Audito rizikos vertinimas

Įgimta rizika – tai savaime egzistuojanti rizika, kad bet kurioje veikloje gali atsirasti neatitikčių. Audito požiūriu įgimta rizika yra su veiklos pobūdžiu, operacijomis ir valdymo struktūromis susijusi rizika, kad atsiras neatitikčių.

Įprastomis sąlygomis egzistuojanti įgimta rizika laikoma normalia. Tam tikromis sąlygomis atsirandanti rizika gali būti vertinama kaip padidinta įgimta rizika – paprastai ji atsiranda ten, kur didesnę įtaką turi individualūs sprendimai, kur įvyksta nenumatytos aplinkybės, esminiai pasikeitimai, veikla susijusi su sudėtingais procesais, ją reglamentuoja sudėtingi teisės aktai ir pan.

Norint nustatyti įgimtą riziką, rekomenduojama kelti klausimą – kas gali atsitikti, įvykti ne taip, kaip turėtų. Auditorius turi gebėti numatyti problemas, t. y. galimą neatitikties riziką audituojamoje srityje. Įgimtos rizikos vertinimas yra audituojamo subjekto analizė ir visų jį supančių problemų, susijusių su audito objektu, prognozavimas. Auditorius turėtų apsvarstyti visus kriterijus, pagal kuriuos jis planuoja vertinti audituojamą subjektą ir audito objektą, ir kelti klausimus: kodėl taikomi šie kriterijai; koks numatyto reglamentavimo tikslas; kam teisės aktų leidėjai ar valdžios institucijos ketino užkirsti kelią šiuo teisės aktu. Toliau auditorius gali įsivaizduoti, kad tai, kam teisės aktų leidėjai bandė užkirsti kelią, visgi įvyko, ir įvertinti, kam tai turėtų įtakos ir koks būtų poveikis. Keldamas šiuos klausimus ir ieškodamas atsakymų į juos, auditorius identifikuos įgimtų rizikų sąrašą.

Nustačius įgimtą riziką didinančias aplinkybes (rizikos veiksnius), kitas etapas – įvertinti jų reikšmingumą, t. y. koks nustatytos rizikos pasireiškimo galimas poveikis (mastas ir pasekmės) ir tikimybė rizikai pasireikšti. Auditoriai turėtų mažiau dėmesio skirti rizikai, kurios pasireiškimo galimas poveikis didelis, bet tikimybė maža, ar tai, kurios pasireiškimo poveikis yra mažas, bet tikimybė didelė. Rizika, kurios tiek pasireiškimo galimą poveikį, tiek tikimybę jai pasireikšti auditoriai laiko dideliais, yra vertinama kaip reikšminga. Reikšmingos rizikos nustatymas yra auditoriaus profesinis sprendimas.

Rizikos, kylančios iš toliau pateiktų veiksnių, paprastai laikomos reikšmingomis:

• rizika, susijusi su apgaule;
• rizika, susijusi su reikšmingais ekonominiais, apskaitos ar kitais pokyčiais ar įvykiais;
• rizika, susijusi su reikšmingais sandoriais su susijusiomis šalimis;
• rizika, susijusi su dideliu subjektyvumo laipsniu;
• rizika, susijusi su reikšmingais sandoriais, kurie nėra susiję su įprasta įstaigos veikla.

Susipažinęs su audituojamu subjektu ir jo aplinka bei identifikavęs įgimtą riziką didinančius veiksnius ir jų reikšmingumą, auditorius turi apibendrinti – įvertinti, ar įgimta rizika padidinta ar normali ir ar įgimtas patikimumas gautas ar negautas audito objekto lygmeniu, o, jei audito objektas suskirstytas į detalesnes audito sritis – jų lygmeniu. Jei įgimta rizika normali – įgimtas patikimumas gaunamas, jei ši rizika padidinta – negaunamas.

Remiantis įgimto patikimumo vertinimu ir audito patikimumo schema, sprendžiama dėl tolesnių audito procedūrų ir jų apimties.

Skaityti daugiau

Kuo didesnė nustatyta įgimta rizika, tuo stipresnė turi būti audituojamo subjekto vidaus kontrolės sistema, kad galėtų padėti užkirsti kelią neatitiktims, tikėtinoms dėl padidintos įgimtos rizikos. Tokiu atveju susipažindamas su kontrolės sistema auditorius turi atkreipti ypatingą dėmesį į tai, ar yra sukurtos ir veikiančios vidaus kontrolės procedūros tose srityse, kuriose nustatyta padidinta įgimta rizika. Kita vertus, net jei padidinta rizika nėra nustatyta, dėl kiekviename subjekte egzistuojančios normalios įgimtos rizikos taip pat gali atsirasti neatitikčių, todėl bet kuriame audituojamame subjekte turi būti sukurta tinkamai veikianti vidaus kontrolės sistema. Todėl net ir nesant padidintos įgimtos rizikos, kontrolės patikimumas gali būti gautas tik tuo atveju, jei buvo įvertintas audituojamame subjekte veikiančios vidaus kontrolės sistemos efektyvumas.

Kontrolės rizika yra rizika, kad vidaus kontrolės priemonėmis nepavyks užkirsti kelio esminiams neatitikimams arba laiku juos aptikti ir ištaisyti, t. y. negausime planuojamo kontrolės patikimumo. Kai tikėtina, kad kontrolės rizika yra didelė, t. y. nėra arba yra ribota vidaus kontrolė ir reikiamo kontrolės patikimumo gauti nepavyks, auditorius reikiamą audito patikimumą turėtų gauti daugiausia iš pagrindinių audito procedūrų, nes audituojamo subjekto vidaus kontrole, jos neįvertinus, pasikliauti negalima. Tam, kad būtų galima preliminariai įvertinti kontrolės patikimumą, būtina susipažinti su vidaus kontrolės sistema ir procedūromis. Šis susipažinimas privalomas net ir tuo atveju, jeigu auditorius netaiko audito rizikos ir patikimumo modelio.

