GRC atualizações de nomenclatura de aplicações e terminologia do setor
Os termos a seguir são usados em GRC aplicações e/ou no setor GRC.
GRC atualizações de nomenclatura
A partir da versão anterior, muitos termos em todas as aplicações principais GRC foram atualizados.
Nota:
Essas atualizações de termo se aplicam a todos os rótulos de navegação, botões, mensagens informativas, títulos de relatório, links relacionados, guias e outros elementos de IU.
| Módulo GRC | Anterior | Atual |
|---|---|---|
| Escopo | Perfil | Entidade |
| Tipos de Perfil | Tipos de entidade | |
| Classes de Perfil | Classes de Entidades | |
| Meus Perfis | Minhas Entidades | |
| Todos os Perfis | Todas as entidades | |
| Administração | Camadas de Perfil | Camadas de Entidade |
| Regras de classe de perfil | Regras de Classe da Entidade | |
| Indicadores | Assunto: | Campo decontrole/risco |
| O campo decategoria indica se é um indicador de conformidade ou de risco | ||
| Assunto: | Objetivo de controle/Declaração de risco | |
| Problemas | Assunto: | Objetivo de controle/Declaração de risco |
| Assunto: | Controle/risco | |
| Policy and Compliance | Declaração de Política | Objetivo de Controle |
| Risco | Assunto: | |
| Assunto: | Assunto: |
Referências do setor
| Termo | Definição |
|---|---|
| Basel III | Um padrão internacional para serviços bancários que os reguladores podem usar ao fazer regulamentações sobre quanto capital os bancos devem ter para compensar o risco potencial. Quanto mais risco um banco tem, mais capital ele deve ter para garantir que ele permaneça Solvente. O regulamento foi o terceiro padrão emitido pelo Comitê de Supervisão Bancária da Basel e, portanto, o nome de Basel III. |
| CISA | Lei de compartilhamento de informações de segurança cibernética |
| CISM | Gerenciador de segurança da informação certificado |
| COBIT | Os objetivos de controle para informações e tecnologias relacionadas (COBIT) fornecem uma estrutura de governança de TI para gerenciar problemas de risco e conformidade com base nas práticas recomendadas. Publicado pelo IT Governance Institute e pela Information Systems Audit and Control Association (ISACA). |
| COSO | O Comitê de Organizações Patrocinadoras (COSO) foi formado em 1985 para patrocinador da Comissão Nacional de Relatórios Financeiros Fraudulentos. A COSO é uma iniciativa independente do setor privado que estudou os fatores causais que podem levar a relatórios financeiros fraudulentos e desenvolveu recomendações para empresas públicas, a SEC e outros reguladores e instituições educacionais. |
| EDPA | Lei de Privacidade de Dados da Europa |
| ENISA | Agência Europeia de Segurança da Informação e de Redes |
| EUP | O uso de energia em produtos (EUP) é uma diretiva da UE que exige que as empresas projetem produtos para usar menos energia. |
| Diretiva Europeia sobre Proteção de Dados | Uma das primeiras e mais importantes peças da legislação de privacidade de dados que trata especificamente da privacidade na Internet. |
| FCA | Autoridade de Conduta Financeira |
| GDPR | O Regulamento Geral de Proteção de Dados (GDPR) é um regulamento, em vigor a partir de 25 de maio de 2018, que substitui a Diretiva de Proteção de Dados 95/46/ec para fortalecer e harmonizar os direitos de proteção de dados dos cidadãos da União Europeia. |
| GRI | A Global Reporting Iniciative (GRI) é um grupo internacional que criou a estrutura G3 para relatórios de sustentabilidade. |
| ITGI | IT Governance Institute |
| PII | Informações de identificação pessoal/Informações de identificação pessoal (PII) são as informações que permitem que a identidade de um indivíduo seja inferida direta ou indiretamente. |
| PCI DSS | O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um conjunto de padrões de segurança projetados para garantir que todas as empresas que aceitam, processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente seguro. |
| SOLVÊNCIA II | SOLVÊNCIA II |
| SOX | A Lei Sarbanes-Oxley (SOX) estabeleceu o Public Company Accounting Oversight Board e adicionou requisitos para empresas de capital aberto, seus diretores, conselhos e auditores. Ele aumentou as penalidades para fraudes financeiras corporativas. Esta legislação dos EUA foi aprovada em resposta aos escandalos financeiros da Enron e da WorldCom. Seu objetivo é proteger os accionistas e o público em geral de erros contabilísticos e práticas fraudulentas na empresa. SOX se aplica a empresas que negociam publicamente nos EUA |
