Audito įrodymai yra dokumentuota informacija, kuria auditorius pagrindžia savo pastebėjimus, išvadas ir rekomendacijas. Audito procedūrų tikslas – surinkti įrodymus, kurie leistų patvirtinti neatitiktį nuo audito kriterijų arba paneigti tokios neatitikties buvimą.
Auditorius audito procedūras atlieka pagal audito plane suformuluotas užduotis ir laikydamasis plane nustatytų terminų. Procedūros atliekamos taikant jame numatytus informacijos ir duomenų rinkimo ir vertinimo metodus. Išsamiau – Audito metodų skiltyje, apie audito procedūras – Audito procedūrų planavimo skiltyje.
Jeigu audito plane nebuvo suplanuotos pakankamai detalios audito procedūros, audito atlikimo metu gali prireikti tikslinti planą ir suplanuoti detalesnes procedūras, t. y. kur ir kaip turi būti surinkti reikalingi įrodymai.
Svarbu nepamiršti, kad auditą galima laikyti projektu, kuriam reikalingas pakankamai lankstus valdymas. Jam būdingas nuolatinis sugrįžimas pasitikrinti, ar, gavus naujų žinių ir įrodymų, tebegalioja anksčiau padarytos prielaidos ir vis dar tinkami jomis paremti profesiniai sprendimai, t. y. nuolat pasitikrinti, ar plane numatyti audito klausimai, kriterijai ir procedūros yra vis dar tinkami, o, esant poreikiui, juos patikslinti ar pakeisti.
Vidaus kontrolės testų atlikimas
Auditorius turi atlikti audito plane suplanuotus vidaus kontrolės testus, kad surinktų pakankamų ir tinkamų audito įrodymų dėl kontrolės priemonių efektyvumo, jei:
susipažindamas su vidaus kontrolės aplinka ir procedūromis auditorius tikisi, kad pagrindinės vidaus kontrolės procedūros bus veiksmingos ir veiks nuosekliai per visą audituojamą laikotarpį (t. y. auditorius planuoja gauti kontrolės patikimumą);
tik pagrindinės audito procedūros negali suteikti pakankamų ir tinkamų audito įrodymų.
Auditorius atlieka kontrolės testus, kad patvirtintų preliminarų tų kontrolės procedūrų, kuriomis ketina remtis, vertinimą. Pagrindinių kontrolės procedūrų nustatymas ir pavyzdžiai pateikti Susipažinimo su vidaus kontrolės procedūromis skiltyje.
Be pagrindinių vidaus kontrolės procedūrų, auditorius taip pat turėtų įvertinti audituojamo subjekto vidaus kontrolę, susijusią su tomis rizikomis, kurių, auditoriaus vertinimu, neįmanoma ar praktiška sumažinti iki priimtino lygio naudojant tik pagrindines procedūras. Pavyzdžiui, jei subjekto informacinė sistema leidžia atlikti labai automatizuotą apdorojimą su minimaliu rankiniu įsikišimu. Tik informacijos tikslumo ir išsamumo kontrolės įvertinimas ir testavimas suteiks pakankamų ir tinkamų audito įrodymų.
Rengdamas ir atlikdamas kontrolės testus, auditorius turi įvertinti:
kaip kontrolės priemonės buvo taikomos atitinkamu audituojamu laikotarpiu;
kaip nuosekliai kontrolės priemonės buvo taikytos;
kas ir kokiais būdais taikė šias kontrolės priemones.
Auditorius gali naudoti kitų auditų metu surinktus audito įrodymus apie kontrolės priemonių efektyvumą, tačiau turi įvertinti, ar atlikti kontrolės testai yra tinkami atitikties audito tikslams ir susiję su audito objektu. Jei auditorius planuoja naudoti kito audito metu surinktus audito įrodymus dėl specifinių kontrolės priemonių efektyvumo, jis turi surinkti audito įrodymus dėl to, ar po ankstesnio audito įvyko reikšmingų šių kontrolės priemonių pokyčių ir:
jei įvyko pokyčių, kurie turi įtakos ankstesnio audito metu surinktų audito įrodymų svarbumui, auditorius turi atlikti šių kontrolės priemonių testus dabartinio audito metu;
jei tokių pokyčių nėra, auditorius turi atlikti kontrolės priemonių testus bent vieną kartą kas tris auditus.
Jei auditorius planuoja pasitikėti rizikos, kurią įvertino esant reikšminga, kontrolės priemonėmis, jis turi atlikti šių kontrolės priemonių testus dabartinio audito metu.
Kontrolės testų atranką auditorius atlieka vadovaudamasis Atrankos atlikimo skiltyje pateikta informacija.
Pagrindinių audito procedūrų atlikimas
Pagrindinių audito procedūrų tikslas yra surinkti audito įrodymus, ar vertinamame audito objekte yra neatitikčių.
