Les contrôles au niveau de l'entité sont définis comme les contrôles très importants de l'organisation qui « donnent le ton depuis le sommet ». Voici les cinq points de contrôle au niveau de l'entité : valeurs et éthique, gouvernance, gestion des risques, gestion financière et compétence du personnel financier.

Les contrôles informatiques généraux sont définis comme les contrôles liés aux systèmes financiers et à l'infrastructure de TI de base utilisés dans l'organisation, qui facilitent les opérations financières. L'ACIA est chargée d'évaluer l'efficacité de tous les contrôles généraux des systèmes de TI qu'elle gère intégralement, dont le Réseau de l'ACIA et le système électronique de facturation autonome. Dans les cas où l'ACIA achète des services d'élaboration ou d'entretien de systèmes auprès d'un autre ministère (p. ex., Saturne, Enterprise, PeopleSoft et Système régional de paye), l'auto-évaluation porte alors uniquement sur les éléments des systèmes qui sont maintenus ou contrôlés par l'ACIA, comme les contrôles d'accès. Les fournisseurs de services dans d'autres ministères sont responsables de l'auto-évaluation du contrôle interne des systèmes qu'ils entretiennent pour le compte de l'ACIA.

Ces points de contrôle sont les points de comparaison en fonction desquels l'ACIA a élaboré son plan triennal d'auto-évaluation, qui fera l'objet d'un examen et d'une mise à jour annuellement afin de rendre compte des changements apportés à l'environnement de contrôle.