ValstybesKontrole.lt

Susipažinimas su audituojama sritimi

Siekiant, kad auditas būtų tinkamai suplanuotas, auditorius turi įgyti pakankamai žinių apie audituojamą sritį, audituojamo (-ų) subjekto (-ų) veiklą ir IT valdymą, tarp jų ir IT bendrąsias kontroles, ir turimus IT išteklius. IT auditas gali apimti vieną organizaciją arba sistemą, į kurią patenka įvairūs vykdomosios valdžios lygiai ar subjektai. Tokiais atvejais, kai IT auditas apima daugiau nei vieną subjektą, auditoriai turi gauti supratimą apie visus subjektus, kurių veikla patenka į audito objektą.

Iki išankstinio tyrimo arba jo pradžioje (ne vėliau kaip per dvi savaites nuo audito inicijavimo) audito grupė su atsakingu Valstybės kontrolės Planavimo ir poveikio departamento darbuotoju inicijuoja susitikimą, kuriame šis pristato ir supažindina su visa strateginio tyrimo metu surinkta ir, esant poreikiui, iki audito inicijavimo atnaujinta medžiaga, susijusia su konkrečiu auditu, įskaitant laukiamą audito poveikį, laukiamus pokyčius ir jų vertinimo rodiklius (jeigu jie buvo nurodyti atliekant strateginį tyrimą ir rengiant pasiūlymus institucijos metiniam veiklos planui sudaryti).

Siekdamas susipažinti su audituojama sritimi, audituojamu subjektu ir jo aplinka, auditorius turi suprasti:

  • kokie yra organizacijos tikslai ir kaip veikia veiklos procesai;
  • kaip organizuotas IT valdymas, turimi IT ištekliai ir kokie yra IT tikslai.

Susipažįstant su audituojamo subjekto atliekama veikla, paprastai analizuojama:

  • kokie teisės aktai reglamentuoja audituojamo (-ų) subjekto (-ų) veiklą ir audito objektą, koks jų turinys;
  • kokia audituojamo (-ų) subjekto (-ų) organizacinė struktūra ir pavaldumo ryšiai, valdymo procesai, už audituojamą veiklą atsakingi darbuotojai;
  • kokie audituojamam subjektui bendrai ir konkrečiai audituojamai veiklai skiriami ištekliai (įskaitant finansinius, žmogiškuosius, materialinius ir IT išteklius bei su jais susijusius valdymo procesus); koks yra planuojamos audituoti subjekto (-ų) veiklos pobūdis (objekto svarba, sąsajos su strateginiais šalies dokumentais, subjekto vieta valstybės hierarchinėje struktūroje, vykstantys procesai, plėtros tendencijos ir kt.);
  • koks yra planuojamos audituoti veiklos pobūdis (objekto svarba, sąsajos su strateginiais šalies dokumentais, subjekto vieta valstybės hierarchinėje struktūroje, vykstantys procesai, plėtros tendencijos ir kt.);
  • kokias programas, priemones, susijusias su audito objektu, vykdo audituojamas (-i) subjektas (-ai), kokie jų rezultatai;
  • kokie numatomi audito rezultatų naudotojai, kokia vidaus ir išorės aplinka (suinteresuotos organizacijos, produktų (paslaugų) gavėjai ir kt.) veikia audituojamą (-us) subjektą (-us);
  • kokie šioje srityje atliktų auditų ar tyrimų rezultatai;
  • kitus, auditoriaus nuomone, svarbius dalykus.

