INFORMACINIŲ SISTEMŲ AUDITO VADOVAS · Vadovas nustato bendrus informacinių sistemų audito atlikimo – planavimo, vykdymo, ataskaitų rengimo – etapus ir principus. Kiekvienas

1 Veiklos audito vadovas

Lietuvos Respublikos valstybės kontrolė

LIETUVOS RESPUBLIKOS VALSTYBĖS KONTROLĖ

INFORMACINIŲ SISTEMŲ AUDITO VADOVAS

Vilnius

2013

Informacinių sistemų audito vadovas


Turinys

1. Informacinių sistemų audito samprata 6

1.1. IS audito tikslas ir uždaviniai 6

1.2. IS audito objektas ir samprata 7

1.3. IS audito vertinimo kriterijai 8

1.4. IS audito procesas 8

2. Planavimas 10

2.1. Strateginis tyrimas 10

2.2. IS vidaus kontrolės vertinimo planavimo procesas 10

2.2.1. IS vidaus kontrolės vertinimo planavimas veiklos audito metu 11

2.2.2. IS bendrosios kontrolės vertinimas finansinio audito metu 13

2.3. IS veiklos audito planavimas 15

3. Pagrindinis tyrimas 17

3.1. IS vidaus kontrolės vertinimas 17

3.1.1. IS bendrosios kontrolės vertinimas 17

3.1.2. IS kūrimo kontrolės vertinimas 18

3.1.3. Taikomųjų programų kontrolės vertinimas 20

3.1.4. Taikomųjų programų kontrolės vertinimas finansinio audito metu 22

3.2. IS veiklos auditai 23

4. Duomenų rinkimas ir vertinimas 24

5. Darbo dokumentavimas 26

6. Audito ataskaita 27

7. Audito kokybės užtikrinimas 28

8. Stebėjimas po audito 29

Priedai 30

3 Informacinių sistemų audito vadovas


Įvadas

Šis Informacinių sistemų audito vadovas yra sudėtinė Valstybės kontrolės parengtų

metodinių dokumentų, susijusių su audito atlikimu, dalis. Vadovas skirtas auditoriams atliekantiems

informacinių sistemų auditus ir informacinių sistemų vertinimus finansinio ar veiklos audito metu.

Šis vadovas skirtas padėti auditoriams geriau suprasti informacinių sistemų audito procesą ir siekti

geresnės auditų kokybės.

Vadovas nustato bendrus informacinių sistemų audito atlikimo – planavimo, vykdymo,

ataskaitų rengimo – etapus ir principus. Kiekvienas informacinių sistemų auditas reikalauja

bendrųjų audito įgūdžių, informacinių sistemų valdymo, kompiuterių mokslo ir elgsenos žinių, todėl

šiame dokumente siekiama paaiškinti informacinių sistemų audito paskirtį ir tai, kaip jis atliekamas

Valstybės kontrolėje. Vadovo priedus auditoriai interpretuoja savarankiškai.

Vadovas parengtas vadovaujantis bendraisiais veiklos audito principais, pateiktais

Tarptautinės aukščiausiųjų audito institucijų organizacijos INTOSAI audito standartuose. Rengiant

šį dokumentą atsižvelgta į Valstybės kontrolės Veiklos ir Finansinio ir teisėtumo audito vadovus,

Tarptautinės informacinių sistemų audito ir kontrolės asociacijos ISACA informacinių sistemų

audito standartus ir į asociacijos parengtas Informacinių sistemų audito gaires bei kitą ISACA

metodinę medžiagą, pavyzdžiui, informacinių technologijų valdymo metodikos ir gerosios

praktikos rinkinį COBIT.

Vadove taip pat panaudotos valstybinių auditorių žinios ir praktinė patirtis, kitų

aukščiausiųjų audito institucijų patirtis ir ekspertų rekomendacijos.

Sąvokų žodynas

4

Sąvokų žodynas

3E – veiklos audito vertinimo aspektai: ekonomiškumas, efektyvumas ir rezultatyvumas

(angl. economy, efficiency, effectiveness);

Bendrosios kompiuterių kontrolės priemonės (angl. general computer controls) – kitos nei

taikomųjų programų vidaus kontrolės priemonės, susijusios su aplinka, kurioje kuriamos,

prižiūrimos ir veikia kompiuterizuotos taikomųjų programų sistemos ir dėl to tinkamos visoms

taikomosioms programoms. Bendrųjų kompiuterių kontrolės priemonių tikslai yra užtikrinti

tinkamą taikomųjų programų kūrimą ir vykdymą, programų ir duomenų rinkinių bei kompiuterio

operacijų vientisumą. Kaip ir taikomųjų programų kontrolės priemonės, bendrosios kompiuterių

kontrolės priemonės gali būti arba neautomatinės, arba suprogramuotos.

CAAT – kompiuterinė priemonė, skirta audito procesui automatizuoti (įvairios paskirties

programinė įranga, dažniausia skirta duomenų analizei);

COBIT – Tarptautinės informacinių sistemų audito ir kontrolės asociacijos (ISACA)

parengtas informacinių sistemų valdymo metodika ir gerosios praktikos rinkinys: COBIT 4.1

metodika, kontrolės tikslai, valdymo gairės, brandos modeliai, 2011 m., Vilnius.

Duomenų valdytojai (angl. data owners) – asmenys, paprastai vadovai ar direktoriai,

atsakingi už kompiuterizuotų duomenų vientisumą, tikslumą ir naudojimą.

Elektroninė informacija – elektroninių ryšių tinklais perduodama ar informacinėse

sistemose arba registruose saugoma ir tvarkoma informacija ar duomenys, įskaitant programinę

įrangą, skirtą informacinės sistemos funkcijoms atlikti.

Gebėjimų brandos modelis (GBM) (angl. Capability Maturity Model (CMM)) – programų

inžinerijos instituto (angl. Software Engineering Institute) sukurtas programinės įrangos kūrimo

GBM. Daugelio organizacijų naudojamas modelis, skirtas įvertinti ir padidinti programinės įrangos

kūrimo procesų brandą.

Informacija – tai duomenys, kurių turinys ir forma tinka tam tikram naudojimui.

Informacija gaunama duomenis apdorojus (pvz.: formatuojant, filtruojant, sumuojant, atliekant

analizę ar kitas sudėtingesnes operacijas).

Informaciniai ištekliai – informacijos, kurią valdo informacinės visuomenės nariai ir kuri

apdorojama informacinių technologijų priemonėmis, ir ją apdorojančių informacinių technologijų

priemonių visuma.

Informacinė sistema (IS) – informacijos apdorojimo procesus (duomenų ir dokumentų

tvarkymo, skaičiavimo, bendravimo nuotoliniu būdu ir t. t.) vykdanti sistema, kuri veikia

informacinių ir ryšių technologijų pagrindu. Ši sąvoka apima valstybės ir žinybinius registrus ir

elektroninių duomenų perdavimo tinklus. IS sudaro 4 pagrindinai komponentai: techninė įranga,

programinė įranga, duomenys ir žmonės.

Sąvokų žodynas

5

IS auditas – yra audito dalis, kai surinkti įrodymai ir atliktas vertinimas leidžia nuspręsti, ar

IS efektyviai naudoja organizacijos išteklius, užtikrina jų saugą, duomenų vientisumą ir padeda

efektyviai siekti organizacijos tikslų.

IS bendroji kontrolė – tai kontrolės priemonės, kurios taikomos visiems konkrečios

organizacijos IS komponentams, procesams ir duomenims ar informacinių technologijų aplinkai.

Šios kontrolės priemonių visuma turi užtikrinti tinkamą kompiuterizuotų taikomųjų programų plėtrą

ir įgyvendinimą, taip pat taikomųjų programų, duomenų bylų ir kompiuterinių operacijų vientisumą.

IS kūrimo kontrolė – kontrolės procedūros ir priemonės, sukurtos remiantis sistemų kūrimo,

projektavimo, bandymų ir projektų valdymo metodika, kuri užtikrina tikslų ir efektyvų planavimą,

biudžeto ir išlaidų kontrolę. Kiekviename kūrimo etape nagrinėjama informacinių technologijų, projekto

valdymo, biudžeto, vidaus kontrolės, veiklos procesų ir trečiųjų šalių paslaugų teikėjų ir kitų išorės

subjektų įtaka IS.

ISACA – Tarptautinė profesinė organizacija orientuota į informacinių technologijų valdymą

(anksčiau žinoma kaip Informacinių sistemų audito ir kontrolės asociacija).

Informacinės technologijos (IT) – ištekliai, reikalingi tam tikrai informacijai gauti, tvarkyti,

saugoti ir skleisti: techninė, programinė įranga, komunikacijos ir kita įranga, naudojama bet kokios

formos duomenims įvesti, saugoti, apdoroti, perduoti ir išvesti.

Rizika – veiklos kontekste tai galimybė, kad tam tikra grėsmė dėl turto vieneto ar turto

vienetų grupės silpnųjų pusių sukels turto ir / ar lėšų praradimą ir (arba) padarys jam žalos.

Paprastai vertinama poveikio ir atsitikimo tikimybės deriniu.

SKGC – sistemos kūrimo gyvavimo ciklas (angl. Systems Development Life Cycle (SDLC)).

Etapai, išdėstyti kuriant ar įsigyjant programinės įrangos sistemą. Paprastai tai tokie etapai:

ekonominio pagrįstumo analizė, reikalavimų analizė, reikalavimų apibrėžimas, detalus projektas,

programavimas, testavimas, diegimas ir įdiegtos sistemos analizė.

Taikomoji programa – programa, kuri apdoroja veiklos duomenis atliekant duomenų įvedimą,

atnaujinimą ar pateikiant užklausą. Ji skiriasi nuo sistemų programų – operacinių sistemų ar tinklo

kontrolės programų – ir nuo paslaugų – kopijavimo (angl. copy) ar rūšiavimo (angl. sort) – programų.

Taikomųjų programų kontrolė – su duomenų įvestimi, apdorojimu, duomenų bankais ir

duomenų gavimu susijusi vidaus kontrolė.

Taikomųjų programų kontrolės priemonės (angl. application controls) – kontrolės

priemonės, integruotos į automatizuotus sprendimus (taikomąsias programas).

Vidaus kontrolė – politika, planai ir procedūros bei organizacijos struktūros, skirtos

užtikrinti, kad veiklos tikslai būtų pasiekti, o nepageidaujamiems įvykiams būtų užkirstas kelias

arba jie būtų nustatyti ir ištaisyti.

Kitos IS audito vadove vartojamos sąvokos atitinka Lietuvos Respublikos valstybės

informacinių išteklių valdymo įstatyme ir kituose teisės aktuose vartojamas sąvokas.

1. Informacinių sistemų audito samprata

6


IS auditas yra audito dalis, kai surinkti įrodymai ir atliktas vertinimas leidžia nuspręsti, ar IS

efektyviai naudoja organizacijos išteklius, užtikrina jų saugą, duomenų vientisumą ir padeda

efektyviai siekti organizacijos tikslų.

IS audito poreikis atsirado, nes IS tapo neatsiejama bet kurios organizacijos veiklos dalimi

arba vienu svarbiausių veiklos vykdymo įrankių. Organizacijų ir IT padalinių vadovai suprato, kad

kompiuteriai ir IS yra vertingi ištekliai, kurie turi būti valdomi taip pat, kaip ir bet kuris kitas

organizacijos turtas, todėl buvo pradėtas vertinti IS kūrimo, diegimo, naudojimo ir priežiūros

ekonomiškumas, efektyvumas ir rezultatyvumas.

1.1. IS audito tikslas ir uždaviniai

IS audito tikslas – įvertinti IT valdymo aplinką ir atskleisti IT valdymo aplinkos tobulinimo

galimybes. IS auditas apima IT valdymą (angl. IT governance) ir padeda organizacijoms pagerinti

keturias sritis:

IS auditas dažniausia pasižymi labai techninio pobūdžio pastebėjimais, todėl pagrindinis IS

audito uždavinys – techninio pobūdžio pastebėjimus audito išvadose pateikti kaip pažeidžiamumą ir

poveikį audituojamo subjekto veiklai. IS audito rezultatai turi skatinti audituojamą subjektą daugiau

dėmesio skirti IS, taikomųjų programų ir IT valdymo aplinkos tobulinimui.


