Content

18 Das Interne Kontrollsystem in der EDV & Sicherheit in:

Michael A. Klinger, Oskar Klinger

Das Interne Kontrollsystem im Unternehmen, page 58 - 61

Checklisten, Organisationsanweisungen, Praxisbeispiele und Muster-Prüfberichte

2. Edition 2009, ISBN print: 978-3-8006-3656-3, ISBN online: 978-3-8006-4430-8, https://doi.org/10.15358/9783800644308_58

Series: Controlling Competence

Bibliographic information
18 Das Interne Kontrollsystem in der EDV & Sicherheit Die EDV zählt heute zu den heikelsten Bereichen eines Unternehmens, wobei mit dem rasanten datentechnischen Fortschritt (e-Mail, Internet, e-Business usw.) ganz erhebliche Risiken für das Unternehmen (und den EDV-Anwender) auftauchen. Da die moderne EDV-Technik insbesondere die Netzwerktechnik (von LAN bis WWW) für den Normalanwender (fast) nicht mehr überblickbar ist, bedarf der Informatikbereich einer gesonderten „Behandlung“ hinsichtlich des IKS. Man kann grob 4 Themenbereiche für das IKS unterscheiden (wobei eine Trennung fließend ist): Die Anlagen-Sicherheit (= Schutz der Hardware vor Beschädigung oder Zerstörung und Absicherung der Software gegen unbefugten Zugriff). Die System-Sicherheit (= Absicherung gegen die Gefahr des Verlustes von Daten und des System-Know-hows). Die Programm-Sicherheit (= Schutz vor fehlerhaften Programmen und vor Programmen, welche eine Funktionstrennung im Sinne des IKS nicht ermöglichen oder unterlaufen). Die Daten-Sicherheit (= Schutz der Daten vor unbefugtem Zugriff (Datendiebstahl) und Veränderung (Datenmanipulation). Generell muss gesagt werden, dass alle Sicherheitsvorkehrungen in einem Unternehmen nur dann wirklich Sinn machen, wenn eine gewisse Sensibilisierung für den Begriff SICHERHEIT vorhanden ist, wobei dieser Begriff NICHT mit VERTRAULICHKEIT verwechselt werden sollte, wenngleich wechselseitige Abhängigkeiten durchaus gegeben sind. 18.1 Die Anlagen Sicherheit Dieser Sicherheitsbegriff umfasst einerseits den Einschluss des Informatik-Bereichs in den Versicherungskomplex bei Elementarereignissen und andererseits jene Maßnahmen, welche die EDV-Einrichtungen gegen vorsätzliche Zerstörung (Sabotage) schützen. Schutzobjekt ist hier in erster Linie das „Rechenzentrum“ mit den Datenspeichern (je nach „Informatik-Topographie“). Die wichtigsten Vorkehrungen: Zutrittskontrollen in Rechenzentren (wenn möglich automatisiert)• Systempassworte im Panzerschrank mit dokumentiertem Zutritt• Exakte Kompetenzhierarchie in Hinblick auf das Systemmanagement• Operatormanagement (= Wer darf Systemverarbeitungen starten) • Netzwerkmanagement • Jobmanagement (= Wer darf Verarbeitungen starten) und • 00I-144.indd Abs1:57 04.08.2009 12:05:36 Uhr 18 Das Interne Kontrollsystem in der EDV & Sicherheit58 „Capabilitymanagement“ (= Wer darf was tun)• Ernstzunehmende Benutzer- und Passwortsysteme• der „Benutzer“ ist immer nur 1 Person• EDV-unterstützter (erzwungener!) Passwortwechsel• „Firewall“-Organisation als Schutz gegen unbefugte Eindringlinge (Viren, • Würmer, Trojanische Pferde usw.) IT-Manager entweder inhouse (mit kompetentem Vertreter!) bestellt oder auf • Consulting-Basis mit Vertrag. Es soll noch angemerkt werden, dass Maßnahmen ordentlich und nachvollziehbar dokumentiert sein und auf ihre Einhaltung geprüft werden sollen. Jede Sicherungsmaßnahme ist dann sinnlos, wenn sie im Alltag „… aus Gründen der Einfachheit“ (oder mangelnder Organisation) unterlaufen werden kann. 18.2 Systemsicherheit Um die EDV wirksam zu schützen muss man über ihr inhaltliches Ausmaß exakt Bescheid wissen, d.h. es muss ständig Klarheit darüber herrschen, wer, was, wie und mit welchem Programm zu machen hat. (Dokumentiert und aus dem letzten Stand!). Es müssen Vorkehrungen getroffen sein, dass „die EDV“ auch dann reibungslos funktioniert, wenn das „höchstberechtigte“ Systemmanagement aus irgendeinem Grunde „nicht kann …“ (Krankheit, Jobwechsel, Druck auf Management o.ä.) Die wichtigsten Vorkehrungen: „Backbone-Organisation 1“ = fachliche Stellvertretung (Personalakt!)• „Backbone-Organisation 2“ = Herstellervertrag, (Consultantvertrag o.ä.)• Programmdokumentationen (auf dem letzten Stand) und Bibliothekenver-• zeichnis (Achtung: hierunter fallen auch wichtige PC-Verarbeitungen, sofern sie beispielsweise Dokumente des Rechnungswesens darstellen oder zu Daten führen, welche für den Rechnungsabschluss notwendig sind!) Programm-Topographie auf dem letzten Stand insbesondere Verarbeitungs-• abläufe (Batches, bestimmte Auswertungen, periodische Abschlüsse usw.) Im Sinne der allgemein verstandenen „Sicherung“: Bewegungsdaten-Siche-• rung dokumentiert (Labels!), Großvater-Vater-Sohn-Prinzip, Feuerkopien und Quellcodes außer Haus Schriftliche Notorganisation (• recovery-strategy!) bei totalem EDV-Ausfall (Notfallsmanagement) – auf dem letzten Stand! – ist nicht nur in der EDV hinterlegt sondern auch an einem anderen