Legislación como SOX y Basilea II; controles de TI, como por ejemplo auditorías de los manuales de calidad, la adopción de la norma ISO 20.000,etc., son todas muy buenas razones para que las organizaciones puedan demostrar que están bajo control. Pero no está claro qué partes deben estar bajo control, para conseguir "el adecuación". Junto con el cliente, Quint asegura que la organización de TI formule una política clara en que las funciones permiten un control adecuado de la auditoría  que llevará a cabo, con confianza, la TI.