VE sako: "patikėkit, auditas nustatė, kad niekas nieko nereguliavo". Realybė yra tokia: auditu yra tikima tiktai todėl, kad jis pateikia išimtinai faktus, bet ne spekuliacijas. O tokios esą išvados, apie kurias skelbia VE - tai ne auditui keliamus reikalavimus atitinkantys faktai, o kažkoks bulšitas.
Jau krūvą kartų buvo skelbtas teiginys apie tai, esą anokia įmonė Synergy Consulting kažką praauditavo ir kažkaip atrado, kad Vilniaus Energija nevaldė šilumos punktų nuotoliniu būdu. Šituos teiginius Vilniaus savivaldybė bei VE skelbia, kaip esą įrodymą, kad viskas yra taip, kaip jie sako. Kad būčiau tikslus, štai citata jums, o po to pažiūrėsim, kas ten per bardakai slepiasi už panašių teiginių, kaip kad šie, skelbti Vilniaus savivaldybės internete:
Faktą, ar šilumos punktai yra reguliuojami nuotoliniu būdu, galima patikrinti. „Vilniaus energija“, bendradarbiaudama su Energetikos ministerija kreipėsi į nepriklausomą audito bendrovę „Synergy consulting“, turinčią ilgametę patirtį vykdant informacinių sistemų auditavimą tiek privačiame, tiek viešame sektoriuje, įskaitant valstybines Lietuvos energetikos įmones.
„Synergy consulting“, atlikusi analizę nustatė, kad nuo šių metų lapkričio 1 dienos iki gruodžio 28 dienos “Vilniaus energija” nevaldė daugiabučių šilumos punktų įrenginių nuotoliniu būdu – nekeitė temperatūrinių grafikų ir kitų šilumos suvartojimui įtaką turinčių parametrų.
Manau, kad tie, kas gudresni, išsyk užsidavė klausimu: nuo kada čia išvis atsirado pasaulyje galimybė užtikrintai nustatyti, kad kažkas nebuvo daroma? Bet kuris IT specialistas (o ir šiaip IT mėgėjas) pasakys, kad visiškai užtikrintai panašių dalykų tvirtinti praktikoje neįmanoma netgi tada, kai situacija atrodo aiški: paprasčiausiai galus suslėpti galima įvairiais būdais. Neretai išvis nieko slėpti neprireikia, nes tiesiog jokių įrašų apie kokias nors veiklas niekur nebūna. O ir bendrai būti užtikrintu, kad kažkas kažko nedarė – juolab neįmanoma: netgi idealiausias auditas gali kažko neatrasti. Tai natūralu.
Gyvenimiškai kalbant, vyras, iš komandiruotės grįžęs namo, gali atlikti namų auditą, bandydamas rasti duomenų, pagal kuriuos galėtų spręsti, kuo jo žmona užsiimdinėjo, tačiau faktų nesuradimas niekada neleiždia užtikrintai teigti, kad kažko nebuvo. Tai elementaru, gerbiami ponai.
Tačiau man įdomesni klausimai kyla, kai užduodi klausimą, kas išvis per daiktas yra auditas. Atsakymą rasti nesunku: apie tai prirašyta krūvos tekstų, pradedant etiniais reikalavimais auditui ir baigiant formaliomis įvairių auditų taisyklėmis. Bene gražiausias audito aprašymas (ir pakankamai detalus, ir pakankamai vienareikšmis) yra ISO-19011 standartas (specializuotas, tačiau visvien pavyzdinis), kurį rekomenduoju paskaityti kiekvienam (tai vos 30 puslapių teksto). Jei paskaitysite – tai ir šiaip gyvenimiško supratimo pridės apie tai, kas yra korektiškas faktinių duomenų surinkimas bei vertinimas. Čia jums apibrėžimas iš to paties standarto (ir jo būna laikomasi stebėtinai pažodžiui):
Audit – systematic, independent and documented process for obtaining audit evidence and evaluating it objectively to determine the extent to which the audit criteria are fulfilled.
Pernelyg nesikapstant po specifikas, galima viską pasakyti paprastai: joks auditas negali ir neturi jokios etinės, moralinės ar dar kokios nors teisės pasakyti, ar kokia nors įmonė dėl kažko kalta, ar nekalta, o ir išvis, ar užsiiminėjo tam tikra veikla, ar neužsiiminėjo. Joks auditas to negali sakyti, nes tokie pasakymai nėra faktai ir tai nėra objektyvu. Auditas pateikia ne kažkokias spekuliatyvias prielaidas ir spėliones su visokiomis išlygomis, o išimtinai tiktai faktus apie atitiktį audito kriterijams. Tie faktai ir jų prasmė kai kuriais atvejais gali būti paaiškinami ataskaitoje, pvz., kad jie gali reikšti tą ar aną, bet ir tai su sąlyga, kad tai yra visiškai vienareikšmis paaiškinimas. Ir ne daugiau.
