主要なコントロールが設計上の期待を満たしていないと判断した後の次のステップは、リスク レジスターに発見事項を文書化することです。これは、特定されたリスクに関する情報 (説明、可能性、影響、対応、ステータスなど) を記録して追跡するのに役立ちます。主要なコントロールとは、重大なリスクに対処するコントロール、または重要なビジネス プロセスや目標をサポートするコントロールです。コントロール設計の期待事項とは、コントロールがその目的を達成するためにどのように機能または実行するかを定義する基準または要件です。主要なコントロールが設計上の期待事項を満たしていない場合、それはコントロールにギャップ、弱点、または欠陥があり、その有効性または効率が損なわれ、リスクの露出または影響が増大する可能性があることを意味します。リスク レジスターに発見事項を文書化することで、リスク担当者はリスク所有者、経営陣、監査人などの関連する利害関係者にリスクの問題を伝えて報告し、コントロールの設計の変更、補償コントロールの実装、リスクの受け入れなどの適切なリスク対応アクションを開始できます。その他のオプションは、主要なコントロールが設計上の期待事項を満たしていないと判断した後の次のステップとしては最適ではありません。インシデント対応計画の発動は、リスク イベントが発生したとき、または差し迫っているときにトリガーされる事後対応​​策であり、インシデントを封じ込め、軽減、または回復するために即時のアクションが必要です。
ただし、この場合、リスク イベントはまだ発生しておらず、コントロール設計を改善することでリスク イベントを防止または軽減する時間がある可能性があります。主要リスク指標の再評価は、リスクのレベルと影響を測定および評価し、何か問題が発生している可能性があるか、緊急の対応が必要であることをタイムリーに通知する監視アクティビティです。ただし、この場合、リスク担当者はリスクの問題をすでに特定しており、再評価するのではなく、文書化して対処する必要があります。コントロールの設計を変更することは、コントロールを改善してリスクを軽減するために実行できるリスク対応アクションの 1 つですが、主要コントロールが設計の期待を満たしていないと判断した後の次のステップではありません。次のステップは、リスク レジスターに調査結果を文書化し、コスト便益分析、リスク評価、およびリスク対応戦略​​に応じて、コントロールの設計を変更するかどうかにかかわらず、最適なリスク対応アクションを決定することです。参考文献 = Risk IT Framework、ISACA、2022、p. 13

セクション: ボリューム D

セクション: ボリューム D
Explanation:
プロジェクト開始文書 (PID) またはプロジェクト要求文書 (PRD) の承認は、プロジェクトを開始するための許可です。
誤った回答:
A: プロジェクトが承認された後にプロジェクト管理計画が作成されます。
B: リスク対応文書はリスク管理プロセスに含まれるため、プロジェクト開発プロセスの後半のフェーズになります。
C: リスク管理文書は、プロジェクト開始後、リスク管理計画中に作成されます。プロジェクト開始時には適用されません。

ビジネス リスクの軽減に重点を置いた IT 戦略を成功裏に開発するには、経営幹部からの意見を取り入れることが最善の方法です。IT の目標と活動をビジネスの目標と優先事項に合わせ、統合するのに役立つからです。IT 戦略とは、IT が組織のビジョン、ミッション、戦略をどのようにサポートし、実現するかを定義する計画です。ビジネス リスクの軽減とは、ビジネス目標や期待の達成に影響を与える可能性のあるリスクを軽減または排除することを目的としたプロセスです。
経営幹部から意見を得ることは、IT 戦略がビジネス ニーズや課題に適切かつ現実的で、対応力があること、また IT リスクがビジネスのリスク選好度と許容度に従って特定、評価、管理されていることを保証する最善の方法です。ビジネス ユニットにリスク認識トレーニングを提供したり、現在実施されているビジネス管理を理解したり、ビジネス影響分析 (BIA) を実施したりすることは、ビジネス リスクの軽減に重点を置いた IT 戦略の開発をサポートするのに有効な方法ですが、経営幹部から意見やフィードバックを直接得ることができないため、最善の方法ではありません。参考文献 = リスクおよび情報システム管理学習マニュアル、第 2 章、セクション 2.1.1、37 ページ

リスク評価中に既存のコントロールを評価する際に最も懸念される問題は、同じ脆弱性が繰り返し発生する評価が連続して存在することです。これは、特定されたリスクに対処するコントロールが効果的でないか不十分であり、リスク管理プロセスが適切に機能していないことを示しています。脆弱性が繰り返し発生すると、企業は潜在的な損失、違反、またはインシデントにさらされ、目標、評判、またはコンプライアンスに損害を与える可能性があります。したがって、繰り返し発生する脆弱性の根本原因を特定し、是正措置を実施し、コントロールの有効性を定期的に監視することが不可欠です。参考文献 = リスクおよび情報システム コントロール スタディ マニュアル、第 7 版、第 4 章、セクション 4.2.2、183 ページ。