Auditorius turi atlikti pagrindines audito procedūras taip, kaip buvo numatyta audito plane, nebent vertinant kontrolės testų rezultatus (negavus planuoto vidaus kontrolės patikimumo) reikėtų persvarstyti pagrindinių audito procedūrų pobūdį, laiką ir (arba) apimtį.
Pagrindinių procedūrų metu tikrintinų elementų atranką auditorius atlieka vadovaudamasis Atrankos atlikimo skiltyje pateikta informacija.
Visi atliktų audito procedūrų rezultatai turi būti užfiksuoti darbo dokumentuose. Prieš priimant galutines išvadas, prieštaravimai ir neišspręsti klausimai turėtų būti aptarti su atsakingais audituojamojo subjekto darbuotojais.
Audito įrodymų pakankamumas ir tinkamumas
Audito įrodymai turi būti pakankami ir tinkami, kad įtikintų ataskaitos skaitytoją, jog audito pastebėjimai ir išvados yra pagrįsti.
Įrodymų tinkamumas susijęs su audito įrodymų kokybe. Jis reiškia, kad audito įrodymai turi būti aktualūs, svarbūs, pagrįsti ir patikimi:
aktualumas ir svarba nurodo, kiek audito įrodymai yra logiškai susiję ir svarbūs audito tikslui ir nagrinėjamiems audito klausimams;
pagrįstumas rodo, kiek audito įrodymai suteikia reikšmingą ar protingą pagrindą išmatuoti vertinamą objektą;
patikimumas rodo, kiek audito įrodymai yra paremti patvirtinančiais duomenimis, gautais iš įvairių (skirtingų) šaltinių; ar įrodymai, pakartotinai patikrinus, leidžia suformuluoti tokius pat audito pastebėjimus.
Pakankami audito įrodymai – audito įrodymų kiekio matas, tai yra kiekybės požiūriu pakankama informacija audito tikslui pasiekti, audito pastebėjimams ir išvadoms pagrįsti.
Audito įrodymų pakankamumas negali atsverti tinkamumo, t. y. surinkęs daugiau, bet netinkamų įrodymų, auditorius negalės gauti pagrįstų išvadų. Auditorius turi surinkti pakankamai tinkamų įrodymų.
Audito įrodymų pakankamumą ir tinkamumą turi įvertinti pats auditorius. Vertindamas tai, jis turi atsižvelgti į:
tikslą, kuriam bus naudojami įrodymai: audito metu nustatytus faktus paremiančių įrodymų tikslumas turi būti didesnis negu bendro pobūdžio informacijos, pateiktos audito ataskaitoje;
reikšmingumą: dažniausiai, kuo reikšmingumo lygis yra aukštesnis, tuo įrodymai turi būti svaresni;
tai, kad kuo didesnė rizika, kad audito ataskaitoje pateikti faktai sukels ginčų, tuo įrodymai turi būti svaresni;
tai, kiek yra nepriklausomas įrodymų šaltinis: tais įrodymais, kurie surenkami iš nepriklausomų šaltinių, reikėtų pasitikėti labiau;
vidaus kontrolės vertinimo rezultatus, nustatytas klaidas, apgaulę ir kt.
Audito įrodymų šaltiniai ir pobūdis
Audito įrodymų patikimumas priklauso nuo jų šaltinio ir pobūdžio, taip pat svarbūs metodai, kuriais renkami įrodymai.
Pagal šaltinį įrodymai gali būti:
surinkti paties auditoriaus (interviu, apklausos, tiesioginis tikrinimas ar stebėjimas, tikslinių grupių pagalba, duomenų ar dokumentų gavimas prisijungus tiesiogiai prie IS ir kt.);
gauti iš audituojamo subjekto (skaitmeniniai duomenys iš IS duomenų bazės, dokumentai, veiklos ataskaitos ir kt.);
gauti iš trečiųjų šalių (produktų ir (ar) paslaugų gavėjai, suinteresuotosios organizacijos, nagrinėjamos srities ekspertai, oficialios statistikos duomenys ir kt.).
Pagal pobūdį įrodymai yra:
dokumentiniai (įvairių dokumentų, skaitmeninių duomenų, kitų informacijos šaltinių peržiūra);
vizualieji (patikrinimas, stebėjimas, turto apžiūrėjimas);
žodiniai (audituojamo subjekto atstovų, trečiųjų šalių apklausa ir (ar) pokalbiai, tikslinės grupės, ekspertų grupės);
analitiniai (skaičiavimai, santykių, tendencijų, dėsningumų analizė, palyginimai ir kt.).
