Susipažinimas su audituojama sritimi

Siekdamas, kad auditas būtų tinkamai suplanuotas, išankstinio tyrimo metu auditorius turi įgyti pakankamai žinių apie audito objektą ir audituojamo (-ų) subjekto (-ų) veiklą. Audito objektas – audituojamo (-ų) subjekto (-ų) veikla ar jos dalys (programa, paslaugos ir pan.), tam tikros viešojo sektoriaus srities (sistemos) valdymas ir kt. – tai, kas yra audituojama. Audituojamas subjektas – viešojo sektoriaus subjektas arba kitas juridinis asmuo, kuriam suteiktas ar perduotas valstybės turtas ir (ar) kuriam viešojo sektoriaus subjektas daro lemiamą poveikį, kuriuose Valstybės kontrolė atlieka valstybinį auditą.

Siekdama nustatyti reikšmingas audituojamos veiklos problemas (rizikas) ir galimą audito poveikį, audito grupė turi suprasti:

• kokie teisės aktai reglamentuoja audituojamo (-ų) subjekto (-ų) veiklą ir audito objektą, koks jų turinys;
• kokia audituojamo (-ų) subjekto (-ų) organizacinė struktūra ir pavaldumo ryšiai, valdymo procesai, už audituojamą veiklą atsakingi darbuotojai;
• kokie audituojamam (-iems) subjektui (-ams) bendrai ir konkrečiai audituojamai veiklai skiriami ištekliai (įskaitant finansinius, žmogiškuosius, materialinius ir IT išteklius bei su jais susijusius valdymo procesus);
• koks yra planuojamos audituoti veiklos pobūdis (objekto svarba, sąsajos su strateginiais šalies dokumentais, subjekto vieta valstybės hierarchinėje struktūroje, vykstantys procesai, projektai, pokyčiai, plėtros tendencijos ir kt.);
• kokias programas, priemones, susijusias su audito objektu, vykdo audituojamas (-i) subjektas (-ai), kokie jų rezultatai;
• kokie numatomi audito rezultatų naudotojai, kokia vidaus ir išorės aplinka (suinteresuotos organizacijos, produktų (paslaugų) gavėjai ir kt.) veikia audituojamą (-us) subjektą (-us);
• kokie šioje srityje atliktų auditų ar tyrimų rezultatai;
• kitus, auditoriaus nuomone, svarbius dalykus.

Iki išankstinio tyrimo arba jo pradžioje (ne vėliau kaip per dvi savaites nuo audito inicijavimo) audito grupė su atsakingu Valstybės kontrolės Planavimo ir poveikio departamento darbuotoju inicijuoja susitikimą, kuriame šis pristato ir supažindina su visa strateginio tyrimo metu surinkta ir, esant poreikiui, iki audito inicijavimo atnaujinta medžiaga, susijusia su konkrečiu auditu, įskaitant laukiamą audito poveikį, pokyčius ir jų vertinimo rodiklius (jeigu jie buvo nurodyti atliekant strateginį tyrimą ir rengiant pasiūlymus sudaromam institucijos metiniam veiklos planui).

Jeigu išankstinio tyrimo metu nustatomi nauji duomenų šaltiniai, gaunama papildomos informacijos, kuri gali būti naudinga laukiamiems audito pokyčiams vertinti, pasikeitus situacijai ar esant kitoms aplinkybėms, laukiamas audito poveikis, pokyčiai ir juos parodantys rodikliai, kurie buvo nurodyti atliekant strateginį tyrimą ir rengiant pasiūlymus institucijos metiniam veiklos planui, turi būti aktualizuojami audito plane. Išsamiau valstybinio audito poveikio vertinimo procesą reglamentuoja Valstybinio audito poveikio vertinimo metodika.

Informacija ir duomenys išankstinio tyrimo metu renkami nagrinėjant įvairius rašytinius šaltinius (audituojamo subjekto ir kitų institucijų parengtus dokumentus), su audito objektu susijusius duomenis iš informacinių sistemų (toliau – IS), bendraujant su audituojamo subjekto ar kitų institucijų atstovais, apklausiant produktų (paslaugų) gavėjus, kitus suinteresuotus asmenis ir srities ekspertus. Auditorius gali pasirinkti ir kitus, jo manymu, tinkamus informacijos ir duomenų rinkimo būdus. Išsamiau Audito metodų skiltyje.

Renkant informaciją gali būti naudojami šie informacijos ir duomenų šaltiniai:

• teisės aktai ir kiti dokumentai, reglamentuojantys audito objekto ir audituojamo subjekto veiklą (įstatymai, nutarimai, taisyklės, įstatai, nuostatai ir kt.);
• audituojamo subjekto veiklos planavimo ir atsiskaitymo už rezultatus dokumentai (strateginiai, metiniai veiklos planai, programos, finansinės ir veiklos ataskaitos, kt.) ir pranešimai spaudai;
• audituojamo subjekto vidaus dokumentai (sutartys, analitinės, finansinės ataskaitos, vidaus audito ataskaitos, protokolai, sprendimai ir kt.);
• audituojamo subjekto veiklą prižiūrinčių ar kontroliuojančių ir jam pavaldžių institucijų informacija, susijusi su nagrinėjama sritimi;
• kitų institucijų (Lietuvos ir užsienio šalių) atlikti auditai, tyrimai, vertinimai, apklausos, ekspertų išvados, konferencijų medžiaga ir kt.;
• oficialūs ir audituojamo subjekto turimi statistiniai duomenys;
• audituojamo subjekto ar kitų susijusių šalių duomenų bazėse saugomi duomenys (Valstybės duomenų valdymo informacinės sistemos duomenų ežeras, atvirų duomenų portalai, valstybės ir žinybinių registrų duomenų bazės, vidinės IS ir kt.);
• žodžiu ar raštu audituojamo subjekto darbuotojų, ekspertų, kitų suinteresuotų šalių atstovų pateikta informacija.

Auditorius gali pasirinkti ir kitus jo profesiniu sprendimu tinkamus informacijos ir duomenų šaltinius. Svarbu, kad auditorius palygintų informacijos gavimo išlaidas (tiek jo paties, tiek tas, kurias patiria audituojamas subjektas) ir pridėtinę vertę, kurią auditui suteikia ši informacija.

Planavimo etape surinktą informaciją gali reikėti patikslinti pagrindinio tyrimo metu, nes reikalingų žinių įgijimas yra nuolatinis informacijos ir duomenų rinkimo ir vertinimo visuose audito etapuose procesas.

Išankstinio tyrimo metu taip pat svarbu patikrinti, ar reikalinga informacija ir duomenys yra prieinami ir patikimi, išbandyti įvairius informacijos ir duomenų rinkimo ir vertinimo metodus.

Audito planavimo metu turi būti atlikta duomenų ir jų šaltinių analizė:

• Duomenų šaltinių identifikavimas. Nustatomi visi galimi duomenų šaltiniai, kurie gali būti susiję su audito objektu (pvz.: atvirų duomenų portalai, audituojamų subjektų valdomos ir (ar) tvarkomos IS[1], jų duomenų bazės, valstybės duomenų valdysenos IS ir pan.).
• Duomenų struktūros ir savybių supratimas. Nagrinėjama aktualių duomenų struktūra (stulpelių atributai, duomenų tipai ir kt. savybės) ir kokie duomenys kaupiami. Tai padeda suprasti, kaip duomenys organizuoti ir kaip juos galima panaudoti audite.
• Duomenų ryšių tarp skirtingų šaltinių identifikavimas. Susipažįstama su duomenų ryšiais tarp skirtingų jų šaltinių (toje pačioje ar skirtingose organizacijose). Tai padeda suprasti, kaip skirtingi duomenų elementai susiję ir kaip galima išnaudoti šiuos ryšius duomenų analitikai.
• Duomenų panaudojimo galimybių analizė. Įvertinama, kokios analitinės procedūros galėtų būti atliktos siekiant audito tikslo. Vertinama, kas galėtų jas atlikti (auditorius, kitų VK struktūrinių padalinių darbuotojai, išorės specialistai (ekspertai)), ar reikėtų panaudoti specializuotus analitinius įrankius.
• Duomenų prieinamumo vertinimas. Nustačius, kad vienos ar kelių sistemų duomenys turėtų būti naudojami audite, vertinamos prieigos prie duomenų galimybės, galimi priėjimo prie jų apribojimai.

Jeigu duomenų analizės pagrįstai neįmanoma atlikti išankstinio tyrimo metu (pvz., audituojamas subjektas laiku nepateikė duomenų), priežastys pateikiamos išankstinio tyrimo darbo dokumentuose ir šios procedūros suplanuojamos audito plane.

Atlikus duomenų paiešką ir analizę bei turint preliminarų auditui reikiamų duomenų sąrašą, esant poreikiui, su duomenis valdančiais subjektais aptariama, ar jie turės galimybę auditoriams pateikti norimos apimties, formato, aktualumo duomenų rinkinius. Jei yra galimybė, analizei atlikti turi būti renkami pirminiai duomenys, kurie nėra apibendrinti ar kitaip agreguoti (išskyrus, kai audito poreikiams tokie yra reikalingi).

