Audito grupė turi būti sudaryta taip, kad jos nariai visi kartu turėtų turėti žinių, įgūdžių ir kvalifikacijos, reikalingos sėkmingai atlikti auditą. Tai reiškia, kad jie turi suprasti tos tipo auditą, kuris yra atliekamas, būti susipažinę su taikomais standartais ir įstatymais, audituojamo subjekto veikla ir sugebėti priimti profesinius sprendimus, turėti patirties juos priimant. Auditorius turi būti profesionalus, kad galėtų atlikti visas jam pavestas užduotis. Auditoriai turėtų kelti savo profesinę kompetenciją nuolat dalyvaudami profesinio tobulinimosi programose.
Pagal 5100-ąjį GUID IT audito grupės nariai kartu turėtų gebėti:
- suprasti IS techninius aspektus (pvz., duomenų bazės konfigūracijas, duomenų perdavimo tinklo topologiją, ugniasienes, IDS/IPS sistemas[1], programinės įrangos pažeidžiamumus, atnaujinimus, licencijavimą, prieigos kontrolės sistemas, atsarginių kopijų sistemas, kt.), visas atitinkamas programų versijas, aktualias atliekant auditą (pvz., yra audituojama IS, kuri veikia skirtingose rinkose (Europoje, Azijoje, JAV), auditorius turi suprasti skirtingas šios IS versijas, kurios pritaikytos atitinkamoms rinkoms);
- taikyti galiojančias taisykles, nuostatus ir pažinti aplinką, kurioje veikia audituojamo subjekto IT grindžiamos informacinės sistemos;
- susieti veiklos procesus su audituojamo subjekto informacinės sistemos programavimo logika;
- naudoti tiek verslo, tiek IT žinias, kad būtų galima įvertinti riziką, jog galimai rankiniu būdu galėjo būti pakeista taikomoji programa ar jos konfigūracija taip, kad būtų galima išimtinai apdoroti sandorius (t. y., neįprastai ar ne pagal standartines taisykles);
- įvertinti taikomosios kontrolės priemonių atitinkamose informacinėse sistemose kūrimą ir išbandyti jų veikimo efektyvumą;
- taikyti audito metodiką, įskaitant AAI taikomus atitinkamus audito standartus ir gaires;
- taikyti IT veiklos ir (arba) atitikties kriterijus, su kuriais turi būti lyginami audito pastebėjimai, įskaitant IS valdymo sistemas, pvz., COBIT, ITIL[2], TOGAF[3];
- taikyti IT audito metodus (technikas), skirtus audito įrodymams iš automatizuotų sistemų rinkti;
- suprasti ir taikyti CAAT, skirtas rinkti audito įrodymus, juos analizuoti ir atkartoti tokios analizės rezultatus arba pakartotinai atlikti audito procedūras;
- prisijungti prie IS infrastruktūros ir ją naudoti audito įrodymams rinkti ir saugoti.
Audito metu gali kilti sudėtingų ir (ar) ginčytinų klausimų, reikalaujančių kompetencijos ir patirties, kurių IT audito grupė neturi. Tai gali būti klausimai, susiję su konkrečia audito sritimi (pvz., IS pažeidžiamumo ir kiti technologiniai klausimai), teisine, metodine ar kt. kompetencijomis. Prireikus pagalbos, galima kreiptis į teisės, informacinių technologijų, metodologijos ar kitų struktūrinių padalinių darbuotojus arba pasitelkti išorės specialistus (ekspertus) ir (ar) auditorius, kurie pasidalintų specialiomis žiniomis, atliktų konkrečias užduotis ar suteiktų kitą reikiamą pagalbą.
Valstybės kontrolės struktūrinių padalinių darbuotojai, išorės specialistai (ekspertai) ir (ar) išorės auditoriai pasitelkiami vadovaujantis Valstybės kontrolės metinės veiklos planavimo tvarkos aprašu.
Visi auditoriaus sprendimai dėl išorės specialisto (eksperto) ir (ar) išorės auditoriaus darbo pasitelkimo, jų darbo įvertinimo ir panaudojimo turi būti dokumentuoti. Išsamiau Planavimas pasinaudoti išorės auditorių, vidaus auditorių ir (ar) išorės specialistų (ekspertų) atliktu darbu ir jų atlikto darbo panaudojimas.
Išsamesnė informacija apie auditoriaus profesines kompetencijas ir joms keliamus reikalavimus pateikta 150-ajame TAAIS „Auditoriaus kompetencija“, 1950-osiose GUID „Auditorių kompetencijų sistemos kūrimo gairės“ ir 1951-osiose GUID „Auditorių profesinio tobulėjimo kelių kūrimo gairės“.
Būdamas kūrybingas, lankstus ir išradingas auditorius lengviau pastebės galimybes plėtoti naujoviškus informacijos rinkimo ir vertinimo metodus. Skirtinguose audito proceso etapuose galimi skirtingi naujovių diegimo galimybių lygmenys. Didžiausią galimybę diegti naujoves auditorius gali turėti planavimo stadijoje, kol vis dar sprendžia, kokius metodus ir technikas taikyti būtų geriausia. Auditorius taip pat turėtų mokytis iš kitų auditorių ir būti atviras pokyčiams.
[1] IDS (angl. Intrusion Detection System) ir IPS (angl. Intrusion Prevention System) yra tinklo saugumo sistemos, skirtos aptikti ir reaguoti į kenkėjišką veiklą tinkle.
[2] ITIL (angl. Information Technology Infrastructure Library) yra rinkinys geriausių praktikų skirtas IT paslaugų valdymui (ITSM). Jis aprašo procesus, procedūras, užduotis ir patikrinimus, kurie gali būti pritaikyti siekiant užtikrinti efektyvų ir kokybišką IT paslaugų teikimą.
[3] TOGAF (angl. The Open Group Architecture Framework) yra standartas ir metodologija, skirta įmonių architektūros kūrimui ir valdymui. Jis buvo sukurtas organizacijos „The Open Group“ ir yra plačiai naudojamas visame pasaulyje įmonių architektūros projektavime ir įgyvendinime.