ガバナンス、リスク、コンプライアンス アプリケーションの用語の更新と業界の用語
次の用語は、GRC アプリケーション内または GRC 業界で使用されています。
GRC 用語の更新
以前のリリースから、すべての GRC コアアプリケーション内の多くの用語が更新されました。
注:
これらの用語の更新は、すべてのナビゲーション ラベル、ボタン、情報メッセージ、レポート タイトル、関連リンク、タブ、およびその他の UI 要素に適用されます。
| GRC モジュール | 前へ | 現在 |
|---|---|---|
| スコーピング | プロフィール | エンティティ |
| プロファイルタイプ | エンティティタイプ | |
| プロファイルクラス | エンティティクラス | |
| 自分のプロファイル | 自分のエンティティ | |
| すべてのプロファイル | すべてのエンティティ | |
| 管理 | プロファイル層 | エンティティ層 |
| プロファイルクラスルール | エンティティクラスルール | |
| Indicators (インジケーター) | field | コントロール/リスクフィールド |
| カテゴリフィールドはコンプライアンスインジケーターかリスクインジケーターかを示す | ||
| field | コントロール目標/リスクステートメント | |
| Issues (問題) | field | コントロール目標/リスクステートメント |
| field | コントロール/リスク | |
| Policy and Compliance | ポリシーステートメント | コントロール目標 |
| Risk (リスク) | field | |
| field | field |
業界基準
| 用語 | 定義 |
|---|---|
| バーゼル III | 銀行が潜在的なリスクをオフセットするために必要な資本の額について規制を行う際に規制当局が使用できる銀行の国際標準。銀行が持つリスクが大きいほど、支払能力を維持するためにより多くの資本を用意する必要があります。この規制は、バーゼル銀行監督委員会によって発行された 3 番目の基準であり、そのためバーゼル III という名前が付けられました。 |
| CISA | Cybersecurity Information Sharing Act (サイバーセキュリティ情報共有法) |
| CISM | Certified Information Security Manager (認定情報セキュリティマネージャー) |
| COBIT | Control Objectives for Information and Related Technologies (情報および関連技術のコントロ―ス目標) (COBIT) は、ベストプラクティスに基づいてリスクとコンプライアンスの問題を管理するための IT ガバナンスフレームワークを提供します。IT ガバナンス研究所および情報システム監査コントロール協会 (ISACA) によって公開されています。 |
| COSO | Committee of Sponsoring Organizations of the Treadway Commission (トレッドウェイ委員会組織委員会) (COSO) は、不正財務レポートに関する国内委員会を支援するために 1985 年に形成されました。COSO は、不正な財務レポートにつながる可能性のある原因を調査し、公開企業、SEC、およびその他の規制機関や教育機関に対して推奨事項を作成した独立した民間セクターのイニシアチブです。 |
| EDPA | European Data Privacy Act (欧州データプライバシー法) |
| ENISA | European Network & Information Security Agency (欧州ネットワーク情報セキュリティ機関) |
| EUP | Energy use in products (エネルギー使用製品) (EUP) は、企業にエネルギー使用量の少ない製品を設計するように義務付ける EU 指令です。 |
| データ保護に関する欧州指令 | 特にインターネットのプライバシーに対処する、データプライバシー法の最初の最重要事項の 1 つ。 |
| FCA | Financial Conduct Authority (金融行為監督機構) |
