IT audite reikšmingumas suprantamas kaip IT kontrolės priemonių trūkumų (pažeidžiamumų) svarba atsižvelgiant į šių trūkumų (pažeidžiamumų) daromą neigiamą poveikį organizacijos veiklai ir jos tikslų pasiekimui, ir išorės vartotojams, kurie naudojasi organizacijos IT ištekliais.
Reikšmingumas turi būti vertinamas viso audito metu:
Vertindami reikšmingumą, auditoriai turėtų atkreipti dėmesį į:
Svarbu atkreipti dėmesį į audito rizikos vertinimo rezultatus ir galimų kontrolės priemonių trūkumų apimtį bendrame kontekste. Pvz., gali pasitaikyti atvejų, kai įgimta rizika normali, bet nustatyta daug nedidelių IT kontrolės priemonių trūkumų (pažeidžiamumų), kurie gali atrodyti nereikšminti, todėl susidaro vaizdas, kad IT kontrolės rizika galimai yra maža. Tačiau dėl to, kad šių trūkumų (pažeidžiamumų) bendra visuma yra didelė, egzistuoja galimybė, kad susikaupę keli tokių trūkumų (pažeidžiamumų) atvejai turės didelį poveikį organizacijai ir IT kontrolės rizika turėtų būti vertinama kaip vidutinę ar didelę.
Auditorius turėtų nustatyti tiek kiekybinį, tiek kokybinį reikšmingumą. Kai neįmanoma ar netikslinga jų nustatyti, tokį profesinį sprendimą ir jo pagrindimą auditorius turi dokumentuoti.
Atliekant auditą reikšmingumas gali kisti ir priklausyti nuo numatomų vartotojų ir atsakingųjų šalių pozicijos. Todėl audito planavimo metu nustatytas kiekybinis ir (ar) kokybinis reikšmingumas turi būti peržiūrimas audito rezultatų vertinimo etape ir įvertinta, ar jis tebėra tinkamas ir aktualus pagal aplinkybes ir atitinkamai pakeičiamas pagal poreikį.
Reikšmingumas tiesiogiai susijęs su laukiamu audito poveikiu. Kuo didesnis reikšmingumas, tuo labiau tikėtina, kad galimos išvados ir rekomendacijos bus pakankamai reikšmingos ir naudingos, sukurs siekiamą pokytį ir (ar) turės svarbų poveikį audituojamam subjektui ar visuomenei.
Reikšmingumo nustatymo rezultatai fiksuojami išankstinio tyrimo rezultatų apibendrinimo dokumente.
Kiekybinis reikšmingumas – tai skaitinė vertė, nustatoma taikant palyginamojo rodiklio (pvz., su audito objektu susijusios išlaidos ar pajamos) procentinę dalį, kuri, auditoriaus nuomone, atspindi priemones, kurias numatomas (-i) naudotojas (-ai), labiausiai tikėtina, laiko svarbiomis. Paprastai taikomas nuo 0,5 iki 5 proc. reikšmingumas. Pavyzdžiui, pasirinkus 5 proc. reikšmingumą ir nustačius, kad nuo metinio IT biudžeto vertės tai sudaro 10 tūkst. Eur, reikšmingais būtų laikomi visi galimi IT kontrolės priemonių trūkumai (pažeidžiamumai), dėl kurių organizacija galėtų patirti nuostolių, viršijančių šią sumą. Šis pasirinkimas yra auditoriaus profesinis sprendimas, kuris turi būti pagrįstas auditoriaus IT kontrolės sistemos, jos rizikos, dalyko jautrumo ir numatomų naudotojų poreikių įvertinimu. Kuo audito objektas ar jo sritis aktualesnė, jautresnė, nustatyta daugiau galimų IT kontrolės priemonių trūkumų, tuo pasirenkamas reikšmingumo procentinis lygis turėtų būti mažesnis, taip mažesnės skaitinės reikšmės būtų laikomos reikšmingomis.
Kadangi rizikos pobūdis, dalykų jautrumas ir IT kontrolės priemonių veiksmingumas gali būti skirtingas audito objekto srityse, auditorius gali apsvarstyti galimybę nustatyti kelias reikšmingumo ribas skirtingoms audito sritims (pvz., IT saugumo srityje vertinant kritines IS smulkiems trūkumams gali būti nustatytas didesnis reikšmingumas nei kitoms IS).
Be ribinės procentinės dalies, kiekybinis reikšmingumas gali būti nustatytas kaip konkretus IT kontrolės priemonių trūkumų (pažeidžiamumų) skaičius. Paprastai toks kiekybinis reikšmingumas naudojamas IT kontrolės priemonių testavimo metu (atvejų, kai nesuveikė planuojamos IT kontrolės priemonės, skaičius), siekiant įvertinti, ar tam tikros IT kontrolės priemonės veikė efektyviai visą audituojamą laikotarpį, t. y. kiek nustatyta nuokrypių (pvz., 1 iš 15), neatsižvelgiant į jų vertę.
Audito planavimo metu nustatytas kiekybinis reikšmingumas turi būti peržiūrimas audito rezultatų vertinimo etape ir įvertinta, ar jis tebėra tinkamas pagal aplinkybes ir, atitinkamai, pakeistas pagal poreikį. Turi būti įvertintas kiekvienos nustatytos galimos audituoti rizikos reikšmingumas (ar ji reikšminga ar nereikšminga). Dėl reikšmingumo priskyrimo auditorius priima profesinį sprendimą.
