ValstybesKontrole.lt

Kontrolės veiksmai

Kontrolės veiksmai – tai veiklos kryptys ir procedūros, įdiegtos siekiant valdyti riziką ir įgyvendinti subjekto tikslus. Kad kontrolės veikla būtų efektyvi, ji turi būti tinkama, nuosekliai funkcionuoti pagal laikotarpiui parengtą veiklos planą, efektyvi sąnaudų požiūriu, visapusė, pagrįsta ir tiesiogiai susijusi su kontrolės tikslais. Kontrolės veikla vyksta visame subjekte, visais lygmenimis ir visuose padaliniuose. Veikla apima tokias įvairias veiklos sritis kaip tvirtinimas, leidimų suteikimas, tikrinimas, veiklos rezultatų peržiūra, pranešimas apie suteiktas išimtis ir priežiūra. Subjektas turi pasiekti tinkamą nustatomosios ir prevencinės kontrolės veiksmų pusiausvyrą. Kontrolės veiklą turi papildyti ištaisomieji veiksmai.

Vadovaujantis 2315-ojo TAAIS 12 d. c dalimi, kontrolės priemonės apibrėžiamos kaip subjekto nustatytos politikos arba procedūros, skirtos pasiekti vadovybės ar už valdymą atsakingų asmenų kontrolės tikslus. Šiame kontekste:

  • politikos – tai pareiškimai apie tai, kas turėtų arba neturėtų būti padaryta subjekte vykdant kontrolę. Tokie pareiškimai gali būti įforminti dokumentais, aiškiai įvardyti komunikacijoje arba numanomi dėl atliekamų veiksmų ir priimamų sprendimų;
  • procedūros – tai politikų įdiegimo veiksmai.

Vadovaudamasis 2315-ojo TAAIS 26 d. reikalavimais, auditorius turi suprasti kontrolės veiksmų komponentus. Šiuo tikslu auditorius turi atlikti rizikos įvertinimo procedūras, kurių metu turi nustatyti (ne suprasti) (A ir C)) ir įvertinti (B):

A) nustatyti
a)        kontrolės veiksmų komponente nustatyti šias kontrolės priemones, skirtas reaguoti į RIR tvirtinimų lygmeniu:
1.        kontrolės priemones, skirtas reaguoti į reikšmingą riziką;
2.        apskaitos įrašų kontrolės priemones, apimančias:

  • automatines ar rankines kontrolės priemones, skirtas registruoti nepasikartojančioms, neįprastoms ūkinėms operacijoms ar koregavimams;
  • automatines ar rankines kontrolės priemones, skirtas registruoti standartinėms operacijoms, kurios gali būti netinkamai arba be patvirtinimo paveiktos ar jomis gali būti manipuliuojama (pavyzdžiui, kai asmuo, kuriam nesuteiktos tokios teisės, gali priėjimas prie programinio kodo arba gali atlikti kitus netinkamus pakeitimus dėl ūkinių operacijų registravimo);
3.        kontrolės priemones, kurių veikimo efektyvumo testus auditorius planuoja atlikti, kad nustatytų pagrindinių testų pobūdį, atlikimo laiką ir apimtį, ir kurios apima kontrolės priemones, skirtas reaguoti į riziką, dėl kurios pakankamų tinkamų audito įrodymų neįmanoma surinkti atliekant vien tik pagrindines procedūras;
4.     kitas kontrolės priemones, kurios, remiantis auditoriaus profesiniu sprendimu, yra tinkamos surinkti įrodymus, tinkamai pagrindžiančius RIR dėl apgaulės ar klaidos tvirtinimų lygmeniu nustatymą ir įvertinimą ir (ar) reikalingos tolesnėms audito procedūroms parengti (t. y. pasiekti 13 dalyje nurodytus tikslus, susijusius su rizika tvirtinimų lygmeniu)