Nusprendus naudoti informacinių išteklių (IS, registrų, jų duomenų bazėse kaupiamus) duomenis kaip audito įrodymus, turi būti įvertinta, ar audituojamo subjekto duomenų kokybės užtikrinimo kontrolės priemonių sistema yra patikima ir sudaro sąlygas pasitikėti jo pateiktais duomenimis. Šis vertinimas atliekamas pildant Duomenų kokybės kontrolės priemonių tikrinimo klausimyną. Užpildęs klausimyną, auditorius priima profesinį sprendimą, ar galima pasitikėti duomenimis ir juos naudoti kaip audito įrodymus. Kai duomenimis pasitikėti negalima, tačiau kitų auditui reikiamų duomenų nėra, auditorius priima profesinį sprendimą dėl audito klausimų, kriterijų ir (ar) procedūrų tikslinimo, keitimo arba atsisakymo.

Jeigu audito grupėje nėra reikiamų kompetencijų šiam vertinimui atlikti, galima pasitelkti kitų Valstybės kontrolės struktūrinių padalinių darbuotojus ar išorės specialistus (ekspertus). Toks profesinis sprendimas turi būti dokumentuojamas.

Jeigu kito Valstybės kontrolės audito (veiklos, finansinio, atitikties ar IT) metu jau buvo atliktas tos pačios informacinės sistemos ir joje kaupiamų duomenų patikimumo vertinimas ir po jo audituojamo subjekto informacinėje sistemoje neįvyko jokių esminių pasikeitimų (pvz., integracijos su kitomis sistemomis pokyčių, pagrindinių taikomosios programos funkcijų atnaujinimo, kuris keičia duomenų apdorojimo tvarką ir tikrinimo algoritmus, ir pan.) ir, audito grupės vertinimu, atliktas darbas tinka jų audito tikslams pasiekti, audito grupė gali pasinaudoti atliktu duomenų patikimumo vertinimu. Tačiau, jeigu nuo paskutinio vertinimo praėjo 3 metai, rekomenduojama atlikti naują duomenų patikimumo vertinimą.

Auditorius, gavęs duomenų rinkinius iš duomenis valdančių subjektų, turi įvertinti ar:

• yra visi reikiami duomenys (pvz., nėra tuščių, praleistų laukų);
• jie yra visos apimties ir išsamūs (pvz., viso prašomo laikotarpio);
• jie aktualūs ir ar pateikiama naujausia informacija;
• jie atitinka turinio ir formato reikalavimus (pvz., viename stulpelyje nėra skirtingų duomenų; datos lauke įrašyta data, o ne tekstas);
• pateikta informacija sutampa su duomenimis, surinktais iš kitų šaltinių (pvz., organizacijos svetainės, atvirų duomenų portalo, apklausos duomenys sutampa su subjekto pateiktais duomenimis) ir kt.

Duomenų rinkinių vertinimas atliekamas tiek išankstinio, tiek pagrindinio tyrimo metu.

Jei įvertinus nurodytas aplinkybes nustatyta, kad duomenų rinkinys tinkamas, bet turi formatavimo ar kitokių trūkumų, auditorius prieš pradėdamas naudoti duomenis turėtų atlikti jų tvarkymo veiksmus (pvz., panaikinti tuščius, nereikalingus ar besidubliuojančius laukus, nustatyti tinkamus formatus (data, tekstas, skaičius), atskirti reikiamus duomenis į kelis stulpelius ir kt.). Kai rinkinys netinkamas, auditorius priima profesinį sprendimą dėl prašymo pateikti duomenis pakartotinai.

Jeigu iš duomenis valdančio subjekto gaunami duomenys iš IS duomenų bazės ar saugyklos, subjekto turėtų būti prašoma raštu pateikti:

• duomenų šaltinius su jų rinkinio sukūrimo laiko žyma, kad būtų užtikrintas duomenų vientisumas, autentiškumo patvirtinimas[2] ir negalėjimas atsisakyti atsakomybės[3];
• išgavimo parametrus, naudojamus duomenų rinkiniui sukurti (pvz., naudotos SQL (angl. Structured Query Language) užklausos tekstas), sukurtus automatizuotos ataskaitos parametrus arba kitus (ne)struktūruotų duomenų išgavimo parametrus.

Jeigu audituojamas subjektas atsisako pateikti duomenis, kuriuos AAI žiniomis jis turi turėti savo IS, audito departamento vadovas ViPSIS fiksuoja audito riziką ir su valstybės kontrolieriaus pavaduotoju, kuriam tiesiogiai pavaldus auditą atliekantis departamentas, aptaria šios rizikos valdymo priemones.

[1] Visa informacija apie viešojo sektoriaus įsteigtas valstybės IS kaupiama www.registrai.lt.

