В системах передачи данных часто наблюдается повышенная опасность. Средства контроля могут быть обойдены в большем количестве точек системы. Технология контроля "несколько нестабильна и продолжает развиваться". Передаваемые данные сами по себе становятся все более ценными.
Системы передачи данных увеличивают зависимость между пользователями. Например, в системе EDI "нарушение контроля в одной части системы потенциально подвергает опасности всех пользователей системы..... Необходимо разработать глобальные стандарты контроля и назначить человека, который будет следить за соблюдением этих стандартов пользователями. Однако по мере расширения сетей становится все труднее обеспечить требуемый уровень контроля. '
Вопросы конфиденциальности приобретают все большее значение.
5. Повышается вероятность незаконного или мошеннического использования сетей передачи данных.
Особенно важно, что Вебер отмечает, что чем крупнее становятся сети, тем сложнее обеспечить соответствие стандартам. Кроме того, с учетом нашего неудачного опыта создания стандартов связи даже на самом базовом техническом уровне в компьютерном мире, представлять себе внедрение "глобальных" стандартов под управлением контролирующего органа - это поразительный оптимизм. Вебер заключает: "Аудиторам придется провести серьезные исследования и приобрести значительный практический опыт работы с системами передачи данных, прежде чем будут разработаны соответствующие средства контроля и аудиторские процедуры".
ЗАКЛЮЧЕНИЕ
Из литературы по аудиту ЭДП видно, что аудитор располагает множеством сложных методик, позволяющих справиться с аудитом больших компьютерных систем. Однако почти в каждом случае эти возможности направлены на полузакрытые, централизованные или внутренне распределенные системы, а не на открытые или внешние.
Очевидно также, что рост использования внешних сетевых средств продолжается. Только за III квартал 1994 года использование Интернета (Internet Society, 1994, p. I) увеличилось на 21%. Домен .com (коммерческий) стал самым крупным в Сети. Домен .net (сетевой), который активно используется многими провайдерами услуг передачи данных для своих клиентов, вырос на 66%.
Системные методологии, преобладающие в системном мышлении, имеют в своей основе эпистемологию, предполагающую наличие контролируемой среды и замкнутой компьютерной системы. Для наших компьютерных сетей это уже не актуальные образы. К тому, что Чамберс и Корт (1991, с. 70) называют "мошенничеством, связанным с компьютером", "мошенничеством с помощью компьютера" и "мошенничеством, зависящим от компьютера", следует добавить риск "недоверенных сетей". Изменения в нашем понимании того, как сохранить контроль над нашей деловой активностью в рамках таких технологий, могут стать неотъемлемой частью участия в глобальных сетях.
Первым требованием должно быть "проектирование для аудита". CIS и SCARF - это шаги в этом направлении, но дальнейшие шаги должны быть сделаны за пределами организационной границы. В качестве отправной точки можно предложить встроенные модули во внутренних системах, через межсетевой экран, в клиент-серверных приложениях и т.д. Понятие "встроенные модули" может напомнить читателю утверждения о том, что государственные телекоммуникационные компьютеры осуществляют проверку звонков за пределами национальных границ, когда известные конфиденциальные телефонные номера вызывают запись разговора. Появление "недоверенных сетей" может означать, что подобные методы окажутся актуальными и для возникающих технологий бизнес-систем. Организационные, технические и социальные соображения весьма существенны, а аудиторские последствия пренебрежения такими методами могут оказаться непреодолимыми. Однако даже этого будет недостаточно. В литературе в ряде мест признается недостаток фундаментальных исследований. Вебер (1988, с. 935) отмечает:
"На сегодняшний день в области аудита ЭДП проведено мало теоретических и эмпирических исследований... Хотя в настоящее время существует достаточно обширная литература, она в основном состоит из трудов практиков. Таким образом, опыт аудиторов ЭДП достаточно хорошо документирован, но фундаментальные исследования отсутствуют... Для развития исследовательской базы необходимы обязательства в области аудита ЭДП".
Однако маловероятно, что аудиторы поймут суть меняющихся технологий, когда те, кто создает информационные системы, имеют лишь ограниченное представление о том, какой эффект можно ожидать от коммерциализации глобальных сетей.
Данная статья является результатом первоначального исследования с системной точки зрения изменений в теории и практике аудита, которые могут потребоваться в результате организационных изменений
и внедрение коммерческих внешних и недоверенных сетей в ближайшие годы. Есть надежда, что о дальнейших разработках можно будет сообщить на будущих конференциях.
