Governança, risco e conformidade atualizações de nomenclatura da aplicação e terminologia do setor
Os seguintes termos são usados em GRC e/ou em GRC setor.
GRC atualizações de nomenclatura
A partir da versão anterior, muitos termos em todos os GRC as aplicações principais foram atualizadas.
Nota:
Essas atualizações de termo se aplicam a todos os rótulos de navegação, botões, mensagens informativas, títulos de relatórios, links relacionados, e outros elementos de IU.
| Módulo GRC | Anterior | Corrente |
|---|---|---|
| Escopo | Perfil | Entidade |
| Tipos de perfil | Tipos de entidade | |
| Classes de perfil | Classes de entidade | |
| Meus perfis | Minhas entidades | |
| Todos os perfis | Todas as entidades | |
| Administração | Camadas de perfil | Níveis de entidade |
| Regras de classe de perfil | Regras de classe de entidade | |
| Indicadores | Assunto: | Controle/Risco campo |
| Categoria o campo indica se é um indicador de conformidade ou risco | ||
| Assunto: | Objetivo de controle/Declaração de risco | |
| Problemas | Assunto: | Objetivo de controle/Declaração de risco |
| Assunto: | Controle/Risco | |
| Conformidade e política | Declaração de política | Objetivo de controle |
| Risco | Assunto: | |
| Assunto: | Assunto: |
Referências do setor
| Termo | Definição |
|---|---|
| Basileia III | Um padrão internacional para bancos que os reguladores podem usar ao fazer regulamentações sobre quanto capital os bancos devem ter para compensar o risco potencial. Quanto maior o risco que um banco tem, mais capital deve ter para garantir que se mantém solvente. Este regulamento foi o terceiro padrão emitido pelo Comité de Basileia de Supervisão Bancária e, por conseguinte, o nome de Basileia III |
| CISA | Lei de compartilhamento de informações de segurança cibernética |
| CISM | Gerente de segurança da informação certificado |
| COBIT | Os objetivos de controle para tecnologias de informação e relacionadas (COBIT) fornecem uma estrutura de governança de TI para gerenciar problemas de risco e conformidade com base nas práticas recomendadas. Publicado pelo IT Governance Institute e pela Information Systems Audit and Control Association (ISACA). |
| COSO | O Comitê de Organizações patrocinadoras (COSO) foi formado em 1985 para patrocinar a Comissão Nacional de Relatórios Financeiros Fraudulentos. COSO é uma iniciativa independente do setor privado que estudou os fatores causais que podem levar a relatórios financeiros fraudulentos e desenvolveu recomendações para empresas públicas, a SEC e outros reguladores e instituições educacionais. |
| EDPA | Lei Europeia de Privacidade de Dados |
| ENISA | Agência Europeia para a Segurança das Redes e da Informação |
| EUP | O uso de energia em produtos (EUP) é uma diretiva da UE que exige que as empresas projetem produtos para consumir menos energia. |
| Diretiva Europeia sobre Proteção de Dados | Uma das primeiras e mais importantes peças da legislação de privacidade de dados que aborda especificamente a privacidade na internet. |
| FCA | Autoridade de Conduta Financeira |
| GDPR | O Regulamento Geral de Proteção de Dados (GDPR) é um regulamento, vigente em 25 de maio de 2018, que substitui a Diretiva de Proteção de Dados 95/46/ec para fortalecer e harmonizar os direitos de proteção de dados dos cidadãos da União Europeia. |
| GRI | Global Reporting Initiative (GRI) é um grupo internacional que criou a estrutura G3 para emissão de relatórios de sustentabilidade. |
| ITGI | IT Governance Institute |
| PII | Informações de identificação pessoal/Informações de identificação pessoal (PII) são as informações que permitem que a identidade de um indivíduo seja inferida direta ou indiretamente. |
| PCI DSS | PCI DSS (Payment Card Industry Data Security Standard) é um conjunto de padrões de segurança projetados para garantir que todas as empresas que aceitam, processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente seguro. |
| SOLVÊNCIA II | SOLVÊNCIA II |
| SOX | A Lei Sarbanes-Oxley (SOX) estabeleceu o Conselho de supervisão de contabilidade de empresas públicas e adicionou requisitos para empresas de capital aberto, seus executivos, conselhos e auditores. Isso aumentou as penalidades por fraude financeira corporativa. Esta legislação norte-americana foi promulgada em resposta aos escândalos financeiros de alto perfil da Enron e da WorldCom. Seu objetivo é proteger os acionistas e o público em geral contra erros contábeis e práticas fraudulentas na empresa. SOX se aplica a empresas que negociam publicamente nos EUA |
