ValstybesKontrole.lt

IT auditas

Informacinių technologijų audito samprata

Informacinių technologijų audito apibrėžtis

Pagal 5100-ąsias GUID informacinių technologijų auditas[1] gali būti apibrėžiamas kaip kontrolės priemonių, susijusių su IT grindžiamomis informacinėmis sistemomis, tikrinimas siekiant nustatyti nukrypimų nuo kriterijų atvejus – kriterijai, savo ruožtu, nustatyti atsižvelgiant į atliekamo audito tipą, t. y. finansinį, atitikties arba veiklos. IT auditas gali būti atliekamas kaip atskiras auditas, kurio metu vertinamos IT kontrolės priemonės atitikties ir (ar) 3E aspektais arba gali būti atliekamas kaip finansinio, veiklos ar atitikties audito dalis, t. y. jungtinis auditas. Išsamiau Jungtinių auditų skiltyje.

INTOSAI IT audito darbo grupės (WGITA) ir INTOSAI vystymo iniciatyvos (IDI) parengtame IT audito vadove[2] IT auditas apibrėžiamas kaip patikinimo dėl to, ar IT sistemų kūrimas, diegimas ir priežiūra atitinka verslo tikslus, apsaugo informacijos turtą ir išlaiko duomenų vientisumą, procesas. Kitaip tariant, IT auditas yra IT sistemų ir IT kontrolės priemonių, skirtų užtikrinti, kad sistemos atitiktų organizacijos poreikius, nepakenkiant saugumui, privatumui, sąnaudoms ir kitiems svarbiems verslo elementams, nagrinėjimas.

Dar kituose šaltiniuose[3] pateikiama IT audito sąvoka, pagal kurią tai procesas, kurio metu renkami ir įvertinami įrodymai, siekiant nustatyti, ar kompiuterinė sistema saugo turtą, palaiko duomenų vientisumą, leidžia efektyviai pasiekti organizacijos tikslus ir efektyviai naudoja išteklius. Harvardo universitetas pateikia tokį IT audito apibrėžimą: „Informacinių technologijų auditas – tai organizacijos informacinių technologijų infrastruktūros, taikomųjų programų, duomenų naudojimo ir valdymo, politikos, procedūrų ir veiklos procesų patikrinimas ir įvertinimas pagal pripažintus standartus arba nustatytą politiką. Audito metu įvertinama, ar informacinių technologijų turto apsaugos kontrolės priemonės užtikrina vientisumą ir yra suderintos su organizacijos tikslais ir uždaviniais“.

Nepaisant gausybės įvairių IT audito sąvokų ir bruožų, bendras šių auditų aspektas yra pateikti išvadą apie tai, kiek IT kontrolės priemonės yra pakankamos[4] ir patikimos[5], kad užtikrintų audituojamojo subjekto veiklos tikslų pasiekimą.

Taigi IT auditas yra plati sąvoka, be to, atsižvelgiant į audito tikslą jis gali pasižymėti atitikties auditų (IT kontrolės priemonių atitikties teisės aktų ir (ar) kitiems reikalavimams vertinimas) ir (ar) veiklos auditų (IT kontrolės priemonių ekonomiškumo, efektyvumo, rezultatyvumo vertinimas) bruožais:

  • veiklos audito kontekste IT auditas galėtų vertinti, ar technologiniai sistemų patobulinimai padėjo įmonei pasiekti savo tikslus;
  • atitikties audito kontekste IT auditas galėtų būti informacinių sistemų, rengiančių atitikties ataskaitas, leidžiančių darbuotojams vykdyti ir kontroliuoti įmonės veiklą, veiksmingumo tyrimas arba vertinimas kaip organizacijoje įdiegtos IT kontrolės priemonės atitinka teisės aktų reikalavimus.

Gali būti atvejų, kai IT auditai skirti tik tam tikroms IT sritims įvertinti.

[1] 5100 GUID vartojama sąvoka „IS auditas“, šioje svetainėje vartojama sąvoka „IT auditas“, kuri IT sąvokos kontekste turi platesnę reikšmę. Išsamiau informacinės sistemos ir informacinių technologijų sąvokų paaiškinimai pateikti Santrumpų ir savokų skiltyje.

