Essa da pra responder pela lógica.
Se o sistema é discricionário, então possui bem menos restrições do que um mandatório. Ou seja, em um o cara vai conseguir mexer como ele quiser, tornando cada sistema diferente. Já o mandátorio serão iguais, com as mesmas regras e os mesmos caminhos, então claro que será mais fácil auditar esse sistema, que você conheça préviamente.
Discricionário: livre de condições, de restrições; arbitrário, discricional, ilimitado.
Mandatório: Não opcional; que não se pode dispensar; que dever ser realizado, cumprido; obrigatório.
A) Do ponto de vista do usuário, um controle discricionário é, em geral, mais flexível que um mandatório.
B) Em geral, é mais difícil auditar sistemas que operam com controle de acesso discricionário do que sistemas com controle de acesso mandatório.
Certo, pois quem define o acesso é o proprietário do recurso, portanto vai variar sempre conforme o entendimento sobre a criticidade e valor do mesmo.
C) Como regra geral, no controle de acesso discricionário, os donos e usuários de recursos podem conceder acesso além dos limites declarados pela política da empresa.
Donos e usuários dos recursos só decidem sobre o acesso quando se trata de controle discricionário é não mandatário.
D) No controle discricionário, podem ser transferidos para terceiros os direitos de acesso, mas não a propriedade de um recurso.
Pode transferir tanto o direito de acesso quanto a propriedade.
E) Em um sistema mandatório, o acesso é concedido com base na avaliação das funções dos sujeitos em relação às reivindicações relacionadas ao seu papel no sistema de informação.
Essa modalidade de controle de acesso é denominada Controle de Acesso baseada em papéis (funções).