Jungtiniai auditai

Finansinis auditas gali būti atliekamas:

• kaip atskiras auditas;
• kartu su atitikties auditu;
• kartu su veiklos auditu.

Atliekant jungtinį finansinį ir atitikties auditą turėtų būti taikomi tiek finansinio (2000–2899-ųjų TAAIS), tiek atitikties audito TAAIS (4000-ojo TAAIS) reikalavimai bei atitinkamos Metodikos svetainės Finansinio audito ir Atitikties audito skyrelių nuostatos. Teisės aktai ypač svarbūs abiejų auditų atveju. Kokie teisės aktai bus taikomi, priklausys nuo audito tikslo. Atliekant finansinį auditą, svarbiausi tie teisės aktai, kurie turi tiesioginės ir reikšmingos įtakos finansinėms ataskaitoms; atitikties auditui gali būti svarbūs visi su audito objektu susiję teisės aktai. Pavyzdžiui, jei būtų pasirinkta kartu su finansiniu auditu įvertinti valstybės skolinimosi atitiktį nustatytiems reikalavimams, papildomai turėtų būti pasirinkti audito kriterijai iš teisės aktų ir (ar) kitų reikalavimų, reglamentuojančių valstybės skolinimąsi. Esant neaiškumų dėl TAAIS taikymo konkretaus audito atveju, rekomenduojama konsultuotis su metodologais. Daugiau informacijos apie atitikties auditą galima rasti 4000-ajame TAAIS ir Atitikties audito skyrelyje.

Jei būtų atliekamas jungtinis finansinis ir veiklos auditas, turėtų būti taikomi tiek finansinio (2000–2899-ųjų TAAIS), tiek veiklos audito TAAIS (3000-ojo TAAIS) reikalavimai atitinkamoms šio audito dalims ir atitinkamos Metodikos svetainės Finansinio audito ir Veiklos audito skyrelių nuostatos. Tokie jungtiniai auditai nėra dažnai atliekami. Kilus neaiškumų dėl TAAIS taikymo konkretaus jungtinio audito atveju, rekomenduojama konsultuotis su metodologais. Daugiau informacijos apie veiklos auditą galima rasti 3000-ajame TAAIS ir Veiklos audito skyrelyje.

300-ajame TAAIS nurodyta, kad, susiduriant su skirtingų audito rūšių jungimu (integravimu), derėtų atsižvelgti į tokius dalykus:

• veiklos audito sudedamosios dalys gali būti dalis platesnio masto audito, apimančio atitikties ir finansinį auditą;
• jungiant (integruojant) audito rūšis, derėtų vadovautis visais atitinkamais TAAIS. Tai padaryti galima ne visais atvejais, nes skirtinguose standartuose gali būti numatyta skirtingų prioritetų;
• tokiais atvejais pagrindinis audito tikslas turėtų padėti auditoriams pasirinkti taikytinus TAAIS. Nustatant, ar veiklos aspektai yra pagrindinis audito tikslas, derėtų atminti, kad veiklos audito metu daugiausiai dėmesio skiriama veiklai ir rezultatams, o ne ataskaitoms ir apskaitai, ir kad jo pagrindinis tikslas yra skatinti ekonomiškumą, efektyvumą ir rezultatyvumą, o ne pateikti išvadą dėl atitikties.

Daugiau informacijos apie atitikties vertinimą galima rasti 400-ajame TAAIS „Atitikties audito principai“ ir 4000-ajame TAAIS „Atitikties audito standartas“, apie finansinį auditą – 200-ajame TAAIS „Finansinio audito principai“ ir 2000–2899-ajame TAAIS, taip pat Valstybės kontrolės parengtuose Finansinio audito ir Atitikties audito skyreliuose.

Atitikties auditas gali būti atliekamas:

• kaip atskiras auditas;
• kartu su finansiniu auditu;
• kartu su veiklos auditu.

Atskiras atitikties auditas gali būti atliekamas tiek reguliariai (pvz., kai kasmet teisės aktais pavedama jį atlikti), tiek pasirinktinai pagal poreikį įtraukiant audito temas į metinį veiklos planą. Atliekant atskirą atitikties auditą, taikomi 4000-ojo TAAIS reikalavimai.

