GRC Mises à jour de la nomenclature des applications et terminologie du secteur
Les termes suivants sont utilisés dans GRC les applications et/ou au sein de l’industrie GRC .
GRC Mises à jour de la nomenclature
À partir de la version précédente, de nombreux termes de toutes les GRC applications principales ont été mis à jour.
Remarque :
Ces mises à jour de termes s’appliquent à l’ensemble des étiquettes de navigation, boutons, messages d’information, titres de rapports, liens connexes, onglets et autres éléments de l’interface utilisateur.
| Module GRC | Précédent | Actuel |
|---|---|---|
| Définition du champ d'application | Profil | Entité |
| Types de profils | Types d’entités | |
| Classes de profil | Classes d'entités | |
| Mes profils | Mes entités | |
| Tous les profils | Toutes les entités | |
| Administration | Couches de profil | Niveaux d'entité |
| Règles de classe de profil | Règles de classe d'entité | |
| Indicateurs | champ | Champ Contrôle/Risque |
| Le champ Catégorie indique s’il s’agit d’un indicateur de conformité ou de risque | ||
| champ | Objectif du contrôle/Définition du risque | |
| Problèmes | champ | Objectif du contrôle/Définition du risque |
| champ | Contrôle/Risque | |
| Politique et Conformité | Déclaration de politique | Objectif de contrôle |
| Risque | champ | |
| champ | champ |
Références de l’industrie
| Terme | Définition |
|---|---|
| Bâle III | Il s’agit d’une norme internationale pour le secteur bancaire que les régulateurs peuvent utiliser lorsqu’ils établissent des réglementations sur le montant des fonds propres dont les banques doivent disposer pour compenser le risque potentiel. Plus un risque est élevé, plus elle doit disposer de fonds propres pour s’assurer qu’elle reste solvable. Il s’agit de la troisième norme de ce type émise par le Comité de Bâle sur le contrôle bancaire, d’où le nom de Bâle III. |
| CISA | Loi sur le partage d’informations sur la cybersécurité |
| CISM | Gestionnaire certifié de la sécurité de l’information |
| COBIT | Les objectifs de contrôle des technologies de l’information et des technologies connexes (COBIT) fournissent un cadre de gouvernance informatique permettant de gérer les risques et les problèmes de conformité en s’appuyant sur les meilleures pratiques. Publié par l’IT Governance Institute et l’Information Systems Audit and Control Association (ISACA). |
| COSO | Le Comité des organismes parrains (COSO) a été créé en 1985 pour parrainer la Commission nationale sur l’information financière frauduleuse. COSO est une initiative indépendante du secteur privé qui a étudié les facteurs de causalité qui peuvent mener à des rapports financiers frauduleux et a élaboré des recommandations à l’intention des sociétés ouvertes, de la SEC et d’autres organismes de réglementation et établissements d’enseignement. |
| L’EDPA | Loi européenne sur la protection des données |
| ENISA | Agence européenne de la sécurité des réseaux et de l’information |
| EUP | L’utilisation de l’énergie dans les produits (EUP) est une directive de l’UE qui oblige les entreprises à concevoir des produits qui consomment moins d’énergie. |
| Directive européenne sur la protection des données | Il s’agit de l’une des premières et des plus importantes lois sur la confidentialité des données qui traite spécifiquement de la confidentialité sur Internet. |
| FCA | Autorité de conduite financière |
| RGPD | Le Règlement général sur la protection des données (RGPD) est un règlement, entré en vigueur le 25 mai 2018, remplaçant la directive 95/46/CE sur la protection des données afin de renforcer et d’harmoniser les droits des citoyens de l’Union européenne en matière de protection des données. |
| GRI | La Global Reporting Initiative (GRI) est un groupe international qui a créé le cadre du G3 pour l’information sur le développement durable. |
| ITGI | IT Governance Institute |
| PII | Les informations d’identification personnelle (PII) sont les informations qui permettent de déduire directement ou indirectement l’identité d’une personne. |
