Lý do khác để sử dụng nguồn mở: khả năng kiểm toán

Another Reason to Use Open Source: Auditability

Published 08:42, 11 January 13, by Glyn Moody

Theo: http://blogs.computerworlduk.com/open-enterprise/2013/01/another-reason-for-open-source-auditability/index.htm

Bài được đưa lên Internet ngày: 11/01/2013

Lời người dịch: Tất cả các thiết bị đăng ký tiền mặt trong các ngân hàng tại Nauy có thể sẽ được thay thế trong thời gian sắp tới và hiện chúng đang được đề nghị phải làm việc với các phần mềm nguồn mở thì mới đáp ứng được các yêu cầu về kiểm toán. “Điều này là cho các ưu thế của việc sử dụng phần mềm nguồn mở đối với các dạng thiết bị này thậm chí còn quyến rũ hơn. Nguồn mở đang chiếm lấy thế giới các phần mềm nhúng vì nó là rẻ hơn, an ninh hơn, mạch lạc hơn và có khả năng tùy biến được hơn so với mã nguồn đóng. Có thể bổ sung thêm vào đó rằng nó còn dễ dàng kiểm toán được hơn, vì nó là mở cho bất kỳ ai, bất kỳ lúc nào - không chỉ cho các nhà thanh tra khi họ viếng thăm”. Nhiều người muốn chốn nguồn mở. Đáng tiếc, có muốn chốn cũng không được.

Bộ trưởng tài chính Nauy dường như có vấn đề một chút vào lúc này. Bộ muốn tất cả những người đăng ký tiền mặt đang tồn tại tại nước này bị bỏ đi và được thay thế với những đăng ký mới, như site E24 của Nauy nói (thông qua Thomas Steen và Google Translate).

Kế hoạch đó được nghị viện phê chuẩn trước khi Easter và tất cả các hệ thống ngân hàng cần phải được cập nhật/ được thay thế vào mùa hè sang năm.

NHO bây giờ đang kêu gọi một sự rà soát lại kỹ lưỡng trước khi các qui định thay đổi cho 80.000 doanh nghiệp của nước này mà sẽ bị ảnh hưởng.

Không hệ thống chuyển nhượng nào đang tồn tại đáp ứng được các yêu cầu kỹ thuật một khi có ý phải yêu cầu. Phân tích của riêng ban lãnh đạo chỉ ra rằng 90.000 hệ thống phải được làm mới lại, trong khi Hiệp hội Kế toán tin tưởng số liệu đó có thể là cao hơn nhiều, luật sư Halvor E. Sigurdsen của Technical Review nói.

Không ngạc nhiên, sự nâng cấp lớn này không phải là phổ biến. Nhưng hình như nó đang được thúc đẩy qua trong một nỗ lực ngăn chặn các số liệu của những người đăng ký tiền mặt bị trà sát trong sử dụng để giảm thuế. Đây là những yêu cầu chính cho các hệ thống mới:

• các nhà cung cấp phải có khả năng chứng minh rằng hệ thống có thể tích hợp với các phần mềm bên ngoài cho phép việc thay đổi ghi nhật ký trực tuyến.
• Nó sẽ không có khả năng thay đổi các đầu vào trong quá khứ hoặc thay đổi các văn bản được thiết lập rồi về hàng hóa và dịch vụ được đăng ký.
• Nó sẽ không có khả năng ghi lại các bán hàng mà không có một hóa đơn được in.
• Nó sẽ không có khả năng đưa ra hơn một bản sao hóa đơn.
• Nó sẽ không có khả năng đánh dấu một số nhóm sao cho chúng được đưa vào trong các báo cáo.

Tất nhiên, vấn đề lớn là làm thế nào bạn chứng minh được tất cả những thứ đó? Đơn giản chỉ ra rằng đăng ký tiền mặt của bạn dừng bạn làm chúng là không đủ: có thể có chức năng ẩn cho phép nó được chuyển thành chế độ gian lận khi mọi người không xem xét, có lẽ sử dụng một số tổ hợp phím kỳ quặc.