7

1.2. IS audito objektas ir samprata

Siekiant išvengti IS valdymo ir saugos užtikrinimo problemų, buvo sukurti bendrieji IS

kontrolės metodai. IS auditas dažniausia skirtas šiems kontrolės metodams įvertinti, todėl IS audito

metu vertinama, kaip vadovybė valdo IT infrastruktūrą.

Audituojamo subjekto vidaus kontrolės vertinimas yra veiklos ir finansinių auditų vertinimo

sritis. IS auditai gali būti dviejų tipų (1 pav.):

1. IS vidaus kontrolės vertinimas, kuris apima:

IS bendrosios kontrolės vertinimą, kai įvertinama vidaus kontrolė, apimanti visas

organizacijos IS.

IS kūrimo kontrolės vertinimą, kai įvertinamas IS kūrimo valdymas ir kontrolė nuo

sistemos koncepcijos atsiradimo iki jos įteisinimo, apimant IS pakeitimų ir versijų valdymą.

Taikomųjų programų kontrolės vertinimą, kai įvertinama kontrolė, susijusi su duomenų

įvedimu, apdorojimu, duomenų saugojimu ir išvestimi konkrečiose taikomosiose programose.

2. IS veiklos auditas – IS efektyvumo, ekonomiškumo ir rezultatyvumo vertinimas.

1 pav. IS audito apimtis

Finansinis

auditas IS AUDITAS

IS vidaus kontrolės vertinimasIS vertinimas 3E požiūriu

(IS veiklos auditas)

IS bendrosios

kontrolės

vertinimas

IS kūrimo

kontrolės

vertinimas

Taikomųjų

programų

kontrolės

vertinimas

Veiklos

auditas

Vykstant sparčiai IT plėtrai, daugėja viešojo sektoriaus veiklos automatizavimo procesų,

kurių vertinimą turėtų atlikti ne tik IS auditoriai. Veiklos, finansiniai, IS auditoriai ir IT specialistai,

tarpusavyje koordinuodami veiksmus, turėtų planuoti audito procedūras, kontroliuoti atliekamą

darbą ir vertinti gautus rezultatus.

IS audito pasiskirstymas tarp auditorių pateiktas 1 lentelėje, joje išvardyti ir šio IS audito

vadovo priedai, kuriais rekomenduojama naudotis atliekant IS vertinimus ir auditus.


8

1 lentelė. Auditorių pasiskirstymas pagal IS audito objektus.

IS audito

objektai IS sudėtingumas Auditą atlieka Procedūros

Rekomenduojama

vadovautis 1. IS bendroji

kontrolė

Paprasta, vidutinio

sudėtingumo, sudėtinga

Visi auditoriai* 2.2.2. skirsnis 1 ir 2 priedais

IS auditoriai 2.2.1 ir 3.1.1 skirsniai Visais priedais

2. IS kūrimo

kontrolė

Paprasta, vidutinio

sudėtingumo, sudėtinga IS auditoriai 2.2.1 ir 3.1.2 skirsniai 5 ir 11 priedais

3. Taikomųjų

programų kontrolė

Paprasta, vidutinio


Visi auditoriai* 3.1.4 skirsnis 3 priedu

IS auditoriai 2.2.1 ir 3.1.3 skirsniai 6 ir 12 priedais

4. IS vertinimas

3E požiūriu

Paprasta, vidutinio


Veiklos auditoriai 2.3 ir 3.2 poskyriai Veiklos audito vadovu

IS auditoriai

* IS sudėtingumas nustatomas užpildant 1 priedą, vertinant sudėtingų IS bendrąją ir taikomųjų programų

kontrolę rekomenduojama pasitelkti IS auditorius. IS auditoriai atlieka detaliuosius sudėtingų valstybės IS ir

pagrindinių valstybės registrų valdymo auditus, IS sudėtingumas nustatomas strateginio planavimo metu.

Prireikus pagalbos, finansinio ar veiklos audito metu (1 lentelėje numatytais atvejais)

auditoriai, vadovaudamiesi valstybės kontrolieriaus patvirtinta tvarka, į pagalbą turėtų pasitelkti

Valstybės kontrolės IS auditorius arba išorės arba vidaus IS / IT specialistus dėl išsamesnės analizės

ir paaiškinimų.

1.3. IS audito vertinimo kriterijai

Atliekant IS vidaus kontrolės vertinimo auditus audituojamo subjekto IT procesai vertinami

remiantis COBIT metodika ir joje pateiktais IT procesų kontrolės tikslų ir jų metrikų aprašymais,

informacijos kontrolės kriterijais. Vertinimo kriterijų formulavimui gali būti naudojamos ir

informacinių išteklių (IS, registrų, el. duomenų perdavimo tinklų) valdymo reikalavimus

nustatančių teisės aktų nuostatos.

Atliekant IS veiklos auditus ir vertinant IT valdymo aplinką efektyvumo, ekonomiškumo ir

rezultatyvumo aspektais, vertinimo kriterijams formuluoti taikoma veiklos auditams skirta metodika

(detaliau Veiklos audito vadovo dalis Audito objekto, tikslo, vertinimo kriterijų, apimties ir metodų

nustatymas kartu su INTOSAI praktika).

1.4. IS audito procesas

IS audito procesą, kuriame įvertinama IT, taikomųjų programų ir kuriamų IS valdymo

aplinka, sudaro šie pagrindiniai etapai (2 pav.):

planavimas – strateginis tyrimas ir audito planavimas;

atlikimas (pagrindinis tyrimas);

stebėjimas po audito.

file:///C:/Users/SNOW/AppData/Local/Opera/Opera/temporary_downloads/2%20IS%20bendrosios%20kontroles%20vertinimo%20klausimynas.docfile:///C:/Users/SNOW/AppData/Local/Opera/Opera/temporary_downloads/3%20Taikomosios%20programines%20irangos%20kontroles%20klausimynas.doc


9

2 pav. IS audito proceso etapai ir parengiami dokumentai

Pastabos: Nurodyti etapai būdingi kiekvienam IS auditui, tačiau būna ir išimčių:

1 – finansinio audito metu sudėtingų IS vidaus kontrolės vertinimui gali būti pasitelkti IS auditoriai (paraiška),

vertinimas baigiamas parengiant IS bendrosios kontrolės ir taikomųjų programų kontrolės vertinimo darbo

dokumentus;

2 – veiklos audito metu gali būti pasitelkiami IS auditoriai (paraiška), IS auditorių darbo rezultatai pateikiami

darbo dokumente;

3 – IS auditas gali baigtis išankstiniu tyrimu (nusprendus neatlikti pagrindinio tyrimo);

4 – IS auditas gali būti pradėtas be strateginio ir išankstinio tyrimo (pavyzdžiui, įtraukus į valstybinio audito

programą Seimo nutarimu pavestą atlikti auditą);

5 – IS vidaus kontrolės vertinimo metu nerengiama išankstinio tyrimo ataskaita, audito planavimas baigiamas

parengiant IS audito planą.

IS audito procese atsiradus kitoms išimtims negu nurodyta 2 pav., sprendimus dėl jų taikymo priima valstybės

kontrolierius ir (ar) jo pavaduotojas, koordinuojantis ir kontroliuojantis IS auditus atliekančio audito

departamento veiklą.

IS auditas atliekamas vadovaujantis INTOSAI standartais, šiuo IS audito vadovu,

Tarptautinės informacinių sistemų audito ir kontrolės asociacijos (ISACA) IS audito standartais ir

atsižvelgiant į asociacijos parengtas IS audito gaires, taip pat Finansinio ir teisėtumo ir Veiklos

audito vadovais. Metodinių dokumentų sąrašas pateiktas 13 priede.

Finansiniai auditoriai, atlikę IS bendrosios kontrolės ar taikomųjų programų kontrolės

vertinimą, rezultatus (darbo dokumento elektroninę kopiją) pateikia IS auditus atliekančiam

Valstybės kontrolės struktūriniam padaliniui. IS vidaus kontrolės vertinimo rezultatai apibendrinami

pagal valstybės kontrolieriaus įsakymu patvirtintų Valstybinių auditų, atliktų vykdant metinę

programą, rezultatų apibendrinimo taisyklių atitinkamą priedą.

IS audito proceso etapai ir kiekviename etape parengiami dokumentai išsamiau aprašyti

tolesnėse IS audito vadovo dalyse.

Paraiška dėl IS auditorių pasitelkimo1

IT ir IS sudėtingumo

vertinimas

IS bendrosios

kontrolės vertinimas

IS taikomųjų

programų

kontrolės

vertinimas

Finansinis

auditas

Stebėjimas po

audito Planavimas Pagrindinis

tyrimas / Audito

atlikimas

Strateginis tyrimas Audito planavimas /

Išankstinis tyrimas

Siūlymai valstybinio

audito programai4

IS audito planas

Išankstinio tyrimo

ataskaita5

Rekomendacijų

įgyvendinimo

ataskaita

IT arba IS vertinimo

darbo dokumentas Paraiška dėl IS auditorių pasitelkimo2

IS audito ataskaita

Veiklos auditas

IS vidaus kontrolės

vertinimas

IS veiklos auditas3

2. Planavimas

10

2. Planavimas

Siekiant racionaliai naudoti audito išteklius (finansinius, žmogiškuosius, materialinius ir

kitus), labai svarbu tinkamai suplanuoti IS audito procesą.

2.1. Strateginis tyrimas

IS audito strateginis tyrimas atliekamas pagal Veiklos audito vadovą. Išsamiau strateginio

tyrimo procesą, darbų pasidalijimą, informacijos kaupimo ir pateikimo formas, terminus ir kt.

nustato valstybės kontrolieriaus įsakymu patvirtinta Veiklos audito strateginio tyrimo organizavimo

ir vykdymo metodika. Planuojant IS vidaus kontrolės vertinimus atsižvelgiama į valstybės įstaigos

valdomų informacinių išteklių (IS, registrų ir kt.) duomenų svarbą ir finansinių auditorių pateiktą IS

vidaus kontrolės vertinimo medžiagą. IS veiklos audito strateginiam planavimui naudojami

duomenys, gauti analizuojant IS bendrosios kontrolės vertinimus.

2.2. IS vidaus kontrolės vertinimo planavimo procesas

Viena iš vidaus kontrolės sudedamųjų dalių yra IS, apimanti audituojamos organizacijos

veiklos procesus, todėl būtina gerai susipažinti su audituojamo subjekto IS aplinka, kad auditorius

nustatytų IS sudėtingumą, subjekto veiklos priklausomybės nuo IS lygį ir galėtų įvertinti auditui

svarbias IS.

Vidaus kontrolės vertinimas, kuriame planuojama vertinti IS, taikomųjų programų ar

kuriamų IS valdymo aplinką, atliekamas tokia seka:

pirmiausia planuojamas IS bendrosios kontrolės vertinimas, atliekama IS dokumentų

analizė, preliminarus IS kontrolės vertinimas ir nustatoma IS bendrosios kontrolės branda (būklė);

atlikus IS bendrosios kontrolės vertinimą planuojamas IS kūrimo kontrolės vertinimas ir

tik po to – taikomųjų programų kontrolės vertinimas. Jeigu IS kūrimo arba taikomųjų programų

kontrolę planuojama vertinti atskirai, tai IS bendroji kontrolė vertinama tiek, kiek ji tiesiogiai susijusi

su IS kūrimo arba taikomųjų programų kontrole.

Šia seka planuojami ir IS vidaus kontrolės vertinimo auditai, kurių objektu yra IS kūrimo ir

taikomųjų programų kontrolės vertinimas.

Toliau pateikiami skirtingos apimties IS vidaus kontrolės vertinimo planavimo etapai.

