เพื่อให้มั่นใจว่าการบริหารจัดการด้านเทคโนโลยีสารสนเทศมีการควบคุมให้ระบบสารสนเทศ สามารถประมวลผลให้ข้อมูลถูกต้อง น่าเชื่อถือ ทันกาล อย่างมีประสิทธิภาพ โดยสามารถรักษาข้อมูลที่เป็นความลับของกิจการ มีความพร้อมใช้งานอยู่เสมอ และมีการปฏิบัติงานเป็นไปตามข้อกำหนดของกฎหมาย และ/หรือ มาตรฐานที่กำหนดโดยหน่วยงานกำกับดูแลได้อย่างถูกต้องเหมาะสม

1.วางแผนและจัดทำแผนการตรวจสอบภายใน

• จัดทำตารางเวลาในการตรวจสอบเพื่อประเมินระบบการควบคุมความปลอดภัยด้าน IT
• แจ้งกำหนดวันและเวลาในการตรวจสอบให้หน่วยรับตรวจได้รับทราบ

2.สำรวจข้อมูลเบื้องต้น

• ศึกษาและวิเคราะห์กระบวนการปฏิบัติงานด้าน IT เช่น ความเสี่ยงการควบคุมภายใน วีธีการปฏิบัติงาน โครงสร้างหน่วยงาน การแบ่งหน้าที่งาน เป็นต้น
• สัมภาษณ์ผู้บริหารและผู้ปฏิบัติงานที่รับผิดชอบกระบวนการ
• กำหนดแนวทางและวิธีการประเมิน ITGC ของบริษัท

3.ตรวจสอบและรายงานผลการตรวจสอบ

• ปฏิบัติงานตรวจสอบตามแนวทางการตรวจสอบที่ได้ออกแบบไว้
• แจ้งผลการตรวจสอบต่อผู้บริหาร ผู้รับผิดชอบงานด้าน IT เพื่อให้หน่วยงานรับทราบประเด็นปัญหาในเบื้องต้น
• จัดทำรายงานผลการตรวจสอบ และนำเสนอต่อผู้บริหารระดับสูง
• นำเสนอสรุปผลการตรวจสอบแก่คณะกรรมการตรวจสอบ

4.ตรวจสอบติดตามผลการปรับปรุงแก้ไข

• ตรวจสอบความก้าวหน้าในการปรับปรุงแก้ไขประเด็นที่ตรวจพบ
• จัดทำรายงานสรุปผลการปรับปรุงแก้ไขและให้ข้อเสนอแนะเพิ่มเติมในกรณีที่การปรับปรุงยังไม่บรรลุผล
• นำเสนอสรุปผลความก้าวหน้าของการปรับปรุงแก้ไขต่อคณะผู้บริหาร และคณะกรรมการตรวจสอบ