| Termo | Definição |
|---|---|
| ALE | Expectativa de perda anualizada (ALE) = Expectativa de perda única (SLE) x Taxa de ocorrência anualizada (ARO). Usado na pontuação de risco quantitativo. |
| ARO | Taxa anualizada de ocorrência. |
| Aceitação | Um risco específico pode ser aceito pela gestão, interrompendo investimentos adicionais em controles mais profundos ou níveis mais altos de mitigação, se estiver dentro do nível de Tolerância ou se mitigação e controle adicionais realmente custem muito mais do que o Impacto estimado (ou significância) de o risco. |
| Estipulação | Qualquer declaração formal ou conjunto de declarações sobre o assunto feitas pela gestão. |
| Avaliação | Uma revisão ampla dos diferentes aspectos de uma empresa ou função que inclui elementos não cobertos por uma iniciativa de garantia estruturada. |
| Certificação | Processo de validação de que algo é verdadeiro. Por exemplo, uma eficácia ou conformidade de controle pode ser certificada por meio de um questionário, assinado eletronicamente por seu executante. |
| Auditoria | Inspeção e verificação formais para verificar se um padrão ou conjunto de diretrizes está sendo seguido, se os registros são precisos ou se as metas de eficiência e eficácia estão sendo atendidas. Em ServiceNow®, uma organização identifica todos os controles que deseja testar de uma só vez e atribui a responsabilidade da auditoria geral a uma única pessoa. Uma única tarefa gerencia o teste de todos os controles. |
| Atividades de auditoria | Uma das tarefas em uma auditoria que é atribuída a um indivíduo para execução da auditoria. |
| Comitê de auditoria | Um comitê, geralmente incluindo membros do conselho de administração, responsável por supervisionar os relatórios financeiros e os controles internos. |
| Documentação de auditoria (papéis de trabalho) | Registros mantidos pelo auditor de procedimentos aplicados, testes realizados, informações obtidas e conclusões pertinentes obtidas no compromisso. A documentação fornece o suporte principal para o relatório do auditor. |
| Evidência de auditoria | Fatos coletados durante os procedimentos de auditoria que fornecem uma base razoável para a formação de uma opinião sobre as declarações financeiras sob auditoria. |
| Objetivo de auditoria | Ao obter evidências em apoio às declarações financeiras, o auditor desenvolve objetivos de auditoria específicos à luz dessas declarações. Por exemplo, um objetivo relacionado à declaração de completude para saldos de inventário é que as quantidades de inventário incluem todos os produtos, materiais e suprimentos disponíveis. |
| Observações de auditoria | Usado por auditores internos para identificar lacunas de controle ou identificar novos riscos. |
| Controles automatizados | Controles internos executados automaticamente por sistemas de computador. Os controles manuais são executados por uma pessoa encarregada dessa tarefa e normalmente são realizados em um subconjunto de transações e dados. Os controles automatizados podem ser executados em todas as transações ou elementos de dados relevantes, garantindo maior precisão com menos esforço. |
| Documentos de autoridade | Os regulamentos, certificações, estruturas, padrões e práticas recomendadas que uma organização escolhe ou são necessários para a conformidade com os regulamentos. Os documentos de autoridade estão relacionados a controles, riscos e políticas. |
| Risco de negócio | Riscos que podem afetar negativamente a capacidade de uma entidade de atingir seus objetivos e executar suas estratégias. |
| Pontuação calculada | A pontuação calculada é derivada da pontuação inerente e da pontuação residual como um resultado geral. Refere-se à exposição real de risco com base na qualidade do sistema de controle implementado. |
| Cadeia de custódia | Um princípio jurídico sobre a validade e a integridade das evidências. Requer responsabilidade por qualquer coisa usada como evidência em um processo jurídico. Isso garante que ele possa ser contabilizado desde o momento em que foi coletado até o momento em que é apresentado em um tribunal. |
