Susipažinimas su IT ir jų vertinimas

Visų pirma auditorius turi surinkti informaciją apie audituojamoje grupėje arba atitinkame audituojame subjekte (kai atliekamas atskiro subjekto finansinis auditas) naudojamas informacines sistemas ir taikomąsias programas. Šiam tikslui auditorius užpildo IS suvestinę, kurios formą galima rasti Šablonų skiltyje.

Auditorius turi identifikuoti, kurios iš šių IS ir taikomųjų programų yra aktualios auditui (1 ir 2 žingsniai) (kai atliekamas grupės auditas – svarbu identifikuoti visai grupei aktualias IS ir taikomąsias programas) ir nustatyti, kurie subjektai yra už jas atsakingi, t. y. kurios institucijos yra šių IS valdytojai ir tvarkytojai (3 žingsnis). Paprastai tokią informaciją galima rasti registrai.lt.

Auditui aktuali IS ar taikomoji programa yra ta, kuria subjektas pasikliauna, siekdamas tiksliai apdoroti auditui aktualią informaciją ir užtikrinti jos vientisumą savo informacinėje sistemoje. Kurios IS ar taikomosios programos identifikuojamos kaip auditui aktualios – priklauso nuo auditoriaus profesinio sprendimo, kurį jis priima atsižvelgdamas į turimas žinias apie audituojamą subjektą ar grupę, veiklos ypatybių ar kitų svarbias aplinkybes.

Sprendimas laikyti IS ar taikomąsias programas aktualiomis auditui gali priklausyti nuo to, ar:

• taikomojoje programoje apdorojama informacija, susijusi su reikšmingomis arba svarbiomis apskaitos sritimis;
• kontrolės priemonės, kurios buvo identifikuotos vadovaujantis 2315-ojo TAAIS 26 d. a p. ir kuriomis pasikliauna vadovybė bei jos realizuotos taikomojoje programoje kaip automatinės kontrolės priemonės;
• konkrečioje taikomojoje programoje taikomos kontrolės priemonės, skirtos reaguoti į riziką, dėl kurios pakankamų tinkamų audito įrodymų negalima surinkti atliekant vien tik pagrindines procedūras (išsamiau apie tai – Reikšmingo iškraipymo rizikos nustatymo ir įvertinimo Papildomų reikalavimų skiltyje);
• kontrolės priemonės, susijusios su taikomoje programoje parengtomis ataskaitomis, kurias auditorius planuoja panaudoti kaip audito įrodymus (gali būti naudojamos ataskaitų rengyklės).
• 1 lentelėje pateikti pavyzdžiai taikomųjų programų ypatybių, nuo kurių priklauso, ar taikomoji programa turėtų būti vertinama kaip aktuali auditui.

1 lentelė. Taikomų programų ypatybių pavyzdžiai

Paprastai tokios IS arba taikomosios programos yra finansinės apskaitos, finansinių ir (ar) biudžeto vykdymo ataskaitų rengimo, kitos su subjekto ar jų grupės veikla susijusios sistemos ar taikomosios programos, kuriose tvarkomi duomenys, kurie naudojami metinių ataskaitų rinkiniams rengti.

Vadovaudamasis 2315-ojo TAAIS 26 d. c p. auditorius, nustatęs auditui aktualias IS ir taikomąsias programas, turi identifikuoti riziką, kuri susijusi su IT naudojimu. Todėl komponentuose (kai atliekamas grupės auditas), atsakinguose už auditui aktualias IS ir taikomąsias programas, ar audituojamame subjekte auditorius turi atlikti IT bendrosios kontrolės efektyvumo įvertinimą (4 žingsnis). Šį vertinimą auditorius atlieka remdamasis IT bendrosios kontrolės klausimyne pateiktais klausimais ir rekomenduojamomis procedūromis. IT bendrosios kontrolės vertinimo klausimyną galima rasti Šablonų skiltyje.

