LIETUVOS RESPUBLIKOS VALSTYBĖS KONTROLĖ INFORMACINIŲ SISTEMŲ AUDITO VADOVAS. Lietuvos Respublikos valstybės kontrolė

Transcription

1 1 LIETUVOS RESPUBLIKOS VALSTYBĖS KONTROLĖ INFORMACINIŲ SISTEMŲ AUDITO VADOVAS Vilnius 2013 Lietuvos Respublikos valstybės kontrolė

2 Informacinių sistemų audito vadovas Turinys 1. Informacinių sistemų audito samprata IS audito tikslas ir uždaviniai IS audito objektas ir samprata IS audito vertinimo kriterijai IS audito procesas 8 2. Planavimas Strateginis tyrimas IS vidaus kontrolės vertinimo planavimo procesas IS vidaus kontrolės vertinimo planavimas veiklos audito metu IS bendrosios kontrolės vertinimas finansinio audito metu IS veiklos audito planavimas Pagrindinis tyrimas IS vidaus kontrolės vertinimas IS bendrosios kontrolės vertinimas IS kūrimo kontrolės vertinimas Taikomųjų programų kontrolės vertinimas Taikomųjų programų kontrolės vertinimas finansinio audito metu IS veiklos auditai Duomenų rinkimas ir vertinimas Darbo dokumentavimas Audito ataskaita Audito kokybės užtikrinimas Stebėjimas po audito 29 Priedai 30 Lietuvos Respublikos valstybės kontrolė

3 3 Informacinių sistemų audito vadovas Įvadas Šis Informacinių sistemų audito vadovas yra sudėtinė Valstybės kontrolės parengtų metodinių dokumentų, susijusių su audito atlikimu, dalis. Vadovas skirtas auditoriams atliekantiems informacinių sistemų auditus ir informacinių sistemų vertinimus finansinio ar veiklos audito metu. Šis vadovas skirtas padėti auditoriams geriau suprasti informacinių sistemų audito procesą ir siekti geresnės auditų kokybės. Vadovas nustato bendrus informacinių sistemų audito atlikimo planavimo, vykdymo, ataskaitų rengimo etapus ir principus. Kiekvienas informacinių sistemų auditas reikalauja bendrųjų audito įgūdžių, informacinių sistemų valdymo, kompiuterių mokslo ir elgsenos žinių, todėl šiame dokumente siekiama paaiškinti informacinių sistemų audito paskirtį ir tai, kaip jis atliekamas Valstybės kontrolėje. Vadovo priedus auditoriai interpretuoja savarankiškai. Vadovas parengtas vadovaujantis bendraisiais veiklos audito principais, pateiktais Tarptautinės aukščiausiųjų audito institucijų organizacijos INTOSAI audito standartuose. Rengiant šį dokumentą atsižvelgta į Valstybės kontrolės Veiklos ir Finansinio ir teisėtumo audito vadovus, Tarptautinės informacinių sistemų audito ir kontrolės asociacijos ISACA informacinių sistemų audito standartus ir į asociacijos parengtas Informacinių sistemų audito gaires bei kitą ISACA metodinę medžiagą, pavyzdžiui, informacinių technologijų valdymo metodikos ir gerosios praktikos rinkinį COBIT. Vadove taip pat panaudotos valstybinių auditorių žinios ir praktinė patirtis, kitų aukščiausiųjų audito institucijų patirtis ir ekspertų rekomendacijos. Lietuvos Respublikos valstybės kontrolė

4 Sąvokų žodynas Sąvokų žodynas 3E veiklos audito vertinimo aspektai: ekonomiškumas, efektyvumas ir rezultatyvumas (angl. economy, efficiency, effectiveness); Bendrosios kompiuterių kontrolės priemonės (angl. general computer controls) kitos nei taikomųjų programų vidaus kontrolės priemonės, susijusios su aplinka, kurioje kuriamos, prižiūrimos ir veikia kompiuterizuotos taikomųjų programų sistemos ir dėl to tinkamos visoms taikomosioms programoms. Bendrųjų kompiuterių kontrolės priemonių tikslai yra užtikrinti tinkamą taikomųjų programų kūrimą ir vykdymą, programų ir duomenų rinkinių bei kompiuterio operacijų vientisumą. Kaip ir taikomųjų programų kontrolės priemonės, bendrosios kompiuterių kontrolės priemonės gali būti arba neautomatinės, arba suprogramuotos. CAAT kompiuterinė priemonė, skirta audito procesui automatizuoti (įvairios paskirties programinė įranga, dažniausia skirta duomenų analizei); COBIT Tarptautinės informacinių sistemų audito ir kontrolės asociacijos (ISACA) parengtas informacinių sistemų valdymo metodika ir gerosios praktikos rinkinys: COBIT 4.1 metodika, kontrolės tikslai, valdymo gairės, brandos modeliai, 2011 m., Vilnius. Duomenų valdytojai (angl. data owners) asmenys, paprastai vadovai ar direktoriai, atsakingi už kompiuterizuotų duomenų vientisumą, tikslumą ir naudojimą. Elektroninė informacija elektroninių ryšių tinklais perduodama ar informacinėse sistemose arba registruose saugoma ir tvarkoma informacija ar duomenys, įskaitant programinę įrangą, skirtą informacinės sistemos funkcijoms atlikti. Gebėjimų brandos modelis (GBM) (angl. Capability Maturity Model (CMM)) programų inžinerijos instituto (angl. Software Engineering Institute) sukurtas programinės įrangos kūrimo GBM. Daugelio organizacijų naudojamas modelis, skirtas įvertinti ir padidinti programinės įrangos kūrimo procesų brandą. Informacija tai duomenys, kurių turinys ir forma tinka tam tikram naudojimui. Informacija gaunama duomenis apdorojus (pvz.: formatuojant, filtruojant, sumuojant, atliekant analizę ar kitas sudėtingesnes operacijas). Informaciniai ištekliai informacijos, kurią valdo informacinės visuomenės nariai ir kuri apdorojama informacinių technologijų priemonėmis, ir ją apdorojančių informacinių technologijų priemonių visuma. Informacinė sistema (IS) informacijos apdorojimo procesus (duomenų ir dokumentų tvarkymo, skaičiavimo, bendravimo nuotoliniu būdu ir t. t.) vykdanti sistema, kuri veikia informacinių ir ryšių technologijų pagrindu. Ši sąvoka apima valstybės ir žinybinius registrus ir elektroninių duomenų perdavimo tinklus. IS sudaro 4 pagrindinai komponentai: techninė įranga, programinė įranga, duomenys ir žmonės. 4

