GRC 애플리케이션 명명법 업데이트 및 업계 용어
다음 용어는 애플리케이션 내에서 및/또는 GRC 업계에서 사용됩니다GRC.
GRC 명명법 업데이트
이전 릴리스부터 모든 핵심 애플리케이션 내의 많은 용어가 GRC 업데이트되었습니다.
주:
이러한 용어 업데이트는 모든 탐색 레이블, 버튼, 정보 메시지, 보고서 제목, 관련 링크, 탭 및 기타 UI 요소에 적용됩니다.
| GRC 모듈 | 이전 | 현재 |
|---|---|---|
| 범위 지정 | 프로필 | 엔터티 |
| 프로파일 유형 | 엔터티 유형 | |
| 프로파일 클래스 | 엔터티 클래스 | |
| 내 프로필 | 사용자 엔터티 | |
| 모든 프로파일 | 모든 개체 | |
| 관리 | 프로파일 계층 | 엔터티 계층 |
| 프로파일 클래스 규칙 | 엔터티 클래스 규칙 | |
| 표시기 | 필드 | 통제/위험 필드 |
| 범주 필드는 준수 또는 위험 표시기인지 여부를 나타냅니다. | ||
| 필드 | 통제 목표/위험 설명 | |
| 이슈 | 필드 | 통제 목표/위험 설명 |
| 필드 | 통제/위험 | |
| 정책 및 준수 | 정책 설명 | 컨트롤 목적 |
| 위험 | 필드 | |
| 필드 | 필드 |
업계 참조
| 용어 | 정의 |
|---|---|
| 바젤 III | 규제 기관이 은행이 잠재적 위험을 상쇄하기 위해 얼마나 많은 자본을 보유해야 하는지에 대한 규제를 할 때 사용할 수 있는 은행에 대한 국제 표준입니다. 은행의 리스크가 클수록 지급 능력을 유지하기 위해 더 많은 자본을 확보해야 합니다. 이 규정은 바젤 은행 감독 위원회(Basel Committee on Banking Supervision)에서 발표한 세 번째 표준으로, 바젤 III라는 이름이 붙여졌습니다. |
| CISA | 사이버보안정보공유법 |
| 증권 시세 표시기 | 공인 정보 보안 관리자 |
| COBIT | 정보 및 관련 기술에 대한 통제 목표(COBIT)는 베스트 프랙티스를 기반으로 위험 및 규정 준수 문제를 관리하는 IT 거버넌스 프레임워크를 제공합니다. IT Governance Institute 및 ISACA(Information Systems Audit and Control Association)에서 발행합니다. |
| 증권 시세 표시기 | 후원 조직 위원회(COSO)는 1985년 국가 사기 재무 보고 위원회를 후원하기 위해 결성되었습니다. COSO는 사기성 재무 보고로 이어질 수 있는 인과 요인을 연구하고 상장 기업, SEC, 기타 규제 기관 및 교육 기관을 위한 권장 사항을 개발한 독립적인 민간 부문 이니셔티브입니다. |
| 증권 시세 표시기 | 유럽 데이터 개인 정보 보호법 |
| 에니사 | 유럽 네트워크 및 정보 보안 기관 |
| 엥 | 제품 에너지 사용(EUP)은 기업이 에너지를 덜 사용하도록 제품을 설계하도록 요구하는 EU 지침입니다. |
| 데이터 보호에 관한 유럽 지침 | 인터넷 개인 정보 보호를 구체적으로 다루는 데이터 개인 정보 보호법의 최초이자 가장 중요한 부분 중 하나입니다. |
| FCA | 금융감독원(Financial Conduct Authority) |
| GDPR | GDPR(General Data Protection Regulation)은 2018년 5월 25일에 발효된 규정으로, 유럽 연합 시민의 데이터 보호 권리를 강화하고 조화시키기 위해 데이터 보호 지침 95/46/ec를 대체합니다. |
