ดำเนินการอย่างน้อย ดังนี้ (ก) ประเมินผลลัพธ์ที่ได้จากการวิเคราะห์ความเสี่ยง ได้แก่ ค่าโอกาสและผลกระทบ (likelihood และ potential impact) กับเกณฑ์ความเสี่ยง (risk criteria) ที่กำหนดไว้ เพื่อระบุระดับค่าความ

เหตุการณ์ความเสี่ยง กำหนดระดับโอกาสเกิดเหตุการณ์ความเสี่ยง (likelihood) โดยพิจารณาจากลักษณะของธุรกิจ ดังตารางต่อไปนี้ ทั้งนี้ หากผู้ประกอบธุรกิจมีการดำเนินธุรกิจมากกว่า 1 ประเภท ให้ใช้ likelihood ของธุรกิจ

เท่ากับการควบคุมที่พึงมีที่สำนักงานกำหนดไว้ ผู้ตรวจสอบสามารถใช้ดุลยพินิจ ในการตัดสินใจให้ผลการประเมินเป็น “Yes” ได้ ตัวอย่าง การควบคุมที่พึงมี จัดให้มีผู้บริหารระดับสูง (chief information security officer