Jeigu audito grupėje nėra reikiamų kompetencijų IT bendrosios kontrolės efektyvumo vertinimui atlikti, galima pasitelkti kitų Valstybės kontrolės struktūrinių padalinių darbuotojus ar išorės specialistus (ekspertus). Toks profesinis sprendimas turi būti dokumentuojamas.

Siekdamas įvertinti su IT naudojimu susijusią riziką, auditorius visų pirma turi suprasti atitinkamo audituojamo subjekto (komponento) IT aplinką, kurią sudaro taikomosios programos susijusi IT infrastruktūra (t. y. tinklas, operacinės sistemos ir duomenų bazės bei su jais susijusi techninė ir programinė įranga) ir IT procesai bei šiuose procesuose dalyvaujantys darbuotojai, kuriuos subjektas pasitelkia veiklai vykdyti.

Susipažindamas su IT aplinka auditorius turi susipažinti ir išsiaiškinti (tiek kiek tai susiję su identifikuotomis auditui aktualiomis sistemomis):

• kokia yra IT valdymo politika, kaip vyksta IT strateginis planavimas, kokie IT strateginiai tikslai, uždaviniai, priemonės, kokie nustatyti IT veiklos rezultatus matuojantys rodikliai (angl. KPI), kokie šių rodiklių rezultatai;
• kaip vyksta duomenų apdorojimo procesai auditui aktualiose IS;
• kokie IS svarbos (kritiškumo) lygiai, kokie saugumo standartai, priemonės taikomos organizacijoje siekiant užtikrinti duomenų konfidencialumą, vientisumą ir prieinamumą;
• kokia IT organizacinė struktūra, kokios IT funkcijos ir atsakomybės, kaip jos paskirstytos IT sistemoje, kas atsakingas už IS vystymą, priežiūrą, susijusių duomenų bazių valdymą;
• kokie išorės ištekliai (angl. outsourcing) ir kiek jų dalyvauja įgyvendinant IT projektus;
• kokia IT rizikų valdymo tvarka, kokios yra IT rizikos (kurias organizacija nustatė) susijusios su audito objektu, kaip šios rizikos tvarkomos;
• kaip vyksta IT paslaugų valdymas, kiek IT paslaugų teikiama, kiek IT paslaugų atitinka paslaugų lygio susitarimą (angl. Service Level Agreement);
• kaip vyksta IT incidentų, keitimų, problemų valdymas organizacijoje;
• koks incidentų, pakeitimų mastas, kurie susiję su audito objektu, jų išsprendimo dinamika;
• kokie vidaus ir išorės IT auditai, savianalizės (angl. control self-assessment) ir kiti vertinimai IT srityje organizacijoje atliekami, kokie jų rezultatai, ar pašalinti nustatyti pažeidimai, ištaisytos klaidos ir laiku įgyvendintos rekomendacijos bei kt.

Užpildęs IT bendrosios kontrolės vertinimo klausimyną, auditorius įvertina šios kontrolės efektyvumo lygį kaip:

• didelį – kai IT kontrolės priemonės yra tinkamai sukurtos ir neturi įgyvendinimo ar veikimo trūkumų arba yra nereikšmingų ar smulkių trūkumų;
• vidutinį – kai IT kontrolės priemonės yra tinkamai sukurtos ir įgyvendinamos, tačiau turi įgyvendinimo ar veikimo trūkumų;
• mažą – kai IT kontrolės priemonių nėra arba jos netinkamai sukurtos ir (arba) yra netinkamai įgyvendinamos ar netinkamai veikia.

Vertinant IT bendrosios kontrolės priemones, įvertinama, ar jos tinkamai:

• sukurtos – sudaro sąlygas tinkamai reaguoti į su IT naudojimu susijusias rizikas;
• įgyvendinamos – praktikoje veikia pagal tinkamai sukurtas tvarkas ir procedūras.

