GRC atualizações de nomenclatura de aplicações e terminologia do setor
Os termos a seguir são usados em GRC aplicações e/ou no setor GRC.
GRC atualizações de nomenclatura
A partir da versão anterior, muitos termos em todas as aplicações principais GRC foram atualizados.
Nota:
Essas atualizações de termos se aplicam a todos os rótulos de navegação, botões, mensagens informativas, títulos de relatório, links relacionados, guias e outros elementos de IU.
| Módulo GRC | Anterior | Corrente |
|---|---|---|
| Escopo | Perfil | Entidade |
| Tipos de Perfil | Tipos de entidade | |
| Classes de Perfil | Classes de Entidades | |
| Meus perfis | Minhas Entidades | |
| Todos os perfis | Todas as entidades | |
| Administração | Camadas de Perfil | Camadas de Entidade |
| Regras de classe de perfil | Regras de Classe da Entidade | |
| Indicadores | Assunto: | Campode controle/risco |
| O campoCategoria indica se é um indicador de conformidade ou de risco | ||
| Assunto: | Objetivo de controle/Declaração de risco | |
| Problemas | Assunto: | Objetivo de controle/Declaração de risco |
| Assunto: | Controle/risco | |
| Política e conformidade | Declaração de Política | Objetivo de controle |
| Risco | Assunto: | |
| Assunto: | Assunto: |
Referências do setor
| Termo | Definição |
|---|---|
| Basel III | Um padrão internacional para serviços bancários que os reguladores podem usar ao criar regulamentações sobre a quantidade de capital que os bancos devem ter para compensar possíveis riscos. Quanto mais risco um banco tiver, mais capital ele deverá ter para garantir sua solvência. O regulamento foi o terceiro padrão emitido pelo Comitê de Basel de Supervisão Bancária e, portanto, o nome Basel III. |
| CISA | Lei de compartilhamento de informações de segurança cibernética |
| CISM | Gerente certificado de segurança da informação |
| COBIT | Os Objetivos de controle para tecnologias da informação e relacionadas (COBIT) fornecem uma estrutura de governança de TI para gerenciar problemas de risco e conformidade com base nas práticas recomendadas. Publicado pelo IT Governance Institute e pela Information Systems Audit and Control Association (ISACA). |
| COSO | O Comitê de Organizações Patrocinadoras (CoSO) foi formado em 1985 para patrocinador da Comissão Nacional de Emissão de relatórios financeiros fraudulentos. O COSO é uma iniciativa independente do setor privado que estudou os fatores causais que podem levar a relatórios financeiros fraudulentos e desenvolveu recomendações para empresas públicas, a SEC e outros reguladores e instituições educacionais. |
| EDPA | Lei Europeia de Privacidade de Dados |
| ENISA | Agência Europeia de Segurança de Redes e Informações |
| EUP | O uso de energia em produtos (EUP) é uma diretiva da UE que exige que as empresas projetem produtos para usar menos energia. |
| Diretiva Europeia sobre Proteção de Dados | Uma das primeiras e mais importantes peças da legislação de privacidade de dados que aborda especificamente a privacidade na Internet. |
| FCA | Autoridade de Conduta Financeira |
| GDPR | O Regulamento Geral de Proteção de Dados (GDPR) é um regulamento, em vigor a partir de 25 de maio de 2018, que substitui a Diretiva de Proteção de Dados 95/46/ec para fortalecer e harmonizar os direitos de proteção de dados dos cidadãos da União Europeia. |
| GRI | A Global Reporting Iniciative (GRI) é um grupo internacional que criou a estrutura G3 para relatórios de sustentabilidade. |
| ITGI | IT Governance Institute |
| PII | Informações de identificação pessoal/Informações de identificação pessoal (PII) são as informações que permitem que a identidade de um indivíduo seja inferida direta ou indiretamente. |
| PCI DSS | O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um conjunto de padrões de segurança projetado para garantir que todas as empresas que aceitam, processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente seguro. |
| SOLVÊNCIA II | SOLVÊNCIA II |
| SOX | A Lei Sarbanes-Oxley (SOX) estabeleceu o Conselho de Supervisão de Contabilidade de Empresas Públicas e adicionou requisitos para empresas de capital aberto, seus diretores, conselhos e auditores. Aumentou as penalidades por fraude financeira corporativa. Esta legislação dos EUA foi aprovada em resposta aos escandalos financeiros de alto perfil da Enron e da WorldCom. Seu objetivo é proteger os accionistas e o público em geral contra erros contabilísticos e práticas fraudulentas na empresa. SOX se aplica a empresas que negociam publicamente nos EUA |
