В данном случае при разработке таких документов и контрольных процедур можно воспользоваться одной из лучших практик описания – «5W»10, исследуя «Кто», «Что», «Где», «Когда» и «Почему».

Данные документы должны формализовать непосредственно процедуры контроля над ИТ, то есть могут описывать:

1. Кто делает?

2. Что делает?

3. Как часто делает?

4. Каков результат?

5. Зачем и какова цель?