Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

18.01.1980

Prüfungsstrategien der DV-Revision

Hans-Jürgen Fischer, Leiter der Revisionsabteilung bei der Hamburgischen Electricitäts-Werke AG

Mit dem Einsatz der DV für die Lösung betrieblicher Aufgaben wurde auch die interne Revision vor eine Vielzahl neuer Probleme gestellt. Für die Prüfung der Ordnungsmäßigkeit und Sicherheit von computergestützten Ablaufen aus externen und internen Gründen mußten neue Strategien entwickelt und an den jeweiligen Stand von Hard- und Software angepaßt werden. Darüber hinaus wurde es auch erforderlich, die Anforderungskriterien an die Arbeitsabläufe neu zu artikulieren. Neben der Sicherung der Grundsätze ordnungsgemäßer Buchführung (GOB) mußten vor allem die Bestimmungsfaktoren für wirksame Kontrollsysteme neu definiert und in Zusammenarbeit mit den Fachbereichen in die Praxis umgesetzt werden. Die in den Anfingen der DV noch einsetzbare Technik der "Prüfung um den Computer herum" konnte kaum noch als effizientes Prüfungsverfahren herangezogen werden. Nur die "Prüfung durch den Computer hindurch" führte zu aussagekräftigen Prüfungsergebnissen.

System- und Programmprüfung

Kernstück der gegenwärtigen Prüfungstechniken sind System und Programmprüfung. Die Systemprüfung soll als formelle Verfahrensprüfung auf der Basis der Dokumentationsunterlagen das Ablaufsystem nach den Kriterien Ordnungsmaßigkeit und Sicherheit durchleuchten; mit der Programmprüfung wird speziell das eingesetzte Programm in Richtung sichere Verarbeitung beurteilt. Das geschieht beim heutigen Stand der Prüfungstechnik hauptsächlich in Form einer Testfallprüfung zumeist auf der Basis eigener Testfälle der DV-Revision (Prüflauf). In letzter Zeit gewinnt aber auch die sachlogische Programmprüfung (Tischtest) unter Zugrundelegung der jeweils aktuellen Umwandlungslisten an Bedeutung, vorrangig für die Prüfung des installierten Kontrollsystems (programmierte Kontrollen).

Verlagerung des Prüfungszeitpunktes

Die Neuorientierung führte konsequenterweise auch zur Frage nach dem zweckmäßigsten Prüfungszeitpunkt. In der Ausgangslage wurden DV-Prüfungen zunächst generell als ex post-Prüfungen durchgeführt (klassische Revision). Die Prüfungshandlungen des Revisors bezogen sich dabei zeitlich gesehen auf den Nachvollzug bereits eingesetzter Ablaufsysteme oder erledigter Vorgänge. Beanstandungen wurden mit den Bereichen besprochen und nachträgliche Änderungen der Arbeitsabläufe veranlaßt.

Mit zunehmender Integrationswirkung der DV sowie der damit verbundenen Komplexität der Arbeitsabläufe verstärkte sich die Forderung nach einer zeitlichen Vorverlagerung der Prüfungshandlungen, um in erster Linie aus wirtschaftlichen Überlegungen heraus den oft höheren Aufwand für nachträgliche Verfahrensänderungen zu vermeiden. Die Technik der projektbegleitenden DV Revision oder auch ex ante Prüfung stand am Beginn ihrer Entwicklung.

