GRC Mises à jour de la nomenclature des applications et terminologie du secteur
Les termes suivants sont utilisés dans GRC les applications et/ou au sein de l’industrie GRC .
GRC Mises à jour de la nomenclature
À partir de la version précédente, de nombreux termes de toutes les GRC applications principales ont été mis à jour.
Remarque :
Ces mises à jour de terme s’appliquent à l’ensemble des étiquettes de navigation, boutons, messages d’information, titres de rapport, liens connexes, onglets et autres éléments de l’interface utilisateur.
| Module GRC | Précédent | Actuel |
|---|---|---|
| Définition du champ d'application | Profil | Entité |
| Types de profils | Types d’entités | |
| Classes de profil | Classes d'entités | |
| Mes profils | Mes entités | |
| Tous les profils | Toutes les entités | |
| Administration | Couches de profil | Niveaux d'entité |
| Règles de classe de profil | Règles de classe d'entité | |
| Indicateurs | champ | Champ Contrôle/Risque |
| Le champ Catégorie indique s’il s’agit d’un indicateur de conformité ou de risque | ||
| champ | Objectif du contrôle/Définition du risque | |
| Problèmes | champ | Objectif du contrôle/Définition du risque |
| champ | Contrôle/Risque | |
| Politique et Conformité | Déclaration de politique | Objectif de contrôle |
| Risque | champ | |
| champ | champ |
Références de l’industrie
| Terme | Définition |
|---|---|
| Bâle III | Il s’agit d’une norme internationale pour le secteur bancaire que les régulateurs peuvent utiliser lorsqu’ils établissent des réglementations sur le montant des fonds propres dont les banques doivent disposer pour compenser le risque potentiel. Plus le risque d’une banque est élevé, plus elle doit disposer de fonds propres pour s’assurer qu’elle reste solvable. Il s’agit de la troisième norme de ce type publiée par le Comité de Bâle sur le contrôle bancaire, d’où le nom de Bâle III. |
| CISA (en anglais seulement) | Loi sur l’échange d’informations sur la cybersécurité |
| Le CISM | Gestionnaire certifié de la sécurité de l’information |
| COBIT | Les objectifs de contrôle pour les technologies de l’information et connexes (COBIT) fournissent un cadre de gouvernance informatique pour gérer les risques et les problèmes de conformité en fonction des meilleures pratiques. Publié par l’IT Governance Institute et l’Information Systems Audit and Control Association (ISACA). |
| COSO (en anglais seulement) | Le Committee of Sponsoring Organizations (COSO) a été créé en 1985 pour parrainer la Commission nationale sur la déclaration financière frauduleuse. COSO est une initiative indépendante du secteur privé qui a étudié les facteurs de causalité qui peuvent mener à des rapports financiers frauduleux et a élaboré des recommandations à l’intention des sociétés ouvertes, de la SEC et d’autres organismes de réglementation et établissements d’enseignement. |
| EDPA (en anglais seulement) | Loi européenne sur la protection des données |
| L’ENISA | Agence européenne de la sécurité des réseaux et de l’information |
| EUP (Île-du- | L’utilisation de l’énergie dans les produits (EUP) est une directive de l’UE qui oblige les entreprises à concevoir des produits qui consomment moins d’énergie. |
| Directive européenne sur la protection des données | Il s’agit de l’une des premières et des plus importantes lois sur la protection des données qui traite spécifiquement de la protection de la vie privée sur Internet. |
| FCA | Financial Conduct Authority |
| RGPD | Le Règlement général sur la protection des données (RGPD) est un règlement, entré en vigueur le 25 mai 2018, remplaçant la directive 95/46/CE sur la protection des données afin de renforcer et d’harmoniser les droits des citoyens de l’Union européenne en matière de protection des données. |
| GRI | Global Reporting Initiative (GRI) est un groupe international qui a créé le cadre du G3 pour l’information sur le développement durable. |
| ITGI (en anglais seulement) | IT Governance Institute |
| IPI (IPI) | Les informations d’identification personnelle (IPI) sont les informations qui permettent de déduire directement ou indirectement l’identité d’une personne. |
| PCI DSS | La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est un ensemble de normes de sécurité conçues pour garantir que toutes les entreprises qui acceptent, traitent, stockent ou transmettent des informations de carte de crédit maintiennent un environnement sécurisé. |
| SOLVABILITÉ II | SOLVABILITÉ II |
| SOX | La loi Sarbanes-Oxley (SOX) a créé le Conseil de surveillance de la comptabilité des sociétés ouvertes et a ajouté des exigences pour les sociétés cotées en bourse, leurs dirigeants, leurs conseils d’administration et leurs auditeurs. Il a alourdi les peines pour les fraudes financières commises par les entreprises. Cette loi américaine a été promulguée en réponse aux scandales financiers très médiatisés d’Enron et de WorldCom. Son objectif est de protéger les actionnaires et le grand public contre les erreurs comptables et les pratiques frauduleuses au sein de l’entreprise. La loi SOX s’applique aux sociétés qui exercent des activités publiques aux États-Unis. |
| Terme | Définition |
|---|---|
