Audito rezultatų vertinimas

Kai audito įrodymai yra surinkti, auditorius turi įvertinti, ar jie yra pakankami ir tinkami (rekomenduojama nelaukti, kol bus surinkti visi įrodymai pagal planą, o vertinti jų pakankamumą ir tinkamumą pagal klausimus). Remdamasis šiuo įvertinimu, auditorius turi nuspręsti, ar reikia surinkti daugiau arba galbūt kitokių įrodymų. Rekomenduojama šį įsivertinimą atlikti kuo anksčiau, siekiant išvengti rizikos, kad audito pabaigoje įvertinus, jog nebuvo surinkta tinkamų ir pakankamų audito įrodymų, nebeliks laiko reikiamiems surinkti.

Pagrindinio tyrimo metu, atliekant suplanuotas audito procedūras, renkami įrodymai, įvertinamas jų pakankamumas ir tinkamumas. Siekdamas atsakyti į audito klausimus, auditorius kriterijus (kokia situacija laikytina tinkama) palygina su įrodymais (faktine situacija) ir nustato nuokrypius (IT kontrolės priemonių trūkumus (pažeidžiamumus)) nuo to, kas turėtų būti.

Nustačius nuokrypį, įvertinamos jo priežastys ir pasekmės. Tai leidžia auditoriui suformuluoti audito pastebėjimus. Audito pastebėjimas – tai audito įrodymų vertinimo ir jų palyginimo su audito kriterijais rezultatas, apimantis ir nuokrypių nuo audito kriterijų priežasčių ir pasekmių vertinimą. Paprastai pastebėjimas apima vieno kriterijaus vertinimą.

Analizuodamas IT kontrolės priemonių trūkumus (pažeidžiamumus), auditorius gali pastebėti šiuos jų tipus:

• sisteminės – neatitiktys, kurios gali turėti bendrą bruožą, pvz.: sandorio tipas, vieta ar laikotarpis. Tokiomis aplinkybėmis auditorius gali nuspręsti nustatyti visus tos tiriamosios visumos elementus, kurie turi bendrą bruožą, ir atlikti papildomas jų audito procedūras;
• anomalijos – kad neatitiktis būtų laikoma anomalija, auditorius turėtų būti labai tikras, kad ji nėra būdinga visumai. Auditorius šį tikrumą įgyja atlikdamas papildomas audito procedūras su kitais panašiais imties vienetais, kad gautų pakankamų tinkamų audito įrodymų, jog neatitiktis neturi įtakos likusiai imčiai. Kai neatitiktis yra pripažįstama anomalija, jos galima neįtraukti į ekstrapoliavimą;
• kitos – kiekvienos neatitikties atveju auditorius turi išsiaiškinti, ar neatitiktis neturi sisteminei neatitikčiai arba anomalijai būdingų savybių ir ar nereikia atlikti papildomų audito procedūrų. Įvertinęs, kad neatitiktis nėra sisteminė arba anomalija, auditorius ją turėtų ekstrapoliuoti.

Svarbu išsiaiškinti, kodėl yra nuokrypių nuo audito kriterijų (IT kontrolės priemonių trūkumų (pažeidžiamumų)), bet priežastys turi būti pateiktos išlaikant atsargumą. Svarbu atsižvelgti į audituojamo subjekto požiūrį į IT kontrolės priemonių trūkumų (pažeidžiamumų) priežastis. Jeigu šis požiūris nėra pagrįstas įrodymais, auditorius negali jo laikyti pagrįstu arba teisingu.

Kiekvienu nustatytu atveju priežastys (pvz.: darbuotojų trūkumas, silpnas IT funkcijos finansavimas, nepakankamas vadovybės požiūris į IT kontrolės sistemą, jos būklę, pan.) gali skirtis arba skirtingų IT kontrolės priemonių trūkumų (pažeidžiamumų) būti vienodos, nes jos veikia visą IT kontrolės sistemą.

IT kontrolės priemonių trūkumai (pažeidžiamumai) gali atsirasti dėl vienos šių priežasčių arba jų derinio:

• žmogiškoji klaida (atsitiktinis atvejis);
• apgaulės ar korupcijos apraiškos (tyčia);
• dėl vadovybės skiriamo nepakankamo dėmesio IT sričiai;
• dėl taikomo IT kontrolės priemonių įgyvendinimo sudėtingo, nepakankamo, neaiškaus reglamentavimo;
• dėl nepakankamų žinių ar netinkamo reglamentavimo taikymo;
• dėl silpnos priežiūros, stebėsenos ir netinkamai audituojamo subjekto parinktų taikyti IT kontrolės priemonių;
• dėl IT išteklių (žmogiškųjų, finansinių ar kt.) trūkumo;
• dėl kitų priežasčių.

