La compréhension de ces risques et leur gestion est donc un problème majeur qui concerne les directions des entreprises, les propriétaires des processus d'affaire et les auditeurs. Pour répondre à ce besoin de maîtrise globale des systèmes d'information, l'ISACA1 a proposé un cadre conceptuel de contrôle ainsi que des outils pour la mise en place des contrôles.
Ce cadre concerne trois audiences :
- d'abord, les Directions ; les pratiques indiquées dans COBIT, généralement acceptées, les aident à équilibrer les investissements en moyens de contrôle, face aux risques et de remplir leurs obligations vis-à-vis des parties prenantes de l'entreprise (« IT governance ») ;
- ensuite, les propriétaires des processus fonctionnels qui disposent de l'ensemble des éléments permettant d'avoir des garanties sur la sécurité et les contrôles des services fournis par les TI, qu'ils soient fournis en interne ou par un prestataire extérieur ;
- enfin, les auditeurs en leur permettant de justifier leur opinion et d'apporter des recommandations aux directions en terme de contrôle interne en matière de TI.
