Для эффективного управления ИТ необходимо учредить эффективную систему внутреннего контроля как часть систем управления организацией [4.2 е)].

Эффективное управление ИТ основывается на формировании эффективной системы внутреннего контроля как части формирования системы управления организацией для поддержки достижения бизнес–целей.

Руководители несут ответственность за оценку рисков в организации и внедрение соответствующей системы внутреннего контроля. Руководящий орган определяет политики внутреннего контроля, учитывая риск–аппетит организации, включая в себя требования законодательства. Управление рисками является ключевым элементом модели стратегического управления, так как необходимо учитывать риск при оценке, управлении и контроле [из 5.5.1 Общие положения ГОСТ Р 58608–2019]