Legislación como SOX y Basilea II; controles de TI, como por ejemplo auditorías de los manuales de calidad, la adopción de la norma ISO 20000, etc., son todas muy buenas razones para que las organizaciones puedan demostrar que están bajo control. Pero no está claro qué partes deben estar bajo control para conseguir "la adecuación". Junto con el cliente, Quint asegura que la organización de TI formule una política clara y que las funciones apropiadas de control permitan que una auditoría de TI sea llevada a cabo con confianza.