| Termo | Definição |
|---|---|
| ALE | Expectativa de perda anualizada (ALE): Expectativa de perda única (SLE) x Taxa anualizada de ocorrência (ARO). Usado na pontuação de risco quantitativa. |
| ARO | Taxa anualizada de ocorrência. |
| Aceitação | Um risco específico pode ser aceito pela gestão, interrompendo investimentos adicionais em controles mais profundos ou níveis mais altos de mitigação, se estiver dentro do nível de tolerância ou se a mitigação e controle adicionais realmente custarem muito mais do que o impacto estimado (ou a importância) do risco. |
| Estipulação | Qualquer declaração formal ou conjunto de declarações sobre o assunto feito pela gestão. |
| Avaliação | Uma revisão ampla dos diferentes aspectos de uma empresa ou função que inclui elementos não cobertos por uma iniciativa de garantia estruturada. |
| Atestado | Processo de validação de que algo é verdadeiro. Uma eficácia de controle ou conformidade pode ser atestada por meio de um questionário, assinado eletronicamente pelo executante. |
| Auditoria | Inspeção formal e verificação para verificar se um padrão ou conjunto de diretrizes está sendo seguido, se os registros estão precisos ou as metas de eficiência e eficácia estão sendo atendidas. Em ServiceNow®, uma organização identifica todos os controles que deseja testar de uma só vez e atribui a responsabilidade da auditoria geral a uma única pessoa. Uma única tarefa gerencia o teste de todos os controles. |
| Atividades de auditoria | Uma das tarefas em uma auditoria que é atribuída a um indivíduo para execução da auditoria. |
| Comitê de auditoria | Um comitê, geralmente incluindo membros do conselho de administração, responsável por supervisionar relatórios financeiros e controles internos. |
| Documentação de auditoria (documentos de trabalho) | Registros mantidos pelo auditor de procedimentos aplicados, testes realizados, informações obtidas e conclusões pertinentes alcançadas no compromisso. A documentação fornece o suporte principal para o relatório do auditor. |
| Evidência de auditoria | Factos recolhidos durante os procedimentos de auditoria que fornecem uma base razoável para formar uma opinião sobre as demonstrações financeiras em auditoria. |
| Objetivo da auditoria | Ao obter evidências em apoio às declarações das demonstrações financeiras, o auditor desenvolve objetivos de auditoria específicos à luz dessas asserções. Por exemplo, um objetivo relacionado à declaração de completude dos saldos de estoque é que as quantidades de estoque incluam todos os produtos, materiais e suprimentos disponíveis. |
| Observações de auditoria | Usado por auditores internos para identificar lacunas de controle ou identificar novos riscos. |
| Controles automatizados | Controles internos executados automaticamente por sistemas de computador. Os controles manuais são executados por uma pessoa encarregada dessa tarefa e normalmente são executados em um subconjunto de transações e dados. Controles automatizados podem ser executados em cada transação relevante ou elemento de dados, garantindo maior precisão com menos esforço. |
| Documentos de autoridade | As regulamentações, certificações, estruturas, padrões e práticas recomendadas que uma organização escolhe ou são necessárias para conformidade com as regulamentações. Os documentos de autoridade estão relacionados a controles, riscos e políticas. |
| Risco comercial | Riscos que podem afetar negativamente a capacidade de uma entidade de atingir seus objetivos e executar suas estratégias. |
| Pontuação calculada | A pontuação calculada é derivada da pontuação inerente e da pontuação residual como um resultado geral. Refere-se à exposição real do risco com base na qualidade do sistema de controle implementado. |
| Cadeia de custódia | Um princípio jurídico relativo à validade e integridade das provas. Exige responsabilidade por qualquer coisa usada como evidência em um processo jurídico. Isso garante que ele possa ser contabilizado desde o momento em que foi coletado até o momento em que é apresentado em um tribunal de justiça. |