IT bendrųjų kontrolės priemonių rengimas ir įgyvendinimas gali turėti didelį poveikį taikomųjų programų kontrolės efektyvumui. IT bendrosios kontrolės priemonės suteikia taikomosioms programoms reikalingus išteklius (pvz., žmogiškuosius, procesinius, finansinius) ir bazines kontrolės priemones. Jei IT bendrosios kontrolės priemonės yra silpnos, jos labai sumažina kontrolės priemonių, susijusių su IT taikomosiomis programomis, patikimumą, t. y. IT bendrųjų kontrolės priemonių struktūra ir veikimo efektyvumas labai priklauso nuo to, kokiu mastu vadovybė gali pasikliauti taikomųjų programų kontrole, siekiant valdyti riziką.

Dėl neefektyvios IT bendrosios kontrolės gali kilti rizika taikomosios programoms, nes šių programų kontrolės priemonės gali būti netinkamai sukurtos, o dėl to gali atsirasti iškraipymų ar kitų neatitikimų. Tokios rizikos mastas priklauso ir nuo taikomųjų programų pobūdžio, ypatybių bei kitų IT aspektų. Tokia rizika yra labiau tikėtina, kai automatinių taikomųjų programų kontrolės priemonių kiekis arba sudėtingumas yra didesnis ir vadovybė labiau pasikliauna tokiomis kontrolės priemonėmis, kad galėtų efektyviai apdoroti ūkines operacijas arba efektyviai užtikrinti pagrindinės informacijos vientisumą.

Rizikos, kuri gali būti identifikuota atlikus bendrosios kontrolės efektyvumo vertinimą, pavyzdžiai:

• neteisėta prieiga prie duomenų, dėl kurios jie gali būti sunaikinti arba netinkamai pakeisti, taip pat gali būti registruojamos nepatvirtintos ar nesamos ūkinės operacijos ar jos gali būti netinkamai registruojamos. Tokia rizika gali kilti, kai keli vartotojai turi prieigą prie bendros duomenų bazės;
• galimybė IT darbuotojams gauti didesnes prieigos teises, nei būtina jų tiesioginėmis pareigoms vykdyti, todėl pažeidžiama pareigų atskyrimo tvarka;
• nesankcionuoti pagrindinių bylų duomenų pakeitimai;
• nesankcionuoti taikomųjų programų ar kitų IT aplinkos aspektų pakeitimai;
• neatliekami būtini taikomųjų programų ar kitų IT aplinkos aspektų pakeitimai;
• netinkamas įsikišimas rankiniu būdu;
• galimas duomenų praradimas arba negalėjimas pasiekti duomenų, kai tai yra būtina;
• rizika, susijusi su kibernetiniu saugumu;
• trečiųjų šalių pasitelkimas valdant tam tikrus IT aspektus.

Jei, atlikus IT bendrosios kontrolės vertinimą, nustatyta IT bendrosios kontrolės trūkumų, apie juos auditorius turi oficialiu raštu ar el. paštu (priklausomai nuo trūkumų reikšmingumo) informuoti audituojamą subjektą.

Kai nusprendžiama, kad turi būti vertinamos taikomųjų programų kontrolės priemonės, auditorius pirmiausia turi įvertinti IS sudėtingumą. Vertinant pildomas IS sudėtingumo vertinimo dokumentas, kurį galima Šablonų skiltyje. Jei vertinant auditui svarbios IS sudėtingumą auditoriui sudėtinga įvertinti reikiamas sritis, rekomenduojama audituojamajam subjektui pateikti paklausimą arba atlikti pokalbius su organizacijoje paskirtu duomenų valdymo įgaliotiniu, kuris atsakingas už atitinkamos IS plėtrą ir priežiūrą. IS gali būti įvertinta kaip:

• didelė arba sudėtinga;
• vidutinio dydžio ir vidutiniškai sudėtinga;
• nesudėtinga.

Nesudėtingoms ir sudėtingoms IS ar taikomosioms programoms būdingų pavyzdžių taip pat rasite 2315-ojo TAAIS 5 priedo 4 punkte.

Atsižvelgiant į auditui aktualios IS sudėtingumą bei audito grupės turimą kompetenciją ir gebėjimus, taikomųjų programų kontrolės priemonių testavimą auditorius gali atlikti pats arba pasitelkti kitų Valstybės kontrolės struktūrinių padalinių darbuotojus ar išorės specialistus (ekspertus). Toks profesinis sprendimas turi būti dokumentuojamas.