[2] Autentiškumo patvirtinimas – naudotojo tapatybės tikrinimo veiksmas (šaltinis – ISACA terminų žodynas).

[3] Negalėjimas atsisakyti atsakomybės (atsakomybės už veiksmus prisiėmimas) apibrėžiamas kaip užtikrinimas, kad šalis vėliau negalės paneigti pateiktų duomenų; duomenų vientisumo ir kilmės įrodymo pateikimas, kurį gali patikrinti trečioji šalis (šaltinis – ISACA terminų žodynas).

Atliekant veiklos auditą paprastai susipažįstama su vidaus kontrole, kuri padeda audituojamam subjektui veikti ekonomiškai, efektyviai ir rezultatyviai. Vidaus kontrolės trūkumai gali būti nagrinėjami kaip veiklos audito problemos (rizikos) arba kaip tam tikrų veiklos audito metu nustatytų problemų priežastys.

Veiklos audito metu vertinami panaudoti ištekliai, sukurti produktai (paslaugos), rezultatai ir jų poveikis. Jeigu ištekliai panaudoti netinkamai, nesukurta numatytų produktų (paslaugų), nepasiekta planuotų veiklos rezultatų, tam galėjo turėti įtakos audituojamo subjekto (ar subjektų, jeigu atliekamas sistemos auditas) vidaus kontrolės sistemos trūkumai. Todėl nustatę veiklos trūkumų auditoriai turi įvertinti, ar audituojamas (-i) subjektas (-ai) įdiegė reikiamas vidaus kontrolės procedūras, kurios turėjo padėti jam (jiems) vykdyti veiklą ekonomiškai, efektyviai ir rezultatyviai.

Išankstinio ir pagrindinio tyrimų metu audituojamo subjekto vidaus kontrolė nagrinėjama tiek, kiek tai susiję su analizuojama veiklos sritimi, nustatytomis rizikomis ir (ar) veiklos trūkumais (vertinami audituojamų subjektų vidaus kontrolės elementai, susiję su nagrinėjamais klausimais). Išsamiau Vidaus kontrolės vertinimas.

Kai tame pačiame audituojamame subjekte atliekami keli Valstybės kontrolės auditai (veiklos, finansiniai, atitikties ir (ar) IT), kurių audituojamas laikotarpis persidengia, vėliau auditą pradėjusi audito grupė turėtų susisiekti su anksčiau auditą pradėjusia grupe ir išsiaiškinti, ar vertinta vidaus kontrolė. Jeigu vertinimas buvo atliktas ir atitinka audito objektą, rekomenduojama juo pasinaudoti.

Viena vidaus kontrolės sudedamųjų dalių yra IT, apimančios audituojamo subjekto veiklos procesus. Jeigu audito objektas tiesiogiai susijęs su veikiančiomis IS ir vertinami veiklos procesai yra skaitmenizuoti (pvz., kai audito objektas yra statybų leidimų išdavimas ir jų išdavimo procesas vyksta IS „Infostatyba“), būtina susipažinti su audituojamo subjekto IT aplinka, auditui svarbiomis IS ir atlikti IT bendrosios kontrolės efektyvumo vertinimą.

Susipažinimo su IT aplinka, IT bendrosios kontrolės ir taikomųjų programų kontrolės priemonių vertinimo žingsniai

* Jeigu audito objektas tiesiogiai susijęs su veikiančiomis IS ir vertinami veiklos procesai yra skaitmenizuoti.
** Esant poreikiui atlikti su audito objektu susijusios taikomosios programos kontrolės priemonių efektyvumo vertinimą.

Susipažįstant su IT aplinka ir auditui aktualiomis IS, rekomenduojama išsiaiškinti:

• kokia yra IT valdymo politika, kaip vyksta IT strateginis planavimas, kokie IT strateginiai tikslai, uždaviniai, priemonės, kokie nustatyti IT veiklos rezultatus matuojantys rodikliai (angl. KPI), kokie šių rodiklių rezultatai;
• kokias IS valdo ir (ar) tvarko organizacija, kaip jos tarpusavyje susijusios, kurios iš IS tiesiogiai susijusios su audito objektu;
• kaip vyksta duomenų apdorojimo procesai auditui aktualiose IS;
• kokie IS svarbos (kritiškumo) lygiai, kokie saugumo standartai, priemonės taikomos organizacijoje siekiant užtikrinti duomenų konfidencialumą, vientisumą ir prieinamumą;
• kokia IT organizacinė struktūra, kokios IT funkcijos ir atsakomybės, kaip jos paskirstytos IT sistemoje, kas atsakingas už IS vystymą, priežiūrą, susijusių duomenų bazių valdymą;
• kokie išorės ištekliai (angl. outsourcing) ir kiek jų dalyvauja įgyvendinant IT projektus;
• kokia IT rizikų valdymo tvarka, kokios yra IT rizikos (kurias organizacija nustatė) susijusios su audito objektu, kaip šios rizikos tvarkomos;
• kaip vyksta IT paslaugų valdymas, kiek IT paslaugų teikiama, kiek IT paslaugų atitinka paslaugų lygio susitarimą (angl. Service Level Agreement);
• kaip vyksta IT incidentų, keitimų, problemų valdymas organizacijoje;
• koks incidentų, pakeitimų mastas, kurie susiję su audito objektu, jų išsprendimo dinamika;
• kokie vidaus ir išorės IT auditai, savianalizės (angl. control self-assessment) ir kiti vertinimai IT srityje organizacijoje atliekami, kokie jų rezultatai, ar pašalinti nustatyti pažeidimai, ištaisytos klaidos ir laiku įgyvendintos rekomendacijos bei kt.

Susipažinęs su IT aplinka ir naudojamomis IS (peržiūrėjęs jų nuostatus ir kitus susijusius dokumentus), auditorius užpildo IS suvestinę, kurioje nurodo, kokius IS išteklius organizacija valdo ir (ar) tvarko, kurios IS yra tiesiogiai susijusios su audito objektu.

Remdamasis IT bendrosios kontrolės vertinimo klausimyne pateiktais klausimais ir rekomenduojamomis procedūromis, auditorius atlieka IT bendrosios kontrolės efektyvumo vertinimą.

Jeigu audito grupėje nėra reikiamų kompetencijų šiems vertinimams atlikti, galima pasitelkti kitų Valstybės kontrolės struktūrinių padalinių darbuotojus ar išorės specialistus (ekspertus). Toks profesinis sprendimas turi būti dokumentuojamas.

Vertinant IT bendrosios kontrolės priemones, analizuojama, ar jos tinkamai:

• sukurtos – sudaro sąlygas tinkamai reaguoti į su IT naudojimu susijusias rizikas;
• įgyvendinamos – praktikoje veikia pagal tinkamai sukurtas tvarkas ir procedūras.

Užpildęs IT bendrosios kontrolės vertinimo klausimyną, auditorius įvertina šios kontrolės efektyvumo lygį kaip:

• didelį – kai IT kontrolės priemonės yra tinkamai sukurtos ir neturi įgyvendinimo ar veikimo trūkumų arba yra nereikšmingų ar smulkių trūkumų;
• vidutinį – kai IT kontrolės priemonės yra tinkamai sukurtos ir įgyvendinamos, tačiau turi įgyvendinimo ar veikimo trūkumų;
• mažą – kai IT kontrolės priemonių nėra arba jos netinkamai sukurtos ir (arba) yra netinkamai įgyvendinamos ar netinkamai veikia.

Jei, atlikus IT bendrosios kontrolės vertinimą, nustatyta IT bendrosios kontrolės trūkumų, apie juos auditorius turi oficialiu raštu ar el. paštu (priklausomai nuo trūkumų reikšmingumo) informuoti audituojamą subjektą.

Audito metu gali kilti poreikis atlikti taikomosios programos, kuri susijusi su audito objektu, kontrolės priemonių efektyvumo vertinimą. Jį atlikti turėtų prireikti, kai veiklos problemų (rizikų) atsiradimo priežastys yra susijusios su taikomosios programos veikimo trūkumais arba, jeigu, atlikus bendrosios kontrolės efektyvumo vertinimą, nustatyta, kad jis yra mažas ar vidutinis. Auditorius turi priimti ir dokumentuoti profesinį sprendimą dėl taikomųjų programų kontrolės priemonių testavimo atlikimo.

Jei nusprendžiama, kad toks poreikis yra, auditorius pirmiausia turi įvertinti IS sudėtingumą. Vertinant jį pildomas dokumentas IS sudėtingumo vertinimas. Jei vertinant auditui svarbios IS sudėtingumą auditoriui sudėtinga įvertinti reikiamas sritis, rekomenduojama audituojamajam subjektui pateikti paklausimą arba atlikti pokalbius su organizacijoje paskirtu duomenų valdymo įgaliotiniu, kuris atsakingas už atitinkamos IS plėtrą ir priežiūrą. IS gali būti įvertinta kaip:

• didelė arba sudėtinga;
• vidutinio dydžio ir vidutiniškai sudėtinga;
• nesudėtinga.

