1992/12/31 Datenschutz und EDV-Revision
DIR Mit dem Buch "Arbeitshandbuch für die Revision von EDV-Systemen" wurde die Publikation "Revision von EDV-Systemen" (1986...
Mit dem Buch "Arbeitshandbuch für die Revision von EDV-Systemen" wurde die Publikation "Revision von EDV-Systemen" (1986) auf den letzten Stand gebracht. Das Buch beschreibt im wesentlichen die Revision einer IBM-Großanlage in einem Geldinstitut. Schwerpunkt dieser Revision ist die Prüfung derExistenz geeigneter organisatorischer Bestimmungen und Abläufe. Damit sind die Stärken und Schwächen dieser Publikation beschrieben.
(1) Eigentlich ist das Buch kein "Arbeitshandbuch für die Revision" sondern nur eines für einen bestimmten EDV-Typ (Großrechner, Batch-Operationen, einfache Transaktionen, Massen-EDV-Geschäft).
(2) Eigentlich ist es kein "Arbeitshandbuch", sondern ein - sehr gelungener - Bericht über die eigene Prüftätigkeit.
(3) Die Konzentration auf "organisatorische Prüffelder" bedingt den Rückzug auf die Prüfung der Einhaltung formaler Prüfkriterien. Unter 46.20.000. schreiben die Autoren: "Bei der Programmprüfung müssen wir davon ausgehen, daß eine formelle Prüfung der Verarbeitungsprogramme keine absoluteSicherheit dafür bietet, daß die Programmergebnisse tatsächlich richtig sind. Deshalb wird die Systemprüfung in den meisten Fällen durch eine materielle Prüfung einzelner Geschäftsfälle zu ergänzen sein." Zu diesen, zugegeben sehr zeitaufwendigen materiellen Prüfungen schweigt sich das Buch aus(obwohl es derartige Software-Testverfahren gibt).
(4) Besonders kritisch wird die Einschränkung auf bloß organisatorische Sicherheitsprüfungen. "Es ist jedoch darauf hinzuweisen, daß bei automationsunterstützten Arbeitsabläufen auch die programminternen Kontrollen dazugehören. In diesem Abschnitt wollen wir uns jedoch nur mit den organisatorischenKontrollen befassen." (44.30.000.) Auch hier fehlt ein späterer Rückgriff auf die Prüfung "programminterner Kontrollen". Entweder die Autoren kennen keine derartigen Prüfverfahren oder der Verlag hat ihnen nicht genügend Raum zur Verfügung gestellt. Beides wäre bedauerlich.
An dieser Stelle sei auf das Prüfkonzept "Sicherheitsfunktionen" hingewiesen, wie es im letzten DIR skizziert wurde und wie es auch Gegenstand einer ausführlichen Darstellung beim ARGE DATEN - Seminar "EDV-Einsatz und Datenschutz, Das Datensicherheitsproblem" ist (Termin für Interessierte:8.4.1992).
Als eher überflüssig werden Hinweise auf kostengünstige APEX-Flüge (56.30.000.) bei Auslandsrevisionen und dergleichen angesehen.
Alles in allem ein engagiertes Buch, das nur allzudeutlich macht, daß EDV-Systemprüfungen (oder Revisionen) nur sehr schwer allgemein beschrieben werden können.
Artner/Brandl, Arbeitshandbuch für die Revision von EDV-Systemen, Orac-Verlag Wien 1991, ISBN 3-7007-0190-X, 168 Seiten, öS 436.-
|
