O componente atividade de controle visa identificar fatores que possam ameaçar o alcance dos objetivos de uma entidade.

Se a auditoria interna estiver incorporada ao departamento de contabilidade, a rotina normal dos trabalhos de contadoria poderá implicar perda da eficiência no cumprimento das finalidades de auditoria, situação que prejudica a autonomia profissional dos auditores internos.

Sistemas de controle eficazes e eficientes reduzem a probabilidade de que os riscos avaliados necessitem ser mitigados posteriormente.

A avaliação de riscos baseia-se nos objetivos operacionais de confiabilidade das informações e de conformidade com leis, regulamentos e normas.

Os riscos a que estão sujeitas as organizações podem ter origem interna ou externa. A aprovação de nova lei ou decreto, por exemplo, é considerado fator externo de risco e pode implicar alteração em políticas operacionais e estratégicas de determinada organização.

Com o intuito de proteger as informações de caráter sigiloso da entidade, as informações sobre planos, ambiente de controle, riscos, atividades de controle e desempenho são restritas à alta administração.

A finalidade do controle, em qualquer instituição, é assegurar que os órgãos da instituição atuem em consonância com os princípios constitucionais, especialmente conforme os princípios da legalidade, impessoalidade, moralidade, publicidade, transparência e eficiência.

O sistema de monitoramento proposto pelo COSO (Committee of Sponsoring Organizations of the Treadway Commission) fundamenta-se no princípio segundo o qual as avaliações sempre devem ser efetuadas por consultores externos independentes.

Verificar se as deficiências de performance ou de controle interno identificadas são tratadas de modo adequado e oportuno é uma das características do componente avaliação de riscos.

Perturbações no sistema de processamento de informação e mudanças na política governamental são exemplos de fatores externos que podem gerar riscos à entidade.