เช่น การหยุดหรือหลีกเลี่ยงความเสี่ยง (risk avoidance) การลดหรือบรรเทาความเสี่ยง (risk mitigation) การโอนย้ายความเสี่ยงให้กับผู้อื่น (risk transference) และการยอมรับความเสี่ยงโดยการเสนอเหตุผลผู้บริหาร
ครอบคลุมระบบ IT ที่มีนัยสำคัญได้ด้วยตนเอง การตรวจสอบ วิธีการเก็บหลักฐาน วิธีการเก็บหลักฐาน (methods of obtaining audit evidence) ที่แนะนำสำหรับการควบคุมแต่ละข้อมีรายละเอียดตาม เอกสารแนบ ผู้ตรวจสอบสามารถเลือก