| PCI DSS | La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est un ensemble de normes de sécurité conçues pour garantir que toutes les entreprises qui acceptent, traitent, stockent ou transmettent des informations de carte de crédit maintiennent un environnement sécurisé. |
| SOLVABILITÉ II | SOLVABILITÉ II |
| SOX | La loi Sarbanes-Oxley (SOX) a créé le Conseil de surveillance de la comptabilité des sociétés ouvertes et a ajouté des exigences pour les sociétés cotées en bourse, leurs dirigeants, leurs conseils d’administration et leurs auditeurs. Il a alourdi les peines pour les fraudes financières des entreprises. Cette loi américaine a été promulguée en réponse aux scandales financiers très médiatisés d’Enron et de WorldCom. Son objectif est de protéger les actionnaires et le grand public contre les erreurs comptables et les pratiques frauduleuses au sein de l’entreprise. La loi SOX s’applique aux sociétés qui sont cotées en bourse aux États-Unis. |
| Terme | Définition |
|---|---|
| ALE | Perte estimée annualisée (ALE) = perte estimée unique (SLE) x taux d’occurrence annualisé (ARO). Utilisé dans l’évaluation quantitative du risque. |
| ARO | Taux d’occurrence annualisé. |
| Acceptation | Un risque spécifique peut être accepté par la direction, ce qui empêche d’autres investissements dans des contrôles plus approfondis ou des niveaux d’atténuation plus élevés, s’il se situe dans le niveau de tolérance ou si une atténuation et un contrôle supplémentaires coûteraient en fait beaucoup plus cher que l’impact (ou l’importance) estimé du risque. |
| Assertion | Toute déclaration formelle ou ensemble de déclarations faites par la direction sur l’objet. |
| Évaluation | Examen général des différents aspects d’une société ou d’une fonction qui comprend des éléments qui ne sont pas couverts par une initiative de certification structurée. |
| Attestation | Processus de validation que quelque chose est vrai. Par exemple, l’efficacité ou la conformité d’un contrôle peut être attestée par le biais d’un questionnaire, signé électroniquement par son prestataire. |
| Audit | Inspection et vérification formelles pour vérifier si une norme ou un ensemble de lignes directrices est suivi, si les dossiers sont exacts ou si les objectifs d’efficience et d’efficacité sont atteints. Dans ServiceNow®, une organisation identifie tous les contrôles qu’elle souhaite tester en une seule fois et attribue la responsabilité de l’audit global à une seule personne. Une seule tâche gère le test de tous les contrôles. |
| Activités d’audit | L’une des tâches d’un audit qui est affectée à une personne pour l’exécution de l’audit. |
| Comité d’audit | Un comité, comprenant souvent des membres du conseil d’administration, chargé de superviser l’information financière et les contrôles internes. |
| Documentation d’audit (documents de travail) | Dossiers tenus par l’auditeur sur les procédures appliquées, les tests effectués, les informations obtenues et les conclusions pertinentes tirées dans le cadre de la mission. La documentation constitue le principal support du rapport de l’auditeur. |
| Éléments probants | Faits recueillis au cours des procédures d’audit qui fournissent une base raisonnable pour se forger une opinion sur les états financiers faisant l’objet de l’audit. |
| Objectif de l’audit | Lorsqu’il recueille des éléments probants à l’appui d’affirmations d’états financiers, l’auditeur élabore des objectifs d’audit précis à la lumière de ces affirmations. Par exemple, un objectif lié à l’assertion d’exhaustivité pour les soldes d’inventaire est que les quantités d’inventaire incluent tous les produits, matériaux et fournitures disponibles. |
| Observations d’audit | Utilisé par les auditeurs internes pour identifier les lacunes de contrôle ou identifier les nouveaux risques. |
| Contrôles automatisés | Contrôles internes exécutés automatiquement par les systèmes informatiques. Les contrôles manuels sont exécutés par une personne chargée de cette tâche et portent généralement sur un sous-ensemble de transactions et de données. Des contrôles automatisés peuvent être exécutés sur chaque transaction ou élément de données pertinent, garantissant une plus grande précision avec moins d’effort. |
