- procedury i kontrola przetwarzania - wprowadzone do systemu dane są wielokrotnie przetwarzane w zautomatyzowanych procedurach, które muszą obejmować wbudowane mechanizmy kontrolne; bez tego nie jest możliwe potwierdzenie kompletności i integralności, a w konsekwencji wiarygodności danych i informacji;

- kontrola wyjścia - polegająca na zapewnieniu, że przetwarzanie i informacje o stanie przetwarzania danych oraz żądania o wprowadzenie danych lub inne działania są kierowane przez system do właściwego użytkownika i we właściwym czasie;

- dostęp do systemu aplikacyjnego - obejmuje mechanizmy kontroli dostępu do poszczególnych funkcji aplikacji (m.in. poprzez prawa dostępu do pozycji menu aplikacyjnego) oraz wdrożenie reguł podziału obowiązków zgodnie z logiką biznesową;

- rejestracja zdarzeń systemowych - niezwykle istotna ze względu na to, że umożliwia śledzenie operacji wykonywanych przez użytkowników i błędów przetwarzania oraz przypisanie odpowiedzialności za wykonane operacje;

- przetwarzanie po stronie użytkownika - użytkownicy często korzystają z dodatkowych narzędzi, które ułatwiają pracę z aplikacją i danymi (np. arkusze kalkulacyjne); wnosi to dodatkowe ryzyka, które wynikają głównie z tego, że narzędzia te często nie mają wbudowanych mechanizmów kontroli dostępu, kontroli nad zmianami i procedur zapewnienia jakości;

- Business Intelligence - systemy BI oferują nieocenioną pomoc każdemu menedżerowi, ale towarzyszy temu szczególna grupa ryzyk związanych z agregacją danych, ochroną prywatności, kompletnością informacji prezentowanych w określonym celu oraz wyrażeniu zagregowanej informacji w prawidłowej walucie.

Audyt systemu aplikacyjnego

Zgodnie ze standardem audytowania systemów informatycznych "S6 - Przeprowadzenie audytu", audytor powinien zgromadzić wystarczające, wiarygodne i adekwatne dowody audytowe, a obserwacje i wnioski audytora powinny opierać się na ich odpowiedniej analizie i interpretacji.

Najwięcej problemów nastręcza wymóg adekwatności. Wynika to z ewentualnych wątpliwości co do zakresu audytu, tj. co badać a czego nie, żeby prawidłowo wykonać audyt systemu aplikacyjnego. Wytyczna audytowania systemów informatycznych "G14 - Przegląd systemów aplikacyjnych (ISACA 2008)", podpowiada procesy (zgodnie z COBIT 4.1), które powinny zostać objęte audytem:

Podstawowe:

- PO9 - Ocena i zarządzanie ryzykiem

- AI2 - Nabycie i utrzymanie systemów aplikacyjnych

- DS5 - Zapewnienie bezpieczeństwa systemów

- ME2 - Monitorowanie i ocena systemu kontroli wewnętrznej

Uzupełniające:

- PO7 - Zarządzanie zasobami ludzkimi w informatyce

- PO8 - Zarządzanie jakością

- A16 - Zarządzanie zmianami

- DS3 - Zarządzanie wydajnością i potencjałem

- DS10 - Zarządzanie problemami

- DS11 - Zarządzanie danymi