GRC Aktualisierungen der Anwendungsnomenklatur und Branchenterminologie

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 19 Minuten Lesedauer

    • Die folgenden Begriffe werden in Anwendungen von GRC und/oder in der Branche GRC verwendet.

    GRC Nomenklaturaktualisierungen

    Ab dem vorherigen Release wurden viele Begriffe in allen Kernanwendungen von GRC aktualisiert.
    Hinweis:
    Diese Bedingungsaktualisierungen gelten für alle Navigationsbezeichnungen, Schaltflächen, Infonachrichten, Berichtstitel, zugehörigen Links, Registerkarten und andere UI-Elemente.
    GRC-Modul Zurück Aktuell
    Scoping Profil Entität
    Profiltypen Entitätstypen
    Profilklassen Entitätsklassen
    Meine Profile Meine Entitäten
    Alle Profile Alle Entitäten
    Administration Profilstufen Entitätsebenen
    Profilklassenregeln Entitätsklassenregeln
    Indikatoren Indikatoren > Element Ausstehend Kontroll-/Risikofeld
    Das Kategoriefeld gibt an, ob es sich um einen Compliance- oder Risikoindikator handelt
    Indikatorvorlage > Inhalt Ausstehend Kontrollziel/Risikoerklärung
    Probleme Details > Inhalt Ausstehend Kontrollziel/Risikoerklärung
    Details > Element Ausstehend Kontrolle/Risiko
    Richtlinien und Compliance Richtlinienanweisung Steuerungsziel
    Risiko Alle Risiken > Erklärung > Ausstehend Meine Risiken > Risikobeschreibung Ausstehend
    Meine Risiken > Erklärung Ausstehend Meine Risiken > Risikobeschreibung Ausstehend
    Abbildung : 1. Aktualisierungen des Indikatorformulars
    Indikatorformular, das das Steuerungs-/Risikofeld zeigt
    Abbildung : 2. Aktualisierungen des Formulars „Indikatorvorlage“.
    Indikatorvorlagenformular, das das Steuerungs-/Risikofeld zeigt
    Abbildung : 3. Aktualisierungen des Problemformulars
    GRC Problemdatensatz mit der Registerkarte „Details“, die hervorgehobene Bereiche für Kontrollziel/Risikobeschreibung und Kontrolle/Risiko anzeigt
    Abbildung : 4. Risikodatensatz mit hervorgehobenen Bereichen für das Feld „Risikobeschreibung“.
    Risikodatensatz mit hervorgehobenen Bereichen für das Feld „Risikobeschreibung“.

    Branchenreferenzen

    Tabelle : 1. Branchenakronyme
    Begriff Definition
    Basel-III Ein internationaler Standard für das Bankwesen, den Aufsichtsbehörden verwenden können, wenn sie regeln, wie viel Kapital Banken haben müssen, um potenzielle Risiken auszugleichen. Je höher das Risiko einer Bank, desto mehr Kapital sollte vorhanden sein, um sicherzustellen, dass sie zahlungsfähig bleibt. Die Verordnung war der dritte derartige Standard, der vom Basler Ausschuss für Bankenaufsicht herausgegeben wurde, und daher der Name Basel III.
    CISA Cybersecurity Information Sharing Act
    CISM Zertifizierter Manager für Informationssicherheit
    COBIT Control Objectives for Information and Related Technologies (COBIT) bietet ein IT-Governance-Framework zur Verwaltung von Risiko- und Compliance-Problemen basierend auf Best Practices. Veröffentlicht vom IT Governance Institute und der Information Systems Audit and Control Association (ISACA).
    COSO Das COSO (Committee of Sponsoring Organizations) wurde 1985 ins Leben gerufen, um die Nationale Aufsichtsbehörde für betrügerische Finanzberichterstattung zu unterstützen. COSO ist eine unabhängige Initiative des privaten Sektors, die die kausalen Faktoren untersucht hat, die zu betrügerischen Finanzberichten führen können, und Empfehlungen für öffentliche Unternehmen, die SEC und andere Aufsichtsbehörden und Bildungseinrichtungen entwickelt hat.
    EDPA EU-Datenschutzgesetz
    ENISA Europäische Behörde für Netzwerk- und Informationssicherheit
    EUP Der Energieverbrauch in Produkten (EUP) ist eine EU-Richtlinie, die Unternehmen verpflichtet, Produkte so zu entwickeln, dass sie weniger Energie verbrauchen.
    EU-Datenschutzrichtlinie Eines der ersten und wichtigsten Datenschutzgesetze, das sich speziell mit dem Datenschutz im Internet befasst.
    FCA Finanzaufsichtsbehörde
    DSGVO Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung, die am 25. Mai 2018 in Kraft tritt und die Datenschutzrichtlinie 95/46/EG ersetzt, um die Datenschutzrechte der Bürger der Europäischen Union zu stärken und zu vereinheitlichen.
