Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

03.04.1987 - 

In die Diskussion um die Software-Gütesiegel jetzt auch Wirtschaftsprüfer eingebunden:

Anwender fordern neutrale Kontrollinstanz

Die Diskussion über Softwarequalität und Gütesiegel verstärkt bei vielen Anwendern den Wunsch nach einer unabhängigen Kontrollinstanz. Kraft ihrer vom Gesetz definierten Position sind hier die Wirtschaftsprüfer auf den Plan gerufen. Dieter Kempf* und Heinz Hanisch* zeigen in ihrem Beitrag auf, welche Inhalte und Ergebnisse eine isolierte Prüfung von Software für das Rechnungswesen haben kann.

Die EDV-Prüfung ist im wesentlichen eine System- oder Verfahrensprüfung, die je nach Qualität des internen Kontrollsystems der Unternehmung durch eine mehr oder weniger umfangreiche Einzelfallprüfung ergänzt wird. Sie erstreckt sich auf drei Ebenen, nämlich die organisatorische, programmierte und Ebene. Somit werden auch die Anwendungsprogramme als wesentlicher Bestandteil des Verarbeitungs- und des Kontrollsystems geprüft. Die Prüfung erstreckt sich sowohl auf die Programmfunktion als auch die Programmidentität.

Bei einer isolierten Prüfung von Software - also nicht im Rahmen von Abschlußprüfungen - zum Zweck der Erteilung eines "Gütesiegels" kommt es zwangsläufig zu einer Beschränkung auf die Prüfung der Programmfunktion und die programmierte Ebene. Das interne Kontrollsystem des Anwender-Unternehmens bleibt auf organisatorischer und systeminterner Ebene außer Betracht. Dies stellt eine bedeutende Einschränkung der Aussagefähigkeit der isolierten Prüfung dar, da das interne Kontrollsystem außerhalb des eigentlichen Anwendungsprogramms einen erheblichen Beitrag zur Ordnungsmäßigkeit der Verarbeitung leistet.

Rechnungswesenprogramme, und auf solche beschränken sich diese Ausführungen, müssen als obersten Maßstab die Grundsätze ordnungsmäßiger Buchführung (GoB) erfüllen. Diese haben sich im Laufe der Zeit aus der betriebswirtschaftlichen Praxis, der Rechtsprechung, der Gesetzgebung und der Wissenschaft entwickelt. Im einzelnen handelt es sich um die Grundsätze der Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, Sicherheit und Prüfbarkeit. Sie sollen im folgenden kurz dargelegt und unter Prüfungsgesichtspunkten betrachtet werden.

Vollständigkeit

Im Hinblick auf den Grundsatz der Vonständigkeit ist zu prüfen, welche Maßnahmen und Kontrollfunktionen innerhalb des Programms vorgesehen sind, um eine vollständige Verarbeitung, Speicherung und Weitergabe der Daten zu gewährleisten. Ferner ist zu kontrollieren, ob die vorhandenen Maßnahmen wirksam sind. Beispielhaft seien hier als Möglichkeiten genannt: Folgekontrollen, Parity-Checks, Null-, Überlauf- und Dateizuordnungskontrollen sowie Schnittstellenkontrollsummen, Wiederanlaufverfahren und -kontrollen, Batch- oder Hash-Totals.

Richtigkeit

Die sachliche Richtigkeit der Verarbeitung wird in der Regel durch Testdatensätze geprüft, die vom Wirtschaftsprüfer aufgrund seiner Sachkenntnis des betrieblichen Rechnungswesens im Hinblick auf die jeweilige Aufgabenstellung des zu prüfenden Programms entwickelt werden.

Daneben ist zu kontrollieren, inwieweit das Programm die Richtigkeit der Verarbeitung durch programmierte Kontrollen bei Eingabe, Verarbeitung und Ausgabe der Daten unterstützt. Dies kann zum Beispiel geschehen durch die Programmierung von Prüfziffern, Prüfbuchstaben und durch Plausibilitätsprüfungen, die von der Aufgabenstellung abhängig sind.

Zeitgerechtigkeit

Prüfungsgegenstand ist hier die Frage, inwieweit das Programm die Forderung nach zeitgerechter Arbeit unterstützt, es geht also unter anderem um folgende Fragen:

- Wie reagiert das Programm, wenn Buchungs-, Freigabe-, Programmlaufdaten (wie Fakturalauf) voneinander abweichen (zum Beispiel Buchungsdatum älter als Tagesdatum)?