[2] WGITA – IDI IT audito vadovas (angl. WGITA – IDI Handbook in IT audit for Supreme Audit Institution), 2022 m. leidimas.

[3] Indijos AAI Informacinių technologijų audito vadovas.

[4] IT kontrolės priemonės pakankamos, kai jos sukurtos tokia apimtimi kurių pakanka, kad būtų sudarytos tinkamos sąlygos organizacijai, atsižvelgiant į jos veiklos specifiką ir mastą, siekti savo nustatytų tikslų.

[5] IT kontrolės priemonės patikimos, kai jos tinkamai sukurtos ir įgyvendinamos taip, kaip numatyta organizacijos politikoje, standarte, tvarkoje, teisės akte, techninėje specifikacijoje ar kitose dokumentuose.

IT bendroji kontrolė ir taikomųjų programų kontrolė

Paprastai atliekant IT auditus auditorius turi suprasti galimą veiklos ir IT riziką, su kuria gali susidurti audituojamas subjektas, ir savo ruožtu ištestuoti ir įvertinti, ar subjekto įdiegtos IT kontrolės priemonės yra pakankamos ir patikimos siekiant įgyvendinti organizacijos tikslus.

Vidaus kontrolės sistema – tai politikos, procedūrų ir metodų, užtikrinančių organizacijos turto apsaugą, finansų apskaitos tikslumą ir patikimumą bei valdymo standartų laikymąsi, derinys. IT srityje kontrolės priemonės, kurios yra organizacijos vidaus kontrolės sistemos dalis, skirstomos į dvi kategorijas: IT bendrosios kontrolės ir taikomųjų programų kontrolės.

IT kontrolės priemonės

IT bendroji kontrolė yra IT kontrolės sistemos pagrindas. Ji susijusi su bendra aplinka, kurioje IT sistemos yra kuriamos, eksploatuojamos ir prižiūrimos. IT bendrosios kontrolės priemonės nustato bendrą IT veiklos kontrolės sistemą ir užtikrina, kad bendri kontrolės tikslai būtų pasiekti. Šios kontrolės priemonės įgyvendinamos naudojant įvairias priemones, pvz.: politiką, gaires ir procedūras, įdiegiant tinkamą valdymo struktūrą, įskaitant organizacijos IT sistemų valdymo struktūrą. IT bendrosios kontrolės pavyzdžiai yra IT strategijos ir IT saugumo politikos rengimas ir įgyvendinimas, IT valdymo komiteto įsteigimas, IT darbuotojų organizavimas siekiant atskirti prieštaringas pareigas ir nelaimių prevencijos ir atkūrimo planavimas.

Taikomosios programos kontrolės priemonės – tai specifinės kontrolės priemonės, būdingos kiekvienai taikomajai programai. Jos taikomos programos segmentams (posistemiams) ir yra susijusios su tokiomis transakcijomis kaip duomenų įvedimas, apdorojimas ir išvestis:

  • Įvesties kontrolės priemonės turi užtikrinti, kad į taikomąją programą būtų įvesta tik tinkama informacija (reikiamo ilgio, formato, turinio, struktūros, pan.), kuri nebūtų įvesta kelis kartus, įvedama tik asmens, kuris turi reikiamus įgaliojimus, kt.
  • Apdorojimo kontrolės priemonės turi užtikrinti įvestų duomenų išsamumą ir tikslumą, pvz., kontrolės priemonės, kurios tikrina ir fiksuoja visus atliekamus keitimus, sulygina apdorojamų ir įvestų eilučių skaičių ir kt.
  • Išvesties kontrolės priemonės užtikrina, kad vartotojams būtų pateiktos naudoti ataskaitos, kurios sudarytos pagal nustatytus reikalavimus, užtikrinant išvedamų duomenų tikslumą ir saugumo reikalavimus (pvz., nuasmeninimas).

Visos minėtos kontrolės priemonės paprastai susijusios su organizacijos veiklos procesų logika. Išsamiau Taikomųjų programų kontrolės priemonių vertinimas.

