ติดตามและทบทวนความเสี่ยง (risk monitor and review) ควรจัดให้มีกระบวนการติดตามและทบทวนความเสี่ยงด้าน IT โดยครอบคลุมการดำเนินการ ดังนี้ (1) การกำหนดผู้รับผิดชอบในการติดตามและทบทวนความเสี่ยง (2) การกำหนดดัชนี
มีโครงสร้างดังกล่าว โดยมีลักษณะอย่างน้อยดังนี้ 1.1 กำหนดโครงสร้างภายในองค์กร (organizational structure) ในการปฏิบัติงานด้าน IT โดยมีรายละเอียดหน้าที่และความรับผิดชอบของบุคลากรเป็นลายลักษณ์อักษร 1.2 มี
ประสิทธิภาพ 2. โครงสร้างการถือหุ้น (Shareholding Structure) วัตถุประสงค์ เพื่อแสดงให้เห็นถึงโครงสร้างการถือหุ้นของบริษัท การจัดเตรียมเอกสาร · นำส่งสำเนาบัญชีรายชื่อผู้ถือหุ้นของบริษัท ที่กระทรวงพาณิชย์รับรอง
เสี่ยงด้านการลงทุน ปีละ 1 ครั้ง 4. นโยบายการควบคุมและติดตามให้มีการดำเนินงานตามนโยบายและมาตรการของบริษัท (Three lines of defense, มีระบบ monitor, compliance culture) ปีละ 1 ครั้ง 5. นโยบายการลงทุน