IS bendroji kontrolė

IS kūrimo kontrolė

Taikomųjų programų kontrolė

2. Planavimas

11

2.2.1. IS vidaus kontrolės vertinimo planavimas veiklos audito metu

IS vidaus kontrolės audito planavimas atliekamas vadovaujantis ISACA standartais ir

gairėmis, apibrėžiančiais audito planavimo procesus ir rekomendacijas. IS audito uždavinius lemia

aukščiausiojo lygio vadovybės nustatyta vidaus kontrolės sistema. Jeigu nustatytos sistemos nėra,

kaip pagrindas detaliems IS audito uždaviniams nustatyti turi būti naudojama COBIT metodika.

Atsižvelgiant į konkretaus IS audito apimtį turi būti parenkami konkretūs COBIT procesai,

kontrolės tikslai ir susijusios valdymo praktikos. Auditas turi apimti visų COBIT metodikoje

nurodytų IT išteklių naudojimo ir apsaugos kontrolės sistemas: duomenis, taikomąsias programas,

technologijas, įrangą, žmones ir IT valdymą.

IS vidaus kontrolės vertinimo auditų planavimas vykdomas etapais (žr. 2 lentelę),

kiekviename etape priimtus sprendimus būtina dokumentuoti. Audito planavimui skirti klausimynai

(4–7 priedai) sudaryti pagal ISACA IS audito gairių rekomendacijas ir COBIT metodiką, kuri

leidžia įvertinti subjekto taikomų IT valdymo metodų visumą. Detalesnis IS audito planavimo etapų

darbų aprašymas pateikiamas audito dokumentavimo IS.

2 lentelė. IS vidaus kontrolės audito planavimo etapai ir tikslai

IS bendroji kontrolė IS kūrimo kontrolė Taikomųjų programų

kontrolė Nagrinėjama, ar IS funkcija atitinka

subjekto misiją, viziją, vertybes, tikslus

ir strategijas, ar IT funkcijai yra aiškiai

nustatyti veiklos rezultatai, kurių tikisi

organizacija, ir įvertinti, ar jie pasiekti.

Nagrinėjama, ar IS steigimas, kūrimas,

diegimas, įteisinimas ir pakeitimai yra

tinkamai kontroliuojami.

Nustatyti, išbandyti ir įvertinti

kontrolės priemones, kurias

subjektas taiko taikomosioms

programoms.

Audito planavimo etapo darbų planas

Numatyti planavimo etapo darbų atlikimo terminus ir apimtis, plano forma pateikiama 8 priede.

Susipažinimas su audituojamo subjekto veikla Susipažinti su subjekto veiklos sritimis,

kuriose kritinį vaidmenį vaidina IS.

Sugretinti subjekto veiklos tikslus su IT

tikslais, įvertinti jo valdomų (naudojamų)

IS sudėtingumą. Išanalizuoti IT

reglamentuojančius teisės aktus,

nustatyti, ar subjektas IT funkciją

perleidžia tretiesiems asmenims.

Išsiaiškinti kitą auditoriaus nuomone

reikšmingą informaciją.

Susipažinti su IS kūrimo aplinka,

subjekto pasirinktu IS įsigijimo / kūrimo

būdu, mastu, technologijomis, įsigijimo /

kūrimo tikslais ir susipažinti su IS

naudojimo būdais.

Susipažinti su aplinka,

kurioje taikomosios

programos yra kuriamos,

palaikomos ir

eksploatuojamos. Nustatyti

jų dydį, sudėtingumą ir

subjekto priklausomybės

nuo taikomųjų programų

lygį.

Susipažinimas su IS valdymu ir preliminarus vidaus kontrolės įvertinimas Įvertinti subjekto pasirinktas IS

kontrolės priemones ir praktinį jų

taikymą, nustatyti, ar IS atitinka teisės

aktus; įvertinti kitą, auditoriaus

nuomone, reikšmingą informaciją,

susijusią su IS valdymu.

Įvertinti rizikingiausias IS valdymo sritis

pagal 4 priede nurodytus pagrindinius

aspektus.

Nustatyti dabartinį IS įsigijimo / kūrimo

etapą, projekto valdymo struktūrą,

įsigijimui / kūrimui skirtas ir planuojamas

skirti lėšas. Įvertinti ankstesnių kūrimo

etapų peržiūros rezultatus, rizikas galinčias

paveikti IS įsigijimo / kūrimo ciklą,

vadovybės nurodomas problemas dėl IS

įsigijimo / kūrimo priežiūros ir kitus

aspektus, nurodytus 5 priede. Atliekant

vertinimą rekomenduojama naudotis

ISACA IS kūrimo ir projektų valdymo

audito programa.

Įvertinti COBIT IT procesus

pagal 6 priede nurodytus

aspektus. Atliekant

vertinimą rekomenduojama

naudotis ISACA Taikomųjų

programų audito programa.

Kiti klausimai gali būti nagrinėjami atsižvelgiant į audituojamo subjekto veiklos specifiką, audito tikslą ir auditui

numatytą atlikti laiką.

2. Planavimas

12

Ankstesnių valstybinių auditų rezultatų analizė

Įvertinti, ar pašalinti nustatyti pažeidimai, ištaisytos klaidos ir laiku įgyvendintos rekomendacijos ir kokia neištaisytų

pažeidimų įtaka atliekamam auditui

Vidaus auditorių ir kitų specialistų darbo panaudojimas

Įvertinti, ar galima pasinaudoti vidaus auditorių ar kitų specialistų atlikto darbo rezultatais

Reikšmingumo nustatymas

Nustatyti priimtiną reikšmingumo lygį

Rizikos įvertinimas IS bendrosios kontrolės testavimo

apimtys turi būti pagrįstos auditoriaus

atliktu IS bendrosios kontrolės silpnų

vietų ir rizikų vertinimu.

IS kūrimo kontrolės testavimo

apimtys turi būti pagrįstos

auditoriaus atliktu IS kūrimo

kontrolės silpnų vietų ir rizikų

vertinimu.

Taikomųjų programų kontrolės

testavimo apimtys turi būti

pagrįstos auditoriaus atliktu

taikomųjų programų kontrolės

silpnų vietų ir rizikų vertinimu.

Rizikos suvestinė (IS audito vadovo 9 priedo Audito plano 2 priedas).

Audito plano parengimas Tolesniam vertinimui rekomenduojama

pasirinkti PO1, PO4, PO5, PO6, PO9,

AI1, AI2, AI3 ir ME4 procesus. Įvertinus

audito atlikimui skirtą laiką ir turimus

išteklius, gali būti pasirenkami ir (arba)

kiti planavimo metu analizuoti COBIT

procesai pvz.: PO2, PO3, PO7, PO8,

PO10, DS1, DS2, DS3, DS6, DS7, DS8,

DS9, DS10, DS12, DS13, AI6 ir ME1.

Tolesniam vertinimui

rekomenduojama pasirinkti PO5,

PO10, AI1-AI7 ir DS1 procesus.

Įvertinus audito atlikimui skirtą

laiką ir turimus išteklius, gali būti

pasirenkami ir (arba) kiti

planavimo metu analizuoti COBIT

procesai pvz.: PO7, PO8, ME1,

ME2, ME4 ir AC6.

Tolesniam vertinimui

rekomenduojama pasirinkti AI1,

AI2, AI4, AI7 ir AC1-AC6

procesus. Įvertinus audito

atlikimui skirtą laiką ir turimus

išteklius, gali būti pasirenkami ir

(arba) kiti planavimo metu

analizuoti COBIT procesai pvz.:

AI6, DS5 ir kt.

Tolesniam vertinimui rekomenduojama pasirinkti ne daugiau kaip 10 planavimo metu analizuotų IT procesų.

Pasirinkti procesai įraukiami į rengiamą audito planą (9 priedas).

Jei IS audito metu planuojama įvertinti IS bendrąją, kūrimo ir taikomųjų programų kontrolę,

2 lentelėje nurodytus planavimo etapus reikia įvertinti pagal 7 priede pateiktas rekomendacijas. Kiti

klausimai papildomai gali būti nagrinėjami atsižvelgiant į audituojamo subjekto veiklos specifiką,

audito tikslą ir numatytą auditui atlikti laiką. Atliekant tokį IS auditą rekomenduojama naudotis

ISACA Taikomųjų programų ir IS kūrimo ir projektų valdymo audito programomis.

2. Planavimas

13

2.2.2. IS bendrosios kontrolės vertinimas finansinio audito metu

Finansinio audito planavimo etape susipažįstant su audituojamo subjekto vidaus kontrolės

aplinka ir procedūromis yra vertinama IS bendroji kontrolė, o atliekant kontrolės procedūrų

efektyvumo vertinimą – apskaitoje naudojamų taikomųjų programų kontrolė. Audituojamo

subjekto IS bendroji kontrolė vertinama tam, kad auditorius galėtų nustatyti ir įvertinti reikšmingo

iškraipymo riziką ir, atsižvelgdamas į ją, suplanuoti ir atlikti tolesnes audito procedūras. Apskaitoje

naudojamų taikomųjų programų kontrolė vertinama siekiant gauti audito patikimumą iš vidaus

kontrolės ir įsitikinti duomenų, naudojamų audito metu, patikimumu.

Norint tinkamai suplanuoti auditą, reikia įvertinti audituojamo subjekto IS sudėtingumą,

įgimtą riziką ir priimti sprendimą, ar reikia kreiptis pagalbos į IT specialistus ar IS auditorius,

atliekant tolesnį IS vertinimą (3 pav.). IS audito vadovo 1 priedas turėtų būti naudojamas siekiant

įvertinti, kokioje aplinkoje veikia IS, pavyzdžiui, ar audituojamas subjektas vykdo pagrindinių IS

pirkimus (kūrimą), ar buvo didelių problemų su IT operacijomis, ar audituojamas subjektas naudoja

sudėtingas IT programas, ar buvo kilę reikšmingų problemų su audituojamo subjekto IS.

3 pav. IS bendrosios kontrolės vertinimo planavimas

Susipažinti su IT aplinka ir nustatyti naudojamų

IS svarbą audituojamo subjekto veiklai

Surinkti pirminę informaciją ir įvertinti

auditui aktualių IS svarbą, jų sudėtingumą ir riziką

Auditorius įvertina informaciją apie IT ir auditui aktualias IS pagal 1 priedą.

Ar IS sudėtinga?

Auditorius įvertina audituojamo subjekto IS aplinką kaip sudėtingą, vidutinę ar paprastą (įvertinimo

paaiškinimas pateiktas 1 priede) ir susipažinęs su IT aplinka parengia klausimyną IS bendrajai kontrolei

vertinti.

Prireikus (jei IS aplinka sudėtinga) kreipiasi dėl konsultacijų į IT specialistus ar IS auditorius.

IS bendrosios kontrolės vertinimas (4 pav.)

Auditorius, susipažindamas su audituojamo subjekto vidaus kontrolės aplinka ir procedūromis,

turi įvertinti audituojamo subjekto IS bendrąją kontrolę ir atlikti 4 pav. numatytas procedūras.

2. Planavimas

14

4 pav. IS bendrosios kontrolės vertinimas finansinio audito metu

Atlikti IS bendrosios kontrolės įvertinimą

(peržiūrėti nustatytas procedūras ir įvertinti jų veikimą) Atlikti IS bendrosios kontrolės vertinimą pagal 2 priedą ir išnagrinėti šias sritis:

audituojamo subjekto taikomą saugos politiką; IT operacijas (procedūras) ir duomenų bylų kontrolę; IT organizavimą ir valdymą; programų kūrimą ir IS pokyčių valdymą; IS veiklos tęstinumą ir incidentų valdymą.

Įvertinti ar numatytos kontrolės priemonės veikia tinkamai.

Įvertinti IS bendrosios kontrolė būklę (labai gera/ gera/ tobulintina / silpna)

1. Jei IS bendrosios kontrolės būklė tobulintina ar silpna, auditorius turi įvertinti, ar taikomos kompensuojančios

kontrolės visoms aukštos rizikos IS sritims.

2. Fiksuoti pastebėjimus, pateikti vertinimus ir rekomendacijas dėl IS bendrosios kontrolės tobulinimo.

Ar bus naudojami IT priemonėmis gauti įrodymai?