 

Susipažinimas su vidaus kontrolės sistema

Vidaus kontrolė – kompleksinis procesas, kurį įgyvendina organizacijos vadovybė ir darbuotojai. Jis skirtas nustatyti rizikos veiksnius ir padėti užtikrinti, kad, vadovaujantis organizacijos misija, būtų įgyvendinami šie bendrieji tikslai:

• organizuotai, taupiai, efektyviai ir rezultatyviai įgyvendinti veiklą;
• vykdyti atskaitingumą arba įsipareigojimus (organizacijos ir joje dirbančių asmenų atsakomybės už sprendimus ir veiksmus užtikrinimas);
• laikytis galiojančių teisės aktų;
• saugoti išteklius nuo praradimo, sugadinimo, naudojimo ne pagal paskirtį.

Efektyvi vidaus kontrolė sumažina tikimybę, kad organizacijos tikslai nebus pasiekti, tačiau vidaus kontrolė pati savaime negali užtikrinti tikslų pasiekimo. Visada egzistuoja rizika, kad vidaus kontrolė bus prastai organizuota ar neveiks taip, kaip numatyta. Vidaus kontrolės efektyvumą gali riboti šie veiksniai:

• žmogiškasis veiksnys (pvz., gali būti vidaus kontrolės organizavimo trūkumų, vertinimo ar interpretavimo klaidų, nesusipratimų, nerūpestingumo, slaptų susitarimų, piktnaudžiavimo);
• išteklių ribotumas (pvz., vidaus kontrolė gali sumažinti išteklių praradimo riziką, tačiau tai gali kainuoti daugiau nei galima nauda);
• pokyčiai organizacijoje, organizacijos vadovybės požiūris (pvz., netinkamas vadovybės požiūris į vidaus kontrolės priemones, šių priemonių nepaisymas, atsainumas, informacijos apie pokyčius neteikimas darbuotojams).

Vienas plačiai paplitusių ir tarptautinių organizacijų propaguojamų požiūrių į vidaus kontrolės sistemą yra COSO^[1] modelis – patikimos vidaus kontrolės sistemos pavyzdys. Pagal šį modelį vidaus kontrolę sudaro penki tarpusavyje susiję elementai – kontrolės aplinka, rizikos vertinimas, kontrolės veikla, informavimas ir komunikavimas, stebėsena – kurie sudaro pagrindą vertinti vidaus kontrolę. Pagal 4000-ojo TAAIS 135 p., auditorius turi įgyti supratimą apie visus auditui aktualius vidaus kontrolės sistemos komponentus.

Kontrolės aplinka – visos vidaus kontrolės sistemos pagrindas. Ji užtikrina organizacijos drausmingumą, organizuotumą ir atmosferą, kurie turi įtakos vidaus kontrolės kokybei. Kontrolės aplinka veikia organizacijos strategijos, tikslų formulavimo procesą ir kontrolės veiklos organizavimą. Kontrolės aplinką sudaro:

• organizacijos vadovybės ir darbuotojų asmeninis ir profesinis sąžiningumas, moralinės vertybės, kurie lemia su organizacijos misija, vertybėmis bei vadovybės ir darbuotojų elgesiu susijusius sprendimus;
• kompetencijos siekis, kuris apima žinių ir įgūdžių lygį, būtiną užtikrinti tvarkingą, ekonomišką, efektyvią, rezultatyvią ir etišką veiklą, ir kiekvieno asmens atsakomybės už vidaus kontrolę atsakomybę. Vadovai ir darbuotojai turi turėti įgūdžių, leidžiančių įvertinti riziką ir padedančių efektyviai ir rezultatyviai dirbti, ir tokį vidaus kontrolės supratimą, kuris būtų pakankamas efektyviai atlikti pareigas;
• vadovybės filosofija ir veiklos stilius;
• organizacinė struktūra (funkcijų ir atsakomybės pasidalijimas, įgaliojimai ir atskaitingumas);
• žmogiškųjų išteklių politika ir praktika (darbuotojų samdymas, mokymas, vertinimas, konsultavimas, skatinimas ir atlyginimas).

Vertindamas vidaus kontrolės aplinką auditorius gali pasinaudoti Vidaus kontrolės aplinkos vertinimo klausimynu, kurį galima rasti Šablonų skiltyje. Pagal poreikį ir atsižvelgiant į audito objektą, klausimynas gali būti papildytas kitais aktualiais klausimais arba neteikiami neaktualūs klausimai.

Rizikos vertinimas – tai rizikos veiksnių, susijusių su organizacijos tikslų pasiekimu, nustatymo bei analizės ir atitinkamos reakcijos numatymo procesas. Šis vertinimas apima rizikos nustatymą (rizika, susijusi su organizacijos tikslais, visapusė rizika, rizika dėl išorės ir vidaus veiksnių visos organizacijos ir pavienės veiklos lygiu), rizikos vertinimą (rizikos reikšmingumo nustatymas, rizikos tikimybės įvertinimas), organizacijos toleruojamos rizikos nustatymą ir reagavimo numatymą (procedūros rizikai sumažinti iki priimtino lygio). Rizikos vertinimo procesas organizacijoje turi būti nuolatinis ir pasikartojantis procesas.

Auditorius, analizuodamas įstaigos rizikos vertinimo procesą, turėtų atsakyti į šiuos klausimus:

• ar, siekiant įstaigai iškeltų auditui aktualių strateginių ir kitų tikslų, nustatoma rizika, galinti sutrukdyti šiuos tikslus pasiekti;
• kaip vertinama nustatyta rizika (per pasitarimus, vadovaujantis vidaus ar išorės auditų išvadomis ir rekomendacijomis, naudojantis rizikos vertinimo modeliais, kitais būdais);
• kaip įstaiga valdo nustatytą riziką.