  • kontrolės priemonės, skirtos reaguoti į riziką, kuri įgimtos rizikos spektre yra įvertinta kaip aukštesnė, bet nėra nustatyta kaip reikšminga rizika;
  • kontrolės priemonės, susijusios su išsamių įrašų suderinimu su didžiąja knyga;
  • papildomos grupės komponento kontrolės priemonės, jei apskaita vedama centralizuotai.
b)    remdamasis kontrolės priemonėmis, kurios buvo identifikuotos vadovaujantis a punktu, nustatyti IT taikomąsias programas ir kitus subjekto IT aplinkos aspektus, kuriems kyla rizika dėl IT naudojimo
c)     b punkte nustatytoms IT taikomosioms programoms ir kitiems subjekto IT aplinkos aspektams nustatyti:
1.        susijusią riziką, kylančią dėl (įvardintų) IT naudojimo;
2.        subjekto bendrąsias IT kontrolės priemones, skirtas reaguoti į tokią riziką;
B) įvertinti, ar
1.           kiekviena kontrolės priemonė (žr. šios lentelės A) a dalies 1 p.), skirta reaguoti į reikšmingą riziką, parengta efektyviai ir reaguoja į RIR tvirtinimų lygmeniu arba parengta efektyviai ir padeda veikti kitoms kontrolės priemonėms;
2.           kiekviena apskaitos įrašų, įskaitant nestandartinius apskaitos įrašus, skirtus nepasikartojančioms, neįprastoms ūkinėms operacijoms ar koregavimams registruoti, kontrolės priemonė (žr. šios lentelės A) a dalies 2 p.), parengta efektyviai ir reaguoja į RIR tvirtinimų lygmeniu arba parengta efektyviai ir padeda veikti kitoms kontrolės priemonėms;
3.        kiekviena kontrolės priemonė (žr. šios lentelės A) a dalies 3 p.), kurių veikimo efektyvumo testus auditorius planuoja atlikti, kad nustatytų pagrindinių testų pobūdį, atlikimo laiką ir apimtį, taip pat kontrolės priemones, skirtas reaguoti į riziką, dėl kurios pakankamų tinkamų audito įrodymų neįmanoma surinkti atliekant vien tik pagrindines procedūras, parengta efektyviai ir reaguoja į RIR tvirtinimų lygmeniu arba parengta efektyviai ir padeda veikti kitoms kontrolės priemonėms;
4.        kiekviena kita kontrolės priemonė, nustatyta auditoriaus sprendimu (žr. šios lentelės A) a dalies 4 p), parengta efektyviai ir reaguoja į RIR tvirtinimų lygmeniu arba parengta efektyviai ir padeda veikti kitoms kontrolės priemonėms;
5.        kiekviena subjekto bendrosios IT kontrolės priemonė (žr. c dalies 2 p.), skirta reaguoti į nustatytą riziką, kylančią dėl IT naudojimo, parengta efektyviai ir reaguoja į RIR tvirtinimų lygmeniu arba parengta efektyviai ir padeda veikti kitoms kontrolės priemonėms.
C) nustatyti, ar
lentelės B) dalies 1–5 punktuose vertintos kontrolės priemonės buvo įdiegtos. Tai atlikti turi ne tik pateikdamas paklausimus subjekto darbuotojams, bet ir atlikdamas papildomas procedūras.

Siekiant surinkti audito įrodymų apie kontrolės veiksmų komponente nustatytų kontrolės priemonių parengimą ir įdiegimą, gali būti atliekamos šios rizikos įvertinimo procedūros:

  • paklausimų pateikimas subjekto darbuotojams;
  • specifinių kontrolės priemonių taikymo stebėsena;
  • dokumentų ir ataskaitų tikrinimas.

Tačiau vien tik paklausimų šiems tikslams pasiekti nepakanka.
buvo aptiktas vienas ar keli kontrolės priemonių trūkumai (pvz., taikomos politikos neatitinka subjekto pobūdžio ir aplinkybių) ir priimti profesinį sprendimą, ar šie trūkumai (atskirai ar kartu su kitais trūkumais) yra reikšmingi.

Kontrolės priemonės pagal savo pobūdį gali būti:

  • automatinės kontrolės procedūros – tai tokios kontrolės procedūros, kurios įdiegtos įrenginiuose, taikomosiose programose, ir kurios užtikrina tam tikrų nustatytų sąlygų laikymąsi arba patvirtinimo reikalavimą;
  • rankinės kontrolės procedūros;
  • pusiau automatinės.