Auditorius, rengdamas finansinio audito strategiją, turėtų apsvarstyti ir IT įtaką audito procedūroms, įskaitant

duomenų prieinamumą, patikimumą ir tikėtiną kompiuterinių audito metodų taikymą, ir nuspręsti, ar naudos IT

priemonėmis gautus įrodymus (IS duomenys, el. lentelės ir kt.).

Jei nusprendžiama naudoti IT įrodymus, auditorius turi įvertinti konkrečios IS taikomųjų programų kontrolę.

TAIP NE

Pastaba: Jei esant silpnai IS bendrajai kontrolei

nusprendžiama naudoti IT priemonėmis gautus

įrodymus, atliekant taikomųjų programų

kontrolės vertinimą turi būti padidintas kontrolės

testų kiekis.

1. Finansinio audito strategijoje nurodyti, kad nebus

naudojami IS duomenys (įrodymai gauti IT

priemonėmis).

2. Siekiant įsitikinti duomenų patikimu turi būti

perskaičiuoti visi el. priemonėmis gauti duomenys

(pvz., xls formato žiniaraščiai).

Taikomųjų programų kontrolės

vertinimas (6 pav.)

Pabaiga

Atlikdamas IS bendrosios kontrolės vertinimą, auditorius turi įvertinti, jo nuomone,

reikšmingą informaciją, susijusią su IS panaudojimu. Vertinant rekomenduojama naudotis 2 priede

pateiktu klausimynu. Priede pateiktas klausimynas padeda įvertinti IS bendrąją kontrolę ir surinkti

apibendrinančią informaciją apie audituojamuose subjektuose veikiančias IS.

Auditoriai rinkdami audito įrodymus gali naudoti įprastines audito procedūras ir

kompiuterizuotas audito priemones arba abiejų šių metodų derinius. Kai kurių apskaitos sistemų

veiklos procesus automatizuoja specializuota taikomoji programinė įranga, todėl be kompiuterizuotų

audito įrankių auditoriui gali būti sudėtinga (arba net neįmanoma) patikrinti, įvertinti ir patvirtinti

duomenų tikrumą. Kompiuterizuotos audito priemonės taip pat gali padėti išsamiau patikrinti

elektroninių operacijų ir sąskaitų įrašus, kad būtų įgyvendintas tinkamas atsakas į įvertintą reikšmingo

iškraipymo dėl apgaulės riziką (daugiau 4 skyriuje).

Auditorius įvertina audituojamo subjekto IS bendrosios kontrolės būklę kaip labai gerą,

gerą, tobulintiną ar silpną (įvertinimo paaiškinimas pateiktas 2 priede). Atlikus IS bendrosios

kontrolės vertinimą, jo rezultatai (darbo dokumento el. kopija) pateikiami IS auditus atliekančiam

Valstybės kontrolės struktūriniam padaliniui.

Auditorius, atlikęs IS bendrosios kontrolės ir taikomųjų programų kontrolės vertinimą, jo

rezultatus panaudoja vertinant visos audituojamo subjekto vidaus kontrolės sistemos būklę.

2. Planavimas

15

2.3. IS veiklos audito planavimas

IS vertinimas 3E požiūriu yra veiklos audito sritis, todėl tokio audito planavimas atliekamas

vadovaujantis Veiklos audito vadovu. Žemiau pateikiami IS veiklos auditų tikslai (5 pav.) ir vertinimo

aspektai, į kuriuos auditorius papildomai turėtų atkreipti dėmesį.

5 pav. IS veiklos audito lygiai

IT POVEIKIS

VISUOMENEIIT VALDYMAS IS KŪRIMAS

IS kūrimas (IS veiklos auditas skirtinguose IS kūrimo etapuose) – vertinamas IS įsigijimas

ir kūrimas efektyvumo ir ekonomiškumo požiūriu. Analizuojamas IS kūrimas, eksploatacija,

valdymas ir IS atnaujinimai, taip pat gali būti analizuojami klausimai, susiję su IS kokybe ir sauga.

IT valdymas – vertinami priimti IT naudojimo sprendimai ir parengti planai, pirminės

informacijos, kuri reikalinga sprendimams priimti, kokybė, teisės aktų laikymasis ir kontrolės

veiksmingumas naudojant IS.

IT poveikis visuomenei – vertinami teikiamų paslaugų apimties, kokybės, vientisumo ir

privatumo aspektai.

3E kriterijai IS audito požiūriu

Ekonomiškumas (taupumas) suprantamas kaip mokėjimas mažiau už tos pačios kokybės

išteklių naudojimą arba nenaudojimas nebūtinų brangių išteklių.

IT srities neekonomiškumo požymiai:

• Įsigyjama brangių kompiuterių, kai užduotims atlikti gali būti naudojami paprastesni.

• Perkamos išorės IT paslaugos, kai užduotį atlikti galima naudojant turimus išteklius.

• Kuriama individuali IS, kai galima nusipirkti standartinę programinę įrangą.

Efektyvumas – turint tuos pačius išteklius pasiekiami geresnės kokybės rezultatai. Jis siejamas

su procesais. Neefektyvus procesas naudoja daug išteklių, kad pasiektų tam tikros kokybės rezultatą.

IT srities neefektyvumo požymiai:

• Atliekami niekam nereikalingi patikrinimai.

• Dubliuojama informacija skirtingose sistemose.

• Neefektyviai panaudojama kompiuterio atmintis ar procesoriaus laikas.

Rezultatyvumas suprantamas kaip išmintingas išteklių ir efektyvių procesų naudojimas,

siekiant gauti nustatytos kokybės rezultatus.

2. Planavimas

16

IT srities nerezultatyvumo požymiai:

• Neaiškiai parengtos strategijos, programos ar planai (pvz., neadekvatus poreikių įvertinimas, neaiškūs

ir nenuoseklūs tikslai, sunkiai įgyvendinami uždaviniai ar nustatytos netinkamos priemonės).

• Veiklos procesų neaptarnaujančios IS.

• IS, naudojančios didesnius išteklius negu jų teikiami rezultatai.

• Nepatikimos IS.

Pagrindiniai nesėkmingais veikiančios IS požymiai: naudotojų nepasitenkinimas IS, sistemų

nepatikimumas, bloga integracija su kitomis IS, išaugusios IS kūrimo ir eksploatacijos išlaidos, ilgai

užtrunkantis naujų IS įdiegimas, nebevykdomi (nebaigti) projektai, įsigytų IS brangumas ir ginčai

su IT paslaugų teikėjais.

3. Pagrindinis tyrimas

17


Pagrindinio tyrimo tikslas – surinkti pakankamus ir tinkamus audito įrodymus, kuriais

remdamasis auditorius galėtų atsakyti į audito klausimus ir pagrįsti audito ataskaitoje pateiktas

išvadas ir rekomendacijas.

Pagrindinis tyrimas pradedamas patvirtinus audito planą (IS veiklos auditų atveju) ir

išankstinio tyrimo ataskaitą ir informavus audituojamą subjektą apie pagrindinio tyrimo metu

planuojamus atlikti veiksmus, audito apimtį ir pan.

3.1. IS vidaus kontrolės vertinimas

Vertinant IS vidaus kontrolę nagrinėjamos planavimo metu pasirinktos sritys, atliekamos

audito procedūros, susijusios su duomenų rinkimu ir vertinimu. Vertindamas IS valdymą auditorius

turi atsižvelgti į rekomenduojamą IT valdymo gerąją praktiką, į tai, kokius IT valdymo, projektų

valdymo, saugos užtikrinimo ir kt. metodus taiko audituojamas subjektas, ir pagal metodikų

kriterijus vertinti audito metu nustatytus faktus.

3.1.1. IS bendrosios kontrolės vertinimas

IS bendrosios kontrolės audito metu auditorius turi įvertinti pasirinktus IT procesus pagal

nustatytus vertinimo kriterijus ir nustatyti, ar informacinių sistemų valdymas atitinka teisės aktus.

Vertinant IS valdymą rekomenduojama naudoti COBIT IT kokybės užtikrinimo vadove nurodytus

pavyzdinius testavimo metodus ir / arba kitą audituojamo subjekto pasirinktą metodiką ar

reikalavimus (pvz., projektų valdymui PMBOK, PRINCE2).

Atliekant IS valdymo vertinimą būtina įvertinti ir tai, kaip audituojamame subjekte veikia IS

ir įgyvendinamos informacijos saugos strategijos, politikos (nuostatai), tvarkos, taisyklės, projektų

specifikacijos, naudotojų instrukcijos, ar audituojamas subjektas vadovaujasi minėtais dokumentais.

Įvertinus konkretų IT procesą, pateikiamas bendras vertinimas dėl audituojamo subjekto

pasirinktų kontrolės priemonių pakankamumo, jų taikymo efektyvumo, išskiriant neatitiktį teisės

aktų reikalavimams. Jei audito metu nustatoma geroji IT valdymo praktika, kuri galėtų būti

pritaikyta kitame viešojo sektoriaus subjekte, tai pažymima pateikiant nagrinėtos srities vertinimą.

Pateikiant apibendrintus vertinimus, turi būti įvertintas nustatytų faktų / trūkumų reikšmingumas,

mastas, priežastys ir poveikis.

IS bendroji kontrolė gali būti įvertinta naudojantis Gebėjimų brandos modeliu (10 priedas).

IS gebėjimų branda gali būti nustatoma įvertinant visą IS bendrąją kontrolę (suteikiant vieną bendrą

balą) arba įvertinant IT procesų kontrolę (suteikiant balus kiekvienam procesui atskirai).

file:///C:/Users/SNOW/AppData/Local/Opera/Opera/temporary_downloads/7%20CMM-VK.doc


18

Inicijavimo stadija

Specifikavimo stadija

3.1.2. IS kūrimo kontrolės vertinimas

IS kūrimas vertinamas pagal teisės aktų reikalavimus IS kūrimui, ISACA Sistemų

projektavimo ir projektų valdymo audito programą1 ir / arba audituojamo subjekto pasirinktą

projekto valdymo metodiką – priklausomai nuo IS kūrimo etapo.

Teisės aktuose numatyta IS gyvavimo ciklo metodika apima stadijas, etapus, kontrolę ir

dokumentų rengimo tvarką visame IS plėtros procese. Atlikto darbo išsamumui ir kokybei patikrinti

kiekvieno etapo metu numatomi kontrolės taškai ir tikrinimo procedūros. Kontrolės taškai turi sutapti

su tais laiko momentais, kuriuose numatoma gauti konkrečius rezultatus, pavyzdžiui: projektinius

sprendimus, dokumentus ir pan.

Šios stadijos metu audituojamas subjektas turi parengti įtikinamą, įrodymais ir

faktais pagrįstą IS kūrimo pagrindimą. Inicijavimo dokumentai turėtų būti

kruopščiai įvertinti ir leisti auditoriui susidaryti nuomonę apie priimtą sprendimą, susijusį su IS kūrimo pagrįstumu. Šie

dokumentai turėtų įtikinti, kad projektas subjektui atneš realios naudos, pagrįstų būtinybę toliau tęsti arba nutraukti

inicijuotą projektą. Inicijavimo metu turėtų būti iš vadovybės gautas sutikimas pradėti projektą ir su ja aptartas projekto

valdymo modelis. Taip pat nusakytas IS kūrimo pagrindas, apibūdinta organizacinė struktūra ir kaupiamų duomenų

šaltiniai, numatyta IS funkcinė ir informacinė struktūra. Ši informacija turėtų atsispindėti rengiant IS nuostatų projektą ir

tvirtinant nuostatus. Inicijavimas gali būti susijęs su viso arba vieno iš projekto etapų įgyvendinimu, todėl iniciavimo

etapas gali pasikartoti IS gyvavimo cikle.

