Audito kriterijų nustatymas ir procedūrų planavimas

Audito kriterijus – tam tikras etalonas (normatyvinis standartas, pagrįstas lūkestis, geroji veiklos praktika ar nustatytas parametras (duomuo, matas, savybė, rodiklis)), kuris leidžia įvertinti audito duomenis ir padaryti išvadas apie audituojamo subjekto IT valdymą, IT kontrolės priemonių pakankamumą ir patikimumą.

Audito kriterijai suteikia pagrindą įvertinti įrodymus, pateikti pastebėjimus ir parengti išvadas siekiant audito tikslo. Auditorius surinktiems duomenims vertinti pasirenka audito kriterijus atsižvelgdamas į audito objektą ir tikslą ir numatytus žemiausio lygmens audito klausimus.

IT audite audito kriterijai nėra standartizuoti, auditorius nustato juos kiekvienam auditui individualiai.

Parinkdamas audito kriterijus, auditorius turėtų atsakyti į klausimą – kokią situaciją pagrįstai laikytume tinkama ir kaip ją įmanoma išmatuoti. Taigi numatomi audito kriterijai turi suteikti pagrindą pagrįstai įvertinti esamą situaciją ir surinktus audito įrodymus.

Audito kriterijai suformuoja pagrindą, kuriuo remiantis nustatomos audito procedūros ir jų apimtis, darbo dokumentų turinys, renkami ir vertinami audito įrodymai, formuluojami audito pastebėjimai ir išvados dėl audito tikslo. Audito kriterijai padeda auditoriui atsakyti į klausimus:

• ar IT kontrolės priemonės sukurtos taip, kad jos sudarytų prielaidas efektyviai vykdyti organizacijos veiklą, mažinti veiklos rizikas, padėti organizacijai įgyvendinti jos tikslus;
• ar praktikoje IT kontrolės priemonės įgyvendinamos taip, kaip jos turėtų būti įgyvendinamos;
• ar IT ištekliai naudojami racionaliai, ekonomiškai, teisėtai, kt.

Audito kriterijai, kai jie buvo aptarti su audituojamais subjektais ir audituojamieji su jais sutiko, leidžia suformuoti bendrą audito grupės ir subjekto požiūrį į audito rezultatus (faktus, tendencijas, išvadas ir rekomendacijas), sumažinti ginčų su subjektu tikimybę.

Surinkti įrodymai, nustatyti faktai parodo, kokia yra esama IT valdymo būklė, ji palyginama su tuo, kokia ji turi būti pagal pasirinktus audito kriterijus. Vertinimas gali būti trejopas:

• jeigu audito metu nustatoma, kad faktinė IT valdymo būklė neatitinka nustatytų nagrinėjamos srities kriterijų, konstatuojami IT valdymo trūkumai (pažeidžiamumai) ir vertinama, kaip (kokiomis priemonėmis) šiuos trūkumus (pažeidžiamumus) reikia tobulinti; šiuo tikslu pateikiamos rekomendacijos;
• jeigu vertinama IT valdymo būklė (faktinė situacija) atitinka nustatytus kriterijus, tai rodo, kad subjekto veikla yra tinkama;
• jeigu faktinė IT valdymo būklė, lyginant su nustatytu standartu, yra geresnė, o jos rodikliai aukštesni, galima konstatuoti esant gerąją praktiką.

Audito kriterijų reikšmė audito procese

Audito kriterijų šaltiniai gali būti:

• visuotinai pripažinti (ir užsienio valstybių) veiklos standartai;
• įstatymuose ir kituose teisės aktuose nustatytos normos ir reikalavimai, susiję su audituojamu klausimu;
• audituojamo subjekto, jo veiklą prižiūrinčio ar kontroliuojančio subjekto, pvz., jo steigėjo patvirtinti reikalavimai (veiklos normos, standartai ar kontrolės priemonės);
• institucijos ar programos veiklos tikslai ir kt.;
• analogišką veiklą vykdančio kito subjekto patvirtintos veiklos normos, standartai ar kontrolės priemonės; gerosios praktikos pavyzdžiai;
• profesiniai standartai;
• nepriklausomų ekspertų patarimai ir techninės žinios;
• veiklos, procesų valdymo, vadovavimo, administravimo praktika ir principai;
• mokslinės žinios, moksliniai tyrimai, statistiniai duomenys ir kita patikima informacija;
• bendroji vadybos ar specialioji mokslinė literatūra;
• klientų arba vartotojų lūkesčiai.

Svarbiausiais šaltiniais laikomi oficialūs standartai (įstatymuose ir kituose teisės aktuose iškelti tikslai, Seimo ar Vyriausybės priimti teisės aktai) ir moksliškai pagrįsti standartai, kurių šaltiniai – speciali mokslinė literatūra, profesiniai reikalavimai ar geroji praktika.

Vienas IT audito kriterijų šaltinių gali būti COBIT metodika, pvz., tam tikras vertinimo kriterijus gali būti pasirenkamas kaip tam tikro COBIT proceso, kuris susijęs su klausimu, bazinė praktika ir (ar) šio proceso rezultatų pasiekimo vertinimo kriterijus (-ai). IT procesų bazines praktikas galima rasti COBIT5 knygoje „Procesų vertinimo modelis, naudojant COBIT5“ arba pavyzdiniame IT bendrosios kontrolės priemonių vertinimo klausimyne.

