Governance, Risk und Compliance Updates der Anwendungsnomenklatur und Branchenterminologie

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 19 Minuten Lesedauer

    • Die folgenden Begriffe werden in verwendet GRC Anwendungen und/oder innerhalb von GRC Branche.

    GRC Nomenklaturaktualisierungen

    Ab dem vorherigen Release gibt es viele Begriffe in allen GRC Kernanwendungen wurden aktualisiert.
    Hinweis:
    Diese Begriffe-Updates gelten für alle Navigationsbezeichnungen, Schaltflächen, Infonachrichten, Berichtstitel, zugehörige Links, Registerkarten und andere UI-Elemente.
    GRC-Modul Zurück Aktuell
    Scoping Profil Entität
    Profiltypen Entitätstypen
    Profilklassen Entitätsklassen
    Meine Profile Meine Entitäten
    Alle Profile Alle Entitäten
    Administration Profilstufen Entitätsebenen
    Profilklassenregeln Entitätsklassenregeln
    Indikatoren Indikatoren > Element Feld Kontrolle/Risiko Feld
    Kategorie Das Feld gibt an, ob es sich um einen Compliance- oder Risikoindikator handelt
    Indikatorvorlage > Inhalt Feld Kontrollziel/Risikobeschreibung
    Probleme Details > Inhalt Feld Kontrollziel/Risikobeschreibung
    Details > Element Feld Kontrolle/Risiko
    Richtlinien und Compliance Richtlinienerklärung Steuerungsziel
    Risiko Alle Risiken > Erklärung > Feld Meine Risiken > Risikobeschreibung Feld
    Meine Risiken > Erklärung Feld Meine Risiken > Risikobeschreibung Feld
    Abbildung : 1. Aktualisierung des Indikatorformulars
    Indikatorformular, das das Steuerungs-/Risikofeld anzeigt
    Abbildung : 2. Aktualisierung des Indikator-Vorlagenformulars
    Indikatorvorlagenformular, das das Kontroll-/Risikofeld anzeigt
    Abbildung : 3. Updates des Problemformulars
    GRC Problemdatensatz mit der Registerkarte „Details“, der hervorgehobene Bereiche für Kontrollziel/Risikobeschreibung und Steuerung/Risiko anzeigt
    Abbildung : 4. Risikodatensatz, der hervorgehobene Bereiche für das Feld „Risikobeschreibung“ anzeigt
    Risikodatensatz, der hervorgehobene Bereiche für das Feld „Risikobeschreibung“ anzeigt

    Branchenreferenzen

    Tabelle : 1. Branchenabkürzungen
    Benennung Definition
    Basel III Ein internationaler Standard für das Bankwesen, den Aufsichtsbehörden verwenden können, wenn sie Vorschriften darüber treffen, wie viel Kapitalbanken haben müssen, um potenzielle Risiken auszugleichen. Je mehr Risiko eine Bank hat, desto mehr Kapital sollte sie haben, um sicherzustellen, dass sie zahlungsfähig bleibt. Die Verordnung war der dritte derartige Standard, der vom Baseler Ausschuss für Bankenaufsicht herausgegeben wurde, und daher der Name Basel III
    CISA Gesetz Zur Weitergabe Von Informationen Zur Cybersicherheit
    CISM Zertifizierter Informationssicherheitsmanager
    COBIT Kontrollziele für Informationen und zugehörige Technologien (COBIT) bieten ein IT-Governance-Framework zur Verwaltung von Risiko- und Compliance-Problemen basierend auf Best Practices. Veröffentlicht vom IT Governance Institute und der Information Systems Audit and Control Association (ISACA).
    COSO Das Committee of Sponsoring Organizations (COSO) wurde 1985 gegründet, um die National Commission on Fraudulent Financial Reporting zu sponsern. COSO ist eine unabhängige Initiative des Privatsektors, die die Kausalfaktoren untersucht hat, die zu betrügerischer Finanzberichterstattung führen können, und Empfehlungen für öffentliche Unternehmen, die SEC und andere Aufsichtsbehörden und Bildungseinrichtungen entwickelt.
    EDPA Europäisches Datenschutzgesetz
    ENISA Europäische Agentur Für Netzwerk- Und Informationssicherheit
    EUP „Energieverbrauch in Produkten“ (EUP) ist eine EU-Richtlinie, die Unternehmen verpflichtet, Produkte so zu entwerfen, dass sie weniger Energie verbrauchen.
    Europäische Datenschutzrichtlinie Eine der ersten und wichtigsten Datenschutzgesetze, die speziell den Datenschutz im Internet regelt.
    FCA Finanzverhaltensbehörde
    DSGVO Die allgemeine Datenschutzverordnung (DSGVO) ist eine Verordnung, die am 25. Mai 2018 in Kraft ist und die Datenschutzrichtlinie 95/46/eg ersetzt, um die Datenschutzrechte von Bürgern der Europäischen Union zu stärken und zu harmonisieren.