Šios stadijos metu turi būti nustatomi tikslai, kurių siekiama kuriant IS, pasiūlyta IS

koncepcija, t. y. samprata apie IS. Taip pat turi būti suformuluoti reikalavimai

būsimai IS, nustatyti jos kūrimo ribojimai (finansiniai, techniniai ir kt.) ir parengta IS specifikacija, aprašanti kūrimo

tikslus, projekto valdymą, IS keliamus reikalavimus, finansinius ir kitokius ribojimus. Analizuodami specifikavimo

stadiją, auditoriai turi įvertinti, ar į specifikacijos rengimo procesą buvo įtraukti galutiniai vartotojai, ar buvo peržiūrėti

visi reikiami dokumentai, identifikuoti visi duomenys ir duomenų apdorojimo procesai, kurie būtini būsimos IS funkcijų

apibrėžimui. Taip pat auditoriui svarbu įsitikinti, ar specifikavimo metu galutinių vartotojų reikalavimai buvo tinkamai

suprasti ir įtraukti į specifikaciją, siekiant vėlesniuose kūrimo etapuose išvengti naujų pokyčių ar reikalavimų, kurie

vėlintų visą kūrimo procesą arba turėtų įtakos IS veiksmingumui.

Turi būti detalizuota ir patikslinta IS specifikacija: konkretizuota joje pateikta IS

samprata, sudarytas IS koncepcinis modelis (jis turi atitikti subjekto poreikius) ir

išanalizuoti IS realizavimo variantai. Pasirinktas IS realizavimo variantas turi būti ekonomiškai, techniškai ir socialiai

pagrįstas. Remiantis IS reikalavimais turi būti suformuluoti reikalavimai ir parengtos specifikacijos IS komponentams.

Parengtą bendrą IS projektą (aprašą) turi patvirtinti audituojamo subjekto vadovybė. Jei kuriama nesudėtinga IS, jos

koncepcinio modelio galima nerengti, tačiau turi būti patikslinta IS specifikacija. Sudėtingos IS koncepcinis modelis ir

aprašas gali būti hierarchinis. Aukščiausiojo lygio IS koncepciniame modelyje ir specifikacijoje turi būti nagrinėjamos

kompiuterizuojamo objekto ir kuriamų posistemių sąveika. Kiekvienai posistemei turi būti rengiamas savas koncepcinis

modelis, specifikacija ir t. t.

Šios stadijos metu turi būti sukurti arba įsigyti reikalingi IS komponentai

(aparatinė, programinė įranga, taikomosios programos, duomenų bazės ir kt.),

kurie turi būti sujungti į visumą. Sukonstruota IS turi tenkinti specifikacijoje ir parengtame projekte suformuluotus

reikalavimus. Yra daug įvairių būdų, kuriais gali būti kuriami IS komponentai, pavyzdžiui: „krioklio“ (angl. waterfall),

prototipo metodas, skubus taikomųjų programų kūrimas (angl. Rapid application developmen (RAD)), CASE ir

objektinis programavimas ir t. t. Kiekviena metodika turi savo kūrimo etapus. Etapų eiliškumas ir reikalingumas

aprašomas konkretaus kūrimo atveju, tačiau nepriklausomai nuo pasirinktos kūrimo metodikos konstruojami IS

komponentai turi būti tinkamai išbandyti, atliktas jų integravimas ir bendras sukonstruotų IS bandymas. Auditorius pagal

taikytą kūrimo metodiką turi įvertinti parengtų IS komponentų dokumentų ir atliktų programavimo darbų tinkamumą, jų

bandymų rezultatus.

1 Systems Development and Project Management Audit/Assurance Program (Jan 2009), ISACA, 2009, USA.

Projekto rengimo stadija

Konstravimo stadija

http://www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/Audit-Programs/Documents/SysDevandProjMgmt_Prog_20Jan09_Research.doc


19

Šios stadijos metu sukonstruota IS turi būti įdiegta, parengta darbui, parengtos

darbo vietos ir išmokyti dirbti būsimi IS vartotojai. Taip pat turi būti atlikta

diegiamos IS bandomoji eksploatacija, pašalinti jos metu pastebėti trūkumai. Atsižvelgiant į bandomosios eksploatacijos

metu sukauptą patirtį diegiama IS turi būti patobulinta. Diegiant IS keliose vietose trūkumų šalinimas turi būti

kartojamas kiekvienoje vietoje. Diegimo stadijos metu sukurta IS turi būti pradėta eksploatuoti. Jei sukurta IS turi

pakeisti anksčiau veikusią IS, bandomosios eksploatacijos metu galima pradėti senos IS likvidavimo darbus. Perėjimas

nuo senos IS prie naujos arba tik naujos IS diegimas turi įvykti po to, kai naujai sukurta IS buvo sėkmingai išbandyta ir

audituojamas subjektas pasirašė jos priėmimo perdavimo aktą, o galutiniai vartotojai yra patenkinti naujai sukurtu

produktu. IS diegimo stadijos etapas turėtų baigtis audituojamam subjektui nustačius IS kūrimo projekto sėkmės lygį ir

įvertinus ar nauja IS pasiekė planuotus kūrimo tikslus, vartotojų lūkesčius ir techninius reikalavimus. Taip pat svarbu

nustatyti visas išmoktas pamokas, kurios gali būti naudojamos, siekiant pagerinti audituojamo subjekto IS kūrimo

procesą. Auditorius turėtų įvertinti, ar audituojamas subjektas atliko minėtus veiksmus ir ar jo atliktas IS kūrimo

projekto vertinimas atitinka faktinius kūrimo rezultatus.

Turi būti įgyvendinti IS specifikacijoje numatyti tikslai ir tenkinami specifikavimo

stadijos metu nustatyti vartotojų poreikiai. Šiame etape aptarnaujant IS, stebint jos

darbą saugumo, integralumo, veiklos tęstinumo, duomenų kopijų darymo ir kiti

trūkumai turi būti aptinkami ir šalinami. Eksploatuojama IS turi būti nuolat

tobulinama, pritaikant ją kintantiems vartotojų poreikiams. Peržiūrint IS

eksploatacijos metu sukauptą informaciją gali būti priimtas sprendimas tobulinti IS

specifikaciją. Modernizuojant sukurtą IS turi būti laikomasi IS gyvavimo ciklo reikalavimų nuo iniciavimo iki

naudojimo, administravimo, priežiūros ir modernizavimo stadijos.

Ji prasideda tada, kai nusprendžiama esamą IS pakeisti nauja arba jeigu yra

panaikinamos teisės aktuose nustatytos funkcijos, kurioms atlikti buvo įsteigta IS.

Šios stadijos metu turi būti pamažu nustojama eksploatuoti esama IS ir, jei nusprendžiama, pradedama naudoti naujoji.

Šiems darbams turi būti tinkamai pasiruošta – suplanuota esamos IS likvidavimo eiga ir eksploatacijos pabaiga. IS

likvidavimo priemonės rengiamos tada, kai norima pereiti nuo esamos prie naujos IS. Esama IS gali būti likviduojama

vykdant naujos IS bandomąją eksploataciją. Eksploatacijos pabaiga yra tada, kai pagal esamos IS likvidavimo planą

nustojama naudotis IS funkcijomis, ir IS likviduojama.

Projektuojant paprastesnes IS, projekto rengimo ir konstravimo stadijos gali būti sujungtos į

vieną – projekto rengimo stadiją.

Vertinant IS kūrimą rekomenduojama naudotis 11 priede pateiktu aprašymu, kuriame

nurodytos pavyzdinės, auditoriaus laisvai pasirenkamos kiekvienos stadijos tikrinimo užduotys ir

kontrolės taškai, ir pavyzdine ISACA Sistemų kūrimo ir projektų valdymo audito programa.

IS kūrimo kontrolės vertinimo rezultatai gali būti pateikti įvertinant procesų brandą pagal

ISACA Sistemų kūrimo ir projektų valdymo audito programos rekomendacijas.

Diegimo stadija

Likvidavimo stadija

Naudojimo,

administravimo,

priežiūros ir

modernizavimo stadija


20

Apdorojimo kontrolės

testavimas

Įvesties kontrolės

testavimas

3.1.3. Taikomųjų programų kontrolės vertinimas

Taikomųjų programų kontrolės priemonės yra unikalios kiekvienai taikomajai programai,

todėl IS audito vadove pateikiamos tik pagrindinės kontrolės testavimo užduotys. Auditorius,

vertindamas taikomųjų programų kontrolę, turėtų atlikti ne mažiau kaip 5 išsamius sistemos darbo

stebėjimus – nuo duomenų suvedimo iki rezultato gavimo. Nuspręsdamas, ar taikomųjų programų

kontrole galima pasikliauti, auditorius turėtų įsitikinti, kad kontrolė veikė efektyviai visą audituojamą

laikotarpį. Taikomųjų programų kontrolės vertinimo etapai:

Tikslas – įsitikinti, kad į taikomąją programą įvedami duomenys yra tikslūs,

autentiški, išsamūs, anksčiau nebuvo naudojami ir įvedami tiksliai be

dubliavimo tik tam įgaliojimus turinčių asmenų.

Duomenų įvesties kontrolė ypač svarbi, siekiant išvengti taikomųjų programų klaidų, sukčiavimo atvejų ir užtikrinant

taikomosios programos vientisumą. Duomenų įvesties kontrolė gali būti pripažinta netinkama, jei taikomojoje

programoje įdiegtas kontrolės priemones galima apeiti, o taikomosios programos duomenis pakeisti arba įvesti kitais

būdais. Būtina išnagrinėti šiuos duomenų įvesties kontrolės aspektus:

Įvesties autorizacija. Audituojamas subjektas turi nustatyti procedūras ir kontroliuoti, kad visi duomenys prieš juos

įvedant į taikomąją programą būtų įvesti ir patvirtinti tik tam įgaliojimus turinčių asmenų. Reikia įsitikinti, kad

atitinkami taikomosios programos prieigos lygiai buvo nustatyti ir jie buvo veiksmingi visą audituojamą laikotarpį.

Įvesties duomenų išsamumas. Auditorius turi įsitikinti, kad taikomosios programos įrašai išsamūs ir juose netrūksta

jokių esminių duomenų. Svarbu įsitikinti, kad išlaikomas visas taikomajai programai apdoroti išsiųstų įvesties

duomenų ir kompiuterinių operacijų įrašų žurnalas (angl. log), kuris turėtų būti peržiūrėtas ir patvirtintas veiksmus

atlikusių darbuotojų vadovo. Taip pat būtina patikrinti, ar taikomoji programa fiksuoja neišsamius įvesties duomenis ir

parengia jų įvesties ataskaitas.

Įvesties duomenų patvirtinimas (pripažinimas galiojančiu). Taikomosiose programose turi būti sukurtos kontrolės

priemonės, kurios patikrina, ar įvesties duomenys yra tikslūs ir galiojantys, pavyzdžiui: įvesties duomenų formato

patikrinimai, leistinų ribų, limitų, įvestų skaitmenų patikrinimas, duomenų suderinamumo patikrinimas ir kt.

Patvirtinimas taip pat gali būti atliekamas rankiniu būdu, pavyzdžiui: įvesties duomenis patikrina ne juos įvedęs asmuo

arba įvestus duomenis peržiūri vadovas. Įvesties duomenų patvirtinimas gali sumažinti taikomosios programos loginių

klaidų riziką, nes galima išvengti loginių klaidų, kurios atsiranda bandant apdoroti įvesties duomenis su reikšmėmis,

viršijančiomis iš anksto nustatytus apribojimus (pvz., tryliktas mėnuo, neigiamas skaičius ir pan.).

Dublikatų patikrinimais. Įvesties duomenų, kuriuos reikia apdoroti apskaitos ar kitoms taikomosiomis programomis,

nuolat daugėja. Nesiimant kontrolės priemonių, didėja rizika, kad bus įvesti pasikartojantys įrašai ir jie liks nepastebėti.

Siekiant sumažinti šią riziką taikomosiose programose turi būti sukurta galimybė nustatyti pasikartojančius įvesties

įrašus, pvz., lyginant naujus įvesties duomenis su anksčiau įvestais. Auditoriui, norinčiam patikrinti, ar taikomosiose

programose nėra pasikartojančių įrašų, rekomenduojama pasinaudoti CAAT programine įranga (detaliau žr. 4 skyrių).

