(recommendation/opportunity for improvement) ที่จะช่วยเพิ่มประสิทธิภาพในการบริหารจัดการความเสี่ยงด้าน IT ขององค์กร ซึ่งการไม่ปฏิบัติตามข้อเสนอแนะดังกล่าวไม่ได้ส่งผลกระทบต่อการบรรลุวัตถุประสงค์ด้านการรักษาความ

จำเป็นต้องใช้งาน (5) การแบ่งแยกบทบาทหน้าที่ของบุคคลที่เกี่ยวข้องในการจัดสรรสิทธิ เช่น ผู้ร้องขอ (access request) ผู้มีอำนาจอนุมัติ (access authorization) และผู้ดูแลสิทธิการเข้าถึง (access administration