    GRI Global Reporting Initiative (GRI) ist eine internationale Gruppe, die das G3-Framework für Nachhaltigkeitsberichte erstellt hat.
    ITGI IT Governance Institute
    PII Persönlich identifizierbare Informationen/persönlich identifizierbare Informationen (PII) sind die Informationen, die es ermöglichen, die Identität einer Person direkt oder indirekt abzuleiten.
    PCI DSS Der Payment Card Industry Data Security Standard (PCI DSS) ist eine Reihe von Sicherheitsstandards, die sicherstellen sollen, dass alle Unternehmen, die Kreditkarteninformationen akzeptieren, verarbeiten, speichern oder übertragen, eine sichere Umgebung aufrechterhalten.
    Solvenz II Solvenz II
    SOX Mit dem Sarbanes-Oxley Act (SOX) wurde das Public Company Accounting Oversight Board eingerichtet und zusätzliche Anforderungen für börsennotierte Unternehmen, ihre leitenden Angestellten, Vorstände und Auditoren hinzugefügt. Die Strafen für Unternehmensfinanzbetrug wurden erhöht. Diese US-Gesetzgebung wurde als Reaktion auf die öffentlichkeitswirksamen Finanzskandale von Enron und WorldCom erlassen. Ihr Ziel ist es, die Aktionäre und die Öffentlichkeit vor Rechnungslegungsfehlern und betrügerischen Praktiken im Unternehmen zu schützen. SOX gilt für Unternehmen, die in den USA börsennotiert sind
    Tabelle : 2. Branchenbegriffe
    Begriff Definition
    ALE Annualisierte Verlusterwartung (ALE) = Einzelverlusterwartung (SLE) x Annualisierte Häufigkeit (ARO). Wird in der quantitativen Risikobewertung verwendet.
    ARO Annualisierte Häufigkeit des Vorkommens.
    Annahme Ein bestimmtes Risiko kann vom Management akzeptiert werden, indem weitere Investitionen in tiefere Kontrollen oder höhere Risikominderungsebenen gestoppt werden, wenn es sich innerhalb der Toleranzebene befindet oder wenn weitere Verringerung und Kontrolle tatsächlich viel mehr kosten würden als die geschätzte Auswirkung (oder Bedeutung) von das Risiko.
    Assertion Jede formelle Erklärung oder Reihe von Erklärungen zum Thema, die von der Geschäftsführung abgegeben wurden.
    Bewertung Eine umfassende Überprüfung der verschiedenen Aspekte eines Unternehmens oder einer Funktion, die Elemente enthält, die nicht von einer strukturierten Assurance-Initiative abgedeckt werden.
    Bestätigung Prozess der Validierung, dass etwas „wahr“ ist. Beispielsweise kann die Effektivität oder Compliance einer Kontrolle durch einen Fragebogen nachgewiesen werden, der vom Erfüller elektronisch signiert wird.
    Audit Formelle Inspektion und Überprüfung, um zu überprüfen, ob ein Standard oder eine Reihe von Richtlinien befolgt wird, die Datensätze korrekt sind oder die Effizienz- und Effektivitätsziele erreicht werden. In ServiceNow®identifiziert eine Organisation alle Kontrollen, die sie gleichzeitig testen möchte, und weist die Verantwortung für das Gesamtaudit einer einzelnen Person zu. Eine einzelne Aufgabe verwaltet das Testen aller Kontrollen.
    Audit-Aktivitäten Eine der Aufgaben innerhalb eines Audits, die einer Einzelperson zur Ausführung des Audits zugewiesen wird.
    Prüfungsausschuss Ein Ausschuss, dem häufig Mitglieder des Verwaltungsrats angehören und für die Überwachung der Finanzberichterstattung und der internen Kontrollen verantwortlich sind.
    Audit-Dokumentation (Arbeitspapiere) Vom Auditor geführte Aufzeichnungen über angewandte Verfahren, durchgeführte Tests, erhaltene Informationen und relevante Schlussfolgerungen, die in der Interaktion erzielt wurden. Die Dokumentation bietet die grundlegende Unterstützung für den Bericht des Auditors.
    Audit-Nachweis Fakten, die während der Audit-Verfahren gesammelt wurden und eine angemessene Grundlage für die Bildung einer Meinung zu den geprüften Finanzberichten bieten.
    Auditziel Bei der Beschaffung von Nachweisen zur Unterstützung von Behauptungen über Finanzaufstellungen entwickelt der Abschlussprüfer spezifische Prüfungsziele im Lichte dieser Behauptungen. Ein Ziel im Zusammenhang mit der Vollständigkeitserklärung für Bestandssalden besteht beispielsweise darin, dass die Bestandsmengen alle vorhandenen Produkte, Materialien und Vorräte umfassen.
