Ох, неправильный у вашего начальства подход. Весь ваш аудит, увы, можно будет выкинуть в мусорную корзину!
1) По вопросам, которые вы задаете, у вас просто нет компетенции для данной работы.
2) Даже если вам полностью все разжуют, то скорее всего вы получите неверные результаты.
3) Даже получив верные результаты, их еще нужно как-то интерпретировать, что тоже сомнительно.
Не занимались бы вы этим, от слова - вообще, именно аудитом, ведь за его результаты всех собак повесят именно на вас!
А вот если интересует безопасность для себя самого, то начните со сканирования портов (nmap), входа в домен, подключения к сети, точек доступа wifi. Далее - сканируем сеть со стороны пользователя. Далее - смотрим на подключение к интернет и фильтрацию трафика. Далее - подключение флешек и всяких СД-ЮСБ устройств. Далее - везде.