Audyt skupiający się na danym obszarze biznesowym będzie obejmował systemy niezbędne do obsługi procesów biznesowych. Audyt skoncentrowany na prywatności danych będzie uwzględniał technologiczne mechanizmy sterowania, które wymuszają kontrolę poufności w każdej bazie danych, systemie plików lub serwerach aplikacyjnych zapewniających dostęp do danych identyfikujących osoby.

Z punktu widzenia administratora IT, zakres powinien zostać jasno określony już na początku audytu. Winien to być dobrze zdefiniowany zbiór ludzi, procesów i technologii, które wyraźnie korespondują z celem przeprowadzanego audytu. Jeżeli audytor nie rozpozna środowiska technologicznego przed rozpoczęciem audytu, to może błędnie określić jego zakres. Gdy pojawią się takie błędy, często mogą wpływać na kierunek audytu i systemy, które wcześniej nie były w zakresie audytu - mogą się w nim znaleźć. Eksperci ds. audytu nazywają ten stan "rozpłynięciem się zakresu" (scope creep). Powstaje on na ogół wtedy, gdy zakres projektu nie jest poprawnie określony, dokumentowany i kontrolowany. Zazwyczaj podejmuje się próbę uniknięcia takiej sytuacji, ponieważ jej konsekwencją jest to, że do osiągnięcia celów audytu będzie potrzebne więcej zasobów niż planowano.

Najwięcej trudności może nastręczać odpowiednie zaplanowanie i wykonanie audytu. Plan powinien obejmować określenie celu oraz zakresu audytu. Należy przy tym udokumentować wszelkie ograniczenia zakresu, wynikające m.in. z wyłączenia z oceny niektórych zagadnień lub obszarów. Aby dokonać oceny odpowiednich obszarów i zagadnień oraz nie pominąć istotnych aspektów, cel i zakres audytu powinny zostać zdefiniowane właściwie i kompletnie. Ponadto należy uwzględniać obszary, w których nieprawidłowości mogą być najbardziej dotkliwe.

Po zdefiniowaniu zakresu, audytor powinien mieć przydzieloną osobę współpracującą ze strony zarządu. W niektórych organizacjach rola współpracownika jest z góry przydzielana formalnie i często przypada specjalistom do spraw zabezpieczania informacji. Od strony audytu na ogół nie ma takich założeń - przede wszystkim powinna to być osoba o wysokiej pozycji w strukturze zarządzania IT, której zakres odpowiedzialności dotyczy systemów podlegających audytowi. Taki kontakt ma zapewnić wsparcie informacyjne o systemie, które audytorowi może być niezbędne do właściwego zaplanowania procesu. Opisy obowiązujących zasad polityki, diagramy architektur, podręczniki systemowe i inne rodzaje dokumentacji będą często wymagane z wyprzedzeniem.

Kolejnym etapem w procesie audytu jest zebranie i udokumentowanie jego wyników. Dokumentacja wyników jest niezwykle istotna ze względu na to, że stanowi podstawę do formułowania wniosków oraz rekomendacji zmian i usprawnień.

Praktyki zarządzania i środowisko sterujące

Wstępne zbieranie danych pozwala audytorowi na zweryfikowanie, czy zakres został określony poprawnie, a także ustalenie zestawu celów kontrolnych, które będą podstawą testów audytu. Celami kontrolnymi są praktyki zarządzania, od których oczekuje się, że są stosowane, aby sprawować kontrolę nad systemami w wymaganym zakresie. Przeprowadzenie audytu polega na ocenie mechanizmów kontrolnych pod kątem tego, czy zapewniają realizację celów kontrolnych, oraz ocenie skuteczności operacyjnej tych mechanizmów. Ocena ta powinna odpowiadać na pytanie, czy założona organizacja procesu jest prawidłowa i czy tak zaplanowany proces będzie skutecznie realizował założony cel. Ocena skuteczności operacyjnej ma natomiast na celu weryfikację, czy proces przebiega zgodnie z założeniami.

W razie stwierdzenia nieprawidłowej organizacji procesu i mechanizmów kontrolnych nie wykonuje się testów skuteczności operacyjnej.

Oczekuje się, że cele kontrolne zostały świadomie ustalone przez zarząd, który zapewnia nadzór i zasoby niezbędne do ich osiągnięcia i monitoruje środowisko, aby zagwarantować, że cele kontrolne będą spełnione. Środowisko sterujące to działania zarządzające, zapewniające nadzór i odpowiedzialność za mechanizmy kontroli. Podstawowym warunkiem powodzenia każdego audytu jest to, żeby w sprawdzanej organizacji odpowiedzialność za zarządzanie w odniesieniu do operacji systemowych była jednoznacznie określona.

Cele kontrolne funkcjonują jako “lista kontrolna", gwarantująca, że audytor uwzględnił pełny zakres audytu, podczas gdy planowane testy technologiczne mogą zmieniać się w jego trakcie. Przed rozpoczęciem audytu, audytor powinien powiązać każdy cel kontrolny z zestawem działań, które zapewnią materiał dowodowy świadczący o tym, że cel ten został osiągnięty. Na tyle, na ile jest to możliwe, warto z wyprzedzeniem przygotowywać testy, które powinny wykazać, że te działania są dobrze ustalone i dają wiarygodne wyniki. Cele kontroli i powiązane z tym plany testów są traktowane jako program audytu.