ÂLiebe Leserinnen und Leser, - Wildensee1 ÂLiebe Leserinnen und Leser, die Risiken unserer...

1

Liebe Leserinnen und Leser,

die Risiken unserer vernetzten IT-Welten sind evident und permanentes Thema auch in ReVision; trotz-dem konstatiert der IT-Revisor bei vielen Prüfungen immer wieder mit Erstaunen, mit welcherLeichtfertigkeit diesen Risiken begegnet wird oder mit welcher Oberflächlichkeit die IT "outgesourced"wird. IT-Sicherheit kostet Geld, und der Wirtschaftlichkeitsnachweis fällt zugegebenermaßen schwer. Unterdem Stichwort RoSI - Return on Security Investment - versucht man methodisch, diese Argumentations-lücke zu schließen. Lesen Sie den diesbezüglichen Leitbeitrag von Wilhelm Kruth.

Sie führen in der aktuellen IT-Security-Diskussion bzgl. Internet, Intranet, eCommerce, WLANs als sog.“Dinosaurier” ein scheinbares Schattendasein, sind aber in den IT-Landschaften immer noch gegenwärtigund revisionsrelevant: die Großrechner und ihre Sicherheits-Tools wie RACF, ACF2 oder TOP SECRET.Halten Sie auch diesbezüglich Ihren Prüfungsplan und Ihr Prüfungswissen auf dem Laufenden.

Aktuell und dargestellt in sehr grossen Projekten findet in zahlreichen Kommunen die Umstellung vonder Kameralistik zur kaufmännischen Buchhaltung statt, oft verbunden mit der Einführung von SAP R/3.Die Umsetzung und toolgestützte Begleitung dieser SAP-Projekte, wie im Beitrag von Herrn Dr. Daumvon der Stadt Mannheim geschildert, ist sicher nicht nur für Revisoren des "Public"-Bereiches ein brisan-tes Thema.

Viel Inspiration aus unseren Beiträgen für Ihre praktische Prüfung wünscht Ihnen wie immer

herzlichst Ihr

Ottokar R. Schreiber

Erscheinungsweise: ¼-jährlich jeweils Februar/Mai/August/NovemberHerausgeber: Ottokar R. Schreiber

Verlag: OSV Ottokar Schreiber Verlag GmbHFriedrich-Ebert-Damm 145 • 22047 Hamburg

Fon: +49(0)40 /69 69 85 -14 • Fax +49(0)40 /69 69 85 -31eMail: [email protected] • www.revision-hamburg.de

BeiträgeFür unaufgefordert eingesandte Manuskripte wird keine Haftung übernommen. Der Verlag behältsich insbesondere bei Leserbriefen das Recht der Veröffentlichung, der Modifikation und der Kürzungvor. Leserbriefe können in beliebiger Form (handschriftlich, per eMail, Fax usw.) zugesandt werden.Manuskripte sollten uns in Dateiform zugesandt werden, vorzugsweise im RTF- oder Winword-For-mat, Bildmaterial bitte im TIFF-Format/Auflösung 200 dpi od. JPEG 300dpi. Zur Veröffentlichungangebotene Beiträge müssen von allen Rechten Dritter frei sein. Wird ein Artikel zur Veröffentlichungakzeptiert, überträgt der Autor dem OSV das ausschließliche Verlagsrecht, das Recht zur Herstellungweiterer Auflagen und alle Rechte zur weiteren Vervielfältigung bis zum Ablauf des Urheberrechts.Wird der Artikel Dritten ebenfalls zur Veröffentlichung angeboten, muss dies dem OSV bekanntge-geben werden.

eMail: [email protected]

Zu den Konditionen rufen Sie bitte unsere aktuellen Mediadaten ab. Zur problemlosen Abwicklungund korrekten Darstellung stellen Sie uns die Anzeigen vorzugsweise als tiff- oder eps-Datei zurVerfügung. Sollte dies nicht möglich sein, bitten wir um Rücksprache hinsichtlich der geliefertenDateiformate. Telefon 040/69 69 85 -14. Design-Erstellung auf Wunsch auch durch unsere Medien-abteilung möglich.

Anzeigenleitung: Alexandra Palandrani,Telefon 040 / 69 69 85 -14

eMail: [email protected]/Abonnement:

Alexandra PalandraniOSV Ottokar Schreiber Verlag GmbH

eMail: [email protected] Hinweise

Der Inhalt dieser Zeitschrift inklusive aller Beiträge und Abbildungen ist urheberrechtlich geschützt.Jede Vervielfältigung oder Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassenwird, bedarf der schriftlichen Zustimmung des OSV. Dies gilt auch für Bearbeitung, Übersetzung,Verfilmung, Digitalisierung und Verarbeitung bzw. Bereitstellung in Datenbanksystemen und elektro-nischen Medien einschließlich der Verbreitung über das Internet. Namentlich gekennzeichnete Artikelgeben ausschließlich die persönlichen Ansichten der Autoren wieder. Die Verwendung vonMarkennamen und rechtlich geschützten Begriffen auch ohne Kennzeichnung berechtigt nicht zu derAnnahme, dass diese Begriffe jedermann zur Verwendung oder Benutzung zur Verfügung stehen.

DTP-ProduktionGrafik/Illustration: Dirk Kirchner, ibs schreiber gmbh

Layout/Satz: Alexandra Palandrani, OSV HamburgDruck: Druckerei Zollenspieker Kollektiv GmbH

Zollenspieker Hauptdeich 5421037 Hamburg

Printed in Germany. • Gedruckt auf chlorfrei gebleichtem Papier© Copyright 2004 by OTTOKAR SCHREIBER VERLAG GMBH, Hamburg

Alle Rechte vorbehalten.

Mission RoSI . . . . . . . . . . . S. 5

Prüfung eines NetworkAttached Server-Systems(NAS) . . . . . . . . . . . . . . . . S. 13

Revision von RACF . . . . . S. 17

IT-Prüfung von SAP R/3® imkommunalen Bereich . . . . S. 21

Crash-Kurs: CheckAud® for SAP R/3® 2.8Auswertung von Zugriffs-rechten auf Geschäfts-prozessen . . . . . . . . . . . . . .S. 26

Risikoorientierte Prüfungsplanungin kleinen Revisionsstäben -Anforderungen an eineSystematisierung . . . . . . . S. 33

4

IT Revision Revision

Impressum

SAP R/3®

Seminare . . . . . . . . . . . . . . S. 42

Buchhinweise . . . . . . . . . . S. 46

Abonnement . . . . . . . . . . S. 48

Impressum . . . . . . . . . . . . . S. 4

VerlagshinweisNächste Ausgabe der

ReVisionNovember 2004

Redaktions-/Einsendeschluss fürdiese Ausgabe:20.10.2004

Al lgemein

5

Mission RoSIWirtschaftlichkeit der IT-Sicherheit

Trojaner-, Hacker- und Virenattacken gehören inzwi-schen zum Alltag jedes Unternehmens. Und immernoch wird das Thema Sicherheit beim Einsatz vonInformationstechnik (IT), verkürzt als IT-Sicherheitbezeichnet, nicht ernst genug genommen. Dieernüchternde Botschaft fast aller Befragungen, dieim vergangenen Jahr zum Thema Sicherheit in dertechnikunterstützten Informationsverarbeitungdurchgeführt wurden, lautet: Die überwiegendeAnzahl der befragten Chief Information Officer(CIO) und Chief Securiy Officer (CSO) gab zu, dassexterne und interne Angriffe ihre Systeme gefähr-det hätten.

Wilhelm KruthEuskirchen

Mit anderen Worten: es gabkeine oder leicht überwindbareSicherheitsbarrieren. In zahlrei-chen Fällen wurden Schädendurch gelungene Angriffe verur-sacht. Einer internationalen Stu-die zufolge haben mehr als dieHälfte der befragten Unterneh-men ihr finanzielles Engagementin Sachen IT-Sicherheit im Jahr2003 nicht aufgestockt, obwohldas Bedrohungspotenzial durchHacker, frustrierte Mitarbeiterund andere Risikoquellen nichtkleiner wird. Nur jedes vierteUnternehmen war bereit, in 2004mehr als im Vorjahr in IT-Sicher-heit zu investieren.

Warten aauf RRoSI

Viele Unternehmen habenberechtigte Sorge um einen Teil-oder Gesamtausfall der installier-ten IT. Obwohl dieser Angst-

faktor genug Antriebskraft ent-wickeln müsste, um mehr inSicherheitsmaßnahmen zu inve-stieren, ist der Sparzwang, denChief Financial Officers (FCO)ausüben, stärker. Die Diskrepanzzwischen dem Zwang zum not-wendigen Handeln einerseits unddem Zurückfahren der IT-Bud-gets andererseits wird oft dadurchverstärkt, dass technische undbetriebswirtschaftliche Begrün-dungen nicht auf einen gemeinsa-men und für beide Seiten ver-ständlichen Nenner harmonisiertwerden können.

Aushilfe in solchen Situatio-nen bieten Sicherheits-Metriken,die CIOs und CSOs Argumenta-tionshilfen liefern, um Investi-tionen in Sicherheitsmaßnahmenüberzeugender zu rechtfertigen.Voraussetzung hierfür ist, dassRisiken, denkbare Schäden und

Sicherheitsmaßnahmen bereitszum Beschaffungszeitpunkt derzu schützenden Systemkompo-nenten ermittelt werden. Wenndann die IT-Abteilung zumBeispiel ein Netzwerk mit einerhöheren Übertragungsleistungfordert, das den Zuwachs an An-wendern und ihren Transaktions-bedarf kompensieren soll, dannmuss daraus für das Sicherheits-ziel der Verfügbarkeit die Metrikentwickelt werden, dass einNetzwerk mit einer bestimmtenKapazität Risiken durch techni-sche Ausfälle ausgesetzt ist, vondenen erheblich mehr Applikatio-nen - und damit Anwender - be-troffen sind als bei einem Netz-werk mit geringerer Transfer-leistung. Metriken können zwarhelfen, Verständigungsproblemezu reduzieren, indem sie dieBrücke zwischen technischen undwirtschaftlichen Argumenten

schlagen. Ein Ersatz für mathe-matische Verfahren zur Bewer-tung der Wirtschaftlichkeit der ITsind sie nicht.

IT-Sicherheit wird meist nurauf der Ausgabenseite verbucht.Unter dem Schlagwort "RoSI(Return on Security Investment)hilft sparen" wird die Diskussionum eine wirtschaftliche Betrach-tung der IT-Sicherheit wiederbe-lebt.. Die Befürworter von RoSIbegründen die RoSI-Missiondamit, dass Investitionen in IT-Sicherheit notwendig sind, um dieKosten, die durch Angriffe realentstehen oder mit einer hohenEintrittswahrscheinlichkeit alsSchadenshöhe kalkuliert werden,erheblich zu reduzieren unddamit einen Zusammenhang zwi-schen Gewinn und IT-Sicherheitherzustellen.

RoSI iist nnicht eeinfach

RoSI wird allgemein definiertals eine Ertragsberechnung aufdas in die IT-Sicherheit investier-te Kapital. Sicherheitsinvestitio-nen stellen keinen unmittelbarenerrechneten Nutzen dar, sondernvermeiden lediglich den Abzugvon Werten. Die Bewertung desRisikos und die Bemessung derSicherheitsmaßnahmen sindwesentliche Berechnungsgrund-lagen für RoSI. Die Bemessungder Risiken umfasst die wahr-scheinliche Schadenshöhe, denAufwand, den ein Angriff unddessen Abwehr mit sich bringen,sowie die Wahrscheinlichkeit, mitder ein bestimmtes Ziel als

Angriffsziel ausgesucht werdenkönnte.

Daraus lassen sich mehrereErkenntnisse ableiten:• Eine aufwändige Wirtschaft-

lichkeitsberechnung mit kon-sequenter Anwendung derRoSI-Regeln lohnt sich nichtin jedem Fall. Großunterneh-men haben es hier natürlichleichter als mittelständischeUnternehmen. Allerdingskönnen auch mit einfacherenVerfahren für Sicherheits-investitionen in überschauba-re IT-Infrastrukturen aussa-gefähige Erkenntnisse zurGesamtwir tschaftl ichkeitgewonnen werden.

• Sicherheitsinvestionen ver-meiden oder reduzieren ledig-lich Wertabflüsse. Sie erzeu-gen allerdings auch Positiv-effekte, zum Beispiel Umsatz-steigerungen infolge vonZusatzgeschäften durchsichere, neue Geschäftsmög-lichkeiten oder Reduzierungdes Administrationsaufwan-des in der Benutzerverwal-tung durch Einführungmoderner Single-Sign-On-Lösungen.

• RoSI und jedes andereVerfahren zur Ermittlung derWirtschaftlichkeit von Sicher-heitsinvestitionen stehen amEnde eines einem methodi-schen Analyse- und Bewer-tungsprozesses.

Auch Anbieter von Sicher-heitsprodukten vermarkten ihreProdukte oft mit RoSI-Hilfe.

Dabei werden die Entwicklungs-,System- und Organisationskostengezielt den Erträgen - oder derVermeidung von Verlusten -gegenübergestellt, die durch eineverbesserte Sicherheit möglichwerden. Standen bisher die Kos-ten der Implementierung einerSicherheitslösung im Vorder-grund, richtet sich der Fokusheute vermehrt auf das möglicheEinsparpotenzial einer Sicher-heitslösung.

In ddrei SSchritten zzum EErfolg

Die Bewertung der Wirt-schaftlichkeit von Sicherheits-investitionen ist der letzte Schrittin einer logischen Entwicklungs-struktur für ein Sicherheitskon-zept, das diesen Namen auch ver-dient. Jedes Unternehmen musssich zunächst darüber klar wer-den, welche Auswirkungen neueTechnologien auf den IT-Einsatzin Zukunft haben werden undwelchen Risiken heute und inZukunft seine schützenswertenObjekte - Daten, Software, Hard-ware - ausgesetzt sind, und wel-che Folgen im Schadensfall sichfür die Kontinuität der Leistungs-erbringung insbesondere in denWertschöpfungsprozessen desUnternehmen, ergeben. Größe,Ertragskraft und Marktpositiondes Unternehmens bestimmenden Grad der Organisationskom-plexität und der informations-technischen Infrastruktur unddamit auch den zu leistendenAufwand für die Gewinnung vonverwertbaren Erkenntnissen.Aber diese Arbeit muss in jedem

6

Fall geleistet werden. Erst amEnde kann man sich darüberGedanken machen, welches Ver-fahren zur Bewertung von Kos-ten und Nutzen für eine Wirt-schaftlichkeitsbetrachtung heran-gezogen wird.

1. Schritt: Technologie-Trendserkennen und bewerten

In der IT-Technologie spielen sogenannte Mega-Trends wieeBusiness und Mobilität eine ent-scheidende Rolle bei der Planungkünftiger Systemarchitekturen.Bekannte und beherrschbareRisikopotenziale verändern ihreStruktur oder mutieren zu neuenBedrohungen. Das Bild dermodernen IT wird geprägt durch• die Steigerung der Komplex-

ität infolge Abhängigkeitenund Wechselwirkungen zwi-schen den unterschiedlichenTechnologien und dem Pro-blem der Beherrschbarkeitvon Risiken. Beispiele sinddie Zuwachsraten im eBusi-ness-Geschäft mit der Folge-wirkung dynamisch wachsen-der Speicheranforderungenund der Öffnung von elektro-nisch verwalteten Geschäfts-prozessen zum Geschäfts-partner oder zum Endkun-den. Auf diesem operativenGeschäft setzen entschei-dungsunterstützende Systemein Data Warehouse-Techno-logie auf. Diese komplexeAnwendungsarchitektur stelltnicht nur neue Anforderun-gen an die Integration vonApplikationen auf den unter-

schiedlichen Ebenen desArchitekturmodells, nebenbekannten und mehr oderminder beherrschbaren Risi-ken sind neue Bedrohungenzu berücksichtigen.

• die Dynamik einer Entwick-lung, die durch rasante Tech-nologiewechsel mit immerkürzeren Produktlebenszyk-len von IT-Komponentenund das Verändern von cha-rakteristischen Eigenschaftenvon bis dato beherrschbarenRisiken gekennzeichnet ist.

• die Kritikalität des IT-Ein-satzes, die in der engen Ver-bindung von IT und Businessund den Wirkungen vonSchadenseintritten sichtbarwird.

Der Bedarf an IT und damitauch an IT-Sicherheit wächstkontinuierlich. Die hohe Bedeu-tung der IT für die Kerngeschäftedes Unternehmens ist unumkehr-bar. Eine ordnungsgemäße, seriö-se und haltbare Planung des IT-Einsatzes in einem kurz- und mit-telfristigen Planungshorizont istohne die Entwicklung einesSicherheitsprofils für die zuschützenden Objekte nicht denk-bar.

2. Schritt: Ermittlung desRisikowertes

Eine Risikoanalyse liefertErkenntnisse über bekannte odervermutete Bedrohungen, derenEintrittswahrscheinlichkeit unddie Folgen gelungener Angriffe,die in der monetär bewerteten

Schadenshöhe sichtbar werden..Der Analyse- und Bewertungs-prozess muss gründlich vorberei-tet werden. Dazu gehört eingemeinsames Verständnis derBeteiligten für Aufgaben undZiele eines leistungs- und entwik-klungsfähigen Sicherheitskonzep-tes. In einem weiteren Vorberei-tungsschritt werden für dieKerngeschäfte des Unterneh-mens• die für die Leistungsprozesse

relevanten Daten ermitteltund nach verschiedenen Kri-terien wie Aufwand undKosten einer Wiederbeschaf-fung und den Informations-wert für Konkurrenzunter-nehmen in verschiedeneSicherheitsklassen eingeteilt.Für diese Maßnahme ist esunerheblich, ob es sich umpersonenbezogene oder reinsachorientierte Daten han-delt. Im Vordergrund derBetrachtungen steht hier dasInteresse des Unternehmensan einer umfassenden Infor-mationssicherheit.

• die tragbaren und maximaltolerierbaren Ausfallzeitendiskutiert. Zeithorizont fürdie Bestimmung der maximaltolerierbaren Ausfallzeit istdie Existenzgefährdung desUnternehmens infolge Nicht-verfügbarkeit von Daten und/ oder anderen Ressourcender IT, die für die Leistungs-erbringung in den Kern-geschäften unverzichtbar sindund nicht in einer akzepta-blen Zeit wieder verfügbargemacht werden können.

7

Die richtige Bewertung derKritikalität von Daten ist einProblem in vielen Unternehmen.Beispielsweise schützt ein Unter-nehmen den Zugang zm Speise-plan im Intranet mit der gleichenTechnologie wie den Zugang zupersönlichen Daten über Mit-arbeiterportale. Die Informa-tionssicherheit ist in diesem Fallefür den Speiseplan zu hoch undden Schutz personenbezogenerInformationen zu gering. [ ] Esgilt der Grundsatz, dass das ausdem Schutzbedarf der Daten undder für die Speicherung, Verar-beitung und Übermittlung einge-setzten Systeme das Anforde-rungsprofil für angemesseneSicherheitsmaßnahmen zu ent-wickeln ist. Nur dann kann eineRoSI-Berechnung auf Basis vali-der Daten durchgeführt werden.

