เช่น การหยุดหรือหลีกเลี่ยงความเสี่ยง (risk avoidance) การลดหรือบรรเทาความเสี่ยง (risk mitigation) การโอนย้ายความเสี่ยงให้กับผู้อื่น (risk transference) และการยอมรับความเสี่ยงโดยการเสนอเหตุผลผู้บริหาร
ใช้วิธีการเก็บหลักฐานสำหรับตรวจสอบการควบคุมแต่ละข้อได้ตามความเหมาะสม โดยคำนึงถึงการสรุปผลการประเมินอย่างสมเหตุสมผล (reasonable assurance) โดยใช้ทรัพยากรด้านการตรวจสอบที่อาจมีอยู่อย่างจำกัดได้อย่างมี