Papildomi reikalavimai

Rizikos įvertinimo procedūros turi būti objektyvios ir nešališkos. Jos turi apimti:

• paklausimus subjekto vadovybei ir kitiems atitinkamiems subjekto asmenims, įskaitant vidaus audito funkciją atliekančius asmenis (jeigu tokia funkcija yra);
• analitines procedūras;
• stebėjimą ir tikrinimą.

Nors auditorius, siekdamas suprasti reikalaujamus dalykus apie audituojamą grupę, komponentus ir jų aplinką, taikomą finansinės atskaitomybės tvarką ir vidaus kontrolės sistemą, privalo atlikti visas procedūras – paklausimą, analitines procedūras, stebėjimą ir tikrinimą, jis neprivalo atlikti visų jų pagal kiekvieną tokio suprantamo dalyko (t. y. supratimą apie audituojamą grupę, komponentus, finansinės atskaitomybės tvarką, vidaus kontrolės elementus) aspektą. Paprastai turėtų būti atliekamos dviejų rūšių procedūros. Pavyzdžiui, kai paklausimų subjekto vadovybei metu gauta informacija apie naudojamas kontrolės priemones, turėtų būti atliktas ir stebėjimas arba tikrinimas, siekiant įsitikinti jų įdiegimu.

Tais atvejais, kai politikos arba procedūros nėra dokumentuotos arba subjektas naudoja ne tokias formalias kontrolės priemones, auditorius, stebėdamas arba tikrindamas kontrolės vykdymą, vis tiek gali surinkti šiek tiek audito įrodymų, pagrindžiančių reikšmingo iškraipymo rizikos nustatymą ir įvertinimą (pvz., stebėti, ar pareigos yra atskiriamos, ar slaptažodžiai yra įvedami).

Auditorius gali atlikti ir kitas, jo nuomone, reikalingas procedūras, kai reikia gauti informacijos, kuri gali būti naudinga nustatant reikšmingo iškraipymo riziką. Tokių procedūrų pavyzdžiais gali būti paklausimų pateikimas išorės priežiūros institucijoms arba atitinkamų sričių ekspertams, kurių paslaugomis pasinaudojo audituojamas subjektas.

Paklausimai

Informaciją, kurią renka, siekdamas tinkamai pagrįsti rizikos nustatymą ir įvertinimą bei tolesnių audito procedūrų parengimą, auditorius gali surinkti pateikdamas paklausimus vadovybei ir už finansinę atskaitomybę atsakingiems asmenims, kitiems skirtingo lygmens darbuotojais, kuriems pavestos atitinkamos atsakomybės. Bendraudamas su šiais asmenimis, jis gali įvairiais aspektais nustatyti ir įvertinti reikšmingo iškraipymo riziką.

Pavyzdžiui:

• remdamasis paklausimais darbuotojams, atsakingiems už sudėtingų ar neįprastų ūkinių operacijų inicijavimą, apdorojimą ar registravimą, auditorius gali įvertinti tam tikrų apskaitos politikų pasirinkimo ir taikymo tinkamumą;
• remiantis paklausimais subjekto teisininkui galima gauti informacijos apie tokius dalykus kaip bylinėjimasis, įstatymų ir kitų teisės aktų laikymasis, žinių apie subjektui įtakos turinčią apgaulę ar įtariamą apgaulę ir pan.;
• iš paklausimų IT personalui galima gauti informacijos apie IT pakeitimus, sistemos ar kontrolės trūkumus ar kitą su IT susijusią riziką.

Planavimo analitinės procedūros

Analitinės procedūros apima finansinės informacijos įvertinimus, kurie buvo atlikti išanalizavus patikimas sąsajas tarp finansinio ir nefinansinio pobūdžio duomenų. Šios procedūros taip pat apima nustatytų nuokrypių ir ryšių, kurie neatitinka kitos susijusios informacijos arba santykinai reikšmingai nukrypsta nuo prognozuojamų sumų, tyrimą.

Atliekant analitines procedūras galima nustatyti nesuderinamumus, neįprastas ūkines operacijas ar įvykius, sumas, rodiklius ir tendencijas, rodančius, kad yra įtakos auditui galinčių turėti dalykų. Informacija apie nustatytus neįprastus ar netikėtus santykius gali praversti auditoriui, kai jis nustato reikšmingo iškraipymo riziką, ypač riziką dėl apgaulės.