    GRI Die Global Reporting Initiative (GRI) ist eine internationale Gruppe, die das G3-Framework für Nachhaltigkeitsberichte erstellt hat.
    ITGI IT Governance Institute
    PII Personenbezogene Identifizierungsinformationen/personenbezogene Daten (PII) sind die Informationen, die es ermöglichen, die Identität einer Person direkt oder indirekt abzuleiten.
    PCI DSS Payment Card Industry Data Security Standard (PCI DSS) ist eine Reihe von Sicherheitsstandards, die sicherstellen sollen, dass alle Unternehmen, die Kreditkarteninformationen akzeptieren, verarbeiten, speichern oder übertragen, über eine sichere Umgebung verfügen.
    SOLVENZ II SOLVENZ II
    SOX Der Sarbanes-Oxley Act (SOX) etablierte das Public Company Accounting Oversight Board und fügte Anforderungen für börsennotierte Unternehmen, ihre Vorgesetzten, Verwaltungsräte und Auditoren hinzu. Es wurden Strafen für Unternehmensfinanzbetrug erhöht. Diese US-Gesetzgebung wurde als Reaktion auf die hochkarätigen Finanzskandale von Enron und WorldCom erlassen. Ihr Ziel besteht darin, Aktionäre und die allgemeine Öffentlichkeit vor Buchhaltungsfehlern und betrügerischen Praktiken im Unternehmen zu schützen. SOX gilt für Unternehmen, die öffentlich in den USA handeln
    Tabelle : 2. Branchenbegriffe
    Benennung Definition
    ALE Annualisierte Verlusterwartung (ALE) = einzelne Verlusterwartung (SLE) x annualisierte Rate des Auftretens (ARO). Wird in quantitativer Risikobewertung verwendet.
    ARO Annualisierte Rate des Vorkommens.
    Annahme Ein bestimmtes Risiko kann vom Management akzeptiert werden, wodurch weitere Investitionen in tiefere Kontrollen oder höhere Minderungsebenen gestoppt werden, wenn es innerhalb der Toleranzgrenze liegt oder wenn eine weitere Minderung und Kontrolle tatsächlich viel mehr Kosten würde als die geschätzte Auswirkung (oder Bedeutung) des Risikos.
    Assertion Alle formellen Erklärungen oder Sätze von Erklärungen zum Gegenstand, die von der Führungsebene abgegeben werden.
    Bewertung Eine umfassende Überprüfung der verschiedenen Aspekte eines Unternehmens oder einer Funktion, die Elemente enthält, die nicht von einer strukturierten Assurance-Initiative abgedeckt werden.
    Bestätigung Prozess zur Validierung, ob etwas wahr ist. Beispielsweise kann die Effektivität oder Compliance von Kontrollen durch einen Fragebogen nachgewiesen werden, der von seinem Erfüller elektronisch signiert wird.
    Audit Offizielle Inspektion und Verifizierung, um zu überprüfen, ob ein Standard oder eine Reihe von Richtlinien befolgt wird, die Datensätze korrekt sind oder die Effizienz- und Effektivitätsziele eingehalten werden. In ServiceNow®, Identifiziert eine Organisation alle Steuerungen, die sie gleichzeitig testen möchten, und weist einer einzelnen Person die Verantwortung für das Gesamt-Audit zu. Eine einzelne Aufgabe verwaltet das Testen aller Steuerungen.
    Audit-Aktivitäten Eine der Aufgaben innerhalb eines Audits, die einer Person zur Ausführung des Audits zugewiesen ist.
    Audit-Ausschuss Ein Ausschuss, der häufig Mitglieder des Verwaltungsrats angehört und für die Überwachung der Finanzberichterstattung und internen Kontrollen verantwortlich ist.
    Audit-Dokumentation (Arbeitspapiere) Vom Auditor aufbewahrte Aufzeichnungen über angewandte Verfahren, durchgeführte Tests, erhaltene Informationen und relevante Schlussfolgerungen, die in der Interaktion erzielt wurden. Die Dokumentation bietet den wichtigsten Support für den Bericht des Auditors.
    Audit-Nachweis Während der Auditverfahren gesammelte Fakten, die eine angemessene Grundlage für die Bildung einer Meinung zu den geprüften Finanzabschlüssen bieten.
    Audit-Ziel Bei der Einholung von Nachweisen zur Unterstützung von Aussagen über Finanzberichte entwickelt der Auditor spezifische Audit-Ziele im Lichte dieser Aussagen. Ein Ziel im Zusammenhang mit der Vollständigkeitsbestätigung für Bestandssalden besteht beispielsweise darin, dass Bestandsmengen alle verfügbaren Produkte, Materialien und Lieferungen enthalten.