Kontrolės veikla – tai veiklos kryptys ir procedūros, įdiegtos siekiant valdyti riziką ir įgyvendinti organizacijos tikslus. Kad kontrolės veikla būtų efektyvi, ji turi būti tinkama, nuosekliai funkcionuoti pagal laikotarpiui parengtą veiklos planą, efektyvi sąnaudų požiūriu, visapusė, pagrįsta ir tiesiogiai susijusi su kontrolės tikslais. Kontrolės veikla vyksta visoje organizacijoje, visais lygmenimis ir visuose padaliniuose. Veikla apima tokias įvairias veiklos sritis kaip tvirtinimas, leidimų suteikimas, tikrinimas, veiklos rezultatų peržiūra, pranešimas apie suteiktas išimtis ir priežiūra. Organizacijos turi pasiekti tinkamą nustatomosios ir prevencinės kontrolės veiksmų pusiausvyrą. Kontrolės veiklą turi papildyti ištaisomieji veiksmai.

Vertindamas kontrolės veiklą, auditorius turėtų analizuoti įstaigos vadovo sukurtas tvarkas ir nustatyti, ar jos atitinka joms keliamus reikalavimus ir ar šiose tvarkose numatyti kontrolės veiksmai veikia tinkamai.

Informavimas ir komunikavimas. Efektyvus informavimas ir komunikavimas turi esminę reikšmę organizacijos veiklos vykdymui ir valdymui. Patikimos ir aktualios informacijos būtina sąlyga – greitas sandorių bei įvykių registravimas ir tinkamas klasifikavimas. Susijusi informacija turi būti identifikuojama, kaupiama ir perduodama tokia forma ir tokiu laiku, kad darbuotojai galėtų atlikti vidaus kontrolės veiksmus ir kitas pareigas. Informacinės sistemos teikia ataskaitas, kuriose yra veiklos, finansinė ir nefinansinė informacija. Tai ne tik vidaus duomenys, bet informacija apie išorės įvykius, veiklą ir sąlygas, būtina sprendimams priimti ir ataskaitoms rengti. Komunikavimas turi būti apimantis visas organizacijos sudėtines dalis ir visą struktūrą. Be to, reikalinga efektyvi komunikacija su išorės šalimis.

Nagrinėdamas informavimą ir komunikavimą, auditorius turėtų nustatyti, ar įstaigoje yra sukurtos IS kontrolės procedūros, o komunikavimas apima visą organizaciją.

Stebėsena. Vidaus kontrolės sistema turi būti stebima vertinant jos veikimą laikui bėgant. Stebėsena įgyvendinama atliekant kasdieninę veiklą, atliekant atskirus vertinimus arba abu kartu. Nuolatinė stebėsena apima kiekvieną vidaus kontrolės komponentą ir veiksmus, nukreiptus prieš vidaus kontrolės sistemų netaisyklingumą, neetiškumą, neekonomiškumą, neefektyvumą ir nerezultatyvumą. Vertinimų apimtį ir dažnį lemia visų pirma rizikos įvertinimas ir nuolatinės stebėsenos efektyvumas.

Atlikdamas stebėsenos vertinimą, auditorius turėtų nustatyti, ar stebėsena atliekama ir kaip įstaiga ją vykdo.

Auditorius turi atkreipti dėmesį, kad vidaus kontrolės sistema yra taikoma visoms organizacijoms, bet kiekvienos organizacijos vadovybė ją taiko atsižvelgdama į organizacijos struktūrą, rizikos charakteristikas, veiklos aplinką, dydį, sudėtingumą, veiklos rūšį, reguliavimo lygį ir kt. Vadovybė, įvertinusi organizacijos specifiką, pasirenka procesų ir metodikų, naudojamų taikant vidaus kontrolės sistemos elementus, sprendimus. Mažuose audituojamuose subjektuose dažnai naudojamos mažiau formalios priemonės ir paprastesni procesai ir procedūros, ribotas pareigų atskyrimas, todėl auditorius, vertindamas vidaus kontrolę, turi į tai atsižvelgti.

Auditorius, įgydamas supratimą apie vidaus kontrolę, turėtų įvertinti ir vidaus audito funkciją kaip audituojamo subjekto vidaus kontrolės sistemos dalį, t. y. ar vidaus audito tarnybos:

• pavaldumas, darbo organizavimas, atskaitingumas sudaro sąlygas tinkamam vidaus audito funkcijos veikimui;
• atliekamos funkcijos padeda arba gali padėti audituojamam subjektui užtikrinti efektyvią vidaus kontrolę.

Susipažinimo su vidaus audito funkcija metu, rekomenduojama peržiūrėti vidaus audito ataskaitas, kuriose galima rasti informacijos apie:

• audituojamame subjekte sukurtą ir veikiančią vidaus kontrolės sistemą, jos stipriąsias ir silpnąsias vietas;
• rizikingas sritis ar tam tikrų klaidų atsiradimo priežastis;
• kitus auditui galimus svarbius dalykus.

 

Susipažinimas su IT ir jų vertinimas

Viena vidaus kontrolės sudedamųjų dalių yra IT, apimančios audituojamo subjekto veiklos procesus. Jeigu audito objektas tiesiogiai susijęs su veikiančiomis IS ir vertinami veiklos procesai yra skaitmenizuoti (pvz., kai audito objektas yra statybų leidimų išdavimas ir jie išduodami IS „Infostatyba“), būtina susipažinti su audituojamo subjekto IT aplinka, auditui svarbiomis IS ir atlikti IT bendrosios kontrolės efektyvumo vertinimą.

