Os problemas podem ser criados manualmente para documentar observações ou correções de auditoria ou para aceitar quaisquer problemas. Eles são gerados automaticamente a partir de resultados do indicador, resultados de atestado ou eficácia do teste de controle.

A correção de um problema marca a intenção de corrigir o problema subjacente que está causando a falha de controle ou a exposição ao risco. A aceitação de um problema marca a intenção de criar uma exceção para uma falha ou risco de controle conhecido. Controles que são Aceito permaneça em um estado fora de conformidade até que o controle seja reavaliado. Desta forma, o problema pode ser usado para documentar observações durante auditorias.