Upload
others
View
17
Download
1
Embed Size (px)
Citation preview
1 Veiklos audito vadovas
Lietuvos Respublikos valstybės kontrolė
LIETUVOS RESPUBLIKOS VALSTYBĖS KONTROLĖ
INFORMACINIŲ SISTEMŲ AUDITO VADOVAS
Vilnius
2013
Informacinių sistemų audito vadovas
Lietuvos Respublikos valstybės kontrolė
Turinys
1. Informacinių sistemų audito samprata 6
1.1. IS audito tikslas ir uždaviniai 6
1.2. IS audito objektas ir samprata 7
1.3. IS audito vertinimo kriterijai 8
1.4. IS audito procesas 8
2. Planavimas 10
2.1. Strateginis tyrimas 10
2.2. IS vidaus kontrolės vertinimo planavimo procesas 10
2.2.1. IS vidaus kontrolės vertinimo planavimas veiklos audito metu 11
2.2.2. IS bendrosios kontrolės vertinimas finansinio audito metu 13
2.3. IS veiklos audito planavimas 15
3. Pagrindinis tyrimas 17
3.1. IS vidaus kontrolės vertinimas 17
3.1.1. IS bendrosios kontrolės vertinimas 17
3.1.2. IS kūrimo kontrolės vertinimas 18
3.1.3. Taikomųjų programų kontrolės vertinimas 20
3.1.4. Taikomųjų programų kontrolės vertinimas finansinio audito metu 22
3.2. IS veiklos auditai 23
4. Duomenų rinkimas ir vertinimas 24
5. Darbo dokumentavimas 26
6. Audito ataskaita 27
7. Audito kokybės užtikrinimas 28
8. Stebėjimas po audito 29
Priedai 30
3 Informacinių sistemų audito vadovas
Lietuvos Respublikos valstybės kontrolė
Įvadas
Šis Informacinių sistemų audito vadovas yra sudėtinė Valstybės kontrolės parengtų
metodinių dokumentų, susijusių su audito atlikimu, dalis. Vadovas skirtas auditoriams atliekantiems
informacinių sistemų auditus ir informacinių sistemų vertinimus finansinio ar veiklos audito metu.
Šis vadovas skirtas padėti auditoriams geriau suprasti informacinių sistemų audito procesą ir siekti
geresnės auditų kokybės.
Vadovas nustato bendrus informacinių sistemų audito atlikimo – planavimo, vykdymo,
ataskaitų rengimo – etapus ir principus. Kiekvienas informacinių sistemų auditas reikalauja
bendrųjų audito įgūdžių, informacinių sistemų valdymo, kompiuterių mokslo ir elgsenos žinių, todėl
šiame dokumente siekiama paaiškinti informacinių sistemų audito paskirtį ir tai, kaip jis atliekamas
Valstybės kontrolėje. Vadovo priedus auditoriai interpretuoja savarankiškai.
Vadovas parengtas vadovaujantis bendraisiais veiklos audito principais, pateiktais
Tarptautinės aukščiausiųjų audito institucijų organizacijos INTOSAI audito standartuose. Rengiant
šį dokumentą atsižvelgta į Valstybės kontrolės Veiklos ir Finansinio ir teisėtumo audito vadovus,
Tarptautinės informacinių sistemų audito ir kontrolės asociacijos ISACA informacinių sistemų
audito standartus ir į asociacijos parengtas Informacinių sistemų audito gaires bei kitą ISACA
metodinę medžiagą, pavyzdžiui, informacinių technologijų valdymo metodikos ir gerosios
praktikos rinkinį COBIT.
Vadove taip pat panaudotos valstybinių auditorių žinios ir praktinė patirtis, kitų
aukščiausiųjų audito institucijų patirtis ir ekspertų rekomendacijos.
Sąvokų žodynas
4
Sąvokų žodynas
3E – veiklos audito vertinimo aspektai: ekonomiškumas, efektyvumas ir rezultatyvumas
(angl. economy, efficiency, effectiveness);
Bendrosios kompiuterių kontrolės priemonės (angl. general computer controls) – kitos nei
taikomųjų programų vidaus kontrolės priemonės, susijusios su aplinka, kurioje kuriamos,
prižiūrimos ir veikia kompiuterizuotos taikomųjų programų sistemos ir dėl to tinkamos visoms
taikomosioms programoms. Bendrųjų kompiuterių kontrolės priemonių tikslai yra užtikrinti
tinkamą taikomųjų programų kūrimą ir vykdymą, programų ir duomenų rinkinių bei kompiuterio
operacijų vientisumą. Kaip ir taikomųjų programų kontrolės priemonės, bendrosios kompiuterių
kontrolės priemonės gali būti arba neautomatinės, arba suprogramuotos.
CAAT – kompiuterinė priemonė, skirta audito procesui automatizuoti (įvairios paskirties
programinė įranga, dažniausia skirta duomenų analizei);
COBIT – Tarptautinės informacinių sistemų audito ir kontrolės asociacijos (ISACA)
parengtas informacinių sistemų valdymo metodika ir gerosios praktikos rinkinys: COBIT 4.1
metodika, kontrolės tikslai, valdymo gairės, brandos modeliai, 2011 m., Vilnius.
Duomenų valdytojai (angl. data owners) – asmenys, paprastai vadovai ar direktoriai,
atsakingi už kompiuterizuotų duomenų vientisumą, tikslumą ir naudojimą.
Elektroninė informacija – elektroninių ryšių tinklais perduodama ar informacinėse
sistemose arba registruose saugoma ir tvarkoma informacija ar duomenys, įskaitant programinę
įrangą, skirtą informacinės sistemos funkcijoms atlikti.
Gebėjimų brandos modelis (GBM) (angl. Capability Maturity Model (CMM)) – programų
inžinerijos instituto (angl. Software Engineering Institute) sukurtas programinės įrangos kūrimo
GBM. Daugelio organizacijų naudojamas modelis, skirtas įvertinti ir padidinti programinės įrangos
kūrimo procesų brandą.
Informacija – tai duomenys, kurių turinys ir forma tinka tam tikram naudojimui.
Informacija gaunama duomenis apdorojus (pvz.: formatuojant, filtruojant, sumuojant, atliekant
analizę ar kitas sudėtingesnes operacijas).
Informaciniai ištekliai – informacijos, kurią valdo informacinės visuomenės nariai ir kuri
apdorojama informacinių technologijų priemonėmis, ir ją apdorojančių informacinių technologijų
priemonių visuma.
Informacinė sistema (IS) – informacijos apdorojimo procesus (duomenų ir dokumentų
tvarkymo, skaičiavimo, bendravimo nuotoliniu būdu ir t. t.) vykdanti sistema, kuri veikia
informacinių ir ryšių technologijų pagrindu. Ši sąvoka apima valstybės ir žinybinius registrus ir
elektroninių duomenų perdavimo tinklus. IS sudaro 4 pagrindinai komponentai: techninė įranga,
programinė įranga, duomenys ir žmonės.
Sąvokų žodynas
5
IS auditas – yra audito dalis, kai surinkti įrodymai ir atliktas vertinimas leidžia nuspręsti, ar
IS efektyviai naudoja organizacijos išteklius, užtikrina jų saugą, duomenų vientisumą ir padeda
efektyviai siekti organizacijos tikslų.
IS bendroji kontrolė – tai kontrolės priemonės, kurios taikomos visiems konkrečios
organizacijos IS komponentams, procesams ir duomenims ar informacinių technologijų aplinkai.
Šios kontrolės priemonių visuma turi užtikrinti tinkamą kompiuterizuotų taikomųjų programų plėtrą
ir įgyvendinimą, taip pat taikomųjų programų, duomenų bylų ir kompiuterinių operacijų vientisumą.
IS kūrimo kontrolė – kontrolės procedūros ir priemonės, sukurtos remiantis sistemų kūrimo,
projektavimo, bandymų ir projektų valdymo metodika, kuri užtikrina tikslų ir efektyvų planavimą,
biudžeto ir išlaidų kontrolę. Kiekviename kūrimo etape nagrinėjama informacinių technologijų, projekto
valdymo, biudžeto, vidaus kontrolės, veiklos procesų ir trečiųjų šalių paslaugų teikėjų ir kitų išorės
subjektų įtaka IS.
ISACA – Tarptautinė profesinė organizacija orientuota į informacinių technologijų valdymą
(anksčiau žinoma kaip Informacinių sistemų audito ir kontrolės asociacija).
Informacinės technologijos (IT) – ištekliai, reikalingi tam tikrai informacijai gauti, tvarkyti,
saugoti ir skleisti: techninė, programinė įranga, komunikacijos ir kita įranga, naudojama bet kokios
formos duomenims įvesti, saugoti, apdoroti, perduoti ir išvesti.
Rizika – veiklos kontekste tai galimybė, kad tam tikra grėsmė dėl turto vieneto ar turto
vienetų grupės silpnųjų pusių sukels turto ir / ar lėšų praradimą ir (arba) padarys jam žalos.
Paprastai vertinama poveikio ir atsitikimo tikimybės deriniu.
SKGC – sistemos kūrimo gyvavimo ciklas (angl. Systems Development Life Cycle (SDLC)).
Etapai, išdėstyti kuriant ar įsigyjant programinės įrangos sistemą. Paprastai tai tokie etapai:
ekonominio pagrįstumo analizė, reikalavimų analizė, reikalavimų apibrėžimas, detalus projektas,
programavimas, testavimas, diegimas ir įdiegtos sistemos analizė.
Taikomoji programa – programa, kuri apdoroja veiklos duomenis atliekant duomenų įvedimą,
atnaujinimą ar pateikiant užklausą. Ji skiriasi nuo sistemų programų – operacinių sistemų ar tinklo
kontrolės programų – ir nuo paslaugų – kopijavimo (angl. copy) ar rūšiavimo (angl. sort) – programų.
Taikomųjų programų kontrolė – su duomenų įvestimi, apdorojimu, duomenų bankais ir
duomenų gavimu susijusi vidaus kontrolė.
Taikomųjų programų kontrolės priemonės (angl. application controls) – kontrolės
priemonės, integruotos į automatizuotus sprendimus (taikomąsias programas).
Vidaus kontrolė – politika, planai ir procedūros bei organizacijos struktūros, skirtos
užtikrinti, kad veiklos tikslai būtų pasiekti, o nepageidaujamiems įvykiams būtų užkirstas kelias
arba jie būtų nustatyti ir ištaisyti.
Kitos IS audito vadove vartojamos sąvokos atitinka Lietuvos Respublikos valstybės
informacinių išteklių valdymo įstatyme ir kituose teisės aktuose vartojamas sąvokas.
1. Informacinių sistemų audito samprata
6
1. Informacinių sistemų audito samprata
IS auditas yra audito dalis, kai surinkti įrodymai ir atliktas vertinimas leidžia nuspręsti, ar IS
efektyviai naudoja organizacijos išteklius, užtikrina jų saugą, duomenų vientisumą ir padeda
efektyviai siekti organizacijos tikslų.
IS audito poreikis atsirado, nes IS tapo neatsiejama bet kurios organizacijos veiklos dalimi
arba vienu svarbiausių veiklos vykdymo įrankių. Organizacijų ir IT padalinių vadovai suprato, kad
kompiuteriai ir IS yra vertingi ištekliai, kurie turi būti valdomi taip pat, kaip ir bet kuris kitas
organizacijos turtas, todėl buvo pradėtas vertinti IS kūrimo, diegimo, naudojimo ir priežiūros
ekonomiškumas, efektyvumas ir rezultatyvumas.
1.1. IS audito tikslas ir uždaviniai
IS audito tikslas – įvertinti IT valdymo aplinką ir atskleisti IT valdymo aplinkos tobulinimo
galimybes. IS auditas apima IT valdymą (angl. IT governance) ir padeda organizacijoms pagerinti
keturias sritis:
IS auditas dažniausia pasižymi labai techninio pobūdžio pastebėjimais, todėl pagrindinis IS
audito uždavinys – techninio pobūdžio pastebėjimus audito išvadose pateikti kaip pažeidžiamumą ir
poveikį audituojamo subjekto veiklai. IS audito rezultatai turi skatinti audituojamą subjektą daugiau
dėmesio skirti IS, taikomųjų programų ir IT valdymo aplinkos tobulinimui.
1. Informacinių sistemų audito samprata
7
1.2. IS audito objektas ir samprata
Siekiant išvengti IS valdymo ir saugos užtikrinimo problemų, buvo sukurti bendrieji IS
kontrolės metodai. IS auditas dažniausia skirtas šiems kontrolės metodams įvertinti, todėl IS audito
metu vertinama, kaip vadovybė valdo IT infrastruktūrą.
Audituojamo subjekto vidaus kontrolės vertinimas yra veiklos ir finansinių auditų vertinimo
sritis. IS auditai gali būti dviejų tipų (1 pav.):
1. IS vidaus kontrolės vertinimas, kuris apima:
IS bendrosios kontrolės vertinimą, kai įvertinama vidaus kontrolė, apimanti visas
organizacijos IS.
IS kūrimo kontrolės vertinimą, kai įvertinamas IS kūrimo valdymas ir kontrolė nuo
sistemos koncepcijos atsiradimo iki jos įteisinimo, apimant IS pakeitimų ir versijų valdymą.
Taikomųjų programų kontrolės vertinimą, kai įvertinama kontrolė, susijusi su duomenų
įvedimu, apdorojimu, duomenų saugojimu ir išvestimi konkrečiose taikomosiose programose.
2. IS veiklos auditas – IS efektyvumo, ekonomiškumo ir rezultatyvumo vertinimas.
1 pav. IS audito apimtis
Finansinis
auditas IS AUDITAS
IS vidaus kontrolės vertinimasIS vertinimas 3E požiūriu
(IS veiklos auditas)
IS bendrosios
kontrolės
vertinimas
IS kūrimo
kontrolės
vertinimas
Taikomųjų
programų
kontrolės
vertinimas
Veiklos
auditas
Vykstant sparčiai IT plėtrai, daugėja viešojo sektoriaus veiklos automatizavimo procesų,
kurių vertinimą turėtų atlikti ne tik IS auditoriai. Veiklos, finansiniai, IS auditoriai ir IT specialistai,
tarpusavyje koordinuodami veiksmus, turėtų planuoti audito procedūras, kontroliuoti atliekamą
darbą ir vertinti gautus rezultatus.
IS audito pasiskirstymas tarp auditorių pateiktas 1 lentelėje, joje išvardyti ir šio IS audito
vadovo priedai, kuriais rekomenduojama naudotis atliekant IS vertinimus ir auditus.
1. Informacinių sistemų audito samprata
8
1 lentelė. Auditorių pasiskirstymas pagal IS audito objektus.
IS audito
objektai IS sudėtingumas Auditą atlieka Procedūros
Rekomenduojama
vadovautis 1. IS bendroji
kontrolė
Paprasta, vidutinio
sudėtingumo, sudėtinga
Visi auditoriai* 2.2.2. skirsnis 1 ir 2 priedais
IS auditoriai 2.2.1 ir 3.1.1 skirsniai Visais priedais
2. IS kūrimo
kontrolė
Paprasta, vidutinio
sudėtingumo, sudėtinga IS auditoriai 2.2.1 ir 3.1.2 skirsniai 5 ir 11 priedais
3. Taikomųjų
programų kontrolė
Paprasta, vidutinio
sudėtingumo, sudėtinga
Visi auditoriai* 3.1.4 skirsnis 3 priedu
IS auditoriai 2.2.1 ir 3.1.3 skirsniai 6 ir 12 priedais
4. IS vertinimas
3E požiūriu
Paprasta, vidutinio
sudėtingumo, sudėtinga
Veiklos auditoriai 2.3 ir 3.2 poskyriai Veiklos audito vadovu
IS auditoriai
* IS sudėtingumas nustatomas užpildant 1 priedą, vertinant sudėtingų IS bendrąją ir taikomųjų programų
kontrolę rekomenduojama pasitelkti IS auditorius. IS auditoriai atlieka detaliuosius sudėtingų valstybės IS ir
pagrindinių valstybės registrų valdymo auditus, IS sudėtingumas nustatomas strateginio planavimo metu.
Prireikus pagalbos, finansinio ar veiklos audito metu (1 lentelėje numatytais atvejais)
auditoriai, vadovaudamiesi valstybės kontrolieriaus patvirtinta tvarka, į pagalbą turėtų pasitelkti
Valstybės kontrolės IS auditorius arba išorės arba vidaus IS / IT specialistus dėl išsamesnės analizės
ir paaiškinimų.
1.3. IS audito vertinimo kriterijai
Atliekant IS vidaus kontrolės vertinimo auditus audituojamo subjekto IT procesai vertinami
remiantis COBIT metodika ir joje pateiktais IT procesų kontrolės tikslų ir jų metrikų aprašymais,
informacijos kontrolės kriterijais. Vertinimo kriterijų formulavimui gali būti naudojamos ir
informacinių išteklių (IS, registrų, el. duomenų perdavimo tinklų) valdymo reikalavimus
nustatančių teisės aktų nuostatos.
Atliekant IS veiklos auditus ir vertinant IT valdymo aplinką efektyvumo, ekonomiškumo ir
rezultatyvumo aspektais, vertinimo kriterijams formuluoti taikoma veiklos auditams skirta metodika
(detaliau Veiklos audito vadovo dalis Audito objekto, tikslo, vertinimo kriterijų, apimties ir metodų
nustatymas kartu su INTOSAI praktika).
1.4. IS audito procesas
IS audito procesą, kuriame įvertinama IT, taikomųjų programų ir kuriamų IS valdymo
aplinka, sudaro šie pagrindiniai etapai (2 pav.):
planavimas – strateginis tyrimas ir audito planavimas;
atlikimas (pagrindinis tyrimas);
stebėjimas po audito.
file:///C:/Users/SNOW/AppData/Local/Opera/Opera/temporary_downloads/2%20IS%20bendrosios%20kontroles%20vertinimo%20klausimynas.docfile:///C:/Users/SNOW/AppData/Local/Opera/Opera/temporary_downloads/3%20Taikomosios%20programines%20irangos%20kontroles%20klausimynas.doc
1. Informacinių sistemų audito samprata
9
2 pav. IS audito proceso etapai ir parengiami dokumentai
Pastabos: Nurodyti etapai būdingi kiekvienam IS auditui, tačiau būna ir išimčių:
1 – finansinio audito metu sudėtingų IS vidaus kontrolės vertinimui gali būti pasitelkti IS auditoriai (paraiška),
vertinimas baigiamas parengiant IS bendrosios kontrolės ir taikomųjų programų kontrolės vertinimo darbo
dokumentus;
2 – veiklos audito metu gali būti pasitelkiami IS auditoriai (paraiška), IS auditorių darbo rezultatai pateikiami
darbo dokumente;
3 – IS auditas gali baigtis išankstiniu tyrimu (nusprendus neatlikti pagrindinio tyrimo);
4 – IS auditas gali būti pradėtas be strateginio ir išankstinio tyrimo (pavyzdžiui, įtraukus į valstybinio audito
programą Seimo nutarimu pavestą atlikti auditą);
5 – IS vidaus kontrolės vertinimo metu nerengiama išankstinio tyrimo ataskaita, audito planavimas baigiamas
parengiant IS audito planą.
IS audito procese atsiradus kitoms išimtims negu nurodyta 2 pav., sprendimus dėl jų taikymo priima valstybės
kontrolierius ir (ar) jo pavaduotojas, koordinuojantis ir kontroliuojantis IS auditus atliekančio audito
departamento veiklą.
IS auditas atliekamas vadovaujantis INTOSAI standartais, šiuo IS audito vadovu,
Tarptautinės informacinių sistemų audito ir kontrolės asociacijos (ISACA) IS audito standartais ir
atsižvelgiant į asociacijos parengtas IS audito gaires, taip pat Finansinio ir teisėtumo ir Veiklos
audito vadovais. Metodinių dokumentų sąrašas pateiktas 13 priede.
Finansiniai auditoriai, atlikę IS bendrosios kontrolės ar taikomųjų programų kontrolės
vertinimą, rezultatus (darbo dokumento elektroninę kopiją) pateikia IS auditus atliekančiam
Valstybės kontrolės struktūriniam padaliniui. IS vidaus kontrolės vertinimo rezultatai apibendrinami
pagal valstybės kontrolieriaus įsakymu patvirtintų Valstybinių auditų, atliktų vykdant metinę
programą, rezultatų apibendrinimo taisyklių atitinkamą priedą.
IS audito proceso etapai ir kiekviename etape parengiami dokumentai išsamiau aprašyti
tolesnėse IS audito vadovo dalyse.
Paraiška dėl IS auditorių pasitelkimo1
IT ir IS sudėtingumo
vertinimas
IS bendrosios
kontrolės vertinimas
IS taikomųjų
programų
kontrolės
vertinimas
Finansinis
auditas
Stebėjimas po
audito Planavimas Pagrindinis
tyrimas / Audito
atlikimas
Strateginis tyrimas Audito planavimas /
Išankstinis tyrimas
Siūlymai valstybinio
audito programai4
IS audito planas
Išankstinio tyrimo
ataskaita5
Rekomendacijų
įgyvendinimo
ataskaita
IT arba IS vertinimo
darbo dokumentas Paraiška dėl IS auditorių pasitelkimo2
IS audito ataskaita
Veiklos auditas
IS vidaus kontrolės
vertinimas
IS veiklos auditas3
2. Planavimas
10
2. Planavimas
Siekiant racionaliai naudoti audito išteklius (finansinius, žmogiškuosius, materialinius ir
kitus), labai svarbu tinkamai suplanuoti IS audito procesą.
2.1. Strateginis tyrimas
IS audito strateginis tyrimas atliekamas pagal Veiklos audito vadovą. Išsamiau strateginio
tyrimo procesą, darbų pasidalijimą, informacijos kaupimo ir pateikimo formas, terminus ir kt.
nustato valstybės kontrolieriaus įsakymu patvirtinta Veiklos audito strateginio tyrimo organizavimo
ir vykdymo metodika. Planuojant IS vidaus kontrolės vertinimus atsižvelgiama į valstybės įstaigos
valdomų informacinių išteklių (IS, registrų ir kt.) duomenų svarbą ir finansinių auditorių pateiktą IS
vidaus kontrolės vertinimo medžiagą. IS veiklos audito strateginiam planavimui naudojami
duomenys, gauti analizuojant IS bendrosios kontrolės vertinimus.
2.2. IS vidaus kontrolės vertinimo planavimo procesas
Viena iš vidaus kontrolės sudedamųjų dalių yra IS, apimanti audituojamos organizacijos
veiklos procesus, todėl būtina gerai susipažinti su audituojamo subjekto IS aplinka, kad auditorius
nustatytų IS sudėtingumą, subjekto veiklos priklausomybės nuo IS lygį ir galėtų įvertinti auditui
svarbias IS.
Vidaus kontrolės vertinimas, kuriame planuojama vertinti IS, taikomųjų programų ar
kuriamų IS valdymo aplinką, atliekamas tokia seka:
pirmiausia planuojamas IS bendrosios kontrolės vertinimas, atliekama IS dokumentų
analizė, preliminarus IS kontrolės vertinimas ir nustatoma IS bendrosios kontrolės branda (būklė);
atlikus IS bendrosios kontrolės vertinimą planuojamas IS kūrimo kontrolės vertinimas ir
tik po to – taikomųjų programų kontrolės vertinimas. Jeigu IS kūrimo arba taikomųjų programų
kontrolę planuojama vertinti atskirai, tai IS bendroji kontrolė vertinama tiek, kiek ji tiesiogiai susijusi
su IS kūrimo arba taikomųjų programų kontrole.
Šia seka planuojami ir IS vidaus kontrolės vertinimo auditai, kurių objektu yra IS kūrimo ir
taikomųjų programų kontrolės vertinimas.
Toliau pateikiami skirtingos apimties IS vidaus kontrolės vertinimo planavimo etapai.