Klausimų formulavimas nebūtinai visais atvejais turi atitikti IT proceso bazinės praktikos formuluotes, kadangi praktikoje dėl teisinio reguliavimo ar institucijos įdiegtų kontrolės priemonių tam tikri kontrolės priemonių aspektai gali turėti kitus pavadinimus ar formuluotes. Tokiais atvejais rekomenduojama taikyti praktikoje esančius terminus ir žodyną, kad audituojamajam subjektui būtų aiškus turinys.

Audito kriterijų formulavimui gali būti naudojamos ir IT valdymo reikalavimus nustatančių teisės aktų nuostatos, pvz., kadangi yra nustatytas išsamus kibernetinio saugumo reikalavimų sąrašas, kurį organizacija privalo įgyvendinti, kaip kriterijus gali būti pasirinktas tam tikras reikalavimas, kurio atitiktį svarbu patikrinti. Pasirenkant audito kriterijus reiktų atsižvelgti ir į audituojamojo naudojamas, savo veikloje įdiegtas IT gerąsias praktikas, pvz., ITIL (angl. Information Technology Infrastructure Library)[1], ISO ar kitus standartus.

Jeigu auditoriai neranda pagrįstų, objektyvių, suprantamų ir tinkamų audito kriterijų arba nėra tikri kurią gerosios praktikos (standartų) sistemą taikyti, jie turėtų klausti tos srities ekspertų, prašyti atsakyti į klausimus: koks idealus audito kriterijus galėtų būti esant nepriekaištingoms sąlygoms konkrečioje srityje, kiek jis atitinka racionalumo reikalavimus ir geriausią žinomą ir galimą palyginti praktiką. Kita alternatyva, siekiant apibrėžti ir pagrįsti patikimus ir realius kriterijus, – diskusijos su suinteresuotomis institucijomis. Ekspertų ir kitų institucijų atsakymus auditorius turėtų vertinti pats, remdamasis savo profesine kompetencija.

Jeigu auditorius taiko audituojamo subjekto nustatytus veiklos kriterijus ar standartus, jis turi išlikti atsargus. Tokių standartų laikymasis nebūtinai reiškia veiksmingą IT valdymą, todėl auditorius turi nepamiršti, jog subjektas gali nustatyti nepagrįstai žemus standartus, kad tikrai galėtų juos įvykdyti.

Audito kriterijai gali būti kokybiniai arba kiekybiniai:

• kiekybiniai, kurie skaitine išraiška rodo, kiek buvo pasiekta, vertina atitiktį tam tikrai skaitinei reikšmei ir pan. (pvz., ne mažiau nei 95 proc. IT projektų įgyvendinta laiku; 100 proc. kritinių incidentų sprendžiama pagal numatytus terminus ir pan.). Jie gali būti absoliutūs ar santykiniai;
• kokybiniai, kurie rodo kaip buvo teikiami produktai (paslaugos) (pvz., kiek patogu naudotis skurta taikomąja programa, ar IS naudotojai patenkinti teikiamomis paslaugomis, IS pateikiamos informacijos aiškumas).

Audito metu rekomenduojama nustatyti ne tik kiekybinius, bet ir kokybinius kriterijus.

Audito kriterijai gali būti orientuoti į tai:

• ko tikimasi, atsižvelgiant į pagrįstus principus, mokslines žinias ir gerąją praktiką;
• kaip galėtų būti, jei sąlygos būtų geresnės arba
• kaip turėtų būti pagal įstatymus, teisės aktus ar tikslus.

Auditorius audito kriterijams turi nustatyti (kai įmanoma) vertinimo skales, kurių reikšmės parodytų, kokia IT valdymo būklė yra netinkama, tinkama arba vertintina kaip gerosios praktikos pavyzdys. Auditorius turėtų nustatyti ne tik kriterijaus vertinimo skales, bet ir tolerancijos ribas (kai įmanoma ir tikslinga), kurios leistų objektyviai vertinti, ar nustatytas nuokrypis yra reikšmingas. Tolerancijos ribos apibrėžia priimtiną veiklos rezultatų ar procesų nukrypimo nuo nustatytų standartų ar normų lygį, kuris dar laikomas tinkamu ir nesukelia reikšmingų rizikų ar neigiamų pasekmių. Tolerancijos ribos yra naudingos, kai tam tikri nedideli neatitikimai neturi esminės įtakos veiklos rezultatams ir leidžia išvengti neigiamo vertinimo, kai nuokrypiai nereikšmingi.

