VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL valstybinės duomenų apsaugos inspekcijos auditų ir tyrimų, atliekamų duomenų apsaugos audito forma, ATLIKIMO TVARKOS APRAŠO PATVIRTINIMO
2020 m. rugsėjo 11 d. Nr. 1T-93 (1.12.E)
Vilnius
Vadovaudamasis Valstybinės duomenų apsaugos inspekcijos nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2001 m. rugsėjo 25 d. nutarimu Nr. 1156 „Dėl Valstybinės duomenų apsaugos inspekcijos nuostatų patvirtinimo“, 22.3 papunkčiu,
tvirtinu pridedamą Valstybinės duomenų apsaugos inspekcijos auditų ir tyrimų, atliekamų duomenų apsaugos audito forma, atlikimo tvarkos aprašą.
PATVIRTINTA
Valstybinės duomenų apsaugos inspekcijos
direktoriaus 2020 m. rugsėjo 11 d.
įsakymu Nr. 1T-93 (1.12.E.)
valstybinės duomenų apsaugos inspekcijos auditų ir tyrimų, atliekamų duomenų apsaugos audito forma, ATLIKIMO TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Valstybinės duomenų apsaugos inspekcijos auditų ir tyrimų, atliekamų duomenų apsaugos audito forma, atlikimo tvarkos aprašas (toliau – Aprašas) reglamentuoja Valstybinės duomenų apsaugos inspekcijos (toliau – Inspekcija) valstybės tarnautojų atliekamų auditų ir tyrimų, atliekamų duomenų apsaugos audito forma, (toliau – auditas) atlikimo tvarką.
2. Šis Aprašas taip pat yra taikomas, jei Inspekcija, kaip vadovaujanti priežiūros institucija, atlieka auditą kartu su kitų valstybių narių priežiūros institucijomis, vadovaudamasi Reglamento (ES) 2016/679 62 straipsniu.
3. Šis Aprašas yra netaikomas, jei Inspekcija, kaip komandiruojanti priežiūros institucija, atlieka auditą kartu su kitų valstybių narių priežiūros institucijomis, vadovaudamasi Reglamento (ES) 2016/679 62 straipsniu.
4. Inspekcija auditus atlieka vadovaudamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinta Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) 58 straipsnio 1 dalies b punktu bei 1990 m. birželio 19 d. Konvencija dėl Šengeno susitarimo, 1985 m. birželio 14 d. sudaryto tarp Beniliukso ekonominės sąjungos valstybių, Vokietijos Federacinės Respublikos ir Prancūzijos Respublikos vyriausybių dėl laipsniško jų bendrų sienų kontrolės panaikinimo, įgyvendinimo su paskutiniais pakeitimais, padarytais 2013 m. birželio 26 d. Europos Parlamento ir Tarybos reglamentu (ES) Nr. 610/2013, 2018 m. lapkričio 28 d. Europos Parlamento ir Tarybos reglamentu (ES) 2018/1861 dėl Šengeno informacinės sistemos (SIS) sukūrimo, eksploatavimo ir naudojimo patikrinimams kertant sieną, kuriuo iš dalies keičiama Konvencija dėl Šengeno susitarimo įgyvendinimo ir iš dalies keičiamas bei panaikinamas Reglamentas (EB) Nr. 1987/2006 ir Komisijos sprendimas 2010/261/ES, 2008 m. birželio 23 d. Tarybos sprendimu 2008/633/TVR dėl valstybių narių paskirtų institucijų ir Europolo prieigos prie Vizų informacinės sistemos (VIS) teroristinių ir kitų sunkių nusikaltimų prevencijos, atskleidimo ir tyrimo tikslais, 2008 m. liepos 9 d. Europos Parlamento ir Tarybos reglamentu (EB) Nr. 767/2008 dėl Vizų informacinės sistemos (VIS) ir apsikeitimo duomenimis apie trumpalaikes vizas tarp valstybių narių (VIS reglamentas), 2013 m. birželio 26 d. Europos Parlamento ir Tarybos reglamentu (ES) Nr. 603/2013 dėl Eurodac sistemos pirštų atspaudams lyginti sukūrimo siekiant veiksmingai taikyti Reglamentą (ES) Nr. 604/2013, kuriuo išdėstomi valstybės narės, atsakingos už trečiosios šalies piliečio arba asmens be pilietybės vienoje iš valstybių narių pateikto tarptautinės apsaugos prašymo nagrinėjimą, nustatymo kriterijai ir mechanizmai, ir dėl valstybių narių teisėsaugos institucijų bei Europolo teisėsaugos tikslais teikiamų prašymų palyginti duomenis su Eurodac sistemos duomenimis ir kuriuo iš dalies keičiamas Reglamentas (ES) Nr. 1077/2011, kuriuo įsteigiama Europos didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymo agentūra (nauja redakcija), 2018 m. rugsėjo 12 d. Europos Parlamento ir Tarybos reglamentu (ES) 2018/1240, kuriuo sukuriama Europos kelionių informacijos ir leidimų sistema (ETIAS) ir iš dalies keičiami reglamentai (ES) Nr. 1077/2011, (ES) Nr. 515/2014, (ES) 2016/399, (ES) 2016/1624 ir (ES) 2017/2226, 2019 m. balandžio 17 d. Europos Parlamento ir Tarybos reglamentu (ES) 2019/816, kuriuo Europos nuosprendžių registrų informacinei sistemai papildyti sukuriama centralizuota valstybių narių, turinčių informacijos apie priimtus trečiųjų šalių piliečių ir asmenų be pilietybės apkaltinamuosius nuosprendžius, nustatymo sistema (ECRIS-TCN) ir kuriuo iš dalies keičiamas Reglamentas (ES) 2018/1726, 2019 m. gegužės 20 d. Europos Parlamento ir Tarybos reglamentu (ES) 2019/817 dėl ES informacinių sistemų sienų ir vizų srityje sąveikumo sistemos sukūrimo, kuriuo iš dalies keičiami Europos Parlamento ir Tarybos reglamentai (EB) Nr. 767/2008, (ES) 2016/399, (ES) 2017/2226, (ES) 2018/1240, (ES) 2018/1726 ir (ES) 2018/1861 bei Tarybos sprendimai 2004/512/EB ir 2008/633/TVR, 2019 m. gegužės 20 d. Europos Parlamento ir Tarybos reglamentu (ES) 2019/818 dėl ES informacinių sistemų policijos ir teisminio bendradarbiavimo, prieglobsčio ir migracijos srityje sąveikumo sistemos sukūrimo, kuriuo iš dalies keičiami reglamentai (ES) 2018/1726, (ES) 2018/1862 ir (ES) 2019/816, ir kituose Europos Sąjungos teisės aktuose suteiktais įgaliojimais.