| GRI | GRI(Global Reporting Initiative)는 지속가능성 보고를 위한 G3 프레임워크를 만든 국제 그룹입니다. |
| ITGI (영문) | IT 거버넌스 연구소 |
| 개인식별정보(PII) | 개인 식별 정보/개인 식별 정보(PII)는 개인의 신원을 직간접적으로 추론할 수 있는 정보입니다. |
| PCI DSS | PCI DSS(Payment Card Industry Data Security Standard)는 신용 카드 정보를 수락, 처리, 저장 또는 전송하는 모든 회사가 보안 환경을 유지할 수 있도록 설계된 일련의 보안 표준입니다. |
| 지급 능력 II | 지급 능력 II |
| SOX | SOX(Sarbanes-Oxley Act)는 상장 기업 회계 감독 위원회를 설립하고 상장 기업, 임원, 이사회 및 감사에 대한 요구 사항을 추가했습니다. 기업 금융 사기에 대한 처벌을 강화했습니다. 이 미국 법안은 세간의 이목을 끈 엔론(Enron)과 월드컴(WorldCom)의 금융 스캔들에 대응하기 위해 제정되었습니다. 그 목표는 기업의 회계 오류 및 사기 관행으로부터 주주와 일반 대중을 보호하는 것입니다. SOX는 미국에서 공개적으로 거래하는 회사에 적용됩니다. |
| 용어 | 정의 |
|---|---|
| 맥주 | 연간 손실 예상(ALE) = 단일 손실 예상(SLE) x 연간 발생률(ARO). 양적 위험 점수 매기기에 사용됩니다. |
| 아로(ARO) | 연간 발생률입니다. |
| 수용 | 특정 위험은 허용 범위 내에 있거나 추가 완화 및 통제가 실제로 위험의 예상 영향(또는 유의성)보다 훨씬 더 많은 비용이 드는 경우 경영진이 수용하여 더 심층적인 통제 또는 더 높은 수준의 완화에 대한 추가 투자를 중지할 수 있습니다. |
| 어설션 | 경영진이 작성한 주제에 대한 공식 선언 또는 선언 집합입니다. |
| 평가 | 구조화된 보증 이니셔티브에서 다루지 않는 요소를 포함하는 회사 또는 기능의 다양한 측면에 대한 광범위한 검토. |
| 증명 | 어떤 것이 사실인지 확인하는 과정입니다. 예를 들어, 통제 효과 또는 규정 준수는 이행자가 전자적으로 서명한 설문지를 통해 증명할 수 있습니다. |
| 감사 | 표준 또는 일련의 지침을 준수하고 있는지, 레코드가 정확한지 또는 효율성 및 효과 목표를 충족하는지 확인하기 위한 공식 검사 및 검증. ServiceNow®에서 조직은 한 번에 테스트할 모든 컨트롤을 식별하고 전체 감사의 책임을 한 사람에게 할당합니다. 단일 작업으로 모든 컨트롤의 테스트를 관리할 수 있습니다. |
| 감사 활동 | 감사 실행을 위해 개인에게 할당된 감사 내 작업 중 하나입니다. |
| 감사위원회 | 종종 이사회 구성원을 포함하는 위원회는 재무 보고 및 내부 통제를 감독할 책임이 있습니다. |
| 감사 문서(작업 문서) | 적용된 절차, 수행된 테스트, 획득한 정보 및 계약에서 도달한 관련 결론에 대한 감사자가 보관하는 기록. 이 문서는 감사자의 보고서에 대한 주요 지원을 제공합니다. |
| 증거 감사 | 감사 절차 중에 수집된 사실로서 감사 중인 재무제표에 대한 의견을 형성하기 위한 합리적인 근거를 제공합니다. |