IS bendroji kontrolė
IS kūrimo kontrolė
Taikomųjų programų kontrolė
2. Planavimas
11
2.2.1. IS vidaus kontrolės vertinimo planavimas veiklos audito metu
IS vidaus kontrolės audito planavimas atliekamas vadovaujantis ISACA standartais ir
gairėmis, apibrėžiančiais audito planavimo procesus ir rekomendacijas. IS audito uždavinius lemia
aukščiausiojo lygio vadovybės nustatyta vidaus kontrolės sistema. Jeigu nustatytos sistemos nėra,
kaip pagrindas detaliems IS audito uždaviniams nustatyti turi būti naudojama COBIT metodika.
Atsižvelgiant į konkretaus IS audito apimtį turi būti parenkami konkretūs COBIT procesai,
kontrolės tikslai ir susijusios valdymo praktikos. Auditas turi apimti visų COBIT metodikoje
nurodytų IT išteklių naudojimo ir apsaugos kontrolės sistemas: duomenis, taikomąsias programas,
technologijas, įrangą, žmones ir IT valdymą.
IS vidaus kontrolės vertinimo auditų planavimas vykdomas etapais (žr. 2 lentelę),
kiekviename etape priimtus sprendimus būtina dokumentuoti. Audito planavimui skirti klausimynai
(4–7 priedai) sudaryti pagal ISACA IS audito gairių rekomendacijas ir COBIT metodiką, kuri
leidžia įvertinti subjekto taikomų IT valdymo metodų visumą. Detalesnis IS audito planavimo etapų
darbų aprašymas pateikiamas audito dokumentavimo IS.
2 lentelė. IS vidaus kontrolės audito planavimo etapai ir tikslai
IS bendroji kontrolė IS kūrimo kontrolė Taikomųjų programų
kontrolė Nagrinėjama, ar IS funkcija atitinka
subjekto misiją, viziją, vertybes, tikslus
ir strategijas, ar IT funkcijai yra aiškiai
nustatyti veiklos rezultatai, kurių tikisi
organizacija, ir įvertinti, ar jie pasiekti.
Nagrinėjama, ar IS steigimas, kūrimas,
diegimas, įteisinimas ir pakeitimai yra
tinkamai kontroliuojami.
Nustatyti, išbandyti ir įvertinti
kontrolės priemones, kurias
subjektas taiko taikomosioms
programoms.
Audito planavimo etapo darbų planas
Numatyti planavimo etapo darbų atlikimo terminus ir apimtis, plano forma pateikiama 8 priede.
Susipažinimas su audituojamo subjekto veikla Susipažinti su subjekto veiklos sritimis,
kuriose kritinį vaidmenį vaidina IS.
Sugretinti subjekto veiklos tikslus su IT
tikslais, įvertinti jo valdomų (naudojamų)
IS sudėtingumą. Išanalizuoti IT
reglamentuojančius teisės aktus,
nustatyti, ar subjektas IT funkciją
perleidžia tretiesiems asmenims.
Išsiaiškinti kitą auditoriaus nuomone
reikšmingą informaciją.
Susipažinti su IS kūrimo aplinka,
subjekto pasirinktu IS įsigijimo / kūrimo
būdu, mastu, technologijomis, įsigijimo /
kūrimo tikslais ir susipažinti su IS
naudojimo būdais.
Susipažinti su aplinka,
kurioje taikomosios
programos yra kuriamos,
palaikomos ir
eksploatuojamos. Nustatyti
jų dydį, sudėtingumą ir
subjekto priklausomybės
nuo taikomųjų programų
lygį.
Susipažinimas su IS valdymu ir preliminarus vidaus kontrolės įvertinimas Įvertinti subjekto pasirinktas IS
kontrolės priemones ir praktinį jų
taikymą, nustatyti, ar IS atitinka teisės
aktus; įvertinti kitą, auditoriaus
nuomone, reikšmingą informaciją,
susijusią su IS valdymu.
Įvertinti rizikingiausias IS valdymo sritis
pagal 4 priede nurodytus pagrindinius
aspektus.
Nustatyti dabartinį IS įsigijimo / kūrimo
etapą, projekto valdymo struktūrą,
įsigijimui / kūrimui skirtas ir planuojamas
skirti lėšas. Įvertinti ankstesnių kūrimo
etapų peržiūros rezultatus, rizikas galinčias
paveikti IS įsigijimo / kūrimo ciklą,
vadovybės nurodomas problemas dėl IS
įsigijimo / kūrimo priežiūros ir kitus
aspektus, nurodytus 5 priede. Atliekant
vertinimą rekomenduojama naudotis
ISACA IS kūrimo ir projektų valdymo
audito programa.
Įvertinti COBIT IT procesus
pagal 6 priede nurodytus
aspektus. Atliekant
vertinimą rekomenduojama
naudotis ISACA Taikomųjų
programų audito programa.
Kiti klausimai gali būti nagrinėjami atsižvelgiant į audituojamo subjekto veiklos specifiką, audito tikslą ir auditui
numatytą atlikti laiką.
2. Planavimas
12
Ankstesnių valstybinių auditų rezultatų analizė
Įvertinti, ar pašalinti nustatyti pažeidimai, ištaisytos klaidos ir laiku įgyvendintos rekomendacijos ir kokia neištaisytų
pažeidimų įtaka atliekamam auditui
Vidaus auditorių ir kitų specialistų darbo panaudojimas
Įvertinti, ar galima pasinaudoti vidaus auditorių ar kitų specialistų atlikto darbo rezultatais
Reikšmingumo nustatymas
Nustatyti priimtiną reikšmingumo lygį
Rizikos įvertinimas IS bendrosios kontrolės testavimo
apimtys turi būti pagrįstos auditoriaus
atliktu IS bendrosios kontrolės silpnų
vietų ir rizikų vertinimu.
IS kūrimo kontrolės testavimo
apimtys turi būti pagrįstos
auditoriaus atliktu IS kūrimo
kontrolės silpnų vietų ir rizikų
vertinimu.
Taikomųjų programų kontrolės
testavimo apimtys turi būti
pagrįstos auditoriaus atliktu
taikomųjų programų kontrolės
silpnų vietų ir rizikų vertinimu.
Rizikos suvestinė (IS audito vadovo 9 priedo Audito plano 2 priedas).
Audito plano parengimas Tolesniam vertinimui rekomenduojama
pasirinkti PO1, PO4, PO5, PO6, PO9,
AI1, AI2, AI3 ir ME4 procesus. Įvertinus
audito atlikimui skirtą laiką ir turimus
išteklius, gali būti pasirenkami ir (arba)
kiti planavimo metu analizuoti COBIT
procesai pvz.: PO2, PO3, PO7, PO8,
PO10, DS1, DS2, DS3, DS6, DS7, DS8,
DS9, DS10, DS12, DS13, AI6 ir ME1.
Tolesniam vertinimui
rekomenduojama pasirinkti PO5,
PO10, AI1-AI7 ir DS1 procesus.
Įvertinus audito atlikimui skirtą
laiką ir turimus išteklius, gali būti
pasirenkami ir (arba) kiti
planavimo metu analizuoti COBIT
procesai pvz.: PO7, PO8, ME1,
ME2, ME4 ir AC6.
Tolesniam vertinimui
rekomenduojama pasirinkti AI1,
AI2, AI4, AI7 ir AC1-AC6
procesus. Įvertinus audito
atlikimui skirtą laiką ir turimus
išteklius, gali būti pasirenkami ir
(arba) kiti planavimo metu
analizuoti COBIT procesai pvz.:
AI6, DS5 ir kt.
Tolesniam vertinimui rekomenduojama pasirinkti ne daugiau kaip 10 planavimo metu analizuotų IT procesų.
Pasirinkti procesai įraukiami į rengiamą audito planą (9 priedas).
Jei IS audito metu planuojama įvertinti IS bendrąją, kūrimo ir taikomųjų programų kontrolę,
2 lentelėje nurodytus planavimo etapus reikia įvertinti pagal 7 priede pateiktas rekomendacijas. Kiti
klausimai papildomai gali būti nagrinėjami atsižvelgiant į audituojamo subjekto veiklos specifiką,
audito tikslą ir numatytą auditui atlikti laiką. Atliekant tokį IS auditą rekomenduojama naudotis
ISACA Taikomųjų programų ir IS kūrimo ir projektų valdymo audito programomis.
2. Planavimas
13
2.2.2. IS bendrosios kontrolės vertinimas finansinio audito metu
Finansinio audito planavimo etape susipažįstant su audituojamo subjekto vidaus kontrolės
aplinka ir procedūromis yra vertinama IS bendroji kontrolė, o atliekant kontrolės procedūrų
efektyvumo vertinimą – apskaitoje naudojamų taikomųjų programų kontrolė. Audituojamo
subjekto IS bendroji kontrolė vertinama tam, kad auditorius galėtų nustatyti ir įvertinti reikšmingo
iškraipymo riziką ir, atsižvelgdamas į ją, suplanuoti ir atlikti tolesnes audito procedūras. Apskaitoje
naudojamų taikomųjų programų kontrolė vertinama siekiant gauti audito patikimumą iš vidaus
kontrolės ir įsitikinti duomenų, naudojamų audito metu, patikimumu.
Norint tinkamai suplanuoti auditą, reikia įvertinti audituojamo subjekto IS sudėtingumą,
įgimtą riziką ir priimti sprendimą, ar reikia kreiptis pagalbos į IT specialistus ar IS auditorius,
atliekant tolesnį IS vertinimą (3 pav.). IS audito vadovo 1 priedas turėtų būti naudojamas siekiant
įvertinti, kokioje aplinkoje veikia IS, pavyzdžiui, ar audituojamas subjektas vykdo pagrindinių IS
pirkimus (kūrimą), ar buvo didelių problemų su IT operacijomis, ar audituojamas subjektas naudoja
sudėtingas IT programas, ar buvo kilę reikšmingų problemų su audituojamo subjekto IS.
3 pav. IS bendrosios kontrolės vertinimo planavimas
Susipažinti su IT aplinka ir nustatyti naudojamų
IS svarbą audituojamo subjekto veiklai
Surinkti pirminę informaciją ir įvertinti
auditui aktualių IS svarbą, jų sudėtingumą ir riziką
Auditorius įvertina informaciją apie IT ir auditui aktualias IS pagal 1 priedą.
Ar IS sudėtinga?
Auditorius įvertina audituojamo subjekto IS aplinką kaip sudėtingą, vidutinę ar paprastą (įvertinimo
paaiškinimas pateiktas 1 priede) ir susipažinęs su IT aplinka parengia klausimyną IS bendrajai kontrolei
vertinti.
Prireikus (jei IS aplinka sudėtinga) kreipiasi dėl konsultacijų į IT specialistus ar IS auditorius.
IS bendrosios kontrolės vertinimas (4 pav.)
Auditorius, susipažindamas su audituojamo subjekto vidaus kontrolės aplinka ir procedūromis,
turi įvertinti audituojamo subjekto IS bendrąją kontrolę ir atlikti 4 pav. numatytas procedūras.
2. Planavimas
14
4 pav. IS bendrosios kontrolės vertinimas finansinio audito metu
Atlikti IS bendrosios kontrolės įvertinimą
(peržiūrėti nustatytas procedūras ir įvertinti jų veikimą) Atlikti IS bendrosios kontrolės vertinimą pagal 2 priedą ir išnagrinėti šias sritis:
audituojamo subjekto taikomą saugos politiką; IT operacijas (procedūras) ir duomenų bylų kontrolę; IT organizavimą ir valdymą; programų kūrimą ir IS pokyčių valdymą; IS veiklos tęstinumą ir incidentų valdymą.
Įvertinti ar numatytos kontrolės priemonės veikia tinkamai.
Įvertinti IS bendrosios kontrolė būklę (labai gera/ gera/ tobulintina / silpna)
1. Jei IS bendrosios kontrolės būklė tobulintina ar silpna, auditorius turi įvertinti, ar taikomos kompensuojančios
kontrolės visoms aukštos rizikos IS sritims.
2. Fiksuoti pastebėjimus, pateikti vertinimus ir rekomendacijas dėl IS bendrosios kontrolės tobulinimo.
Ar bus naudojami IT priemonėmis gauti įrodymai?
Auditorius, rengdamas finansinio audito strategiją, turėtų apsvarstyti ir IT įtaką audito procedūroms, įskaitant
duomenų prieinamumą, patikimumą ir tikėtiną kompiuterinių audito metodų taikymą, ir nuspręsti, ar naudos IT
priemonėmis gautus įrodymus (IS duomenys, el. lentelės ir kt.).