Atliekant jungtinį finansinį ir atitikties auditą, turėtų būti taikomi tiek finansinio (2000–2899-ųjų TAAIS), tiek atitikties audito TAAIS (4000-ojo TAAIS) reikalavimai. Teisės aktai ypač svarbūs abiejų auditų atveju. Kokie teisės aktai bus taikomi, priklausys nuo audito tikslo. Atliekant finansinį auditą, svarbiausi tie teisės aktai, kurie turi tiesioginės ir reikšmingos įtakos finansinėms ataskaitoms; atitikties auditui gali būti svarbūs visi su audito objektu susiję teisės aktai. Pavyzdžiui, jei būtų pasirinkta kartu su finansiniu auditu įvertinti valstybės skolinimosi atitiktį nustatytiems reikalavimams, papildomai turėtų būti pasirinkti audito kriterijai iš teisės aktų ir (ar) kitų reikalavimų, reglamentuojančių valstybės skolinimąsi. Esant neaiškumų dėl TAAIS taikymo konkretaus audito atveju, rekomenduojama konsultuotis su metodologais. Daugiau informacijos apie finansinį auditą galima rasti 2000–2899-uosiuose TAAIS ir Finansinio audito skyrelyje.

Kai atitikties auditas atliekamas kartu su veiklos auditu, reikalavimų vykdymas būna traktuojamas kaip vienas iš ekonomiškumo, efektyvumo ir rezultatyvumo aspektų. Reikalavimų nevykdymas gali būti veiklos, kurios auditas atliekamas, būklės priežastis, pasekmė arba būdas ją paaiškinti. Pavyzdžiui, atliekant viešąjį pirkimą buvo nesilaikyta Viešųjų pirkimų įstatymo nuostatų ir pasirinktas netinkamas pirkimo būdas, todėl prekės ir (ar) paslaugos buvo įsigytos neekonomiškai. Atlikdami jungtinį tokio tipo auditą, auditoriai, atsižvelgdami į audito tikslą, turėtų priimti profesinį sprendimą, ar audito metu taikyti tik veiklos audito TAAIS (3000-ojo TAAIS), tik atitikties audito TAAIS (4000-ojo TAAIS), ar ir vienus, ir kitus reikalavimus. Bet kuriuo atveju būtina tai aiškiai dokumentuoti. Esant neaiškumų dėl TAAIS taikymo konkretaus audito atveju, rekomenduojama konsultuotis su metodologais. Daugiau informacijos apie veiklos auditą galima rasti 3000-ajame TAAIS ir Veiklos audito skyrelyje.

Pagal GUID 5100 IT auditas gali būti atliekamas:

• kaip atskiras IT auditas, kurio metu IT kontrolės priemonės vertinamos 3E ir (ar) atitikties aspektais. Šiuos auditus atlieka VK Informacinių technologijų audito departamentas;
• kaip jungtinis auditas, kuris yra platesnio masto audito (finansinio, atitikties ar veiklos) dalis. Šiuo atveju atliekamos IT audito procedūros, kurios padeda pasiekti šių auditų tikslus. Paprastai toks auditas nėra vadinamas jungtiniu auditu, o pasitelkiami IT audito specialistai (ekspertai) kaip dalis TAAIS numatytų finansinio, veiklos ar atitikties audito procedūrų.

IT auditas ir juntiniai auditai

Atskiras IT auditas gali būti atliekamas pagal poreikį įtraukiant audito temas į metinį veiklos planą. Atliekant tokį auditą, priklausomai nuo audito tikslo ir pasirinktos problematikos, gali būti pasirenkami skirtingi IT kontrolės vertinimo aspektai, t. y. IT audito metu gali būti vertinami IT kontrolės priemonių atitikties pasirinktiems kriterijams aspektai ir (arba) vertinami esamų IT kontrolės priemonių 3E aspektai (pvz., ar IT plėtros planas parengtas laikantis teisės aktų reikalavimų, ar IT paslaugų tarnyba kokybiškai išsprendžia visus incidentus).

Finansinio audito metu paprastai atliekami IT kontrolės priemonių (bendrųjų ir (ar) taikomųjų) vertinimai, kurie susiję su apskaitos IS ir jų veikimo patikimumu. Tokiais atvejais testuojamos pasirinktos IT bendrosios ir (ar) taikomųjų programų kontrolės priemonės, kurios susijusios su tvarkoma finansine atskaitomybe, siekiant įvertinti šių kontrolių veiksmingumą ir įtaką finansinės atskaitomybės tinkamumui ir teisingumui. Daugiau informacijos apie finansinį auditą galima rasti 2000-ajame TAAIS ir Finansinio audito skyrelyje.

