Die wichtigsten Komponenten von offenen Systemen lassen sich durch den Fluss der betrachteten Strömungsgrößen durch ein System hindurch charakterisieren (vgl. Abb.1). Die Strömungsgrößen fließen in ein betrachtetes System ein (input), werden sodann verarbeitet (process) und verlassen dann das System wieder (output). Ein Kontrollmechanismus (control), der Gegenstand der Kybernetik1 ist, soll durch regulierende Eingriffe sicherstellen, dass das System den Zielvorstellungen entsprechend arbeitet [Föll, Lüsch, Unbe].
Abb. 1: Komponenten offener Systeme (Darstellung
gemäß DIN 66001)
Der Begriff der Information wird nur unter Zuhilfenahme der Begriffe "Daten" und "Nachrichten" exakt definiert. Damit lässt sich ein Informationssystem auch als ein geordnetes Netz von Elementen verstehen, die aufgrund formalisierter Kommunikationsprozesse gegenseitig Informationen austauschen.
Um einen Ansatz zu finden, wie Kontrollmechanismen bei offenen Informationssystemen arbeiten, muss nochmals auf die Kybernetik mit ihren selbstständig arbeitenden Reglungs- und Rückkopplungsmechanismen zurückgegriffen werden (vgl. Abb. 2).
Abbildung 2: Grundmodell eines Regelkreises Informationssysteme
lassen sich nun insgesamt als ein einziger übergeordneter
Regelkreis beschreiben..
Der Wirkungsablauf der so genannten Regelkreise soll allgemein formuliert sicherstellen, dass das zu regelnde System einen gewünschten Soll-Wert (Führungsgröße w) erreicht. Zu diesem Zweck wirkt der Regler R über eine Stellgröße y auf den zu regelnden Prozess (Regelstrecke S) ein; dieser Prozess unterliegt aber zusätzlich der Störgröße z. Der Ist-Zustand der Regelstrecke S wird vom Regler R über die Regelgröße x mitgeteilt. Stellt der Regler nun fest, dass zwischen der Regelgröße x und der Führungsgröße w Abweichungen e=w-x vorliegen, so wirkt er über die Stellgröße y korrigierend auf den Prozess ein.
Da in der prüfungstheoretischen Literatur keine einheitliche Definition des Prüfungsbegriffes zu finden ist, wird im Folgenden "Prüfung" wie folgt definiert: Prüfung ist:
Im Weiteren ist der Begriff Prüfung noch von den beiden Termini "Kontrolle" und "Internes Kontrollsystem" abzugrenzen. Als Kontrollen werden alle jene in die betrieblichen Abläufe direkt eingebauten, also prozessabhängigen oder prozessbegleitenden Maßnahmen bezeichnet, die bei festgestellten Soll-Ist-Abweichungen nicht nur über deren Existenz Auskunft geben, sondern auch selbstständig Korrekturmaßnahmen auslösen und damit die Konsequenzen fehlerhafter Entwicklungen korrigieren oder gar von vorne herein vermeiden können.
Der entscheidende Unterschied zwischen Prüfung und Kontrolle besteht also darin, dass Kontrollen prozessbegleitend stattfinden und dass sie nicht mit Abgabe von Urteilen über festgestellte Soll-Ist-Abweichungen abgeschlossen sind. Ausgehend von der Definition der Prüfung lässt sich der Kontrollprozess um die Phase Auslösung von Korrekturmaßnahmen erweitern, mit dem allerdings entscheidenden zusätzlichen Unterschied, dass Prüfungen prozessunabhängig und Kontrollen prozessabhängig, also parallel zu den kontrollierenden betrieblichen Abläufen erfolgen. Die Prüfung hingegen ist primär eine Momentaufnahme.
Sind für eine Vielzahl betrieblicher Abläufe Kontrollen aufeinander abgestimmt, d.h., weisen verschiedene Kontrollen Beziehungen zueinander auf, so kann man die Gesamtheit dieser Kontrollen auch als Kontrollsystem bezeichnen. Da damit stets innerbetriebliche Kontrollen gemeint sind, hat sich in der Literatur der Begriff des "Internen Kontrollsystems" in Anlehnung an die in den USA gebräuchliche Bezeichnung "Internal Control" allgemein durchgesetzt.
Eine nähere Beschreibung der Aufgaben eines Internen Kontrollsystems bietet die Definition des "Internal Control" im Statement on Auditing Standards (SAS) No. 1 des American Institute of Certified Public Accountants (AICPA). Demzufolge versteht man unter einem Internen Kontrollsystem die Gesamtheit aller aufeinander abgestimmten innerbetrieblichen Maßnahmen und Methoden, die dazu dienen:
Da diese Aufgabenbeschreibung den Bereich des betrieblichen Rechnungswesens überschreitet, gliedert das AICPA das Interne Kontrollsystem noch einmal in die beiden Blöcke "Accounting Controls" (Aufgabenbereiche der ersten beiden Spiegelpunkte) sowie "Administrative Controls" (Aufgabenbereiche der beiden anderen). Sofern im weiteren Verlauf dieses Beitrages der Begriff des Internen Kontrollsystems Verwendung findet, soll sich dieser stets nur auf die Aufgabenbereiche der beiden erstgenannten beziehen, wobei der Schwerpunkt im zweiten Aufgabenkomplex liegen wird (die Genauigkeit und Zuverlässigkeit der (Abrechnungs-)daten zu gewährleisten).
