(recommendation/opportunity for improvement) ที่จะช่วยเพิ่มประสิทธิภาพในการบริหารจัดการความเสี่ยงด้าน IT ขององค์กร ซึ่งการไม่ปฏิบัติตามข้อเสนอแนะดังกล่าวไม่ได้ส่งผลกระทบต่อการบรรลุวัตถุประสงค์ด้านการรักษาความ
(developer) ออกจากผู้มีสิทธิในการนำระบบขึ้นใช้งานจริง เป็นต้น ทั้งนี้ กรณีที่ไม่สามารถแบ่งแยกหน้าที่ความรับผิดชอบได้เนื่องจากข้อจำกัดทางด้านขนาดของธุรกิจหรือบุคลากร ผู้ประกอบธุรกิจควรจัดให้มีมาตรการควบคุมทดแทน