Prawie każdy projekt wdrożenia lub modernizacji systemu IT rozpoczyna się od audytu istniejącej infrastruktury, systemów i operacji. Audyt istniejących systemów IT może być również przeprowadzany regularnie w celu oceny aktualnego stanu systemów.
Celem jest określenie stanu "jak jest" i opracowanie solidnej mapy drogowej do osiągnięcia stanu "jak ma być", który byłby korzystny dla firmy. Tematy audytu z perspektywy IT i biznesu są definiowane przez cele projektu i mogą się różnić. Przykładowo, przed wdrożeniem lub aktualizacją rozwiązania infrastrukturalnego należy zbadać komponenty infrastruktury i ich relacje, podczas gdy wdrożenie aplikacji biznesowej wymagałoby oceny procesów biznesowych i przepisów. Analiza ryzyka i zagrożeń jest integralną częścią wdrożenia nowego systemu lub narzędzia do zarządzania bezpieczeństwem informacji.
Komponenty sprzętowe i programowe firmy można badać pojedynczo lub zbiorczo. W każdym przypadku istnieje kilka kroków, które należy podjąć, aby zebrać odpowiednie dane i móc je przeanalizować:
- Przeanalizuj strukturę organizacyjną i dokumenty regulacyjne firmy
- Przeprowadzić wywiady z członkami działów biznesowych, IT i bezpieczeństwa
- Przeprowadzić wspomaganą narzędziami analizę zasobów IT
Standardowymi wynikami procesu audytu są
- Raport na temat stanu "as is" systemów IT, sprzętu, systemów podstawowych i aplikacyjnych, aplikacji i procesów
- Rekomendacje dotyczące wdrożenia lub optymalizacji systemów, a także wydajności operacyjnej, rekomendacje organizacyjne i techniczne.
- Ostatecznym wynikiem audytu jest plan działania (tj. projekt zakresu prac), który powinien być zgodny z potrzebami działów IT i biznesowych oraz uzasadniać znaczenie nadchodzących zmian.