Os problemas podem ser criados manualmente para documentar observações ou correções de auditoria ou para aceitar quaisquer problemas. Eles são gerados automaticamente a partir de resultados de indicador, resultados de certificação ou eficácia de testes de controle.

Corrigir um problema marca uma intenção de corrigir o problema subjacente que está causando a falha de controle ou a exposição ao risco. Aceitar um problema marca a intenção de criar uma exceção para uma falha de controle ou risco conhecido. Os controles que são Aceitos permanecem em um estado fora de conformidade até que o controle seja reavaliado. Dessa forma, o problema pode ser usado para documentar observações durante as auditorias.