| CCO (diretor de conformidade) | Um funcionário corporativo responsável por supervisionar e gerenciar problemas de conformidade em uma organização. Essa pessoa garante que uma empresa esteja em conformidade com os requisitos regulatórios e que a empresa esteja em conformidade com as políticas e procedimentos internos. |
| COO (Chief Operating Officer, diretor de operações) | Também chamado de diretor de operações, um executivo responsável pelas operações diárias da empresa. |
| Diretor de risco (CRO) | Também chamado de diretor de gestão de riscos, um executivo responsável pela gestão de riscos empresariais e pelos esforços de conformidade de uma empresa. |
| Citações | Registros com os requisitos específicos citados por um documento de autoridade. O registro de citação relaciona documentos de autoridade ao controle aplicável. |
| Conformidade | O ato de aderir e demonstrar adesão a leis, regulamentos ou políticas. A conformidade está relacionada a regulamentações em muitas áreas, incluindo finanças, meio ambiente, comércio global, segurança do trabalhador e privacidade. |
| Confidencialidade | Preservar restrições autorizadas de acesso e divulgação, incluindo meios para proteger a privacidade e as informações proprietárias. |
| Controle de contenção | Controle projetado para limitar o impacto (ou a importância) de um risco, se ele ocorrer. |
| Controle | As atividades de controle reais que são realizadas por uma organização. Os registros de controle incluem informações básicas necessárias sobre o controle (proprietário, atividade, frequência e assim por diante). Os controles podem estar relacionados a conteúdos, políticas e riscos de fonte autorizada. Qualquer ação tomada pela gestão, pelo conselho e por outras partes para gerenciar o risco. A gestão planeja, organiza e direciona o desempenho de ações suficientes para fornecer uma garantia razoável de que os objetivos e as metas sejam alcançados. Os registros de controle incluem informações básicas necessárias sobre o controle (proprietário, atividade, frequência e assim por diante). Os controles podem estar relacionados a conteúdos, políticas e riscos de fonte autorizada. |
| Estrutura de controle | Um conjunto de controles fundamentais que executam e preservam o mapeamento cruzado de controles para evitar perda financeira, perda de informações ou, de forma mais geral, para evitar riscos em uma empresa. |
| Instância de controle | A execução real de uma Definição de teste de controle, periodicamente ou sob demanda, mostrando a amostra de dados do resultado, a certificação ou o resultado manual das atividades de teste. |
| Definições de testes de controle | As definições de teste de controle especificam como e quando os controles são testados, incluindo etapas de teste, resultados esperados, o grupo ou indivíduo responsável pelo teste e a programação de teste. As instâncias de teste de controle são geradas automaticamente a partir da programação de teste. As correções são criadas automaticamente quando os testes de controle falham ou quando as observações de auditoria são observadas. |
| Controles corretivos | Controles internos que entram em jogo quando um problema é descoberto. Um exemplo seria remover o acesso de usuários que têm privilégios excessivos ou executar um plano de backup e recuperação após a ocorrência de um desastre físico. |
| Gestão de desempenho corporativo | A Gestão de desempenho corporativo (CPM) é uma combinação de gestão de estratégia, planejamento, emissão de relatórios e consolidação e receita, custo, e modelagem de rentabilidade que permite às empresas medir seu desempenho e melhorá-lo. |
| Detectar | Progresso contínuo em direção aos objetivos, bem como condições e eventos indesejáveis reais e potenciais usando ações e controles de gestão. |
| Controle de detecção | Um controle projetado para descobrir um evento ou resultado não intencional. Também pode detectar se e quando ocorre um risco específico. |
| Efeito | Uma medida da probabilidade, tempo e impacto de um evento em algo. |
| Controle interno efetivo | Garantia razoável de que os objetivos operacionais são atingidos, que as demonstrações financeiras publicadas são preparadas de forma confiável e que a entidade está em conformidade com as leis e regulamentos aplicáveis. |