Tinkami audito kriterijai, susiję su teisėtumu ar tinkamumu, turi būti:

• objektyvūs: pasirenkami tokie kriterijai, kurių niekaip negali paveikti auditoriaus ar audituojamo subjekto šališkumas, subjektyvios nuomonės. Jais vadovaudamiesi audito faktus vertinantys asmenys (audituojamas subjektas, audito grupė, vadovai ar kt.) suformuluos tokias pat audito išvadas;
• aktualūs: šie kriterijai kyla iš audito objekto informacijos, kuri padeda numatomam (-iems) naudotojui (-iems) priimti sprendimus, yra svarbūs ir loginiais arba priežastiniais ryšiais susiję su audito tikslu, sritimi, rizikomis ar klausimais;
• išsamūs: kriterijai būna išsamūs, kai audito objekto informacijoje, parengtoje pagal šiuos kriterijus, nėra praleista svarbių veiksnių, kurie, galėtų paveikti numatomo (-ų) naudotojo (-ų) sprendimus. Tai reiškia, kad audito metu turi būti pasirinkta tiek reikšmingų ir tokių audito kriterijų, kad būtų galima atsakyti į audito klausimus ir pasiekti audito tikslą. Jie apima visus svarbius veiksnius ir yra prasmingi;
• patikimi: šie kriterijai leidžia padaryti nuoseklias išvadas, t. y., kitas auditorius, tokiomis pat aplinkybėmis naudojantis patikimus kriterijus, prieina prie tų pačių išvadų. Jie turi būti gauti ar sudaryti (išvestiniai) iš oficialių šaltinių;
• suprantami: šie kriterijai leidžia įvertinti audito objekto informaciją, kurią gali suprasti numatomas (-i) naudotojas (-ai). Suprantami audito kriterijai yra aiškiai suformuluoti (išreikšti aiškiais, visiems suprantamais, priimtinais dydžiais ir sąvokomis, nedviprasmiški), suvokiami numatytiems naudotojams ir padeda suformuluoti aiškias išvadas. Jų negalima interpretuoti įvairiais skirtingais būdais;
• naudingi: šie kriterijai lemia rezultatus ir išvadas, kurios atitinka naudotojo (-ų) informacijos poreikius;
• palyginami: šie kriterijai atitinka kriterijus, kurie yra naudojami kitų panašių agentūrų atitikties audituose ar veiklose ir kurie buvo naudojami audituojamo subjekto ankstesniuose atitikties audituose;
• priimtini: dėl šių kriterijų paprastai susitaria nepriklausomi šios srities ekspertai, audituojami subjektai, įstatymų leidėjas, žiniasklaida ir plačioji visuomenė;
• prieinami: kriterijai, kurie yra prieinami numatomam (-iems) naudotojui (-ams) taip, kad jie galėtų suprasti atlikto audito darbo pobūdį ir audito ataskaitos pagrindą.

Audito kriterijai formuluojami išankstinio tyrimo metu surinkus pakankamai informacijos apie nagrinėjamą sritį, audituojamo subjekto aplinką, pasirinkus rizikas ir suformulavus audito klausimus. Šių kriterijų tinkamumui įtaką gali daryti pagrindinio tyrimo metu gauti duomenys. Atsižvelgiant į juos, kriterijai gali būti tikslinami. Audito kriterijai nurodomi audito plane. Paprastai jie formuluojami žemiausio lygmens audito klausimams.

Audito kriterijų aptarimas su audituojamu subjektu. Audituojamas subjektas turi žinoti, kokiais standartais remdamasi audito grupė vertina jo vykdomą veiklą, todėl visi audito kriterijai (ir juos patikslinus audito metu) turi būti aptarti su audituojamo subjekto atstovais (susitikimų, susirašinėjimo su jais metu). Tai ypač svarbu, kai audito kriterijai nėra tiesiogiai nustatyti įstatymų ar kitų oficialių dokumentų, kai jie nėra akivaizdūs ir gali kelti ginčų su audituojamu subjektu ir kai yra nustatomi bei tobulinami atliekant auditą. Taip galima nustatyti dėl kriterijų kylančius nesutarimus, juos aptarti ir, tikėtina, įveikti šiuos nesutarimus ankstyvame etape. Aptariant kriterijus svarbu, kad auditorius išklausytų audituojamo subjekto argumentus, bet nepamirštų, kad subjektas gali siekti nuslėpti trūkumus. Audito kriterijai turi būti aptarti su audituojamu (-ais) subjektu (-ais) iki audito plano patvirtinimo.

Jeigu audituojamas subjektas nesutinka su planuojamais taikyti audito kriterijais, kyla rizika, kad nepripažins ir audito metu nustatytų faktų, vertinimo ir išvadų turinio. Tokiu atveju auditorius turi papildomais argumentais sustiprinti konkrečių audito kriterijų tinkamumą ir argumentuoti jų parinkimą, nurodydamas subjekto nuomonę ir argumentus, kodėl jis nesutinka. Nesutarimas tarp audituojamo subjekto ir audito grupės dėl audito kriterijų pasirinkimo nėra pagrindas auditoriams atsisakyti savo pozicijos šių kriterijų atžvilgiu. Esant nesutarimui, auditoriai turėtų šį faktą ir savo bei audituojamo subjekto nuomonę ir argumentus pateikti darbo dokumente, o audito procese jų pagrindimui skirti daugiau dėmesio. Ginčo atveju rekomenduojama gauti vidaus ir (ar) išorės eksperto nuomonę. Galutinį sprendimą dėl kriterijų nustatymo priima auditorius, todėl svarbu, kad jis išliktų nepriklausomas šio proceso metu.

[1] ITIL – tai paslaugų valdymo teorija, orientuota į darbo optimizavimą bei kokybės užtikrinimą IT paslaugas teikiančiose struktūrose. Ši teorija paremta knygų rinkiniu, kuriame sukaupta ir apibendrinta pasiteisinusi IT valdymo praktika.