| Documents de référence | Réglementations, certifications, cadres de travail, normes et bonnes pratiques qu’une organisation choisit ou est nécessaire pour se conformer aux réglementations. Les sources de référence sont liées aux contrôles, aux risques et aux politiques. |
| Risque pour l’entreprise | Risques susceptibles d’affecter négativement la capacité d’une entité à atteindre ses objectifs et à exécuter ses stratégies. |
| Score calculé | Le score calculé est dérivé du score inhérent et du score résiduel en tant que résultat global. Fait référence à l’exposition réelle au risque en fonction de la qualité du système de contrôle mis en œuvre. |
| Chaîne de traçabilité | Principe juridique relatif à la validité et à l’intégrité de la preuve. Elle exige que l’on rende des comptes pour tout ce qui est utilisé comme preuve dans le cadre d’une procédure judiciaire. Cela permet de s’assurer qu’il peut être comptabilisé à partir du moment où il a été recueilli jusqu’au moment où il est présenté devant un tribunal. |
| Directeur de la conformité (CCO) | Dirigeant d’entreprise chargé de superviser et de gérer les problèmes de conformité au sein d’une organisation. Cette personne s’assure qu’une entreprise se conforme aux exigences réglementaires et que l’entreprise se conforme aux politiques et procédures internes. |
| Directeur des opérations (COO) | Également appelé directeur des opérations, un cadre responsable des opérations quotidiennes de l’entreprise. |
| Directeur de la gestion des risques (CRO) | Également appelé Chief Risk Management Officer, un cadre en charge de la gestion des risques de l’entreprise et des efforts de conformité d’une entreprise. |
| Contenu des documents de référence | Notices avec les exigences spécifiques citées par un document de référence. La notice de citation relie les documents de référence à son contrôle applicable. |
| Conformité | L’acte d’adhérer et de démontrer le respect des lois, des règlements ou des politiques. La conformité concerne les réglementations dans de nombreux domaines, notamment la finance, l’environnement, le commerce mondial, la sécurité des travailleurs et la protection de la vie privée. |
| Confidentialité | Préserver les restrictions autorisées en matière d’accès et de divulgation, y compris les moyens de protection de la vie privée et des renseignements exclusifs. |
| Contrôle du confinement | Contrôle conçu pour limiter l’impact (ou l’importance) d’un risque, le cas échéant. |
| Contrôle | Activités de contrôle réelles exécutées par une organisation. Les enregistrements de contrôle comprennent les informations de base requises sur le contrôle (propriétaire, activité, fréquence, etc.). Les contrôles peuvent être liés à des contenus, des politiques et des risques sources faisant autorité. Toute mesure prise par la direction, le conseil d’administration et d’autres parties pour gérer les risques. La direction planifie, organise et dirige l’exécution de mesures suffisantes pour fournir une assurance raisonnable que les objectifs et les buts sont atteints. Les enregistrements de contrôle comprennent les informations de base requises sur le contrôle (propriétaire, activité, fréquence, etc.). Les contrôles peuvent être liés à des contenus, des politiques et des risques sources faisant autorité. |
| Cadre de travail de contrôle | Ensemble de contrôles fondamentaux qui effectuent et préservent la cartographie croisée des contrôles afin de prévenir les pertes financières, les pertes d’informations ou, plus généralement, de prévenir les risques au sein d’une entreprise. |
| Instance de contrôle | Exécution réelle d’une définition de test de contrôle, périodiquement ou sur demande, montrant l’échantillon de données de résultat, l’attestation ou le résultat manuel des activités de test. |