Atsižvelgiant į auditui aktualios IS sudėtingumą bei audito grupės turimą kompetenciją ir gebėjimus, taikomųjų programų kontrolės priemonių testavimą auditorius gali atlikti pats arba pasitelkti kitų Valstybės kontrolės struktūrinių padalinių darbuotojus ar išorės specialistus (ekspertus). Toks profesinis sprendimas turi būti dokumentuojamas.

Atlikdamas taikomųjų programų kontrolės vertinimą auditorius turi parengti audito objektui svarbius ir aktualius taikomųjų programų kontrolės priemonių testus. Rengiant šiuos testus turi būti išanalizuota techninė ir kita dokumentacija, susijusi su atitinkama kontrolės priemone, kurioje pateikiami veiklos reikalavimai kaip kontrolės priemonė turi veikti praktikoje (funkciniai reikalavimai). Išankstinio tyrimo metu rekomenduojama atlikti IS veikimo nuoseklios peržiūros testą: auditorius turi susipažinti, kaip veikia auditui aktuali taikomoji programa ir kokias operacijas joje nuo proceso pradžios iki pabaigos galima atlikti. Jei IS sudėtinga, šis testas yra privalomas. Auditorius rengdamas klausimynus gali pasinaudoti Taikomųjų programų kontrolės priemonių ir jų testavimo pavyzdžiais. Taip pat galima išanalizuoti ir panaudoti audituojamo subjekto taikytus testavimo scenarijus, susijusius su testuojamomis kontrolės priemonėmis, kurie buvo atlikti kuriant, modernizuojant ar modifikuojant programinę įrangą. Jei tinka, gali būti naudojami ankstesnių auditų testavimo scenarijai.

Auditorius turi patikrinti, ar pasirinkta testuoti kontrolės priemonė veikia taip, kaip nurodyta techninėje ar kitoje susijusioje dokumentacijoje. Jei testuojant nustatoma veikimo trūkumų (taikomosios programos kontrolės priemonė neveikia taip, kaip turi veikti pagal reikalavimus), vertinama, kad ši kontrolės priemonė veikia neefektyviai ir ja negalima pasitikėti.

Taikomųjų programų kontrolės priemonių testavimas vykdomas IS testavimo aplinkoje, prie kurios prieigą suteikia audituojamas subjektas. Ši prieiga suteikiama laikantis audituojamo subjekto patvirtintos prieigos prie IS teisių suteikimo tvarkos reikalavimų.

Jeigu kito Valstybės kontrolės audito (veiklos, finansinio, atitikties ar IT) metu jau buvo vertinta to paties audituojamo subjekto IT bendroji kontrolė ir tos pačios taikomosios programos, kurias planuojama vertinti, ir po šio vertinimo audituojamo subjekto IT bendrojoje kontrolėje ir IS neįvyko jokių esminių pasikeitimų (pvz., įdiegta nauja prieigos kontrolės politika arba panaikinti esami kontrolės procesai, įvesta nauja IT valdymo struktūra, pakeista integracija su kitomis sistemomis, atnaujintos pagrindinės taikomosios programos funkcijos ir pan.), ir audito grupės vertinimu atliktas darbas tinka jų veiklos audito tikslams pasiekti, audito grupė gali pasinaudoti atliktu IT bendrosios kontrolės ir (ar) taikomosios programos kontrolės priemonių vertinimu. Tačiau, jeigu nuo paskutinio tokio vertinimo praėjo 3 metai, rekomenduojama atlikti naują šių kontrolės priemonių vertinimą.

Nors audito tikslas nėra atskleisti apgaulę ir korupciją, auditoriai turi įvertinti apgaulės ir korupcijos riziką ir imtis tam tikrų veiksmų jų atžvilgiu.

Auditorius viso audito metu turi laikytis profesinio skepticizmo ir pripažinti, kad audituojamoje srityje gali egzistuoti apgaulės ir korupcijos galimybė nepaisant ankstesnės darbo su audituojamu subjektu patirties ir nuomonės apie aukščiausio lygio vadovų ir už valdymą atsakingų asmenų sąžiningumą ir principingumą.

Apgaulė apima faktų ir (ar) svarbios informacijos tyčinį iškraipymą, siekiant neteisėtai gauti turtinę naudą (materialinis interesas). Apgaulė galėtų apimti manipuliaciją, falsifikavimą ar sukeitimą dokumentų, neteisėtą lėšų pasisavinimą ar išeikvojimą, dokumentų apie sandorių rezultatus nuslėpimą ar klaidų juose padarymą, realiai neegzistuojančių sandorių fiksavimą, sąmoningai klaidingą įstaigos apskaitos politikos taikymą.