Bei der Ermittlung undBewertung von Risiken herrschtoft Hilflosigkeit vor. Investitions-entscheidungen für IT-Sicherheitberuhen daher oft auf Furcht,Unsicherheit und Zweifel. Dievon Unternehmensberatern oftund gerne durchgespielten WorstCase-Szenarien und der perma-nente Hinweis auf gesetzlichdefinierte Sicherheitsanforderun-gen sind kontraproduktiv, weil sieÄngste und Zweifel nicht beseiti-gen, sondern verstärken.

Die Analyse von Schadens-wirkungen, die durch externeoder interne Angriffe erzeugtwerden können, beruht in denmeisten Fällen nur auf Annah-men, da es an eigenen histori-

schen Daten mangelt. Statistikenüber Anzahl und Folgewirkungenvon Schäden, die jedes Jahr inbreiter Fülle auf den Markt ge-schwemmt werden, liefern nurschlichte Erkenntnisse darüber,welche Risiken in einem bestim-mten Zeitraum in welcherHäufigkeit aufgetreten sind. DieBulletins des Bundesamtes fürSicherheit in der Informations-technik (BSI) und andereInformationsquellen im Internetbieten hier ein deutliches Mehr anaktueller Information. Dies giltbesonders für Angriffe, die durchViren & Co und Hacker erfolgen.Sie stellen eine permanenteBedrohung mit einer hohenEintrittswahrscheinlichkeit dar.Da diese Angriffe wie alle ande-ren Störungen des ordnungsge-mäßen Systembetriebes techni-sche und / oder organisatorischeSchwachstellen als Einfallstorbenutzen, ist es zweckmäßig,zunächst diese Schwachstellen zuermitteln. Hierfür wie für die wei-teren Aktionen zur Ermittlungund Analyse von Risiken bietensich Szenarien als instrumentaleMöglichkeiten einer ganzheit-lichen Problemsicht an. Verwert-bare Aussagen zu den Wirkungs-größen eines Schadens könnennur im Dialog mit den Informa-tionseigentümern, also den ver-antwortlichen Fach- bzw.Geschäftsbereichen, gewonnenwerden.

Die rechnerische Ermittlungdes Risikowertes nach der Formel"Risikowert = Eintrittswahr-scheinlichkeit * Schadenshöhe"

setzt den Schlusspunkt unter dieaufwändigen, aber notwendigenVorarbeiten. Die rein quantitativeErmittlung des Risikowertesberücksichtigt nicht die For-derungen, die das Aktiengesetz,das Gesetz zur Kontrolle undTransparenz im Unternehmens-bereich, die Datenschutzgesetzeund sonstige Rechtsvorschriftenan die Herstellung und kontinu-ierliche Fortentwicklung der IT-Sicherheit stellen. Bei der Ab-schätzung der Risiken und derFolgen eines Störfalls sind daherzusätzlich die gesetzlichen An-forderungen an den ordnungsge-mäßen und damit sicherenBetrieb der IT, die Haftungs-fragen, die sich aus gesetzlichenund vertraglichen Regelungenergeben und die Anforderungenvon Geschäftspartnern undEndkunden an das "Vertrauens-prinzip" im elektronischen Ge-schäftsverkehr zu berücksichti-gen.

Die Ergebnisse der Risiko-bewertung werden in Risiko-Portfolilos präsentiert. Aus denPortfolios ist nicht nur erkennbar,welche Sicherheitsmaßnahmenvordringlich zu realisieren sind,sondern auch, welche "Wander-bewegungen" in der Entritts-wahrscheinlichkeit zu erwartensind und welche Auswirkungensich darauf auf die Schadenshöheergeben. Typische Veränderun-gen sind zum Beispiel die wach-sende Zahl von Viren-, Wurm-und Trojaner-Attacken, oder einverstärktes Risiko durch ein sichverschlechterndes Sozialklima im

8

Unternehmen mit der Folge, dassdie Zahl der internen Angreiferzunimmt.

Die "Wanderbewegungen"sind durch Pfeile markiert. Überdas Portfolio kann als weitereSicht die Zuordnung von Risikenzu definierten Prozessen erfolgen(Prozess P1 ist den Risiken R1und R 2 ausgesetzt).

Das Gesamtrisiko ergibt sichaus der Summation der Einzel-risiken. Kritische Erfolgsfaktorenfür die Aussagekraft der Risiko-Portfolios sind die Vollständigkeitanalysierter Bedrohungs-Szena-rien, die Ermittlung der realisti-schen Eintrittswahrscheinlichkei-ten und die Berechnung derSchadenshöhe.

3. Schritt: Wirtschaftlichkeits-betrachtung

Kosten für Sicherheitsmaß-nahmen erhöhen anfangs denSchutz sprunghaft, ab einer einer

frühen Grenze steigt der Schutzallerdings nur noch linear. Einehöhere Eintrittswahrscheinlich-keit eines Angriffs führt zur Er-höhung der notwendigen Kostenfür ein vergleichbares Sicherheits-niveau.

Mit den einmal getätigtenInvestitionen ist es nicht getan.Für IT-basierte Sicherheitspro-dukte gilt das Gleiche wie für jedeandere Hardware und Software:die Lebenszyklen werden kürzer,neue Technologien bringen deut-liche Mehrwerte in der Abwehrvon Angriffen gegenüber vorhan-denen Sicherheitsbarrieren. Kos-tentreiber sind aber auch neueoder erweiterte Handlungsfelderder IT-Nutzung und die sich dar-

aus entwickelnden Risikopoten-ziale. Wichtig ist, dass bei derAuswahl von Sicherheitsmaßnah-men und der Bewertung ihrerSchutzwirkung gegenüber An-griffen nicht nur auf Einzelmaß-nahmen abgestellt wird, sonderneine ganzheitliche Betrachtungangestrebt wird. Einzelne Maß-nahmen für sich haben häufig nureinen begrenzten Schutzwert. Oftwird erst durch die Kombinationvon einzelnen Maßnahmen dasdefinierte Sicherheitsprofil erfüllt.

Die Kosten für ein konkretesBedrohungs-Szenario könnendurch gezielte Maßnahmen zurRisikovermeidung, Risikover-minderung durch Prävention undRisikoüberwälzung reduziertwerden. Durch die Beseitigungvon Schwachstellen in der Ge-schäfts- und Prozessorganisationwerden Risiken vermieden.Präventive Maßnahmen wie eineffizientes Risiko-Managementoder eine hochverfügbare Fire-wall-Architektur bewirken eineRisikoverminderung. Eine Risi-koüberwälzung auf Versicherun-gen entlastet im Schadensfall dasBudget zur Abdeckung vonFolgekosten, die durch Aufwän-de zur Herstellung eines stabilenund konsisten Betriebszustandesentstehen. Risikoakzeptanz wirddurch eien transparente Infor-mationspolitik erreicht, die nichtvermeidbare Risiken diskutiert.Risikoakzeptanz ist aber auch dieBereitschaft, in notwendigeSicherheitsmaßnahmen zu inve-stieren. Am Ende bleibt dasRestrisiko.

9

Abb. 1 Risiko-Portfolio

An zwei einfachen Beispielen solldeutlich gemacht werden, welchedirekten Kosten durch Schädenin fast alltäglichen Störfällen ent-stehen können:1. Während eines nächtlichen

Gewitters schlug in einenBaukran der Blitz ein. Seinweiterer Weg ins Erdreichführte ihn dann an Telefon-kabeln vorbei. Die entstande-ne Überspannung breitetesich gleichmäßig aus und er-reichte auch die Telefonan-lage eines großen Maklerbü-ros, dessen Räume auf demNachbargrundstück lagen.Die Telekommunikationsan-lage des Maklerbüros konntezwei Tage nicht benutzt wer-den, der vom Maklerbüro ins-gesamt ermittelte Schadenwurde mit 17.000 EURbewertet.

2. Durch einen nicht erklärba-ren Systemabsturz gingenDaten verloren. Weil der fürdie Datensicherung zuständi-ge Mitarbeiter in Urlaub war,unterblieb die sonst üblicheDatensicherung, weil Anwei-sungen zur Datensicherungeinfach fehlten. Man mussteauf eine frühere Sicherung

zurückgreifen und die fehlen-den Daten manuell ermittelnund erneut eingeben. DieZeitdauer der Nichtverfüg-barkeit eines konsistentenund aktuellen Datenbestan-des betrug mehrere Tage. DieKosten nur für die Wieder-herstellung wurden mit 2.000EUR beziffert. [ ]

Beide - bewusst einfach ge-wählte - Beispiele sind so genann-te Alltagsfälle. Neben den Kostenist der nicht monetär bewertbareSchaden zu berücksichtigen, derdurch Vertrauensverlust vonKunden und Mitarbeitern in dieVerlässlichkeit und Stabilität derelektronischen Helfer entstandenist. Und hier kommt eine Positiv-argumentation für die Investitionin Sicherheitsmaßnahmen insSpiel. IT-Sicherheit im Unter-nehmen gilt eben nicht nur alsSchutzmaßnahme gegen Bedro-hungen oder als Instrument zurKostenreduktion, sondern auchals Mittel zur Pflege und Inten-sivierung von Beziehungen zuGeschäftspartnern und Kunden.So können zum Beispiel dieeMails eines Geschäftspartnersfast bedenkenlos geöffnet wer-

den, wenn bekannt ist, dass sichdas Unternehmen mit aktuellenSicherheitslösungen wirksamschützt.[ ]

Aufwändige Berechnungensind nicht immer sinnvoll. Fürüberschaubare IT-Infrastrukturenund die darauf aufsetzendenSicherheitskonzepte können ein-fache mathematische Verfahrenangewendet werden. Sie liefernim Ergebnis allerdings nur Aus-sagen über Kostengrößen undallenfalls eine grobe Nutzen-einschätzung, argumentativ "ver-kaufbare" Nutzwerte müssen ineiner gesonderten Analyse ermit-telt werden.

Eine einfache Amortisations-rechnung liefert bereits verwert-bare Erkenntnisse über die Kos-tenersparnisse, die durch eineInvestition in Sicherheitsmaßnah-men erzielt werden. Dabei wirddie Differenz zwischen denInvestitions- und laufenden Kos-ten für Sicherheitsmaßnahmenund der Höhe der vermiedenenSchäden ermittelt und anschlie-ßend der Amortisationszeitpunktberechnet.. Beispiel: Ein Intru-sion Detection-System (IDS) zurErkennung und Abwehr von An-griffen aus dem inneren Netzkostet 40.000 EUR. Die Wirk-samkeit des Systems wird mit 85% Abwehrleistung geschätzt.Ohne den IDS-Einsatz wird einSchaden in Höhe von linear100.000 EUR/Jahr erwartet. Derjährliche "Gewinn" aus der Inves-tition beträgt damit 45.000EUR/Jahr. Die Beschaffung hat

10

Abb. 2 Massnahmen-Mix zur Kostenreduzierung

sich damit innerhalb eines Jahresamortisiert.

Ein weiteres Verfahren dient derErmittlung des relativen Nutzenseiner Sicherheitsmaßnahmedurch Ermittlung der Kosten-differenz der Risikowerte undSubtraktion der Investitionskos-ten von der Kostendifferenz.. Istdas Ergebnis > 0, wird derEinsatz der Sicherheitsmaßnah-me unter Kostengesichtspunktenpositiv bewertet. Die Anwendungerfolgt in mehreren Schritten:• Ermittlung des Risikowertes

ohne Sicherheitsmaßnahme(R0) nach der bekanntenFormelR0 = S0 * W0

• Ermittlung des Risikowertes ( R ) mit Sicherheitsmaßnah-me (R1) nach der bekanntenFormelR1 = S1 * W1

• Ermittlung des relativenNutzens (NS) der Sicher-heitsmaßnahmeNS = (R0 - R1) - Ks

Beispiel: Die Ausgangssitua-tion ist ein angenommener Scha-den von 100.000 EUR für denFall eines Virusbefalls. Die Ein-trittswahrscheinlichkeit beträgt 30% pro Jahr, der erwartete Verlustdementsprechend 30.000 EUR.Man geht davon aus, dass man dieEintrittswahrscheinlichkeit durcheine Antivirus-Software um zweiDrittel senken kann. Die Kostender Softwarebeschaffung betra-gen 12.000 EUR/Jahr.

11

Abb. 3 Berechnungsmodell RoSI

Abb. 4 RoSI-Berechnungsbeispiel

R0 = S0 * W030.000 € = 100.000 EUR * 0,3

R1 = S1 * W110.000 € = 100.000 EUR * 0,1

NS = (R0 - R1) - Ks8.000 € = (30.000 EUR -

10.000 EUR) - 12.000 EUR

Bei der Anwendung einesBerechnungsschemas, das eng andie "Return on Investment"(RoI)-Systematik angelehnt ist,ergibt sich zwar rechnerisch dasgleiche Ergebnis. Die Berech-

nungsfaktoren sind jedoch aussa-gefähiger, das Modell liefert ins-gesamt bessere Erkenntnisse inder schrittweisen RoSI-Ermitt-lung.

Überträgt man das obenbeschriebene Beispiel in dasRoSI-Berechnungsmodell, soergibt sich Abbildung 4.

Das Risiko für das Unterneh-men wird sich durch die Einfüh-rung der Antivirus-Software ent-scheidend senken. Die Investitionlohnt sich, weil ein positiver RoSIvon 8000 EUR errechnet wurde.

Fazit

Mit RoSI lassen sich dieErträge des in IT-Sicherheit inve-stierten Kapitals kalkulieren. DieBerechnung liefert eine unent-behrliche Argumentationshilfebei Diskussionen über die Not-wendigkeit von Investitionen inIT-Sicherheit. Von der IT-Sicher-heit hängt heute die Existenz-fähigkeit eines Unternehmens imselben Ausmaß ab wie etwa einproduzierender Betrieb von derQualitätssicherung.

✜

12

Technisch erfolgt die Speiche-rung der Daten immer mehr inseparaten (Fibre Channel) Spei-chernetzen bzw. in dediziertenMassenspeichergeräten. Hier sindneben der Gewährleistung einerhohen Zugriffsgeschwindigkeitauch die Integrität und die Ver-traulichkeit der Daten von hoherBedeutung. Bezüglich Speicher-kapazität und Zugriffsgeschwin-digkeit vollziehen diese Systemeeine rasante Entwicklung mit der(unerwünschten) Folge, daß dieBetrachtung von Sicherheitsfra-gen der Entwicklung hinterherläuft. In Folge dessen hat dieFachwelt begonnen, sich desThemas anzunehmen und Sicher-heitsempfehlungen zu erarbeiten.

Auch der IT-Revisor sieht sichmit der Frage konfrontiert, mitwelchen Prüfungsansätzen er ansolche - mit hohem Bruttorisiko

versehene - technisch komplexeSysteme herangehen soll. Im nach-folgenden Artikel werden, aus derErfahrung mit der Prüfung einesNAS-Systems heraus, revisorischeund technische Prüfungsfragenstrukturiert erarbeitet und in Formeiner Checkliste zur Verfügunggestellt.

Grundlagen

Ist es nun ein File-Server-Cluster, ein Network Attached

Server (NAS) oder ein StorageArea Network (SAN)? Diese oderähnliche Fragen stellen sich demPrüfer als Ausgangspunkt derBetrachtung. Im nachfolgendensoll der Unterschied zwischenden gängigsten Systemen NASund SAN kurz erläutert werden.

Network Attached Server(NAS)

In einem NAS verwaltet eineinzelner NAS-Server den Zu-

13

Prüfung eines NetworkAttached Server-Systems(NAS)In der Informationstechnologie gespeicherte Datenentwickeln sich, je nach Schutzbedarfsklasse,immer stärker zu wichtigem und schützenswertemVermögen. Seriöse Analysen haben aufgezeigt,dass die Nichtverfügbarkeit wichtiger Daten schonbei einer Ausfallzeit von mehr als vier Stunden zuhohen Schäden für ein Unternehmen führen kann.

Dipl.-BetriebswirtAxel Hirsch,

CISA, IT-Revisor bei derDeutsche WertpapierServiceBank AG, Frankfurt am Main

Schaubild 1: NAS-System

gang zum Fibre Channel Netz. Insein Betriebssystem sind allePlatten eingebunden. Er stelltdiese über ein exklusives Back-bone-Netz den anderen Servernüber Netzwerkzugriff zur Verfü-gung. Ein NAS-Server muß nichtübermäßig dimensioniert sein, daer selbst keine Daten verarbeitet,sondern nur den Zugriff bereitstellt.

Storage Area Network(SAN)

Ein Storage Area Networksetzt darauf auf, daß sich alleMassenspeichergeräte in einemseparaten (Fibre Channel) Netzbefinden. Es bietet ein hohesMaß an Flexibilität, da Plattennicht mehr an Server angeschlos-sen, sondern nur noch im SANeingebunden werden.

Prüfungsansätze

Die Prüfungsansätze reflektie-ren die aus der Prüfung einesNAS-Systems, implementiert aufWindows2003-Server, gewonne-nen Erfahrungen.

Möglich wäre die Durchfüh-rung eines Basis-Sicherheits-checks nach der Methode desBundesamtes für Sicherheit in derInformationstechnik (BSI), wobeidas Thema Speichernetze / dedi-zierte Speichergeräte (SAN oderNAS) im Grundschutzhandbuchnoch nicht explizit in einemBaustein behandelt wurde. Des-wegen müssen das Prüfungs-objekt tangierende Bausteine wiez.Bsp. "Vernetzte Systeme" oder"Infrastruktur" angewandt wer-den kombiniert z.Bsp. mit denEmpfehlungen des "Microsoft

Windows Server 2003-Sicher-heitshandbuches".

Für eine Erstprüfung sollenhier jedoch dem Prüfer Ansätzein Form einer Checkliste an dieHand gegeben werden mit demZiel, eine allzu lange Vorberei-tung auf die Prüfung durch Ein-arbeitung in die Methodik desBSI-Basissicherheitschecks zuvermeiden. Dadurch soll er in dieLage versetzt werden, eine Prü-fung möglichst effizient durch-führen zu können.

Ein strukturierter Prüfungsansatzsollte die nachfolgenden Schwer-punkte abdecken:- Hard- und Softwareausstat-

tung des Systems- System und Servermanage-

ment- Ausfallsicherheit und Lastver-

teilung- Sicherheitsmaßnahmen.

Hard- uund SSoftware-ausstattung ddes SSystems

Zu Beginn der Prüfung undals Grundlage für weiterePrüfungshandlungen sollte derIT-Revisor die Hard- und Soft-wareausstattung des Systemskennenlernen und beurteilen.Er erhält dadurch einen Über-blick über die Konfiguration desSystems sowie des Netzes. Aufdiesen Erkenntnissen aufbau-end können dann die nachgela-gerten Prüfungsschwerpunkterisikoorientiert verfeinert wer-den.

14

Schaubild 2: SAN-System

Mindestens nachfolgende Fragensollten in diesem Prüfungs-schwerpunkt beantwortet wer-den:• Ist das eingesetzte Betriebs-

system gehärtet?• Sind die wichtigsten System-

und Netzkomponenten re-dundant ausgelegt?

• Lagen der redundanten Aus-legung Risikobetrachtungenzugrunde?

• Werden Raidsysteme einge-setzt?

• Wie erfolgt die Verwaltungvon Speicherplatz?

• Wird mit Datenträgerkontin-genten gearbeitet?

• Bestehen Wartungsverträge?• Wurde bei der Auswahl des

Systems darauf geachtet, nurerprobte Technik einzukau-fen?

• Wurden während des Aus-wahlprozesses entsprechendeReferenzen gesucht und be-fragt?

