شرکتها به‌طور معمول از کارکرد حسابرسی فناوری اطلاعات، برای فراهم ساختن اطمینان از کنترلهای فناوری و اطمینان از انطباق با الزامات خاص قانونی یا صنعت، استفاده می‌کنند. با رشد سرمایه‌گذاری‌ در فناوری اطلاعات، حسابرسی فناوری اطلاعات می‌تواند اطمینان دهد که خطرها کنترل می‌شود و احتمال زیان‌هایی بزرگ وجود ندارد. سازمان نیز ممکن است خود تشخیص دهد که خطر توقف11، تهدید امنیتی12 یا آسیب‌پذیری13 بالاست. همچنین ممکن است الزاماتی برای رعایت مفاد قانون مانند قانون ساربینز- اکسلی14 یا الزامات خاص صنعت وجود داشته باشد.
در ادامه در رابطه با پنج حوزه کلیدی بحث می‌شود که از طریق آنها، حسابرسان فناوری اطلاعات می‌توانند به ارزش سازمان بیفزایند. البته، کیفیت و عمق حسابرسی فنی، پیش‌نیاز افزودن ارزش است. دامنه طرح‌ریزی‌شده برای حسابرسی نیز در افزودن ارزش، مهم است. بدون یک تعهد روشن در مورد اینکه چه فرایندها و خطرهای تجاری، حسابرسی خواهد شد، اطمینان از دستیابی به موفقیت یا افزودن ارزش، دشوار است.

بنابر این، در اینجا پنج روش افزودن به ارزش‌های سازمان از طریق حسابرسی فناوری اطلاعات،‌ ارائه می‌شود:
-1 کاهش خطر
برنامه‌ریزی و اجرای حسابرسی فناوری اطلاعات دربرگیرنده شناخت و براورد خطرها در سازمان است. حسابرسی‌های فناوری اطلاعات به‌طور معمول خطرهای مرتبط با اعتمادپذیری، یکپارچگی و دسترس‌پذیری زیرساخت‌ها و فرایندهای فناوری اطلاعات را پوشش می‌دهد. خطرهای دیگر شامل اثربخشی، کارایی و اتکاپذیری فناوری اطلاعات است.
نخستین بار که خطر براورد ‌شود، می‌توان به چشم‌اندازی روشن از این دست یافت که برای کاهش یا تخفیف خطر از طریق به‌کارگیری کنترل، انتقال خطر از طریق بیمه، یا به‌طور ساده پذیرفتن خطر به‌عنوان بخشی از محیط عملیاتی، چه مسیری در نظر گرفته شود.
یک فرض مهم در اینجا این است که خطر فناوری اطلاعات، خطر کسب‌وکار تجاری است. هر گونه تهدید یا آسیب‌پذیری عملیات اصلی فناوری اطلاعات، ممکن است اثری مستقیم بر کل سازمان داشته باشد. به‌طور خلاصه‌، سازمان نیاز دارد بداند که خطرها در کجا هستند و سپس اقدام به انجام کاری در مورد آنها کند.

بهترین رویه‌های به‌کارگرفته شده در مورد خطر فناوری اطلاعات از سوی حسابرسان، چارچوب کوبیت15 (COBIT) طراحی شده توسط انجمن حسابرسی و کنترل سیستمهای اطلاعاتی16 و چارچوپ خطر سیستم‌های اطلاعاتی17 و استاندارد اقدامات عملی مدیریت امنیت اطلاعات18 است.
-2 تقویت کنترلها (و بهبود امنیت)
پس از براورد خطرهای پیشگفته، سپس می‌توان کنترلها را مشخص و ارزیابی کرد و کنترلهایی که طراحی ضعیف یا غیرموثر دارند را می‌توان دوباره طراحی و / یا تقویت کرد.
چارچوب کوبیت در رابطه با کنترلهای فناوری اطلاعات به‌ویژه در اینجا مفید است. این چارچوب شامل چهار قلمرو سطح بالا است که 32 فرایند کنترل سودمند در زمینه کاهش خطر را پوشش می‌دهد. چارچوب کوبیت همه جنبه‌های امنیت اطلاعات از جمله هدفهای کنترلها، شاخصهای کلیدی عملکرد، شاخصهای کلیدی هدف و عوامل مهم موفقیت را پوشش می‌دهد.
حسابرس می‌تواند چارچوب کوبیت را برای ارزیابی کنترلها در یک سازمان به‌کار گیرد و پیشنهادهایی ارائه دهد که بر ارزش واقعی محیط فناوری اطلاعات و سازمان در کل، بیفزاید.
یکی دیگر از چارچوبهای کنترل، مدلهای کنترل داخلی کمیته سازمانهای حامی کمیسیون تردوی یا کوزو19 (COSO) است. حسابرسان فناوری اطلاعات می‌توانند این چارچوب را برای اطمینان یافتن از 1) اثربخشی و کارایی عملیات، 2) اتکاپذیری گزارشگری مالی و 3) رعایت قوانین و مقررات لازم‌الاجرا، به‌کار گیرند. این چارچوب، دو عنصر از پنج عنصری که به‌طور مستقیم به کنترلها مربوطند یعنی محیط کنترلی و فعالیتهای کنترلی را در بر می‌گیرد.

