Wytyczna podpowiada też, jakie aspekty działania tych procesów powinny być brane pod uwagę w trakcie audytu, tj. jakie cechy informacji powinny być przez nie zapewnione:

Podstawowe:

- Dostępność

- Wiarygodność

- Integralność

- Poufność

Uzupełniające:

- Zgodność

- Skuteczność

- Efektywność

Ryzyka, które należy zidentyfikować, obejmują m.in.:

- ryzyka niedostępności systemu związane z brakiem zdolności do działania;

- ryzyka bezpieczeństwa informacji związane z nieuprawnionym dostępem do systemu i/lub danych;

- ryzyka integralności związane z niekompletnym, nieprawidłowym, opóźnionym lub nieuprawnionym przetwarzaniem danych;

- ryzyka związane z utrzymaniem systemu wynikające z braku możliwości aktualizacji systemu w wymaganym czasie z zachowaniem dostępności, bezpieczeństwa i integralności systemu i danych;

- ryzyka związane z danymi dotyczące ich kompletności, integralności, poufności, prywatności i prawidłowości.

Odpowiedź na ryzyko związane z systemem aplikacyjnym może opierać się na mechanizmach wbudowanych w systemy aplikacyjne, procedurach manualnych lub kombinacji powyższych. Przykładem może być tutaj zautomatyzowana procedura uzgadniania zamówień, faktur i dokumentów rozchodów magazynowych, ale również raporty wyjątków przedstawiane do akceptacji wyższego kierownictwa.

Nader często ocena systemu aplikacyjnego wymaga od audytora wiedzy i zrozumienia ogólnych mechanizmów kontrolnych, które nie są specyficzne dla aplikacji, takich jak np. ochrona dostępu fizycznego, zarządzanie siecią, czy system kopii zapasowych.

Procedura audytu

Dla prawidłowego wykonania audytu, trzeba wykonać określone procedury, obejmujące co najmniej udokumentowanie przepływu transakcji oraz identyfikację i testy aplikacyjnych mechanizmów kontrolnych. Dokumentując przepływ transakcji, audytor powinien uwzględnić zarówno systemowe jak i manualne aspekty obsługi i funkcjonowania systemu. Kluczowe zagadnienia objęte dokumentacją, to:

- wprowadzanie danych (manualne i zautomatyzowane, np. interfejsy systemowe)

- algorytmy przetwarzania danych, zasady przechowywania danych oraz

- system raportowania informacji.

Najczęściej spotykaną techniką dokumentacji przepływów transakcji są diagramy przepływowe danych lub opis przepływów.