| Termo | Definição |
|---|---|
| ALE | Expectativa de perda anualizada (ALE) = Expectativa de perda única (SLE) x Taxa de ocorrência anualizada (ARO). Usado na pontuação de risco quantitativo. |
| ARO | Taxa anualizada de ocorrência. |
| Aceitação | Um risco específico pode ser aceito pela gestão, interrompendo novos investimentos em controles mais profundos ou níveis mais altos de mitigação, se estiver dentro do nível de tolerância ou se a mitigação e o controle adicionais realmente custarem muito mais do que o impacto estimado (ou significância) de o risco. |
| Estipulação | Qualquer declaração formal ou conjunto de declarações sobre o assunto feita pela gestão. |
| Avaliação | Uma ampla revisão dos diferentes aspectos de uma empresa ou função que inclui elementos não cobertos por uma iniciativa de garantia estruturada. |
| Certificação | Processo de validação de que algo é verdadeiro. Por exemplo, uma eficácia ou conformidade de controle pode ser certificada por meio de um questionário, assinado eletronicamente por seu executante. |
| Auditoria | Inspeção e verificação formais para verificar se um padrão ou conjunto de diretrizes está sendo seguido, se os registros são precisos ou se as metas de eficiência e eficácia estão sendo atendidas. Em ServiceNow®, uma organização identifica todos os controles que deseja testar de uma vez e atribui a responsabilidade da auditoria geral a uma única pessoa. Uma única tarefa gerencia o teste de todos os controles. |
| Atividades de auditoria | Uma das tarefas em uma auditoria atribuída a um indivíduo para execução da auditoria. |
| Comitê de auditoria | Um comitê, geralmente incluindo membros do conselho diretor, responsável por supervisionar a emissão de relatórios financeiros e os controles internos. |
| Documentação de auditoria (papéis de trabalho) | Registros mantidos pelo auditor de procedimentos aplicados, testes realizados, informações obtidas e conclusões pertinentes alcançadas no compromisso. A documentação fornece o suporte principal para o relatório do auditor. |
| Evidência de auditoria | Fatos coletados durante os procedimentos de auditoria que fornecem uma base razoável para a formação de uma opinião sobre as declarações financeiras sob auditoria. |
| Objetivo de auditoria | Ao obter evidências em apoio às asserções de demonstração financeira, o auditor desenvolve objetivos de auditoria específicos à luz dessas asserções. Por exemplo, um objetivo relacionado à asserção de completude para saldos de inventário é que as quantidades de inventário incluam todos os produtos, materiais e suprimentos disponíveis. |
| Observações de auditoria | Usado por auditores internos para identificar lacunas de controle ou identificar novos riscos. |
| Controles automatizados | Controles internos executados automaticamente por sistemas de computador. Os controles manuais são executados por uma pessoa encarregada dessa tarefa e normalmente são executados em um subconjunto de transações e dados. Controles automatizados podem ser executados em todas as transações ou elementos de dados relevantes, garantindo maior precisão com menos esforço. |
| Documentos de autoridade | As regulamentações, certificações, estruturas, padrões e práticas recomendadas que uma organização escolhe ou são necessárias para a conformidade com as regulamentações. Os Documentos de autoridade estão relacionados a controles, riscos e políticas. |
| Risco de negócio | Riscos que podem afetar negativamente a capacidade de uma entidade de atingir seus objetivos e executar suas estratégias. |
| Pontuação calculada | A pontuação calculada é derivada da pontuação inerente e da pontuação residual como um resultado geral. Refere-se à exposição real de risco com base na qualidade do sistema de controle implementado. |
| Cadeia de custódia | Um princípio jurídico sobre a validade e a integridade das evidências. Isso requer responsabilidade por qualquer coisa usada como evidência em um processo jurídico. Isso garante que ele possa ser contabilizado desde o momento em que foi coletado até o momento em que é apresentado em um tribunal. |
