Audito rizikos vertinimas

IT auditai turi būti atliekami remiantis rizika grįstu audito metodu. Taikant šį metodą audituojamame subjekte turi būti identifikuojamos įgimtos rizikos, IT kontrolės rizikos dėl kurių gali pasireikšti neigiamas poveikis organizacijai ir jos tikslams (pvz.: gali atsirasti finansiniai nuostoliai, veiklos procesų klaidos, ekonominės sankcijos, sumažėti klientų pasitikėjimas ar pasitenkinimas teikiamomis paslaugomis) bei valdoma neaptikimo riziką.

Audito rizikos vertinimas sudaro sąlygas nustatyti audito sritis, kurioms turėtų būti skiriama daugiau dėmesio pagrindinio tyrimo metu ir apsispręsti dėl audito procedūrų, kuriuos reikės atlikti pagrindinio tyrimo metu, apimties. Audito procedūros, informacijos ir duomenų šaltiniai bei metodai skilties dalyje pateikta audito procedūrų apimties schema, kuria auditorius vadovaujasi visuose audituose priimdamas sprendimus dėl audito procedūrų pobūdžio ir apimties.

Į audito riziką reikėtų atsižvelgti viso audito metu:

• audito planavimo metu, įskaitant audito procedūrų planavimą;
• audito procedūrų atlikimo metu;
• atliktų audito procedūrų įvertinimo metu;
• rengiant audito ataskaitą.

Įgimta rizika – tai tikimybė, kad tam tikros audituojamo subjekto IT grindžiamų informacinių sistemų savybės dėl savo pobūdžio gali turėti neigiamą poveikį funkcijos, kurią subjektas įgaliotas atlikti, vykdymui.

Įprastomis sąlygomis egzistuojanti įgimta rizika laikoma normalia. Ypatingomis sąlygomis atsirandanti rizika gali būti vertinama kaip padidinta įgimta rizika – paprastai ji atsiranda ten, kur didesnę įtaką turi individualūs sprendimai, kur įvyksta nenumatytos aplinkybės, esminiai pasikeitimai, veikla susijusi su sudėtingais procesais, ją reglamentuoja sudėtingi teisės aktai ir pan.

Įgimtos rizikos pavyzdžiai:

• audituojamo subjekto IS, kurios teikia paslaugas didžiajai daliai visuomenės, turi įgimtą riziką, kad, piko metu visiems naudotojams prisijungus, šios sistemos pajėgumai nebus pakankami ir sistema gali nulūžti;
• vartotojų anonimiškumas, ypač elektroninių ryšių tinkle, yra įgimta rizika;
• įgimta rizika gali būti susijusi su ypatingos svarbos statusą turinčiomis IS, nes saugumo spragų jose buvimas gali sudaryti sąlygas ypač didelei žalai atsirasti.

Šią riziką audito grupė vertina remdamasi subjekto veiklos išmanymu. Siekiant įvertinti audituojamame subjekte IT valdymo sistemos įgimtą riziką, audito grupė, susipažinusi su audituojamo subjekto veikla, jo IT valdymo sistema bei pasinaudodama Įgimtos rizikos veiksnių sąrašu, sutikrina ar audituojamoje srityje yra arba nėra minėtame saraše nurodytų ir kitų auditoriaus nustatytų įgimtos rizikos veiksnių. Vertindama, ar IT valdymo sistemai būdinga padidinta ar normali rizika, audito grupė taip pat turi įvertinti šios rizikos reikšmingumą, t. y. koks nustatytos rizikos mastas ir tikimybė jai pasireikšti ir tai dokumentuoti. Auditoriai turėtų mažiau dėmesio skirti rizikai, kuri yra labai didelė, bet mažai tikėtina, ar tai, kuri yra nedidelė, bet tikėtina. Rizika, kurią auditoriai laiko tiek didele, tiek labai tikėtina, yra vertinama kaip reikšminga. Reikšmingos rizikos nustatymas yra auditoriaus profesinis sprendimas.

Pateiktas įgimtos rizikos veiksnių sąrašas nėra baigtinis, todėl auditoriai atlikdami įgimtos rizikos vertinimą kiekvienu atveju gali nustatyti ir daugiau šios rizikos veiksnių, kuriuos turėtų įtraukti į vertinimą. Toliau įgimtos rizikos vertinimo rezultatai naudojami nustatant, kokia bus pasirinkta IT audito apimtis ir audito procedūros. Išsamiau Audito apimties nustatymo skiltyje.

