信息技术审计指南 2002年10月 计划和组织 1定义战略性的信息技术规划（PO1） 控制的IT过程： 定义战略性的IT规划 满足的业务需求： 既要谋求信息技术机遇和IT业务需求的最佳平衡，又要确保其进一步地完成 实现路线： 在定期从事的战略规划编制过程中，要逐渐形成长期的计划，长期的计划应定期 地转化成设置清晰并 具体到短期目的的操作计划 需要考虑的事项： 企业的业务发展战略 IT如何支持业务目标的明确定义 技术解决方案和当前基础设施的详细清单 追踪技术市场 适时的可行性研究和现实性检查 已有系统的评估 在风险、进入市场的时机、质量方面，企业所处的位置 需要高级管理层出钱、支持和必不可少的检查 信息规范IT资源 P效果*人员 S 效率* 应用 保密*技术 完整*设施 可用*数据 遵从 可靠 1.1作为机构长期和短期计划一部分的IT 高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一 方面，高级管理层应 确保IT有关事项以及机遇被适当地评估，并将结果反映到机构的长期和短期计划 之中。IT的长期、短期 计划应被开发，确保IT的运用同机构的使命与业务发展战略相结合。 1.2IT长期计划 IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现 的IT长期计划负责。计 划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入 的机制。相应地，管理层 应执行一个长期计划的编制过程，采用一种结构化的方法，并建立一个标准的计 划结构。 1.3IT长期计划编制一一方法与结构 对于长期计划的编制过程来讲，IT管理层和业务过程的所有者应建立并采用一种 结构化的方法。这样 可以制定出高质量的计划，含盖什么、谁、怎样、什么时间和为什么等基本的问 题。IT计划的编制过程 应考虑风险评估的结果，包括业务、环境、技术和人力资源的风险。计划编制期 间，需要考虑和充分投 入的方面包括：机构的模式及其变化、地理的分布、技术的发展、成本、法律法 规的要求、第三方或市 场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、 应用系统和技术体系结 构。已做出选择的好处应被明确地确定下来。IT长期和短期计划应使绩效指标和 目标合并在一起。计划 本身还应参考其它的计划，比如机构的质量计划和信息风险管理计划。 1.4IT长期计划的变更 IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位， 以适应机构长期计划 的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要 的政策。 1.5IT功能的短期计划编制 IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这 样的短期计划应确保 适当的IT功能资源以与IT长期计划内容相一致的基础上来分配。短期计划应定期 地进行再评估，并被作 为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应 确保短期计划的实行是 被充分地启动的。 1.6IT计划的交流 门人员的充分沟通。 1.7 IT 计划的监控和评估 管理层应建立一个流程，获取和报告来自业务过程所有者和用户有关长期和短期 计划的质量及有效性 的反馈。获取的反馈应予以评估，并在将来的IT计划编制中加以考虑。 1.8现有系统的评估 在开发或变更战略规划或长期计划、IT计划之前，IT管理层应按照业务自动化的 程度、功能性、稳定 性、复杂性、成本、优势和劣势，评估现有信息系统，以确定现有系统支持机构 业务需求的程度。 对高级和详细的控制目标进行审计： 获得了解： 访谈： 首席执行官（CEO） 首席运营官（COO） 首席财务官（CFO） 首席信息官（CIO） IT计划/指导委员会成员 IT高级管理层和人力服务职员 获得： 与计划编制过程想关联的政策和程序 高级管理层的指导角色和责任 机构的目标和长短期的计划 IT的目标和长短期的计划 状况的报告和计划/指导委员会的会议纪要 评估控制： 考虑是否： IT或者业务的企业政策和程序选择了一种结构化的计划编制方法 方法到位，以便明确地表达并能够修改计划，起码它们要包括： ·机构的使命和目的 ·支持机构使命和目的的IT初始 ·IT初始的机遇 ·IT初始的可行性的研究 ·IT初始的风险评估 ·当前和未来IT的最佳投资 ·反映企业使命和目的变化的IT初始的再造 ·数据应用、技术和机构可选择战略的评估 机构的变化、技术的发展、规章的要求、业务过程的再造、员工的安置、自已开 发和外包，等等被考 虑，并在计划编制过程中充分地从事 长短期的IT计划存在，是当前的，充分针对全部企业、它的使命和关键的业务职 能部门 IT项目由IT计划编制方法中确定的适当文档所支持 确保IT目标和长短期计划持续地满足机构目标和长短期计划的检查点存在 由过程所有者和高级管理层评价和结束的IT计划发生 根据业务自动化程度、功能性、稳定性、复杂性、成本、优势和弱点，IT计划评 估现有的信息系统 对信息系统及其支持的基础设施的长期计划编制的缺乏，导致系统不能支持企业 的目标和业务的过 程，或者不能提供适当的完整、安全和控制 评定遵从性： 测试： 来自反映计划编制过程的IT计划编制/指导委员会的会议纪要 计划编制方法的可交付使用物的存在，作为预先的规定 相关IT的初始被包括在IT长短期的计划当中（也就是硬件的变化、容量计划编制、 信息体系结构、新 系统开发或获取、灾难恢复计划编制、新处理平台的安装，等等） IT初始支持长短期计划，并要考虑调查、培训、人员安置、设施、硬件和软件的 需求 IT初始的技术含义已经被确定 最优化当前和将来IT投资的考虑已经给出