| Diretor de conformidade (CCO) | Um funcionário corporativo encarregado de supervisionar e gerenciar problemas de conformidade em uma organização. Essa pessoa garante que uma empresa esteja em conformidade com os requisitos regulatórios e que esteja em conformidade com as políticas e procedimentos internos. |
| Diretor de operações (COO) | Também chamado de diretor de operações, um executivo encarregado das operações diárias da empresa. |
| Diretor de riscos (CRO) | Também chamado de diretor de gestão de riscos, um executivo encarregado da gestão de riscos empresariais e dos esforços de conformidade de uma empresa. |
| Citações | Registros com os requisitos específicos citados por um documento de autoridade. O registro de citação relaciona documentos de autoridade ao controle aplicável. |
| Conformidade | O ato de aderir e demonstrar adesão a leis, regulamentos ou políticas. A conformidade está relacionada a regulamentações em muitas áreas, incluindo finanças, meio ambiente, comércio global, segurança do trabalhador e privacidade. |
| Confidencialidade | Preservar restrições autorizadas de acesso e divulgação, incluindo meios para proteger a privacidade e informações proprietárias. |
| Controle de contenção | Controle projetado para limitar o impacto (ou a significância) de um risco, caso ele ocorra. |
| Controle | As atividades de controle reais que são realizadas por uma organização. Os registros de controle incluem informações básicas necessárias sobre o controle (proprietário, atividade, frequência e assim por diante). Os controles podem estar relacionados a conteúdos, políticas e riscos de origem autorizada. Qualquer ação realizada pela gestão, conselho e outras partes para gerenciar riscos. A gestão planeja, organiza e direciona o desempenho de ações suficientes para fornecer garantia razoável de que os objetivos e metas são alcançados. Os registros de controle incluem informações básicas necessárias sobre o controle (proprietário, atividade, frequência e assim por diante). Os controles podem estar relacionados a conteúdos, políticas e riscos de origem autorizada. |
| Estrutura de controle | Um conjunto de controles fundamentais que executa e preserva o mapeamento cruzado de controles para evitar perdas financeiras, perdas de informações ou, de forma mais geral, para evitar riscos em uma empresa. |
| Instância de controle | A execução real de uma definição de teste de controle, periodicamente ou sob demanda, mostrando a amostra de dados do resultado, a certificação ou o resultado manual das atividades de teste. |
| Definições de testes de controle | As definições de teste de controle especificam como e quando os controles são testados, incluindo etapas de teste, resultados esperados, o grupo ou indivíduo responsável pelo teste e a programação de teste. As instâncias de teste de controle são geradas automaticamente a partir da programação de testes. As correções são criadas automaticamente quando os testes de controle falham ou quando as observações de auditoria são anotadas. |
| Controles corretivos | Controles internos que entram em ação quando um problema é descoberto. Um exemplo seria remover o acesso de usuários com privilégios excessivos ou executar um plano de backup e recuperação após a ocorrência de um desastre físico. |
| Gestão de desempenho corporativo | A Gestão de desempenho corporativo (CPM) é uma combinação de gestão de estratégia, planejamento, emissão de relatórios e consolidação e modelagem de receita, custo e lucratividade que permite que as empresas meçam seu desempenho e o melhorem. |
| Detectar | Progresso contínuo em direção aos objetivos, bem como condições e eventos indesejáveis reais e potenciais, usando ações e controles de gestão. |
| Controle de detecção | Um controle projetado para descobrir um evento ou resultado não intencional. Ele também pode detectar se e quando um risco específico ocorre. |
| Efeito | Uma medida da probabilidade, tempo e impacto de um evento em algo. |
| Controle interno eficaz | Garantia razoável de que os objetivos operacionais são atingidos, que os demonstrativos financeiros publicados são preparados de forma confiável e que a entidade cumpre as leis e regulamentações aplicáveis. |
| Acordo | Um projeto de auditoria que pode incluir tarefas de auditoria que atingem um conjunto de objetivos ou metas. |