Audito patirtį turinčius žmones neretai iš to perteklinio objektyvumo galima ir atpažinti: jie kažką sako apie faktus tik tada, kai tie faktai yra visiškai aiškūs, tuo tarpu kitais atvejais, kurie normaliems žmonėms atrodo visai aiškūs, auditoriai neretai pasisako frazėmis iš serijos „toksai faktas galimai gali leisti įtarti apie galimą kažką ten“. Pvz., „iš komandiruotės grįžusio vyro po lova surastas panaudotas prezervatyvas gal būt leidžia įtarti apie apie galimai galėjusį būti įvykį, kurio metu prezervatyvas galėjo būti panaudotas“. Tačiau audito ataskaitose net ir tokio akivaizdumo ir atsargumo paprastai nerasite, nes tai visgi būtų spėlionės, o ne faktai.
Jei auditas tikrina kompiuterius, jis gali pateikti ataskaitoje, pvz., tokius duomenis: buvo patikrinta N kompiuterių, tikrinama buvo ieškant juose esančių programų įvykių žurnalų, tikrinant tokias ir tokias vietas tokiais ir anokiais būdais. Surasti žurnalai M kompiuterių, surastų įrašų, rodančių prisijungimus į sistemą tokią ir anokią buvo X, kitų įrašų buvo Y. Pati maksimaliausia išvada, kokią auditas čia gali pateikti – tai išvada apie tai, kad faktai (sąrašas pridedamas) apie nuotolinio valdymo sistemų naudojimo požymius buvo surasti arba nebuvo surasti. O koksai to suradimo ar nesuradimo patikimumas, galima nustatyti pagal audito kriterijus ir įvykdytus patikrinimus, kurie pateikiami toje pat ataskaitoje.
Nuomonės, prielaidos, išvedžiojimai, spėjimai, etc. – visa tai yra ne audito surenkami faktai, o kažkokia beliberda. Kvalifikuoto auditoriaus požiūriu, viskas labai elementaru: faktas surastas arba faktas nesurastas. Jei faktas surastas – pateikiamas rezultatas apie fakto suradimą. Jei faktas nesurastas, pateikiamas rezultatas apie fakto nesuradimą. Kaip plyta į kaktą. Taip, kad vietos ginčams neliktų iš principo.
Kai prasideda kalbos apie tai, kad tokiame periode tokia įmonė nevaldė nuotoliniu būdu kokių nors šilumos mazgų – tai jau ne audito išvados, o kažkokios spėlionės ir indiški būrimai iš karviašūdžių. Tai ne faktai, atleiskite, ir ne audito surinkti duomenys, o kažkokie VBS agentūros pezalai. Todėl tokiu atveju negalim kalbėti ne tik apie tų audito išvadų patikimumą. Čia išvis negalime kalbėti, kad tai kažkas bent kiek primenančio auditą. Pagal VE ir Vilniaus savivaldybės skelbiamus pareiškimus galima spėti, kad vietoje audito buvo kažkokia meninė-literatūrinė kūryba.
Todėl man kyla kitas klausimas: iš kur atsirado elementarių objektyvumo ir faktiškumo reikalavimų neatitinkančios esą audito išvados? Tai, kad skelbiami pareiškimai visiškai neatitinka audito išvadoms keliamų kriterijų – jau galima suprasti iš to, ką nustato tie patys audito reikalavimai. Taigi, pasakykite man kažkas paprastą dalyką: ar tos pseudoauditinės pseudoišvados yra įrašytos Synergy Consulting ataskaitoje, ar jas išsigalvojo kažkokie Vilniaus Energijos PR veikėjai?
Man įtarimų kelia kitas faktas: audito ataskaitos man nepavyko surasti internetuose. Kitaip tariant, mano paprastu supratimu, audito ataskaitos buvimo faktas šiuo metu yra nerastas. Kita vertus, faktas apie tai, kad duomenys apie audito išvadas yra skelbiami, yra surastas. Tačiau pati ataskaita nebuvo surasta, man jos ieškant VE puslapyje, kur buvo pranešimas apie audito išvadas. Tokie štai paprasti faktai.
Taigi, tada kitas klausimas: kodėl, nors ir skelbiama, kad auditą vykdžiusi kompanija audito metu padarė išvadas, neatitinkančias elementarių audito išvadoms keliamų patikimumo (t.y., faktiškumo ir objektyvumo) kriterijų, kodėl ta audito ataskaita nepakliuvo man į rankas? Gal visgi joje tiesiog nėra tokių išvadų apie kurias skelbiama?
Na, padėkit man kažkas su šita dilema išsiaiškinti paprastuoju būdu.
Kiti straipsniai iš serijos: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11.