5. Aprašas parengtas vadovaujantis Reglamentu (ES) 2016/679, Valstybinės duomenų apsaugos inspekcijos nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2001 m. rugsėjo 25 d. nutarimu Nr. 1156 „Dėl Valstybinės duomenų apsaugos inspekcijos nuostatų patvirtinimo“, Tarptautinės buhalterių federacijos Tarptautinių audito ir užtikrinimo standartų valdybos išleistais Tarptautiniais audito standartais (toliau – Tarptautiniai audito standartai), Tarptautinės aukščiausiųjų audito institucijų organizacijos INTOSAI paskelbtais tarptautiniais audito standartais TAAIS.
6. Auditą atlieka Inspekcijos Priežiūros ir Informacinių technologijų skyriuose dirbantys valstybės tarnautojai, vadovaudamiesi duomenų apsaugą reglamentuojančiais teisės aktais, tarptautiniais auditų atlikimą reglamentuojančiais standartais, Valstybinės duomenų apsaugos inspekcijos valstybės tarnautojų, atliekančių auditus ir tyrimus, atliekamus duomenų apsaugos audito forma, etikos kodeksu bei šiuo Aprašu.
7. Apraše vartojamos sąvokos:
7.1. Audito procesas – visi audito etapai, apimantys audito planavimą, audito procedūrų atlikimą (audito įrodymų rinkimą), audito ataskaitos projekto parengimą, audito ataskaitos pateikimą ir pažangos stebėjimą (priežiūrą po audito).
7.2. Audito programa – audito atlikimo planas, kuriame nurodoma audito problema ir tikslai, audito klausimai, audito trukmė, vykdytojai, duomenų rinkimo ir analizės metodai, procedūros ir jų trukmė bei kita svarbi informacija.
7.3. Darbo dokumentai – įrašai apie atliktas audito procedūras, surinktus tinkamus audito įrodymus ir auditoriaus padarytos išvados, atlikti laikantis 230-ojo tarptautinio audito standarto „Audito dokumentavimas“.
7.4. Audito įrodymai – dokumentuota informacija, kuria valstybės tarnautojas atliekantis auditą grindžia savo pastebėjimus, išvadas ir rekomendacijas.
7.5. Vidaus kontrolė – audituojamo subjekto sukurta visų kontrolės rūšių sistema, kuria siekiama užtikrinti audituojamo subjekto veiklos teisėtumą, ekonomiškumą, efektyvumą, rezultatyvumą ir skaidrumą, strateginių ir kitų veiklos planų įgyvendinimą, turto apsaugą, informacijos ir ataskaitų patikimumą ir išsamumą, sutartinių ir kitų įsipareigojimų tretiesiems asmenims laikymąsi bei su visa tuo susijusių rizikos veiksnių valdymą.
II SKYRIUS
AUDITŲ PLANAVIMAS
8. Auditai vykdomi pagal Inspekcijos direktoriaus patvirtintą Valstybinės duomenų apsaugos inspekcijos auditų planą (toliau – Auditų planas).
9. Auditai planuojami 5 metų laikotarpiui atsižvelgiant į šio Aprašo 4 punkte nurodytuose Europos Sąjungos teisės aktuose numatytą auditų atlikimo periodiškumą.
10. Auditų planą rengia Priežiūros skyriaus ir Informacinių technologijų skyriaus vedėjai. Auditų planas tvirtinamas Inspekcijos direktoriaus kas penkeri metai iki vasario 1 d. Auditų planas gali būti keičiamas.
11. Rengiant Auditų planą vadovaujamasi:
12. Apie 10–20 procentų kiekvieno valstybės tarnautojo, atliekančio auditus, darbo dienų gali būti nepaskirstyta. Toks nepaskirstytas laikas būtų pagrįstas dėl iš anksto nenumatytų objektyvių priežasčių, kuriomis laikomos tokios ar panašaus pobūdžio priežastys: valstybės tarnautojo ligos, Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus personalo pokytis.
13. Rizikos vertinimo procesas apima:
13.1. rizikingų sričių nustatymą, atsižvelgiant į ankstesnių auditų informaciją, naujos situacijos analizę, Europos Komisijos rekomendacijas dėl trūkumų, nustatytų vertinant, kaip Lietuva taiko Šengeno acquis nuostatas duomenų apsaugos srityje;
III SKYRIUS
AUDITO PROCESAS
PIRMASIS SKIRSNIS
AUDITO PROCESO BENDROSIOS NUOSTATOS
ANTRASIS SKIRSNIS
AUDITO PLANAVIMAS
16. Audito planavimo tikslas – suplanuoti auditą taip, kad jis būtų atliktas efektyviai, rezultatyviai ir sumažintų audito riziką iki priimtinai žemo lygio.
17. Valstybės tarnautojas, planuodamas auditą, turi atlikti išankstinį rizikos vertinimą (tyrimą), t. y. įvertinti:
17.1. riziką, susijusią su audituojamo subjekto veiklos, susijusios su asmens duomenų apsauga, tikslais, ištekliais bei operacijomis, ir priemones, kurias taikant galimas rizikos poveikis išlaikomas priimtino lygio;
17.2. audituojamo subjekto audituojamos veiklos valdymo, jo rizikos valdymo ir vidaus kontrolės procesų tinkamumą ir veiksmingumą;
17.3. galimybes reikšmingai pagerinti audituojamo subjekto veiklos valdymą, jo rizikos valdymą ir vidaus kontrolę;
18. Valstybės tarnautojas, atsižvelgdamas į išankstinio rizikos vertinimo rezultatus, nustato audito tikslus ir apimtį, kuri turi būti pakankama audito tikslams pasiekti.
19. Audito planavimo etape valstybės tarnautojas turi parengti audito planą ir programą, kurie turi būti patvirtinti Priežiūros skyriaus vedėjo, jeigu auditą atlieka ir Informacinių technologijų skyriaus valstybės tarnautojas, ir Informacinių technologijų skyriaus vedėjo.
