Audito procedūrų atlikimas

Audito procedūrų tikslas yra surinkti audito įrodymus, kurie leistų patvirtinti nuokrypį nuo audito kriterijų arba paneigti tokio nuokrypio buvimą.

Auditorius audito procedūras atlieka pagal audito plane jam numatytus klausimus ir laikydamasis nustatytų terminų. Vadovaudamasis profesiniu sprendimu ir skepticizmu, auditorius įvertina, ar buvo surinkti pakankami ir tinkami audito įrodymai. Auditoriai turėtų atlikti audituojamo subjekto IT kontrolės sistemos (IT bendrosios ir (ar) taikomųjų programų kontrolės priemonių) vertinimą, kad patikrintų jos pakankamumą ir patikimumą per visą audituojamą laikotarpį. Atliekant vertinimą pildomas IT bendrosios kontrolės vertinimo klausimynas.

IT kontrolės priemonių vertinimas gali būti atliekamas taikant tinkamą šių metodų derinį: pokalbį, apklausą, stebėjimą, vadinamuosius ėjimo per sistemą (angl. walk through) testus, srauto diagramas (angl. flow charts), duomenų fiksavimą ir analizę, patvirtinimą, perskaičiavimą, pakartotinį apdorojimą ir trečiosios šalies patvirtinimą, ar kitus metodus (išsamiau apie metodus žr. Audito metodų skiltyje) ir CAAT priemones.

IT bendrosios kontrolės priemonių vertinimo apimtį sudaro patikrinimas, pvz., ar:

• IT politika apibrėžta, patvirtinta ir apie ją pranešta;
• sukurta ir veikia IT valdymo struktūra;
• reguliariai atliekama IT turto inventorizacija ir yra nustatyti turto papildymo, atnaujinimo ir nurašymo reikalavimai;
• apibrėžti ir veikiantys dalijimosi informacinių sistemų infrastruktūra ir bendrosiomis paslaugomis su kitais viešaisiais subjektais procesai;
• informacinių sistemų kūrimo, įsigijimo ir priežiūros procesai apibrėžti, patvirtinti ir apie juos pranešta (įskaitant pokyčių valdymo procesą);
• informacinių technologijų operacijų procesai (vidinis ir išorinis paslaugų teikimas, paslaugų susitarimai) apibrėžti, patvirtinti ir apie juos pranešta;
• patvirtintos priemonės fiziniam saugumui ir numatytoms fizinėms darbo sąlygoms užtikrinti;
• patvirtintos žmogiškųjų išteklių mokymo ir informuotumo didinimo priemonės, siekiant užtikrinti informacijos konfidencialumą, vientisumą ir prieinamumą, atitiktį IS politikos ir valdymo struktūros reikalavimams;
• patvirtintos priemonės, skirtos įvairių IT komunikacijos būdų ir kanalų konfidencialumui, vientisumui ir prieinamumui užtikrinti;
• patvirtintos informacijos saugumo valdymo priemonės;
• patvirtintos atitikties teisės aktų reikalavimams valdymo priemonės;
• patvirtintos veiklos tęstinumo ir veiklos atkūrimo valdymo priemonės, kt.

Jei išankstinio tyrimo metu atliekant IT kontrolės priemonių vertinimą surinkta pakankamai įrodymų, kurie patvirtina tam tikrų IT kontrolės priemonių netinkamumą ir (ar) nepakankamumą, auditoriaus profesiniu sprendimu tokiais atvejais gali būti nutarta pagrindinio tyrimo metu neatlikti papildomų audito procedūrų. Išankstinio tyrimo metu surinkti įrodymai panaudojami toliau pildant klausimyno klausimus, skirtus įvertinti IT kontrolės priemonių veiksmingumą pagrindinio tyrimo metu. Tokiu atveju rekomenduojama pagrindinio tyrimo metu tik atnaujinti išankstinio tyrimo metu surinktą informaciją, siekiant įvertinti pasikeitimus, kurie galėjo įvykti atliekant pagrindinį tyrimą.

Jei audito plane numatyta atlikti IT valdymo gebos vertinimą, jis atliekamas pagal COBIT metodikoje pateiktą procesų gebos vertinimo modelį. IT geba gali būti nustatoma įvertinant visą IT bendrąją kontrolę (suteikiant vieną bendrą balą) arba įvertinant IT procesų kontrolę (suteikiant balus kiekvienam procesui). Kaip atlikti gebos vertinimą detaliai aprašyta ISACA knygose „Vertintojo vadovas naudojant, COBIT5“, „Procesų vertinimo modelis, naudojant COBIT5“. IT procesų gebos modelis ir pagrindiniai vertinimo principai trumpai pateikti čia.

Vertinant taikomųjų programų kontrolės priemones tinkamumo ir patikimumo aspektais atliekami detalieji testai. Spręsdamas, ar šių programų kontrole galima pasikliauti, auditorius turėtų įsitikinti, kad kontrolė veikė veiksmingai, kaip numatyta techninėje dokumentacijoje, visą audituojamą laikotarpį. Taikomųjų programų kontrolės vertinimas ir etapai išsamiau pateikti čia. Kontrolės priemonės yra unikalios kiekvienai taikomajai programai, todėl IT audito vadove pateikiamos tik pagrindinės kontrolės testavimo užduotys. Detaliuosius testus auditoriai individualiai parengia kiekvienai testuojamai IS.