Tam, kad surinktų tinkamų ir pakankamų audito įrodymų kiekvienam numatytam audito kriterijui įvertinti ir atsakytų į audito klausimus, auditorius turi suplanuoti ir audito plane pateikti reikiamas audito procedūras. Jos paprastai planuojamos atskirai kiekvienam audito kriterijui. Jeigu konkreti procedūra suteikia galimybę gauti įrodymų keliems audito kriterijams, tai nurodoma audito plane ir darbo dokumentuose. Kiekvienai audito procedūrai atlikti reikalinga informacija ir (ar) duomenys gaunami, apdorojami ir vertinami taikant jai tinkamiausius metodus. Audito plane reikia prie kiekvienos suplanuotos audito procedūros nurodyti reikalingus informacijos ir (ar) duomenų šaltinius ir planuojamus taikyti metodus.

Audito procedūrų apimtis IT audite paprastai nustatoma remiantis rizikos vertinimu. Įvertinus audito rizikos lygį, auditorius priima sprendimą dėl audito procedūrų, kurios turės būti atliktos pagrindinio tyrimo metu. Auditoriai priimdami sprendimą, kokios apimties audito procedūras būtina atlikti (didelės, vidutinės ar mažos, įskaitant ir detaliuosius testus), vadovaujasi pateikta schema.

Atliekamų audito procedūrų apimties schema

Pagal 5100-ąjį GUID, atsižvelgus į audito tikslą, auditoriui gali būti svarbu IT kontrolės priemonių:

• Kūrimas. Šiuo atveju auditorius vertina IT kontrolės priemonių dizainą, ar jis yra tinkamas. Kai auditorių domina IT kontrolės priemonių kūrimas (dizainas), gali pakakti pokalbio arba dokumentais pagrįstų veiklos taisyklių patikrinimo. Siekiant įvertinti, ar organizacijos IT kontrolės priemonių kūrimas (dizainas) tinkamas, rekomenduojama vadovautis COBIT metodikoje pateikiamu procesų informaciniu modeliu, IT procesu aprašymais, kuriuos galima palyginti su organizacijoje egzistuojančia IT valdymo architektūra. Auditoriaus profesiniu sprendimu gali būti naudojama ir kita visuotinai pripažinta geroji praktika (pvz., ISO, ITIL). Vertinant IT kontrolės priemones per kūrimo prizmę, vertinami atitikties tam tikriems reikalavimams aspektai.
• Įgyvendinimas. Šiuo atveju auditorius vertina, ar nustatytos IT kontrolės priemonės (kai jos tinkamai sukurtos) yra įgyvendinamos praktikoje taip kaip numatyta, visa apimtimi ir nuosekliai per visą reikiamą laikotarpį. Tikrinant IT kontrolės priemonių įgyvendinimą pokalbio gali nepakakti – gali prireikti atlikti „ėjimo per sistemą“ testą arba duomenų analizę, kad būtų galima pagrįsti, jog sukurtos IT kontrolės priemonės buvo tinkamai įgyvendintos. Jei organizacijos IT kontrolės priemonių dizainu pasitikėti negalima (jis turi svarbių trūkumų (pažeidžiamumų), neatitinka teisės aktų reikalavimų, pan.), rekomenduojama įgyvendinimo vertinimą atlikti remiantis minėtos pasirinktos gerosios praktikos reikalavimais. Vertinant kaip įgyvendinamos IT kontrolės priemonės, vertinami tiek atitikties, tiek 3 E aspektai.
• Veiksmingumas. Šiuo atveju auditoriaus vertinimas yra dar gilesnis ir renkami įrodymai, ar pasiekti kokybiški proceso rezultatai, atsižvelgiant į atitinkamą IT kontrolės priemonės tikslą. Atsižvelgiant į audito tikslus, gali būti vertinamas IT kontrolės priemonės proceso efektyvumas, t. y., ar jį galima padaryti dar efektyvesnį optimizuojant veiksmus, siekiant sinergijos su kitais kontrolės mechanizmais ir persvarstyti prevencijos, aptikimo ir koregavimo pusiausvyrą. Vertinant IT kontrolės priemones per veiksmingumo prizmę, audito metu vertinami 3 E aspektai.

Didelės apimties pagrindinės IT audito procedūros gali apimti visus tris vertinimo lygius – IT kontrolės priemonių kūrimo, įgyvendinimo ir efektyvumo, vidutinės apimties – kelis šių lygių, o mažos – vieną. Jei vertinant IT bendrosios kontrolės priemonių kūrimą nustatyta, kad jų dizainas blogai sukurtas (pvz., nėra esminių kontrolės priemonių, kontrolės sistema turi daug neapibrėžtumų, daugumoje atvejų neatitinka gerosios praktikos), veiksmingumo vertinimo rekomenduojama neatlikti, kol nebus pašalinti nustatyti trūkumai, priešingu atveju gali būti neracionalu ar netikslinga vertinti jų veiksmingumą. Atlikdami didelės ar vidutinės apimties procedūras auditoriai gali priimti sprendimą pagrindinio tyrimo metu atlikti IT bendrosios kontrolės gebos vertinimą pagal COBIT metodiką.

