Политике или поступци које субјект успоставља како би се постигли контролни циљеви руководства или лица овлашћених за управљање. У том контексту:
⦁ Политике су изјаве о томе што би се требало или не би требало учинити унутар субјекта да би се остварила контрола. Такве изјаве могу бити документоване, изричито наведене и саопштене или имплициране кроз поступке и одлуке.
⦁ Поступци су активности на провођењу политика.
У контексту ревизије, а за потребе процјене ризика материјално значајног погрешног исказа, стандарди ревизије препознају да контроле успостављене у субјекту ревизије не морају бити формализоване или документоване, али могу бити видљиве кроз комуникацију или имплициране кроз радње и одлуке. На примјер, код мање сложених субјеката контроле могу дјеловати на мање формалан начин (нпр. путем директне примјене од стране власника-менаџера). Међутим, без обзира на то што политике и процедуре у неким субјектима могу бити мање формализоване, потребно је разумијевање тих политика и процедура (у мјери потребној за испуњавање захтјева сваке компоненте система интерних контрола субјекта (Видјети: Систем интерних контрола) јер то разумијевање директно утиче на идентификацију и процјену ризика значајног погрешног приказивања и одговоре на те ризике.