Politike ili postupci koje subjekt uspostavlja kako bi se postigli kontrolni ciljevi rukovodstva ili lica ovlašćenih za upravljanje. U tom kontekstu:
⦁ Politike su izjave o tome što bi se trebalo ili ne bi trebalo učiniti unutar subjekta da bi se ostvarila kontrola. Takve izjave mogu biti dokumentovane, izričito navedene i saopštene ili implicirane kroz postupke i odluke.
⦁ Postupci su aktivnosti na provođenju politika.
U kontekstu revizije, a za potrebe procjene rizika materijalno značajnog pogrešnog iskaza, standardi revizije prepoznaju da kontrole uspostavljene u subjektu revizije ne moraju biti formalizovane ili dokumentovane, ali mogu biti vidljive kroz komunikaciju ili implicirane kroz radnje i odluke. Na primjer, kod manje složenih subjekata kontrole mogu djelovati na manje formalan način (npr. putem direktne primjene od strane vlasnika-menadžera). Međutim, bez obzira na to što politike i procedure u nekim subjektima mogu biti manje formalizovane, potrebno je razumijevanje tih politika i procedura (u mjeri potrebnoj za ispunjavanje zahtjeva svake komponente sistema internih kontrola subjekta (Vidjeti: Sistem internih kontrola) jer to razumijevanje direktno utiče na identifikaciju i procjenu rizika značajnog pogrešnog prikazivanja i odgovore na te rizike.