อยู่ในระดับที่องค์กรยอมรับได้ (risk appetite) (4) การกำหนดตัวชี้วัดระดับความเสี่ยง (IT risk indicator) สำหรับความเสี่ยงสำคัญที่สอดคล้องกับ ความเสี่ยงที่ระบุตาม (1) รวมถึงจัดให้มีการติดตามและรายงานผลตัว
) การก าหนดตวัช้ีวดัระดบัความเส่ียง (IT risk indicator) ส าหรับความเส่ียงส าคญัท่ีสอดคลอ้งกบั ความเส่ียงท่ีระบุตาม (1) รวมถึงจดัใหมี้การติดตามและรายงานผลตวัช้ีวดัดงักล่าว เพื่อใหส้ามารถบริหาร และจดัการความ
ชี้วัดความเสี่ยงด้าน IT ที่สำคัญ (IT key risk indicator) เพื่อให้สามารถติดตามแนวโน้มของ ความเสี่ยง และสามารถทบทวนมาตรการควบคุมความเสี่ยงได้อย่างมีประสิทธิภาพ (3) การติดตามความคืบหน้าของการดำเนินงานตาม
กระบวนการติดตามและทบทวนความเสี่ยง ด้าน IT โดยครอบคลุมการดำเนินการ ดังนี้ (1) การกำหนดผู้รับผิดชอบในการติดตามและทบทวนความเส่ียง (2) การกำหนดดัชนีชี ้ว ัดความเสี ่ยงด้าน IT ที ่สำคัญ ( IT key risk indicator