Ein effektives DV-Controlling setzt voraus, dass als erstes die Ordnungsmaessigkeit der Datenverarbeitung insgesamt sichergestellt wird. Mit Hilfe einer DV-Systempruefung kann ermittelt werden, inwieweit die Unternehmens-DV diese Voraussetzungen bereits erfuellt. Juergen de Haas* zeigt, wie Kriterien einer ordnungsmaessigen DV festgelegt und ueberprueft werden koennen.

*Juergen de Haas ist Geschaeftsfuehrer der Kontext Unternehmensberatung fuer Problemanalysen und DV-Einsatz GmbH in Anzing bei Muenchen.

Stellen Sie sich vor, Sie treten Ihren Job als DV-Controller bei Ihrer neuen Firma an und machen Ihren ersten Rundgang durch die DV-Abteilung mit dem Org./DV-Chef.

Stolz erzaehlt er Ihnen, so etwas wie Organigramme gebe es nicht, und jeder seiner Mitarbeiter koenne und mache alles, wenn es darauf ankomme. In der Systementwicklung verzichte man bewusst auf jede Buerokratie und bediene seine Fachabteilungen quasi auf Zuruf. Neue Programme habe man dabei schon oft ueber Nacht in Produktion genommen, und es zahle sich aus, dass man nicht zuviel Zeit mit aufwendiger Dokumentation verschwende, die ohnehin am Folgetag schon veraltet waere. Statt dessen realisiere man lieber mehr Programme fuer seine Anwender.

Auf Ihre Frage nach einer groben Uebersicht bezueglich Software- und Hardwarelandschaft Ihres neuen Unternehmens winkt er ab. Sie sollen lieber am Nachmittag zu ihm kommen, da werde er Ihnen einen kurzen Ueberblick geben, da nur er die Zusammenhaenge wirklich genau kenne und eine hervorragende Uebersicht im Kopf habe.

Bei Ihrem Rundgang durchs Rechenzentrum treffen Sie auf einige emsige Mitarbeiter, die durch die weit offenstehenden Tueren des Rechnerraums kommen und mehrere Stapel von Magnetbandkassetten bei sich tragen. "Wir machen die Datensicherung nur an Tagen mit besonders vielen Transaktionen", wird Ihnen kurz erlaeutert. Da aber noch nie etwas vorgefallen sei, habe man bis heute auf aufwendige Sicherungs- und Katastrophenplaene zum Glueck verzichten koennen.

Sie kommen am Ende Ihres Rundgangs zu den Sachbearbeitern in der Buchhaltung. Da man den Mitarbeitern vertrauen koenne, brauche man bisher keine ueberfluessigen Zugriffssicherungen, die die Anwender ja sowieso nur behinderten. Weiterhin seien die Sachbearbeiter so tuechtig, dass sie selbst das fehlerhafte Lohnprogramm jeden Monat wieder dazu bringen koennten, die Daten in die Finanzbuchhaltung (Fibu) zu ueberspielen.

Zusaetzliche Entwicklungskosten hierdurch waeren nicht angefallen, da die Buchhaltung mittlerweile sogar ein Datenbank-Tool bedienen koenne, um damit die Daten der Fibu notfalls direkt auf der Systemebene zu berichtigen, faehrt der Org./DV-Chef fort.

Sollte es dennoch Probleme geben, koennten er und seine Mitarbeiter ueber das von ihm selbst geschriebene Programm und preisguenstige Modems von zu Hause aus jederzeit ueberall eingreifen. Wie man sehe, habe er "seinen Laden" voll im Griff, und fuer Sie als neuen DV-Controller werde es wohl nicht viel zu tun geben, was er auch der Geschaeftsleitung schon gesagt habe ...

So oder aehnlich koennte die Geschichte des neuen Mitarbeiters beginnen, dem die Aufgabe zugeteilt wird, nun endlich ein Controlling fuer die DV einzufuehren.

