ValstybesKontrole.lt

Išankstinio tyrimo rezultatų apibendrinimas

Išankstinio tyrimo rezultatų apibendrinimas, surinkus ir įvertinus informaciją ir duomenis apie nagrinėtą sritį, pateikiami išankstinio tyrimo rezultatai ir sprendimas dėl tolesnio audito atlikimo ar neatlikimo (audito užbaigimu išankstinio tyrimo ataskaita). Audito planavimo rezultatų apibendrinimas turi būti parengtas ir patvirtintas iki audito planavimo rezultatų pristatymo Vadovybei, kurio metu aptariamos rizikos. Išankstinio tyrimo rezultatų apibendrinimo parengimą organizuoja audito grupės vadovas. Audito grupės atsakomybė rengiant išankstinio tyrimo rezultatų apibendrinimą išsamiau aprašyta Valstybinių auditų kokybės užtikrinimo vadove.

Išankstinio tyrimo rezultatų apibendrinime turi būti nurodyta:

  • Santrumpos ir sąvokos. Pateikiamos vartojamos santrumpos ir sąvokų paaiškinimai (išnašose nurodomi sąvokų paaiškinimo šaltiniai).
  • Audito objektas
  • Informacija apie nustatytas ir atrinktas rizikas. Šioje dalyje pateikiamos išankstinio tyrimo metu nustatytos IT kontrolės (bendrųjų ir taikomųjų programų kontrolės priemonių) rizikos:
    • Rizikos sugrupuojamos pagal atitinkamas sritis.
    • Riziką rekomenduojama įvardinti paprastu, aiškiu ir trumpu sakiniu. Rizika apibūdinama keliais sakiniais, pateikiant esminius faktus ir (ar) pavyzdžius ir pateikiant nuorodą į darbo dokumentą (-us), kuriame (-iuose) ji analizuota. Rekomenduojama nurodyti ir galimas rizikos priežastis ir pasekmes, jeigu tokios buvo identifikuotos išankstinio tyrimo metu.  Taip pat aprašant riziką pateikiama informacija apie pokyčius, įvykusius nagrinėtoje srityje po strateginio tyrimo atlikimo (pvz., tam tikros strateginio tyrimo metu nustatytos problemos buvo išspręstos ar yra sprendžiamos).  
    • Taip pat pateikiama informacija apie IT kontrolės priemonės svarbą (pagal poreikį), rizikos lygį, rizikos reikšmingumą ir jo pagrindimas, pažymima, ar rizika atrenkama tolesniam testavimui, pateikiamos priežastis, kodėl rizika nėra atrinkta tais atvejais, jei rizikos lygis didėlis arba vidutinis ir rizika yra reikšminga. Auditorius pagal poreikį gali pateikti papildomos informacijos.
  • Laukiamas audito poveikis. Pateikiamas aprašymas, kokią tikėtiną naudą audito rezultatai duos tobulinant nagrinėjamą sritį. Išsamiau valstybinio audito poveikio vertinimo procesą reglamentuoja Valstybinio audito poveikio vertinimo metodika.
  • Sprendimas dėl pagrindinio tyrimo atlikimo. Nurodoma, ar bus atliekamas pagrindinis tyrimas. Jeigu šis tyrimas nebus atliekamas, nurodomos priežastys, dėl kurių siūloma jo neatlikti. Priežasčių, kuriomis remiantis vertėtų svarstyti galimybę nutraukti auditą ir baigti jį išankstinio tyrimo ataskaita, pavyzdžiai:
    • audituojamas subjektas ėmėsi veiksmų problemoms spręsti;
    • yra rizika, kad audito įtaka pokyčiams bus maža ar jos nebus, nebus pasiektas laukiamas audito poveikis arba audito kaštai viršys galimą naudą;
    • nėra reikiamos kvalifikacijos auditorių, galinčių atlikti auditą, o ekspertų paslaugos labai brangios, nėra galimybių pasitelkti ekspertų;
    • audituojami subjektai nekaupia duomenų, kurių reikia didžiajai daliai ar visiems pakankamiems ir tinkamiems audito įrodymams surinkti, ir pan.
  • Išankstinio tyrimo ataskaitos rengimo grafikas (pildomas nusprendus neatlikti pagrindinio tyrimo ir auditą baigti išankstinio tyrimo ataskaita).
  • Planuojami ištekliai (pildomi nusprendus neatlikti pagrindinio tyrimo ir auditą baigti išankstinio tyrimo ataskaita).

Auditorius priima profesinį sprendimą, kokias ir dėl kokių priežasčių rizikos yra atsirenkamos tolimesniam testavimui. Šis sprendimas priimamas atsižvelgiant į audito tikslą, turimas kompetencijas, audito išteklius, laiką (skirtą auditui atlikti), kitas reikšmingas aplinkybes ir rizikas. Atrinkdami rizikingas IT kontrolės priemones auditoriai turi apsispręsti ir dėl audito apimties, apie tai išsamiau Audito apimties nustatymo skiltyje.

Tolimesniam testavimui turėtų būti atrinktos IT kontrolės rizikos, kurių rizikos lygis yra didelis (IT kontrolės priemonės nėra arba ji netinkamai sukurta, arba yra netinkamai įgyvendinama ar netinkamai veikia, išsamiau IT kontrolės rizikos vertinimo dalyje), ir IT kontrolės priemonės, kurios yra kiekybiškai ir (ar) kokybiškai reikšmingos (pvz., kai nustatoma, kad dėl IT kontrolės priemonių trūkumo (pažeidžiamumo) gali atsirasti finansiniai nuostoliai, gali būti sutrukdytas valstybei svarbių funkcijų įgyvendinimas, neteikiamos paslaugos daugumai vartotojų, kyla grėsmė duomenų konfidencialumui, vientisumui ir kt., išsamiau Kokybinio reikšmingumo dalyje).

Rekomenduojama testavimui atrinkti rizikas, kurių rizikingumo lygis yra vidutinis (IT kontrolės priemonė yra įdiegta ir tinkamai sukurta, tačiau turi įgyvendinimo ar veikimo trūkumų, išsamiau IT kontrolės rizikos vertinimo dalyje), ir jos yra reikšmingos, bet audito grupė dėl šių rizikų įtraukimo priima profesinį sprendimą remdamasi turimais ištekliais ir tikėtina šių rizikų vertinimo nauda.

Jeigu nusprendžiama neatlikti tolesnių audito procedūrų, parengiama išankstinio tyrimo ataskaita. Išsamiau Išankstinio tyrimo ataskaitos rengimo, derinimo ir galutinės ataskaitos pateikimo skiltyje.

Jeigu nusprendžiama atlikti pagrindinį tyrimą, parengiamas audito planas. Išsamiau Audito plano rengimo skiltyje. Rengiant audito planą, esant poreikiui išankstinio tyrimo rezultatų apibendrinimas gali būti patikslintas, pavyzdžiui, jeigu buvo išgryninti galimai nauji IT kontrolės priemonių trūkumai ir pan. Patikslintas apibendrinimas ViPSIS pateikiamas kartu su audito plano projektu. Esant poreikiui, ten pat pateikiami ir patikslinti išankstinio tyrimo darbo dokumentai.

Susiję dokumentai

Nėra susijusių dokumentų.