Uma auditoria de TI é diferente de uma auditoria de demonstrações financeiras. Embora a finalidade de uma auditoria financeira seja avaliar se uma organização está aderindo a práticas contábeis padronizadas, os objetivos de uma auditoria de TI são avaliar o design e a eficácia do controle interno do sistema. Isso inclui, mas não se limita a, protocolos de eficiência e segurança, processos de desenvolvimento e governança ou supervisão de TI.
A instalação de controles é necessária, mas não é suficiente para fornecer segurança adequada. As pessoas responsáveis pela segurança em TI devem considerar se os controles estão instalados conforme o planejado, se serão eficazes caso alguma violação na segurança ocorrer, em caso afirmativo, quais ações podem ser tomadas para evitar futuras violações, etc.
Estas questões devem ser respondidas por observadores independentes e imparciais. Estes observadores realizarão de forma mais isente a tarefa de auditoria de sistemas de informação.
As principais funções de uma auditoria de TI são avaliar os sistemas que estão em produção para proteger e aprimorar os ativos de informações de uma organização. Especificamente, auditorias de tecnologia da informação são usadas para avaliar a capacidade da organização de distribuir adequadamente informações aos departamentos autorizados.
A auditoria de TI visa avaliar o seguinte:
- Os sistemas de computador da organização estarão disponíveis para o negócio sempre que necessário?
- As informações nos sistemas serão divulgadas apenas aos usuários autorizados?
- As informações fornecidas pelo sistema serão sempre precisas, confiáveis e oportunas?D
Desta forma, a auditoria espera avaliar o risco do ativo valioso da empresa (sua informação) e estabelecer métodos para minimizar esses riscos.