Các chính sách CNTT nên thực tế, thích ứng và hiệu quả. Chính sách tốt nhất được phát triển và thực hiện bởi cá nhân cĩ năng lực chuyên sâubao gồm quản lý CNTT cấp cao và các giám đốc điều hành chính từ mọi bộ phận bị ảnh hưởng bởi các chính sách CNTT này cũng như quản lý doanh nghiệp cao cấp. Điều này tạo ra quyền sở hữu cĩ trách nhiệm của chính sách CNTT chức năng quản lý, bộ phận hoặc chức năng chịu trách nhiệm tạo, giao tiếp, giám sát, thay đổi và thực thi chính sách CNTT. “Nhiệm vụ” đầu tiên của nĩ nên được phát triển chính sách dựa trên những gì doanh nghiệp cần và sau đĩ thiết lập quy trình và các thủ tục cho mọi thứ từ mua sắm phần mềm và bảo mật thơng tin đến tuân thủ và khắc phục thảm họa. Theo Moeller (2013), cĩ nhiều nhu cầu khác nhau về chính sách CNTT, nhưng nhìn chung doanh nghiệp nên xem xét phát triển các chính sách CNTT bao gồm các lĩnh vực sau:
▪ Kiểm sốt tất cả các cấp và loại chi phí CNTT.
▪ Tối ưu hĩa tài sản CNTT, với mục tiêu cải thiện hiệu suất.
▪ Đơn giản hĩa và kiểm sốt nội bộ cải tiến quy trình CNTT.
▪ Tổ chức cịn lại và tuân thủ luật, quy định và tiêu chuẩn thời gian.
▪ Giám sát và thực thi bảo mật CNTT và tính tuân thủ của nhân viên.
Chính sách CNTT của doanh nghiệp nên cung cấp liên kết hoặc điểm neo cho quản lý khác và kiểm sốt kỹ thuật. Khi cĩ câu hỏi về bất kỳ quản trị CNTT cấp thấp hơn, cần cĩ một quy trình rõ ràng được thành lập và được phê duyệt chính sách.Khơng cĩ định nghĩa duy nhất về quản trị CNTT cho thấy rằng quản trị CNTT cĩ nghĩa là những gĩc nhìn khác nhau đối với đối tượng khác nhau.Quy trình quản trị CNTT này bao gồm việc ưu tiên và biện minh cho đầu tư CNTT. Quy trình bao gồm kiểm sốt chi tiêu, chẳng hạn như ngân sách và mức ủy quyền.Quản trị CNTT chủ yếu kết nối giữa hoạt động kinh doanh, quản lý và hoạt động liên quan đến CNTT của doanh nghiệp. Các chính sách cần nêu bật tầm quan trọng của các vấn đề liên quan đến CNTT và nhấn mạnh rằng quyết định chiến lược về CNTT nên được kiểm sốt bởi các cấp quản lý doanh nghiệp cao cấp nhất, bao gồm cả ban giám đốc, thay vì chỉ quản lý CNTT cấp cao, chẳng hạn như giám đốc thơng tin (CIO).
Chính sách CNTT của doanh nghiệp nên cung cấp liên kết hoặc điểm neo cho quản lý khác và kiểm sốt kỹ thuật. Khi cĩ câu hỏi về bất kỳ quản trị CNTT cấp thấp hơn, cần cĩ một quy trình rõ ràng được thành lập và được phê duyệt chính sách.Khơng cĩ định nghĩa duy nhất về quản trị CNTT cho thấy rằng quản trị CNTT cĩ nghĩa là những gĩc nhìn khác nhau đối với đối tượng khác nhau.Quy trình quản trị CNTT này bao gồm việc ưu tiên và biện minh cho đầu tư CNTT. Quy trình bao gồm kiểm sốt chi tiêu, chẳng hạn như ngân sách và mức ủy quyền.Quản trị CNTT chủ yếu kết nối giữa hoạt động kinh doanh, quản lý và hoạt động liên quan đến CNTT của doanh nghiệp. Các chính sách cần nêu bật tầm quan trọng của các vấn đề liên quan đến CNTT và nhấn mạnh rằng quyết định chiến lược về CNTT nên được kiểm sốt bởi các cấp quản lý doanh nghiệp cao cấp nhất, bao gồm cả ban giám đốc, thay vì chỉ quản lý CNTT cấp cao, chẳng hạn như giám đốc thơng tin (CIO).
Với mỗi doanh nghiệp nhất định, sẽ cĩ cách thức và phạm vi kiểm tốn khác nhau. Tùy theo độ phức tạp của hệ thống, bộ phận kiểm tốn thơng thường cĩ thể đặt ra yêu cầu kiểm tốn hệ thống thơng tin với sự hỗ trợ của bộ phận Tư vấn và quản trị rủi ro CNTT và phạm vi thực hiện được thống nhất sau khi cĩ sự thảo luận giữa 2 bên. Theo Moeller (2010), quy trình kiểm tốn thường được chia thành ba giai đoạn chính:
Giai đoạn 1: Lập kế hoạch và xác định rủi ro Giai đoạn 2: Thực hiện kiểm tốn
Giai đoạn 3: Hồn thành kiểm tốn