    Audit-Beobachtungen Wird von internen Auditoren verwendet, um Kontrolllücken oder neue Risiken zu identifizieren.
    Automatisierte Steuerungen Interne Kontrollen, die automatisch von Computersystemen ausgeführt werden. Manuelle Steuerungen werden von einer mit dieser Aufgabe beauftragten Person ausgeführt und in der Regel für eine Teilmenge von Transaktionen und Daten ausgeführt. Automatisierte Steuerungen können für jede relevante Transaktion oder jedes Datenelement ausgeführt werden, wodurch eine höhere Genauigkeit bei geringerem Aufwand gewährleistet wird.
    Regulatorische Dokumente Die Vorschriften, Zertifizierungen, Frameworks, Standards und Best Practices, die eine Organisation auswählt oder die für die Einhaltung von Vorschriften erforderlich sind. Berechtigungsdokumente beziehen sich auf Kontrollen, Risiken und Richtlinien.
    Geschäftsrisiko Risiken, die sich nachteilig auf die Fähigkeit einer Entität auswirken könnten, ihre Ziele zu erreichen und ihre Strategien umzusetzen.
    Berechneter Punktwert Die berechnete Punktzahl wird aus der inhärenten Punktzahl und der Restpunktzahl als Gesamtergebnis abgeleitet. Bezieht sich auf das tatsächliche Risiko basierend auf der Qualität des implementierten Kontrollsystems.
    Überwachungskette Ein Rechtsgrundsatz in Bezug auf die Gültigkeit und Integrität von Nachweisen. Sie verlangt Rechenschaftspflicht für alles, was in einem Gerichtsverfahren als Beweismittel verwendet wird. Dadurch wird sichergestellt, dass sie vom Zeitpunkt ihrer Erfassung bis zu ihrer Vorlage vor Gericht berücksichtigt werden kann.
    Chief Compliance Officer (CCO) Ein Unternehmensmitarbeiter, der für die Überwachung und Verwaltung von Compliance-Problemen innerhalb einer Organisation verantwortlich ist. Diese Person stellt sicher, dass ein Unternehmen die gesetzlichen Anforderungen und interne Richtlinien und Verfahren einhält.
    Chief Operating Officer (COO) Wird auch als Chief Operations Officer bezeichnet, eine Führungskraft, die für den täglichen Betrieb des Unternehmens verantwortlich ist.
    Chief Risk Officer (CRO) Wird auch als Chief Risk Management Officer bezeichnet, eine Führungskraft, die für das Risikomanagement des Unternehmens und die Compliance-Bemühungen eines Unternehmens verantwortlich ist.
    Bezugsvermerke Datensätze mit den spezifischen Anforderungen, die in einem regulatorischen Dokument angegeben sind. Der Bezugsvermerk-Datensatz verknüpft Berechtigungsdokumente mit der entsprechenden Steuerung.
    Compliance Der Akt der Einhaltung und Demonstration der Einhaltung von Gesetzen, Vorschriften oder Richtlinien. Compliance bezieht sich auf Vorschriften in vielen Bereichen, darunter Finanzen, Umwelt, globaler Handel, Arbeitssicherheit und Datenschutz.
    Vertraulichkeit Beibehaltung autorisierter Beschränkungen für den Zugriff und die Offenlegung, einschließlich Maßnahmen zum Schutz der Privatsphäre und geschützter Informationen.
    Containment-Steuerung Kontrolle, die darauf abzielt, die Auswirkung (oder Bedeutung) eines Risikos zu begrenzen, falls es eintreten würde.
    Kontrolle Tatsächliche Kontrollaktivitäten, die von einer Organisation ausgeführt werden. Kontrolldatensätze enthalten grundlegende erforderliche Informationen über die Kontrolle (Besitzer, Aktivität, Häufigkeit usw.). Steuerungen können mit autoritativen Quellinhalten, Richtlinien und Risiken verknüpft werden.

    Alle Maßnahmen, die von der Geschäftsführung, der Geschäftsführung und anderen Parteien zum Risikomanagement ergriffen werden. Das Management plant, organisiert und leitet die Durchführung ausreichender Aktionen, um eine angemessene Sicherheit dafür zu bieten, dass Ziele und Zielvorgaben erreicht werden. Kontrolldatensätze enthalten grundlegende erforderliche Informationen über die Kontrolle (Besitzer, Aktivität, Häufigkeit usw.). Steuerungen können mit autoritativen Quellinhalten, Richtlinien und Risiken verknüpft werden.
    Kontroll-Framework Eine Reihe grundlegender Kontrollen, die die übergreifende Zuordnung von Kontrollen durchführen und beibehalten, um finanziellen Verlust, Informationsverlust oder allgemeiner, um Risiken innerhalb eines Unternehmens zu verhindern.