| ALE | Perte estimée annualisée (ALE) = Perte estimée unique (SLE) x Taux d’occurrence annualisé (ARO). Utilisé dans l’évaluation quantitative du risque. |
| ARO | Taux d’occurrence annualisé. |
| Acceptation | Un risque spécifique peut être accepté par la direction, ce qui empêche d’autres investissements dans des contrôles plus approfondis ou des niveaux d’atténuation plus élevés, s’il se situe dans le niveau de tolérance ou si des mesures d’atténuation et de contrôle supplémentaires coûteraient en fait beaucoup plus cher que l’impact (ou l’importance) estimé du risque. |
| Assertion | Toute déclaration officielle ou ensemble de déclarations faites par la direction sur l’objet. |
| Évaluation | Examen général des différents aspects d’une société ou d’une fonction qui comprend des éléments qui ne sont pas couverts par une initiative d’assurance structurée. |
| Attestation | Processus de validation que quelque chose est vrai. Par exemple, l’efficacité ou la conformité d’un contrôle peut être attestée par le biais d’un questionnaire, signé électroniquement par son prestataire. |
| Audit | Inspection et vérification officielles pour vérifier si une norme ou un ensemble de lignes directrices sont suivis, si les dossiers sont exacts ou si des objectifs d’efficience et d’efficacité sont atteints. En ServiceNow®, une organisation identifie tous les contrôles qu’elle souhaite tester en une seule fois et attribue la responsabilité de l’audit global à une seule personne. Une seule tâche gère le test de tous les contrôles. |
| Activités d’audit | L’une des tâches d’un audit qui est affectée à une personne pour l’exécution de l’audit. |
| Comité d’audit | Un comité, souvent composé de membres du conseil d’administration, chargé de superviser l’information financière et les contrôles internes. |
| Documentation d’audit (documents de travail) | Dossiers tenus par l’auditeur sur les procédures appliquées, les tests effectués, les informations obtenues et les conclusions pertinentes tirées de la mission. La documentation constitue le principal support du rapport de l’auditeur. |
| Éléments probants | Faits recueillis au cours des procédures d’audit qui fournissent une base raisonnable pour se forger une opinion sur les états financiers faisant l’objet de l’audit. |
| Objectif de l’audit | Lorsqu’il obtient des éléments probants à l’appui d’affirmations d’états financiers, l’auditeur élabore des objectifs d’audit précis à la lumière de ces affirmations. Par exemple, un objectif lié à l’assertion d’exhaustivité pour les soldes d’inventaire est que les quantités d’inventaire comprennent tous les produits, matériaux et fournitures disponibles. |
| Observations d’audit | Utilisé par les auditeurs internes pour identifier les lacunes de contrôle ou identifier de nouveaux risques. |
| Contrôles automatisés | Contrôles internes exécutés automatiquement par les systèmes informatiques. Les contrôles manuels sont exécutés par une personne chargée de cette tâche et sont généralement effectués sur un sous-ensemble de transactions et de données. Des contrôles automatisés peuvent être exécutés sur chaque transaction ou élément de données pertinent, ce qui garantit une plus grande précision avec moins d’efforts. |
| Documents de référence | Les réglementations, les certifications, les cadres de travail, les normes et les bonnes pratiques qu’une organisation choisit ou qui sont nécessaires pour se conformer aux réglementations. Les sources de référence sont liées aux contrôles, aux risques et aux politiques. |
| Risque de gestion | Risques susceptibles de nuire à la capacité d’une entité d’atteindre ses objectifs et d’exécuter ses stratégies. |
| Score calculé | Le score calculé est dérivé du score inhérent et du score résiduel en tant que résultat global. Désigne l’exposition réelle au risque en fonction de la qualité du système de contrôle mis en œuvre. |
| Chaîne de traçabilité | Principe juridique relatif à la validité et à l’intégrité de la preuve. Elle exige la reddition de comptes pour tout ce qui est utilisé comme preuve dans le cadre d’une procédure judiciaire. Cela permet de s’assurer qu’il peut être comptabilisé à partir du moment où il a été recueilli jusqu’au moment où il est présenté devant un tribunal. |
| Responsable de la conformité (CCO) | Officiel de l’entreprise chargé de superviser et de gérer les problèmes de conformité au sein d’une organisation Cette personne s’assure qu’une entreprise se conforme aux exigences réglementaires et que l’entreprise se conforme aux politiques et procédures internes. |
| Directeur des opérations (COO) | Aussi appelé directeur des opérations, un cadre en charge des opérations quotidiennes de l’entreprise. |
| Directeur de la gestion des risques | Aussi appelé Chief Risk Management Officer, un cadre en charge de la gestion des risques de l’entreprise et des efforts de conformité d’une entreprise. |
| Contenu des documents de référence | Enregistrements avec les exigences spécifiques citées par un document de référence. La notice de citation relie les documents de référence à son contrôle applicable. |
