Столь ответственной процедуре, как проверка работоспособности информационной инфраструктуры предприятия, а также поддержанию внутреннего контроля над ее работой, посвящены специальные международные и отечественные стандарты ИТ аудита. Российский стандарт называется «Аудит в условиях компьютерной обработки данных (КОД)». Что касается зарубежных, то чаще всего используются международные стандарты CobiT, ISA 401, а также определенные положения мировой практики, где освещаются аспекты проведения ИТ диагностики, оценка вероятных и существующих рисков, уровень надежности систем внутреннего контроля, нормы выполнения аудита с учетом применения наиболее прогрессивных технологий.

Основными стадиями при проведении аудита в сфере информационных систем являются две:

• планирования
• проведения

На первой стадии экспертам необходимо проанализировать:

• общую структуру действующих на предприятии бизнес-процессов;
• возможные и реальные риски и бизнес-стратегию;
• распределение степени ответственности между участниками ИТ процессов;
• платформу и структуру существующей ИТ системы.

Помимо этого, на стадии планирования аудита в сфере информационных технологий проводятся следующие действия:

• определение важнейших для функционирования основных процессов критериев;
• оценка уровня внутреннего контроля бизнес-процессов;
• выявление связанных с ИТ сервисами рисков;
• на основе собранной информации непосредственно определяются объекты и границы тестирования процессов и ресурсов.

На второй стадии – проведения – стандарты ИТ аудита предусматривают осуществление следующих работ:

• получение и анализ информации;
• выявление действующих на данный момент инструментов управления;
• проведение теста на соответствие для подтверждения того, что используемые инструменты управления достаточно эффективны;
• оценка действия механизмов управления для решения важных задач, их целесообразность;
• осуществление детального тестирование для проведения требуемых работ с целью повышения эффективности системы ИТ управления.

Главные результаты успешной диагностики, проведенной с соблюдением стандартов ИТ аудита:

• технические: полный учет неполадок и сбоев; оптимизация функционирования составляющих ИТ инфраструктуры компании, регулярное обслуживание и т.п.;
• организационные: планирование, документооборот и эффективное управление информационной системой предприятия;
• методологические: выбранные подходы к решению задач и ликвидации проблем.

Все полученные в результате проведения проверки данные должны быть тщательно зафиксированы в отчетах, которые также должны содержать рекомендации, касающиеся оптимизации работы информационной структуры компании. На основании проведенного аудита должны быть разработаны долгосрочные и краткосрочные планы развития ИТ инфраструктуры, составлены технические задания на изменение информационной системы, выбраны наиболее подходящие для решения поставленных задач методологии и концепции, определена политика безопасности. Также составляется и другая необходимая для успешного функционирования ИТ системы документация. Часто ее формируют в двух вариантах: в полном - для руководства компании; в сокращенном – для специалистов внутреннего ИТ подразделения.