Korupcija – piktnaudžiavimas įgaliojimais siekiant naudos sau ar kitam asmeniui viešajame ar privačiame sektoriuje. Korupcinio pobūdžio nusikalstamos veikos:

• kyšininkavimas, prekyba poveikiu, papirkimas, piktnaudžiavimas;
• nusikalstamos veikos, padaromos viešajame sektoriuje arba teikiant administracines ar viešąsias paslaugas piktnaudžiaujant įgaliojimais ir tiesiogiai ar netiesiogiai siekiant naudos sau ar kitam asmeniui: neteisėtas teisių į daiktą įregistravimas, tarnybos pareigų neatlikimas, valstybės paslapties atskleidimas, neteisėtas politinių partijų ir politinių kampanijų finansavimas, sukčiavimas, turto pasisavinimas ar iššvaistymas, komercinės paslapties atskleidimas, nusikalstamu būdu gauto turto legalizavimas, neteisingų duomenų apie pajamas, pelną ar turtą pateikimas, kišimasis į valstybės tarnautojo ar viešojo administravimo funkcijas atliekančio asmens veiklą, tarnybos paslapties atskleidimas, dokumento suklastojimas ar disponavimas suklastotu dokumentu;
• kitos nusikalstamos veikos, kuriomis siekiama kyšio, papirkimo arba nuslėpti ar užmaskuoti kyšininkavimą, prekybą poveikiu ar papirkimą.

Korupcinio pobūdžio teisės pažeidimas – administracinis nusižengimas, darbo pareigų pažeidimas ar tarnybinis nusižengimas, padaromas piktnaudžiaujant įgaliojimais ir tiesiogiai ar netiesiogiai siekiant naudos sau ar kitam asmeniui, taip pat korupcinio pobūdžio nusikalstama veika.

Apgaulei ir korupcijai įtakos turintys veiksniai. Auditoriams būtina suprasti apgaulės ir korupcijos motyvacijos ir organizacinius veiksnius. Neprivaloma kiekvieno audito metu įvertinti visų veiksnių (ne)buvimo, tačiau viso audito metu reikia išlaikyti tinkamą profesinį atidumą ir laiku identifikuoti galimą apgaulės ir korupcijos riziką. Veiksnių buvimas nebūtinai reiškia, kad įvyko apgaulė ar korupcija.

Motyvacijos veiksniai:

• ekonominė motyvacija – finansinis poreikis ar pelnas. Tai pagrindiniai apgaulės ir korupcijos stimulai. Dažnai asmenys, nuteisti už apgaulę ir korupciją, turi nepakeliamų finansinių problemų ir neturi jokių teisėtų pajamų šaltinių;
• šykštumas – asmenys, turintys valdžią ir įgaliojimų, dažnai įvykdo apgaulės ir korupcijos veiksmus iš godumo ir šykštumo;
• pripažinimas ar prestižas – asmenys gali norėti didesnio pripažinimo ar prestižo iš pavydo, keršto ar išdidumo. Jie dažnai būna garantuoti, kad jų padėtis yra aukščiau nei kitų ir gali likti nedemaskuoti ir neišaiškinti, įvykdę apgaulę ar korupciją;
• moralinis pranašumas – vienas motyvų gali būti pernelyg didelis savęs įvertinimas, esą turi moralinį pranašumą ar valdžią kitiems, kuriuos laiko aukomis.

Organizaciniai veiksniai:

• nepakankama vidaus kontrolės sistema – jei organizacija neturi patikimos vidaus kontrolės sistemos, tai gali sukurti palankias sąlygas apgaulei ir korupcijai, nes trūksta veiksmingų prevencijos ir atskleidimo mechanizmų;
• silpnos etikos normos – organizacijose, kuriose nėra aiškiai apibrėžtų etikos normų arba jos nėra tinkamai įgyvendinamos, yra didesnė korupcijos ir apgaulės rizika;
• neefektyvi priežiūra ir atskaitomybė – nepakankama darbuotojų veiksmų priežiūra ir neaiški atskaitomybė, skaidrumo ir atvirumo kultūros trūkumas gali sudaryti palankias sąlygas netinkamam elgesiui;
• organizaciniai pokyčiai – dideli organizaciniai pokyčiai, pvz., restruktūrizavimas, gali paskatinti piktnaudžiavimo atvejus;
• komunikacijos trūkumas – nepakankama ar netinkama komunikacija tarp vadovų, darbuotojų ir skyrių gali sukurti nesusipratimus, kuriuos gali išnaudoti asmenys, siekiantys piktnaudžiauti ir kt.

Vertindamas apgaulės rizikos veiksnius, auditorius turi atkreipti dėmesį į tai, kad apgaulės rizika įvertinama apsvarsčius tris jai būdingas sąlygas (apgaulės rizikos veiksnius) kiekvieno audituojamo subjekto atžvilgiu:

• skatinimas arba spaudimas įvykdyti apgaulę (pvz., viešojo sektoriaus darbuotojai dažnai jaučia spaudimą teikti aukštos kokybės paslaugas turint nepakankamus išteklius reikiamai kokybei išlaikyti);
• galimybė įvykdyti apgaulę (pvz., sudėtinga įdarbinimo aplinka arba pakankamai kvalifikuoto personalo trūkumas ir dėl to silpna vidaus kontrolė gali sudaryti galimybes pasireikšti apgaulei);
• sugebėjimas pateisinti (pagrįsti) netinkamus veiksmus (pvz., paprastai žemesnis atlyginimų lygis viešajame sektoriuje, lyginant su privačiu, gali skatinti darbuotojus pateisinti neteisėtą lėšų naudojimą).

Vertindamas apgaulės ir korupcijos riziką, auditorius gali pasinaudoti Apgaulės ir korupcijos rizikos vertinimo klausimynu. Esant poreikiui klausimynas gali būti papildytas kitais reikiamais klausimais.

Kai tame pačiame audituojamame subjekte atliekami keli Valstybės kontrolės auditai (veiklos, finansiniai, atitikties ir (ar) IT), kurių audituojamas laikotarpis persidengia, vėliau auditą pradėjusi audito grupė turėtų susisiekti su anksčiau auditą pradėjusia grupe ir išsiaiškinti, ar toks klausimynas buvo pildomas ir, jeigu buvo pildomas, rekomenduojama juo pasinaudoti.

Jeigu nustatoma apgaulės riziką didinančių veiksnių (atsižvelgiant į audito tikslą), auditoriai turėtų susipažinti su atitinkamomis vidaus kontrolės sistemomis ir išsiaiškinti, ar egzistuoja kokių nors neatitikimų, galinčių kliudyti veiklai, požymių.

Kai auditorius nustato apgaulės riziką, kurios vadovai nekontroliavo ar kontrolė nebuvo pakankama, arba jei, auditoriaus nuomone, subjekto rizikos vertinimui būdingi esminiai trūkumai, auditorius apie šiuos vidaus kontrolės trūkumus turi oficialiu raštu informuoti audituojamą subjektą.

Jeigu audito metu atskleidžiama apgaulė arba gaunama informacija, iš kurios galima spręsti, kad yra apgaudinėjama, auditorius turi oficialiu raštu pranešti apie tai audituojamo subjekto vadovams (jei nekyla abejonių dėl jų sąžiningumo). Jeigu manoma, kad apgaulėje galėjo dalyvauti vadovai arba darbuotojai, vykdantys vidaus kontrolę, auditorius turi nedelsdamas apie tai pranešti tiems, kam pavestos valdymo funkcijos (pvz., jei įtariama, kad apgaulėje galėjo dalyvauti konkrečiai ministerijai pavaldžios įstaigos vadovas, apie tai pranešama tos ministerijos vadovybei).

Audito metu nustačius apgaulės ar korupcijos požymius ar aplinkybes, rodančias apgaulės ar korupcijos galimybę, turi būti konsultuojamasi su Valstybės kontrolės Teisėtumo užtikrinimo departamento teisininku dėl poreikio ir galimybės perduoti informaciją pagal kompetenciją atitinkamai teisėsaugos institucijai. Audito departamento vadovas, įvertinęs surinktą informaciją, inicijuoja darbo dokumento dėl medžiagos perdavimo atitinkamai teisėsaugos institucijai tikslingumo parengimą ir jį kartu su reikiamais dokumentais, pagrindžiančiais galimą apgaulę ar korupciją, teikia Teisėtumo užtikrinimo departamentui. Pastarasis ne vėliau kaip per 7 darbo dienas nuo gavimo dienos vertina pateiktą medžiagą ir pateikia savo išvadą dėl medžiagos perdavimo teisėsaugos institucijai tikslingumo ir pagrįstumo. Prireikus, Teisėtumo užtikrinimo departamentas medžiagą aptaria su audito grupe. Teisėtumo užtikrinimo departamentui pateikus pastabas, jei reikia, surenkami papildomi audito įrodymai. Valstybės kontrolieriaus pavaduotojas, kuriam yra tiesiogiai pavaldus audito departamentas, gavęs iš audito departamento vadovo visą medžiagą kartu su Teisėtumo užtikrinimo departamento išvada per 5 darbo dienas priima sprendimą dėl medžiagos perdavimo teisėsaugos institucijai tikslingumo ir pagrįstumo. Jei priimamas sprendimas perduoti, audito departamento vadovas organizuoja jos perdavimą atitinkamai teisėsaugos institucijai.