• Home
• DIIR GmbH
• Termine
• News Magazine
• DIIRnet

FAMA Stellungnahme Datenverarbeitungsorganisation im allgemeinen

Checkliste "DV-Systemprüfung" aus FAMA-Stellungnahme 1/1987 i.d.F. 1993
(FAMA = Fachausschuß für moderne Abrechnungssysteme beim Institut der Wirtschaftsprüfer Deutschland e.V.)

Beurteilung der Datenverarbeitungsorganisation im allgemeinen

Arbeitsprogramm

Beschaffen Sie sich eine aktuelle Hardware-/Softwareübersicht des Unternehmens.

Erstellen Sie eine Übersicht der rechnungslegungsrelevanten Anwendungen und deren wesentlichen Informationsbeziehungen.

1. Aufbauorganisation

Arbeitsprogramm

Erstellen Sie - oder beschaffen Sie sich - ein aktuelles Organisationsschema, das den Aufbau der DV-Abteilung und ihre Eingliederung in die Unternehmensorganisation darstellt.

Stellen Sie die Anzahl der Beschäftigten sowie Aufgaben und Verantwortlichkeiten jeder Organisationseinheit innerhalb der DV-Abteilung fest.

Stellen Sie fest, ob es Datenverarbeitung oder Komponenten davon außerhalb der unter a) dargestellten DV-Abteilungen gibt. Stellen Sie auch deren Aufgaben und Verantwortlichkeiten fest.

Fragen

1.10 Bietet die Dokumentation zur Aufbauorganisation (Organigramme, Funktionsbeschreibungen, Arbeitsanweisungen etc.) einen hinreichenden Überblick über die DV-Abteilung und deren Einbindung in die gesamte Organisation?

1.11 Untersteht die DV-Abteilung einer lnstitution, die unabhängig gegenüber den die DV benutzenden Fachabteilungen ist (z. B. Controller, Verwaltungsvorstand)?

1.12 Wenn 1.11 Nein: Ist trotzdem sichergestellt, daß die übergeordnete Instanz keinen Einfluß auf die Arbeiten für andere Fachbereiche nimmt?

1.13 Wird die DV-Abteilung von der übergeordneten Instanz wirksam kontrolliert?

1.14 Sind in der DV-Abteilung die folgenden Funktionen voneinander getrennt?

Anwendungsentwicklung

Systemprogrammierung

Arbeitsvorbereitung/-nachbereitung

Maschinenbedienung

Datenverwaltung

Mit zunehmender Anzahl von DV-Mitarbeitern muß die Funktionstrennung genauer beachtet werden.

1.15 Bleibt die Funktionstrennung auch bei Krankheit, Urlaub etc. bestehen oder gibt es Überschneidungen?

1.16 Wenn 1.14 Nein: Ist trotzdem, insbesondere bei kleinen DV-Abteilungen, durch ein entsprechendes Kontrollsystem sichergestellt, daß für die Ordnungsmäßigkeit der Buchführung kritische Ereignisse frühzeitig erkannt werden?

1.17 Hat die Geschäftsführung Abhängigkeiten von einzelnen Personen im Bereich der DV angemessen berücksichtigt?

2. Systementwicklung und Systempflege

Die Systementwicklung umfaßt alle Aktivitäten, die erforderlich sind, eine Anforderung nach DV-Unterstützung durch das Bereitstellen der hierfür erforderlichen Software zu erfüllen. Dies kann durch Eigenentwicklung und/oder durch Erwerb fremderstellter Software geschehen.

Die Prüfung der Organisation der Systementwicklung bzw. des Vorgehens bei der Auswahl von fremd erstellter Software liefert ein Indiz für die Qualität der vom Mandanten eingesetzten Anwendungssoftware. Systempflege, auch die Übernahme einer neuen Release-Stufe, durch die Software veränderten Anforderungen angepaßt wird, verlangt dasselbe Vorgehen wie bei der Softwareentwicklung.