Kokybinis reikšmingumas – tai kokybiniai veiksniai, kurie reikšmingi dėl savo pobūdžio, konteksto ar kitų priežasčių. Kartais kokybiniai veiksniai gali būti svarbesni nei kiekybiniai. Kai kuriais atvejais kokybiniai veiksniai gali lemti tai, kad ir mažesnė neatitikčių suma bus laikoma reikšminga, kitais atvejais šie aspektai gali būti nesusiję su kiekybine verte ar suma.
Neįmanoma pateikti visų reikšmingų klausimų sąrašo, nes jie labai skiriasi priklausomai nuo audito objekto ir audituojamo subjekto. Vertindamas, ar audito klausimui taikytinas kokybinis reikšmingumas, auditorius turi žinoti (numanyti) su audito objektu ir audituojamu subjektu susijusius specifinius klausimus, kurie domina valstybinio audito ataskaitos naudotojus.
IT kontrolės priemonių trūkumai (pažeidžiamumai) yra reikšmingi, kai jie daro neigiamą poveikį organizacijos veiklai ir jos tikslų pasiekimui, pavyzdžiui:
Rekomenduojama vertinant reikšmingumą atsižvelgti ir į audituojamo subjekto nustatytus rizikų poveikio rodiklius, kuriuos organizacija taiko vertinant savo veiklos ir IT rizikas. Šie rodikliai gali atskleisti papildomos informacijos koks organizacijos požiūris į rizikų neigiamą poveikį, kurie poveikio aspektai yra labai svarbus, o kurie ne.
IT kontrolės priemonių trūkumai (pažeidžiamumai) reikšmingi, kai jie turi korupcijos, apgaulės požymių, kai šiais trūkumais domisi Seimo Audito ir kiti komitetai, komisijos ar visuomenė, kai gali būti padaryta žala valstybės biudžetui, pažeistas viešasis interesas. Vertinant reikšmingumą reikia atsižvelgti ir į svarbius dalykus, kurie gali paveikti audito ataskaitos vartotojų, tokių kaip įstatymų leidžiamoji ar vykdomoji valdžia, sprendimų priėmimą.
Atliekant kokybinį reikšmingumo vertinimą, auditorius priima profesinį sprendimą dėl IT kontrolės priemonių trūkumų (pažeidžiamumų) reikšmingumo lygio, t. y. ar jie reikšmingi ar ne. Kuo nustatytų trūkumų (pažeidžiamumų) galimas neigiamas poveikis organizacijai didesnis, tuo jų reikšmingumo lygis bus aukštesnis. Rekomenduojama didesnį reikšmingumą nustatyti IT kontrolės priemonių trūkumams (pažeidžiamumams) dėl kurių gali atsirasti aukščiau nurodytas neigiamas poveikis ar jie gali būti susiję su numatytomis aplinkybėmis.
Reikšmingumo lygis gali būti nustatytas ir atsižvelgiant į tai, kurios IT kontrolės priemonės organizacijai yra svarbiausios. Šių priemonių svarbumas nustatomas atlikus organizacijos veiklos tikslų ir IT tikslų sugretinimą vadovaujantis COBIT metodika. Kaip atlikti tikslų sugretinimą išsamiau pateikta COBIT5 leidinyje „Organizacijos IT valdymo ir vadovavimo metodika“. Naudoti šios knygos B, C, D prieduose pateikiamas tikslų hierarchijos lenteles reikėtų atsargiai, nes kiekvienos organizacijos situacija skiriasi. Be to, lentelės neturėtų būti naudojamos automatiškai, o tik kaip bendroji ryšių visuma ir atsižvelgiant į faktinius audituojamos organizacijos ir IT tikslus. Rekomenduojama veiklos ir IT tikslų sugretinimo rezultatus aptarti su audituojamu subjektu, šis sugretinimas turi būti dokumentuojamas. Atlikus sugretinimą nustatoma, ar IT kontrolės priemonės svarba pagrindinė (P) ar antraeilė (A). IT kontrolės priemonės reikšmingumo lygis yra didesnis, kai atlikus sugretinimą nustatoma, kad ryšis tarp organizacijos tikslų ir IT tikslų yra pagrindinis (P)[1]. Ši sugretinimo procedūra nėra privaloma, auditoriai priima profesinį sprendimą dėl poreikio atlikti minėtą procedūrą ir jos rezultatų panaudojimo vertinant IT kontrolės priemonių reikšmingumą.
Nustačius, kad IT kontrolės priemonių trūkumas (pažeidžiamumas) susijęs su svarbiausiomis IT kontrolės priemonėmis, jis gali būti laikomos daugiau reikšmingu. Bet kuriuo atveju verta pasitikrinti, ar sugretinimo rezultatai parodo tas sritis, kurių netinkamas veikimas gali sukelti reikšmingas pasekmes organizacijai ir jos tikslų pasiekimui. Reikšmingumo vertinimo rezultatai fiksuojami išankstinio tyrimo rezultatų apibendrinimo dokumente, kaip numatyta Išankstinio tyrimo rezultatų apibendrinimo skiltyje.
Audito planavimo metu nustatytas kiekybinis ir (ar) kokybinis reikšmingumas turi būti peržiūrimas audito rezultatų vertinimo etape – įvertinama, ar jis tebėra tinkamas pagal aplinkybes, ir atitinkamai pakeičiamas pagal poreikį. Turi būti įvertintas kiekvienos nustatytos rizikos reikšmingumas ir dėl to priimamas auditoriaus profesinis sprendimas.
[1] COBIT5 leidinys „Organizacijos IT valdymo ir vadovavimo metodika“, 2013 m. (versija 2013-10-31).