ValstybesKontrole.lt

Audito ataskaitos projekto rengimas

Audito ataskaitos projekto rengimas

Audito ataskaitos projekto rengimą organizuoja audito grupės vadovas, kuris užtikrina, kad projektas būtų parengtas audito plane numatytais terminais. Rengiant projektą gali dalyvauti ir kiti audito grupės nariai. Išsamiau audito grupės atsakomybė ir veiksmai rengiant audito ataskaitos projektą aprašyti Valstybinių auditų kokybės užtikrinimo vadove.

Jeigu rengiant audito ataskaitos projektą iki jo pateikimo valstybės kontrolieriaus pavaduotojui, kuriam tiesiogiai pavaldus auditą atliekantis audito departamentas, buvo gauta naujos informacijos ar nustatyta naujų faktų, dėl kurių keitėsi audito rezultatai (auditoriaus vertinimai, išvados, rekomendacijos ar kt.), šie pakeitimai turi būti dokumentuoti (patikslinti anksčiau rengti arba parengti nauji darbo dokumentai) ir atitinkamai patikslinta audito rezultatų suvestinė.

Kai gauta nauja informacija iš esmės nekeičia audito rezultatų (auditoriaus vertinimų, išvadų, rekomendacijų ar kt.), audito grupė sprendžia:

  • ar tikslinti tik audito rezultatų suvestinę (netikslinant darbo dokumentų);
  • ar tikslinti audito rezultatų suvestinę ir patikslinti ar parengti naujus darbo dokumentus.

Jeigu po audito ataskaitos projekto pateikimo valstybės kontrolieriaus pavaduotojui, kuriam tiesiogiai pavaldus auditą atliekantis audito departamentas, arba derinant jį su audituojamu subjektu buvo gauta naujos informacijos ar nustatyta naujų faktų, dėl kurių keitėsi audito rezultatai (auditoriaus vertinimai, išvados, rekomendacijos ar kt.), nėra redaguojami anksčiau parengti ir patvirtinti darbo dokumentai ir audito rezultatų suvestinė. Šie pakeitimai turi būti dokumentuoti naujuose darbo dokumentuose (atsižvelgus į gautą informaciją, tai gali būti nauji darbo dokumentai ar atnaujinti dokumentai ankstesnių darbo dokumentų pagrindu) ir atitinkamai ViPSIS įkeliama nauja patikslinta audito rezultatų suvestinė. Tai dokumentuojama atskiroje ViPSIS procedūroje, kaip tai numatyta ViPSIS naudotojų vadovuose.

Kai gauta nauja informacija iš esmės nekeičia audito rezultatų (auditoriaus vertinimų, išvadų, rekomendacijų ar kt.), audito grupė sprendžia:

  • ar tikslinti tik audito rezultatų suvestinę (nerengiant naujų darbo dokumentų);
  • ar tikslinti audito rezultatų suvestinę ir parengti naujus darbo dokumentus.

Visais atvejais audito rezultatų suvestinėje turi būti nurodytos atliktų pakeitimų / patikslinimų priežastys ir pateikiama nuoroda į dokumentą, kuriame pateikta atnaujinta informacija.

Audito ataskaitai keliami reikalavimai

Siekiant užtikrinti, kad ataskaita būtų parengta kokybiškai ir būtų aktuali visiems jos vartotojams, ji turi atitikti šiuos principus:

