Section: Volume D

A common risk taxonomy is a framework that defines and categorizes the sources, types, and impacts of risks within an organization1. It helps to establish a consistent and shared understanding of risk across the organization, and to facilitate effective risk identification, assessment, reporting, and communication2. A common risk taxonomy also enables comparison and aggregation of risks at different levels and domains, and supports alignment of risk management with business objectives and strategies3. Using key performance indicators (KPIs) and key risk indicators (KRIs) are important for measuring and monitoring risk and performance, but they are not the most important factor when discussing risk within an organization. KPIs and KRIs should be derived from the common risk taxonomy and aligned with the organization's risk appetite and tolerance4. Creating a risk communication policy is also important for ensuring that risk information is communicated to the right stakeholders at the right time and in the right format, but it is not the most important factor either. A risk communication policy should be based on the common risk taxonomy and the risk roles and responsibilities within the organization5. References = Risk and Information Systems Control Study Manual, Chapter 1: IT Risk Identification, Section 1.2: Risk Taxonomy, pp. 25-29.

説明/参照:
Explanation:
サーベンス・オクスリー法第 302 条は、企業が採用するリスク管理ソリューションに多大な影響を及ぼします。この条項では、レポートは CEO、CFO、または同様の機能を実行するその他の上級役員によって認証される必要があると規定されています。
レポートの認証により、次のことが証明されます。
署名担当者は報告書を確認しました。

財務諸表には、署名担当者の知る限り、重大な虚偽または

誤解を招くような情報を排除し、企業のすべての財務状況と事業結果を公正に表現します。
署名役員:

- 内部統制の確立と維持に責任を持つ
- 発行体とその連結子会社に関する重要な情報が、特に定期報告書の作成期間中に、当該企業内の他の者から当該役員に確実に知らされるよう、内部統制を設計している。
- 報告書の90日前までの時点で発行者の内部統制の有効性を評価していること
- その日時点の評価に基づいて、内部統制の有効性に関する結論を報告書に提示している。署名役員は、外部監査人、監査委員会、およびその他の取締役に以下の事項を開示している。

- 報告された財務データの信頼性に悪影響を及ぼす可能性のある、内部統制の設計または運用におけるすべての重大な欠陥
- 企業の内部統制に重要な役割を担う経営陣または他の従業員が関与する、重大であるか否かに関わらず、あらゆる不正行為。署名担当者は、報告書に内部統制または内部統制の変更を記載している。

評価されてから実装された制御。
誤った回答:
A: 署名担当者は、報告書の時点ではなく、報告書の 90 日前までの時点で発行者の内部統制の有効性を評価しました。