リスク レジスターは、プロジェクトまたは組織に影響を及ぼす可能性のあるリスクを識別および追跡するためのリスク管理ツールとして使用されるドキュメントです1。リスク レジスターには、リスクを軽減または排除するために実行または計画されているアクションであるリスク対応に関する情報も含まれます2。したがって、リスク レジスターは、リスク対応のステータスと進捗状況、リスク対応の結果と成果、リスク対応から得られたフィードバックと教訓を示すため、リスク対応がリスク アクション プランに従って実行されたことを示す最良の証拠となります3。リスク ポリシー レビューは、リスク対応に関する具体的な情報を提供しないため、リスク対応がリスク アクション プランに従って実行されたことを示す最良の証拠ではありません。リスク ポリシー レビューは、組織のリスク管理ポリシーが最新で、関連性があり、効果的であることを確認して検証するプロセスです4。リスク ポリシー レビューは、リスク管理ポリシーのギャップや問題を特定して対処するのに役立ちますが、リスク対応の詳細とパフォーマンスは示されません。ビジネス影響分析 (BIA) は、リスク対応に関する具体的な情報を提供しないため、リスク対応がリスク アクション プランに従って実行されたことを示す最良の証拠にはなりません。BIA は、組織の重要な機能とプロセスに対する中断の潜在的な影響を特定して評価するプロセスです5。BIA はリスク イベントの影響を予測するのに役立ちますが、リスク対応のアクションと結果を示すものではありません。コントロール カタログは、リスク対応に関する具体的な情報を提供しないため、リスク対応がリスク アクション プランに従って実行されたことを示す最良の証拠にはなりません。コントロール カタログは、組織内のリスクを管理するために実装または計画されているコントロールをリストして説明するドキュメントです6。コントロール カタログは、コントロールを文書化して伝達するのに役立ちますが、リスク対応のステータスと結果を示すものではありません。参考文献
= 1: リスク レジスター: プロジェクト マネージャー向けガイド (例付き) [2023] * Asana2: リスク対応戦略​​と緊急時対応計画 - ProjectManagement.com3: リスク レジスター: 例、利点、ベスト プラクティス4: リスクとコントロールを評価するための簡単なガイド | ACCA Global5: ビジネス影響度分析を使用してリスクの優先順位付けと対応を通知する6: [コントロール カタログ - ISACA]

* An IT risk and control self-assessment (RCSA) is a process that helps organizations identify and evaluate operational risks and assess the effectiveness of their control measures12. It is a structured approach that involves identifying, assessing, mitigating, and monitoring risks across all levels of an organization12.
* A report to senior management is a document that summarizes and communicates the results and findings of the RCSA, and provides recommendations and action plans for improving the risk management and control processes34.
* The most important aspect of an IT risk and control self-assessment to include in a report to senior management is an increase in residual risk, which is the risk remaining after risk treatment, and represents the exposure or potential impact of the risk on the organization's objectives56.
* An increase in residual risk is the most important aspect because it indicates the level of risk that the organization is willing to accept or tolerate, and the gap between the current and desired risk profile56.
* 残留リスクの増加は、組織のリスク選好度、戦略、基準を定義し、残留リスクが許容範囲内であることを保証する責任を負う上級管理職の注意と決定を必要とするため、最も重要な側面でもあります56。
* その他のオプションは最も重要な側面ではなく、上級管理職へのレポートをサポートまたは補完する可能性のある IT リスクおよびコントロールの自己評価のコンポーネントまたは結果です。
例えば：
* 制御設計の変更は、リスク環境または組織の目標の変化に対応するために制御手段を変更または更新することを伴う、IT リスクおよび制御の自己評価の構成要素です56。ただし、制御設計の変更は、リスク処理の最終目標である残留リスクを測定または反映しないため、最も重要な側面ではありません56。
* 主要なコントロール数の減少は、IT リスクおよびコントロールの自己評価の結果であり、コントロール プロセスの改善または最適化、およびコントロール手段の複雑さまたは冗長性の削減を示しています56。ただし、主要なコントロール数の減少は、コントロールの有効性や効率性などの他の要因に依存する可能性のある残留リスクを示したり暗示したりするものではないため、最も重要な側面ではありません56。
* 統制の所有権の変更は、IT リスクおよび統制の自己評価の構成要素であり、統制プロセスの責任と説明責任を組織内の適切な個人またはグループに割り当てるか、再割り当てすることを含みます56。ただし、統制の所有権の変更は、統制の所有者とは無関係な残余リスクに影響を与えたり決定したりしないため、最も重要な側面ではありません56。参考文献
* 1: リスクとコントロールの自己評価 - KPMG Global1
* 2: 自己評価の管理 - PwC2
* 3: ハウツーガイド: リスク管理自己評価手順の実装4
* 4: リスク管理自己評価テンプレート - Smartsheet5
* 5: リスク IT フレームワーク、ISACA、2009
* 6: ITリスク管理フレームワーク、トロント大学、2017年

従業員の行動に関する行動規範を確立することは、組織内の倫理的行動と意思決定の基準と期待を定義し、従業員が責任を持って倫理的に行動するためのガイダンスと指示を提供するため、倫理的リスクを管理する上で最も重要な要素です。
倫理的リスクとは、誠実さ、誠実さ、公正さ、敬意など、個人や組織の行動や行為を規定する道徳的原則や価値観に違反するリスクです。行動規範とは、組織とその従業員が従わなければならない倫理的原則、価値観、規則、および不遵守の結果について概説した文書です。行動規範は、組織内で前向きで倫理的な文化を促進し、利益相反、詐欺、汚職、差別、その他の不正行為から生じる倫理的リスクを防止または軽減するのに役立ちます。倫理的紛争の解決に上級管理職を関与させること、報告された倫理違反の傾向を示す指標を開発すること、各利害関係者の倫理的懸念を特定することはすべて、倫理的リスクを管理する上で有用な要素ですが、従業員の倫理的行動や意思決定に直接対処するものではないため、最も重要な要素ではありません。参考文献 = リスクおよび情報システム管理学習マニュアル、第 2 章、セクション 2.5.1、67 ページ