Test der Wirksamkeit einer Kontrolle

Verwendung

Der Test der Wirksamkeit mindestens der wichtigsten Kontrollen ist obligatorisch für die Erfüllung der Anforderungen aus dem Sarbanes-Oxley-Act. Der Test findet im Gegensatz zu den Beurteilungen später im Projektablauf statt, d.h. wenn die Beurteilungen abgeschlossen und Prozess- und Kontrollverbesserungen erreicht sind.

Der Test kann manuell vom obersten Management oder auch von der internen Revision oder externen Wirtschaftsprüfern durchgeführt werden. Daneben können Sie in einem Fremdsystem einen automatisierten oder halbautomatisierten Test von Kontrollen durchführen und die Testergebnisse in das MIC übernehmen. Bei einem halbautomatisierten Test überprüft ein Tester im MIC das aus dem Fremdsystem übernommene Ergebnis und sendet das Testergebnis manuell ab. Bei einem automatisierten Test ist kein Tester im MIC nötig.

Ob und wie eine Kontrolle getestet werden muss, ist in den Attributen der Kontrolle festgelegt.

Voraussetzungen

Sie haben die möglichen Werte des Attributs Testverfahren im Customizing unter Attributwerte bearbeiten definiert.

Funktionsumfang

Ein Test wird über die Einplanung der Aufgabe Test der Wirksamkeit einer Kontrolle durchführen angestoßen.

Testerzuordnung

Sie können die Testerzuordnung für jede Kontrolle einzeln oder für alle Kontrollen einer Prozessgruppe oder Organisationseinheit gesammelt durchführen.

  • Einzelzuordnung

    Wenn Sie die Aufgabe Test der Wirksamkeit einer Kontrolle durchführen einplanen, steht Ihnen eine Drucktaste Testerzuordnung anstoßen zur Verfügung. Wenn Sie diese Drucktaste wählen, sendet das System die Aufgabe Tester zuordnen (ASGN-TSTER) an die Verantwortlichen für die entsprechende Aufgabe.

  • Massenzuordnung

    Weitere Informationen finden Sie unter Massenzuordnung von Testern .

    Hinweis Hinweis

    Beachten Sie, dass die Testerzuordnung nicht zeitabhängig, sondern zeitraum abhängig erfolgt. Dies hat Bedeutung, wenn Sie eine der Web-Anwendungen zur Testerzuordnung vom Navigationsbereich aus aufrufen. In diesem Fall muss der personalisierte Zeitraum genau mit dem Zeitraum übereinstimmen, für den die Aufgabe zum Durchführen des Tests eingeplant ist .

    Wenn Sie den Test z.B. einmal im Quartal durchführen möchten , muss auch die Testerzuordnung für alle Quartale einzeln erfolgen. Es reicht nicht aus, die Testerzuordnung für das gesamte Jahr durchzuführen.

    Ende des Hinweises

Sie können einer Kontrolle mehrere Tester zuordnen, weil ein Test für einen Zeitraum von mehreren Testern parallel ausgeführt werden kann. Dabei können Sie mit dem Kennzeichen Ein Test ausreichend festlegen, dass es ausreicht, dass nur einer der zugeordneten Tester den Test wirklich durchführt. Wenn das Kennzeichen gesetzt ist und einer der Tester den Test abgeschlossen hat, löscht das System die Aufgabe für die anderen Tester.

Hinweis Hinweis

Beachten Sie, dass sich das Kennzeichen Ein Test ausreichend ausschließlich auf manuelle Tests bezieht. Wenn Sie eine Kontrolle automatisiert oder halbautomatisiert testen wollen und zusätzlich manuelle Tester zuordnen, dann muss in jedem Fall auch ein manueller Test erfolgen ‑ selbst wenn das Kennzeichen Ein Test ausreichend gesetzt und der (halb-) automatisierte Test abgeschlossen ist.

Ende des Hinweises

Wenn Sie bei der Testerzuordnung Personen anlegen, dann müssen diese Personen auch mit Benutzern verknüpft werden (siehe Anlegen von Benutzern und Verknüpfung mit Personen ).

Durchführen von manuellen Tests

Das System sendet die Aufgabe zum Durchführen des manuellen Tests zum eingeplanten Zeitpunkt an die in der Zwischenzeit zugeordneten Tester. Wenn ein Tester die Aufgabe aufruft, erhält er unter Test die notwendigen Informationen zum Beispiel über das Testverfahren.

Da für einen Zeitraum mehrere Tester dieselbe Kontrolle auf ihre Wirksamkeit testen können, werden die jeweiligen Testergebnisse in Testprotokollen gesichert. Das Testprotokoll ist nur im Status Entwurf änderbar; sobald der Tester das Protokoll eingereicht hat, ist es nicht mehr änderbar.

Im Testprotokoll gibt der Tester Folgendes an:

  • Als Kommentar textuell erfasstes Testergebnis (nur möglich in der Formularsicht)

  • Testdatum

  • Information, ob er das in den Kontrollattributen angegebene Testverfahren (Standard-Testmethode) oder ein anderes (Eigene Testmethode) angewandt hat

Wenn der Tester eine Abweichung von der erwarteten Wirksamkeit (also ein negatives Testergebnis) feststellt, dann muss er dies angeben und die entsprechende Schwachstelle melden. Sobald der Tester das Testprotokoll einreicht, sendet das System die gemeldete Schwachstelle zur Behebung an den eingetragenen Bearbeiter.

Das Rating für die Wirksamkeit einer Kontrolle innerhalb eines Zeitraums wird automatisch für die gesamte Kontrolle vergeben, nicht für jedes einzelne Testprotokoll. Die Vergabe erfolgt folgendermaßen:

  • Grün: keine Schwachstellen vorhanden

  • Gelb: Schwachstellen mit Priorität 2 bis 3 vorhanden

  • Rot: mindestens eine Schwachstelle mit Priorität 1 vorhanden

Sie können im Customizing festlegen, dass das Testergebnis vom Verantwortlichen des übergeordneten Objekts validiert werden soll.

Siehe auch:

Ablauf von Beurteilungen und manuellen Tests

Durchführen von automatisierten Tests im Fremdsystem