Audito apimties nustatymas

Audito objektas nurodo, kas yra audituojama. Paprastai IT audito objektas gali būti tam tikros IT bendrosios kontrolės priemonės ir (ar) taikomųjų programų kontrolės priemonės. IT kontrolės priemonių vertinamas turėtų apimti IT išteklius: informaciją, paslaugas, infrastruktūrą ir taikomąsias programas, žmones, įgūdžius ir kompetencijas. Atsižvelgus į audito tikslą, audito objektas gali būti susijęs tik su IT bendrąja kontrole. Tais atvejais, kai tikslas susijęs su taikomųjų programų kontrolės priemonių tinkamumo ir (ar) pakankamumo vertinimu, audito objektas turėtų apimti tiek IT bendrosios kontrolės, tiek taikomųjų programų kontrolės priemonių vertinimą.

IT audito objektas

Audito tikslas nurodo, ko siekiama atliekant auditą. Tikslas turi būti suformuluotas taip, kad atlikus auditą būtų įmanoma padaryti aiškią ir nedviprasmišką išvadą, ar jis pasiektas. Aiški ir glausta tikslo formuluotė apsaugo audito grupę nuo pernelyg plačios audito apimties.

Audito tikslas gali būti suvokiamas kaip bendras (pagrindinis) audito klausimas apie audito objektą, į kurį auditorius turi atsakyti remdamasis gautais audito įrodymais. Paprastai IT audito tikslas gali būti nukreiptas atsakyti į klausimą, ar audituojamo subjekto patvirtintos IT kontrolės priemonės yra pakankamos ir patikimos.

IT audito tikslas turi būti suformuluotas atsižvelgiant į pasirinktas audituoti rizikas ir jų reikšmingumą, nustatytas išankstinio tyrimo metu, ir atsižvelgiant į tai, kokio tipo bus vykdomas auditas – finansinis, atitikties ar veiklos. 5100-ajame GUID pateikiami galimi IT audito tikslų pavyzdžiai pagal atliekamo audito tipą:

• įvertinti IT bendrosios kontrolės ir taikomųjų programų kontrolės priemones, kurios daro poveikį audituojamos įmonės finansinėms ataskaitoms (finansinis auditas);
• įvertinti IT procesų atitiktį audituojamo subjekto veiklą reglamentuojantiems teisės aktams, politikai ir standartams (atitikties auditas);
• įvertinti IT išteklius, ar jie leidžia efektyviai ir veiksmingai pasiekti organizacinius tikslus (veiklos auditas);
• įvertinti ar atitinkamos IT bendrosios ir taikomųjų programų kontrolės priemonės yra veiksmingos siekiant nustatyti ir koreguoti perteklinio IS valdymo atvejus ar jų išvengti (veiklos auditas).

Pagal 5100-ąjį GUID, atsižvelgus į audito tikslą, auditoriui gali būti svarbu IT kontrolės priemonių: kūrimas, nes galima vertinti IT kontrolės priemonių dizainą, ar jis yra tinkamas; įgyvendinimas, nes galima vertinti, ar IT kontrolės priemonės (kai jos tinkamai sukurtos) yra įgyvendinamos praktikoje kaip numatyta; veiksmingumas, kai renkami įrodymai, ar pasiekti kokybiški IT proceso rezultatai, atsižvelgiant į atitinkamą IT kontrolės priemonės tikslą.

Nusprendę, koks bus IT audito objektas ir tikslas, IT auditoriai turi apsispręsti ir dėl audito apimties. Šie sprendimai paprastai priimami tuo pačiu metu. IT audito apimties nustatymas turėtų apimti sprendimą dėl audito atlikimo masto, atsižvelgiant į audituojamo subjekto IT valdymo sistemos aprėptį, audituotinas IT kontroles, nagrinėjamą laikotarpį, taip pat audito tipą (finansinis, atitikties ar veiklos auditas). Iš esmės tai yra audito ribų nustatymas arba apibrėžimas.

Apibrėžiant IT audito apimtį, pasirenkamas audituojamas laikotarpis (pvz., vieneri, treji metai ir t. t.). Tinkamas laikotarpis turėtų būti pasirinktas atsižvelgiant į nustatytus audito tikslą ir objektą. Analizuojant esamą subjekto veiklą, gali pakakti vieno ataskaitinio laikotarpio. Analizuojant veiklos rodiklius ir jų kitimo tendencijas (nustatant reikšmingus pokyčius) paprastai turėtų būti audituojama ne mažiau kaip du ataskaitiniai laikotarpiai.