    Audit-Beobachtungen Wird von internen Auditoren verwendet, um Kontrolllücken zu identifizieren oder neue Risiken zu identifizieren.
    Automatisierte Steuerungen Interne Steuerungen, die automatisch von Computersystemen ausgeführt werden. Manuelle Steuerungen werden von einer Person ausgeführt, die mit dieser Aufgabe beauftragt ist, und werden normalerweise für eine Teilmenge von Transaktionen und Daten ausgeführt. Automatisierte Steuerungen können für jede relevante Transaktion oder jedes Datenelement ausgeführt werden, um eine höhere Genauigkeit mit weniger Aufwand zu gewährleisten.
    Regulatorische Dokumente Die Vorschriften, Zertifizierungen, Frameworks, Standards und Best Practices, die eine Organisation auswählt oder für die Compliance mit Vorschriften erforderlich sind. Regulatorische Dokumente beziehen sich auf Steuerungen, Risiken und Richtlinien.
    Geschäftsrisiko Risiken, die sich nachteilig auf die Fähigkeit einer Entität auswirken könnten, ihre Ziele zu erreichen und ihre Strategien auszuführen.
    Berechneter Punktwert Die berechnete Punktzahl wird von der inhärenten Punktzahl und der Restpunktzahl als Gesamtergebnis abgeleitet. Bezieht sich auf das tatsächliche Risiko basierend auf der Qualität des implementierten Kontrollsystems.
    Verwahrungskette Ein Rechtsprinzip in Bezug auf die Gültigkeit und Integrität von Nachweisen. Es erfordert Rechenschaftspflicht für alles, das als Nachweis in einem Rechtsverfahren verwendet wird. Dadurch wird sichergestellt, dass sie vom Zeitpunkt der Erfassung bis zum Zeitpunkt der Vorlage vor einem Gericht berücksichtigt werden kann.
    Chief Compliance Officer (CCO) Ein Unternehmensbeamter, der für die Überwachung und Verwaltung von Compliance-Problemen in einer Organisation verantwortlich ist. Diese Person stellt sicher, dass ein Unternehmen regulatorische Anforderungen erfüllt und dass das Unternehmen interne Richtlinien und Verfahren einhält.
    Chief Operating Officer (COO) Wird auch als Chief Operations Officer bezeichnet, einer Führungskraft, die für den täglichen Betrieb des Unternehmens verantwortlich ist.
    Chief Risk Officer (CRO) Wird auch als Chief Risk Management Officer bezeichnet, einer Führungskraft, die für das Risikomanagement des Unternehmens und die Compliance-Bemühungen eines Unternehmens verantwortlich ist.
    Bezugsvermerke Datensätze mit den spezifischen Anforderungen, die von einem regulatorischen Dokument zitiert werden. Der Zitatdatensatz bezieht sich auf regulatorische Dokumente mit der entsprechenden Kontrolle.
    Compliance Die Einhaltung von Gesetzen, Vorschriften oder Richtlinien und der Nachweis ihrer Einhaltung. Compliance bezieht sich auf Vorschriften in vielen Bereichen, einschließlich Finanzen, Umwelt, Welthandel, Arbeitssicherheit und Datenschutz.
    Vertraulichkeit Wahrung autorisierter Einschränkungen für Zugriff und Offenlegung, einschließlich Maßnahmen zum Schutz von Datenschutz und proprietären Informationen.
    Containment-Steuerung Steuerung, die entwickelt wurde, um die Auswirkung (oder Bedeutung) eines Risikos zu begrenzen, falls es auftritt.
    Kontrolle Die tatsächlichen Steuerungsaktivitäten, die von einer Organisation ausgeführt werden. Kontrolldatensätze enthalten grundlegende erforderliche Informationen zur Steuerung (Besitzer, Aktivität, Häufigkeit usw.). Steuerungen können sich auf autorisierende Quellinhalte, Richtlinien und Risiken beziehen.

    Alle Maßnahmen, die von der Führungsebene, dem Vorstand und anderen Parteien zum Risikomanagement ergriffen werden. Das Management plant, organisiert und leitet die Durchführung ausreichender Aktionen, um eine angemessene Sicherheit dafür zu bieten, dass Ziele und Ziele erreicht werden. Kontrolldatensätze enthalten grundlegende erforderliche Informationen zur Steuerung (Besitzer, Aktivität, Häufigkeit usw.). Steuerungen können sich auf autorisierende Quellinhalte, Richtlinien und Risiken beziehen.
    Kontroll-Framework Eine Reihe grundlegender Steuerungen, die die Querzuordnung von Steuerungen durchführen und beibehalten, um finanzielle Verluste, Informationsverluste oder allgemeiner, um Risiken innerhalb eines Unternehmens zu verhindern.