20. Audito plane (Aprašo 1 priedas) turi būti nurodyta:
20.4. audito trukmė (nurodant audito pradžios ir pabaigos datas). Audito pabaigos data laikoma audito ataskaitos data;
21. Audito atlikimo trukmė nustatoma atsižvelgiant į audito tikslus ir apimtį.
Kad būtų pasiekti audito plane nurodyti tikslai, jį atliekantis (-ys) valstybės tarnautojas (-ai) turi parengti audito programą (2 priedas), kurioje turi būti nurodyta:
21.4. audito atlikimo laikotarpis pagal vykdytojus (jeigu auditą atliks ne vienas valstybės tarnautojas);
22. Audito planas ir audito programa audito procedūrų atlikimo metu gali būti tikslinami, audito atlikimo trukmė gali būti pratęsta, o visi jų pakeitimai turi būti patvirtinti Priežiūros skyriaus vedėjo, jeigu auditą atlieka ir Informacinių technologijų skyriaus valstybės tarnautojas, ir Informacinių technologijų skyriaus vedėjo.
TREČIASIS SKIRSNIS
AUDITO PROCEDŪRŲ ATLIKIMAS
23. Auditui atlikti parengiami klausimynai ir testai, kurie turi būti suderinti su Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėju.
24. Atsižvelgiant į audito tikslus, objektą, apimtį, auditą atlikti gali būti pavesta vienam valstybės tarnautojui arba Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėjo (-ų) sudarytai audito grupei.
25. Prireikus, kai vykdomas didelės apimties ir (ar) specifinis auditas, Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėjo (-ų) siūlymu ir Inspekcijos direktoriaus sprendimu į sudaromas audito grupes gali būti kviečiami nepriklausomi išorės ekspertai.
26. Audito grupės vadovas koordinuoja audito grupės darbą, prireikus, suderinęs su Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėju (-ais), audito grupės vadovas gali audito grupės nariams pavesti papildomas užduotis, susijusias su audito tema. Audito grupės vadovas yra atsakingas už audito ataskaitos projekto parengimą.
27. Valstybės tarnautojas, atsižvelgdamas į audito tikslus, pagal Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėjo (-ų) patvirtintą audito programą turi įvertinti audituojamo subjekto valdymo, rizikos valdymo ir vidaus kontrolės tinkamumą ir veiksmingumą ir atlikti audito procedūras, kuriomis siekiama:
27.2. nustatyti duomenų apsaugos atitikimą paties audituojamo subjekto nustatytai ir patvirtintai duomenų apsaugos sistemai;
28. Valstybės tarnautojas, siekdamas tinkamai atlikti Aprašo 27.1–27.4 papunkčiuose numatytas pareigas, turi įvertinti šias sritis:
28.1. duomenų apsaugos valdymą (surinkti saugumo dokumentus, susijusius su techniniu asmens duomenų saugumu, įvertinti, ar jie taikomi praktiškai);
28.2. žmogiškųjų išteklių saugumą (kiek duomenų valdytojo, duomenų tvarkytojo darbuotojų turi teisę gauti duomenis, kokiais tikslais ir, ar darbuotojai yra tinkamai apmokyti);
28.3. fizinį ir aplinkos saugumą (įvertinti, darbo įrenginių, įskaitant kredencialų, pavyzdžiui, asmeninių raktų, lustinių kortelių, USB raktų, planšetinių kompiuterių, fizinių raktų ir t. t., saugojimo saugumą; įvertinti, ar yra ribotas darbuotojų, turinčių leidimą pateikti į serverines, sąrašas; įvertinti prevencines priemones prieš neleistiną fizinę prieigą; įvertinti, ar yra specialios priemonės, kurių imamasi dėl išorės tiekėjų, išorės programinės įrangos, interneto ryšio teikėjų prieigos; įvertinti nuotolinės prieigos prie informacinių sistemų problemas);
28.4. įrašų tvarkymą (įvertinti, ar yra nustatytas duomenų keitimo, papildymo, ištrynimo ir taisymo procesas; įvertinti, ar vykdoma saugojimo laikotarpio stebėsena; įvertinti, ar numatytas automatinio duomenų ištrynimo pasibaigus saugojimo laikotarpiui procesas; įvertinti duomenų saugojimą; įvertinti, ar daromos laiko žymos kiekvienam veiksmui, kuris atliekamas informacinėse sistemose, įskaitant duomenis pateikiančio subjekto identifikavimą; įvertinti, ar vedami prieigos žurnalai, siekiant užtikrinti stebėseną);
28.5. asmens duomenų saugumą (surinkti informaciją apie informacinių sistemų techninę architektūrą, jų ryšį su kitomis sistemomis, ryšių tarp sistemų infrastruktūrą, įvertinti buvusių duomenų valdytojų, duomenų tvarkytojų darbuotojų naudotojų profilių naudojimą ir t. t.);
28.6. rizikos valdymą (įvertinti, ar nustatyta rizikos valdymo sistema; įvertinti, ar atlikta naujų technologinių atnaujinimų, informacinės sistemos infrastruktūros pakeitimų rizikos analizė);
28.7. incidentų valdymą (surinkti su incidentų valdymu susijusią dokumentaciją; įvertinti, ar atnaujinta saugumo programinė įranga; įvertinti, ar yra užkardų politika; įvertinti, ar yra nustatyti atsarginių kopijų ir incidentų sprendimo procesai; įvertinti, kaip yra nustatomi, tiriami, dokumentuojami asmens duomenų saugumo pažeidimai ir ar apie juos pranešama tiek duomenų subjektams, tiek Inspekcijai);
28.8. pokyčių valdymą (įvertinti, ar įdiegta pokyčių valdymo politiką; įvertinti, ar procesai, kuriais užtikrinama, kad informacinių technologijų paslaugos ir jų sudedamosios dalys bus fiksuojamos, vėliau vertinamos, patvirtinamos, suskirstomos pagal svarbą, tinkamai įforminami dokumentais ir peržiūrimi);