| 감사 목표 | 재무제표 주장을 뒷받침하는 증거를 확보할 때 감사인은 이러한 주장에 비추어 구체적인 감사 목표를 개발합니다. 예를 들어, 재고 잔액에 대한 완전성 어설션과 관련된 목표는 재고 수량에 보유 중인 모든 제품, 자재 및 소모품이 포함되도록 하는 것입니다. |
| 감사 관찰 | 내부 감사자가 통제 격차를 식별하거나 새로운 위험을 식별하는 데 사용됩니다. |
| 자동화된 통제 | 컴퓨터 시스템에 의해 자동으로 실행되는 내부 통제. 수동 제어는 해당 작업을 담당하는 사람에 의해 실행되며 일반적으로 트랜잭션 및 데이터의 하위 집합에서 수행됩니다. 모든 관련 트랜잭션 또는 데이터 요소에서 자동화된 제어를 실행할 수 있으므로 더 적은 노력으로 더 높은 정확도를 보장할 수 있습니다. |
| 권한 문서 | 조직이 규정을 준수하기 위해 선택하거나 요구하는 규정, 인증, 프레임워크, 표준 및 베스트 프랙티스입니다. 권한 문서는 통제, 위험 및 정책과 관련되어 있습니다. |
| 비즈니스 위험 | 목표를 달성하고 전략을 실행하는 엔터티의 능력에 부정적인 영향을 미칠 수 있는 위험입니다. |
| 계산된 점수 | 계산된 점수는 전체 결과로 고유 점수와 잔여 점수에서 파생됩니다. 구현된 통제 시스템의 품질에 따른 위험의 실제 노출을 나타냅니다. |
| 관리 연속성 | 증거의 유효성과 무결성에 관한 법적 원칙. 법적 절차에서 증거로 사용되는 모든 것에 대한 책임이 필요합니다. 이렇게 하면 수집된 시점부터 법원에 제출될 때까지 설명할 수 있습니다. |
| 최고 규정 준수 책임자(CCO) | 조직 내에서 규정 준수 문제의 감독 및 관리를 담당하는 회사 임원입니다. 이 사람은 회사가 규제 요구 사항을 준수하고 내부 정책 및 절차를 준수하는지 확인합니다. |
| 최고운영책임자(COO) | 최고 운영 책임자(COO)라고도 하며, 회사의 일상적인 운영을 담당하는 임원입니다. |
| 최고 위험 책임자(CRO) | 최고 위험 관리 책임자(Chief Risk Management Officer)라고도 하며, 기업의 위험 관리 및 회사의 규정 준수 노력을 담당하는 임원입니다. |
| 인용 | 권한 문서에서 인용한 특정 요구 사항이 포함된 기록. 인용 기록은 권한 문서를 해당 통제와 관련시킵니다. |
| 준수 | 법률, 규정 또는 정책을 준수하고 있음을 입증하는 행위입니다. 규정 준수는 금융, 환경, 글로벌 무역, 작업자 안전 및 개인 정보 보호를 포함한 많은 영역의 규정과 관련이 있습니다. |
| 기밀성 | 개인정보 보호 및 독점 정보를 보호하기 위한 수단을 포함하여 접근 및 공개에 대한 승인된 제한을 유지합니다. |
| 봉쇄 통제 | 위험이 발생할 경우 그 영향(또는 중요도)을 제한하도록 설계된 통제입니다. |
| 제어 | 조직에서 수행하는 실제 통제 활동입니다. 통제 기록에는 통제에 대한 기본적인 필수 정보(소유자, 활동, 빈도 등)가 포함됩니다. 통제는 신뢰할 수 있는 소스 콘텐츠, 정책 및 위험과 관련될 수 있습니다. 위험을 관리하기 위해 경영진, 이사회 및 기타 당사자가 취한 모든 조치입니다. 경영진은 목적과 목적이 달성되었다는 합리적인 보증을 제공하기 위해 충분한 조치의 수행을 계획, 조직 및 지시합니다. 통제 기록에는 통제에 대한 기본적인 필수 정보(소유자, 활동, 빈도 등)가 포함됩니다. 통제는 신뢰할 수 있는 소스 콘텐츠, 정책 및 위험과 관련될 수 있습니다. |