    Kontrollinstanz Die tatsächliche Ausführung einer Kontrolltestdefinition, regelmäßig oder bei Bedarf, mit Ergebnisdatenbeispiel, Nachweis oder manuellem Ergebnis der Testaktivitäten.
    Steuerungstestdefinitionen Kontrolltestdefinitionen geben an, wie und wann Steuerungen getestet werden, einschließlich Testschritte, erwarteten Ergebnissen, der Gruppe oder Person, die für die Tests verantwortlich ist, und des Testzeitplans. Kontrolltestinstanzen werden automatisch aus dem Testzeitplan generiert. Korrekturen werden automatisch erstellt, wenn Kontrolltests fehlschlagen oder wenn Audit-Beobachtungen festgestellt werden.
    Korrektursteuerungen Interne Steuerungen, die ins Spiel kommen, sobald ein Problem erkannt wird. Ein Beispiel wäre das Entfernen des Zugriffs von Anwendern mit übermäßigen Berechtigungen oder das Ausführen eines Sicherungs- und Wiederherstellungsplans nach einem physischen Notfall.
    Unternehmensleistungsmanagement Corporate Performance Management (CPM) ist eine Kombination aus Strategiemanagement, Planung, Berichterstellung und Konsolidierung sowie Umsatz, Kosten, und Rentabilitätsmodellierung, mit der Unternehmen ihre Leistung messen und verbessern können.
    Erkennen Kontinuierlicher Fortschritt bei der Erreichung von Zielen sowie tatsächlichen und potenziellen unerwünschten Bedingungen und Ereignissen mithilfe von Verwaltungsaktionen und -Steuerungen.
    Erkennungssteuerung Ein Steuerelement, das zum Erkennen eines unbeabsichtigten Ereignisses oder Ergebnisses entwickelt wurde. Es kann auch erkennen, ob und wann ein bestimmtes Risiko auftritt.
    Wirkung Ein Maß für die Wahrscheinlichkeit, den Zeitpunkt und die Auswirkung eines Ereignisses auf etwas.
    Effektive interne Kontrolle Angemessene Sicherheit, dass die operativen Ziele erreicht werden, dass veröffentlichte Abschlüsse zuverlässig erstellt werden und dass die Entität die geltenden Gesetze und Vorschriften einhält.
    Interaktion Ein Audit-Projekt, das Audit-Aufgaben enthalten kann, die eine Reihe von Zielen oder Zielen erreichen.
    Ereignis Eine Aktion, ein Vorkommen oder eine Änderung der Bedingung für erkennbare Elemente. Ein Ereignis beinhaltet eine Änderung des Wissens über eine Bedingung, auch wenn sich die Bedingung nicht geändert hat.
    Entität Grundlegendes Konzept von GRC, Entitäten werden verwendet, um jedes Enterprise-Element zu modellieren, für das Steuerungen und Risiken zugeordnet werden können. Beispiel: Geschäftsbereiche, Server, Laptops.
    Entitätstyp Wird verwendet, um auf mehrere ähnliche Entitäten zu verweisen. Beispiel: Geschäftsbereich Asien/Pazifik, Linux-Server, MacBook Pro.
    Evaluieren Um etwas anhand von Kriterien zu messen.
    Nachweis (Nachweisangelegenheit) Enthält schriftliche und elektronische Informationen (z. B. Schecks, Datensätze von elektronischen Mittelübertragungen, Rechnungen, Verträgen und andere Informationen), die es dem Auditor ermöglichen, durch Begründung Schlussfolgerungen zu ziehen.
    Betrug Jede illegale Handlung, die durch Betrug, Verschleierung oder Vertrauensverstoß gekennzeichnet ist. Diese Handlungen hängen nicht von der Bedrohung durch Gewalt oder physische Gewalt ab. Betrügerische Handlungen werden von Parteien und Organisationen begangen, um Geld, Eigentum oder Services zu erhalten und Zahlung oder Verlust von Services zu vermeiden oder um sich einen persönlichen oder geschäftlichen Vorteil zu sichern.
    Allgemeine Steuerungen Richtlinien und Verfahren zur Sicherstellung des ordnungsgemäßen Betriebs von Computersystemen, einschließlich Kontrollen über Netzwerkvorgänge, Softwarebeschaffung und -Wartung und Zugriffssicherheit.
    Governance, Risk und Compliance (GRC) Governance, Risikomanagement und Compliance mit Vorschriften waren traditionell getrennte Unternehmensfunktionen. GRC Ist die integrierte Sammlung von Fähigkeiten, die es einer Organisation ermöglichen, Ziele zuverlässig zu erreichen und gleichzeitig Unsicherheit zu beheben und mit Integrität zu handeln. Sie umfasst Governance, Assurance and Management Performance, Risiko und Compliance.