| Définitions de tests de contrôle | Les définitions de tests de contrôle spécifient comment et quand les contrôles sont testés, y compris les étapes de test, les résultats attendus, le groupe ou la personne responsable des tests et le calendrier des tests. Les instances de test de contrôle sont générées automatiquement à partir du calendrier de test. Des rattrapages sont automatiquement créés lorsque les tests de contrôle échouent ou lorsque des observations d’audit sont notées. |
| Contrôles correctifs | Contrôles internes qui entrent en jeu une fois qu’un problème est détecté. Il peut s’agir, par exemple, de supprimer l’accès aux utilisateurs qui disposent de privilèges excessifs ou d’exécuter un plan de sauvegarde et de récupération après qu’un sinistre physique se soit produit. |
| Gestion de la performance de l’entreprise | La gestion de la performance d’entreprise (CPM) est une combinaison de gestion de la stratégie, de planification, de reporting et de consolidation, ainsi que de modélisation des revenus, des coûts et de la rentabilité qui permet aux entreprises de mesurer leurs performances et de les améliorer. |
| Détecter | Progrès continus vers l’atteinte des objectifs ainsi que vers les conditions et les événements indésirables réels et potentiels à l’aide de mesures et de contrôles de gestion. |
| Contrôle de détection | Contrôle conçu pour détecter un événement ou un résultat non intentionnel. Il peut également détecter si et quand un risque spécifique se produit. |
| Effet | Mesure de la probabilité, du calendrier et de l’impact d’un événement sur un événement. |
| Un contrôle interne efficace | Assurance raisonnable que les objectifs opérationnels sont atteints, que les états financiers publiés sont préparés de manière fiable et que l’entité se conforme aux lois et règlements applicables. |
| Engagement | Projet d’audit qui peut inclure des tâches d’audit permettant d’atteindre un ensemble d’objectifs ou de buts. |
| Événement | Une action, une occurrence ou un changement de condition observable. Un événement inclut un changement dans les connaissances sur une condition, même si la condition n’a pas changé. |
| Entité | Concept fondamental de GRC, les entités sont utilisées pour modéliser tout élément d’entreprise pour lequel des contrôles et des risques peuvent être associés. Par exemple : unités business, serveurs, ordinateurs portables. |
| Type d'entité | Utilisé pour faire référence à plusieurs entités similaires. Par exemple : unité commerciale Asie/Pacifique, serveurs Linux, MacBook Pro. |
| Évaluer | Pour mesurer quelque chose par rapport à des critères. |
| Preuve (question de preuve) | Comprend des renseignements écrits et électroniques (tels que des chèques, des relevés de virements électroniques de fonds, des factures, des contrats et d’autres renseignements) qui permettent à l’auditeur de tirer des conclusions par le biais d’un raisonnement. |
| Fraude | Tout acte illégal caractérisé par la tromperie, la dissimulation ou l’abus de confiance. Ces actes ne dépendent pas de la menace de violence ou de la force physique. Les fraudes sont perpétrées par des parties et des organisations dans le but d’obtenir de l’argent, des biens ou des services et d’éviter le paiement ou la perte de services ou d’obtenir un avantage personnel ou commercial. |
| Contrôles généraux | Politiques et procédures visant à assurer le bon fonctionnement des systèmes informatiques, y compris les contrôles sur l’exploitation du réseau, l’acquisition et la maintenance des logiciels, et la sécurité des accès. |
| Gouvernance, risque et conformité (GRC) | La gouvernance, la gestion des risques et la conformité aux réglementations sont traditionnellement des fonctions distinctes de l’entreprise. GRC est l’ensemble intégré d’options qui permettent à une organisation d’atteindre ses objectifs de manière fiable tout en faisant face à l’incertitude et en agissant avec intégrité. Il englobe la gouvernance, l’assurance et la performance de gestion, le risque et la conformité. GRC est l’activité de la façon dont une organisation fonctionne grâce à la gestion des risques tout en restant conforme aux normes externes et internes afin d’optimiser les performances. GRC intègre la façon dont les processus, les contrôles, la sécurité et la culture s’intègrent pour garantir l’intégrité de l’organisation. |
