ปลอดภัยด้าน IT และ (3) มีอำนาจหน้าที่ (authority) เพียงพอในการปฏิบัติหน้าที่ได้อย่างมีประสิทธิภาพและประสิทธิผล โดยสามารถ ดำเนินการอย่างน้อย ดังนี้ (ก) รายงานปัญหาหรือเหตุการณ์ที่มีนัยสำคัญซึ่งกระทบต่อความ
ครอบคลุมการดำเนินการอย่างน้อย ดังนี้ (ก) กำหนดผู้รับผิดชอบต่อความเสี่ยง หรือเจ้าของความเสี่ยง (risk owner) (ข) ระบุการควบคุมที่มีอยู่ในปัจจุบัน (existing control) (ค) วิเคราะห์โอกาสหรือความถี่ที่จะเกิด