Kontrolės priemonės apima informacijos apdorojimo kontrolės priemones ir bendrąsias IT kontrolės priemones, kurios gali būti tiek rankinės, tiek automatinės. Kuo daugiau automatinių kontrolės priemonių arba kontrolės priemonių su automatiniais elementais vadovybė naudoja ir kuo labiau jomis pasikliauna rengdama finansines ataskaitas, tuo subjektui gali būti svarbiau įdiegti bendrąsias IT kontrolės priemones, skirtas užtikrinti nuolatinį automatinių informacijos apdorojimo kontrolės elementų veikimą (išsamiau apie IT vertinimą Susipažinimo su IT ir jų vertinimo skiltyje).

Kontrolės priemonės kontrolės veiksmų komponente gali būti susijusios su toliau nurodytais dalykais:

  • sankcionavimas ir patvirtinimai. Sankcionavimas atliekamas siekiant pripažinti sandorį galiojančiu (t. y. kad jis yra faktinis ekonominis įvykis arba kad atitinka subjekto politiką). Sankcionavimą paprastai atlieka aukštesnio lygmens vadovybė pateikdama patvirtinimą arba patikrindama ir nustatydama, kad sandoris yra galiojantis. Pavyzdžiui, vadovas patvirtina išlaidų ataskaitą, kai patikrina sąnaudų pagrįstumą ir atitiktį politikai. Automatinis patvirtinimas gali būti, kai, pvz., sąskaitoje nurodyta vieneto kaina automatiškai palyginama su susijusiame pirkimo užsakyme nurodyta vieneto kaina nustatyto leistino nuokrypio ribose. Sąskaitos, kuriose kaina yra leistino nuokrypio ribose, automatiškai patvirtinamos apmokėti. Sąskaitos, kuriose kaina viršija leistino nuokrypio ribą, pažymimos kaip papildomam tikrinamos;
  • suderinimai – atliekant suderinimą lyginami du ar daugiau duomenų elementų. Jei nustatomi skirtumai, imamasi veiksmų duomenims suderinti. Suderinimai paprastai skirti reaguoti į tvirtinimus apie ūkinių operacijų apdorojimo išsamumą arba tikslumą;
  • patikrinimai – atliekant patikrinimus lyginami du ar daugiau elementų tarpusavyje arba atskiri elementai lyginami su politika. Paprastai kartu imamasi tolesnių veiksmų, jei du elementai nesutampa arba tam tikras elementas neatitinka politikos. Patikrinimai paprastai skirti reaguoti į tvirtinimus apie ūkinių operacijų apdorojimo išsamumą, tikslumą arba pagrįstumą;
  • fizinės arba loginės kontrolės priemonės, įskaitant susijusias su turto apsauga nuo neteisėtos prieigos, įsigijimo, naudojimo ar sunaikinimo. Kontrolės priemonės, kurias sudaro:
    • fizinė turto apsauga, įskaitant tinkamas apsaugos priemones, tokias kaip prieigos prie turto ir įrašų apsauga;
    • kompiuterinių programų ir duomenų bylų prieigos leidimai (t. y. loginė prieiga);
    • periodinė inventorizacija ir palyginimas su kontroliniais įrašais (pvz., pinigų, atsargų inventorizacijos rezultatų palyginimas su apskaitos įrašais).

Fizinės kontrolės priemonių, skirtų apsaugoti nuo turto vagystės, svarba patikimos finansinės atskaitomybės sudarymui ir atitinkamai auditui priklauso nuo aplinkybių, pvz., kurioms esant kyla didelė neteisėto turto pasisavinimo grėsmė, pareigų atskyrimas. Tam tikriems darbuotojams skiriamos ūkinių operacijų tvirtinimo, ūkinių operacijų registravimo ir turto apsaugos pareigos. Atskiriant pareigas siekiama sumažinti bet kurio asmens galimybes vykdyti apgaulę, daryti klaidas arba jas slėpti įprasto jam priskirto darbo metu.

Kartais pareigų atskyrimas gali būti praktiškai neįgyvendinamas, neefektyvus ar neįmanomas. Pavyzdžiui, mažesni ir paprastesni subjektai gali neturėti pakankamai išteklių tinkamai atskirti pareigas, o papildomų darbuotojų samdymo išlaidos gali būti pernelyg didelės. Tokiais atvejais vadovybė gali įdiegti alternatyvias kontrolės priemones.

Tam tikros kontrolės priemonės gali priklausyti nuo atitinkamų priežiūros kontrolės priemonių, kurias nustato vadovybė arba už valdymą atsakingi asmenys. Pavyzdžiui, sankcionavimo kontrolės priemonės gali būti perduodamos remiantis nustatytomis gairėmis.