Jeigu audito metu buvo pasitelkta išorės auditorių ir (ar) specialistų (ekspertų) ar buvo naudojamasi jų ar vidaus auditorių atliktu darbu, auditorius turi įvertinti jų atlikto darbo tinkamumą audito tikslams. Išsamiau žr. Audito komandos įgūdžiai skiltyje.

Svarbu nepamiršti, kad IT auditą, kaip ir kitas audito rūšis, galima laikyti projektu, kuriam reikalingas palyginti lankstus valdymas. Jam būdingas nuolatinis sugrįžimas pasitikrinti, ar, gavus naujų žinių ir įrodymų, tebegalioja anksčiau padarytos prielaidos ir vis dar tinkami jomis paremti profesiniai sprendimai, t. y. nuolat pasitikrinti, ar audito plane numatyti audito klausimai, kriterijai ir procedūros yra vis dar tinkami, o, esant poreikiui, juos pakeisti ar patikslinti.

Audito įrodymai yra dokumentuota informacija, kuria auditorius pagrindžia savo pastebėjimus, išvadas ir rekomendacijas. Audito įrodymai turi būti pakankami ir tinkami, kad įtikintų ataskaitos skaitytoją, jog audito pastebėjimai ir išvados yra pagrįsti.

Įrodymų tinkamumas susijęs su audito įrodymų kokybe. Jis reiškia, kad audito įrodymai turi būti aktualūs, svarbūs, pagrįsti ir patikimi:

• aktualumas ir svarba nurodo, kiek audito įrodymai yra logiškai susiję ir svarbūs audito tikslui ir nagrinėjamiems audito klausimams;
• pagrįstumas rodo, kiek audito įrodymai suteikia reikšmingą ar protingą pagrindą išmatuoti vertinamą objektą;
• patikimumas rodo, kiek audito įrodymai yra paremti patvirtinančiais duomenimis, gautais iš įvairių (skirtingų) šaltinių; ar įrodymai, pakartotinai patikrinus, leidžia suformuluoti tokius pat audito pastebėjimus.

Pakankami audito įrodymai – audito įrodymų kiekio matas, tai yra kiekybės požiūriu pakankama informacija audito tikslui pasiekti, audito pastebėjimams ir išvadoms pagrįsti.

Audito įrodymų pakankamumas negali atsverti tinkamumo, t. y. surinkęs daugiau, bet netinkamų įrodymų, auditorius negalės gauti pagrįstų išvadų. Auditorius turi surinkti pakankamai tinkamų įrodymų.

Audito įrodymų pakankamumą ir tinkamumą turi įvertinti pats auditorius. Vertindamas jis turi atsižvelgti į:

• tikslą, kuriam bus naudojami įrodymai: paremiančių audito metu nustatytus faktus įrodymai tikslumas turi būti didesnis negu bendro pobūdžio informacijos, pateiktos audito ataskaitoje;
• audito klausimo, kriterijaus reikšmingumą: dažniausiai, kuo reikšmingumo lygis aukštesnis, tuo įrodymai turi būti svaresni;
• tai, kad kuo didesnė rizika, kad ataskaitoje pateikti faktai sukels ginčų, tuo įrodymai turi būti svaresni;
• tai, kiek yra nepriklausomas įrodymų šaltinis: tais įrodymais, kurie surenkami iš nepriklausomų šaltinių, reikėtų pasitikėti labiau;
• vidaus kontrolės vertinimo rezultatus, nustatytas klaidas, apgaulę ir kt.

Audito įrodymų patikimumas priklauso nuo jų šaltinio ir pobūdžio; taip pat svarbūs metodai, kuriais renkami įrodymai.

Pagal šaltinį įrodymai gali būti:

• surinkti paties auditoriaus (interviu, apklausos, tiesioginis tikrinimas ar stebėjimas, tikslinių grupių pagalba ir kt.);
• gauti iš audituojamo subjekto (skaitmeniniai duomenys iš duomenų bazės, dokumentai, veiklos ataskaitos ir kt.);
• gauti iš trečiųjų šalių (produktų (paslaugų) gavėjai, suinteresuotosios organizacijos, nagrinėjamos srities ekspertai, oficialios statistikos duomenys ir kt.).

Pagal pobūdį įrodymai yra:

• dokumentiniai (įvairių dokumentų, skaitmeninių duomenų, kitų informacijos šaltinių peržiūra);
• vizualieji (patikrinimas, stebėjimas, turto apžiūrėjimas);
• žodiniai (audituojamo subjekto atstovų, trečiųjų šalių apklausa ir (ar) pokalbiai, tikslinės grupės, ekspertų grupės);
• analitiniai (skaičiavimai, santykių, tendencijų, dėsningumų analizė, palyginimai ir kt.).