Arbeitsprogramm

Stellen Sie fest, welche Schritte grundsätzlich durchlaufen werden, um ein neues Arbeitsgebiet auf DV zu bringen oder wesentliche Änderungen daran vorzunehmen.

Stellen Sie fest, welche Schritte grundsätzlich durchlaufen werden, wenn die DV-Abteilung Arbeitsaufträge für Fachabteilungen abwickelt.

Individualsoftware

Fragen

2.11 Gibt es eine Gruppe (Ausschuß, Kommission), in der unter Beteiligung der Geschäftsleitung der Einsatz computergestützter Verfahren in einem Arbeitsgebiet beschlossen wird?

2.12 Wird für jedes umzustellende Arbeitsgebiet eine Projektgruppe gebildet, die die Detailarbeit ausführt?

2.13 Bestehen die Projektgruppen in der Regel aus Anwendungsentwicklern und Mitarbeitern der Fachabteilung?

2.14 Ist die prüfende Mitwirkung der Innenrevision bei der Systementwicklung vorgesehen?

2.15 Werden bedeutsame Verfahrensbeschlüsse von den Verantwortlichen der betroffenen Fachabteilungen bzw. der Geschäftsleitung gebilligt?

2.16 Ist es Aufgabe der Projektgruppe (oder der an der Aufgabe arbeitenden Mitarbeiter), auch den der DV-Bearbeitung vor- und nachgelagerten Arbeitsprozeß zu (z. B. Arbeitsanweisungen für Sachbearbeiter) zu erstellen?

2.17 Ist festgelegt, in welcher Form die Programmvorgaben zu erstellen sind?

2.18 Bestehen Regeln und Standards für die Vergabe von Nummern und Bezeichnungen für Programme, Datenbanken/ Dateien, Felder?

2.19 Erfüllt die Form der Programmvorgaben zugleich die Anforderungen der Verfahrensdokumentation bzw. der Information über die sachlichen Verarbeitungsregeln (ausreichende, vollständige und verständliche Darstellung)?

2.20 Bestehen Programmierrichtlinien zur Erhöhung der Programmtransparenz?

2.21 Ist sichergestellt, daß neue Programme oder Änderungen zu bestehenden Programmen vorerst nur als Testversion erstellt werden?

Standardsoftware

Grundsätzlich gelten die vorstehend genannten Anforderungen auch hier; zusätzlich ist zu fragen:

2.22 Ist ein Pflichtenheft erstellt worden, das die Anforderungen an die zu erwerbende Software hinreichend tief gegliedert darstellt?

2.23 Befinden sich unter den in die Auswahl einbezogenen Anbietern Softwarehäuser mit Fachkompetenz auf dem fraglichen Anwendungsgebiet?

2.24 Wurde zur Software eine den betreffenden Anwendern verständliche, gegliederte Benutzerdokumentation geliefert (vgl. Abschn. D.6)?

2.25 Wird durch das Testat eines Wirtschaftsprüfers bestätigt, daß bei sachgerechter Anwendung der Fremdsoftware die GoB erfüllt werden können?

2.26 Ist die Einbindung der Standardsoftware in die vorhandene Softwareumgebung zufriedenstellend gelöst?

2.27 Sind Modifikationen an der Software ausreichend dokumentiert?

Freigabeverfahren

2.30 Besteht ein verbindliches Verfahren für die Freigabe von Programmen vor deren erstmaligem Einsatz zur Verarbeitung von Originaldaten?

2.31 Ist im Freigabeverfahren geregelt

der Umfang der vorzunehmenden systematischen Tests durch die Systembetreuer,

der Umfang der Tests durch die Fachabteilung,

die Zuständigkeit für die Freigabe durch die DV-Abteilung,

2.32 Ist das Freigabeverfahren mit der Revision abgestimmt?

2.33 Wird auch für die Betriebssystemsoftware ein Freigabeverfahren eingehalten?

Kontrolle der Zugriffsberechtigung

Zum Begriff der fachlichen Zuständigkeit gehört die Verantwortung für die in diese Zuständigkeit fallenden Programme und Daten. Sie müssen daher gegenüber fremden, unbefugten Zugriffen geschützt werden.

