Kaip jau buvo minėta, įgimta ir kontrolės rizikos vertinamos atskirai.
Jei auditorius planuoja atlikti kontrolės priemonių efektyvumo testus, jis turi įvertinti kontrolės riziką. Jei neplanuoja jų atlikti, atliekamas kontrolės rizikos įvertinimas turi būti toks, kad reikšmingo iškraipymo rizikos įvertinimas būtų toks pat kaip ir įgimtos rizikos įvertinimas (kitaip tariant, kontrolės patikimumas būtų negautas (koeficientas būtų 0), todėl bendras RIR įvertinimas priklausytų tik nuo įgimtos rizikos įvertinimo).
Auditoriaus planai dėl kontrolės priemonių efektyvumo testų yra pagrįsti lūkesčiu, kad kontrolės priemonės yra efektyvios, ir sudaro pagrindą atlikti kontrolės rizikos įvertinimą. Pradiniai lūkesčiai dėl jų efektyvumo yra pagrįsti auditoriaus atliktu kontrolės priemonių, nustatytų kontrolės veiksmų komponente, parengimo įvertinimu ir įdiegimo nustatymu. Atlikęs kontrolės priemonių efektyvumo testus pagal 2330-ąjį TAAIS, auditorius galės patvirtinti pradinius lūkesčius dėl šių priemonių efektyvumo. Jei jos veikia ne taip efektyviai, kaip tikėtasi, auditorius turės peržiūrėti kontrolės rizikos įvertinimą.
Auditorius gali planuoti testuoti IT bendrąsias kontrolės priemones, todėl jei tai planuoja, vertindamas kontrolės riziką turi atsižvelgti į bendrą visų kontrolės priemonių poveikį. Jeigu auditorius tikisi, kad susijusios bendrosios IT kontrolės priemonės bus neefektyvios, tai gali turėti įtakos jo atliekamam kontrolės rizikos įvertinimui tvirtinimų lygmeniu.