System uund SServer-management

In diesem Prüfungsschwer-punkt ist primär das Vorhanden-sein von formellen Regelungenzu prüfen, die jedoch in einemweiteren Schritt auch unter mate-riellen Gesichtspunkten beurteiltwerden müssen. Je nachdem, obdie Leistung in Eigenregie oderdurch einen IT-Dienstleistererbracht wird, sind auch nochService Level Agreements undderen Erfüllungsgrad zu prüfen.Fragen zur Wirtschaftlichkeit desOutsourcings von IT-Leistungen

sind hier nicht Gegenstand derBetrachtung.

Folgende Fragen sind hier zubeantworten:• Sind die Aufgaben und Ver-

antwortlichkeiten geregelt?• Existieren Regelungen zum

Netz- und Systemmanage-ment?

• Existieren Regelungen zumÜberwachen (Monitoring)des Systems und der Server?

• Erfolgen statistische Auswer-tungen?

• Existieren Service Levels?

Ausfallsicherheit uundLastverteilung

Wie auf dem Schaubild 1 un-schwer zu erkennen ist, werdenalle administrativen Probleme aufeinen einzigen NAS-Server be-schränkt. Dies ist somit der kriti-sche Punkt des Systems. Fällt die-ser Rechner aus, kann keines derServersysteme mehr auf dieDaten im Fibre Channel Netzzugreifen.

Daher sollten NAS-Systemeals Clustersysteme konfiguriertwerden. Ein Cluster besteht imeinfachsten Fall aus zwei Rech-nern, die sich wie ein einziger, vir-tueller Server im Netzwerk dar-stellen. Fällt einer der beidenClusterrechner aus, wird der vir-tuelle Zugriff auf die Datenimmer noch vom anderen Clus-terrechner zur Verfügung gestellt.

Ein weiterer kritischer Punktwäre der Ausfall des FC-Switches.

Risikomindernd könnte hier (imSchaubild 1 nicht eingezeichnet)z.Bsp. eine Direktverbindung desNAS-Systems zu einem derMassenspeichersysteme wirken.Im Fehlerfall kann dann immernoch darüber auf die dort lagern-den Daten zugegriffen werden.

Folgende Fragen sollten deshalbgeklärt werden:• Kommt ein Clustersystem

zum Einsatz?• Ist die Konfiguration voll-

ständig dokumentiert?• Welche Funktionen / Dienste

gewährleisten die Ausfall-sicherheit?

• Welche Funktionen / Dienstegewährleisten die Lastvertei-lung?

Sicherheitsmaßnahmen

Bei dem Prüfungsobjekt han-delte es sich um Windows2003-Server, die als NAS-Cluster-sys-tem konfiguriert wurden. Dienachfolgenden Fragen fokussie-ren deshalb im wesentlichen aufWindows2003-Server, könnenjedoch im Grundsatz auch aufandere Systeme angewandt wer-den.

• Gibt es Sicherheitsrichtlinienfür die Konfiguration vonServern?

• Sind alle nicht benötigtenSystemdienste (z.B. DNS,DHCP) abgeschaltet?

• Laufen die Dienste unterdedizierten Dienstkonten?

• Sind die dedizierten Dienst-konten für den interaktiven

15

Zugang zum System ge-sperrt?

• Sind für die Verzeichnisse undDateien Risikoklassifizierun-gen vorgenommen worden?

• Arbeiten Benutzer mit ver-schlüsselten Ordnern undDateien (Encrypting File Sys-tem)?

• Sind für Verzeichnisse undDateien bedarfsgerechte Zu-griffsberechtigungen verge-ben?

• Wie sind die Zugriffsberech-tigungen auf Verzeichnisseund Dateien organisiert (z.B.über globale und lokaleGruppen)?

• Kommen Überwachungs-richtlinien zum Einsatz?

• Werden die Protokolldateienregelmäßig ausgewertet?

• Welche lokale Konten existie-ren?

• Ist das Administratorkontoumbenannt?

• Ist das Gastkonto deaktiviert?• Sind die Administrator-

Berechtigungen angemessenvergeben?

• Erfolgt bei dem lokalen Ad-ministrator-Konto ein regel-mässiger Paßwortwechsel?

• Ist mit dem Snap-In "Sicher-heitskonfiguration und -ana-lyse" der aktuelle Status derSystemsicherheit mit der

Sicherheitsvorlage sichererDateiserver (ocfiless.inf) ver-glichen worden?

• Welche Sicherheitseinstellun-gen kommen über Gruppen-richtlinien zum Tragen undsind diese nachvollziehbardokumentiert?

Ein Großteil der vorgenanntenFragen kann vom IT-Revisor tool-gestützt durch Einsatz von Tools(z.Bsp. den Microsoft BaselineSecurity Analyzer oder den LAN-guard Network Security Scanner)analysiert werden. Diese zeigendem technisch versierten IT-Revisor nicht nur die Schwachstel-len, sondern bieten teilweise auchkonkrete Maßnahmenempfehlun-gen zur Minderung der Risiken an.

Fazit uund AAusblick

Dedizierte Speichergeräte, indiesem Fall ein NAS-System, sindkomplexe technische IT-Systeme,die an einen IT-Revisor hoheAnforderungen stellen. Er solltesich dem System in einer Erst-prüfung "nähern" und Erfahrun-gen sammeln, auf diesen aufbau-en und die Prüfungsansätze inFolgeprüfungen risikoorientiertverfeinern. Im Spannungsfeldzwischen Qualitätsanspruch,knappen Zeit-Ressourcen undZielvorgaben bezüglich des ein-zuhaltenden Prüfungsplanes istdies kein leichtes Unterfangen.Die von mir aufgezeigten Prü-fungsansätze sollen dem IT-Revisor zeigen, was bei einerErstprüfung schwerpunktmäßigzu prüfen ist und es ihm ermög-

lichen, effizient zu arbeiten.Bleibt er dabei in dem von mirempfohlenen Scope, kann er imRahmen einer Erstprüfung einqualitativ gutes Prüfungsergebniserreichen.

Technisch komplexe IT-Systeme verlangen ein nicht zuunterschätzendes Spezialwissen,das oftmals ad hoc nicht verfüg-bar ist. Daraus ergeben sich Fra-gen nach den Prüfungsansätzen,der Prüfungstiefe, der Aus- undWeiterbildung sowie der Hinzu-ziehung von Spezialisten für diePrüfung. Diese zu beantwortenwird in naher Zukunft für alle imPrüfungswesen handelnden Per-sonen eine große Herausfor-derung darstellen. Auch in denStandesorganisationen (IIR undISACA) wird man sich darüberGedanken machen müssen.

Für die Zukunft bleibt abzu-warten, wie sich das Berufsbilddes IT-Revisors weiter entwickelnbzw. verändern wird. Der IT-Revisor muß eine Strategie ent-wickeln, wie er auch in Zukunftseine Akzeptanz im Unterneh-mensumfeld behaupten kann.Daran wird er letztendlich gemes-sen werden.

Literaturhinweise

D.H. Traeger / A. Volk, Praxislokaler Netze

SNIA Storage Security In-dustry Forum, The Best Practicesfor Ensuring Enterprise Storage

✜

16

EEiinn GGrrooßßtteeiill ddeerr FFrraaggeenn kkaannnnvvoomm IITT-RReevviissoorr ttoooollggeessttüüttzztt

dduurrcchh EEiinnssaattzz vvoonn TToooollss ((zz..BBsspp..ddeenn MMiiccrroossoofftt BBaasseelliinnee

SSeeccuurriittyy AAnnaallyyzzeerr ooddeerr ddeennLLAANNgguuaarrdd NNeettwwoorrkk SSeeccuurriittyySSccaannnneerr)) aannaallyyssiieerrtt wweerrddeenn..

Bei der Prüfung von RACFsind dem Prüfer ohne tieferesWissen von RACF und seinerArbeitsweise die Hände gebun-den. Zu vielfältig sind die Mög-lichkeiten an Rechte zu gelangenund zu umfangreich die Rechte-vergabe. Auch die Möglichkeitendie RACF-Protokolle aus demSMF (System Management Faci-lity) zu deuten ist fast unmöglich.

Die für den Revisor vorgese-henen Standardhilfsmittel reichennicht aus um einen Revisionsauf-trag RACF durchzuführen. Sicherist es sinnvoll vor Durchführungeines solchen Auftrages eine ent-sprechende Schulungsmaßnahmedurchzuführen um gestärkt mitaktuellen Wissen der Aufgabe"RACF" zu begegnen.

Sofern ein Unternehmen einesder auf dem Mark befindlichen

RACF-Administrationsprodukteeinsetzt, wie z.B. SAM, ControlSA usw. sind Sie aus Prüfer in derglücklichen Lage, mehr Informa-tionen in aufbereiteter Form zubekommen.

Sofern Sie aber nur mit denStandardmöglichkeiten vonRACF auskommen müssen -wünsche ich Ihnen schon heuteviel Spaß bei Ihrer Prüfung.

Was Sie jedoch weder mitHilfsmitteln oder den Standard-möglichkeiten erkennen könnensind die Schwachstellen/Fehlerdie RACF selber hat. Hier gibt eseinige die zu beachten sind.

Meine Empfehlung hier wäre -werden Sie Mitglied in der RACF-Arbeitsgruppe. Hier werden dieseProbleme behandelt und einerLösung zugeführt - wenn die

Lösung auch manchmal lange aufsich warten lässt.

Nachfolgend einige Informa-tionen, Aktionen und Möglichkei-ten, wie Sie dennoch einePrüfung von RACF durchführenkönnen - viel Spaß dabei.

Wenn mehrere Personen diegleichen Informationen benutzenmüssen, dann muß die Kontrolledarüber gewährleistet sein, werdie Informationen benutzt undwann und wie sie benutzt werden.Diese Kontrolle kann eine physi-sche Einrichtung, eine Funktionder Maschine sein. Bei einerMaschine kann es notwendig sein,einen Schlüssel einzustecken, be-vor die Maschine läuft. In einemComputersystem kann dieseKontrolle auch durch Softwarewahrgenommen werden. RACFist eine Software, die einem

17

Revision von RACFDie oft als Dinosaurier bezeichneten Großrechnersind noch lange nicht ausgestorben. Sie werdennoch über Jahre ihre Dienste bei bewährten "Altver-fahren" versehen. Auch wenn die Großrechner übereinige Sicherheitsmechanismen verfügen, reichendiese jedoch nicht aus, um die Sicherheit in derInformationstechnologie zu gewährleisten. Zusätz-liche Softwareprodukte wie RACF von IBM, ACF2und TOP SECRET von Computer Associates bietendie Möglichkeit, durch ihren organisierten Einsatzdie Sicherheit zu erhöhen. Die genannten Software-lösungen kommen bei den meisten IBM-Groß-rechnern zum Einsatz.

Thomas Daniel Schmidt, Rheinland Versicherung,

Neuss

Unternehmen hilft, den Zugriffauf Informationen zu steuern.

RACF verwendet in etwa diegleiche Struktur wie ein Unterneh-men. Es erlaubt, daß Einzelperso-nen und Gruppen eingerichtetwerden und daß angegeben wird,was jede Einzelperson (User) undGruppe tun darf. Einige Einzel-personen und Gruppen habeneinen großen Autoritätsbereich,während andere nur eine sehr ein-geschränkte Autorität besitzen.

Der jeweilige Umfang derBerechtigungen ist durch den Auf-gabenbereich bestimmt. Wenn sichdie Anforderungen ändern, dannkönnen sich auch die Berechtigun-gen ändern. Es ist beispielsweiseauch möglich, daß bestimmteBerechtigungen nicht ständig, son-dern nur für die Durchführungbestimmter Aufgaben erforderlichsind. Ein Benutzer sollte dann zueiner Gruppe gehören, die die not-wendigen Berechtigungen besitzt.Wenn sich die Arbeitsanforderun-gen ändern, kann er aus derGruppe entfernt werden.

RACF ist ein Sicherheitssys-tem, das jeden Benutzer eindeutigidentifiziert und festhält, was erinnerhalb des Systems tut. RACFverwendet Benutzerattribute,Gruppenautorisierungen und Zu-griffsberechtigungen für Ressour-cen, um die Benutzung des Sys-tems zu kontrollieren.

RACF hält außerdem fest, wasinnerhalb des Systems geschieht,so daß nachvollzogen werden

kann, was die einzelnen Mitarbeitertun und ob versucht wurde, uner-laubte Tätigkeiten durchzuführen.Die von RACF erzeugten Berichtesollen als Abschreckung für uner-laubte Versuche, auf Informatio-nen zuzugreifen, dienen. Darüberhinaus ist RACF auch in der Lagefestzustellen, ob ein Benutzer Zu-griff auf mehr Informationen be-nötigt, um seine Aufgaben effekti-ver zu erledigen. Wenn aus denRACF-Berichten hervorgeht, daßein Benutzer ständig ohne Erfolgversucht, auf bestimmte Datenzuzugreifen, kann der RACF-Ad-ministrator den Grund dafür erfra-gen. Es kann sein, daß der Benut-zer die Informationen für dieErledigung seiner Aufgaben benö-tigt. Der Sicherheitsadministratorkann die Berechtigung des Benut-zers so ändern, daß sie seinenErfordernissen entsprechen.

Eine Vielzahl der Anwendun-gen / Systeme des Großrechnerskönnen so installiert werden, dassein "external security manager"eingesetzt wird. Dies bedeutet,dass Sicherheitsabfragen bei Zu-griffen auf Ressourcen durch einexternes Sicherheitssystem wieRACF bearbeitet werden.

Die ddrei BBasisfunktionenvon RRACF ssind:

Benutzeridentifizierung und Au-thentifizierung,Zugriffs- bzw. Benutzerkontrolleund Protokollierung.

Standardmäßig geht RACFvon dem Prinzip "Erlaubt ist, was

nicht verboten wird" aus. Beigeeigneter Konfiguration kannaber weitgehend das datenschutz-gerechtere Prinzip "Verboten ist,was nicht ausdrücklich erlaubtwird" realisiert werden.

Die für verschiedene Sicher-heitsfunktionen notwendigen Da-ten und Informationen werden inRACF-Profilen in einer oder meh-reren speziellen Datenbanken,den RACF-Databases gespei-chert. Aus diesen Profilen könnenInformationen über die Benutzerals auch über die geschütztenRessourcen wie Plattendateien,Bänder, Datenstationen, Transak-tionen usw. entnommen werden.

Die Benutzerprofile beschrei-ben die den Benutzern zugeord-neten Rechte (Attribute); die Res-sourcenprofile enthalten imwesentlichen die jeweiligen Zu-griffs- bzw. Benutzungsregeln inForm einer Zugriffsliste.

RACF ist ein flexibles Werk-zeug zum Aufbau und zur Erhal-tung eines Sicherheitssystems undgeht davon aus, dass in einer Ins-tallation eigene Zielvorstellungenfür die Sicherheit aufgestellt wer-den, die dann unter Einsatz vonRACF unter bestmöglicher Be-rücksichtigung der Installations-gegebenheiten realisiert werden.

Obwohl die Sicherheitsanfor-derungen von Installation zu Ins-tallation unterschiedlich sein kön-nen, sind bestimmte Rollen oderAufgaben von RACF-Anwendernüberall gleich. Allen Installatio-

18

nen ist gemeinsam, dass unter-schiedliche Benutzer in verschie-denem Maße Verantwortung fürdie Sicherheit tragen oder auf dieRessourcen des Systems in unter-schiedlicher Weise zugreifen müs-sen. Es gibt Personen, die sehrviel Sicherheitsverantwortung tra-gen, wohingegen andere nurwenige oder gar keine Verant-wortung haben.

Manche Benutzer benötigennahezu uneingeschränkte Zu-griffsmöglichkeiten auf Ressour-cen, wohingegen andere nureinen beschränkten Zugriff brau-chen und wieder andere sogarvon der Benutzung des Systemsausgeschlossen sein können.

Das Benutzerattribut be-stimmt im RACF in erster Liniedie Verantwortung eines Benut-zers für die Sicherheit. Ein Be-nutzerattribut ist ganz einfachTeil der RACF-Definition, in derfür die Installation festgelegtwird, was ein bestimmter Benut-zer tun darf. Das BenutzerattributSPECIAL wird zu Beispiel nor-malerweise dem Sicherheits-administrator zugeordnet. EinBenutzer mit dem Attribut SPE-CIAL kann sämtliche RACF-Funktionen mit Ausnahme derer,die einem Benutzer mit demBenutzerattribut AUDITOR vor-behalten sind, ausführen.

Das Benutzerattribut OPE-RATIONS wird zum Beispielnormalerweise den Mitarbeiternzu Verfügung gestellt, die dieProduktionsabläufe starten oder

die die Verwaltung über diePlatten durchführen. Das Benut-zerattribut OPERATIONS er-laubt dem Benutzer Lese-, Ände-rungs- und Lösch-Zugriffe aufalle mit OPERATIONS=Yes ge-kennzeichneten Ressource-Klas-sen und deren Ressourcen ohnedas von RACF weitere Prüfungendurchgeführt werden.

Die Trennung der Funktionenim RACF ist dringend notwendig,denn es ist die Aufgabe desSicherheitsadministrators, RACF-Kontrollen einzurichten, wohinge-gen der Auditor dafür Sorge tragenmuß, dass diese Kontrollen auchangemessen und effektiv sind.

Mit der Umsetzung der Revi-sionsziele sollen die Kunden/ Ver-tragspartner und Mitarbeiter desUnternehmens Vertrauen in diekorrekte und zuverlässige Imple-mentierung und Wirksamkeit derIT-Sicherheitsmaßnahmen gewin-nen. Die Kunden/Vertragspartnerund Mitarbeiter des Unterneh-mens sollen die Überzeugunggewinnen, daß ihre materiellenund ideellen Interessen unterBeachtung der Angemessenheitoptimal durch die ausgewähltenIT-Sicherheitsmaßnahmen desUnternehmens gewürdigt werden.Die Qualität der DienstleistungIT-Sicherheit soll zu einem Wett-bewerbsfaktor werden.

Die Ziele der Revision müssenden externen und internen Vor-gaben genügen und Konformitätzu den gesellschaftlichen undbetrieblichen Zielen herstellen.

Zu diesen Zielen gehören:• Gewährleistung der Nach-

vollziehbarkeit aller Ge-schäftsvorfälle

• Festlegung der Anforderungbezüglich Nachvollziehbar-keit und Beweispflicht

• Lückenlose Ermittlung undErzeugung von Daten zurNachvollziehbarkeit

• Sichere Aufbewahrung der be-weisrelevanten Informationen

Zudem ist die Revision An-sprechpartner, wenn die Sicher-heit als Schutz der Kunden/Ver-tragspartner und Mitarbeiterdurch folgende Maßnahmen er-füllt werden soll:• Festlegung von Sicherungs-

verfahren• Schutz der Kunden/Vertrags-

partner und Mitarbeiter vorungerechtfertigter Verdächti-gung

• Vermeidung von Interessens-konflikten für Mitarbeiterdurch geeignete organisatori-sche und technische Maßnah-men

• Vermeidung missbräuchlicherNutzung von Geschäftsvor-fällen

• und zugehörigen Prozessendurch Kunden/Vertragspart-ner oder Mitarbeiter

Schutz der Geschäftsvorfälle,zugehöriger Prozesse und Res-sourcen, insbesondere die• Gewährleistung der Vertrau-

lichkeit• Gewährleistung der Integrität• Gewährleistung der Verfüg-

barkeit

19

• Zugriffs-/Zugangskontrollenzu Ressourcen

• Identifikation aller Benutzerund Subjekte

• Authentisierung aller Benut-zer und Subjekte

Einhaltung von Konventionenund Regeln durch• Fortschreibung und Anpas-

sung der zugehörigen Kon-ventionen und Regeln

• Regelmäßiger Nachweis undDokumentation der Einhal-tung von Konventionen undRegeln

Die Ziele der Revision stelleneinen integralen Bestandteil derGeschäftspolitik dar. Sie helfen da-bei, die Ordnungsmäßigkeit,Sicherheit und Wirtschaftlichkeitder Geschäftsprozesse durchzuset-zen und die Sensibilität und Akzep-tanz der Betroffenen zu fördern.