2.40 Existiert ein Zugriffsberechtigungsverfahren?

2.41 Bietet das Zugriffsberechtigungsverfahren die Möglichkeiten

der Vergabe von ausreichend differenzierten Berechtigungen an Benutzer,

der ausreichenden Identifizierung von Benutzern mit Hilfe von Paßworten oder anderen geeigneten Techniken?

2.42 Ist die Zuständigkeit für die Vergabe/Pflege der Zugriffsberechtigungen eindeutig geregelt?

2.43 Entspricht die Vergabe der Berechtigung an die einzelnen Mitarbeiter dem "Prinzip der minimalen Berechtigung"?

2.44 Wird überwacht, daß die Dialoge ordnungsgemäß beendet werden?

Datenorganisation

Durch die Datenorganisation sollen die Transparenz und die Verantwortlichkeit für die im DV-System geführten Daten gewährleistet werden.

2.50 Erfolgt bei der Anwendungsentwicklung eine systematische Erfassung aller erforderlichen Datenarten und deren Beziehungen untereinander (Erstellen eines Datenmodells)?

2.51 Wird ein Datenbanksystem eingesetzt?

2.52 Wenn 2.51 Nein: Bestehen Regeln für die Vergabe eindeutiger Datei- und Datenfeldbezeichnungen und werden diese Regeln beachtet?

2.53 Kann ein aktuelles Verzeichnis der im DV-System geführten Datenbestände nachgewiesen werden (Datenbestände des zentralen Systems; Datenbestände evtl. bestehender dezentraler Systeme)?

2.54 Kann zu den Datenbeständen laut 2.5 3 nachgewiesen werden, ob und welche sachlichen Beziehungen zwischen ihnen bestehen (z B. ein Datenbestand enthält die verdichteten Daten, deren Einzeldaten in anderen Datenbeständen geführt werden, ein Datenbestand hat keine Beziehungen zu anderen Datenbeständen)?

2.55 Können die im DV-System geführten Datenarten (Adreßdaten, Kontierung, usw.) nachgewiesen werden (z. B. mit Hilfe eines Datadictionary)?

2.56 Kann zu den einzelnen Datenarten nachgewiesen werden, durch welche Anwendung ein Update (Erfassen, Ändern, Löschen) erfolgt?

2.57 Ist festgelegt, welche Datenbestandsversion maßgeblich ist, wenn ein Datenbestand/Teile von ihm sowohl zentral als auch dezentral in die Verarbeitung einbezogen ist/sind?

2.58 Ist zu den einzelnen Datenbeständen festgelegt, weiche Fachabteilung/Fachabteilungen für sie zuständig ist/sind?

3. Datenverarbeitung (DV-Produktion)

Die DV-Produktion umfaßt alle Aktivitäten, die erforderlich sind, um die einzelnen bestehenden DV-Anwendungen termingerecht abzuwickeln.

Die Prüfung der DV-Produktion ist von Bedeutung, da die Organisation des Arbeitsablaufs im Rechenzentrum sowie die vorhandene DV-Technik (Hardware und Betriebssystem) für eine richtige Datenverarbeitung (Einsatz der richtigen Datenbestände und Verarbeitung dieser mit den richtigen Programmversionen in der richtigen Reihenfolge zum vorgesehenen Termin) von wesentlichem Einfluß sind.

Arbeitsprogramm

Informieren Sie sich anhand von Organisationsunterlagen/ Arbeitsanweisungen und durch Gespräche mit den zuständigen Mitarbeitern über die Organisation

der zentralen Datenerfassung,

der Arbeitsvorbereitung/Nachbereitung,

der Datenverarbeitung (DV-Produktion),

der Datenverwaltung/Datensicherung,

des Operating.

Besichtigen Sie das Rechenzentrum. Lassen Sie sich insbesondere die Räume zeigen, in denen die gesicherten Datenbestände aufbewahrt werden. Achten Sie auf die herrschende Ordnung.