Todėl analitinės procedūros, atliekamos kaip rizikos įvertinimo procedūros, gali praversti nustatant ir įvertinant reikšmingo iškraipymo riziką, nes galima nustatyti tokius aspektus apie subjektą, apie kuriuos auditorius nežinojo, arba suprasti, kaip įgimti rizikos veiksniai, tokie kaip kintamumas, veikia tvirtinimų jautrumą iškraipymui.

Analitinės procedūros, atliekamos kaip rizikos įvertinimo procedūros, gali:

• apimti tiek finansinę, tiek ir nefinansinę informaciją;
• naudoti labai agreguotus duomenis. Atitinkamai, šių analitinių procedūrų rezultatai gali suteikti bendro pobūdžio pirminių duomenų apie reikšmingo iškraipymo tikimybę.

Stebėjimas ir tikrinimas

Tikrinimas apima vidaus ar išorės įrašų arba dokumentų patikrinimą popieriniame ar elektroniniame formate arba kitoje laikmenoje, taip pat turto objekto įvertinimą natūroje.

Stebėjimas yra veiksmas, kurio metu stebimas kitų asmenų atliekamas procesas ar procedūra, pvz., auditorius stebi įmonės darbuotojų atliekamą atsargų skaičiavimą arba kontrolės veiklą.

Atliekant stebėjimą ir tikrinimą galima pagrįsti, patvirtinti arba paneigti vadovybės ir kitų asmenų atsakymus į paklausimus, taip pat gauti informacijos apie subjektą ir jo aplinką.

Rizikos vertinimo procedūros gali apimti šių dalykų stebėjimą ir tikrinimą:

• subjekto veiklos;
• vidaus dokumentų;
• vadovybės ir už valdymą atsakingų asmenų ataskaitų parengtų ataskaitų, posėdžių protokolų ir pan.;
• turto fizinės apžiūros;
• vadovybės ir už valdymą atsakingų asmenų elgesio ir veiksmų.

Įrodymų šaltinių turi būti daugiau nei vienas. Jie gali būti vidiniai arba išoriniai.

Rengiant ir atliekant rizikos įvertinimo procedūras, skirtas nešališkai surinkti audito įrodymų, gali tekti juos rinkti iš kelių vidaus ir išorės šaltinių. Tačiau auditorius neprivalo atlikti išsamios paieškos, kad nustatytų visus galimus audito įrodymų šaltinius.

Audito planavimo metu taip pat svarbu patikrinti, ar reikalinga informacija ir duomenys yra prieinami ir patikimi, išbandyti įvairius informacijos ir duomenų rinkimo ir vertinimo metodus.

Auditui aktualių duomenų gavimas ir jų kokybės analizė

Audito planavimo metu turi būti atlikta duomenų ir jų šaltinių analizė:

• Duomenų šaltinių identifikavimas. Nustatomi visi galimi duomenų šaltiniai, kurie gali būti susiję su audito objektu (pvz.: atvirų duomenų portalai, audituojamų subjektų valdomos ir (ar) tvarkomos IS[1], jų duomenų bazės, valstybės duomenų valdysenos IS ir pan.).
• Duomenų struktūros ir savybių supratimas. Nagrinėjama aktualių duomenų struktūra (stulpelių atributai, duomenų tipai ir kt. savybės) ir kokie duomenys kaupiami. Tai padeda suprasti, kaip duomenys organizuoti ir kaip juos galima panaudoti audite.
• Duomenų ryšių tarp skirtingų šaltinių identifikavimas. Susipažįstama su duomenų ryšiais tarp skirtingų jų šaltinių (toje pačioje ar skirtingose organizacijose). Tai padeda suprasti, kaip skirtingi duomenų elementai susiję ir kaip galima išnaudoti šiuos ryšius duomenų analitikai.
• Duomenų panaudojimo galimybių analizė. Įvertinama, kokios analitinės procedūros galėtų būti atliktos siekiant audito tikslo. Vertinama, kas galėtų jas atlikti (auditorius, kitų VK struktūrinių padalinių darbuotojai, išorės specialistai (ekspertai)), ar reikėtų panaudoti specializuotus analitinius įrankius.
• Duomenų prieinamumo vertinimas. Nustačius, kad vienos ar kelių sistemų duomenys bus naudojami audite, vertinamos prieigos prie duomenų galimybės, galimi priėjimo prie jų apribojimai.

Jeigu duomenų analizės pagrįstai neįmanoma atlikti audito planavimo metu (pvz., audituojamas subjektas laiku nepateikė duomenų), priežastys pateikiamos audito planavimo darbo dokumentuose ir šios procedūros suplanuojamos audito programose.