Susipažįstant su audituojamo subjekto IT valdymu, gali būti analizuojama:

  • kokia yra IT valdymo politika, IT strateginiai tikslai, uždaviniai, priemonės, rezultatai;
  • kaip IT procesai ir IT tikslai susiję su organizacijos veiklos procesais ir tikslais;
  • kokie teisės aktų reikalavimai, susiję su IT, taikomi organizacijai;
  • koks IT biudžetas, kokia jo struktūra;
  • kokie IT projektai įgyvendinami ar planuojami įgyvendinti, kokie jų tikslai ir rezultatai;
  • kokios yra IT bendros kontrolės priemonės, kokie IT procesai yra organizacijoje ir kaip jie įgyvendinami;
  • kokią administravimui ir kritinėms veiklos funkcijoms skirtą programinę, techninę įrangą valdo, tvarko organizacija, koks IS sudėtingumas, subjekto priklausomybė nuo programų;
  • koks programinės ir techninės įrangos gyvavimo ciklas (pvz., programinė įranga tik kūrimo stadijoje, ar ji jau skurta ir naudojama arba anuliuojama);
  • kokie funkciniai ir nefunkciniai reikalavimai taikomi IS, kokios kontrolės priemonės (funkcionalumai) įdiegtos taikomosiose programose ir koks jų tikslas (pagal poreikį, pvz., jei audito objektas yra taikomoji programa)[1];
  • kokie duomenys tvarkomi organizacijoje ir kiek yra jautrių, kritinių duomenų, kokie saugumo standartai, priemonės taikomos organizacijoje siekiant užtikrinti šių duomenų konfidencialumą, vientisumą ir prieinamumą;
  • kokia organizacijos ir IT architektūra (duomenų, taikomųjų programų, infrastruktūros), kokios IS tvarkomos ir valdomos;
  • kokia IS kūrimo aplinka, audituojamo subjekto pasirinkti IS įsigijimo arba kūrimo būdai, mastas, technologijos, įsigijimo arba kūrimo tikslai, IS naudojimo būdai;
  • kokia IT organizacinė struktūra, kokie vidiniai žmogiškieji ištekliai skirti IT funkcijai organizacijoje, kokios IT funkcijos ir atsakomybės, kaip jos paskirstytos IT sistemoje;
  • kokie išorės ištekliai (angl. outsourcing) ir kiek jų dalyvauja įgyvendinant tam tikras IT funkcijas, projektus;
  • kokios yra IT rizikos, kurias organizacija nustato, kaip šios rizikos valdomos, koks yra IT rizikos apetitas ir rizikos pajėgumai;
  • kokie nustatyti IT veiklos rezultatus matuojantys rodikliai (angl. KPI), kokie yra šių rodiklių rezultatai;
  • kokios kontrolės priemonės įdiegtos taikomosiose programose ir koks jų tikslas;
  • koks yra incidentų, pakeitimų, problemų mastas, jų išsprendimo dinamika;
  • kiek ir kokie vidiniai ir išorės IT auditai, savianalizė (angl. control self-assessment) ir kiti vertinimai IT srityje organizacijoje atliekami, kokie jų rezultatai, ar pašalinti nustatyti pažeidimai, ištaisytos klaidos ir laiku įgyvendintos rekomendacijos;
  • kiti auditoriaus nuomone svarbus dalykai.

Išankstinio tyrimo metu, siekiant susipažinti su organizacijos IT bendrosios kontrolės priemonėmis ir nustatyti rizikingas sritis, rekomenduojama naudoti pavyzdinį IT bendrosios kontrolės vertinimo klausimyną. Jis pildomas viso audito metu, t. y. pradedamas pildyti planavimo etape ir baigiamas pagrindinio tyrimo metu. Išankstinio tyrimo metu rekomenduojama susipažinti su visomis klausimyne nurodytomis IT bendrosios kontrolės priemonėmis (pagal COBIT IT proceso bazinės praktikos), kurios veikia organizacijoje. Pagrindinio tyrimo metu klausimynas toliau pildomas tik ta dalimi, kuriai audito plane suplanuotos atlikti audito procedūros.