Jei nusprendžiama naudoti IT įrodymus, auditorius turi įvertinti konkrečios IS taikomųjų programų kontrolę.
TAIP NE
Pastaba: Jei esant silpnai IS bendrajai kontrolei
nusprendžiama naudoti IT priemonėmis gautus
įrodymus, atliekant taikomųjų programų
kontrolės vertinimą turi būti padidintas kontrolės
testų kiekis.
1. Finansinio audito strategijoje nurodyti, kad nebus
naudojami IS duomenys (įrodymai gauti IT
priemonėmis).
2. Siekiant įsitikinti duomenų patikimu turi būti
perskaičiuoti visi el. priemonėmis gauti duomenys
(pvz., xls formato žiniaraščiai).
Taikomųjų programų kontrolės
vertinimas (6 pav.)
Pabaiga
Atlikdamas IS bendrosios kontrolės vertinimą, auditorius turi įvertinti, jo nuomone,
reikšmingą informaciją, susijusią su IS panaudojimu. Vertinant rekomenduojama naudotis 2 priede
pateiktu klausimynu. Priede pateiktas klausimynas padeda įvertinti IS bendrąją kontrolę ir surinkti
apibendrinančią informaciją apie audituojamuose subjektuose veikiančias IS.
Auditoriai rinkdami audito įrodymus gali naudoti įprastines audito procedūras ir
kompiuterizuotas audito priemones arba abiejų šių metodų derinius. Kai kurių apskaitos sistemų
veiklos procesus automatizuoja specializuota taikomoji programinė įranga, todėl be kompiuterizuotų
audito įrankių auditoriui gali būti sudėtinga (arba net neįmanoma) patikrinti, įvertinti ir patvirtinti
duomenų tikrumą. Kompiuterizuotos audito priemonės taip pat gali padėti išsamiau patikrinti
elektroninių operacijų ir sąskaitų įrašus, kad būtų įgyvendintas tinkamas atsakas į įvertintą reikšmingo
iškraipymo dėl apgaulės riziką (daugiau 4 skyriuje).
Auditorius įvertina audituojamo subjekto IS bendrosios kontrolės būklę kaip labai gerą,
gerą, tobulintiną ar silpną (įvertinimo paaiškinimas pateiktas 2 priede). Atlikus IS bendrosios
kontrolės vertinimą, jo rezultatai (darbo dokumento el. kopija) pateikiami IS auditus atliekančiam
Valstybės kontrolės struktūriniam padaliniui.
Auditorius, atlikęs IS bendrosios kontrolės ir taikomųjų programų kontrolės vertinimą, jo
rezultatus panaudoja vertinant visos audituojamo subjekto vidaus kontrolės sistemos būklę.
2. Planavimas
15
2.3. IS veiklos audito planavimas
IS vertinimas 3E požiūriu yra veiklos audito sritis, todėl tokio audito planavimas atliekamas
vadovaujantis Veiklos audito vadovu. Žemiau pateikiami IS veiklos auditų tikslai (5 pav.) ir vertinimo
aspektai, į kuriuos auditorius papildomai turėtų atkreipti dėmesį.
5 pav. IS veiklos audito lygiai
IT POVEIKIS
VISUOMENEIIT VALDYMAS IS KŪRIMAS
IS kūrimas (IS veiklos auditas skirtinguose IS kūrimo etapuose) – vertinamas IS įsigijimas
ir kūrimas efektyvumo ir ekonomiškumo požiūriu. Analizuojamas IS kūrimas, eksploatacija,
valdymas ir IS atnaujinimai, taip pat gali būti analizuojami klausimai, susiję su IS kokybe ir sauga.
IT valdymas – vertinami priimti IT naudojimo sprendimai ir parengti planai, pirminės
informacijos, kuri reikalinga sprendimams priimti, kokybė, teisės aktų laikymasis ir kontrolės
veiksmingumas naudojant IS.
IT poveikis visuomenei – vertinami teikiamų paslaugų apimties, kokybės, vientisumo ir
privatumo aspektai.
3E kriterijai IS audito požiūriu
Ekonomiškumas (taupumas) suprantamas kaip mokėjimas mažiau už tos pačios kokybės
išteklių naudojimą arba nenaudojimas nebūtinų brangių išteklių.
IT srities neekonomiškumo požymiai:
• Įsigyjama brangių kompiuterių, kai užduotims atlikti gali būti naudojami paprastesni.
• Perkamos išorės IT paslaugos, kai užduotį atlikti galima naudojant turimus išteklius.
• Kuriama individuali IS, kai galima nusipirkti standartinę programinę įrangą.
Efektyvumas – turint tuos pačius išteklius pasiekiami geresnės kokybės rezultatai. Jis siejamas
su procesais. Neefektyvus procesas naudoja daug išteklių, kad pasiektų tam tikros kokybės rezultatą.
IT srities neefektyvumo požymiai:
• Atliekami niekam nereikalingi patikrinimai.
• Dubliuojama informacija skirtingose sistemose.
• Neefektyviai panaudojama kompiuterio atmintis ar procesoriaus laikas.
Rezultatyvumas suprantamas kaip išmintingas išteklių ir efektyvių procesų naudojimas,
siekiant gauti nustatytos kokybės rezultatus.
2. Planavimas
16
IT srities nerezultatyvumo požymiai:
• Neaiškiai parengtos strategijos, programos ar planai (pvz., neadekvatus poreikių įvertinimas, neaiškūs
ir nenuoseklūs tikslai, sunkiai įgyvendinami uždaviniai ar nustatytos netinkamos priemonės).
• Veiklos procesų neaptarnaujančios IS.
• IS, naudojančios didesnius išteklius negu jų teikiami rezultatai.
• Nepatikimos IS.
Pagrindiniai nesėkmingais veikiančios IS požymiai: naudotojų nepasitenkinimas IS, sistemų
nepatikimumas, bloga integracija su kitomis IS, išaugusios IS kūrimo ir eksploatacijos išlaidos, ilgai
užtrunkantis naujų IS įdiegimas, nebevykdomi (nebaigti) projektai, įsigytų IS brangumas ir ginčai
su IT paslaugų teikėjais.
3. Pagrindinis tyrimas
17
3. Pagrindinis tyrimas
Pagrindinio tyrimo tikslas – surinkti pakankamus ir tinkamus audito įrodymus, kuriais
remdamasis auditorius galėtų atsakyti į audito klausimus ir pagrįsti audito ataskaitoje pateiktas
išvadas ir rekomendacijas.
Pagrindinis tyrimas pradedamas patvirtinus audito planą (IS veiklos auditų atveju) ir
išankstinio tyrimo ataskaitą ir informavus audituojamą subjektą apie pagrindinio tyrimo metu
planuojamus atlikti veiksmus, audito apimtį ir pan.
3.1. IS vidaus kontrolės vertinimas
Vertinant IS vidaus kontrolę nagrinėjamos planavimo metu pasirinktos sritys, atliekamos
audito procedūros, susijusios su duomenų rinkimu ir vertinimu. Vertindamas IS valdymą auditorius
turi atsižvelgti į rekomenduojamą IT valdymo gerąją praktiką, į tai, kokius IT valdymo, projektų
valdymo, saugos užtikrinimo ir kt. metodus taiko audituojamas subjektas, ir pagal metodikų
kriterijus vertinti audito metu nustatytus faktus.
3.1.1. IS bendrosios kontrolės vertinimas
IS bendrosios kontrolės audito metu auditorius turi įvertinti pasirinktus IT procesus pagal
nustatytus vertinimo kriterijus ir nustatyti, ar informacinių sistemų valdymas atitinka teisės aktus.
Vertinant IS valdymą rekomenduojama naudoti COBIT IT kokybės užtikrinimo vadove nurodytus
pavyzdinius testavimo metodus ir / arba kitą audituojamo subjekto pasirinktą metodiką ar
reikalavimus (pvz., projektų valdymui PMBOK, PRINCE2).
Atliekant IS valdymo vertinimą būtina įvertinti ir tai, kaip audituojamame subjekte veikia IS
ir įgyvendinamos informacijos saugos strategijos, politikos (nuostatai), tvarkos, taisyklės, projektų
specifikacijos, naudotojų instrukcijos, ar audituojamas subjektas vadovaujasi minėtais dokumentais.
Įvertinus konkretų IT procesą, pateikiamas bendras vertinimas dėl audituojamo subjekto
pasirinktų kontrolės priemonių pakankamumo, jų taikymo efektyvumo, išskiriant neatitiktį teisės
aktų reikalavimams. Jei audito metu nustatoma geroji IT valdymo praktika, kuri galėtų būti
pritaikyta kitame viešojo sektoriaus subjekte, tai pažymima pateikiant nagrinėtos srities vertinimą.
Pateikiant apibendrintus vertinimus, turi būti įvertintas nustatytų faktų / trūkumų reikšmingumas,
mastas, priežastys ir poveikis.
IS bendroji kontrolė gali būti įvertinta naudojantis Gebėjimų brandos modeliu (10 priedas).
IS gebėjimų branda gali būti nustatoma įvertinant visą IS bendrąją kontrolę (suteikiant vieną bendrą
balą) arba įvertinant IT procesų kontrolę (suteikiant balus kiekvienam procesui atskirai).
file:///C:/Users/SNOW/AppData/Local/Opera/Opera/temporary_downloads/7%20CMM-VK.doc
3. Pagrindinis tyrimas
18
Inicijavimo stadija
Specifikavimo stadija
3.1.2. IS kūrimo kontrolės vertinimas
IS kūrimas vertinamas pagal teisės aktų reikalavimus IS kūrimui, ISACA Sistemų
projektavimo ir projektų valdymo audito programą1 ir / arba audituojamo subjekto pasirinktą
projekto valdymo metodiką – priklausomai nuo IS kūrimo etapo.
Teisės aktuose numatyta IS gyvavimo ciklo metodika apima stadijas, etapus, kontrolę ir
dokumentų rengimo tvarką visame IS plėtros procese. Atlikto darbo išsamumui ir kokybei patikrinti
kiekvieno etapo metu numatomi kontrolės taškai ir tikrinimo procedūros. Kontrolės taškai turi sutapti
su tais laiko momentais, kuriuose numatoma gauti konkrečius rezultatus, pavyzdžiui: projektinius
sprendimus, dokumentus ir pan.
Šios stadijos metu audituojamas subjektas turi parengti įtikinamą, įrodymais ir
faktais pagrįstą IS kūrimo pagrindimą. Inicijavimo dokumentai turėtų būti
kruopščiai įvertinti ir leisti auditoriui susidaryti nuomonę apie priimtą sprendimą, susijusį su IS kūrimo pagrįstumu. Šie
dokumentai turėtų įtikinti, kad projektas subjektui atneš realios naudos, pagrįstų būtinybę toliau tęsti arba nutraukti
inicijuotą projektą. Inicijavimo metu turėtų būti iš vadovybės gautas sutikimas pradėti projektą ir su ja aptartas projekto
valdymo modelis. Taip pat nusakytas IS kūrimo pagrindas, apibūdinta organizacinė struktūra ir kaupiamų duomenų
šaltiniai, numatyta IS funkcinė ir informacinė struktūra. Ši informacija turėtų atsispindėti rengiant IS nuostatų projektą ir
tvirtinant nuostatus. Inicijavimas gali būti susijęs su viso arba vieno iš projekto etapų įgyvendinimu, todėl iniciavimo
etapas gali pasikartoti IS gyvavimo cikle.