 

Susipažinimo su IT aplinka, IT bendrosios kontrolės ir taikomųjų programų kontrolės priemonių vertinimo žingsniai

Susipažįstant su IT aplinka ir auditui aktualiomis IS, rekomenduojama išsiaiškinti:

• kokia yra IT valdymo politika, kaip vyksta IT strateginis planavimas, kokie IT strateginiai tikslai, uždaviniai, priemonės, kokie nustatyti IT veiklos rezultatus matuojantys rodikliai (angl. KPI), kokie šių rodiklių rezultatai;
• kokias IS valdo ir (ar) tvarko organizacija, kaip jos tarpusavyje susijusios, kurios IS tiesiogiai susijusios su audito objektu;
• kaip vyksta duomenų apdorojimo procesai auditui aktualiose IS;
• kokie IS svarbos (kritiškumo) lygiai, kokie saugumo standartai, priemonės taikomos organizacijoje siekiant užtikrinti duomenų konfidencialumą, vientisumą ir prieinamumą;
• kokia IT organizacinė struktūra, kokios IT funkcijos ir atsakomybės, kaip jos paskirstytos IT sistemoje, kas atsakingas už IS vystymą, priežiūrą, susijusių duomenų bazių valdymą;
• kokie išorės ištekliai ( outsourcing) ir kiek jų dalyvauja įgyvendinant IT projektus;
• kokia IT rizikų valdymo tvarka, kokios yra IT rizikos (kurias organizacija nustatė) susijusios su audito objektu, kaip šios rizikos tvarkomos;
• kaip vyksta IT paslaugų valdymas, kiek IT paslaugų teikiama, kiek IT paslaugų atitinka paslaugų lygio susitarimą ( Service Level Agreement);
• kaip vyksta IT incidentų, keitimų, problemų valdymas organizacijoje;
• koks incidentų, pakeitimų mastas, kurie susiję su audito objektu, jų išsprendimo dinamika;
• kokie vidaus ir išorės IT auditai, savianalizės ( control self-assessment) ir kiti vertinimai IT srityje organizacijoje atliekami, kokie jų rezultatai, ar pašalinti nustatyti pažeidimai, ištaisytos klaidos ir laiku įgyvendintos rekomendacijos bei kt.

Susipažinęs su IT aplinka ir naudojamomis IS (peržiūrėjęs jų nuostatus ir kitus susijusius dokumentus), auditorius užpildo IS suvestinę, kurioje nurodo, kokius IS išteklius organizacija valdo ir (ar) tvarko, kurios IS yra tiesiogiai susijusios su audito objektu. Šios suvestinės formą galima rasti Šablonų skiltyje.

Remdamasis IT bendrosios kontrolės klausimyne pateiktais klausimais ir rekomenduojamomis procedūromis, auditorius atlieka IT bendrosios kontrolės efektyvumo vertinimą. IT bendrosios kontrolės vertinimo klausimyną galima rasti Šablonų skiltyje.

Jeigu audito grupėje nėra reikiamų kompetencijų šiems vertinimams atlikti, galima pasitelkti kitų Valstybės kontrolės struktūrinių padalinių darbuotojus ar išorės specialistus (ekspertus). Toks profesinis sprendimas turi būti dokumentuojamas.

Vertinant IT bendrosios kontrolės priemones, analizuojama, ar jos tinkamai:

• sukurtos – sudaro sąlygas tinkamai reaguoti į su IT naudojimu susijusias rizikas;
• įgyvendinamos – praktikoje veikia pagal tinkamai sukurtas tvarkas ir procedūras.

Užpildęs IT bendrosios kontrolės vertinimo klausimyną, auditorius įvertina šios kontrolės efektyvumo lygį kaip:

• didelį – kai IT kontrolės priemonės yra tinkamai sukurtos ir neturi įgyvendinimo ar veikimo trūkumų arba yra nereikšmingų ar smulkių trūkumų;
• vidutinį – kai IT kontrolės priemonės yra tinkamai sukurtos ir įgyvendinamos, tačiau turi įgyvendinimo ar veikimo trūkumų;
• mažą – kai IT kontrolės priemonių nėra arba jos netinkamai sukurtos ir (arba) yra netinkamai įgyvendinamos ar netinkamai veikia.

Jei, atlikus IT bendrosios kontrolės vertinimą, nustatyta jos trūkumų, apie juos auditorius turi oficialiu raštu ar el. paštu (priklausomai nuo trūkumų reikšmingumo) informuoti audituojamą subjektą.

Audito metu gali kilti poreikis atlikti taikomosios programos, kuri susijusi su audito objektu, kontrolės priemonių efektyvumo vertinimą. Jį atlikti reikia, kai rizikų atsiradimo priežastys yra susijusios su taikomosios programos veikimo trūkumais arba, jeigu, atlikus bendrosios kontrolės efektyvumo vertinimą, nustatyta, kad jis yra mažas ar vidutinis. Auditorius turi priimti ir dokumentuoti profesinį sprendimą dėl taikomųjų programų kontrolės priemonių testavimo atlikimo.

Jei nusprendžiama, kad toks poreikis yra, auditorius pirmiausia turi įvertinti IS sudėtingumą. Vertinant jį pildomas dokumentas IS sudėtingumo vertinimas, kurį galima rasti Šablonų skiltyje. Jei vertinant auditui svarbios IS sudėtingumą auditoriui sudėtinga įvertinti reikiamas sritis, rekomenduojama audituojamajam subjektui pateikti paklausimą arba atlikti pokalbius su organizacijoje paskirtu duomenų valdymo įgaliotiniu, kuris atsakingas už atitinkamos IS plėtrą ir priežiūrą. IS gali būti įvertinta kaip:

• didelė arba sudėtinga;
• vidutinio dydžio ir vidutiniškai sudėtinga;
• nesudėtinga.

Atsižvelgiant į auditui aktualios IS sudėtingumą bei audito grupės turimą kompetenciją ir gebėjimus, taikomųjų programų kontrolės priemonių testavimą auditorius gali atlikti pats arba pasitelkti kitų Valstybės kontrolės struktūrinių padalinių darbuotojus ar išorės specialistus (ekspertus). Toks profesinis sprendimas turi būti dokumentuojamas.