In diesem Zusammenhang ist es noch erforderlich, eine Abgrenzung zwischen Internal Control und Interner Revision vorzunehmen. Obwohl in der Literatur überwiegend die Ansicht vertreten wird, dass die Interne Revision ein Teil des Internen Kontrollsystems ist, sollen beide Überwachungsformen im Folgenden gemäß der bisherigen Definitionen streng getrennt werden. Denn zum einen unterscheiden sie sich eindeutig durch das Kriterium der Prozessunabhängigkeit voneinander, welches bereits als wesentliches Merkmal zur Differenzierung zwischen den Begriffen Prüfung und Kontrolle herausgestellt worden ist; zum anderen gehört es gerade zu den Aufgaben der Internen Revision, die Funktionsfähigkeit des Internen Kontrollsystems zu überprüfen, was bei der Zugehörigkeit der Internen Revision zum Internal Control auf eine Selbstprüfung hinauslaufen würde.
Die drei zentralen Formen der Überwachung betrieblicher Abläufe – die Interne Revision, das Interne Kontrollsystem und die externe Jahresabschlussprüfung – als eine von unternehmensexternen Personen auf privater Basis durchgeführte und an gesetzlich festgelegten Prüfungsnormen orientierte Prüfung sollen abschließend als Überwachungssysteme mit Hilfe von Regelkreisanalogien dargestellt werden.
Auf Basis der oben getätigten Grundüberlegungen lassen sich drei Grundtypen von Überwachungssystemen unterscheiden, denen konkrete betriebliche Überwachungsformen zugeordnet werden können; sie werden im Folgenden kurz beschrieben, um dann abschließend aus diesen drei Grundtypen das Modell eines gesamtbetrieblichen Überwachungssystems am Beispiel eines Sicherheitsmanagementsystems ableiten zu können [Zille].
Der in Abbildung 3 wiedergegebene Typ 1 repräsentiert die einfachste Form eines Überwachungssystems und stellt eine bloße Interpretation des in Abbildung 2 wiedergegebenen Grundmodells eines Regelkreises dar. Die Regelstrecke entspricht dem Überwachungsobjekt, die Stellgröße den das Überwachungsobjekt steuernden Entscheidungen und als Regelgröße gelangen Informationen über den Ist-Zustand des Überwachungsobjektes an die Überwachungsinstanz (Regler); als Führungsgröße fungieren schließlich systemintern vorgegebene Soll-Normen und als Störgröße alle Einflüsse auf das Überwachungsobjekt, die vom Regler nicht kontrolliert werden können.
Abbildung 3: Überwachungssystem vom Typ 1
Kennzeichnend für dieses Überwachungssystem ist die Identität von Prüfungs- und Entscheidungsinstanzen, d. h., die Soll-Ist-Vergleiche wie auch die bei festgestellten Abweichungen notwendigen Korrekturentscheidungen gehen von ein und der selben Stelle aus. Diese Überwachungsinstanz erfüllt damit alle beschriebenen Merkmale einer Kontrolle, sodass dieses Überwachungssystem von Typ 1 der Definition eines Internen Kontrollsystems entspricht.
Ein Überwachungssystem vom Typ 2 unterscheidet sich vom Typ 1 im Wesentlichen dadurch, dass die Überwachungsinstanz jetzt in eine Prüfungs- und Entscheidungsinstanz aufgespalten wird. Die Prüfungsinstanz ist der Entscheidungsinstanz organisatorisch unterstellt und erhält von dieser aus einer festgelegten systeminternen Gesamtzielsetzung abgeleitete Soll-Normen zur Durchführung von Soll-Ist-Vergleichen; festgestellte Soll-Ist-Abweichungen werden als Prüfungsurteil der Entscheidungsinstanz mitgeteilt, die dann einen korrigierenden Einfluss auf das Überwachungsobjekt ausüben kann. Eine direkt der Unternehmensführung als Prüfungsinstanz zugeordnete Interne Revisionsabteilung stellt den typischen Fall eines derartigen in Abbildung 4 wiedergegebenen Überwachungssystem vom Typ 2 dar.
Abbildung 4: Überwachungssystem vom Typ 2
Der dritte Typ möglicher Überwachungssysteme baut auf der organisatorischen Trennung der Überwachungsfunktion in eine Prüfungs- und Entscheidungsinstanz auf, entzieht aber zusätzlich die Prüfungsaufgaben der Einflusssphäre der die Korrekturentscheidungen durchführenden unternehmensinternen Instanzen. Dies geschieht dadurch, dass die Prüfungsinstanz außerhalb des zu überwachenden Systems angesiedelt wird, auf der Basis extern vorgegebener Soll-Normen Prüfungen durchführt und über deren Ergebnis in Form eines Prüfungsurteils an die Entscheidungsinstanz berichtet.
