ValstybesKontrole.lt

Susipažinimas su audito objektu, subjektu ir jo aplinka

Siekdamas, kad auditas būtų tinkamai suplanuotas, auditorius turi įgyti pakankamai žinių apie audito objektą ir audituojamo (-ų) subjekto (-ų) veiklą. Audito objektas – audituojamo (-ų) subjekto (-ų) veikla ar jos dalys (programa, paslaugos ir pan.), sandoriai, informacija ir kt. – tai, kas yra audituojama. Audituojamas subjektas – viešojo sektoriaus subjektas arba kitas juridinis asmuo, kuriam suteiktas ar perduotas valstybės turtas ir (ar) kuriam viešojo sektoriaus subjektas daro lemiamą poveikį, kuriuose Valstybės kontrolė atlieka valstybinį auditą.

Atitikties auditas gali apimti įvairius vykdomosios valdžios lygius ir subjektus. Todėl auditorius turi susipažinti su audituojamo subjekto struktūra ir veikla, jo taikomomis procedūromis atitikčiai užtikrinti. Atitikties auditas gali apimti daugiau nei vieną subjektą, todėl auditoriai turi gauti supratimą apie visus subjektus, kurių veikla patenka į audito objektą.

Siekdamas nustatyti reikšmingas audituojamo subjekto veikos rizikas ir galima audito poveikį, auditorius turi suprasti:

  • kokie teisės aktai reglamentuoja audituojamo (-ų) subjekto (-ų) veiklą ir audito objektą, koks jų turinys;
  • kokia audituojamo (-ų) subjekto (-ų) organizacinė struktūra ir pavaldumo ryšiai, valdymo procesai, už audituojamą veiklą atsakingi darbuotojai;
  • koks yra planuojamos audituoti subjekto (-ų) veiklos pobūdis (objekto svarba, sąsajos su strateginiais šalies dokumentais, subjekto vieta valstybės hierarchinėje struktūroje, vykstantys procesai, projektai, pokyčiai, plėtros tendencijos ir kt.);
  • kokias programas, priemones, susijusias su audito objektu, vykdo audituojamas (-i) subjektas (-ai), kokie jų rezultatai (pvz., veiklos rodikliai leidžia apsvarstyti, ar spaudimas pasiekti veiklos tikslus gali sukelti valdymo veiksmus, kurie padidina neatitikčių riziką);
  • kokia yra veiklos rizika, susijusi su audituojamo (-ų) subjekto (-ų) tikslais ir strategijomis, galinti sukelti esminių neatitikimų;
  • audituojamo (-ų) subjekto (-ų) susijusių šalių santykius ir sandorius (pvz., naudinga gauti iš vadovybės susijusių šalių pavadinimus, informaciją apie santykių pobūdį ir visus sandorius, sudarytus su tokiomis šalimis per atitinkamą laikotarpį);
  • kokie numatomi audito rezultatų naudotojai, kokia vidaus ir išorės aplinka (suinteresuotos organizacijos, produktų (paslaugų) gavėjai ir kt.) veikia audituojamą (-us) subjektą (-us);
  • kokie šioje srityje atliktų auditų ar tyrimų rezultatai;
  • kitus, auditoriaus nuomone, svarbius dalykus.

Norėdamas susipažinti su audituojamuoju subjektu arba audito objektu, auditorius taip pat privalo susipažinti su auditui aktualia vidaus kontrolės sistema ir procedūromis, įvertinti, ar jos padeda užtikrinti atitiktį. Vidaus kontrolės sistemą sudaro procedūros, procesai ir užduotys, kurie padeda audituojamam subjektui tinkamai reaguoti į neatitikties riziką. Atitikties audito atveju ypač svarbi į atitiktį orientuota kontrolės aplinka. Kokių kontrolės priemonių vertinimui auditorius skirs daugiausiai dėmesio, priklauso nuo audito objekto ir konkretaus audito pobūdžio ir apimties. Plačiau apie vidaus kontrolę ir jos vertinimą pateikta Kontrolės rizikos ir kontrolės patikimumo vertinimo skiltyje.