| GDPR | General Data Protection Regulation (一般データ保護規則) (GDPR) は、2018 年 5 月 25 日に発効した規制で、欧州連合市民のデータ保護権利を強化および調和させることを目的としたデータ保護指令 95/46/ec に代わるものです。 |
| GRI | Global Reporting Initiative (グローバルレポートイニシアチブ) (GRI) は、持続可能性レポートの G3 フレームワークを作成した国際的なグループです。 |
| ITGI | IT Governance Institute (IT ガバナンス研究所) |
| PII | Personal Identifying Information / Personally Identifiable Information (個人識別情報/個人識別可能情報) (PII) は、個人の身元を直接的または間接的に推測できる情報です。 |
| PCI DSS | Payment Card Industry Data Security Standard (PCI DSS) は、クレジットカード情報の受け入れ、処理、保存、または送信を行うすべての会社が安全な環境を確実に維持するために設計された一連のセキュリティ標準です。 |
| ソルベンシー II | ソルベンシー II |
| SOX | Sarbanes-Oxley Act (サーベンスオクスリー法) (SOX) により、公開会社会計監視委員会が設置され、株式公開会社、その役員、役員会、監査人に要件が追加されました。これにより、企業の財務詐欺に対するペナルティが増加しました。この米国の法律は、注目を浴びた Enron と WorldCom の財務スキャンダルに対応して制定されました。その目的は、企業内の会計上の誤りや詐欺行為から株主と一般市民を保護することです。SOX は米国で株式公開を行う企業に適用されます。 |
| 用語 | 定義 |
|---|---|
| ALE | 年間予測損失額 (ALE) = 単一損失予想 (SLE) x 年間発生率 (ARO)。定量的リスクスコアリングで使用されます。 |
| ARO | 年間発生率。 |
| 受け入れ | 経営陣は、特定のリスクが一定レベルの許容範囲にある場合、またはいっそうの軽減や制御を行うなら、リスクから生じる影響 (または重大性) よりも大きなコストがかかると見込まれる場合、それを受け入れて、より厳しい制御や高いレベルの軽減のための、さらなる投資を中止することがあります。 |
| アサーション | 経営陣によって行われた主題に関する正式な宣言または一連の宣言。 |
| アセスメント | 構造化保証イニシアチブの対象ではない要素を含む、会社または部門のさまざまな側面の広範なレビュー。 |
| 証明書 | 何かが真実であることを検証するプロセス。たとえば、コントロールの有効性やコンプライアンスは、履行者が電子的に署名するアンケートによって証明できます。 |
| 監査 | 標準や一連のガイドラインが守られているか、記録が正確か、効率および有効性の目標が達成されているかを確認するための正式な調査と検証。ServiceNow® では、組織は一度にテストするすべてのコントロールを特定し、監査全体の責任を 1 人に割り当てます。単一のタスクですべてのコントロールのテストを管理します。 |
| 監査アクティビティ | 監査を実行するために個人にアサインされる監査内のタスクの 1 つ。 |
| 監査委員会 | 多くの場合、取締役会のメンバーで構成され、財務レポートと内部管理を監督する責任を担う委員会。 |
| 監査ドキュメント (ワーキングペーパー) | 適用された手順、実行されたテスト、取得された情報、およびエンゲージメントで到達した関連する結論についての監査人によって保持される記録。ドキュメントは、監査人のレポートの主要な根拠を提供します。 |
| 監査証拠 | 監査中の財務諸表に関する意見を形成するための合理的な基盤を提供する、監査手順中に収集された事実。 |
| 監査目標 | 財務諸表のアサーションを裏付ける証拠を取得する場合、監査人はそれらのアサーションに照らして特定の監査目標を策定します。たとえば、インベントリ残高の完全性アサーションに関連する目標は、インベントリ数量にすべての製品、資料、および消耗品が含まれていることです。 |