Gegenstand eines Revisons-auftrages RACF ist u.a. dasVertrauen von Kunden/Vertrags-partnern und Mitarbeitern zugewinnen und die IT-Sicherheits-ziele zu erreichen, die an einemGeschäftsvorfall direkt oder auchindirekt beteiligten Benutzer undRessourcen zu schützen und zusichern. Die für die Durchführungder Geschäftsvorfälle unmittelbarbzw. unmittelbar erforderlichenProzesse müssen nicht in ihrerGesamtheit Gegenstand der Revi-sion sein. Zugrunde gelegt werdeninsbesondere die Prozesse, die fürdie Ziele der Nachvollziehbarkeitder Geschäftsvorfälle, der Sicher-heit der Interessen von Kunden/

Vertragspartner und Mitarbeiternund des Schutzes der Prozesse undRessourcen maßgeblich sind. Diefür diese Prozesse identifizierbarensicherheitsrelevanten Ereignissesind Gegenstand der Revision.

Die Ergebnisse der Revisionmüssen auch in Bezug zu dengeplanten bzw. umgesetzen ITSicherheitszielen und -maßnah-men gestellt werden. Insofernüberwacht die Revision auch regel-mäßig die Umsetzung der ITSicherheitsziele und -maßnahmenund deren Wirksamkeit im Rah-men eines Soll - Ist Vergleiches.

Um sich als Revisor ein Bild überden Ist-Zustand von RACFmachen zu können sollten folgen-de Hilfsmittel vorhanden sein:- TSO Terminal mit Zugang zu

den zu untersuchenden Syste-men und Anwendungen

- RACF-Benutzerkennzeichenmit normaler Berechtigung

- RACF-Benutzerkennzeichenmit System-Auditor Berech-tigung

- Lesezugriff auf die System-dateien (z.B. SYS1.RACF)

- Zugriff auf die Protokol-lierungedaten (SMF) der ver-gangenen Monate

Sofern vorhanden sollten dieDienstanweisungen / Arbeitsan-weisungen für die Administrationund für alle weiteren Benutzervorhanden sein- Übersicht über die eingesetzten

Geräte des Rechnersystems.- Übersicht über die eingesetz-

te Software

Im Rahmen des Revisionsauf-trages sind folgende AktivitätenGegenstand der Prüfung:• Zugangsschutz / Nutzung

der IT-Systeme• Schützenswerte Ressourcen der IT• Konventionen und Regeln

zur IT Sicherheit• Sicherheitsrelevante Ereignisse• Umsetzung der IT Sicher-

heitsziele und - maßnahmen• Interne Schnittstellen des

Auditing• Betriebsrat• Datenschutzbeauftragter• Revision• Administration der Benutzer,

Ressourcen und Berechtigungen• IT Sicherheitsmanagement• Personalverwaltung• VerwaltungFolgende Voraussetzungen, so-fern vorhanden, erleichtern demPrüfer die Untersuchung:• Einsatz eines effektives Auditing• Kompetenzregelung und aus-

reichende technische/perso-nelle Ausstattung

• Dokumentation des ITSicherheitskonzeptes

• Kategorisierung der IT Res-sourcen in "Schutzklassen"

• Kategorisierung Benutzer in"Schutzklassen"

• Melde-/Alarmverfahren fürausgewählte sicherheitsrele-vante Ereignisse

• Sicherung aller für dasAuditing eingesetzten Pro-gramme und Systeme

• Protokollierung der sicher-heitsrelevanten Ereignisse

• Sicherung aller für das Audi-ting erzeugten Informationenund Daten ✜

20

21

Rechtliche GGrundlagen uundAufgaben dder IIT-PPrüfung

Die rechtlichen Grundlagenund Aufgaben der IT-Prüfungauf kommunaler Ebene ergebensich aus der Gemeindeordnung,der Gemeindeprüfungsordnungund der Gemeindekassenverord-nung der jeweiligen Bundeslän-der. Auf das Handels- und Steu-errecht wird nur zurückgegriffen,wenn das Haushalts- und Kassen-recht Begriffe (z.B. Ordnungs-mäßigkeit) nicht weiter erläutert.Für den Bereich der finanzwirk-samen Verfahren in Kommunal-verwaltungen gibt es aber keinenRechtfertigungsgrund von han-dels- und steuerrechtlichen Be-stimmungen, z.B. Grundsätzeordnungsmäßiger DV-gestützterBuchführungssysteme (GoBS),abzuweichen. Kommunale Prü-fungseinrichtungen sollten sich

deshalb bei IT-Prüfungen vondiesen Grundsätzen leiten lassen.

Zu den so genannten Pflicht-aufgaben eines Rechnungsprü-fungs- bzw. Revisionsamtes imBereich der IT-Prüfung gehörendie Programmprüfung und dieAnwendungsprüfung. Bei derProgrammprüfung ist festzustel-len, ob Programme für automati-sierte Verfahren zur Abwicklungvon Vorgängen- der Haushalts-, Kassen- und

Rechnungsführung,- der Wirtschaftsführung und

des Rechnungswesens sowie - der Vermögensverwaltung

eine ordnungsgemäße Ab-wicklung gewährleisten. DieAnwendungsprüfung als Teil dersachlichen Prüfung untersuchtbei automatisierten Verfahren desFinanzwesens beispielsweise, obdie eingesetzten Programme gül-

tig, dokumentiert und freigege-ben sowie gegen unbefugteEingriffe hinreichend gesichertsind. Diese pauschale Abgren-zung der Prüfungsbereiche zwi-schen Programm- und Anwen-dungsprüfung greift bei SAP R/3nicht mehr. Vor allem wegen desEinflusses von Customizing-Ein-stellungen und Parametereinstel-lungen auf den Programmablaufberührt nahezu jede IT-Prüfung(z.B. Berechtigungs- und System-prüfung) sowohl Aspekte derProgrammprüfung als auch As-pekte der Anwendungsprüfung.

Herausforderungen ffürkommunale PPrüfungs-einrichtungen

Die Einführung von SAP R/3in Verbindung mit der Branchen-lösung für den öffentlichenSektor IS-PS (Industry Solution -

IT-Prüfung von SAP R/3®im kommunalen BereichDie Einführung von SAP R/3 in Verbindung mit derBranchenlösung für den öffentlichen Sektor IS-PS(Industry Solution - Public Sector) stellt kommuna-le Prüfungseinrichtungen vor neue Herausforderun-gen. Die Besonderheit von SAP R/3 IS-PS bestehtin der parallelen Abbildung der kameralistischenBuchführung der öffentlichen Verwaltungen und derkaufmännischen Buchführung.

Dr. Ralf Daum, Abteilungsleiter Technische

und IT-Prüfung,Rechnungsprüfungsamt der

Stadt Mannheim

Public Sector) stellt kommunalePrüfungseinrichtungen vor neueHerausforderungen. Die Beson-derheit von SAP R/3 IS-PS be-steht in der parallelen Abbildungder kameralistischen Buchfüh-rung der öffentlichen Verwaltun-gen und der kaufmännischenBuchführung. Während Buchun-gen weiterhin kameralistisch er-folgen, läuft im Hintergrund diedoppelte Buchführung mit. Dasbedeutet, dass ständig ein Ab-gleich zwischen beiden Bereichenstattfinden muss. Neben diesergrundsätzlichen Neuerung, er-höht die Flexibilität von SAP R/3(z.B. anwenderbezogene Konfi-guration des SAP R/3-Systemsdurch Customizing) die Kom-plexität der Prüfungsmaterie undführt zu einer Zunahme desPrüfungs- und Kontrollaufwan-des. Gleichzeitig können bewähr-te Prüfungsansätze (z.B. Unter-scheidung in Programm- undAnwendungsprüfung) auf SAPR/3 nicht übertragen werden.

Den meisten Kommunen feh-len zumindest in der Anfangszeitdetaillierte Kenntnisse und um-fangreiche Erfahrungen mit SAPR/3 sowohl aus Anwender- alsauch aus Prüfungssicht. Außer-dem kommt hinzu, dass die vonSAP zur Verfügung gestelltenHilfsmittel, z.B. Sicherheitsleit-faden, verschiedene Reports oderdas Audit Information System, fürumfassende SAP R/3-Prüfungenin vielen Fällen nicht ausreichen.Häufig sind prüfungsrelevanteAuswertungen bzgl. der GebieteSystemsicherheit und Berechti-

gungskonzept u.a. wegen des gro-ßen Datenvolumens überhauptnicht oder nur mit erheblichenPrüfungsaufwand möglich. ImGegensatz zu der klassischenHaushalts- und Finanzsoftware,die Kommunen bisher einsetzten,unterliegt ein SAP R/3-Systemfortwährend Änderungen. Regel-mäßig kommen erweiterte oderneue Funktionalitäten hinzu. Stän-dig arbeiten neue Mitarbeiter mitSAP R/3, wechseln den Aufga-benbereich oder scheiden aus. DieBeurteilung, welche Berechtigun-gen nach dem Prinzip der mini-malen Berechtigungen und unterBerücksichtigung der Funktions-trennung die Benutzer benötigen,erweist sich als äußerst komplex.Bei Prüfungshandlungen ist in derRegel eine genaue Abgrenzungdes Prüfungsumfangs erforder-lich, was grundsätzliche Aussagezu Ordnungsmäßigkeit und Si-cherheit des Systems erschwert.

Lösungsansatz dder SStadtMannheim

Neben intensiven Schulungen derIT-Prüfer begegnete die StadtMannheim diesen Revisionshe-rausforderungen insbesonderemit zwei Maßnahmen:- Einrichtung der Arbeit-

gruppe "Systemsicherheit"- Beschaffung einer Software

für die System- und Berechti-gungsprüfung

Die Arbeitgruppe "System-sicherheit" beschäftigt sich mit kri-tischen Systemeinstellungen inSAP R/3 (z.B. Tabellenprotokol-

lierung) und kritischen Berechti-gungen (z.B. elektronisches Radie-ren) ausgewählter Benutzergrup-pen. Ihr gehören Vertreter desFachbereiches Informationstech-nologie, des Outsourcing-Partners(Rechenzentrum), der Stadtkäm-merei (zuständig für den Haushaltsowie die Finanz- und Wirtschafts-verwaltung einer Kommune) unddes Rechnungsprüfungsamtes an.Die Aufgabe der Arbeitsgruppebesteht in der Erarbeitung vonEmpfehlungen für den Umgangmit dem SAP R/3-System, diesowohl Revisionsgesichtspunkte(z.B. Ordnungsmäßigkeit, Recht-mäßigkeit und Sicherheit) als auchPraktikabilität und notwendigeFlexibilität berücksichtigen. Bisherhat die Arbeitsgruppe die Einstel-lung mehrerer Systemparameter,Verfahren für die Protokollierungmit dem Security Audit Log, denUmgang mit ausgewählten kriti-schen Berechtigungen usw. festge-legt. Beispielsweise wurden ver-schiedene kritische Berechtigun-gen in einer eigenen Rolle zusam-mengefasst, die ein Benutzer nur inbesonderen Situationen zeitweiseerhält. Während dieser Zeit wirdder Security Audit Log für diesenBenutzer aktiviert. Die in der Ar-beitgruppe getroffenen Regelun-gen dienen als eine Art "Leitfaden"für den Umgang mit kritischen Be-rechtigungen und Systemeinstel-lungen in allen produktiven SAPR/3-Systemen der Stadt Mann-heim.

Der Einsatz einer Software fürdie System- und Berechtigungs-prüfung soll einerseits mit den

22

vorhandenen personellen Res-sourcen des Rechnungsprüfungs-amtes eine effiziente, effektive undqualitativ hochwertige Prüfungvon SAP R/3 ermöglichen. Dabeigeht es nicht nur um eine wirt-schaftliche und aussagekräftigeDurchführung von Prüfungs-handlungen, sondern auch um dasin der Software hinterlegte Prüfer-und Beraterwissen bzgl. SAP R/3(z.B. Umsetzung von Gesetzes-mäßigkeiten und Ordnungsmäßig-keitsvorgaben). Anderseits soll dieSoftware auch die für die System-administration und Berechtigungs-verwaltung zuständigen Dienst-stellen unterstützen. Deshalb wur-den an der Auswahl der Softwarealle betroffenen Dienststellen(Fachbereich Informationstechno-logie, Stadtkämmerei und Rech-nungsprüfungsamt) in Form einerProjektgruppe beteiligt. DieseProjektgruppe hat unterschiedli-che Informationsquellen (Fach-zeitschriften, Internetrecherchensowie Gespräche mit Revisorenund Wirtschaftprüfern) ausgewer-tet, gemeinsam einen Kriterien-katalog für die Auswahl der Soft-ware erstellt und diesen an siebenAnbieter von Prüfsoftware ver-schickt. Drei Produkte kamen indie engere Wahl, aber nur dieSoftware CheckAud® for SAPR/3 der IBS Schreiber GmbHwurde den Anforderungen derStadt Mannheim gerecht undschließlich auch beschafft.

Wirksamkeit dder SSoftware

Die Software erhöht wesent-lich die Effizienz der Aufgaben-

erfüllung. CheckAud® for SAPR/3 enthält über 1000 vorgege-bene kritische Berechtigungen,die das System automatisiertüberprüft. Das Programm er-möglicht, eigene für die Stadtver-waltung Mannheim kritischeBerechtigungen zu definieren undin die automatische Prüfung zuübernehmen. Durch diese Funk-tionalität können auch Besonder-heiten der Branchenlösung fürden öffentlichen Sektor, z.B. inBezug auf die kameralistischeBuchführung, abgedeckt werden.Bei jeder Aufnahme des SAPR/3-Systems handelt es sich umeine Vollerhebung, die alle Be-rechtigungen zum Aufnahmezeit-punkt abbildet. VerschiedeneDienststellen nutzen diese Funk-tionalität als Basis für die Doku-mentation des Berechtigungskon-zeptes.

Voll- und halbautomatisierteAnalysewerkzeuge erleichtern dieAuswertung der Daten. Die Prü-fungen der beteiligten Dienststel-len haben erwiesen, dass Check-Aud® for SAP R/3 den Prü-fungsaufwand erheblich redu-ziert. So konnte zum Beispiel beider Erstprüfung des MannheimerSAP R/3-Systems (500 Benutzer)der Prüfungszeitraum von ca. 15Tagen auf zwei Tage verkürztwerden, weil die aufwendige Er-hebung der benötigten Datendurch manuelle Abfragen im SAPR/3-System entfallen ist. Diekurze Prüfungsdauer gestatteteine zeitnahe Reaktion aufSchwachstellen. Kritische Prü-fungsfeststellungen werden bei

der Stadt Mannheim umgehendin der Arbeitsgruppe "System-sicherheit" besprochen und diedort erarbeiteten Lösungsvor-schläge schnellstens im SAP R/3-System umgesetzt. Darüber hin-aus steigert CheckAud® for SAPR/3 die Prüfungsqualität in Hin-blick auf Ordnungsmäßigkeit,Rechtmäßigkeit und Sicherheit.Die Software erlaubt prüfungsre-levante Auswertungen in Bezugauf Berechtigungen und System-sicherheit, die mit herkömm-lichen in SAP R/3 zur Verfügungstehenden Hilfsmitteln überhauptnicht möglich wären.

Nutzung vvon CCheckAud®for SSAP RR/3 ffür ddie RRisiko-früherkennung

Die Gemeindekassenverord-nung stellt zahlreiche Anforde-rungen an automatisierte Verfah-ren im kommunalen Kassenwe-sen (z.B. Gewährleistung vonVollständigkeit und Richtigkeitder Daten, Vorkehrungen gegenunbefugtes Eingreifen, Daten-sicherheit). Verstöße gegen diesegesetzlichen Auflagen sind inSAP R/3 auf vielfältige Weise,z.B. durch Änderung von Zu-griffsrechten, möglich. Die Prü-fung der Einhaltung dieser Vor-gaben ist deshalb kein einmaligerVorgang. Vielmehr müssen stän-dige Kontrollen im Rahmen einesRisikofrüherkennungssystemssicherstellen, dass die Vorgabennicht umgangen werden können.Diese Kontrollen sollen einerseitspräventiv wirken und im Vorfeldzu einer Fehlervermeidung füh-

23

ren. Andererseits sollen sie auchbereits aufgetretene Fehler ent-decken.

Die Stadtkämmerei, der Fach-bereich Informationstechnologieund das Rechnungsprüfungsamterstellen gemeinsam ein solchesRisikofrüherkennungssystem fürdas SAP R/3-System der StadtMannheim auf der Basis vonCheckAud® for SAP R/3. AlsTeil des Internen Kontrollsystemssoll das Risikofrüherkennungssys-tem in regelmäßigen Abständen(z.B. monatlich) verschiedene kriti-sche Berechtigungen und System-einstellungen prüfen, um mög-lichst frühzeitig potenziellen Ver-letzungen von Ordnungsmäßig-keit, Rechtmäßigkeit und Sicher-heit entgegenzuwirken. Diese Zu-sammenstellung von Abfragenwird regelmäßig durch das Rech-nungsprüfungsamt in Form vonbenutzerdefinierten Analysebäu-men für CheckAud® for SAP R/3hinterlegt und allen betroffenenDienststellen für voll- und halbau-tomatisierte Prüfungen zur Verfü-gung gestellt. Die automatisiertenPrüfungsmöglichkeiten mitCheckAud® for SAP R/3 redu-zieren den für die Risikofrüh-erkennung benötigten Personal-bedarf erheblich. Durch das Am-pelsystem von CheckAud® forSAP R/3, das Prüfungsfeststel-lung entsprechend des Gefahren-levels hervorhebt, ergibt sich nurbei kritischen Situationen Hand-lungsbedarf. Neben den regelmä-ßigen Prüfungen finden auch nachumfangreichen Änderungen imSystem, z.B. neue oder geänderte

Rollen bzw. Rollenzuweisungen,Analysen mit CheckAud® forSAP R/3 statt, um eventuell auf-tretende Berechtigungsproblemefrühzeitig zu erkennen. JedeAufnahme steht über ein gemein-sames Laufwerk allen an derRisikofrüherkennung beteiligtenDienststellen für eigene Auswer-tungen zur Verfügung. Dadurchkönnen auch jederzeit verschiede-ne Aufnahmen miteinander ver-glichen werden. Die dadurch mög-lichen Kontrollen durch Soll-Ist-Vergleiche vermindern ebenfallsdie Wahrscheinlichkeit für dasAuftreten von Fehlern bzw. erhö-hen die Wahrscheinlichkeit vor-handene Fehler aufzudecken.