Ex ante-Prüfung hat ihren Stellenwert

Inzwischen liegen erste Praxiserfahrungen vor. Danach ist die ursprüngliche Euphorie der theoretischen Diskussion über die Vorteile der ex ante-Prüfung zwar einer nüchternen Betrachtungsweise gewichen. Dennoch hat die ex ante-Prüfung heute durchaus ihren Stellenwert. Es hat sich gezeigt, daß insbesondere für sensitive und komplexe Ablaufsysteme die projektbegleitende Prüfung entscheidende Vorteile bietet. Diese liegen vor allem in der rechtzeitigen Diskussion von Revisionsanforderungen mit den zuständigen Fachbereichen. Damit können die wichtigsten Kontroll- beziehungsweise Ordnungsmäßigkeitsanforderungen aus dem Blickwinkel der DV-Revision bereits im Rahmen der Planungs- und Entwicklungsphase des Projektes berucksichtigt werden. Dies ist der entscheidende Ansatzpunkt. Speziell unter dem Aspekt des Datenschutzes (Sicherung einer ordnungsgemäßen Programmanwendung gemäß °29, Abs. 2, BDSG) wird die ex ante-Prüfung auch als mögliche Dienstleistung der DV-Revision für den Datenschutzbeauftragten von zunehmender Bedeutung. Heute setzt sich mehr und mehr die Erkenntnis durch, daß die rechtzeitige Einbringung und Diskussion von Revisionsforderungen für alle Beteiligten von Nutzen ist. Jedoch ist eine effiziente ex ante-Prüfung an einige "Spielregeln" gebunden:

Projektbegleitende Dokumentation

Wenn auch die Anforderungen hinsichtlich Inhalt und Umfang einer schlüssigen und vollständigen Dokumentation aus dem jeweils unternehmensspezifischen Blickwinkel heraus zu betrachten sind, so wird ihre Notwendigkeit im Grundsatz heute von keiner Seite mehr bestritten. Für die projektbegleitende Revision muß die Dokumentation allerdings zusätzlich ebenfalls projektbegleitend fortgeschrieben werden. Nur dann können die Vorteile der ex ante-Prüfung auch wirklich sinnvoll genutzt werden. Aus diesen Perspektiven heraus wird von der DV-Revision die Einführung von Dokumentationssystemen durch die DV-Bereiche begrüßt.

Informationsfluß

Für eine sinnvolle, vor allem aber wirtschaftlich zu realisierende ex ante-Prüfung ist die Sicherung des Informationsflusses zwischen der DV-Revision und dem Projektmanagement ebenfalls wesentlich. Sowohl für langfristige Entwicklungsperspektiven als auch kurzfristige Situationberichte der jeweils zuständigen Projektgruppe über den Entwicklungsstand des Projektes sollten die Verfahrensweisen für die Informationssicherung abgestimmt werden. Je besser das gegenseitige Informationsniveau entwickelt wird, um so reibungsloser und damit erfolgversprechender das Gesamtergebnis. Die in der Praxis heute noch anzutreffenden Animositäten zwischen DV-Revision und DV-Bereich dienen letztlich nicht der Sache und sollten durch Zusammenarbeit ausgeschaltet werden.

Prüfungsschnittstellen

Die zweckmäßigsten Schnittstellen für den Prüfungseinstieg sind mit der Projektgruppe zu diskutieren und während der Planungsphasen für das Projekt rechtzeitig abzustimmen und festzulegen. Mit einer systematischen und planungsmäßig angelegten ex ante-Prüfung soll vor allem die reibungslose Einbindung der Prüfungsphase in die Projektentwicklung erreicht werden. Dafür müssen seitens der Projektgruppe auch die entsprechenden Zeitpuffer vorgesehen werden. Die notwendigen Prüfungsphasen sollten zu einem zwingenden Bestandteil der projektspezifischen Gesamtplanung werden.

Klare Entscheidungskompetenzen

Projektbegleitende Revisionsaktivitäten dürfen zu keiner Verwässerung der Entscheidungskompetenzen führen. Diese müssen unabdingbar beim Projektmanagement verbleiben. Als prozeßunabhängige Prüfungsinstanz sollte die DV-Revision besonders bei projektbegleitenden Prüfungen klar und eindeutig ihren Beratungscharakter betonen und herausstellen und sich nicht in Entscheidungskompetenzen hineindrängen.

DV-Revision und DV-Bereiche sollten also bereits in der Planungs- und Entwicklungsphase eng zusammenarbeiten, um die immer schwieriger werdenden Sicherheitsprobleme optimal zu lösen.