28.9. duomenų subjektų teisių įgyvendinimą (įvertinti, ar yra patvirtintos duomenų subjektų prašymų įgyvendinti teises formos; įvertinti šių formų prieinamumą duomenų subjektams; įvertinti bendrą informaciją, pateikiamą duomenų subjektams dėl jų teisių įgyvendinimo; įvertinti duomenų subjektų, pateikusių prašymą dėl teisių įgyvendinimo, tapatybės patikrinimo procesą; įvertinti, kaip nagrinėjami duomenų subjektų prašymai dėl teisių įgyvendinimo; įvertinti, kokia dalis šių prašymų yra netenkinama bei kokios yra šių prašymų netenkinimo priežastys);
28.10. duomenų perdavimą (surinkti dokumentus, reglamentuojančius duomenų teikimo tiek nacionaliniu, tiek tarptautiniu lygmeniu procesą; pasirinktinai įvertinti duomenų teikimo tiek nacionaliniu, tiek tarptautiniu lygmeniu atvejus);
29. Valstybės tarnautojas, atlikdamas auditą ir siekdamas audito tikslų, turi surinkti pakankamą, patikimą, svarbią ir naudingą informaciją – audito įrodymus:
29.1. pakankama informacija – faktais patvirtinta, tinkama ir tokia įtikinama informacija, kuria remdamasis kompetentingas asmuo padarytų tokias pačias išvadas kaip ir auditorius, surinkęs tokią informaciją;
29.2. patikima informacija – informacija, kurią galima patikrinti taikant tam tikras audito procedūras;
29.3. svarbi informacija – informacija, kuri patvirtina audito metu padarytas išvadas ir rekomendacijas bei atitinka audito tikslus;
30. Rinkdamas audito įrodymus valstybės tarnautojas turi atlikti tokias audito procedūras, kurios užtikrintų, kad audito rizika (vidaus ir išorės rizika, galinti trukdyti įgyvendinti audito tikslus ir pateikti neteisingą nuomonę apie audituojamą subjektą ir (arba) audituojamą sritį) būtų sumažinta iki priimtino lygio (pavyzdžiui, auditorius gali nuspręsti, kad jungtinis būdas, naudojant tiek vidaus kontrolės veikimo efektyvumo testus, tiek detalias procedūras, yra veiksmingas; auditorius gali nustatyti, kad pakanka vien tik detalių analitinių procedūrų), nustatomo jo profesiniu sprendimu.
31. Audito įrodymai renkami, taikant šias audito procedūras:
31.1. perskaičiavimą (dokumentų ir apskaitos įrašų aritmetinio tikslumo patikrinimas ar perskaičiavimas);
31.2. patvirtinimą (tam tikros informacijos, dėl kurios tikslumo ar buvimo valstybės tarnautojas abejoja, patvirtinimas ar paneigimas);
31.3. patikrinimą (įrašų, materialiojo turto, dokumentų patikrinimas, kurį atliekant galima tikrinti tik kontrolės procedūras arba patiems atlikti patikrinimą);
31.5. apklausą ir (arba) pokalbį (apklausos anketų ir klausimynų pateikimas ir atsakymų į juos gavimas, pokalbio aprašymas);
32. Valstybės tarnautojas audito įrodymus turi vertinti pagal audito programoje nurodytus vertinimo kriterijus, atsižvelgdamas į audito tikslus, kitus vertinimo kriterijus, kurie, valstybės tarnautojo nuomone, gali būti taikomi atliekant konkretaus audito procedūras.
33. Atlikdamas audito procedūras, valstybės tarnautojas siekia nustatyti reikšmingas klaidas, kurios daro didelį poveikį audituojamo subjekto audituojamai sričiai, teisės aktų reikalavimų neatitikimams, jo valdymui, rizikos valdymui ir vidaus kontrolei.
34. Valstybės tarnautojas audituojamo subjekto vidaus kontrolę vertina pagal penkis vidaus kontrolės elementus: kontrolės aplinką, rizikos vertinimą, kontrolės veiklą, informavimą ir komunikaciją bei stebėseną.
35. Vidaus kontrolės veikimas įvertinamas:
35.2. gerai – jei visa rizika yra nustatyta ir valdoma, bet yra keletas nesvarbių vidaus kontrolės trūkumų, neturinčių neigiamos įtakos audituojamo subjekto audituojamos veiklos rezultatams;
35.3. patenkinamai – jei visa rizika yra nustatyta, tačiau dėl netinkamo rizikos valdymo yra vidaus kontrolės trūkumų, kurie gali turėti neigiamą įtaką audituojamo subjekto audituojamos veiklos rezultatams;
36. Valstybės tarnautojas, atlikęs audito programoje numatytas audito procedūras, turi parengti darbo dokumentus, kurie yra pagrindas parengti audito ataskaitą, taip pat pagrįsti audito išvadas ir rekomendacijas.
37. Darbo dokumentas privalo turėti dokumento sudarytojo pavadinimą, dokumento pavadinimą, dokumento datą, dokumento numerį, dokumento tekstą ir turi būti valstybės tarnautojo pasirašytas.
38. Darbo dokumente turi būti nurodyti audito procedūrų atlikimo tikslas, informacijos šaltinis, taikytos audito procedūros, audito apimtis, susijusi su atliktomis audito procedūromis, apibendrinti audito išvadas ir rekomendacijas patvirtinantys audito įrodymai. Darbo dokumente asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant audito tikslų, dėl kurių jie tvarkomi.
39. Darbo dokumente turi būti išdėstomi audito metu nustatyti svarbūs faktai, nurodyti visi nustatyti pažeidimai ir klaidos, teisės aktų reikalavimų neatitikimai, nukrypimai nuo patvirtintų procedūrų, aiškinamos priežastys, dėl kurių atsirado pažeidimų ir klaidų, nurodoma jų įtaka audituojamo subjekto audituojamai veiklai, išvadoje įvertinta vidaus kontrolė (jei nėra rengiamas atskiras vidaus kontrolės vertinimo darbo dokumentas). Vidaus kontrolės vertinimas gali būti išdėstytas ir atskirame vidaus kontrolės vertinimo darbo dokumente.
KETVIRTASIS SKIRSNIS
AUDITO REZULTATŲ PATEIKIMAS
41. Valstybės tarnautojas, atlikęs audito procedūras, turi parengti audito ataskaitos (Aprašo 3 priedas) projektą pagal Aprašo 48 punkte nustatytus reikalavimus ir pateikti ją Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėjui (-ams) peržiūrai.