Šios stadijos metu turi būti nustatomi tikslai, kurių siekiama kuriant IS, pasiūlyta IS
koncepcija, t. y. samprata apie IS. Taip pat turi būti suformuluoti reikalavimai
būsimai IS, nustatyti jos kūrimo ribojimai (finansiniai, techniniai ir kt.) ir parengta IS specifikacija, aprašanti kūrimo
tikslus, projekto valdymą, IS keliamus reikalavimus, finansinius ir kitokius ribojimus. Analizuodami specifikavimo
stadiją, auditoriai turi įvertinti, ar į specifikacijos rengimo procesą buvo įtraukti galutiniai vartotojai, ar buvo peržiūrėti
visi reikiami dokumentai, identifikuoti visi duomenys ir duomenų apdorojimo procesai, kurie būtini būsimos IS funkcijų
apibrėžimui. Taip pat auditoriui svarbu įsitikinti, ar specifikavimo metu galutinių vartotojų reikalavimai buvo tinkamai
suprasti ir įtraukti į specifikaciją, siekiant vėlesniuose kūrimo etapuose išvengti naujų pokyčių ar reikalavimų, kurie
vėlintų visą kūrimo procesą arba turėtų įtakos IS veiksmingumui.
Turi būti detalizuota ir patikslinta IS specifikacija: konkretizuota joje pateikta IS
samprata, sudarytas IS koncepcinis modelis (jis turi atitikti subjekto poreikius) ir
išanalizuoti IS realizavimo variantai. Pasirinktas IS realizavimo variantas turi būti ekonomiškai, techniškai ir socialiai
pagrįstas. Remiantis IS reikalavimais turi būti suformuluoti reikalavimai ir parengtos specifikacijos IS komponentams.
Parengtą bendrą IS projektą (aprašą) turi patvirtinti audituojamo subjekto vadovybė. Jei kuriama nesudėtinga IS, jos
koncepcinio modelio galima nerengti, tačiau turi būti patikslinta IS specifikacija. Sudėtingos IS koncepcinis modelis ir
aprašas gali būti hierarchinis. Aukščiausiojo lygio IS koncepciniame modelyje ir specifikacijoje turi būti nagrinėjamos
kompiuterizuojamo objekto ir kuriamų posistemių sąveika. Kiekvienai posistemei turi būti rengiamas savas koncepcinis
modelis, specifikacija ir t. t.
Šios stadijos metu turi būti sukurti arba įsigyti reikalingi IS komponentai
(aparatinė, programinė įranga, taikomosios programos, duomenų bazės ir kt.),
kurie turi būti sujungti į visumą. Sukonstruota IS turi tenkinti specifikacijoje ir parengtame projekte suformuluotus
reikalavimus. Yra daug įvairių būdų, kuriais gali būti kuriami IS komponentai, pavyzdžiui: „krioklio“ (angl. waterfall),
prototipo metodas, skubus taikomųjų programų kūrimas (angl. Rapid application developmen (RAD)), CASE ir
objektinis programavimas ir t. t. Kiekviena metodika turi savo kūrimo etapus. Etapų eiliškumas ir reikalingumas
aprašomas konkretaus kūrimo atveju, tačiau nepriklausomai nuo pasirinktos kūrimo metodikos konstruojami IS
komponentai turi būti tinkamai išbandyti, atliktas jų integravimas ir bendras sukonstruotų IS bandymas. Auditorius pagal
taikytą kūrimo metodiką turi įvertinti parengtų IS komponentų dokumentų ir atliktų programavimo darbų tinkamumą, jų
bandymų rezultatus.
1 Systems Development and Project Management Audit/Assurance Program (Jan 2009), ISACA, 2009, USA.
Projekto rengimo stadija
Konstravimo stadija
http://www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/Audit-Programs/Documents/SysDevandProjMgmt_Prog_20Jan09_Research.doc
3. Pagrindinis tyrimas
19
Šios stadijos metu sukonstruota IS turi būti įdiegta, parengta darbui, parengtos
darbo vietos ir išmokyti dirbti būsimi IS vartotojai. Taip pat turi būti atlikta
diegiamos IS bandomoji eksploatacija, pašalinti jos metu pastebėti trūkumai. Atsižvelgiant į bandomosios eksploatacijos
metu sukauptą patirtį diegiama IS turi būti patobulinta. Diegiant IS keliose vietose trūkumų šalinimas turi būti
kartojamas kiekvienoje vietoje. Diegimo stadijos metu sukurta IS turi būti pradėta eksploatuoti. Jei sukurta IS turi
pakeisti anksčiau veikusią IS, bandomosios eksploatacijos metu galima pradėti senos IS likvidavimo darbus. Perėjimas
nuo senos IS prie naujos arba tik naujos IS diegimas turi įvykti po to, kai naujai sukurta IS buvo sėkmingai išbandyta ir
audituojamas subjektas pasirašė jos priėmimo perdavimo aktą, o galutiniai vartotojai yra patenkinti naujai sukurtu
produktu. IS diegimo stadijos etapas turėtų baigtis audituojamam subjektui nustačius IS kūrimo projekto sėkmės lygį ir
įvertinus ar nauja IS pasiekė planuotus kūrimo tikslus, vartotojų lūkesčius ir techninius reikalavimus. Taip pat svarbu
nustatyti visas išmoktas pamokas, kurios gali būti naudojamos, siekiant pagerinti audituojamo subjekto IS kūrimo
procesą. Auditorius turėtų įvertinti, ar audituojamas subjektas atliko minėtus veiksmus ir ar jo atliktas IS kūrimo
projekto vertinimas atitinka faktinius kūrimo rezultatus.
Turi būti įgyvendinti IS specifikacijoje numatyti tikslai ir tenkinami specifikavimo
stadijos metu nustatyti vartotojų poreikiai. Šiame etape aptarnaujant IS, stebint jos
darbą saugumo, integralumo, veiklos tęstinumo, duomenų kopijų darymo ir kiti
trūkumai turi būti aptinkami ir šalinami. Eksploatuojama IS turi būti nuolat
tobulinama, pritaikant ją kintantiems vartotojų poreikiams. Peržiūrint IS
eksploatacijos metu sukauptą informaciją gali būti priimtas sprendimas tobulinti IS
specifikaciją. Modernizuojant sukurtą IS turi būti laikomasi IS gyvavimo ciklo reikalavimų nuo iniciavimo iki
naudojimo, administravimo, priežiūros ir modernizavimo stadijos.
Ji prasideda tada, kai nusprendžiama esamą IS pakeisti nauja arba jeigu yra
panaikinamos teisės aktuose nustatytos funkcijos, kurioms atlikti buvo įsteigta IS.
Šios stadijos metu turi būti pamažu nustojama eksploatuoti esama IS ir, jei nusprendžiama, pradedama naudoti naujoji.
Šiems darbams turi būti tinkamai pasiruošta – suplanuota esamos IS likvidavimo eiga ir eksploatacijos pabaiga. IS
likvidavimo priemonės rengiamos tada, kai norima pereiti nuo esamos prie naujos IS. Esama IS gali būti likviduojama
vykdant naujos IS bandomąją eksploataciją. Eksploatacijos pabaiga yra tada, kai pagal esamos IS likvidavimo planą
nustojama naudotis IS funkcijomis, ir IS likviduojama.
Projektuojant paprastesnes IS, projekto rengimo ir konstravimo stadijos gali būti sujungtos į
vieną – projekto rengimo stadiją.
Vertinant IS kūrimą rekomenduojama naudotis 11 priede pateiktu aprašymu, kuriame
nurodytos pavyzdinės, auditoriaus laisvai pasirenkamos kiekvienos stadijos tikrinimo užduotys ir
kontrolės taškai, ir pavyzdine ISACA Sistemų kūrimo ir projektų valdymo audito programa.
IS kūrimo kontrolės vertinimo rezultatai gali būti pateikti įvertinant procesų brandą pagal
ISACA Sistemų kūrimo ir projektų valdymo audito programos rekomendacijas.
Diegimo stadija
Likvidavimo stadija
Naudojimo,
administravimo,
priežiūros ir
modernizavimo stadija
3. Pagrindinis tyrimas
20
Apdorojimo kontrolės
testavimas
Įvesties kontrolės
testavimas
3.1.3. Taikomųjų programų kontrolės vertinimas
Taikomųjų programų kontrolės priemonės yra unikalios kiekvienai taikomajai programai,
todėl IS audito vadove pateikiamos tik pagrindinės kontrolės testavimo užduotys. Auditorius,
vertindamas taikomųjų programų kontrolę, turėtų atlikti ne mažiau kaip 5 išsamius sistemos darbo
stebėjimus – nuo duomenų suvedimo iki rezultato gavimo. Nuspręsdamas, ar taikomųjų programų
kontrole galima pasikliauti, auditorius turėtų įsitikinti, kad kontrolė veikė efektyviai visą audituojamą
laikotarpį. Taikomųjų programų kontrolės vertinimo etapai:
Tikslas – įsitikinti, kad į taikomąją programą įvedami duomenys yra tikslūs,
autentiški, išsamūs, anksčiau nebuvo naudojami ir įvedami tiksliai be
dubliavimo tik tam įgaliojimus turinčių asmenų.
Duomenų įvesties kontrolė ypač svarbi, siekiant išvengti taikomųjų programų klaidų, sukčiavimo atvejų ir užtikrinant
taikomosios programos vientisumą. Duomenų įvesties kontrolė gali būti pripažinta netinkama, jei taikomojoje
programoje įdiegtas kontrolės priemones galima apeiti, o taikomosios programos duomenis pakeisti arba įvesti kitais
būdais. Būtina išnagrinėti šiuos duomenų įvesties kontrolės aspektus:
Įvesties autorizacija. Audituojamas subjektas turi nustatyti procedūras ir kontroliuoti, kad visi duomenys prieš juos
įvedant į taikomąją programą būtų įvesti ir patvirtinti tik tam įgaliojimus turinčių asmenų. Reikia įsitikinti, kad
atitinkami taikomosios programos prieigos lygiai buvo nustatyti ir jie buvo veiksmingi visą audituojamą laikotarpį.
Įvesties duomenų išsamumas. Auditorius turi įsitikinti, kad taikomosios programos įrašai išsamūs ir juose netrūksta
jokių esminių duomenų. Svarbu įsitikinti, kad išlaikomas visas taikomajai programai apdoroti išsiųstų įvesties
duomenų ir kompiuterinių operacijų įrašų žurnalas (angl. log), kuris turėtų būti peržiūrėtas ir patvirtintas veiksmus
atlikusių darbuotojų vadovo. Taip pat būtina patikrinti, ar taikomoji programa fiksuoja neišsamius įvesties duomenis ir
parengia jų įvesties ataskaitas.
Įvesties duomenų patvirtinimas (pripažinimas galiojančiu). Taikomosiose programose turi būti sukurtos kontrolės
priemonės, kurios patikrina, ar įvesties duomenys yra tikslūs ir galiojantys, pavyzdžiui: įvesties duomenų formato
patikrinimai, leistinų ribų, limitų, įvestų skaitmenų patikrinimas, duomenų suderinamumo patikrinimas ir kt.
Patvirtinimas taip pat gali būti atliekamas rankiniu būdu, pavyzdžiui: įvesties duomenis patikrina ne juos įvedęs asmuo
arba įvestus duomenis peržiūri vadovas. Įvesties duomenų patvirtinimas gali sumažinti taikomosios programos loginių
klaidų riziką, nes galima išvengti loginių klaidų, kurios atsiranda bandant apdoroti įvesties duomenis su reikšmėmis,
viršijančiomis iš anksto nustatytus apribojimus (pvz., tryliktas mėnuo, neigiamas skaičius ir pan.).
Dublikatų patikrinimais. Įvesties duomenų, kuriuos reikia apdoroti apskaitos ar kitoms taikomosiomis programomis,
nuolat daugėja. Nesiimant kontrolės priemonių, didėja rizika, kad bus įvesti pasikartojantys įrašai ir jie liks nepastebėti.
Siekiant sumažinti šią riziką taikomosiose programose turi būti sukurta galimybė nustatyti pasikartojančius įvesties
įrašus, pvz., lyginant naujus įvesties duomenis su anksčiau įvestais. Auditoriui, norinčiam patikrinti, ar taikomosiose
programose nėra pasikartojančių įrašų, rekomenduojama pasinaudoti CAAT programine įranga (detaliau žr. 4 skyrių).
Sutampantys įvesties duomenys. Reikia įsitikinti, ar taikomoji programa patikrina ir lygina įvesties įrašų duomenis su
duomenimis, esančiais kitame susijusiame įraše, pavyzdžiui, įvesti duomenys apie gautas prekes yra automatiškai
palyginami su tiekėjo sąskaita faktūra ir sistemoje esančiais užsakymo duomenimis. Nustačius neatitikimą, taikomoji
programa turėtų suformuoti duomenų neatitikties ataskaitą, o atsakingi asmenys imtis veiksmų, kad nustatytų
neatitikimų priežastis.