IT kontrolės rizika – tai tikimybė, kad audituojamo subjekto patvirtintomis IT kontrolės priemonėmis gali nepavykti sumažinti neigiamo poveikio, į kurį reaguojant jos buvo sukurtos. Pavyzdžiui, reikia užtikrinti, kad prieigą prie konfidencialių duomenų turėtų tik įgalioti darbuotojai, todėl nustatyta kontrolės priemonė, pagal kurią reikalaujama, kad norintys gauti prieigą darbuotojai pateiktų naudotojo vardą ir slaptažodį. Kontrolės rizika šiuo atveju yra ta, kad naudotojo vardas ir slaptažodis nėra pakankamai saugūs ir kad leidimo neturintys darbuotojai gali juos nuspėti pakartotiniais bandymais. Dėl to prarandamas konfidencialumas ir gali būti padarytas neigiamas poveikis audituojamajam subjektui. Subjektas, kuris primygtinai reikalauja naudoti saugius, sudėtingus slaptažodžius, kuriuos sudaro raidžių, skaičių ir specialiųjų simbolių derinys, ir užtikrina, kad informacinė sistema užkirstų kelią prieigai prie naudotojo vardo, viršijant tam tikrą skaičių nesėkmingų bandymų, turės mažesnę kontrolės riziką nei tas, kuris netaiko tokių reikalavimų.

Kuo didesnė nustatyta įgimta rizika, tuo stipresnė turi būti audituojamo subjekto IT kontrolės sistema, kad galėtų padėti sumažinti neigiamą poveikį, kuris gali įvykti dėl padidintos įgimtos rizikos. Tokiu atveju susipažindamas su IT kontrolės sistema auditorius turi ypač atkreipti dėmesį į tai, ar yra sukurtos ir veikiančios kontrolės procedūros tose srityse, kuriose nustatyta padidinta įgimta rizika. Kita vertus, net jei ši rizika nėra nustatyta, dėl kiekviename subjekte egzistuojančios normalios įgimtos rizikos taip pat gali atsirasti neatitikčių, todėl bet kuriame audituojamame subjekte turi būti sukurta tinkamai veikianti IT kontrolės sistema. Todėl net ir nesant padidintos įgimtos rizikos, IT kontrolės priemonių pakankamumas ir patikimumas turėtų būti įvertintas audituojamame subjekte.

IT kontrolės riziką vertina auditorius, susipažinęs su audituojama sritimi (išsamiau Susipažinimo su audituojama sritimi skiltyje), remdamasis jo paties atliktu IT kontrolės priemonių vertinimu (išsamiau Kontrolės priemonių vertinimo skiltyje). Auditorius kontrolės riziką gali įvertinti kaip mažą, vidutinę arba didelę kiekvieno IT kontrolės priemonės vieneto atveju ir, atsižvelgęs į rezultatus, nustatyti bendrą IT kontrolės rizikos lygį.

IT kontrolės priemonių vertinimas ir susijusi kontrolės rizika

IT valdymo gebos vertinimą atlikti rekomenduotina, bet nėra privaloma. Jei išankstinio tyrimo metu preliminariai buvo atliktas IT valdymo gebos vertinimas pagal COBIT metodiką, auditoriai gautus gebos vertinimo rezultatus gali naudoti kartu vertinant IT kontrolės rizikos lygį pagal pirmiau nurodytą modelį (lentelė), rekomenduojama vertinti kad esant 0–1 gebai – kontrolės rizika didelė, 2–3 gebai – vidutinė, 4–5 – maža. Kiekvienu atveju auditorius priima profesinį sprendimą, koks gebos lygis kuriam IT kontrolės rizikos lygiui priskirtinas. Šie sprendimai turi būti dokumentuojami.

IT kontrolės rizikos vertinimo rezultatai fiksuojami išankstinio tyrimo rezultatų apibendrinimo dokumente, kaip numatyta Išankstinio tyrimo rezultatų apibendrinimo skiltyje. IT kontrolės rizikos vertinimo rezultatai kartu su įgimtos rizikos vertinimo rezultatais naudojami nustatant kokia bus pasirinkta IT audito apimtis. Išsamiau Audito apimties nustatymo skiltyje.