Supratimas apie grupės vidaus kontrolės sistemos elementus apima supratimą apie kontrolės priemonių tokiuose komponentuose bendrumą visoje grupėje. Siekiant suprasti kontrolės priemonių bendrumą visoje grupėje, vertėtų atsižvelgti į tai:

  • ar kontrolės priemonė parengta centralizuotai ir ar ji turi būti įdiegta taip, kaip suprojektuota (t. y. be pakeitimų), kai kuriuose ar visuose komponentuose;
  • ar kontrolės priemonė yra įdiegta ir, jei taikoma, yra stebima asmenų, turinčių tokias pačias pareigas ir gebėjimus visuose komponentuose, kuriuose kontrolės priemonė yra įdiegta;
  • jei kontrolės priemonė naudoja IT taikomųjų programų informaciją – ar IT taikomosios programos ir kiti IT aplinkos, kurioje kuriama informacija, aspektai yra tokie patys visuose komponentuose ar vietovėse; arba
  • jei kontrolės priemonė yra automatinė – ar ji kiekvienoje visų komponentų IT taikomojoje programoje sukonfigūruota tokiu pačiu būdu.

Siekiant suprasti, kaip informacija yra apdorojama ir kontroliuojama, gali tekti apsvarstyti, kokiu lygmeniu grupėje vykdomos kontrolės priemonės (pvz., konsoliduotosios grupės kaip visumos lygmeniu ar kitais agregavimo grupėje lygmenimis), ir centralizacijos bei bendrumo lygmenį.

Grupės auditorius turi suprasti šiuos dalykus apie kontrolės veiksmus:

  • visos grupės ar jos dalies informacijos apdorojimo kontrolės priemonių ir bendrųjų IT kontrolės priemonių bendrumą;
  • visos grupės ar jos dalies kontrolės priemonių, skirtų reaguoti į grupės finansinių ataskaitų reikšmingo iškraipymo riziką tvirtinimų lygmeniu, parengimo bendrumo mastą;
  • bendrai parengtų kontrolės priemonių įgyvendinimo visoje grupėje ar jos dalyje nuoseklumo mastą.

Vadovaudamasis 2315-ojo TAAIS 26 d. a punktu, auditorius turi identifikuoti nurodytas kontrolės priemones. Reikalaujama identifikuoti tas, kurios atitinka vieną ar daugiau 26 dalies a punkte nurodytų kriterijų. Kai daugybė kontrolės priemonių atskirai pasiekia tą patį tikslą, nebūtina nustatyti kiekvienos su tokiu tikslu susijusios kontrolės priemonės – auditorius turi identifikuoti pagrindines kontrolės priemones, kurias vertins.

Atkreiptinas dėmesys į tai, kad kai kurių tokių kontrolės priemonių identifikavimui įtakos turi įgimtos rizikos vertinimas, nes, pavyzdžiui, auditorius gali identifikuoti kontrolės priemones, susijusias su reikšminga rizika, tik tada, kai jis įvertina įgimtą riziką tvirtinimų lygmeniu. Be to, kontrolės priemonės, skirtos reaguoti į riziką, dėl kurios, auditoriaus vertinimu, pakankamų tinkamų audito įrodymų negalima surinkti atliekant vien tik pagrindines procedūras, taip pat paprastai gali būti nustatomos tada, kai auditorius atlieka įgimtos rizikos įvertinimus.

Vadovaudamasis 2315-ojo TAAIS 26 d. d punktu, auditorius turi įvertinti, ar šios 314 p. lentelės A) a) dalyje minėtos kontrolės priemonės yra tinkamai parengtos ir ar jos buvo įdiegtos (žr. aukščiau pateiktos lentelės B ir C dalis). Atkreipiame dėmesį, kad šis vertinimas nėra kontrolės priemonių efektyvumo įvertinimas, kuris atliekamas atlikus kontrolės testus. Tai atlikęs jis galės suprasti vadovybės reagavimo į tam tikrą riziką metodus bei, tuo remdamasis, parengti ir atlikti tolesnes audito procedūras, pritaikytas tokiai rizikai. Net kai auditorius neplanuoja atlikti nustatytų kontrolės priemonių kontrolės testų, šis kontrolės priemonių parengimo ir įdiegimo supratimas yra svarbus tam, kokio pobūdžio, atlikimo laiko ir apimtiems pagrindines audito procedūras, pritaikytas susijusiai reikšmingo iškraipymo rizikai, auditorius parengs.

