統制の有効性は、統制テストを通じて最も効果的に判断されます。統制テストでは、統制が長期にわたって意図通りに機能するかどうかを評価します。意図のみを示す文書や設計とは異なり、統制テストには、実際の状況下での機能検証と運用検証が含まれます。
参考文献:CRISCマニュアル - ドメイン4、スライド388-390

セクション: 巻D

リスク登録簿は、特定されたリスク、その原因、影響、発生可能性、対応、および所有者を記録し、追跡するツールです。各リスクシナリオの所有者は、リスクとその対応を管理する権限と説明責任を持つ個人またはグループです。リスク登録簿内の各リスクシナリオの所有者を特定する最良の方法は、特定されたリスク要因を特定のビジネスプロセスにマッピングすることです。リスク要因とは、リスクの発生と影響に影響を与える内部および外部の変数です。ビジネスプロセスとは、販売、マーケティング、生産、配送など、企業に価値を生み出す活動です。リスク要因をビジネスプロセスにマッピングすることで、リスク担当者は、どのビジネスプロセスがリスクの影響を受けるか、またはリスクの一因となるか、そして誰がビジネスプロセスの責任者であるかを判断できます。各リスクシナリオの所有者は、リスクに関連するビジネスプロセスの責任者である個人またはグループである必要があります。その他の方法は、異なる基準や方法を伴うため、各リスクシナリオの所有者を特定する最良の方法ではありません。
* どの部門がリスクに最も寄与しているかを特定するには、リスク管理担当者が各部門のリスクへの関与度またはリスクへの露出度を評価する必要があります。リスクが複数の部門にまたがっている場合や、部門がリスクを管理する権限や責任を負っていない場合など、この方法は各リスクシナリオの責任者を特定するための信頼性が高く一貫性のある方法ではない可能性があります。
* リスク要因の責任を資産所有者に平等に割り当てるということは、リスク管理担当者が
* リスクの影響を受ける、またはリスクの一因となる資産を所有する各個人またはグループに、同じレベルの責任を課す。資産とは、ハードウェア、ソフトウェア、データ、人材など、企業にとって価値のあるリソースです。資産所有者は、リスクへの関与度やリスクへの露出度が異なる場合があり、リスクを管理する権限や責任を負っていない場合もあるため、これは各リスクシナリオにおける所有者を特定する公平かつ効果的な方法ではない可能性があります。
* 資産の資源依存度を特定するということは、リスク専門家がリスクの影響を受ける、またはリスクに寄与する資産の関係性と相互依存性を分析することを意味します。これは、リスクの潜在的な影響や発生確率を特定するのに役立つ可能性がありますが、資源依存度がリスク管理の権限や説明責任を反映していない可能性があるため、各リスクシナリオにおける所有者の特定に直接役立つわけではありません。
参考文献 = リスクと情報システム管理研究マニュアル、第7版、第3章、セクション
3.1.1.1、95-96ページ。

詳細説明：費用便益分析は、サイバー保険加入による経済的影響と潜在的な損失リスクを比較評価します。このアプローチにより、保険費用と補償対象リスクによる潜在的な節約額を比較することで、情報に基づいた意思決定が可能になります。

C および D は誤りです。
これらはすべて、リスク管理能力成熟モデルのより高次のレベルであり、これらすべてにおいて
企業はリスク資格情報を考慮して意思決定を行う。さらに、これらのレベルでは
企業はリスク管理に関する外部要件を認識し、ERM と統合します。