Jei atlikus rizikos vertinimą nustatoma, kad IT bendrosios kontrolės rizika didelė ar vidutinė, rekomenduojama pagrindinio tyrimo metu, atsižvelgiant į audito tikslą, atsirinkti ir atlikti ir tam tikrų taikomųjų programų, kurios labiausiai pažeidžiamos dėl IT bendrosios kontrolės trūkumų ir turi neigiamą poveikį duomenų prieinamumui, vientisumui ir konfidencialumui, kontrolės priemonių detaliuosius testus. Dėl detaliųjų testų apimties žr. žemiau Atrankos atlikimas.

Jei audito objektas (nustatytas strateginio tyrimo metu) yra taikomųjų programų kontrolės priemonės (informacinė sistema), pagrindinės audito procedūros turi apimti IT bendrosios kontrolės priemonių testus, nes ši kontrolė tiesiogiai daro įtaką taikomosios programos kontrolės priemonių pakankamumui ir patikimumui. Tokiais atvejais IT bendrosios kontrolės priemonių vertinimo ir taikomosios programos kontrolės priemonių vertinimo procedūrų apimtis pasirenkamos atsižvelgiant į auksčiau nurodytą schemą pagal jų rizikos įvertinimo rezultatus ir Atrankos atlikimo skirsnyje pateikiamas nuostatas dėl atrankos atlikimo.

Informacija apie duomenų šaltinius paprastai surenkama išankstinio tyrimo metu, kai vyksta susipažinimas su audituojama sritimi, audituojamo subjekto veikla ir IT valdymu. Rengdamas audito planą auditorius turi suprasti kokių papildomų duomenų ir informacijos reikės gauti pagrindinio tyrimo metu, siekiant atlikti pagrindines audito procedūras (detaliuosius testus). Apie duomenų šaltinius plačiau pateikta Susipažinimo su audituojama sritimi skiltyje.

Audito procedūros atliekamos naudojant informacijos ir duomenų rinkimo ir vertinimo metodus, kurie išsamiau pateikti Audito metodų skiltyje. Atliekant taikomųjų programų testus be šių procedūrų ir metodų gali būti naudojami specifiniai metodai, kuriuos praktikoje naudoja programinės įrangos testuotojai (pvz.: sprendimų medis, ribinių verčių analizė, naudojimo atvejų testavimas, klaidų spėjimas, tiriamasis testavimas, kt.)[1]. Apie taikomųjų programų kontrolės priemonių testavimą žr. plačiau čia.

Pagrindinio tyrimo metu dažnai atsiranda keblumų gaunant ir įvertinant reikalingus duomenis ir informaciją, todėl išankstinio tyrimo metu rekomenduojama išbandyti duomenų ir informacijos rinkimo ir vertinimo metodus, siekiant įsitikinti, kad juos bus įmanoma taikyti pagrindinio tyrimo metu ir gauti būtinų įrodymų, atsakyti į audito klausimus. Šis pratimas reikalingas ne tik tam, kad auditorius geriau susipažintų su audituojamos srities informacija, bet ir tam, kad būtų maksimaliai išvengta situacijos, kai audito plane suplanuotų procedūrų negalės atlikti pagrindinio tyrimo metu (pvz., dėl to, kad tokių duomenų, kurie būtų reikalingi audito kriterijui įvertini, audituojamieji nekaupia ir pan.).

Praktinės problemos, susijusios su išlaidomis ir galimybe surinkti duomenis, gali apriboti tam tikrų metodų pasirinkimą. Tokiu atveju auditorius turi suplanuoti alternatyvias procedūras, kurios leistų gauti tinkamų ir pakankamų įrodymų arba spręsti dėl konkretaus audito klausimo, kriterijaus tikslinimo ar atsisakymo.

Auditorius pasirenka tinkamiausią audito procedūrą ir metodą, kad galėtų sumažinti įvertintą audito riziką iki priimtinai mažo lygio. Rinkdamasis procedūras ir metodus auditorius turėtų vadovautis savo profesine nuovoka, atsižvelgdamas į IT kontrolės priemonių vertinimo rezultatus, IT kontrolės rizikos lygį, testavimo tikslus, populiacijos pobūdį. Bet kurio šių metodų naudojimas neturi paveikti audituojamo subjekto taikomųjų programų sistemos ir jos duomenų vientisumo. Audito metu esant poreikiui gali būti naudojamos ir kompiuterizuotos audito priemonės (CAAT).

Auditorius, priklausomai nuo nagrinėjamo klausimo, gali atlikti pagrindines procedūras:

• tam tikrą dieną (tam tikru laiko momentu) – auditorius tik surenka audito įrodymus, kad tuo metu IT kontrolės priemonės buvo pakankamos ir patikimos. Pvz., toks vertinimas gali būti atliekamas kai svarbu įvertinti aktualiausią IT bendrosios kontrolės ir (ar) taikomosios programos kontrolės priemonių būklę ir nėra aktualu vertinti istorinės informacijos;
• per visą laikotarpį – auditorius surenka audito įrodymus, kad IT kontrolės priemonės buvo pakankamos ir patikimos svarbiais audituojamojo laikotarpio tarpsniais. Pvz., finansų audito metu gali būti aktualu įvertinti tai, kaip IT kontrolės priemonės veikė visą audituojamą laikotarpį ir ar jomis galima pasitikėti, arba IT audito metu svarbu įvertinti tai, kokia incidentų registravimo ir jų sprendimo dinamika buvo 2–3 metų laikotarpiu;
• tarpiniu laikotarpiu (prieš jo pabaigą) – auditorius surenka audito įrodymus apie IT kontrolės priemonių pakankamumą ir patikimumą laikotarpiui nesibaigus. Audito procedūras atliekant prieš laikotarpio pabaigą, gali būti lengviau nustatyti rimtas problemas ankstyvoje audito stadijoje, taigi ir išspręsti jas vadovybei padedant arba parengti veiksmingą audito metodą joms spręsti. Tokiais atvejais auditorius turėtų gauti papildomų įrodymų dėl likusio laikotarpio.

