特定されたリスクシナリオのステータス。これは、IT リスクの現在のレベルと方向を監視および追跡し、リスクへの対応と制御が適切かつ効果的かどうかを判断するのに役立ちます。IT リスクレジスターは、組織が直面する主要な IT リスクを、その発生可能性、影響、および対応戦略とともに記録および追跡するドキュメントです。IT リスクシナリオは、IT リスクの発生源、原因、結果、および影響を説明する仮想的な状況またはイベントです。特定されたリスクシナリオのステータスは、IT リスクの実際および潜在的な結果、およびリスク管理プロセスのパフォーマンスと進捗を反映するため、最も重要な要素です。リスク軽減オプションに関連するコスト、各リスク対応の費用便益分析、およびリスク対応アクションのタイムフレームはすべて、IT リスクレジスターの継続的な有効性を評価する際に検討できる要素ですが、IT リスクシナリオのステータスを直接測定および報告するものではないため、最も重要な要素ではありません。

リスク評価によってITリスクシナリオに関連する損失の増加が特定された場合、リスク担当者が行う最も重要なアクションは、リスク評価を更新することです。リスク評価とは、リスクシナリオの確率と影響度の組み合わせに基づいて、全体的なリスクレベルを測る尺度です。リスク評価は、リスクの優先順位付け、リスクへのエクスポージャーの伝達、リスク対応の監視に役立ちます。リスク評価の更新は、リスクの現状と規模を反映し、必要に応じてリスク対応計画の見直しと改訂を促すため、最も重要なアクションです。また、リスク評価を更新することで、リスク登録簿とリスクプロファイルが正確かつ完全であり、リスク管理プロセスが一貫性と有効性を備えていることが保証されます。その他の選択肢は、リスク管理プロセスに関連する、または後続のステップとなる場合もありますが、最も重要なアクションではありません。固有リスクの再評価は、既存のコントロールを検討する前にリスクシナリオの確率と影響度を推定するリスク分析プロセスの一部です。
固有リスクの再評価は、リスクの根本原因と要因を特定し、統制の有効性と効率性を評価するのに役立ちますが、リスクの全体的なレベルやリスク対応計画を変更するものではありません。新たなリスクシナリオの作成は、目標達成に影響を与える可能性のある潜在的な事象や状況を特定し、記述するリスク特定プロセスの一部です。新たなリスクシナリオの作成は、リスク管理プロセスの範囲と対象範囲を拡大し、新たなリスクや変化するリスクに対処するのに役立ちますが、既存のリスクシナリオやリスク対応計画を更新するものではありません。
追加のコントロールの導入は、リスク対応プロセスの一部であり、リスクを軽減、回避、共有、または活用するための適切な措置を選択し、実行します。追加のコントロールの導入は、リスクを軽減し、望ましいリスクレベルを達成するのに役立ちますが、組織のリスク選好度、リスク許容度、およびリスク管理能力、そしてコントロールの費用対効果分析に依存するため、最初の選択肢または唯一の選択肢ではありません。
参考資料 = リスク登録テンプレートと例 | リスクの優先順位付けと管理、強力なリスクシナリオとステートメントの書き方 - ISACA、ITリスクリソース | ISACA

費用便益分析は、ビジネスケースにおけるリスク対応策の選択肢を策定する際に、リスク削減効果を示す最も有用なツールです。これは、各選択肢の予想費用と便益を比較し、最も最適かつ実現可能な選択肢を選択するのに役立つためです。費用便益分析は、リスク対応計画に必要な投資とリソースの正当性を示し、リスク削減による価値とリターンを実証するのにも役立ちます。その他の選択肢は、リスク対応策の策定において検討される場合もありますが、最も有用なツールとは言えません。リスク選好度、規制ガイドライン、統制効率などは、リスク対応策の選択に影響を与える要因や基準の例ですが、これらの指標は、選択肢に基づくリスク削減効果を示すものではありません。参考資料 = CRISC: Certified in Risk & Information Systems Control サンプル問題