  • išsamumo principas reikalauja, kad audito ataskaita apimtų visą reikalingą su audito tikslu ir klausimais susijusią informaciją, argumentus ir būti pakankamai detali, kad skaitytojas lengvai suprastų audito objektą, pastebėjimus, išvadas ir rekomendacijas. Skaitytojas taip pat turi žinoti, ar audito objektui, tikslui, apimčiai, metodams ar duomenims taikomi kokie nors apribojimai, kad galėtų pagrįstai interpretuoti ataskaitoje pateiktus pastebėjimus, išvadas ir rekomendacijas ir nebūtų suklaidintas.
  • objektyvumo principas reikalauja, kad auditorius taikytų profesinį sprendimą ir skepticizmą, siekdamas užtikrinti, kad ataskaita būtų faktiškai teisinga ir kad rezultatai ir išvados būtų nešališki, nepriklausomi, subalansuoti ir tinkami pagal aplinkybes. Ją reikėtų rašyti neutraliu stiliumi, tinkamai atskleidžiant ne tik neigiamus, bet ir teigiamus veiklos aspektus (t. y. atspindėti tai, kas iš tikrųjų buvo nustatyta, o ne pernelyg pabrėžti veiklos trūkumus). Teigiamų aspektų pateikimas gali padėti pagerinti kitų organizacijų, kurios susipažino su ataskaita, veiklą. Ataskaitos teiginiai turi būti pagrįsti išsamiomis žiniomis, audito objekto visumos suvokimu. Remdamasis pagrindiniais argumentais, skaitytojas galės geriau suprasti išvadas ir rekomendacijas;
  • pateikimo laiku ir svarbos principas reiškia ataskaitos parengimą tinkamu metu, kad ji išliktų aktuali numatomam (-iems) naudotojui (-ams). Ataskaitos turinys turi būti svarbus, sudominti skaitytojus ir turėti pridedamąją vertę. Ataskaita turi būti parengta tuo metu, kai jos labiausiai reikia tam tikriems pokyčiams, kad jos nauda būtų kiek galima maksimali, kad joje pateikta informacija galėtų naudotis įstatymų leidžiamosios, vykdomosios valdžios atstovai ir kitos suinteresuotosios šalys;
  • tikslumo ir konsultavimosi principas reiškia faktų tikslumo patikrinimą su audituojamu subjektu. Ataskaitoje pateikti įrodymai turi teisingai ir visapusiškai atitikti faktus. Tikslumu skaitytojai užtikrinami, kad ataskaitos duomenys yra patikimi;
  • priešpriešos principas suponuoja atsakingo subjekto atsakymų pateikimą, kai tinkama, ir jų įvertinimą;
  • aiškumo principas reiškia, kad nepaisant IT audito techninio pobūdžio ataskaita turi būti lengvai skaitoma ir suprantama. Aiški struktūra ir antraštės leidžia perteikti sudėtingus klausimus ir interpretuoti rezultatus. Visa informacija pateikiama logiška seka. Turi būti paaiškintos vartojamos specialiosios sąvokos, terminai ir santrumpos, neturi būti vartojami dviprasmiški žodžiai. Paveikslų ir kitos vaizdinės informacijos naudojimas padeda aiškiau perteikti mintis;
  • glaustumo principas reiškia, kad ataskaitoje neturi būti su audito tikslu nesusijusių ar nereikšmingų faktų, nereikalingų detalių. Tačiau, atliekant sudėtingus auditus, reikia pateikti pakankamą informaciją, kad skaitytojai, neturintys specialiųjų žinių, galėtų suprasti jos turinį;
  • įtikinimo principas reiškia, kad audito ataskaita turi būti logiškai išdėstyta ir rodyti aiškų ryšį tarp audito tikslo, klausimų, kriterijų, pastebėjimų, išvadų, ir rekomendacijų. Turi būti įtikinamai pateikti ir audito pastebėjimai su visais svarbiais argumentais;

Auditoriai turėtų atsižvelgti į galimą neigiamą poveikį, kurį galėtų daryti paskelbta IT audito ataskaita. Pavyzdžiui, jeigu IT audito ataskaitoje nustatoma tam tikra audituojamo subjekto IT saugumo rizika ir apie ją pranešama prieš patvirtinant būtinas rizikos mažinimo kontrolės priemones, informacinės sistemos pažeidžiamumas gali būti paviešintas visuomenei. Tokiu atveju, siekdami išvengti galimo neigiamo poveikio audituojamam subjektui, auditoriai gali apsvarstyti galimybę teikti ataskaitą tik po to, kai bus patvirtintos būtinos kontrolės priemonės, arba priimti sprendimą neviešinti tam tikrų ataskaitos dalių.

