Identifier des contrôles
Il est généralement préférable de recenser les contrôles existants avant d'en mettre en place de nouveaux.
A cet effet, les contrôles peuvent être identifiés de différentes manières.
• à partir des risques
Certains contrôles sont mises en place pour répondre à un risque particulier.
• à partir de listes de types de contrôles
Des listes de types de contrôles sont associées à certaines réglementations (Ex: Cobit).
• à partir d'une cartographie des processus existants
Comme pour identifier des risques, il est possible lorsque celle-ci est disponible d'examiner le fonctionnement de chacune des étapes d'un processus pour découvrir les contrôles mis en place.
• à partir de l'expertise d'un spécialiste
Un spécialiste d'un domaine particulier est souvent capable de décrire les contrôles mis en place ou qui devraient l'être.
• à partir des bases d'incidents
En consultant les événements passés, on peut proposer des contrôles qui auraient permis de les prévenir ou d'en diminuer les conséquences.