Testuojant IT kontrolės priemonių veikimą per ilgesnį laikotarpį svarbu atkreipti dėmesį į tai, ar per šį laikotarpį IT valdyme nebuvo esminių pasikeitimų ir ar seniau veikusi sistema bus aktuali išvadoms pateikti.

Turėtų būti parengtos išsamios, tarpusavyje nesidubliuojančios ir viena kitą papildančios audito procedūros ir metodai, kurie audito plane turi būti aiškiai aprašyti. Visi audito procedūras atliekantys auditoriai turėtų suprasti, kaip kiekvienas atskiras klausimas ir numatytos audito procedūros yra susijusios su audito tikslu.

Siekiant ištestuoti IT bendrąją ir (ar) taikomųjų programų kontrolės priemones, auditorius atsižvelgęs į išankstinio tyrimo metu surinktą informaciją ir nustatytas rizikas turėtų parengti šių kontrolės priemonių testavimo klausimynus.

[1] Programinės įrangos testavimo metodus žr.: ISO/IEEC/IEEE 29119–4:2021 Programinės įrangos ir sistemų inžinerija – Programinės įrangos testavimas – 4 dalis: Bandymo metodai.

Audito plano rengimo metu auditorius turi apsispręsti, kokią dalį tiriamosios visumos audituoti ir, jeigu nuspręsta audituoti mažiau nei visą (100 proc.), atlikti pačią atranką. Paprastai audite galima:

• pasirinkti tikrinti visus vienetus – tai visos (100 proc.) tiriamosios visumos tikrinimas. Šis metodas tinkamas, kai vienetų skaičius yra nedidelis, o vertė – didelė; rizika buvo įvertinta kaip reikšminga arba kompiuterizuotos audito priemonės (CAAT) leidžia efektyviai patikrinti visus vienetus;
• atlikti atranką – tai audito procedūrų atlikimas mažiau kaip 100 proc. audito objektui ar sričiai svarbios tiriamosios visumos vienetų. Atrankai atlikti gali būti taikoma:
  • Statistinė atranka – tai duomenų atrinkimas ir įvertinimas, siekiant pateikti išvadą apie visumą, remiantis tikimybių teorijos dėsniais. Atliekant ją, imties vienetai (pvz., projektai, sutartys, respondentai ir kt.) turi būti atrinkti taip, kad kiekvienas atrankos vienetas iš visumos turėtų galimybę būti atrinktas (patekti į imtį). Tik atlikęs statistinę atranką auditorius galės gauti užtikrinimą dėl visos tiriamosios visumos.
  • Nestatistinė atranka – tai tam tikrų imties vienetų atrinkimas iš visumos, priklausantis nuo auditoriaus profesinio sprendimo. Šis metodas gali būti taikomas, kai norima atsirinkti elementus dėl jų specifinių savybių, pvz., tai gali būti didelės vertės ar rizikos objektai. Tai efektyvus audito įrodymų rinkimo metodas, bet nėra statistinė atranka, todėl rezultatų negalima pritaikyti visai populiacijai.
  • Statistinės ir nestatistinės atrankos kombinacija – tai kelių etapų atranka, kai tam tikri reikšmingiausi elementai (pvz., didžiausi, rizikingiausi ir kt.) atrenkami profesiniu sprendimu, o likusiems elementams taikoma statistinė atranka.

Rekomenduojame taikyti statistinę atranką arba statistinės atrankos ir aukštos vertės elementų 100 proc. testavimo kombinaciją, nes tik šie metodai garantuoja rezultatų reprezentatyvumą ir apskaičiuojamą rezultatų paklaidą.

Atrankos procesas

Pagrindiniai atrankos etapai:

1. Atrankos tikslo nustatymas. Auditorius turi nuspręsti, ar atrankos tikslas yra gauti objektyvius ir visą populiaciją apibendrinančius rezultatus, ar gauti specifinę informaciją apie tam tikrą grupę ar reiškinį, kuri nėra skirta atspindėti visos populiacijos. Atrankos tikslas nurodomas darbo dokumentuose.
2. Tiriamos visumos nustatymas. Atliekant atranką reikia žinoti, kokia yra tiriamoji visuma ir koks jos dydis.
3. Tiriamosios visumos suskaidymas. Atrankai vykdyti visada geriau turėti kuo labiau homogenišką (vienalytę) tiriamąją visumą. Kai visuma palyginti nevienoda, rekomenduotina įvertinti galimybę ją suskaidyti į mažesnes dalis. Pavyzdžiui, jeigu turima duomenų visuma apima visų audituojamu laikotarpiu incidentų pavadinimus, kiekius ir kainas, auditoriui gali būti naudinga turimą duomenų visumą suskirstyti į mažesnes grupes (pvz., saugos incidentai ir kiti incidentai), kurios nagrinėjamos atskirai – taip gaunamos tikslesnės įžvalgos. Kriterijai, pagal kuriuos skaidytume, gali būti labai įvairūs ir priklauso nuo nagrinėjimo audito klausimo ir kriterijaus: pvz., pagal tam tikras logines grupes, vietoves (miestas / kaimas), datas ir pan.

