Nadat de klant en M&LC de scope van de processen hebben vast gesteld, vult de klant – ondersteund door M&LC - de procesbeschrijvingen aan en ontwerpt de controledoelstellingen en beheersmaatregelen. M&LC geeft advies over de in te zetten tools, methodes en levert sjablonen voor de controleopzet en rapportages. Daarnaast legt en onderhoudt M&LC voor de leverancier contact met een externe SAS 70-auditor. Deze auditor zorgt ervoor dat het SAS 70 proces an sich in control is en voert in het voorbereidingstraject een pre-audit uit alsmede de SAS 70 audit. Deze audit moet resulteren in een SAS 70 rapport Type I (de juiste beheersmaatregelen zijn ontworpen en ingericht) en Type II (is de juiste werking van de beheersmaatregelen aantoonbaar). Voor de softwareleverancier een aantoonbaar bewijs naar klanten dat de interne organisatie op orde is.