Este paso implica identificar posibles riesgos, sus causas y cómo pueden surgir, como base para un análisis posterior. Requiere una descripción detallada del control actual, incluyendo participantes, fortalezas, debilidades, probabilidades, amenazas e impacto de infracciones, y oportunidades de fraude.