Minėtame klausimyne pagal kiekvieną IT procesą (kuris paprastai suprantamas kaip IT bendrosios kontrolės priemonė) pateikta:

  • instrukcijos išankstiniam tyrimui, siekiant susipažinti su organizacijos IT valdymu;
  • klausimai skirti išankstiniam tyrimui, siekiant nustatyti galimas IT bendrosios kontrolės priemonių rizikas (žaliai pažymėti klausimyno langeliai);
  • klausimai skirti pagrindiniam tyrimui, siekiant įvertinti kontrolės priemonių tinkamumą ir patikimumą, kurie sudaryti atsižvelgiant į COBIT5 metodikoje pateikiamas IT procesų bazines praktikas (angl. Base Practices) ir su tuo susijusiomis veiklomis (angl. Activities). Kai kuriais atvejais klausimai detalizuoti atsižvelgiant į teisės aktų reikalavimus, ISO standartuose ir ITIL praktikos vadovuose pateiktas IT kontrolės priemonių praktikos nuostatas;
  • rekomendacijos pagal kiekvieną klausimą kokias audito procedūras galima atlikti ir kokie galimi informacijos šaltiniai.

Kadangi IT srityje vykstantys procesai sparčiai keičiasi ir tai gali turėti įtakos audito planavimui, analizuojant IT audito objektą ir aplinką, auditoriui taip pat svarbu suprasti, kokie esminiai pasikeitimai vyksta audito metu ir ar planuojama atlikti pokyčius nagrinėjamoje srityje. Tai, kokios apimties susipažinimas su audituota sritimi turi būti atliktas, yra auditoriaus profesinis sprendimas, bet turi būti atsižvelgta į audito tikslą, turimus išteklius ir suplanuotą audito laiką.

Susipažinimo metu auditorius taip pat turi suprasti tai, kokios taikomosios programos, susijusios su audito objektu, yra įdiegtos organizacijos IS ir kaip jos veikia, kaip vyksta informacijos apdorojimo ir perdavimo procesas IS, kokios yra taikomosios programos kontrolės (įvesties, proceso ir išvesties) priemonės. Susipažįstant su IS rekomenduojama atlikti šių programų nuoseklią peržiūrą – nuo duomenų suvedimo iki rezultato gavimo. Kiek tokių stebėjimų reikia atlikti – yra auditoriaus profesinis sprendimas, priklausomai nuo organizacijos naudojamos infrastuktūros sudėtingumo, realizuotų funkcinių reikalavimų gausos. Informacija apie organizacijos IS, auditui aktualias taikomąsias programas fiksuojama IS suvestinėje. Išsamiau Taikomųjų programų kontrolės priemonių vertinimas.

[1] Tokią informaciją galima rasti IS bendrojoje techninėje dokumentacijoje ir funkcijų (plėtinių) detaliuosiuose techniniuose specifikacijose (dokumentuose).

Informacijos ir duomenų šaltiniai bei jų rinkimo būdai

Informacija ir duomenys audito planavimo metu renkama nagrinėjant įvairius rašytinius ir skaitmeninius šaltinius (audituojamo subjekto ir kitų institucijų parengtus dokumentus, duomenų bazėse esančius duomenis), bendraujant su audituojamo subjekto ar kitų institucijų atstovais, apklausiant produktų (paslaugų) gavėjus, kitus suinteresuotus asmenis ir tos srities ekspertus. Auditorius gali pasirinkti ir kitus, jo manymu, tinkamus informacijos ir duomenų rinkimo būdus. Apie duomenų rinkimo metodus išsamiau pateikta Audito metodų skiltyje. Renkant informaciją gali būti naudojami šie (ar kiekvienu konkrečiu atveju auditoriaus nuožiūra kiti, tinkantys pagal aplinkybes) informacijos ir duomenų šaltiniai:

  • teisės aktai ir kiti dokumentai, reglamentuojantys audituojamo objekto ir subjekto veiklą (įstatymai, nutarimai, taisyklės, įstatai, nuostatai ir kt.);
  • audituojamo subjekto veiklos planavimo ir atsiskaitymo už veiklos rezultatus dokumentai (strateginiai, metiniai veiklos planai, programos, veiklos ataskaitos ir kt.), audituojamo subjekto pranešimai spaudai;
  • audituojamo subjekto vidaus dokumentai (finansinė atskaitomybė, vidaus audito ataskaitos, sprendimai, procedūrų tvarkos aprašai, komitetų protokolai ir kt.);
  • audituojamo subjekto su IT susiję dokumentai (IS nuostatai, specifikacijos, IT padalinių nuostatai ir pareigybių aprašymai, IT standartai, procedūros, tvarkos, sutartys su tiekėjais, IT projektų ataskaitos ir kt. su IT susijusi organizacinė ir techninė dokumentacija);
  • audituojamo subjekto ar kitų susijusių šalių duomenų bazėse, saugikliuose ar duomenų ežeruose saugomi duomenys (valstybės duomenų valdymo IS duomenų ežeras, atvirų duomenų portalai, valstybės ir žinybinių registrų duomenų bazės, vidinės IS, kt.);
  • audituojamo subjekto veiklą prižiūrinčių ar kontroliuojančių ir jam pavaldžių institucijų informacija, susijusi su nagrinėjama sritimi;
  • kitų (Lietuvos ir užsienio šalių) institucijų atlikti auditai (ir valstybiniai auditai), tyrimai, vertinimai, apklausos, ekspertų išvados, konferencijų medžiaga ir kt.;
  • oficialūs ir audituojamo subjekto turimi statistiniai duomenys;
  • žodžiu ar raštu audituojamo subjekto darbuotojų, ekspertų, kitų suinteresuotų šalių atstovų pateikta informacija.

Auditorius gali pasirinkti ir kitus, jo profesiniu sprendimu, tinkamus informacijos ir duomenų šaltinius. Auditorius gali pasirinkti ir kitus, jo manymu, tinkamus informacijos ir duomenų rinkimo būdus. Reikalingų žinių įgijimas yra nuolatinis informacijos rinkimo ir vertinimo visuose audito etapuose procesas. Svarbu, kad auditorius palygintų informacijos gavimo išlaidas ir pridėtinę vertę, kurią auditui suteikia ši informacija.

Siekiant surinkti visą reikiamą informaciją pagal išankstinio tyrimo plane numatytus klausimus, rekomenduojama pagal kiekvieną klausimą parengti išsamų reikiamų šaltinių sąrašą ir subjektus, kurie reikiamus duomenis arba informaciją valdo ar gali valdyti (pavyzdinį dokumentų sąrašą žr. čia). Šis reikiamos informacijos sąvadas turėtų būti aptartas su atitinkamu subjektu, kuris valdo ar gali valdyti reikiamą informaciją, dėl galimybės ją gauti, aptariant galimus apribojimus dėl informacijos turinio ar jos gavimo, duomenų pateikimo terminus, prieigos prie duomenų būdus ir kitus svarbius klausimus, kurie gali būti susiję su prašoma informacija. Toks aptarimas leis subjektui aiškiau suprasti kokio turinio duomenis jis turi pateikti auditoriams, kokiais formatais ir kada.

Planavimo etape surinktą informaciją gali reikėti patikslinti pagrindinio tyrimo metu, nes reikalingų žinių įgijimas yra nuolatinis informacijos ir duomenų rinkimo ir vertinimo visuose audito etapuose procesas. Išankstinio tyrimo metu taip pat svarbu patikrinti, ar reikalinga informacija ir duomenys yra prieinami ir patikimi, išbandyti įvairius informacijos ir duomenų rinkimo ir vertinimo metodus.

Jeigu išankstinio tyrimo metu nustatomi nauji duomenų šaltiniai, gaunama papildomos informacijos, kuri gali būti naudinga laukiamiems audito pokyčiams vertinti, pasikeitus situacijai ar esant kitoms aplinkybėms, laukiamas audito poveikis, pokyčiai ir juos parodantys rodikliai, kurie buvo nurodyti atliekant strateginį tyrimą ir rengiant pasiūlymus institucijos metiniam veiklos planui sudaryti, turi būti aktualizuojami audito plane. Išsamiau valstybinio audito poveikio vertinimo procesą reglamentuoja Valstybinio audito poveikio vertinimo metodika.