    GRC Ist das Geschäft, wie eine Organisation durch das Risikomanagement arbeitet und gleichzeitig externe und interne Standards zur Optimierung der Leistung konform bleibt. GRC Umfasst die Integration von Prozessen, Steuerungen, Sicherheit und Kultur, um sicherzustellen, dass die Organisation über Integrität verfügt.
    Auswirkung Wird verwendet, um den Schweregrad eines Risikos zusammen mit der Wahrscheinlichkeit zu bewerten. Es wird bewertet, wie viel Konsequenz ein bestimmtes Risiko für eine Organisation hätte, wenn/wann es eintritt.
    Indikator Eine Metrik, die zum Sammeln von Daten zur Überwachung von Steuerungen und Risiken und zum Sammeln von Audit-Nachweisen verwendet wird.
    Wahrscheinlichkeit Die Wahrscheinlichkeit, dass das identifizierte Risiko auftritt, bevor eine Antwortstrategie implementiert wird.
    Inhärentes Risiko Das Ausmaß des Risikorisikos in Bezug auf Wahrscheinlichkeit und Auswirkung (oder Bedeutung), vorausgesetzt, dass noch keine zugehörigen internen Kontrollen vorhanden sind und keine Minderungsmaßnahmen vorhanden sind.
    Inhärente Punktzahl Die Punktzahl des Risikos, bevor eine Antwortstrategie implementiert wird.
    Bedeutung Wie bedeutend das Risiko ist, bevor eine Antwortstrategie implementiert wird.
    Integrität Die Eigenschaft, durch die Informationen, ein Informationssystem oder eine Komponente eines Systems nicht auf nicht autorisierte Weise geändert oder zerstört wurden.

    Ein Status, in dem Informationen vom Zeitpunkt, an dem sie von einer Quelle erzeugt werden, während der Übertragung, Speicherung und eventuellen Empfang durch das Ziel unverändert geblieben sind.
    Interner Audit Eine Abteilung, eine Abteilung, ein Team von Beratern oder anderen Ärzten, die unabhängige, objektive Zuverlässigkeits- und Beratungsservices bereitstellt, die dazu dienen, einen Mehrwert zu schaffen und den Betrieb einer Organisation zu verbessern. Die interne Audit-Aktivität hilft einer Organisation, ihre Ziele zu erreichen, indem sie einen systematischen, disziplinierten Ansatz zur Bewertung und Verbesserung der Effektivität von Governance-, Risikomanagement- und Kontrollprozessen bietet.
    Interne Auditoren Mitarbeiter des Kunden, die für die Bereitstellung von Analysen, Bewertungen, Zusicherungen, Empfehlungen und anderen Informationen an das Management und den Vorstand der Entität verantwortlich sind. Eine wichtige Verantwortung interner Auditoren besteht in der Überwachung der Leistung von Kontrollen.
    Interne Steuerungen Die Richtlinien, Verfahren, Praktiken und Organisationsstrukturen, die eine angemessene Sicherheit dafür bieten, dass Geschäftsziele erreicht werden und unerwünschte Ereignisse verhindert oder erkannt und korrigiert werden.
    Problem A GRC Aufgabe, mit der Endanwender Kontroll- und Risikoprobleme dokumentieren und die Antwort nachverfolgen können, um das Problem zu beheben oder zu akzeptieren.
    IT-Governance Die Führung, Organisationsstrukturen und Prozesse, die sicherstellen, dass die IT des Unternehmens die Strategien und Ziele des Unternehmens unterstützt und erweitert. Dies liegt in der Verantwortung der Führungskräfte und des Verwaltungsrats.
    IT GRC Umfasst die Software und Hardware sowie zugehörige Richtlinien und Verfahren, die verwendet werden, um Compliance- und Risikomanagementmaßnahmen aus IT-Perspektive basierend auf etablierten Best Practices zu unterstützen.
    Wahrscheinlichkeit Die Wahrscheinlichkeit, dass etwas passiert ist.
    Management Die interne Leitung, Steuerung und Bewertung einer Entität, eines Prozesses oder einer Ressource.
    Manuelle Steuerungen Steuerungen, die manuell ausgeführt werden, nicht vom Computer.
    Material (Wesentlichkeit) Ein Risiko ist wesentlich, wenn es möglich ist, seine finanziellen Auswirkungen zu berechnen.
    Mitigation Reduzierung des mit einem bestimmten Regelverstoß verbundenen Risikos. Bevor ein Risiko auftritt, werden geeignete Minderungsmaßnahmen ergriffen, um mögliche zugehörige Kontrollfehler zu beheben und/oder das Risiko zu reduzieren.
    Ziel Etwas, das eine Entität erreichen oder erreichen möchte.