| 監査観察事項 | 内部監査人がコントロールギャップを特定したり、新しいリスクを特定したりするために使用します。 |
| 自動コントロール | コンピューターシステムによって自動的に実行される内部コントロール。手動コントロールは、そのタスクの担当者によって実行され、通常はトランザクションとデータのサブセットに対して実行されます。自動コントロールは、関連するすべてのトランザクションまたはデータ要素で実行できるため、少ない労力で高い精度を確保できます。 |
| 各種法令・基準等 | 組織が選択した、または規制に準拠するために必要な規制、認定、フレームワーク、標準、およびベストプラクティス。各種法令・基準等は、コントロール、リスク、およびポリシーに関連しています。 |
| ビジネスリスク | エンティティが目標を達成し、戦略を実行する能力に悪影響を与える可能性のあるリスク。 |
| 計算済みスコア | 計算済みスコアは、全体的な結果としての固有スコアと残存スコアから導出されます。実装されたコントロールシステムの品質に基づく実際のリスクのエクスポージャーを指します。 |
| 一連の管理 | 証拠の有効性と完全性に関する法的原則。法的手続きで証拠として使用されるものはすべて説明責任が必要です。これにより確実に、収集された時点から裁判所に提示する時点までを説明することができます。 |
| 最高コンプライアンス責任者 (CCO) | 組織内のコンプライアンス問題の監督と管理を担当する企業の役員。この担当者は、会社が規制要件に準拠し、および会社が内部のポリシーと手順に準拠するように確保します。 |
| 最高執行責任者 (COO) | 業務最高責任者とも呼ばれ、会社の日常業務を担当する役員。 |
| 最高リスク責任者 (CRO) | 最高リスク管理責任者とも呼ばれ、企業のリスク管理とコンプライアンスの取り組みを担当する役員。 |
| 信頼できるソースコンテンツ | 各種法令・基準等で引用された特定の要件を含むレコード。引用レコードは、各種法令・基準等を該当するコントロールに関連付けます。 |
| コンプライアンス | 法律、規制、またはポリシーに忠実に従い、その遵守を明確に示す行為。コンプライアンスは、財務、環境、国際貿易、従業員の安全性、プライバシーなど、多くの分野の規制に関連しています。 |
| 機密性 | プライバシーと機密情報を保護する手段を含む、アクセスと開示に関する許可された制限の維持。 |
| 格納コントロール | リスクが発生した場合に、その影響 (または重大性) を制限するように設計されたコントロール。 |
| コントロール | 組織が実行する、実際のコントロールアクティビティ。コントロールレコードには、コントロールに関する基本的な必須情報 (オーナー、アクティビティ、頻度など) が含まれます。コントロールは、信頼できるソースコンテンツ、ポリシー、およびリスクに関連付けることができます。 リスクを管理するために経営陣、取締役会、およびその他の関係者が行ったアクション。経営陣は、目的と目標が達成されるという合理的な保証を提供するために十分なアクションのパフォーマンスを計画、整理、指示します。コントロールレコードには、コントロールに関する基本的な必須情報 (オーナー、アクティビティ、頻度など) が含まれます。コントロールは、信頼できるソースコンテンツ、ポリシー、およびリスクに関連付けることができます。 |
| コントロールフレームワーク | 財務的損失や情報の損失を防止するため、またはより一般的には企業内のリスクを防止するために、コントロールのクロスマッピングを実行および保持する基本的なコントロールのセット。 |
| コントロールインスタンス | 定期的またはオンデマンドでのコントロールテスト定義の実際の実行。結果データサンプル、証明書、またはテストアクティビティの手動結果を表示します。 |
| コントロールテスト定義 | コントロールテスト定義は、テストのステップ、期待される結果、テストを担当するグループまたは個人、テストスケジュールを含め、いつどのようにコントロールをテストするかを指定します。コントロールテストインスタンスは、テストスケジュールから自動的に生成されます。コントロールテストが失敗した場合、または監査の観察事項が記録された場合、修正が自動的に作成されます。 |
| 是正コントロール | 問題が検出されると有効になる内部コントロール。たとえば、過剰な権限を持つユーザーからのアクセス権の削除や、物理的な災害が発生した後のバックアップおよび復旧計画の実行などです。 |