42. Audito ataskaitos projektą, peržiūrėjus Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėjui (-ams), valstybės tarnautojas turi pateikti audituojamo subjekto vadovui, o šis per 5 darbo dienas turi susipažinti su jam pateiktu audito ataskaitos projektu ir prireikus pateikti dėl jo atsiliepimą (nuomonę).
43. Gautą audituojamo subjekto vadovo atsiliepimą dėl audito ataskaitos projekto valstybės tarnautojas turi įvertinti, aptarti su Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėju (-ais) ir parengti darbo dokumentą, kuriame nurodomas sprendimas dėl audito ataskaitos projekto tikslinimo (netikslinimo) pagal audituojamo subjekto atsiliepime pateiktus pasiūlymus.
44. Jei audituojamo subjekto vadovo atsiliepime pateikti pasiūlymai dėl audito ataskaitos projekto, į kuriuos nebus atsižvelgta, valstybės tarnautojas darbo dokumente turėtų nurodyti priežastis dėl kurių jis į juos neatsižvelgė.
45. Audito ataskaitos projektą valstybės tarnautojas turi aptarti su audituojamo subjekto vadovu ir su atsakingais už audituotą sritį darbuotojais (susirašinėjimų, susitikimų, komentarų teikimo ar kitais būdais), kad supažindintų juos su nustatytais ir apibendrintais faktais, su audituojamo subjekto vadovo atsiliepime dėl vidaus audito ataskaitos projekto gautais pasiūlymais, į kuriuos nebuvo atsižvelgta, apsvarstytų su jais jų veiklos tobulinimo ir nustatytų neatitikimų šalinimo galimybes. Valstybės tarnautojas turi įsitikinti, kad audituojamo subjekto darbuotojai supranta pažeidimo, klaidos arba teisės aktų reikalavimų neatitikimo esmę.
46. Po audito ataskaitos projekto aptarimo valstybės tarnautojas turi parengti audito ataskaitą, ją turi pasirašyti Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėjas (-ai) ir auditą atlikęs (-ę) valstybės tarnautojas (-ai).
48. Audito ataskaitos struktūra:
48.1. įvadinė dalis, kurioje nurodomi audito atlikimo motyvai (pavyzdžiui, pagal Audito planą), audito atlikimo terminas (audito pradžios ir pabaigos data), audito apimtis (audituojamas subjektas ir (arba) audituojama sritis, audituojamas laikotarpis), audito tikslas, audito metodai, vertinimo kriterijai ir audito vykdytojai;
48.2. dėstomoji dalis, kurioje nurodomi pastebėjimai (audito metu nustatyti faktai), pateikiamos išvados ir rekomendacijos:
48.2.1. pastebėjimai – asmens duomenų apsaugos trūkumai, nustatytos klaidos, neatitikimai ir kita informacija, patvirtinanti audito išvadas ir rekomendacijas, nurodomos pastebėjimo atsiradimo priežastys, taip pat gali būti įtraukta informacija apie audituojamo subjekto veiklą įgyvendinant ankstesnio audito rekomendacijas ir sukurtas tinkamas vidaus kontrolės priemones;
48.2.2. išvados – auditoriaus nuomonė apie audito metu nustatytų faktų įtaką audituojamo subjekto valdymui, rizikos valdymui ir vidaus kontrolei, kuri gali padėti tobulinti jo audituojamų subjektų veiklą. Išvados turi būti trumpos, konkrečios ir motyvuotos, pagrįstos teisės aktų reikalavimais, audituojamo subjekto valdymo, rizikos valdymo ir vidaus kontrolės vertinimu ir susijusios su audito tikslais;
48.2.3. rekomendacijos – pasiūlymas audituojamam subjektui atlikti būtinus patobulinimus, kurie galėtų sumažinti rizikos veiksnių įtaką audituojamo subjekto audituotai veiklai, padėtų audituojamo subjekto vadovui tobulinti audituotą veiklą ir vidaus kontrolę, laikytis teisės aktų reikalavimų, kad būtų užkirstas kelias klaidoms pasikartoti (sisteminėms klaidoms).
49. Rekomendacijos turi būti aiškios, konkrečios, įgyvendinamos, pateiktos pagal audito ataskaitoje aprašytus pastebėjimus ir padarytas išvadas.
50. Valstybės tarnautojas, atsižvelgdamas į savo patirtį ir tikrinamo audituojamo subjekto ir (arba) audituojamos srities specifiką, savarankiškai pasirenka galimus rekomendacijų reikšmingumo vertinimo kriterijus, pavyzdžiui: informacinių sistemų problemos, nustatytų teisės aktų reikalavimų nesilaikymas ir kita.
51. Rekomendacijos turi būti išdėstytos pagal jų reikšmingumo lygį, kuris gali būti didelis, vidutinis arba mažas.
52. Didelio reikšmingumo rekomendacijos yra tos, kurioms įgyvendinti audituojamo subjekto vadovas turėtų imtis neatidėliotinų priemonių, nes:
52.1. yra svarbių valstybės tarnautojo pastebėjimų, susijusių su audituojamo subjekto vidaus kontrolės įgyvendinimu ir turinčių neigiamą įtaką audituojamo subjekto audituojamos veiklos tikslų tinkamam įgyvendinimui laiku, taip pat turinčių įtakos teisės aktų pažeidimams atsirasti;
53. Vidutinio reikšmingumo rekomendacijos yra tos, kurių įgyvendinimas svarbus audituojamo subjekto veiklai, nes:
53.1. yra valstybės tarnautojo pastebėjimų, susijusių su audituojamo subjekto vidaus kontrolės įgyvendinimu ir galinčių turėti neigiamą įtaką audituojamo subjekto audituojamos veiklos tikslų ir teisės aktų reikalavimų tinkamam įgyvendinimui;
54. Mažo reikšmingumo rekomendacijos yra tos, kurioms įgyvendinti reikia imtis priemonių, tačiau:
54.1. valstybės tarnautojo pastebėjimai, susiję su audituojamo subjekto vidaus kontrolės sistemos veikimu, neturi ir negali turėti esminės įtakos audituojamo subjekto tikslų įgyvendinimui laiku ir tinkamam teisės aktų reikalavimų įgyvendinimui;
55. Audito ataskaita turi būti:
55.1. objektyvi (pateikiami pagrįsti faktai, informacija nešališka, neiškraipyta, be išankstinio nusistatymo);
55.4. konstruktyvi (skatina teigiamus audituojamo subjekto pokyčius ir padeda gerinti jo veiklą, pažymimi teigiami audituojamo subjekto audituojamos veiklos aspektai);
56. Galutinė audito ataskaita užregistruojama Inspekcijos dokumentų valdymo sistemoje ir kartu su rekomendacijų įgyvendinimo priemonių plano forma teikiama audituojamam subjektui.
