Bei der Prüfung der Leistungsverrechnung von IT-Services im Bereich des IBM Betriebssystem z/OS bei einem IT-Dienstleister im Bankenumfeld galt es, die Ordnungsmäßigkeit und Sicherheit der Verfahren festzustellen. In diesem Zusammenhang mussten die folgenden Fragestellungen zunächst beantwortet werden:
- Welche Ressourcen und wie viele Einheiten wurden verbraucht?
- Welchen Wert haben die Ressourcen und wurde deren Wert den Kunden des IT-Dienstleisters korrekt in Rechnung gestellt?
- Welche IT-Services und wie viele Einheiten wurden erstellt?
- Welchen Wert haben die erstellten IT-Services und wurde deren Wert korrekt ermittelt?
Hierbei wurden zunächst die Prozesse im Bereich der Leistungsverrechnung erhoben und analysiert. Anschließend wurden die verbrauchten Einheiten aus den relevanten SMF-Sätzen sowie IDCAMS-Daten des IBM Großrechnerbetriebssystems z/OS ermittelt und mit den in den Kundenrechnungen ausgewiesenen Daten hinsichtlich Vollständigkeit und Richtigkeit abgestimmt. Hierbei wurden die wesentlichen Tätigkeiten mit Hilfe unserer Tools automatisiert durchgeführt.
Neben unseren Spezialisten für das IBM Mainframe-Betriebssystem z/OS setzten wir eigene Analysetools zur Erhebung der relevanten Daten ein. Die Daten wurden anschließend automatisiert analysiert und plausibilisiert sowie auf mögliche Fehler bzw. Unstimmigkeiten in den Prozessen untersucht. Abweichungen bzw. Differenzen wurden hierbei automatisch ermittelt.
Schwachstellen in den Prozessen der Leistungsermittlung und Leistungsverrechnung, die ggf. Auswirkungen auf die Vollständigkeit und Richtigkeit der Daten und somit auf die Leistungsverrechnung gegenüber den Kunden haben konnten, wurden somit aufgedeckt und mögliche Lösungsvorschläge erarbeitet.
Darüber hinaus wurde die Zugriffssicherheit auf die Daten und SAS-Programme der Leistungsverrechnung anhand der Informationen aus dem z/OS Securitysystem RACF bzw. dem DB2-Datenbanksystem beurteilt und Lösungsvorschläge für mögliche Verbesserungen der Zugriffssicherheit unterbreitet.
Ferner galt es, die IT-Prozesse in den Bereichen Changemanagement, Konfigurationsmanagement sowie Test- und Entwicklung zu beurteilen. Da die Daten der Leistungsverrechnung sowohl beim IT-Dienstleister als auch dessen Kunden in die Finanzbuchhaltung einfließen wurden die Verfahren der Leistungsverrechnung dahingehend überprüft, ob sie den allgemeinen gesetzlichen Anforderungen, wie z.B. HGB, AO, GoBS, FAIT, etc. entsprechen.
Die Ergebnisse der Prüfung wurden anschließend in einem Bericht ausführlich dargestellt.
Weitere Informationen zur Leistungsverrechnung können dem f