Fragen

Arbeitsvorbereitung / Nachbereitung

3.11 Gibt es in der Arbeitsvorbereitung einen Terminplan für die periodisch durchzuführenden Verarbeitungsläufe?

3.12 Enthält der Maschinenbelegungsplan ausreichende Reserven?

3.13 ist für jedes Anwendungssystem der Verarbeitungslauf eindeutig festgelegt (welche Dateien, welche Programme, welche Programmfolge)?

3.14 Ist für jedes Anwendungssystem festgelegt, welche Datenbestände in welchem Rhythmus zu sichern sind?

3.15 Ist sichergestellt, daß die Job-Zusammenstellung ausschließlich durch die Arbeitsvorbereitung vorgenommen wird?

3.16 Wie wird die ordnungsgemäße Verarbeitung der einzelnen Anwendungssysteme überwacht (z. B. durch Kontrolle der Systemprotokolle, Systemnachrichten etc.)?

3.17 Ist festgelegt, an welche Personen/Fachabteilungen die Verarbeitungsergebnisse in Form von DV-Listen oder Datenträgern zu liefern sind?

3.18 Ist sichergestellt, daß nur der genannte Personenkreis Zugriff auf die DV-Listen und Datenträger hat'

Datensicherung

3.20 Ist ein angemessenes Datensicherungskonzept vorhanden?

3.21 Werden Daten, Dateien, Programme nach dem Generationen-Prinzip gesichert?

3.22 Werden die gesicherten Datenbestände feuer- und einbruchsicher aufbewahrt?

3.23 Werden die wöchentlich bzw. monatlich gesicherten Datenbestände auch außerhalb des Rechenzentrums gelagert?

3.2 Ist der Zugang zu den gesicherten Datenbeständen auf autorisierte Personen beschränkt?

3.25 Sind die gesicherten Datenbestände anhand der äußeren und inneren (maschinell lesbaren) Kennzeichnung eindeutig identifizierbar?

3.26 Gibt es ein Verzeichnis über die gesicherten Datenbestände?

3.27 Sind die Aufbewahrungsfristen für die Datenträger in Abstimmung mit der Internen Revision/Fachabteilung/ Steuerabteilung festgelegt und ist sichergestellt, daß ein vorzeitiges Überschreiben der gesicherten Daten verhindert wird?

3.28 Ist sichergestellt, daß die Datenbestände während der Dauer ihrer Aufbewahrung mit der jeweils vorhandenen DV-Technik (Hardware, Betriebssystem, Anwendungsprogramme) bearbeitet werden können?

3.29 Bestehen Anweisungen für die Rekonstruktion von Datenbeständen auf der Basis der gesicherten Datenbestände?

Operating

3.33 Ist die Zugangsberechtigung zum Rechenzentrum eindeutig geregelt?

3.34 Ist im Rahmen des Datensicherheitskonzepts sichergestellt, daß ausschließlich die Anwender Zugriff auf Originaldaten und Programme der jeweiligen Anwendungssysteme haben?

3.35 Ist eine Produktions- und Testumgebung vorhanden und ist sichergestellt, daß die Anwendungsentwickler nur Zugriff auf die Testdaten haben?

3.36 Sind eindeutige Anweisungen für die Abwicklung der einzelnen Anwendungssysteme vorhanden?

3.37 Erhalten diese Anweisungen folgende Angaben

Verarbeitungszeitplan,

Jobablaufpläne,

Datensicherung,

Druckausgaben,

Fehlermeldungen und Fehlerkorrekturanweisungen, - Restart/Recovery-Anweisungen

(Sicherung des ordnungsmäßigen Wiederanlaufs nach Systemabbrüchen)?

3.38 Wird die ordnungsgemäße Verarbeitung der Daten durch eine vorgesetzte Instanz anhand von aktuellen Unterlagen, Logbuch oder Maschinenprotokoll kontrolliert?

Betriebsbereitschaft der Hardware

3.42 Wird die DV-Anlage vom Hersteller regelmäßig gewartet?

3.43 Sind betriebsbedingte Unterbrechungen (Hardware-/ Softwarefehler) häufig?

3.44 Sind im Rechenzentrum die für die DV-Anlage erforderlichen klimatischen Bedingungen erfüllt (Temperatur, Luftfeuchtigkeit)?

3.45 Ist sichergestellt, daß bei Störungen der Stromversorgung das DV-System die Verarbeitung bis zu einem definierten Ende fortsetzt, so daß ein geordneter Wiederanlauf gewährleistet werden kann?

3.46 Ist das DV-System durch räumliche und organisatorische Maßnahmen hinreichend gegen Zerstörung (Brand, Einbruch etc.) geschützt?

3.47 Sind Regelungen (Katastrophenplan o. ä.) vorhanden, die sicherstellen, daß nach einem Totalausfall der DV der Betrieb zügig wieder aufgenommen werden kann (Ausweichrechenzentrum)?

4. Datenverarbeitung außer Haus

Auch bei DV-Buchführung außer Haus liegt die Verantwortung für den Inhalt der Buchführung beim Buchführungspflichtigen. Er muß durch entsprechende Vertragsgestaltung für die Einhaltung der GoB sorgen und hat deren Beachtung laufend zu überwachen.

Arbeitsprogramm

Informieren Sie sich über den Umfang der Datenverarbeitung außer Haus (Anwendungsentwicklung/Pflege; DV-Produktion).

Informieren Sie sich über Organisation und Technik des Datentransfers zwischen Mandant und dem Dienstleistungsrechenzentrum.

Lassen Sie sich alle Verträge und Vereinbarungen des Mandanten mit dem Softwarehaus/Dienstleistungsrechenzentrum vorlegen.

Stellen Sie fest, welche Unterlagen (Arbeitsanweisungen, Handbücher) beim Mandanten zu seiner "Datenverarbeitung außer Haus" vorliegen.

Fragen

Die nachfolgenden Fragen sind bei DV außer Haus zusätzlich zu den übrigen Fragen dieses Leitfadens zu stellen.

4.11 Ist durch die vertraglichen Regelungen mit dem Rechenzentrum sichergestellt, daß die GoB eingehalten werden?

4.12 Sind im Vertrag insbesondere die folgenden Sachverhalte geregelt

Folgen aus Terminverzögerungen beim Auftraggeber,

Folgen aus Terminverzögerungen beim Auftragnehmer,

Folgen aus fehlerhafter Bearbeitung,

Sorgfaltspflicht des Auftragnehmers,

Daten- und Programmsicherung (Art; Fristen),

Eigentumsrechte/Verfügungsrechte an den Programmen,

Verfügungsrechte an der Dokumentation nach Vertragsende für die Dauer der Aufbewahrungspflicht?

4.13 Ist vereinbart, daß der Abschlußprüfer des Buchführungspflichtigen in die Organisations- und Dokumentationsunterlagen Einsicht nehmen und sich über den Arbeitsablauf im Rechenzentrum informieren kann?

4.14 Wird die Einhaltung der GoB im Rechenzentrum von einem neutralen Sachverständigen geprüft? (Dieser Punkt sollte im Bericht Erwähnung finden.)

Bei Datenverarbeitung außer Haus sind außerdem je einzelnem Arbeitsgebiet die Fragen im Abschnitt D.6. zu beantworten.

5. Local Area Network (LAN)

Ein LAN ist die Verbindung von DV-Einrichtungen über ein innerbetriebliches Netz ohne Verwendung von fremden Datenkommunikationseinrichtungen (z. B. PC-Netzwerk innerhalb eines Betriebsgebäudes).

Ziel ist es, sicherzustellen, daß Informationen im LAN durch ein angemessenes Management und administrative Systeme gesichert sind, damit die Vertraulichkeit und die Integrität der übertragenen Daten erhalten bleiben.

Arbeitsprogramm

Informieren Sie sich anhand einer DV-Übersicht, welche Unternehmensbereiche mit einem LAN verknüpft sind.

Stellen Sie fest, wie das LAN in die gesamte DV-Umgebung integriert ist.