Atlikdamas taikomųjų programų kontrolės vertinimą auditorius turi parengti audito objektui svarbius ir aktualius taikomųjų programų kontrolės priemonių testus. Rengiant šiuos testus turi būti išanalizuota techninė ir kita dokumentacija, susijusi su atitinkama kontrolės priemone, kurioje pateikiami veiklos reikalavimai kaip kontrolės priemonė turi veikti praktikoje (funkciniai reikalavimai). Audito planavimo metu rekomenduojama atlikti IS veikimo nuoseklios peržiūros testą: auditorius turi susipažinti, kaip veikia auditui aktuali taikomoji programa ir kokias operacijas joje nuo proceso pradžios iki pabaigos galima atlikti. Jei IS sudėtinga, šis testas yra privalomas. Auditorius rengdamas klausimynus gali pasinaudoti Taikomųjų programų kontrolės priemonių ir jų testavimo pavyzdžiais, kuriuos galima rasti Tvarkų ir kitos informacijos skiltyje. Taip pat galima išanalizuoti ir panaudoti audituojamo subjekto taikytus testavimo scenarijus, susijusius su testuojamomis kontrolės priemonėmis, kurie buvo atlikti kuriant, modernizuojant ar modifikuojant programinę įrangą. Jei tinka, gali būti naudojami ankstesnių auditų testavimo scenarijai.

Auditorius turi patikrinti, ar pasirinkta testuoti kontrolės priemonė veikia taip, kaip nurodyta techninėje ar kitoje susijusioje dokumentacijoje. Jei testuojant nustatoma veikimo trūkumų (taikomosios programos kontrolės priemonė neveikia taip, kaip turi veikti pagal reikalavimus), vertinama, kad ši kontrolės priemonė veikia neefektyviai ir ja negalima pasitikėti.

Taikomųjų programų kontrolės priemonių testavimas vykdomas IS testavimo aplinkoje, prie kurios prieigą suteikia audituojamas subjektas. Ši prieiga suteikiama laikantis audituojamo subjekto patvirtintos prieigos prie IS teisių suteikimo tvarkos reikalavimų.

Jeigu kito Valstybės kontrolės audito (veiklos, finansinio, atitikties ar IT) metu jau buvo vertinta to paties audituojamo subjekto IT bendroji kontrolė ir tos pačios taikomosios programos, kurias planuojama vertinti, ir po šio vertinimo audituojamo subjekto IT bendrojoje kontrolėje ir IS neįvyko jokių esminių pasikeitimų (pvz., įdiegta nauja prieigos kontrolės politika arba panaikinti esami kontrolės procesai, įvesta nauja IT valdymo struktūra, pakeista integracija su kitomis sistemomis, atnaujintos pagrindinės taikomosios programos funkcijos ir pan.), ir audito grupės vertinimu atliktas darbas tinka jų audito tikslams pasiekti, audito grupė gali pasinaudoti atliktu IT bendrosios kontrolės ir (ar) taikomosios programos kontrolės priemonių vertinimu. Tačiau, jeigu nuo paskutinio tokio vertinimo praėjo 3 metai, rekomenduojama atlikti naują šių kontrolės priemonių vertinimą.

 

Susipažinimas su vidaus kontrolės procedūromis

Susipažinęs su vidaus kontrolės sistema, auditorius turi identifikuoti su audito tikslu susijusias kontrolės procedūras. Auditorius profesiniu sprendimu turėtų nustatyti, kurios kontrolės procedūros turi būti laikomos pagrindinėmis. Pagrindinių kontrolės procedūrų nustatymas ir pasirinkimas jas testuoti tolesniame etape padės auditoriui sutelkti dėmesį į svarbiausius aspektus ir sutaupys laiko. Jeigu audito objektas skaidomas į audito sritis, turi būti susipažįstama su kiekvienos srities pagrindinėmis kontrolės procedūromis.

Kontrolės procedūros, kurias audituojamas subjektas įgyvendina siekdamas užtikrinti, kad būtų laikomasi teisės aktų, gali apimti:

• procesą, kuriuo užtikrinama, kad teisės aktų nuostatos būtų tinkamai perteiktos arba įgyvendinamos reglamentuojant ir vykdant savo veiklą;
• darbuotojo, atsakingo už užtikrinimą, kad būtų nuolat atnaujinamos dokumentuotos vidaus tvarkos ir taisyklės ir jos atspindėtų teisės aktų pokyčius, paskyrimą;
• darbuotojo, atsakingo už vykdomos veiklos teisėtumo užtikrinimą, paskyrimą;
• patvirtintas ir paskelbtas elgesio (vidaus tvarkos) taisykles ir nuolatinį stebėjimą, ar darbuotojai tinkamai jų laikosi, o nesilaikantieji įspėjami;
• svarbių audituojamo subjekto vidaus ir išorės dokumentų, sutarčių teisininko vizavimą ir kt.

Kontrolės procedūrų pavyzdžiai viešųjų pirkimų srityje

Kontrolės procedūrų tikslai	Kontrolės procedūrų pavyzdžiai
Užtikrinti, kad turtas, prekės ir paslaugos būtų perkami tik gavus leidimą ir būtų skirti strateginiame veiklos plane numatytiems tikslams.	Pareigų (pirkimo inicijavimo, leidimo atlikti pirkimą davimo ir pirkimo vykdymo) atskyrimas. Pirkimų poreikio lyginimas su strateginiu veiklos planu / sąmata. Vadovo leidimo atlikti pirkimą davimas.
Užtikrinti, kad pirkimai būtų atliekami viešuosius pirkimus reglamentuojančių teisės aktų nustatyta tvarka.	Pareigų (pirkimo inicijavimo ir pirkimo vykdymo) atskyrimas. Pirkimų taikant įprastą komercinę praktiką taisyklių laikymosi užtikrinimas. Viešųjų pirkimų komisijos darbo reglamento laikymosi užtikrinimas. Visų atsakingų asmenų parengtos pirkimų dokumen­tacijos vizavimas. Tiekėjų apklausos dokumentų ir viešųjų pirkimų komisijos protokolų tvirtinimas. Sutarčių sąlygų atitikties viešųjų pirkimų dokumentams tikrinimas.
Užtikrinti, kad sudarytos sutartys būtų tinkamai vykdomos.	Periodinis paskirto už sutarčių vykdymą darbuotojo atsiskaitymas vadovui.
Užtikrinti, kad mokėjimas būtų atliekamas tik gavus leidimą.	Pareigų (mokėjimo pavedimų rengimo, jų tvirtinimo, registravimo apskaitoje) atskyrimas. Leidimo atlikti mokėjimą davimas.