| Evento | Uma ação observável, ocorrência ou uma mudança na condição. Um evento inclui mudança no conhecimento sobre uma condição, mesmo que a condição não tenha mudado. |
| Entidade | Conceito fundamental de GRC, entidades são usadas para modelar qualquer elemento empresarial para o qual controles e riscos podem ser associados. Por exemplo: unidades de negócios, servidores, laptops. |
| Tipo de entidade | Usado para se referir a várias entidades semelhantes. Por exemplo: unidade de negócios Ásia-Pacífico, servidores Linux, MacBook Pro. |
| Avaliar | Para medir algo em relação aos critérios. |
| Evidência (assunto probatório) | Inclui informações escritas e eletrônicas (como cheques, registros de transferências eletrônicas de fundos, faturas, contratos e outras informações) que permitem ao auditor chegar a conclusões por meio de raciocínio. |
| Fraude | Qualquer ato ilegal que se caracterize por fraude, ocultação ou violação de confiança. Esses atos não dependem da ameaça de violência ou força física. As fraudes são perpetradas por partes e organizações para obter dinheiro, propriedade ou serviços e para evitar o pagamento ou a perda de serviços ou para garantir vantagens pessoais ou comerciais. |
| Controles gerais | Políticas e procedimentos para garantir a operação apropriada dos sistemas de computador, incluindo controles sobre operações de rede, aquisição e manutenção de software e segurança de acesso. |
| Governança, risco e conformidade (GRC) | Governança, gestão de riscos e conformidade com regulamentações têm sido funções corporativas separadas. GRC é a coleção integrada de capacidades que permite que uma organização atinja objetivos de forma confiável, lidando com a incerteza e agindo com integridade. Ela engloba governança, garantia e desempenho de gestão, risco e conformidade. GRC é o negócio de como uma organização opera por meio da gestão de riscos enquanto permanece em conformidade com padrões externos e internos para otimizar o desempenho. GRC abrange como processos, controles, segurança e cultura se integram para garantir que a organização tenha integridade. |
| Impacto em | Usado para avaliar a gravidade de um risco, junto com a probabilidade. Avalia o nível de consequência que um risco específico teria sobre uma organização se/quando ocorresse. |
| Indicador | Uma métrica usada para coletar dados para monitorar controles e riscos e coletar evidências de auditoria. |
| Probabilidade inerente | A probabilidade de o risco identificado ocorrer antes que qualquer estratégia de resposta seja implementada. |
| Risco inerente | O nível de exposição ao risco, em termos de probabilidade e impacto (ou significância), supondo que nenhum controle interno relacionado e nenhuma ação de mitigação estejam em vigor. |
| Pontuação inerente | A pontuação do risco antes que qualquer estratégia de resposta seja implementada. |
| Significância inerente | O quão significativo é o risco antes que qualquer estratégia de resposta seja implementada. |
| Integridade | A propriedade pela qual as informações, um sistema da informação ou um componente de um sistema não foi modificado ou destruído de maneira não autorizada. Um estado no qual as informações permaneceram inalteradas desde o ponto em que foram produzidas por uma origem, durante a transmissão, o armazenamento e o eventual recebimento pelo destino. |
| Auditoria interna | Um departamento, divisão, equipe de consultores ou outros profissionais que fornecem serviços de consultoria e avaliação independentes e objetivos, projetados para agregar valor e melhorar as operações de uma organização. A atividade de auditoria interna ajuda uma organização a atingir seus objetivos, fornecendo uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia da governança, gestão de riscos e processos de controle. |
| Auditores internos | Funcionários do cliente responsáveis por fornecer análises, avaliações, garantias, recomendações e outras informações à gestão e ao conselho da entidade. Uma responsabilidade importante dos auditores internos é monitorar o desempenho dos controles. |
| Controles internos | As políticas, procedimentos, práticas e estruturas organizacionais projetadas para fornecer garantia razoável de que os objetivos de negócio sejam atingidos e que eventos indesejados sejam evitados ou detectados e corrigidos. |
