Чаще всего первым шагом в проекте по внедрению или модернизации ИТ-систем становится аудит существующей инфраструктуры, систем и процессов. Также аудит нередко проводят как самостоятельное мероприятие по оценке текущего состояния ИТ.

Целью аудита является оценка состояния «как есть» и разработка обоснованного плана движения к состоянию «как нужно», оптимального с точки зрения требований бизнеса. В зависимости от предметной области, обследованию подлежат различные активы, имеющие отношение к ИТ и бизнесу. Например, для проведения работ по внедрению и модернизации инфраструктурных решений обследуются элементы инфраструктуры и их взаимосвязи. Если предстоит внедрение бизнес-приложений, обследуются существующие бизнес-процессы и регламенты. К оценке уязвимостей и рисков прибегают при планировании внедрения новых систем или процессов управления информационной безопасности.

Возможно обследование как отдельных элементов ИТ, так и совокупности программных и аппаратных средств организации. В любом случае для сбора достоверной информацию и ее анализа аудиторы обычно проводят следующие работы:

• изучение организационной структуры и нормативной документации;
• интервью с представителями бизнеса, ИТ и СБ;
• инструментальный анализ ИТ-активов.

Результатами аудита обычно становятся:

• заключение о текущем положении дел в информационных системах, оборудовании, базовых и прикладных системах, приложениях и процессах;
• рекомендации по внедрению новых систем либо по устранению недостатков, эффективной эксплуатации и развитию, организационные и технические рекомендации;
• окончательный результат аудита – план работ (проект ТЗ), согласованный с ИТ и бизнесом и обосновывающий важность предстоящих изменений.