| Diretor de conformidade (CCO) | Um funcionário corporativo encarregado de supervisionar e gerenciar problemas de conformidade em uma organização. Essa pessoa garante que uma empresa esteja em conformidade com os requisitos regulatórios e que a empresa esteja em conformidade com as políticas e procedimentos internos. |
| Diretor de operações (COO) | Também chamado de diretor de operações, um executivo encarregado das operações diárias da empresa. |
| Diretor de risco (CRO) | Também chamado de diretor de gestão de riscos, um executivo encarregado da gestão de riscos empresariais e dos esforços de conformidade de uma empresa. |
| Citações | Registros com os requisitos específicos citados por um documento de autoridade. O registro de citação relaciona os documentos de autoridade ao controle aplicável. |
| Compliance | O ato de aderir e demonstrar adesão a leis, regulamentos ou políticas. A conformidade está relacionada a regulamentações em muitas áreas, incluindo finanças, meio ambiente, comércio global, segurança do trabalhador e privacidade. |
| Confidencialidade | Preservar restrições autorizadas de acesso e divulgação, incluindo meios para proteger a privacidade e as informações proprietárias. |
| Controle de contenção | Controle projetado para limitar o impacto (ou significância) de um risco, se ele ocorrer. |
| Controle | As atividades de controle reais que são realizadas por uma organização. Os registros de controle incluem informações básicas necessárias sobre o controle (proprietário, atividade, frequência e assim por diante). Os controles podem ser relacionados a conteúdos de origem autorizada, políticas e riscos. Qualquer ação realizada pela gestão, pelo conselho e por outras partes para gerenciar o risco. A gestão planeja, organiza e direciona o desempenho de ações suficientes para fornecer uma garantia razoável de que os objetivos e metas sejam alcançados. Os registros de controle incluem informações básicas necessárias sobre o controle (proprietário, atividade, frequência e assim por diante). Os controles podem ser relacionados a conteúdos de origem autorizada, políticas e riscos. |
| Estrutura de controle | Um conjunto de controles fundamentais que executam e preservam o mapeamento cruzado de controles para evitar perdas financeiras, perdas de informações ou, de forma mais geral, para evitar riscos em uma empresa. |
| Instância de controle | A execução real de uma Definição de Teste de Controle, periodicamente ou sob demanda, mostrando a amostra de dados do resultado, a certificação ou o resultado manual das atividades de teste. |
| Definições de testes de controle | As definições de teste de controle especificam como e quando os controles são testados, incluindo etapas de teste, resultados esperados, o grupo ou indivíduo responsável pelo teste e a programação de teste. As instâncias de teste de controle são geradas automaticamente a partir da programação de teste. As correções são criadas automaticamente quando os testes de controle falham ou quando as observações de auditoria são anotadas. |
| Controles corretivos | Controles internos que entram em ação quando um problema é descoberto. Um exemplo seria remover o acesso de usuários com privilégios excessivos ou executar um plano de backup e recuperação após a ocorrência de um desastre físico. |
| Gestão de desempenho corporativo | O Corporate Performance Management (CPM) é uma combinação de gestão de estratégia, planejamento, relatório e consolidação e modelagem de receita, custo e lucratividade que permite que as empresas meçam seu desempenho e melhorem. |
| Detectar | Progresso contínuo em direção aos objetivos, bem como condições e eventos indesejáveis reais e potenciais usando ações e controles de gestão. |
| Controle de detecção | Um controle projetado para descobrir um evento ou resultado não intencional. Ele também pode detectar se e quando um risco específico ocorre. |
| Efeito | Uma medida da probabilidade, tempo e impacto de um evento em algo. |
| Controle interno eficaz | Garantia razoável de que os objetivos operacionais são atingidos, que as declarações financeiras publicadas são preparadas de forma confiável e que a entidade está em conformidade com as leis e regulamentações aplicáveis. |
| Compromisso | Um projeto de auditoria que pode incluir tarefas de auditoria que atingem um conjunto de objetivos ou metas. |