    Kontrollinstanz Die tatsächliche Ausführung einer Kontrolltestdefinition, regelmäßig oder bei Bedarf, mit Anzeige der Ergebnisdatenstichprobe, der Bestätigung oder des manuellen Ergebnisses der Testaktivitäten.
    Steuerungstestdefinitionen Kontrolltestdefinitionen geben an, wie und wann Kontrollen getestet werden, einschließlich Testschritte, erwartete Ergebnisse, die für die Tests verantwortliche Gruppe oder Einzelperson und der Testzeitplan. Kontrolltestinstanzen werden automatisch aus dem Testzeitplan generiert. Fehlerkorrekturen werden automatisch erstellt, wenn Kontrolltests fehlschlagen oder Audit-Beobachtungen vermerkt werden.
    Korrekturkontrollen Interne Kontrollen, die ins Spiel kommen, sobald ein Problem entdeckt wird. Ein Beispiel wäre das Entziehen des Zugriffs von Benutzern mit übermäßigen Berechtigungen oder das Ausführen eines Sicherungs- und Wiederherstellungsplans nach einem physischen Notfall.
    Unternehmensleistungsmanagement Corporate Performance Management (CPM) ist eine Kombination aus Strategiemanagement, Planung, Berichterstellung und Konsolidierung sowie Umsatz-, Kosten- und Rentabilitätsmodellierung, mit der Unternehmen ihre Leistung messen und verbessern können.
    Erkennen Laufender Fortschritt in Bezug auf Ziele sowie tatsächliche und potenzielle unerwünschte Bedingungen und Ereignisse mithilfe von Managementaktionen und -kontrollen.
    Detective-Steuerung Eine Steuerung, die darauf ausgelegt ist, ein unbeabsichtigtes Event oder Ergebnis zu erkennen. Sie kann auch erkennen, ob und wann ein bestimmtes Risiko auftritt.
    Wirkung Ein Maß für die Wahrscheinlichkeit, das Timing und die Auswirkung eines Ereignisses auf etwas.
    Effektive interne Kontrolle Angemessene Gewissheit darüber, dass die operativen Ziele erreicht werden, dass veröffentlichte Finanzberichte zuverlässig erstellt werden und dass das Unternehmen die geltenden Gesetze und Vorschriften einhält.
    Interaktion Ein Audit-Projekt, das Audit-Aufgaben enthalten kann, die eine Reihe von Zielen erreichen.
    Ereignis Eine Aktion, ein Vorkommen oder eine Änderung der Bedingung eines erkennbaren Elements. Ein Event enthält eine Änderung des Wissens über eine Bedingung, auch wenn sich die Bedingung nicht geändert hat.
    Entität Nach dem Grundkonzept von GRCwerden Entitäten verwendet, um ein beliebiges Unternehmenselement zu modellieren, für das Steuerungen und Risiken zugeordnet werden können. Beispiele: Geschäftsbereiche, Server, Laptops.
    Entitätstyp Wird verwendet, um auf mehrere ähnliche Entitäten zu verweisen. Beispiele: Geschäftsbereich Asien/Pazifik, Linux-Server, MacBook Pro.
    Evaluieren Um etwas anhand von Kriterien zu messen.
    Nachweis (Beweisangelegenheit) Enthält schriftliche und elektronische Informationen (z. B. Schecks, Aufzeichnungen über elektronische Geldtransfers, Rechnungen, Verträge und andere Informationen), die es dem Auditor ermöglichen, durch Überlegungen zu Schlussfolgerungen zu gelangen.
    Betrug Jede rechtswidrige Handlung, die durch Täuschung, Verschleierung oder Vertrauensbruch gekennzeichnet ist. Diese Akte sind nicht von der Androhung von Gewalt oder physischer Gewalt abhängig. Betrug wird von Parteien und Organisationen verübt, um Geld, Eigentum oder Dienstleistungen zu erhalten und die Zahlung oder den Verlust von Dienstleistungen zu vermeiden oder sich persönliche oder geschäftliche Vorteile zu sichern.
    Allgemeine Steuerungen Richtlinien und Verfahren zur Sicherstellung des ordnungsgemäßen Betriebs von Computersystemen, einschließlich Kontrollen über Netzwerkvorgänge, Softwarebeschaffung und -wartung sowie Zugriffssicherheit.
    Governance, Risk und Compliance (GRC) Governance, Risikomanagement und Compliance mit Vorschriften waren bisher separate Unternehmensfunktionen. GRC ist die integrierte Sammlung von Fähigkeiten, die es einer Organisation ermöglichen, Ziele zuverlässig zu erreichen, während sie Ungewissheit angeht und mit Integrität handelt. Sie umfasst Governance, Assurance und Management, Leistung, Risiko und Compliance.