5 Sąvokų žodynas IS auditas yra audito dalis, kai surinkti įrodymai ir atliktas vertinimas leidžia nuspręsti, ar IS efektyviai naudoja organizacijos išteklius, užtikrina jų saugą, duomenų vientisumą ir padeda efektyviai siekti organizacijos tikslų. IS bendroji kontrolė tai kontrolės priemonės, kurios taikomos visiems konkrečios organizacijos IS komponentams, procesams ir duomenims ar informacinių technologijų aplinkai. Šios kontrolės priemonių visuma turi užtikrinti tinkamą kompiuterizuotų taikomųjų programų plėtrą ir įgyvendinimą, taip pat taikomųjų programų, duomenų bylų ir kompiuterinių operacijų vientisumą. IS kūrimo kontrolė kontrolės procedūros ir priemonės, sukurtos remiantis sistemų kūrimo, projektavimo, bandymų ir projektų valdymo metodika, kuri užtikrina tikslų ir efektyvų planavimą, biudžeto ir išlaidų kontrolę. Kiekviename kūrimo etape nagrinėjama informacinių technologijų, projekto valdymo, biudžeto, vidaus kontrolės, veiklos procesų ir trečiųjų šalių paslaugų teikėjų ir kitų išorės subjektų įtaka IS. ISACA Tarptautinė profesinė organizacija orientuota į informacinių technologijų valdymą (anksčiau žinoma kaip Informacinių sistemų audito ir kontrolės asociacija). Informacinės technologijos (IT) ištekliai, reikalingi tam tikrai informacijai gauti, tvarkyti, saugoti ir skleisti: techninė, programinė įranga, komunikacijos ir kita įranga, naudojama bet kokios formos duomenims įvesti, saugoti, apdoroti, perduoti ir išvesti. Rizika veiklos kontekste tai galimybė, kad tam tikra grėsmė dėl turto vieneto ar turto vienetų grupės silpnųjų pusių sukels turto ir / ar lėšų praradimą ir (arba) padarys jam žalos. Paprastai vertinama poveikio ir atsitikimo tikimybės deriniu. SKGC sistemos kūrimo gyvavimo ciklas (angl. Systems Development Life Cycle (SDLC)). Etapai, išdėstyti kuriant ar įsigyjant programinės įrangos sistemą. Paprastai tai tokie etapai: ekonominio pagrįstumo analizė, reikalavimų analizė, reikalavimų apibrėžimas, detalus projektas, programavimas, testavimas, diegimas ir įdiegtos sistemos analizė. Taikomoji programa programa, kuri apdoroja veiklos duomenis atliekant duomenų įvedimą, atnaujinimą ar pateikiant užklausą. Ji skiriasi nuo sistemų programų operacinių sistemų ar tinklo kontrolės programų ir nuo paslaugų kopijavimo (angl. copy) ar rūšiavimo (angl. sort) programų. Taikomųjų programų kontrolė su duomenų įvestimi, apdorojimu, duomenų bankais ir duomenų gavimu susijusi vidaus kontrolė. Taikomųjų programų kontrolės priemonės (angl. application controls) kontrolės priemonės, integruotos į automatizuotus sprendimus (taikomąsias programas). Vidaus kontrolė politika, planai ir procedūros bei organizacijos struktūros, skirtos užtikrinti, kad veiklos tikslai būtų pasiekti, o nepageidaujamiems įvykiams būtų užkirstas kelias arba jie būtų nustatyti ir ištaisyti. Kitos IS audito vadove vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme ir kituose teisės aktuose vartojamas sąvokas. 5

6 1. Informacinių sistemų audito samprata 1. Informacinių sistemų audito samprata IS auditas yra audito dalis, kai surinkti įrodymai ir atliktas vertinimas leidžia nuspręsti, ar IS efektyviai naudoja organizacijos išteklius, užtikrina jų saugą, duomenų vientisumą ir padeda efektyviai siekti organizacijos tikslų. IS audito poreikis atsirado, nes IS tapo neatsiejama bet kurios organizacijos veiklos dalimi arba vienu svarbiausių veiklos vykdymo įrankių. Organizacijų ir IT padalinių vadovai suprato, kad kompiuteriai ir IS yra vertingi ištekliai, kurie turi būti valdomi taip pat, kaip ir bet kuris kitas organizacijos turtas, todėl buvo pradėtas vertinti IS kūrimo, diegimo, naudojimo ir priežiūros ekonomiškumas, efektyvumas ir rezultatyvumas IS audito tikslas ir uždaviniai IS audito tikslas įvertinti IT valdymo aplinką ir atskleisti IT valdymo aplinkos tobulinimo galimybes. IS auditas apima IT valdymą (angl. IT governance) ir padeda organizacijoms pagerinti keturias sritis: IS auditas dažniausia pasižymi labai techninio pobūdžio pastebėjimais, todėl pagrindinis IS audito uždavinys techninio pobūdžio pastebėjimus audito išvadose pateikti kaip pažeidžiamumą ir poveikį audituojamo subjekto veiklai. IS audito rezultatai turi skatinti audituojamą subjektą daugiau dėmesio skirti IS, taikomųjų programų ir IT valdymo aplinkos tobulinimui. 6

7 1.2. IS audito objektas ir samprata 1. Informacinių sistemų audito samprata Siekiant išvengti IS valdymo ir saugos užtikrinimo problemų, buvo sukurti bendrieji IS kontrolės metodai. IS auditas dažniausia skirtas šiems kontrolės metodams įvertinti, todėl IS audito metu vertinama, kaip vadovybė valdo IT infrastruktūrą. Audituojamo subjekto vidaus kontrolės vertinimas yra veiklos ir finansinių auditų vertinimo sritis. IS auditai gali būti dviejų tipų (1 pav.): 1. IS vidaus kontrolės vertinimas, kuris apima: IS bendrosios kontrolės vertinimą, kai įvertinama vidaus kontrolė, apimanti visas organizacijos IS. IS kūrimo kontrolės vertinimą, kai įvertinamas IS kūrimo valdymas ir kontrolė nuo sistemos koncepcijos atsiradimo iki jos įteisinimo, apimant IS pakeitimų ir versijų valdymą. Taikomųjų programų kontrolės vertinimą, kai įvertinama kontrolė, susijusi su duomenų įvedimu, apdorojimu, duomenų saugojimu ir išvestimi konkrečiose taikomosiose programose. 2. IS veiklos auditas IS efektyvumo, ekonomiškumo ir rezultatyvumo vertinimas. 1 pav. IS audito apimtis Finansinis auditas IS AUDITAS IS vidaus kontrolės vertinimas IS vertinimas 3E požiūriu (IS veiklos auditas) IS bendrosios kontrolės vertinimas IS kūrimo kontrolės vertinimas Taikomųjų programų kontrolės vertinimas Veiklos auditas Vykstant sparčiai IT plėtrai, daugėja viešojo sektoriaus veiklos automatizavimo procesų, kurių vertinimą turėtų atlikti ne tik IS auditoriai. Veiklos, finansiniai, IS auditoriai ir IT specialistai, tarpusavyje koordinuodami veiksmus, turėtų planuoti audito procedūras, kontroliuoti atliekamą darbą ir vertinti gautus rezultatus. IS audito pasiskirstymas tarp auditorių pateiktas 1 lentelėje, joje išvardyti ir šio IS audito vadovo priedai, kuriais rekomenduojama naudotis atliekant IS vertinimus ir auditus. 7

8 1. Informacinių sistemų audito samprata 1 lentelė. Auditorių pasiskirstymas pagal IS audito objektus. IS audito Rekomenduojama IS sudėtingumas Auditą atlieka Procedūros objektai vadovautis 1. IS bendroji Paprasta, vidutinio Visi auditoriai* skirsnis 1 ir 2 priedais kontrolė sudėtingumo, sudėtinga IS auditoriai ir skirsniai Visais priedais 2. IS kūrimo Paprasta, vidutinio kontrolė sudėtingumo, sudėtinga IS auditoriai ir skirsniai 5 ir 11 priedais 3. Taikomųjų programų kontrolė 4. IS vertinimas 3E požiūriu Paprasta, vidutinio sudėtingumo, sudėtinga Paprasta, vidutinio sudėtingumo, sudėtinga Visi auditoriai* skirsnis 3 priedu IS auditoriai ir skirsniai 6 ir 12 priedais Veiklos auditoriai IS auditoriai 2.3 ir 3.2 poskyriai Veiklos audito vadovu * IS sudėtingumas nustatomas užpildant 1 priedą, vertinant sudėtingų IS bendrąją ir taikomųjų programų kontrolę rekomenduojama pasitelkti IS auditorius. IS auditoriai atlieka detaliuosius sudėtingų valstybės IS ir pagrindinių valstybės registrų valdymo auditus, IS sudėtingumas nustatomas strateginio planavimo metu. Prireikus pagalbos, finansinio ar veiklos audito metu (1 lentelėje numatytais atvejais) auditoriai, vadovaudamiesi valstybės kontrolieriaus patvirtinta tvarka, į pagalbą turėtų pasitelkti Valstybės kontrolės IS auditorius arba išorės arba vidaus IS / IT specialistus dėl išsamesnės analizės ir paaiškinimų IS audito vertinimo kriterijai Atliekant IS vidaus kontrolės vertinimo auditus audituojamo subjekto IT procesai vertinami remiantis COBIT metodika ir joje pateiktais IT procesų kontrolės tikslų ir jų metrikų aprašymais, informacijos kontrolės kriterijais. Vertinimo kriterijų formulavimui gali būti naudojamos ir informacinių išteklių (IS, registrų, el. duomenų perdavimo tinklų) valdymo reikalavimus nustatančių teisės aktų nuostatos. Atliekant IS veiklos auditus ir vertinant IT valdymo aplinką efektyvumo, ekonomiškumo ir rezultatyvumo aspektais, vertinimo kriterijams formuluoti taikoma veiklos auditams skirta metodika (detaliau Veiklos audito vadovo dalis Audito objekto, tikslo, vertinimo kriterijų, apimties ir metodų nustatymas kartu su INTOSAI praktika) IS audito procesas IS audito procesą, kuriame įvertinama IT, taikomųjų programų ir kuriamų IS valdymo aplinka, sudaro šie pagrindiniai etapai (2 pav.): planavimas strateginis tyrimas ir audito planavimas; atlikimas (pagrindinis tyrimas); stebėjimas po audito. 8