| Impact | Utilisé pour évaluer la gravité d’un risque, ainsi que la probabilité. Il évalue le niveau de conséquence qu’un risque spécifique aurait sur une organisation si/quand il se produirait. |
| Indicateur | Mesure utilisée pour collecter des données afin de surveiller les contrôles et les risques, et de collecter des éléments probants. |
| Probabilité | Probabilité que le risque identifié se produise avant l’implémentation de toute stratégie d’intervention. |
| Risque inhérent | Le niveau d’exposition aux risques, en termes de probabilité et d’impact (ou d’importance), en supposant qu’aucun contrôle interne connexe et aucune mesure d’atténuation ne soient encore en place. |
| Score inhérent | Score du risque avant l’implémentation de toute stratégie d’intervention. |
| Importance | Importance du risque avant l’implémentation de toute stratégie d’intervention. |
| Intégrité | Propriété selon laquelle des informations, un système d’information ou un composant d’un système n’ont pas été modifiés ou détruits de manière non autorisée. État dans lequel l’information est restée inchangée à partir du moment où elle est produite par une source, pendant la transmission, le stockage et la réception éventuelle par la destination. |
| Audit interne | Un département, une division, une équipe de consultants ou d’autres praticiens qui fournissent des services d’assurance et de consultation indépendants et objectifs conçus pour ajouter de la valeur et améliorer les opérations d’une organisation. L’activité d’audit interne aide une organisation à atteindre ses objectifs en adoptant une approche systématique et disciplinée afin d’évaluer et d’améliorer l’efficacité des processus de gouvernance, de gestion des risques et de contrôle. |
| Auditeurs internes | Les employés du client chargés de fournir des analyses, des évaluations, des assurances, des recommandations et d’autres informations à la direction et au conseil d’administration de l’entité. L’une des responsabilités importantes des auditeurs internes est de surveiller l’exécution des contrôles. |
| Contrôles internes | Les politiques, procédures, pratiques et structures organisationnelles conçues pour fournir une assurance raisonnable que les objectifs commerciaux sont atteints et que les événements indésirables sont évités ou détectés et corrigés. |
| Problème | Une GRC tâche qui permet aux utilisateurs finaux de documenter les problèmes de contrôle et de risque et de suivre la réponse pour corriger ou accepter le problème. |
| Gouvernance informatique | La direction, les structures organisationnelles et les processus qui garantissent que l’informatique de l’entreprise soutient et étend les stratégies et les objectifs de l’entreprise. C’est la responsabilité de la direction et du conseil d’administration. |
| IL GRC | Englobe les politiques et procédures logicielles et matérielles ainsi que les politiques et procédures connexes utilisées pour soutenir les efforts de conformité et de gestion des risques d’un point de vue informatique basé sur les meilleures pratiques établies. |
| Probabilité | Probabilité que quelque chose se soit produit. |
| Gestion | L’acte de diriger, de contrôler et d’évaluer en interne une entité, un processus ou une ressource. |
| Commandes manuelles | Contrôles effectués manuellement, et non par ordinateur. |
| Matériau (matérialité) | Un risque est important lorsqu’il est possible d’en calculer l’impact financier. |
| Atténuation | Réduire le risque associé à une violation particulière d’une règle. Avant qu’un risque ne survienne, des mesures d’atténuation appropriées sont mises en place pour résoudre les éventuelles défaillances de contrôle connexes et/ou pour réduire l’exposition au risque. |
| Objectif | Quelque chose qu’une entité a l’intention d’atteindre ou d’accomplir. |
| Audit opérationnel | Audit visant à évaluer les différents contrôles internes, l’économie et l’efficacité d’une fonction ou d’un département. |
| Contrôles opérationnels | Contrôles relatifs au fonctionnement quotidien d’une société ou d’une entreprise visant à s’assurer que tous les objectifs sont atteints. |
