IT リスク プロファイルの変更を伝える際に含めるのに最も適しているのは、統制環境の現在の状態と望ましい状態とのギャップです。これにより、利害関係者は変更の範囲と影響、および変更に対処するために必要なアクションとリソースを把握できます。統制環境とは、IT リスクが効果的かつ効率的に特定、評価、処理されることを合理的に保証するポリシー、プロセス、およびシステムのセットです。統制環境の現在の状態は、統制の既存のレベルとパフォーマンス、および統制を適用した後に残る残留リスクを反映しています。統制環境の望ましい状態は、統制の目標レベルとパフォーマンス、および組織のリスク選好度と許容度を反映しています。統制環境の現在の状態と望ましい状態とのギャップは、IT リスク管理プロセスの改善または強化の領域、およびリスク対応の優先順位と戦略を示しています。その他のオプションは、役立つ情報や関連情報である場合もありますが、IT リスク プロファイルの変更を伝える際に含めるのに最も適したものではありません。同業他社に影響を及ぼした最近のインシデントのリストは、IT リスク プロファイルの背景や比較を提供することができますが、IT リスク レベルや制御環境の変化を測定または説明することはできません。外部攻撃の結果と関連する補償制御は、IT システムとネットワークのセキュリティと回復力を実証できますが、IT リスク プロファイルや制御環境の全範囲を網羅しているわけではありません。業界内の主要な IT リスク管理プラクティスのレビューは、IT リスク管理プロセスに関する洞察とベンチマークを提供できますが、組織や利害関係者の特定の状況やニーズを反映しているわけではありません。参考文献 = リスクおよび情報システム制御研究マニュアル、第 5 章: リスクと制御の監視と報告、181 ページ。

セクション: 巻 B
Explanation:
持続可能性は、制御が時間の経過とともに表現されたとおりに機能し続け、変化や新しい要素が環境に導入されたときに適応することを保証します。
誤った回答:
A: 制御の信頼性により、さまざまな状況下で目的が達成されることが保証されます。
C: 制御の一貫した特性は、制御を組織全体で同じ方法で適用できるかどうかを示します。
D: 他のコントロールまたは対策とパフォーマンスが重複しないコントロールまたは対策は、別個のものとしてみなされます。したがって、リスクの設計と実装の分離ではなく、実稼働環境におけるコントロールの分離が別個のものを指します。

リスク レジスターは、プロジェクトや組織に影響を及ぼす可能性のあるリスクを特定し、追跡するためのリスク管理ツールとして使用される文書です1。リスク レジスターは、リスクの現在の状態と変化、およびリスクを軽減または解決するために講じられた措置を反映するために、定期的に更新する必要があります2。リスク レジスターを更新するための最も包括的な情報は、最新のリスク評価の結果から得られます。リスク評価は、リスクとその潜在的な影響を特定、分析、評価するプロセスです3。リスク評価は、リスク、その発生源、原因、発生可能性、重大性、結果、および既存および計画中の管理と対応について、詳細かつ体系的な概要を提供します4。リスク評価は、リスクの露出レベルと緊急性に基づいてリスクに優先順位を付け、組織のリスク選好度と許容度に合わせるのにも役立ちます5。したがって、最新のリスク評価の結果は、リスク レジスターを更新し、それがプロジェクトまたは組織の現在のリスク プロファイルと状況を反映するようにするための最も関連性の高い完全な情報を提供します。リスク予測分析の結果は、リスクとその影響の全体像を提供しないため、リスク レジスターを更新するための最も包括的な情報ではありません。リスク予測分析は、履歴データ、傾向、シナリオを使用して、組織の目標とパフォーマンスに影響を与える可能性のある将来のイベントの潜在的な結果と影響を推定する手法です6。リスク予測分析は、リスクを予測して準備するのに役立ちますが、リスクの原因、原因、可能性、重大性、結果、および既存および計画されている管理と対応に関する具体的な情報は提供しません。コンプライアンス規制のレビューは、リスク管理のすべての側面と次元をカバーしていないため、リスク レジスターを更新するための最も包括的な情報ではありません。コンプライアンス規制のレビューは、組織の活動、プロセス、システムが適用可能な法律、規則、標準に準拠していることを確認および検証するプロセスです7。コンプライアンス規制のレビューは、法律違反や規制違反に関連するリスクを特定して軽減するのに役立ちますが、運用リスク、戦略リスク、財務リスク、評判リスクなどの他の種類やリスクの原因、または既存および計画中の管理と対応に関する具体的な情報は提供されません。
最新の監査の結果は、リスクとその影響の最新かつ全体的な見解を提供しないため、リスク レジスターを更新するための最も包括的な情報ではありません。監査とは、組織の活動、プロセス、およびシステムを独立して調査および評価し、それらの妥当性と有効性について保証とアドバイスを提供することです。監査は、組織のリスク管理における問題やギャップを特定して報告するのに役立ちますが、リスクの現在の状態や変化、既存および計画中の管理と対応に関する具体的な情報は提供しません。参考文献 = リスクおよび情報システム管理研究マニュアル、第 4 章: リスクおよび管理の監視と報告、セクション 4.2: リスク監視、189 ～ 191 ページ。

IT リスク所有者は、潜在的な主要リスク指標 (KRI) の完全なリストを確認し、実装する必要があるものを選択するのに最も適した人物です。IT リスク所有者は、責任範囲内で IT リスクを管理する権限と説明責任を持つ個人です。また、IT 運用のリスク選好度、許容度、しきい値を定義し、KRI がビジネス目標およびリスク管理戦略と整合していることを確認する責任もあります。IT セキュリティ マネージャー、IT コントロール所有者、および IT 監査人もリスク管理プロセスに関与しますが、IT リスク所有者と同じレベルの権限と説明責任はなく、KRI の選択に関する視点や優先順位が異なる場合があります。参考文献 = リスクおよび情報システム コントロール スタディ マニュアル、第 1 章、セクション 1.3.1、ページ 1-13。