57. Kai atliekamas didelės apimties auditas, audituojamam subjektui gali būti teikiama tarpinė audito ataskaita, skirta neatidėliotinai informacijai pateikti, kai atliekant audito procedūras nustatoma rizika audituojamo subjekto audituojamai veiklai ir audituojamo subjekto vadovams būtina skubiai priimti sprendimus dėl valstybės tarnautojų nustatytų pažeidimų ir klaidų.
58. Jeigu audito ataskaitoje padaroma reikšminga klaida arba praleidžiama svarbi informacija, valstybės tarnautojas turi surašyti audito ataskaitą patikslinančią pažymą. Ją turi pasirašyti Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėjas (-ai) ir valstybės tarnautojas (-ai), surašęs (-ę) tokią pažymą. Audito ataskaitą patikslinanti pažyma pateikiama audito ataskaitą gavusiems asmenims.
59. Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėjas (-ai) gali parengti apklausos anketą (Aprašo 5 priedas). Ji pateikiama audituojamo subjekto vadovui ir atsakingiems už audituotą sritį darbuotojams, tik prieš tai gavusi šių asmenų rašytinį sutikimą dėl kontaktinių duomenų naudojimo apklausos atlikimo tikslais. Ši apklausa skirta susipažinti su audituojamų subjektų nuomone apie valstybės tarnautojo veiklą ir atliktą auditą. Apklausos duomenys turi būti išanalizuoti, kad ateityje būtų galima gerinti audito atlikimo kokybę, įvertinti valstybės tarnautojo (-ų) veiklos ir bendradarbiavimo su audituojamais subjektais tobulinimo galimybes, ištirti audituojamų subjektų pasitenkinimo atliktu auditu lygį.
PENKTASIS SKIRSNIS
PAŽANGOS STEBĖJIMAS (VEIKLA PO AUDITO)
60. Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėjas (-ai) turi pavesti valstybės tarnautojui (-ams) atlikti pažangos stebėjimą, o jie, vykdydami pažangos stebėjimą, turi vertinti, kaip vykdomos audito ataskaitoje pateiktos rekomendacijos, kaip šalinami valstybės tarnautojo (-ų) nustatyti trūkumai, klaidos ir jų atsiradimą lemiantys veiksniai, ar gerinama audituoto subjekto padėtis.
61. Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėjas (-ai), įvertinęs (-ę), kaip įgyvendinamos audito ataskaitoje pateiktos rekomendacijos, gali nuspręsti pažangos stebėjimą atlikti kito audito metu arba atlikti atskirą pažangos stebėjimo auditą.
62. Pažangos stebėjimas atliekamas atsižvelgiant į auditų ataskaitose pateiktų rekomendacijų įgyvendinimo stebėsenos sistemos duomenis, audituoto subjekto pateiktus dokumentus, patvirtinančius rekomendacijų įgyvendinimą (neįgyvendinimą), ir kitą valstybės tarnautojo (-ų) surinktą informaciją.
63. Atlikęs pažangos stebėjimą, valstybės tarnautojas (-ai) turi parengti pažymą apie audito ataskaitoje pateiktų rekomendacijų įgyvendinimą (pagal Aprašo 4 priede nustatytą formą), kurioje pažymi apie rekomendacijų įgyvendinimą ir trūkumų ištaisymą arba minėtų procedūrų neatlikimą. Atlikęs pažangos stebėjimo procedūras, valstybės tarnautojas (-ai) apibendrina pažymose apie auditų ataskaitose pateiktų rekomendacijų įgyvendinimą užfiksuotą informaciją, parengia tarnybinį pranešimą ir, suderinęs jį su Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėju (-ais), pateikia audituojamam subjektui.
64. Valstybės tarnautojas (-ai) turi atlikti pažangos stebėjimo procedūras, kad įsitikintų, ar audito ataskaitoje pateiktos rekomendacijos įgyvendintos ir trūkumai, dėl kurių valstybės tarnautojas (-ai) audito ataskaitoje pateikė rekomendacijas, ištaisyti, arba nustatyti priežastis, dėl kurių rekomendacijos nebuvo įgyvendintos (pavyzdžiui, rekomendacija neteko aktualumo, pasikeitė teisinis reglamentavimas).
IV SKYRIUS
VALSTYBĖS TARNAUTOJO (-Ų), PRIEŽIŪROS SKYRIAUS IR (AR) INFORMACINIŲ TECHNOLOGIJŲ SKYRIAUS VEDĖJO (-Ų) TEISĖS IR PAREIGOS
65. Valstybės tarnautojas:
65.1. atlikdamas audito procedūras ir nustatęs pažeidimus, susijusius su audituojamo subjekto audituojamos veiklos sritimis, kuriose egzistuoja didelė rizika audituojamo subjekto audituojamai veiklai, suderinęs su Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėju (-ais), apie juos nedelsdamas turi informuoti audituojamo subjekto vadovą;
65.2. atlikdamas audito planavimo ir audito procedūras elektroninio ryšio priemonėmis gali paprašyti atsakingus už atitinkamą veiklos sritį audituojamo subjekto darbuotojus pateikti jam svarbią ir naudingą informaciją auditui atlikti, supažindinti juos su nustatytais ir apibendrintais faktais, prireikus kartu su Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėju (-ais) organizuojamuose susitikimuose aptarti su jais nustatytų trūkumų ir neatitikimų šalinimo galimybes, kol bus užbaigtos audito procedūros;
65.3. užregistravęs audito ataskaitą Inspekcijos dokumentų valdymo sistemoje, auditą atlikęs valstybės tarnautojas (-ai) turi sudaryti audito dokumentų bylą, kurioje turi būti audito planavimo dokumentai (formalizuotas rizikos vertinimas, audito planas ir programa), darbo dokumentai su audito įrodymais, audito ataskaitos projektas ir išvadų dėl audito ataskaitos projekto gavimo iš audituojamo subjekto dokumentai, audito ataskaita, pažangos stebėjimo dokumentai (pažyma apie rekomendacijų įgyvendinimą arba Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėjo (-ų) sprendimas dėl pažangos stebėjimo atlikimo kito audito metu arba dėl atskiro pažangos stebėjimo audito atlikimo) ir bylos apyrašas.