| 企業パフォーマンス管理 | 企業パフォーマンス管理 (CPM) は、戦略管理、計画立案、レポート作成、統合、および収益、コスト、収益性のモデル化を組み合わせたもので、企業がパフォーマンスを測定して改善できるようにします。 |
| 検出 | 目標に向けた進行中の進捗状況、および管理アクションとコントロールを使用した実際のおよび潜在的な望ましくない条件およびイベント。 |
| 発見的コントロール | 意図しないイベントまたは結果を検出するように設計されたコントロール。また、特定のリスクが発生したかどうか、いつ発生したかを検出することもできます。 |
| 効果 | 何かに対するイベントの可能性、タイミング、および影響度の測定値。 |
| 有効な内部コントロール | 運用目標が達成され、公開された財務諸表が確実に準備され、エンティティが適用可能な法律および規制に準拠しているという合理的な保証。 |
| エンゲージメント | 一連の目的または目標を達成する監査タスクを含むことがある監査プロジェクト。 |
| イベント | 観測可能なアクション、発生、または条件の変化。イベントには、条件が変更されていない場合でも、条件に関するナレッジの変更が含まれます。 |
| エンティティ | GRC の基本的な概念。エンティティは、コントロールとリスクを関連付けることができる企業要素をモデル化するために使用されます。例:事業部門、サーバー、ラップトップ。 |
| エンティティタイプ | 複数の類似したエンティティを参照するために使用されます。例:アジア/太平洋事業部門、Linux サーバー、MacBook Pro。 |
| 評価 | 基準に対して何かを測定すること。 |
| 証拠 (証拠物件) | 監査人が根拠に基づいて結論を下せる、書面および電子的な情報 (小切手、電子送金の記録、請求書、契約書、その他の情報など) が含まれます。 |
| 詐欺 | 偽り、隠蔽、または信頼の侵害を特徴とする不法行為。これらの行為は、暴力の脅威または物理的な力を伴うわけではありません。詐欺は、金銭、財産、またはサービスを入手し、支払いやサービスの損失を回避したり、個人的またはビジネス上の利益を確保したりするために関係者と組織によって行われるものです。 |
| 一般的なコントロール | ネットワーク運用、ソフトウェアの取得とメンテナンス、アクセスセキュリティの制御など、コンピューターシステムの適切な運用を保証するためのポリシーと手順。 |
| ガバナンス、リスク、コンプライアンス (GRC) | ガバナンス、リスク管理、および規制への準拠は、従来は個別の企業機能でした。GRC は、組織が不確実性に対処し、誠実に行動しながら、目標を確実に達成することを可能にするための機能の統合されたコレクションです。これには、ガバナンス、保証、管理パフォーマンス、リスク、およびコンプライアンスが含まれます。 GRC とは、組織がパフォーマンスを最適化するために、外部および内部の標準に準拠し続けながら、リスク管理を通じてどのように運用するかという業務です。GRC は、プロセス、コントロール、セキュリティ、および文化を統合して組織の完全性を確保する方法を採用しています。 |
| 影響 | リスクの重大度を、その可能性とともに評価するために使用されます。特定のリスクが発生した場合に組織に及ぼす結果のレベルを評価します。 |
| インジケーター | コントロールとリスクを監視するためのデータの収集と、監査証拠の収集のために使用されるメトリクス。 |
| 可能性 | 回答戦略が実装される前に識別済みリスクが発生する可能性。 |
| 固有リスク | 関連する内部コントロールがなく、軽減アクションがまだ実施されていない場合の、可能性と影響度 (または重大性) に関するリスクエクスポージャーのレベル。 |
| 固有スコア | 回答戦略が実装される前のリスクのスコア。 |
| 有意性 | 回答戦略が実装される前のリスクの重大性。 |
| 完全性 | 情報、情報システム、またはシステムのコンポーネントが不正な方法で変更または破壊されていないプロパティ。 情報がソースによって生成された時点から、送信、格納、および最終的に宛先で受信されるまで未変更のままの状態。 |