Sutampantys įvesties duomenys. Reikia įsitikinti, ar taikomoji programa patikrina ir lygina įvesties įrašų duomenis su

duomenimis, esančiais kitame susijusiame įraše, pavyzdžiui, įvesti duomenys apie gautas prekes yra automatiškai

palyginami su tiekėjo sąskaita faktūra ir sistemoje esančiais užsakymo duomenimis. Nustačius neatitikimą, taikomoji

programa turėtų suformuoti duomenų neatitikties ataskaitą, o atsakingi asmenys imtis veiksmų, kad nustatytų

neatitikimų priežastis.

Taikomosios programos atmesta įvestis. Reikia įsitikinti, ar nustatytos procedūros, kaip elgtis su įvesties

duomenimis, kuriuos taikomoji programa atmetė (pvz., jie neatitiko taikomojoje programoje numatytų įvesties

reikalavimų). Taip pat reikia patikrinti, ar nustatytos procedūros, kurios užtikrina, kad visi atmesti įvesties duomenys

vėliau bus ištaisyti, pakartotinai pateikti ir priimti taikomojoje programoje. Auditorius turi patikrinti, kaip taikomojoje

programoje identifikuojami, koreguojami ir trinami neatpažinti įvesties duomenys.

Tikslas – įsitikinti, kad taikomojoje programoje bus išsamiai ir teisingai

apdorojami įvesties duomenys, o neteisingi duomenys nebus tvarkomi.

Duomenų apdorojimo kontrolė turėtų užtikrinti, kad naudojami tik teisėti duomenys ir programos bylos (failai), duomenų

apdorojimas yra tikslus ir užbaigtas, o tvarkomi duomenys bus įrašyti į tinkamas bylas (failus). Taikomoji programa turėtų

patikrinti duomenų, kuriuos ji apdoroja, vientisumą, pavyzdžiui, naudojant duomenis, gautus iš kontrolinių sumų.

Taikomoji programa taip pat turi turėti apdorojamų duomenų žurnalą (angl. log), kuriame turi būti pakankamai

informacijos aiškiai identifikuoti kiekvieno duomens apdorojimą. Auditoriui reikia įsitikinti, ar taikomojoje programoje

sukurtos kontrolės priemonės aptinka neišsamius arba netikslius apdorojamus įvesties duomenis, aptikusi apdorojimo

proceso klaidas, apie jas praneša atsakingiems asmenims. Taip pat turi būti numatytos procedūros, kurios leidžia nustatyti

ir peržiūrėti visas neaiškias operacijas, kurios įvyko per tam tikrą laiką, pavyzdžiui, per mėnesį, ketvirtį ar metus.


21

Tikslas – įsitikinti, kad taikomosios programos pateikiama išvestis yra

išsami, tiksli, teisinga ir laiku pateikta.

Siekiant apsaugoti duomenų išvedimo vientisumą turi būti įdiegtos fizinės ir loginės kontrolės, o išvedami duomenys ir

duomenų bylos turi būti apsaugoti nuo neteisėto pakeitimo. Siekiant nuslėpti neteisėtus procesus, gali būti keičiami

išvedami duomenys. Auditorius turėtų įvertinti, ar kontrolės priemonės užtikrina išvedamų arba persiunčiamų iš vieno

apdorojimo etapo į kitą duomenų tikslumą. Duomenų išvedimas iš vienos IS gali formuoti įvedimą kitoje IS, kol

galiausiai gaunamas išvesties rezultatas.

Tikslas – įsitikinti, kad taikomosios programos pagrindinių duomenų bylų

įrašai yra išsamūs, tikslūs, o pagrindinės duomenų bylos tinkamai

apsaugotos.

Fizinė ir loginė prieiga prie taikomosios programos pagrindinių duomenų bylų (angl. master data files) turi būti

ribojama ir kontroliuojama. Pakeitimus pagrindiniams duomenims gali atlikti tik įgalioti asmenys, o jų atliekami

veiksmai turi būti tinkamai kontroliuojami. Taikomosios programos pakeitimų procedūros turėtų būti tinkamai

dokumentuotos, valdomos įgaliotų vadovų ir vėliau peržiūrimos atsakingų asmenų. Pagrindinių duomenų bylų ir juose

esančių įrašų vientisumas turėtų būti patvirtinamas periodiškai juos suderinant su nepriklausomai saugomais įrašais,

pavyzdžiui duomenų bylų atsarginėmis kopijomis.

Vertinant taikomųjų programų kontrolę rekomenduojama naudotis 12 priede pateiktu

aprašymu, kuriame nurodytos pavyzdinės visų etapų kontrolės testavimo užduotys ir pavyzdinė

ISACA Taikomųjų programų audito programa. Testavimo užduotis auditorius gali keisti ir pasirinkti

atsižvelgdamas į audituojamo subjekto taikomųjų programų kontrolės aplinką, tačiau visi testavimo

užduočių pasirinkimai turi būti pagrįsti ir dokumentuoti.

Auditorius, atlikęs taikomosios programos duomenų įvesties, apdorojimo, išvesties ir

pagrindinių duomenų ir duomenų bylų kontrolės analizės ir testavimo procedūras, įvertina

taikomosios programinės įrangos patikimumą (12 priedas). Atkreiptinas dėmesys, kad taikomųjų

programų kontrolės būklė tiesiogiai susijusi su bendrosios kontrolės būkle. Taikomųjų programų

kontrolės būklė gali būti įvertinta pagal ISACA Taikomųjų programų audito programoje pateiktas

brandos įvertinimo gaires.

Taikomųjų programų kontrolės vertinimo rezultatai gali būti panaudoti planuojant IS veiklos

auditus (žr. 2.3 poskyrį).

Pagrindinių duomenų bylų

kontrolės testavimas

Išvesties kontrolės

testavimas


22

3.1.4. Taikomųjų programų kontrolės vertinimas finansinio audito metu

Atlikdamas audituojamo subjekto apskaitoje naudojamų taikomųjų programų kontrolės

vertinimą, auditorius turi nustatyti, ar kontrolės procedūros įdiegtos ir jos veikia įvedant duomenis į

konkrečią sistemą, juos apdorojant, išvedant ir apsaugant pagrindines duomenų bylas (pvz.:

klasifikatorių duomenis: PVM, nusidėvėjimo normatyvai). Taikomųjų programų kontrolės

dokumentų analizė, kontrolės testavimas ir įvertinimas atliekami taip, kaip nurodyta 6 pav.,

rekomenduojama naudotis 3 priede pateiktu klausimynu. (2014-11-27 Nr. V-206).

6 pav. Taikomųjų programų kontrolės vertinimas

Įvertinti taikomųjų programų kontrolės priemones

Įvertinti taikomųjų programų kontrolę pagal 3 priedą.

Pastaba: sudėtingų IS vertinimui gali būti pasitelkiami IS auditoriai.

Ar kontrolės procedūros efektyvios?

TAIP NE

Nekeisti kontrolės rizikos įvertinimo. Pakeisti (peržiūrėti) kontrolės rizikos įvertinimą

(negaunamas kontrolės patikimumas) ir reikiamų

pagrindinių audito procedūrų apimtis.

Atlikti suplanuotas pagrindines audito procedūras ir pateikti vertinimą.

aa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa aaaaaaaaaa

Pabaiga

Auditorius, vertindamas taikomųjų programų kontrolės efektyvumą, turėtų atlikti 1–2

išsamius automatizuotų kontrolės priemonių sistemos darbo stebėjimus (nuoseklios peržiūros testus)

– nuo duomenų suvedimo iki rezultato gavimo. Rankinių kontrolės priemonių apimtis nustatoma

pagal Finansinio ir teisėtumo audito vadovo 17 dalį „Audito atranka“.

Auditorius, atlikęs taikomųjų programų kontrolės vertinimą, nustato, kiek galima pasitikėti

taikomąja programine įranga. Jeigu numatytos pakankamos vidaus kontrolės procedūros ir jos veikia,

yra nuolat stebimos, tai vidaus kontrolė gali užtikrinti informacijos saugumą (konfidencialumą,

vientisumą ir prieinamumą). Jeigu vidaus kontrolės procedūros nepakankamos, bet yra riziką

mažinančių priemonių (kompensuojamoji kontrolė, pvz., dalies duomenų dubliavimas popieriuje),

el. duomenų patikimumas padidėja. Jeigu auditorius nustato, kad institucijoje nėra sukurta tinkama IS

bendroji kontrolė ir (ar) apskaitoje naudojamų taikomųjų programų kontrolė neužtikrina teisingo

duomenų suvedimo, apdorojimo, saugojimo ir gavimo, auditorius apie tai informuoja audituojamą

subjektą. Atlikto taikomųjų programų kontrolės vertinimo rezultatai (darbo dokumento el. kopija)

pateikiami IS auditus atliekančiam Valstybės kontrolės struktūriniam padaliniui.

file:///C:/Users/SNOW/AppData/Local/Opera/Opera/temporary_downloads/3%20Taikomosios%20programines%20irangos%20kontroles%20klausimynas.dochttp://www.vkontrole.lt:81/isakymas.aspx?id=34c75d4e-9ff1-400c-892f-446039b4057f


23

3.2. IS veiklos auditai

IS veiklos auditai atliekami pagal Veiklos audito vadove numatytas procedūras,

rekomenduojama atsižvelgti į INTOSAI IT audito komiteto parengtą mokymo „Value for Money

Audit“ medžiagą IT auditoriams.

4. Duomenų rinkimas ir vertinimas

24


Audito metu IS auditorius turi gauti pakankamų ir tinkamų įrodymų, būtinų audito tikslams

pasiekti. Audito išvados turi būti pagrįstos audito įrodymais. Duomenys renkami ir vertinami

skirtinguose audito proceso etapuose – planuojant auditą, atliekant pagrindinį tyrimą ir stebėjimą po

audito. Visuose etapuose auditoriai gali taikyti skirtingus duomenų rinkimo ir vertinimo metodus

(Veiklos audito vadovo 4 priedas).

ISACA 2205 gairė IS auditoriui rekomenduoja, kaip gauti tinkamus ir pakankamus audito

įrodymus ir parengti pagrįstas išvadas, kuriomis remtųsi audito rezultatai. Nustatydamas audito

imties dydį ir struktūrą, IS auditorius turėtų atsižvelgti į konkrečius audito tikslus, duomenų aibės

savybes ir imties bei atrankos metodus. Vykdant kontrolės priemonių atitikties testavimą paprastai

naudojama atranka pagal požymius, kai atrankos vienetas yra operacija arba įvykis (pvz., tokia

kontrolės priemonė kaip leidimas, nurodomas ant sąskaitos faktūros). Detaliojo testavimo atveju

dažnai naudojamas statistinis piniginio vieneto atrankos metodas. Norint palengvinti efektyvų ir

rezultatyvų atrankos planavimą, galima pasinaudoti stratifikacija 22. Nustatydamas atrankos dydį, IS

auditorius turėtų atsižvelgti į jos riziką, priimtiną klaidų lygį ir tikėtiną jų pasitaikymo lygį (detaliau

apie pavyzdžių atranką ir dokumentavimą ISACA 2208 IS audito gairėje). (2014-11-27 Nr. V-206).

Kompiuterizuotos audito priemonės (CAAT)

Sąvoka CAAT vartojama įvairiausioms programuotoms procedūroms ir paketams, kuriuos

auditoriai gali naudoti, norėdami atlikti kontrolės testus arba surūšiuoti, palyginti ar paimti

duomenis išsamiam testavimui. Naudojant CAAT galima efektyviai patikrinti kontrolės procedūras

ir atlikti detaliuosius testus ten, kur nėra įvesties dokumentų ar aiškios audito sekos, arba kai

populiacijos ir imties dydžiai yra labai dideli.