Skirtingo pobūdžio ir gauti iš skirtingų šaltinių audito įrodymai turi savo privalumų ir trūkumų. Vertinant jų patikimumą, atsižvelgiama į tai, kad:
įrodymai, gauti iš nusimanančios, patikimos ir objektyvios trečiosios šalies, yra patikimesni už gautuosius iš audituojamo subjekto vadovų arba kitų asmenų, kurie turi tiesioginį interesą;
paties auditoriaus gauti audito įrodymai patikimesni už audituojamo subjekto pateiktuosius;
iš audituojamo subjekto gauti įrodymai patikimesni, kai jo vidaus kontrolės sistema yra veiksminga;
dokumentiniai įrodymai paprastai yra patikimesni negu žodiniai (pvz., interviu metu surinktus įrodymus reikia patvirtinti iš kitų šaltinių gauta informacija);
originalūs dokumentai patikimesni už kopijas;
daugiau nei keletu interviu paremti įrodymai yra patikimesni už paremtus vienu pokalbiu;
žodiniai įrodymai, gauti aplinkybėmis, kuriomis žmonės gali laisvai kalbėti, yra patikimesni už gautuosius esant aplinkybėms, kai žmonės gali jaustis nesaugiai;
pokalbio metu gauti žodiniai įrodymai, kurie yra dokumentuoti ir patvirtinti audituojamo subjekto rašytine forma, yra patikimesni tik už žodinę raštiškai nepatvirtintą informaciją. Jeigu pokalbio metu gauta informacija patvirtina reikšmingą neatitiktį, ji privalo būti su subjektu suderinta raštu;
įrodymai, surinkti auditoriams tiesiogiai stebint, skaičiuojant ar tikrinant, yra patikimesni už netiesiogiai gautuosius.
Norint atlikti teisingus vertinimus ir suformuluoti tinkamas išvadas, įrodymai turi būti surinkti iš įvairių (skirtingų) šaltinių (ne mažiau dviejų). Audito įrodymai laikomi patikimais, kai įvairių (skirtingų) šaltinių ir (ar) skirtingo pobūdžio įrodymai sutampa. Jeigu jie nesutampa, auditorius turi nuspręsti, kokių papildomų procedūrų reikia neatitikimo priežastims nustatyti ir (ar) gauti papildomų įrodymų. Kai dėl objektyvių priežasčių neįmanoma gauti įrodymų iš įvairių (skirtingų) šaltinių, auditorius turi priimti profesinį sprendimą, ar tokie įrodymai gali būti naudojami pastebėjimams ir išvadoms pagrįsti. Visi auditoriaus profesiniai sprendimai turi būti dokumentuojami.
Rinkdami įrodymus, auditoriai turi teisę naudotis audituojamo subjekto turima informacija, tačiau negali pavesti jo personalui atlikti duomenų analizės ar kitų audito procedūrų, kurias pagal audito planą turi atlikti pats auditorius. Turi būti renkami tik su audito tikslu ir nagrinėjamais klausimais susiję duomenys.
Negalima reikalauti tokios informacijos, kuri nekaupiama subjekte ar kurią kaupti jam nėra pavesta teisės aktais. Tačiau, jeigu auditorius yra įsitikinęs, kad tokios informacijos kaupimas ir jos naudojimas būtinas tam, kad audituojamas subjektas galėtų vykdyti savo veiklą ekonomiškai, efektyviai ir (ar) rezultatyviai, gali raštu prašyti pateikti tokią informaciją. Jeigu tokios informacijos kaupimas ir valdymas buvo įtrauktas kaip vienas audito kriterijų, o audituojamas subjektas jos nepateikė, auditorius fiksuoja neatitiktį kriterijui.
Auditorius turi vengti pavesti audituojamiems subjektams daryti dokumentų, kurie yra tik informacijos šaltinis, kopijas. Rekomenduojama jas daryti tik tada, kai šie dokumentai būtini veiklos trūkumams ar pažeidimams įrodyti ir nėra kito būdo gauti patikimą informaciją.
Atliekant atitikties auditus, auditoriams tenka susipažinti ir naudoti informaciją, kuri pagal įstatymus yra valstybės, tarnybos, profesinė, komercinė ar kitokia paslaptis arba yra privati informacija ar kurios paviešinimas gali pakenkti teisėtiems valstybės, audituojamo subjekto ar trečiųjų asmenų interesams. Jeigu tokia informacija panaudojama pagrįsti audito išvadas, gali būti nuspręsta neviešinti valstybinio audito ataskaitos arba tam tikrų jos dalių, tai suderinus su valstybės kontrolieriaus pavaduotoju, kuriam yra tiesiogiai pavaldus auditą atliekantis departamentas. Valstybės kontrolės darbuotojų veiksmus, kurie būtini siekiant išvengti valstybės ar tarnybos paslaptimi pripažintos informacijos praradimo ar neteisėto atskleidimo, nustato Paslapčių subjektų ir Valstybės kontrolės įslaptintos informacijos naudojimo ir apsaugos tvarkos aprašas.