    Betriebliches Audit Ein Audit zur Bewertung der verschiedenen internen Kontrollen, der Wirtschaftlichkeit und der Effizienz einer Funktion oder Abteilung.
    Betriebssteuerungen Steuerungen im Zusammenhang mit dem täglichen Betrieb eines Unternehmens, um sicherzustellen, dass alle Ziele erreicht werden.
    Betriebsrisiken Risiken im Zusammenhang mit den Personen, Prozessen und Systemen, die erforderlich sind, um die Mission und Ziele einer Organisation zu erreichen.
    Objektivität Die Fähigkeit, Kundendatensätze ohne vorgefasste Vorstellungen oder Vorurteile zu bewerten.
    Verpflichtungen Assertions zu Verpflichtungen behandeln, ob Verbindlichkeiten zu einem bestimmten Datum Verpflichtungen der Entität sind. Beispielsweise bestätigt das Management, dass die kapitalisierten Beträge für Leasingverträge in der Bilanz die Kosten der Rechte der Entität an geleasten Immobilien darstellen und dass die entsprechende Leasingverbindlichkeit eine Verpflichtung der Entität darstellt.
    Besitzer Der Besitzer eines Risikos, einer Kontrolle oder einer Minderungs-/Korrekturaufgabe akzeptiert seine Verantwortlichkeit. Sie delegieren möglicherweise einige Aufgaben im Zusammenhang mit dem Besitz, bleiben jedoch gegenüber der Organisation verantwortlich.
    Peer-Prüfung Ein Praxisüberwachungsprogramm, in dem die Auditdokumentation einer CPA-Kanzlei regelmäßig von unabhängigen Partnern anderer Kanzleien überprüft wird, um festzustellen, ob sie den Standards des Berufs entspricht.
    Planen Die Auditplanung entwickelt eine Gesamtstrategie für das Verhalten und den Umfang des Audits. Art, Umfang und Zeitpunkt der Planung variieren je nach Größe und Komplexität der Entität, Erfahrung mit der Entität und Wissen über das Geschäft. Bei der Planung des Audits berücksichtigt der Auditor das Geschäft der Entität und ihre Branche, ihre Buchhaltungsrichtlinien und -Verfahren, Methoden zur Verarbeitung von Buchhaltungsinformationen, das geplante bewertete Kontrollrisiko und das vorläufige Urteil des Auditors über die Wesentlichkeit des Audits.
    Richtlinie Ein Dokument, das ein allgemeines Prinzip oder eine Vorgehensweise aufzeichnet, über die entschieden wurde. Der beabsichtigte Zweck besteht darin, die Entscheidungsfindung in Gegenwart und Zukunft so zu beeinflussen und zu leiten, dass sie mit der Philosophie, den Zielen und den strategischen Plänen der Managementteams des Unternehmens in Einklang steht. Zusätzlich zum Richtlinieninhalt beschreiben Richtlinien die Folgen der Nichteinhaltung der Richtlinie, die Mittel für die Behandlung von Ausnahmen und die Art und Weise, wie die Compliance mit der Richtlinie überprüft und gemessen wird.

    In ServiceNow®, Genehmigte Richtlinien werden in veröffentlicht Knowledge Base. Richtlinien beziehen sich auf regulatorische Dokumente und Kontrolldatensätze. Richtlinienanweisungen definieren bestimmte Details, die ein Prozess innerhalb einer Richtlinie befolgt.
    Vorbeugende Kontrolle Eine Steuerung, die ein unbeabsichtigtes Ereignis vermeiden soll.
    Prozedur Eine Aktion, z. B. ein Schritt, der als Teil eines Auditprogramms oder als Teil der internen Steuerungen des Clients ausgeführt wird.

    Stellt die Anleitung von Richtlinien bereit und leitet ihre Implementierung. Verfahren sind zielgruppenspezifisch und enthalten genaue Anweisungen, die die Compliance mit einer bestimmten Richtlinie gewährleisten. ServiceNow® Behandelt Richtlinien und Verfahren auf die gleiche Weise. Daher können die Begriffe austauschbar verwendet werden. Dies kann sich von Frameworks wie COBIT 5,1 unterscheiden, die Richtlinien und Verfahren als zwei separate Elemente definiert.
    Professionelle Skepsis Wir nähern uns einem Audit mit einer fragwürdigen Einstellung.
    Qualitative Auswirkung Enthält Bewertungen der Auswirkungen (bezieht sich auf die Bedeutung eines Risikos) und der Wahrscheinlichkeit (bezieht sich auf die Wahrscheinlichkeit des Auftretens eines Risikos). Die Punktzahl wird berechnet, indem die Auswirkung mit der Wahrscheinlichkeit multipliziert wird. Eine Auswirkung, die häufig mithilfe einer Ordnungsskala oder einer nominalen Skala ausgedrückt wird.
