ประสิทธิภาพ และพึงกระทำด้วยความเชี่ยวชาญและความระมัดระวังเยี่ยงวิชาชีพ ทั้งนี้ ตัวอย่างของวิธีการเก็บหลักฐานที่สามารถใช้ดำเนินการตรวจสอบมีดังนี้ วิธีการเก็บหลักฐาน คำอธิบาย การสังเกตการณ์ (observation) สังเกต
ติดตามและทบทวนความเสี่ยง (risk monitor and review) ควรจัดให้มีกระบวนการติดตามและทบทวนความเสี่ยงด้าน IT โดยครอบคลุมการดำเนินการ ดังนี้ (1) การกำหนดผู้รับผิดชอบในการติดตามและทบทวนความเสี่ยง (2) การกำหนดดัชนี