9 2 pav. IS audito proceso etapai ir parengiami dokumentai 1. Informacinių sistemų audito samprata Planavimas Pagrindinis tyrimas / Audito atlikimas Stebėjimas po audito Strateginis tyrimas Audito planavimas / Išankstinis tyrimas Finansinis auditas Veiklos auditas Paraiška dėl IS auditorių pasitelkimo 1 IT ir IS sudėtingumo vertinimas IS bendrosios kontrolės vertinimas Paraiška dėl IS auditorių pasitelkimo 2 IS taikomųjų programų kontrolės vertinimas IT arba IS vertinimo darbo dokumentas IS veiklos auditas 3 IS vidaus kontrolės vertinimas Siūlymai valstybinio audito programai 4 IS audito planas Išankstinio tyrimo ataskaita 5 IS audito ataskaita Rekomendacijų įgyvendinimo ataskaita Pastabos: Nurodyti etapai būdingi kiekvienam IS auditui, tačiau būna ir išimčių: 1 finansinio audito metu sudėtingų IS vidaus kontrolės vertinimui gali būti pasitelkti IS auditoriai (paraiška), vertinimas baigiamas parengiant IS bendrosios kontrolės ir taikomųjų programų kontrolės vertinimo darbo dokumentus; 2 veiklos audito metu gali būti pasitelkiami IS auditoriai (paraiška), IS auditorių darbo rezultatai pateikiami darbo dokumente; 3 IS auditas gali baigtis išankstiniu tyrimu (nusprendus neatlikti pagrindinio tyrimo); 4 IS auditas gali būti pradėtas be strateginio ir išankstinio tyrimo (pavyzdžiui, įtraukus į valstybinio audito programą Seimo nutarimu pavestą atlikti auditą); 5 IS vidaus kontrolės vertinimo metu nerengiama išankstinio tyrimo ataskaita, audito planavimas baigiamas parengiant IS audito planą. IS audito procese atsiradus kitoms išimtims negu nurodyta 2 pav., sprendimus dėl jų taikymo priima valstybės kontrolierius ir (ar) jo pavaduotojas, koordinuojantis ir kontroliuojantis IS auditus atliekančio audito departamento veiklą. IS auditas atliekamas vadovaujantis INTOSAI standartais, šiuo IS audito vadovu, Tarptautinės informacinių sistemų audito ir kontrolės asociacijos (ISACA) IS audito standartais ir atsižvelgiant į asociacijos parengtas IS audito gaires, taip pat Finansinio ir teisėtumo ir Veiklos audito vadovais. Metodinių dokumentų sąrašas pateiktas 13 priede. Finansiniai auditoriai, atlikę IS bendrosios kontrolės ar taikomųjų programų kontrolės vertinimą, rezultatus (darbo dokumento elektroninę kopiją) pateikia IS auditus atliekančiam Valstybės kontrolės struktūriniam padaliniui. IS vidaus kontrolės vertinimo rezultatai apibendrinami pagal valstybės kontrolieriaus įsakymu patvirtintų Valstybinių auditų, atliktų vykdant metinę programą, rezultatų apibendrinimo taisyklių atitinkamą priedą. IS audito proceso etapai ir kiekviename etape parengiami dokumentai išsamiau aprašyti tolesnėse IS audito vadovo dalyse. 9

10 2. Planavimas 2. Planavimas Siekiant racionaliai naudoti audito išteklius (finansinius, žmogiškuosius, materialinius ir kitus), labai svarbu tinkamai suplanuoti IS audito procesą Strateginis tyrimas IS audito strateginis tyrimas atliekamas pagal Veiklos audito vadovą. Išsamiau strateginio tyrimo procesą, darbų pasidalijimą, informacijos kaupimo ir pateikimo formas, terminus ir kt. nustato valstybės kontrolieriaus įsakymu patvirtinta Veiklos audito strateginio tyrimo organizavimo ir vykdymo metodika. Planuojant IS vidaus kontrolės vertinimus atsižvelgiama į valstybės įstaigos valdomų informacinių išteklių (IS, registrų ir kt.) duomenų svarbą ir finansinių auditorių pateiktą IS vidaus kontrolės vertinimo medžiagą. IS veiklos audito strateginiam planavimui naudojami duomenys, gauti analizuojant IS bendrosios kontrolės vertinimus IS vidaus kontrolės vertinimo planavimo procesas Viena iš vidaus kontrolės sudedamųjų dalių yra IS, apimanti audituojamos organizacijos veiklos procesus, todėl būtina gerai susipažinti su audituojamo subjekto IS aplinka, kad auditorius nustatytų IS sudėtingumą, subjekto veiklos priklausomybės nuo IS lygį ir galėtų įvertinti auditui svarbias IS. Vidaus kontrolės vertinimas, kuriame planuojama vertinti IS, taikomųjų programų ar kuriamų IS valdymo aplinką, atliekamas tokia seka: pirmiausia planuojamas IS bendrosios kontrolės vertinimas, atliekama IS dokumentų analizė, preliminarus IS kontrolės vertinimas ir nustatoma IS bendrosios kontrolės branda (būklė); atlikus IS bendrosios kontrolės vertinimą planuojamas IS kūrimo kontrolės vertinimas ir tik po to taikomųjų programų kontrolės vertinimas. Jeigu IS kūrimo arba taikomųjų programų kontrolę planuojama vertinti atskirai, tai IS bendroji kontrolė vertinama tiek, kiek ji tiesiogiai susijusi su IS kūrimo arba taikomųjų programų kontrole. Šia seka planuojami ir IS vidaus kontrolės vertinimo auditai, kurių objektu yra IS kūrimo ir taikomųjų programų kontrolės vertinimas. IS bendroji kontrolė IS kūrimo kontrolė Taikomųjų programų kontrolė Toliau pateikiami skirtingos apimties IS vidaus kontrolės vertinimo planavimo etapai. 10

