Институт внутренних аудиторов

Врод как третий экзамен может потребовать калькулятора, там где надо решать задачки по финансам.
Конечно, предварительные вычисления можно (и удобно) сделать и на бумаге, но вот лично я большие числа умножать/делить в уме не могу, как минимум нужна бумажка или тот же калькулятор.

Если мы говорим про сдачу экзаменов CIA, то порядок регистрации на экзамен следующий:
1. Оплачиваешь денюшку за сдачу части экзамена на IIA's Certification Candidate Management System at https://i7lp.integral7.com/iia. После чего тбе приходит подтверждающее письмо, говорящее о необходимости застолбить конкретную дату экзамена.
2. Необходимо определить конкретную дату экзамена. When you are ready to schedule your exam, go to www.pearsonvue.com/iia, click on "Schedule a Test" and follow the online instructions to complete the scheduling process. На сайте www.pearsonvue.com/iia вроде как тоже надо регистрироваться/ активироваться, и можно выбирать время и место экзамена. Денюшку повторно платить уже не надо, IIA передает твои данные компании PearsonVUE. Насколько я помню, по России 2 места тестирования - Москва и Питер. На сайте выбираешь конкретное место, и выбираешь дату и время начала (на сайте отображаются свободные даты и временные интервалы - выбираешь любой).
3. В назначенное время приходишь в место тестирования (паспорт, права, регистрационное письмо с собой имеешь) и тестируешься.
4. По итогам выдается предварительный результат, а через сутки где-то приходит электронка о том, что сдал/несдал и предлагает посмотреть результаты экзамена на ССМS.

Сразу хочу признаться в следующем:
1. Банковской спецфикой деятельности не владею.
2. В таком контексте (аудит эффективности ERP и BI) проверки не проводил.

Однако Ваши слова "оценка рисков инфраструктуры в проведена" и " все сводиться к инфраструктуры процессам в COBIT" наталкивают меня на мысль, что COBIT у Вас ассоциируется с инфраструктурой, что не всегда справедливо.

В то же время мне кажется, что такие направления COBIT как "ME1 Monitor and evaluate IT performance", "DS3 Manage performance and capacity" и "DS1 Define and manage service levels" это как раз то, что спасет отца русской демократии.

Сразу же отвечаю на 2 главных вопроса русской интеллигенции:
"Кто виноват?" - Во всем виноваты люди из The IT Governance Institute (ITGITM) (www.itgi.org), которые придумали COBIT, как стандарт, охватывающий лучшие практики в области IT и могущий быть применен как для выстраивания низкоуровневых аспектов, так и для обеспечения некой базы для выстраивания высокоуровневых контролей и корпоративного управления в IT (что IMHO является наиболее важным в нем).

"Что делать" - вскользь проглядеть COBIT, вдруг некоторые из его целей контроля натолкнут Вас на мысль, как проводить "анализ эффективности работы ERP" и "BI решения", и на какие аспекты при этом обращать внимание.

Речь идет о том, что актуально именно для Вашей компании. Я же ни знаю ни специфика Вашего бизнеса, ни того, нужна ли Вам сртификация по SOX, ISO 27001, ни какие цели ставит перед собой бизнес на год и пятилетку. Без этого можно разговаривать только абстрактно.
В идеале (сферический внутренний аудитор в вакууме) должны быть оценены риски в области ИТ и по ним принято решение об областях аудита.

Могу предложить следующие направления работы:
1. Инициация мероприятий по идентификации оценке рисков, чтобы потом на их основе выработать направления работы. Но оценка рисков это отдельный большой проект.
2. Если предположить, что нужен SOX, то берите материалы по IT readinnes for SOX и начинайтие оценивать и внедрять.
3. Можно взять COBIT и провести полную оценку всех направлений по нему (как раз на год работы) или оценку частичную - только по релевантным направлениям для Вашего бизнеса (какие именно это направления, я и сам не знаю), либо по IT general controls.

более предметного ответа, к сожалению, дать не могу.

Насколько я понимаю, после выполнения шага 1 Вы убираете из перечня рисков те, которые имеют важность ниже уровня существенности для Вашего предприятия и оставляете те риски, которые для предприятия ВАЖНЫ и СУЩЕСТВЕННЫ.
Это наверное и будут те риски, на которые следует ориентироваться службе аудита.
Их как раз можно оформить в карту областей аудита (шаг 2), а потом продумывать конкретные темы аудитов, затрагивающие те или иные области из карты областей.