Planavimo metu, susipažinus su audituojama sritimi, audituojamu subjektu ir jo aplinka ir siekiant identifikuoti IT bendrųjų ir (ar) taikomųjų kontrolės priemonių rizikas, IT auditoriai turėtų atlikti veikiančių IT kontrolės priemonių vertinimą, kad suprastų, ar gali būti tikri, jog esamos IT kontrolės priemonės neturi trūkumų (pažeidžiamumų), t. y. jos yra:
- patikimos, kai praktikoje IT kontrolės priemonės tinkamai sukurtos ir įgyvendinamos taip, kaip numatyta organizacijos politikoje, standarte, tvarkoje, teisės akte, techninėje specifikacijoje ar kitose dokumentuose;
- pakankamos, kai kontrolės priemonės sukurtos tokia apimtimi kurių pakanka, kad būtų sudarytos tinkamos sąlygos organizacijai, atsižvelgiant į jos veiklos specifiką ir mastą, siekti savo nustatytų tikslų.
Atsižvelgiant į IT audito tikslą, išankstinio tyrimo metu IT kontrolės priemonių vertinimas gali būti nukreiptas:
- tik į IT bendrosios kontrolės priemonių vertinimą arba
- į IT bendrosios kontrolės ir į tam tikrų taikomųjų programų, kurios aktualios auditui, kontrolės priemonių vertinimą.
Vertinimas turėtų apimti audituojamo subjekto politikos sritis, procesus, žmones ir sistemas. Atlikus preliminarų IT kontrolės vertinimą nustatomos rizikingos IT kontrolės sritys, kuriose galimai yra trūkumų (pažeidžiamumų). Informacija apie tai fiksuojama IT bendrosios kontrolės vertinimo klausimyne, pateikiamos nuorodos į dokumentus, kurie patvirtina nustatytas rizikas. Užpildytas klausimynas pridedamas prie darbo dokumento, kuriame pagal klausimyną turėtų būti agreguojama informacija taip, kad ją galima būtų toliau panaudoti rizikos vertinimo metu ir rengiant išankstinio tyrimo rezultatų apibendrinamąjį dokumentą. Kaip rengiami darbo dokumentai – išsamiau Dokumentavimo skiltyje.
Jeigu kito Valstybės kontrolės audito (veiklos, finansinio, atitikties ar IT) metu jau buvo atliktas to paties audituojamo subjekto IT bendrosios kontrolės ir tų pačių taikomųjų programų, kurias planuojama vertinti, vertinimas, ir po jo audituojamo subjekto IT bendrojoje kontrolėje ir IS neįvyko jokių esminių pasikeitimų (pvz., įdiegta nauja prieigos kontrolės politika arba panaikinti esami kontrolės procesai, įvesta nauja IT valdymo struktūra, pakeista integracija su kitomis sistemomis, atnaujintos pagrindinės taikomosios programos funkcijos ir pan.), ir, audito grupės vertinimu, atliktas darbas tinka jų audito tikslams pasiekti, audito grupė gali pasinaudoti atliktu IT bendrosios kontrolės ir (ar) taikomosios programos kontrolės priemonių vertinimu. Tačiau, jeigu nuo pastarojo tokio vertinimo praėjo 3 metai, rekomenduojama atlikti naują vertinimą.
Auditorius gali priimti profesinį sprendimą išankstinio tyrimo metu pagal surinktą informaciją atlikti preliminarų IT procesų gebos vertinimą pagal COBIT metodiką. Gebos vertinimas leidžia auditoriams suprasti organizacijoje veikiančius IT procesus ir kokios kontrolės priemonės yra silpnos. Kaip atlikti šį vertinimą detaliai aprašyta ISACA knygose „Vertintojo vadovas naudojant COBIT5“, „Procesų vertinimo modelis naudojant COBIT5“. Išankstinio tyrimo metu preliminariai atliekant IT gebos vertinimą pildoma IT procesų gebos vertinimo forma.
Pagal poreikį išankstinio tyrimo ar pagrindinio tyrimo metu, atliekant tam tikrų IT kontrolės priemonių vertinimą, gali būti naudojamos ISACA teminės audito programos[1], kuriose nurodytos galimos audito procedūros, pvz., skirtos kibernetiniam saugumui, IT strateginiam planavimui, pakeitimų valdymui ir kt. įvertinti.
[1] ISACA auditų programas galima rasti oficialioje ISACA interneto svetainėje.