11 IS vidaus kontrolės vertinimo planavimas veiklos audito metu 2. Planavimas IS vidaus kontrolės audito planavimas atliekamas vadovaujantis ISACA standartais ir gairėmis, apibrėžiančiais audito planavimo procesus ir rekomendacijas. IS audito uždavinius lemia aukščiausiojo lygio vadovybės nustatyta vidaus kontrolės sistema. Jeigu nustatytos sistemos nėra, kaip pagrindas detaliems IS audito uždaviniams nustatyti turi būti naudojama COBIT metodika. Atsižvelgiant į konkretaus IS audito apimtį turi būti parenkami konkretūs COBIT procesai, kontrolės tikslai ir susijusios valdymo praktikos. Auditas turi apimti visų COBIT metodikoje nurodytų IT išteklių naudojimo ir apsaugos kontrolės sistemas: duomenis, taikomąsias programas, technologijas, įrangą, žmones ir IT valdymą. IS vidaus kontrolės vertinimo auditų planavimas vykdomas etapais (žr. 2 lentelę), kiekviename etape priimtus sprendimus būtina dokumentuoti. Audito planavimui skirti klausimynai (4 7 priedai) sudaryti pagal ISACA IS audito gairių rekomendacijas ir COBIT metodiką, kuri leidžia įvertinti subjekto taikomų IT valdymo metodų visumą. Detalesnis IS audito planavimo etapų darbų aprašymas pateikiamas audito dokumentavimo IS. 2 lentelė. IS vidaus kontrolės audito planavimo etapai ir tikslai IS bendroji kontrolė Nagrinėjama, ar IS funkcija atitinka subjekto misiją, viziją, vertybes, tikslus ir strategijas, ar IT funkcijai yra aiškiai nustatyti veiklos rezultatai, kurių tikisi organizacija, ir įvertinti, ar jie pasiekti. IS kūrimo kontrolė Nagrinėjama, ar IS steigimas, kūrimas, diegimas, įteisinimas ir pakeitimai yra tinkamai kontroliuojami. Taikomųjų programų kontrolė Nustatyti, išbandyti ir įvertinti kontrolės priemones, kurias subjektas taiko taikomosioms programoms. Audito planavimo etapo darbų planas Numatyti planavimo etapo darbų atlikimo terminus ir apimtis, plano forma pateikiama 8 priede. Susipažinimas su audituojamo subjekto veikla Susipažinti su subjekto veiklos sritimis, kuriose kritinį vaidmenį vaidina IS. Sugretinti subjekto veiklos tikslus su IT tikslais, įvertinti jo valdomų (naudojamų) IS sudėtingumą. Išanalizuoti IT reglamentuojančius teisės aktus, nustatyti, ar subjektas IT funkciją perleidžia tretiesiems asmenims. Išsiaiškinti kitą auditoriaus nuomone reikšmingą informaciją. Įvertinti subjekto pasirinktas IS kontrolės priemones ir praktinį jų taikymą, nustatyti, ar IS atitinka teisės aktus; įvertinti kitą, auditoriaus nuomone, reikšmingą informaciją, susijusią su IS valdymu. Įvertinti rizikingiausias IS valdymo sritis pagal 4 priede nurodytus pagrindinius aspektus. Susipažinti su IS kūrimo aplinka, subjekto pasirinktu IS įsigijimo / kūrimo būdu, mastu, technologijomis, įsigijimo / kūrimo tikslais ir susipažinti su IS naudojimo būdais. Susipažinti su aplinka, kurioje taikomosios programos yra kuriamos, palaikomos ir eksploatuojamos. Nustatyti jų dydį, sudėtingumą ir subjekto priklausomybės nuo taikomųjų programų lygį. Susipažinimas su IS valdymu ir preliminarus vidaus kontrolės įvertinimas Nustatyti dabartinį IS įsigijimo / kūrimo Įvertinti COBIT IT procesus etapą, projekto valdymo struktūrą, pagal 6 priede nurodytus įsigijimui / kūrimui skirtas ir planuojamas aspektus. Atliekant skirti lėšas. Įvertinti ankstesnių kūrimo vertinimą rekomenduojama etapų peržiūros rezultatus, rizikas galinčias naudotis ISACA Taikomųjų paveikti IS įsigijimo / kūrimo ciklą, programų audito programa. vadovybės nurodomas problemas dėl IS įsigijimo / kūrimo priežiūros ir kitus aspektus, nurodytus 5 priede. Atliekant vertinimą rekomenduojama naudotis ISACA IS kūrimo ir projektų valdymo audito programa. Kiti klausimai gali būti nagrinėjami atsižvelgiant į audituojamo subjekto veiklos specifiką, audito tikslą ir auditui numatytą atlikti laiką. 11

12 2. Planavimas Ankstesnių valstybinių auditų rezultatų analizė Įvertinti, ar pašalinti nustatyti pažeidimai, ištaisytos klaidos ir laiku įgyvendintos rekomendacijos ir kokia neištaisytų pažeidimų įtaka atliekamam auditui Vidaus auditorių ir kitų specialistų darbo panaudojimas Įvertinti, ar galima pasinaudoti vidaus auditorių ar kitų specialistų atlikto darbo rezultatais Reikšmingumo nustatymas Nustatyti priimtiną reikšmingumo lygį Rizikos įvertinimas IS bendrosios kontrolės testavimo apimtys turi būti pagrįstos auditoriaus atliktu IS bendrosios kontrolės silpnų vietų ir rizikų vertinimu. Tolesniam vertinimui rekomenduojama pasirinkti PO1, PO4, PO5, PO6, PO9, AI1, AI2, AI3 ir ME4 procesus. Įvertinus audito atlikimui skirtą laiką ir turimus išteklius, gali būti pasirenkami ir (arba) kiti planavimo metu analizuoti COBIT procesai pvz.: PO2, PO3, PO7, PO8, PO10, DS1, DS2, DS3, DS6, DS7, DS8, DS9, DS10, DS12, DS13, AI6 ir ME1. IS kūrimo kontrolės testavimo apimtys turi būti pagrįstos auditoriaus atliktu IS kūrimo kontrolės silpnų vietų ir rizikų vertinimu. Rizikos suvestinė (IS audito vadovo 9 priedo Audito plano 2 priedas). Audito plano parengimas Tolesniam vertinimui Tolesniam rekomenduojama pasirinkti PO5, PO10, AI1-AI7 ir DS1 procesus. Įvertinus audito atlikimui skirtą laiką ir turimus išteklius, gali būti pasirenkami ir (arba) kiti planavimo metu analizuoti COBIT procesai pvz.: PO7, PO8, ME1, ME2, ME4 ir AC6. Taikomųjų programų kontrolės testavimo apimtys turi būti pagrįstos auditoriaus atliktu taikomųjų programų kontrolės silpnų vietų ir rizikų vertinimu. vertinimui rekomenduojama pasirinkti AI1, AI2, AI4, AI7 ir AC1-AC6 procesus. Įvertinus audito atlikimui skirtą laiką ir turimus išteklius, gali būti pasirenkami ir (arba) kiti planavimo metu analizuoti COBIT procesai pvz.: AI6, DS5 ir kt. Tolesniam vertinimui rekomenduojama pasirinkti ne daugiau kaip 10 planavimo metu analizuotų IT procesų. Pasirinkti procesai įraukiami į rengiamą audito planą (9 priedas). Jei IS audito metu planuojama įvertinti IS bendrąją, kūrimo ir taikomųjų programų kontrolę, 2 lentelėje nurodytus planavimo etapus reikia įvertinti pagal 7 priede pateiktas rekomendacijas. Kiti klausimai papildomai gali būti nagrinėjami atsižvelgiant į audituojamo subjekto veiklos specifiką, audito tikslą ir numatytą auditui atlikti laiką. Atliekant tokį IS auditą rekomenduojama naudotis ISACA Taikomųjų programų ir IS kūrimo ir projektų valdymo audito programomis. 12