Pirmiausia, vertinama, ar atitinkama kontrolės priemonė yra tinkamai parengta. Tai darydamas auditorius apsvarsto, ar kontrolės priemonė atskirai arba kartu su kitomis kontrolės priemonėmis gali efektyviai užkirsti kelią reikšmingiems iškraipymams arba juos nustatyti ir ištaisyti (t. y. pasiekti kontrolės priemonių tikslą) arba parengta taip, kad padeda veikti kitoms kontrolės priemonėms. Jei kontrolės priemonė parengta netinkamai, tai gali rodyti, kad yra kontrolės trūkumas. Tokiu atveju nėra prasmės vertinti, ar tokia netinkamai parengta kontrolės priemonė yra įdiegta.

Siekdamas nustatyti, ar atitinkama kontrolės priemonė yra įdiegta, auditorius turi įsitikinti, kad ji yra ir subjektas ją naudoja. Tuo auditorius įsitikina atlikdamas šias rizikos įvertinimo procedūras:

  • paklausimų pateikimas subjekto darbuotojams;
  • specifinių kontrolės priemonių taikymo stebėsena;
  • dokumentų ir ataskaitų tikrinimas.

Vien tik paklausimų šiam tikslui pasiekti nepakanka, todėl turi būti atliekama ir stebėsena arba dokumentų tikrinimas.

Rekomenduojama atlikti nuosekliosios peržiūros testus. Šis testas – tam tikros audituojamo subjekto ūkinės operacijos etapų ir juose taikomų procedūrų (apskaitos ir vidaus kontrolės) egzistavimo patikrinimas, kurio metu geriau suprantamos kontrolės procedūros ir įsitikinama jų buvimu. Šis testas nėra kontrolės testas (išsamiau – Kontrolės testų skiltyje) – jis neduoda užtikrinimo dėl to, ar nagrinėjama vidaus kontrolės sistema veikia efektyviai, o tik leidžia geriau suprasti, ar auditorius tinkamai supranta veikiančią sistemą, ir leidžia preliminariai įvertinti, ar vykdomos įvairiuose tvarkų aprašuose dokumentuotos vidaus kontrolės procedūros, ar nėra nedokumentuotų vidaus kontrolės procedūrų, kurios faktiškai vykdomos. Paprastai atliekant nuoseklios peržiūros testą iš apskaitos srities pasirenkamos tipinės ūkinės operacijos ir nustatomi visi tos ūkinės operacijos fiksavimo procesai ir su jais susiję vidaus kontrolės veiksmai. Taip auditorius sužino, kaip vyksta procesas, kam siunčiami ūkinės operacijos rezultatai, ar ilgai trunka dokumentų parengimas ir kt. Nuoseklios peržiūros testo pradžia – pirminis dokumentas, nuo kurio prasideda ūkinė operacija.

Gali būti, kad ankstesniais audituojamaisiais laikotarpiais auditorius nustatė, kad atitinkamos kontrolės priemonės buvo netinkamai parengtos arba neįdiegtos. Jei audituojamuoju laikotarpiu yra parengtos naujos arba naujai įdiegtos atitinkamos kontrolės priemonės, auditorius privalo nustatyti ir įvertinti šias kontrolės priemones vadovaudamasis 2315-ojo TAAIS 26 d. b–d punktų reikalavimais.

Auditoriaus atliktas darbas vertinant, ar atitinkamos kontrolės priemonės tinkamai parengtos ir įdiegtos, yra naudingas auditoriui priimant šiuos sprendimus:

  • jeigu auditorius nustatė, kad jos tinkamai parengtos ir įdiegtos, jis gali priimti sprendimą atlikti jos kontrolės testus. Tokiais atvejais auditoriaus atliktas vertinimas naudojamas įvertinti kontrolės riziką;
  • net jei auditorius neplanuoja atlikti kontrolės testų, auditoriaus gautas supratimas gali būti naudingas rengiant pagrindinių procedūrų, pritaikytų atitinkamai reikšmingo iškraipymo rizikai, pobūdį, atlikimo laiką ir apimtį.

Išsamesnė informacija apie kontrolės testus pateikta Kontrolės testų skiltyje.

Susiję dokumentai

Audito standartai