Management und Wissen

Interne Kontrolle

Ein Ansatz zur Prüfung komplexer Systeme

Von Berthold Weghaus, Essen

Die Entwicklung im Bereich der Dokumentenmanagementsysteme tendiert zu immer leistungsfähigeren und komplex organisierten Systemen. Damit werden auch Wirtschaftsprüfer, Revisoren und Controlling-Abteilungen zunehmend mit der Prüfbarkeit und der laufenden Kontrollierbarkeit solcher Systeme konfrontiert. Der folgende Beitrag stellt ein grundlegendes Prüfungskonzept mit den Komponenten Verfahrensdokumentation, Internes Kontrollsystem und Prüfungstechniken vor.

Die wichtigsten Komponenten von offenen Systemen lassen sich durch den Fluss der betrachteten Strömungsgrößen durch ein System hindurch charakterisieren (vgl. Abb.1). Die Strömungsgrößen fließen in ein betrachtetes System ein (input), werden sodann verarbeitet (process) und verlassen dann das System wieder (output). Ein Kontrollmechanismus (control), der Gegenstand der Kybernetik1 ist, soll durch regulierende Eingriffe sicherstellen, dass das System den Zielvorstellungen entsprechend arbeitet [Föll, Lüsch, Unbe].

[Abb. 1]
Abb. 1: Komponenten offener Systeme (Darstellung gemäß DIN 66001)

Der Begriff der Information wird nur unter Zuhilfenahme der Begriffe "Daten" und "Nachrichten" exakt definiert. Damit lässt sich ein Informationssystem auch als ein geordnetes Netz von Elementen verstehen, die aufgrund formalisierter Kommunikationsprozesse gegenseitig Informationen austauschen.

Regelungsmechanismen im Informationssystem

Um einen Ansatz zu finden, wie Kontrollmechanismen bei offenen Informationssystemen arbeiten, muss nochmals auf die Kybernetik mit ihren selbstständig arbeitenden Reglungs- und Rückkopplungsmechanismen zurückgegriffen werden (vgl. Abb. 2).

[Abb. 2]
Abbildung 2: Grundmodell eines Regelkreises Informationssysteme lassen sich nun insgesamt als ein einziger übergeordneter Regelkreis beschreiben..

Der Wirkungsablauf der so genannten Regelkreise soll allgemein formuliert sicherstellen, dass das zu regelnde System einen gewünschten Soll-Wert (Führungsgröße w) erreicht. Zu diesem Zweck wirkt der Regler R über eine Stellgröße y auf den zu regelnden Prozess (Regelstrecke S) ein; dieser Prozess unterliegt aber zusätzlich der Störgröße z. Der Ist-Zustand der Regelstrecke S wird vom Regler R über die Regelgröße x mitgeteilt. Stellt der Regler nun fest, dass zwischen der Regelgröße x und der Führungsgröße w Abweichungen e=w-x vorliegen, so wirkt er über die Stellgröße y korrigierend auf den Prozess ein.

Prüfung und Kontrolle

Da in der prüfungstheoretischen Literatur keine einheitliche Definition des Prüfungsbegriffes zu finden ist, wird im Folgenden "Prüfung" wie folgt definiert: Prüfung ist:

Im Weiteren ist der Begriff Prüfung noch von den beiden Termini "Kontrolle" und "Internes Kontrollsystem" abzugrenzen. Als Kontrollen werden alle jene in die betrieblichen Abläufe direkt eingebauten, also prozessabhängigen oder prozessbegleitenden Maßnahmen bezeichnet, die bei festgestellten Soll-Ist-Abweichungen nicht nur über deren Existenz Auskunft geben, sondern auch selbstständig Korrekturmaßnahmen auslösen und damit die Konsequenzen fehlerhafter Entwicklungen korrigieren oder gar von vorne herein vermeiden können.

Der entscheidende Unterschied zwischen Prüfung und Kontrolle besteht also darin, dass Kontrollen prozessbegleitend stattfinden und dass sie nicht mit Abgabe von Urteilen über festgestellte Soll-Ist-Abweichungen abgeschlossen sind. Ausgehend von der Definition der Prüfung lässt sich der Kontrollprozess um die Phase Auslösung von Korrekturmaßnahmen erweitern, mit dem allerdings entscheidenden zusätzlichen Unterschied, dass Prüfungen prozessunabhängig und Kontrollen prozessabhängig, also parallel zu den kontrollierenden betrieblichen Abläufen erfolgen. Die Prüfung hingegen ist primär eine Momentaufnahme.