    GRC ist das Geschäft der Art und Weise, wie eine Organisation durch das Risikomanagement operiert und gleichzeitig externe und interne Standards einhält, um die Leistung zu optimieren. GRC umfasst die Integration von Prozessen, Kontrollen, Sicherheit und Kultur, um die Integrität der Organisation sicherzustellen.
    Auswirkung Wird verwendet, um den Schweregrad eines Risikos zusammen mit der Wahrscheinlichkeit zu bewerten. Er bewertet das Ausmaß der Konsequenz, die ein bestimmtes Risiko für eine Organisation haben würde, wenn es eintritt.
    Indikator Eine Metrik, die zum Sammeln von Daten verwendet wird, um Steuerungen und Risiken zu überwachen und Audit-Nachweise zu sammeln.
    Wahrscheinlichkeit Die Wahrscheinlichkeit, mit der das identifizierte Risiko auftritt, bevor eine Antwortstrategie implementiert wird.
    Inhärentes Risiko Das Ausmaß des Risikos in Bezug auf Wahrscheinlichkeit und Auswirkung (oder Signifikanz), sofern noch keine zugehörigen internen Kontrollen und keine Minderungsmaßnahmen vorhanden sind.
    Inhärente Punktzahl Die Punktzahl des Risikos, bevor eine Antwortstrategie implementiert wird.
    Bedeutung Wie bedeutend das Risiko ist, bevor eine Antwortstrategie implementiert wird.
    Integrität Die Eigenschaft, dass Informationen, ein Informationssystem oder eine Komponente eines Systems nicht auf nicht autorisierte Weise geändert oder zerstört wurden.

    Ein Zustand, in dem Informationen seit dem Zeitpunkt, zu dem sie von einer Quelle erzeugt wurden, während der Übertragung, Speicherung und des eventuellen Empfangs durch das Ziel unverändert geblieben sind.
    Interner Audit Eine Abteilung, ein Geschäftsbereich, ein Team von Beratern oder anderen Praktikern, die unabhängige, objektive Assurance- und Beratungsservices bereitstellen, die darauf ausgelegt sind, einen Mehrwert zu schaffen und die Abläufe einer Organisation zu verbessern. Die interne Auditaktivität hilft einer Organisation, ihre Ziele zu erreichen, indem sie einen systematischen, disziplinierten Ansatz zur Bewertung und Verbesserung der Effektivität von Governance-, Risikomanagement- und Kontrollprozessen bietet.
    Interne Auditoren Mitarbeiter des Kunden, die für die Bereitstellung von Analysen, Bewertungen, Zusicherungen, Empfehlungen und anderen Informationen für die Geschäftsführung und den Vorstand des Unternehmens verantwortlich sind. Eine wichtige Aufgabe der internen Auditoren besteht in der Überwachung der Leistung von Kontrollen.
    Interne Kontrollen Die Richtlinien, Verfahren, Praktiken und Organisationsstrukturen, die mit angemessener Sicherheit dafür sorgen sollen, dass Geschäftsziele erreicht und unerwünschte Ereignisse verhindert oder erkannt und korrigiert werden.
    Problem Eine GRC -Aufgabe, mit der Endbenutzer Steuerungs- und Risikoprobleme dokumentieren und die Reaktion nachverfolgen können, um das Problem zu beheben oder zu akzeptieren.
    IT-Governance Die Führung, die Organisationsstrukturen und die Prozesse, die sicherstellen, dass die IT des Unternehmens die Strategien und Ziele des Unternehmens unterstützt und erweitert. Sie liegt in der Verantwortung der Geschäftsführung und des Verwaltungsrats.
    IT GRC Umfasst die Software und Hardware sowie zugehörige Richtlinien und Verfahren zur Unterstützung von Compliance- und Risikomanagementbemühungen aus IT-Perspektive basierend auf etablierten Best Practices.
    Wahrscheinlichkeit Die Wahrscheinlichkeit, dass etwas passiert ist.
    Management Der Akt der internen Steuerung, Steuerung und Bewertung einer Entität, eines Prozesses oder einer Ressource.
    Manuelle Steuerungen Steuerungen werden manuell und nicht per Computer ausgeführt.
    Material (Materialität) Ein Risiko ist wesentlich, wenn seine finanziellen Auswirkungen berechnet werden können.
    Mitigation Reduzieren des mit einem bestimmten Verstoß gegen eine Regel verbundenen Risikos. Bevor ein Risiko auftritt, werden geeignete Minderungsmaßnahmen ergriffen, um mögliche damit verbundene Kontrollfehler zu beheben und/oder das Risiko zu reduzieren.
    Ziel Etwas, das eine Entität erreichen oder vollbringen möchte.
    Betriebsaudit Ein Audit zur Bewertung der verschiedenen internen Kontrollen, der Wirtschaftlichkeit und der Effizienz einer Funktion oder Abteilung.
