* ベンダーリスク評価とは、クラウドサービスプロバイダーなどのサードパーティプロバイダーに IT サービスまたは機能をアウトソーシングすることに関連するリスクを評価および管理するプロセスです。
* ベンダーリスク評価中にクラウド サービス プロバイダーに要求する最も重要なドキュメントの 1 つは、独立した監査レポートです。これは、独立した監査人または ISACA、ISO、NIST などの認定機関によって確立された標準と基準に基づいて、クラウド サービス プロバイダーの運用、プロセス、および制御の品質、セキュリティ、パフォーマンスに関する客観的で信頼性の高い保証を提供するレポートです。
* 独立した監査レポートは、クラウド サービス プロバイダーのリスク管理プラクティスのコンプライアンスと有効性を検証し、サービスの提供やセキュリティに影響を及ぼす可能性のあるギャップや問題を特定し、改善や是正措置を推奨するのに役立ちます。
* その他のオプションは、ベンダー リスク評価中にクラウド サービス プロバイダーに要求する最も重要なドキュメントではありません。これらは、ベンダー リスク管理にとって二次的なものであるか、必須ではありません。
この回答の参考文献は次のとおりです。
* リスクITフレームワーク、22ページ
* 情報技術とセキュリティ、16ページ
* リスクシナリオスターターパック、14ページ

リスク シナリオを作成する際に利害関係者の懸念を組み込む最も効果的な方法は、リスクの影響を評価することです。リスクの影響とは、リスク イベントによって生じる可能性のある潜在的な結果または損失の範囲です。
リスクの影響を評価するには、利害関係者の懸念、期待、および視点を考慮する必要があります。利害関係者は、資産の価値、脅威の重大性、および結果の許容性について異なる見解を持っている可能性があるためです。リスクの影響を評価すると、リスク シナリオが利害関係者の関心と優先事項を反映し、リスク対応が利害関係者の目的と一致するようにすることができます。主要業績評価指標 (KPI) の設定、内部監査の実施、および四半期ごとのリスク レポートの作成は、リスクの影響を評価するほど効果的ではありません。これらは、リスク シナリオの開発に直接関係しておらず、利害関係者の懸念を適切に把握できない可能性があるためです。参考文献 = CRISC レビュー マニュアル、第 6 版、ISACA、2015 年、50 ページ。