| Evento | Uma ação observável, ocorrência ou uma mudança na condição. Um evento inclui mudança no conhecimento sobre uma condição, mesmo que a condição não tenha sido alterada. |
| Entidade | Conceito fundamental de GRC, entidades são usadas para modelar qualquer elemento empresarial para o qual controles e riscos podem ser associados. Por exemplo: unidades de negócios, servidores, laptops. |
| Tipo de entidade | Usado para se referir a várias entidades semelhantes. Por exemplo: unidade de negócios Ásia-Pacífico, servidores Linux, MacBook Pro. |
| Avaliar | Medir algo em relação a critérios. |
| Evidência (assunto de evidência) | Inclui informações por escrito e eletrônicas (como cheques, registros de transferências eletrônicas de fundos, faturas, contratos e outras informações) que permitem que o auditor chegue a conclusões por meio de argumentos. |
| Fraude | Qualquer ato ilegal que se caracterize por engano, ocultação ou violação de confiança. Esses atos não dependem da ameaça de violência ou força física. As fraudes são perpetradas por partes e organizações para obter dinheiro, propriedade ou serviços e para evitar o pagamento ou a perda de serviços ou para garantir vantagens pessoais ou comerciais. |
| Controles gerais | Políticas e procedimentos para garantir a operação apropriada dos sistemas de computador, incluindo controles sobre operações de rede, aquisição e manutenção de software e segurança de acesso. |
| Governança, risco e conformidade (GRC) | Governança, gestão de riscos e conformidade com as regulamentações têm sido funções corporativas separadas. GRC é a coleção integrada de recursos que permitem que uma organização atinja objetivos de forma confiável, lidando com a incerteza e agindo com integridade. Abrange governança, garantia e desempenho de gestão, risco e conformidade. GRC é o negócio de como uma organização opera por meio da gestão de riscos, permanecendo em conformidade com padrões externos e internos para otimizar o desempenho. GRC abrange como processos, controles, segurança e cultura se integram para garantir que a organização tenha integridade. |
| Impacto | Usado para avaliar a severidade de um risco, junto com a Probabilidade. Ele avalia o nível de consequência que um risco específico teria em uma organização se/quando ele ocorresse. |
| Indicador | Uma métrica usada para coletar dados para monitorar controles e riscos e coletar evidências de auditoria. |
| Probabilidade inerente | A probabilidade de o risco identificado ocorrer antes que qualquer estratégia de resposta seja implementada. |
| Risco inerente | O nível de exposição ao risco, em termos de probabilidade e impacto (ou significância), supondo que nenhum controle interno relacionado e nenhuma ação de mitigação esteja em vigor. |
| Pontuação inerente | A pontuação do risco antes que qualquer estratégia de resposta seja implementada. |
| Significância inerente | O quão significativo é o risco antes que qualquer estratégia de resposta seja implementada. |
| Integridade | A propriedade pela qual as informações, um sistema da informação ou um componente de um sistema não foi modificado ou destruído de maneira não autorizada. Um estado no qual as informações permaneceram inalteradas desde o ponto em que foram produzidas por uma origem, durante a transmissão, o armazenamento e o eventual recebimento pelo destino. |
| Auditoria interna | Um departamento, divisão, equipe de consultores ou outros profissionais que fornecem serviços de consultoria e garantia objetivos e independentes, projetados para agregar valor e melhorar as operações de uma organização. A atividade de auditoria interna ajuda uma organização a atingir seus objetivos com uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de governança, gestão de riscos e controle. |
| Auditores internos | Funcionários do cliente responsáveis por fornecer análises, avaliações, garantias, recomendações e outras informações para a gestão e o conselho da entidade. Uma responsabilidade importante dos auditores internos é monitorar o desempenho dos controles. |
| Controles internos | As políticas, procedimentos, práticas e estruturas organizacionais projetadas para fornecer garantia razoável de que os objetivos de negócios sejam atingidos e que eventos indesejados sejam evitados ou detectados e corrigidos. |