| Risques opérationnels | Risques liés aux personnes, aux processus et aux systèmes nécessaires à la réalisation de la mission et des objectifs d’une organisation. |
| Objectivité | La capacité d’évaluer les dossiers des clients sans idées préconçues ni préjugés. |
| Obligations | Les assertions sur les obligations portent sur la question de savoir si les passifs sont des obligations de l’entité à une date donnée. Par exemple, la direction affirme que les montants capitalisés pour les contrats de location inscrits au bilan représentent le coût des droits de l’entité sur les biens loués et que le passif locatif correspondant représente une obligation de l’entité. |
| Propriétaire | Le propriétaire d’un risque, d’un contrôle ou d’une tâche d’atténuation/correction accepte sa responsabilité. Ils peuvent déléguer certaines tâches liées à la propriété, mais ils restent responsables envers l’organisation. |
| Révision par les pairs | Programme de surveillance de la pratique dans le cadre duquel les documents d’audit d’un cabinet de CPA sont examinés périodiquement par des associés indépendants d’autres cabinets afin de déterminer s’ils sont conformes aux normes de la profession. |
| Plan | La planification de l’audit consiste à élaborer une stratégie globale pour la conduite et la portée de l’audit. La nature, l’étendue et le calendrier de la planification varient en fonction de la taille et de la complexité de l’entité, de l’expérience avec l’entité et de la connaissance de l’entreprise. Lors de la planification de l’audit, l’auditeur tient compte des activités et du secteur d’activité de l’entité, de ses méthodes et procédures comptables, des méthodes utilisées pour traiter l’information comptable, du niveau de risque de contrôle évalué prévu et de son jugement préliminaire sur l’importance relative de l’audit. |
| Stratégie | Document qui consigne un principe de haut niveau ou un plan d’action qui a été décidé. L’objectif visé est d’influencer et d’orienter la prise de décision actuelle et future afin qu’elle soit conforme à la philosophie, aux objectifs et aux plans stratégiques établis par les équipes de direction de l’entreprise. Outre le contenu de la politique, les politiques décrivent les conséquences du non-respect de la politique, les moyens de gérer les exceptions et la manière dont la conformité à la politique est vérifiée et mesurée. En ServiceNow®, les politiques approuvées sont publiées dans le Base de connaissances. Les politiques sont liées aux documents de référence et aux enregistrements de contrôle. Les déclarations de politique définissent les détails spécifiques qu’un processus suit au sein d’une politique. |
| Contrôle préventif | Contrôle conçu pour éviter un événement involontaire. |
| Procédure | Une action, telle qu’une étape effectuée dans le cadre d’un programme d’audit ou dans le cadre des contrôles internes du client. Fournit le mode d’emploi des politiques et guide leur mise en œuvre. Les procédures sont spécifiques à l’audience et fournissent des instructions précises qui garantissent la conformité avec une politique donnée. ServiceNow® traite les politiques et les procédures de la même manière ; par conséquent, les termes peuvent être utilisés de manière interchangeable. Cela peut différer des cadres, tels que COBIT 5.1, qui définit les politiques et les procédures comme deux éléments distincts. |
| L’esprit critique | Aborder un audit avec un état d’esprit interrogatif. |
| Impact qualitatif | Inclut les évaluations Impact (fait référence à l’importance d’un risque) et Probabilité (fait référence à la probabilité qu’un risque se produise). Le score est calculé en multipliant l’impact par la probabilité. Un impact souvent exprimé à l’aide d’une échelle ordinale ou d’une échelle nominale. |
| Impact quantitatif | Un effet positif/négatif sur les actifs financiers, les actifs corporels, les actifs incorporels, la continuité de l’activité et la santé et la sécurité. Calculé selon la perte estimée unique (SLE) x le taux d’occurrence annualisé (ARO) = perte estimée annualisée (ALE). Un impact quantitatif est exprimé numériquement. |