| 内部監査 | 価値を付加し、組織の運用を改善するために設計された、独立した客観的な保証およびコンサルティングサービスを提供する部門、部署、コンサルタントチーム、またはその他の施術者。内部監査アクティビティは、体系的で統制のとれたアプローチを採用して、ガバナンス、リスク管理、およびコントロールプロセスの有効性を評価して改善することで、組織の目標達成を支援します。 |
| 内部監査人 | 分析、評価、保証、推奨事項、およびその他の情報をエンティティの経営陣および取締役会に提供する責任を負うクライアントの従業員。内部監査人の重要な責任は、コントロールのパフォーマンスを監視することです。 |
| 内部コントロール | ビジネスゴールが達成され、望ましくないイベントが防止または検出されて修正されるという合理的な保証を提供するように設計されたポリシー、手順、プラクティス、および組織構造。 |
| 問題 | エンドユーザーがコントロールとリスクの問題を文書化し、問題を修正または承認するための対応を追跡できるようにする GRC タスク。 |
| IT ガバナンス | 企業の IT が企業の戦略と目標を維持および拡張することを保証するリーダーシップ、組織構造、およびプロセス。経営幹部と取締役会の責任です。 |
| IT GRC | 確立されたベストプラクティスに基づいて、IT の観点からコンプライアンスとリスク管理の取り組みをサポートするために使用されるソフトウェアとハードウェア、および関連するポリシーと手順を含みます。 |
| 可能性 | 何かが発生する見込み。 |
| 管理 | エンティティ、プロセス、またはリソースを内部的に指示、制御、および評価する行為。 |
| 手動コントロール | コンピューターではなく手動で実行されるコントロール。 |
| 重要 (重要性) | 財務的影響度を計算できる場合、リスクは重要とされます。 |
| 軽減 | ルールの特定の違反に関連付けられたリスクを減らすこと。リスクが発生する前に、関連する可能性のあるコントロールの失敗を解決したり、リスクのエクスポージャーを削減したりするために、適切な軽減アクションが実施されます。 |
| 目標 | エンティティが到達または達成しようとしているもの。 |
| 運用監査 | 部署または部門のさまざまな内部コントロール、経済性、および効率性を評価するように設計された監査。 |
| 運用コントロール | すべての目標が達成されるように確保するための、会社または企業の日常業務に関連するコントロール。 |
| 運用リスク | 組織のミッションと目標を達成するために必要な人、プロセス、およびシステムに関連するリスク。 |
| 客観性 | 先入観や偏見を持たずにクライアントレコードを評価する能力。 |
| 義務 | 義務についてのアサーションは、責任が特定の日付におけるエンティティの義務であるかどうかに関係しています。たとえば、経営陣は、貸借対照表のリースについて資産計上された金額がリース資産に対するエンティティの権利のコストを表し、対応するリース負債がエンティティの義務を表していると主張します。 |
| オーナー | リスク、コントロール、または軽減/修復タスクのオーナーは、その説明責任を受け入れます。所有権に関連する一部のタスクは委任できますが、組織に対する責任は残ります。 |
| ピアレビュー | ある CPA 事務所の監査文書が他の事務所の独立したパートナーによって定期的にレビューされ、専門職の基準に準拠していることを判断する実務モニタリングプログラム。 |
| プラン | 監査の計画立案では、監査の実施とスコープに関する全体的な戦略を策定します。計画立案の性質、範囲、およびタイミングは、エンティティのサイズと複雑さ、エンティティの経験、およびビジネスのナレッジによって異なります。監査人は、監査の計画立案時に、エンティティのビジネスとその業界、会計ポリシーと手順、会計情報の処理に使用される方法、コントロールリスクの予定評価レベル、および監査の重要性に関する監査人の予備的判断を検討します。 |
| ポリシー | 決定された高レベルの原則または一連のアクションを記録するドキュメント。意図された目的は、現在および将来の意思決定に影響を与え、企業の経営チームによって確立された理念、目標、および戦略的計画に沿ったものになるように導くことです。ポリシーには、ポリシーの内容に加えて、ポリシーに準拠しない場合の結果、例外の処理方法、およびポリシーへの準拠のチェックと測定の方法が記載されています。 ServiceNow® では、承認されたポリシーは ナレッジベース で公開されます。ポリシーは、各種法令・基準等とコントロールレコードに関連しています。ポリシーステートメントは、プロセスがポリシー内で従う特定の詳細を定義します。 |
