Fragen zur strukturierten Verfahrensprüfung

Fragen und Antworten
rund um Verfahrensprüfung und -freigabe

 

Stellen Sie Ihre Frage an fragen@softwarepruefung.de.

 

Welche Anforderungen an die Freigabe und Zertifizierung finanzwirksamer Programme sollten aus Sicht von Rechnungsprüfern im Wesentlichen hinterfragt werden?

Siehe Vortrag KBW Bundesprüfertage 2016.

 

Was sind die notwendigen Aufgaben der RPAs, wenn bei Vor-Ort-Verfahren Updates bei zuvor zertifizierter und freigegebener Verfahren eingespielt werden?

Hinsichtlich zentraler externer Prüfungen/Zertifizierungen wird nicht jedes einzelne Update geprüft. Statt dessen  wird eine regelmäßige Erneuerung des Zertifikats gefordert (bei OKKSA aller 3 Jahre). Allerdings spielt die klare Dokumentation der Programmänderungen (Release-Notes) auch bei der externen Zertifizierung eine Rolle.

Damit sollte es vor Ort möglich sein, die Änderungen, die seit der letzten externen Zertifizierung am Programm vorgenommen wurden, klar zu überblicken. Hier ist nun zu klären, ob
(1) nur kleinere Änderungen vorgenommen wurden, die vor Ort überschaut werden können. In diesem Fall sollte nach Prüfung der Unbedenklichkeit eine formale Freigabeerklärung mit Verweis auf diese dokumentierten Änderungen vorgenommen werden. Dies setzt natürlich eine Vorab-bekantgabe des Updates und der damit verbundenen Äbnderungen voraus.

(2) Haben die Programmänderungen einen größeren Umfang hinsichtlich finanz- und sicherheitsrelevanter Programmmerkmale, sollte eine Differenzprüfung beim entsprechenden Zertifizierer angemahnt werden.

 

Im Idealfall wird der Programmanbieter selbstständig regelmäßig größere Programmänderungen vorab prüfen lassen bzw. dies ist bereits in den Ausschreibungsbedingungen festgelegt.

In der Praxis ist festzustellen, dass hinsichtlich häufiger Programmänderungen ("agile Softwareentwicklung"), eine klare Dokumentation derselben  vorausgesetzt, eine Überwachungsfunktion vor Ort verbleibt, die nicht nur die Anwendung der Programme sondern auch deren finanzrelevante und sicherheitstechnische Merkmale betrifft. Auch ist regelmäßig ein Zeitverzug zwischen neuen Programmerkmalen und deren formaler Prüfung festzustellen.

Es ist künftig noch mehr darauf hinzuwirken, dass der Herausgabe von Updates seitens des Programmentwicklers (und ggf. auch des Customizers) ein entsprechender auch für den Anwneder sichtbar dokumentierter Qualitätssicherungsprozess vorangeht.

 

Bei OKKSA besteht über die entsprechenden Strukturen die Möglichkeit, Einfluss sowohl auf die Prüfkriterien (z. B. "Wie müssen Programmänderungen und die Prozesse dazu dokumentiert werden?") als auch auf das Prüfverfahren an sich ("Wie oft wird ein Programm geprüft?", "Wie wird im Prüfzertifikat dokumentiert, welche Programmänderungen schon geprüft wurden?") zu nehmen. Diese Möglichkeiten werden aber noch nicht ausreichend genutzt.

 

Wie sind die Anforderung des Zugriffs auf gespeicherte Datensätze, wenn das dafür benötigte Programm vom Markt genommen wird oder wegen Systemwechsels nicht mehr betrieben werden kann?

Dieser Aspekt wurde bei der letzten Überarbeitung des Kriterienkatalogs OKKSA FÜ.B (Ausgabe 5, 2016) intensiv diskutiert. Dabei wurde festgestellt, dass das Vorhalten eines "Altprogramms" nur begrenzte Zeit sicher möglich ist.

Die Orientierung geht deshalb mehr hin zu der Grundanforderung, dass die Programme "ab Werk" einen qualifizierten externen Zugriff auf die Daten bereitstellen sollen (Exportoption für aller wichtigen Fachdaten, FÜ09.03). Damit können beim Auslaufen des Altverfahrens dessen Daten per Export einer längerfristigen Speicherung zugeführt werden. Ob und in welchem Umfang diese Option angewendet werden muss, ist vor dem Hintergrund alternativer Möglichkeiten des Vorhaltens der Daten zu entscheiden.

 

 

Hier finden Sie die Fazit-Darstellung des Vortrages zu den Bundesprüfertagen 2016.



Hier geht's zum Archiv (frühere Anfragen).