Audito ataskaitos struktūra

Audito ataskaitoje turi būti:

  • Antraštinis (titulinis) lapas
  • Turinys
  • Pagrindiniai faktai
  • Santrauka
  • Įžanga
  • Audito rezultatai
  • Rekomendacijų įgyvendinimo planas
  • Priedai:
  • Santrumpos ir sąvokos
  • Audito kriterijai, atliktos procedūros ir taikyti metodai
  • Pokyčių vertinimo rodiklių duomenys
  • Kiti priedai

Pagrindiniai faktai. Šioje dalyje pateikiama skaičiais išreikšta svarbiausia informacija apie audito objektą ir rezultatus, į kurią auditoriai nori atkreipti ataskaitos skaitytojų dėmesį. Informacija pateikiama skaičiais išreikštais rodikliais ir trumpu paaiškinimu. Paprastai mažos apimties audito ataskaitose (neviršija 10 psl. be antraštinio lapo, turinio, pagrindinių faktų lapo ir priedų) pagrindinių faktų dalis gali būti nerengiama.

Santrauka – viena svarbiausių ataskaitos dalių. Ji turi sudominti skaitytojus. Informacija turi būti pateikta taip, kad skaitytojas suprastų atlikto audito esmę ir rezultatus.

Santraukos struktūra (skirsniai):

  • Audito svarba
  • Audito tikslas ir apimtis
  • Pagrindiniai audito rezultatai
  • Rekomendacijos

Paprastai nedidelės apimties audito ataskaitose santrauka neteikiama, o audito svarba, audito tikslas ir apimtis pateikiami ataskaitos įžangoje, o išvados ir rekomendacijos – audito rezultatų dalies skyriuose.

Dalyje „Audito svarba“ skaitytojas trumpai supažindinamas su audito objektu ir esama situacija, nurodoma (-os) problema (-os), kurią (-ias) reikia spręsti arba kodėl pasirinkome atlikti auditą šia tema.

Dalyje „Audito tikslas ir apimtis“ pateikiamas audito tikslas ir pagrindiniai audito klausimai, audituojamas (-i) subjektas (-ai), audituojamas laikotarpis. Prireikus pateikiami audito objektui, tikslui, apimčiai, metodams ar duomenims taikomi kokie nors apribojimai. Šių apribojimų gali atsirasti dėl auditoriaus pagrįsto sprendimo nevertinti tam tikrų dalykų, susijusių su audito objektu ir (ar) tikslu, arba dėl audituojamo (-ų) subjekto (-ų) veiksmų ar veiklos, kai nėra galimybės atlikti tam tikrų procedūrų ar gauti tam tikrų duomenų. Apribojimų nurodymas sumažina numatomų vartotojų nepagrįstus lūkesčius. Šioje dalyje taip pat nurodoma, kad auditas atliktas pagal TAAIS.

Audito pastebėjimų, išvadų ir rekomendacijų formulavimas – vienas svarbiausių darbų audito procese, nes kokybiški pastebėjimai, išvados ir rekomendacijos yra pagrindas pagerinti audituojamo subjekto IT valdymą ir kontrolės sistemos efektyvumą. Netinkamas jų formulavimas gali ne tik sumenkinti auditoriaus darbo rezultatus, bet ir sumažinti pasitikėjimą aukščiausiąja audito institucija. Formuluojant pagrindinius pastebėjimus ir rengiant išvadas bei rekomendacijas, reikia matyti bendrą vaizdą ir nebūti smulkmeniškam. Tai turi perteikti pagrindines audito ataskaitos mintis. Pagrindinių pastebėjimų, išvadų ir rekomendacijų patikimumas priklauso nuo audito rezultatų dalyje pateiktų įrodymų ir audito pastebėjimų.

