ValstybesKontrole.lt

Kontrolės testai

Kontrolės testai – tai audito procedūros, skirtos įvertinti kontrolės procedūrų, kuriomis siekiama užkirsti kelią reikšmingiems iškraipymams ar juos nustatyti ir ištaisyti, efektyvumą.

Šiais testais auditorius įsitikina, kad subjekte sukurtos vidaus kontrolės procedūros veikia tinkamai ir efektyviai, arba ne. Be to, jie gali padėti nustatyti reikšmingo iškraipymo riziką, kurios auditorius negalėjo nustatyti audito planavimo etape.

Kontrolės testai atliekami dėl finansinės atskaitomybės tvirtinimų.

Kontrolės testai gali būti:

  • pakartotinis atlikimas – kai auditorius nepriklausomai atlieka kontrolės procedūras (gaunamas didžiausias patikimumas);
  • tikrinimas – bet kokių dokumentų (popieriniu ar elektroniniu formatu ar laikmenoje), kuriuose pateikiami įrodymai apie kontrolės procedūras, patikrinimas;
  • stebėjimas – kai stebimas kitų asmenų atliekamos kontrolės procedūros;
  • paklausimas – tai procedūra, kurios metu auditorius žodžiu ar raštu prašo atsakingų asmenų pateikti informaciją apie atliktas kontrolės procedūras (gaunamas mažiausias patikimumas).

Kontrolės testai skiriasi nuo nuosekliosios peržiūros testų, kurie būna atliekami susipažįstant su vidaus kontrolės sistema (kontrolės veiksmų komponentu). 1 lentelėje pateiktas nuosekliosios peržiūros ir vidaus kontrolės testų palyginimas.

1 lentelė. Nuosekliosios peržiūros ir kontrolės testo palyginimas

Nuosekliosios peržiūros testas Kontrolės testas
Tikslas – susipažinti ir geriau suprasti apskaitos sistemą, kontrolės procedūras. Tikslas – įvertinti vidaus kontrolės procedūrų efektyvumą.
Atliekamas paėmus vieną pavyzdį. Atliekamas dėl atitinkamos apimties pavyzdžių (imčiai) siekiant gauti pakankamų audito įrodymų.
Vertinamas procesas nuo pradžios iki pabaigos. Atliekamas tik dėl pasirinktų svarbių kontrolių.
Rekomenduojama atlikti, net jei kontrolės rizika vertinama kaip didelė, kad būtų galima pagrįsti auditoriaus vertinimą. Nėra būtina atlikti, kai kontrolės rizika didelė.
Atliekamas reikšmingo iškraipymo rizikos nustatymo ir įvertinimo procese (audito planavimas). Atliekamas po reikšmingo iškraipymo rizikos įvertinimo – kaip atsakas į reikšmingo iškraipymo riziką.

Kontrolės priemonių testai atliekami toms kontrolės priemonėms, kurios, auditoriaus vertinimu, skirtos užkirsti kelią reikšmingam svarbaus tvirtinimo iškraipymui ar jį nustatyti ir ištaisyti.

Auditoriui gali prireikti testuoti kelias kontrolės priemones, kad patvirtintų savo lūkesčius dėl jų efektyvumo. Auditorius gali suplanuoti tiek tiesioginių, tiek netiesioginių kontrolės priemonių testus, įskaitant IT bendrųjų kontrolės priemonių testus (išsamiau – Susipažinimo su IT ir jų vertinimo skiltyje). Jei ketinama testuoti kontrolės priemonė nevisiškai reaguoja į įvertintą įgimtą riziką, auditorius nustato pasekmes tolesnių audito procedūrų, skirtų sumažinti audito riziką iki priimtinai žemo lygio, parengimui.

Jeigu auditorius planuoja atlikti automatinės kontrolės priemonės efektyvumo testą, jis taip pat gali suplanuoti atitinkamos bendrosios IT kontrolės priemonės, kuri užtikrina tolesnį tokios automatinės kontrolės priemonės veikimą, efektyvumo testą, siekdamas reaguoti į riziką, susijusią su IT naudojimu, ir pagrįsti savo lūkesčiams, kad automatinė kontrolė efektyviai veikė per visą laikotarpį.

