Informacje na temat przepływu transakcji należy zweryfikować, śledząc cały proces lub transakcje i potwierdzając kluczowe mechanizmy kontrolne. Na tym etapie audytor nie dokonuje jeszcze oceny systemu aplikacyjnego, a jedynie potwierdza swoje zrozumienie badanego obszaru.

Kolejnym krokiem jest identyfikacja i testy mechanizmów kontrolnych objętych systemem aplikacyjnym. W ramach tego etapu audytor określa mechanizmy kontrolne, które stanowią odpowiedź na zidentyfikowane ryzyka i sprawdza, czy mechanizmy te działają zgodnie z założeniami.

Procedury testowe wykonywane przez audytora powinny zapewnić zgromadzenie odpowiednich dowodów audytowych. Tam gdzie to możliwe audytor może wspierać się narzędziami usprawniającymi jego pracę, czyli CAAT (ang. Computer-Assisted Audit Techniques).

Raportowanie wyników

Wszelkie słabości systemu kontroli wewnętrznej wynikające z braku mechanizmów kontrolnych lub ich niezgodności z założeniami, powinny zostać uwzględnione w raporcie. Powinna się tam także znaleźć informacja na temat ogólnych mechanizmów kontrolnych, gdyż nieprawidłowości w tym obszarze mogą wpływać na system aplikacyjny.

Wszelkim zaobserwowanym nieprawidłowościom powinny towarzyszyć rekomendacje usprawnień, czyli proponowana odpowiedź na ryzyko. Audytor powinien w nich sugerować, a nie projektować rozwiązania, gdyż nie powinien on m.in. podejmować decyzji inwestycyjnych związanych ze sposobem unikania ryzyka.

Radosław Kaczorek jest właścicielem firmy ImmuSec oraz prezesem zarządu polskiego oddziału ISACA. Posiada uprawnienia certyfikowanego specjalisty do spraw bezpieczeństwa informacji (CISSP), certyfikowanego audytora systemów informatycznych (CISA), certyfikowanego audytora wewnętrznego (CIA).