| Problema | Uma tarefa GRC que permite aos usuários finais documentar problemas de controle e risco e rastrear a resposta para corrigir ou aceitar o problema. |
| Governança de TI | A liderança, as estruturas organizacionais e os processos que garantem que a TI da empresa sustente e estenda as estratégias e os objetivos da empresa. É responsabilidade dos executivos e do conselho de administração. |
| TI GRC | Abrange o software e o hardware e as políticas e procedimentos relacionados usados para oferecer suporte aos esforços de conformidade e gestão de riscos de uma perspectiva de TI com base nas práticas recomendadas estabelecidas. |
| Probabilidade | A probabilidade de algo acontecer. |
| Gestão | O ato de direcionar, controlar e avaliar internamente uma entidade, processo ou recurso. |
| Controles manuais | Controles realizados manualmente, não por computador. |
| Material (materialidade) | Um risco é material quando é possível calcular seu impacto financeiro. |
| Mitigação | Reduzindo o risco associado a uma violação específica de uma regra. Antes que um risco ocorra, as ações de mitigação apropriadas são implementadas para resolver possíveis falhas de controle relacionadas e/ou para reduzir a exposição ao risco. |
| Objetivo | Algo que uma entidade pretende atingir ou realizar. |
| Auditoria operacional | Uma auditoria projetada para avaliar os vários controles internos, economia e eficiência de uma função ou departamento. |
| Controles operacionais | Controles relacionados à operação diária de uma empresa ou empreendimento para garantir que todos os objetivos sejam alcançados. |
| Riscos operacionais | Riscos relacionados a pessoas, processos e sistemas necessários para alcançar a missão e os objetivos de uma organização. |
| Objetividade | A capacidade de avaliar registros de clientes sem noções preconcebidas ou prejuízos. |
| Obrigações | As declarações sobre obrigações tratam se os passivos são obrigações da entidade em uma determinada data. Por exemplo, a gestão afirma que os valores capitalizados para leasing no balancete representam o custo dos direitos da entidade à propriedade arrendada e que o passivo de leasing correspondente representa uma obrigação da entidade. |
| Proprietário | O proprietário de um risco, um controle ou uma tarefa de mitigação/correção aceita sua responsabilidade. Eles podem delegar algumas tarefas relacionadas à propriedade, mas permanecem responsáveis pela organização. |
| Revisor par | Um programa de monitoramento de prática no qual a documentação de auditoria de uma empresa de CPA é revisada periodicamente por parceiros independentes de outras empresas para determinar se ela está em conformidade com os padrões da atividade. |
| Planejar | O planejamento de auditoria está desenvolvendo uma estratégia geral para a conduta e o escopo da auditoria. A natureza, a extensão e o tempo do planejamento variam de acordo com o tamanho e a complexidade da entidade, a experiência com a entidade e o conhecimento do negócio. Ao planejar a auditoria, o auditor considera os negócios da entidade e seu setor, suas políticas e procedimentos contábeis, métodos usados para processar informações contábeis, o nível avaliado planejado de risco de controle e o julgamento preliminar do auditor sobre a materialidade da auditoria. |
| Política | Um documento que registra um princípio de alto nível ou curso de ação que foi decidido. A finalidade pretendida é influenciar e orientar a tomada de decisão presente e futura para estar alinhada com a filosofia, os objetivos e os planos estratégicos estabelecidos pelas equipes de gestão da empresa. Além do conteúdo da política, as políticas descrevem as consequências da não conformidade com a política, os meios para lidar com exceções e a maneira como a conformidade com a política é verificada e medida. Em ServiceNow®, as políticas aprovadas são publicadas no Base de conhecimento. As políticas estão relacionadas a documentos de autoridade e registros de controle. As declarações de política definem detalhes específicos que um processo segue em uma política. |
| Controle preventivo | Um controle projetado para evitar um evento não intencional. |