Taikomųjų programų kontrolės priemonės finansinio audito kontekste paprastai priskiriamos automatinėms kontrolės priemonėms. Automatinės kontrolės priemonės, kurios gali būti nustatytos pagal 2315-ojo TAAIS 26 d. b punktą, gali apimti, pvz., automatines skaičiavimų arba įvesties, apdorojimo ir išvesties kontrolės priemones, tokias kaip trijų dokumentų – pirkimo užsakymo, tiekėjo važtaraščio ir tiekėjo sąskaitos faktūros – duomenų suderinimo kontrolės priemones. Jų efektyvumo vertinimas gali būti suplanuotas ir atliekamas kartu su kitais kontrolės testais.

Auditorius neprivalo testuoti visų taikomojoje programoje esančių kontrolės priemonių – jis turi identifikuoti pagrindines kontrolės priemones, kurias vertins. Priimdamas sprendimą dėl konkrečių testuojamų taikomųjų programų kontrolės priemonių, auditorius atsižvelgia į planavimo metu nustatytą reikšmingo iškraipymo riziką ir (ar) kokį poveikį atitinkama kontrolės priemonė gali turėti finansiniams duomenims ir apskaitos teisingumui.

Rengiant taikomųjų programų kontrolės testus turi būti išanalizuota techninė ir kita dokumentacija, susijusi su atitinkama kontrolės priemone, kurioje pateikiami veiklos reikalavimai kaip kontrolės priemonė turi veikti praktikoje (funkciniai reikalavimai). Rekomenduojama atlikti IS veikimo nuoseklios peržiūros testą: auditorius turi susipažinti, kaip veikia auditui aktuali taikomoji programa ir kokias operacijas joje nuo proceso pradžios iki pabaigos galima atlikti. Jei IS sudėtinga, šis testas yra privalomas. Auditorius rengdamas klausimynus gali pasinaudoti Taikomųjų programų kontrolės priemonių ir jų testavimo pavyzdžiais, kuriuos galima rasti Tvarkų ir kitos informacijos skiltyje. Taip pat galima išanalizuoti ir panaudoti audituojamo subjekto taikytus testavimo scenarijus, susijusius su testuojamomis kontrolės priemonėmis, kurie buvo atlikti kuriant, modernizuojant ar modifikuojant programinę įrangą. Jei tinka, gali būti naudojami ankstesnių auditų testavimo scenarijai.

Šių testų apimtis priklausys nuo to, kiek parametrų ir su jomis susijusių kombinacijų taikomoji programa sukuria atlikdama tam tikrą pasirinktą testuoti kontrolės priemonę. Pavyzdžiui, pasirinkta testuoti nedarbo išmokos apskaičiavimo funkcija; skirtingomis išmokos mokėjimo sąlygomis, algoritmas turi apskaičiuoti skirtingą rezultatą, todėl tokiais atvejais reikia ištestuoti visus galimus skaičiavimo variantus ir įsitinkinti, kad funkcija visais atvejais veikia tinkamai. Identifikavus visus galimus kontrolės priemonės veikimo variantus, užtenka testuoti po vieną kiekvieno šio varianto pavyzdį.

Auditorius turi patikrinti, ar pasirinkta testuoti kontrolės priemonė veikia taip, kaip nurodyta techninėje ar kitoje susijusioje dokumentacijoje. Jei testuojant nustatoma veikimo trūkumų (taikomosios programos kontrolės priemonė neveikia taip, kaip turi veikti pagal reikalavimus), vertinama, kad ši kontrolės priemonė veikia neefektyviai ir ja negalima pasitikėti. Nustatęs taikomosios programos kontrolės trūkumų, auditorius apie juos turi oficialiu raštu ar el. paštu (priklausomai nuo trūkumų reikšmingumo) informuoti audituojamą subjektą.

