เพื่อระบุหรือกำหนดความเสี่ยงที่มีโอกาสเกิดขึ้นและวางระบบควบคุมเพื่อป้องกันความเสี่ยงที่อาจมีโอกาสเกิดขึ้น (protect) เพื่อสามารถตรวจจับสิ่งบ่งชี้ความผิดปกติ (detect) ได้อย่างรวดเร็วและแก้ไขหรือหยุดความเสีย
ที่มีความเสี่ยงสูง ผู้ประกอบธุรกิจต้องมีมาตรการเพิ่มเติม (enhance) ที่จะทำให้ติดตามตรวจสอบได้ว่าพนักงานมีการปฏิบัติไม่เป็นไปตามกฎเกณฑ์หรือไม่ และหากพบว่ามีการปฏิบัติไม่เป็นไปตามกฎ