Neaptikimo rizika – tai tikimybė, kad auditorius nenustatys, kad nėra subjekto patvirtintų IT kontrolės priemonių, kad jos neveikia ar netinkamos, o tai galėtų turėti neigiamą poveikį subjektui. Tai rizika, kurią auditorius gali kontroliuoti suplanuodamas tinkamas ir pakankamas audito procedūras. Neaptikimo rizika nėra atskirai vertinama įverčiu, ji tik susijusi su audito procedūrų pobūdžiu, laiku ir apimtimi, kurias nustato auditorius, siekdamas sumažinti audito riziką iki priimtinai žemo lygio. Pavyzdžiui, neaptikimo rizika, susijusi su taikomųjų programų sistemos saugumo pažeidimų nustatymu, paprastai yra didelė, jei nėra viso audito laikotarpio reikiamų registracijos (angl. log) žurnalų. Neaptikimo rizika, susijusi su atkūrimo po ekstremalių įvykių planų trūkumo nustatymu, paprastai yra maža, jei jos buvimas yra lengvai patikrinamas.

Tinkamas audito planavimas, audito grupės sudarymas, profesinio skepticizmo taikymas, audito darbo priežiūros vykdymas ir peržiūros atlikimas padidina audito procedūrų efektyvumą ir sumažina tikimybę, kad auditorius gali pasirinkti netinkamą audito procedūrą, netinkamai pritaikyti tinkamą audito procedūrą arba klaidingai interpretuoti audito rezultatus.

Neaptikimo rizikos lygis tiesiogiai priklauso nuo įvertinto įgimtos ir IT kontrolės rizikos lygio ir parodo, kokios apimties audito procedūrų reikėtų pagrindinio tyrimo metu:

• kuo didesnis įgimtos ir IT kontrolės rizikos lygis, tuo daugiau pagrindinio tyrimo metu reikia atlikti audito procedūrų, kad iki reikiamo lygio sumažėtų neaptikimo rizikos lygis;
• kuo mažesnis įgimtos ir IT kontrolės rizikos lygis, tuo mažiau pagrindinio tyrimo metu galima atlikti audito procedūrų, nes, kitoms rizikoms esant mažoms, galima toleruoti didesnę neaptikimo riziką.

Neaptikimo riziką galima sumažinti, bet ne pašalinti – tam tikra šios rizikos tikimybė visada išlieka. Neaptikimo rizikos mažinimo būdai:

• gerai suplanuoto, struktūrizuoto audito atlikimas kiek įmanoma aiškiau ir detaliau identifikuojant įgimtą ir kontrolės riziką – tinkamų ir pakankamų audito procedūrų numatymas ir atlikimas;
• su audito valdymu susijusios neaptikimo rizikos (audito atlikimo rizikos) identifikavimas ir jai valdyti priemonių nustatymas (dokumentuojama audito projekte ViPSIS, audito plane nurodoma pagal poreikį).

Su audito valdymu susijusios neaptikimo rizikos veiksnių pavyzdžiai:

• Duomenų prieinamumas, pakankamumas, tinkamumas ir patikimumas. Gali kilti rizika, kad audito metu nebus gauti arba bus gauti nepakankami, netinkami ir (ar) nepatikimi duomenys, reikalingi tinkamiems, pakankamiems audito įrodymams surinkti ir audito klausimams atsakyti. Tai gali įvykti dėl įvairių priežasčių, įskaitant skirtingų informacijos šaltinių prieinamumo trūkumą arba pateiktų duomenų kokybės ir patikimumo trūkumą. Taip pat yra rizika, kad dėl audituojamo subjekto veiksmų (pvz., netinkamo bendradarbiavimo) reikalinga informacija gali būti negauta laiku arba iš viso negauta. Yra rizika ir dėl galimo klaidingų duomenų pateikimo ar net apgaulės.
• Auditorių kompetencija ir patirtis. Audito grupės nariai gali neturėti pakankamai žinių, profesinių įgūdžių, analitinių ar kitų gebėjimų, būtinų sėkmingam planuojamos audituoti srities įvertinimui. Nepakankama patirtis ar žinių trūkumas gali sumažinti audito kokybę ir turėti neigiamos įtakos audito rezultatų tinkamumui ir patikimumui.
• Ištekliai. Egzistuoja rizika, kad turimų žmogiškųjų, finansinių, materialinių ir (ar) laiko išteklių gali nepakakti audito tikslui pasiekti. Įvairūs veiksniai, pvz.: papildomų ekspertų poreikis, mokymai ar netikėtai išaugusios išlaidos technologinėms priemonėms, gali padidinti audito kainą ir taip viršyti planuotą biudžetą bei sumažinti tikėtiną audito pridėtinę vertę.

Jeigu auditoriai nustato audito valdymo riziką, turi būti nustatytos ir priemonės ją valdyti. Taip audito metu kylančios problemos bus sprendžiamos operatyviau ir efektyviau. Audito rizikos valdymas – sisteminis audito projekto valdymo procedūrų ir priemonių taikymas, siekiant nustatyti ir valdyti tikėtinus įvykius, kurie gali reikšmingai paveikti audito procesą, taip pat suteikti pakankamą užtikrinimą, kad audito tikslas bus pasiektas. Kylančios rizikos ir jų valdymo priemonės aptariamos audito grupėje ir dokumentuojamos ViPSIS, o audito plane nurodomos pagal poreikį. Jeigu reikia, atliekami numatytų audito rizikos valdymo priemonių pakeitimai.

Apibendrinant galima pasakyti, kad audito grupė turi nustatyti:

• kokių nesklandumų galėtų kilti atliekant auditą;
• kokia tikimybė, kad tie nesklandumai kils;
• koks būtų jų poveikis audito rezultatams ir kokybei;
• ką galima padaryti, kad nesklandumų atsiradimo tikimybė būtų mažesnė;
• kaip rizika galėtų būti valdoma, jei ji kiltų.

Kaip ir kitos, ši rizika ir jos valdymo priemonės turi būti aptartos audito grupėje. Pokalbiai su audituojamu subjektu ir kitomis susijusiomis šalimis gali padėti išaiškinti neaptikimo rizikos veiksnius ir jos valdymo priemones.

Auditoriai viso audito metu turi stebėti ir vertinti audito riziką ir, jeigu reikia, atlikti numatytų audito rizikos valdymo priemonių pakeitimus.

Nors audito tikslas nėra atskleisti apgaulę ir korupciją, kaip nustato TAAIS reikalavimai, auditoriai turi įvertinti apgaulės ir korupcijos riziką ir imtis tam tikrų veiksmų jų atžvilgiu. Apgaulė apibrėžiama kaip tyčinis vieno ar kelių asmenų – audituojamo subjekto vadovybės, darbuotojų, už valdymą atsakingų asmenų ar trečiųjų šalių – veiksmas, siekiant gauti neteisėtos naudos^[1]. Tai gali būti, pvz.: slaptai sutartas paramos skyrimas ar sutarčių sudarymas, klaidingos informacijos pateikimas, tyčinis informacijos iškraipymas, nuslėpimas, vagystė, neteisėti veiksmai, „dėkingumo mokesčiai“ ir kt.

Auditorius viso audito metu turi laikytis profesinio skepticizmo ir pripažinti galimybę, kad neatitiktis dėl apgaulės ir korupcijos gali egzistuoti nepaisant ankstesnės auditoriaus darbo su audituojamu subjektu patirties ir nuomonės apie aukščiausio lygio vadovų ir už valdymą atsakingų asmenų sąžiningumą ir principingumą.

Apgaulė apima faktų ir (ar) svarbios informacijos tyčinį iškraipymą, siekiant neteisėtai gauti turtinę naudą (materialinis interesas). Apgaulė galėtų apimti manipuliaciją, falsifikavimą ar sukeitimą dokumentų, neteisėtą lėšų pasisavinimą ar išeikvojimą, dokumentų apie sandorių rezultatus nuslėpimą ar klaidų juose padarymą, realiai neegzistuojančių sandorių fiksavimą, sąmoningai klaidingą įstaigos apskaitos politikos taikymą.

Korupcija– piktnaudžiavimas įgaliojimais siekiant naudos sau ar kitam asmeniui viešajame ar privačiame sektoriuje. Korupcinio pobūdžio nusikalstamos veikos:

• kyšininkavimas, prekyba poveikiu, papirkimas, piktnaudžiavimas;
• nusikalstamos veikos, padaromos viešajame sektoriuje arba teikiant administracines ar viešąsias paslaugas piktnaudžiaujant įgaliojimais ir tiesiogiai ar netiesiogiai siekiant naudos sau ar kitam asmeniui: neteisėtas teisių į daiktą įregistravimas, tarnybos pareigų neatlikimas, valstybės paslapties atskleidimas, neteisėtas politinių partijų ir politinių kampanijų finansavimas, sukčiavimas, turto pasisavinimas arba iššvaistymas, komercinės paslapties atskleidimas, nusikalstamu būdu gauto turto legalizavimas, neteisingų duomenų apie pajamas, pelną ar turtą pateikimas, kišimasis į valstybės tarnautojo ar viešojo administravimo funkcijas atliekančio asmens veiklą, tarnybos paslapties atskleidimas, dokumento suklastojimas ar disponavimas suklastotu dokumentu;
• kitos nusikalstamos veikos, kuriomis siekiama kyšio, papirkimo arba nuslėpti ar užmaskuoti kyšininkavimą, prekybą poveikiu ar papirkimą.

Korupcinio pobūdžio teisės pažeidimas – administracinis nusižengimas, darbo pareigų pažeidimas ar tarnybinis nusižengimas, padaromas piktnaudžiaujant įgaliojimais ir tiesiogiai ar netiesiogiai siekiant naudos sau ar kitam asmeniui, taip pat korupcinio pobūdžio nusikalstama veika.

Apgaulei ir korupcijai įtakos turintys veiksniai. Auditoriams būtina suprasti apgaulės ir korupcijos motyvacijos ir organizacinius veiksnius. Neprivaloma kiekvieno audito metu įvertinti visų veiksnių (ne)buvimo, tačiau viso audito metu reikia išlaikyti tinkamą profesinį atidumą ir laiku identifikuoti galimą apgaulės ir korupcijos riziką. Veiksnių buvimas nebūtinai reiškia, kad įvyko apgaulė ar korupcija.

Motyvacijos veiksniai:

• ekonominė motyvacija – finansinis poreikis ar pelnas. Tai pagrindiniai apgaulės ir korupcijos stimulai. Dažnai asmenys, nuteisti už apgaulę ir korupciją, turi nepakeliamų finansinių problemų ir neturi jokių teisėtų pajamų šaltinių;
• šykštumas – asmenys, turintys valdžią ir įgaliojimų, dažnai įvykdo apgaulės ir korupcijos veiksmus iš godumo ir šykštumo;
• pripažinimas ar prestižas – asmenys gali norėti didesnio pripažinimo ar prestižo iš pavydo, keršto ar išdidumo. Jie dažnai būna garantuoti, kad jų padėtis yra aukščiau nei kitų ir gali likti nedemaskuoti ir neišaiškinti, įvykdę apgaulę ar korupciją;
• moralinis pranašumas – vienas motyvų gali būti pernelyg didelis savęs įvertinimas, esą turi moralinį pranašumą ar valdžią kitiems, kuriuos laiko aukomis.

Organizaciniai veiksniai:

• nepakankama vidaus kontrolės sistema – jei organizacija neturi patikimos vidaus kontrolės sistemos, tai gali sukurti palankias sąlygas apgaulei ir korupcijai, nes trūksta veiksmingų prevencijos ir atskleidimo mechanizmų;
• silpnos etikos normos – organizacijose, kuriose nėra aiškiai apibrėžtų etikos normų arba jos nėra tinkamai įgyvendinamos, yra didesnė korupcijos ir apgaulės rizika;
• neefektyvi priežiūra ir atskaitomybė – nepakankama darbuotojų veiksmų priežiūra ir neaiški atskaitomybė, skaidrumo ir atvirumo kultūros trūkumas gali sudaryti palankias sąlygas netinkamam elgesiui;
• organizaciniai pokyčiai – dideli organizaciniai pokyčiai, pvz., restruktūrizavimas, gali paskatinti piktnaudžiavimo atvejus;
• komunikacijos trūkumas – nepakankama ar netinkama komunikacija tarp vadovų, darbuotojų ir skyrių gali sukurti nesusipratimus, kuriuos gali išnaudoti asmenys, siekiantys piktnaudžiauti ir kt.

Vertindamas apgaulės rizikos veiksnius, auditorius turi atkreipti dėmesį į tai, kad apgaulės rizika įvertinama apsvarsčius tris jai būdingas sąlygas (apgaulės rizikos veiksnius) kiekvieno audituojamo subjekto atžvilgiu:

• skatinimas arba spaudimas įvykdyti apgaulę (pvz., viešojo sektoriaus darbuotojai dažnai jaučia spaudimą teikti aukštos kokybės paslaugas turint nepakankamus išteklius reikiamai kokybei išlaikyti);
• galimybė įvykdyti apgaulę (pvz., sudėtinga įdarbinimo aplinka arba pakankamai kvalifikuoto personalo trūkumas ir dėl to silpna vidaus kontrolė gali sudaryti galimybes pasireikšti apgaulei);
• sugebėjimas pateisinti (pagrįsti) netinkamus veiksmus (pvz., paprastai žemesnis atlyginimų lygis viešajame sektoriuje, lyginant su privačiu, gali skatinti darbuotojus pateisinti neteisėtą lėšų naudojimą).

Vertindamas apgaulės ir korupcijos riziką, auditorius gali pasinaudoti Apgaulės ir korupcijos rizikos vertinimo klausimynu. Esant poreikiui klausimynas gali būti papildytas kitais reikiamais klausimais.

Kai tame pačiame audituojamame subjekte atliekami keli Valstybės kontrolės auditai (veiklos, finansiniai, atitikties ir (ar) IT), kurių audituojamas laikotarpis persidengia, vėliau auditą pradėjusi audito grupė turėtų susisiekti su anksčiau jį pradėjusia grupe ir išsiaiškinti, ar toks klausimynas buvo pildomas. Jeigu buvo, rekomenduojame juo pasinaudoti.

Jeigu nustatoma apgaulės riziką didinančių veiksnių (atsižvelgiant į audito tikslą), auditoriai turėtų susipažinti su atitinkamomis vidaus kontrolės sistemomis ir išsiaiškinti, ar egzistuoja požymiai kokių nors neatitikimų, galinčių kliudyti veiklai.

Kai auditorius nustato apgaulės riziką, kurios vadovai nekontroliavo ar kontrolė nebuvo pakankama, arba jei, auditoriaus nuomone, subjekto rizikos vertinimui būdingi esminiai trūkumai, auditorius apie šiuos vidaus kontrolės trūkumus turi oficialiu raštu informuoti audituojamą subjektą.

Jeigu audito metu atskleidžiama apgaulė arba gaunama informacija, iš kurios galima spręsti, kad yra apgaudinėjama, auditorius turi oficialiu raštu pranešti apie tai audituojamo subjekto vadovams (jei nekyla abejonių dėl jų sąžiningumo). Jeigu manoma, kad apgaulėje galėjo dalyvauti vadovai arba darbuotojai, vykdantys vidaus kontrolę, auditorius turi nedelsdamas apie tai pranešti tiems, kam pavestos valdymo funkcijos (pvz., jei įtariama, kad apgaulėje galėjo dalyvauti konkrečiai ministerijai pavaldžios įstaigos vadovas, apie tai pranešama tos ministerijos vadovybei).

Audito metu nustačius apgaulės ar korupcijos požymius ar aplinkybes, rodančias apgaulės ar korupcijos galimybę, turi būti konsultuojamasi su Valstybės kontrolės Teisėtumo užtikrinimo departamento teisininku dėl poreikio ir galimybės perduoti informaciją pagal kompetenciją atitinkamai teisėsaugos institucijai. Audito departamento vadovas, įvertinęs surinktą informaciją, inicijuoja darbo dokumento dėl medžiagos perdavimo atitinkamai teisėsaugos institucijai tikslingumo parengimą ir jį kartu su reikiamais dokumentais, pagrindžiančiais galimą apgaulę ar korupciją, teikia Teisėtumo užtikrinimo departamentui. Šis departamentas ne vėliau kaip per 7 darbo dienas nuo gavimo dienos vertina pateiktą medžiagą ir pateikia savo išvadą dėl medžiagos perdavimo teisėsaugos institucijai tikslingumo ir pagrįstumo. Prireikus, Teisėtumo užtikrinimo departamentas medžiagą aptaria su audito grupe. Teisėtumo užtikrinimo departamentui pateikus pastabas, jei reikia, surenkami papildomi audito įrodymai. Valstybės kontrolieriaus pavaduotojas, kuriam yra tiesiogiai pavaldus audito departamentas, gavęs iš audito departamento vadovo visą medžiagą kartu su Teisėtumo užtikrinimo departamento išvada per 5 darbo dienas priima sprendimą dėl medžiagos perdavimo teisėsaugos institucijai tikslingumo ir pagrįstumo. Jei priimamas sprendimas perduoti, audito departamento vadovas organizuoja jos perdavimą atitinkamai teisėsaugos institucijai.

[1] 3910-osios GUID „Svarbiausi veiklos audito principai“, 91 p.