Auditui aktualių duomenų gavimas ir jų kokybės analizė

Audito planavimo metu turi būti atlikta duomenų ir jų šaltinių analizė:

  • Duomenų šaltinių identifikavimas. Nustatomi visi galimi duomenų šaltiniai, kurie gali būti susiję su audito objektu (pvz.: atvirų duomenų portalai, audituojamų subjektų valdomos ir (ar) tvarkomos informacinės sistemos[1], jų duomenų bazės, valstybės duomenų valdysenos informacinė sistema ir pan.).
  • Duomenų struktūros ir savybių supratimas. Nagrinėjama aktualių duomenų struktūra (stulpelių atributai, duomenų tipai ir kt. savybės) ir kokie duomenys kaupiami. Tai padeda suprasti, kaip duomenys organizuoti ir kaip juos galima panaudoti audite.
  • Duomenų ryšių tarp skirtingų šaltinių identifikavimas. Susipažįstama su duomenų ryšiais tarp skirtingų duomenų šaltinių (toje pačioje ar skirtingose organizacijose). Tai padeda suvokti, kaip skirtingi duomenų elementai yra susiję ir kaip galima išnaudoti šiuos ryšius duomenų analitikai.
  • Duomenų panaudojimo galimybių analizė. Įvertinama, kokios analitinės procedūros galėtų būti atliktos siekiant audito tikslo. Vertinama, kas galėtų atlikti analitines procedūras (auditorius, kitų VK struktūrinių padalinių darbuotojai, išorės specialistai (ekspertai)), ar reikėtų panaudoti specializuotus analitinius įrankius.
  • Duomenų prieinamumo vertinimas. Nustačius, kad vienos ar kelių sistemų duomenys bus naudojami audite, vertinamos prieigos prie duomenų galimybės ir galimi prieigos apribojimai.

Jeigu duomenų analizės pagrįstai neįmanoma atlikti išankstinio tyrimo metu (pvz., audituojamas subjektas laiku nepateikė duomenų), priežastys pateikiamos išankstinio tyrimo darbo dokumentuose ir šios procedūros suplanuojamos audito plane.

Atlikus duomenų paiešką ir analizę bei turint preliminarų auditui reikiamų duomenų sąrašą, esant poreikiui, su duomenis valdančiais subjektais aptariama, ar jie turės galimybę auditoriams pateikti norimos apimties, formato, aktualumo duomenų rinkinius. Jei yra galimybė, duomenų analizei atlikti turi būti renkami pirminiai duomenys, kurie nėra apibendrinti ar kitaip agreguoti (išskyrus, kai audito poreikiams reikalingi tokie duomenys).

Nusprendus naudoti informacinių išteklių (IS, registrų, jų duomenų bazėse kaupiamus) duomenis kaip audito įrodymus, turi būti įvertinta, ar audituojamo subjekto duomenų kokybės užtikrinimo kontrolės priemonių sistema yra patikima ir sudaro sąlygas pasitikėti jo pateiktais duomenimis. Šis vertinimas atliekamas pildant Duomenų kokybės kontrolės priemonių tikrinimo klausimyną. Užpildęs jį, auditorius priima profesinį sprendimą, ar galima pasitikėti duomenimis ir juos naudoti kaip audito įrodymus. Kai duomenimis pasitikėti negalima, bet kitų auditui reikiamų duomenų nėra, auditorius priima profesinį sprendimą dėl audito klausimų, kriterijų ir (ar) procedūrų tikslinimo, keitimo arba atsisakymo.

Jeigu audito grupėje nėra reikiamų kompetencijų šiam vertinimui atlikti, galima pasitelkti kitų Valstybės kontrolės struktūrinių padalinių darbuotojus ar išorės specialistus (ekspertus). Toks profesinis sprendimas turi būti dokumentuojamas.

