Prawie każdy projekt wdrożenia lub modernizacji systemu IT rozpoczyna się od audytu istniejącej infrastruktury, systemów i operacji. Audyt istniejących systemów IT może być również przeprowadzany regularnie w celu oceny aktualnego stanu systemów.

Celem jest określenie stanu "jak jest" i opracowanie solidnej mapy drogowej do osiągnięcia stanu "jak ma być", który byłby korzystny dla firmy. Tematy audytu z perspektywy IT i biznesu są definiowane przez cele projektu i mogą się różnić. Przykładowo, przed wdrożeniem lub aktualizacją rozwiązania infrastrukturalnego należy zbadać komponenty infrastruktury i ich relacje, podczas gdy wdrożenie aplikacji biznesowej wymagałoby oceny procesów biznesowych i przepisów. Analiza ryzyka i zagrożeń jest integralną częścią wdrożenia nowego systemu lub narzędzia do zarządzania bezpieczeństwem informacji.

Komponenty sprzętowe i programowe firmy można badać pojedynczo lub zbiorczo. W każdym przypadku istnieje kilka kroków, które należy podjąć, aby zebrać odpowiednie dane i móc je przeanalizować:

• Przeanalizuj strukturę organizacyjną i dokumenty regulacyjne firmy
• Przeprowadzić wywiady z członkami działów biznesowych, IT i bezpieczeństwa
• Przeprowadzić wspomaganą narzędziami analizę zasobów IT

Standardowymi wynikami procesu audytu są

• Raport na temat stanu "as is" systemów IT, sprzętu, systemów podstawowych i aplikacyjnych, aplikacji i procesów
• Rekomendacje dotyczące wdrożenia lub optymalizacji systemów, a także wydajności operacyjnej, rekomendacje organizacyjne i techniczne.
• Ostatecznym wynikiem audytu jest plan działania (tj. projekt zakresu prac), który powinien być zgodny z potrzebami działów IT i biznesowych oraz uzasadniać znaczenie nadchodzących zmian.