    Operative Steuerungen Kontrollen im Zusammenhang mit dem täglichen Betrieb eines Unternehmens oder Unternehmens, um sicherzustellen, dass alle Ziele erreicht werden.
    Betriebsrisiken Risiken im Zusammenhang mit Personen, Prozessen und Systemen, die zum Erreichen der Mission und Ziele einer Organisation erforderlich sind.
    Objektivität Die Fähigkeit, Client-Datensätze ohne vorgefasste Meinungen oder Vorurteile auszuwerten.
    Verpflichtungen Assertionen zu Verpflichtungen befassen sich damit, ob Verbindlichkeiten zu einem bestimmten Datum Verpflichtungen der Entität sind. Beispielsweise stellt die Geschäftsführung fest, dass die für Leasing in der Bilanz aktivierten Beträge die Kosten für die Rechte des Unternehmens an den geleasten Objekten darstellen und dass die entsprechende Leasingverbindlichkeit eine Verpflichtung des Unternehmens darstellt.
    Besitzer Der Besitzer eines Risikos, einer Kontrolle oder einer Aufgabe zur Risikominderung/-korrektur akzeptiert deren Verantwortlichkeit. Sie können einige Aufgaben im Zusammenhang mit dem Besitz delegieren, bleiben jedoch gegenüber der Organisation rechenschaftspflichtig.
    Peer-Prüfung Ein Praxisüberwachungsprogramm, bei dem die Auditdokumentation einer CPA-Kanzlei regelmäßig von unabhängigen Partnern anderer Kanzleien überprüft wird, um sicherzustellen, dass sie den Standards des Berufsstands entspricht.
    Planen Bei der Auditplanung wird eine Gesamtstrategie für die Durchführung und den Umfang des Audits entwickelt. Art, Umfang und Zeitpunkt der Planung variieren je nach Größe und Komplexität der Entität, Erfahrung mit der Entität und Wissen über das Geschäft. Bei der Planung des Audits berücksichtigt der Auditor das Geschäft des Unternehmens und seine Branche, seine Rechnungslegungsrichtlinien und -verfahren, Methoden zur Verarbeitung von Buchhaltungsinformationen, das geplante bewertete Kontrollrisiko und das vorläufige Urteil des Auditors über die Audit-Ressourcen.
    Richtlinie Ein Dokument, das ein allgemeines Prinzip oder eine Vorgehensweise aufzeichnet, über die entschieden wurde. Der beabsichtigte Zweck besteht darin, die aktuelle und zukünftige Entscheidungsfindung so zu beeinflussen und zu steuern, dass sie mit der von den Managementteams des Unternehmens festgelegten Strategie, Zielen und strategischen Plänen übereinstimmt. Neben dem Richtlinieninhalt beschreiben Richtlinien die Konsequenzen der Nichteinhaltung der Richtlinie, die Mittel zur Behandlung von Ausnahmen und die Art und Weise, in der die Compliance mit der Richtlinie überprüft und gemessen wird.

    In ServiceNow®werden genehmigte Richtlinien in Knowledge Baseveröffentlicht. Richtlinien beziehen sich auf regulatorische Dokumente und Kontrolldatensätze. Richtlinienanweisungen definieren bestimmte Details, denen ein Prozess innerhalb einer Richtlinie folgt.
    Präventive Kontrolle Eine Steuerung, die darauf ausgelegt ist, ein unbeabsichtigtes Ereignis zu vermeiden.
    Prozedur Eine Aktion, z. B. ein Schritt, der als Teil eines Auditprogramms oder als Teil der internen Kontrollen des Clients ausgeführt wird.

    Stellt Anleitungen zu Richtlinien bereit und leitet sie bei deren Implementierung. Verfahren sind zielgruppenspezifisch und enthalten genaue Anweisungen, die die Compliance mit einer bestimmten Richtlinie sicherstellen. ServiceNow® behandelt Richtlinien und Verfahren auf die gleiche Weise. Daher können die Begriffe austauschbar verwendet werden. Dies kann sich von Frameworks wie COBIT 5.1 unterscheiden, das Richtlinien und Verfahren als zwei separate Elemente definiert.
    Professioneller Skeptizismus Ein Audit mit einer hinterfragenden Einstellung angehen.
    Qualitative Auswirkung Enthält die Bewertungen Auswirkung (bezieht sich auf die Bedeutung eines Risikos) und Wahrscheinlichkeit (bezieht sich auf die Wahrscheinlichkeit, mit der ein Risiko auftritt). Die Punktzahl wird berechnet, indem Auswirkung mit Wahrscheinlichkeit multipliziert wird. Eine Auswirkung, die häufig auf einer ordinalen oder nominellen Skala ausgedrückt wird.