Internes Kontrollsystem

Sind für eine Vielzahl betrieblicher Abläufe Kontrollen aufeinander abgestimmt, d.h., weisen verschiedene Kontrollen Beziehungen zueinander auf, so kann man die Gesamtheit dieser Kontrollen auch als Kontrollsystem bezeichnen. Da damit stets innerbetriebliche Kontrollen gemeint sind, hat sich in der Literatur der Begriff des "Internen Kontrollsystems" in Anlehnung an die in den USA gebräuchliche Bezeichnung "Internal Control" allgemein durchgesetzt.

Eine nähere Beschreibung der Aufgaben eines Internen Kontrollsystems bietet die Definition des "Internal Control" im Statement on Auditing Standards (SAS) No. 1 des American Institute of Certified Public Accountants (AICPA). Demzufolge versteht man unter einem Internen Kontrollsystem die Gesamtheit aller aufeinander abgestimmten innerbetrieblichen Maßnahmen und Methoden, die dazu dienen:

Da diese Aufgabenbeschreibung den Bereich des betrieblichen Rechnungswesens überschreitet, gliedert das AICPA das Interne Kontrollsystem noch einmal in die beiden Blöcke "Accounting Controls" (Aufgabenbereiche der ersten beiden Spiegelpunkte) sowie "Administrative Controls" (Aufgabenbereiche der beiden anderen). Sofern im weiteren Verlauf dieses Beitrages der Begriff des Internen Kontrollsystems Verwendung findet, soll sich dieser stets nur auf die Aufgabenbereiche der beiden erstgenannten beziehen, wobei der Schwerpunkt im zweiten Aufgabenkomplex liegen wird (die Genauigkeit und Zuverlässigkeit der (Abrechnungs-)daten zu gewährleisten).

In diesem Zusammenhang ist es noch erforderlich, eine Abgrenzung zwischen Internal Control und Interner Revision vorzunehmen. Obwohl in der Literatur überwiegend die Ansicht vertreten wird, dass die Interne Revision ein Teil des Internen Kontrollsystems ist, sollen beide Überwachungsformen im Folgenden gemäß der bisherigen Definitionen streng getrennt werden. Denn zum einen unterscheiden sie sich eindeutig durch das Kriterium der Prozessunabhängigkeit voneinander, welches bereits als wesentliches Merkmal zur Differenzierung zwischen den Begriffen Prüfung und Kontrolle herausgestellt worden ist; zum anderen gehört es gerade zu den Aufgaben der Internen Revision, die Funktionsfähigkeit des Internen Kontrollsystems zu überprüfen, was bei der Zugehörigkeit der Internen Revision zum Internal Control auf eine Selbstprüfung hinauslaufen würde.

Darstellung eines gesamtbetrieblichen Überwachungssystems

Die drei zentralen Formen der Überwachung betrieblicher Abläufe – die Interne Revision, das Interne Kontrollsystem und die externe Jahresabschlussprüfung – als eine von unternehmensexternen Personen auf privater Basis durchgeführte und an gesetzlich festgelegten Prüfungsnormen orientierte Prüfung sollen abschließend als Überwachungssysteme mit Hilfe von Regelkreisanalogien dargestellt werden.

Auf Basis der oben getätigten Grundüberlegungen lassen sich drei Grundtypen von Überwachungssystemen unterscheiden, denen konkrete betriebliche Überwachungsformen zugeordnet werden können; sie werden im Folgenden kurz beschrieben, um dann abschließend aus diesen drei Grundtypen das Modell eines gesamtbetrieblichen Überwachungssystems am Beispiel eines Sicherheitsmanagementsystems ableiten zu können [Zille].

Überwachungssystem vom Typ 1:
Internes Kontrollsystem

Der in Abbildung 3 wiedergegebene Typ 1 repräsentiert die einfachste Form eines Überwachungssystems und stellt eine bloße Interpretation des in Abbildung 2 wiedergegebenen Grundmodells eines Regelkreises dar. Die Regelstrecke entspricht dem Überwachungsobjekt, die Stellgröße den das Überwachungsobjekt steuernden Entscheidungen und als Regelgröße gelangen Informationen über den Ist-Zustand des Überwachungsobjektes an die Überwachungsinstanz (Regler); als Führungsgröße fungieren schließlich systemintern vorgegebene Soll-Normen und als Störgröße alle Einflüsse auf das Überwachungsobjekt, die vom Regler nicht kontrolliert werden können.