Ort (Banksafe!). Sie enthält u.a. die Namen der zu verständigenden Personen (Telefon, Handy, Adresse, Funktion usw. – ebenfalls auf dem letzten Stand!). Ein wichtiger Aspekt: Für die „System“-Sicherheit ist immer der-/diejenige verantwortlich, bei welchem die Programme „zu Hause“ sind. Vom Rechenzentrumsmanager bis zum einzelnen PC-Benutzer, jeder sollte seine recovery-strategy haben = nichts anderes als seine (bisherige) Sicherung. Das wird leider oft als Erschwernis oder unnötige Arbeit angesehen. Aber Achtung: Programm- 00I-144.indd Abs1:58 04.08.2009 12:05:36 Uhr 18 Das Interne Kontrollsystem in der EDV & Sicherheit 59 wechsel, neue Releases und dergleichen machen scheinbar gesicherte Daten wertlos … 18.3 Programmsicherheit Bei EDV-Programmen unterscheidet man Systemprogramme, Hilfsprogramme und Anwenderprogramme. System- und Hilfsprogramme (so genannte tools) sind ausschließlich für die EDV-Mitarbeiter bestimmt und dürfen durch Anwender nicht bedienbar sein. Sie ermöglichen den „direkten Zugang“ zu den Daten um bestimmte Funktionen auszuführen (Sichern, Kopieren, Löschen usw.) Die Anwendungsprogramme (Fakturierung, Buchhaltung usw.) garantieren im Gegensatz dazu, dass Daten nur über einen „abgesicherten Weg“ in die EDV gelangen und daher „richtig“ sind. Sie müssen vertraglich so abgesichert sein (Ausnahme: Eigenprogrammierung), dass generell nur geprüfte Programme zur Anwendung kommen dürfen (auch • bei PCs), also niemals „Privatprogramme“ (Achtung: hier Lizenzproblematik, „Diensterfindungen“ usw.) Schäden, welche durch Programmfehler entstanden sind, vom Ver käufer • (oder Ersteller) der Programme behoben und (finanziell) getragen werden ein Notdienst erreichbar ist, wenn Probleme auftreten (Hotline)• bei „upgrades“ und „updates“ die begleitenden Unterlagen (= Dokumenta-• tionen) auf dem neuesten Stand sind! Problematik des PCs: der PC-Bediener hat System- und Anwenderprogramme zur Verfügung • (wenn nur auf seinem PC, dann möglich, aber Achtung bei Netzwerken!) der PC-Bediener ist oftmals gleichzeitig auch Programmierer (z.B. Excel-• Makros) der PC-Bediener ist manchmal auch Netzwerkmanager (Laptop-Anschluss • o.ä.). 18.4 Daten Sicherheit Hierunter fallen alle Sicherheitsschritte, welche vornehmlich mit den EDV- Anwen dern außerhalb eines RZ in Zusammenhang stehen. RZ-Mitarbeiter sind eine eigene „Kategorie“ von Anwendern. Die wichtigsten Vorkehrungen (sind zum Teil ähnlich P 18.2): Benutzeranweisung (z.B. Veränderungsverbot an der Hard ware und dem • Betriebssystem) Regelungen für den Anschluss von Laptops, Handy und dergleichen an den • PC Inbetriebnahme und Bedienung der Anwenderprogramme• Zwingender Virenschutz• Verbot der Nutzung privater Pro gramme • 00I-144.indd Abs1:59 04.08.2009 12:05:36 Uhr 18 Das Interne Kontrollsystem in der EDV & Sicherheit60 genaue E-Mail- und/oder Internet-Regeln (Downloading)• Logging unerlaubter EDV-Schritte mit Verbindungsabbruch• Heikle Programme sollten nur von bestimmten Bild schir men und von be-• stimmten Benutzern gestartet werden können Hinterlegung von selbsterstellten Programmen (z.B. Excel-Tabellen, welche • bereits den Charakter von Anwendungsprogrammen haben) Zusammenfassung: Ein EDV-Missbrauch kann wesentlich größere Schäden nach sich ziehen als • das plötzliche Ableben des Vor stands vor sitzenden. EDV-Missbrauch erfolgt immer lautlos (= unbemerkt), ist an keine Tageszeit • (Öffnungszeit der Firma) gebunden und kann zu einer ganz anderen Zeit wirksam werden. Er vermittelt einem Täter – leider – eine Art Erfolgserlebnis (=Hackersyndrom). Unrechtseinsicht ist nur in den seltensten Fällen anzutreffen. EDV-Manipulation ist heute an keinen fixen Ort gebunden und kann von • überall her erfolgen. EDV-Missbrauch ist im Nachhinein nur sehr schwer nachweisbar, die ent-• sprechende Rechtsprechung hinkt den tatsächlichen Gegebenheiten weit hinterher. Sicherheit bei e-Business, b2b, b2c etc.: Die Sicherheit bei allen Formen des e-Business (dabei vor allem bei Geldbewegungen!) mündet im Wesentlichen in folgenden Fragen: Ist mein Partner tatsächlich, nachweislich und verlässlich derjenige, welcher • er zu sein vorgibt? Können meine Daten nur von diesem Partner empfangen und verstanden • werden? Stammen die bei mir eingehenden Daten tatsächlich von diesem Partner?• Ist während meiner Datenverbindung zu ihm niemand anderer in der Lage, • unbemerkt in meine Daten zu gelangen? Da diese Fragen mit dem herkömmlichen EDV-Sicherheitsverständnis nicht zu lösen sind (hier haben nicht nur Hard- und Software eine wesentliche Bedeutung, sondern auch Cabelware, Übertragungstechnik, Verschlüsselungen, Identifizierungs-Programme usw.), sollte man sich hier eines professionellen Spezialisten bedienen, mit welchem ein entsprechend exaktes Vertragsverhältnis (Haftung!) abgeschlossen werden sollte. 00I-144.indd Abs1:60 04.08.2009 12:05:36 Uhr

