Все верно, но не всегда это так просто. В плане комплексности. Не каждый сисадмин найдет уяхвимости на прикладном уровне, в частности в веб-скриптах (ксттаи, почему только "на мордочке"?).
Вы бы разбили аудит на две части, как минимум.
Для анализа внешних угроз (пен-тест) - тут специалистов хватает =)