Zusammenfassung

Der Umfang und die Viel-schichtigkeit eines SAP R/3-System verlangen einen ganzheit-lichen Prüfungsansatz. Das The-ma Sicherheit darf dabei nicht inalleiniger Zuständigkeit der Prü-

fungsinstanz liegen, sondernmuss in der gesamten Organisa-tion gelebt werden. Dazu bedarfes Regelungen, die sowohl denAnsprüchen der Praktikabilität imlaufenden Betrieb als auch derSicherheit genügen. Die StadtMannheim hat dazu organisatori-sche und systemtechnische Maß-nahmen miteinander kombiniert.In der AG Systemsicherheit tref-fen unterschiedliche Sichtweisenauf das SAP R/3-System aufein-ander. Basierend auf dem ge-meinsamen Einsatz von Check-Aud® for SAP R/3 findet einErfahrungsaustausch über kriti-sche Einstellungen im Systemstatt. Prüferinnen und Prüfer

bleiben über aktuelle Entwick-lungen und Problemstellungen imSAP R/3-System auf dem Lau-fenden, System- und Berechti-gungsadministratoren beziehendurch die Diskussionen im Ar-beitskreis frühzeitig Sicherheits-fragen in ihre Überlegungen mit

24

Abb.: Risikofrüherkennung bei der Stadt Mannheim

25

ein. CheckAud® for SAP R/3 hatsich als wertvolles Werkzeug fürvielseitige und zeitnahe SAP R/3-Prüfungen erwiesen. Außerdem

hat die Nutzung der Software inmehreren Bereichen dazu beige-tragen, dass die Sensibilität fürRisiken bei der Informationsver-

arbeitung mit SAP R/3 (z.B.Manipulation, unberechtigte Ein-blicke oder unbeabsichtigte Ein-griffe) wesentlich gestiegen ist. ✜

❑❑ Titel: Die Überwachung des Risikomanagementsystems gemäß § 92 Abs. 2 AktG durch den Aufsichtsrat

Autor: Thies LentferISBN: 3-930291-21-5Seiten: 340Preis: 39,90 €

Inhalt:

Eine Häufung von Unternehmenskrisen und -zusammenbrüchen hat seit Mitte der neunziger Jahre zu einerDiskussion über Verbesserungsmöglichkeiten der Unternehmensführung und -überwachung unter demSchlagwort der Corporate Governance geführt. Vor diesem Hintergrund sind mit dem Gesetz zur Kontrolle undTransparenz im Unternehmensbereich (KonTraG) u.a. in dem neu eingefügten § 91 Abs. 2 AktG dieSorgfaltspflichten des Vorstands einer Aktiengesellschaft dahingehend konkretisiert worden, daß dieser zurEinrichtung eines Überwachungssystems verpflichtet ist, "damit den Fortbestand der Gesellschaft gefährdendeGeschäfte früh erkannt werden." Hiermit geht die Aufgabenerweiterung des Aufsichtsrats einher, nunmehr imRahmen der ihm nach § 111 Abs. 2 AktG obliegenden Vorstandsüberwachung auch dieses Überwachungssy-stem auf Gesetzmäßigkeit, Satzungsmäßigkeit, Zweckmäßigkeit und Wirtschaftlichkeit zu überprüfen. Vor die-sem Hintergrund ist es Zielsetzung der Abhandlung, die Überwachung eines derartigen "Risikomanage-mentsystems" durch den Aufsichtsrat speziell aus dem Blickwinkel von Muttergesellschaften in der Rechtsformeiner Aktiengesellschaft für den Konzernfall zu untersuchen.

Name:

Vorname:

Firma:

Abteilung

Straße:

PLZ/Ort:

Tel.:

E-Mail:

Ort/Datum:

Unterschrift

Ottokar Schreiber Verlag GmbHRevision • Controlling • Informatik • PPP

Friedrich-Ebert-Damm 14522047 Hamburg

Tel.: +49 40 69 69 85-14Fax: +49 40 69 69 85-31

[email protected]

Bestell-Fax 040/69 69 85-31

26

In den ERP-Systemen sinddaher entsprechende Kontroll-mechanismen zu integrieren. Einwesentliches Kontrollinstrumentstellen hier natürlich die Zugriffs-rechte dar. Durch die Implemen-tierung von Funktionstrennun-gen innerhalb von Prozessabläu-fen kann eine wirksame Absicher-ung erreicht werden.

Voraussetzung hierfür ist einetransparente Abbildung der Ge-schäftsprozesse im ERP-System.Im Zuge der Umsetzung derSarbanes-Oxley-Anforderungenstellt dies einen der ersten Schrittedar. Hierfür können Tools wiez.B. das SAP MIC (Managementof internal control) genutzt wer-den. Sollen innerhalb dieser Pro-zesse nun Funktionstrennungenimplementiert werden, so bedeu-tet dies für SAP R/3®, dass zuden einzelnen Prozessschritten

die genutzten Transaktionen er-mittelt werden müssen, damitRechte hierfür dann getrennt zu-geordnet werden können. Hier-aus lässt sich dann wiederum eineKontrollmatrix ableiten, in derdargestellt ist, welche Trans-aktionen nicht in Kombinationvergeben werden dürfen. Oder:Welche Zugriffsrechte in Kombi-nation gegen das interne Kon-trollsystem verstoßen.

Als Vorgehensweise zur Er-stellung solch einer Kontrollma-trix können als Ausgangspunktdie genutzten Prozesse verwendetwerden. Den einzelnen Prozess-schritten werden die in SAPR/3® genutzten Transaktionenzugeordnet. Tabelle 1 zeigt starkvereinfacht den Warenbeschaf-fungsprozess mit den zugehöri-gen Transaktionen.

Prozess TransaktionBestellanforderungen anlegen ME51N Anlegen

Bestellanforderungen freigeben ME54 EinzelfreigabeME55 Sammelfreigabe

Bestellung anlegen ME21N Anlegen

Bestellung freigeben ME28 Freigeben

Wareneingang buchen MIGO Warenbewegungen

Rechnung buchen (über Logistik Rechnungsprüfung) MIRO Rechnung erfassen

Zahllauf starten F110 Zahllauf

Tabelle 1: Warenbeschaffungsprozess mit zugehörigen Transaktionen

CheckAud® for SAP R/3®

2.8 - Auswertung vonZugriffsrechten aufGeschäftsprozesseDie Anforderungen an die Sicherheit von ERP-Sys-temen wachsen in zunehmenden Maße. Durch dieGesetzgebung werden vermehrt Kontrollmechanis-men gefordert, die Gesetzesverstöße und doloseHandlungen verhindern sollen. Als erstes einschnei-dendes Gesetz fordert z.B. der Sarbanes-Oxley-Actin der Section 404 die Implementierung eines inter-nen Kontrollsystems, dessen Wirksamkeit vom CEOund CFO sowie von den Abschlussprüfern bestätigtwerden muss.

Thomas Tiede, Geschäftsführer

IBS Schreiber GmbH,Hamburg

Im nächsten Schritt ist hieranhand des internen Kontrollsys-tems zu definieren, wo innerhalbdieser Prozesskette Funktions-trennungen einzuhalten sind(Tabelle 2).

Die so definierte Matrix stelltnun den Ausgangspunkt für dieRechtevergabe gemäß dem inter-nen Kontrollsystem dar. Es istnun sicherzustellen, dass dieseKombinationen keinem Benutzerzugeordnet werden. Um dieserAnforderung gerecht zu werdenbietet CheckAud® for SAP R/3®die Möglichkeit, solch eine Matrixzu importieren, evtl. anzupassenund automatisiert zu überprüfen.

Voraussetzung ist die Abbil-dung dieser Vorgaben in einertabellarischen Form, z.B. in MSExcel. Hier werden zeilenweisedie Transaktionen angegeben, dienicht in Kombination vergebenwerden dürfen. Die Anzahl derTransaktionen ist hierbei nicht

begrenzt. Es ist daher auch mög-lich, 20 Transaktionen oder mehrin Kombination zu überprüfen.

Abb. 1 zeigt die Umsetzung derin Tabelle 2 aufgelisteten Funk-

tionstrennungen (Zeile 1 - 8). Inden Zeilen 9 - 11 wurden zusätz-lich komplexere Kombinationenhinterlegt um überprüfen zu kön-nen, ob Benutzer große Teile desProzesses oder den gesamtenProzess ausführen können.

Diese Datei kann nun direkt inCheckAud® for SAP R/3®importiert werden. Beim Import(Abb. 2) kann noch definiert wer-den, ob die Datei nur die Folgenvon Transaktionen enthält, oderob pro Zeile noch jeweils eine Be-schreibung hinterlegt ist, wie inAbb. 1.

Abb. 2: Import der Transaktionsmatrix inCheckAud® for SAP R/3®

Beim Import liest CheckAud®for SAP R/3® nun diese Dateizeilenweise aus. Zu den einzelnenTransaktionen werden die jeweilsdazugehörigen Berechtigungsob-jekte ermittelt. Die Transaktionenwerden dann mit einem logischenUND verknüpft, und es wird proZeile eine Berechtigung erstellt.Diese Berechtigungen werden ineinem neuen Analysebaum darge-stellt (siehe Abb. 3).

27

Aktion Darf nicht vergeben werden mitBestellanforderung anlegenME51N

Bestellanforderung freigebenME54

Bestellanforderung anlegenME51N

Bestellanforderung freigebenME55

Bestellanforderungen anlegenME51N

Bestellung anlegenME21N


Bestellung freigebenME28


Wareneingang buchenMIGO

Wareneingang buchenMIGO

Rechnung buchenMIRO


Rechnung buchenMIRO

Rechnung buchenMIRO Zahllauf starten

Tabelle 2: Definition der Funktionstrennungen im Warenbeschaffungsprozess

Abb. 1: Definition der Funktionstrennungen in MS Excel

In der Entwurfsansicht inAbb. 4 ist zu erkennen, dass zuden einzelnen Transaktionenauch die zugehörigen Berechti-gungsobjekte ermittelt wurden.Organisationselemente wieWerke oder Buchungskreise sindnicht fest definiert. Diese werdenerst beim Auswerten der Berech-tigung abgefragt. Natürlich kön-nen auch hier die Standardfunk-tionalitäten genutzt werden, wiez.B. die automatische Analysealler Berechtigungen. DieseFunktionalität gestattet daher aufeinfachste Weise eine vollständigeÜberprüfung der Vorgaben desinternen Kontrollsystems.

Gerade in größeren Unterneh-mungen sind komplexe Ge-schäftsprozesse nicht in einemeinzigen R/3-System abgebildet,sondern in mehreren Systemen.Häufig ist z.B. ein Logistik-Sys-tem vom Finanzbuchhaltungssys-tem getrennt. In dem Fall mussdie Matrix des internen Kontroll-systems um das System bzw. denMandanten der jeweiligen Aktion

erweitert werden. In Tabelle 3 istz.B. aufgezeigt, das der Zahllaufin der letzten Zeile im SystemP02 stattfindet, der eigentlicheWarenbeschaffungsprozess aberin P01. Hier sind die Zugriffs-recht somit systemund mandan-tenübergreifend auszuwerten.

In dem Fall sind die Vorgabenum die Informationen Systemund Mandant zu erweitern.CheckAud® for SAP R/3® bie-tet hier die Möglichkeit, bereitsbei der Definition der MatrixOrdnerstrukturen zu definieren,

28

Abb. 3: Importierte Transaktionsmatrix in CheckAud® for SAP R/3®

Abb. 4: Entwurfsansicht einer Berechtigung in CheckAud® for SAP R/3®

Aktion System Darf nicht vergebenwerden mit System

Bestellanforderung anlegenME51N P01 Bestellanforderung freigeben

ME54 P01

Bestellanforderung anlegenME51N P01 Bestellanforderung freigeben

ME55 P01

Bestellanforderungen anlegenME51N P01 Bestellung anlegen

ME21N P01

Bestellung anlegenME21N P01 Bestellung freigeben

ME28 P01

Bestellung anlegenME21N P01 Wareneingang buchen

MIGO P01

Wareneingang buchenMIGO P01 Rechnung buchen

MIRO P01

Bestellung anlegenME21N P01 Rechnung buchen

MIRO P01

Rechnung buchenMIRO P01 Zahllauf starten

F110 P02

Tabelle 3: Definition der Funktionstrennungen über Systemgrenzen hinweg

in denen die Berechtigungendann innerhalb eines Baumesabgelegt werden. Abb. 5 zeigt dieDefinition der Prozesse. Vor deneinzelnen Transaktionen istjeweils auch das System und derMandant anzugeben. Hier sinddann auch sehr viel komplexereMöglichkeiten gegeben als bei derTransaktionsmatrix zuvor. Trans-aktionen, die zeilenweise hinter-einander angegeben werden, wer-den mit einem logischen ODERverknüpft. Untereinanderstehen-de Transaktionen werden miteinem logischen UND verknüpft.Die Kombination

wird daher in CheckAud® forSAP R/3® folgendermaßen zu-sammengesetzt:

ME51N UND(ME54 ODER ME55) UNDME21N UNDME28 UND(MIGO ODER MIGO_GR) UNDMIRO UNDF110

Für den Fall, dass einzelneProzessschritte in unterschied-lichen Systemen / Mandantenausgeführt werden, kann hier fürjede Zeile das betreffende Systemangegeben werden:

Nach dem Import in Check-Aud® werden diese Berechti-gungskombinationen, genanntProzesse, in einem separatenBaum dargestellt (Abb. 6). Dortwerden unterhalb der Bezeich-nung des Prozesses die Systemeangezeigt, in denen die Berechti-gungen ausgewertet werden sol-len. Unterhalb der Systeme wer-den die Berechtigungen aufgeli-stet. Jede Berechtigung stellt eineZeile aus der Matrix dar. Die ein-zelnen Berechtigungen, in denenteilweise die Transaktionen mitODER verknüpft sind, werdenautomatisch untereinander mit

einem logischen UND ausgewer-tet.

29

ME51N

ME54 ME55

ME21N

ME28

MIGO MIGO_GR

MIRO

F110

P01 Mandt. 800 ME51N UNDP01 Mandt. 800 (ME54 ODER ME55) UNDP01 Mandt. 800 ME21N UNDP01 Mandt. 800 ME28 UNDP01 Mandt. 800 (MIGO ODER MIGO_GR) UNDP01 Mandt. 800 MIRO UNDP02 Mandt. 100 F110

Abb. 5: Definition systemübergreifender Prozesse für CheckAud® for SAP R/3®

Abb. 6: Importierte Prozesse in CheckAud® for SAP R/3®

30

Ab sofort erhältlich

❑❑ Titel: Ordnungsmäßigkeit und Prüfung des SAP R/3® Systems2. erweiterte und überarbeitete Auflage 2004

Autor: Thomas TiedeISBN: 3-930291-24-XSeiten: 900Preis: 64,90 €

Inhalt:

Das Buch "OPSAP - Ordnungsmäßigkeit und Prüfung des SAP R/3®-Systems" ist inzwischenzum Standardwerk für alle geworden, die sich mit dem Thema R/3®-Sicherheit befassen. Die2. Auflage wurde nun angepasst an die R/3- Releasestände 4.6C und Enterprise. Alle Kapitelwurden neu überarbeitet und teilweise sehr umfassend ergänzt.

Viele neue Themen, die für eine Prüfung bzw. für ein Sicherheitskonzept unerlässlich sind,sind hinzugekommen (z.B. das Transportwesen). Wieder sind umfassende Checklisten ent-halten zusammen mit den Hinweisen, wie jeder einzelne Punkt zu prüfen ist.

Name:

Vorname:

Firma:

Abteilung

Straße:

PLZ/Ort:

Tel.:

E-Mail:

Ort/Datum:

Unterschrift



Tel.: +49 40 69 69 85-14Fax: +49 40 69 69 85-31

[email protected]

Bestell-Fax 040/69 69 85-31

31

Ab sofort erhältlich

❑❑ Titel: Praxisleitfaden für SAP R/3® FI

Autor: Marie-Luise WagenerISBN: 3-930291-25-8Seiten: 600Preis: 69,90 €

Inhalt:

Basierend auf den gesetzlichen Anforderungen befasst sich dieses Buch mit den Prüfungsanforderungen undderen Umsetzungen zur Einrichtung einer ordnungsmäßigen Finanzbuchhaltung in SAP R/3® Systemen.Resultierend aus den spezifischen Anforderungen des geprüften ERP Systems ist der Aufbau dieses Fachbuchesmaximal praktisch ausgerichtet. Sämtliche Prüfschritte sind ausführlich erläutert und werden durch referenzie-rende Checklisten ergänzt.

Neben den relevanten Prüfbereichen wie Organisationseinheiten, Kreditoren-, Debitoren- und Sachkontenbuch-haltung werden genauso die Verbuchungsprinzipien, die automatischen Abläufe, das Customizing, Maßnahmenzum Forensic Accounting und Monitoring behandelt.

Ein besonderer Schwerpunkt ist den speziellen Anforderungen zur Berechtigungskonzeption gewidmet.Zusammen mit erklärenden Ausführungen werden Sie durch dezidierte Handlungsanweisungen bei der direk-ten Verprobung am System unterstützt. Selbstverständlich ist auch die relevante Schnittstelle zurMaterialwirtschaft integriert. Mit diesem Praxisleitfaden können Sie sämtliche Prüfungshandlungen selbststän-dig am SAP R/3® System durchführen.

Name:

Vorname:

Firma:

Abteilung

Straße:

PLZ/Ort:

Tel.:

E-Mail:

Ort/Datum:

Unterschrift



Tel.: +49 40 69 69 85-14Fax: +49 40 69 69 85-31

[email protected]

Bestell-Fax 040/69 69 85-31

Bei der Auswertung einesProzesses werden nun dieBerechtigungen in den jeweiligenSystemen / Mandanten (welchevorher gescannt werden müssen)geprüft. Danach werden die Be-nutzer ermittelt, die in denSystemen die jeweiligen Berechti-gungen besitzen. Diese werdenals Ergebnismenge angezeigt(Abb. 7). Die Darstellung zu denBenutzern ist identisch zur her-kömmlichen Darstellung. Auchhier wird zu jedem einzelnenRecht jeweils die Herkunft mitangezeigt.

In einem Prozess in Check-Aud® for SAP R/3® könnenbeliebig viele Systeme / Mandan-ten mit zugehörigen Berechti-

gungen definiert werden. DieProzesse können auch direkt inCheckAud® erstellt werden,ohne vorherige Definition ineiner Tabelle. Die Einsatz-möglichkeiten sind dabei unbe-grenzt. So ist diese Systematikauch anwendbar innerhalb einereinzigen Systemlandschaft, z.B.um zu ermitteln, wer im Ent-wicklungssystem entwickeln undEntwicklungen freigeben unddiese dann ins QS- und Pro-duktivsystem importieren darf.Unterschiedliche Benutzernamenin verschiedenen Systemen stel-

len kein Problem bei derAuswertung dar, da die Benutzerüber Zuordnungslisten auch nachbeliebigen Benutzereigenschaf-

ten (z.B. Vor- und Zuname) er-mittelt werden können. Natürlichkönnen auch existierende Benut-zerzuordnungslisten importiertwerden.

