Audito rizika – tai tikimybė, kad dėl įvairių atsiradusių veiksnių ar įvykių gali būti pateikti neteisingi ar neišsamūs pastebėjimai, išvados, rekomendacijos, nepasiektas arba nevisiškai pasiektas audito tikslas, nebus pasiektas laukiamas audito poveikis.
Audito rizikos vertinimas skatina auditorių sutelkti dėmesį į pagrindinius audito klausimus, atsižvelgiant į išteklių ir laiko apribojimus. Audito rizika turi būti vertinama ir valdoma viso audito metu. Aktyvus valdymas apima galimos ar žinomos rizikos numatymą, jos valdymo priemonių nustatymą ir dokumentavimą.
Išsamiau apie konkrečius veiksmus, kuriuos auditorius turi atliktiAudito rizikos vertinimo skiltyje.
Audito rizikos ir patikimumo modelis
Pagal 5100-ąjį GUID IT audito rizikos modelį sudaro trys komponentai:
įgimta rizika – tai tikimybė, kad tam tikros audituojamo subjekto IT grindžiamų informacinių sistemų savybės dėl savo pobūdžio gali turėti neigiamą poveikį funkcijos, kurią subjektas įgaliotas atlikti, vykdymui;
IT kontrolės rizika – tai tikimybė, kad audituojamo subjekto patvirtintomis IT kontrolės priemonėmis gali nepavykti sumažinti neigiamo poveikio, į kurį reaguojant jos buvo sukurtos;
neaptikimo rizika – tai tikimybė, kad auditorius nenustatys, kad nėra subjekto patvirtintų IT kontrolės priemonių, kad jos neveikia ar netinkamos, o tai galėtų turėti neigiamą poveikį subjektui.
Išankstinio tyrimo metu atlikus IT bendrosios ir (ar) taikomosios kontrolės priemonių vertinimą ir nustačius rizikingas IT kontrolės priemonių sritis, auditoriai turėtų apsvarstyti kiekvieną pirmiau nurodytų rizikos komponentų ir pagal tai įvertinti, koks yra audito rizikos lygis. Šie trys audito rizikos komponentai (įgimta, kontrolės ir neaptikimo rizika) turi būti vertinami kartu audito rizikos vertinimo metu, nes jie tiesiogiai vienas kitą veikia. Kuo didesnis auditoriaus įvertintas įgimtos ir (arba) kontrolės rizikos lygis, tuo didesnė bus neaptikimo rizika ir reikės atlikti išsamesnį audito darbą, kad būtų gautas didesnis patikimumas ir neaptikimo rizika būtų sumažinta iki priimtino lygio. Kita vertus, jeigu įgimta rizika normali, o IT kontrolės priemonės tinkamos, tada neaptikimo rizika mažesnė ir galime suplanuoti mažesnės apimties pagrindines audito procedūras reikiamam patikimumui gauti.
Bendrą IT audito patikimumą galima gauti iš trijų komponentų:
įgimto patikimumo – gaunamas planavimo metu įvertinus įgimtą riziką, kai nėra nustatyta išskirtinių aplinkybių, kurios didina įgimtą riziką;
kontrolės patikimumo – gaunamas įvertinus, ar IT kontrolė pakankama ir patikima, ar ji laiku užkerta kelią pažeidžiamumams, dėl kurių gali atsirasti neigiamas poveikis organizacijos veiklai ir jos tikslų pasiekimui. Tai atliekama susipažinus su organizacijos veiklos ir IT valdymo aplinka ir IT kontrolės priemonių įgyvendinimo procedūromis bei atlikus IT kontrolės priemonių vertinimą;
pagrindinio patikimumo – gaunamas atlikus pagrindines audito procedūras. Kuo daugiau išsamesnių ir didesnės apimties tinkamų procedūrų auditorius atliks, tuo didesnį pagrindinį patikimumą gaus. Priklausomai nuo gauto įgimto ir IT kontrolės patikimumo teks atlikti daugiau ar mažiau pagrindinių audito procedūrų.
Audito rizikos ir audito patikimumo ryšiai
IT audito rizika yra atvirkštinė audito patikimumui, t. y., jei ši rizika yra maža, pakankamam patikimumui gauti užteks mažiau procedūrų nei tais atvejais, kai audito rizika didelė.