Stellen Sie fest, welche organisatorischen und physischen Vorkehrungen getroffen wurden, um den störungsfreien Betrieb des LAN zu gewährleisten.

Fragen

5.11 Bestehen Regeln für die Implementierung eines LAN?

5.12 Legen diese Regeln fest, wer Besitzer, Benutzer und Verwalter von den im LAN geführten Informationen ist und welche Verantwortung diese Gruppen in der LAN-Umgebung besitzen?

5.13 Werden dem Netzwerkadministrator Regeln für folgende Bereiche vorgegeben

Benutzeridentifikation und Paßwortverwaltung, Konventionen der Namensvergabe,

Aufzeichnung von Verstößen und deren Rückverfolgung,

Viruskontrolle,

Zugänge, Bewegungen und Änderungen von Benutzerzugriffen auf das LAN,

Zugriffe auf den Server,

Recovery nach Abstürzen?

5.14 Benutzt der Netzwerkadministrator die verfügbaren Betriebssystemfunktionen, um die Benutzeraktivitäten auf den Servern zu kontrollieren bzw. auf die notwendigen Funktionen zu beschränken?

5.15 Wird die Verarbeitung von Daten im LAN durch Programme vorgenommen, die Prüfungsanforderungen genügen?

5.16 Wird verhindert, daß Benutzer auf den Source-Code zugreifen können?

5.17 Sind Netzwerk-Management-Software, die eine Kontrolle der einzelnen Netzarbeitsplätze ermöglichen, nur dem Netzwerkadministrator zugänglich?

5.18 Ist das LAN-Betriebssystem geeignet, die einzelnen Benutzer zu identifizieren und deren Zugriffsberechtigung zu prüfen?

5.19 Hat der Netzwerkadministrator Zugriff zu allen Tools und Einrichtungen, die für die schnelle Wiederherstellung des Ausgangszustands nach Hardware-, Software- und Übertragungsfehlern erforderlich sind?

5.20 Wird die LAN-Ausstattung (Geräte, Leitungen usw.) durch organisatorische Abläufe und durch technische Einrichtungen physisch gesichert?

6. Telekommunikation und Netzwerke (Wide Area Network WAN)

Ein WAN ist die Verbindung von DV-Einrichtungen über ein öffentliches Netz, wobei auch fremde Datenkommunikationseinrichtungen benutzt werden (z.B. Verbindung von DV-Anwendern über DATEX-P).

Ziel ist es sicherzustellen, daß Informationen (digitale Sprache, Texte, Bilder), im Netz durch ein angemessenes Management und durch administrative Systeme so gesichert sind, daß die Vertraulichkeit und die Integrität der übertragenen Daten erhalten bleiben.

Arbeitsprogramm

Informieren Sie sich anhand einer DV-Übersicht über die Telekommunikationsverbindungen des Unternehmens.

Stellen Sie fest, welche organisatorischen und physischen Vorkehrungen getroffen wurden, um nur berechtigten Personen den Zugriff auf die Telekommunikationseinrichtungen zu gewähren.

Fragen

6.11 Besteht für die Organisation des Netzwerks eine risikoorientierte, mit dem Management abgestimmte Sicherheitsanweisung und wird diese regelmäßig überprüft?

6.12 Ist bestimmt, wer Eigentümer, Benutzer und Verwalter von Informationen ist und welche Verantwortung die einzelnen Gruppen für die Netzwerke haben?

6.13 Ist festgelegt, daß Telekommunikationsabläufe und Kontrollen vollständig dokumentiert werden?

6.14 Ist diese Dokumentation auf dem aktuellen Stand und deckt sie alle Bereiche (Hard-, Software, Schalt-, Anschlußpläne, Übertragungsleitungen, alle Netzwerkaktivitäten, durch externe Stellen durchgeführte Arbeiten an der Hardware) ab?

6.15 Werden alle Benutzer identifiziert und auf ihre Zugriffsberechtigung geprüft, bevor sie Zugriff auf das Netz erhalten bzw. Daten an sie übertragen werden"

6.16 Wurden bestimmte Terminals zur Kontrolle des Netzwerks eingerichtet und ist der Zugriff auf solche Terminals auf Mitarbeiter beschränkt, die für die Netzwerkkontrolle verantwortlich sind?