IT bendrosios kontrolės priemonės, kitaip nei taikomųjų programų kontrolės priemonės, nėra būdingos tik konkrečioms taikomosioms programoms. IT bendrosios kontrolės tikslas – užtikrinti tinkamą ir saugų organizacijos visos informacinės sistemos ir joje esančių taikomųjų programų kūrimą, veikimą, priežiūrą ir vystymą.

IT bendrųjų kontrolės priemonių rengimas ir įgyvendinimas gali turėti didelį poveikį taikomųjų programų kontrolės veiksmingumui. IT bendrosios kontrolės priemonės suteikia programoms reikalingus išteklius (pvz., žmogiškuosius, procesinius, finansinius) ir bazines kontrolės priemones. Jei IT bendrosios kontrolės priemonės yra silpnos, jos labai sumažina kontrolės priemonių, susijusių su IT taikomosiomis programomis, patikimumą, t. y. IT bendrųjų kontrolės priemonių struktūra ir veikimo veiksmingumas labai priklauso nuo to, kokiu mastu vadovybė gali pasikliauti taikomųjų programų kontrole, siekiant valdyti riziką. Todėl atliekant taikomosios programos kontrolės priemonių vertinimą svarbu įvertinti ir IT bendrosios kontrolės priemonių veikimą.

IT bendrosios kontrolės priemonės, kurios labiausiai daro poveikį taikomosios programos kontrolės priemonėms, yra šios[1]:

  • prieigos prie infrastruktūros, taikomųjų programų ir duomenų valdymas;
  • IS kūrimo valdymas;
  • IS incidentų, pakeitimų, problemų valdymas;
  • duomenų atsarginių kopijų ir veiklos tęstinumo valdymas.

[1] INTOSAI IT audito darbo grupė (WGITA) ir INTOSAI vystymo iniciatyva (IDI) parengtas IT audito vadovas, 5 psl.

IT kontrolės priemonių tipai

Kiekviena organizacija sukuria savo veiklai užtikrinti reikiamą vidaus kontrolės priemonių sistemą, kuri užkerta kelią įvairiems incidentams įvykti, leidžia apsaugoti turtą nuo neteisėtų veiksmų, mažina sukčiavimo rizikas, padeda nustatyti galimai atliktus neteisėtus veiksmus ir pan. IT kontrolės priemonės yra organizacijos vidaus kontrolės dalis, kaip ir vidaus kontrolės priemonės, jos skirstomos į 3 tipus:

  • Prevencinės kontrolės priemonės, kurių paskirtis yra užkirsti kelią klaidoms, kenkėjiškai veiklai pasireikšti ir pan. Pavyzdžiui, prevencinės IT kontrolės priemonės gali būti: tam tikri tikrinimo veiksmai, kad į darbą būtų priimamas tik kvalifikuotas ir nepriekaištingą reputaciją turintys personalas; funkcijų, kurios nesuderinamos, atskyrimas, kad būtų mažinama sukčiavimo ar piktnaudžiavimo rizika; fizinės pareigos prie IT išteklių ribojimas, kad pašaliniai asmenys negalėtų laisvai prieiti prie išteklių ir pakenkti organizacijai; duomenų šifravimas, siekiant užkirsti kelią neteisėtam duomenų atskleidimui; taikomosios programos atliekamas automatinis suvedamų duomenų tikrinimas, pvz., ar suvestas asmens kodas yra be klaidų ir kt.
  • Aptikimo kontrolės priemonės, kurios aptinka ir praneša apie įvykusį įvykį, klaidą, neveikimą ar piktybinį veiksmą. Tai galėtų būti, pvz.: įdiegta sistema, kuri surenka informaciją apie tinkle fiksuojamus neteisėtus veiksmus ir praneša už saugumą atsakingiems asmenims; vidaus audito atlikimas; veiksmų (angl. Log) žurnalų peržiūra; programinio kodo peržiūra; įvairūs patikrinimai ir testavimai siekiant nustatyti defektus ar teisės aktų nesilaikymo atvejus.
  • Korekcinės kontrolės priemonės, kurios sumažina grėsmių poveikį, sudaro sąlygas identifikuoti problemų priežastis ir jas pašalinti, taip pat tobulinti esamą kontrolės sistemą, kad būtų sumažintos ateityje galinčios kilti rizikos. Tokios kontrolės priemonės galėtų būti, pvz.: atsarginių duomenų kopijų kaupimas; veiklos tęstinumo planavimas; incidentų ir problemų valdymas; paslaugų lygių valdymas.

