Was sind Application Controls und wie können Sie hinsichtlich Ihrer Wirksamkeit beurteilt werden? Computerworldexperte Peter Wöll kennt die Antwort.
Jede Woche beantworten Sicherheitsexperten Leserfragen und geben Ratschläge, wie sich die Sicherheit in einem Unternehmen erhöhen lässt.
Wie in einem der letzten Artikel dargestellt, fordern verschiedene gesetzliche und regulatorische Instanzen bei Aktiengesellschaften das Vorhandensein eines internen Kontrollsystems (IKS). Das operative IKS besteht aus den Elementen Process Level Controls, General IT Controls und Application Controls. In diesem Artikel soll beschrieben werden, was man unter Application Controls versteht und wie diese hinsichtlich ihrer Wirksamkeit beurteilt werden können. Jedes grössere Unternehmen setzt heutzutage Informatikmittel ein. Überall dort, wo finanziell relevante Teilprozesse durch entsprechende Applikationen unterstützt werden, muss sichergestellt sein, dass die Sicherheit und Integrität der computergestützten Verarbeitungsschritte gewährleistet ist. Application Controls werden in der Fachliteratur auch als Embedded Controls bezeichnet, also in die Applikationen programmierte Kontrollen. Gegenüber manuell durchgeführten Kontrollen haben sie den Vorteil, dass ihre Durchführung keine zusätzlichen Ressourcen in Anspruch nimmt. Die generischen Typen von Application Controls können folgendermassen aufgelistet werden:
- Eingabekontrollen - Plausibilitätskontrollen für Benutzereingaben - Verarbeitungskontrollen - Kontrollen hinsichtlich der Richtigkeit von programmierten Funktionen wie beispielsweise Berechnungen von Rabatten - Ausgabekontrollen - Kontrollen hinsichtlich Richtigkeit der Ausgaben (z.B. Reports) - Kontrollen hinsichtlich des Error-Handling und -Reporting (Verhalten der Applikation bei Auftreten von Verarbeitungsfehlern) - Zugriffskontrollen - Mechanismen zum Schutz der Applikationen vor unerlaubtem Zugriff. Dies umfasst sowohl den technischen Schutz der Applikation wie Passwortschutz als auch die Berechtigungssteuerung wie beispielsweise durch Einsatz entsprechender Rollen-basierenden Berechtigungskonzepten - Interface-Kontrollen - Kontrollen welche sicherstellen, dass Daten von anderen Applikationen richtig und vollständig übernommen werden - Stammdatenkontrollen - Kontrollen über die Veränderung von Stammdaten, etwa die Änderungen von Preisen im Produktstamm - Kontrollen hinsichtlich der Parametrisierung von Applikationen Ob die Application Controls wirksam sind - das heisst korrekt funktionieren - ist für den Betrachter von aussen im Normalfall nicht ersichtlich. Wie kann man nun in der Praxis den Nachweis erbringen, dass die Application Controls einer Softwareanwendung richtig funktionieren? Einerseits kann man die Effektivität der Application Controls durch funktionale Tests der jeweiligen Applikation belegen. Hierbei ist es wichtig, einen Risiko-basierenden Ansatz zu wählen, ansonsten die Gefahr besteht, dass man sich in der Durchführung der funktionalen Tests nicht auf die wesentlichen Gefahren konzentriert. Diese funktionale Testierung muss - und dies ist ein grosser Vorteil - nur einmal durchgeführt werden. Danach muss noch der Nachweis erbracht werden, dass die programmierte Kontrolle seither nicht geändert hat (Change Control). Andererseits kann man mittels externen Kontrollen in den zugrunde liegenden Geschäftsprozessen sicherstellen, dass allfällige Verarbeitungsfehler der Applikationen erkannt werden. Weiss man beispielsweise, dass 90 Prozent aller Buchungen im Hauptbuch elektronisch eingelesen und automatisiert durchgeführt werden, so kann es sinnvoll sein, als Kontrollmassnahme einen periodischen Abgleich der Journale durchzuführen. Dieser Kontrollvorgang sollte im IKS des Unternehmens verankert sein.