Dalyje „Pagrindiniai audito rezultatai“ apibendrinami svarbiausi audito rezultatai ir pateikiamas apibendrintas vertinimas – atsakymas į audito tikslą, ar IT bendrosios ir (ar) taikomųjų programų kontrolės priemonės yra veiksmingos.

Pagrindiniai audito rezultatai turi būti:

  • apibendrinantys ataskaitos dalies „Audito rezultatai“ poskyriuose ir (ar) skirsniuose pateiktus svarbiausius pastebėjimus ir išvadas, nurodomos jų priežastys ir pasekmės;
  • pateikti aiškiai, suprantamai ir konkrečiai. Rekomenduojama naudoti ne abstrakčias frazes, tokias kaip „dauguma“ arba „kai kurie“, o skaičius, procentus ir proporcijas, nes tai suteikia vertinimui konkretumo ir rodo, kad ataskaita grindžiama audito rezultatais.

Audito metu įvykę pokyčiai, kuriuos tikslinga pateikti valstybinio audito ataskaitoje, pateikiami pagal poreikį santraukoje ir (ar) audito rezultatų dalyje.

Rekomendacijos formuluojamos apibendrinus ir susisteminus nustatytus IT kontrolės priemonių trūkumus (pažeidžiamumus). Rekomendacijos pagrindas – nustatyto IT kontrolės priemonių trūkumo (pažeidžiamumo) priežastis, t. y. dėl ko jis atsirado ir turi būti pašalintas (ištaisytas). Siekdamas parašyti veiksmingas rekomendacijas, auditorius jau audito planavimo etape turi galvoti apie galimas rekomendacijas.

Atsižvelgiant į rekomendacijų įgyvendinimu siekiamų pokyčių svarbą audituojamai sričiai, rekomendacijos yra grupuojamos į didelės, vidutinės ir mažesnės svarbos. Didelės ir vidutinės svarbos rekomendacijos pateikiamos audito ataskaitoje, o mažesnės svarbos – tik rašte (oficialiame) audituojamam subjektui.

Esant poreikiui, didelės ir vidutinės svarbos rekomendacijos gali būti pateiktos rašte (oficialiame) audituojamam subjektui iki pateikiant jam audito ataskaitos projektą. Nepriklausomai nuo to, ar šios rekomendacijos buvo įgyvendintos ar nebuvo įgyvendintos iki ataskaitos projekto pateikimo audituojamam subjektui, jos turi būti pateiktos ataskaitos projekte. Jeigu didelės ir vidutinės svarbos rekomendacijos:

  • buvo įgyvendintos iki audito ataskaitos projekto parengimo, jos pateikiamos ataskaitos audito rezultatų dalyje;
  • nebuvo įgyvendintos iki audito ataskaitos projekto parengimo, jos pateikiamos ataskaitos santraukoje rekomendacijų dalyje ir rekomendacijų įgyvendinimo plane.

Rekomendacijų priskyrimą svarbai reglamentuoja Valstybinio audito poveikio vertinimo metodika.

Rekomendacijos turi būti:

  • aiškios, suprantamos ir logiškos;
  • susijusios su audito tikslu, pagrindiniais audito pastebėjimais ir išvadomis;
  • skirtos konkrečiam adresatui. Jeigu IT kontrolės priemonės trūkumo (pažeidžiamumo) priežastis susijusi su audituojamo subjekto vidaus veikla ir jo priimamais sprendimais, rekomendacija teikiama audituojamam subjektui. Jeigu priežastis nesusijusi su audituojamo subjekto vidaus veikla, rekomendacija turi būti skirta pagal kompetenciją kitai institucijai;
  • naudingos, t. y. skirtos tobulinti subjekto IT valdymą ir kontrolės sistemą;
  • formuluojamos kaip pokytis, kurio siekiama sprendžiant pastebėjime įvardytą problemą;
  • skirtos pašalinti esmines IT kontrolės priemonės trūkumo (pažeidžiamumo) priežastis;
  • nurodančios, ką rekomenduojama keisti, paliekant subjektui pasirinkimo teisę, kaip tai padaryti. Jeigu auditoriai turi pakankamai pagrindimo, kaip geriausiai tai galima padaryti, gali būti nurodoma ir jos įgyvendinimo priemonė (-ės) ar būdas (-ai);
  • suformuluotos taip, kad būtų įgyvendinamos, o įgyvendinimą būtų galima fiksuoti;

Siekiant rekomendacijų poveikio turi būti bendradarbiaujama su audituojamu subjektu. Svarbu užtikrinti, kad jos būtų nukreiptos į problemos ir jos priežasties pašalinimą, pokytį ir jo rodiklių pasiekimą.

Įžanga. Pagrindinė jos paskirtis – glaustas bendros informacijos apie audituojamą sritį pateikimas (svarbi informacija, susijusi su audito objektu, subjektu). Rekomenduojama (pagal galimybę) informaciją įžangoje teikti schematiškai. Ji neturi būti pernelyg ilga (rekomenduojama apimtis iki 2 psl.). Jeigu, auditoriaus nuomone, skaitytojui reikia išsamesnių duomenų, jie gali būti pateikti prieduose.

Audito rezultatai. Šioje dalyje nurodomi audito metu nustatyti IT kontrolės priemonių trūkumai (pažeidžiamumai). Pateikiant audito rezultatus, turi būti aiškus ir lengvai patikrinamas nustatyto audito objekto, tikslo, klausimų, kriterijų, gautų įrodymų, audito pastebėjimų ir suformuluotų išvadų, rekomendacijų ir laukiamo audito poveikio ryšys.

Kiekviename audito rezultatų dalies skyriuje pateikiama:

  • audito kriterijus (-ai) ir jo šaltinis (-iai) (šaltiniai nurodomi kartu su kriterijumi tekste arba pateikiami išnašose);
  • audito pastebėjimai – audito įrodymų palyginimas su audito kriterijais;
  • priežastys, kurios lėmė nuokrypio (IT kontrolės priemonės trūkumo (pažeidžiamumo)) nuo audito kriterijaus atsiradimą;
  • esamos pasekmės organizacijos ar kitai veiklai arba tikėtinos, jei audituojamo subjekto vadovybė nesiims tinkamų priemonių valdyti nustatytą IT trūkumą (pažeidžiamumą);
  • nustatyti teigiami dalykai ir geroji audituojamo (-ų) subjekto (-ų) IT valdymo praktika (pagal galimybę);
  • galimi nustatytų problemų sprendimo būdai (pagal galimybę ir nedubliuojant rekomendacijų);
  • audito metu įvykę pokyčiai (pagal poreikį);
  • audituojamo subjekto, eksperto nuomonė (pagal poreikį). Paprastai tai daroma, jei audituojamas subjektas nesutinka su auditoriaus vertinimais dėl tam tikrų dalykų.

Kiekvienu atveju audito grupė sprendžia, kaip pateikti informaciją (pvz.: audito kriterijai ir jų šaltiniai gali būti pateikti kaip įžanginė skyriaus dalis arba kiekviename poskyryje).

Ataskaitos teiginys gali būti labiau įtikinamas ir suprantamas, jeigu jį patvirtina konkretus pavyzdys. Siekiant geriau suprasti vertinamą dalyką, rekomenduojama naudoti iliustracijas – lenteles, paveikslėlius, nuotraukas ir pan. Iliustracijos turi būti suprantamos ataskaitos skaitytojui. Pavyzdžių ir iliustracijų skaičius ataskaitoje turi būti racionalus, rekomenduojama juos teikti tik esminiais klausimais.

Audito rezultatų dalyje, jei tinkama, nurodomi audito apimties apribojimai.