The Norwegian Ministry of Finance seems to be taking a bit of stick at the moment. It wants all the existing cash registers in the country thrown out and replaced with new ones, as the Norwegian site E24 reports (via Thomas Steen and Google Translate)

The plan is to be adopted by Parliament before Easter and all bank systems need to be upgraded / replaced by next summer.

NHO is now calling for a thorough review before the rules change for the country's 80,000 businesses that will be affected.

No existing disposal systems meet the technical requirements one has thought to ask. Directorate's own analysis shows that up to 90 000 systems must be renewed, while Accounting Association believes the figure could be much higher, said attorney Halvor E. Sigurdsen the Technical Review.

Not surprisingly, this massive upgrade is not popular. But it is apparently being pushed through in an attempt to prevent cash registers' figures being massaged downwards in use so as to reduce tax. Here are the main requirements for the new systems:

suppliers must be able to prove that the system can integrate with external software that allows changing the online journal.

It shall not be possible to change the entries in retrospect or change preset text on goods and services at registration.

It shall not be possible to record sales without a receipt is printed.

It shall not be possible to drive out more than one copy of the receipt.

It shall not be possible to mark some groups so that they are included in the reports.

Of course, the big problem is how do you prove all these things? Simply showing that your cash register stops you doing them is not enough: there might be hidden functionality that allows it to be switched into fraudulent mode when people aren't looking, perhaps using some weird keypress combination.

Bài báo trên E24 trích lời hiệp hội Nauy những người kiểm toán thuế, có một gợi ý nhạy cảm cho việc giải quyết vấn đề này:

Mã nguồn phải được mở

Không có mã nguồn thì không thể xác định được liệu có hay không chức năng “ẩn” đang tồn tại hay không. Chỉ biết rằng các nhà chức trách thuế có sự truy cập tới mã nguồn ứng dụng, sẽ làm giảm nỗ lực triển khai chức năng ẩn trong phần mềm.

Dù điều này là trường hợp rất đặc biệt, nó làm dấy lên những vấn đề quan trọng sống còn có khả năng gặt hái ngày một thường xuyên. Về cơ bản, bất kỳ thiết bị điện tử nào mà có các khả năng số được xây dựng sẵn là một máy tính đủ lông đủ cánh ngày nay. Điều đó có nghĩa - tiềm tàng - mã nguồn mà cho phép hành vi ẩn có thể bị xuất đi với nó. Cách duy nhất chắc chắn để giải quyết vấn đề này là nhất quán về mã nguồn phải được lảm cho sẵn sàng - và đối với các nhà điều tra để kiểm tra điều đó thực sự là mã nguồn đang chạy trong các máy ngoài đó.

Điều này là cho các ưu thế của việc sử dụng phần mềm nguồn mở đối với các dạng thiết bị này thậm chí còn quyến rũ hơn. Nguồn mở đang chiếm lấy thế giới các phần mềm nhúng vì nó là rẻ hơn, an ninh hơn, mạch lạc hơn và có khả năng tùy biến được hơn so với mã nguồn đóng. Có thể bổ sung thêm vào đó rằng nó còn dễ dàng kiểm toán được hơn, vì nó là mở cho bất kỳ ai, bất kỳ lúc nào - không chỉ cho các nhà thanh tra khi họ viếng thăm.

The article in E24 quotes the Norwegian association of tax auditors, which has an eminently sensible suggestion for solving this problem:

The source code must be opened

Without source code it is not possible to determine whether or "hidden" functionality exists or not. Just knowing that the tax authorities have access to the source code of the application, will reduce the effort to implement hidden functionality in the software

Although this is a very particular case, it raises crucially important issues that are likely to crop increasingly frequently. Essentially, any electronic device that has built-in digital capabilities is a fully-fledged computer these days. That means - potentially - code that allows forbidden behaviour might be shipped with it. The only sure way to catch this problem is to insist upon the source code being made available - and for inspectors to check that it really is the code being run in units in the wild.

This makes the advantages of using open source software for these kind of devices even more compelling. Open source is already taking over the world of embedded software because it is cheaper, more secure, more compact and more customisable than comparable closed-source code. To that can be added that it is also more easily audited, because it is open for everyone, all the time - not just for inspectors when they make their visits.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com