Abarca las acciones establecidas por la institución, mediante políticas y procedimientos, orientadas a reducir los riesgos que puedan afectar el logro de los objetivos de la organización. Las actividades de control son llevadas a cabo por todas las áreas de la organización, a través de los procesos y la tecnología que les da soporte. Forman parte de este componente:
9. Control operacional
1.1 Políticas operacionales
1.2 Procedimientos
1.3 Controles
10. Competencia, formación y toma de conciencia
11. Gestión de la información
3.1 Sistema de Información
3.2 Control de documentos
12. Comunicación
1.1 Comunicación interna
1.2 Comunicación externa
1.3 Rendición de cuentas