| 통제 프레임워크 | 재무 손실, 정보 손실을 방지하거나 보다 일반적으로 기업 내 위험을 방지하기 위해 통제의 교차 매핑을 수행하고 보존하는 일련의 기본 통제입니다. |
| 컨트롤 인스턴스 | 통제 테스트 정의의 실제 실행(주기적으로 또는 요청 시)으로, 테스트 활동의 결과 데이터 샘플, 증명 또는 수동 결과를 보여줍니다. |
| 제어 테스트 정의 | 제어 테스트 정의는 테스트 단계, 예상 결과, 테스트를 담당하는 그룹 또는 개인, 테스트 일정을 포함하여 통제를 테스트하는 방법과 시기를 지정합니다. 제어 테스트 인스턴스는 테스트 일정에서 자동으로 생성됩니다. 정정은 통제 테스트가 실패하거나 감사 관찰이 기록되면 자동으로 생성됩니다. |
| 시정 통제 | 문제가 발견되면 작동하는 내부 통제입니다. 예를 들어 과도한 권한을 가진 사용자의 액세스 권한을 제거하거나 물리적 재해가 발생한 후 백업 및 복구 계획을 실행할 수 있습니다. |
| 기업 성과 관리 | 기업 성과 관리(CPM)는 기업이 성과를 측정하고 개선할 수 있도록 전략 관리, 계획, 보고 및 통합, 수익, 비용 및 수익성 모델링의 조합입니다. |
| 탐지 | 목표를 향한 지속적인 진행 상황뿐만 아니라 실제 및 잠재적인 바람직하지 않은 조건과 이벤트를 관리 조치 및 통제를 사용합니다. |
| 탐정 제어 | 의도하지 않은 이벤트나 결과를 검색하도록 설계된 컨트롤입니다. 또한 특정 위험이 발생하는지 여부와 시기를 감지할 수 있습니다. |
| 효과 | 이벤트가 무언가에 미칠 가능성, 타이밍 및 영향의 척도입니다. |
| 효과적인 내부 통제 | 운영 목표가 달성되고, 공시된 재무제표가 안정적으로 준비되며, 법인이 관련 법률 및 규정을 준수한다는 합리적인 보증. |
| 참여 | 일련의 목적이나 목표를 달성하는 감사 작업을 포함할 수 있는 감사 프로젝트입니다. |
| 이벤트 | 옵저버블 동작, 발생 또는 조건 변경입니다. 이벤트에는 조건이 변경되지 않았더라도 조건에 대한 지식의 변경이 포함됩니다. |
| 엔터티 | 의 기본 개념 GRC엔터티는 통제와 위험을 연결할 수 있는 모든 엔터프라이즈 요소를 모델링하는 데 사용됩니다. 예: 사업부, 서버, 노트북. |
| 엔터티 유형 | 유사한 여러 엔터티를 참조하는 데 사용됩니다. 예: 아시아/태평양 사업부, Linux 서버, MacBook Pro. |
| 평가 | 기준에 대해 무언가를 측정합니다. |
| 증거(증거 사항) | 감사인이 추론을 통해 결론에 도달할 수 있도록 하는 서면 및 전자 정보(예: 수표, 전자 자금 이체 기록, 송장, 계약 및 기타 정보)가 포함됩니다. |
| 사기 | 속임수, 은폐 또는 신뢰 위반을 특징으로 하는 모든 불법 행위. 이러한 행위는 폭력이나 물리적인 힘의 위협에 의존하지 않습니다. 사기는 금전, 재산 또는 서비스를 획득하고 서비스의 지불 또는 손실을 피하거나 개인 또는 비즈니스 이익을 확보하기 위해 당사자 및 조직에 의해 저질러집니다. |
| 일반 통제 | 네트워크 운영, 소프트웨어 취득 및 유지관리, 액세스 보안에 대한 통제를 포함하여 컴퓨터 시스템의 적절한 운영을 보장하기 위한 정책 및 절차. |