3 رعایت مقررات
مقررات گسترده در سطح دولت مرکزی و ایالتی، الزامات خاصی را برای امنیت اطلاعات در بر می‌گیرد. حسابرس فناوری وظیفه‌ای حیاتی دارد که اطمینان دهد الزامات خاص رعایت، خطرها براورد و کنترلها به‌کار گرفته شده است. قانون ساربینز- اکسلی (قانون پاسخگویی شرکت و جرائم تقلب) الزامات مورد نیاز برای تمام شرکتهای سهامی عام به‌منظور اطمینان یافتن از کفایت کنترلهای داخلی طبق تعریف ارائه شده در چارچوب کمیته سازمانهای حامی کمیسیون تردوی (کوزو) را در بر می‌گیرد. حسابرس فناوری اطلاعات است که اطمینان می‌دهد که چنین الزاماتی رعایت شده است.
قانون پاسخگویی و انتقال‌پذیری بیمه بهداشتی20 دارای سه حوزه الزامات فناوری اطلاعات شامل اداری، فنی و عینی می‌باشد. حسابرس فناوری اطلاعات است که در اطمینان یافتن از رعایت این الزامات، نقشی کلیدی دارد.
صنایع گوناگون الزامات دیگری دارند از جمله، استاندارد امنیت داده‌ها در صنعت کارت پرداخت21 در صنعت کارتهای اعتباری، مانند ویزا (Visa) و مسترکارت (Master Card). در تمام حوزه‌های رعایت قانون و مقررات، حسابرس فناوری اطلاعات نقشی محوری بازی می‌کند. سازمان نیاز دارد اطمینان یابد که همه الزامات رعایت شده است.

4 تسهیل ارتباط بین مدیریت کسب‌وکار تجاری و مدیریت فناوری
حسابرسی می‌تواند در گشایش کانالهای ارتباطی میان مدیریت کسب‌وکار و مدیریت فناوری سازمان، تاثیر مثبت داشته باشد. حسابرسان از آنچه در واقعیت و در عمل روی می‌دهد، مصاحبه، مشاهده و آزمون به‌عمل می‌آورند. نتیجه نهایی حسابرسی، اطلاعاتی ارزشمند به‌شکل گزارشهای کتبی و شفاهی است. مدیریت ارشد می‌تواند درباره چگونگی کارکرد سازمان خود، بازخورد مستقیم دریافت کند.
کارشناسان حرفه‌ای فناوری در سازمان همچنین نیازمندند که انتظارات و هدفهای مدیریت ارشد را بدانند. حسابرسان از طریق شرکت در نشستهایی با مدیریت فناوری و از طریق بررسی نحوه کنونی اجرای سیاستها، استانداردها و رهنمودها به این نوع ارتباط از بالا به پایین، کمک می‌کنند. درک این موضوع مهم است که حسابرسی فناوری اطلاعات یک عنصر کلیدی در نظارت مدیریت بر فناوری است. فناوری سازمان به این دلیل وجود دارد که از راهبرد، کارکردها و عملیات کسب‌وکار پشتیبانی کند. همسویی کسب‌وکار با فناوری پشتیبان آن، بسیار مهم است. حسابرسی فناوری اطلاعات، این همسویی را حفظ می‌کند.
-5 بهبود نظام راهبری فناوری اطلاعات

موسسه حسابرسی جهانی فناوری اطلاعات22 تعاریف زیر را منتشر کرده است:
“مسئولیت نظام راهبری فناوری اطلاعات، بر عهده مدیران اجرایی و هیئت‌مدیره است و دربرگیرنده راهبری، ساختارها و فرایندهای سازمانی است تا اطمینان ‌دهد که فناوری اطلاعات سازمان، راهبردها و هدفهای سازمان را حفظ کرده و گسترش می‌دهد.”
در تعریف یادشده از راهبری، ساختارها و فرایندهای سازمانی، همه‌جا به حسابرسان فناوری اطلاعات به‌عنوان بازیگران کلیدی اشاره شده است. موضوع محوری در حسابرسی فناوری اطلاعات و در کل، مدیریت فناوری اطلاعات، شناخت قوی ارزشها، خطرها و کنترلهای پیرامون محیط فناوری سازمان می‌باشد. به‌گونه‌ای دقیق‌تر، حسابرسان فناوری اطلاعات، ارزشها، خطرها و کنترلها در هر یک از اجزای اصلی فناوری مانند برنامه‌های کاربردی، اطلاعات، زیرساختها و اشخاص را بررسی می‌کنند.