[Abb. 3]
Abbildung 3: Überwachungssystem vom Typ 1

Kennzeichnend für dieses Überwachungssystem ist die Identität von Prüfungs- und Entscheidungsinstanzen, d. h., die Soll-Ist-Vergleiche wie auch die bei festgestellten Abweichungen notwendigen Korrekturentscheidungen gehen von ein und der selben Stelle aus. Diese Überwachungsinstanz erfüllt damit alle beschriebenen Merkmale einer Kontrolle, sodass dieses Überwachungssystem von Typ 1 der Definition eines Internen Kontrollsystems entspricht.

Überwachungssystem vom Typ 2: Interne Revision

Ein Überwachungssystem vom Typ 2 unterscheidet sich vom Typ 1 im Wesentlichen dadurch, dass die Überwachungsinstanz jetzt in eine Prüfungs- und Entscheidungsinstanz aufgespalten wird. Die Prüfungsinstanz ist der Entscheidungsinstanz organisatorisch unterstellt und erhält von dieser aus einer festgelegten systeminternen Gesamtzielsetzung abgeleitete Soll-Normen zur Durchführung von Soll-Ist-Vergleichen; festgestellte Soll-Ist-Abweichungen werden als Prüfungsurteil der Entscheidungsinstanz mitgeteilt, die dann einen korrigierenden Einfluss auf das Überwachungsobjekt ausüben kann. Eine direkt der Unternehmensführung als Prüfungsinstanz zugeordnete Interne Revisionsabteilung stellt den typischen Fall eines derartigen in Abbildung 4 wiedergegebenen Überwachungssystem vom Typ 2 dar.

[Abb. 4]
Abbildung 4: Überwachungssystem vom Typ 2

Überwachungssystem vom Typ 3: Jahresabschlussprüfung

Der dritte Typ möglicher Überwachungssysteme baut auf der organisatorischen Trennung der Überwachungsfunktion in eine Prüfungs- und Entscheidungsinstanz auf, entzieht aber zusätzlich die Prüfungsaufgaben der Einflusssphäre der die Korrekturentscheidungen durchführenden unternehmensinternen Instanzen. Dies geschieht dadurch, dass die Prüfungsinstanz außerhalb des zu überwachenden Systems angesiedelt wird, auf der Basis extern vorgegebener Soll-Normen Prüfungen durchführt und über deren Ergebnis in Form eines Prüfungsurteils an die Entscheidungsinstanz berichtet.

[Abb. 5]
Abbildung 5: Überwachungssystem vom Typ 3

Ein solcher Überwachungstyp, wie er sich beispielsweise in der Form einer Jahresabschlussprüfung präsentiert, dient in erster Linie einer unabhängigen Prüfung im Interesse solcher Personen, die keinen unmittelbaren Einfluss auf das Überwachungsobjekt selbst ausüben können.

Aufbauend auf den beschriebenen Regelkreisanalogien lässt sich nun ein Modell ableiten, welches ein alle drei Typen umfassendes Überwachungssystem darstellt und damit, bezogen auf betriebliche Anwendungen, das Interne Kontrollsystem (Typ 1), die Interne Revision (Typ 2) und die Jahresabschlussprüfung (Typ 3) einbezieht. Abbildung 6 stellt das entsprechende Regelkreismodell graphisch dar.

[Abb. 6]
Abbildung 6: Modell eines gesamtbetrieblichen Überwachungssystems

Das Modell wird in Zusammenhang mit der im Folgenden näher zu charakterisierenden TÜViT-Abnahme von Sicherheitsmanagementsystemen (SMS) aufgegriffen und hinsichtlich seiner Elemente sowie den zwischen den verschiedenen Überwachungsträgern möglichen Beziehungen diskutiert.

Abbildung auf ein Sicherheitsmanagementsystem (SMS)

Die Gesamtheit aller von einer Unternehmensführung geplanten, durchgeführten und kontrollierten sicherheitsbezogenen Tätigkeiten und Ziele wird im Folgenden als Sicherheitsmanagement (SM) bezeichnet.

Aus Managementsicht führen das Konzipieren und das Realisieren der Sicherheitsmaßnahmen zum Erreichen und Aufrechterhalten eines angemessenen Sicherheitsniveaus bei der Leistungserbringung. Die möglichen Folgen des Verlustes an Sicherheit machen die Notwendigkeit folgender Managementaufgaben offensichtlich [Idw]:

Die Sicherheitspolitik, verstanden als umfassende Absichten und Zielsetzungen zur Sicherheit, wird also durch das Sicherheitsmanagement umgesetzt.

Das Sicherheitskonzept beschreibt die im Sinne der Sicherheitspolitik notwendigen und hinreichenden Sicherheitsmaßnahmen. Es hat daneben eine Darstellung der Ablauforganisation der Tätigkeit und eine Übersicht über die eingesetzten technischen Komponenten zu enthalten. Bestandteil des Sicherheitskonzeptes ist ebenfalls eine Darstellung der spezifischen Bedrohungen und Risiken im Unternehmen.