| 거버넌스, 리스크 및 컴플라이언스(GRC) | 거버넌스, 위험 관리 및 규정 준수는 전통적으로 별개의 기업 기능이었습니다. GRC 는 조직이 불확실성을 해결하고 성실하게 행동하면서 목표를 안정적으로 달성할 수 있도록 지원하는 기능의 통합 모음입니다. 여기에는 거버넌스, 보증 및 관리 성과, 위험 및 규정 준수가 포함됩니다. GRC 는 성과를 최적화하기 위해 외부 및 내부 표준을 준수하면서 위험 관리를 통해 조직을 운영하는 방법에 대한 비즈니스입니다. GRC 프로세스, 통제, 보안 및 문화가 통합되는 방식을 수용하여 조직의 무결성을 보장합니다. |
| 영향도 | 가능성과 함께 위험의 심각도를 평가하는 데 사용됩니다. 특정 위험이 발생할 경우 조직에 미칠 영향 수준을 평가합니다. |
| 표시기 | 통제 및 위험을 모니터링하고 감사 증거를 수집하기 위해 데이터를 수집하는 데 사용되는 메트릭입니다. |
| 고유 가능성 | 대응 전략이 구현되기 전에 식별된 위험이 발생할 가능성입니다. |
| 고유 위험 | 가능성 및 영향(또는 유의성) 측면에서 위험 노출 수준으로, 관련 내부 통제 및 완화 조치가 아직 시행되지 않았다고 가정합니다. |
| 고유 점수 | 대응 전략이 구현되기 전 위험 점수입니다. |
| 고유 중요성 | 대응 전략이 구현되기 전 위험의 유의성입니다. |
| 무결성 | 정보, 정보 시스템 또는 시스템의 구성 요소가 무단으로 수정 또는 파기되지 않은 속성입니다. 정보가 소스에 의해 생성된 시점부터 전송, 저장 및 대상에서 최종적으로 수신하는 동안 변경되지 않은 상태로 유지되는 상태입니다. |
| 내부 감사 | 가치를 더하고 조직의 운영을 개선하기 위해 설계된 독립적이고 객관적인 보증 및 컨설팅 서비스를 제공하는 부서, 부서, 컨설턴트 팀 또는 기타 실무자입니다. 내부 감사 활동은 거버넌스, 위험 관리 및 통제 프로세스의 효율성을 평가하고 개선하기 위해 체계적이고 규율적인 접근 방식을 도입함으로써 조직이 목표를 달성하는 데 도움이 됩니다. |
| 내부 감사자 | 기업의 경영진 및 이사회에 분석, 평가, 보증, 권장 사항 및 기타 정보를 제공할 책임이 있는 고객의 직원. 내부 감사자의 중요한 책임은 제어 성능을 모니터링하는 것입니다. |
| 내부 통제 | 비즈니스 목적이 달성되고 원치 않는 이벤트가 방지되거나 감지 및 수정된다는 합리적인 보증을 제공하도록 설계된 정책, 절차, 관행 및 조직 구조입니다. |
| 문제 | GRC 최종 사용자가 통제 및 위험 문제를 문서화하고 문제를 정정하거나 수락하기 위한 응답을 추적할 수 있는 작업입니다. |
| IT 거버넌스 | 기업의 IT가 기업의 전략과 목표를 유지하고 확장할 수 있도록 보장하는 리더십, 조직 구조 및 프로세스입니다. 이는 경영진과 이사회의 책임입니다. |
| 술래 GRC | 확립된 베스트 프랙티스를 기반으로 IT 관점에서 규정 준수 및 위험 관리 노력을 지원하는 데 사용되는 소프트웨어 및 하드웨어와 관련 정책과 절차를 포함합니다. |
| 가능성 | 어떤 일이 일어났을 확률입니다. |
| 관리 | 엔터티, 프로세스 또는 자원을 내부적으로 지시, 제어 및 평가하는 행위입니다. |
| 수동 통제 | 컴퓨터가 아닌 수동으로 제어가 수행됩니다. |
| 재료(물질성) | 위험은 재정적 영향을 계산할 수 있을 때 중요합니다. |
| 완화 | 특정 규칙 위반과 관련된 위험을 줄입니다. 위험이 발생하기 전에 가능한 관련 제어 실패를 해결하거나 위험 노출을 줄이기 위해 적절한 완화 조치를 취합니다. |