Skirtingo pobūdžio ir gauti iš skirtingų šaltinių audito įrodymai turi savo privalumų ir trūkumų. Vertinant jų patikimumą, atsižvelgiama į tai, kad:

• gautieji iš nusimanančios, patikimos ir objektyvios trečiosios šalies yra patikimesni už gautuosius iš audituojamo subjekto vadovų arba kitų asmenų, kurie turi tiesioginį interesą;
• paties auditoriaus gautieji patikimesni už audituojamo subjekto pateiktus įrodymus;
• iš audituojamo subjekto gautieji patikimesni, kai jo vidaus kontrolės sistema yra veiksminga;
• dokumentiniai įrodymai paprastai yra patikimesni už žodinius (pvz., interviu metu surinktus įrodymus reikia patvirtinti iš kitų šaltinių gauta informacija);
• originalūs dokumentai patikimesni už kopijas;
• daugiau nei keletu interviu paremti įrodymai yra patikimesni už paremtus vienu pokalbiu;
• žodiniai įrodymai, gauti tokiomis sąlygomis, kuriomis žmonės gali laisvai kalbėti, yra patikimesni už gautus esant aplinkybėms, kai žmonės gali jaustis nesaugiai;
• pokalbio metu gauti žodiniai įrodymai, kurie yra dokumentuoti ir patvirtinti audituojamo subjekto rašytine forma, yra patikimesni tik už žodinę raštiškai nepatvirtintą informaciją. Jeigu pokalbio metu gauta informacija patvirtina reikšmingą kriterijaus nuokrypį, ji privalo būti su subjektu suderinta raštu;
• įrodymai, surinkti auditoriams tiesiogiai stebint, skaičiuojant ar tikrinant, yra patikimesni už netiesiogiai gautuosius.

Norint atlikti teisingus vertinimus ir suformuluoti tinkamas išvadas, įrodymai turi būti surinkti iš įvairių (skirtingų) šaltinių (ne mažiau dviejų). Audito įrodymai laikomi patikimais, kai įvairių (skirtingų) šaltinių ir (ar) skirtingo pobūdžio įrodymai sutampa. Jeigu jie nesutampa, auditorius turi nuspręsti, kokių papildomų procedūrų reikia neatitikties priežastims nustatyti ir (ar) gauti papildomų įrodymų. Kai dėl objektyvių priežasčių neįmanoma gauti įrodymų iš įvairių (skirtingų) šaltinių, auditorius turi priimti profesinį sprendimą, ar tokie įrodymai gali būti naudojami pastebėjimams ir išvadoms pagrįsti. Visi auditoriaus profesiniai sprendimai turi būti dokumentuojami.

Rinkdami įrodymus, auditoriai turi teisę naudotis audituojamo subjekto turima informacija, tačiau negali pavesti jo personalui atlikti duomenų analizės ar kitų audito procedūrų, kurias pagal audito planą turi atlikti pats auditorius. Turi būti renkami tik su audito tikslu ir nagrinėjamais klausimais susiję duomenys.

Negalima reikalauti tokios informacijos, kuri nekaupiama subjekte ar kurią kaupti subjektui nėra pavesta teisės aktais. Tačiau, jeigu auditorius yra įsitikinęs, kad tokios informacijos kaupimas ir jos naudojimas yra būtinas tam, kad audituojamas subjektas galėtų tinkamai vykdyti IT procesus, gali raštu prašyti pateikti tokią informaciją. Jeigu tokios informacijos kaupimas ir valdymas buvo įtrauktas kaip vienas audito kriterijų, o audituojamas subjektas jos nepateikė, auditorius fiksuoja nuokrypį nuo audito kriterijaus.

Auditorius turi vengti pavesti audituojamiems subjektams daryti dokumentų, kurie yra tik informacijos šaltinis, kopijas. Rekomenduojama kopiją daryti tik tada, kai šie dokumentai būtini IT kontrolės priemonių trūkumams ar pažeidimams įrodyti ir nėra kito būdo gauti patikimą informaciją.

Atliekant IT auditus, auditoriams gali tekti susipažinti ir naudoti informaciją, kuri pagal įstatymus yra valstybės, tarnybos, profesinė, komercinė ar kitokia paslaptis arba yra privati informacija ar kurios paviešinimas gali pakenkti teisėtiems valstybės, audituojamo subjekto ar trečiųjų asmenų interesams (pvz., informacija apie kritinę valstybės informacinę infrastruktūrą). Jeigu ši informacija panaudojama pagrįsti audito išvadas, gali būti nuspręsta neviešinti valstybinio audito ataskaitos arba tam tikrų jos dalių, tai suderinus su valstybės kontrolieriaus pavaduotoju, kuriam yra tiesiogiai pavaldus auditą atliekantis departamentas. Valstybės kontrolės darbuotojų veiksmus, kurie būtini siekiant išvengti valstybės ar tarnybos paslaptimi pripažintos informacijos praradimo ar neteisėto atskleidimo, nustato Paslapčių subjektų ir Valstybės kontrolės įslaptintos informacijos naudojimo ir apsaugos tvarkos aprašas.