| 予防コントロール | 意図しないイベントを回避するように設計されたコントロール。 |
| 手順 | 監査プログラムの一部として、またはクライアントの内部コントロールの一部として実行されるステップなどのアクション。 ポリシーの「ハウツー」を提供し、その実装を導きます。手順は対象者固有で、所定のポリシーに確実に準拠するための正確な指示を提供します。ServiceNow® はポリシーと手順を同じように扱います。したがって、これらの用語は同じ意味で使用される場合があります。これは、ポリシーと手順を 2 つの別々のアイテムとして定義する COBIT 5.1 などのフレームワークとは異なる場合があります。 |
| 職業的懐疑心 | 常に疑問を抱きつつ監査に臨むこと。 |
| 定性的な影響度 | 影響度 (リスクの重大性を指す) と可能性 (リスクが発生する可能性を指す) の評価が含まれます。スコアは、影響度に可能性を乗算して計算されます。影響度は、通常、順序スケールまたは名義スケールを使用して表されます。 |
| 定量的な影響度 | 金融資産、有形資産、無形資産、事業継続性、および衛生安全に対するプラス/マイナスの影響。単一損失予測 (SLE) x 年間発生率 (ARO) = 年間予測損失額 (ALE) として算出します。定量的な影響度は数値で表されます。 |
| アンケート | 内部コントロールアンケートは、監査フィールドワーク中に回答される内部コントロールシステムに関する質問のリストです (「はい」、「いいえ」、「該当なし」などの回答を含む)。アンケートは、クライアントの内部コントロールに関する監査人の理解を示すドキュメントの一部です。 |
| ランダムサンプル (乱数サンプリング) | 母集団の各アイテムが選択される確率が同一であるようなサンプリング。乱数を使用して母集団からランダムにサンプルを選択することもできます。 |
| 合理的な保証 (内部コントロール) | 内部コントロールは、どれほど適切に設計および運用されていても、すべての内部コントロールシステムに固有の制限があるため、エンティティの目標が満たされることを保証できません。 |
| 修正 | 障害が特定され評価された後、問題を軽減または排除するために適切な修正を行うことができます。 残りの可能性:回答戦略が実装された後に特定済みのリスクが発生する可能性。 |
| 要件 | 約束の結果としてエンティティが対処する必要があるもの。 |
| 残りの可能性 | 回答戦略が実装された後に特定済みのリスクが発生する可能性。 |
| 残存リスク | 関連する内部コントロールと軽減アクションが実施されて有効になった後の、可能性と影響度 (または重大性) に関するリスクエクスポージャーのレベル。 |
| 残存スコア | 回答戦略が実装された後のリスクのスコア。 |
| 残りの重大性 | 回答戦略が実装された後のリスクの重大性。 |
| リスク | リスクとは、組織のビジネスゴールに悪影響を与える可能性のある脅威または脆弱性のことです。すべてのリスクは 1 つのリスクリポジトリに含まれます。リスクは、アイテム、ポリシー、コントロール、および修復タスクに関連している場合があります。即時または継続的な注意が必要なリスクは、定義されたコントロールと関連するコントロールテストを使用して軽減、防止、または制御できます。リスクステートメントは、脅威が脆弱性を利用した場合に発生する可能性がある定義済みの結果です。 リスクは、影響度 (または重大性) と可能性の観点から測定されます。リスクのタイプには、運用リスク (詐欺など)、非準拠のリスク (法律に準拠するための適切な文書を提出していない)、および戦略的リスク (ブランドの評判に影響を与えるインシデントなど) が含まれます。ビジネスリスクは、企業内の IT の使用、所有権、運用、関与、影響、および採用に関連付けられています。 |
| リスク分析 | 指定されたイベントが発生する頻度とその結果の規模を判断するために利用可能な情報を体系的に調べること。 |
| リスク選好度 | 組織がその目標を達成するために許容するリスクのレベル。 |