Mit der systemübergreifendenProzessauswertung sind hier erst-malig Auswertungen möglich, dievorher nur mühselig und mit vielmanueller Arbeit zu bewältigenwaren waren. CheckAud® forSAP R/3® stellt mit der Prozess-auswertung Wege zur Verfügung,das interne Kontrollsystem effek-tiv und umfassend zu überprüfen.Insbesondere die Überwachungdes internen Kontrollsystemswird auch in der Entwicklung vonCheckAud® in 2005 weiter be-achtet. Folgende Features werdenu.a. verwirklicht:

Dialoganbindung an SAP R/3zur Nutzung der R/3-eigenenAuswer tungsmög l i chke i t en(Transaktionen, Reports, Tabel-len) sowie zur Nutzung derCheckAud®-Funktionalität inEchtzeit am System

Berechtigungs-Monitoring(Warnmeldungen, wenn Rollen-zuordnungen gegen die IKS-Matrix verstoßen)

Rollen-, Benutzer- und Ar-beitsplatzsimulation (virtuelleÄnderungen von Rollen bzw.Rollenzuordnungen und Abgleichmit der IKS-Matrix)

Automatisierung von Scan,Übertragung und Auswertung fürvollautomatisierte Auditings: ✜

32

Abb. 7: Auswertung von Prozessen in CheckAud® for SAP R/3®

33

Einführung

Insbesondere für Bankenbestehen gesetzliche Anforde-rungen an die Ausgestaltung desRevisionsgeschäftes und ihrerPrüfaktivitäten, die dazu führen,dass sie meist einen umfangrei-chen Stab an Mitarbeitern auf-weisen. Größenordnungen von30 bis mehr als 50 Revisoren inweltweit operierenden Konzern-revisionen sind durchaus anzu-treffen. Entsprechend wird dort(und auch in anderen Branchen)z.B. über REDIS ® oder QSR ®sowohl der Einsatz der Revisorenals auch die Definition derPrüffelder/Prüflandkarten ge-steuert. Es existieren bereits vor-definierte umfangreiche Prüf-felddefinitionen, die beliebig er-weiterbar, jedoch stark 'bankenla-stig' sind. Dies ist für dasSoftwareunternehmen mehr als

sinnvoll und macht letztendlichauch das Know-how aus, da sievollständige/umfassende Leis-tungen insbesondere im Finanz-bereich anbieten kann - somitzählen Banken zu den größtenNutzern.

Für Unternehmen [andererBranchen], die sich nur wenigeMitarbeiter in der Revision erlau-ben, ist der Einsatz einer solchenSoftware schwierig - die vorhan-denen Prüffelddefinitionen sinden Detail nur marginal nutzbar,so dass der Einsatz eines solchenSoftwarepaketes aus wirtschaft-lichen Überlegungen herauskaum zu rechtfertigen ist. Zu-dem muss ein solches Systemauch nachhaltig gepflegt werden.Bei Revisionsstäben mit wenigerals 10 Mitarbeiterkapazitätenbedeutet dies einen zu hohenVerlust an Arbeitsleistung und

Aufbau von Overhead, insbe-sondere weil hier die DV-gestützte Mitarbeitereinsatzpla-nung nicht zwingend erfor-derlich ist.

Trotzdem wird auch hier in-zwischen erwartet, dass die aufdas Unternehmen wirkendenRisiken erkannt, analysiert, revi-sorisch bewertet und in einenRisiko-Aktivitäten-Kontext ge-bracht werden. Um hier einemöglichst objektive, nachhaltigeund mit einer Historie verseheneBeurteilungsmöglichkeit zu schaf-fen, ist es unausweichlich, die risi-koorientierte Planung der Revi-sionsaktivitäten DV-gestützt er-folgen zu lassen. Der nachfolgen-de Artikel soll grob die Anfor-derungen an eine Softwareunter-stützung speziell aus Sicht eineskleinen Revisionsbereiches darle-gen.

RisikoorientiertePrüfungsplanung in kleinen Revisionsstäben -Anforderungen an eineSystematisierungDie ‚Risikoorientierte Prüfungsplanung' ist bereitsseit geraumer Zeit ein wichtiger Teil der Betrach-tung revisorischer Leistungserbringung, nichtzuletzt durch gesetzliche Anforderungen an eineAusgestaltung interner Überwachungssysteme.Entsprechende Vorgaben aus Standards der Wirt-schaftsprüfer und nationaler und internationalerInstitutionen (ISACA, IIA, IIR) weisen hier konkreti-sierend den Weg (IDW PS 321/330/340, EPS 523,COBIT etc.).

Christoph Wildensee, Stadtwerke Hannover AG

Risiken ddes UUnternehmens

Bevor man sich mit einerdetaillierten Beurteilungs- undAnalysemöglichkeit auseinander-setzt, ist zu klären, was dasUnternehmen als Risiko klassifi-ziert und ob diese Definition ausRevisionssicht übernommen wer-den kann.

Risiken stellen aus Sicht desUnternehmens grundsätzlich eineAggregation vorhandener, vor-nehmlich monetär bewertbarerFaktoren dar, die auf die Ertrags-kraft und Handlungsfähigkeit desUnternehmens wirken - sowohl imKerngeschäft als auch bei In-novationsprozessen im Sinne derAuswirkung einer "Chance". Da-bei spielt die potentielle Schaden-höhe und die Eintrittswahrschein-lichkeit eine entscheidende Rolle(Einbezug von mathematischenBewertungsmethoden). Häufigwird nicht das Risiko selbst defi-niert, sondern auf eine Beschrei-bung der charakteristischen Risiko-eigenschaften und deren Wirkungzurückgegriffen (vgl. KREY, S.33.). Risiken müssen analysiert,klassifiziert und im Risikomanage-ment eingebettet sein, so dass sichhieraus Handlungsrahmen/Reak-tionspläne (Notfall-/Krisenma-nagement u.a.) ableiten lassen.Innerhalb einer solchen Betrach-tung liegen auch Risiken im Fokus,die nicht aus dem Unternehmenheraus steuerbar sind, z.B. politi-sche Gegebenheiten, die Mit-bewerbersituation, Katastrophen-szenarien (z.B. auch Terrorismusu.ä.) oder Umwelteinflüsse.

Die Interne Revision wandeltdiese Unternehmenssicht ab.Zum einen klammert sie die ausdem Unternehmen heraus nichtsteuerbaren Risiken überwiegendaus, und zum anderen bricht sieRisiken auf die operative Ebeneherunter und bildet einen Ex-trakt, der die Einflussfaktorenbeinhaltet, die in der InternenRevision mit überwiegendemBlick auf Zweckmäßigkeit, Orga-nisation, Wirtschaftlichkeit,Ordnungsmäßigkeit undSicherheit geprüft werden kön-nen (vgl. KREY, S. 115ff.).

Dies ist jedoch keine erschöp-fende Sicht, vielmehr "kommt esnicht mehr nur darauf an, Risikenzu vermeiden, [...der Fokus liegt]auf der Beurteilung der Effektivi-tät von Management und Kontrol-le dieser Risiken. Erst die Kennt-nis der Risikopotentiale versetztdie Interne Revision in die Lage,die Funktionsfähigkeit der Über-wachungssysteme des Unter-

nehmens zu prüfen. DieKonsequenz ist eine Ausrichtungder Revisionsaktivitäten auf dieRisikobereiche des Unterneh-mens." (KREY, S. 20.) Ent-sprechend integriert die InterneRevision neben der Vermögens-sicherung weitere "Zielvorstellun-gen [wie] das Generieren vonPotentialen zur Effizienzsteige-rung sowie von Synergieeffekten(u.a. optimaler Ressourceneinsatz)[und] die Überwachung undSicherung der Zuverlässigkeit vonInformationen der Unterneh-mensführung für das Risiko-management." (KREY, S. 89.) Soentsteht eine systematische Zu-sammenstellung von Prüfungsob-jekten, also eine Prüffeldübersichtoder Prüflandkarte, die die imUnternehmen operativ beeinfluss-baren Risiken darstellt. Prüffeldersind somit zu verstehen als Zu-sammenfassung von gleichartigenRisikoeinflussgrößen - (in Kom-bination) prozess- und funktions-orientiert (vgl. KREY, S. 117ff.).

34

Prüffeldbezeichnung[...]Datensicherung / Recovery / Ausfallsicherheit / Notfallkonzepte ITEntwicklung von eigenständigen Anwendungen (Programmiersprache,Entwickl.umgeb., CASE etc.)Installation, Betrieb und Wartung von IT-KomponentenKundenabrechnungsprozessLeistungsverrechnung von IT-(Dienst) Leistungen / IT-ControllingManipulation / Missbrauch / Privatnutzung von firmeneigenen IT-KomponentenProjektmanagementOrganisation und Support bei IT-ProzessenRisikomanagement (KonTraG)SAP R/3 - Einsatz/Betrieb und Sicherheit[...]

Tab. 1: Auszug aus Beispiel-Prüffelderliste

Anforderungen aan ddieBeurteilung

"Ein risikoorientierter Prü-fungsansatz [...] sollte als Reak-tion auf moderne Unterneh-mensstrukturen die Ausrichtungder Revisionstätigkeit auf dieunternehmerischen Risikoberei-che und eine daran orientierteAusgestaltung der Revisionsakti-vitäten zum Gegenstand haben.Das erfordert den Übergang vonder vergangenheitsorientierten,nur feststellenden [...] zur zu-kunftsorientierten, innovativenInternen Revision. Dies bedeuteteine Verbesserung der Beratungs-funktion für Management undFachabteilungen durch zielfüh-rende und praktikablere Verbes-serungsvorschläge und Anregun-gen." (KREY, S. 21.)

"Die Risikoorientierung führt zueiner Strategie der ‚Prüfung derwesentlichen Risikobereiche' desUnternehmens. Risikoorien-tierung heißt in diesem Kontext:• Ausrichtung von Prüfungs-

gegenstand und -umfang anden Fehlerquellen des Unter-nehmens - Analyse der Un-ternehmensrisiken

• Ausrichtung an den Fehler-möglichkeiten der InternenRevision - Gestaltung des Prü-fungsprozesses zur Gewähr-leistung der erwarteten Quali-tät und Sicherstellen der not-wendigen Qualifikation derRevisoren." (KREY, S. 41.)

Dies darf jedoch nicht dazuführen, dass weniger risikobehafte-

te Felder keine Beachtung finden.Vielmehr ist für eine Ausgewogen-heit zwischen risikoorientiertemAnsatz und einer turnusorientier-ten Beachtung von Prüffeldern zusorgen (vgl. KREY, S. 78ff, 203f.).

So ergibt sich bei einer Sys-tematisierung die Notwendigkeit,dass Prüffelder einerseits eineriterativen Risikobetrachtung un-terzogen und andererseits miteinem Mindest-Prüfungsabstanddefiniert werden, der aussagt,innerhalb welches Zeitraumesmindestens eine Prüfung erfolgenmuss (Turnusbestimmung). Wei-terhin ergänzt die Definition vonMehrjahresprüfplänen den Ein-bezug des Turnusansatzes, sodass eingesehen werden kann,welche Prüffelder innerhalb einesZeitraumes bereits geprüft wur-den und welche noch ausstehen.

Bewertung vvon PPrüffeldern

Die Bewertung von Prüffel-dern gilt als eine besondereHerausforderung, da zum einenBeurteilungskriterien vorhandensein müssen, die eine [zumindestansatzweise] objektive Würdi-gung erlauben und zum anderendurch die Verschiedenartigkeitder Prüffelder eine Ausprägungs-einschätzung dieser Kriterien beider Bewertung oftmals schwierigist. Als Grundlage für die objekti-ve Beurteilung ist die Definitionvon Gewichtungsstufen zu sehen,die eine realistische und dauer-hafte Abgrenzung der Kriterienuntereinander bewirken soll (vgl.KREY, S. 163, 176.).

Weiterhin ist zu klären, wel-chen Beurteilungsmodus die In-terne Revision wählt. Es ist sinn-voll, dass Prüffelder jedes Jahraufs Neue - jeweils vor Beginndes nächsten Prüfungsjahres - be-wertet werden, da sich Risikendurch externe Einflüsse sukzessi-ve verändern (vgl. KREY, S.164f.), so dass sich jedes Jahr einkomplett neuer Beurteilungslauffür alle Prüffelder ergibt. So ist esmöglich, die Entwicklung derRisikoeinschätzung über mehrereJahre zu beobachten.

Es ist auch denkbar, dass jedesPrüffeld nur initial bei Erstaufnah-me bewertet wird und sich die zu-künftigen Bewertungen und damitRangfolgepositionen der Prüffel-der ‚maschinell' als Fortschreibungaus den Ergebnissen der Prüfun-gen, die sich auf Prüffelder bezie-hen, jährlich neu ergeben.

Des weiteren ist festzulegen,ob bei der Beurteilung bestimmtePrüfkriterien bei ausgesuchtenPrüffeldern ausgeblendet werdenkönnen oder ob alle Prüffeldermit allen Prüfkriterien bewertetwerden müssen (bei Ausblendungbesteht die Gefahr des unqualifi-zierten Vergleiches). Außerdemsollten bei Prüffeldern, aus denensich jährlich eine Prüfung erge-ben muss (z.B. aus einer gesetz-lichen Verpflichtung heraus), Be-wertungen nicht möglich sein,denn es ergibt sich bereits ausdem Zwang, jährlich zu prüfen,die höchste Rangposition - eineBewertung und somit Positions-bestimmung ist hier unnötig.

35

Vorausgesetzt, dass die Prüf-felder und -kriterien identifiziertsind und die Gewichtung der Kri-terien eine sinnvolle Abgrenzunguntereinander zulassen, ergebensich für den Beurteilungsprozessfolgende Anforderungen:

Jedes Prüffeld ist mit einerAusprägung jedes Kriteriums zubewerten. Ausnahme: Wie obenerwähnt dürfen jährlich zu prü-fende Prüffelder nicht bewertetwerden, da sie aufgrund der jähr-lichen Prüfnotwendigkeit bereitsdie höchste Priorität erhalten(müssen). "Die Gefahr eines Risi-koeintritts (ausgedrückt durch dieBewertung der Risikofaktoren)und das Ausmaß der Beeinträch-tigung der Unternehmensziele(wiedergegeben in der Gewich-tung der Risikofaktoren entspre-chend deren Bedeutung zurProzess-/Unternehmenszielerrei-chung) determinieren damit die

Art und Weise des Erreichens derRevisionsziele." (KREY, S. 183.)

Weiterhin müssen Prüffeldererweiterbar sein, dabei darf eskeinen Verlust an Vergleichbar-keit geben, das Hinzufügen neueroder Ändern bestehender Prüf-felder ist zu historisieren. Glei-ches gilt für Prüfkriterien. Prüf-feldern sind Mindest-Prüfungs-abstände in Jahren zuzuweisen,die definieren, in welchen Ab-ständen die Prüffelder minde-stens geprüft werden sollen (Tur-nusbestimmung). Ihnen solltenauch fachlich zuständige Abtei-lungen des Unternehmens zuge-wiesen werden. Die Beurteilungeines Prüffeldes sollte grundsätz-lich dauerhaft durch eine Personerfolgen, ein (regelmäßiger/häu-figer) Wechsel führt zur Ände-rung von Wertmaßstäben. Dabeisollten einem Revisor als verant-wortlichen Beurteiler ca. 20 Prüf-

felder zugewiesen werden, da an-sonsten diese Art der Risikodar-stellung ggf. zu komplex wird(vgl. KREY, S. 169f, S. 176.)

Es ist ein Rollenkonzept undein gesichertes Login zu imple-mentieren, dass die RollenAdministrator, Revisor und Leiterbeinhaltet. Die Rollenverteilungdarf nicht auf eine je Mitarbeiterbegrenzt sein. Die Administra-tionsrolle sollte in der Revisionausgeübt werden. Änderungen anBenutzerstammsätzen wie Hinzu-fügen, Löschen, Namensände-rung oder die Kennwortänderungeines Benutzers durch denAdministrator sind zu historisie-ren.

Während der Beurteilungspha-se darf kein Revisor die Rang-folgeposition der ihm zugewiese-nen Prüffelder gegenüber denenseiner Kollegen einsehen können,da dies die Beurteilung beeinflusst.Der Beurteilungsprozess für einneues Planungsjahr sollte bis zueinem bestimmten Datum imalten Jahr, z.B. bis Ende Novem-ber, abgeschlossen sein. Danachmuss die Ermittlung der Rang-folgepositionen der Prüffelder er-folgen, die als "Maß der Prüfungs-dringlichkeit interpretiert werden"(KREY, S. 183.), so dass die Revi-sionsleitung in der Lage ist, ge-meinsam mit jedem einzelnenRevisor aus der Rangliste herausdas individuelle Prüfprogrammdes Folgejahres abzuleiten.

Mit realistischem Blick werdendie Prüffelder markiert, aus

36

Prüfkriterium

Beachtung im Risikomanagement

Wettbewerbsbedingungen: Abhängigkeit von...Lieferanten/Kunden/Marktveränderungen

Abhängigkeit von der IT

Eindeutige Regelungen/Kompetenzen/Verantwortung/Prozesse...Schnittstellenzu anderen FB...Kontrollen

Ergebnis der letzten Prüfung

Zeitpunkt der letzten Prüfung

Mitarbeiterzufriedenheit / -fluktuation

Kapazitätsauslastung: Auslastung u/o Veränderung der rel. Auslastung imZeitvergleich

Einhaltung der definierten Bereichsziele

Aufbau- und Ablauforganisation: Änderungen in der Org. in der letzten Zeit u/oKomplexität der Prozesse

Tab. 2: Beispiel-Prüfkriterienliste

denen sich eine Prüfung ergibt.Sofern in der Rangfolge hochangesiedelte Prüffelder keinePrüfung ergeben (z.B. durch feh-

lende Ressourcen), ist eine Be-gründung für das Ausbleibeneiner Prüfung zu hinterlegen.Prüffelder müssen als Prüfungs-vormerkung in der Zukunft mar-kierbar sein. Prüfungsvormer-kungen aus der Vergangenheitund Review-Vereinbarungenmüssen als Prüfung wählbar sein.

Automatische Prüfungszuwei-sungen darf es jedoch nichtgeben, weil Ressourcenengpässein kleinen Revisionsstäben Auto-matismen kaum zulassen. Gleich-wohl muss es möglich sein, diePrüffelderrisikosicht und dieÜbersicht der Prüffelder, dieaußerhalb ihres definierten Prü-fungsturnus' liegen, gegenüber zustellen, um beide Darstellungenausgewogen in die Auswahl derPrüfthemen einfließen zu lassen.

Die folgende Tabelle zeigt dieVor- und Nachteile einer solchenBeurteilungsmöglichkeit auf (vgl.KREY, S. 183f.):

Entsprechend gilt es, einScoring-Verfahren zu entwickeln,das mit (ggf. mit der Unterneh-mensleitung) abgestimmten Beur-teilungskriterien und einer ange-messenen Abstufung untereinan-der dauerhaft ein Höchstmaß anObjektivität ermöglicht.

Prüfungsableitung

Nach der Beurteilung der Prüf-felder definiert jeder Revisor mitdem Revisionsleiter aus derBeurteilungsmatrix die Prüfungendes Folgejahres als Soll-Vorgabe.So definierte Prüfungen werdenim Laufe des Prüfungsjahres mitentsprechenden Echtdaten verse-hen. Dies können z.B. sein:• Konkreter Prüfungstitel, Zu-

sammenfassung bzw. Prüfbe-richttext, Kenntlichmachungeiner Unterstützung durch

Externe und Name desDienstleisters

• Wann wurde die Prüfung ein-geplant?

• Handelt es sich um eine Prü-fung aus einer Bewertungheraus oder um ein Review?

• Wann wurde die Prüfungs-vorbereitung begonnen?