Taikomosios programos atmesta įvestis. Reikia įsitikinti, ar nustatytos procedūros, kaip elgtis su įvesties
duomenimis, kuriuos taikomoji programa atmetė (pvz., jie neatitiko taikomojoje programoje numatytų įvesties
reikalavimų). Taip pat reikia patikrinti, ar nustatytos procedūros, kurios užtikrina, kad visi atmesti įvesties duomenys
vėliau bus ištaisyti, pakartotinai pateikti ir priimti taikomojoje programoje. Auditorius turi patikrinti, kaip taikomojoje
programoje identifikuojami, koreguojami ir trinami neatpažinti įvesties duomenys.
Tikslas – įsitikinti, kad taikomojoje programoje bus išsamiai ir teisingai
apdorojami įvesties duomenys, o neteisingi duomenys nebus tvarkomi.
Duomenų apdorojimo kontrolė turėtų užtikrinti, kad naudojami tik teisėti duomenys ir programos bylos (failai), duomenų
apdorojimas yra tikslus ir užbaigtas, o tvarkomi duomenys bus įrašyti į tinkamas bylas (failus). Taikomoji programa turėtų
patikrinti duomenų, kuriuos ji apdoroja, vientisumą, pavyzdžiui, naudojant duomenis, gautus iš kontrolinių sumų.
Taikomoji programa taip pat turi turėti apdorojamų duomenų žurnalą (angl. log), kuriame turi būti pakankamai
informacijos aiškiai identifikuoti kiekvieno duomens apdorojimą. Auditoriui reikia įsitikinti, ar taikomojoje programoje
sukurtos kontrolės priemonės aptinka neišsamius arba netikslius apdorojamus įvesties duomenis, aptikusi apdorojimo
proceso klaidas, apie jas praneša atsakingiems asmenims. Taip pat turi būti numatytos procedūros, kurios leidžia nustatyti
ir peržiūrėti visas neaiškias operacijas, kurios įvyko per tam tikrą laiką, pavyzdžiui, per mėnesį, ketvirtį ar metus.
3. Pagrindinis tyrimas
21
Tikslas – įsitikinti, kad taikomosios programos pateikiama išvestis yra
išsami, tiksli, teisinga ir laiku pateikta.
Siekiant apsaugoti duomenų išvedimo vientisumą turi būti įdiegtos fizinės ir loginės kontrolės, o išvedami duomenys ir
duomenų bylos turi būti apsaugoti nuo neteisėto pakeitimo. Siekiant nuslėpti neteisėtus procesus, gali būti keičiami
išvedami duomenys. Auditorius turėtų įvertinti, ar kontrolės priemonės užtikrina išvedamų arba persiunčiamų iš vieno
apdorojimo etapo į kitą duomenų tikslumą. Duomenų išvedimas iš vienos IS gali formuoti įvedimą kitoje IS, kol
galiausiai gaunamas išvesties rezultatas.
Tikslas – įsitikinti, kad taikomosios programos pagrindinių duomenų bylų
įrašai yra išsamūs, tikslūs, o pagrindinės duomenų bylos tinkamai
apsaugotos.
Fizinė ir loginė prieiga prie taikomosios programos pagrindinių duomenų bylų (angl. master data files) turi būti
ribojama ir kontroliuojama. Pakeitimus pagrindiniams duomenims gali atlikti tik įgalioti asmenys, o jų atliekami
veiksmai turi būti tinkamai kontroliuojami. Taikomosios programos pakeitimų procedūros turėtų būti tinkamai
dokumentuotos, valdomos įgaliotų vadovų ir vėliau peržiūrimos atsakingų asmenų. Pagrindinių duomenų bylų ir juose
esančių įrašų vientisumas turėtų būti patvirtinamas periodiškai juos suderinant su nepriklausomai saugomais įrašais,
pavyzdžiui duomenų bylų atsarginėmis kopijomis.
Vertinant taikomųjų programų kontrolę rekomenduojama naudotis 12 priede pateiktu
aprašymu, kuriame nurodytos pavyzdinės visų etapų kontrolės testavimo užduotys ir pavyzdinė
ISACA Taikomųjų programų audito programa. Testavimo užduotis auditorius gali keisti ir pasirinkti
atsižvelgdamas į audituojamo subjekto taikomųjų programų kontrolės aplinką, tačiau visi testavimo
užduočių pasirinkimai turi būti pagrįsti ir dokumentuoti.
Auditorius, atlikęs taikomosios programos duomenų įvesties, apdorojimo, išvesties ir
pagrindinių duomenų ir duomenų bylų kontrolės analizės ir testavimo procedūras, įvertina
taikomosios programinės įrangos patikimumą (12 priedas). Atkreiptinas dėmesys, kad taikomųjų
programų kontrolės būklė tiesiogiai susijusi su bendrosios kontrolės būkle. Taikomųjų programų
kontrolės būklė gali būti įvertinta pagal ISACA Taikomųjų programų audito programoje pateiktas
brandos įvertinimo gaires.
Taikomųjų programų kontrolės vertinimo rezultatai gali būti panaudoti planuojant IS veiklos
auditus (žr. 2.3 poskyrį).
Pagrindinių duomenų bylų
kontrolės testavimas
Išvesties kontrolės
testavimas
3. Pagrindinis tyrimas
22
3.1.4. Taikomųjų programų kontrolės vertinimas finansinio audito metu
Atlikdamas audituojamo subjekto apskaitoje naudojamų taikomųjų programų kontrolės
vertinimą, auditorius turi nustatyti, ar kontrolės procedūros įdiegtos ir jos veikia įvedant duomenis į
konkrečią sistemą, juos apdorojant, išvedant ir apsaugant pagrindines duomenų bylas (pvz.:
klasifikatorių duomenis: PVM, nusidėvėjimo normatyvai). Taikomųjų programų kontrolės
dokumentų analizė, kontrolės testavimas ir įvertinimas atliekami taip, kaip nurodyta 6 pav.,
rekomenduojama naudotis 3 priede pateiktu klausimynu. (2014-11-27 Nr. V-206).
6 pav. Taikomųjų programų kontrolės vertinimas
Įvertinti taikomųjų programų kontrolės priemones
Įvertinti taikomųjų programų kontrolę pagal 3 priedą.
Pastaba: sudėtingų IS vertinimui gali būti pasitelkiami IS auditoriai.
Ar kontrolės procedūros efektyvios?
TAIP NE
Nekeisti kontrolės rizikos įvertinimo. Pakeisti (peržiūrėti) kontrolės rizikos įvertinimą
(negaunamas kontrolės patikimumas) ir reikiamų
pagrindinių audito procedūrų apimtis.
Atlikti suplanuotas pagrindines audito procedūras ir pateikti vertinimą.
aa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa aaaaaaaaaa
Pabaiga
Auditorius, vertindamas taikomųjų programų kontrolės efektyvumą, turėtų atlikti 1–2
išsamius automatizuotų kontrolės priemonių sistemos darbo stebėjimus (nuoseklios peržiūros testus)
– nuo duomenų suvedimo iki rezultato gavimo. Rankinių kontrolės priemonių apimtis nustatoma
pagal Finansinio ir teisėtumo audito vadovo 17 dalį „Audito atranka“.
Auditorius, atlikęs taikomųjų programų kontrolės vertinimą, nustato, kiek galima pasitikėti
taikomąja programine įranga. Jeigu numatytos pakankamos vidaus kontrolės procedūros ir jos veikia,
yra nuolat stebimos, tai vidaus kontrolė gali užtikrinti informacijos saugumą (konfidencialumą,
vientisumą ir prieinamumą). Jeigu vidaus kontrolės procedūros nepakankamos, bet yra riziką
mažinančių priemonių (kompensuojamoji kontrolė, pvz., dalies duomenų dubliavimas popieriuje),
el. duomenų patikimumas padidėja. Jeigu auditorius nustato, kad institucijoje nėra sukurta tinkama IS
bendroji kontrolė ir (ar) apskaitoje naudojamų taikomųjų programų kontrolė neužtikrina teisingo
duomenų suvedimo, apdorojimo, saugojimo ir gavimo, auditorius apie tai informuoja audituojamą
subjektą. Atlikto taikomųjų programų kontrolės vertinimo rezultatai (darbo dokumento el. kopija)
pateikiami IS auditus atliekančiam Valstybės kontrolės struktūriniam padaliniui.
file:///C:/Users/SNOW/AppData/Local/Opera/Opera/temporary_downloads/3%20Taikomosios%20programines%20irangos%20kontroles%20klausimynas.dochttp://www.vkontrole.lt:81/isakymas.aspx?id=34c75d4e-9ff1-400c-892f-446039b4057f
3. Pagrindinis tyrimas
23
3.2. IS veiklos auditai
IS veiklos auditai atliekami pagal Veiklos audito vadove numatytas procedūras,
rekomenduojama atsižvelgti į INTOSAI IT audito komiteto parengtą mokymo „Value for Money
Audit“ medžiagą IT auditoriams.
4. Duomenų rinkimas ir vertinimas
24
4. Duomenų rinkimas ir vertinimas
Audito metu IS auditorius turi gauti pakankamų ir tinkamų įrodymų, būtinų audito tikslams
pasiekti. Audito išvados turi būti pagrįstos audito įrodymais. Duomenys renkami ir vertinami
skirtinguose audito proceso etapuose – planuojant auditą, atliekant pagrindinį tyrimą ir stebėjimą po
audito. Visuose etapuose auditoriai gali taikyti skirtingus duomenų rinkimo ir vertinimo metodus
(Veiklos audito vadovo 4 priedas).
ISACA 2205 gairė IS auditoriui rekomenduoja, kaip gauti tinkamus ir pakankamus audito
įrodymus ir parengti pagrįstas išvadas, kuriomis remtųsi audito rezultatai. Nustatydamas audito
imties dydį ir struktūrą, IS auditorius turėtų atsižvelgti į konkrečius audito tikslus, duomenų aibės
savybes ir imties bei atrankos metodus. Vykdant kontrolės priemonių atitikties testavimą paprastai
naudojama atranka pagal požymius, kai atrankos vienetas yra operacija arba įvykis (pvz., tokia
kontrolės priemonė kaip leidimas, nurodomas ant sąskaitos faktūros). Detaliojo testavimo atveju
dažnai naudojamas statistinis piniginio vieneto atrankos metodas. Norint palengvinti efektyvų ir
rezultatyvų atrankos planavimą, galima pasinaudoti stratifikacija 22. Nustatydamas atrankos dydį, IS
auditorius turėtų atsižvelgti į jos riziką, priimtiną klaidų lygį ir tikėtiną jų pasitaikymo lygį (detaliau
apie pavyzdžių atranką ir dokumentavimą ISACA 2208 IS audito gairėje). (2014-11-27 Nr. V-206).
Kompiuterizuotos audito priemonės (CAAT)
Sąvoka CAAT vartojama įvairiausioms programuotoms procedūroms ir paketams, kuriuos
auditoriai gali naudoti, norėdami atlikti kontrolės testus arba surūšiuoti, palyginti ar paimti
duomenis išsamiam testavimui. Naudojant CAAT galima efektyviai patikrinti kontrolės procedūras
ir atlikti detaliuosius testus ten, kur nėra įvesties dokumentų ar aiškios audito sekos, arba kai
populiacijos ir imties dydžiai yra labai dideli.