    Quantitative Auswirkung Positive/negative Auswirkungen auf finanzielle Assets, materielle Assets, immaterielle Assets, Geschäftskontinuität und Arbeitsschutz. Berechnet durch einzelne Verlusterwartung (SLE) x annualisierte Rate des Auftretens (ARO) = annualisierte Verlusterwartung (ALE). Eine quantitative Auswirkung wird numerisch ausgedrückt.
    Fragebogen Ein interner Kontrollfragebogen ist eine Liste von Fragen zum internen Kontrollsystem, die während der Audit-Feldarbeit (mit Antworten wie Ja, Nein oder nicht zutreffend) beantwortet werden sollen. Der Fragebogen ist Teil der Dokumentation, wie der Auditor die internen Kontrollen des Kunden versteht.
    Zufällige Stichprobe (Stichprobe mit zufälligen Zahlen) Identische Wahrscheinlichkeit jedes Auffüllungselements, das für ein Beispiel ausgewählt wird. Auch die Verwendung von zufälligen Zahlen, um eine zufällige Stichprobe aus einer Population auszuwählen.
    Angemessene Sicherheit (eine interne Kontrolle) Eine interne Kontrolle kann, unabhängig davon, wie gut sie konzipiert und betrieben wird, aufgrund inhärenter Einschränkungen in allen internen Kontrollsystemen nicht garantieren, dass die Ziele einer Entität erfüllt werden.
    Korrektur Nachdem ein Fehler identifiziert und bewertet wurde, kann eine entsprechende Korrektur erfolgen, um die Restrisikowahrscheinlichkeit des Problems zu mindern oder zu beseitigen: Die Wahrscheinlichkeit, dass das identifizierte Risiko auftritt, nachdem eine Antwortstrategie implementiert wurde.
    Anforderung Etwas, das eine Entität als Ergebnis einer Zusage behandeln muss.
    Restwahrscheinlichkeit Die Wahrscheinlichkeit, dass das identifizierte Risiko nach der Implementierung einer Antwortstrategie auftritt.
    Restrisiko Grad des Risikorisikos in Bezug auf Wahrscheinlichkeit und Auswirkung (oder Bedeutung), nachdem zugehörige interne Kontrollen und Minderungsmaßnahmen vorhanden und wirksam sind.
    Restpunktzahl Die Punktzahl des Risikos, nachdem eine Antwortstrategie implementiert wurde.
    Restbedeutung Wie bedeutend das Risiko ist, nachdem eine Antwortstrategie implementiert wurde.
    Risiko Ein Risiko ist jede Bedrohung oder Schwachstelle, die sich nachteilig auf die Geschäftsziele einer Organisation auswirken könnte. Alle Risiken sind in einem Risiko-Repository enthalten. Risiken können mit jedem Element, jeder Richtlinie, jeder Kontrolle und jeder Korrekturaufgabe verknüpft sein. Risiken, die sofortige oder laufende Maßnahmen erfordern, können mithilfe der definierten Steuerungen und zugehörigen Kontrolltests gemindert, verhindert oder gesteuert werden. Eine Risikobeschreibung ist eine definierte Konsequenz, die auftreten kann, wenn eine Bedrohung eine Schwachstelle ausnutzt.

    Das Risiko wird in Bezug auf die Auswirkung (oder Bedeutung) und die Wahrscheinlichkeit gemessen. Zu den Arten von Risiken gehören Betriebsrisiken (z. B. Betrug), Risiken der Nichteinhaltung (Nichteinreichung der richtigen Dokumente zur Einhaltung der Gesetzgebung) und strategische Risiken (z. B. ein Incident, der sich auf die Reputation einer Marke auswirkt). Das Geschäftsrisiko im Zusammenhang mit Verwendung, Besitz, Betrieb, Beteiligung, Einfluss, und Einführung der IT in einem Unternehmen.
    Risikoanalyse Die systematische Untersuchung der verfügbaren Informationen, um zu bestimmen, wie oft bestimmte Ereignisse auftreten können und wie groß ihre Konsequenzen sind.
    Risikobereitschaft Das Risikoniveau, das eine Organisation bei der Verfolgung ihrer Ziele akzeptieren möchte.
    Risikobewertung Die Bewertung der Risiken, denen eine Entität, ein Asset, ein System oder ein Netzwerk, Organisationsvorgänge, Einzelpersonen, geografisches Gebiet, andere Organisationen oder die Gesellschaft und umfasst die Bestimmung des Ausmaßes, in dem unerwünschte Umstände oder Ereignisse zu schädlichen Folgen führen können.
    Risikokriterium Sind quantitative oder qualitative Werte, anhand derer das Risikostufe bewertet wird.