IT audito apimtis priklauso ir nuo to, ar audito objektas susijęs su tam tikros:

• Programos vertinimu. Atliekant tokio pobūdžio IT auditą būtų siekiama įvertinti tam tikros su IRT sritimi susijusios programos (pvz., kibernetinio saugumo programa) tinkamumą spręsti tam tikras problemas, programos sandarą, vykdymą, rezultatus ir poveikį. Daugiausia dėmesio audito metu turėtų būti skiriama programos rezultatams ir poveikiui vertinti. Tarptautinėje praktikoje vertinant programas neapsiribojama vien ekonomiškumo, efektyvumo ir rezultatyvumo analize. Naudojami ir kiti vertinimo aspektai: tinkamumas, naudingumas, tęstinumas. Programų auditų atlikimas plačiau aprašytas Valstybės kontrolės parengtose Programų audito atlikimo gairėse.
• Organizacijos vertinimu. Atliekant tokio pobūdžio IT auditą būtų siekiama įvertinti tik audituojamoje organizacijoje taikomas IT bendrąsias ir (ar) taikomųjų programų kontroles priemones, jų veiksmingumą ir poveikį organizacijos tikslų pasiekimui. Esant poreikiui tokio audito apimtyje gali būti atliekamas ir organizacijos IT valdymo gebos lygio vertinimas. Organizacijos IT auditas gali padėti išsiaiškinti organizacijos IT kontrolės stipriąsias ir silpnąsias puses, įvertinti IT valdymo efektyvumą ir tolesnio IT valdymo tobulinimo galimybes.
• Sistemos vertinimu. Atliekant tokio pobūdžio IT auditą būtų siekiama įvertinti tam tikros IT srities (sistemos) valdymą, apimant sistemoje veikiančių ir turinčių bendrų tikslų institucijų veiklos vykdymo, tarpusavio koordinavimo, taupaus ir efektyvaus lėšų naudojimo, nustatytų tikslų pasiekimo tyrimą. Pvz., nusikaltimų elektroninių duomenų ir informacinių sistemų saugumui srityje suinteresuotos šalys yra policija, Krašto apsaugos ministerija, Nacionalinis kibernetinio saugumo centras, prokuratūra, todėl, pasirinkus IT audito objektu šiuos nusikaltimus, IT auditas būtų sisteminio pobūdžio. Atliekant sisteminius IT auditus IT bendroji kontrolė gali būti suprantama plačiąja prasme kaip tam tikrų politikų, standartų ir kt. įgyvendinimas šalies mastu.

Pasirinkus audito objektą gali paaiškėti, kad yra tam tikri ribojimai, dėl kurių nėra galimybės atlikti reikiamos apimties audito. IT audito apribojimai turi būti nurodyti kiekviename IT audito etape ir atitinkamu lygmeniu ir dokumentuoti. Pvz., apribojimais galėtų būti nepakankama prieiga prie duomenų ir informacijos, tinkamos proceso dokumentacijos trūkumas. Dėl šių apribojimų išvadas darydami IT auditoriai turi taikyti kitus tyrimo ir analizės metodus. Jei dėl įvairių apribojimų tam tikroje srityje nebus galimybės atlikti vertinimų ir pateikti pastebėjimų arba išvadų, išankstinio tyrimo metu auditoriai gali priimti sprendimą nenagrinėti tam tikrų sričių pagrindinio tyrimo metu.

Atlikęs išankstinio tyrimo procedūras ir norėdamas apibrėžti audito apimtį, auditorius įvertina, ar reikia patikslinti audituojamą (-us) subjektą (-us), kuriame (-iuose) pagrindinio tyrimo metu atliks audito procedūras, t. y. papildyti tais, kurie nebuvo priskirti audituojamiesiems subjektams atliekant išankstinį tyrimą. Paprastai IT audito metu audituojamieji subjektai yra IS valdytojas ir (ar) IS tvarkytojas, tačiau atliekant sisteminius IT auditus gali būti pasirinktos ir kitos susijusios šalys, pvz., išorinių IS, kurios integruojasi su auditui aktualia IS, valdytojai ir (ar) tvarkytojai.

