Como alternativa para a auditoria de TI, um modelo de avaliação do risco de um ativo, que identifica também o risco residual e produz um plano de ação, deve combinar a probabilidade da ameaça,
Os passos a serem seguidos para registrar as atividades que prejudicam os objetivos de controle, bem como para identificar as medidas e os procedimentos de controle estabelecidos, são descritos na etapa do processo de auditoria denominada