| Compromisso | Um projeto de auditoria que pode incluir tarefas de auditoria que realizam um conjunto de objetivos ou objetivos. |
| Evento | Uma ação observável, ocorrência ou uma mudança na condição. Um evento inclui mudança no conhecimento sobre uma condição, mesmo que a condição não tenha sido alterada. |
| Entidade | Conceito fundamental de GRC as entidades são usadas para modelar qualquer elemento empresarial ao qual controles e riscos podem ser associados. Por exemplo: Unidades de negócios, servidores, laptops. |
| Tipo de entidade | Usado para se referir a várias entidades semelhantes. Por exemplo: Unidade de negócios da Ásia/Pacífico, servidores Linux, MacBook Pro. |
| Avaliar | Para medir algo em relação a critérios. |
| Evidência (assunto probatório) | Inclui informações escritas e eletrônicas (como cheques, registros de transferências eletrônicas de fundos, faturas, contratos e outras informações) que permitem que o auditor chegue a conclusões por meio de raciocínio. |
| Fraude | Qualquer ato ilegal caracterizado por engano, ocultação ou violação de confiança. Esses atos não dependem da ameaça de violência ou força física. As fraudes são perpetradas por partes e organizações para obter dinheiro, propriedade ou serviços e evitar pagamento ou perda de serviços ou para garantir vantagem pessoal ou comercial. |
| Controles gerais | Políticas e procedimentos para garantir o funcionamento adequado dos sistemas de computador, incluindo controles sobre operações de rede, aquisição e manutenção de software e segurança de acesso. |
| Governança, risco e conformidade (GRC) | Governança, gestão de riscos e conformidade com regulamentações têm sido tradicionalmente funções corporativas separadas. GRCé a coleção integrada de recursos que permite que uma organização atinja objetivos de forma confiável, lidando com incertezas e agindo com integridade. Abrange governança, garantia e desempenho de gestão, risco e conformidade. GRCé o negócio de como uma organização opera por meio da gestão de riscos, mantendo a conformidade com padrões externos e internos para otimizar o desempenho. GRC adota como processos, controles, segurança e cultura se integram para garantir que a organização tenha integridade. |
| Impacto | Usado para avaliar a gravidade de um risco, junto com a probabilidade. Ele avalia o nível de consequência que um risco específico teria em uma organização se/quando isso ocorresse. |
| Indicador | Uma métrica usada para coletar dados para monitorar controles e riscos e coletar evidências de auditoria. |
| Probabilidade inerente | A probabilidade do risco identificado ocorrer antes que qualquer estratégia de resposta seja implementada. |
| Risco inerente | O nível de exposição ao risco, em termos de probabilidade e impacto (ou significância), supondo que nenhum controle interno relacionado e nenhuma ação de mitigação ainda estejam em vigor. |
| Pontuação inerente | A pontuação do risco antes que qualquer estratégia de resposta seja implementada. |
| Significância inerente | Quão significativo o risco é antes que qualquer estratégia de resposta seja implementada. |
| Integridade | A propriedade pela qual as informações, um sistema de informação ou um componente de um sistema não foram modificados ou destruídos de maneira não autorizada. Estado em que as informações permaneceram inalteradas a partir do ponto em que foram produzidas por uma origem, durante a transmissão, armazenamento e eventual recebimento pelo destino. |
| Auditoria interna | Um departamento, divisão, equipe de consultores ou outros profissionais que fornece garantia e serviços de consultoria objetivos e independentes projetados para agregar valor e melhorar as operações de uma organização. A atividade de auditoria interna ajuda uma organização a atingir seus objetivos, trazendo uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de governança, gestão de riscos e controle. |
| Auditores internos | Funcionários do cliente responsáveis por fornecer análises, avaliações, garantias, recomendações e outras informações para a gestão e o conselho da entidade. Uma responsabilidade importante dos auditores internos é monitorar o desempenho dos controles. |
| Controles internos | As políticas, procedimentos, práticas e estruturas organizacionais projetadas para fornecer garantia razoável de que os objetivos de negócios são atingidos e eventos indesejados são evitados ou detectados e corrigidos. |
