ตามแต่ละรายการ โดยการตรวจสอบมี 2 รูปแบบ ได้แก่ (1) การวัดการปฏิบัติตามข้อกำหนด (compliance check) (2) การวัดระดับความพร้อม (maturity level) (รายละเอียดตามข้อ 4.4 การตรวจสอบการควบคุม) 5 Finding สรุป

เช่น Private Fund, Structured Note, Bond, หน่วยลงทุนในรูปแบบการเสนอขายกองทุนครั้งแรก (IPO) หรือ มูลค่าการซื้อขายจากการเป็นผู้จัดจำหน่ายหลักทรัพย์ (underwriter) เป็นต้น · นับเฉพาะมูลค่าการซื้อขายจากคำสั่ง

3 (third line of defense) : การตรวจสอบ 1. ผู้ประกอบธุรกิจควรจัดให้มีโครงสร้างการกำกับดูแลและบริหารจัดการความเสี่ยงด้าน IT ที่มีการถ่วงดุลอำนาจ (check and balance) และมีการแบ่งแยกหน้าที่ (segregation