ＩＴＧＣの有効性評価の手順には、５ステップが存在する。?ＩＴＧＣ個別評価、?ＩＴＧＣカテゴリごとの評価、?ＡｕＣへのサポート評価、?リスク実証評価、（?結論としてのＡｕＣにおけるＩＴＧＣの評価）
　まず、?ＩＴＧＣ個別評価について、ＩＴＧＣには大別して３つのカテゴリが存在し、そのそれぞれに複数のプロセスが存在する（後述）。そのプロセスごとに個別にＲＣＭを元にＷＴ・ＦＴＯＣを行いＩＴＧＣの有効性評価を行う。
　次に?ＩＴＧＣカテゴリごとの評価を行う。ＩＴＧＣカテゴリには、ａ）変更管理、ｂ）論理アクセス、ｃ）その他のＩＴＧＣ（運用）の３つが存在する。この３カテゴリにおいてそれぞれプロセスが、ａ−１）案件承認、ａ−２）テスト、ａ−３）本番前承認、ａ−４）モニタリング、ａ−５）職務分掌（分離）、ｂ−１）ユーザＩＤ・・・ｃ−１）バックアップ、ｃ−２）、ｃ−３）障害管理、の計５＋８＋３＝１６プロセス存在する。?のＩＴＧＣ個別評価においてはこの１６プロセスをそれぞれ個別評価するが（評価しない場合もあるが、しない場合はしない理由が必須）、?ではこの３つのカテゴリごとに有効性の評価を行う。
　?ＡｕＣへのサポート評価では、?で評価したＩＴＧＣカテゴリの有効／非有効がＡｕＣに与える影響について確認する。とくにＩＴＧＣ非有効時に
　?リスク実証評価では、ＡｕＣのＴＯＣをＩＴＧＣにおいてサポートできなかった場合に、ＩＴリスクの実証手続きを行うことにより、ＩＴの反復性によるＡｕＣの一定の心証を得ること