13 IS bendrosios kontrolės vertinimas finansinio audito metu 2. Planavimas Finansinio audito planavimo etape susipažįstant su audituojamo subjekto vidaus kontrolės aplinka ir procedūromis yra vertinama IS bendroji kontrolė, o atliekant kontrolės procedūrų efektyvumo vertinimą apskaitoje naudojamų taikomųjų programų kontrolė. Audituojamo subjekto IS bendroji kontrolė vertinama tam, kad auditorius galėtų nustatyti ir įvertinti reikšmingo iškraipymo riziką ir, atsižvelgdamas į ją, suplanuoti ir atlikti tolesnes audito procedūras. Apskaitoje naudojamų taikomųjų programų kontrolė vertinama siekiant gauti audito patikimumą iš vidaus kontrolės ir įsitikinti duomenų, naudojamų audito metu, patikimumu. Norint tinkamai suplanuoti auditą, reikia įvertinti audituojamo subjekto IS sudėtingumą, įgimtą riziką ir priimti sprendimą, ar reikia kreiptis pagalbos į IT specialistus ar IS auditorius, atliekant tolesnį IS vertinimą (3 pav.). IS audito vadovo 1 priedas turėtų būti naudojamas siekiant įvertinti, kokioje aplinkoje veikia IS, pavyzdžiui, ar audituojamas subjektas vykdo pagrindinių IS pirkimus (kūrimą), ar buvo didelių problemų su IT operacijomis, ar audituojamas subjektas naudoja sudėtingas IT programas, ar buvo kilę reikšmingų problemų su audituojamo subjekto IS. 3 pav. IS bendrosios kontrolės vertinimo planavimas Susipažinti su IT aplinka ir nustatyti naudojamų IS svarbą audituojamo subjekto veiklai Surinkti pirminę informaciją ir įvertinti auditui aktualių IS svarbą, jų sudėtingumą ir riziką Auditorius įvertina informaciją apie IT ir auditui aktualias IS pagal 1 priedą. Ar IS sudėtinga? Auditorius įvertina audituojamo subjekto IS aplinką kaip sudėtingą, vidutinę ar paprastą (įvertinimo paaiškinimas pateiktas 1 priede) ir susipažinęs su IT aplinka parengia klausimyną IS bendrajai kontrolei vertinti. Prireikus (jei IS aplinka sudėtinga) kreipiasi dėl konsultacijų į IT specialistus ar IS auditorius. IS bendrosios kontrolės vertinimas (4 pav.) Auditorius, susipažindamas su audituojamo subjekto vidaus kontrolės aplinka ir procedūromis, turi įvertinti audituojamo subjekto IS bendrąją kontrolę ir atlikti 4 pav. numatytas procedūras. 13

14 4 pav. IS bendrosios kontrolės vertinimas finansinio audito metu Atlikti IS bendrosios kontrolės įvertinimą (peržiūrėti nustatytas procedūras ir įvertinti jų veikimą) Atlikti IS bendrosios kontrolės vertinimą pagal 2 priedą ir išnagrinėti šias sritis: audituojamo subjekto taikomą saugos politiką; IT operacijas (procedūras) ir duomenų bylų kontrolę; IT organizavimą ir valdymą; programų kūrimą ir IS pokyčių valdymą; IS veiklos tęstinumą ir incidentų valdymą. Įvertinti ar numatytos kontrolės priemonės veikia tinkamai. 2. Planavimas Įvertinti IS bendrosios kontrolė būklę (labai gera/ gera/ tobulintina / silpna) 1. Jei IS bendrosios kontrolės būklė tobulintina ar silpna, auditorius turi įvertinti, ar taikomos kompensuojančios kontrolės visoms aukštos rizikos IS sritims. 2. Fiksuoti pastebėjimus, pateikti vertinimus ir rekomendacijas dėl IS bendrosios kontrolės tobulinimo. Ar bus naudojami IT priemonėmis gauti įrodymai? Auditorius, rengdamas finansinio audito strategiją, turėtų apsvarstyti ir IT įtaką audito procedūroms, įskaitant duomenų prieinamumą, patikimumą ir tikėtiną kompiuterinių audito metodų taikymą, ir nuspręsti, ar naudos IT priemonėmis gautus įrodymus (IS duomenys, el. lentelės ir kt.). Jei nusprendžiama naudoti IT įrodymus, auditorius turi įvertinti konkrečios IS taikomųjų programų kontrolę. TAIP NE Pastaba: Jei esant silpnai IS bendrajai kontrolei nusprendžiama naudoti IT priemonėmis gautus įrodymus, atliekant taikomųjų programų kontrolės vertinimą turi būti padidintas kontrolės testų kiekis. Taikomųjų programų kontrolės vertinimas (6 pav.) 1. Finansinio audito strategijoje nurodyti, kad nebus naudojami IS duomenys (įrodymai gauti IT priemonėmis). 2. Siekiant įsitikinti duomenų patikimu turi būti perskaičiuoti visi el. priemonėmis gauti duomenys (pvz., xls formato žiniaraščiai). Pabaiga Atlikdamas IS bendrosios kontrolės vertinimą, auditorius turi įvertinti, jo nuomone, reikšmingą informaciją, susijusią su IS panaudojimu. Vertinant rekomenduojama naudotis 2 priede pateiktu klausimynu. Priede pateiktas klausimynas padeda įvertinti IS bendrąją kontrolę ir surinkti apibendrinančią informaciją apie audituojamuose subjektuose veikiančias IS. Auditoriai rinkdami audito įrodymus gali naudoti įprastines audito procedūras ir kompiuterizuotas audito priemones arba abiejų šių metodų derinius. Kai kurių apskaitos sistemų veiklos procesus automatizuoja specializuota taikomoji programinė įranga, todėl be kompiuterizuotų audito įrankių auditoriui gali būti sudėtinga (arba net neįmanoma) patikrinti, įvertinti ir patvirtinti duomenų tikrumą. Kompiuterizuotos audito priemonės taip pat gali padėti išsamiau patikrinti elektroninių operacijų ir sąskaitų įrašus, kad būtų įgyvendintas tinkamas atsakas į įvertintą reikšmingo iškraipymo dėl apgaulės riziką (daugiau 4 skyriuje). Auditorius įvertina audituojamo subjekto IS bendrosios kontrolės būklę kaip labai gerą, gerą, tobulintiną ar silpną (įvertinimo paaiškinimas pateiktas 2 priede). Atlikus IS bendrosios kontrolės vertinimą, jo rezultatai (darbo dokumento el. kopija) pateikiami IS auditus atliekančiam Valstybės kontrolės struktūriniam padaliniui. Auditorius, atlikęs IS bendrosios kontrolės ir taikomųjų programų kontrolės vertinimą, jo rezultatus panaudoja vertinant visos audituojamo subjekto vidaus kontrolės sistemos būklę. 14

15 2.3. IS veiklos audito planavimas 2. Planavimas IS vertinimas 3E požiūriu yra veiklos audito sritis, todėl tokio audito planavimas atliekamas vadovaujantis Veiklos audito vadovu. Žemiau pateikiami IS veiklos auditų tikslai (5 pav.) ir vertinimo aspektai, į kuriuos auditorius papildomai turėtų atkreipti dėmesį. 5 pav. IS veiklos audito lygiai IS KŪRIMAS IT VALDYMAS IT POVEIKIS VISUOMENEI IS kūrimas (IS veiklos auditas skirtinguose IS kūrimo etapuose) vertinamas IS įsigijimas ir kūrimas efektyvumo ir ekonomiškumo požiūriu. Analizuojamas IS kūrimas, eksploatacija, valdymas ir IS atnaujinimai, taip pat gali būti analizuojami klausimai, susiję su IS kokybe ir sauga. IT valdymas vertinami priimti IT naudojimo sprendimai ir parengti planai, pirminės informacijos, kuri reikalinga sprendimams priimti, kokybė, teisės aktų laikymasis ir kontrolės veiksmingumas naudojant IS. IT poveikis visuomenei vertinami teikiamų paslaugų apimties, kokybės, vientisumo ir privatumo aspektai. 3E kriterijai IS audito požiūriu Ekonomiškumas (taupumas) suprantamas kaip mokėjimas mažiau už tos pačios kokybės išteklių naudojimą arba nenaudojimas nebūtinų brangių išteklių. IT srities neekonomiškumo požymiai: Įsigyjama brangių kompiuterių, kai užduotims atlikti gali būti naudojami paprastesni. Perkamos išorės IT paslaugos, kai užduotį atlikti galima naudojant turimus išteklius. Kuriama individuali IS, kai galima nusipirkti standartinę programinę įrangą. Efektyvumas turint tuos pačius išteklius pasiekiami geresnės kokybės rezultatai. Jis siejamas su procesais. Neefektyvus procesas naudoja daug išteklių, kad pasiektų tam tikros kokybės rezultatą. IT srities neefektyvumo požymiai: Atliekami niekam nereikalingi patikrinimai. Dubliuojama informacija skirtingose sistemose. Neefektyviai panaudojama kompiuterio atmintis ar procesoriaus laikas. Rezultatyvumas suprantamas kaip išmintingas išteklių ir efektyvių procesų naudojimas, siekiant gauti nustatytos kokybės rezultatus. 15

