Audito išankstinio tyrimo etape, remiantis audito procedūrų apimties schema, įvertinus įgimtą ir IT kontrolės priemonių patikimumą, reikia nustatyti, kokios apimties audito procedūros bus atliekamos.
Imties dydis IT bendrosios kontrolės testams (kai tiriamoji visuma mažiau negu 300 vienetų) nustatomas atsižvelgiant į tiriamąją visumą ir įgimtos rizikos vertinimą.
Minimalus imties dydis IT bendrosios kontrolės testams
| Tiriamoji visuma | Įgimta rizika | IT kontrolės priemonės testų imties dydis |
| 1 | Padidinta | 1 |
| Normali | ||
| 2-4 | Padidinta | 2 |
| Normali | ||
| 5-12 | Padidinta | 2-5 |
| Normali | ||
| 13-52 | Padidinta | 15 |
| Normali | 5 | |
| 53-250 | Padidinta | 40 |
| Normali | 20 | |
| >250 | Padidinta | 60 |
| Normali | 25 |
Kai tiriamoji visuma 300 vienetų ir daugiau, imties dydis apskaičiuojamas naudojantis pateikta imties dydžio nustatymo formule. Ji parengta su dažniausiai taikomu 95 proc. patikimumo ir 5 proc. paklaidos lygiu.
Imties dydis = tiriamoji visuma * 384,16 / (tiriamoji visuma + 383,16)
Jeigu yra poreikis taikyti kitus patikimumo ir paklaidos lygius, imties dydį galima apskaičiuoti vadovaujantis rekomenduojamomis internete pateikiamomis skaičiuoklėmis (pavyzdžiui, https://www.calculator.net/sample-size-calculator.html).
Jeigu atranka atliekama dviem etapais, imties dydis didinamas 20 proc. Kaip atlikti dviejų etapų atranką išsamiau žiūrėkite „Dviejų etapų atrankos pavyzdys“.
Nusprendus atlikti taikomųjų programų kontrolės priemonių testavimą yra atliekami detalieji testai. Tokiais atvejais pasirenkant imties dydį reikia atsižvelgti į tai, ar taikomosios kontrolės priemonės rankinės (kai darbuotojas fiziškai atlieka tikrinimo veiksmus, pvz., sulygina suvestą informaciją IS su dokumentais) ar automatizuotos (žmogaus veiksmų nėra, tikrinimus atlieka IS pagal įdiegtą funkciją) ir koks yra taikomųjų kontrolės priemonių vykdymo dažnumas.
ISACA leidinyje „COBIT ir aplikacijų kontrolė. Valdymo gidas“[1] rekomenduoja atrinkti daugiau testuojamų vienetų (pavydžių), kai kontrolė yra rankinė ir ji atliekama dažniau, o automatizuotomis kontrolės priemonėmis galima atrinkti mažiau pavyzdžių arba taikyti vieno pavyzdžio principą, jei automatizuota kontrolė audituojamu laikotarpiu nesikeitė ir IT bendroji kontrolė organizacijoje veikia efektyviai. Žemiau pateikiami minimalūs imties dydžių pavyzdžiai, kuriuos minėtoje knygoje rekomenduojama pasirinkti testuojant vieną taikomųjų programų kontrolės priemonę.
Minimalus imties dydis IT taikomųjų programų kontrolės priemonių detaliems testams
| Kontrolės tipas | Kontrolės suveikimo dažnumas | Minimalus pavyzdžių kiekis |
| Rankinė | Vieną ar daugiau kartų per dieną | 25 |
| Rankinė | Kas savaitę | 5 |
| Rankinė | Kas mėnesį | 2 |
| Rankinė | Kas ketvirtį | 2 |
| Rankinė | Kasmet | 1 |
| Automatizuota | 1 pavyzdys vienai taikomajai kontrolei su sąlyga, kad IT bendroji kontrolė yra efektyvi. | |
| Šaltinis – ISACA leidinys „COBIT ir aplikacijų kontrolė. Valdymo gidas“. | ||
Jei išankstinio tyrimo metu, įvertinus įgimtą riziką ir atlikus IT bendrosios kontrolės testus, nustatyta, kad:
- įgimta rizika yra padidinta, o IT bendrosios kontrolės rizika yra didelė ar vidutinė, auditorius detaliųjų testų padidina 50 proc. nuo minimalaus pavydžių kiekio, nurodyto lentelėje;
- įgimta rizika yra normali, o IT kontrolės rizika didelė ar vidutinė, auditorius detaliųjų testų padidina 20 proc. nuo minimalaus pavydžių kiekio, nurodyto lentelėje;
- įgimta rizika yra padidinta ar normali, o IT bendrosios kontrolės rizika yra maža, auditorius detaliųjų testų kiekį pasirenka pagal lentelėje nurodytą minimalų pavyzdžių kiekį.
Detaliųjų testų apimtis taip pat gali priklausyti nuo to, kokius specifinius testavimo metodus planuojama naudoti taikomosios programos funkcijos testavimo atveju (pvz., sprendimų medis, ribinės vertės analizės, kt.)[2] ir nuo to, kiek parametrų ir su jomis susijusių kombinacijų ši programa sukuria atlikdama tam tikrą pasirinktą testuoti funkciją. Pavyzdžiui, pasirinkta testuoti nedarbo išmokos apskaičiavimo funkcija, bet skirtingomis išmokos mokėjimo sąlygomis algoritmas gali apskaičiuoti skirtingą rezultatą, todėl tokiais atvejais reikia ištestuoti visus galimus skaičiavimo variantus ir įsitinkinti, ar funkcija veikia tinkamai.
[1] ISACA leidinys „COBIT ir aplikacijų kontrolė. Valdymo gidas“ (angl. „CobiT and Application Controls: A Management Guide“), 56 psl.
[2] Programinės įrangos testavimo metodai pateikiami ISO/IEEC/IEEE 29119–4:2021 Programinės įrangos ir sistemų inžinerija – Programinės įrangos testavimas – 4 dalis: Bandymo metodai.