Susipažįstant su vidaus kontrolės procedūromis, rekomenduojama atlikti nuoseklios peržiūros testus. Juos atliekant pasirenkama po ūkinę operaciją ar veiklą iš kiekvienos esminės ar planuojamos audituoti audito objekto srities ir įvertinama, ar visos dokumentuose numatytos kontrolės priemonės realiai atliekamos, kas jas atlieka ir kaip. Atkreiptinas dėmesys, kad šie testai neduoda užtikrinimo dėl to, ar nagrinėjama vidaus kontrolės sistema veikia efektyviai, jie tik leidžia geriau suprasti, ar auditorius tinkamai supranta veikiančią sistemą, ir preliminariai įvertinti ar yra vykdomos įvairiuose tvarkų aprašuose dokumentuotos vidaus kontrolės procedūros, ar nėra nedokumentuotų vidaus kontrolės procedūrų, kurios faktiškai vykdomos. Taip pat auditoriui suteikia žinių, planuoti ar ne gauti kontrolės patikimumą toje srityje, ir suteikia galimybę geriau identifikuoti pagrindines kontrolės priemones.

Susipažinęs su vidaus kontrolės sistema, įskaitant IT, ir kontrolės procedūromis (jei audito objektas skaidomas į sritis – pagal kiekvieną audito sritį), auditorius susidaro išankstinę nuomonę apie tai, ar esamos vidaus kontrolės priemonės gali užkirsti kelią neatitiktims, t. y. preliminariai įvertina, ar galima gauti kontrolės patikimumą:

• jei auditorius tikisi, kad kontrolės procedūros bus veiksmingos, veiks nuosekliai per visą audituojamą laikotarpį ir nėra reikšmingų IT bendrosios kontrolės trūkumų, jis suplanuoja atlikti kontrolės testus;
• jei auditorius preliminariai įvertina, kad vidaus kontrolė neatitinka jai keliamų reikalavimų, nustatyta reikšmingų IT bendrosios kontrolės trūkumų, jis vidaus kontrolės testų neatlieka, o apie neatitikimus turi pranešti audituojamo subjekto vadovybei.

 

[1] The Committee of Sponsoring Organisations of the Treadway Commission – Treadway komisijos organizacijų rėmimo komitetas.

Skaityti daugiau

Neaptikimo rizika yra rizika, kad auditorius neaptiks pažeidimų, kurių nepašalino organizacijos vidaus kontrolė. Tai rizika, kurią auditorius gali kontroliuoti suplanuodamas tinkamas ir pakankamas audito procedūras. Neaptikimo rizika nėra atskirai vertinama įverčiu, ji tik susijusi su audito procedūrų pobūdžiu, laiku ir apimtimi, kurias nustato auditorius, siekdamas sumažinti audito riziką iki priimtinai žemo lygio.

Tinkamas audito planavimas, audito grupės sudarymas, profesinio skepticizmo taikymas, audito darbo priežiūros vykdymas ir peržiūros atlikimas padidina audito procedūrų efektyvumą ir sumažina galimybę, kad auditorius gali pasirinkti netinkamą audito procedūrą, netinkamai pritaikyti tinkamą audito procedūrą arba klaidingai interpretuoti audito rezultatus.

Dėl įgimtų audito apribojimų neaptikimo riziką galima sumažinti, bet ne pašalinti – tam tikra neaptikimo rizikos tikimybė visada išlieka. Neaptikimo rizikos mažinimo būdai:

• gerai suplanuoto, struktūrizuoto audito atlikimas kiek įmanoma aiškiau ir detaliau identifikuojant įgimtą ir kontrolės riziką – tinkamų ir pakankamų audito procedūrų numatymas ir atlikimas;
• su audito valdymu susijusios neaptikimo rizikos (audito atlikimo rizikos) valdymas, kuris apima galimos ar žinomos rizikos numatymą, jos valdymo priemonių nustatymą ir dokumentavimą.

Su audito valdymu susijusios neaptikimo rizikos veiksnių pavyzdžiai:

• Duomenų prieinamumas, pakankamumas, tinkamumas ir patikimumas. Gali kilti rizika, kad audito metu nebus gauti arba bus gauti nepakankami, netinkami ir (ar) nepatikimi duomenys, reikalingi tinkamiems, pakankamiems audito įrodymams surinkti ir audito klausimams atsakyti. Tai gali įvykti dėl įvairių priežasčių, įskaitant skirtingų informacijos šaltinių prieinamumo trūkumą arba pateiktų duomenų kokybės ir patikimumo trūkumą. Taip pat yra rizika, kad dėl audituojamo subjekto veiksmų (pvz., netinkamo bendradarbiavimo) reikalinga informacija gali būti negauta laiku arba iš viso negauta. Yra rizika ir dėl galimo klaidingų duomenų pateikimo ar apgaulės.
• Auditorių kompetencija ir patirtis. Audito grupės nariai gali neturėti pakankamai žinių, profesinių įgūdžių, analitinių ar kitų gebėjimų, būtinų sėkmingam planuojamos audituoti srities įvertinimui. Nepakankama patirtis ar žinių trūkumas gali sumažinti audito kokybę ir turėti neigiamos įtakos audito rezultatų tinkamumui ir patikimumui.
• Ištekliai. Egzistuoja rizika, kad turimų žmogiškųjų, finansinių, materialinių ir (ar) laiko išteklių gali nepakakti audito tikslui pasiekti. Įvairūs veiksniai, pvz.: papildomų ekspertų poreikis, mokymai ar netikėtai išaugusios išlaidos technologinėms priemonėms, gali padidinti audito kainą ir taip viršyti planuotą biudžetą bei sumažinti tikėtiną audito pridėtinę vertę.

