Gouvernance, risque et conformité Mises à jour de la nomenclature des applications et terminologie du secteur
Les termes suivants sont utilisés dans les GRC applications et/ou dans l’industrie GRC .
GRC Mises à jour de nomenclature
À partir de la version précédente, de nombreux termes de toutes les GRC applications principales ont été mis à jour.
Remarque :
Ces mises à jour de termes s’appliquent à l’ensemble des étiquettes de navigation, boutons, messages d’information, titres de rapports, liens connexes, onglets et autres éléments d’interface utilisateur.
| Module GRC | Précédent | Actuel |
|---|---|---|
| Définition du champ d'application | Profil | Entité |
| Types de profils | Types d'entité | |
| Classes de profil | Classes d'entités | |
| Mes profils | Mes entités | |
| Tous les profils | Toutes les entités | |
| Administration | Couches de profil | Niveaux d'entité |
| Règles de classe de profil | Règles de classe d'entité | |
| Indicateurs | champ | Champ de contrôle/risque |
| Le champ Catégorie indique s’il s’agit d’un indicateur de conformité ou de risque | ||
| champ | Objectif du contrôle/Définition du risque | |
| les problèmes | champ | Objectif du contrôle/Définition du risque |
| champ | Contrôle/Risque | |
| Politique et Conformité | Déclaration de politique | Objectif de contrôle |
| Risque | champ | |
| champ | champ |
Références sectorielles
| Terme | Définition |
|---|---|
| Bâle III | Une norme internationale pour le secteur bancaire que les régulateurs peuvent utiliser lorsqu’ils élaborent des réglementations sur le montant des fonds propres que les banques doivent avoir pour compenser le risque potentiel. Plus une banque a de risques, plus elle doit avoir de capital en place pour s’assurer qu’elle reste solvable. Le règlement était la troisième norme de ce type publiée par le Comité de Bâle sur le contrôle bancaire, d’où le nom de Bâle III. |
| CISA | Loi sur le partage d’informations sur la cybersécurité |
| CISM | Gestionnaire certifié de la sécurité des informations |
| COBIT | Les objectifs de contrôle relatifs aux technologies de l’information et connexes (COBIT) fournissent un cadre de gouvernance de la TI pour gérer les questions de risque et de conformité en fonction des pratiques exemplaires. Publié par l’IT Governance Institute et l’Information Systems Audit and Control Association (ISACA). |
| COSO | Le Committee of Sponsoring Organizations (COSO) a été formé en 1985 pour parrainer la Commission nationale sur les rapports financiers frauduleux. COSO est une initiative indépendante du secteur privé qui a étudié les facteurs de causalité pouvant conduire à des rapports financiers frauduleux et a élaboré des recommandations pour les sociétés ouvertes, la SEC et d’autres organismes de réglementation et établissements d’enseignement. |
| EDPA (en anglais seulement) | Loi européenne sur la protection des données |
| L’ENISA | Agence européenne chargée de la sécurité des réseaux et de l’information |
| EUP | La consommation d’énergie dans les produits (EUP) est une directive européenne qui oblige les entreprises à concevoir des produits qui consomment moins d’énergie. |
| Directive européenne sur la protection des données | L’un des premiers et des plus importants textes législatifs sur la confidentialité des données qui traite spécifiquement de la confidentialité sur Internet. |
| FCA | Autorité de conduite financière |
| RGPD | Le Règlement général sur la protection des données (RGPD) est un règlement, entré en vigueur le 25 mai 2018, remplaçant la directive 95/46/CE sur la protection des données visant à renforcer et harmoniser les droits des citoyens de l’Union européenne en matière de protection des données. |
| GRI | Global Reporting Initiative (GRI) est un groupe international qui a créé le cadre G3 pour les rapports sur le développement durable. |
| ITGI | Institut de gouvernance informatique |
| PII | Les informations d’identification personnelle/informations d’identification personnelle (PII) sont les informations qui permettent de déduire directement ou indirectement l’identité d’une personne. |
| PCI DSS | La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est un ensemble de normes de sécurité conçues pour garantir que toutes les entreprises qui acceptent, traitent, stockent ou transmettent des informations de carte de crédit maintiennent un environnement sécurisé. |
| SOLVABILITÉ II | SOLVABILITÉ II |
| SOX | La loi Sarbanes-Oxley (SOX) a créé le Public Company Accounting Oversight Board et a ajouté des exigences pour les sociétés cotées en bourse, leurs dirigeants, conseils et auditeurs. Il a augmenté les sanctions pour la fraude financière des entreprises. Cette législation américaine a été promulguée en réponse aux scandales financiers très médiatisés d’Enron et de WorldCom. Son objectif est de protéger les actionnaires et le grand public contre les erreurs comptables et les pratiques frauduleuses dans l’entreprise. SOX s’applique aux sociétés qui se négocient publiquement aux États-Unis. |
| Terme | Définition |
|---|---|
| ALE | Perte estimée annualisée (ALE) = perte estimée unique (SLE) x taux annualisé d’occurrence (ARO). Utilisé dans la notation quantitative des risques. |
| ARO (en anglais seulement) | Taux d’occurrence annualisé. |
| Acceptation | Un risque spécifique peut être accepté par la direction, en arrêtant d’autres investissements dans des contrôles plus approfondis ou des niveaux d’atténuation plus élevés, s’il est dans le niveau de tolérance ou si une atténuation et un contrôle supplémentaires coûteraient en fait beaucoup plus cher que l’impact estimé (ou l’importance) du risque. |
| Assertion | Toute déclaration formelle ou tout ensemble de déclarations faites par la direction sur l’objet. |
| Évaluation | Examen général des différents aspects d’une société ou d’une fonction qui comprend des éléments non couverts par une initiative d’assurance structurée. |
| Attestation | Processus de validation que quelque chose est vrai. Par exemple, l’efficacité ou la conformité d’un contrôle peut être attestée par un questionnaire, signé électroniquement par son prestataire. |
| Audit | Inspection et vérification officielles pour vérifier si une norme ou un ensemble de lignes directrices est suivi, si les dossiers sont exacts ou si les objectifs d’efficience et d’efficacité sont atteints. En ServiceNow®, une organisation identifie tous les contrôles qu’elle souhaite tester en une seule fois et attribue la responsabilité de l’audit global à une seule personne. Une seule tâche gère les tests de tous les contrôles. |
| Activités d’audit | L’une des tâches d’un audit qui est affectée à une personne pour l’exécution de l’audit. |
| Comité d’audit | Comité, comprenant souvent des membres du conseil d’administration, chargé de superviser l’information financière et les contrôles internes. |
| Documentation d’audit (documents de travail) | Registres conservés par l’auditeur sur les procédures appliquées, les tests effectués, les informations obtenues et les conclusions pertinentes tirées dans le cadre de la mission. La documentation constitue le principal support du rapport de l’auditeur. |
| Preuve d’audit | Faits recueillis au cours des procédures d’audit qui fournissent une base raisonnable pour se faire une opinion concernant les états financiers faisant l’objet de l’audit. |
| Objectif de l’audit | Lorsqu’il obtient des éléments probants à l’appui des affirmations des états financiers, l’auditeur développe des objectifs d’audit spécifiques à la lumière de ces affirmations. Par exemple, un objectif lié à l’assertion d’exhaustivité pour les soldes de stock est que les quantités de stock incluent tous les produits, matières et fournitures disponibles. |
| Observations d’audit | Utilisé par les auditeurs internes pour identifier les lacunes de contrôle ou identifier de nouveaux risques. |
| Contrôles automatisés | Contrôles internes exécutés automatiquement par les systèmes informatiques. Les contrôles manuels sont exécutés par une personne chargée de cette tâche et sont généralement effectués sur un sous-ensemble de transactions et de données. Des contrôles automatisés peuvent être exécutés sur chaque transaction ou élément de données pertinent, garantissant une plus grande précision avec moins d’efforts. |
| Documents de référence | Les réglementations, certifications, cadres de travail, normes et bonnes pratiques qu’une organisation choisit ou exige pour se conformer aux réglementations. Les documents de référence sont liés aux contrôles, aux risques et aux politiques. |
| Risque commercial | Risques susceptibles d’affecter négativement la capacité d’une entité à atteindre ses objectifs et à exécuter ses stratégies. |
| Score calculé | Le score calculé est dérivé du score inhérent et du score résiduel comme résultat global. Fait référence à l’exposition réelle au risque en fonction de la qualité du système de contrôle mis en œuvre. |
| Chaîne de traçabilité | Un principe juridique concernant la validité et l’intégrité de la preuve. Il exige la responsabilité de tout ce qui est utilisé comme preuve dans une procédure judiciaire. Cela garantit qu’il peut être comptabilisé à partir du moment où il a été collecté jusqu’au moment où il est présenté devant un tribunal. |
| Directeur de la conformité (CCO) | Fonctionnaire d’entreprise chargé de superviser et de gérer les problèmes de conformité au sein d’une organisation. Cette personne s’assure qu’une société se conforme aux exigences réglementaires et que la société se conforme aux politiques et procédures internes. |
| Directeur des opérations (COO) | Également appelé directeur des opérations, cadre supérieur en charge des opérations quotidiennes de l’entreprise. |
| Directeur de la gestion des risques (CRO) | Également appelé directeur de la gestion des risques, un cadre responsable de la gestion des risques de l’entreprise et des efforts de conformité d’une entreprise. |
| Contenu des documents de référence | Enregistrements dont les besoins spécifiques sont cités dans un document de référence. L’enregistrement de citation relie les documents de référence à son contrôle applicable. |
| Conformité | Le fait d’adhérer et de démontrer le respect des lois, des règlements ou des politiques. La conformité concerne les réglementations dans de nombreux domaines, notamment la finance, l’environnement, le commerce mondial, la sécurité des travailleurs et la confidentialité. |
| Confidentialité | Préserver les restrictions autorisées en matière d’accès et de divulgation, y compris les moyens de protection de la vie privée et des renseignements exclusifs. |
| Contrôle de confinement | Contrôle conçu pour limiter l’impact (ou la signification) d’un risque, s’il se produit. |
| Contrôle | Activités de contrôle réelles effectuées par une organisation. Les enregistrements de contrôle incluent les informations de base requises sur le contrôle (propriétaire, activité, fréquence, etc.). Les contrôles peuvent être liés à des contenus, des politiques et des risques sources faisant autorité. Toute mesure prise par la direction, le conseil d’administration et d’autres parties pour gérer les risques. La direction planifie, organise et dirige l’exécution de mesures suffisantes pour fournir une assurance raisonnable que les objectifs et les buts sont atteints. Les enregistrements de contrôle incluent les informations de base requises sur le contrôle (propriétaire, activité, fréquence, etc.). Les contrôles peuvent être liés à des contenus, des politiques et des risques sources faisant autorité. |
| Cadre de travail de contrôle | Ensemble de contrôles fondamentaux qui effectuent et préservent le mappage croisé des contrôles pour prévenir les pertes financières, les pertes d’informations ou, plus généralement, pour prévenir les risques au sein d’une entreprise. |
| Instance de contrôle | Exécution réelle, périodique ou à la demande, d’une définition de test de contrôle, montrant l’échantillon de données de résultat, l’attestation ou le résultat manuel des activités de test. |
| Définitions de tests de contrôle | Les définitions des tests de contrôle spécifient comment et quand les contrôles sont testés, y compris les étapes de test, les résultats attendus, le groupe ou la personne responsable des tests et le calendrier des tests. Les instances de test de contrôle sont automatiquement générées à partir du calendrier de tests. Des corrections sont automatiquement créées lorsque les tests de contrôle échouent ou lorsque des observations d’audit sont notées. |
| Contrôles correctifs | Contrôles internes qui entrent en jeu une fois qu’un problème est détecté. Par exemple, supprimer l’accès des utilisateurs disposant de privilèges excessifs ou exécuter un plan de sauvegarde et de récupération après un sinistre physique. |
| Gestion de la performance de l’entreprise | La gestion de la performance d’entreprise (CPM) est une combinaison de gestion de la stratégie, de planification, de reporting et de consolidation, ainsi que de modélisation des revenus, des coûts et de la rentabilité qui permet aux entreprises de mesurer leurs performances et de les améliorer. |
| Détecter | Progrès continus vers les objectifs ainsi que les conditions et événements indésirables réels et potentiels à l’aide de mesures et de contrôles de gestion. |
| Contrôle de détection | Contrôle conçu pour détecter un événement ou un résultat non intentionnel. Il peut également détecter si et quand un risque spécifique se produit. |
| Effet | Mesure de la probabilité, du moment et de l’impact d’un événement sur quelque chose. |
| Contrôle interne efficace | Assurance raisonnable que les objectifs opérationnels sont atteints, que les états financiers publiés sont préparés de manière fiable et que l’entité se conforme aux lois et réglementations applicables. |
| Engagement | Un projet d’audit qui peut inclure des tâches d’audit qui permettent d’atteindre un ensemble d’objectifs ou de buts. |
| Événement | Action observable, occurrence ou changement de condition. Un événement inclut un changement dans les connaissances sur une condition, même si la condition n’a pas changé. |
| Entité | Concept fondamental de GRC, les entités sont utilisées pour modéliser tout élément d’entreprise auquel des contrôles et des risques peuvent être associés. Par exemple : unités commerciales, serveurs, ordinateurs portables. |
| Type d'entité | Utilisé pour faire référence à plusieurs entités similaires. Par exemple : unité commerciale Asie/Pacifique, serveurs Linux, MacBook Pro. |
| Évaluer | Pour mesurer quelque chose par rapport à des critères. |
| Preuve (éléments de preuve) | Comprend des informations écrites et électroniques (telles que des chèques, des registres de transferts électroniques de fonds, des factures, des contrats et d’autres informations) qui permettent au vérificateur de tirer des conclusions par le biais d’un raisonnement. |
| Fraude | Tout acte illégal caractérisé par la tromperie, la dissimulation ou la violation de la confiance. Ces actes ne dépendent pas de la menace de violence ou de la force physique. Les fraudes sont perpétrées par des parties et des organisations pour obtenir de l’argent, des biens ou des services et pour éviter le paiement ou la perte de services ou pour obtenir un avantage personnel ou commercial. |
| Contrôles généraux | Politiques et procédures visant à assurer le bon fonctionnement des systèmes informatiques, y compris les contrôles sur les opérations réseau, l’acquisition et la maintenance de logiciels, et la sécurité d’accès. |
| Gouvernance, risque et conformité (GRC) | La gouvernance, la gestion des risques et la conformité aux réglementations sont traditionnellement des fonctions distinctes de l’entreprise. GRC est l’ensemble intégré d’options qui permettent à une organisation d’atteindre ses objectifs de manière fiable tout en faisant face à l’incertitude et en agissant avec intégrité. Elle englobe la gouvernance, l’assurance et la performance de gestion, le risque et la conformité. GRC est la façon dont une organisation fonctionne par le biais de la gestion des risques tout en restant conforme aux normes externes et internes afin d’optimiser les performances. GRC Embrasse la façon dont les processus, les contrôles, la sécurité et la culture s’intègrent pour garantir l’intégrité de l’organisation. |
| Impact | Utilisée pour évaluer la gravité d’un risque, ainsi que sa probabilité. Il évalue le niveau de conséquence qu’un risque spécifique aurait sur une organisation si/quand il se produisait. |
| Indicateur | Mesure utilisée pour collecter des données afin de surveiller les contrôles et les risques, et de recueillir des preuves d’audit. |
| Probabilité inhérente | Probabilité de survenue du risque identifié avant la mise en œuvre de toute stratégie d’intervention. |
| Risque inhérent | Niveau d’exposition au risque, en termes de probabilité et d’impact (ou d’importance), en supposant qu’aucun contrôle interne connexe ni aucune action d’atténuation n’est encore en place. |
| Score inhérent | Score du risque avant l’implémentation de toute stratégie d’intervention. |
| Importance | Importance du risque avant l’implémentation de toute stratégie d’intervention. |
| Intégrité | Propriété par laquelle une information, un système d’information ou un composant d’un système n’a pas été modifié ou détruit de manière non autorisée. État dans lequel l’information est restée inchangée à partir du moment où elle est produite par une source, pendant la transmission, le stockage et la réception éventuelle par la destination. |
| Audit interne | Département, division, équipe de consultants ou autres praticiens qui fournit des services d’assurance et de consultation indépendants et objectifs conçus pour ajouter de la valeur et améliorer les opérations d’une organisation. L’activité d’audit interne aide une organisation à atteindre ses objectifs en adoptant une approche systématique et disciplinée pour évaluer et améliorer l’efficacité des processus de gouvernance, de gestion des risques et de contrôle. |
| Auditeurs internes | Les employés du client sont chargés de fournir des analyses, des évaluations, des assurances, des recommandations et d’autres informations à la direction et au conseil d’administration de l’entité. L’une des responsabilités importantes des vérificateurs internes est de surveiller le rendement des contrôles. |
| Contrôles internes | Politiques, procédures, pratiques et structures organisationnelles conçues pour fournir une assurance raisonnable que les objectifs opérationnels sont atteints et que les événements indésirables sont prévenus ou détectés et corrigés. |
| Problème | Tâche GRC qui permet aux utilisateurs finaux de documenter les problèmes de contrôle et de risque et de suivre la réponse pour les corriger ou les accepter. |
| Gouvernance IT | Direction, structures organisationnelles et processus qui garantissent que l’informatique de l’entreprise soutient et étend les stratégies et les objectifs de l’entreprise. C’est la responsabilité des dirigeants et du conseil d’administration. |
| Informatique GRC | Englobe les logiciels et le matériel, ainsi que les politiques et procédures connexes utilisés pour soutenir les efforts de conformité et de gestion des risques d’un point de vue informatique basés sur les meilleures pratiques établies. |
| Probabilité | La probabilité que quelque chose se soit produit. |
| Gestion | Action de diriger, de contrôler et d’évaluer en interne une entité, un processus ou une ressource. |
| Contrôles manuels | Contrôles effectués manuellement, et non par ordinateur. |
| Matériau (matérialité) | Un risque est important lorsqu’il est possible de calculer son impact financier. |
| Atténuation | Réduction du risque associé à une violation particulière d’une règle. Avant qu’un risque ne survienne, des mesures d’atténuation appropriées sont mises en place pour résoudre les défaillances de contrôle connexes possibles et/ou pour réduire l’exposition au risque. |
| Objectif | Quelque chose qu’une entité a l’intention d’atteindre ou d’accomplir. |
| Audit opérationnel | Vérification conçue pour évaluer les divers contrôles internes, l’économie et l’efficience d’une fonction ou d’un ministère. |
| Contrôles opérationnels | Contrôles relatifs au fonctionnement quotidien d’une société ou d’une entreprise pour s’assurer que tous les objectifs sont atteints. |
| Risques opérationnels | Risques relatifs aux personnes, aux processus et aux systèmes nécessaires à la réalisation de la mission et des objectifs d’une organisation. |
| Objectivité | La capacité d’évaluer les dossiers des clients sans idées préconçues ni préjugés. |
| Obligations | Les affirmations sur les obligations portent sur la question de savoir si les passifs sont des obligations de l’entité à une date donnée. Par exemple, la direction affirme que les montants capitalisés au titre des contrats de location au bilan représentent le coût des droits de l’entité sur les biens loués et que le passif locatif correspondant représente une obligation de l’entité. |
| Propriétaire | Le propriétaire d’un risque, d’un contrôle ou d’une tâche d’atténuation/de remédiation en accepte la responsabilité. Ils peuvent déléguer certaines tâches liées à la propriété, mais ils restent responsables envers l’organisation. |
| Révision par les pairs | Programme de surveillance de la pratique dans le cadre duquel les documents d’audit d’un cabinet d’experts-comptables sont périodiquement examinés par des associés indépendants d’autres cabinets afin de déterminer qu’ils sont conformes aux normes de la profession. |
| Plan | La planification de la vérification élabore une stratégie globale pour la réalisation et la portée de la vérification. La nature, l’étendue et le calendrier de la planification varient en fonction de la taille et de la complexité de l’entité, de l’expérience avec l’entité et de la connaissance de l’entreprise. Lors de la planification de l’audit, l’auditeur tient compte des activités de l’entité et de son secteur d’activité, de ses politiques et procédures comptables, des méthodes utilisées pour traiter l’information comptable, du niveau évalué prévu du risque de contrôle et de son jugement préliminaire sur l’importance relative de l’audit. |
| Politique | Document qui enregistre un principe de haut niveau ou un plan d’action qui a été décidé. L’objectif visé est d’influencer et de guider la prise de décision présente et future afin qu’elle soit conforme à la philosophie, aux objectifs et aux plans stratégiques établis par les équipes de direction de l’entreprise. En plus du contenu de la politique, les politiques décrivent les conséquences du non-respect de la politique, les moyens de gestion des exceptions et la manière dont la conformité à la politique est vérifiée et mesurée. En ServiceNow®, les politiques approuvées sont publiées dans le Base de connaissances. Les politiques sont liées aux documents de référence et aux enregistrements de contrôle. Les déclarations de politique définissent des détails spécifiques qu’un processus suit dans une politique. |
| Contrôle préventif | Contrôle conçu pour éviter un événement imprévu. |
| Procédure | Action, telle qu’une étape, effectuée dans le cadre d’un programme d’audit ou dans le cadre des contrôles internes du client. Fournit le « comment faire » des politiques et guide leur mise en œuvre. Les procédures sont spécifiques à un public et fournissent des instructions précises qui garantissent la conformité à une politique donnée. ServiceNow® traite les politiques et les procédures de la même façon ; par conséquent, les termes peuvent être utilisés de façon interchangeable. Cela peut différer des cadres, tels que COBIT 5.1, qui définit les politiques et les procédures comme deux éléments distincts. |
| Scepticisme professionnel | Aborder un audit avec un état d’esprit questionneur. |
| Impact qualitatif | Inclut les évaluations de l’impact (fait référence à l’importance d’un risque) et de la probabilité (se réfère à la probabilité qu’un risque se produise). Le score est calculé en multipliant l’impact par la probabilité. Impact souvent exprimé à l’aide d’une échelle ordinale ou nominale. |
| Impact quantitatif | Un effet positif/négatif sur les actifs financiers, les actifs corporels, les actifs incorporels, la continuité des activités et la santé et sécurité. Calculé selon la méthode Perte estimée unique (SLE) x Taux d’occurrence annualisé (ARO) = Perte estimée annualisée (ALE). Un impact quantitatif est exprimé numériquement. |
| Questionnaire | Un questionnaire de contrôle interne est une liste de questions sur le système de contrôle interne auxquelles il faut répondre (avec des réponses telles que oui, non ou sans objet) pendant le travail d’audit sur le terrain. Le questionnaire fait partie de la documentation de la compréhension par l’auditeur des contrôles internes du client. |
| Échantillon aléatoire (échantillonnage aléatoire) | Probabilité identique que chaque élément de la population soit sélectionné pour un échantillon. De plus, l’utilisation de nombres aléatoires pour sélectionner un échantillon aléatoire d’une population. |
| Assurance raisonnable (contrôle interne) | Un contrôle interne, aussi bien conçu et exploité soit-il, ne peut garantir que les objectifs d’une entité sont atteints en raison des limites inhérentes à tous les systèmes de contrôle interne. |
| Correction | Une fois qu’une défaillance est identifiée et évaluée, une remédiation appropriée peut avoir lieu pour atténuer ou éliminer le problème Probabilité résiduelle : probabilité que le risque identifié se produise après la mise en œuvre de toute stratégie d’intervention. |
| Besoin | Quelque chose qu’une entité doit aborder à la suite d’une promesse. |
| Probabilité résiduelle | Probabilité que le risque identifié survienne après l’implémentation de toute stratégie d’intervention. |
| Risque résiduel | Niveau d’exposition au risque, en termes de probabilité et d’impact (ou d’importance), après la mise en place et l’efficacité des contrôles internes et des mesures d’atténuation connexes. |
| Score résiduel | Score du risque après l’implémentation de toute stratégie d’intervention. |
| Importance résiduelle | Importance du risque après l’implémentation de toute stratégie d’intervention. |
| Risque | Un risque est une menace ou une vulnérabilité susceptible de nuire aux objectifs business d’une organisation. Tous les risques sont contenus dans un référentiel de risques. Les risques peuvent être liés à n’importe quel élément, politique, contrôle ou tâche de remédiation. Les risques nécessitant une attention immédiate ou continue peuvent être atténués, évités ou contrôlés à l’aide des contrôles définis et des tests de contrôle connexes. Une définition du risque est une conséquence définie qui peut se produire si une menace exploite une vulnérabilité. Le risque est mesuré en termes d’impact (ou d’importance) et de probabilité. Les types de risques comprennent les risques opérationnels (fraude, par exemple), les risques de non-conformité (ne pas déposer les documents appropriés pour se conformer à la législation) et les risques stratégiques (comme un incident qui affecte la réputation d’une marque). Risque commercial associé à l’utilisation, à la propriété, au fonctionnement, à la participation, à l’influence et à l’adoption des technologies de l’information au sein d’une entreprise. |
| Analyse des risques | L’examen systématique de l’information disponible pour déterminer la fréquence à laquelle des événements précis peuvent se produire et l’ampleur de leurs conséquences. |
| Appétence pour le risque | Niveau de risque qu’une organisation est prête à accepter dans la poursuite de ses objectifs. |
| Cote de risque | Évaluation des risques auxquels sont confrontés une entité, un actif, un système ou un réseau, des opérations organisationnelles, des individus, une zone géographique, d’autres organisations ou une société, et comprend la détermination de la mesure dans laquelle des circonstances ou des événements défavorables pourraient entraîner des conséquences néfastes. |
| Critère de risque | Valeurs quantitatives ou qualitatives par rapport auxquelles le niveau de risque est évalué. |
| Gestion des risques | L’objectif de la gestion des risques est de réduire l’incertitude. C’est l’acte de gérer les processus et les ressources pour faire face aux risques tout en poursuivant les objectifs de l’organisation. Processus d’identification, d’analyse, d’évaluation et de communication des risques et de leur acceptation, de leur évitement, de leur transfert ou de leur contrôle à un niveau acceptable en tenant compte des coûts et des avantages associés à toutes les mesures prises. |
| Cadre de gestion des risques | Processus formalisé de gestion des risques de façon explicite. Le cadre consiste en une évaluation des risques, une réponse et une responsabilisation pour les activités de risque et d’atténuation qui l’entourent. |
| Atténuation du risque | Les processus intégrés à l’environnement de contrôle, tels que les politiques, les cadres et les responsabilités, qui réduisent un risque. |
| Registre des risques | Un référentiel des attributs clés des problèmes de risque informatiques potentiels et connus. Les attributs peuvent inclure le nom, la description, le propriétaire, la fréquence attendue/réelle, le niveau inhérent/résiduel, l’impact potentiel ou réel sur l’entreprise et les plans d’atténuation/de remédiation. |
| Réponse aux risques | Décision d’accepter un risque, de refuser un risque, de traiter ou d’atténuer un risque ou de partager un risque avec une autre partie. |
| Définition du risque | Déclarations générales sur les risques ou menaces potentiels qui pourraient survenir quelque part dans une organisation. |
| Tolérance au risque | Niveau de risque que l’organisation n’est pas prête à dépasser pour atteindre les objectifs. Représentation de l’appétence au risque en termes de seuil, généralement financier, donnée à divers niveaux de gestion de l’organisation pour des catégories de risque spécifiques. |
| Taille de l'échantillon | Nombre d’éléments de population sélectionnés lorsqu’un échantillon est tiré d’une population. |
| Échantillonnage | Sélectionner un nombre restreint mais pertinent et représentatif d’enregistrements pour représenter l’ensemble de la population d’enregistrements. |
| Risque d’échantillonnage | La possibilité que les conclusions tirées de l’échantillon ne représentent pas des conclusions correctes pour l’ensemble de la population. |
| Séparation des tâches (SoD) | Attribuer à différentes personnes les responsabilités d’autoriser les transactions, d’enregistrer les transactions et de maintenir la garde des actifs. La séparation des tâches réduit les possibilités pour une personne de commettre et de dissimuler des erreurs ou des fraudes. |
| Importance | Utilisée pour évaluer la gravité d’un risque, ainsi que sa probabilité. Il évalue le niveau de conséquence qu’un risque spécifique aurait sur une organisation si/quand il se produisait. |
| SLE | Perte estimée unique (SLE) = perte estimée unique = valeur de l’actif x facteur d’exposition. |
| Personne concernée | Personne, groupe ou organisation qui a un intérêt direct ou indirect dans une organisation parce qu’il peut affecter ou être affecté par les actions, les objectifs et les politiques de l’organisation. |
| Standard | Énoncé professionnel promulgué par le Conseil des normes d’audit interne qui définit les exigences relatives à l’exécution d’un large éventail d’activités d’audit interne et à l’évaluation de la performance de l’audit interne. |
| Risques stratégiques | Relatif à des objectifs stratégiques tels que des facteurs politiques, les priorités des clients, la marque ou la réputation. |
| Cible | Valeur mesurable qu’une entité s’efforce d’atteindre. |
| Test | Échantillon d’une population pour estimer les caractéristiques de la population. |
| Plan de tests | Un test d’audit spécifique de l’efficacité de la conception et du fonctionnement d’un contrôle unique. |
| Menace | Un événement qui, dans l’ensemble, a un effet indésirable sur la réalisation des objectifs. |
| Tolérance | Niveau acceptable d’écart par rapport à une cible. |
| UCF (Unified Compliance Framework : Cadre de travail de la conformité unifiée) | Le cadre de travail de conformité unifiée (UCF, Unified Compliance Framework de Network Frontiers) contient des documents de référence qui peuvent être importés dans l’instance ServiceNow® . Pour plus d’informations, consultez Cadre de travail de la conformité unifiée. |
| Incertitude | État d’incapacité à prédire, déterminer ou définir complètement quelque chose. |