Atlikus duomenų paiešką ir analizę bei turint preliminarų auditui reikiamų duomenų sąrašą, esant poreikiui, su duomenis valdančiais subjektais aptariama, ar jie turės galimybę auditoriams pateikti norimos apimties, formato, aktualumo duomenų rinkinius. Jei yra galimybė, analizei atlikti turi būti renkami pirminiai duomenys, kurie nėra apibendrinti ar kitaip agreguoti (išskyrus, kai audito poreikiams tokie yra reikalingi).

Nusprendus naudoti informacinių išteklių (IS, registrų, jų duomenų bazėse kaupiamus) duomenis kaip audito įrodymus, turi būti įvertinta, ar audituojamo subjekto duomenų kokybės užtikrinimo kontrolės priemonių sistema yra patikima ir sudaro sąlygas pasitikėti jo pateiktais duomenimis. Šis vertinimas atliekamas pildant Duomenų kokybės kontrolės priemonių tikrinimo klausimyną, kurį galima rasti Šablonų skiltyje. Užpildęs klausimyną, auditorius priima profesinį sprendimą, ar galima pasitikėti duomenimis ir juos naudoti kaip audito įrodymus. Kai duomenimis pasitikėti negalima, tačiau kitų auditui reikiamų duomenų nėra, auditorius priima profesinį sprendimą dėl tolesnių audito procedūrų ir poveikio auditoriaus nuomonei.

Jeigu audito grupėje nėra reikiamų kompetencijų šiam vertinimui atlikti, galima pasitelkti kitų Valstybės kontrolės struktūrinių padalinių darbuotojus ar išorės specialistus (ekspertus). Toks profesinis sprendimas turi būti dokumentuojamas.

Jeigu kito Valstybės kontrolės audito (veiklos, finansinio, atitikties ar IT) metu jau buvo atliktas tos pačios informacinės sistemos ir joje kaupiamų duomenų patikimumo vertinimas ir po jo audituojamo subjekto informacinėje sistemoje neįvyko jokių esminių pasikeitimų (pvz., integracijos su kitomis sistemomis pokyčių, pagrindinių taikomosios programos funkcijų atnaujinimo, kuris keičia duomenų apdorojimo tvarką ir tikrinimo algoritmus, ir pan.) ir, audito grupės vertinimu, atliktas darbas tinka jų audito tikslams pasiekti, audito grupė gali pasinaudoti atliktu duomenų patikimumo vertinimu. Tačiau, jeigu nuo paskutinio vertinimo praėjo 3 metai, rekomenduojama atlikti naują duomenų patikimumo vertinimą.

Auditorius, gavęs duomenų rinkinius iš duomenis valdančių subjektų, turi įvertinti ar:

• yra visi reikiami duomenys (pvz., nėra tuščių, praleistų laukų);
• jie yra visos apimties ir išsamūs (pvz., viso prašomo laikotarpio);
• jie aktualūs ir ar pateikiama naujausia informacija;
• jie atitinka turinio ir formato reikalavimus (pvz., viename stulpelyje nėra skirtingų duomenų; datos lauke įrašyta data, o ne tekstas);
• pateikta informacija sutampa su duomenimis, surinktais iš kitų šaltinių (pvz., organizacijos svetainės, atvirų duomenų portalo, apklausos duomenys sutampa su subjekto pateiktais duomenimis) ir kt.

Duomenų rinkinių vertinimas atliekamas tiek audito planavimo, tiek atlikimo metu.

Jei įvertinus nurodytas aplinkybes nustatyta, kad duomenų rinkinys tinkamas, bet turi formatavimo ar kitokių trūkumų, auditorius prieš pradėdamas naudoti duomenis turėtų atlikti jų tvarkymo veiksmus (pvz., panaikinti tuščius, nereikalingus ar besidubliuojančius laukus, nustatyti tinkamus formatus (data, tekstas, skaičius), atskirti reikiamus duomenis į kelis stulpelius ir kt.). Kai rinkinys netinkamas, auditorius priima profesinį sprendimą dėl prašymo pateikti duomenis pakartotinai.

Jeigu iš duomenis valdančio subjekto gaunami duomenys iš IS duomenų bazės ar saugyklos, subjekto turėtų būti prašoma raštu pateikti:

• duomenų šaltinius su jų rinkinio sukūrimo laiko žyma, kad būtų užtikrintas duomenų vientisumas, autentiškumo patvirtinimas[2] ir negalėjimas atsisakyti atsakomybės[3];
• išgavimo parametrus, naudojamus duomenų rinkiniui sukurti (pvz., naudotos SQL (angl. Structured Query Language) užklausos tekstas), sukurtus automatizuotos ataskaitos parametrus arba kitus (ne)struktūruotų duomenų išgavimo parametrus.