| Ocorrência | . GRC Tarefa que permite que os usuários finais documentem Problemas de controle e risco e rastreiem a resposta para corrigir ou aceitar o problema. |
| Governança DE TI | A liderança, as estruturas organizacionais e os processos que garantem que a TI da empresa mantenha e estenda as estratégias e os objetivos da empresa. É responsabilidade dos executivos e do conselho de administração. |
| . GRC | Abrange o software e o hardware e as políticas e procedimentos relacionados usados para oferecer suporte aos esforços de gestão de riscos e conformidade de uma perspectiva DE TI com base nas práticas recomendadas estabelecidas. |
| Probabilidade | A probabilidade de que algo aconteceu. |
| Gestão | O ato de direcionar, controlar e avaliar internamente uma entidade, processo ou recurso. |
| Controles manuais | Controles executados manualmente, não pelo computador. |
| Material (materialidade) | Um risco é material quando é possível calcular seu impacto financeiro. |
| Mitigação | Reduzir o risco associado a uma violação específica de uma regra. Antes que ocorra um risco, ações de mitigação apropriadas são implementadas para resolver possíveis falhas de controle relacionadas e/ou reduzir a exposição ao risco. |
| Objetivo | Algo que uma entidade pretende alcançar ou realizar. |
| Auditoria operacional | Uma auditoria projetada para avaliar os vários controles internos, economia e eficiência de uma função ou departamento. |
| Controles operacionais | Controles relacionados à operação diária de uma empresa ou empresa para garantir que todos os objetivos sejam atingidos. |
| Riscos operacionais | Riscos relacionados às pessoas, processos e sistemas necessários para alcançar a missão e os objetivos de uma organização. |
| Objetividade | A capacidade de avaliar registros do cliente sem noções ou preconceitos preconcebidos. |
| Obrigações | As declarações sobre obrigações tratam se os passivos são obrigações da entidade em uma determinada data. Por exemplo, a gestão afirma que os valores capitalizados para leasing no balanço patrimonial representam o custo dos direitos da entidade à propriedade arrendada e que o passivo de leasing correspondente representa uma obrigação da entidade. |
| Responsável | O responsável por um risco, um controle ou uma tarefa de mitigação/correção aceita sua responsabilidade. Eles podem delegar algumas tarefas relacionadas à propriedade, mas permanecem responsáveis perante a organização. |
| Revisor par | Um programa de monitoramento de prática no qual a documentação de auditoria de uma empresa de CPA é revisada periodicamente por parceiros independentes de outras empresas para determinar se está em conformidade com os padrões da profissão. |
| Plano | O planejamento de auditoria está desenvolvendo uma estratégia geral para a conduta e o escopo da auditoria. A natureza, a extensão e o momento do planejamento variam de acordo com o tamanho e a complexidade da entidade, a experiência com a entidade e o conhecimento do negócio. Ao planejar a auditoria, o auditor considera os negócios da entidade e seu setor, suas políticas e procedimentos contábeis, os métodos usados para processar informações contábeis, o nível avaliado planejado de risco de controle e o julgamento preliminar do auditor sobre a materialidade da auditoria. |
| Política | Um documento que registra um princípio de alto nível ou curso de ação que foi decidido. O objetivo pretendido é influenciar e orientar a tomada de decisões presentes e futuras para que estejam alinhadas com a filosofia, objetivos e planos estratégicos estabelecidos pelas equipes de gestão da empresa. Além do conteúdo da política, as políticas descrevem as consequências do não cumprimento da política, os meios para lidar com exceções e a maneira como a conformidade com a política é verificada e medida. Em ServiceNow®, as políticas aprovadas são publicadas em Base de conhecimento. As políticas estão relacionadas a documentos de autoridade e registros de controle. As declarações de política definem detalhes específicos que um processo segue em uma política. |
| Controle preventivo | Um controle projetado para evitar um evento não intencional. |
