Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados (Configuración de los equipos, seguridad, entornos de la red y entornos de aplicaciones, productos y herramientas).
Para la implantación de un sistema de controles internos informáticos habrá que definir: Gestión de sistemas de información: políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes.
- Administración de sistemas: controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.
- Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
- Gestión del cambio: separación de las pruebas y la producción a nivel de software y controles de procedimientos para la migración de programas, software aprobado y probado.