Rekomendacijų įgyvendinimo planas.

Audito rekomendacijų įgyvendinimo plane turi būti pateikta:

  • laukiamas audito poveikis;
  • pastebėjimai, pateikiant kiekvieno pagrindinio audito rezultato esmę;
  • rekomendacijos (pokyčiai, kurių siekiama), jų svarba ir įgyvendinimo terminai;
  • pokyčių vertinimo rodikliai ir jų reikšmės (pradinė ir siektina);
  • priemonės, reikalingos IT kontrolės priemonės trūkumui (pažeidžiamumui) išspręsti, ir jų įgyvendinimo terminai;
  • subjektai, kuriems pateiktos rekomendacijos ir subjektai, kurie įgyvendins rekomendacijų priemones.

Tais atvejais, kai dėl rekomendacijos priimtinumo ir jos įgyvendinimo su subjektu, kuriam skiriama rekomendacija, nepasiekiama bendro sutarimo, rekomendacijų įgyvendinimo plano priemonės pateikimo eilutėje nurodoma subjekto nuomonė dėl įgyvendinimo.

Išsamiau apie audito rekomendacijų įgyvendinimo plane reikiamą nurodyti informaciją ir plano pildymo pavyzdžiai pateikiami Valstybinio audito poveikio vertinimo metodikoje.

Jeigu ataskaitos tekste pateiktiems faktams ar argumentams pagrįsti reikia papildomos informacijos, ji gali būti pateikta prieduose. Ataskaitos priedai – įvairaus turinio dokumentai, kurie turi aiškų ryšį su audito rezultatų dalimi ir ją papildo arba paaiškina. Priedai turi būti lengvai suprantami ataskaitos skaitytojui.

Pirmajame audito ataskaitos priede „Santrumpos ir sąvokos“ pateikiamos ataskaitoje vartojamos santrumpos ir sąvokos. Jeigu jų nėra daug (neviršija 10 vnt.), jos teikiamos ne priede, o ataskaitos tekste (skliaustuose ar išnašose).

Antrajame ataskaitos priede „Audito kriterijai, atliktos procedūros ir taikyti metodai“ nurodoma:

  • audito ataskaitos skyrių ar poskyrių pavadinimai;
  • taikyti audito kriterijai;
  • atliktos audito procedūros, informacijos ir duomenų rinkimo bei vertinimo metodai, kurie buvo taikyti siekiant surinkti įrodymus ir pagrįsti jais skyriuje ar poskyryje teikiamus faktus, pastebėjimus ir kt. Esant poreikiui, šioje skiltyje gali būti pateikiami auditorių atlikti įvairūs skaičiavimai, detali informacija apie atliktą atranką ir kt.

Trečiajame audito ataskaitos priede „Pokyčių vertinimo rodiklių duomenys“ nurodomi šių rodiklių duomenys. Rengiant audito rekomendacijų įgyvendinimo planą turi būti ne tik nustatyti ir su audituojamu subjektu suderinti pokyčių vertinimo rodikliai, jų siekiamos reikšmės ar pageidaujama pokyčio kryptis, bet ir turi būti sutarta, kas ir kada surinks ir pateiks pokyčių vertinimui reikalingus duomenis (tai ypač svarbu, jei jų vertinimui reikalingi viešai neprieinami administraciniai duomenys, kuriais disponuoja audito subjektas ar kitos viešojo sektoriaus institucijos). Išsamiau apie trečiame priede reikiamą nurodyti informaciją žr. Valstybinio audito poveikio vertinimo metodikoje.

Ataskaita turi būti parengta vadovaujantis Valstybės kontrolės dokumentų valdymo ir naudojimo reglamentu. Valstybinio audito ataskaitos įforminimo reikalavimai, praktiniai rašymo patarimai ir pavyzdžiai nustatyti ir pateikti Veiklos audito ataskaitų rašymo gairėse.

Susiję dokumentai

Audito standartai