| Problema | Uma tarefa GRC que permite que os usuários finais documentem problemas de controle e risco e rastreiem a resposta para corrigir ou aceitar o problema. |
| Governança de TI | A liderança, as estruturas organizacionais e os processos que garantem que a TI da empresa sustente e estenda as estratégias e objetivos da empresa. É responsabilidade dos executivos e do conselho diretor. |
| TI GRC | Abrange o software e o hardware e as políticas e procedimentos relacionados usados para oferecer suporte aos esforços de conformidade e gestão de riscos de uma perspectiva de TI com base nas práticas recomendadas estabelecidas. |
| Probabilidade | A probabilidade de que algo aconteceu. |
| Gestão | O ato de direcionar, controlar e avaliar internamente uma entidade, processo ou recurso. |
| Controles manuais | Controles realizados manualmente, não por computador. |
| Material (materialidade) | Um risco é material quando é possível calcular seu impacto financeiro. |
| Mitigação | Reduzindo o risco associado a uma violação específica de uma regra. Antes que um risco ocorra, as ações de mitigação apropriadas são implementadas para resolver possíveis falhas de controle relacionadas e/ou para reduzir a exposição ao risco. |
| Objetivo | Algo que uma entidade pretende atingir ou realizar. |
| Auditoria operacional | Uma auditoria projetada para avaliar os vários controles internos, economia e eficiência de uma função ou departamento. |
| Controles operacionais | Controles relacionados à operação diária de uma empresa ou empreendimento para garantir que todos os objetivos sejam alcançados. |
| Riscos operacionais | Riscos relacionados a pessoas, processos e sistemas necessários para alcançar a missão e os objetivos de uma organização. |
| Objetividade | A capacidade de avaliar os registros do cliente sem noções preconcebidas ou prejuízos. |
| Obrigações | Asserções sobre obrigações tratam se os passivos são obrigações da entidade em uma determinada data. Por exemplo, a gestão afirma que os valores capitalizados para leasing no balanço representam o custo dos direitos da entidade sobre a propriedade arrendada e que o passivo de leasing correspondente representa uma obrigação da entidade. |
| Responsável | O proprietário de um risco, de um controle ou de uma tarefa de mitigação/correção aceita sua responsabilidade. Eles podem delegar algumas tarefas relacionadas à propriedade, mas permanecem responsáveis perante a organização. |
| Revisor par | Um programa de monitoramento de prática no qual a documentação de auditoria de uma empresa de CPA é revisada periodicamente por parceiros independentes de outras empresas para determinar se ela está em conformidade com os padrões da profissão. |
| Planejar | O planejamento de auditoria está desenvolvendo uma estratégia geral para a conduta e o escopo da auditoria. A natureza, a extensão e o tempo do planejamento variam de acordo com o tamanho e a complexidade da entidade, a experiência com a entidade e o conhecimento do negócio. Ao planejar a auditoria, o auditor considera o negócio da entidade e seu setor, suas políticas e procedimentos contábeis, métodos usados para processar informações contábeis, o nível planejado de avaliação de risco de controle e o julgamento preliminar do auditor sobre a materialidade da auditoria. |
| Política | Um documento que registra um princípio ou curso de ação de alto nível que foi decidido. A finalidade pretendida é influenciar e orientar a tomada de decisão presente e futura para estar alinhada com a filosofia, os objetivos e os planos estratégicos estabelecidos pelas equipes de gestão da empresa. Além do conteúdo da política, as políticas descrevem as consequências da não conformidade com a política, os meios para lidar com exceções e a maneira como a conformidade com a política é verificada e medida. Em ServiceNow®, as políticas aprovadas são publicadas no Base de conhecimento. As políticas estão relacionadas a documentos de autoridade e registros de controle. As declarações de política definem detalhes específicos que um processo segue em uma política. |
| Controle preventivo | Um controle projetado para evitar um evento não intencional. |