| 목표 | 엔터티가 달성하거나 달성하려는 것입니다. |
| 운영 감사 | 기능 또는 부서의 다양한 내부 통제, 경제성 및 효율성을 평가하기 위해 고안된 감사입니다. |
| 운영 통제 | 모든 목표를 달성하기 위해 회사 또는 기업의 일상적인 운영과 관련된 통제. |
| 운영 위험 | 조직의 임무와 목표를 달성하는 데 필요한 사람, 프로세스 및 시스템과 관련된 위험입니다. |
| 객관성 | 선입견이나 편견 없이 고객 기록을 평가할 수 있는 능력. |
| 의무 | 의무에 대한 어설션은 부채가 주어진 날짜에 법인의 의무인지 여부를 다룹니다. 예를 들어, 경영진은 대차 대조표에서 리스를 위해 자본화 된 금액이 임대 재산에 대한 법인의 권리 비용을 나타내고 해당 리스 부채는 법인의 의무를 나타낸다고 주장합니다. |
| 소유자 | 위험, 통제 또는 완화/정정 작업의 소유자가 책임을 수락합니다. 소유권과 관련된 일부 작업을 위임할 수 있지만 조직에 대한 책임은 유지됩니다. |
| 동료 검토 | 한 CPA 회사의 감사 문서를 다른 회사의 독립 파트너가 주기적으로 검토하여 해당 직업의 표준을 준수하는지 확인하는 실무 모니터링 프로그램입니다. |
| 계획 | 감사 계획은 감사의 수행 및 범위에 대한 전반적인 전략을 개발하는 것입니다. 계획의 성격, 범위 및 시기는 엔터티의 규모와 복잡성, 엔터티에 대한 경험 및 비즈니스 지식에 따라 달라집니다. 감사를 계획할 때 감사인은 기업의 비즈니스 및 산업, 회계 정책 및 절차, 회계 정보 처리에 사용되는 방법, 계획된 통제 위험 평가 수준, 감사 중대성에 대한 감사인의 예비 판단을 고려합니다. |
| 정책 | 결정된 높은 수준의 원칙 또는 행동 방침을 기록한 문서입니다. 의도된 목적은 기업의 경영진이 수립한 철학, 목표 및 전략 계획에 따라 현재와 미래의 의사 결정에 영향을 미치고 안내하는 것입니다. 정책 내용 외에도 정책에는 정책을 준수하지 않을 경우의 결과, 예외를 처리하는 방법, 정책 준수를 확인하고 측정하는 방식이 설명되어 있습니다. 에서 ServiceNow®승인된 정책은 지식베이스. 정책은 권한 문서 및 통제 기록과 관련됩니다. 정책 설명은 프로세스가 정책 내에서 따르는 특정 세부 정보를 정의합니다. |
| 예방적 통제 | 의도하지 않은 이벤트를 방지하도록 설계된 컨트롤입니다. |
| 절차 | 감사 프로그램의 일부 또는 클라이언트의 내부 통제의 일부로 수행되는 단계와 같은 작업입니다. 정책의 "방법"을 제공하고 구현을 안내합니다. 절차는 대상에 따라 다르며 지정된 정책을 준수할 수 있는 정확한 지침을 제공합니다. ServiceNow® 에서는 정책과 절차를 동일한 방식으로 취급하므로 두 용어는 서로 바꿔 사용할 수 있습니다. 이는 정책과 절차를 두 개의 개별 항목으로 정의하는 COBIT 5.1과 같은 프레임워크와 다를 수 있습니다. |
| 전문적 회의론 | 질문하는 마음가짐으로 감사에 접근합니다. |
| 정성적 영향 | 영향도(위험의 유의성 참조) 및 가능성(위험 발생 확률 참조) 등급이 포함됩니다. 점수는 영향과 가능성을 곱하여 계산됩니다. 종종 서수 척도 또는 명목 척도를 사용하여 표현되는 영향입니다. |