65.4. prieš pradėdamas atlikti auditą turi informuoti Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėją (-us) apie aplinkybes, kurios būtų pagrindas kam nors abejoti audito išvadų ir rekomendacijų objektyvumu. Jeigu pradėjus auditą valstybės tarnautojui (-ams) paaiškėja aplinkybės, kurios būtų pagrindas kam nors abejoti audito išvadų ir rekomendacijų objektyvumu arba turėtų įtakos jo nepriklausomumui, nedelsdamas apie tai informuoja Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėją (-us). Atitinkamo skyriaus vedėjas turi priimti sprendimą dėl tolesnių veiksmų, susijusių su audito atlikimu.
66. Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėjas, siekdamas užtikrinti audito kokybę, atlieka:
66.1. valstybės tarnautojo (-ų) audito atlikimo ir audito pažangos stebėjimo priežiūrą, kad užtikrintų, jog audito atlikimas ir audito pažangos stebėjimas bus atlikti vadovaujantis auditą reglamentuojančių teisės aktų reikalavimais, bus pasiekti audito tikslai;
66.2. darbo dokumentų ir audito ataskaitos projekto peržiūrą, kad nustatytų, ar atliktas darbas atitinka audito tikslus, audito planą ir audito programą, ar, atliekant audito procedūras, įvertinta vidaus kontrolė, ar audito metu surinkta pakankama, patikima, svarbi ir naudinga informacija (audito įrodymai), ar ji yra dokumentuota ir pagrindžia audito ataskaitos projekte išdėstytus pastebėjimus, išvadas, rekomendacijas, ar audito ataskaitos projekto struktūra ir turinys atitinka Aprašo reikalavimus;
66.3. atlikęs darbo dokumentų peržiūrą, peržiūros išvadoje (kuri gali būti kaip žyma ant kiekvieno darbo dokumento arba kaip atskiras Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus vedėjo (-ų) parengtas bendras visų darbo dokumentų peržiūros dokumentas) nurodo darbo dokumento peržiūros datą ir surašo peržiūros rezultatus;
66.4. audituojamų subjektų vadovų ir atsakingų už audituotą sritį darbuotojų apklausą Apraše nustatyta tvarka;
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
67. Dokumentai ir duomenys tvarkomi ir saugomi vadovaujantis Lietuvos Respublikos dokumentų ir archyvų įstatymu ir jo įgyvendinamaisiais teisės aktais.
Valstybinės duomenų apsaugos
inspekcijos auditų ir tyrimų, atliekamų
duomenų apsaugos audito forma,
atlikimo tvarkos aprašo
1 priedas
(Audito plano forma)
VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS
PRIEŽIŪROS SKYRIUS
INFORMACINIŲ TECHNOLOGIJŲ SKYRIUS
|
TVIRTINU Priežiūros skyriaus vedėjas (Parašas) (Vardas ir pavardė) (Data)
Informacinių technologijų skyriaus vedėjas (Parašas) (Vardas ir pavardė) (Data)
|
__________________________________________
(audito pavadinimas)
AUDITO PLANAS
________________ Nr. _________
(data)
________________________________
(sudarymo vieta)
Audituojamas subjektas, audituojama sritis |
Nurodomas: - juridinis asmuo, jo administracijos padalinys arba padaliniai, kurio auditas yra atliekamas, ir (arba) - juridinio asmens veiklos sritis, kurio auditas yra atliekamas. |
Audito tikslai |
Nurodomas audito tikslas (-ai), kuriuo (-iais) remiantis bus daromos išvados. Audito tikslas (-ai) nustatomas (-i) atsižvelgiant į išankstinio rizikos vertinimo rezultatus (tikslai turi būti susiję su rizikos veiksniais, būdingais audituojamam subjektui ir (arba) audituojamai sričiai). Rekomenduojama išsikelti ne daugiau negu 2–3 tikslus, siekiant išvengti pernelyg daug audito procedūrų atlikimo ir didelių laiko sąnaudų. |
Audito apimtis |
Nurodomas audituojamas subjektas, audituojamas laikotarpis, numatomi audituoti subjektai (institucijos, institucijų padaliniai). Audito apimties nustatymas turėtų apimti sprendimą dėl audito tikrinimo masto, audituotinus procesus, nagrinėjamą laikotarpį. Iš esmės tai yra audito ribų nustatymas. |
Audito trukmė |
Nurodomos audito pradžios ir pabaigos datos. Audito pabaigos data laikoma Audito ataskaitos data. |
Audito vykdytojai |
Nurodomas (-i) valstybės tarnautojas (-ai), kuris (-ie) atlieka auditą (pareigos, vardai ir pavardės). |
Audito ataskaitos projekto parengimo data |
Nurodoma data, kada numatoma parengti ir pateikti audito ataskaitos projektą susipažinti audituojamo subjekto vadovui. |
Audito ataskaitos ir jos pateikimo audituojamam subjektui data |
Nurodoma data, kada numatoma pateikti audito ataskaitą audituojamo subjekto vadovui.*
|
* Svarbu numatyti pakankamai laiko nuo audito ataskaitos projekto parengimo datos
(Plano rengėjo pareigos) (Parašas) (Vardas ir pavardė)
__________________
Valstybinės duomenų apsaugos
inspekcijos auditų ir tyrimų, atliekamų
duomenų apsaugos audito forma,
atlikimo tvarkos aprašo
2 priedas
(Audito programos forma)
VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS
PRIEŽIŪROS SKYRIUS
INFORMACINIŲ TECHNOLOGIJŲ SKYRIUS
|
TVIRTINU Priežiūros skyriaus vedėjas (Parašas) (Vardas ir pavardė) (Data)
Informacinių technologijų skyriaus vedėjas (Parašas) (Vardas ir pavardė) (Data)
|
___________________________________________
(Audito pavadinimas)
AUDITO PROGRAMA
________________ Nr. _________
(data)
________________________________
(sudarymo vieta)
Audituojamas subjektas, audituojama sritis |
|
Vertinimo kriterijai |
|
Kita informacija |
|
Eil. Nr. |
Audito klausimai (Ką norima sužinoti?)