Jeigu audituojamas subjektas atsisako pateikti duomenis, kuriuos VK žiniomis jis turi turėti savo IS, audito departamento vadovas ViPSIS fiksuoja audito riziką ir su valstybės kontrolieriaus pavaduotoju, kuriam tiesiogiai pavaldus auditą atliekantis departamentas, aptaria šios rizikos valdymo priemones.

[1] Visa informacija apie viešojo sektoriaus įsteigtas valstybės IS kaupiama www.registrai.lt.

[2] Autentiškumo patvirtinimas – naudotojo tapatybės tikrinimo veiksmas (šaltinis – ISACA terminų žodynas).

[3] Negalėjimas atsisakyti atsakomybės (atsakomybės už veiksmus prisiėmimas) apibrėžiamas kaip užtikrinimas, kad šalis vėliau negalės paneigti pateiktų duomenų; duomenų vientisumo ir kilmės įrodymo pateikimas, kurį gali patikrinti trečioji šalis (šaltinis – ISACA terminų žodynas).

Auditorius turi įvertinti, ar atliekant rizikos įvertinimo procedūras surinkti audito įrodymai tinkamai pagrindžia reikšmingo iškraipymo rizikos nustatymą ir įvertinimą. Jeigu taip nėra, auditorius turi atlikti papildomas rizikos įvertinimo procedūras, kol surinks audito įrodymų, suteikiančių tokį pagrindą.

Vertindamas šiuos audito įrodymus auditorius turi atsižvelgti į tai, ar pakankamai gerai supranta audituojamą grupę ir komponentus, jų aplinką, taikomą finansinės atskaitomybės tvarką ir grupės ir konkrečių komponentų vidaus kontrolės sistemą, kad galėtų nustatyti reikšmingo iškraipymo riziką. Be to, jis turi atsižvelgti į visus atliekant rizikos įvertinimo procedūras surinktus audito įrodymus, t. y. ir patvirtinančius vadovybės tvirtinimus, ir jiems prieštaraujančius (apima ir informaciją, kuri pagrindžia ir patvirtina vadovybės tvirtinimus, ir bet kokią informaciją, kuri prieštarauja tokiems tvirtinimams), nes pastarieji gali rodyti reikšmingo iškraipymo riziką.

Be to, grupės auditorius turi įvertinti, ar audito įrodymai, kuriuos komponento auditoriai surinko atlikę rizikos įvertinimo procedūras, gali tinkamai pagrįsti grupės finansinių ataskaitų reikšmingo iškraipymo rizikos nustatymą ir įvertinimą. Grupės auditorius lieka atsakingas už grupės ir jos aplinkos, taikomos finansinės atskaitomybės tvarkos ir grupės vidaus kontrolės sistemos supratimą, kad turėtų pakankamą pagrindą grupės finansinių ataskaitų reikšmingo iškraipymo rizikai nustatyti.

Atliktos rizikos įvertinimo procedūros turi būti atitinkamai dokumentuotos.

Be dalykų, kurie nurodyti 2230-ajame TAAIS ir Dokumentavimo skiltyje, auditorius į audito dokumentus turi įtraukti / dokumentuoti:

1.audito grupėje įvykusius aptarimus (išsamiau – Aptarimų audito grupėje skiltyje) ir priimtus reikšmingus sprendimus;

2. pagrindinius auditoriaus suprastus aspektus apie:

• audito objektą, audituojamą subjektą ar grupę, atitinkamus grupės komponentus ir jų aplinką;
• taikomos finansinės atskaitomybės tvarką ir apskaitos politiką;
• vidaus kontrolės sistemos komponentus;
• informacijos, kuria auditorius grindė savo supratimą, šaltinius, atliktas rizikos įvertinimo procedūras;

3. kaip įvertintas nustatytų kontrolės priemonių parengimas ir kaip įsitikinta, kad jos buvo įdiegtos;

4. nustatytą ir įvertintą reikšmingo iškraipymo riziką finansinių ataskaitų lygmeniu ir tvirtinimų lygmeniu, įskaitant reikšmingą riziką ir riziką, dėl kurios pakankamų tinkamų audito įrodymų negalima surinkti atliekant vien tik pagrindines procedūras, taip pat priimtų reikšmingų sprendimų pagrindimą.

Šiuos dalykus tinkamai dokumentuoti gali padėti rizikos vertinimo darbo dokumentas, kuriame numatyta pateikti atitinkamą informaciją ir profesinius sprendimus.