| 정량적 영향 | 금융 자산, 유형 자산, 무형 자산, 비즈니스 연속성, 건강 및 안전에 대한 긍정적/부정적 영향. 단일 손실 예상(SLE) x 연간 발생률(ARO) = 연간 손실 예상(ALE)으로 계산됩니다. 정량적 영향은 수치로 표현됩니다. |
| 질문서 | 내부 통제 설문지는 감사 현장 조사 중에 답변해야 할 내부 통제 시스템에 대한 질문 목록입니다(예, 아니요 또는 해당 사항 없음과 같은 답변 포함). 설문지는 고객의 내부 통제에 대한 감사인의 이해를 문서화하는 문서의 일부입니다. |
| 랜덤 샘플(난수 샘플링) | 표본에 대해 각 모집단 항목이 선택될 확률이 동일합니다. 또한 난수를 사용하여 모집단에서 무작위 표본을 선택합니다. |
| 합리적인 보증(내부 통제) | 내부 통제는 아무리 잘 설계되고 운영되더라도 모든 내부 통제 시스템의 내재적 한계로 인해 기업의 목표가 충족된다고 보장할 수 없습니다. |
| 정정 | 실패가 식별되고 평가되면 적절한 정정을 수행하여 문제를 완화하거나 제거할 수 있습니다 잔여 가능성: 대응 전략이 구현된 후 식별된 위험이 발생할 가능성입니다. |
| 요구 사항 | 엔터티가 약속의 결과로 해결해야 하는 항목입니다. |
| 잔여 가능성 | 대응 전략이 구현된 후 식별된 위험의 발생 가능성입니다. |
| 잔여 위험 | 가능성과 영향(또는 유의성) 측면에서 관련 내부 통제 및 완화 조치가 시행되고 발효된 후의 위험 노출 수준입니다. |
| 잔여 점수 | 대응 전략이 구현된 후의 위험 점수입니다. |
| 잔여 유의성 | 대응 전략이 구현된 후 위험의 유의성입니다. |
| 위험 | 위험은 조직의 비즈니스 목표에 부정적인 영향을 미칠 수 있는 모든 위협 또는 취약성입니다. 모든 위험은 하나의 위험 리포지토리에 포함되어 있습니다. 위험은 모든 항목, 정책, 제어 및 정정 작업과 관련될 수 있습니다. 즉각적이거나 지속적인 주의가 필요한 위험은 정의된 통제 및 관련 제어 테스트를 사용하여 완화, 예방 또는 제어할 수 있습니다. 위험 설명은 위협이 취약성을 악용하는 경우 발생할 수 있는 정의된 결과입니다. 위험은 영향(또는 유의성) 및 가능성의 측면에서 측정됩니다. 위험 유형에는 운영 위험(예: 사기), 규정 미준수 위험(법률을 준수하기 위해 적절한 문서를 제출하지 않음) 및 전략적 위험(예: 브랜드 평판에 영향을 미치는 사고)이 포함됩니다. 기업 내 IT의 사용, 소유권, 운영, 관여, 영향 및 채택과 관련된 비즈니스 위험입니다. |
| 위험 분석 | 특정 이벤트가 발생할 수 있는 빈도와 그 결과의 규모를 결정하기 위해 사용 가능한 정보를 체계적으로 조사합니다. |
| 위험 선호도 | 조직이 목표를 추구하기 위해 기꺼이 수용할 수 있는 위험 수준입니다. |
| 위험 평가 | 엔터티, 자산, 시스템 또는 네트워크, 조직 운영, 개인, 지리적 영역, 기타 조직 또는 사회가 직면한 위험에 대한 평가에는 불리한 상황이나 사건이 유해한 결과를 초래할 수 있는 정도를 결정하는 것이 포함됩니다. |
| 위험 기준 | 위험 수준을 평가하는 양적 또는 질적 값입니다. |
| 위험 관리 | 위험 관리의 목적은 불확실성을 줄이는 것입니다. 이는 조직의 목표를 추구하면서 위험을 해결하기 위해 프로세스와 자원을 관리하는 행위입니다. 위험을 식별, 분석, 평가 및 전달하고 취한 조치의 관련 비용 및 이익을 고려하여 수용 가능한 수준으로 위험을 수용, 회피, 이전 또는 통제하는 프로세스입니다. |