| Procedimento | Uma ação, como uma etapa realizada como parte de um programa de auditoria ou como parte dos controles internos do cliente. Fornece o "como fazer" das políticas e orienta sua implementação. Os procedimentos são específicos do público-alvo e fornecem instruções exatas que garantem a conformidade com uma determinada política. ServiceNow® trata políticas e procedimentos da mesma forma; portanto, os termos podem ser usados de forma intercambiável. Isso pode diferir de estruturas, como COBIT 5.1, que define políticas e procedimentos como dois itens separados. |
| Ceticismo profissional | Aproximar-se de uma auditoria com uma mente questionadora. |
| Impacto qualitativo | Inclui classificações de Impacto (refere-se à significância de um risco) e Probabilidade (refere-se à probabilidade de um risco ocorrer). A pontuação é calculada multiplicando o impacto pela probabilidade. Um impacto geralmente expresso usando uma escala ordinal ou escala nominal. |
| Impacto quantitativo | Um efeito positivo/negativo em ativos financeiros, ativos tangíveis, ativos intangíveis, continuidade de negócios e saúde e segurança. Calculado por Expectativa de perda única (SLE) x Taxa anualizada de ocorrência (ARO) = Expectativa de perda anualizada (ALE). Um impacto quantitativo é expresso numéricamente. |
| Questionário | Um questionário de controle interno é uma lista de perguntas sobre o sistema de controle interno a serem respondidas (com respostas como sim, não ou não aplicável) durante o trabalho de campo de auditoria. O questionário faz parte da documentação da compreensão do auditor dos controles internos do cliente. |
| Amostra aleatória (amostragem de números aleatórios) | Probabilidade idêntica de cada item de preenchimento ser selecionado para uma amostra. Além disso, o uso de números aleatórios para selecionar uma amostra aleatória de uma população. |
| Garantia razoável (um controle interno) | Um controle interno, não importa o quão bem projetado e operado, não pode garantir que os objetivos de uma entidade sejam atendidos devido a limitações inerentes a todos os sistemas de controle interno. |
| Correção | Depois que uma falha é identificada e avaliada, a correção apropriada pode ocorrer para mitigar ou eliminar o problema Probabilidade residual: a probabilidade de o risco identificado ocorrer após a implementação de qualquer estratégia de resposta. |
| Requisito | Algo que uma entidade deve abordar como resultado de fazer uma promessa. |
| Probabilidade residual | A probabilidade de o risco identificado ocorrer depois que qualquer estratégia de resposta é implementada. |
| Risco residual | Nível de exposição ao risco, em termos de probabilidade e impacto (ou significância), depois que os controles internos e as ações de mitigação relacionados estiverem em vigor e forem eficazes. |
| Pontuação residual | A pontuação do risco depois que qualquer estratégia de resposta é implementada. |
| Significância residual | O quão significativo é o risco depois que qualquer estratégia de resposta é implementada. |
| Risco | Um risco é qualquer ameaça ou vulnerabilidade que possa afetar negativamente os objetivos de negócios de uma organização. Todos os riscos estão contidos em um repositório de riscos. Os riscos podem estar relacionados a qualquer item, política, controle e tarefa de correção. Os riscos que exigem atenção imediata ou contínua podem ser atenuados, evitados ou controlados usando os controles definidos e os testes de controle relacionados. Uma declaração de risco é uma consequência definida que pode ocorrer se uma ameaça explorar uma vulnerabilidade. O risco é medido em termos de Impacto (ou Significância) e Probabilidade. Os tipos de riscos incluem riscos operacionais (fraude, por exemplo), riscos de não conformidade (não arquivamento dos documentos adequados para cumprir a legislação) e riscos estratégicos (como um incidente que afeta a reputação de uma marca). O risco de negócios associado ao uso, propriedade, operação, envolvimento, influência e adoção de TI em uma empresa. |
| Análise de risco | O exame sistemático das informações disponíveis para determinar com que frequência os eventos especificados podem ocorrer e a magnitude de suas consequências. |
| Apetite de risco | O nível de risco que uma organização está disposta a aceitar na busca de seus objetivos. |