Ein Buendel von Massnahmen ist gefragt, das die Planung und Steuerung dieses so schwer fassbaren Bereiches auf der Basis sicherer Informationen, Analysen und Kontrollen ermoeglichen soll.

Niemand wird bestreiten, dass ein solches Unterfangen nur auf der Basis einer ordnungsmaessigen DV erfolgversprechend sein kann. Wie soll diese definiert werden, und wie kann man sie pruefen und sichern?

Um die ordnungsmaessige DV zu definieren, bedarf es eines kurzen Rueckblicks auf den Ursprung dieses Begriffes. Ausgangspunkt war und ist die Ordnungsmaessigkeit der Buchfuehrung, die vom Gesetzgeber als "Grundsaetze ordnungsmaessiger Buchfuehrung" (GoB) in der Abgabenordnung (AO) sowie dem Handelsgesetzbuch (HGB) gefordert wird.

Diese Anforderungen werden auch auf DV-gestuetzte Rechenwerke ausgedehnt, wobei die angewandten maschinellen und manuellen Verfahren sowie die daraus gewonnenen Aufzeichnungen eine vollstaendige, richtige, zeitgerechte, geordnete und fuer sachverstaendige Dritte nachvollziehbare Buchhaltung ergeben sollen. Durch Erlass der Finanzminister der Laender sowie des Bundesfinanzministeriums wurden 1978 zusaetzlich "Grundsaetze ordnungsmaessiger Speicherbuchfuehrung" (GoS) herausgegeben, die nach heute herrschender Auffassung letztlich jede Form von DV- Buchfuehrung regeln.

Flie Aufgrund der rasanten Entwicklung der DV in den letzten Jahren und den damit verbundenen Veraenderungen in den Unternehmensablaeufen kann jedoch der Begriff der Buchhaltung heute nicht mehr eindeutig abgegrenzt werden. Durch umfassende Systemintegration sind die meisten Teilsysteme der kommerziellen DV mehr oder weniger Zuliefersysteme der Buchhaltung und unterliegen damit letztlich auch den Anforderungen der GoS. Aus deren Prinzipen werden damit zunehmend "Grundsaetze ordungsmaessiger Datenverarbeitung" (GoD), die weite Bereiche der Unternehmens-DV umfassen.

Da die urspruenglichen Regelungen durch AO und HGB nur sehr pauschal waren, haben sich in der Zwischenzeit ausfuehrliche Interpretationen herausgebildet, die neben den GoS auch Normen, Leitfaeden oder fachliche Stellungnahmen wie die des Institutes der Wirtschaftspruefer (IDW) umfassen. Der dort bestehende Fachausschuss fuer moderne Abrechnungssysteme (Fama) stellt in seinen "Grundsaetzen ordnungsmaessiger Buchfuehrung bei computergestuetzten Verfahren und deren Pruefung" eine Vielzahl von Einzelaspekten zusammen.

Mag man die so definierte ordnungsmaessige DV nun als Voraussetzung fuer ein DV-Controlling akzeptieren, stellt sich doch immer noch die Frage, wie man sie prueft und sicherstellt.

Ausgangspunkt hierfuer ist die "DV-Systempruefung", die, richtig abgewickelt, derartige Fragestellungen in der Regel beantworten kann. Ein Hauptaugenmerk ist dabei auf die Betrachtung des internen Kontrollsystems des Unternehmens zu legen. Von diesem haengt es ab, ob wesentliche Fehler oder auch nur fehlerhafte Darstellungen im DV-System rechtzeitig erkannt und verhindert werden koennen.

Eine Systempruefung mit Betrachtung des internen Kontrollsystems kann heute nach verschiedensten Ansaetzen erfolgen. Die grossen Wirtschaftspruefungsgesellschaften haben spezifische Methoden und Verfahren entwickelt, um die DV von Mandanten zu pruefen oder auch Testate fuer Standardsoftwarepakete zu erteilen. Diese Methoden, die aus dem urspruenglichen Bestreben heraus entstanden sind, die Jahresabschluesse der Mandanten und damit die Ordnungsmaessigkeit des Rechnungswesens zu bestaetigen, sind mittlerweile durch risikoorientierte Pruefungsansaetze und den Einsatz spezifischer Pruefungssoftware recht umfassend anwendbar.