Auditorius, atlikdamas IT auditą, turi suprasti kokio tipo IT kontrolės priemonės naudojamos audituojamame subjekte, siekiant sumažinti organizacijos rizikas.

Audito šalys

Kiekvienas auditas apima tris tarpusavyje susijusias audito šalis:

  • auditorių, kurio pareiga yra surinkti pakankamų ir tinkamų audito įrodymų audito tikslui pasiekti ir pagal tai parengti audito ataskaitą;
  • atsakingąją šalį (audituojamą subjektą ir kitas institucijas) – subjektus, atsakingus už audito srities informaciją, audito srities valdymą ir (ar) rekomendacijų įgyvendinimą ir būtinų pokyčių taikymą;
  • numatomus naudotojus, kurie yra asmenys ir (ar) institucijos, kuriems auditorius rengia audito ataskaitą. Numatomi naudotojai paprastai yra įstatymų leidžiamoji ir vykdomoji valdžia, visuomenė (piliečiai). Tai gali būti ir su tam tikros politikos įgyvendinimu susijusios organizacijos, suinteresuotos audito ataskaita, konkrečios srities, su kuria susijęs auditas, ekspertai, nevyriausybinės organizacijos, žiniasklaida, akademinė bendruomenė ir kt. Numatomu naudotoju taip pat gali būti atsakingoji šalis. Numatomus naudotojus patartina išsiaiškinti kuo ankstesniame audito etape.

Sprendimui, kas yra svarbios atsakingosios šalys ir numatomi naudotojai, turi įtakos audito objektas, tikslas, klausimai, pasirinkti audito kriterijai ir kt. Audito metu svarbu įvertinti numatomų naudotojų ir atsakingųjų šalių poreikius ir interesus. Taip auditorius gali užtikrinti, kad šiems subjektams audito ataskaita bus naudinga ir suprantama, bet tai jokiu būdu neturėtų neigiamai paveikti auditoriaus nepriklausomumo ir objektyvaus požiūrio.

Pasitikėjimas ir užtikrinimas atliekant auditą

Kaip ir bet kokio kito audito atveju, IT audito ataskaitų naudotojai nori būti tikri, kad informacija, kurios pagrindu jie priima sprendimus, yra patikima. Todėl auditoriai turi atlikti atitinkamas procedūras, skirtas sumažinti riziką, kad bus pateiktos netinkamos išvados ir ataskaitoje pateikti informaciją, pagrįstą pakankamais ir tinkamais įrodymais.

Numatomiems naudotojams turi būti suteiktas pakankamo lygio užtikrinimas (tai aukšto lygio, tačiau neabsoliutus užtikrinimas, nes dėl auditui būdingų apribojimų auditas negali suteikti absoliutaus užtikrinimo). Kad to pasiektų, auditorius audito ataskaitoje turi aiškiai pateikti audito tikslą, klausimus, kriterijus, apimtį ir visus svarbius apribojimus, metodus, surinktus įrodymus, pastebėjimus ir išvadas. Svarbu, kad numatomiems naudotojams būtų aiškūs ryšiai tarp šių elementų, kad naudotojai suprastų, jog audito kriterijai, audito pastebėjimai ir išvados yra nešališki ir pagrįsti ir kodėl, atsižvelgiant į audito kriterijus ir pastebėjimus, buvo pateiktos tam tikros išvados ir rekomendacijos. Jeigu tai atliekama tinkamai, numatomi naudotojai gali pasitikėti išvadų pagrįstumu. Tokiu atveju laikoma, kad auditorius suteikė užtikrinimą.

Informacinių technologijų audito procesas

IT audito procesą sudaro šie pagrindiniai etapai:

  • audito planavimas: audito inicijavimas, išankstinis tyrimas ir audito plano parengimas;
  • pagrindinis tyrimas;
  • audito ataskaitos arba išankstinio tyrimo ataskaitos parengimas.

IT audito proceso etapai

Susiję dokumentai

Audito standartai