Skaidyti į mažesnes tiriamas visumas tikslinga ir tada, jei matoma, kad yra labai išsiskirianti tam tikrų elementų grupė, kurią galima būtų nagrinėti 100 proc. ar kitu profesiniu sprendimu pasirinktu metodu. Likusia tiriamąja visuma šiuo atveju laikomi visi likę vienetai ir šiai visumos daliai taikomas tinkamiausias atrankos metodas. Jeigu tiriamoji visuma buvo suskaidyta, darbo dokumentuose reikia nurodyti, kaip ir kodėl ji buvo suskaidyta į mažesnes dalis.

4. Atrankos būdo ir metodo pasirinkimas. Kaip pateikta pirmiau, atrankos būdas gali būti statistinis, nestatistinis arba kombinuotas. Statistinė ir nestatistinė atranka gali būti atliekama taikant įvairius metodus (išsamiau Audito metodai). Tinkamiausias būdas ir metodas parenkamas atsižvelgiant į tiriamą visumą ir atrankos tikslą. Nuo tikslo daugiausiai priklauso jos būdo pasirinkimas, o nuo turimų duomenų (elektroniniai ar popieriniai, homogeniški ar ne ir pan.) – atrankos metodo pasirinkimas. Norint gauti užtikrinimą dėl visos tiriamosios visumos, reikia taikyti statistinius atrankos metodus. Kitais atvejais gali būti tinkami ir nestatistiniai atrankos metodai. Darbo dokumentuose reikia nurodyti pasirinktą atrankos būdą (statistinė ar nestatistinė) ir metodą (-us). Jei pasirenkamas nestatistinis atrankos būdas, šis pasirinkimas turi būti papildomai argumentuotas.
5. Imties dydžio nustatymas. Nuo imties dydžio priklauso tyrimų rezultatų reprezentatyvumas ir paklaida. Kuo didesnė imtis, tuo mažesnė rezultatų paklaida ir tikslesnės tyrimo išvados, ir atvirkščiai – kuo mažesnė imtis, tuo didesnė rezultatų paklaida ir mažiau tikslios tyrimo išvados. Darbo dokumentuose nurodoma, kaip ir kodėl buvo pasirinktas tam tikras imties dydis, kokią dalį tiriamosios visumos sudaro imtis procentais, jeigu jos dydis nebuvo skaičiuojamas taikant imties dydžio nustatymo formulę. Esant galimybei galima nurodyti imties procentą ir pagal vertę. Atrankos vienetai gali būti piniginiai arba fiziniai vienetai (pvz.: IT projektai, incidentai, IT rizikos, IT problemos, ūkinės operacijos ir pan.).
6. Imties vienetų atrinkimas. Taikant pasirinktą atrankos būdą ir metodą iš visumos (populiacijos) atrenkami konkretūs vienetai testavimui. Darbo dokumentuose nurodoma, kaip buvo atrinkti konkretūs vienetai (pvz., sisteminėje atrankoje kiekvienas n-asis vienetas pradedant nuo x-ojo vieneto).
7. Reikiamų audito procedūrų su atrinktais vienetais atlikimas ir rezultatų apibendrinimas. Atlikus reikiamas procedūras, turi būti apibendrinami rezultatai, kurie pateikiami darbo dokumentuose. Jeigu buvo taikyta statistinė atranka, auditorius įvertina nustatytus nuokrypius ir priima profesinį sprendimą dėl jų pritaikymo visumai, iš kurios testuotas vienetas buvo atrinktas. Šis atrankos rezultatų vertinimo būdas vadinamas klaidų ekstrapoliavimo į visumą būdu.

Audito planavimo metu turi būti atlikti atrankos proceso 1–5 etapai, nurodyti pastraipoje aukščiau ir reikiama informacija (tiriamoji visuma ir jos dydis, atrankos būdas ir metodas, imties dydis) pateikta audito plane. Atkreipiame dėmesį, kad audito plane nurodyti planuojamą atrankos būdą ir imties dydį svarbu, nes ši informacija būtina procedūroms suplanuoti ir jų atlikimui reikalingiems ištekliams įvertinti (kiek reikės žmonių ir kiek darbo dienų konkrečiai procedūrai atlikti). 6 etapas „Imties vienetų atrinkimas“ planavimo metu atliekamas, jeigu turimos reikiamos tiriamosios visumos.

Jeigu auditorius neturi galimybės planavimo etape atlikti 3–6 atrankos etapų (pvz.: surinkus naujausius duomenis laukiama, kol subjektas audituojamas; į audito planą įtraukiami nauji audituojami subjektai ir duomenų bus prašoma pagrindinio tyrimo metu; audituojamieji negalėjo pateikti duomenų, nes jie laikomi decentralizuotai popierinėse bylose ir nėra apyrašų, iš kurių galima atlikti atranką ir pan.), audito plane nurodomos priežastys, kodėl atrankos atlikti negalima ir kad ji bus atliekama pagrindinio tyrimo metu. Šiuo atveju audito plane taip pat turi būti įvardijama, ką laikysime tiriamąja visuma.