Abbildung 5: Überwachungssystem vom Typ 3
Ein solcher Überwachungstyp, wie er sich beispielsweise in der Form einer Jahresabschlussprüfung präsentiert, dient in erster Linie einer unabhängigen Prüfung im Interesse solcher Personen, die keinen unmittelbaren Einfluss auf das Überwachungsobjekt selbst ausüben können.
Aufbauend auf den beschriebenen Regelkreisanalogien lässt sich nun ein Modell ableiten, welches ein alle drei Typen umfassendes Überwachungssystem darstellt und damit, bezogen auf betriebliche Anwendungen, das Interne Kontrollsystem (Typ 1), die Interne Revision (Typ 2) und die Jahresabschlussprüfung (Typ 3) einbezieht. Abbildung 6 stellt das entsprechende Regelkreismodell graphisch dar.
Abbildung 6: Modell eines gesamtbetrieblichen
Überwachungssystems
Das Modell wird in Zusammenhang mit der im Folgenden näher zu charakterisierenden TÜViT-Abnahme von Sicherheitsmanagementsystemen (SMS) aufgegriffen und hinsichtlich seiner Elemente sowie den zwischen den verschiedenen Überwachungsträgern möglichen Beziehungen diskutiert.
Die Gesamtheit aller von einer Unternehmensführung geplanten, durchgeführten und kontrollierten sicherheitsbezogenen Tätigkeiten und Ziele wird im Folgenden als Sicherheitsmanagement (SM) bezeichnet.
Aus Managementsicht führen das Konzipieren und das Realisieren der Sicherheitsmaßnahmen zum Erreichen und Aufrechterhalten eines angemessenen Sicherheitsniveaus bei der Leistungserbringung. Die möglichen Folgen des Verlustes an Sicherheit machen die Notwendigkeit folgender Managementaufgaben offensichtlich [Idw]:
Die Sicherheitspolitik, verstanden als umfassende Absichten und Zielsetzungen zur Sicherheit, wird also durch das Sicherheitsmanagement umgesetzt.
Das Sicherheitskonzept beschreibt die im Sinne der Sicherheitspolitik notwendigen und hinreichenden Sicherheitsmaßnahmen. Es hat daneben eine Darstellung der Ablauforganisation der Tätigkeit und eine Übersicht über die eingesetzten technischen Komponenten zu enthalten. Bestandteil des Sicherheitskonzeptes ist ebenfalls eine Darstellung der spezifischen Bedrohungen und Risiken im Unternehmen.
Unter dem Aspekt der Sicherheit ist es entscheidend, dass die dargelegten Maßnahmen angemessen sind, nachvollziehbar begründet werden und wie beschrieben umgesetzt sind. Darüber hinaus sind auch Angaben darüber, wie diese Umsetzung erreicht und im laufenden Betrieb aufrechterhalten wird, erforderlich. Die zur Verwirklichung des Sicherheitsmanagements erforderlichen Organisationsstrukturen, Verfahren, Prozesse und Mittel bilden das Sicherheitsmanagementsystem (SMS, vgl. Abbildung 7).
Abbildung 7: Modell eines gesamtbetrieblichen
Überwachungssystems für Sicherheitsmanagement
Somit erweitert sich der Fokus der Betrachtung vom Sicherheitskonzept auf das Sicherheitsmanagementsystem. Das Sicherheitskonzept ist demnach ein Mittel des Sicherheitsmanagements zur Umsetzung der Sicherheitspolitik, wobei das Sicherheitsmanagement sich hierzu des Sicherheitsmanagementsystems bedient. Das Sicherheitskonzept spielt also eine zentrale Rolle. Es dient nicht nur dazu, die Sicherheitsmaßnahmen darzulegen, sondern diese auch nachvollziehbar und rückführbar zu begründen. Darüber hinaus stellt es als Systembeschreibung die Grundlage für die Überprüfung der Systemumsetzung dar.
In Anlehnung und Analogie an die Qualifizierung eines IKS lässt sich auch ein SMS durch einen "neutralen Dritten" validieren. Auf der Basis der notwendigen Verfahrensdokumentation [Kam1, Kam2]. lässt sich mittels einer systemtechnischen Qualifizierung (Systemprüfung) auf der Grundlage definierter Kriterien eine Prüfaussage zum SMS ermitteln.
Somit lassen sich die Revisionsziele bzw. Prüfungsziele Ordnungsmäßigkeit, (Funktions-)sicherheit, Wirtschaftlichkeit, Qualität (und Recht) des SMS bestimmen.
Dipl.-Ing.
Berthold Weghaus betreut den Bereich Informationssicherheit bei der
TÜV
Informationstechnik GmbH. Er ist stellvertretender
Bereichsleiter Informationssicherheit und Leiter der
Prüfstelle für "Elektronischen
Zahlungsverkehr".
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 3/2000, Seite 75