多国籍企業における企業全体の倫理的意思決定に関連するリスクを軽減するためのベストプラクティス
組織は、共通のリスク文化を支えるために継続的な意識啓発トレーニングを提供する必要がある。共通のリスク
文化とは、組織がどのように認識し、
リスクを分析し、対応し、監視します。継続的な意識啓発トレーニングは、共通のリスク認識を促進するのに役立ちます。
企業のリスク管理の目的、方針、手順、
職務に適用される役割と責任、倫理基準と期待事項を理解する。継続中
意識啓発トレーニングは、倫理的な意思決定の利点とその結果を強化するのにも役立ちます。
非倫理的な行為。地域の法律や規制、中央政府による指導を必要とする政策に関する地域ごとのカスタマイズされた研修
潜在的な手順の例外の報告、および中間レベルのリスクテイクに対するゼロトレランスポリシー
マネージャーも有効な手段ではあるが、継続的な意識向上トレーニングほど効果的ではない。
共通のリスク文化。参考文献：CRISCレビューマニュアル、第6版、ISACA、2015年、37ページ。

は誤りです。二次リスクとは、
リスク対応。しかし、このシナリオでは、リスクイベントはまだ発生していません。

情報セキュリティ管理の評価で効果のない管理が特定された場合、リスク管理担当者が最初に行うべき行動は、A. 影響がリスク許容度の範囲外であるかどうかを判断することです。1 CRISCレビューマニュアルによると、リスク許容度とは、組織がその目標達成のために受け入れるリスクの量と種類です。リスク許容度は、組織のリスク文化、戦略、価値観を反映しています。2 情報セキュリティ管理の評価で効果のない管理が特定された場合、それは、その管理が情報資産またはプロセスに対して期待されるレベルの保護または保証を提供していないことを意味します。
その結果、脅威にさらされる可能性や脅威に対する脆弱性が高まったり、目標を達成する能力が低下したりする可能性があります。
したがって、リスク管理担当者は、まず、効果のない管理の影響がリスク許容度の範囲外であるかどうかを判断する必要があります。これは、緊急の措置またはエスカレーションが必要であることを示しているためです。3 情報セキュリティ管理の評価によって効果のない管理が特定された場合、他のオプションは最初の行動方針ではありません。その理由は次のとおりです。
*B. 効果のない統制の影響がリスク許容度の範囲内にあり、組織がリスクを現状のまま受け入れる決定を下した場合、上級経営陣に正式なリスク受容を求めることは適切である可能性がある。しかし、これは効果のない統制の根本原因、あるいは潜在的な結果や改善の機会に対処できない可能性があるため、最初の行動方針としては適切ではない。4
*C. 次回の監査報告書に無効な統制を含めるよう報告することは、リスクコミュニケーションおよび報告プロセスの一部である可能性がありますが、問題の解決や緩和、あるいは是正措置の実施を遅らせる可能性があるため、最初の行動方針とすべきではありません。さらに、次回の監査報告書は、無効な統制について報告する必要がある意思決定者や利害関係者にとって、タイムリーで関連性のないものになる可能性があります。
*D. 特定された欠陥に対処するための代替コントロールの導入は、リスク対応策の一つとして考えられますが、更なる分析、評価、承認が必要となる可能性があるため、最初の対応策としては適切ではありません。また、代替コントロールの導入は、追加の複雑さ、コスト、またはリスクをもたらす可能性があるため、必ずしも最も効果的または効率的な解決策とは限りません。
1: CRISC レビューの質問、回答、解説データベース、質問 ID: 100003 2: CRISC レビューマニュアル、第 7 版、28 ページ 3: CRISC レビューマニュアル、第 7 版、223 ページ 4: CRISC レビューマニュアル、第 7 版、224 ページ 5: CRISC レビューマニュアル、第 7 版、225 ページ : CRISC レビューマニュアル、第 7 版、226 ページ