16 IT srities nerezultatyvumo požymiai: Neaiškiai parengtos strategijos, programos ar planai (pvz., neadekvatus poreikių įvertinimas, neaiškūs ir nenuoseklūs tikslai, sunkiai įgyvendinami uždaviniai ar nustatytos netinkamos priemonės). Veiklos procesų neaptarnaujančios IS. IS, naudojančios didesnius išteklius negu jų teikiami rezultatai. Nepatikimos IS. 2. Planavimas Pagrindiniai nesėkmingais veikiančios IS požymiai: naudotojų nepasitenkinimas IS, sistemų nepatikimumas, bloga integracija su kitomis IS, išaugusios IS kūrimo ir eksploatacijos išlaidos, ilgai užtrunkantis naujų IS įdiegimas, nebevykdomi (nebaigti) projektai, įsigytų IS brangumas ir ginčai su IT paslaugų teikėjais. 16

17 3. Pagrindinis tyrimas 3. Pagrindinis tyrimas Pagrindinio tyrimo tikslas surinkti pakankamus ir tinkamus audito įrodymus, kuriais remdamasis auditorius galėtų atsakyti į audito klausimus ir pagrįsti audito ataskaitoje pateiktas išvadas ir rekomendacijas. Pagrindinis tyrimas pradedamas patvirtinus audito planą (IS veiklos auditų atveju) ir išankstinio tyrimo ataskaitą ir informavus audituojamą subjektą apie pagrindinio tyrimo metu planuojamus atlikti veiksmus, audito apimtį ir pan IS vidaus kontrolės vertinimas Vertinant IS vidaus kontrolę nagrinėjamos planavimo metu pasirinktos sritys, atliekamos audito procedūros, susijusios su duomenų rinkimu ir vertinimu. Vertindamas IS valdymą auditorius turi atsižvelgti į rekomenduojamą IT valdymo gerąją praktiką, į tai, kokius IT valdymo, projektų valdymo, saugos užtikrinimo ir kt. metodus taiko audituojamas subjektas, ir pagal metodikų kriterijus vertinti audito metu nustatytus faktus IS bendrosios kontrolės vertinimas IS bendrosios kontrolės audito metu auditorius turi įvertinti pasirinktus IT procesus pagal nustatytus vertinimo kriterijus ir nustatyti, ar informacinių sistemų valdymas atitinka teisės aktus. Vertinant IS valdymą rekomenduojama naudoti COBIT IT kokybės užtikrinimo vadove nurodytus pavyzdinius testavimo metodus ir / arba kitą audituojamo subjekto pasirinktą metodiką ar reikalavimus (pvz., projektų valdymui PMBOK, PRINCE2). Atliekant IS valdymo vertinimą būtina įvertinti ir tai, kaip audituojamame subjekte veikia IS ir įgyvendinamos informacijos saugos strategijos, politikos (nuostatai), tvarkos, taisyklės, projektų specifikacijos, naudotojų instrukcijos, ar audituojamas subjektas vadovaujasi minėtais dokumentais. Įvertinus konkretų IT procesą, pateikiamas bendras vertinimas dėl audituojamo subjekto pasirinktų kontrolės priemonių pakankamumo, jų taikymo efektyvumo, išskiriant neatitiktį teisės aktų reikalavimams. Jei audito metu nustatoma geroji IT valdymo praktika, kuri galėtų būti pritaikyta kitame viešojo sektoriaus subjekte, tai pažymima pateikiant nagrinėtos srities vertinimą. Pateikiant apibendrintus vertinimus, turi būti įvertintas nustatytų faktų / trūkumų reikšmingumas, mastas, priežastys ir poveikis. IS bendroji kontrolė gali būti įvertinta naudojantis Gebėjimų brandos modeliu (10 priedas). IS gebėjimų branda gali būti nustatoma įvertinant visą IS bendrąją kontrolę (suteikiant vieną bendrą balą) arba įvertinant IT procesų kontrolę (suteikiant balus kiekvienam procesui atskirai). 17

18 IS kūrimo kontrolės vertinimas 3. Pagrindinis tyrimas IS kūrimas vertinamas pagal teisės aktų reikalavimus IS kūrimui, ISACA Sistemų projektavimo ir projektų valdymo audito programą 1 projekto valdymo metodiką priklausomai nuo IS kūrimo etapo. ir / arba audituojamo subjekto pasirinktą Teisės aktuose numatyta IS gyvavimo ciklo metodika apima stadijas, etapus, kontrolę ir dokumentų rengimo tvarką visame IS plėtros procese. Atlikto darbo išsamumui ir kokybei patikrinti kiekvieno etapo metu numatomi kontrolės taškai ir tikrinimo procedūros. Kontrolės taškai turi sutapti su tais laiko momentais, kuriuose numatoma gauti konkrečius rezultatus, pavyzdžiui: projektinius sprendimus, dokumentus ir pan. Šios stadijos metu audituojamas subjektas turi parengti įtikinamą, įrodymais ir Inicijavimo stadija faktais pagrįstą IS kūrimo pagrindimą. Inicijavimo dokumentai turėtų būti kruopščiai įvertinti ir leisti auditoriui susidaryti nuomonę apie priimtą sprendimą, susijusį su IS kūrimo pagrįstumu. Šie dokumentai turėtų įtikinti, kad projektas subjektui atneš realios naudos, pagrįstų būtinybę toliau tęsti arba nutraukti inicijuotą projektą. Inicijavimo metu turėtų būti iš vadovybės gautas sutikimas pradėti projektą ir su ja aptartas projekto valdymo modelis. Taip pat nusakytas IS kūrimo pagrindas, apibūdinta organizacinė struktūra ir kaupiamų duomenų šaltiniai, numatyta IS funkcinė ir informacinė struktūra. Ši informacija turėtų atsispindėti rengiant IS nuostatų projektą ir tvirtinant nuostatus. Inicijavimas gali būti susijęs su viso arba vieno iš projekto etapų įgyvendinimu, todėl iniciavimo etapas gali pasikartoti IS gyvavimo cikle. Specifikavimo stadija Šios stadijos metu turi būti nustatomi tikslai, kurių siekiama kuriant IS, pasiūlyta IS koncepcija, t. y. samprata apie IS. Taip pat turi būti suformuluoti reikalavimai būsimai IS, nustatyti jos kūrimo ribojimai (finansiniai, techniniai ir kt.) ir parengta IS specifikacija, aprašanti kūrimo tikslus, projekto valdymą, IS keliamus reikalavimus, finansinius ir kitokius ribojimus. Analizuodami specifikavimo stadiją, auditoriai turi įvertinti, ar į specifikacijos rengimo procesą buvo įtraukti galutiniai vartotojai, ar buvo peržiūrėti visi reikiami dokumentai, identifikuoti visi duomenys ir duomenų apdorojimo procesai, kurie būtini būsimos IS funkcijų apibrėžimui. Taip pat auditoriui svarbu įsitikinti, ar specifikavimo metu galutinių vartotojų reikalavimai buvo tinkamai suprasti ir įtraukti į specifikaciją, siekiant vėlesniuose kūrimo etapuose išvengti naujų pokyčių ar reikalavimų, kurie vėlintų visą kūrimo procesą arba turėtų įtakos IS veiksmingumui. Turi būti detalizuota ir patikslinta IS specifikacija: konkretizuota joje pateikta IS Projekto rengimo stadija samprata, sudarytas IS koncepcinis modelis (jis turi atitikti subjekto poreikius) ir išanalizuoti IS realizavimo variantai. Pasirinktas IS realizavimo variantas turi būti ekonomiškai, techniškai ir socialiai pagrįstas. Remiantis IS reikalavimais turi būti suformuluoti reikalavimai ir parengtos specifikacijos IS komponentams. Parengtą bendrą IS projektą (aprašą) turi patvirtinti audituojamo subjekto vadovybė. Jei kuriama nesudėtinga IS, jos koncepcinio modelio galima nerengti, tačiau turi būti patikslinta IS specifikacija. Sudėtingos IS koncepcinis modelis ir aprašas gali būti hierarchinis. Aukščiausiojo lygio IS koncepciniame modelyje ir specifikacijoje turi būti nagrinėjamos kompiuterizuojamo objekto ir kuriamų posistemių sąveika. Kiekvienai posistemei turi būti rengiamas savas koncepcinis modelis, specifikacija ir t. t. Šios stadijos metu turi būti sukurti arba įsigyti reikalingi IS komponentai Konstravimo stadija (aparatinė, programinė įranga, taikomosios programos, duomenų bazės ir kt.), kurie turi būti sujungti į visumą. Sukonstruota IS turi tenkinti specifikacijoje ir parengtame projekte suformuluotus reikalavimus. Yra daug įvairių būdų, kuriais gali būti kuriami IS komponentai, pavyzdžiui: krioklio (angl. waterfall), prototipo metodas, skubus taikomųjų programų kūrimas (angl. Rapid application developmen (RAD)), CASE ir objektinis programavimas ir t. t. Kiekviena metodika turi savo kūrimo etapus. Etapų eiliškumas ir reikalingumas aprašomas konkretaus kūrimo atveju, tačiau nepriklausomai nuo pasirinktos kūrimo metodikos konstruojami IS komponentai turi būti tinkamai išbandyti, atliktas jų integravimas ir bendras sukonstruotų IS bandymas. Auditorius pagal taikytą kūrimo metodiką turi įvertinti parengtų IS komponentų dokumentų ir atliktų programavimo darbų tinkamumą, jų bandymų rezultatus. 1 Systems Development and Project Management Audit/Assurance Program (Jan 2009), ISACA, 2009, USA. 18

