Zur Titelseite

Immer noch aktuell: Zur Systemprüfung (aus CW 29/93)

Ordnungsmäßigkeitsprüfung der DV: Kombination zweier Verfahren bringt nützliche Erkenntnisse

Ein effektives DV-Controlling setzt voraus, dass als erstes die Ordnungsmäßigkeit der Datenverarbeitung insgesamt sichergestellt wird. Mit Hilfe einer DV-Systemprüfung kann ermittelt werden, inwieweit die Unternehmens-DV diese Voraussetzungen bereits erfüllt. Jürgen de Haas* zeigt, wie Kriterien einer ordnungsmäßigen DV festgelegt und überprüft werden können.

Stellen Sie sich vor, Sie treten Ihren Job als DV-Controller bei Ihrer neuen Firma an und machen Ihren ersten Rundgang durch die DV-Abteilung mit dem Org./DV-Chef. Stolz erzählt er Ihnen, so etwas wie Organigramme gebe es nicht, und jeder seiner Mitarbeiter könne und mache alles, wenn es darauf ankomme. In der Systementwicklung verzichte man bewusst auf jede Bürokratie und bediene seine Fachabteilungen quasi auf Zuruf. Neue Programme habe man dabei schon oft über Nacht in Produktion genommen, und es zahle sich aus, dass man nicht zuviel Zeit mit aufwendiger Dokumentation verschwende, die ohnehin am Folgetag schon veraltet wäre. Statt dessen realisiere man lieber mehr Programme für seine Anwender.

Auf Ihre Frage nach einer groben Übersicht bezüglich Software- und Hardwarelandschaft Ihres neuen Unternehmens winkt er ab. Sie sollen lieber am Nachmittag zu ihm kommen, da werde er Ihnen einen kurzen Überblick geben, da nur er die Zusammenhänge wirklich genau kenne und eine hervorragende Übersicht im Kopf habe.

Bei Ihrem Rundgang durchs Rechenzentrum treffen Sie auf einige emsige Mitarbeiter, die durch die weit offenstehenden Türen des Rechnerraums kommen und mehrere Stapel von Magnetbandkassetten bei sich tragen. "Wir machen die Datensicherung nur an Tagen mit besonders vielen Transaktionen", wird Ihnen kurz erläutert. Da aber noch nie etwas vorgefallen sei, habe man bis heute auf aufwendige Sicherungs- und Katastrophenpläne zum Glück verzichten können.

Sie kommen am Ende Ihres Rundgangs zu den Sachbearbeitern in der Buchhaltung. Da man den Mitarbeitern vertrauen könne, brauche man bisher keine überflüssigen Zugriffssicherungen, die die Anwender ja sowieso nur behinderten. Weiterhin seien die Sachbearbeiter so tüchtig, dass sie selbst das fehlerhafte Lohnprogramm jeden Monat wieder dazu bringen könnten, die Daten in die Finanzbuchhaltung (Fibu) zu überspielen. Zusätzliche Entwicklungskosten hierdurch wären nicht angefallen, da die Buchhaltung mittlerweile sogar ein Datenbank-Tool bedienen könne, um damit die Daten der Fibu notfalls direkt auf der Systemebene zu berichtigen, fährt der Org./DV-Chef fort. Sollte es dennoch Probleme geben, könnten er und seine Mitarbeiter über das von ihm selbst geschriebene Programm und preisgünstige Modems von zu Hause aus jederzeit überall eingreifen. Wie man sehe, habe er "seinen Laden" voll im Griff, und für Sie als neuen DV-Controller werde es wohl nicht viel zu tun geben, was er auch der Geschäftsleitung schon gesagt habe ...

So oder ähnlich könnte die Geschichte des neuen Mitarbeiters beginnen, dem die Aufgabe zugeteilt wird, nun endlich ein Controlling für die DV einzuführen. Ein Bündel von Maßnahmen ist gefragt, das die Planung und Steuerung dieses so schwer fassbaren Bereiches auf der Basis sicherer Informationen, Analysen und Kontrollen ermöglichen soll.