Fuer eine erste, allgemeinere Systempruefung kann dagegen die bereits erwaehnte Stellungnahme nach Fama herangezogen werden. Wenn keine besonderen Schwerpunkte gesetzt sind, sollten folgende wesentlichen Bereiche grob untersucht werden:

- Organisation, Verantwortungsbereiche, Funktionstrennung, Organisationsanweisungen und -richtlinien

- Software und Hardwarelandschaft, Systemuebersichten, Zusammenspiel von Anwendungen, Schnittstellen und Verfahrensdokumentationen.

- Anwender, Kompetenzsystem und Zugriffsberechtigungen.

- Software-Entwicklung und

-wartung, Fachkonzeption und Dokumentation.

- DV-Produktion, RZ-Betrieb, Datensicherung, Archivierung, Zugangsregelungen und Katastrophenplanung.

- Kommunikation, Netzwerke, Netzzugang und -administration.

Eine erste derartige Bestandsaufnahme fuehrt nach aller Erfahrung sehr schnell dazu, wesentliche Schwachstellen aufzudecken, die dann gezielt weiter untersucht werden koennen.

Da die beschriebene Systempruefung im wesentlichen als Verfahrenspruefung anzusehen ist, kann sich die Abrundung durch eine computergestuetzte Einzelfallpruefung empfehlen, bei der parallel Datenbankauswertungen mit spezifischer, vom Pruefer einzusetzender Pruefungssoftware erfolgen. Durch eine derartige Kombination beider Verfahren koennen manchmal erstaunliche Zusatzergebnisse zu Tage gefoerdert werden. Dies gilt zum Beispiel dann, wenn die unternehmenseigenen Anwendungen und Dokumentationen keine Antworten auf spezielle Fragestellungen liefern koennen wie etwa nach den aeltesten Forderungen oder den groessten Debitoren.

Noch ein Wort zur Dokumentation von DV-Anwendungen, Verfahren oder organisatorischen Sachverhalten. Da in diesem Bereich regelmaessig Schwachstellen vorgefunden werden, sollte man nicht muede werden, darauf hinzuweisen, dass Dokumentation zwar laestig, jedoch fuer externe wie interne Zielgruppen ein unabdingbares Hilfsmittel ist, sich von der Funktionsweise, der Richtigkeit und Vollstaendigkeit von organisatorischen wie DV-Systemen zu ueberzeugen. In diesem Punkt hat der Pruefer genau dasselbe Interesse an Transparenz wie der Anwender oder der neue Mitarbeiter, dessen Einarbeitung und vertieftes Verstaendnis hierdurch nur gefoerdert werden kann.

Ein effektives DV-Controlling kann letztlich nur auf der Basis einer in den obigen Bereichen transparenten und ordnungsmaessigen DV erfolgen. Jeder hier bestehende Mangel muss sich zwangslaeufig auch auf die Controlling-Moeglichkeiten auswirken. Unser Eingangsszenario koennte ein verantwortungsbewusster DV-Controller lediglich als eine Horrorvision empfinden.

Als erfreulich ist in diesem Zusammenhang anzusehen, dass nach unserer Erfahrung die Verantwortlichen durchaus nicht nur abblocken, wenn ein Hinweis auf Schwachstellen erfolgt. Oft sind statt dessen wesentliche Verbesserungen in kurzer Zeit zu beobachten, die auf Basis der zu jeder Feststellung regelmaessig abgegebenen Empfehlung erfolgen.

Auch der DV-Controller kann diese Erfahrung nutzen: Eine qualitativ hochwertige Systempruefung, im Vorfeld durchgefuehrt von moeglichst externen und damit nicht betriebsblinden Beratern, kann sein ganz persoenlicher Einstieg in ein erfolgreiches DV- Controlling werden.