| リスクアセスメント | エンティティ、資産、システムまたはネットワーク、組織の運用、個人、地理的領域、その他の組織、または社会が直面しているリスクの評価です。どの程度の不利な状況またはイベントが有害な結果を生じるかについての判断が含まれます。 |
| リスク基準 | リスクのレベルが評価される定量的または定性的な値です。 |
| リスク管理 | リスク管理の目的は、不確実性を減らすことです。これは、組織の目標達成を追求しながら、リスクに対処するプロセスとリソースを管理する行為です。リスクを特定、分析、評価、および伝達し、実行したアクションに関連するコストとメリットを考慮して、リスクを受け入れ、回避、転送、または許容可能なレベルに制御するプロセスです。 |
| リスク管理フレームワーク | 明示的にリスクを管理するための形式化されたプロセス。フレームワークはリスクアセスメント、応答、リスクの説明責任、およびリスクに関連した軽減アクティビティから構成されます。 |
| リスク軽減 | リスクを軽減する、ポリシー、フレームワーク、説明責任などの制御環境に組み込まれたプロセス。 |
| リスク登録 | 潜在的および既知の IT リスクの問題の主要な属性のリポジトリ。属性には、名前、説明、オーナー、予想/実際の頻度、固有/残存レベル、潜在的/実際のビジネスインパクト、および軽減/修正計画が含まれる場合があります。 |
| リスク対応 | リスクを受け入れるか、リスクを拒否するか、リスクを処理または軽減するか、または他の関係者とリスクを共有するかの決定。 |
| リスクステートメント | 組織のいずれかの場所で生じる可能性のある潜在的なリスクや脅威に関する全般的なステートメント。 |
| リスク許容度 | 組織が目標を達成するために超えたくないリスクのレベル。特定のリスクカテゴリに対して組織内のさまざまな管理レベルに与えられたしきい値 (一般に財務) に関するリスク選好の表現。 |
| サンプルサイズ | 母集団からサンプルが抽出されたときに選択された母集団アイテムの数。 |
| サンプリング | レコードの母集団全体を表せるように、少数だが適切な代表レコードを選択すること。 |
| サンプリングリスク | サンプルから導き出された結論が母集団全体の正しい結論を表していない可能性。 |
| 職務の分離 (SoD) | トランザクションの承認、トランザクションの記録、および資産の保管の維持の責任をさまざまな人にアサインすること。職務の分離により、1 人の担当者がエラーや詐欺を実行したり、隠蔽したりする機会を減らすことができます。 |
| 重大性 | リスクの重大度を、その可能性とともに評価するために使用されます。特定のリスクが発生した場合に組織に及ぼす結果のレベルを評価します。 |
| SLE | 単一損失予測 (SLE) = 単一損失予測 = 資産価値 x エクスポージャー係数。 |
| ステークホルダー | 組織のアクション、目標、およびポリシーに影響を与える、またはそれらによって影響を受ける可能性があるため、組織に直接的または間接的に出資している個人、グループ、または組織。 |
| 標準 | 幅広い内部監査アクティビティを実行し、内部監査のパフォーマンスを評価するための要件を説明する、内部監査標準委員会によって公示された専門的な意見書。 |
| 戦略的リスク | 政治的要因、顧客の優先順位、ブランド、評判などの戦略的目標に関連するもの。 |
| ターゲット | エンティティが達成しようとする測定可能な値。 |
| テスト | 母集団の特性を推定するための母集団からのサンプル。 |
| テスト計画 | 単一のコントロールの設計と運用の有効性に関する特定の監査テスト。 |
| 脅威 | 目標の達成に、どちらかと言えば望ましくない影響を与えるイベント。 |
| 許容範囲 | ターゲットからの逸脱の許容レベル。 |
| Unified Compliance Framework (UCF) | Network Frontiers の Unified Compliance Framework (UCF) には、ServiceNow® インスタンスにインポートできる各種法令・基準等が含まれています。詳細については、「Unified Compliance Framework」を参照してください。 |
| 不確実性 | 何かを完全に予測、決定、または定義できない状態。 |