Iz informacija prikupljenih dokumentovanjem sistema, revizor vrednuje da li su klijentove predviđene kontrolne procedure takve da se na njih može osloniti prilikom dizajniranja testova za pojedinačne račune ili transakcije. Ako kontrolne procedure nisu odgovarajuće, revizor će prestati sa razmatranjem strukture interne kontrole  i opredeliti se za izvođenje suštinskih testova. Kontrolni rizik treba biti procenjen na maksimalnom nivou, i revizor će dizajnirati suštinske testove koji se ne oslanjaju na strukturu interne kontrole. 
Ako su kontrolne procedure dizajnirane tako da se na njih može osloniti, revizor će nastaviti razmatrati strukturu interne kontrole procenom kontrolnog rizika na nivou nižem od maksimalnog.