Pasekmės gali būti nustatytos kaip kažkas, kas jau įvyko, arba kaip galimas poveikis ateityje, numatomas remiantis loginiu mąstymu. Pastebėjimų pobūdis, po vertintos veiklos praėjęs laikas ir (ar) po to įvykę pokyčiai lemia, ar auditorius gali nurodyti faktines ar galimas pasekmes.

Faktinės pasekmės – jau įvykusi praeityje arba susidariusi dabartinė padėtis, nulemta audito metu nustatytų veiklos trūkumų. Turint faktines pasekmes ir galint įrodyti, kad jos iš tiesų kilo dėl nustatytų veiklos trūkumų, galima paprasčiau pagrįsti, kodėl reikia imtis taisomųjų veiksmų.

Galimos pasekmės paprastai apibūdinamos kaip logiškos pasekmės, kurios gali atsirasti, jeigu nustatyti veiklos trūkumai nebus ištaisyti. Galimos pasekmės neturi tvirto pagrindo, todėl auditorius turi jas naudoti atsargiai, ypač nesant susijusių įrodymų ar jeigu tokių pasekmių panašiose situacijose nebuvo pastebėta praeityje.

Pasekmės dėl IT kontrolės priemonių trūkumų (pažeidžiamumų) gali būti:

• išlaidos, kurias organizacija patyrė dėl nustatytų IT kontrolės priemonių klaidų;
• darbuotojų darbo valandų praradimas, prastovos;
• žala, kylanti dėl teisės aktų reikalavimų nesilaikymo;
• klientų pasitenkinimo IT paslaugomis sumažėjimas;
• kaina darbų, kuriuos reikėjo pakartotinai atlikti arba perdaryti, siekiant ištaisyti IT kontrolės priemonių trūkumus (pažeidžiamumus);
• rizika nepasiekti tam tikrų užsibrėžtų organizacijos tikslų, veiklos rezultatų;
• kitos pasekmės.

Vertindamas pasekmes, auditorius atsižvelgia į audito kiekybinį ir kokybinį reikšmingumą, nustatytą išankstinio tyrimo metu. Auditorius turėtų atskirai įvertinti kiekvieną nuokrypį nuo audito kriterijaus – IT kontrolės priemonės trūkumą (pažeidžiamumą) ir įvertinti, ar jie yra reikšmingi atskirai ir (ar) kartu.

Remdamasis pastebėjimais auditorius formuluoja išvadas ir rekomendacijas.

Išvada – tai audito pastebėjimų pagrindu suformuluotas auditoriaus vertinamasis teiginys, atsakantis į audito klausimą pagal jam pasirinktus audito kriterijus. Išvados paprastai formuluojamos audito rezultatų suvestinėje ir pateikiamos audito ataskaitoje.

Darbo dokumente taip pat gali būti formuluojamos išvados – tais atvejais, kai tame darbo dokumente vertinami visi audito klausimui suformuluoti audito kriterijai. Kitu atveju, jeigu darbo dokumente vertinamas tik vienas ar dalis klausimui suformuluotų kriterijų, pateikiami pastebėjimai pagal tame dokumente nagrinėtus audito kriterijus (detali informacija kaip pildyti darbo dokumentų šablonus pateikta Darbo dokumentų šablonų pildymo instrukcijose).

Rekomendacija – tai valstybinio audito rezultatų pagrindu suformuluotas siūlymas, skirtas valstybinio audito metu nustatytiems IT kontrolės priemonių trūkumams (pažeidžiamumams) išspręsti, siekiant audituojamo (-ų) subjekto (-ų) veiklos gerinimo ir naudos visuomenei didinimo. Pateikiamos rekomendacijos turi būti susietos su pastebėjimais ir išvadomis ir turi būti formuluojamos kaip pokytis, kurio siekiama sprendžiant įvardytą problemą (išsamiau apie rekomendacijų formulavimą žr. Audito ataskaitos projekto rengimo skiltyje.

Auditorius, atlikdamas audito procedūras, turi nuosekliai dokumentuoti rezultatus. Išsamiau apie dokumentavimą žr. Dokumentavimo skiltyje.