ขั้นตอนหรือวิธีปฏิบัติงานของผู้ปฏิบัติงานของบริษัทที่รับการตรวจสอบ การสัมภาษณ์/สอบถาม (inquiry) สอบถามข้อมูลจากบุคลากรของบริษัทที่รับการตรวจสอบ การสอบทาน/ตรวจสอบ (Inspection) ตรวจสอบบันทึก (record
ชี้วัดความเสี่ยงด้าน IT ที่สำคัญ (IT key risk indicator) เพื่อให้สามารถติดตามแนวโน้มของ ความเสี่ยง และสามารถทบทวนมาตรการควบคุมความเสี่ยงได้อย่างมีประสิทธิภาพ (3) การติดตามความคืบหน้าของการดำเนินงานตาม