) เอกสาร และข้อมูล ทั้งในรูปแบบกระดาษและรูปแบบอิเล็กทรอนิกส์ รวมถึงการตั้งค่าบนระบบงาน (configuration) การยืนยันโดยบุคคลภายนอก (third-party confirmation) ตรวจสอบข้อมูลที่ได้รับการยืนยันจากบุคคลภายนอกที่เป็น
ระบบ IT อย่างมีนัยสำคัญ โดยมีกระบวนการครอบคลุมอย่างน้อย ดังนี้ (1) การระบุความเสี่ยง (risk identification) จัดให้มีการระบุเหตุการณ์ความเสี่ยง (risk scenario) ด้าน IT ที่อาจจะเกิดขึ้นหรือที่เคยเกิดขึ้น