Kai audituojamoje srityje veikia daug vienarūšių audituojamųjų subjektų (pvz.: savivaldybės, mokyklos, ligoninės ir pan.), auditorius paprastai gali neturėti galimybės audito procedūras atlikti visuose juose. Todėl auditorius atlieka audituojamųjų subjektų atranką. Jeigu pagrindinio tyrimo metu audito procedūras planuojama atlikti keliuose subjektuose, turi būti dokumentuotas atitinkamas sprendimas, kuris, esant poreikiui, turi apimti ir audituojamų subjektų atranką (išsamiau apie atranką žr. Audito kriterijų nustatymo ir procedūrų planavimo skiltyje). Svarbu užtikrinti, kad pasirinkti subjektai tinkamai reprezentuotų visumą.

Pasirenkant audituojamus subjektus svarbi auditoriaus profesinė patirtis, geras audituojamos srities suvokimas. Pasirenkant audituojamus subjektus atsižvelgiama į:

• jų reikšmingumą (pvz.: lėšų dydis, veiklos rezultatų rodikliai ir kt.);
• nustatytą riziką (išankstinio tyrimo metu pastebėtas problemas);
• geografinį išsidėstymą (pvz.: regionai, apskritys ir kt.);
• tiriamą laikotarpį (pvz.: faktinis laikotarpis, vieneri ar daugiau metų);
• ankstesnių auditų rezultatus ir kt.

Atrinkus audituoti rizikas ir patikslinus audito objektą bei tikslą, svarbu suformuluoti audito klausimus, į kuriuos reikės atsakyti pagrindinio tyrimo metu.

Audito klausimai turi būti aiškiai apibrėžti ir nedviprasmiški, pagrįsti visapuse galimų IT kontrolės priemonių trūkumų analize. Auditoriui svarbu tinkamai pasirinkti klausimus, nes nuo to priklausys, ar auditas bus prasmingas ir bus įsigilinta į audituojamos srities esmę. Jei klausimai nebus tinkamai suformuluoti, gali būti sudėtinga surinkti pakankamus ir tinkamus audito įrodymus, kurie padėtų į juos atsakyti. Klausimai turi būti suformuluoti taip, kad leistų auditoriui daryti išvadas ir būtų išvengta nereikalingo darbo.

Rekomenduojama formuluoti ne daugiau kaip tris pirmo lygmens klausimus. Jie išskaidomi į smulkesnius. Vieno lygmens klausimų turi būti daugiau nei vienas ir, rekomenduotina, ne daugiau nei septyni.

Visų lygmenų klausimai turi būti susiję su pasirinktomis audituoti IT kontrolės rizikomis, audito objektu ir tikslu. To paties lygmens klausimai savo prasme turi būti lygiaverčiai, papildyti vienas kitą ir nesidubliuoti. Kiekvieno lygmens klausimai turi apimti aukštesnio lygmens klausimų pagrindinius aspektus, jie turi padėti atsakyti į aukštesnio lygmens klausimus. Pirmo lygmens klausimai turi apimti visus audito tikslo aspektus, jie turi būti skirti atsakyti į pagrindinį audito klausimą, t. y. padėti pasiekti audito tikslą (žr. 6 pav.). Audito klausimai nurodomi audito plane.

Audito klausimų lygmenys

IT audite pirmo lygio klausimai gali būti siejami su tam tikrų IT kontrolės priemonių tikslais ir jų rezultatais, pavyzdžiui, ar užtikrinamas IT strateginis planavimas arba ar užtikrinamas IT rizikų valdymas, t.t.

Antro lygmens klausimai gali detalizuoti savo apimtyje IT kontrolės priemonių elementų aspektus, pvz.: ar IT strateginiame plane numatyti tikslai susiję su organizacijos veiklos tikslais, ar sudarant arba atnaujinant strateginį planą dalyvauja visos suinteresuotos šalys, pan.; ar kiekvienais metais atliekamas IT rizikų vertinimas, ar visos nepriimtinos rizikos yra tvarkomos.

Pagrindinio tyrimo metu auditoriui gaunant vis daugiau informacijos apie audituojamą sritį ir įgyjant vis daugiau žinių, klausimai gali būti tikslinami, kad geriau atspindėtų audito objektą, laukiama jo poveikį. Tai neturėtų būti daroma dažnai. Kadangi audito klausimai turi būti aptarti su audituojamu subjektu, dažnas jų keitimas pagrindinio tyrimo metu gali sukelti abejonių audito profesionalumu, objektyvumu ir sąžiningumu.