Não é o proprietário quem faz isso...ele pode até descrever para a alta direção como o processo funciona, em minúcias de detalhe, se o mesmo já não estiver sido feito...entretanto, quem analisa e avalia os riscos é a direção, sendo assim, só ela pode saber qual o impacto global daquele processo de negócio na estrutura da empresa, e só ela tem o poder decisório para fazê-lo...imagina um vigilante tendo que classificar um risco de acesso físico a instituição? A não ser que os proprietários dos ativos da organização sejam escolhidos dentro daqueles que já fazem parte da política, e sendo assim já tenham recebido treinamento prévio...mas por outro lado, os critérios para determinar a classificação dos níveis de ativos de informação já não são previamente definidos?