Taikant CAAT, labai svarbu užtikrinti, kad auditoriaus naudojami duomenys būtų faktiškai
išsamūs ir teisingi. CAAT panaudojimas turi būti suplanuotas ir naudojamas tik tada, kai suteikia
papildomos naudos, ar kai rankinės procedūros yra neįmanomos ar mažiau efektyvios. CAAT gali
būti taikomos šiose srityse:
patikrinti (angl. validate) programas / sistemas. Vertinamas programinių kontrolių
funkcionalumas, atliekant programinio kodo peržiūrą, pavyzdžiui, atliekant išsamų programų
išeities kodo tyrimą, siekiant nustatyti klaidingą, savavališką (angl. unauthorised), neveiksmingą,
neefektyvų ar nestandartinį programos kodą, programos kodo palyginimą, lygiagretų modeliavimą,
sekimą (angl. tracing) ir momentines nuotraukas (angl. snapshot);
analizuoti duomenų bylas (angl. file). Naudojama duomenų bylų užklausų programinė
įranga (angl. File Interrogation Software), bendroji audito programinė įranga (pvz. ACL ir IDEA)
2 Stratifikacija – aibės suskirstymas į panašiomis savybėmis pasižyminčius poaibius, kai tos savybės apibrėžiamos labai tiksliai, kad
kiekvienas atrankos vienetas galėtų priklausyti tik vienam poaibiui.
http://www.vkontrole.lt:81/isakymas.aspx?id=34c75d4e-9ff1-400c-892f-446039b4057f
4. Duomenų rinkimas ir vertinimas
25
ir integruoti audito moduliai (angl. Embedded Audit Module).
Valstybės kontrolėje yra galimybė naudoti IDEA ir MS Excel audito priemones3. IDEA
įgalina duomenis analizuoti įvairiais pjūviais, leidžia lengvai iš didelės visumos išskirti dominančius
įrašus, daryti atranką ir grupuoti, siekiant nustatyti klaidas, problemas, specifinius klausimus ir
tendencijas. IDEA tiesiogiai nepadeda tikrinant procedūras, tačiau, jei auditorius, su IDEA atlikęs tam
tikrus tikrinimus, nustato, jog klaidų nėra, galima daryti išvadą, kad procedūros veikia tinkamai.
Taikant CAAT turi būti taikomos įprastos audito įrodymų gavimo taisyklės.
3 Detaliau apie Valstybės kontrolėje naudojamas kompiuterizuotas audito priemones intraneto srityje Darbo įrankiai–
Kompiuterizuotos audito priemonės.
5. Darbo dokumentavimas
26
5. Darbo dokumentavimas
IS audito darbo dokumentai rengiami pagal valstybės kontrolieriaus patvirtintus reikalavimus
veiklos audito darbo dokumentams. Jie turi būti parengti prieš audito ataskaitos projekto rengimą.
Surinkti audito įrodymai turi būti tinkamai dokumentuoti ir pateikti taip, kad jais būtų galima
pagrįsti IS audito išvadas. Auditorius turi dokumentuoti audito planą, kuriame pateikiama išsami
informacija apie audito tikslus, laiką, apimtį ir reikalingus išteklius. Audito procesą būtina pagrįsti
dokumentais, aprašant atliktą audito darbą ir audito įrodymus, pagrindžiančius auditoriaus išvadas.
IS audito darbo dokumentai yra oficialūs dokumentai, kuriuose registruojamas atliekamas audito
darbas ir surinkti įrodymai. Audito darbo dokumentai turi būti išsamūs, aiškūs, struktūrizuoti, su
rodykle, o peržiūrą atliekančiam asmeniui turi būti lengva jais naudotis ir suprasti. Būtina dokumentuoti:
ankstesnės audito dokumentacijos peržiūrą;
audito apimties ir tikslų planavimą ir rengimą;
vadovybės peržiūros posėdžių ir kitų su auditu susijusių posėdžių protokolus;
audito planą ir audito procedūras, atitinkančias audito tikslus;
vykdytus audito etapus ir surinktus audito įrodymus, vertinant kontrolės priemonių
stipriąsias ir silpnąsias puses;
audito rezultatus, išvadas ir rekomendacijas;
bet kokius apibendrinančius atlikto audito darbo dokumentus;
peržiūrą.
Darbo dokumentai įforminami pagal valstybės kontrolieriaus įsakymu patvirtintas Valstybės
kontrolės dokumentų rengimo taisykles. Darbo dokumentai tvarkomi ir saugomi pagal valstybės
kontrolieriaus įsakymu patvirtintas Valstybės kontrolės dokumentų tvarkymo ir apskaitos taisykles.
6. Audito ataskaita
27
6. Audito ataskaita
Išnagrinėjus visas pasirinktas sritis ir parengus audito darbo dokumentus, turi būti parengtas
IS audito ataskaitos projektas. Nustačius IS valdymo veiklos trūkumų, teikiamos rekomendacijos /
siūlymai dėl veiklos tobulinimo, siūloma ištaisyti pastebėtas kontrolės sistemos spragas.
IS auditų ataskaitos rengiamos ir įforminamos pagal valstybės kontrolieriaus patvirtintus
reikalavimus veiklos audito ataskaitoms. IS vidaus kontrolės vertinimo ataskaitose papildomai gali
būti pateikiama dalis „IS vidaus kontrolės branda“. IS vidaus kontrolės vertinimo ataskaitos turinys
pateikiamas pagal vertintus IT procesus. Audito ataskaitoje turi būti nurodyta atlikto audito tikslai,
pobūdis, audituojamas laikotarpis, apimtis ir atliktas audito darbas. Ataskaitoje turi būti pateikti
pastebėjimai, išvados ir rekomendacijos, taip pat bet kokie apribojimai, kvalifikacijos arba apimties
apribojimas, kuriuos turi auditorius audito atžvilgiu.
ISACA audito gairės rekomenduoja teikiant IS audito rezultatus informuoti apie imties
apribojimus tais atvejais, kai auditorius negali gauti pakankamų audito įrodymų. IS ataskaitoje
nurodomos neefektyvios kontrolės priemonės, jų nebuvimas ar nepakankamumo reikšmingumas ir
tai, ar jos gali turėti įtakos reikšmingiems ar esminiams trūkumams. Nustatydamas, kuriuos
rezultatus, išvadas ir rekomendacijas įtraukti į ataskaitą, IS auditorius turėtų atsižvelgti tiek į bet
kokių aptiktų klaidų reikšmingumą, tiek į galimą reikšmingumą tų klaidų, kokios galėtų atsirasti dėl
silpnų kontrolės priemonių. Tai turėtų būti laikoma reikšmingu dalyku ir todėl įtraukta į ataskaitą,
jeigu dėl kontrolės nebuvimo neįmanoma pagrįstai tvirtinti, kad bus pasiekti kontrolės tikslai.
Atsižvelgdamas į IS audito tikslus, auditorius turėtų svarstyti poreikį pranešti audituojamo
subjekto vadovybei ir apie tuos nustatytus vidaus kontrolės trūkumus, kurie nėra reikšmingi, ypač,
jeigu kontrolės priemonių sustiprinimo kaina yra maža.
7. Audito kokybės užtikrinimas
28
7. Audito kokybės užtikrinimas
IS auditų kokybės užtikrinimas atliekamas vadovaujantis valstybės kontrolieriaus
patvirtintomis Valstybinių auditų organizavimo, kokybės užtikrinimo ir kontrolės taisyklėmis. Tais
atvejais, kai IS auditoriai pasitelkiami atlikti audito procedūras veiklos ar finansinių auditų metu,
taikomos papildomos procedūros, numatytos Valstybės kontrolės Informacinių sistemų ir
infrastruktūros audito departamento dalyvavimo kitų audito departamentų atliekamuose audituose
tvarkos apraše.
Išorės ekspertų darbo įvertinimas
Jei atliekant IS auditą buvo pasitelkti ekspertai ar kiti auditoriai, atlikdamas jų darbo
dokumentų peržiūrą auditorius turi atlikti pakankamą audito darbą, kad galėtų patvirtinti, jog kito
eksperto darbas buvo tinkamai suplanuotas, prižiūrimas, dokumentuotas ir peržiūrėtas, ir
apsvarstyti, ar jų darbe teikiami audito įrodymai yra tinkami. Auditorius taip pat turi nuspręsti,
kokia apimtimi galima naudotis ir remtis eksperto darbu. Taip pat turėtų būti įvertinta atitiktis
taikytiniems profesiniams standartams.
Auditorius turi peržiūrėti kito eksperto parengtą galutinę atskaitą (-as), kad galėtų patvirtinti,
jog ji atitinka audito užduotyje nurodytą audito apimtį. Be to, turėtų įvertinti kitų ekspertų parengtų
ataskaitų naudingumą, tinkamumą ir atsižvelgti į svarbias kitų auditorių arba ekspertų išvadas.
Auditorius privalo įvertinti kito eksperto nustatytų įrodymų ir išvadų svarbą bendrajam
audito tikslui ir patikrinti, ar atliktas visas, pagrindiniam audito tikslui įgyvendinti reikalingas,
papildomas darbas.
8. Stebėjimas po audito
29
8. Stebėjimas po audito
Baigus IS vidaus kontrolės vertinimo ar IS veiklos auditą, rekomendacijų įgyvendinimo
stebėsena vykdoma vadovaujantis valstybės kontrolieriaus įsakymu patvirtintu Valstybinio audito
rekomendacijų pateikimo ir įgyvendinimo stebėsenos tvarkos aprašu. Už IS audito rekomendacijų
įgyvendinimo stebėseną ir atsiskaitymą už jų įgyvendinimo rezultatus atsakingas audito grupės
vadovas ar kitas audito departamento vadovo paskirtas auditorius.
Priedai
30
Priedai Informacinių sistemų audito vadovo
1 priedas
(2014-11-27 Nr. V-206).
Auditui aktualių IS sudėtingumo vertinimas
Įvadas
Šiuo sudėtingumo vertinimo klausimynu siekiama padėti finansiniam auditoriui įvertinti subjekto informacinėms sistemoms būdingą sudėtingumo lygį ir apsispręsti, ar reikalinga IS
audito ar IT specialistų pagalba planuojant ir vykdant audito procedūras.
Klausimyną sudaro standartiniai klausimai, kurių kiekvienas turi standartinių atsakymų rinkinį.
Finansinis auditorius šį klausimyną turėtų pildyti diskutuodamas su audituojamo subjekto IT vadovais ir kiekvienam klausimui pasirinkti subjekto aplinkybes labiausiai atitinkantį
atsakymą.
Kiekvienas atsakymas vertinamas taškais. Kuo aukštesnis sudėtingumo lygis, tuo daugiau taškų. Užpildžius klausimyną, apskaičiuojama bendra taškų suma. Finansinis auditorius,
norėdamas nustatyti sudėtingumo lygį, turi patikrinti, kurias Įvertinimo lape pateiktas sudėtingumo ribas atitinka gauta bendra taškų suma.
Auditorius, įvertinęs subjekto IS sudėtingumą ir nustatęs, kad ji yra PAPRASTA arba VIDUTINĖ, sistemos vertinimą (pradedant dokumentų analize, įvertinimu ir baigiant IS
testavimu) turėtų atlikti savarankiškai, vadovaudamasis IS audito vadovu.
Jeigu įvertinus IS sudėtingumą nustatoma, kad ji yra SUDĖTINGA, šiuo atveju turėtų būti pasitelkti IS auditoriai ar IT specialistai.
Pažymėtina, kad taškų sistema ir sudėtingumo ribos yra tik santykinis rodiklis, kuriuo vertinamas subjekto IS sudėtingumas. Finansiniai auditoriai ir toliau turėtų vadovautis
profesine nuovoka planuodami audito procedūras ir IS auditorių ar IT specialistų dalyvavimą, ypač tais atvejais, kai IS įvertinimas svyruoja tarp VIDUTINĖS ir SUDĖTINGOS. Tai
nereiškia, kad IS neturėtų būti vertinama; finansiniai auditoriai gali apsispręsti, ar IS auditoriaus ar IT specialisto dalyvavimas yra būtinas IS vertinimo užbaigimui ir išsamesniam
finansinių operacijų testavimui.
IS analizės metu gali išaiškėti, kad audituojamo subjekto apskaitos informacijos apdorojimą ir priežiūrą atlieka išorinė trečioji šalis. Tokiais atvejais audito procedūros turėtų būti
atliekamos pagal 402-ojo TAS nuostatas.
Formos struktūra (pildoma XLS). Formą sudaro įvertinimo lapas, kuriame pateikiami sudėtingumo lygiai, susieti su vertinimo bendro taškų skaičiaus ribomis, ir klausimai.
Kiekvienas klausimas, jeigu įmanoma, pateikiamas su komentarais ir paaiškinimais.
SVARBU Klausimynas neskirtas pateikti audituojamam subjektui.
