Każdy system punktacji prowadzi do zniekształcenia wyników, ponieważ w praktyce różne będzie zapotrzebowanie na kwalifikacje na poszczególnych odcinkach prac, a ponadto dopiero na wstępnym etapie audytu ujawnią się dziedziny szczególnie ważne lub wymagające szczególnych kwalifikacji, które nikomu nie przyszły do głowy na etapie formułowania istotnych warunków zamówienia.

Ostatnio napotykałem w SIWZ (Specyfikacjach Istotnych Warunków Zamówienia) żądania posiadania przez ewentualnych wykonawców audytów bezpieczeństwa certyfikatów CISA lub wręcz ISO9000 firm-oferentów. Wymagania takie są stawiane zgodnie z zasadą "lepsze takie niż żadne". O kwalifikacje ekspertów dziedzinowych rzadko się pyta, chyba że chodzi o uprawnienia wymagane ustawowo.

Zapewniać zachowanie tajemnicy prac i wyników. Godny zaufania, ale nieprzestrzegający specjalnych procedur wykonawca może "pogubić" ważne tajemnice klienta. Na marginesie: im bogatsze materiały referencyjne w ofercie prac z zakresu bezpieczeństwa, tym większe budzi ona we mnie wątpliwości co do zachowania w przyszłości tajemnicy prac przez oferenta.

Zapewnić odpowiednio wnikliwe wykonanie przeglądów.

Zapewnić odpowiednio dokładne wykonanie przeglądów.

Zapewnić oceny integrujące - lokalizację słabych miejsc, identyfikację czarnych scenariuszy, ocenę systemową bezpieczeństwa.

W powyższych trzech punktach przetarg nie ma przewagi nad negocjacjami. W przypadku procedury przetargowej można co najwyżej zażądać dokładnie takich samych informacji, jak w negocjacjach. Niestety, nie można ich równie wnikliwie zweryfikować. W istotnych warunkach zamówienia w trybie przetargowym nie można ująć warunków, które dawałyby przewagę rzetelnym oferentom. Oznacza to po prostu przewagę nierzetelnych oferentów. Trudno sobie wyobrazić sposób sformułowania zobowiązań, który pozwoliłby zleceniodawcy wygrać w sporze o niedostateczny poziom merytoryczny prac.

Spełniać warunki ustawowe - mieć stosowne uprawnienia zgodnie z regulacjami prawnymi obowiązującymi dla audytowanego obiektu (dotyczy to m.in. konsekwencji Ustawy o ochronie informacji niejawnych). Ten warunek można skutecznie zapewnić niezależnie od przyjętej procedury.

Oferta bez skrupułów

Reasumując, procedura przetargowa ogranicza kontakt zamawiającego z oferentami, przez co nie może on swobodnie zweryfikować deklaracji zawartych w ofertach. Pod tym względem przetarg to jawne zaproszenie do składania ofert nierzetelnych. Przy tak dużej nieokreśloności komisja przetargowa ma tylko jeden sposób uniknięcia protestów: wybrać najtańszą z ofert. W takiej sytuacji strategią zapewniającą oferentowi wygraną jest:

• spełnienie wszystkich obligatoryjnych warunków formalnych

• deklaracje (zupełnie bez związku z prawdziwymi intencjami oferenta) zapewnienia najwyższej jakości usług w każdym z uwzględnianych w ocenie aspektów prac

• przedstawienie najniższej ceny.

Istota zastrzeżeń do przetargów leży oczywiście w punkcie drugim - pustych deklaracji nie da się zweryfikować, a jednocześnie nie da się ich odrzucić. Co więcej, bez przeprowadzenia alternatywnego audytu nie sposób stwierdzić - nawet przy odbiorze - czy zleceniodawca wywiązał się ze swych zobowiązań. Nawet jednak wtedy (zakładając wykonanie dodatkowego audytu) w przypadku sporu sądowego wygranie sprawy wcale nie jest pewne. To, co najważniejsze, czyli zaufanie, w ogóle nie jest budowane.

Bezpieczeństwo na metry

Jest jeszcze jeden uboczny efekt wykorzystania procedury przetargowej dla wyłonienia wykonawcy. Niepostrzeżenie wprowadza ona pewien nienaturalny sposób określania wartości prac, polegający na tym, że całkowicie pomija się wartość odpowiedzialności audytora. Najlepszym porównaniem byłoby określanie wartości pracy głównego menedżera korporacji lub jej głównego księgowego na podstawie liczby przepracowanych przezeń roboczogodzin, a w dodatku przeprowadzanie konkursu na te stanowiska w drodze wyboru kandydata godzącego się na najniższą stawkę godzinową. Adekwatność tego porównania niestety nie sięga dalej - wyniki finansowe firmy (jakość pracy menedżerów) są łatwo weryfikowalne, czego nie da się powiedzieć o wynikach pracy audytorów. Ponadto menedżera zatrudnia się na dłużej, audyt zaś jest dziełem krótkoterminowym.

Na świecie wartość audytów, a także wartość opracowań koncepcji systemów zabezpieczeń, nie tylko teleinformatycznych, jest w znacznym stopniu zależna od wartości ocenianych obiektów. W wyniku przetargu dzieje się tymczasem coś odwrotnego - wartość prac jest całkowicie oderwana od wartości odpowiedzialności (ryzyka). W rezultacie audyt np. centrum e-commerce, dla którego przełamanie zabezpieczeń jest katastrofą, wychodzi, na podstawie prostego rachunku pracochłonności, wielokrotnie taniej niż audyt sieci biurowej.