19 3. Pagrindinis tyrimas Diegimo stadija Šios stadijos metu sukonstruota IS turi būti įdiegta, parengta darbui, parengtos darbo vietos ir išmokyti dirbti būsimi IS vartotojai. Taip pat turi būti atlikta diegiamos IS bandomoji eksploatacija, pašalinti jos metu pastebėti trūkumai. Atsižvelgiant į bandomosios eksploatacijos metu sukauptą patirtį diegiama IS turi būti patobulinta. Diegiant IS keliose vietose trūkumų šalinimas turi būti kartojamas kiekvienoje vietoje. Diegimo stadijos metu sukurta IS turi būti pradėta eksploatuoti. Jei sukurta IS turi pakeisti anksčiau veikusią IS, bandomosios eksploatacijos metu galima pradėti senos IS likvidavimo darbus. Perėjimas nuo senos IS prie naujos arba tik naujos IS diegimas turi įvykti po to, kai naujai sukurta IS buvo sėkmingai išbandyta ir audituojamas subjektas pasirašė jos priėmimo perdavimo aktą, o galutiniai vartotojai yra patenkinti naujai sukurtu produktu. IS diegimo stadijos etapas turėtų baigtis audituojamam subjektui nustačius IS kūrimo projekto sėkmės lygį ir įvertinus ar nauja IS pasiekė planuotus kūrimo tikslus, vartotojų lūkesčius ir techninius reikalavimus. Taip pat svarbu nustatyti visas išmoktas pamokas, kurios gali būti naudojamos, siekiant pagerinti audituojamo subjekto IS kūrimo procesą. Auditorius turėtų įvertinti, ar audituojamas subjektas atliko minėtus veiksmus ir ar jo atliktas IS kūrimo projekto vertinimas atitinka faktinius kūrimo rezultatus. Naudojimo, administravimo, priežiūros ir modernizavimo stadija Turi būti įgyvendinti IS specifikacijoje numatyti tikslai ir tenkinami specifikavimo stadijos metu nustatyti vartotojų poreikiai. Šiame etape aptarnaujant IS, stebint jos darbą saugumo, integralumo, veiklos tęstinumo, duomenų kopijų darymo ir kiti trūkumai turi būti aptinkami ir šalinami. Eksploatuojama IS turi būti nuolat tobulinama, pritaikant ją kintantiems vartotojų poreikiams. Peržiūrint IS eksploatacijos metu sukauptą informaciją gali būti priimtas sprendimas tobulinti IS specifikaciją. Modernizuojant sukurtą IS turi būti laikomasi IS gyvavimo ciklo reikalavimų nuo iniciavimo iki naudojimo, administravimo, priežiūros ir modernizavimo stadijos. Ji prasideda tada, kai nusprendžiama esamą IS pakeisti nauja arba jeigu yra Likvidavimo stadija panaikinamos teisės aktuose nustatytos funkcijos, kurioms atlikti buvo įsteigta IS. Šios stadijos metu turi būti pamažu nustojama eksploatuoti esama IS ir, jei nusprendžiama, pradedama naudoti naujoji. Šiems darbams turi būti tinkamai pasiruošta suplanuota esamos IS likvidavimo eiga ir eksploatacijos pabaiga. IS likvidavimo priemonės rengiamos tada, kai norima pereiti nuo esamos prie naujos IS. Esama IS gali būti likviduojama vykdant naujos IS bandomąją eksploataciją. Eksploatacijos pabaiga yra tada, kai pagal esamos IS likvidavimo planą nustojama naudotis IS funkcijomis, ir IS likviduojama. Projektuojant paprastesnes IS, projekto rengimo ir konstravimo stadijos gali būti sujungtos į vieną projekto rengimo stadiją. Vertinant IS kūrimą rekomenduojama naudotis 11 priede pateiktu aprašymu, kuriame nurodytos pavyzdinės, auditoriaus laisvai pasirenkamos kiekvienos stadijos tikrinimo užduotys ir kontrolės taškai, ir pavyzdine ISACA Sistemų kūrimo ir projektų valdymo audito programa. IS kūrimo kontrolės vertinimo rezultatai gali būti pateikti įvertinant procesų brandą pagal ISACA Sistemų kūrimo ir projektų valdymo audito programos rekomendacijas. 19