    Quantitative Auswirkung Eine positive/negative Auswirkung auf finanzielle Assets, materielle Assets, immaterielle Assets, Geschäftskontinuität sowie Arbeitsschutz. Berechnet durch Einzelverlusterwartung (Single Loss Expectancy, SLE) x Annualisierte Häufigkeit des Vorkommens (ARO) = Annualisierte Verlusterwartung (ALE). Eine quantitative Auswirkung wird numerisch ausgedrückt.
    Fragebogen Ein interner Kontrollfragebogen ist eine Liste von Fragen zum internen Kontrollsystem, die während der Audit-Feldarbeit beantwortet werden sollen (mit Antworten wie „Ja“, „Nein“ oder „Nicht zutreffend“). Der Fragebogen ist Teil der Dokumentation des Verständnisses des Auditors über die internen Kontrollen des Clients.
    Zufällige Stichprobe (zufällige Stichprobe) Identische Wahrscheinlichkeit, dass jedes Auffüllungselement für eine Stichprobe ausgewählt wird. Außerdem die Verwendung von Zufallszahlen, um eine zufällige Stichprobe aus einer Grundgesamtheit auszuwählen.
    Angemessene Sicherheit (eine interne Kontrolle) Eine interne Kontrolle kann aufgrund von inhärenten Einschränkungen in allen internen Kontrollsystemen nicht garantieren, dass die Ziele einer Entität erreicht werden, unabhängig davon, wie gut sie konzipiert und betrieben wird.
    Korrektur Nachdem ein Fehler identifiziert und bewertet wurde, kann eine angemessene Korrektur erfolgen, um das Problem zu mindern oder zu beseitigen. Restwahrscheinlichkeit: Die Wahrscheinlichkeit des identifizierten Risikos, das nach der Implementierung einer Antwortstrategie auftritt.
    Anforderung Etwas, das eine Entität aufgrund einer Zusage angehen muss.
    Restwahrscheinlichkeit Die Wahrscheinlichkeit des identifizierten Risikos, das auftritt, nachdem eine Antwortstrategie implementiert wurde.
    Restrisiko Höhe des Risikos in Bezug auf Wahrscheinlichkeit und Auswirkung (oder Bedeutung), nachdem zugehörige interne Kontrollen und Minderungsmaßnahmen vorhanden und effektiv sind.
    Restpunktzahl Die Punktzahl des Risikos, nachdem eine Antwortstrategie implementiert wurde.
    Restbedeutung Wie bedeutend das Risiko ist, nachdem eine Antwortstrategie implementiert wurde.
    Risiko Ein Risiko ist eine Bedrohung oder Schwachstelle, die sich negativ auf die Geschäftsziele einer Organisation auswirken könnte. Alle Risiken sind in einem Risiko-Repository enthalten. Risiken können mit jedem Element, jeder Richtlinie, jeder Steuerung und jeder Korrekturaufgabe verknüpft werden. Risiken, die sofortige oder laufende Aufmerksamkeit erfordern, können mithilfe der definierten Steuerungen und zugehörigen Kontrolltests gemindert, verhindert oder kontrolliert werden. Eine Risikobeschreibung ist eine definierte Konsequenz, die auftreten kann, wenn eine Bedrohung eine Schwachstelle ausnutzt.

    Das Risiko wird in Bezug auf Auswirkung (oder Bedeutung) und Wahrscheinlichkeit gemessen. Zu den Risikotypen gehören Betriebsrisiken (z. B. Betrug), Risiken der Nichteinhaltung (Nichteinreichung der richtigen Dokumente zur Einhaltung der Gesetzgebung) und strategische Risiken (z. B. ein Incident, der sich auf den Ruf einer Marke auswirkt). Geschäftsrisiko im Zusammenhang mit der Nutzung, dem Besitz, dem Betrieb, der Beteiligung, dem Einfluss und der Einführung von IT in einem Unternehmen.
    Risikoanalyse Die systematische Untersuchung verfügbarer Informationen, um zu bestimmen, wie oft bestimmte Ereignisse auftreten können und wie groß ihre Konsequenzen sind.
    Risikobereitschaft Das Risikoniveau, das eine Organisation bereit ist, bei der Verfolgung ihrer Ziele einzugehen.
    Risikobewertung Die Bewertung der Risiken, denen eine Entität, ein Asset, ein System oder ein Netzwerk, organisatorische Abläufe, Einzelpersonen, ein geografisches Gebiet, andere Organisationen oder eine Gesellschaft ausgesetzt sind, umfasst die Bestimmung des Ausmaßes, in dem ungünstige Umstände oder Ereignisse schädliche Folgen haben könnten.
    Risikokriterien Sind quantitative oder qualitative Werte, anhand derer das Risikoniveau bewertet wird.