| Procedimento | Uma ação, como uma etapa realizada como parte de um programa de auditoria ou como parte dos controles internos do cliente. Fornece o "como fazer" das políticas e orienta sua implementação. Os procedimentos são específicos do público-alvo e fornecem instruções exatas que garantem a conformidade com uma determinada política. ServiceNow® trata políticas e procedimentos da mesma forma; portanto, os termos podem ser usados de forma intercambiável. Isso pode diferir de estruturas, como o COBIT 5.1, que define políticas e procedimentos como dois itens separados. |
| Ceticismo profissional | Abordagem de uma auditoria com uma mente questionadora. |
| Impacto Qualitativo | Inclui classificações de Impacto (refere-se à significância de um risco) e Probabilidade (refere-se à probabilidade de um risco ocorrer). A pontuação é calculada multiplicando o impacto pela probabilidade. Um impacto geralmente expresso usando uma escala ordinal ou escala nominal. |
| Impacto Quantitativo | Um efeito positivo/negativo em ativos financeiros, ativos tangíveis, ativos intangíveis, continuidade de negócios e saúde e segurança. Calculado por Expectativa de perda única (SLE) x Taxa anualizada de ocorrência (ARO) = Expectativa de perda anualizada (ALE). Um impacto quantitativo é expresso numéricamente. |
| Questionário | Um questionário de controle interno é uma lista de perguntas sobre o sistema de controle interno a serem respondidas (com respostas como sim, não ou não aplicável) durante o trabalho de campo de auditoria. O questionário faz parte da documentação da compreensão do auditor dos controles internos do cliente. |
| Amostra aleatória (amostragem de número aleatório) | Probabilidade idêntica de cada item da população ser selecionado para uma amostra. Além disso, o uso de números aleatórios para selecionar uma amostra aleatória de uma população. |
| Segurança razoável (um controle interno) | Um controle interno, por mais bem projetado e operado, não pode garantir que os objetivos de uma entidade sejam atendidos devido a limitações inerentes a todos os sistemas de controle interno. |
| Correção | Depois que uma falha é identificada e avaliada, a correção apropriada pode ocorrer para atenuar ou eliminar o problema. Probabilidade residual: a probabilidade de o risco identificado ocorrer depois que qualquer estratégia de resposta é implementada. |
| Requisito | Algo que uma entidade deve abordar como resultado de fazer uma promessa. |
| Probabilidade residual | A probabilidade de o risco identificado ocorrer depois que qualquer estratégia de resposta é implementada. |
| Risco residual | Nível de exposição ao risco, em termos de probabilidade e impacto (ou significância), depois que os controles internos relacionados e as ações de mitigação estiverem em vigor e forem eficazes. |
| Pontuação residual | A pontuação do risco depois que qualquer estratégia de resposta é implementada. |
| Significância residual | O quão significativo é o risco depois que qualquer estratégia de resposta é implementada. |
| Risco | Um risco é qualquer ameaça ou vulnerabilidade que pode afetar negativamente os objetivos de negócios de uma organização. Todos os riscos estão contidos em um repositório de riscos. Os riscos podem ser relacionados a qualquer item, política, controle e tarefa de correção. Os riscos que exigem atenção imediata ou contínua podem ser mitigados, evitados ou controlados usando os controles definidos e os testes de controle relacionados. Uma declaração de risco é uma consequência definida que pode ocorrer se uma ameaça explorar uma vulnerabilidade. O risco é medido em termos de impacto (ou significância) e probabilidade. Os tipos de riscos incluem riscos operacionais (fraude, por exemplo), riscos de não conformidade (não arquivamento dos documentos apropriados para cumprir a legislação) e riscos estratégicos (como um incidente que afeta a reputação de uma marca). O risco de negócios associado ao uso, propriedade, operação, envolvimento, influência e adoção de TI em uma empresa. |
| Análise de risco | O exame sistemático das informações disponíveis para determinar com que frequência os eventos especificados podem ocorrer e a magnitude de suas consequências. |
| Apetite de risco | O nível de risco que uma organização está disposta a aceitar na busca de seus objetivos. |