- Wann erfolgt die Übergabe von Sammelbuchungen an Hauptbuch/ Abschluß?

- Enthält der Abschluß alle Transaktionen des Zeitraums?

- Was enthält die Sicherungsdatei des Abschlußzeitraums?

Ein wesentlicher Aspekt in diesem Zusammenhang ist die von vielen Programmprüfungen nicht beachtete Problematik von Rumpfgeschäftsjahren oder vom Kalenderjahr abweichenden Wirtschaftsjahren sowie die Berücksichtigung von "ungewöhnlichen Zeiträumen für Zwischenabschlüsse oder Planungsperioden. So ist zum Beispiel die Berücksichtigung von Dekaden als Planungsperiode beziehungsweise als Zeitraum für Zwischenabschlüsse eine Standardanforderung japanischer Unternehmen.

Sicherheit

Bei einer isolierten Programmprüfung geht es im wesentlichen um Zugriffssicherheit auf Daten und Programme. Problematisch kann hierbei der Einfluß des Betriebssystems sein. Im Zweifel sind die entsprechenden Betriebssystemfunktionen in die Prüfung miteinzubeziehen. Soweit dies wegen der unterschiedlichen Betriebssystem-Umgebungen, in denen das Anwendungsprogramm installiert sein kann, nicht möglich ist, müssen die nicht prüfbaren positiven und negativen Konsequenzen auf die Sicherheit im abschließenden Prüfungsbericht explizit erwähnt werden. Gegebenenfalls ist darauf hinzuweisen, daß eine abschließende Beurteilung des Aspekts der Sicherheit nur im Rahmen der tatsächlichen Installation geprüft werden kann.

Prüfungsgegenstand sind zum Beispiel die Nutzung und der Aufbau von Berechtigungstabellen und -hierachien sowie Password-Systeme. Wichtig ist insbesondere, daß im Rahmen der Prüfung festgestellt wird, welche Teile zwingend und welche optional sind. Entsprechende Hinweise müssen ebenfalls unbedingt im Prüfungsbericht enthalten sein.

Auf Standardfragen im Rahmen einer Systemprüfung, wie zum Beispiel die Verarbeitungsorganisation und deren internes Kontrollsystem, die die Verfahrens- und Betriebssicherheit wesentlich beeinflussen, kann wegen der isolierten Betrachtungen nicht eingegangen werden.

Prüfbarkeit

Leitlinie der Beurteilung der Prüfbarkeit ist die Frage, ob sich ein "sachverständiger Dritter in angemessener Zeit" einen Eindruck von den Leistungen und Kontrollen des Programms verschaffen kann, wie dies gesetzlich gefordert wird. Hierbei ist zu kontrollieren, ob eine ordnungsgemäße Dokumentation mitgeliefert wird, das heißt ob die Dokumentation vollständig, übersichtlich (strukturiert), durchsichtig (eindeutige Gestaltung und Zuordnung, Querverweise), zeitgerecht (auf aktuellem Stand) und prüfbar ist. Ein Aspekt, auf den besonders einzugehen ist, liegt vor, wenn in der Anwendungssoftware bereits eine sogenannte Musterfirma mit allen programmspezifischen Daten und Strukturen angelegt ist. Derartige Musterfirmen können vom Benutzer für Lern- und Trainingszwecke benutzt werden; eventuell lassen sich Datenstrukturen auch direkt auf das eigene Unternehmen übertragen. Daten dieser Musterfirmen können ferner zur Prüfung der Revisionsfähigkeit des Systems verwendet werden, ohne dabei Gefahr zu laufen, daß tatsächliche Unternehmensdaten beeinflußt oder verändert werden.

Darüber hinaus ist auf die Frage einzugehen, inwieweit ein progressiver oder retrograder Prüfungspfad durch den Buchungsstoff für Zwecke der Jahresabschlußprüfung hergestellt werden kann. Hierzu sind die Abstimmungskreise zu betrachten, die auch zur Gewährleistung der Vollständigkeit (Kontrollsummen) dienen können.