Jeigu auditoriai nustato audito valdymo riziką, turi būti nustatytos ir priemonės ją valdyti. Taip audito metu kylančios problemos bus sprendžiamos operatyviau ir efektyviau. Audito rizikos valdymas – sisteminis audito projekto valdymo procedūrų ir priemonių taikymas, siekiant nustatyti ir valdyti tikėtinus įvykius, kurie gali reikšmingai paveikti audito procesą, taip pat suteikti pakankamą užtikrinimą, kad audito tikslas bus pasiektas. Kylančios rizikos ir jų valdymo priemonės aptariamos audito grupėje ir dokumentuojamos audito projekte ViPSIS, o audito plane nurodomos pagal poreikį. Jeigu reikia, atliekami numatytų audito rizikos valdymo priemonių pakeitimai.

Apibendrinant galima pasakyti, kad audito grupė turi:

• nustatyti, kokių nesklandumų galėtų kilti atliekant auditą (audito rizikos veiksnių nustatymas);
• nustatyti, kokia tikimybė, kad tie nesklandumai kils, ir koks būtų jų poveikis audito rezultatams ir kokybei (audito rizikos veiksnių įvertinimas);
• nustatyti, ką galima padaryti, kad nesklandumų atsiradimo tikimybė būtų mažesnė, ir kaip rizika galėtų būti valdoma, jeigu ji kiltų (audito rizikos valdymo priemonių nustatymas);
• stebėti ir valdyti audito riziką viso audito metu ir, jeigu reikia pagal aplinkybes, atlikti reikiamus rizikos valdymo priemonių koregavimus.

Skaityti daugiau

Nors audito tikslas nėra atskleisti apgaulę ir korupciją, kaip nustato TAAIS reikalavimai, auditoriai turi įvertinti apgaulės ir korupcijos riziką ir imtis tam tikrų veiksmų jų atžvilgiu.

Auditorius viso audito metu turi laikytis profesinio skepticizmo ir pripažinti galimybę, kad neatitiktis dėl apgaulės ir korupcijos gali egzistuoti nepaisant ankstesnės auditoriaus darbo su audituojamu subjektu patirties ir nuomonės apie aukščiausio lygio vadovų ir už valdymą atsakingų asmenų sąžiningumą ir principingumą.

Apgaulė apima faktų ir (ar) svarbios informacijos tyčinį iškraipymą, siekiant neteisėtai gauti turtinę naudą (materialinis interesas). Apgaulė galėtų apimti manipuliaciją, falsifikavimą ar sukeitimą dokumentų, neteisėtą lėšų pasisavinimą ar išeikvojimą, dokumentų apie sandorių rezultatus nuslėpimą ar klaidų juose padarymą, realiai neegzistuojančių sandorių fiksavimą, sąmoningai klaidingą įstaigos apskaitos politikos taikymą.

Korupcija – piktnaudžiavimas įgaliojimais siekiant naudos sau ar kitam asmeniui viešajame ar privačiame sektoriuje. Korupcinio pobūdžio nusikalstamos veikos:

• kyšininkavimas, prekyba poveikiu, papirkimas, piktnaudžiavimas;
• nusikalstamos veikos, padaromos viešajame sektoriuje arba teikiant administracines ar viešąsias paslaugas piktnaudžiaujant įgaliojimais ir tiesiogiai ar netiesiogiai siekiant naudos sau ar kitam asmeniui: neteisėtas teisių į daiktą įregistravimas, tarnybos pareigų neatlikimas, valstybės paslapties atskleidimas, neteisėtas politinių partijų ir politinių kampanijų finansavimas, sukčiavimas, turto pasisavinimas ar iššvaistymas, komercinės paslapties atskleidimas, nusikalstamu būdu gauto turto legalizavimas, neteisingų duomenų apie pajamas, pelną ar turtą pateikimas, kišimasis į valstybės tarnautojo ar viešojo administravimo funkcijas atliekančio asmens veiklą, tarnybos paslapties atskleidimas, dokumento suklastojimas ar disponavimas suklastotu dokumentu;
• kitos nusikalstamos veikos, kuriomis siekiama kyšio, papirkimo arba nuslėpti ar užmaskuoti kyšininkavimą, prekybą poveikiu ar papirkimą.

Korupcinio pobūdžio teisės pažeidimas – administracinis nusižengimas, darbo pareigų pažeidimas ar tarnybinis nusižengimas, padaromas piktnaudžiaujant įgaliojimais ir tiesiogiai ar netiesiogiai siekiant naudos sau ar kitam asmeniui, taip pat korupcinio pobūdžio nusikalstama veika.

Apgaulei ir korupcijai įtakos turintys veiksniai. Auditoriams būtina suprasti apgaulės ir korupcijos motyvacijos ir organizacinius veiksnius. Neprivaloma kiekvieno audito metu įvertinti visų veiksnių (ne)buvimo, tačiau viso audito metu reikia išlaikyti tinkamą profesinį atidumą ir laiku identifikuoti galimą apgaulės ir korupcijos riziką. Veiksnių buvimas nebūtinai reiškia, kad įvyko apgaulė ar korupcija.

Motyvacijos veiksniai:

• ekonominė motyvacija – finansinis poreikis ar pelnas. Tai pagrindiniai apgaulės ir korupcijos stimulai. Dažnai asmenys, nuteisti už apgaulę ir korupciją, turi nepakeliamų finansinių problemų ir neturi jokių teisėtų pajamų šaltinių;
• šykštumas – asmenys, turintys valdžią ir įgaliojimų, dažnai įvykdo apgaulės ir korupcijos veiksmus iš godumo ir šykštumo;
• pripažinimas ar prestižas – asmenys gali norėti didesnio pripažinimo ar prestižo iš pavydo, keršto ar išdidumo. Jie dažnai būna garantuoti, kad jų padėtis yra aukščiau nei kitų ir gali likti nedemaskuoti ir neišaiškinti, įvykdę apgaulę ar korupciją;
• moralinis pranašumas – vienas motyvų gali būti pernelyg didelis savęs įvertinimas, esą turi moralinį pranašumą ar valdžią kitiems, kuriuos laiko aukomis.