Jeigu kito Valstybės kontrolės audito (veiklos, finansinio, atitikties ar IT) metu jau buvo atliktas tos pačios informacinės sistemos ir joje kaupiamų duomenų patikimumo vertinimas ir po šio vertinimo audituojamo subjekto informacinėje sistemoje neįvyko jokių esminių pasikeitimų (pvz., integracijos su kitomis sistemomis pokyčiai, pagrindinių taikomosios programos funkcijų atnaujinimas, kuris keičia duomenų apdorojimo tvarką ir tikrinimo algoritmus, ir pan.), ir audito grupės vertinimu atliktas darbas tinka jų audito tikslams pasiekti, audito grupė gali pasinaudoti atliktu duomenų patikimumo vertinimu. Jeigu nuo pastarojo tokio vertinimo praėjo 3 metai, rekomenduojama atlikti naują duomenų patikimumo vertinimą.

Auditorius, gavęs duomenų rinkinius iš duomenis valdančių subjektų, turi įvertinti:

  • ar yra visi reikiami duomenys (pvz., nėra tuščių, praleistų laukų);
  • ar jie yra visos apimties ir išsamūs (pvz., viso prašomo laikotarpio);
  • ar jie yra aktualūs ir pateikiama naujausia informacija;
  • ar jie atitinka turinio ir formato reikalavimus (pvz., viename stulpelyje nėra skirtingų duomenų; datos lauke yra įrašyta data, ne tekstas);
  • ar duomenų rinkinyje pateikta informacija sutampa su duomenimis, surinktais iš kitų šaltinių (pvz., organizacijos svetainės, atvirų duomenų portalo, apklausos duomenys sutampa su subjekto pateiktaisiais) ir kt.

Duomenų rinkinių vertinimas atliekamas tiek išankstinio, tiek pagrindinio tyrimo metu.

Jei įvertinus pirmiau nurodytas aplinkybes nustatyta, kad duomenų rinkinys yra tinkamas, bet turi formatavimo ar kitokių trūkumų, auditorius prieš pradėdamas naudoti duomenis turėtų atlikti jų tvarkymo veiksmus (pvz., panaikinti tuščius, nereikalingus ar besidubliuojančius laukus, nustatyti tinkamus duomenų formatus (data, tekstas, skaičius), atskirti reikiamus duomenis į kelis stulpelius ir kt.). Kai duomenų rinkinys yra netinkamas ir auditorius pats negali atlikti tvarkymo veiksmų, auditorius prašo subjekto ištaisyti trūkumus ir pateikti duomenis pakartotinai.

Pagal 5100-ąjį GUID, jeigu iš duomenis valdančio subjekto gaunami duomenys iš IS duomenų bazės ar saugyklos, subjekto turi būti prašoma raštu pateikti:

  • duomenų šaltinius su duomenų rinkinio sukūrimo laiko žyma, kad būtų užtikrintas jų vientisumas, autentiškumo patvirtinimas[2] ir negalėjimas atsisakyti atsakomybės[3];
  • išgavimo parametrus, naudojamus duomenų rinkiniui sukurti (pvz., naudotos SQL (angl. Structured Query Language) užklausos tekstas), sukurtus automatizuotos ataskaitos parametrus arba kitus struktūruotų ar nestruktūruotų duomenų išgavimo parametrus.

Jeigu audituojamas subjektas atsisako pateikti duomenis, kuriuos Valstybės kontrolės žiniomis jis turi turėti savo IS, audito departamento vadovas ViPSIS fiksuoja audito riziką ir su valstybės kontrolieriaus pavaduotoju, kuriam tiesiogiai pavaldus auditą atliekantis departamentas, aptaria šios rizikos valdymo priemones.

[1] Visa informacija apie viešojo sektoriaus įsteigtas valstybės informacines sistemas kaupiama www.registrai.lt.

[2] Autentiškumo patvirtinimas – naudotojo tapatybės tikrinimo veiksmas – ISACA terminų žodynas.

[3] Negalėjimas atsisakyti atsakomybės (atsakomybės už veiksmus prisiėmimas) apibrėžiamas kaip užtikrinimas, kad šalis vėliau negalės paneigti pateiktų duomenų; duomenų vientisumo ir kilmės įrodymo pateikimas, kurį gali patikrinti trečioji šalis – ISACA terminų žodynas.

Susiję dokumentai

Audito standartai

Pavyzdžiai ir kita informacija