| Procedimento | Uma ação, como uma etapa realizada como parte de um programa de auditoria ou como parte dos controles internos do cliente. Fornece o "como fazer" das políticas e orienta sua implementação. Os procedimentos são específicos do público e fornecem instruções exatas que garantem a conformidade com uma determinada política. ServiceNow® trata políticas e procedimentos da mesma maneira; portanto, os termos podem ser usados de forma intercambiável. Isso pode ser diferente de estruturas, como o COBIT 5,1, que define políticas e procedimentos como dois itens separados. |
| Ceticismo profissional | Abordar uma auditoria com uma mentalidade questionadora. |
| Impacto qualitativo | Inclui classificações de impacto (refere-se à importância de um risco) e probabilidade (refere-se à probabilidade de ocorrência de um risco). A pontuação é calculada multiplicando o impacto pela probabilidade. Um impacto geralmente expresso usando uma escala ordinal ou escala nominal. |
| Impacto quantitativo | Um efeito positivo/negativo nos ativos financeiros, ativos tangíveis, ativos incorpóreos, continuidade de negócios e saúde e segurança. Calculado por Expectativa de perda única (SLE) x Taxa anualizada de ocorrência (ARO): Expectativa de perda anualizada (ALE). Um impacto quantitativo é expresso numericamente. |
| Questionário | Um questionário de controle interno é uma lista de perguntas sobre o sistema de controle interno a serem respondidas (com respostas como sim, não ou não aplicável) durante o trabalho de campo de auditoria. O questionário faz parte da documentação do entendimento do auditor sobre os controles internos do cliente. |
| Amostra aleatória (amostragem de número aleatório) | Probabilidade idêntica de cada item da população ser selecionado para uma amostra. Além disso, o uso de números aleatórios para selecionar uma amostra aleatória de uma população. |
| Garantia razoável (um controle interno) | Um controle interno, não importa o quão bem projetado e operado, não pode garantir que os objetivos de uma entidade sejam atendidos devido a limitações inerentes em todos os sistemas de controle interno. |
| Correção | Depois que uma falha é identificada e avaliada, a correção apropriada pode ocorrer para mitigar ou eliminar a probabilidade residual do problema: A probabilidade de o risco identificado ocorrer depois que qualquer estratégia de resposta é implementada. |
| Requisito | Algo que uma entidade deve abordar como resultado de fazer uma promessa. |
| Probabilidade residual | A probabilidade do risco identificado ocorrer após a implementação de qualquer estratégia de resposta. |
| Risco residual | Nível de exposição ao risco, em termos de probabilidade e impacto (ou significância), depois que os controles internos relacionados e as ações de mitigação estiverem em vigor e forem eficazes. |
| Pontuação residual | A pontuação do risco após a implementação de qualquer estratégia de resposta. |
| Significância residual | Quão significativo o risco é depois que qualquer estratégia de resposta é implementada. |
| Risco | Qualquer risco é qualquer ameaça ou vulnerabilidade que possa afetar negativamente os objetivos de negócios de uma organização. Todos os riscos estão contidos em um repositório de risco. Os riscos podem estar relacionados a qualquer item, política, controle e tarefa de correção. Os riscos que exigem atenção imediata ou contínua podem ser mitigados, evitados ou controlados usando os controles definidos e os testes de controle relacionados. Uma declaração de risco é uma consequência definida que pode ocorrer se uma ameaça explorar uma vulnerabilidade. O risco é medido em termos de impacto (ou significância) e probabilidade. Os tipos de riscos incluem riscos operacionais (fraude, por exemplo), riscos de não conformidade (não arquivar os documentos adequados para cumprir a legislação) e riscos estratégicos (como um incidente que afeta a reputação de uma marca). O risco comercial associado ao uso, propriedade, operação, envolvimento, influência, e adoção da TI em uma empresa. |
| Análise de risco | O exame sistemático das informações disponíveis para determinar com que frequência os eventos especificados podem ocorrer e a magnitude de suas consequências. |
| Apetite de risco | Nível de risco que uma organização está disposta a aceitar na busca de seus objetivos. |
