เสริมและพัฒนาความรู้ด้าน IT (training program) อย่างน้อยปีละ 1 ครั้ง เพื่อให้มั่นใจว่าเนื้อหาและรายละเอียดของแผนงานที่เกี่ยวข้องยังคงเพียงพอเหมาะสมกับแนวโน้มความเสี่ยงด้าน IT ในปัจจุบัน 3. ผู้ประกอบธุรกิจ
การสรุปผลการประเมิน ในขณะที่ลดเวลาและค่าใช้จ่ายของการตรวจสอบจากประชากร (population) ทั้งหมด ดังนั้น ผู้ตรวจสอบควรพิจารณากรอบระยะเวลา (sample period) และจำนวนของกลุ่มตัวอย่าง (sample size) ที่เพียงพอ