Unter dem Aspekt der Sicherheit ist es entscheidend, dass die dargelegten Maßnahmen angemessen sind, nachvollziehbar begründet werden und wie beschrieben umgesetzt sind. Darüber hinaus sind auch Angaben darüber, wie diese Umsetzung erreicht und im laufenden Betrieb aufrechterhalten wird, erforderlich. Die zur Verwirklichung des Sicherheitsmanagements erforderlichen Organisationsstrukturen, Verfahren, Prozesse und Mittel bilden das Sicherheitsmanagementsystem (SMS, vgl. Abbildung 7).

[Abb. 7]
Abbildung 7: Modell eines gesamtbetrieblichen Überwachungssystems für Sicherheitsmanagement

Erweiterter Fokus

Somit erweitert sich der Fokus der Betrachtung vom Sicherheitskonzept auf das Sicherheitsmanagementsystem. Das Sicherheitskonzept ist demnach ein Mittel des Sicherheitsmanagements zur Umsetzung der Sicherheitspolitik, wobei das Sicherheitsmanagement sich hierzu des Sicherheitsmanagementsystems bedient. Das Sicherheitskonzept spielt also eine zentrale Rolle. Es dient nicht nur dazu, die Sicherheitsmaßnahmen darzulegen, sondern diese auch nachvollziehbar und rückführbar zu begründen. Darüber hinaus stellt es als Systembeschreibung die Grundlage für die Überprüfung der Systemumsetzung dar.

Fazit

In Anlehnung und Analogie an die Qualifizierung eines IKS lässt sich auch ein SMS durch einen "neutralen Dritten" validieren. Auf der Basis der notwendigen Verfahrensdokumentation [Kam1, Kam2]. lässt sich mittels einer systemtechnischen Qualifizierung (Systemprüfung) auf der Grundlage definierter Kriterien eine Prüfaussage zum SMS ermitteln.

Somit lassen sich die Revisionsziele bzw. Prüfungsziele Ordnungsmäßigkeit, (Funktions-)sicherheit, Wirtschaftlichkeit, Qualität (und Recht) des SMS bestimmen.

Dipl.-Ing. Berthold Weghaus betreut den Bereich Informationssicherheit bei der [externer Link] TÜV Informationstechnik GmbH. Er ist stellvertretender Bereichsleiter Informationssicherheit und Leiter der Prüfstelle für "Elektronischen Zahlungsverkehr".

Literatur

[Föll]
"Regelungstechnik – Einführung in die Methoden und ihre Anwendung"; Otto Föllinger; Dr. A. Hüthig Verlag, Heidelberg 1985, ISBN 3-7785.1137-8
[Idw]
"Grundsätze für eine ordnungsgemäße Datenverarbeitung (GoDV)"; Handbuch der DV-Revision; 5. überarbeitete und erheblich erweiterte Auflage; Rainer Schuppenhauer; IDW-Verlag GmbH, Düsseldorf 1998
[Kam1]
"Grundsätze der elektronischen Archivierung"; Code of Practice zur revisionssicheren Archivierung; Zweite überarbeitete und erweiterte Ausgabe; Dr. Ulrich Kampffmeyer, Jörg Rogalla; VOI Verband Optische Informationssysteme e.V.; VOI Schriftenreihe Kompendium Band 3; 1997
[Kam2]
"Grundsätze der Verfahrensdokumentation nach GoBS"; Code of Practice zur revisionssicheren Archivierung; Erste Auflage; Karl-Georg Henstorf, Dr. Ulrich Kampffmeyer, Jan Prochnow; VOI Verband Optische Informationssysteme e.V.; VOI Schriftenreihe Kompendium Band 4; 1999
[Lüsch]
Edgar Lüscher; "Pipers Buch der modernen Physik"; R. Piper & Co. Verlag; München 1978, ISBN 3-492-02241-3
[Unbe]
Prof. Dr.-Ing. Rolf Unbehauen; "Systemtheorie – Eine Darstellung für Ingenieure"; R. Oldenbourg Verlag, München 1983, ISBN 3-486-38454-6
[Zille]
Dr. W. Zillessen; "Systemprüfung datenbankgestützter Informationssysteme – Grundlagen für Systemdokumentation, Internes Kontrollsystem und computergestützte Prüfungstechniken aus der Sicht der aktienrechtlichen Jahresabschlussprüfung"; Erich Schmidt Verlag, Berlin 1985, ISBN 3-503-02475-1

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 3/2000, Seite 75