AuditScan je v podstatě detailní verzí přehledového auditu, která bývá uplatněna především v rámci dlouhodobé spolupráce s oddělením interního auditu organizace. Při takové spolupráci je prvotním průřezovým auditem, který u organizací provádíme. Jeho účelem není detailní prověření konkrétní oblasti, ale jak již název napovídá průřezové zhodnocení všech procesů v IT.
Průřezové hodnocení procesů v IT je prováděno porovnáním se standardem. Pro tyto účely doporučujme využití metodologie COBIT, která je pro daný účel nejvhodnější. Použití jiných metodologií (zejména ISO 20 000) je rovněž možné.
Samotné poměření vůči standardu vznikne zejména posouzením existující dokumentace, výsledků z předchozích auditů, využitím existujícího katalogu rizik a především zmapováním klíčových kontrolních bodů a posouzením míry vyzrálosti provádění procesů/oblastí.
Oblasti/procesy budou řazeny:
- dle jejich významnosti,
která bude určena mírou podpory hlavních činnosti organizace;
- dle jejich rizikovosti,
která je přímo úměrná počtu a závažnosti rizik procesu/oblasti a kvalitou kontrolních mechanismů v procesu /oblasti. Výslednou metrikou je tedy posouzení dopadu zbytkového rizika do činnosti organizace.
Provázanost Oblastí/procesů a rizik může být evidována pomocí jednoduché tabulky mapování rizik.
Hlavním výstupem je tedy přehledný seznam oblastí/procesů seřazených dle jejich rizikovosti a významnosti. Tento výstup bude základem pro výběr detailních auditů tak, aby došlo ke zmenšení rizik na přijatelnou úroveň.
Vedlejším produktem AuditScanu je, že auditoři získají obecný přehled o organizaci IT, Architektuře systémů, dat a infrastruktury, předpisové základně, míře podpory hlavních činností ze strany IT a kontaktech na klíčové pracovníky organizace. Tím jsou zajištěny znalosti auditora potřebné pro efektivní práci v následujících detailních prověrkách a auditech.
Zjednodušenou verzí AuditScanu je služba IT Review, tedy základní zhodnocení kontrol v prostředí IT, která se používá ke stejnému účelu pro potřeby externího auditora.
