehmung und bei Unternehmungen mit mehreren Standorten hat sich aus dem Trend zur dezentralen Datenverarbeitung und der Büroautomatisierung entwickelt. Durch die Vernetzung der DV-Systeme entstehen neue Risiken, die neue Techniken der Benutzeridentifikation und -autorisation erforderlich machen. Die Verschlüsselung der Daten (Kryptographie) ist eine weitere notwendige Schutzmöglichkeit, um den Zugriff auf vertrauliche Daten zu erschweren.

Derzeit wirft der Einsatz von Mikrocomputern eine Vielzahl von Problemen hinsichtlich Datensicherung, Zugriffsregelungen und Datenverantwortung auf.

Der Einsatz von Mikrocomputern beschränkt sich nicht nur auf das Gebiet der Bürokommunikation und den Einsatz für Stand-alone-Anwendungen. Programme für eine Terminalemulation und Kopplungsmöglichkeiten zum Großrechner erlauben den Einsatz von Mikrocomputern als eigenständige Rechner und als Terminals des Großcomputers. Eine weitere Entwicklung ist die teilweise Auslagerung von Funktionen der bisher zentralen Anwendungen auf Mikrocomputer, Langfristig wird dafür eine einfache Übergabe von Code-Teilen vom Großrechner auf den Mikrocomputern zu erwarten sein, so daß Mikrocomputer als Zusatzprozessoren der Großrechner verwendet werden. Dieselbe Entwicklung zeichnet sich auch im Bereich der Datenverwaltung ab. Einige Datenbanksysteme sind heute bereits für den Großrechner und Mikrocomputer verfügbar. Zukünftig wird der Arbeitsplatzrechner sicherlich auch zu einem integrierten Bestandteil verteilter Datenbanksysteme werden.

Bezüglich des Einsatzes von Mikrocomputern wird es eine neue Aufgabe der Revision sein, deren Einbindung in ein Gesamtkonzept der Datenverarbeitung auf seine Sicherheit und Ordnungsmäßigkeit hin zu untersuchen.

Der Revision stellt sich aufgrund der vielfältigen Änderungen in der Datenverarbeitung die Forderung nach effizienten, umfassenden Prüfungsmethoden. Dabei muß die Revision die Möglichkeiten des Computereinsatzes für die Prüfung verstärkt berücksichtigen.

Die Abfragesprachen der Datenbanksysteme sind für die Datenprüfung ein hilfreiches Werkzeug.

Die Systemprüfung muß verstärkt auch die Prüfung von Programmen zum Inhalt haben. Die Prüfung besteht aus einer statischen und einer dynamischen Analyse der Programme. Inhalt der statischen Analyse ist die Untersuchung der Quellprogramme auf Schwachstellen im Kontrollfluß und fehleranfällige Programmkonstruktionen. In der dynamischen Analyse werden die Programme mit Testdaten ausgeführt. Die Prüfung der Programme kann in ihrer Produktionsumgebung oder einer eigens dafür geschaffenen Testumgebung erfolgen. Die erforderlichen Werkzeuge zur statischen und dynamischen Analyse von Programmen sind bisher nur ansatzweise verfügbar. Aus diesem Anlaß wurde am Institut für Wirtschaftsinformatik das System Epsos-D entwickelt. Mit diesem System kann ein Revisor Quellprogramme analysieren, Schwachstellen der Programmierung aufzeigen und für weitere Prüfungshandlungen entsprechend berücksichtigen. Neben dem Einsatz geeigneter Prüfungsmethoden und -werkzeuge ist von der Revision zusätzlich zum betriebswirtschaftlichen Wissen ein umfassendes Know-how über den Stand und die zukünftige Entwicklung der Datenverarbeitung gefordert. Dies ist gleichzeitig eine Herausforderung an die Universitäten für die Ausbildung der zukünftigen Revisoren.