Über die durchgeführten Prüfungshandlungen und -ergebnisse erstattet der Wirtschaftsprüfer regelmäßig einen Prüfungsbericht, der wie folgt gegliedert sein könnte:

Gliederung des Prüfberichts

I. Auftrag und Auftragsdurchführung

1. Auftrag

2. Art und Umfang der Prüfungshandlungen

II. Prüfungshandlungen und Ergebnisse im einzelnen

1. Maßstab Grundsätze ordnungsgemäßer Buchführung

2. Untersuchung der einzelnen Aspekte der GoB

a) Vollständigkeit

b) Richtigkeit

c) Zeitgerechtigkeit

d) Sicherheit

e) Prüfbarkeit

III. Prüfungsergebnis und Prüfungsvermerk (Testat)

IV. Anhang

1. Liste des bei der Prüfung vorliegenden Materials

2. Informationen über das Programm

Der Prüfungsbericht müßte im Anhang einige weitere Informationen enthalten, die für den Käufer der testierten Software von Interesse sind. Hier sollten zum Beispiel die teilweise schon bei den Einzelergebnissen beschriebenen Daten des Programms noch einmal übersichtlich ohne Bewertung aufgelistet werden. In Frage kämen unter anderem folgende Informationen:

- Programmiersprache;

- Verfügbarkeit von Quell-/Objektcode für den Benutzer;

- Kopierschutz;

- unter welchen Betriebssystemen läuft das Programm;

- wie sind die Hardware-Anforderungen;

- Anzahl der bisherigen Installationen;

- Verarbeitungsart (Batch/Dialog);

- Angaben zur Installation der Software, zum Beispiel Anpassung an individuelle Benutzerbedürfnisse, Parametrisierungsgrad und Verfügbarkeit von Reportgeneratoren;

- Dokumentationsumfang;

- Fehlerprotokolle

- Edit-Routinen;

- Zugriffskontrollen;

- Schnittstellen zu anderen Programmen;

- Datensicherungsunterstützung.

Es versteht sich von selbst, daß der Prüfungsbericht im Detail beschreiben muß, welche Version (Release) eines Programmpaketes in welcher Betriebssystem- und Hardware-Umgebung getestet wurde.

Im Prüfungsvermerk muß darauf hingewiesen werden, daß eine Programmprüfung unter "Laborbedingungen" statt in der tatsächlichen Unternehmensumgebung zwangsläufig nicht die systeminternen und organisatorischen Ebenen des internen Kontrollsystems miteinbeziehen kann, so daß eine umfassende Beurteilung der Ordnungsmäßigkeit der letztendlich installierten Version nicht möglich ist.

Da wir uns zur Zeit an der Schnittstelle zwischen altem und neuem Handelsrecht (Bilanzrichtliniengesetz) befinden, ist unbedingt darauf einzugehen, ob und inwieweit die geprüfte Software die Anforderungen des neuen Bilanzrechts erfüllt oder an diese Anforderungen angepaßt werden kann.

Schließlich wird der Wirtschaftsprüfer den Auftraggeber bereits bei der Auftragsvergabe beziehungsweise bei der Auftragsbestätigung darauf hinweisen, daß auch in diesem Bereich die Richtlinien des Berufsstandes der Wirtschaftsprüfer einzuhalten sind.

Insbesondere beim Prüfungsvermerk ist weder dem potentiellen Benutzer noch dem Auftraggeber geholfen, wenn möglichst umfassende, dafür aber wenig aussagekräftige Pauschalurteile abgegeben werden. Eine stichwortartige Auflistung von Stärken und Schwächen eines Programms im Hinblick auf die gewählten Prüfungsziele mit Querverweisen zu den detailliert beschriebenen Prüfungshandlungen und Prüfungsergebnissen erscheint wesentlich sachgerechter.

Frühzeitiges Werben mit Gütesiegein ausschließen

Der Auftraggeber hat sich schließlich zu verpflichten, in allen Werbeveröffentlichungen nur in einer vom Wirtschaftsprüfer gebilligten Form auf die Prüfung hinzuweisen und dem ernsthaften Interessenten auf Anfrage eine Kopie des Prüfungsberichts zur Verfügung zu stellen.

Hierdurch wird auch ein frühzeitiges Werben mit Prüfzeichen oder "Gütesiegeln" weitgehend ausgeschlossen, da der Kaufinteressent sich in der Regel nicht damit zufriedengeben, sondern seine Kaufentscheidung von einer Einsichtnahme in den detaillierten Prüfungsbericht abhängig machen wird.

*Dieter Kempf ist Leiter der Computer Auditing and Consulting Group der Arthur Young GmbH Wirtschaftsprüfergesellschaft, München. Dr. Heinz Hanisch ist stellvertretender Leiter dieser Abteilung.