説明/参照:
Explanation:
エクスプロイトは、ポジティブなプロジェクトリスクを処理する方法です。
誤った回答:
B、C、D: これらはすべて、ポジティブなリスクではなく、ネガティブなリスクに対して使用される応答です。

主要リスク指標（KRI）は、特定の業務リスクへのエクスポージャーのレベルに関する情報を提供する指標です。
リスク1。KRIには、許容できるリスクの上限と下限（警告しきい値）があり、
これらの閾値は、組織のリスク選好度またはリスク許容度に基づいており、これは
組織が目標達成のために受け入れるリスクの種類と程度3。したがって、
リスク選好や許容度はKRIの閾値の変更を促し、組織は調整する必要がある。
リスクの監視とそれに応じた対応。他の選択肢は、
KRI閾値の変更はリスク管理にいくらか影響を与える可能性があるが、
プロセス。参考資料 = リスクITフレームワーク、ITリスクリソース、ISACAリスクスターターキット、主要リスク
指標; 主要リスク指標：実践ガイド

内部告発プログラム:
* 内部告発プログラムは、従業員が非倫理的な行為、法律、規制、または会社のポリシー違反を報告するための機密かつ匿名のチャネルを提供します。
* 定期的な監視と管理では検出されない可能性のある倫理違反を発見するための積極的なアプローチです。
検出を有効にする:
* 従業員が報復を恐れることなく名乗り出ることを奨励します。
* 潜在的な倫理的問題の早期警告サインを経営陣に提供し、問題が拡大する前に対処できるようにします。
他の方法との比較:
* トランザクション ログの監視: 異常の検出には役立ちますが、倫理違反を具体的に特定できない場合があります。
* アクセス制御証明: ユーザーが適切なアクセス権を持っていることを保証しますが、倫理的な行動については直接対処しません。
* 定期的なジョブローテーション: 非倫理的な行為の機会を減らすことで不正行為の防止に役立ちますが、違反を積極的に検出できない場合があります。
参考文献:
* CRISC レビューマニュアルでは、倫理的リスクの管理と違反の検出における内部告発プログラムの役割について説明しています (CRISC レビューマニュアル、第 4 章「リスクの監視と報告」、セクション 4.4.4「報告メカニズム」)。

セクション: 巻A
説明/参照:
Explanation:
企業の戦略計画の見直しは、企業の長期計画に適合する効果的な IS 制御を設計するための第一歩です。
誤った回答:
A: IT 戦略計画は企業の戦略計画をサポートするために存在しますが、情報システム制御の設計時に単独で考慮されるものではありません。
B: 既存の IT 環境の見直しも有用かつ必要ですが、最初に実行する必要があるステップではありません。
D: 現在の IT 予算は戦略計画の構成要素の 1 つにすぎません。

* IT リスク シナリオとは、IT 関連の脅威または機会が組織の目標、パフォーマンス、または価値創造に及ぼす潜在的な影響を示す仮想的な状況または事象です12。
* ビジネス リスク シナリオとは、ビジネス関連の脅威または機会が組織の目標、パフォーマンス、または価値創造に及ぼす潜在的な影響を示す仮想的な状況または事象です34。
* IT 関連のリスク シナリオの所有権をなぜ自分に割り当てられたのかと疑問を抱く経営幹部の懸念にリスク担当者が対処する最善の方法は、IT リスク シナリオをビジネス リスクの観点から説明することです。これは、IT リスク シナリオをビジネス リスク シナリオの言語とコンテキストに翻訳して伝え、シナリオ間の関連性と依存関係を強調する手法です56。
* IT リスク シナリオをビジネス リスクの観点から説明するのが最善の方法です。これは、ビジネス エグゼクティブが IT リスク シナリオの関連性と重要性を理解し、それが組織の目標の達成と利害関係者への価値の提供にどのように影響するかを理解するのに役立つためです56。
* IT リスク シナリオをビジネス リスクの観点から説明することも最善の方法です。これは、ビジネス エグゼクティブが IT リスク シナリオの所有者としての役割と責任を受け入れて果たし、リスク管理プロセスで IT チームやその他の関係者と連携して調整するのに役立つためです56。
* その他の選択肢は最善の方法ではなく、ビジネスリスクの観点からITリスクシナリオの説明を裏付けたり、強化したりできる可能性のある代替手段または補足手段です。例えば、
* ITリスクを監視するための経営リスク委員会の設置を推奨することは、異なる事業部門や機能から上級リーダーを集めたグループを設立し、権限を与えてITリスク管理プロセスに戦略的な方向性、ガイダンス、監督を与えることを含む方法である78。しかし、この方法は、懸念事項に直接対処するものではないため、最善の方法ではない。
* なぜ自分にITリスクシナリオの所有権が割り当てられたのか疑問に思う経営幹部もおり、協議会メンバー間でITリスクシナリオについての明確かつ共通の理解がなければ、実現不可能または効果的ではない可能性があります78。
* ITリスクが顕在化した場合のITシステムのダウンタイムの見積りを提供することは、ITリスクシナリオが発生した場合に、組織の業務を支えるITシステムまたはサービスの潜在的な損失または中断を定量化し、伝達する方法です9 。しかし、この方法は、ITリスクシナリオが組織の目標、パフォーマンス、または価値創造に与える影響を十分に把握または伝えることができないため、最善の方法ではありません。また、ITシステムのダウンタイムに関連しない一部のITリスクシナリオには関連性がなく、意味がない可能性があります9 。
* 経営幹部にITリスクの概念を教育することは、ITリスク管理の原則、フレームワーク、手法、そしてITリスクオーナーとステークホルダーの役割と責任に関する知識とスキルを提供し、実践することを伴う方法です。しかし、この方法は、なぜITリスクシナリオのオーナーシップが自分に割り当てられたのか疑問に思う経営幹部の懸念に具体的に対処していないため、最善の方法ではありません。また、組織の状況と目標にITリスクの概念を実際的かつ文脈的に適用しなければ、十分または効果的ではない可能性があります。参考文献
* 1: エンタープライズリスクマネジメントにおけるITシナリオ分析 - ISACA2
* 2: ISACAの新しいツールキットとコースは、実務家がリスクシナリオを開発するのに役立ちます - ISACA1
* 3: ビジネスリスク - Investopedia3
* 4: ビジネスリスク：定義、種類、例、管理方法4
*5: リスク IT フレームワーク、ISACA、2009 年
* 6: ITリスク管理フレームワーク、トロント大学、2017年
* 7: エグゼクティブリスクカウンシル - ISACA5
* 8: エグゼクティブリスクカウンシル：成功へのガイド6
* 9: ITシステムのダウンタイム - ISACA7
* : ITシステムのダウンタイム：原因、コスト、そしてその防止方法8
* : ITリスク教育 - ISACA9
* : ITリスク教育：成功へのガイド