Niemand wird bestreiten, dass ein solches Unterfangen nur auf der Basis einer ordnungsmäßigen DV erfolgversprechend sein kann. Wie soll diese definiert werden, und wie kann man sie prüfen und sichern?

Um die ordnungsmäßige DV zu definieren, bedarf es eines kurzen Rückblicks auf den Ursprung dieses Begriffes. Ausgangspunkt war und ist die Ordnungsmäßigkeit der Buchführung, die vom Gesetzgeber als "Grundsätze ordnungsmäßiger Buchführung" (GoB) in der Abgabenordnung (AO) sowie dem Handelsgesetzbuch (HGB) gefordert wird.

Diese Anforderungen werden auch auf DV-gestützte Rechenwerke ausgedehnt, wobei die angewandten maschinellen und manuellen Verfahren sowie die daraus gewonnenen Aufzeichnungen eine vollständige, richtige, zeitgerechte, geordnete und für sachverständige Dritte nachvollziehbare Buchhaltung ergeben sollen. Durch Erlass der Finanzminister der Länder sowie des Bundesfinanzministeriums wurden 1978 zusätzlich "Grundsätze ordnungsmäßiger Speicherbuchführung" (GoS) herausgegeben, die nach heute herrschender Auffassung letztlich jede Form von DV-Buchführung regeln. (Anmerkung: Die GoS wurden 1995 durch den Erlass der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) abgelöst).

Aufgrund der rasanten Entwicklung der DV in den letzten Jahren und den damit verbundenen Veränderungen in den Unternehmensabläufen kann jedoch der Begriff der Buchhaltung heute nicht mehr eindeutig abgegrenzt werden. Durch umfassende Systemintegration sind die meisten Teilsysteme der kommerziellen DV mehr oder weniger Zuliefersysteme der Buchhaltung und unterliegen damit letztlich auch den Anforderungen der GoS (siehe Anmerkung oben). Aus deren Prinzipen werden damit zunehmend "Grundsätze ordungsmäßiger Datenverarbeitung" (GoD), die weite Bereiche der Unternehmens-DV umfassen.

Da die ursprünglichen Regelungen durch AO und HGB nur sehr pauschal waren, haben sich in der Zwischenzeit ausführliche Interpretationen herausgebildet, die neben den GoS auch Normen, Leitfäden oder fachliche Stellungnahmen wie die des Institutes der Wirtschaftsprüfer (IDW) umfassen. Der dort bestehende Fachausschuss für moderne Abrechnungssysteme (FAMA) stellt in seinen "Grundsätzen ordnungsmäßiger Buchführung bei computergestützten Verfahren und deren Prüfung" eine Vielzahl von Einzelaspekten zusammen.

Mag man die so definierte ordnungsmäßige DV nun als Voraussetzung für ein DV-Controlling akzeptieren, stellt sich doch immer noch die Frage, wie man sie prüft und sicherstellt. Ausgangspunkt hierfür ist die "DV-Systemprüfung", die, richtig abgewickelt, derartige Fragestellungen in der Regel beantworten kann. Ein Hauptaugenmerk ist dabei auf die Betrachtung des internen Kontrollsystems des Unternehmens zu legen. Von diesem hängt es ab, ob wesentliche Fehler oder auch nur fehlerhafte Darstellungen im DV-System rechtzeitig erkannt und verhindert werden können.

Eine Systemprüfung mit Betrachtung des internen Kontrollsystems kann heute nach verschiedensten Ansätzen erfolgen. Die großen Wirtschaftsprüfungsgesellschaften haben spezifische Methoden und Verfahren entwickelt, um die DV von Mandanten zu prüfen oder auch Testate für Standardsoftwarepakete zu erteilen. Diese Methoden, die aus dem ursprünglichen Bestreben heraus entstanden sind, die Jahresabschlüsse der Mandanten und damit die Ordnungsmäßigkeit des Rechnungswesens zu bestätigen, sind mittlerweile durch risikoorientierte Prüfungsansätze und den Einsatz spezifischer Prüfungssoftware recht umfassend anwendbar.