Kontrolės testus auditorius turi atlikti atitinkamu etapu ar laikotarpiu, kuriuo taikytomis kontrolės priemonėmis auditorius ketina pasikliauti, kad galėtų tinkamai pagrįsti savo numatytą pasikliovimą. Audito įrodymai, kurie yra aktualūs tik tam tikru momentu, gali būti pakankami auditoriaus tikslams, pvz., kai jis atlieka subjekto atsargų fizinės inventorizacijos kontrolės priemonių testus laikotarpio pabaigoje. Jei, kita vertus, auditorius ketina pasitikėti kontrolės priemonėmis viso laikotarpio metu, testai, kurie suteikia audito įrodymų, kad kontrolės priemonės buvo efektyvios atitinkamai visu laikotarpiu, yra tinkami.

Kontrolės testai gali būti atliekami tarpiniu laikotarpiu, kai tai tinkama ir efektyvu, pvz., kai turimi audituojamo laikotarpio pirmojo pusmečio duomenys ir auditorius nusprendžia, kad efektyvu kontrolės testus pagal turimus šio laikotarpio duomenis atlikti kartu su rizikos įvertinimo procedūromis.

Nustatant, kokių papildomų audito įrodymų dėl kontrolės priemonių, kurios buvo taikomos po tarpinio laikotarpio iki laikotarpio pabaigos, būtina surinkti, reikia atsižvelgti į:

  • įvertintos reikšmingo iškraipymo rizikos tvirtinimų lygmeniu reikšmingumą;
  • specifines kontrolės priemones, kurių testai buvo atlikti tarpiniu laikotarpiu, ir reikšmingus jų pokyčius po to, kai buvo atlikti jų testai, įskaitant informacinės sistemos, procesų pokyčius ir darbuotojų kaitą;
  • tai, kiek buvo surinkta šių kontrolės priemonių efektyvumo audito įrodymų;
  • likusio laikotarpio trukmę;
  • tai, kiek auditorius ketina sumažinti tolesnių pagrindinių procedūrų, pagrįstų pasikliovimu kontrolės priemonėmis, apimtį;
  • kontrolės aplinką.

Papildomų audito įrodymų galima surinkti, pvz., kontrolės priemonių testus atliekant likusiu laikotarpiu arba atliekant subjekto kontrolės priemonių stebėsenos testus. Kontrolės priemonių stebėsenos testai – tai subjekto vykdomos kontrolės priemonių stebėsenos testavimas, kurio metu patikrinama, kaip subjektas vykdo kontrolės priemonių stebėseną ir ar ji yra efektyvi. Jei audituojamo laikotarpio metu įvairiais etapais buvo taikomos iš esmės skirtingos kontrolės priemonės, kiekvieną iš jų reikia įvertinti atskirai.

Rengdamas ir atlikdamas kontrolės priemonių testus, auditorius turi surinkti tuo įtikinamesnių audito įrodymų, kuo labiau jis pasikliauna kontrolės priemonių efektyvumu. Didesnio kontrolės priemonių efektyvumo užtikrinimo lygio galima siekti, kai atliekami priemonių testai srityse, kuriose negalima surinkti pakankamų tinkamų audito įrodymų tik iš pagrindinių procedūrų.

Auditorius gali naudoti ir ankstesnių auditų metu surinktus įrodymus dėl kontrolės priemonių efektyvumo. Siekdamas nustatyti, ar būtų galima tai daryti, ir, jei taip, siekdamas nustatyti laikotarpį iki pakartotinio kontrolės priemonių testo atlikimo, auditorius turi įvertinti:

  • kitų subjekto vidaus kontrolės sistemos elementų komponentų efektyvumą, įskaitant kontrolės aplinką, subjekto vidaus kontrolės priemonių sistemos stebėsenos procesą ir subjekto rizikos įvertinimo procesą;
  • riziką, kuri atsiranda dėl kontrolės priemonės ypatybių, įskaitant tai, ar ši kontrolė yra rankinė ar automatinė;
  • bendrųjų IT kontrolės priemonių efektyvumą;
  • kontrolės priemonės efektyvumą ir tai, kaip subjektas ją taiko, įskaitant ankstesnių auditų metu nustatytų kontrolės priemonės taikymo nuokrypių pobūdį bei apimtį, ir tai, ar įvyko darbuotojų kaita, kuri turi reikšmingos įtakos šios priemonės taikymui;
  • ar nesikeičiant konkrečioms kontrolės priemonėms kyla rizika dėl besikeičiančių aplinkybių; ir
  • reikšmingo iškraipymo riziką ir pasikliovimo kontrole apimtį (t. y. kokio laikotarpio, kokiomis kontrolės priemonėmis ir kokiems tvirtinimams gauti planuojama naudotis kontrolės patikimumu). Kuo didesnė reikšmingo iškraipymo rizika ir kuo didesnį patikimumą norima gauti iš kontrolės, tuo laikotarpis iki pakartotinio kontrolės priemonių testų turėtų būti trumpesnis.

Auditorius gali naudoti ne tik finansinių, bet ir atitikties ar veiklos auditų metu arba vykdant kitus su subjektu susijusius audito veiksmus surinktus audito įrodymus apie kontrolės priemonių efektyvumą. Pasikliaudamas įrodymais, surinktais atliekant ankstesnius atitikties ar veiklos auditus, auditorius turi įvertinti, ar naudoti tvirtinimai ir atlikti testai yra tinkami finansinio audito tikslams.

Taikomųjų programų bendrosios kontrolės vertinimo metu gautais įrodymais, jei nebuvo šiose programose ar susijusioje dokumentacijoje atliktų esminių pakeitimų, taip pat galima naudotis vėlesnių auditų metu. Esminiai pakeitimai yra tokie pakeitimai, kurie taip reikšmingai keičia IT procesus, taikomąsias programas, kontrolės priemones ir duomenų valdymą, kad tai daro tiesioginį poveikį duomenų, naudojamų finansinei apskaitai ir metinių ataskaitų rinkinių sudarymui, kontrolės priemonių efektyvumui, informacinių sistemų veikimui ir saugumui. Tai yra pakeitimai, dėl kurių gali keistis ankstesnis auditoriaus atliktas vertinimas. Tokių pakeitimų pavyzdžiai:

  1. naujos prieigos kontrolės politikos įdiegimas arba esamų kontrolės procesų panaikinimas;
  2. svarbių algoritmų, ataskaitų generavimo ar integracijos su kitomis sistemomis pokyčiai;
  3. didesnės dalies personalo pasikeitimas IT ar finansų skyriuose, turintis įtakos kontrolės priemonių efektyvumui;
  4. naujos IT valdymo struktūros įvedimas, keičiantis atsakomybės pasiskirstymą tarp darbuotojų;
  5. naujos technologijos įdiegimas, kuris paveikia duomenų prieinamumą, saugumą ar apsaugos nuo pažeidimų lygį;
  6. pagrindinių taikomosios programos funkcijų atnaujinimas, kuris keičia duomenų apdorojimo tvarką ar tikrinimo algoritmus.

Jei auditorius planuoja naudoti ankstesnio audito metu surinktus audito įrodymus dėl specifinių kontrolės priemonių efektyvumo, jis turi nustatyti, ar šie įrodymai tebėra svarbūs ir patikimi, surinkdamas audito įrodymus dėl to, ar po ankstesnio audito įvyko reikšmingų šių kontrolės priemonių pokyčių. Jis turi surinkti šiuos įrodymus pateikdamas paklausimus ir kartu atlikdamas stebėjimą arba tikrinimą, kad galėtų patvirtinti, jog supranta šias specifines kontrolės priemones, ir:

  • jei įvyko pokyčių, dėl kurių ankstesnio audito metu surinkti audito įrodymai tebėra svarbūs, auditorius turi atlikti šių kontrolės priemonių testus dabartinio audito metu. Gali būti, kad pakeitimai tokie reikšmingi, kad gali nebelikti pagrindo jais toliau pasikliauti. Pavyzdžiui, sistemos pakeitimai, siekiant suteikti subjektui galimybę gauti naują ataskaitą iš sistemos, tikriausiai neturi įtakos audito įrodymų, surinktų ankstesnio audito metu, svarbai; tačiau pakeitimas, dėl kurio duomenys kaupiami arba skaičiuojami kitaip, ją veikia;
  • jei tokių pokyčių nėra, auditorius turi atlikti kontrolės priemonių testus bent vieną kartą kas tris auditus, o kai kurių kontrolės priemonių testus – kiekvieno audito metu, kad netektų testuoti visų kontrolės priemonių, kuriomis auditorius ketina pasitikėti vienu audito laikotarpiu, ir nereikėtų testuoti jokių kontrolės priemonių per kitų dviejų auditų laikotarpius. Auditoriaus sprendimas dėl to, ar pasitikėti ankstesnių auditų metu surinktais audito įrodymais dėl kontrolės priemonių, kurios:
    • nepakeistos nuo to laiko, kai paskutinį kartą buvo atlikti jų testai; ir
    • nėra kontrolės priemonės, kuriomis mažinama reikšminga rizika;
    • priklauso nuo profesinio auditoriaus sprendimo.

Be to, laikotarpio tarp pakartotinių tokių kontrolės priemonių testų atlikimo trukmė priklauso nuo profesinio auditoriaus sprendimo, tačiau tokie testai turėtų būti atliekami bent vieną kartą per trejus metus. Apskritai, kuo didesnė reikšmingo iškraipymo rizika arba kuo didesnis pasikliovimas kontrolės priemonėmis, tuo labiau tikėtina, kad praėjęs laikotarpis bus trumpesnis. Veiksniai, dėl kurių gali sutrumpėti pakartotinio kontrolės testo atlikimo laikotarpis arba gali būti nuspręsta visiškai nepasitikėti ankstesnių auditų metu surinktais audito įrodymais, yra tokie:

  • trūkumų turinti kontrolės aplinka;
  • trūkumų turintis vidaus kontrolės sistemos priemonių stebėsenos procesas;
  • reikšmingas atitinkamų kontrolės priemonių elementas yra žmogaus atliekami veiksmai;
  • darbuotojų kaita, kuri daro reikšmingą įtaką kontrolės priemonių taikymui;
  • besikeičiančios aplinkybės, kurios parodo poreikį keisti kontrolės priemones;
  • trūkumų turinčios bendrosios IT kontrolės priemonės.

Jei auditorius ketina pasikliauti daugeliu kontrolės priemonių, apie kurias audito įrodymai buvo surinkti ankstesnių auditų metu, kiekvieno audito metu testuojant kai kurias šių priemonių galima gauti informacijos, kuri patvirtina, kad kontrolės aplinka išlieka efektyvi. Tuo remdamasis auditorius gali priimti sprendimą, ar būtų tinkama pasikliauti audito įrodymais, kurie buvo surinkti ankstesnių auditų metu.

Prieš atlikdamas kontrolės testus, auditorius turėtų apsispręsti, kaip vertins nuokrypius. Jų ribos gali būti:

  • nustatytos vienetų skaičiumi (nuokrypių skaičius, pavyzdžiui: 3, 5, 10 ir pan.) arba
  • procentine išraiška (dažniau naudojama, pvz., 1 proc., 2 proc. kontrolės procedūrų netinkamai atliktos ar neatliktos).

Atlikęs kontrolės testus, auditorius turi įvertinti nustatytą nuokrypį ir apsvarstyti:

  • nustatytų nuokrypių aplinkybes ir priežastis – įvertinti, ar tai atsitiktinė klaida, ar nuokrypis būdingas tik tam tikram laikotarpiui, vietai ar aplinkybėms;
  • įtaką kontrolės patikimumo įvertinimui – įvertinti nustatyto nuokrypio įtaką tvirtinimams, kiek tai veikia finansines ataskaitas, ar reikia atlikti papildomus kontrolės testus. Jei nuokrypis viršija nustatytą ribą – daroma išvada, kad kontrolės procedūros veikia neefektyviai ir kontrolės patikimumas negautas.
  • audituojamo subjekto veiksmus dėl nustatytų nuokrypių – įvertinti, ar subjektas pats nustatė nuokrypį, ar ėmėsi veiksmų, kad būtų išvengta tokių nuokrypių ateityje;
  • įvertinti, kokie iškraipymai ar pažeidimai gali atsirasti dėl nustatytų kontrolės trūkumų, kokioms apskaitos sritims gali turėti įtakos.

Susiję dokumentai

Audito standartai