ติดตามและทบทวนความเสี่ยง (risk monitor and review) ควรจัดให้มีกระบวนการติดตามและทบทวนความเสี่ยงด้าน IT โดยครอบคลุมการดำเนินการ ดังนี้ (1) การกำหนดผู้รับผิดชอบในการติดตามและทบทวนความเสี่ยง (2) การกำหนดดัชนี
มีวุฒิบัตรอย่างหนึ่งอย่างใดดังนี้ 1.2.1 Certified Information Systems Auditor (CISA) 1.2.2 Certified Information Security Manager (CISM) 1.2.3 Certified Information Systems Security Professional (CISSP
เสี่ยงด้านการลงทุน ปีละ 1 ครั้ง 4. นโยบายการควบคุมและติดตามให้มีการดำเนินงานตามนโยบายและมาตรการของบริษัท (Three lines of defense, มีระบบ monitor, compliance culture) ปีละ 1 ครั้ง 5. นโยบายการลงทุน