Prieš pradedant audito planavimą arba jo pradžioje (ne vėliau kaip per dvi savaites nuo audito inicijavimo) audito grupė su atsakingu Valstybės kontrolės Planavimo ir poveikio departamento darbuotoju inicijuoja susitikimą, kuriame šis pristato ir supažindina su visa strateginio tyrimo metu surinkta ir, esant poreikiui, iki audito inicijavimo atnaujinta medžiaga, susijusia su konkrečiu auditu, įskaitant laukiamą audito poveikį, pokyčius ir jų vertinimo rodiklius (jeigu jie buvo nurodyti atliekant strateginį tyrimą ir rengiant pasiūlymus sudaromam institucijos metiniam veiklos planui).

Jeigu audito planavimo metu nustatomi nauji duomenų šaltiniai, gaunama papildomos informacijos, kuri gali būti naudinga laukiamiems audito pokyčiams vertinti, pasikeitus situacijai ar esant kitoms aplinkybėms, laukiamas audito poveikis, pokyčiai ir juos parodantys rodikliai, kurie buvo nurodyti atliekant strateginį tyrimą ir rengiant pasiūlymus institucijos metiniam veiklos planui, turi būti aktualizuojami audito plane. Išsamiau valstybinio audito poveikio vertinimo procesą reglamentuoja Valstybinio audito poveikio vertinimo metodika.

Informacijos ir duomenų šaltiniai bei jų rinkimo būdai

Informacija ir duomenys audito planavimo metu renkama nagrinėjant įvairius rašytinius šaltinius (audituojamo subjekto ir kitų institucijų parengtus dokumentus), su audito objektu susijusius duomenis iš informacinių sistemų, bendraujant su audituojamo subjekto ar kitų institucijų atstovais, apklausiant produktų (paslaugų) gavėjus, kitus suinteresuotus asmenis ir srities ekspertus. Auditorius gali pasirinkti ir kitus, jo manymu, tinkamus informacijos ir duomenų rinkimo būdus. Išsamiau – Audito metodų skiltyje.

Renkant informaciją gali būti naudojami šie informacijos ir duomenų šaltiniai:

  • teisės aktai ir kiti dokumentai, reglamentuojantys audito objektą, audituojamo subjekto veiklą (įstatymai, nutarimai, taisyklės, įstatai, nuostatai ir kt.);
  • audituojamo subjekto veiklos planavimo ir atsiskaitymo už veiklos rezultatus dokumentai (strateginiai, metiniai veiklos planai, programos, veiklos ataskaitos ir kt.), audituojamo subjekto pranešimai spaudai;
  • audituojamo subjekto vidaus dokumentai (sutartys, finansinė atskaitomybė, vidaus audito ataskaitos, veiklos ataskaita, protokolai, ir kt.);
  • audituojamo subjekto veiklą prižiūrinčių ar kontroliuojančių ir jam pavaldžių institucijų informacija, susijusi su nagrinėjama sritimi;
  • kitų institucijų atlikti auditai (ir valstybiniai auditai), tyrimai, vertinimai, apklausos, ekspertų išvados, konferencijų medžiaga ir kt.;
  • oficialūs ir audituojamo subjekto turimi statistiniai duomenys;
  • audituojamo subjekto ar kitų susijusių šalių duomenų bazėse saugomi duomenys (Valstybės duomenų valdymo informacinės sistemos duomenų ežeras, atvirų duomenų portalai, valstybės ir žinybinių registrų duomenų bazės, vidinės IS ir kt.);
  • žodžiu ar raštu audituojamo subjekto darbuotojų, ekspertų, kitų suinteresuotų šalių atstovų pateikta informacija.

Auditorius gali pasirinkti ir kitus, jo profesiniu sprendimu, tinkamus informacijos ir duomenų šaltinius. Svarbu, kad auditorius palygintų informacijos gavimo išlaidas (tiek jo paties, tiek tas, kurias patiria audituojamas subjektas) ir pridėtinę vertę, kurią auditui suteikia ši informacija.

Planavimo etape surinktą informaciją gali reikėti patikslinti audito atlikimo metu, nes reikalingų žinių įgijimas yra nuolatinis informacijos ir duomenų rinkimo ir vertinimo visuose audito etapuose procesas.