• Wann wurde die Prüfung demFachbereich angekündigt?

• Wann wurde die Prüfung be-gonnen?

• Wann wurde dem Fachbe-reich ein Fragenkatalog über-geben und wann erhielt dieIR diesen wieder ausgefülltzurück?

• Wann wurde die Prüfung be-endet ?

• Seit wann liegt der Prüfbe-richt vor?

• Wann fand die letzte Schluss-besprechung mit den beteilig-ten Fachbereichen statt ?

• Für welches Jahr wurde einReview aus dem Bericht her-aus eingeplant?

37

Vorteil Nachteil

Grundsätzlich Förderung systematischerProblembearbeitung

Monetär bewertbare Kriterien verlieren durch Scoring ihreGenauigkeit, können jedoch angemessen berücksichtigt wer-den

Möglichkeit zur Berücksichtigung verschiedener Zielgrößenmit unterschiedlichen Dimensionen.

Möglichkeit zur Erfassung der Prüfungsziele inScoringwerten (Dynamik der Unternehmensumwelt)

Fundierte Bestimmung der Risikofaktoren anhand ihresEinflusses auf das Prüfungsrisiko

Erfahrung und Know-how des Revisors bestimmen dieQualität der Prognosen, so werden ggf. "beliebte" Themenbevorzugt, während bagatellisierte/marginalisierte Themenausgeklammert werden

Flexibilität bei der Zahl der Risikofaktoren je Prüffeld, wobeizum Schutz der Vergleichbarkeit jedes Prüffeld mit jedemKriterium beurteilt werden sollte

Transparenz der Subjektivität von Entscheidungen

Trotz Komplexitätsreduktion ausreichend große Anzahl vonBeurteilungsobjekten und -maßstäben

Tab. 3: Vor- und Nachteile eines Scoring-Verfahrens mit Bezug zur Nutzwertanalyse

• Wann lag dem Vorstand derBericht vor bzw. fand dieBesprechung beim Vorstandstatt?

• Hinterlegung eines Prüfungs-status' (in Bearbeitung oderbeendet)

• Hinterlegung eines kurzenGesamtergebnisses

• Hinterlegung div. Differenzenzwischen bestimmten Ereig-nissen, z.B. zwischen ‚Prü-fung begonnen' und ‚Prüfungbeendet', ‚Prüfung begonnen'und ‚Bericht an Vorstand'usw.

Werden vereinbarte Prüfun-gen nicht durchgeführt, müssendiese als ‚nicht durchgeführt' zuerkennen sein und eine Ersatz-prüfung ist ggf. zu wählen. Diesmuss sich später im Soll-Ist-Ver-gleich widerspiegeln.

Beginn und Ende einer Prü-fung sind als alleinige Muss-Fel-der zu definieren, bevor sie been-det werden kann. Es ist möglich,

dass eine Prüfung als Beratungendet und sich kein Berichtergibt, so dass die Berichtsvorlagenicht als zwingend erachtet wer-den kann.

Die interne Beratung - auch inProjekten - stellt neben der Prü-fung den zweiten, als eigenständi-ge Aufgabe wichtigen Aspekt derInternen Revision dar, der gleich-sam ein elementarer Bestandteildes Führungsprozesses des Un-ternehmens ist (vgl. HUNECKE,S. 51, 64.). "Die Interne Revisionkann aufgrund fehlender Anord-nungsbefugnis nur eine Unter-stützungsfunktion bei der Um-setzung von Verbesserungsvor-schlägen übernehmen." (HUN-ECKE, S. 126.) Dies hat sie mitexternen Beratungsdienstleisterngemein. Dabei ist es unterneh-mensabhängig, welche Akzeptanz

eine interne Beratung gegenübereiner externen aufweist, wobeieine externe Beratung im Nach-hinein selten belastbar ist und

nicht immer an den tatsächlichenbetrieblichen Erfordernissen ge-spiegelt werden kann (vgl. HUN-ECKE, S. 127ff.). Dem gegenü-ber stellt die IR bei ihren Em-pfehlungen die Realisierbarkeit inden Mittelpunkt - so berücksich-tigt sie unternehmensspezifischeGegebenheiten im allgemeinensinnvoller, d.h. prozessnäher,während hier der Einbezug au-ßerbetrieblicher Erfahrungenproblematisch ist (vgl. HUNEC-KE, S. 200f., vgl. SCHWEIGER,S. 246ff).

Sofern die Beratungsleistun-gen der Revisoren dokumentiertwerden sollen, ist auch die Bera-tung jedes einzelnen Revisors alsPrüffeld aufzunehmen.

Anforderungen aan ddieMaßnahmenverfolgung

Die Maßnahmenverfolgung,d.h. die Überprüfung der Um-setzung von Fachbereichsakti-vitäten aus einem Prüfberichtheraus (Follow-Up-Konzept), isteine wesentliche Forderung füreine Systematisierung revisori-scher Arbeitsleistung. Bei derDefinition von Maßnahmen wirdein Termin gesetzt, zu dem dieVereinbarung durch einen Ver-antwortlichen spätestens umge-setzt sein muss. "Bei Erreichendieser vorgegebenen zeitlichenMeilensteine der Prüfungs-empfehlungen sind die wesent-lichen Risiken daraufhin zu unter-suchen, inwieweit diese auch tat-sächlich im Fachbereich aufge-griffen wurden." (KREY, S. 241.)

38

Abb. 1: Beispiel Prüfungsdaten

Dabei ist zu gewährleisten,dass der zuständige Revisor nachVerstreichen des Umsetzungszeit-punktes Kenntnis über die feh-lende Umsetzung erhält, so dasser im Fachbereich Gründe für dasAusbleiben einholen und ggf.eine Nachfrist setzen oder abernach vollzogener Umsetzung die

Maßnahme als umgesetzt markie-ren kann. "Haben Unterneh-mensführung bzw. die Verant-wortungsträger [...] Prüfungs-empfehlungen nicht aufgegriffen,besteht die wesentliche Aufgabedes Follow-Up zu überprüfen, obdem Management das Risikoeiner unterlassenen Korrekturbewusst ist." (KREY, S. 241.)Dementsprechend sind die nichtumgesetzten Empfehlungen zuerfassen und gesondert mitErläuterung herauszustellen.

Entsprechend muss es mög-lich sein, sowohl eine komplette

Maßnahmendarstellung einesJahres zu erhalten als auch ausste-hende Maßnahmenumsetzungeninnerhalb einer Datumseingren-zung anzeigen zu lassen. Des wei-teren sollten Maßnahmen nachVerantwortung sortiert werdenkönnen.

Auswertungsanforderungen

Eine Systematisierung bedeu-tet gleichsam, dass umfangreicheAuswertungsmöglichkeiten zurVerfügung stehen, die verschiede-ne Informationsbedarfe befriedi-gen.

Folgende Auswertungen sind hierals sinnvoll beispielhaft zu nen-nen:• Übersicht über alle Revisoren

incl. deren Rechte, Übersichtüber zugewiesene Prüffelderjedes einzelnen Revisors,hieraus Übersicht über zuge-

wiesene Organisationseinhei-ten, hieraus Übersicht überalle der OE zugewiesenenPrüffelder

• Übersicht über - alle Prüf-felder, - alle Prüfkriterien undderen Gewichtung, - alleOE's

• Übersicht über Prüfungenzur Organisationseinheit

• Übersicht über Prüfungen jeJahr und je Jahr/je Revisor

• Darstellung der Ursprungs-prüfung(en) zu einer Prüfung(z.B. bei Review)

• Suche nach bestimmten Be-griffen in Prüfungen

• Übersicht über bisher durchPrüfungen nicht berührteOrganisationseinheiten

• Übersicht über Maßnahmenje Jahr und je Jahr/je Revisor,sortiert nach Prüfung odernach verantwortlichem Be-reich

• Übersicht über Maßnahmeninnerhalb einer Datumsein-grenzung (Umsetzungszeit-punkt)

• Übersicht über bewertetePrüffelder je Jahr und je Jahr/je Revisor

• Übersicht über bewertetePrüffelder über mehrere Jah-re

• Übersicht über bisherigePrüfungen zum ausgewähltenPrüffeld

• Übersicht über Prüffelder, dieaußerhalb ihres definiertenPrüfungsturnus' liegen

• Darstellung eines Prüfungen-Soll-Ist-Vergleiches je Jahr/Revisor (Revisoren dürfennur ihren eigenen Soll-Ist-

39

Abb. 2: Maßnahmen einer Prüfung

40

Vergleich sehen, der Leitersieht auch einen Komplett-Soll-Ist-Vergleich)

• Übersicht über Prüfungenmit fehlerhaften/unplausi-blen Datumseingaben

• Darstellung der Benutzerhis-torie und der Historie weite-rer Objekte (Prüffelder, Kri-terien etc.)

• Übersicht über Prüffelder, diejährlich zu prüfen sind, abernicht zu einer Prüfung führ-ten

• Übersicht über gelöschtePrüfungen

Fazit

Es ist nachvollziehbar, dasseine Analyse-/Beurteilungsunter-stützung der revisorischen Risi-kobetrachtung notwendig ist.Dabei kann auch mit einer Sys-

tematisierung dieser Planungs-und Dokumentationsaufgabendas Problemfeld "einer objekti-ven Bewertung allein durch An-wendung (komplexer) mathema-tischer Verfahren nicht behobenwerden, solange die zugrundelie-genden Daten auf einer subjekti-ven Einschätzung beruhen."(KREY, S. 169.)

Trotzdem ist insbesondere fürkleine Revisionsstäbe die Systema-tisierung der Arbeitsleistung in derbeschriebenen Form als Mög-lichkeit zu sehen, die Entschei-dungsfindung des Aktivitäten- /Jahresprüfplanes der Revisoren zuhistorisieren und im Nachhineinnachvollziehbar darzustellen. Sieist ein "fundiertes Auswahlins-trument als ein weniger systemati-sches einfaches Ranking derbewerteten Risikofaktoren."(KREY, S. 183.) Zusätzlich wirdnicht nur die gesamte Leistungs-erbringung der Revisoren, son-dern auch das Optimierungs-potential der Unternehmensberei-che und das schlüssige Handeln inRisikobereichen dokumentiert.Durch die Bereitstellung umfas-sender Auswertungs- und Nach-bearbeitungsmöglichkeiten, dieflexibel anpassbar sind, stellt diedatenbankgestützte Systematisie-rung eine maßgebliche Dokumen-tations- und Legitimationsunter-stützung revisorischer Leistungs-erbringung zur Verfügung.

Literatur // IInternet-SSeiten

Hunecke, Jörg:Interne Beratung durch dieInterne RevisionDiss., Schriftenreihe Rechnungs-legung - Steuern - Prüfung,Band 5, Technische UniversitätMünchen, 2. Auflage 2003.

Krey, Sandra:Konzeption und Anwendungeines risikoorientierten Prüfungs-ansatzes in der Internen Revision,Diss., KPMG, Berlin, 2001.

Schweiger, Elmar:Beratung durch die InterneRevision - Ihre Rolle, hre Risikenund ihre ChancenIn: Zeitschrift Interne Revision(ZIR), 6/2003.

http://www.theiia.org/The Institute of InternalAuditors

http://www.isaca.org/Information Systems Audit andControl Association

http://www.idw.de/Institut der Wirtschaftsprüfer

http://www.iir-ev.de/Deutsches Institut für InterneRevision e.V.

http://www.auditplan-xp.de/AuditPlan XP ✜

Durch ddie BBereitstellungumfassender AAuswer-tungs- uund NNachbe-

arbeitungsmöglichkeiten,die fflexibel aanpassbar

sind, sstellt ddie ddatenbank-gestützte SSystematisie-rung eeine mmaßgeblicheDokumentations- uund

Legitimationsunterstüt-zung rrevisorischer

Leistungserbringung zzurVerfügung.

41

Noch immer aktuell:

❑❑ Titel: Baurevision

Autor: Hans-Günter WenzelISBN: 3-930291-16-9Seiten: 600Preis: 65,45 €

Inhalt:

Hans-Günther Wenzel hat in dem vorliegenden Buch „Baurevision“, das sich am Ablauf vonBaumaßnahmen orientiert, seine Erfahrungen und Kenntnisse beschrieben. Von den erstenPlanungsschritten bis zur Beseitigung von Gewährleistungsmängeln werden Möglichkeiten aufge-zeigt, die in der Praxis häufig zur Schädigung des Bauherrn führen, sowie entsprechende Maßnahmenaufgezeigt, die dies verhindern sollen. Die technische Revision hat ganz besonders im Bauwesen zurAufdeckung von erheblichem Risikopotenzial in den verschiedenen Bauphasen geführt. Für Bauherrenist es wichtig, die eigenen Möglichkeiten zur Erschwerung von Bestechung und Bauabsprachen zukennen und zu nutzen. Neben einer ausführlichen Einführung in die Themenbereiche der Baurevisionwerden die wichtigen Fragen aus der Praxis eingehend beantwortet. Zum Verständnis derPrüfvorgänge und des Buchinhaltes sind bautechnische Kenntnisse nicht notwendig.

H.-G. Wenzel verfügt sowohl über Erfahrungen als Projektverantwortlicher bei Baumaßnahmen alsauch über eine 12-jährige Erfahrung als technischer Revisor. Auch aus seiner Tätigkeit als Referentfür Baurevision bei einem namhaften Veranstalter von Revisionsseminaren schöpft er die vielfältigenFragen und Antworten zu den einzelnen Themen der Baurevision..

Name:

Vorname:

Firma:

Abteilung

Straße:

PLZ/Ort:

Tel.:

E-Mail:

Ort/Datum:

Unterschrift



Tel.: +49 40 69 69 85-14Fax: +49 40 69 69 85-31

[email protected]

Bestell-Fax 040/69 69 85-31

42

Revisionsworkshop„Finanzbuchhaltung“ vonSAP R/3® SystemenInhalte u.a.:Aufbau, Funktionalität und Organisation• Gesamtsystem• Datenaufbau und Datenfluss• Abbildung buchhalterischer Abläufe

im SAP-System

Modul FI• Transaktionen• Plausibilitätsprüfungen• Kreditoren und Rechnungsprüfung

Auswertungsmöglichkeitenmit SAP-Mitteln• Standardreports• Reportmodifizierung• Überwachung der Tabellen-

protokollierung

Seminarcode: R3FI

25.11.-26.11.04

Anmeldung und Auskünfte:

IBS Schreiber GmbHFrau Christina RobrockTEL: +49 40 69 69 85-15FAX: +49 40 69 69 85-31Friedrich-Ebert-Damm 145

22047 Hamburg

[email protected]

Prüfung des Berechtigungs-konzeptes von SAP R/3®

SystemenInhalte u.a.:Aufbau des Berechtigungskonzeptes• Objekte / Berechtigungen / Profile• Transaktionsberechtigungen

Die Problematik des Berechtigungs-konzeptes• Komplexität und Quantität• Kritische Berechtigungen

Konzepte zur Implementierung desBerechtigungskonzept

Tipps und Tricks beim Umgang mit demBerechtigungskonzept

Der Profilgenerator

Möglichkeiten zur Prüfung mitexternen Werkzeugen

Seminarcode: R3BK

18.11.-19.11.04



22047 Hamburg

[email protected]

Systemprüfung vonSAP R/3®

Inhalte u.a.:Basissicherheit• Schichten eines SAP-Systems und

Gefahrenpunkte• OSS/SAP Marketplace

Benutzerverwaltung• Grundkonzeption

Protokollierungskomponenten• Auditing

Verbuchungsprinzip• Organisatorische und systemseitige

Handhabung

Tabellensteuerung• Protokollierung• Technische Konzeption der

Änderungsbelege

Seminarcode: R3SY

15.11.-17.11.04



22047 Hamburg

[email protected]

+++ SSEMINARE +++

Datenprüfung im Umfelddes SAP-SystemsInhalte u.a.:Datenprüfung in Theorie und Praxis• Werkzeuge der Datenprüfung• Methoden der Datenprüfung• Ergebnisinterpretation

Datenprüfung mit SAP• Reports• Accounting / Audit Information System• GDPdU konforme Schnittstellen

Datenprüfung FI• Kreditoren• Debitoren• Anlagen

Datenprüfung MM• Stammdaten (MARA)• Materialbewegung• Inventuren

Seminarcode: R3DP

11.11-12.11.04



22047 Hamburg

[email protected]

Revisionsworkshop Material-wirtschaft - MM von SAP R/3®

SystemenInhalte u.a.:Vorbemerkungen

Bedarfsplanung/Prognose

Bestellanforderungen

Anfragen/Angebote

Bestellungen/Kontrakte

Bestandsführung/Bewertung

Rechnungseingang

Inventur

Bilanzbewertung

Übergreifende Themen• Lieferantenbeurteilung• Informationssysteme

Seminarcode: R3MM

29.11.-30.11.04



22047 Hamburg

[email protected]

Prüfungsworkshop zurSicherheit einer SAP R/3®SystemlandschaftInhalte u.a.:Einführung• Prüffelder zur SAP R/3®

Systemprüfung• Prüfleitfaden (organisatorische und

systemseitige Vorgaben)

Workshopthema• Prüfung der Sicherheit einer

SAP R/3® Systemlandschaft

Prüfprozedur• Erstellung eines Handlungsleitfaden• Durchführung der

Prüfungshandlungen• Dokumentationen der Prüfergebnisse• Präsentation der Prüfprozedur und

Prüfergebnisse

Seminarcode: R3PB

22.11.-24.11.04



22047 Hamburg

[email protected]

43

+++ SSEMINARE +++

Prüfmethoden (Workshop)Inhalte u.a.:Einführung• Vom Wesen der Prüfung• Vorbereitung und Durchführung

von Prüfungen

Prüfmethoden• Abfragen/Interviews• Vergleich (Benchmark)• Verprobung (Überschlagsrechnung)• Vor-Ort-Begehung (Inventur)

Kennzahlen• Kennzahlensysteme - Übersicht• Kennzahlen als Meta-Daten des

Betriebs• Kennzahlen als Erkenntnis-Basis für

die Revision• Nutzung des BSC (Balanced Score

Card) für die Revision

Seminarcode: GMPM

15.11.-16.11.04



22047 Hamburg

[email protected]

Windows 2000 ActiveDirectory ServicesInhalte u.a.:Einführung und Verzeichnisdienste• Philosophie• Protokolle und Standards

Active Directory Services• Physische und logische Struktur• Objekte und Objektsicherheit• technische Hintergründe

Gruppenrichtlinien• Steuerungsmöglichkeiten• Prüfungsansätze und Tools• bekannte Probleme

Migration• Upgrade versus Neuinstallation• Client Roll-out• Prüfungsaspekte

Seminarcode: DSAS

18.11.-19.11.04



22047 Hamburg

[email protected]

Prüfen des EinkaufInhalte u.a.:Einführung• Gefährdungspotenzial des Einkaufs• Der Prozess des Einkaufs

Risiken im Beschaffungsprozess undRisikosteuerung• Risikopotential + -ranking• Risiko-Steuerungsmaßnahmen

Kommunikationsfluss• Richtlinien/Verfahrensanweisungen

für den Einkauf• Der Kommunikationsweg von der

Anforderung bis zur Liefreung undAbnahme und Rückkopplung

Fallbeispiele im Zusammenhang

Seminarcode: GMEI

10.11.-12.11.04



22047 Hamburg

[email protected]

UNIX/Linux für Revisorenund DatenschutzbeauftragteInhalte u.a.:Einführung:• UNIX-Dateiverwaltung• grundlegende UNIX-Befehle

Zugriffssicherungen• Zugriffsrechte unter UNIX• Konfiguration der Dienste

Datensicherheit und Datenschutz• Das Problem „root“• UPS-Systeme

Werkzeuge für die IT-Revision• SAINT (SATAN)• USEIT• Exportieren von Auswertungsergeb-

nissen auf den Prüfer-PC• Checklisten und ihre praktische

Anwendung

Seminarcode: DSUX

29.11.-30.11.04



22047 Hamburg

[email protected]

Prüfen von Firewall-KonzeptenInhalte u.a.:Grundlagen der Sicherheit

Sicherheitselemente

Einbindung von Sicherheit in Netzwerke

Sicherheitskonzepte• Intranet/Internet

Internetprotokoll IP• Protokoll-Datenstruktur

Firewall-Architekturen

Angriffstest und Revisionen

Seminarcode: DSFW

25.11.-26.11.04



22047 Hamburg

[email protected]

Einführung in die InterneRevisionInhalte u.a.:Einführung:• Der Betrieb - Prüfgegenstand der

Revision• Vom Wesen der Prüfung

Grundsätze der Internen Revision (IR):• Ordnungsmäßigkeit• Wirtschaftlichkeit

Prüfungdurchführung• Vorbereitung der Prüfung• Berichterstattung

Risikomanagement unterRevisionsaspekten:

Organisation und Verwaltung derRevision:• IT-Werkzeuge für die Revision

Seminarcode: GMIR

02.12.-03.12.04



22047 Hamburg

[email protected]

44

dib UnternehmenspolitikDeutsches Institut für Betriebswirtschaft GmbH

Datenschutz undBankgeheimnis

Inhalte u.a.:Das neue SCHUFA-VerfahrenDatenschutz-Klauseln beiVerbundgeschäftenDatenschutz und vorrangigeRechtsvorschriftenCold CallingTelefax / E-MailInformationsveranstaltungen fürFührungskräfte

Die Referenten:Dipl.-Volksw. Friedhelm Wolf, Kronberg

Termin und Ort:16. November 2004im dib-Seminargebäude, Frankfurt am Main, Friedrichstr. 10-12.