6.17 Wird die Benutzung von bestimmten Transaktionen, Kommandos, Programmen und Daten sowie die Versendung und der Empfang von bestimmten Nachrichten softwaremäßig auf bestimmte Terminals beschränkt?

6.18 Deckt die Kommunikationshard- oder -software den Verlust oder die Verfälschung von Daten während der Übertragung auf?

6.19 Falls Wählleitungen verwendet werden, werden die Anschlußnummern regelmäßig geändert?

6.20 Werden alle anormalen Kommunikationen und Programmabbrüche analysiert, um deren Ursache herauszufinden und werden diese aufgezeichnet, um bestimmte Muster oder Trends zu entdecken, die darauf hindeuten, daß ein Versuch unternommen wird, in dieses Netz einzudringen?

6.21 Ist die Datenkommunikationsausrüstung (Modem, Multiplexer usw.) vor unberechtigtem physischen Zugriff (so z.B. durch Unterbringung in verschlossenen Räumen, bei denen der Zugriff genau überwacht werden kann) an allen Stellen des Netzes geschützt"

6.22 Sind alIe Übertragungsleitungen und- kabel vor unberechtigten physischen Zugriffen geschützt (verschlossene Schaltschränke, einbetonierte Leitungen usw.)?

7 Benutzer-Systeme

Unter Benutzer-Systemen sollen hier die "Individuelle Datenverarbeitung (IDV)" und die Abfragesprachen (Query Languages) verstanden werden.

Bei der IDV ist der Mitarbeiter der uneingeschränkte "Eigentümer" von Daten, Software und Hardware. Das bedeutet, daß er alleine bestimmt, was, wie und wann verarbeitet wird. IDV ist häufig bei PC-Einsatz anzutreffen, ist aber auch bei Nutzung des Großrechners möglich.

Bei der Nutzung einer Abfragesprache entscheidet der Mitarbeiter uneingeschränkt über den Inhalt seiner Abfrage. Er ist nicht zugleich der uneingeschränkte "Eigentümer" der Datenbestände, aus denen er seine Auswertungen erstellt.

Arbeitsprogramm

Stellen Sie anhand von Hard- und Softwareübersichten fest, in welchem Umfang Benutzer-Systeme für Aufgaben der Rechnungslegung eingesetzt werden.

Stellen Sie fest, welche organisatorischen Regelungen für den kontrollierten Einsatz von Benutzer-Systemen bestehen.

Fragen

7.11 Ist festgelegt, in welchen Bereichen und in welchem Umfang IDV/Abfragesprachen im Unternehmen für die Rechnungslegung eingesetzt werden?

7.12 Ist sichergestellt, daß durch diese lDV die zentralen Datenbestände nicht verändert werden können?

7.13 Wenn 7.12 Nein:

Ist eindeutig festgelegt, aus welchen IDV-Anwendungen eine Datenübergabe in die zentralen Datenbestände erfolgt?

Werden zu den aus IDV in die zentralen Datenbestände zu übernehmenden Daten Eingabekontrollen durchgeführt und werden diese Daten journalisiert?

7.14 Ist ausgeschlossen, daß mit Hilfe der Abfragesprache Daten des auszuwertenden Datenbestands verändert werden können?

7.15 Wenn 7.14 Nein:

Ist festgelegt, welche Mitarbeiter die Berechtigung zur

Änderung von Daten haben?

Ist diesen Mitarbeitern bekannt, welche Daten sie ändern dürfen (alle anderen nicht)?

7.16 Bei Einsatz dieser IDV/Abfragesprachen:

Ist der Verarbeitungsinhalt der einzelnen IDV-Anwendungen/Abfragen dokumentiert?

Werden Änderungen dieser Verarbeitungsinhalte kontrolliert und dokumentiert?

Sind die Ergebnisse der einzelnen IDV-Anwendungen/Abfragen nachweisbar?