从目标到结果需要建立合理的控制环境,包括系统运营的效果和效率（operating）,财务及管理的报告（reporting）,法律、法规的符合性（compliance）,对信息资产的保护（safeguarding）。　　
　　控制的效果要用与电子商务相关的各种控制属性来描述,如可用性（availability）、实际能力（capability）、机能性（functionality）、可保护性（protect ability）、责任性（accountability）,这些属性都可被称作业务鉴证目标,为人们正确看待各种控制提供了更广阔而准确的框架,对任何业务的控制都可以通过控制属性的组合来实现.例如,对隐私问题的控制可以通过可保护性和责任性的组合来实现。要实现有效控制，需要利用各种资源，如人员（people）、技术（technology）、流程（processes）、投资（investment）、沟通（communication）。
　　影响内部控制环境的外部因素主要有两种，如多方向的箭头表述了与外部实体（供应商、合作伙伴、代理商）之间的交互作用及相互依赖性，单方向箭头表述了外部市场力量（如客户、竞争对手、监管者、共同体、股东）和不断变化的环境对内部控制的影响.
　　椭圆形区域表示动态的控制内外部环境，为保证控制环境相对稳定和可控，就必须对环境进行监测与预测，使相关风险被控制在一个组织可以接受的水平。