    Risikomanagement Das Ziel des Risikomanagements besteht in der Verringerung der Unsicherheit. Es handelt sich um die Verwaltung von Prozessen und Ressourcen, um Risiken zu beheben und gleichzeitig die Ziele der Organisation zu verfolgen. Der Prozess der Identifizierung, Analyse, Bewertung und Kommunikation von Risiken und deren Akzeptanz, Vermeidung, Übertragung oder Kontrolle auf ein akzeptables Niveau unter Berücksichtigung der damit verbundenen Kosten und Vorteile aller ergriffenen Maßnahmen.
    Risikomanagement-Framework Ein formalisierter Prozess zum expliziten Risikomanagement. Das Framework besteht aus einer Risikobewertung, einer Reaktion und der Verantwortlichkeit für die damit verbundenen Risiko- und Minderungsaktivitäten.
    Risikoverringerung Die in die Kontrollumgebung integrierten Prozesse, z. B. Richtlinien, Frameworks und Verantwortlichkeiten, die ein Risiko reduzieren.
    Risikoregister Ein Repository der Schlüsselattribute potenzieller und bekannter IT-Risikoprobleme. Attribute können Name, Beschreibung, Besitzer, erwartete/tatsächliche Häufigkeit, inhärente/Restebene, potenzielle/tatsächliche Geschäftsauswirkung und Minderungs-/Korrekturpläne.
    Antwort auf Risiko Die Entscheidung, ein Risiko zu akzeptieren, ein Risiko abzulehnen, ein Risiko zu behandeln oder zu mindern oder ein Risiko mit einer anderen Partei zu teilen.
    Risikobeschreibung Allgemeine Aussagen zu potenziellen Risiken oder Bedrohungen, die irgendwo in einer Organisation auftreten könnten.
    Risikotoleranz Das Risikoniveau, das die Organisation nicht überschreiten will, um Ziele zu erreichen. Die Darstellung der Risikobereitschaft in Bezug auf den Schwellenwert, im Allgemeinen finanziell, für verschiedene Managementebenen in der Organisation für bestimmte Risikokategorien.
    Stichprobengröße Die Anzahl der ausgewählten Auffüllungselemente, wenn eine Stichprobe aus einer Population gezogen wird.
    Sampling Auswahl einer kleinen, aber relevanten und repräsentativen Anzahl von Datensätzen, um die gesamte Auffüllung von Datensätzen darzustellen.
    Stichprobenrisiko Die Möglichkeit, dass aus der Stichprobe gezogene Schlussfolgerungen möglicherweise nicht die richtigen Schlussfolgerungen für die gesamte Bevölkerung darstellen.
    Aufgabentrennung (SoD) Zuweisen von Verantwortlichkeiten für die Autorisierung von Transaktionen, die Aufzeichnung von Transaktionen und die Verwaltung der Verwahrung von Assets. Die Aufgabentrennung reduziert die Möglichkeiten für eine Person, Fehler oder Betrug sowohl zu begehen als auch zu verschleiern.
    Bedeutung Wird verwendet, um den Schweregrad eines Risikos zusammen mit der Wahrscheinlichkeit zu bewerten. Es wird bewertet, wie viel Konsequenz ein bestimmtes Risiko für eine Organisation hätte, wenn/wann es eintritt.
    SLE Einzelne Verlusterwartung (SLE) = einzelne Verlusterwartung = Asset-Wert x Risikofaktor.
    Stakeholder Eine Person, Gruppe oder Organisation, die direkt oder indirekt an einer Organisation beteiligt ist, da sie sich auf die Aktionen, Ziele und Richtlinien der Organisation auswirken oder davon betroffen sein kann.
    Standard Eine vom Internal Audit Standards Board veröffentlichte professionelle Aussprache, die die Anforderungen für die Durchführung einer breiten Palette interner Auditaktivitäten und für die Bewertung der Leistung interner Audits definiert.
    Strategische Risiken In Bezug auf strategische Ziele wie politische Faktoren, Kundenprioritäten, Marke oder Reputation.
    Zielvorgabe Ein messbarer Wert, den eine Entität erreichen möchte.
    Test Ein Beispiel aus einer Population, um die Merkmale der Population zu schätzen.
    Testplan Ein spezifischer Audit-Test der Design- und Betriebseffektivität einer einzelnen Steuerung.
    Bedrohung Ein Ereignis, das insgesamt eine unerwünschte Auswirkung auf das Erreichen von Zielen hat.
    Toleranz Der zulässige Grad der Abweichung von einem Ziel.
    Einheitliches Compliance-Framework (UCF) Network Frontiers Unified Compliance Framework (UCF) enthält regulatorische Dokumente, die in importiert werden können ServiceNow® Instanz. Weitere Informationen finden Sie unter Einheitliches Compliance-Framework .
    Unsicherheit Der Status, dass etwas nicht vollständig vorhergesagt, bestimmt oder definiert werden kann.