ประกอบธุรกิจ (2) การระบุรายละเอียดของงานที่ต้องดำเนินการ ผู้รับผิดชอบ และระยะเวลาที่ใช้ในการดำเนินการ (3) การประเมินระดับค่าความเสี่ยงที่เหลืออยู่ (residual risk) ว่าอยู่ในระดับความเสี่ยงที่ยอมรับได้ (4
ประสบการณ์ในตำแหน่งหัวหน้าหน่วยงาน หรือมีหน้าที่รับผิดชอบเป็นผู้บริหารงานหลัก หรือมีประสบการณ์ในด้านการให้คำปรึกษาที่เกี่ยวข้องด้าน IT หรือ (3) มีประสบการณ์หรือได้รับแต่งตั้งเป็นสมาชิกในคณะกรรมการหรือคณะทำงาน