Rola i postawa audytora

Ułomnym standardom nie pomagają audytorzy. Audyt informatyczny, niestety, zaczerpnął najgorsze cechy audytu finansowego.

W każdym większym przedsiębiorstwie koniecznością jest badanie ksiąg finansowych. Każdy, kto miał do czynienia ze służbami księgowymi wie, co sądzą one o audytorach - postrzegają ich jako osoby niemające pojęcia o praktyce codziennej pracy księgowego, łatwo formułujące radykalne wnioski uzasadnione jedynie przez suche zapisy w standardach, nakładające rozmaite bezsensowne obowiązki raportowe, często całkowicie jałowe, polegające jedynie na produkcji papieru. Jednocześnie nawet zatwierdzony audyt nie zabezpiecza przed konsekwencjami w przypadku wystąpienia problemów np. z urzędem skarbowym - audytor może być pociągnięty do odpowiedzialności jedynie w przypadku naruszenia "reguł sztuki" (czyli standardu), nie zaś w przypadku, gdy wydał zalecenia nieuzasadnione lub nieskuteczne. Wzmacnia to postrzeganie mentalności audytorów - osób często niemających większej praktyki w rzeczywistej firmie, działających jedynie wg procedur, za to nadużywających mentorskiego tonu.

W momencie rozciągnięcia obowiązku audytowego na systemy informatyczne postrzeganie to przeniosło się na audyty systemów informatycznych. Zawód ten powinni wykonywać ludzie z wieloletnim stażem, znający nie tylko standardy informatyczne, ale także praktykę funkcjonowania organizacji. Nade wszystko powinni doskonale rozumieć kontekst biznesowy, w jakim działa przedsiębiorstwo (po to właśnie są audytorzy wewnętrzni) i doskonale odróżniać rzeczy uzasadnione od marginalnych. Niestety, rzeczywistość jest odwrotna - audytu uczy się "w ogólności" (np. firmy sprzedają audyt informatyczny jako usługę, trwa on kilka dni i w ogóle nie obejmuje zapoznania się z praktyką biznesową przedsiębiorstwa), zaś brak kwalifikowanych pracowników sprawia, że audytorem można zostać zaraz po zdaniu odpowiedniego egzaminu.

W anglosaskim prawodawstwie czasami występuje słowo "reasonable", co można tłumaczyć jako "rozsądny, uzasadniony". Otóż audytorom nader często brakuje właśnie rozsądku, rozumianego jako znajdowanie uzasadnienia dla zalecanych działań. Rozsądek bowiem nakazywałby każde zagrożenie przypasować do prawdopodobieństwa jego wystąpienia i utraconej wartości w przypadku jego zajścia. Każdą z tych wielkości można wymierzyć numerycznie, jeśli dysponuje się odpowiednimi danymi. Na przykład prawie każdy standard bezpieczeństwa nakazuje dokonywać przeglądu kodu dla programów wytwarzanych dla przedsiębiorstwa, w celu wykrycia choćby tzw. bocznych wejść albo "cichych" transferów pieniężnych na konto autora programu. Prawdopodobieństwo, że autor programu umieścił je tam, można określić na podstawie liczby znanych przypadków. Szansę, że osoba dokonująca inspekcji kodu wykryje taki fragment, da się określić na podstawie eksperymentu. Po przemnożeniu tych dwóch prawdopodobieństw wystarczy oszacować wartość szkody, którą w danym systemie, w danej firmie taki fragment może spowodować. Przemnożenie wartości potencjalnego "złośliwego fragmentu" przez prawdopodobieństwo jego zaistnienia daje nam górną granicę nakładów, jakie warto ponieść na ewentualny przegląd kodu. Jeżeli nakłady te są nieuzasadnione, przeglądu robić po prostu nie należy.

Gdyby takie szacunki zastosować do wytycznych poaudytowych, okazałoby się, czy są one uzasadnione ekonomicznie. Jeżeli nie, powinno to dyskwalifikować audyt, audytora oraz standard. Pytanie "dlaczego tego się nie robi", pozostanie pytaniem retorycznym.

Konfrontacja z rzeczywistością

Audyt bezpieczeństwa nie tylko wywołuje nieuzasadnione biznesowo koszty dla przedsiębiorstw. Nade wszystko nie usuwa skutecznie zagrożeń bezpieczeństwa w systemach informatycznych.

Prześledźmy zagrożenia bezpieczeństwa na dwóch przykładach, które dały o sobie znać w ciągu ostatniego roku. Pierwszym z nich jest lawina spamu zalewającego skrzynki pocztowe osób prywatnych i przedsiębiorstw. Przyczynia się ona do trudnych do oszacowania, ale gigantycznych strat w skali całego globu. Przede wszystkim oznacza niepotrzebną zajętość łączy internetowych; według niektórych spam stanowi nawet 50% wiadomości przesyłanych pocztą. Spamerzy de facto administrują grupami serwerów, które służą do rozsyłania masowych, niechcianych wiadomości. Setki tysięcy, a może nawet miliony osób codziennie tracą miliony minut, aby pokrótce przejrzeć wiadomości przed ich skasowaniem. Bliżej nieznana ilość informacji biznesowych jest tracona bezpowrotnie z powodu pomylenia ich ze spamem. Takie są fakty.

Kolejnym gorącym tematem jest tzw. phishing, czyli wykradanie numerów kart kredytowych lub haseł dostępu za pomocą stron udających autentyczne witryny bankowe. Obok phishingu istnieje podobny problem, czyli zjawisko "koni trojańskich" - oprogramowania, które instaluje się bez wiedzy właściciela na jego komputerze i śledzi jego zachowania w Internecie. W skrajnym przypadku wykonuje ono tzw. keylogging, czyli zapisuje informacje podawane z klawiatury (w tym także wspomniane numery kart lub hasła) i wysyła je pod adres hakera.