| 위험 관리 프레임워크 | 위험을 명시적으로 관리하기 위한 공식화된 프로세스입니다. 이 프레임워크는 위험 평가, 응답 및 관련 위험 및 완화 활동에 대한 책임으로 구성됩니다. |
| 위험 완화 | 위험을 줄이는 정책, 프레임워크, 책임과 같은 통제 환경에 구축된 프로세스입니다. |
| 위험 등록 | 잠재적 및 알려진 IT 위험 문제의 주요 속성 리포지토리입니다. 속성에는 이름, 설명, 소유자, 예상/실제 빈도, 고유/잔여 수준, 잠재/실제 비즈니스 영향 및 완화/정정 계획이 포함될 수 있습니다. |
| 위험 응답 | 위험을 수용하거나, 위험을 거부하거나, 위험을 처리 또는 완화하거나, 다른 당사자와 위험을 공유하기로 한 결정입니다. |
| 위험 설명 | 조직 내에서 발생할 수 있는 잠재적 위험 또는 위협에 대한 일반적인 설명입니다. |
| 위험 공차 | 조직이 목표를 달성하기 위해 초과할 의사가 없는 위험 수준입니다. 특정 위험 범주에 대해 조직의 다양한 관리 수준에 부여되는 임계치(일반적으로 재무)의 관점에서 위험 선호도를 나타냅니다. |
| 샘플 크기 | 모집단에서 표본을 추출할 때 선택된 모집단 항목의 수입니다. |
| 샘플링 | 전체 기록 모집단을 나타내기 위해 작지만 적절하고 대표적인 기록 수를 선택합니다. |
| 샘플링 위험 | 표본에서 도출된 결론이 전체 모집단에 대해 올바른 결론을 나타내지 않을 가능성이 있습니다. |
| 업무 분리(SoD) | 다른 사람들에게 거래 승인, 거래 기록 및 자산 보관 유지의 책임을 할당합니다. 직무를 분리하면 한 사람이 오류나 사기를 저지르고 은폐할 수 있는 기회가 줄어듭니다. |
| 심각도 | 가능성과 함께 위험의 심각도를 평가하는 데 사용됩니다. 특정 위험이 발생할 경우 조직에 미칠 영향 수준을 평가합니다. |
| 증권 시세 표시기 | 단일 손실 예상(SLE) = 단일 손실 예상 = 자산 가치 x 노출 계수. |
| 이해 관계자 | 조직의 동작, 목표 및 정책에 영향을 주거나 영향을 받을 수 있기 때문에 조직에 직간접적으로 이해관계가 있는 개인, 그룹 또는 조직입니다. |
| 표준 | 내부 감사 표준 위원회(Internal Audit Standards Board)에서 공표한 전문 선언문으로, 광범위한 내부 감사 활동을 수행하고 내부 감사 성과를 평가하기 위한 요구 사항을 설명합니다. |
| 전략적 위험 | 정치적 요인, 고객 우선 순위, 브랜드 또는 평판과 같은 전략적 목표와 관련됩니다. |
| 대상 | 엔터티가 달성하려고 노력하는 측정 가능한 값입니다. |
| 테스트 | 모집단의 특성을 추정하기 위한 모집단의 표본입니다. |
| 테스트 계획 | 단일 통제의 설계 및 운영 효과에 대한 특정 감사 테스트. |
| 위협 | 균형적으로 목표 달성에 바람직하지 않은 영향을 미치는 이벤트입니다. |
| 허용 오차 | 대상에서 허용되는 편차 수준입니다. |
| 통합 준수 프레임워크(UCF) | Network Frontiers 통합 준수 프레임워크(UCF)에는 ServiceNow® 인스턴스로 임포트할 수 있는 권한 문서가 포함되어 있습니다. 자세한 내용은 통합 규정 준수 프레임워크를 참조하세요. |
| 불확실 | 무언가를 완전히 예측, 결정 또는 정의할 수 없는 상태입니다. |