Taikant CAAT, labai svarbu užtikrinti, kad auditoriaus naudojami duomenys būtų faktiškai

išsamūs ir teisingi. CAAT panaudojimas turi būti suplanuotas ir naudojamas tik tada, kai suteikia

papildomos naudos, ar kai rankinės procedūros yra neįmanomos ar mažiau efektyvios. CAAT gali

būti taikomos šiose srityse:

patikrinti (angl. validate) programas / sistemas. Vertinamas programinių kontrolių

funkcionalumas, atliekant programinio kodo peržiūrą, pavyzdžiui, atliekant išsamų programų

išeities kodo tyrimą, siekiant nustatyti klaidingą, savavališką (angl. unauthorised), neveiksmingą,

neefektyvų ar nestandartinį programos kodą, programos kodo palyginimą, lygiagretų modeliavimą,

sekimą (angl. tracing) ir momentines nuotraukas (angl. snapshot);

analizuoti duomenų bylas (angl. file). Naudojama duomenų bylų užklausų programinė

įranga (angl. File Interrogation Software), bendroji audito programinė įranga (pvz. ACL ir IDEA)

2 Stratifikacija – aibės suskirstymas į panašiomis savybėmis pasižyminčius poaibius, kai tos savybės apibrėžiamos labai tiksliai, kad

kiekvienas atrankos vienetas galėtų priklausyti tik vienam poaibiui.

http://www.vkontrole.lt:81/isakymas.aspx?id=34c75d4e-9ff1-400c-892f-446039b4057f


25

ir integruoti audito moduliai (angl. Embedded Audit Module).

Valstybės kontrolėje yra galimybė naudoti IDEA ir MS Excel audito priemones3. IDEA

įgalina duomenis analizuoti įvairiais pjūviais, leidžia lengvai iš didelės visumos išskirti dominančius

įrašus, daryti atranką ir grupuoti, siekiant nustatyti klaidas, problemas, specifinius klausimus ir

tendencijas. IDEA tiesiogiai nepadeda tikrinant procedūras, tačiau, jei auditorius, su IDEA atlikęs tam

tikrus tikrinimus, nustato, jog klaidų nėra, galima daryti išvadą, kad procedūros veikia tinkamai.

Taikant CAAT turi būti taikomos įprastos audito įrodymų gavimo taisyklės.

3 Detaliau apie Valstybės kontrolėje naudojamas kompiuterizuotas audito priemones intraneto srityje Darbo įrankiai–

Kompiuterizuotos audito priemonės.

5. Darbo dokumentavimas

26

5. Darbo dokumentavimas

IS audito darbo dokumentai rengiami pagal valstybės kontrolieriaus patvirtintus reikalavimus

veiklos audito darbo dokumentams. Jie turi būti parengti prieš audito ataskaitos projekto rengimą.

Surinkti audito įrodymai turi būti tinkamai dokumentuoti ir pateikti taip, kad jais būtų galima

pagrįsti IS audito išvadas. Auditorius turi dokumentuoti audito planą, kuriame pateikiama išsami

informacija apie audito tikslus, laiką, apimtį ir reikalingus išteklius. Audito procesą būtina pagrįsti

dokumentais, aprašant atliktą audito darbą ir audito įrodymus, pagrindžiančius auditoriaus išvadas.

IS audito darbo dokumentai yra oficialūs dokumentai, kuriuose registruojamas atliekamas audito

darbas ir surinkti įrodymai. Audito darbo dokumentai turi būti išsamūs, aiškūs, struktūrizuoti, su

rodykle, o peržiūrą atliekančiam asmeniui turi būti lengva jais naudotis ir suprasti. Būtina dokumentuoti:

ankstesnės audito dokumentacijos peržiūrą;

audito apimties ir tikslų planavimą ir rengimą;

vadovybės peržiūros posėdžių ir kitų su auditu susijusių posėdžių protokolus;

audito planą ir audito procedūras, atitinkančias audito tikslus;

vykdytus audito etapus ir surinktus audito įrodymus, vertinant kontrolės priemonių

stipriąsias ir silpnąsias puses;

audito rezultatus, išvadas ir rekomendacijas;

bet kokius apibendrinančius atlikto audito darbo dokumentus;

peržiūrą.

Darbo dokumentai įforminami pagal valstybės kontrolieriaus įsakymu patvirtintas Valstybės

kontrolės dokumentų rengimo taisykles. Darbo dokumentai tvarkomi ir saugomi pagal valstybės

kontrolieriaus įsakymu patvirtintas Valstybės kontrolės dokumentų tvarkymo ir apskaitos taisykles.

6. Audito ataskaita

27

6. Audito ataskaita

Išnagrinėjus visas pasirinktas sritis ir parengus audito darbo dokumentus, turi būti parengtas

IS audito ataskaitos projektas. Nustačius IS valdymo veiklos trūkumų, teikiamos rekomendacijos /

siūlymai dėl veiklos tobulinimo, siūloma ištaisyti pastebėtas kontrolės sistemos spragas.

IS auditų ataskaitos rengiamos ir įforminamos pagal valstybės kontrolieriaus patvirtintus

reikalavimus veiklos audito ataskaitoms. IS vidaus kontrolės vertinimo ataskaitose papildomai gali

būti pateikiama dalis „IS vidaus kontrolės branda“. IS vidaus kontrolės vertinimo ataskaitos turinys

pateikiamas pagal vertintus IT procesus. Audito ataskaitoje turi būti nurodyta atlikto audito tikslai,

pobūdis, audituojamas laikotarpis, apimtis ir atliktas audito darbas. Ataskaitoje turi būti pateikti

pastebėjimai, išvados ir rekomendacijos, taip pat bet kokie apribojimai, kvalifikacijos arba apimties

apribojimas, kuriuos turi auditorius audito atžvilgiu.

ISACA audito gairės rekomenduoja teikiant IS audito rezultatus informuoti apie imties

apribojimus tais atvejais, kai auditorius negali gauti pakankamų audito įrodymų. IS ataskaitoje

nurodomos neefektyvios kontrolės priemonės, jų nebuvimas ar nepakankamumo reikšmingumas ir

tai, ar jos gali turėti įtakos reikšmingiems ar esminiams trūkumams. Nustatydamas, kuriuos

rezultatus, išvadas ir rekomendacijas įtraukti į ataskaitą, IS auditorius turėtų atsižvelgti tiek į bet

kokių aptiktų klaidų reikšmingumą, tiek į galimą reikšmingumą tų klaidų, kokios galėtų atsirasti dėl

silpnų kontrolės priemonių. Tai turėtų būti laikoma reikšmingu dalyku ir todėl įtraukta į ataskaitą,

jeigu dėl kontrolės nebuvimo neįmanoma pagrįstai tvirtinti, kad bus pasiekti kontrolės tikslai.

Atsižvelgdamas į IS audito tikslus, auditorius turėtų svarstyti poreikį pranešti audituojamo

subjekto vadovybei ir apie tuos nustatytus vidaus kontrolės trūkumus, kurie nėra reikšmingi, ypač,

jeigu kontrolės priemonių sustiprinimo kaina yra maža.

7. Audito kokybės užtikrinimas

28

7. Audito kokybės užtikrinimas

IS auditų kokybės užtikrinimas atliekamas vadovaujantis valstybės kontrolieriaus

patvirtintomis Valstybinių auditų organizavimo, kokybės užtikrinimo ir kontrolės taisyklėmis. Tais

atvejais, kai IS auditoriai pasitelkiami atlikti audito procedūras veiklos ar finansinių auditų metu,

taikomos papildomos procedūros, numatytos Valstybės kontrolės Informacinių sistemų ir

infrastruktūros audito departamento dalyvavimo kitų audito departamentų atliekamuose audituose

tvarkos apraše.

Išorės ekspertų darbo įvertinimas

Jei atliekant IS auditą buvo pasitelkti ekspertai ar kiti auditoriai, atlikdamas jų darbo

dokumentų peržiūrą auditorius turi atlikti pakankamą audito darbą, kad galėtų patvirtinti, jog kito

eksperto darbas buvo tinkamai suplanuotas, prižiūrimas, dokumentuotas ir peržiūrėtas, ir

apsvarstyti, ar jų darbe teikiami audito įrodymai yra tinkami. Auditorius taip pat turi nuspręsti,

kokia apimtimi galima naudotis ir remtis eksperto darbu. Taip pat turėtų būti įvertinta atitiktis

taikytiniems profesiniams standartams.

Auditorius turi peržiūrėti kito eksperto parengtą galutinę atskaitą (-as), kad galėtų patvirtinti,

jog ji atitinka audito užduotyje nurodytą audito apimtį. Be to, turėtų įvertinti kitų ekspertų parengtų

ataskaitų naudingumą, tinkamumą ir atsižvelgti į svarbias kitų auditorių arba ekspertų išvadas.

Auditorius privalo įvertinti kito eksperto nustatytų įrodymų ir išvadų svarbą bendrajam

audito tikslui ir patikrinti, ar atliktas visas, pagrindiniam audito tikslui įgyvendinti reikalingas,

papildomas darbas.

8. Stebėjimas po audito

29

8. Stebėjimas po audito

Baigus IS vidaus kontrolės vertinimo ar IS veiklos auditą, rekomendacijų įgyvendinimo

stebėsena vykdoma vadovaujantis valstybės kontrolieriaus įsakymu patvirtintu Valstybinio audito

rekomendacijų pateikimo ir įgyvendinimo stebėsenos tvarkos aprašu. Už IS audito rekomendacijų

įgyvendinimo stebėseną ir atsiskaitymą už jų įgyvendinimo rezultatus atsakingas audito grupės

vadovas ar kitas audito departamento vadovo paskirtas auditorius.

Priedai

30

Priedai Informacinių sistemų audito vadovo

1 priedas

(2014-11-27 Nr. V-206).

Auditui aktualių IS sudėtingumo vertinimas

Įvadas

Šiuo sudėtingumo vertinimo klausimynu siekiama padėti finansiniam auditoriui įvertinti subjekto informacinėms sistemoms būdingą sudėtingumo lygį ir apsispręsti, ar reikalinga IS

audito ar IT specialistų pagalba planuojant ir vykdant audito procedūras.

Klausimyną sudaro standartiniai klausimai, kurių kiekvienas turi standartinių atsakymų rinkinį.

Finansinis auditorius šį klausimyną turėtų pildyti diskutuodamas su audituojamo subjekto IT vadovais ir kiekvienam klausimui pasirinkti subjekto aplinkybes labiausiai atitinkantį

atsakymą.

Kiekvienas atsakymas vertinamas taškais. Kuo aukštesnis sudėtingumo lygis, tuo daugiau taškų. Užpildžius klausimyną, apskaičiuojama bendra taškų suma. Finansinis auditorius,

norėdamas nustatyti sudėtingumo lygį, turi patikrinti, kurias Įvertinimo lape pateiktas sudėtingumo ribas atitinka gauta bendra taškų suma.

Auditorius, įvertinęs subjekto IS sudėtingumą ir nustatęs, kad ji yra PAPRASTA arba VIDUTINĖ, sistemos vertinimą (pradedant dokumentų analize, įvertinimu ir baigiant IS

testavimu) turėtų atlikti savarankiškai, vadovaudamasis IS audito vadovu.

Jeigu įvertinus IS sudėtingumą nustatoma, kad ji yra SUDĖTINGA, šiuo atveju turėtų būti pasitelkti IS auditoriai ar IT specialistai.

Pažymėtina, kad taškų sistema ir sudėtingumo ribos yra tik santykinis rodiklis, kuriuo vertinamas subjekto IS sudėtingumas. Finansiniai auditoriai ir toliau turėtų vadovautis

profesine nuovoka planuodami audito procedūras ir IS auditorių ar IT specialistų dalyvavimą, ypač tais atvejais, kai IS įvertinimas svyruoja tarp VIDUTINĖS ir SUDĖTINGOS. Tai

nereiškia, kad IS neturėtų būti vertinama; finansiniai auditoriai gali apsispręsti, ar IS auditoriaus ar IT specialisto dalyvavimas yra būtinas IS vertinimo užbaigimui ir išsamesniam

finansinių operacijų testavimui.

IS analizės metu gali išaiškėti, kad audituojamo subjekto apskaitos informacijos apdorojimą ir priežiūrą atlieka išorinė trečioji šalis. Tokiais atvejais audito procedūros turėtų būti

atliekamos pagal 402-ojo TAS nuostatas.

Formos struktūra (pildoma XLS). Formą sudaro įvertinimo lapas, kuriame pateikiami sudėtingumo lygiai, susieti su vertinimo bendro taškų skaičiaus ribomis, ir klausimai.

