Просто в голос.
Это документ для sox аудита, скорее бюрократическая мишура чтобы успокоить акционеров (ну и какой-никакой порядок для совсем уж беззаботных компаний), чем реальная польза безопасности. Буквально метки "а вот тут для расшифровки 2ух человек достаточно, если два тимлида сговорятся, то могут узнать наш страшный секрет". Потом отдел ИБ (обычно отдельный бюрократический отдел ИБ, созданный чисто для бюрократии) на встрече с внешними аудиторами (бюрократы, которым платят денежку за видимость компетенции) обсуждают что в теории можно улучшить и в итоге делают отчёт что в компании работали не полные неандертальцы и не используют md5 в паролях. Этим отчетом потом хвалится топ менеджмент.
На самом же деле все эти проверки в основном поверхностны и нередко делаются руками проверяемых. Само собой любой мало-мальский разработчик работающий приличное время в компании знает где при разработке оставили костыли и не заменили/умолчали/решили оставить как есть. По различным причинам далеко не все из них доходят до ИБ, а от них далеко не все доходят до аудиторов.
Но видимо растоманы все же совсем дегенераты и не знают этого, они просто увидели слово аудит, слово безопасность, и сразу слепили новость бесполезную чуть более чем для всех. Ну какой язык, такие и разработчики.