Selama peninjauan dokumentasi yang ada dan saat melakukan wawancara, tim harus
memulai untuk mengidentifikasi risiko, kontrol, dan kesenjangan yang terkait dengan proses yang
ada. Untuk struktur kontrol yang ada matang dan lengkap, proses ini mungkin termasuk mencatat
perubahan sejak terakhir kali proses dan dokumentasi kontrol telah diperbarui. Untuk yang lain
struktur kontrol, membangun fondasi untuk kontrol dokumentasi dan rencana perbaikan mungkin
diperlukan mencatat secara terperinci tentang risiko proses, kontrol, dan kesenjangan terkait.
Apakah organisasi menggunakan tata kelola, risiko, dan sistem kepatuhan atau alat manual
seperti kata perangkat lunak pemrosesan dan spreadsheet, dasar komponen dari proses
dokumentasi adalah sama.
Mengingat berbagai pendekatan implementasi, satu opsi bagi tim adalah mengembangkan
matriks risiko dan kontrol (lihatGambar 5). Matriks kontrol adalah dokumen (umumnya dikelola
dalam format spreadsheet atau khusus aplikasi database) yang mengidentifikasi semua kontrol
internal dalam proses di samping deskripsi spesifik dan atribut kategori yang terkait dengan setiap
kontrol. Informasi ditangkap untuk setiap kontrol mungkin termasuk yang berikut: