GRC Aktualisierungen der Anwendungsnomenklatur und Branchenterminologie

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 19 Minuten Lesedauer

    • Die folgenden Begriffe werden in den Anwendungen von GRC und/oder in der Branche GRC verwendet.

    GRC Nomenklaturaktualisierungen

    Beginnend mit dem vorherigen Release wurden viele Begriffe in allen Kernanwendungen von GRC aktualisiert.
    Hinweis:
    Diese Begriffsaktualisierungen gelten für alle Navigationsbezeichnungen, Schaltflächen, Infonachrichten, Berichtstitel, zugehörigen Links, Registerkarten und anderen UI-Elemente.
    GRC-Modul Zurück Aktuell
    Scoping Profil Entität
    Profiltypen Entitätstypen
    Profilklassen Entitätsklassen
    Meine Profile Meine Entitäten
    Alle Profile Alle Entitäten
    Administration Profilstufen Entitätsebenen
    Profilklassenregeln Entitätsklassenregeln
    Indikatoren Indikatoren > Element Feld Feld„Steuerung/Risiko“.
    Das Feld „Kategorie “ gibt an, ob es sich um einen Compliance- oder Risikoindikator handelt
    Indikatorvorlage > Inhalt Feld Kontrollziel/Risikoerklärung
    Probleme Details > Inhalt Feld Kontrollziel/Risikoerklärung
    Details > Element Feld Kontrolle/Risiko
    Richtlinien und Compliance Richtlinienerklärung Steuerungsziel
    Risiko Alle Risiken > Erklärung > Feld Meine Risiken > Risikobeschreibung Feld
    Meine Risiken > Erklärung Feld Meine Risiken > Risikobeschreibung Feld
    Abbildung : 1. Aktualisierungen des Indikatorformulars
    Indikatorformular mit dem Steuerungs-/Risikofeld
    Abbildung : 2. Aktualisierungen des Formulars „Indikatorvorlage“.
    Indikatorvorlagenformular mit dem Steuerungs-/Risikofeld
    Abbildung : 3. Aktualisierungen des Problemformulars
    GRC Problemdatensatz, wobei die Registerkarte „Details“ die hervorgehobenen Bereiche für „Steuerungsziel/Risikobeschreibung“ und „Steuerung/Risiko“ anzeigt
    Abbildung : 4. Risikodatensatz mit hervorgehobenen Bereichen für das Feld „Risikobeschreibung“.
    Risikodatensatz mit hervorgehobenen Bereichen für das Feld „Risikobeschreibung“.

    Branchenreferenzen

    Tabelle : 1. Branchenkürzel
    Benennung Definition
    Basel-III Ein internationaler Standard für das Bankwesen, den Aufsichtsbehörden verwenden können, wenn sie Vorschriften darüber erlassen, wie viel Kapital Banken zum Ausgleich potenzieller Risiken zur Verfügung haben müssen. Je höher das Risiko einer Bank, desto mehr Kapital sollte vorhanden sein, um Zahlungsfähigkeit zu gewährleisten. Die Verordnung war der dritte vom Basler Ausschuss für Bankenaufsicht herausgegebene Standard dieser Art, und daher der Name Basel III.
    CISA Cybersecurity Information Sharing Act
    CISM Zertifizierter Informationssicherheitsmanager
    COBIT Control Objectives for Information and Related Technologies (COBIT) bietet ein IT-Governance-Framework zur Verwaltung von Risiko- und Compliance-Problemen auf Grundlage von Best Practices. Veröffentlicht vom IT Governance Institute und der Information Systems Audit and Control Association (ISACA)
    COSO Das Commitee of Sponsoring Organizations (CosO) wurde 1985 als Sponsor der US-amerikanischen National Commision on Fraudgent Financial Reporting (Nationale Kommision für betrügerische Finanzberichterstattung) gebildet. COSO ist eine unabhängige Initiative des Privatsektors, die die kausalen Faktoren untersucht hat, die zu betrügerischer Finanzberichterstattung führen können, und Empfehlungen für öffentliche Unternehmen, die SEC und andere Aufsichtsbehörden und Bildungseinrichtungen entwickelt hat.
    EDPA Europäischen Datenschutzgesetz
    ENISA Europäischen Behörde für Netzwerk- und Informationssicherheit
    EUP Der Energieverbrauch in Produkten (EUP) ist eine EU-Richtlinie, die Unternehmen verpflichtet, Produkte so zu entwickeln, dass sie weniger Energie verbrauchen.
    Datenschutzrichtlinie Einer der ersten und wichtigsten Datenschutzgesetze, der sich speziell mit dem Datenschutz im Internet befasst.
    FCA Finanzdienstleistungsbehörde
    DSGVO Die Datenschutz-Grundregel (DSGVO) ist eine Verordnung, die am 25. Mai 2018 in Kraft ist und die Datenschutzrichtlinie 95/46/EG ersetzt, um die Datenschutzrechte der Bürger der Europäischen Union zu stärken und zu vereinheitlichen.
    GRI Die Global Reporting Initiative (GRI) ist eine internationale Gruppe, die das G3-Framework für die Nachhaltigkeitsberichterstattung erstellt hat.
    ITGI IT Governance Institute
    PII Persönliche Identifizierungsinformationen/persönlich identifizierbare Informationen (PII) sind die Informationen, die direkt oder indirekt auf die Identität einer Person geschlossen werden können.
    PCI DSS Der Datensicherheitsstandard der Zahlungskartenbranche (PCI DSS) ist ein Satz von Sicherheitsstandards, der sicherstellen soll, dass alle Unternehmen, die Kreditkarteninformationen akzeptieren, verarbeiten, speichern oder übertragen, eine sichere Umgebung aufrechterhalten.
    solvenz II solvenz II
    SOX Mit dem Sarbanes-Oxley Act (SOX) wurde das Public Company Accounting Oversight Board eingerichtet und zusätzliche Anforderungen für börsennotierte Unternehmen, ihre leitenden Angestellten, Vorstände und Auditoren hinzugefügt. Es erhöhte die Strafen für Finanzbetrug in Unternehmen. Diese US-Gesetzgebung wurde als Reaktion auf die vielbeachteten Finanzskandale um Enron und WorldCom erlassen. Ihr Ziel ist es, die Anteilseigner und die Öffentlichkeit vor Rechnungsfehlern und betrügerischen Praktiken im Unternehmen zu schützen. SOX gilt für Unternehmen, die öffentlich in den USA handeln
    Tabelle : 2. Branchenbegriffe
    Benennung Definition
    ALE Jahresverlusterwartung (ALE) = Einzelverlusterwartung (Single Loss Expectancy, SLE) x Jahresquote des Vorkommens (Annualized Rate of Occurrence, ARO). Wird in der quantitativen Risikobewertung verwendet.
    ARO Jahresquote des Vorkommens.
    Annahme Ein bestimmtes Risiko kann von der Führungsebene akzeptiert werden, wobei weitere Investitionen in tiefere Kontrollen oder höhere Risikominderungsebenen gestoppt werden, wenn es sich innerhalb der Toleranzgrenze befindet oder wenn eine weitere Risikominderung und -kontrolle tatsächlich viel mehr kosten würde als die geschätzte Auswirkung (oder Bedeutung) von Risiko
    Assertion Jede formelle Erklärung oder Reihe von Erklärungen zum Gegenstand, die von der Führungsebene abgegeben werden.
    Bewertung Eine umfassende Überprüfung der verschiedenen Aspekte eines Unternehmens oder einer Funktion, einschließlich Elementen, die nicht von einer Initiative zur strukturierten Assurance abgedeckt werden.
    Nachweis Prozess, um zu validieren, ob etwas wahr ist. Beispielsweise kann die Effektivität oder Compliance einer Kontrolle durch einen Fragebogen nachgewiesen werden, der vom Erfüller elektronisch signiert wird.
    Audit Formale Inspektion und Verifizierung, um zu überprüfen, ob ein Standard oder eine Reihe von Richtlinien befolgt wird, ob Datensätze korrekt sind oder ob Effizienz- und Effektivitätsziele erreicht werden. In ServiceNow®identifiziert eine Organisation alle Kontrollen, die sie gleichzeitig testen möchte, und weist die Verantwortung für das gesamte Audit einer einzelnen Person zu. Eine einzige Aufgabe verwaltet das Testen aller Steuerungen.
    Audit-Aktivitäten Eine der Aufgaben innerhalb eines Audits, die einer Person zur Ausführung des Audits zugewiesen sind.
    Prüfungsausschuss Ein Ausschuss, dem häufig Mitglieder des Verwaltungsrats angehören und der für die Überwachung der Finanzberichterstattung und interner Kontrollen verantwortlich ist.
    Audit-Dokumentation (Arbeitspapiere) Aufzeichnungen, die vom Auditor über angewandte Verfahren, durchgeführte Tests, erhaltene Informationen und relevante Schlussfolgerungen geführt werden. Die Dokumentation bietet die prinzipielle Unterstützung für den Bericht des Abschlussprüfers.
    Auditnachweis Fakten, die während der Audit-Verfahren gesammelt wurden und eine angemessene Grundlage für die Bildung eines Prüfungsurteils zu den zu prüfenden Abschlüssen bieten.
    Audit-Ziel Wenn er Nachweise zur Unterstützung von Finanzberichtsbehauptungen ergreift, entwickelt der Auditor spezifische Audit-Ziele im Lichte dieser Behauptungen. Ein Ziel im Zusammenhang mit der Vollständigkeitsbestätigung für Bestandssalden ist beispielsweise, dass die Bestandsmengen alle verfügbaren Produkte, Materialien und Lieferungen umfassen.
    Audit-Beobachtungen Wird von internen Auditoren verwendet, um Kontrolllücken zu identifizieren oder neue Risiken zu identifizieren.
    Automatisierte Steuerungen Interne Kontrollen, die automatisch von Computersystemen ausgeführt werden. Manuelle Steuerungen werden von einer mit dieser Aufgabe beauftragten Person ausgeführt und beziehen sich in der Regel auf eine Teilmenge von Transaktionen und Daten. Automatisierte Kontrollen können für jede relevante Transaktion oder jedes Datenelement ausgeführt werden, wodurch eine höhere Genauigkeit mit weniger Aufwand erzielt wird.
    Regulatorische Dokumente Die Vorschriften, Zertifizierungen, Frameworks, Standards und Best Practices, die eine Organisation wählt oder die für die Compliance mit Vorschriften erforderlich sind. Regulatorische Dokumente beziehen sich auf Steuerungen, Risiken und Richtlinien.
    Geschäftsrisiko Risiken, die sich nachteilig auf die Fähigkeit einer Entität auswirken könnten, ihre Ziele zu erreichen und ihre Strategien umzusetzen.
    Berechneter Punktwert Die berechnete Punktzahl wird aus der inhärenten Punktzahl und der Restpunktzahl als Gesamtergebnis abgeleitet. Bezieht sich auf das tatsächliche Risiko basierend auf der Qualität des implementierten Kontrollsystems.
    Aufbewahrungskette Ein Rechtsprinzip bezüglich der Gültigkeit und Integrität von Nachweisen. Es erfordert die Verantwortlichkeit für alles, was als Beweismittel in einem Gerichtsverfahren verwendet wird. Dadurch wird sichergestellt, dass sie vom Zeitpunkt der Erhebung bis zur Vorlage bei Gericht berücksichtigt werden kann.
    Chief Compliance Officer (CCO) Ein Unternehmensmitarbeiter, der für die Überwachung und Verwaltung von Compliance-Problemen innerhalb einer Organisation verantwortlich ist. Diese Person stellt sicher, dass ein Unternehmen die gesetzlichen Anforderungen und interne Richtlinien und Verfahren einhält.
    Chief Operating Officer (COO) Wird auch als Chief Operations Officer bezeichnet und ist für den operativen Betrieb des Unternehmens verantwortlich.
    Chief Risk Officer (CRO) Wird auch als Chief Risk Management Officer bezeichnet und ist eine Führungskraft, die für das Risikomanagement im Unternehmen und die Compliance-Bemühungen eines Unternehmens verantwortlich ist.
    Autorisierende Quelleninhalte Datensätze mit den spezifischen Anforderungen, die in einem regulatorischen Dokument angegeben sind. Der Zitatdatensatz bezieht autoritative Dokumente auf die entsprechende Steuerung.
    Compliance Die Aktion, Gesetze, Vorschriften oder Richtlinien einzuhalten und zu demonstrieren, dass sie eingehalten werden. Compliance bezieht sich auf Vorschriften in vielen Bereichen, einschließlich Finanzen, Umwelt, Welthandel, Arbeitssicherheit und Datenschutz.
    Vertraulichkeit Beibehaltung autorisierter Einschränkungen für Zugriff und Offenlegung, einschließlich Maßnahmen zum Schutz von vertraulichen und proprietären Informationen.
    Containment-Steuerung Kontrolle, die die Auswirkung (oder Signifikanz) eines Risikos begrenzen soll, falls es eintritt.
    Kontrolle Die tatsächlichen Kontrollaktivitäten, die von einer Organisation durchgeführt werden. Steuerungsdatensätze enthalten grundlegende erforderliche Informationen zur Steuerung (Besitzer, Aktivität, Häufigkeit usw.). Steuerungen können mit autoritativen Quellinhalten, Richtlinien und Risiken verknüpft werden.

    Alle von der Führungsebene, dem Verwaltungsrat und anderen Parteien zur Risikomanagementaktion ergriffenen Maßnahmen. Das Management plant, organisiert und lenkt die Durchführung ausreichender Maßnahmen, um hinreichende Gewissheit zu bieten, dass die gesetzten Ziele und Ziele erreicht werden. Steuerungsdatensätze enthalten grundlegende erforderliche Informationen zur Steuerung (Besitzer, Aktivität, Häufigkeit usw.). Steuerungen können mit autoritativen Quellinhalten, Richtlinien und Risiken verknüpft werden.
    Steuerungs-Framework Eine Reihe grundlegender Steuerungen, die die übergreifende Zuordnung von Steuerungen durchführen und aufrechterhalten, um finanziellen Verlust, Informationsverlust oder allgemeiner Risiken innerhalb eines Unternehmens zu verhindern.
    Steuerungsinstanz Die tatsächliche Ausführung einer Steuerungstestdefinition, regelmäßig oder bei Bedarf, mit Anzeige des Ergebnisdatenmusters, der Bestätigung oder des manuellen Ergebnisses der Testaktivitäten.
    Steuerungstestdefinitionen Steuerungstestdefinitionen geben an, wie und wann Steuerungen getestet werden, einschließlich Testschritten, erwarteten Ergebnissen, der für die Tests verantwortlichen Gruppe oder Person und des Testzeitplans. Kontrolltestinstanzen werden automatisch aus dem Testzeitplan generiert. Nachbesserungen werden automatisch erstellt, wenn Kontrolltests fehlschlagen oder wenn Audit-Beobachtungen festgestellt werden.
    Korrekturkontrollen Interne Kontrollen, die ins Spiel kommen, sobald ein Problem erkannt wird. Ein Beispiel wäre das Entziehen des Zugriffs von Benutzern mit übermäßigen Berechtigungen oder das Ausführen eines Sicherungs- und Wiederherstellungsplans, nachdem ein physischer Notfall aufgetreten ist.
    Performance Management für Unternehmen Corporate Performance Management (CPM) ist eine Kombination aus Strategiemanagement, Planung, Berichterstellung und Konsolidierung sowie Umsatz-, Kosten- und Rentabilitätsmodellierung, mit der Unternehmen ihre Leistung messen und verbessern können.
    Erkennen Kontinuierlicher Fortschritt bei der Erreichung von Zielen sowie tatsächlichen und potenziellen unerwünschten Bedingungen und Ereignisse mithilfe von Managementaktionen und -steuerungen.
    Aufspürende Steuerung Ein Steuerelement, das entwickelt wurde, um ein unbeabsichtigtes Ereignis oder Ergebnis zu erkennen. Es kann auch erkennen, ob und wann ein bestimmtes Risiko auftritt.
    Wirkung Ein Maß für die Wahrscheinlichkeit, den Zeitpunkt und die Auswirkung eines Ereignisses auf etwas.
    Effektive interne Kontrolle Angemessene Gewissheit, dass die operativen Ziele erreicht werden, dass veröffentlichte Abschlüsse zuverlässig erstellt werden und dass die Entität die geltenden Gesetze und Vorschriften einhält.
    Interaktion Ein Audit-Projekt, das Audit-Aufgaben enthalten kann, mit denen eine Reihe von Zielen erreicht wird.
    Ereignis Eine Aktion, ein Vorkommen oder eine Änderung der Bedingung eines erkennbaren Elements. Ein Ereignis enthält eine Änderung des Wissens zu einer Bedingung, auch wenn sich die Bedingung nicht geändert hat.
    Entität Grundlegendes Konzept von GRC. Entitäten werden verwendet, um alle Unternehmenselemente zu modellieren, für die Steuerungen und Risiken zugeordnet werden können. Beispiel: Geschäftsbereiche, Server, Laptops.
    Entitätstyp Wird verwendet, um auf mehrere ähnliche Entitäten zu verweisen. Beispiel: Geschäftsbereich Asien/Pazifik, Linux-Server, MacBook Pro.
    Evaluieren Um etwas anhand von Kriterien zu messen.
    Nachweis (Beweisangelegenheit) Enthält schriftliche und elektronische Informationen (z. B. Schecks, Aufzeichnungen über elektronische Überweisungen, Rechnungen, Verträge und andere Informationen), die es dem Prüfer ermöglichen, durch Überlegungen zu Schlussfolgerungen zu gelangen.
    Betrug Jede illegale Handlung, die durch Täuschung, Verschleierung oder Vertrauensbruch gekennzeichnet ist. Diese Handlungen beruhen nicht auf der Androhung von Gewalt oder physischer Gewalt. Betrug wird von Parteien und Organisationen begangen, um Geld, Eigentum oder Services zu erbeuten und die Zahlung oder den Verlust von Services zu vermeiden oder persönliche oder geschäftliche Vorteile zu sichern.
    Allgemeine Steuerungen Richtlinien und Verfahren zur Sicherstellung des ordnungsgemäßen Betriebs von Computersystemen, einschließlich Kontrollen des Netzwerkbetriebs, der Beschaffung und Wartung von Software und der Zugriffssicherheit.
    Governance, Risk und Compliance (GRC) Governance, Risikomanagement und Compliance mit Vorschriften waren bisher getrennte Unternehmensfunktionen. GRC ist die integrierte Sammlung von Fähigkeiten, die es einer Organisation ermöglichen, Ziele zuverlässig zu erreichen und gleichzeitig Ungewissheiten zu beheben und mit Integrität zu handeln. Sie umfasst Governance, Assurance- und Managementleistung, Risiko und Compliance.

    GRC gibt an, wie ein Unternehmen durch Risikomanagement arbeitet und gleichzeitig externe und interne Standards einhält, um die Leistung zu optimieren. GRC untersucht, wie Prozesse, Kontrollen, Sicherheit und Unternehmenskultur integriert werden, um die Integrität einer Organisation sicherzustellen.
    Impact Wird verwendet, um den Schweregrad eines Risikos zusammen mit der Wahrscheinlichkeit zu bewerten. Bewertet das Ausmaß der Konsequenz, die ein bestimmtes Risiko für eine Organisation haben würde, wenn es eintritt.
    Indikator Eine Metrik, die zum Sammeln von Daten zur Überwachung von Steuerungen und Risiken und zum Sammeln von Audit-Nachweisen verwendet wird.
    Wahrscheinlichkeit Die Wahrscheinlichkeit des Eintretens des identifizierten Risikos, bevor eine Antwortstrategie implementiert wird.
    Inhärentes Risiko Das Ausmaß des Risikos in Bezug auf Wahrscheinlichkeit und Auswirkung (oder Signifikanz), sofern noch keine zugehörigen internen Kontrollen und keine Minderungsmaßnahmen vorhanden sind.
    Inhärente Punktzahl Die Punktzahl des Risikos, bevor eine Antwortstrategie implementiert ist.
    Bedeutung Wie bedeutend das Risiko ist, bevor eine Antwortstrategie implementiert wird.
    Integrität Die Eigenschaft, dass Informationen, ein Informationssystem oder eine Komponente eines Systems nicht auf unbefugte Weise geändert oder zerstört wurden.

    Ein Zustand, in dem Informationen seit dem Zeitpunkt, an dem sie von einer Quelle erzeugt wurden, während der Übertragung, Speicherung und des eventuellen Empfangs am Ziel unverändert bleiben.
    Interner Audit Eine Abteilung, ein Bereich, ein Team von Beratern oder anderen Fachleuten, die unabhängige, objektive Sicherungs- und Beratungsservices bereitstellen, um Mehrwert zu schaffen und die Abläufe eines Unternehmens zu verbessern. Die Aktivität „Internes Audit“ hilft einer Organisation, ihre Ziele zu erreichen, indem sie einen systematischen, disziplinierten Ansatz zur Bewertung und Verbesserung der Effektivität von Governance-, Risikomanagement- und Kontrollprozessen verfolgt.
    Interne Auditoren Mitarbeiter des Kunden, die für die Bereitstellung von Analysen, Bewertungen, Zusicherungen, Empfehlungen und anderen Informationen an die Geschäftsleitung und den Verwaltungsrat des Unternehmens verantwortlich sind Eine wichtige Aufgabe der internen Auditoren besteht in der Überwachung der Leistung von Kontrollen.
    Interne Steuerungen Die Richtlinien, Verfahren, Praktiken und Organisationsstrukturen, die angemessene Sicherheit bieten sollen, dass Geschäftsziele erreicht und unerwünschte Ereignisse verhindert oder erkannt und korrigiert werden.
    Problem Eine GRC -Aufgabe, mit der Endanwender Steuerungs- und Risikoprobleme dokumentieren und die Reaktion nachverfolgen können, um das Problem zu beheben oder zu akzeptieren.
    IT-Governance Führung, Organisationsstrukturen und Prozesse, die sicherstellen, dass die IT des Unternehmens die Strategien und Ziele des Unternehmens unterstützt und erweitert Sie liegt in der Verantwortung der Führungskräfte und des Verwaltungsrats.
    IT GRC Umfasst die Software und Hardware sowie die zugehörigen Richtlinien und Verfahren, die zur Unterstützung von Compliance- und Risikomanagementbemühungen aus IT-Sicht verwendet werden, basierend auf etablierten Best Practices.
    Wahrscheinlichkeit Die Wahrscheinlichkeit, dass etwas passiert ist.
    Management Akt der internen Steuerung, Steuerung und Bewertung einer Entität, eines Prozesses oder einer Ressource.
    Manuelle Steuerungen Steuerungen werden manuell und nicht vom Computer ausgeführt.
    Material (Wesentlichkeit) Ein Risiko ist wesentlich, wenn seine finanziellen Auswirkungen berechnet werden können.
    Verringerung Reduzieren des Risikos, das mit einem bestimmten Verstoß gegen eine Regel verbunden ist. Bevor ein Risiko auftritt, werden geeignete Risikominderungsmaßnahmen ergriffen, um mögliche zugehörige Kontrollfehler zu beheben und/oder das Risiko zu reduzieren.
    Ziel Etwas, das eine Entität erreichen oder vollenden möchte.
    Operatives Audit Ein Audit zur Bewertung der verschiedenen internen Kontrollen sowie der Wirtschaftlichkeit und Effizienz einer Funktion oder Abteilung.
    Operative Steuerungen Kontrollen im Zusammenhang mit dem täglichen Betrieb eines Unternehmens, um sicherzustellen, dass alle Ziele erreicht werden.
    Betriebsrisiken Risiken in Bezug auf die Personen, Prozesse und Systeme, die zum Erreichen der Mission und der Ziele einer Organisation erforderlich sind.
    Objektivität Die Fähigkeit, Kundendatensätze ohne vorgefasste Meinungen oder Vorurteile zu bewerten.
    Verpflichtungen Aussagen über Verpflichtungen befassen sich damit, ob Verbindlichkeiten zu einem bestimmten Datum Verpflichtungen des Unternehmens sind. Beispielsweise stellt das Management fest, dass die für Leasing in der Bilanz aktivierten Beträge die Kosten für die Rechte des Unternehmens an geleastem Eigentum darstellen und dass die entsprechende Leasingverbindlichkeit eine Verpflichtung des Unternehmens darstellt.
    Besitzer Der Verantwortliche eines Risikos, einer Steuerung oder einer Aufgabe zur Risikominderung/Korrektur akzeptiert dessen Verantwortlichkeit. Sie können einige Aufgaben im Zusammenhang mit dem Besitz delegieren, sind jedoch weiterhin gegenüber der Organisation verantwortlich.
    Peer-Prüfung Ein Praxisüberwachungsprogramm, bei dem die Audit-Dokumentation eines CPA-Unternehmens regelmäßig von unabhängigen Partnern anderer Unternehmen überprüft wird, um festzustellen, ob sie den Standards des Berufsstands entspricht.
    Planen Die Audit-Planung entwickelt eine Gesamtstrategie für die Durchführung und den Umfang des Audits. Art, Umfang und Zeitpunkt der Planung variieren je nach Größe und Komplexität der Entität, Erfahrung mit der Entität und Wissen über das Geschäft. Bei der Planung der Audit berücksichtigt der Auditor die Geschäftstätigkeit und die Branche des Unternehmens, die Rechnungslegungsrichtlinien und -verfahren, die zur Verarbeitung von Buchhaltungsinformationen verwendeten Methoden, das geplante bewertete Kontrollrisiko und die vorläufige Beurteilung der Audit-Wesentlichkeit.
    Richtlinie Ein Dokument, das einen allgemeinen Prinzipal oder eine Vorgehensweise aufzeichnet, über den bzw. das entschieden wurde. Der beabsichtigte Zweck besteht darin, sowohl gegenwärtige als auch zukünftige Entscheidungen so zu beeinflussen und zu steuern, dass sie mit der von den Führungsteams des Unternehmens festgelegten Firmenphilosophie, Zielen und strategischen Plänen übereinstimmen. Neben Richtlinieninhalten beschreiben Richtlinien die Konsequenzen einer Nichteinhaltung der Richtlinie, die Mittel zur Behandlung von Ausnahmen und die Art und Weise, wie die Compliance mit der Richtlinie überprüft und gemessen wird.

    In ServiceNow®werden genehmigte Richtlinien in Knowledge Baseveröffentlicht. Richtlinien beziehen sich auf regulatorische Dokumente und Kontrolldatensätze. Richtlinienanweisungen definieren spezifische Details, denen ein Prozess innerhalb einer Richtlinie folgt.
    Vorbeugende Kontrolle Ein Steuerelement, das entwickelt wurde, um ein unbeabsichtigtes Ereignis zu vermeiden.
    Prozedur Eine Aktion, z. B. ein Schritt, der als Teil eines Audit-Programms oder als Teil der internen Kontrollen des Clients ausgeführt wird.

    Stellt Anleitungen zu Richtlinien bereit und leitet Sie bei deren Implementierung. Verfahren sind zielgruppenspezifisch und enthalten genaue Anweisungen, um die Compliance mit einer bestimmten Richtlinie sicherzustellen. ServiceNow® behandelt Richtlinien und Verfahren auf die gleiche Weise. daher können die Begriffe austauschbar verwendet werden. Dies kann von Frameworks wie COBIT 5.1 abweichen, in dem Richtlinien und Verfahren als zwei separate Elemente definiert werden.
    Professionelle Sketischität Fragend an einen Audit herangehen.
    Qualitative Auswirkung Umfasst die Bewertungen Auswirkung (bezieht sich auf die Bedeutung eines Risikos) und Wahrscheinlichkeit (bezieht sich auf die Wahrscheinlichkeit des Eintretens eines Risikos). Die Punktzahl wird berechnet, indem Auswirkung mit Wahrscheinlichkeit multipliziert wird. Eine Auswirkung, die häufig mithilfe einer Ordnungszahl oder einer Nennskala ausgedrückt wird.
    Quantitative Auswirkung Positive/negative Auswirkungen auf finanzielle Assets, materielle Assets, immaterielle Assets, Geschäftskontinuität sowie Arbeitsschutz. Berechnet: Einzelverlusterwartung (Single Loss Expectancy, SLE) x Jahresquote des Vorkommens (Annualized Rate of Occurrence, ARO) = Jahresverlusterwartung (Annualized Loss Expectancy, ALE). Eine quantitative Auswirkung wird numerisch ausgedrückt.
    Fragebogen Ein Fragebogen zur internen Kontrolle ist eine Liste von Fragen zum internen Kontrollsystem, die während der Audit-Feldarbeit beantwortet werden sollen (Antworten sind „Ja“, „Nein“ oder „Nicht zutreffend“. Der Fragebogen dokumentiert, wie der Auditor die internen Kontrollen des Clients verstanden hat.
    Zufällige Stichprobe (Zufallsanzahlauswahl) Identische Wahrscheinlichkeit, dass jedes Auffüllungselement für eine Stichprobe ausgewählt wird. Außerdem Verwendung von Zufallszahlen, um eine zufällige Stichprobe aus einer Grundgesamtheit auszuwählen.
    Angemessene Sicherheit (interne Kontrolle) Eine interne Kontrolle kann aufgrund von inhärenten Einschränkungen in allen internen Kontrollsystemen nicht garantieren, dass die Ziele einer Entität erreicht werden, unabhängig davon, wie gut sie entworfen und verwendet wird.
    Fehlerkorrektur Nachdem ein Fehler identifiziert und bewertet wurde, kann eine geeignete Nachbesserung erfolgen, um das Problem zu mindern oder zu beseitigen. Restwahrscheinlichkeit: Die Wahrscheinlichkeit des Auftretens des identifizierten Risikos, nachdem eine Antwortstrategie implementiert wurde.
    Anforderung Etwas, das eine Entität als Ergebnis einer Zusage angehen muss.
    Restwahrscheinlichkeit Die Wahrscheinlichkeit des identifizierten Risikos, nachdem eine Antwortstrategie implementiert wurde.
    Restrisiko Risikoniveau in Bezug auf Wahrscheinlichkeit und Auswirkung (oder Bedeutung), nachdem zugehörige interne Kontrollen und Risikominderungsmaßnahmen vorhanden und wirksam sind.
    Restpunktzahl Die Punktzahl des Risikos, nachdem eine Antwortstrategie implementiert ist.
    Restbedeutung Wie bedeutend das Risiko ist, nachdem eine Antwortstrategie implementiert wurde.
    Risiko Ein Risiko ist jede Bedrohung oder Schwachstelle, die sich nachteilig auf die Geschäftsziele einer Organisation auswirken könnte. Alle Risiken sind in einem Risiko-Repository enthalten. Risiken können mit jedem Element, jeder Richtlinie, jeder Steuerung und jeder Korrekturaufgabe verbunden sein. Risiken, die sofortige oder laufende Aufmerksamkeit erfordern, können mithilfe der definierten Steuerungen und zugehörigen Kontrolltests gemindert, verhindert oder kontrolliert werden. Eine Risikobeschreibung ist eine definierte Konsequenz, die eintreten kann, wenn eine Bedrohung eine Schwachstelle ausnutzt.

    Risiko wird in Bezug auf Auswirkung (oder Bedeutung) und Wahrscheinlichkeit gemessen. Zu den Risikoarten gehören Betriebsrisiken (z. B. Betrug), Risiken der Nichteinhaltung (Nichteinreichung der richtigen Dokumente zur Einhaltung von Vorschriften) und strategische Risiken (z. B. Incidents, die sich auf den Ruf einer Marke auswirken). Das Geschäftsrisiko, das mit der Nutzung, dem Besitz, dem Betrieb, der Beteiligung, der Einflussnahme und der Einführung von IT in einem Unternehmen verbunden ist.
    Risikoanalyse Die systematische Untersuchung verfügbarer Informationen, um die Häufigkeit des Auftretens bestimmter Ereignisse und das Ausmaß ihrer Konsequenzen zu bestimmen.
    Risikobereitschaft Das Risiko, das eine Organisation bei der Verfolgung ihrer Ziele zu akzeptieren bereit ist.
    Risikobewertung Die Bewertung der Risiken, denen eine Entität, ein Asset, ein System oder ein Netzwerk, Betriebsabläufe, Einzelpersonen, ein geografisches Gebiet, andere Organisationen oder eine Gesellschaft ausgesetzt sind, und umfasst die Bestimmung des Ausmaßes, in dem widrige Umstände oder Ereignisse schädliche Folgen haben könnten.
    Risikokriterium Sind quantitative oder qualitative Werte, anhand derer das Risiko bewertet wird.