Audito planavimo metu taip pat svarbu patikrinti, ar reikalinga informacija ir duomenys yra prieinami ir patikimi, išbandyti įvairius jų rinkimo ir vertinimo metodus.

Auditui aktualių duomenų gavimas ir jų kokybės analizė

Audito planavimo metu turi būti atlikta duomenų ir jų šaltinių analizė:

  • Duomenų šaltinių identifikavimas. Nustatomi visi galimi duomenų šaltiniai, kurie gali būti susiję su audito objektu (pvz.: atvirų duomenų portalai, audituojamų subjektų valdomos ir (ar) tvarkomos IS[1], jų duomenų bazės, valstybės duomenų valdysenos IS ir pan.).
  • Duomenų struktūros ir savybių supratimas. Nagrinėjama aktualių duomenų struktūra (stulpelių atributai, duomenų tipai ir kt. savybės) ir kokie duomenys kaupiami. Tai padeda suprasti, kaip duomenys organizuoti ir kaip juos galima panaudoti audite.
  • Duomenų ryšių tarp skirtingų šaltinių identifikavimas. Susipažįstama su duomenų ryšiais tarp skirtingų jų šaltinių (toje pačioje ar skirtingose organizacijose). Tai padeda suprasti, kaip skirtingi duomenų elementai susiję ir kaip galima išnaudoti šiuos ryšius duomenų analitikai.
  • Duomenų panaudojimo galimybių analizė. Įvertinama, kokios analitinės procedūros galėtų būti atliktos siekiant audito tikslo. Vertinama, kas galėtų jas atlikti (auditorius, kitų VK struktūrinių padalinių darbuotojai, išorės specialistai (ekspertai)), ar reikėtų panaudoti specializuotus analitinius įrankius.
  • Duomenų prieinamumo vertinimas. Nustačius, kad vienos ar kelių sistemų duomenys bus naudojami audite, vertinamos prieigos prie duomenų galimybės, galimi priėjimo prie jų apribojimai.

Jeigu duomenų analizės pagrįstai neįmanoma atlikti audito planavimo metu (pvz., audituojamas subjektas laiku nepateikė duomenų), priežastys pateikiamos audito planavimo darbo dokumentuose ir šios procedūros suplanuojamos audito plane.

Atlikus duomenų paiešką ir analizę bei turint preliminarų auditui reikiamų duomenų sąrašą, esant poreikiui, su duomenis valdančiais subjektais aptariama, ar jie turės galimybę auditoriams pateikti norimos apimties, formato, aktualumo duomenų rinkinius. Jei yra galimybė, analizei atlikti turi būti renkami pirminiai duomenys, kurie nėra apibendrinti ar kitaip agreguoti (išskyrus, kai audito poreikiams tokie yra reikalingi).

Nusprendus naudoti informacinių išteklių (IS, registrų, jų duomenų bazėse kaupiamus) duomenis kaip audito įrodymus, turi būti įvertinta, ar audituojamo subjekto duomenų kokybės užtikrinimo kontrolės priemonių sistema yra patikima ir sudaro sąlygas pasitikėti jo pateiktais duomenimis. Šis vertinimas atliekamas pildant Duomenų kokybės kontrolės priemonių tikrinimo klausimyną, kurį galima rasti Šablonų skiltyje. Užpildęs klausimyną, auditorius priima profesinį sprendimą, ar galima pasitikėti duomenimis ir juos naudoti kaip audito įrodymus. Kai duomenimis pasitikėti negalima, tačiau kitų auditui reikiamų duomenų nėra, auditorius priima profesinį sprendimą dėl audito klausimų, kriterijų ir (ar) procedūrų tikslinimo, keitimo arba atsisakymo.

Jeigu audito grupėje nėra reikiamų kompetencijų šiam vertinimui atlikti, galima pasitelkti kitų Valstybės kontrolės struktūrinių padalinių darbuotojus ar išorės specialistus (ekspertus). Toks profesinis sprendimas turi būti dokumentuojamas.