| Avaliação de riscos | A avaliação dos riscos enfrentados por uma entidade, ativo, sistema ou rede, operações organizacionais, indivíduos, área geográfica, outras organizações ou sociedade, e inclui a determinação de até que ponto circunstâncias ou eventos adversos podem resultar em consequências nocivas. |
| Critérios de risco | São valores quantitativos ou qualitativos em relação aos quais o nível de risco é avaliado. |
| Gestão de riscos | O objetivo da gestão de riscos é reduzir a incerteza. É o ato de gerenciar processos e recursos para lidar com riscos e, ao mesmo tempo, buscar os objetivos da organização. O processo de identificar, analisar, avaliar e comunicar o risco e aceitá-lo, evitá-lo, transferi-lo ou controlá-lo para um nível aceitável, considerando os custos e benefícios associados de todas as ações tomadas. |
| Estrutura de gestão de riscos | Um processo formal para gerenciar riscos de forma explícita. A estrutura consiste em uma avaliação de risco, resposta e responsabilidade pelas atividades de risco e mitigação em torno dela. |
| Redução de risco | Os processos internos do ambiente de controles, como políticas, estruturas e responsabilidades, que reduzem um risco. |
| Registro de risco | Um repositório dos principais atributos de problemas de risco de TI potenciais e conhecidos. Os atributos podem incluir nome, descrição, proprietário, frequência esperada/real, nível inerente/residual, impacto nos negócios potencial/real e planos de mitigação/correção. |
| Resposta a riscos | A decisão de aceitar um risco, recusar um risco, tratar ou mitigar um risco ou compartilhar um risco com outra parte. |
| Declaração de risco | Declarações gerais sobre possíveis riscos ou ameaças que podem ocorrer em algum lugar de uma organização. |
| Tolerância do risco | O nível de risco que a organização não está disposta a exceder para atingir os objetivos. A representação do apetite de risco em termos de limite, geralmente financeiro, fornecido a vários níveis de gestão na organização para categorias de risco específicas. |
| Tamanho de amostra | O número de itens de população selecionados quando uma amostra é retirada de uma população. |
| Amostra | Selecionar um número pequeno, mas pertinente e representativo de registros para representar a população inteira de registros. |
| Risco de amostragem | A possibilidade de que as conclusões tiradas da amostra não representem conclusões corretas para toda a população. |
| Segregação de tarefas (SoD) | Atribuir a pessoas diferentes as responsabilidades de autorizar transações, registrar transações e manter a custódia de ativos. A segregação de tarefas reduz as oportunidades de uma pessoa perpetrar e ocultar erros ou fraudes. |
| Significância | Usado para avaliar a severidade de um risco, junto com a Probabilidade. Ele avalia o nível de consequência que um risco específico teria em uma organização se/quando ele ocorresse. |
| SLE | Expectativa de perda única (SLE) = Expectativa de perda única = Valor do ativo x Fator de exposição. |
| Parte interessada | Uma pessoa, grupo ou organização que tem interesse direto ou indireto em uma organização porque pode afetar ou ser afetado pelas ações, objetivos e políticas da organização. |
| Padrão | Pronunciamento profissional divulgado pelo Quadro de Padrões de Auditoria Interna que delineia os requisitos para executar uma ampla variedade de atividades de auditoria interna e para avaliar o desempenho da auditoria interna. |
| Riscos estratégicos | Relacionado a objetivos estratégicos, como fatores públicos, prioridades do cliente, marca ou reputação. |
| Destino | Um valor mensurável que uma entidade se esforça para alcançar. |
| Teste | Uma amostra de uma população para estimar as características da população. |
| Plano de testes | Um teste de auditoria específico do design e da eficácia operacional de um único controle. |
| Ameaça | Um evento que tem, em geral, um efeito indesejável na realização dos objetivos. |
| Tolerância | O nível aceitável de desvio de uma meta. |
| Estrutura de conformidade unificada (UCF) | A Estrutura de conformidade unificada (UCF) da Network Frontiers contém documentos de autoridade que podem ser importados para a instância ServiceNow®. Para obter mais informações, consulte Estrutura de conformidade unificada. |
| Incerteza | O estado de incapacidade de prever, determinar ou definir algo completamente. |