    Risikomanagement Das Ziel des Risikomanagements besteht in der Reduzierung der Ungewissheit. Es handelt sich um den Akt der Verwaltung von Prozessen und Ressourcen, um Risiken bei der Verfolgung der Unternehmensziele zu beheben. Prozess der Identifizierung, Analyse, Bewertung und Kommunikation von Risiken und deren Annahme, Vermeidung, Übertragung oder Kontrolle auf ein akzeptables Maß unter Berücksichtigung der damit verbundenen Kosten und Vorteile der ergriffenen Maßnahmen
    Risikomanagement-Framework Ein formalisierter Prozess für das explizite Risikomanagement. Das -Framework besteht aus einer Risikobewertung, einer Antwort und einer Verantwortlichkeit für die damit verbundenen Risiko- und Risikominderungsaktivitäten.
    Risikoverringerung Die in die Steuerungsumgebung integrierten Prozesse, z. B. Richtlinien, Frameworks und Verantwortlichkeiten, die ein Risiko reduzieren.
    Risikoregister Ein Repository mit Schlüsselattributen potenzieller und bekannter IT-Risikoprobleme. Zu den Attributen können Name, Beschreibung, Besitzer, erwartete/tatsächliche Häufigkeit, inhärente/Reststufe, potenzielle/tatsächliche Geschäftsauswirkung sowie Verringerungs-/Korrekturpläne gehören.
    Antwort auf Risiko Die Entscheidung, ein Risiko zu akzeptieren, ein Risiko abzulehnen, ein Risiko zu behandeln oder zu mindern oder ein Risiko mit einer anderen Partei zu teilen.
    Risikobeschreibung Allgemeine Aussagen über potenzielle Risiken oder Bedrohungen, die in einer Organisation auftreten könnten.
    Risikotoleranz Risikostufe, die die Organisation nicht überschreiten möchte, um Ziele zu erreichen. Die Darstellung der Risikobereitschaft in Bezug auf Schwellenwerte, im Allgemeinen finanzieller, die verschiedenen Managementebenen in der Organisation für bestimmte Risikokategorien gewährt werden.
    Stichprobengröße Die Anzahl der Elemente der Grundgesamtheit, die ausgewählt werden, wenn eine Stichprobe aus einer Grundgesamtheit gezogen wird.
    Sampling Auswahl einer kleinen, aber relevanten und repräsentativen Anzahl von Datensätzen, um die gesamte Datensätze darzustellen.
    Stichprobenrisiko Die Möglichkeit, dass aus der Stichprobe gezogene Schlussfolgerungen möglicherweise keine richtigen Schlussfolgerungen für die gesamte Grundgesamtheit darstellen.
    Aufgabentrennung (SoD) Verschiedenen Personen die Verantwortung für die Autorisierung von Transaktionen, die Aufzeichnung von Transaktionen und die Verwahrung von Assets zuweisen. Die Aufgabentrennung verringert die Möglichkeiten für eine Person, Fehler oder Betrug zu begehen und zu verbergen.
    Bedeutung Wird verwendet, um den Schweregrad eines Risikos zusammen mit der Wahrscheinlichkeit zu bewerten. Bewertet das Ausmaß der Konsequenz, die ein bestimmtes Risiko für eine Organisation haben würde, wenn es eintritt.
    SLE Einzelverlusterwartung (Single Loss Expectancy, SLE) = Einzelverlusterwartung = Asset-Wert x Risikofaktor.
    Stakeholder Eine Person, Gruppe oder Organisation, die direkt oder indirekt an einer Organisation beteiligt ist, da sie sich auf die Aktionen, Ziele und Richtlinien der Organisation auswirken oder von ihnen betroffen sein kann.
    Standard Eine vom Board für Standards für interne Audits herausgegebene professionelle Äußerung, die die Anforderungen für die Durchführung einer Vielzahl interner Audit-Aktivitäten und die Bewertung der Leistung interner Audits darlegt.
    Strategische Risiken In Bezug auf strategische Ziele wie politische Faktoren, Kundenprioritäten, Marke oder Reputation.
    Ziel Ein messbarer Wert, den eine Entität erreichen möchte.
    Test Eine Stichprobe aus einer Grundgesamtheit, um die Eigenschaften der Grundgesamtheit zu schätzen.
    Testplan Spezifischer Audit-Test des Designs und der betrieblichen Effektivität eines einzelnen Steuerelements.
    Bedrohung Ein Ereignis, das unter dem Strich einen unerwünschten Effekt auf das Erreichen von Zielen hat.
    Toleranz Der zulässige Grad der Abweichung von einem Ziel.
    Unified Compliance Framework (UCF) Das Unified Compliance Framework (UCF) von Network Frontiers enthält regulatorische Dokumente, die in die Instanz ServiceNow® importiert werden können. Weitere Informationen finden Sie unter Unified Compliance Framework.
    Ungewissheit Der Zustand, etwas vollständig vorhersagen, bestimmen oder definieren zu können.