Jeigu kito Valstybės kontrolės audito (veiklos, finansinio, atitikties ar IT) metu jau buvo atliktas tos pačios IS ir joje kaupiamų duomenų patikimumo vertinimas ir po jo audituojamo subjekto IS neįvyko jokių esminių pasikeitimų (pvz., integracijos su kitomis sistemomis pokyčių, pagrindinių taikomosios programos funkcijų atnaujinimo, kuris keičia duomenų apdorojimo tvarką ir tikrinimo algoritmus, ir pan.) ir, audito grupės vertinimu, atliktas darbas tinka jų audito tikslams pasiekti, audito grupė gali pasinaudoti atliktu duomenų patikimumo vertinimu. Tačiau, jeigu nuo paskutinio vertinimo praėjo 3 metai, rekomenduojama atlikti naują duomenų patikimumo vertinimą.

Auditorius, gavęs duomenų rinkinius iš duomenis valdančių subjektų, turi įvertinti ar:

  • yra visi reikiami duomenys (pvz., nėra tuščių, praleistų laukų);
  • jie yra visos apimties ir išsamūs (pvz., viso prašomo laikotarpio);
  • jie aktualūs ir ar pateikiama naujausia informacija;
  • jie atitinka turinio ir formato reikalavimus (pvz., viename stulpelyje nėra skirtingų duomenų; datos lauke įrašyta data, o ne tekstas);
  • pateikta informacija sutampa su duomenimis, surinktais iš kitų šaltinių (pvz., organizacijos svetainės, atvirų duomenų portalo, apklausos duomenys sutampa su subjekto pateiktais duomenimis) ir kt.

Duomenų rinkinių vertinimas atliekamas tiek audito planavimo, tiek atlikimo metu.

Jei įvertinus nurodytas aplinkybes nustatyta, kad duomenų rinkinys tinkamas, bet turi formatavimo ar kitokių trūkumų, auditorius prieš pradėdamas naudoti duomenis turėtų atlikti jų tvarkymo veiksmus (pvz., panaikinti tuščius, nereikalingus ar besidubliuojančius laukus, nustatyti tinkamus formatus (data, tekstas, skaičius), atskirti reikiamus duomenis į kelis stulpelius ir kt.). Kai rinkinys netinkamas ir auditorius pats negali atlikti tvarkymo veiksmų, prašo subjekto ištaisyti trūkumus ir pateikti duomenis pakartotinai.

Jeigu iš duomenis valdančio subjekto gaunami duomenys iš IS duomenų bazės ar saugyklos, subjekto turi būti prašoma raštu pateikti:

  • duomenų šaltinius su jų rinkinio sukūrimo laiko žyma, kad būtų užtikrintas duomenų vientisumas, autentiškumo patvirtinimas[2] ir negalėjimas atsisakyti atsakomybės[3];
  • išgavimo parametrus, naudojamus duomenų rinkiniui sukurti (pvz., naudotos SQL (angl. Structured Query Language) užklausos tekstas), sukurtus automatizuotos ataskaitos parametrus arba kitus (ne)struktūruotų duomenų išgavimo parametrus.

Jeigu audituojamas subjektas atsisako pateikti duomenis, kuriuos AAI žiniomis jis turi turėti savo IS, audito departamento vadovas ViPSIS fiksuoja audito riziką ir su valstybės kontrolieriaus pavaduotoju, kuriam tiesiogiai pavaldus auditą atliekantis departamentas, aptaria šios rizikos valdymo priemones.

 

[1] Visa informacija apie viešojo sektoriaus įsteigtas valstybės IS kaupiama www.registrai.lt.

[2] Autentiškumo patvirtinimas – naudotojo tapatybės tikrinimo veiksmas (šaltinis – ISACA terminų žodynas).

[3] Negalėjimas atsisakyti atsakomybės (atsakomybės už veiksmus prisiėmimas) apibrėžiamas kaip užtikrinimas, kad šalis vėliau negalės paneigti pateiktų duomenų; duomenų vientisumo ir kilmės įrodymo pateikimas, kurį gali patikrinti trečioji šalis (šaltinis – ISACA terminų žodynas).

 

Susiję dokumentai

Audito standartai