Für eine erste, allgemeinere Systemprüfung kann dagegen die bereits erwähnte Stellungnahme nach FAMA herangezogen werden. Wenn keine besonderen Schwerpunkte gesetzt sind, sollten folgende wesentlichen Bereiche grob untersucht werden:

  • Organisation, Verantwortungsbereiche, Funktionstrennung, Organisationsanweisungen und -richtlinien
  • Software und Hardwarelandschaft, Systemübersichten, Zusammenspiel von Anwendungen, Schnittstellen und Verfahrensdokumentationen.
  • Anwender, Kompetenzsystem und Zugriffsberechtigungen.
  • Software-Entwicklung und -wartung, Fachkonzeption und Dokumentation.
  • DV-Produktion, RZ-Betrieb, Datensicherung, Archivierung, Zugangsregelungen und Katastrophenplanung.
  • Kommunikation, Netzwerke, Netzzugang und -administration.
Eine erste derartige Bestandsaufnahme führt nach aller Erfahrung sehr schnell dazu, wesentliche Schwachstellen aufzudecken, die dann gezielt weiter untersucht werden können. Da die beschriebene Systemprüfung im wesentlichen als Verfahrensprüfung anzusehen ist, kann sich die Abrundung durch eine computergestützte Einzelfallprüfung empfehlen, bei der parallel Datenbankauswertungen mit spezifischer, vom Prüfer einzusetzender Prüfungssoftware erfolgen.

Durch eine derartige Kombination beider Verfahren können manchmal erstaunliche Zusatzergebnisse zu Tage gefördert werden. Dies gilt zum Beispiel dann, wenn die unternehmenseigenen Anwendungen und Dokumentationen keine Antworten auf spezielle Fragestellungen liefern können wie etwa nach den ältesten Forderungen oder den größten Debitoren.

Noch ein Wort zur Dokumentation von DV-Anwendungen, Verfahren oder organisatorischen Sachverhalten. Da in diesem Bereich regelmäßig Schwachstellen vorgefunden werden, sollte man nicht müde werden, darauf hinzuweisen, dass Dokumentation zwar lästig, jedoch für externe wie interne Zielgruppen ein unabdingbares Hilfsmittel ist, sich von der Funktionsweise, der Richtigkeit und Vollständigkeit von organisatorischen wie DV-Systemen zu überzeugen. In diesem Punkt hat der Prüfer genau dasselbe Interesse an Transparenz wie der Anwender oder der neue Mitarbeiter, dessen Einarbeitung und vertieftes Verständnis hierdurch nur gefördert werden kann.

Ein effektives DV-Controlling kann letztlich nur auf der Basis einer in den obigen Bereichen transparenten und ordnungsmäßigen DV erfolgen. Jeder hier bestehende Mangel muss sich zwangsläufig auch auf die Controlling-Möglichkeiten auswirken. Unser Eingangsszenario könnte ein verantwortungsbewusster DV-Controller lediglich als eine Horrorvision empfinden.

Als erfreulich ist in diesem Zusammenhang anzusehen, dass nach unserer Erfahrung die Verantwortlichen durchaus nicht nur abblocken, wenn ein Hinweis auf Schwachstellen erfolgt. Oft sind statt dessen wesentliche Verbesserungen in kurzer Zeit zu beobachten, die auf Basis der zu jeder Feststellung regelmäßig abgegebenen Empfehlung erfolgen. Auch der DV-Controller kann diese Erfahrung nutzen: Eine qualitativ hochwertige Systemprüfung, im Vorfeld durchgeführt von möglichst externen und damit nicht betriebsblinden Beratern, kann sein ganz persönlicher Einstieg in ein erfolgreiches DV-Controlling werden.

Weitere Infos anfordern