การสรุปผลการประเมิน ในขณะที่ลดเวลาและค่าใช้จ่ายของการตรวจสอบจากประชากร (population) ทั้งหมด ดังนั้น ผู้ตรวจสอบควรพิจารณากรอบระยะเวลา (sample period) และจำนวนของกลุ่มตัวอย่าง (sample size) ที่เพียงพอ
เสี่ยงด้านการลงทุน ปีละ 1 ครั้ง 4. นโยบายการควบคุมและติดตามให้มีการดำเนินงานตามนโยบายและมาตรการของบริษัท (Three lines of defense, มีระบบ monitor, compliance culture) ปีละ 1 ครั้ง 5. นโยบายการลงทุน
ติดตามและทบทวนความเสี่ยง (risk monitor and review) ควรจัดให้มีกระบวนการติดตามและทบทวนความเสี่ยงด้าน IT โดยครอบคลุมการดำเนินการ ดังนี้ (1) การกำหนดผู้รับผิดชอบในการติดตามและทบทวนความเสี่ยง (2) การกำหนดดัชนี