Veiklos audito metu tinkamu IT kontrolės priemonių sukūrimas ir vykdymas traktuojamas kaip vienas veiksnių, užtikrinančių veiklos ekonomiškumą, efektyvumą ir (ar) rezultatyvumą. Tam tikros IT audito procedūros gali būti taikomos siekiant įsitikinti patikimumu duomenų, naudojamų veiklos audito vertinimuose. Daugiau informacijos apie veiklos auditą galima rasti 3000-ajame TAAIS ir Veiklos audito skyrelyje.

Atliekant atitikties auditą ir kartu vertinant IT kontroles priemones, pagrindinis vertinimo aspektas susijęs su atitiktimi tam tikriems teisės aktų ir (ar) kitiems reikalavimams. Atitikties audito metu priklausomai nuo audito tikslo gali būti vertinama kaip IT kontrolės priemonės atitinka teisės aktų reikalavimus, kitus reikalavimus, bendruosius principus ar IT valdymo gerąją praktiką, pvz., COBIT. Gali būti vertinama tai, kiek įdiegtos IT kontrolės priemonės, kurios skirtos užtikrinti veiklos atitiktį tam tikriems reikalavimams, patikimos ir padeda pasiekti reikiamus tikslus, pvz., organizacijoje veikia taikomoji programa, kurioje saugos įgaliotinis atlieka atitikties vertinimus, tokiais atvejais gali būti vertinamas šios sistemos atliekamų funkcijų pakankamumas atsižvelgiant į teisinį reguliavimą. Daugiau informacijos apie atitikties auditą galima rasti 4000-ajame TAAIS ir Atitikties audito skyrelyje.

Planuojant ir atliekant jungtinį auditą:

• rekomenduojama audito metu taikyti tą TAAIS, kuris atitinka atliekamo audito tipą, pvz., jei atliekamas finansinis auditas – pagrindiniai taikomi turi būti 2000–2899-ieji TAAIS, o užduotims, kurios susijusios su IT kontrolės vertinimu, reikėtų taikyti šio vadovo ir GUID 5100-ojo reikalavimus tiek, kiek tai susiję su minėtų užduočių atlikimu. Bet kuriuo atveju auditoriai turėtų priimti profesinį sprendimą kaip ir kokia apimtimi jungtiname audite bus taikomi tam tikrų TAAIS ir GUID reikalavimai ir šie sprendimai turėtų būti dokumentuoti. Esant neaiškumų dėl TAAIS taikymo konkretaus audito atveju, rekomenduojama konsultuotis su metodologais;
• audito grupė, kaip visuma, turi dirbti kartu, kad būtų pasiektas bendras audito tikslas. Siekiant veiksmingos IT auditorių integracijos, audito plane turi būti aiškiai nustatyta, kokios IT kontrolės vertinimo užduotys būtinos veiklos, atitikties ar finansinio audito tikslams pasiekti, o IT auditorių atliekamas darbas turi būti išsamiai dokumentuotas. Pagal audito planą IT auditorių parengti darbo dokumentai sukeliami į ViPSIS atitinkamo projekto užduoties aplanką. Darbas ViPSIS vyksta bendra tvarka atsižvelgiant į ViPSIS naudotojo vadovų reikalavimus;
• IT auditorių ir kitų auditorių keitimasis informacija, bendri susitikimai turėtų vykti pagal audito plane ar darbų grafike suplanuotas procedūras;
• audito grupę turi sudarytų nariai, kurie būtų kompetentingi kartu atlikti IT audito užduotis, kad būtų pasiekti numatyti finansinio, veiklos ar atitikties audito tikslai.

Sprendimai dėl jungtinių auditų atlikimo priimami strateginio planavimo metu. Sprendimas pasitelkti IT audito specialistus (ekspertus) gali būti priimtas tvirtinant audito planą arba strategiją. Atliekant veiklos, finansinį ar atitikties jungtinius IT auditus, VK vidaus ar išorės IT audito specialistai (ekspertai) pasitelkiami vadovaujantis Valstybės kontrolės metinės veiklos planavimo tvarkos aprašu.