(11) При тестването за проникване са налице присъщи елементи на рискове, тъй като критичните функции се тестват в реално време в продукционна среда, като е възможно да бъдат предизвикани инциденти от типа „отказ на услуги“, неочаквани сривове на системата, повреди на критични системи в реално време в продукционна среда или загуба, промяна или разкриване на данни. Тези рискове подчертават необходимостта от надеждни мерки за управление на риска. За да се гарантира, че тестването за проникване се провежда по контролиран начин през цялото време на провеждане на тестовете, е много важно финансовите субекти във всеки един момент да са наясно с конкретните рискове, които възникват при тестването за проникване, и тези рискове да бъдат ограничени. Във връзка с това, без да се засягат вътрешните процеси на финансовия субект и отговорността и делегирането на правомощия, които вече са предоставени на ръководителя на контролния екип, може да е подходящо да се предостави информация за мерките за управление на риска, свързан с тестването за проникване, или, в конкретни случаи, одобряването на тези мерки за управление на риска от самия ръководен орган на финансовия субект. За да могат да се предоставят ефективни и най-квалифицирани професионални услуги и да се намалят тези рискове, от съществено значение е също така лицата, провеждащи тестове, и доставчиците на разузнавателни сведения за заплахи (заедно наричани доставчици на услуги в областта на тестването за проникване) да притежават умения, експертни познания и подходящ опит на най-високо равнище в областта на разузнавателните сведения за заплахи и тестването за проникване в сектора на финансовите услуги.