เสี่ยงด้านการลงทุน ปีละ 1 ครั้ง 4. นโยบายการควบคุมและติดตามให้มีการดำเนินงานตามนโยบายและมาตรการของบริษัท (Three lines of defense, มีระบบ monitor, compliance culture) ปีละ 1 ครั้ง 5. นโยบายการลงทุน

หรือ home regulator ให้บริษัท พร้อมทั้ง รับรองเป็นลายลักษณ์อักษรด้วยว่าข้อมูลดังกล่าวเป็นข้อมูลเดียวกับที่ได้ส่งให้แก่ผู้ลงทุนหรือ home regulator แล้วแต่กรณี และให้ตัวแทนขายส่งข้อมูลดังกล่าวแก่สำนักงาน

ติดตามและทบทวนความเสี่ยง (risk monitor and review) ควรจัดให้มีกระบวนการติดตามและทบทวนความเสี่ยงด้าน IT โดยครอบคลุมการดำเนินการ ดังนี้ (1) การกำหนดผู้รับผิดชอบในการติดตามและทบทวนความเสี่ยง (2) การกำหนดดัชนี