Anmeldung und Auskünfte:Bitte melden Sie sich an beiDipl.-Volkswirt Margit Burkhardt-Lee.telefonisch: (069) 9 71 65 -13schriftl.: dib, Friedrichstr. 10-12,60323 Frankfurt am Mainper Fax: (069) 9 71 65 -25eMail: [email protected] Seminarnummer ist 041124.


Was muss ein DSB beivernetzten Systemen

beachten?Inhalte u.a.:

DV-technische Grundlagen• SicherheitsaspekteDatenschutzrechtliche Grundlagen beivernetzten Systemen• Schulungserfordernis• AuskunftserteilungUmsetzung der Datenschutzbestimmung• Richtlinien im PC-Bereich

Der ReferentVerschiedene

Termin und Ort:25. - 26. November 2004im dib-Seminargebäude, Frankfurt am Main, Friedrichstr. 10-12.

Anmeldung und Auskünfte:Bitte melden Sie sich an beiDipl.-Volkswirt Margit Burkhardt-Lee .Sie beantwortet auch gerne Ihre Fragen.telefonisch: (069) 9 71 65 -13schriftl.: dib, Friedrichstr. 10-12,60323 Frankfurt am Mainper Fax: (069) 9 71 65 -25eMail: [email protected] Seminarnummer ist 041123.


Datenschutz imKrankenhaus

Inhalte u.a.:Aktuell: Verbesserte Situation des DSBnach der BDSG-Novelle 2002?DSB im KrankenhausIm Dickicht der Paragrafen - welcheVorschriften gelten in welcher Art imKrankenhaus?Typische SchwachstellenNeue Techniken - neue HerausforderungenOutsourcing - Wege und Grenzen

Der Referent:Dr. Eugen Ehmann, Regierungsdirektor

Termin und Ort:15. Dezember 2004im dib-Seminargebäude, Frankfurt am Main, Friedrichstr. 10-12.



Buchführung: VomBuchungssatz zur Bilanz

Inhalte u.a.:Die Buchführung als Bestandteil desRechnungswesensGrundzüge der doppelten BuchführungPraxis der BuchhaltungDie EDV-gestützte BuchhaltungDie EDV-gestützte BuchhaltungLexikon der wichtigsten Begriffe: verständlich definiert

Der Referent:Dipl.-Betriebswirt Christian Wabenhorst,Unternehmensberater, Korb bei Stuttgart



+++ SSEMINARE +++


Mitarbeiter situations-gerecht führen

Inhalte u.a.:• Kompetenz und Motivation• Welcher Führungstyp bin ich?• Welche Mitarbeietrtypen gibt es?• Wie führe ich welchen Mitarbeiter?• Welche Führungsstile gibt es?• Schlüsselqualifikationen• Lob und Kritik• Durch Fragen führen• Wie leite ich richtig?• Die gemeinsame Absprache

Die Referenten:Thorsten Schildt,PRAESENTATIO, Rheine




BankbilanzierungInhalte u.a.:

Systematik und Grundlagen der bankrecht-lichen RegelungenAusweis und Bewertung von KreditenAusweis und Bewertung von WertpapierenWährungsumrechnung nach § 340h HGBBilanzpolitische SpielräumeAktuelle Bilanzierungsfragen

Die Referenten:WP Horst Butte, Berlin



45


Was muss ein Datenschutz-beauftragter bei vernetzten

Systemen beachten?Inhalte u.a.:

• DV-technische Grundlagen• Datenschutzrechtliche Grundlagen bei

vernetzten Systemen• Umsetzung der Datenschutz-

bestimmungenDie Referenten:

Daniel Groß, T-Systems International GmbH, NürnbergDipl.-Volkswirt Friedhelm Wolf, Externer Datenschutzbeauftragter,Königstein




ProjektmanagementInhalte u.a.:

• Projektmanagement• Management und Instrumente der

Projektplanung und -steuerung• Projektinformationen• Projektarbeit ist Teamarbeit• Projektabschluss• Praxisfälle

Der ReferentHelga Herchenhan, freiberufliche Trainerin,DisKurs, Wuppertal


Anmeldung und Auskünfte:Bitte melden Sie sich an beiDipl.-Volkswirt Margit Burkhardt-Lee.Sie beantwortet auch gerne Ihre Fragen.telefonisch: (069) 9 71 65 -13schriftl.: dib, Friedrichstr. 10-12,60323 Frankfurt am Mainper Fax: (069) 9 71 65 -25eMail: [email protected] Seminarnummer ist 041153.


Die Compliance-Organisation im

FinanzinstitutInhalte u.a.:

Einführung• Die Entwicklung der Compliance-

PhilosophieDie Insider-Regelung des WpHGDie Compliance-Regeln des WpHGDie Leitsätze für Mitarbeitdergeschäfte

Der ReferentWolfgang Gabriel, Rechtsanwalt,Stellvertreter des Compliance-Beauftragten, SEB AG

Termin und Ort:26. August 2004im dib-Seminargebäude, Frankfurt am Main, Friedrichstr. 10-12.



Das Arbeitsrecht in derbetrieblichen Praxis

Inhalte u.a.:Grundzüge des ArbeitsrechtsAnmahnung des ArbeitsverhältnissesBefristung von ArbeitsverhältnissenGrundzüge des neuen ArbeitsgesetzesGrundzüge des UrlaubsrechtMutterschutz / ErziehungsurlaubSchwerbehindertenrechtKündigungsrecht

Der ReferentRA Dr. Ulrich Stoll, Fachanwalt für Arbeitsrecht, Oberursel




BetriebswirtschaftlichesGrundwissen für kompe-

tente ChefassistenzInhalte u.a.:

Unternehmen im WandelGrundlagen des ControllingGrundlagen des MarketingGrundlagen des ArbeitsrechtsLiteratur

Der ReferentDipl.-Betriebsw. Christian Wabenhorst,Korb bei Stuttgart, Unternehmens-beratung für Planung und Controlling

Termin und Ort:16. - 17. Dezember 2004im dib-Seminargebäude,Frankfurt am Main, Friedrichstr. 10-12.



Krisen-PR für PraktikerInhalte u.a.:

• Übung• Prolog: Ethik des Glaubens• Was ist eine Krise?• Krisenfelder: Lokalisierung• Krisenfelder: Prävention• Krisenfelder: Früherkennung• Aktive Krisen-PR• Die Nachbereitung• Sieben Ratschläge und acht Todsünden

Der Referent:Dr. Perry Reisewitz, GeschäftsführenderGesellschafter der Compass Communi-cations, Agentur für Unternehmenskom-munikation, München



+++ SSEMINARE +++

Horváth & Partners (Hrsg.)

Balanced Scorecardumsetzen

Schäffer-Poeschel Verlag,517 S., ISBN 3-7910-2268-749,95 €

Die Balanced Scorecard(BSC), ein Anfang der 90er Jahrevon Professor Robert S. Kaplanund David P. Norton entwickeltesManagementsystem, hat zwi-schenzeitlich seinen festen Platzin der Unternehmenspraxis.

Dieses Werk stellt dieErfahrungen bei der Implemen-tierung und laufenden Nutzungder BSC dar und stellt eine kon-sequente Ergänzung des Fach-buchbestsellers von “Kaplan/Norton, Balanced Scorecard” dar.Die Autoren vermitteln in ersterLinie für den Unternehmensprak-tiker Praxistipps aus ihrer Bera-tungserfahrung, die durch eineVielzahl von Unternehmensbei-spielen sowie aus dem Öffent-lichen Bereich veranschaulichtwerden. Sowohl der Manager, derfür die Strategiefindung und -umsetzung verantwortlich ist, alsauch der Koordinatior der BSC-Einführung erhalten mit diesemWerk einen konkreten Leitfadenan die Hand.

In der nunmehr 3. Auflageerfolgt eine durchgehende Über-arbeitung, insbesondere werdendie Unternehmensbeispiele aktu-alisiert und um neue Erkenntnis-se aus der Praxis ergänzt; die Er-

gebnisse einer von Horváth &Partners erstellten BSC-Praxisstu-die runden die Erfahrungswerteaus der Unternehmenspraxis ab.Darüber hinaus erfolgt zur weite-ren Illustration die Integrationvon Strategy Maps.

Péter Horváth (Hrsg.)

Die Strategieumsetzungerfolgreich steuern


Immaterielle Werte gelten alsFaktor für den Unternehmens-erfolg. Grundlage dafür ist eineerfolgreiche Strategieumsetzung,die mit innovativen Konzeptenerreicht werden kann.

In diesem Werk, das dieBeiträge des “Stuttgarter Control-lerforum 2004” beinhaltet, wer-den innovative Konzepte zurSteuerung der Strategieumsetzungund erfolgreiche Praxislösungenaufgegriffen. Die einzelnenBeiträge befassen sich u.a. mit fol-genden Fragestellungen: Wiesteuert und gestaltet man den Wegvon immateriellen Werten zummateriellen Erfolg? WelcheInstrumente werden hierzu benö-tigt und wie werden diese in derPraxis angewandt? Wie gestaltetman einen Strategieumsetzungs-prozess effektiv und effizient?Welchen Stellenwert haben Stra-tegy Maps bei der Beschreibung,Messung und Organisation vonStrategien? Wie integriert man das

Risikomanagement in die strategi-sche Steuerung? Und: WelcheAuswirkung hat dies auf dasSpannungsverhältnis von inter-nem und externem Rechnungs-wesen? Wie ist das Wertmanage-ment von immateriellen Wertenzu gestalten? In welcher Formkann dies durch standardisierteoder individuell angepasste IT-Instrumente unterstützt werden?

Das Werk stellt konkreteVorschläge bei der Lösung dieserhochaktuellen Fragestellungen darund gibt praxisrelevante Hilfe-stellungen bei der Umsetzung inder Unternehmenspraxis.

Péter Horváth / Ronald Gleich (Hrsg.)

Neugestaltung derUnternehmensplanung


Planung und Budgetierungsind zentrale Instrumente zurerfolgsorientierten Unterneh-menssteuerung. In vielen Unter-nehmen wurden sie mit der Ziel-setzung von zukünftigen Prog-nosen, der Schaffung von Leis-tungsanreizen, als Entscheidungs-hilfe etc. zu einem umfangreichenund komplexen System entwickelt.Trotz der hohen Bedeutung vontraditionellen Ansätzen der Pla-nung und Budgetierung sind dieseunter massive Kritik geraten. DieKritik bezieht sich beispielsweiseauf einen, im Verhältnis zu einemin vielen Fällen nur eingeschränk-

+++ BBUCHHINWEISE +++

46

ten Nutzen unverhältnismäßigenRessourcenaufwand, der fehlen-den Verbindung von strategischerund operativer Planung, der Ein-dimensionalität der Planung (d.h.Ausrichtung primär auf finanzielleAspekte) und der Akzeptanz derPlanung. Diese Kritikpunkte undverschiedene internationale Im-pulse zur Neugestaltung der Pla-nung (z.B. “Beyond Budgeting”)erfordern neue Ansätze zur Leis-tungssteigerung von Planung undBudgetierung. Vor diesem Hinter-grund ist es Zielsetzung diesesWerkes, anhand von Praxisbei-spielen nicht nur die wesentlichenProblemfelder aufzuzeigen, son-dern vielmehr Lösungskriterienfür die Neugestaltung der Planungund Budgetierung zu erläutern.Dazu gehören neben der Erhö-hung der Flexibilität, die Erweite-rung im einen Prozessfokus, einenicht zu große Detaillierung, dieBetrachtung wesentlicher Leis-tungsebenen sowie die Berück-sichtigung nichtfinanzieller Aspek-te in der Planung und Budgetie-rung. Die einbezogenen Praxisbei-spiele basieren auf Beratungspro-jekten und stammen aus unter-schiedlichen Branchen.

Sven Hayn / Georg Graf Waldersee

IFRS / US-GAAP / HGBim Vergleich


IFRS und US-GAAP habensich mittlerweile in der deutschen

Bilanzierungspraxis fest etabliert.Den Jahresabschluss 2005 müs-sen börsennotierte Konzernenach IFRS aufstellen. Damit wirddie Implementierung von IFRS/US-GAAP in den Unternehmenbereits zum Stichtag 31.12.2003 /31.12.2004 notwendig. Wegen derVergleichbarkeit des Zahlen-materials werden auch mittelstän-dische Unternehmen die neuenRechnungslegungsvorschriftenumsetzen müssen. Der in derPraxis bewährte Band wird durchdie Darstellung aller drei Rech-nungslegungssysteme zum Leit-faden für die Umstellung. Durchdie Gegenüberstellung von HGBund internationalen Rechnungs-legungsvorschriften wird deut-lich, welche Ergebnisauswirkungdie Umstellung haben wird. DieUnterschiede zwischen den ein-zelnen Rechnungslegungssyste-men werden in dem Buch inForm einer Synopse dargestellt.Das Werk ist nach einzelnenSachgebieten gegliedert. Schwer-punkte werden gesetzt bei Bilan-zierungs-, Bewertungs- und Of-fenlegungsvorschriften. Die Dar-stellungen erfolgen getrennt fürden Einzel- und den Konzern-abschluss. Der Band setzt keinSpezialwissen voraus und sollzugleich als Leitfaden im Rahmender Umstellung auf IRS oder US-GAAP und als übersichtlichesNachschlagewerk dienen.

Aktualisierungen für die 4.Auflage erfolgen hauptsächlichim Bereich IFRS und DRS.Erstmals enthalten ist außerdemein Kapitel zur Umstellung auf

IFRS in den Unternehmen unterbesonderer Berücksichtigung derdabei anfallenden praktischenProbleme. Das Kapitel enthältebenso Hinweise auf die Umstel-lung auf US-GAAP.

Rolf Bolten / Peter Pulte

Aufbewahrungsnormenund -fristen imPersonalbereich

Datakontext Fachverlag,336 S., ISBN 3-89577-319-046,00 €

Jeder Betrieb hat als Arbeit-geber mit vielen Schriftstücken,Dokumentationen und Unterla-gen zu arbeiten, ohne die ein ord-nungsmäßiger Betriebsablaufnicht möglich und die Erfüllungder arbeitgeberseitigen Fürsorge-und Sorgfaltspflichten nichtsichergestellt ist. In der 6. Auflagedieses überarbeiteten und erwei-terten Werks über die Rechts-und Organisationsdokumenta-tion der Aufbewahrungsnormenund -fristen für den Personalbe-reich sind die zahlreichen gesetz-lichen Neuerungen eingearbeitetund dargestellt. Der Hauptteil desBuches enthält eine alphabetischlexikalische Übersicht der aufzu-bewahrenden Urkunden, denAufbewahrungsgrund und dieRechtsgrundlage. Dieser umfasstbeispielsweise die Bereiche: Al-tersversorgung, Arbeitsanweisun-gen, Arbeitszeitkonten, Beitrags-unterlagen, Bilanzen und vieleweitere Sonderthemen.

✜

+++ BBUCHHINWEISE +++

47

ABO-Bestellung für ReVisionEin Abo von ReVision beinhaltet folgende Verlagsdienstleistungen:

• Zugriffsfreigabe auf umfassende Informationen unter www.revision-hamburg.de mit allen jeweils erschienenenReVisions-Beiträgen und Zusatzinformationen, abrufbarund selektierbar

• Zusendung vertiefender Hinweise und Unterlagen zuBeiträgen auf Anfrage

Das Jahresabonnement gilt für 4 Folgeausgaben ab Abo-Bestellung und verlängert sichjeweils um ein Jahr (d.h. um zusätzlich 4 Ausgabefolgen), wenn nicht gekündigt wird.Kündigung ist mit Ablauf des jeweiligen Jahresabo-Termins einen Monat vorher möglich.

ReVision erscheint quartalsweise(jeweils Anfang Februar/Mai/August/November)

Kosten für ein Jahresabonnement: € 47,00 (inkl. 7% MwSt).

Bestell-FaxTel. +49 40 69 69 85-14 • Fax +49 40 69 69 85-31

Oder bestellen Sie online unter www.revision-hamburg.de

Hiermit bestelle ich das Journal ReVision im Jahresabonnement zum nächstmöglichenZeitpunkt. Ein Jahresabonnement (4 Ausgaben) kostet € 47,00 inkl. 7% MwSt. Die Abo-Gebühren zahle ich

❑ nach Rechnungsstellung durch den Verlag.❑ per Bankeinzug. Bitte belasten Sie fällige Beiträge:

Falls ich nicht spätestens 1 Monat vor dem jeweiligen Beginn meines Jahresabonnementskündige, verlängert sich das Abonnement automatisch um ein weiteres Jahr.

Konto-Nr.: _________________________

Bank:_____________________________

Name: ____________________________

Firma: ____________________________

Abteilung: _________________________

Straße: ___________________________

Ort, Datum: _______________________

BLZ:______________________________

Kontoinhaber: ______________________

Vorname: _________________________

Telefon: ___________________________

eMail: ____________________________

PLZ/Ort: __________________________

Unterschrift: _______________________

48

ÂLiebe Leserinnen und Leser, - Wildensee1 ÂLiebe Leserinnen und Leser, die Risiken unserer...

Documents

Transcript of ÂLiebe Leserinnen und Leser, - Wildensee1 ÂLiebe Leserinnen und Leser, die Risiken unserer...