20 Taikomųjų programų kontrolės vertinimas Įvesties kontrolės testavimas Apdorojimo kontrolės testavimas 3. Pagrindinis tyrimas Taikomųjų programų kontrolės priemonės yra unikalios kiekvienai taikomajai programai, todėl IS audito vadove pateikiamos tik pagrindinės kontrolės testavimo užduotys. Auditorius, vertindamas taikomųjų programų kontrolę, turėtų atlikti ne mažiau kaip 5 išsamius sistemos darbo stebėjimus nuo duomenų suvedimo iki rezultato gavimo. Nuspręsdamas, ar taikomųjų programų kontrole galima pasikliauti, auditorius turėtų įsitikinti, kad kontrolė veikė efektyviai visą audituojamą laikotarpį. Taikomųjų programų kontrolės vertinimo etapai: Tikslas įsitikinti, kad į taikomąją programą įvedami duomenys yra tikslūs, autentiški, išsamūs, anksčiau nebuvo naudojami ir įvedami tiksliai be dubliavimo tik tam įgaliojimus turinčių asmenų. Duomenų įvesties kontrolė ypač svarbi, siekiant išvengti taikomųjų programų klaidų, sukčiavimo atvejų ir užtikrinant taikomosios programos vientisumą. Duomenų įvesties kontrolė gali būti pripažinta netinkama, jei taikomojoje programoje įdiegtas kontrolės priemones galima apeiti, o taikomosios programos duomenis pakeisti arba įvesti kitais būdais. Būtina išnagrinėti šiuos duomenų įvesties kontrolės aspektus: Įvesties autorizacija. Audituojamas subjektas turi nustatyti procedūras ir kontroliuoti, kad visi duomenys prieš juos įvedant į taikomąją programą būtų įvesti ir patvirtinti tik tam įgaliojimus turinčių asmenų. Reikia įsitikinti, kad atitinkami taikomosios programos prieigos lygiai buvo nustatyti ir jie buvo veiksmingi visą audituojamą laikotarpį. Įvesties duomenų išsamumas. Auditorius turi įsitikinti, kad taikomosios programos įrašai išsamūs ir juose netrūksta jokių esminių duomenų. Svarbu įsitikinti, kad išlaikomas visas taikomajai programai apdoroti išsiųstų įvesties duomenų ir kompiuterinių operacijų įrašų žurnalas (angl. log), kuris turėtų būti peržiūrėtas ir patvirtintas veiksmus atlikusių darbuotojų vadovo. Taip pat būtina patikrinti, ar taikomoji programa fiksuoja neišsamius įvesties duomenis ir parengia jų įvesties ataskaitas. Įvesties duomenų patvirtinimas (pripažinimas galiojančiu). Taikomosiose programose turi būti sukurtos kontrolės priemonės, kurios patikrina, ar įvesties duomenys yra tikslūs ir galiojantys, pavyzdžiui: įvesties duomenų formato patikrinimai, leistinų ribų, limitų, įvestų skaitmenų patikrinimas, duomenų suderinamumo patikrinimas ir kt. Patvirtinimas taip pat gali būti atliekamas rankiniu būdu, pavyzdžiui: įvesties duomenis patikrina ne juos įvedęs asmuo arba įvestus duomenis peržiūri vadovas. Įvesties duomenų patvirtinimas gali sumažinti taikomosios programos loginių klaidų riziką, nes galima išvengti loginių klaidų, kurios atsiranda bandant apdoroti įvesties duomenis su reikšmėmis, viršijančiomis iš anksto nustatytus apribojimus (pvz., tryliktas mėnuo, neigiamas skaičius ir pan.). Dublikatų patikrinimais. Įvesties duomenų, kuriuos reikia apdoroti apskaitos ar kitoms taikomosiomis programomis, nuolat daugėja. Nesiimant kontrolės priemonių, didėja rizika, kad bus įvesti pasikartojantys įrašai ir jie liks nepastebėti. Siekiant sumažinti šią riziką taikomosiose programose turi būti sukurta galimybė nustatyti pasikartojančius įvesties įrašus, pvz., lyginant naujus įvesties duomenis su anksčiau įvestais. Auditoriui, norinčiam patikrinti, ar taikomosiose programose nėra pasikartojančių įrašų, rekomenduojama pasinaudoti CAAT programine įranga (detaliau žr. 4 skyrių). Sutampantys įvesties duomenys. Reikia įsitikinti, ar taikomoji programa patikrina ir lygina įvesties įrašų duomenis su duomenimis, esančiais kitame susijusiame įraše, pavyzdžiui, įvesti duomenys apie gautas prekes yra automatiškai palyginami su tiekėjo sąskaita faktūra ir sistemoje esančiais užsakymo duomenimis. Nustačius neatitikimą, taikomoji programa turėtų suformuoti duomenų neatitikties ataskaitą, o atsakingi asmenys imtis veiksmų, kad nustatytų neatitikimų priežastis. Taikomosios programos atmesta įvestis. Reikia įsitikinti, ar nustatytos procedūros, kaip elgtis su įvesties duomenimis, kuriuos taikomoji programa atmetė (pvz., jie neatitiko taikomojoje programoje numatytų įvesties reikalavimų). Taip pat reikia patikrinti, ar nustatytos procedūros, kurios užtikrina, kad visi atmesti įvesties duomenys vėliau bus ištaisyti, pakartotinai pateikti ir priimti taikomojoje programoje. Auditorius turi patikrinti, kaip taikomojoje programoje identifikuojami, koreguojami ir trinami neatpažinti įvesties duomenys. Tikslas įsitikinti, kad taikomojoje programoje bus išsamiai ir teisingai apdorojami įvesties duomenys, o neteisingi duomenys nebus tvarkomi. Duomenų apdorojimo kontrolė turėtų užtikrinti, kad naudojami tik teisėti duomenys ir programos bylos (failai), duomenų apdorojimas yra tikslus ir užbaigtas, o tvarkomi duomenys bus įrašyti į tinkamas bylas (failus). Taikomoji programa turėtų patikrinti duomenų, kuriuos ji apdoroja, vientisumą, pavyzdžiui, naudojant duomenis, gautus iš kontrolinių sumų. Taikomoji programa taip pat turi turėti apdorojamų duomenų žurnalą (angl. log), kuriame turi būti pakankamai informacijos aiškiai identifikuoti kiekvieno duomens apdorojimą. Auditoriui reikia įsitikinti, ar taikomojoje programoje sukurtos kontrolės priemonės aptinka neišsamius arba netikslius apdorojamus įvesties duomenis, aptikusi apdorojimo proceso klaidas, apie jas praneša atsakingiems asmenims. Taip pat turi būti numatytos procedūros, kurios leidžia nustatyti ir peržiūrėti visas neaiškias operacijas, kurios įvyko per tam tikrą laiką, pavyzdžiui, per mėnesį, ketvirtį ar metus. 20

21 3. Pagrindinis tyrimas Išvesties kontrolės Tikslas įsitikinti, kad taikomosios programos pateikiama išvestis yra testavimas išsami, tiksli, teisinga ir laiku pateikta. Siekiant apsaugoti duomenų išvedimo vientisumą turi būti įdiegtos fizinės ir loginės kontrolės, o išvedami duomenys ir duomenų bylos turi būti apsaugoti nuo neteisėto pakeitimo. Siekiant nuslėpti neteisėtus procesus, gali būti keičiami išvedami duomenys. Auditorius turėtų įvertinti, ar kontrolės priemonės užtikrina išvedamų arba persiunčiamų iš vieno apdorojimo etapo į kitą duomenų tikslumą. Duomenų išvedimas iš vienos IS gali formuoti įvedimą kitoje IS, kol galiausiai gaunamas išvesties rezultatas. Pagrindinių duomenų bylų kontrolės testavimas Tikslas įsitikinti, kad taikomosios programos pagrindinių duomenų bylų įrašai yra išsamūs, tikslūs, o pagrindinės duomenų bylos tinkamai apsaugotos. Fizinė ir loginė prieiga prie taikomosios programos pagrindinių duomenų bylų (angl. master data files) turi būti ribojama ir kontroliuojama. Pakeitimus pagrindiniams duomenims gali atlikti tik įgalioti asmenys, o jų atliekami veiksmai turi būti tinkamai kontroliuojami. Taikomosios programos pakeitimų procedūros turėtų būti tinkamai dokumentuotos, valdomos įgaliotų vadovų ir vėliau peržiūrimos atsakingų asmenų. Pagrindinių duomenų bylų ir juose esančių įrašų vientisumas turėtų būti patvirtinamas periodiškai juos suderinant su nepriklausomai saugomais įrašais, pavyzdžiui duomenų bylų atsarginėmis kopijomis. Vertinant taikomųjų programų kontrolę rekomenduojama naudotis 12 priede pateiktu aprašymu, kuriame nurodytos pavyzdinės visų etapų kontrolės testavimo užduotys ir pavyzdinė ISACA Taikomųjų programų audito programa. Testavimo užduotis auditorius gali keisti ir pasirinkti atsižvelgdamas į audituojamo subjekto taikomųjų programų kontrolės aplinką, tačiau visi testavimo užduočių pasirinkimai turi būti pagrįsti ir dokumentuoti. Auditorius, atlikęs taikomosios programos duomenų įvesties, apdorojimo, išvesties ir pagrindinių duomenų ir duomenų bylų kontrolės analizės ir testavimo procedūras, įvertina taikomosios programinės įrangos patikimumą (12 priedas). Atkreiptinas dėmesys, kad taikomųjų programų kontrolės būklė tiesiogiai susijusi su bendrosios kontrolės būkle. Taikomųjų programų kontrolės būklė gali būti įvertinta pagal ISACA Taikomųjų programų audito programoje pateiktas brandos įvertinimo gaires. Taikomųjų programų kontrolės vertinimo rezultatai gali būti panaudoti planuojant IS veiklos auditus (žr. 2.3 poskyrį). 21