| Avaliação de riscos | A avaliação dos riscos enfrentados por uma entidade, ativo, sistema ou rede, operações organizacionais, indivíduos, área geográfica, outras organizações ou sociedade, e inclui a determinação de até que ponto as circunstâncias ou eventos adversos podem resultar em consequências prejudiciais. |
| Critérios de risco | São valores quantitativos ou qualitativos em relação aos quais o nível de risco é avaliado. |
| Gestão de riscos | O objetivo da gestão de riscos é reduzir a incerteza. É o ato de gerenciar processos e recursos para lidar com riscos enquanto persegue os objetivos da organização. O processo de identificar, analisar, avaliar e comunicar o risco e aceitá-lo, evitá-lo, transferi-lo ou controlá-lo para um nível aceitável, considerando os custos e benefícios associados de todas as ações tomadas. |
| Estrutura de gestão de riscos | Um processo formal para gerenciar riscos de forma explícita. A estrutura consiste em uma avaliação de risco, resposta e responsabilidade pelas atividades de risco e mitigação em torno dela. |
| Redução de risco | Os processos integrados ao ambiente de controles, como políticas, estruturas e responsabilidades, que reduzem um risco. |
| Registro de riscos | Um repositório dos principais atributos de problemas de risco de TI potenciais e conhecidos. Os atributos podem incluir nome, descrição, proprietário, frequência esperada/real, nível inerente/residual, impacto nos negócios potencial/real e planos de mitigação/correção. |
| Resposta a riscos | A decisão de aceitar um risco, recusar um risco, tratar ou mitigar um risco ou compartilhar um risco com outra parte. |
| Declaração de risco | Declarações gerais sobre possíveis riscos ou ameaças que podem ocorrer em algum lugar de uma organização. |
| Tolerância do risco | O nível de risco que a organização não está disposta a exceder para atingir os objetivos. A representação do apetite de risco em termos de limite, geralmente financeiro, fornecido a vários níveis de gestão na organização para categorias de risco específicas. |
| Tamanho de amostra | O número de itens de preenchimento selecionados quando uma amostra é retirada de uma população. |
| Amostragem | Selecionar um número pequeno, mas pertinente e representativo de registros para representar toda a população de registros. |
| Risco de amostragem | A possibilidade de que as conclusões retiradas da amostra possam não representar conclusões corretas para toda a população. |
| Segregação de tarefas (SoD) | Atribuir a diferentes pessoas as responsabilidades de autorizar transações, registrar transações e manter a custódia de ativos. A segregação de funções reduz as oportunidades de uma pessoa perpetrar e ocultar erros ou fraudes. |
| Significância | Usado para avaliar a gravidade de um risco, junto com a probabilidade. Avalia o nível de consequência que um risco específico teria sobre uma organização se/quando ocorresse. |
| SLE | Expectativa de perda única (SLE) = Expectativa de perda única = Valor do ativo x Fator de exposição. |
| Parte interessada | Uma pessoa, grupo ou organização que tem participação direta ou indireta em uma organização porque ela pode afetar ou ser afetada pelas ações, objetivos e políticas da organização. |
| Padrão | Pronunciamento profissional divulgado pelo Comitê de Padrões de Auditoria Interna que descreve os requisitos para executar uma ampla variedade de atividades de auditoria interna e para avaliar o desempenho da auditoria interna. |
| Riscos estratégicos | Relacionado a objetivos estratégicos, como fatores de política, prioridades do cliente, marca ou reputação. |
| Meta | Um valor mensurável que uma entidade se esforça para alcançar. |
| Teste | Uma amostra de uma população para estimar as características da população. |
| Plano de testes | Um teste de auditoria específico do design e da eficácia operacional de um único controle. |
| Ameaça | Um evento que tem, no geral, um efeito indesejável na consecução de objetivos. |
| Tolerância | O nível aceitável de desvio de uma meta. |
| Estrutura de conformidade unificada (UCF) | A Estrutura de Conformidade Unificada (UCF) de Fronteiras de Rede contém documentos de autoridade que podem ser importados para a instância ServiceNow®. Para obter mais informações, consulte Unified Compliance Framework. |
| Incerteza | O estado de incapacidade de prever, determinar ou definir algo completamente. |