Tik išskirtiniais atvejais, kai rengiant audito planą neturima jokios informacijos apie planuojamą tiriamą visumą (ir jos nebuvo galima gauti išankstinio tyrimo metu), plane galima nenurodyti imties dydžio, nurodant, kad jis bus apskaičiuojamas gavus reikiamus duomenis.

Imties dydžio nustatymas

Audito išankstinio tyrimo etape, remiantis 8 pav. pateikta audito procedūrų apimties schema, įvertinus įgimtą ir IT kontrolės priemonių patikimumą, reikia nustatyti, kokios apimties audito procedūros bus atliekamos.

Imties dydis IT bendrosios kontrolės testams (kai tiriamoji visuma mažiau negu 300 vienetų) nustatomas atsižvelgiant į tiriamąją visumą ir įgimtos rizikos vertinimą:

Minimalus imties dydis IT bendrosios kontrolės testams

Kai tiriamoji visuma 300 vienetų ir daugiau, imties dydis apskaičiuojamas naudojantis pateikta imties dydžio nustatymo formule. Ji parengta su dažniausiai taikomu 95 proc. patikimumo ir 5 proc. paklaidos lygiu.

Imties dydis = tiriamoji visuma * 384,16 / (tiriamoji visuma + 383,16)

Jeigu yra poreikis taikyti kitus patikimumo ir paklaidos lygius, imties dydį galima apskaičiuoti vadovaujantis rekomenduojamomis internete pateikiamomis skaičiuoklėmis (pavyzdys pateiktas Atrankos darbo dokumento rengimo instrukcijoje).

Jeigu atranka atliekama dviem etapais, imties dydis didinamas 20 proc. Kaip atlikti šią atranką išsamiau „Dviejų etapų atrankos pavyzdys“.

Nusprendus atlikti taikomųjų programų kontrolės priemonių testavimą yra atliekami detalieji testai. Tokiais atvejais pasirenkant imties dydį reikia atsižvelgti į tai, ar taikomosios kontrolės priemonės rankinės (kai darbuotojas fiziškai atlieka tikrinimo veiksmus, pvz., sulygina suvestą informaciją IS su dokumentais) ar automatizuotos (žmogaus veiksmų nėra, tikrinimus atlieka IS pagal įdiegtą funkciją) ir koks yra taikomųjų kontrolės priemonių vykdymo dažnumas.

ISACA leidinyje „COBIT ir aplikacijų kontrolė. Valdymo gidas“[1] rekomenduoja atrinkti daugiau testuojamų vienetų (pavydžių), kai kontrolė yra rankinė ir ji atliekama dažniau, o automatizuotomis kontrolės priemonėmis galima atrinkti mažiau pavyzdžių arba taikyti vieno pavyzdžio principą, jei automatizuota kontrolė audituojamu laikotarpiu nesikeitė ir IT bendroji kontrolė organizacijoje veikia efektyviai. Žemiau pateikiami minimalūs imties dydžių pavyzdžiai, kuriuos minėtoje knygoje rekomenduojama pasirinkti testuojant vieną taikomųjų programų kontrolės priemonę.

Minimalus imties dydis IT taikomųjų programų kontrolės priemonių detaliems testams

Jei išankstinio tyrimo metu, įvertinus įgimtą riziką ir atlikus IT bendrosios kontrolės testus, nustatyta, kad:

• įgimta rizika yra padidinta, o IT bendrosios kontrolės rizika yra didelė ar vidutinė, auditorius detaliųjų testų padidina 50 proc. nuo minimalaus pavydžių kiekio, nurodyto 3 lentelėje;
• įgimta rizika yra normali, o IT kontrolės rizika didelė ar vidutinė, auditorius detaliųjų testų padidina 20 proc. nuo minimalaus pavydžių kiekio, nurodyto 3 lentelėje;
• įgimta rizika yra padidinta ar normali, o IT bendrosios kontrolės rizika yra maža, auditorius detaliųjų testų kiekį pasirenka pagal 3 lentelėje nurodytą minimalų pavyzdžių kiekį.

Detaliųjų testų apimtis taip pat gali priklausyti nuo to, kokius specifinius testavimo metodus planuojama naudoti taikomosios programos funkcijos testavimo atveju (pvz., sprendimų medis, ribinės vertės analizės, kt.)[3] ir nuo to, kiek parametrų ir su jomis susijusių kombinacijų ši programa sukuria atlikdama tam tikrą pasirinktą testuoti funkciją. Pavyzdžiui, pasirinkta testuoti nedarbo išmokos apskaičiavimo funkcija, bet skirtingomis išmokos mokėjimo sąlygomis algoritmas gali apskaičiuoti skirtingą rezultatą, todėl tokiais atvejais reikia ištestuoti visus galimus skaičiavimo variantus ir įsitinkinti, ar funkcija veikia tinkamai.

[1] ISACA leidinys „COBIT ir aplikacijų kontrolė. Valdymo gidas“ (angl. „CobiT and Application Controls: A Management Guide“), 56 psl.

[2] Ten pat.

[3] Programinės įrangos testavimo metodai pateikiami ISO/IEEC/IEEE 29119–4:2021 Programinės įrangos ir sistemų inžinerija – Programinės įrangos testavimas – 4 dalis: Bandymo metodai.