Taikomųjų programų kontrolės priemonės testuojamos IS testavimo aplinkoje, prie kurios prieigą suteikia audituojamas subjektas. Ši prieiga suteikiama laikantis audituojamo subjekto patvirtintos prieigos prie IS teisių suteikimo tvarkos reikalavimų.

Vertinimo metu atliktas darbas naudojamas siekiant įvertinti reikšmingo iškraipymo riziką ir nustatant reikalingą atsaką į tokią riziką. Apibendrinant pirmiau pateiktas nuostatas, atlikus IT bendrosios kontrolės vertinimą atitinkamuose komponentuose (kai atliekamas grupės auditas) ar atskirame subjekte, auditorius turi:

• oficialiu raštu ar el. paštu (priklausomai nuo trūkumų reikšmingumo) informuoti audituojamą subjektą apie nustatytus IT bendrosios kontrolės trūkumus;
• įvertinti, ar ir kokios apimties turi būti atliktas auditui svarbių taikomųjų programų kontrolės priemonių vertinimas,
• numatyti bendrąjį audito atsaką į dėl nustatytų trūkumų kylančią riziką (išsamiau apie bendrąjį atsaką – Atsako į reikšmingo iškraipymo riziką nustatymo skiltyje).

Atlikdamas taikomųjų programų kontrolės priemonių vertinimą, auditorius turi:

• oficialiu raštu ar el. paštu (priklausomai nuo trūkumų reikšmingumo) informuoti audituojamą subjektą apie nustatytus taikomųjų programų kontrolės priemonių trūkumus;
• atsižvelgti į vertinimo rezultatus rengiant tolesnes audito procedūras – nustatydamas šių procedūrų pobūdį ir apimtį;
• įvertinti nustatytų trūkumų įtaką auditoriaus nuomonei (jei nustatomi reikšmingi taikomųjų programų kontrolės priemonių trūkumai, dėl to gali kilti audito apimties apribojimai – negalima surinkti tinkamų pakankamų audito įrodymų).

Gali būti, kad atliekamam auditui aktualus vertinimas (t. y. susipažinimas su audituojamo subjekto IT aplinka, auditui svarbiomis IS ir taikomosiomis programomis, atliktas IT bendrosios kontrolės efektyvumo ir atitinkamų taikomųjų programų kontrolės priemonių efektyvumo vertinimas) buvo atliktas kito, t. y. ankstesnio finansinio audito, kitos finansinio audito grupės audito arba kito audito tipo (veiklos, atitikties ar IT) metu. Tokiu atveju audito grupė gali pasinaudoti šio vertinimo rezultatais, jei po jo audituojamo subjekto IT bendrojoje kontrolėje ir IS neįvyko jokių esminių pasikeitimų (pvz., įdiegta nauja prieigos kontrolės politika arba panaikinti esami kontrolės procesai, įvesta nauja IT valdymo struktūra, pakeista integracija su kitomis sistemomis, atnaujintos pagrindinės taikomosios programos funkcijos ir pan.), ir audito grupės vertinimu atliktas darbas tinka atliekamo finansinio audito tikslams pasiekti.

Tokiais atvejais, kai pokyčių nebuvo, auditorius turi atlikti IT bendrosios kontrolės ir (ar) taikomosios kontrolės priemonių efektyvumo testus bent vieną kartą per trejus metus, o kai kurių kontrolės priemonių testus turi atlikti kiekvieno audito metu, kad išvengtų visų kontrolės priemonių, kuriomis auditorius ketina pasitikėti vienu audito laikotarpiu, testavimo, neatlikdamas kontrolės priemonių testų kitų dviejų auditų laikotarpiais.

Jei po paskutinio bendrosios kontrolės vertinimo IT aplinkoje įvyko pokyčių ir keitėsi IT bendrosios kontrolės ir (ar) taikomųjų programų kontrolės priemonės, kuriomis ketinama pasitikėti atliekamame audite, auditorius turi iš naujo atlikti susipažinimo procedūras su naujai parengtomis arba įdiegtomis kontrolės priemonėmis ir atlikti jų efektyvumo testus.