Критические вопросы теории и практики систем - К. Эллис

компьютерного интерфейса и, конечно, приложений. Все эти "системные" компоненты могут поступать с нескольких или многих машин, локально или удаленно, по желанию пользователя. Общие клиент-серверные технологии - один из первых шагов в этом направлении, но шагов, расширяющих горизонты пользователя на каждом уровне компьютерного комплекса. Пользователь может сидеть за ПК и при этом работать в межконтинентальных компьютерных сетях, составляющих Интернет, не ощущая перехода с одной машины или континента на другой. Программное обеспечение может выполняться с ПК на серверах, расположенных по всему миру на недоверенных объектах, доступ к которым осуществляется через недоверенные сети. Как идентифицировать деятельность, компоненты которой могут существовать на нескольких машинах и на нескольких континентах? Можем ли мы по-прежнему использовать слово "система" для описания применения компьютеров в глобальных сетях? Это не просто более крупные системы, они отличаются друг от друга фундаментальным образом. Например, топология, компоненты и персонал Интернета постоянно меняются. Здесь нет необходимых компонентов, каждый из них может быть заменен другим. Эпистемология таких "связных метасистем" существенно отличается от эпистемологии дискретных, ограниченных приложений. Мы должны задаться вопросом, насколько правомерны наши методологии аудита и системного анализа в такой среде.

Развитие ED! и lOS, хотя и относительно ограниченное на сегодняшний день, не является чем-то новым. В частности, в банковских приложениях банкоматы работают в "недоверенных" сетях. Существующее коммерческое применение таких технологий показывает, что они могут оказаться весьма успешными в контролируемой среде (Hirschheim and Adams, 1991, pp. 65-66), и в особенности там, где такая деятельность сосредоточена на обмене по сети стандартными документами (Hinge, 1988). В значительной степени трудности и нежелание следовать таким тенденциям могут быть связаны с невозможностью аудита или контроля доступа со стороны конкурентов или других враждебных агентов. Однако в скором времени это нежелание будет проверено развитием ЛОС более высокого уровня, переходящих от обмена документами к поддержке принятия решений и стратегическому управлению. Такое развитие не обязательно должно ограничиваться внутренними системами одной или нескольких организаций. Действительно, стратегические системы обычно зависели от внешних ресурсов, и, поскольку глобальные средства теперь технически доступны, требования руководства, скорее всего, пойдут в направлении использования этих ресурсов. Развитие технологий CSCW (Computer Supported Cooperative Work) и DDSS (Distributed Decision Support Systems) может привести к появлению динамически связанных специализированных организаций, совместно использующих глобальные информационные ресурсы, что станет дальнейшим шагом в направлении концепции квазифирм, следуя тенденции развития новых организационных форм. В таких условиях, когда взаимодействие между организациями не только значительно, но и, возможно, является самым крупным компонентом этой среды, должны измениться и методы, с помощью которых аудиторы должны работать в компьютерных системах. Вебер (Weber, 1988, p. 15) утверждает, что

"Сбор доказательств надежности системы ЭПР более сложен, чем сбор доказательств надежности ручной системы. Аудиторы сталкиваются с разнообразными и порой сложными технологиями внутреннего контроля, которых не было в ручной системе..... Аппаратное и программное обеспечение продолжает быстро развиваться, и, хотя существует некоторый временной лаг, соответствующие средства контроля также быстро эволюционируют".

Учитывая цитату, с которой началась данная статья, это отставание не стоит недооценивать. Какие бы меры предосторожности ни принимались, Вебер (1988, с. 19) признает, что "Мошенничество, совершаемое квалифицированного системного программиста может быть практически невозможно обнаружить аудитору, не обладающему соответствующим уровнем технических знаний".

Однако вера специалистов по вычислительной технике в методологии решения системных проблем находит отражение в современной литературе по аудиту. Для функционалистов, таких как Харнуа (Harnois, 1991), новая технология представляет собой трудности, которые должны быть решены с помощью все более функциональных методов. Харнуа (1991, с. 15) перечисляет конкретные задачи аудита ЭПР обработки персональных компьютеров:

Обеспечить наличие эффективной корпоративной политики в отношении приобретения и использования программного обеспечения.

Убедитесь, что все необходимые элементы управления вводом, выводом и обработкой присутствуют в каждой операции ПК.

Убедитесь, что для работы в компании используется только легально приобретенное и лицензионное программное обеспечение.

Затем шестьдесят страниц отводится пошаговому аудиту компьютерной системы ПК, в ходе которого проверяются пароли, блокировка дверей, списки каталогов и безопасность пользователей. Это очень тщательная внутренняя проверка, хотя она не предусматривает передачу или получение данных во внешних сетях. Как обеспечить полноту такого аудита, если ПК имеет доступ к 40 тыс. сетей, составляющих Интернет?

Вебер (1988, с. xiii) утверждает:

"Возможно, в более традиционных областях аудита мы, аудиторы, обретаем уверенность в надежности наших методик. Конечно, судебные иски по-прежнему имеют место, но проблемы, похоже, заключаются скорее в применении методик, чем в самих методиках".

В свете стремительного развития технологий и организационных изменений, которые не под силу традиционным системам и методологиям аудита, эта уверенность становится все более неуместной. Тенденции использования средств связи, децентрализованных организаций, EDI, lOS и альтернативных структур работы свидетельствуют о том, что традиционные методо-логические подходы уже находятся под давлением. Рост коммуникаций рассматривается как одна из основных проблем аудита. Вебер (Weber, 1988, p. 930) отмечает, что особую озабоченность вызывает следующее:

I. Системы электронного перевода средств. 2. Офисные информационные системы.

3. Электронные услуги для клиентов

4. Системы электронных сообщений.

Отмечены следующие проблемы:

I. Эти системы, как правило, технологически более сложны, чем централизованные. В них "больше компонентов, больше интерфейсов между компонентами и более высокий уровень функциональности".

В системах передачи данных часто наблюдается повышенная опасность. Средства контроля могут быть обойдены в большем количестве точек системы. Технология контроля "несколько нестабильна и продолжает развиваться". Передаваемые данные сами по себе становятся все более ценными.

Системы передачи данных увеличивают зависимость между пользователями. Например, в системе EDI "нарушение контроля в одной части системы потенциально подвергает опасности всех пользователей системы..... Необходимо разработать глобальные стандарты контроля и назначить человека, который будет следить за соблюдением этих стандартов пользователями. Однако по мере расширения сетей становится все труднее обеспечить требуемый уровень контроля. '

Вопросы конфиденциальности приобретают все большее значение.

5. Повышается вероятность незаконного или мошеннического использования сетей передачи данных.

Особенно важно, что Вебер отмечает, что чем крупнее становятся сети, тем сложнее обеспечить соответствие стандартам. Кроме того, с учетом нашего неудачного опыта создания стандартов связи даже на самом базовом техническом уровне в компьютерном мире, представлять себе внедрение "глобальных" стандартов под управлением контролирующего органа - это поразительный оптимизм. Вебер заключает: "Аудиторам придется провести серьезные исследования и приобрести значительный практический опыт работы с системами передачи данных, прежде чем будут разработаны соответствующие средства контроля и аудиторские процедуры".

ЗАКЛЮЧЕНИЕ

Из литературы по аудиту ЭДП видно, что аудитор располагает множеством сложных методик, позволяющих справиться с аудитом больших компьютерных систем. Однако почти в каждом случае эти возможности направлены на полузакрытые, централизованные или внутренне распределенные системы, а не