Sposób wykonywania audytu precyzują odpowiednie standardy. W przypadku audytu informatycznego najbardziej popularnymi są te opublikowane przez Stowarzyszenie do spraw Audytu i Kontroli Systemów Informatycznych ISACA, dzięki którym ocena będąca rezultatem audytu staje się obiektywna. W dużym uproszczeniu postępowanie audytora polega na zapoznaniu się z rzeczywistą sytuacją i porównaniu jej z ustalonymi kryteriami. Podstawowym sposobem na zachowanie obiektywizmu w tym procesie jest ustalenie jednoznacznych kryteriów oceny, które będą dla audytora podstawą do formułowania wniosków i rekomendacji. Oczywiście do wykonania tego zadania konieczne jest dysponowanie adekwatną wiedzą fachową i doświadczeniem.

Mit 3: Standardy audytu informatycznego są bezkompromisowe

Doświadczony audytor będzie w stanie doradzić zamawiającemu, jaki zestaw kryteriów będzie najbardziej adekwatny do jego potrzeb. Do tego celu może posłużyć się typowymi normami i standardami. Jednym z takich standardów jest COBIT, ale bardzo dużo audytów jest wykonywanych w odniesieniu do innych regulacji określających wymagania wobec systemów informatycznych, np. normy PN-ISO/IEC 17799 dotyczącej zarządzania bezpieczeństwem informatycznym, Ustawy o rachunkowości, Ustawy o ochronie danych osobowych, Ustawy o informacjach niejawnych, rekomendacji Generalnego Inspektoratu Nadzoru Bankowego czy dowolnie innej, w tym polityk, procedur i standardów obowiązujących wewnętrznie w organizacji.

W sytuacji, kiedy napotykamy trudności w ustaleniu, w jaki sposób określić kryteria audytu, niezależnie od tego, czy jesteśmy audytorem czy zamawiającym audyt, rzeczywiście warto sięgnąć do metodyki COBIT. Cały dokument obejmuje kilkaset stron, ale absolutnie nie ma potrzeby zapoznawania się od razu z całością publikacji.

Ze stron stowarzyszenia ISACA bezpłatnie można pozyskać kilka najważniejszych elementów metodyki COBIT, w tym kilkustronicowe streszczenie dla kierownictwa, które ułatwi nam nawigację przez resztę publikacji. W sytuacji, gdy chcemy dotrzeć do informacji szczegółowych, również nie ma potrzeby zapoznawania się z całością dokumentu. COBIT dzieli obszar zarządzania informatyką na 34 procesy (a nie 38, jak sugeruje autorka wspomnianego artykułu), zaś opis każdego procesu to zaledwie kilka stron i to przedstawionych w formie syntetycznych punktów.

To prawda, że początkowo COBIT może być trudny w lekturze, gdyż posługuje się dość hermetycznym językiem - charakterystycznym dla audytu (nie tylko informatycznego). Wynika to z genezy tej metodyki, która została opracowana z myślą o audytorach.

Trudno jest zgodzić się z tezą, że metodyka jest bezkompromisowa - jest wręcz odwrotnie. COBIT obejmuje rozwiązania, które mogą wydawać się trudne do osiągnięcia w każdej organizacji, ale od 3 lat metodyka ta zawiera dodatkowy dokument skierowany do kierownictwa zatytułowany Wytyczne zarządzania (Management guidelines), w którym dla każdego z 34 procesów podaje się modele dojrzałości oraz wskaźniki pozwalające na zdefiniowanie oczekiwań kierownictwa. Dokument ten można wykorzystać właśnie w celu rzetelnego wypracowania kompromisu pomiędzy rozwiązaniami "z górnej półki" a specyfiką branży czy konkretną praktyką danej instytucji, która nie chce nadmiernie inwestować w rozwiązania informatyczne.

COBIT jest tylko jedną z propozycji standardu zarządzania informatyką. Podczas gdy jedni krytykują go za obszerność, to drudzy za zbyt ogólne, oderwane od kwestii technicznych podejście i skupienie się na organizacji i zarządzaniu informatyką. Z pewnością jest to narzędzie skierowane raczej do kierownictwa dużej instytucji niż do szefa niedużego działu IT koncentrującego się na bieżącym wsparciu użytkowników i zapewnieniu bezawaryjnej obsługi niewielkiego systemu. Jeżeli jednak praktycy postrzegają standardy jako nieżyciowe i oderwane od realiów, to może warto się zastanowić, czy praktyka, którą stosują, jest właściwa. Pamiętajmy o tym, że również w niewielkiej instytucji zasoby informatyczne trzeba wykorzystywać z uwagą i rozsądkiem.

W sytuacji, gdy opis działalności informatycznej proponowany przez COBIT wydaje się niedostosowany do potrzeb organizacji, to alternatywą lub uzupełnieniem mogą być zyskujący ostatnio popularność ITIL (w większym stopniu koncentrujący się na operacyjnych aspektach funkcjonowania działu informatyki) czy norma PN-ISO/IEC 17799 (skupiająca się na zarządzaniu bezpieczeństwem informacji) lub inna z wielu podobnych publikacji. Stowarzyszenie ISACA opublikowało ostatnio dokument porównujący wymienione powyżej i kilka innych standardów - pomimo że ich zakres tematyczny jest różny, można śmiało powiedzieć, że zawarte w nich treści są "wspólnym głosem" w tej samej sprawie i postulują sformalizowanie i usystematyzowanie nadzoru nad informatyką.

Teza, że standardy nie nadążają za postępem technologicznym, jest trudna do obrony. Najbardziej popularne standardy i normy (COBIT, PN-ISO/IEC 17799 czy ITIL) mają charakter otwarty. Nie podpowiadają konkretnych rozwiązań technicznych i nie odpowiedzą na pytanie, jak zapobiegać konkretnemu zagrożeniu (co zresztą wynika z bardzo określonych powodów). Pomogą natomiast tak zorganizować procesy zarządzania, by w organizacji można było łatwo wskazać osobę, która za opracowanie i wdrożenie tego typu rozwiązań technicznych jest odpowiedzialna, jak również by kierownictwo (niedysponujące najczęściej specjalistyczną wiedzą informatyczną) mogło rozliczyć ją z realizacji tych obowiązków.