| Avaliação de riscos | A avaliação dos riscos enfrentados por uma entidade, ativo, sistema ou rede, operações organizacionais, indivíduos, outras organizações ou sociedade, e inclui determinar até que ponto circunstâncias ou eventos adversos podem resultar em consequências prejudiciais. |
| Critérios de risco | São valores quantitativos ou qualitativos em relação aos quais o nível de risco é avaliado. |
| Gestão de riscos | O objetivo da gestão de riscos é reduzir a incerteza. É o ato de gerenciar processos e recursos para lidar com o risco e, ao mesmo tempo, perseguir os objetivos da organização. O processo de identificar, analisar, avaliar e comunicar o risco e aceitar, evitar, transferir ou controlá-lo para um nível aceitável, considerando os custos e benefícios associados de quaisquer ações tomadas. |
| Estrutura de gestão de riscos | Um processo formalizado para gerenciar riscos de forma explícita. A estrutura consiste em uma avaliação de risco, resposta e responsabilidade pelas atividades de risco e mitigação em torno dela. |
| Redução de risco | Os processos integrados ao ambiente de controles, como políticas, estruturas e responsabilidades, que reduzem um risco. |
| Registro de riscos | Um repositório dos principais atributos de problemas de risco de TI potenciais e conhecidos. Os atributos podem incluir nome, descrição, proprietário, frequência esperada/real, nível inerente/residual, impacto nos negócios potencial/real e planos de mitigação/correção. |
| Resposta a riscos | A decisão de aceitar um risco, recusar um risco, tratar ou mitigar um risco ou compartilhar um risco com outra parte. |
| Declaração de risco | Declarações gerais sobre possíveis riscos ou ameaças que podem ocorrer em algum lugar de uma organização. |
| Tolerância do risco | O nível de risco que a empresa não está disposta a exceder para atingir objetivos. Representação do apetite de risco em termos de limite, geralmente financeiro, atribuído a vários níveis de gestão na organização para categorias de risco específicas. |
| Tamanho de amostra | O número de itens de preenchimento selecionados quando uma amostra é extraída de uma população. |
| Amostragem | Selecionar um número pequeno, mas pertinente e representativo de registros para representar toda a população de registros. |
| Risco de amostragem | A possibilidade de que as conclusões extraídas da amostra possam não representar conclusões corretas para toda a população. |
| SOD (Segregação de deveres) | Atribuir a diferentes pessoas as responsabilidades de autorizar transações, registrar transações e manter a custódia de ativos. A segregação de deveres reduz as oportunidades de uma pessoa cometer e ocultar erros ou fraudes. |
| Significância | Usado para avaliar a gravidade de um risco, junto com a probabilidade. Ele avalia o nível de consequência que um risco específico teria em uma organização se/quando isso ocorresse. |
| SLE | Expectativa de perda única (SLE): Expectativa de perda única: Valor do ativo x fator de exposição. |
| Parte interessada | Uma pessoa, grupo ou organização que tem participação direta ou indireta em uma organização porque pode afetar ou ser afetada pelas ações, objetivos e políticas da organização. |
| Padrão | Um pronunciamento profissional promulgado pelo Conselho de Padrões de Auditoria Interna que delineia os requisitos para a realização de uma ampla gama de atividades de auditoria interna e para avaliar o desempenho da auditoria interna. |
| Riscos estratégicos | Relacionado a objetivos estratégicos, como fatores políticos, prioridades do cliente, marca ou reputação. |
| Meta | Um valor mensurável que uma entidade se esforça para alcançar. |
| Testar | Uma amostra de uma população para estimar características da população. |
| Plano de testes | Um teste de auditoria específico do design e da eficácia operacional de um único controle. |
| Ameaça | Um evento que tem, em geral, um efeito indesejado na realização de objetivos. |
| Tolerância | O nível aceitável de saída de uma meta. |
| Unified Compliance Framework (UCF) | O Unified Compliance Framework (UCF) do Network Frontiers contém documentos de autoridade que podem ser importados para o. ServiceNow® instância. Para obter mais informações, consulte Estrutura de conformidade unificada . |
| Incerteza | O estado de ser incapaz de prever, determinar ou definir algo completamente. |