Organizaciniai veiksniai:

• nepakankama vidaus kontrolės sistema – jei organizacija neturi patikimos vidaus kontrolės sistemos, tai gali sukurti palankias sąlygas apgaulei ir korupcijai, nes trūksta veiksmingų prevencijos ir atskleidimo mechanizmų;
• silpnos etikos normos – organizacijose, kuriose nėra aiškiai apibrėžtų etikos normų arba jos nėra tinkamai įgyvendinamos, yra didesnė korupcijos ir apgaulės rizika;
• neefektyvi priežiūra ir atskaitomybė – nepakankama darbuotojų veiksmų priežiūra ir neaiški atskaitomybė, skaidrumo ir atvirumo kultūros trūkumas gali sudaryti palankias sąlygas netinkamam elgesiui;
• organizaciniai pokyčiai – dideli organizaciniai pokyčiai, pvz., restruktūrizavimas, gali paskatinti piktnaudžiavimo atvejus;
• komunikacijos trūkumas – nepakankama ar netinkama komunikacija tarp vadovų, darbuotojų ir skyrių gali sukurti nesusipratimus, kuriuos gali išnaudoti asmenys, siekiantys piktnaudžiauti ir kt.

Papildomi aplinkybių, rodančių apgaulės galimybę, pavyzdžiai pateikti Tvarkų ir kitos informacijos skiltyje. Vertindamas apgaulės rizikos veiksnius, auditorius turi atkreipti dėmesį į tai, kad apgaulės rizika įvertinama apsvarsčius tris jai būdingas sąlygas (apgaulės rizikos veiksnius) kiekvieno audituojamo subjekto atžvilgiu:

• skatinimas arba spaudimas įvykdyti apgaulę (pvz., viešojo sektoriaus darbuotojai dažnai jaučia spaudimą teikti aukštos kokybės paslaugas turint nepakankamus išteklius reikiamai kokybei išlaikyti);
• galimybė įvykdyti apgaulę (pvz., sudėtinga įdarbinimo aplinka arba pakankamai kvalifikuoto personalo trūkumas ir dėl to silpna vidaus kontrolė gali sudaryti galimybes pasireikšti apgaulei);
• sugebėjimas pateisinti (pagrįsti) netinkamus veiksmus (pvz., paprastai žemesnis atlyginimų lygis viešajame sektoriuje, lyginant su privačiu, gali skatinti darbuotojus pateisinti neteisėtą lėšų naudojimą).

Vertindamas apgaulės ir korupcijos riziką, auditorius gali pasinaudoti Apgaulės ir korupcijos rizikos vertinimo klausimynu, kurį galima rasti Šablonų skiltyje. Esant poreikiui klausimynas gali būti papildytas kitais reikiamais klausimais.

Kai tame pačiame audituojamame subjekte atliekami keli Valstybės kontrolės auditai (veiklos, finansiniai, atitikties ir (ar) IT), kurių audituojamas laikotarpis persidengia, vėliau auditą pradėjusi audito grupė turėtų susisiekti su anksčiau jį pradėjusia grupe ir išsiaiškinti, ar toks klausimynas buvo pildomas ir, jeigu buvo, rekomenduojama juo pasinaudoti.

Jeigu nustatoma apgaulės riziką didinančių veiksnių (atsižvelgiant į audito tikslą), auditoriai turėtų susipažinti su atitinkamomis vidaus kontrolės procedūromis ir išsiaiškinti, ar egzistuoja kokių nors neatitikimų, galinčių kliudyti veiklai, požymių.

Kai auditorius nustato apgaulės riziką, kurios vadovai nekontroliavo ar kontrolė nebuvo pakankama, arba jei, auditoriaus nuomone, vadovų rizikos vertinimui būdingi esminiai trūkumai, auditorius apie šiuos vidaus kontrolės trūkumus turi oficialiu raštu informuoti audituojamą subjektą.

Jeigu audito metu atskleidžiama apgaulė arba gaunama informacija, iš kurios galima spręsti, kad yra apgaudinėjama, auditorius turi oficialiu raštu pranešti apie tai audituojamo subjekto vadovams (jei nekyla abejonių dėl jų sąžiningumo). Jeigu manoma, kad apgaulėje galėjo dalyvauti vadovai arba darbuotojai, vykdantys vidaus kontrolę, auditorius turi nedelsdamas apie tai pranešti tiems, kam pavestos valdymo funkcijos (pvz., jei įtariama, kad apgaulėje galėjo dalyvauti konkrečiai ministerijai pavaldžios įstaigos vadovas, apie tai pranešama tos ministerijos vadovybei).

Audito metu nustačius apgaulės ar korupcijos požymius ar aplinkybes, rodančias apgaulės ar korupcijos galimybę, turi būti konsultuojamasi su Valstybės kontrolės Teisėtumo užtikrinimo departamento teisininku dėl poreikio ir galimybės perduoti informaciją pagal kompetenciją atitinkamai teisėsaugos institucijai. Audito departamento vadovas, įvertinęs surinktą informaciją, inicijuoja darbo dokumento dėl medžiagos perdavimo atitinkamai teisėsaugos institucijai tikslingumo parengimą ir jį kartu su reikiamais dokumentais, pagrindžiančiais galimą apgaulę ar korupciją, teikia Teisėtumo užtikrinimo departamentui. Šis departamentas ne vėliau kaip per 7 darbo dienas nuo gavimo dienos vertina pateiktą medžiagą ir pateikia savo išvadą dėl jos perdavimo teisėsaugos institucijai tikslingumo ir pagrįstumo. Prireikus, departamentas medžiagą aptaria su audito grupe. Teisėtumo užtikrinimo departamentui pateikus pastabas, jei reikia, surenkami papildomi audito įrodymai. Valstybės kontrolieriaus pavaduotojas, kuriam yra tiesiogiai pavaldus audito departamentas, gavęs iš audito departamento vadovo visą medžiagą kartu su Teisėtumo užtikrinimo departamento išvada per 5 darbo dienas priima sprendimą dėl medžiagos perdavimo teisėsaugos institucijai tikslingumo ir pagrįstumo. Jei priimamas sprendimas perduoti, audito departamento vadovas organizuoja jos perdavimą atitinkamai teisėsaugos institucijai.

Skaityti daugiau