ขั้นตอนหรือวิธีปฏิบัติงานของผู้ปฏิบัติงานของบริษัทที่รับการตรวจสอบ การสัมภาษณ์/สอบถาม (inquiry) สอบถามข้อมูลจากบุคลากรของบริษัทที่รับการตรวจสอบ การสอบทาน/ตรวจสอบ (Inspection) ตรวจสอบบันทึก (record
ติดตามและทบทวนความเสี่ยง (risk monitor and review) ควรจัดให้มีกระบวนการติดตามและทบทวนความเสี่ยงด้าน IT โดยครอบคลุมการดำเนินการ ดังนี้ (1) การกำหนดผู้รับผิดชอบในการติดตามและทบทวนความเสี่ยง (2) การกำหนดดัชนี