Kiekvienas klausimas, jeigu įmanoma, pateikiamas su komentarais ir paaiškinimais.

SVARBU Klausimynas neskirtas pateikti audituojamam subjektui.

Klausimyną pildo pats auditorius, kalbėdamas su atitinkamais audituojamo subjekto darbuotojais, stebėdamas aplinką ir analizuodamas surinktus įrodymus.

http://www.vkontrole.lt:81/isakymas.aspx?id=34c75d4e-9ff1-400c-892f-446039b4057f

Priedai

31

KLAUSIMAS ĮVERTINIMAS 1 Kokia audito apimtis?

Pasirinkite visus tinkamus atsakymus.

Finansinis ir teisėtumo auditas [5 taškai]

Teisėtumo auditas [0 taškų]

Reikalavimas pateikti komentarus specifiniais IT klausimais [20 taškų]

2 Ar audituojamas subjektas dalyvauja šių sričių veikloje?

Pasirinkite visus tinkamus variantus, net jeigu tik viena sritis yra pagrindinė subjekto veiklos sritis.

Mokesčių pajamų surinkimas, soc. draudimo įmokų surinkimas ir išmokos, sveikatos draudimo įmokų surinkimas ir išmokos [30 taškų]

Pajamų už teikiamas paslaugas surinkimas

(kai tai sudaro reikšmingą dalį nuo visų pajamų) [5 taškai]

Biudžeto programų vykdymas [5 taškai]

3 Kokios kitos subjekto sistemos šalia pagrindinių apskaitos žurnalų (didžiosios knygos) yra kompiuterizuotos?

Pasirinkite vieną variantą.

Kitos IS paprastai apima atsargų apskaitos, personalo, darbo užmokesčio ir kitų apskaitos sričių ar atskaitomybės sistemas.

Visos arba dauguma veiklos sistemų [10 taškų]

Kai kurios kitos apskaitos sistemos [5 taškai]

Jokių kitų sistemų [0 taškų]

4 Ar audituojamas subjektas naudojasi tiesioginiais kompiuterizuotais ryšiais su trečiosiomis šalimis?

Pasirinkite „Taip“ arba „Ne“. Jeigu tokie ryšiai yra esminė subjekto veiklos sąlyga ir pagrindinis jos vykdymo elementas, pasirinkite „Taip“.

Čia patenka keitimasis el. duomenimis (išskyrus el. paštą) - el. iš anksto suformuotų finansinių operacijų ar duomenų, tokių kaip pavedimai ar prekių užsakymai, perdavimas.

Taip [30 taškų]

Ne [0 taškų]

5 Ar audituojamas subjektas turi įsidiegęs bet kokias kliento serverio aplikacijas savo pagrindinėse darbo vietose?

Pasirinkite „Taip“ arba „Ne“. Kliento serverio aplikacija – tai programinė įranga, leidžianti vykdyti didelės apimties duomenų apdorojimą keliose geografiškai skirtingose

vietose. Kliento serverio technologijos pavyzdžiai: SAP, Oracle Financials, PeopleSoft.

Taip [20 taškų]

Ne [0 taškų]

6 Kiek audituojamas subjektas turi IT specialistų?

Pasirinkite vieną atsakymą. Į šį skaičių įeina audituojamo subjekto darbuotojai, trečiųjų šalių (pvz., IT paslaugų tiekėjų) specialistai ir pagal sutartis samdomi IT specialistai.

Keturi ir mažiau [0 taškų]

Nuo 5 iki 50 [5 taškai]

Nuo 51 iki 99 [15 taškų]

Šimtas ir daugiau [40 taškų]

IT priežiūrą vykdo trečioji šalis pagal sutartį [10 taškų]

Priedai

32

7 Kiek vartotojų turi prieigą prie auditui aktualios informacinės sistemos?

Pasirinkite vieną atsakymą. Į šį skaičių nepatenka IT personalas, kuris pateko į 6-ojo klausimo atsakymą.

Mažiau negu penkiasdešimt [0 taškų]

Nuo 50 iki 100 [5 taškai]



Daugiau negu 1000 [40 taškų]

8 Įvertinkite vidutinę daugumos galutinių vartotojų (pvz., darbuotojų) patirtį?

Pasirinkite vieną atsakymą.

Iki šešių mėnesių [20 taškų]

Nuo 6 mėnesių iki 1 metų [10 taškų]

Nuo 1 iki 2 metų [5 taškai]

Daugiau negu 2 metai [0 taškų]

9 Kuris iš šių variantų geriausiai apibūdina subjekto IS ryšius ir techninės įrangos aplinką?

Pasirinkite vieną atsakymą. Jei tinka keli variantai, pasirinkite tą, kuris geriausiai apibūdina subjekto IT aplinką.

Tarnybinių stočių (serverių) ir personalinių kompiuterių tinklas (duomenų srautai vidaus, į(iš) išorę(ės)) [20 taškų]

Tarnybinių stočių (serverių) ir personalinių kompiuterių tinklas (duomenų srautai vidaus, tik į išorę) [15 taškų]

Tarnybinių stočių (serverių) ir personalinių kompiuterių tinklas (tik vidaus duomenų srautai) [10 taškų]

Personaliniai kompiuteriai, kurių kiekvienas skirtas daugiau nei vienam vartotojui, arba personalinių kompiuterių tinklas be tarnybinės stoties

(serverio) [5 taškai]

Nesujungti į tinklą personaliniai kompiuteriai, kurių kiekvienas skirtas tik vienam vartotojui [0 taškų]

10 Kokiu mastu subjektas naudojasi internetu?

Pasirinkite vieną atsakymą. Didelė įtaka reikštų situaciją, kai nuo interneto priklauso subjekto veiklos pagrindinės sritys (teikiamos paslaugos), o ne smulki pagalbinė

(papildoma) veikla. Auditorius turės atlikti išsamų šios srities vertinimą ir nustatyti tikėtiną tokios veiklos įtaką finansinei atskaitomybei.

Turi didelę įtaką pagrindinėms subjekto veiklos sritims [40 taškų]

Turi įtakos kai kurioms subjekto veiklos sritims [10 taškų]

Neturi įtakos subjekto veiklai [0 taškų]

11 Kiek subjektas naudoja telekomunikacijų sąsajas?

Pasirinkite vieną atsakymą. Atsakant į klausimą turėtų būti atsižvelgiama į tai, kokia apimtimi subjektas yra susijęs su skirtingais interneto adresais tiesioginio

(pastovaus)/momentinio (per modemą) ryšio priemonėmis, ir į tai, kokia apimtimi šios ryšio priemonės naudojamos tiekėjų ir vartotojų prisijungimams prie subjekto IS.

Plačiai naudojama daugelyje vietų [20 taškų]

Šiek tiek naudojama keliose vietose [10 taškų]

Mažai naudojama arba visai nėra (tik vidaus tinklo naudojimas) [0 taškų]

Priedai

33

12 Kiek audituojamas subjektas turi programinė įrangos, sukurtos pagal užsakymą (nestandartinių programinės įrangos paketų pirkimas)?


Programinės įrangos kūrimas pagal užsakymą reiškia, kad ją kūrė specialiai subjektui jo paties IT specialistai arba pagal sutartis trečiosios šalys. Nepaisant to, reiktų būti

atidiems vertinant išteklių planavimo sprendimus (angl. Enterprise Resource Planing, ERP), tokius kaip SAP ar ORACLE. Nepaisant to, kad tai standartiniai programinės

įrangos paketai, norint juos pritaikyti konkretaus subjekto veiklai, reikia atlikti daug specifinių ir daug žinių reikalaujančių pritaikymo, modifikavimo darbų, todėl atsakant į šį

klausimą tokie darbai turėtų būti laikomi kūriniais pagal užsakymą.

Auditorius taip pat turėtų įvertinti programinės įrangos modifikavimo apimtis, nes smulkūs pakeitimai ne visada daro didelę įtaką.

Svarbiausios sistemos iš esmės buvo modifikuotos (pakeistos pagrindinės funkcijos) [30 taškų]

Audituojamu laikotarpiu buvo šiek tiek pakeitimų užsakymų [15 taškų]

Mažai arba visai nebuvo programavimo užsakymų [0 taškų]

13 Kaip dažnai subjektas keičia savo taikomąsias programas?


Pakeitimai apima atnaujinimus ir vartotojų inicijuotus programinės įrangos patobulinimus.

Dažni pakeitimai (pvz., kiekvieną mėnesį vyksta svarbiausių sistemų įvairūs pakeitimai) [20 taškų]

Šiek tiek pokyčių (pvz., kiekvienos taikomosios programos 4 ar 5 pokyčiai per metus) [10 taškų]

Labai mažai arba jokių pokyčių [0 taškų] 14 Kiek sudėtingos yra subjekto taikomosios programos?

Pasirinkite visus tinkamus atsakymus, tačiau tik tuos, kurie susiję su svarbiais subjekto veiklos aspektais.

Yra automatizuotos sąsajos tarp taikomųjų programų bei sistemų ir duomenų valdymo sistemos [5 taškai]

Sistema generuoja operacijas, žmogus šiame procese nedalyvauja [20 taškų]

Trūksta veiksmų atlikimo sekos (angl. audit trail) įrašų ir operacijų autorizavimo, inicijavimo ir vykdymo popierinių įrodymų [10 taškų]

Vykdomi išplėstiniai ir kompleksiniai skaičiavimai [5 taškai]

15 Koks yra įprastas ūkinės operacijos įvesties į sistemą būdas?

Pasirinkite vieną variantą.

Jeigu įvestis skirtingose taikomosiose programose skiriasi, pasirinkite pačią sudėtingiausią taikomąją programą.

Duomenų įvesties apdorojimas vykdomas realiu laiku, pagrindinės bylos yra atnaujinamos iš karto [30 taškų]

Ūkinių operacijų paketai įvedami tiesioginio prisijungimo būdu, tačiau pagrindinės bylos atnaujinamos sukauptų duomenų paketais [10 taškų]

Įvedami tik duomenų paketai (nėra duomenų atnaujinimo tiesioginio prisijungimo būdu) [0 taškų]

Priedai

34

16 Kokios svarbos audituojamo subjekto naudojama finansinės apskaitos (ar kita auditui aktuali) informacinė sistema?


Ypatingos svarbos ir svarbūs valstybės informaciniai ištekliai – tai IS, kurioje logiškai tarpusavyje susijusių duomenų konfidencialumo, vientisumo ir (ar) prieinamumo

praradimas gali sukelti ypač sunkius padarinius valstybei arba turėti neigiamą įtaką kitų valstybės institucijų ar įstaigų veiklai. Daugeliu atvejų atitinka teisės aktuose

numatytą I arba II IS kategoriją (pvz.: VBAMS, SFMIS, MAKIS ir pan.).

Žinybinės svarbos ir kiti informaciniai ištekliai – tai IS, kurioje programinės įrangos priemonėmis įgyvendinti tam tikri norminiais aktais nustatyti kontrolės mechanizmai

(pvz.: specializuotos apskaitos programos LABBIS III, UAB „Edrana“ programų rinkinys, „Navision Financials“, ligoninių IS, dokumentų vadymo IS ir pan.) logiškai

tarpusavyje susijusių duomenų konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti neigiamą įtaką organizacijos ar jos padalinio veiklai. Daugeliu atvejų

atitinka teisės aktuose numatytą III arba IV IS kategoriją.

Veikla nekompiuterizuota ar naudojamos tik standartizuotos biuro programos, pvz.: „MS Word“, „MS Excel“.

Ypatingos svarbos ir svarbūs valstybės informaciniai ištekliai [20 taškų]

Žinybinės svarbos ir kiti informaciniai ištekliai [10 taškų]

Veikla nekompiuterizuota [0 taškų]

BENDRAS TAŠKŲ SKAIČIUS 0

Įvertinimo skalė

Įvertinimo

taškai

Sudėtingumo

vertinimas

Audito metodai

0 iki 100 PAPRASTA Nereikia IS audito specialistų. Subjekto IS testavimas atliekamas pagal IS audito vadove numatytas procedūras.

101 iki 250 VIDUTINĖ Nereikia IS auditorių ar