    Risikomanagement Das Ziel des Risikomanagements besteht in der Reduzierung der Ungewissheit. Es ist der Akt der Verwaltung von Prozessen und Ressourcen, um Risiken anzugehen und gleichzeitig die Ziele der Organisation zu verfolgen. Der Prozess der Identifizierung, Analyse, Bewertung und Kommunikation von Risiken und der Annahme, Vermeidung, Übertragung oder Kontrolle auf ein akzeptables Niveau unter Berücksichtigung der damit verbundenen Kosten und Vorteile der ergriffenen Maßnahmen.
    Risikomanagement-Framework Ein formalisierter Prozess für das explizite Risikomanagement. Das Framework besteht aus einer Risikobewertung, einer Antwort und einer Verantwortlichkeit für die Risiko- und Minderungsaktivitäten in der Umgebung.
    Risikoverringerung Die in die Kontrollumgebung integrierten Prozesse, z. B. Richtlinien, Frameworks und Verantwortlichkeiten, die ein Risiko reduzieren.
    Risikoregister Ein Repository der Schlüsselattribute potenzieller und bekannter IT-Risikoprobleme. Zu den Attributen gehören Name, Beschreibung, Besitzer, erwartete/tatsächliche Häufigkeit, inhärenter/Restwert, potenzielle/tatsächliche Geschäftsauswirkungen und Pläne zur Risikominderung/-korrektur.
    Antwort auf Risiko Die Entscheidung, ein Risiko zu akzeptieren, ein Risiko abzulehnen, ein Risiko zu behandeln oder zu mindern oder ein Risiko mit einer anderen Partei zu teilen.
    Risikoerklärung Allgemeine Aussagen über potenzielle Risiken oder Bedrohungen, die irgendwo in einer Organisation auftreten könnten.
    Risikotoleranz Das Risikoniveau, das die Organisation nicht überschreiten möchte, um die Ziele zu erreichen. Die Darstellung der Risikobereitschaft als Schwellenwert, im Allgemeinen finanzieller, der verschiedenen Managementebenen in der Organisation für bestimmte Risikokategorien zugewiesen wird.
    Stichprobengröße Die Anzahl der ausgewählten Bevölkerungselemente, wenn eine Stichprobe aus einer Grundgesamtheit gezogen wird.
    Probenahme Auswahl einer kleinen, aber aussagekräftigen und repräsentativen Anzahl von Datensätzen, um die gesamte Grundgesamtheit der Datensätze darzustellen.
    Stichprobenrisiko Die Möglichkeit, dass aus der Stichprobe gezogene Schlussfolgerungen möglicherweise keine korrekten Schlussfolgerungen für die gesamte Grundgesamtheit darstellen.
    Aufgabentrennung (SoD) Verschiedenen Personen die Verantwortung für die Autorisierung von Transaktionen, die Aufzeichnung von Transaktionen und die Verwahrung von Assets zuweisen. Aufgabentrennung reduziert die Möglichkeiten einer Person, Fehler oder Betrug zu begehen und zu verbergen.
    Bedeutung Wird verwendet, um den Schweregrad eines Risikos zusammen mit der Wahrscheinlichkeit zu bewerten. Er bewertet das Ausmaß der Konsequenz, die ein bestimmtes Risiko für eine Organisation haben würde, wenn es eintritt.
    SLE Einzelverlusterwartung (SLE) = Einzelverlusterwartung = Asset-Wert x Risikofaktor.
    Entscheidungsträger Eine Person, Gruppe oder Organisation, die direkt oder indirekt an einer Organisation beteiligt ist, da sie sich auf die Aktionen, Ziele und Richtlinien der Organisation auswirken oder von diesen beeinflusst werden kann.
    Standard Eine professionelle Erklärung, die vom Internal Audit Standards Board veröffentlicht wird und die Anforderungen für die Durchführung einer Vielzahl von internen Audit-Aktivitäten und die Bewertung der internen Audit-Leistung beschreibt.
    Strategische Risiken Im Zusammenhang mit strategischen Zielen, wie z. B. politische Faktoren, Kundenprioritäten, Marke oder Reputation.
    Zielvorgabe Ein messbarer Wert, den eine Entität erreichen möchte.
    Test Eine Stichprobe aus einer Grundgesamtheit, um die Merkmale der Grundgesamtheit zu schätzen.
    Testplan Ein spezifischer Audit-Test der Entwurfs- und Betriebseffektivität einer einzelnen Kontrolle.
    Bedrohung Ein Event, das per Saldo eine unerwünschte Auswirkung auf das Erreichen von Zielen hat.
    Toleranz Der akzeptable Grad der Abweichung von einem Ziel.
    Unified Compliance Framework (UCF) Network Frontiers Unified Compliance Framework (UCF) enthält regulatorische Dokumente, die in die Instanz ServiceNow® importiert werden können. Weitere Informationen finden Sie unter Unified Compliance Framework.
    Ungewissheit Der Zustand, nicht in der Lage zu sein, etwas vollständig vorherzusagen, zu bestimmen oder zu definieren.