L’audit est trop souvent assimilé à un simple diagnostic. La spécificité de l’audit est de s’appuyer sur un référentiel précis afin d’estimer le degré de conformité entre ce référentiel et la situation observée. Les audits sont basés sur les référentiels les plus appropriés, au cas par cas. Dans le domaine des SI, on peut choisir ITIL, COBIT, ISO 177799 ou CMMi et les compléter si nécessaire.
Dans d’autres domaines, on s’attachera avant tout à s’entendre sur le périmètre de l’audit et sur le référentiel à créer / adopter.

Les techniques d’audit s’appuient sur l’examen des dossiers, les interviews, les essais éventuels et la relève des principaux points de mesure.

De plus en plus fréquemment, on s’appuie sur des pistes d’audit ou audits trails, qui délivrent automatiquement une trace des opérations sensibles    (changements    de   profils,   violations,

dépassements, etc.).

Sur le plan des certifications, notons que les référentiels peuvent être associés à des certifications individuelles (ITIL, CMMi) ou d’entreprises (logique ISO).

La notion de modèle de maturité (ITIL, COBIT, CMMi) fait office de jalonnement d’un parcours constant d’amélioration.

Une certification internationale valide le niveau du CISA « certified information system auditor », elle est délivrée en France par l’AFAI.

A lire : l’audit des projets informatiques, auditer le support client