|
Audito procedūros (Kaip gaunami audito įrodymai?) |
Vykdytojas (Kas atsakingas už audito įrodymų gavimą pagal kiekvieną audito klausimą?) |
Trukmė (darbo dienomis) arba atlikimo data |
1. |
Patikrinti ir įvertinti, ar <...> |
|
|
|
1.1. |
- Nustatyti <...> |
|
|
|
1.2. |
- Patikrinti <...> |
|
|
|
1.3. |
- Įsitikinti <...> |
|
|
|
2. |
Įvertinti, ar <...> |
|
|
|
2.1. |
- Nustatyti <...> |
|
|
|
2.2. |
- Patikrinti <...> |
|
|
|
2.3. |
- Įsitikinti <...> |
|
|
|
3. |
Įvertinti audituojamo subjekto vidaus kontrolės veikimą |
|
|
|
(Programos rengėjo pareigos) (Parašas) (Vardas ir pavardė)
__________________
Valstybinės duomenų apsaugos
inspekcijos auditų ir tyrimų, atliekamų
duomenų apsaugos audito forma,
atlikimo tvarkos aprašo
3 priedas
(Audito ataskaitos forma)
VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS
PRIEŽIŪROS SKYRIUS
INFORMACINIŲ TECHNOLOGIJŲ SKYRIUS
___________________________________________
(audito pavadinimas)
ATASKAITA
________________ Nr. _________
(data)
________________________________
(sudarymo vieta)
Audito ataskaitos įvadinė dalis:
Audito atlikimo motyvai |
|
Audito atlikimo terminas |
|
Audito apimtis |
|
Audito tikslas |
|
Audito metodai |
|
Audito vertinimo kriterijai |
|
Audito vykdytojai |
|
Audito ataskaitos dėstomoji dalis:
Audito pastebėjimai |
|
Išvados |
|
Išvada apie vidaus kontrolės veikimą ir jos įvertinimą |
|
Rekomendacijos |
|
Informacinių technologijų
skyriaus vedėjas (Parašas) (Vardas ir pavardė)
Priežiūros skyriaus vedėjas (Parašas) (Vardas ir pavardė)
(Auditą atlikusio valstybės tarnautojo pareigos) (Parašas) (Vardas ir pavardė)
__________________
Valstybinės duomenų apsaugos
inspekcijos auditų ir tyrimų, atliekamų
duomenų apsaugos audito forma,
atlikimo tvarkos aprašo
4 priedas
(Pažymos apie audito ataskaitoje pateiktų rekomendacijų įgyvendinimą forma)
VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS
PRIEŽIŪROS SKYRIUS
INFORMACINIŲ TECHNOLOGIJŲ SKYRIUS
PAŽYMA APIE AUDITO ATASKAITOJE
____________________________________________
(audito tema, data)
PATEIKTŲ REKOMENDACIJŲ ĮGYVENDINIMĄ
Eil. Nr. |
Rekomendacijos Nr. (jei rekomendacijos audito ataskaitoje numeruojamos, arba nuoroda į ataskaitos puslapį) |
Rekomendacijos turinys |
Rekomendacijos reikšmingumas |
Priemonė rekomendacijai įgyvendinti |
Rekomendacijos įgyvendinimo terminas |
Informacija apie rekomendacijos įgyvendinimą |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Auditą atlikęs valstybės tarnautojas (Parašas) (Vardas ir pavardė)
Auditą atlikęs valstybės tarnautojas (Parašas) (Vardas ir pavardė)
SUSIPAŽINAU
Informacinių technologijų skyriaus vedėjas
(Parašas)
(Vardas ir pavardė)
(Data)
Priežiūros skyriaus vedėjas
(Parašas)
(Vardas ir pavardė)
(Data)
__________________
Valstybinės duomenų apsaugos
inspekcijos auditų ir tyrimų, atliekamų
duomenų apsaugos audito forma,
atlikimo tvarkos aprašo
5 priedas
(Apklausos dėl atlikto audito anketos forma)
APKLAUSOS ANKETA DĖL ATLIKTO AUDITO
________________ Nr. _________
(data)
________________________________
(sudarymo vieta)
Audito tema: __________________________________________________________________
Siekdami susipažinti su audituojamų subjektų nuomone apie Priežiūros skyriaus ir (ar) Informacinių technologijų skyriaus atliktą auditą, prašome atsakyti į pateiktus klausimus:
1. Ar audito tema aktuali sprendžiant audituojamos srities problemas ir siekiant užtikrinti veiklos gerinimą? (Atsakymą pažymėti)
neaktuali |
1 |
2 |
3 |
4 |
5 |
aktuali |
Prašytume pakomentuoti savo atsakymą, jei manytumėte, kad tai tikslinga:
______________________________________________________________________________
2. Ar, Jūsų nuomone, audito rekomendacijos reikšmingos audituojamos srities tobulinimui? (Atsakyti, jei audito ataskaitoje pateiktos rekomendacijos) (Atsakymą pažymėti)
nereikšmingos |
1 |
2 |
3 |
4 |
5 |
reikšmingos |
Prašytume pakomentuoti savo atsakymą, jei manytumėte, kad tai tikslinga:
______________________________________________________________________________
3. Ar audito metu su Jumis buvo bendraujama profesionaliai, konstruktyviai, etiškai? (Atsakymą pažymėti)
nepakankamai |
1 |
2 |
3 |
4 |
5 |
tinkamai |
Prašytume pakomentuoti savo atsakymą, jei manytumėte, kad tai tikslinga:
______________________________________________________________________________
4. Galimai svarbios ir rizikingos Jūsų veiklos sritys, į kurias galėtų būti atkreiptas dėmesys kito audito metu:
______________________________________________________________________________
5. Kiti Jūsų pastebėjimai ir pasiūlymai:
______________________________________________________________________________
Anketą užpildė:
(Audituojamo subjekto darbuotojo pareigos) (Vardas ir pavardė)
(Galima nenurodyti)
__________________