| Questionnaire | Un questionnaire de contrôle interne est une liste de questions sur le système de contrôle interne auxquelles il faut répondre (avec des réponses telles que oui, non ou sans objet) lors du travail sur le terrain de l’audit. Le questionnaire fait partie de la documentation sur la compréhension qu’a l’auditeur des contrôles internes du client. |
| Échantillon aléatoire (échantillonnage en nombres aléatoires) | Probabilité identique que chaque élément de population soit sélectionné pour un échantillon. En outre, l’utilisation de nombres aléatoires pour sélectionner un échantillon aléatoire d’une population. |
| Assurance raisonnable (un contrôle interne) | Un contrôle interne, aussi bien conçu et exploité soit-il, ne peut garantir l’atteinte des objectifs d’une entité en raison des limites inhérentes à tous les systèmes de contrôle interne. |
| Rattrapage | Une fois qu’une défaillance a été identifiée et évaluée, des mesures correctives appropriées peuvent être mises en place pour atténuer ou éliminer le problème Probabilité résiduelle : probabilité que le risque identifié se produise après l’implémentation d’une stratégie d’intervention. |
| Besoin | Quelque chose qu’une entité doit aborder à la suite d’une promesse. |
| Probabilité résiduelle | Probabilité que le risque identifié se produise après l’implémentation de toute stratégie d’intervention. |
| Risque résiduel | Niveau d’exposition au risque, en termes de probabilité et d’impact (ou d’importance), une fois que les contrôles internes et les mesures d’atténuation connexes sont en place et efficaces. |
| Score résiduel | Score du risque après l’implémentation de toute stratégie d’intervention. |
| Importance résiduelle | Importance du risque après l’implémentation d’une stratégie d’intervention. |
| Risque | Un risque est une menace ou une vulnérabilité susceptible d’avoir un impact négatif sur les objectifs business d’une organisation. Tous les risques sont contenus dans un référentiel de risques. Les risques peuvent être associés à n’importe quel élément, politique, contrôle et tâche de correction. Les risques nécessitant une attention immédiate ou continue peuvent être atténués, évités ou contrôlés à l’aide des contrôles définis et des tests de contrôle associés. Une définition du risque est une conséquence définie qui peut se produire si une menace exploite une vulnérabilité. Le risque est mesuré en termes d’impact (ou d’importance) et de probabilité. Les types de risques comprennent les risques opérationnels (fraude, par exemple), les risques de non-conformité (ne pas déposer les documents appropriés pour se conformer à la législation) et les risques stratégiques (tels qu’un incident qui affecte la réputation d’une marque). Risque commercial associé à l’utilisation, à la propriété, à l’exploitation, à la participation, à l’influence et à l’adoption de l’informatique au sein d’une entreprise. |
| Analyse des risques | L’examen systématique de l’information disponible pour déterminer la fréquence à laquelle certains événements peuvent se produire et l’ampleur de leurs conséquences. |
| Appétence pour le risque | Niveau de risque qu’une organisation est prête à accepter dans la poursuite de ses objectifs. |
| Évaluation des risques | L’évaluation des risques auxquels sont confrontés une entité, un bien, un système ou un réseau, des activités organisationnelles, des personnes, une zone géographique, d’autres organisations ou de la société, et comprend la détermination de la mesure dans laquelle des circonstances ou des événements défavorables pourraient entraîner des conséquences préjudiciables. |
| Critères de risque | Il s’agit de valeurs quantitatives ou qualitatives par rapport auxquelles le niveau de risque est évalué. |
| Gestion des risques | L’objectif de la gestion des risques est de réduire l’incertitude. Il s’agit de gérer les processus et les ressources pour gérer les risques tout en poursuivant les objectifs de l’organisation. Processus d’identification, d’analyse, d’évaluation et de communication des risques et d’acceptation, d’évitement, de transfert ou de contrôle des risques à un niveau acceptable compte tenu des coûts et des avantages associés à toutes les mesures prises. |