Klausimyną pildo pats auditorius, kalbėdamas su atitinkamais audituojamo subjekto darbuotojais, stebėdamas aplinką ir analizuodamas surinktus įrodymus.
http://www.vkontrole.lt:81/isakymas.aspx?id=34c75d4e-9ff1-400c-892f-446039b4057f
Priedai
31
KLAUSIMAS ĮVERTINIMAS 1 Kokia audito apimtis?
Pasirinkite visus tinkamus atsakymus.
Finansinis ir teisėtumo auditas [5 taškai]
Teisėtumo auditas [0 taškų]
Reikalavimas pateikti komentarus specifiniais IT klausimais [20 taškų]
2 Ar audituojamas subjektas dalyvauja šių sričių veikloje?
Pasirinkite visus tinkamus variantus, net jeigu tik viena sritis yra pagrindinė subjekto veiklos sritis.
Mokesčių pajamų surinkimas, soc. draudimo įmokų surinkimas ir išmokos, sveikatos draudimo įmokų surinkimas ir išmokos [30 taškų]
Pajamų už teikiamas paslaugas surinkimas
(kai tai sudaro reikšmingą dalį nuo visų pajamų) [5 taškai]
Biudžeto programų vykdymas [5 taškai]
3 Kokios kitos subjekto sistemos šalia pagrindinių apskaitos žurnalų (didžiosios knygos) yra kompiuterizuotos?
Pasirinkite vieną variantą.
Kitos IS paprastai apima atsargų apskaitos, personalo, darbo užmokesčio ir kitų apskaitos sričių ar atskaitomybės sistemas.
Visos arba dauguma veiklos sistemų [10 taškų]
Kai kurios kitos apskaitos sistemos [5 taškai]
Jokių kitų sistemų [0 taškų]
4 Ar audituojamas subjektas naudojasi tiesioginiais kompiuterizuotais ryšiais su trečiosiomis šalimis?
Pasirinkite „Taip“ arba „Ne“. Jeigu tokie ryšiai yra esminė subjekto veiklos sąlyga ir pagrindinis jos vykdymo elementas, pasirinkite „Taip“.
Čia patenka keitimasis el. duomenimis (išskyrus el. paštą) - el. iš anksto suformuotų finansinių operacijų ar duomenų, tokių kaip pavedimai ar prekių užsakymai, perdavimas.
Taip [30 taškų]
Ne [0 taškų]
5 Ar audituojamas subjektas turi įsidiegęs bet kokias kliento serverio aplikacijas savo pagrindinėse darbo vietose?
Pasirinkite „Taip“ arba „Ne“. Kliento serverio aplikacija – tai programinė įranga, leidžianti vykdyti didelės apimties duomenų apdorojimą keliose geografiškai skirtingose
vietose. Kliento serverio technologijos pavyzdžiai: SAP, Oracle Financials, PeopleSoft.
Taip [20 taškų]
Ne [0 taškų]
6 Kiek audituojamas subjektas turi IT specialistų?
Pasirinkite vieną atsakymą. Į šį skaičių įeina audituojamo subjekto darbuotojai, trečiųjų šalių (pvz., IT paslaugų tiekėjų) specialistai ir pagal sutartis samdomi IT specialistai.
Keturi ir mažiau [0 taškų]
Nuo 5 iki 50 [5 taškai]
Nuo 51 iki 99 [15 taškų]
Šimtas ir daugiau [40 taškų]
IT priežiūrą vykdo trečioji šalis pagal sutartį [10 taškų]
Priedai
32
7 Kiek vartotojų turi prieigą prie auditui aktualios informacinės sistemos?
Pasirinkite vieną atsakymą. Į šį skaičių nepatenka IT personalas, kuris pateko į 6-ojo klausimo atsakymą.
Mažiau negu penkiasdešimt [0 taškų]
Nuo 50 iki 100 [5 taškai]
Nuo 101 iki 500 [10 taškų]
Nuo 501 iki 1000 [20 taškų]
Daugiau negu 1000 [40 taškų]
8 Įvertinkite vidutinę daugumos galutinių vartotojų (pvz., darbuotojų) patirtį?
Pasirinkite vieną atsakymą.
Iki šešių mėnesių [20 taškų]
Nuo 6 mėnesių iki 1 metų [10 taškų]
Nuo 1 iki 2 metų [5 taškai]
Daugiau negu 2 metai [0 taškų]
9 Kuris iš šių variantų geriausiai apibūdina subjekto IS ryšius ir techninės įrangos aplinką?
Pasirinkite vieną atsakymą. Jei tinka keli variantai, pasirinkite tą, kuris geriausiai apibūdina subjekto IT aplinką.
Tarnybinių stočių (serverių) ir personalinių kompiuterių tinklas (duomenų srautai vidaus, į(iš) išorę(ės)) [20 taškų]
Tarnybinių stočių (serverių) ir personalinių kompiuterių tinklas (duomenų srautai vidaus, tik į išorę) [15 taškų]
Tarnybinių stočių (serverių) ir personalinių kompiuterių tinklas (tik vidaus duomenų srautai) [10 taškų]
Personaliniai kompiuteriai, kurių kiekvienas skirtas daugiau nei vienam vartotojui, arba personalinių kompiuterių tinklas be tarnybinės stoties
(serverio) [5 taškai]
Nesujungti į tinklą personaliniai kompiuteriai, kurių kiekvienas skirtas tik vienam vartotojui [0 taškų]
10 Kokiu mastu subjektas naudojasi internetu?
Pasirinkite vieną atsakymą. Didelė įtaka reikštų situaciją, kai nuo interneto priklauso subjekto veiklos pagrindinės sritys (teikiamos paslaugos), o ne smulki pagalbinė
(papildoma) veikla. Auditorius turės atlikti išsamų šios srities vertinimą ir nustatyti tikėtiną tokios veiklos įtaką finansinei atskaitomybei.
Turi didelę įtaką pagrindinėms subjekto veiklos sritims [40 taškų]
Turi įtakos kai kurioms subjekto veiklos sritims [10 taškų]
Neturi įtakos subjekto veiklai [0 taškų]
11 Kiek subjektas naudoja telekomunikacijų sąsajas?
Pasirinkite vieną atsakymą. Atsakant į klausimą turėtų būti atsižvelgiama į tai, kokia apimtimi subjektas yra susijęs su skirtingais interneto adresais tiesioginio
(pastovaus)/momentinio (per modemą) ryšio priemonėmis, ir į tai, kokia apimtimi šios ryšio priemonės naudojamos tiekėjų ir vartotojų prisijungimams prie subjekto IS.
Plačiai naudojama daugelyje vietų [20 taškų]
Šiek tiek naudojama keliose vietose [10 taškų]
Mažai naudojama arba visai nėra (tik vidaus tinklo naudojimas) [0 taškų]
Priedai
33
12 Kiek audituojamas subjektas turi programinė įrangos, sukurtos pagal užsakymą (nestandartinių programinės įrangos paketų pirkimas)?
Pasirinkite vieną atsakymą.
Programinės įrangos kūrimas pagal užsakymą reiškia, kad ją kūrė specialiai subjektui jo paties IT specialistai arba pagal sutartis trečiosios šalys. Nepaisant to, reiktų būti
atidiems vertinant išteklių planavimo sprendimus (angl. Enterprise Resource Planing, ERP), tokius kaip SAP ar ORACLE. Nepaisant to, kad tai standartiniai programinės
įrangos paketai, norint juos pritaikyti konkretaus subjekto veiklai, reikia atlikti daug specifinių ir daug žinių reikalaujančių pritaikymo, modifikavimo darbų, todėl atsakant į šį
klausimą tokie darbai turėtų būti laikomi kūriniais pagal užsakymą.
Auditorius taip pat turėtų įvertinti programinės įrangos modifikavimo apimtis, nes smulkūs pakeitimai ne visada daro didelę įtaką.
Svarbiausios sistemos iš esmės buvo modifikuotos (pakeistos pagrindinės funkcijos) [30 taškų]
Audituojamu laikotarpiu buvo šiek tiek pakeitimų užsakymų [15 taškų]
Mažai arba visai nebuvo programavimo užsakymų [0 taškų]
13 Kaip dažnai subjektas keičia savo taikomąsias programas?
Pasirinkite vieną atsakymą.
Pakeitimai apima atnaujinimus ir vartotojų inicijuotus programinės įrangos patobulinimus.
Dažni pakeitimai (pvz., kiekvieną mėnesį vyksta svarbiausių sistemų įvairūs pakeitimai) [20 taškų]
Šiek tiek pokyčių (pvz., kiekvienos taikomosios programos 4 ar 5 pokyčiai per metus) [10 taškų]
Labai mažai arba jokių pokyčių [0 taškų] 14 Kiek sudėtingos yra subjekto taikomosios programos?
Pasirinkite visus tinkamus atsakymus, tačiau tik tuos, kurie susiję su svarbiais subjekto veiklos aspektais.
Yra automatizuotos sąsajos tarp taikomųjų programų bei sistemų ir duomenų valdymo sistemos [5 taškai]
Sistema generuoja operacijas, žmogus šiame procese nedalyvauja [20 taškų]
Trūksta veiksmų atlikimo sekos (angl. audit trail) įrašų ir operacijų autorizavimo, inicijavimo ir vykdymo popierinių įrodymų [10 taškų]
Vykdomi išplėstiniai ir kompleksiniai skaičiavimai [5 taškai]
15 Koks yra įprastas ūkinės operacijos įvesties į sistemą būdas?
Pasirinkite vieną variantą.
Jeigu įvestis skirtingose taikomosiose programose skiriasi, pasirinkite pačią sudėtingiausią taikomąją programą.
Duomenų įvesties apdorojimas vykdomas realiu laiku, pagrindinės bylos yra atnaujinamos iš karto [30 taškų]
Ūkinių operacijų paketai įvedami tiesioginio prisijungimo būdu, tačiau pagrindinės bylos atnaujinamos sukauptų duomenų paketais [10 taškų]
Įvedami tik duomenų paketai (nėra duomenų atnaujinimo tiesioginio prisijungimo būdu) [0 taškų]
Priedai
34
16 Kokios svarbos audituojamo subjekto naudojama finansinės apskaitos (ar kita auditui aktuali) informacinė sistema?
Pasirinkite vieną atsakymą.
Ypatingos svarbos ir svarbūs valstybės informaciniai ištekliai – tai IS, kurioje logiškai tarpusavyje susijusių duomenų konfidencialumo, vientisumo ir (ar) prieinamumo
praradimas gali sukelti ypač sunkius padarinius valstybei arba turėti neigiamą įtaką kitų valstybės institucijų ar įstaigų veiklai. Daugeliu atvejų atitinka teisės aktuose
numatytą I arba II IS kategoriją (pvz.: VBAMS, SFMIS, MAKIS ir pan.).
Žinybinės svarbos ir kiti informaciniai ištekliai – tai IS, kurioje programinės įrangos priemonėmis įgyvendinti tam tikri norminiais aktais nustatyti kontrolės mechanizmai
(pvz.: specializuotos apskaitos programos LABBIS III, UAB „Edrana“ programų rinkinys, „Navision Financials“, ligoninių IS, dokumentų vadymo IS ir pan.) logiškai
tarpusavyje susijusių duomenų konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti neigiamą įtaką organizacijos ar jos padalinio veiklai. Daugeliu atvejų
atitinka teisės aktuose numatytą III arba IV IS kategoriją.
Veikla nekompiuterizuota ar naudojamos tik standartizuotos biuro programos, pvz.: „MS Word“, „MS Excel“.
Ypatingos svarbos ir svarbūs valstybės informaciniai ištekliai [20 taškų]
Žinybinės svarbos ir kiti informaciniai ištekliai [10 taškų]
Veikla nekompiuterizuota [0 taškų]
BENDRAS TAŠKŲ SKAIČIUS 0
Įvertinimo skalė
Įvertinimo
taškai
Sudėtingumo
vertinimas
Audito metodai
0 iki 100 PAPRASTA Nereikia IS audito specialistų. Subjekto IS testavimas atliekamas pagal IS audito vadove numatytas procedūras.
101 iki 250 VIDUTINĖ Nereikia IS auditorių ar