Social engineering attacks are attempts to manipulate or deceive people into revealing confidential or personal information, such as passwords, account numbers, or security codes. Customer service representatives are often targeted by social engineering attacks, as they have access to sensitive customer data and may be pressured to provide quick and satisfactory service. Therefore, it is most important to include in a risk awareness training session for the customer service department how to identify and prevent social engineering attacks, such as phishing, vishing, baiting, or impersonation.
References
*The role of customer service in cybersecurity - Security Intelligence
*How to Improve Risk Awareness in the Workplace [+ Template] - AlertMedia
*Top 4 Risks For Customer Service Teams | Resolver

Risk management is the process of identifying, analyzing, evaluating, treating, monitoring, and communicating the risks that may affect the achievement of an organization's objectives. Risk management helps to optimize the risk exposure and performance of the organization, and support the business objectives and strategies. The primary reason to engage business unit managers in risk management processes is to enable better-informed business decisions, which are the decisions that incorporate the risk information and analysis into the strategic and operational choices of the organization. By engaging business unit managers in risk management processes, the organization can ensure that the business unit managers have the insight and understanding of the current and potential risks, their likelihood and impact, their interrelationships and dependencies, and their alignment with the risk appetite and tolerance. This can help the business unit managers to prioritize the risks, allocate the resources, select the risk responses, monitor the risk performance, and evaluate the risk outcomes. References = 5

Preparing a risk response that is aligned to the organization's risk tolerance is the next step after completing a risk assessment and reporting the validated vulnerability findings that require mitigation to the application owner, because it helps to define and implement the appropriate actions to reduce or eliminate the risk, or to prepare for and recover from the potential consequences. A risk response is a strategy or tactic for managing the identified risks, such as avoiding, transferring, mitigating, or accepting the risk. A risk response should be aligned to the organization's risk tolerance, which is the acceptable level of variation from the organization's objectives or expectations. A vulnerability is a weakness or flaw in an IT system or application that can be exploited by a threat or attack to cause harm or damage. A vulnerability finding is a result of a vulnerability assessment, which is a process of identifying and evaluating the vulnerabilities in an IT system or application.
A vulnerability finding requires mitigation, which is a type of risk response that involves applying controls or countermeasures to reduce the likelihood or impact of the risk. Therefore, preparing a risk response that is aligned to the organization's risk tolerance is the next step, as it helps to address the vulnerability findings and to achieve the desired level of risk. Reporting the findings to executive management, reassessing each vulnerability, and conducting a penetration test are all possible steps to perform after preparing a risk response, but they are not the next step, as they depend on the results and approval of the risk response. References = Risk and Information Systems Control Study Manual, Chapter 3, Section 3.4.2, page 103

予測残留リスクを示すことは、既存のリスク対応計画が年末のリスク状況にどのような影響を与えるかを説明する要求に応える最も有効な方法です。残留リスクとは、リスク対応を実施した後に残るリスクのレベルです1。予測残留リスクとは、リスク対応の想定と期待に基づいて、将来の時点で残ると推定されるリスクのレベルです2。予測残留リスクを示すことで、リスク担当者は次のことが可能になります。
* リスク対応計画の有効性と効率性を示し、リスクレベルを固有リスク（リスク対応前のリスク）から残留リスク3 までどのように低減するかを示します。
* 予測される残留リスクを、組織が目標を達成するために受け入れる、または追求する意思のあるリスクの量と種類であるリスク選好度およびリスク許容度と比較します4。これにより、予測される残留リスクが許容可能かどうか、およびリスク対応計画がリスクレベルに一致し、比例しているかどうかを判断するのに役立ちます5。
* 予測された残留リスクの達成に影響を与える可能性のあるギャップ、問題、課題を特定して対処し、適切な改善措置または緊急時対応計画を推奨して実施します6。
その他のオプションは、次の理由により、リクエストに応答するための最も役立つ方法ではありません。
* 管理策を講じずにリスクを評価することは、組織の現在または将来のリスク状況を反映しないため、あまり役立つ方法ではありません。管理策とは、リスクの防止、検出、修正、緩和など、リスクを修正するために実施される対策またはアクションです7。管理策を講じずにリスクを評価すると、固有のリスクを測定するのに役立ちますが、リスク処理計画の影響や結果は示されません。
* ピア ベンチマークの結果を提供することは、組織の特定のまたは独自のリスク プロファイルを反映していないため、最も役立つ方法ではありません。ピア ベンチマークとは、共通の基準または指標に基づいて、組織のリスク レベルとパフォーマンスを同業他社または競合他社と比較するプロセスです。ピア ベンチマークの結果を提供することは、リスク姿勢の参照または基準を提供するのに役立ちますが、リスク対応計画の効果や結果を示すものではありません。
* 現在の管理策でリスクを評価することは、組織の将来または予測されるリスク状況を反映していないため、あまり役立つ方法ではありません。現在の管理策でリスクを評価すると、現在の残留リスクを測定するのに役立ちますが、年末の予想または推定残留リスクは示されません。
参考文献
* 残留リスク - CIO Wiki
* 予測残存リスク - CIO Wiki
* リスク対応計画 - CIO Wiki
* リスク選好と許容度 - CIO Wiki
* リスク選好度: リスク選好度とは何か、なぜそれが重要なのか - Gartner
* リスク監視とレビュー - 全米アカデミーズプレス
* コントロール - CIO Wiki
* ベンチマーク - CIO Wiki
* [リスク処理 - CIO Wiki]