| Cadre de gestion des risques | Un processus formalisé de gestion des risques sur une base explicite. Le cadre consiste en une évaluation des risques, une réponse et une responsabilisation pour les activités liées aux risques et à l’atténuation. |
| Atténuation du risque | Processus intégrés dans l’environnement des contrôles, tels que les politiques, les cadres de travail et les responsabilités, qui réduisent un risque. |
| Registre des risques | Un référentiel des attributs clés des problèmes de risque informatiques potentiels et connus. Les attributs peuvent inclure le nom, la description, le propriétaire, la fréquence prévue/réelle, le niveau inhérent/résiduel, l’impact potentiel/réel sur l’entreprise et les plans d’atténuation/rattrapage. |
| Réponse aux risques | Décision d’accepter un risque, de refuser un risque, de traiter ou d’atténuer un risque, ou de partager un risque avec une autre partie. |
| Définition du risque | Déclarations générales sur les risques ou menaces potentiels qui pourraient se produire quelque part au sein d’une organisation. |
| Tolérance au risque | Niveau de risque que l’organisation n’est pas disposée à dépasser pour atteindre les objectifs. Représentation de l’appétence au risque en termes de seuil, généralement financier, donnée aux différents niveaux de gestion de l’organisation pour des catégories de risques spécifiques. |
| Taille de l'échantillon | Nombre d’éléments de population sélectionnés lorsqu’un échantillon est tiré d’une population. |
| Échantillonnage | Sélection d’un nombre restreint mais pertinent et représentatif d’enregistrements pour représenter l’ensemble de la population d’enregistrements. |
| Risque d’échantillonnage | La possibilité que les conclusions tirées de l’échantillon ne représentent pas des conclusions correctes pour l’ensemble de la population. |
| Séparation des tâches (SoD) | Attribuer à différentes personnes les responsabilités d’autoriser les transactions, d’enregistrer les transactions et de maintenir la garde des actifs. La séparation des tâches réduit les possibilités pour une personne de commettre et de dissimuler des erreurs ou des fraudes. |
| Importance | Utilisé pour évaluer la gravité d’un risque, ainsi que la probabilité. Il évalue le niveau de conséquence qu’un risque spécifique aurait sur une organisation si/quand il se produirait. |
| SLE | Perte estimée simple (SLE) = Perte estimée unique = Valeur de l’actif x Facteur d’exposition. |
| Personne concernée | Une personne, un groupe ou une organisation qui a un intérêt direct ou indirect dans une organisation parce qu’il peut affecter ou être affecté par les actions, les objectifs et les politiques de l’organisation. |
| Standard | Une déclaration professionnelle promulguée par le Conseil des normes d’audit interne qui définit les exigences relatives à l’exécution d’un large éventail d’activités d’audit interne et à l’évaluation du rendement de l’audit interne. |
| Risques stratégiques | Se rapportant à des objectifs stratégiques tels que des facteurs politiques, les priorités des clients, la marque ou la réputation. |
| Cible | Une valeur mesurable qu’une entité s’efforce d’atteindre. |
| Test | Échantillon d’une population pour estimer les caractéristiques de la population. |
| Plan de tests | Un test d’audit spécifique de la conception et de l’efficacité opérationnelle d’un seul contrôle. |
| Menace | Un événement qui, dans l’ensemble, a un effet indésirable sur l’atteinte des objectifs. |
| Tolérance | Niveau acceptable d’écart par rapport à une cible. |
| Cadre de travail de conformité unifié (UCF) | Network Frontiers Unified Compliance Framework (UCF) contient des documents de référence qui peuvent être importés dans l’instance ServiceNow® . Pour plus d’informations, consultez Unified Compliance Framework. |
| Incertitude | L’état d’être incapable de prédire, de déterminer ou de définir complètement quelque chose. |