Chapter Preview

References

Zusammenfassung

Für jeden Unternehmer ein Muss

Aus den Medien erfährt die Öffentlichkeit immer wieder über Aufsehen erregende Schadensfälle in der Wirtschaft, die durch Fehlmanagement, Fahrlässigkeit oder wirtschaftskriminelle Handlungen verursacht werden. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verpflichtet aber die Geschäftsführung von Kapitalgesellschaften, alle den Fortbestand des Unternehmens gefährdende Entwicklungen durch ein Überwachungs- und Kontrollsystem frühzeitig zu erkennen und Schadensfälle zu vermeiden. Das vom KonTraG geforderte Überwachungssystem lässt sich nur durch ein planvoll installiertes und dauernd den Veränderungen des Unternehmens anzupassendes „Internes Kontrollsystem“ (IKS) erreichen.

* Gliederung und Aufbau eines Internen Kontrollsystems

* Das IKS in der Unternehmensplanung, der Aufbau- und Ablauforganisation

* Das IKS im Rechnungswesen und im Zahlungsverkehr

* Das IKS in der Personalabteilung, Produktion und im Vertrieb

* Einsatz von Checklisten zur Prüfung des IKS

* Beispiele für Organisationsanweisungen

Die Autoren

Dr. Michael A. Klinger ist Wirtschaftsprüfer, Steuerberater und Unternehmensberater sowie Lehrbeauftragter für Betriebswirtschaftslehre an der Universität Salzburg. Er ist Präsident des österreichischen Steuervereins, Vorstandsmitglied des Vereins IKS (Institut für Interne Kontrollsysteme) sowie Vizepräsident der Kammer der Wirtschaftstreuhänder, Salzburg.

Oskar Klinger war Leiter der Konzernvision der Porsche Holding Österreich und ist heute Vorstands-mitglied des Vereines IKS.