| Conformité | L’acte d’adhérer et de démontrer le respect des lois, des règlements ou des politiques. La conformité concerne les réglementations dans de nombreux domaines, notamment la finance, l’environnement, le commerce mondial, la sécurité des travailleurs et la protection de la vie privée. |
| Confidentialité | Préserver les restrictions autorisées en matière d’accès et de divulgation, y compris les moyens de protection de la vie privée et des renseignements exclusifs. |
| Contrôle du confinement | Contrôle conçu pour limiter l’impact (ou l’importance) d’un risque, s’il se produit. |
| Contrôle | Activités de contrôle réelles qui sont effectuées par une organisation. Les enregistrements de contrôle comprennent des informations de base requises sur le contrôle (propriétaire, activité, fréquence, etc.). Les contrôles peuvent être liés à des contenus, des politiques et des risques sources faisant autorité. Toute action entreprise par la direction, le conseil d’administration et d’autres parties pour gérer les risques. La direction planifie, organise et dirige l’exécution de mesures suffisantes pour fournir une assurance raisonnable que les objectifs et les buts sont atteints. Les enregistrements de contrôle comprennent des informations de base requises sur le contrôle (propriétaire, activité, fréquence, etc.). Les contrôles peuvent être liés à des contenus, des politiques et des risques sources faisant autorité. |
| Cadre de travail de contrôle | Ensemble de contrôles fondamentaux qui effectuent et préservent la cartographie croisée des contrôles pour prévenir les pertes financières, les pertes d’informations, ou plus généralement pour prévenir les risques au sein d’une entreprise. |
| Instance de contrôle | Exécution réelle d’une définition de test de contrôle, périodiquement ou sur demande, montrant le résultat de l’échantillon de données, l’attestation ou le résultat manuel des activités de test. |
| Définitions de tests de contrôle | Les définitions des tests de contrôle spécifient comment et quand les contrôles sont testés, y compris les étapes de test, les résultats attendus, le groupe ou la personne responsable des tests et le calendrier des tests. Les instances de test de contrôle sont automatiquement générées à partir du calendrier de test. Les rattrapages sont automatiquement créés lorsque les tests de contrôle échouent ou lorsque des observations d’audit sont notées. |
| Contrôles correctifs | Contrôles internes qui entrent en jeu une fois qu’un problème est détecté. Par exemple, supprimer l’accès aux utilisateurs qui disposent de privilèges excessifs ou exécuter un plan de sauvegarde et de récupération après un sinistre physique. |
| Gestion de la performance de l’entreprise | La gestion de la performance d’entreprise (CPM) est une combinaison de gestion de stratégie, de planification, de reporting et de consolidation, ainsi que de modélisation des revenus, des coûts et de la rentabilité qui permet aux entreprises de mesurer leurs performances et de les améliorer. |
| Détecter | Progression continue vers l’atteinte des objectifs ainsi que des conditions et événements indésirables réels et potentiels à l’aide de mesures de gestion et de contrôles. |
| Contrôle de détection | Contrôle conçu pour détecter un événement ou un résultat non intentionnel. Il peut également détecter si et quand un risque spécifique se produit. |
| Effet | Mesure de la probabilité, du timing et de l’impact d’un événement sur un élément |
| Un contrôle interne efficace | Assurance raisonnable que les objectifs opérationnels sont atteints, que les états financiers publiés sont préparés de manière fiable et que l’entité se conforme aux lois et règlements applicables. |
| Engagement | Projet d’audit qui peut inclure des tâches d’audit permettant d’atteindre un ensemble d’objectifs ou de buts. |
| Événement | Une action, une occurrence ou un changement de condition observable. Un événement inclut un changement dans les connaissances sur une condition, même si la condition n’a pas changé. |
| Entité | Concept fondamental de GRC, les entités sont utilisées pour modéliser tout élément de l’entreprise pour lequel des contrôles et des risques peuvent être associés. Par exemple : unités commerciales, serveurs, ordinateurs portables. |
| Type d'entité | Utilisé pour faire référence à plusieurs entités similaires. Par exemple : unité commerciale Asie/Pacifique, serveurs Linux, MacBook Pro. |
| Évaluer | Pour mesurer quelque chose par rapport à des critères. |
| Preuve (question de preuve) | Comprend des informations écrites et électroniques (telles que des chèques, des enregistrements de transferts électroniques de fonds, des factures, des contrats et d’autres informations) qui permettent à l’auditeur de tirer des conclusions par le biais du raisonnement. |
| Fraude | Tout acte illégal caractérisé par la tromperie, la dissimulation ou l’abus de confiance. Ces actes ne dépendent pas de la menace de violence ou de la force physique. Les fraudes sont perpétrées par des parties et des organisations pour obtenir de l’argent, des biens ou des services et pour éviter le paiement ou la perte de services ou pour obtenir un avantage personnel ou commercial. |
| Contrôles généraux | Politiques et procédures visant à assurer le bon fonctionnement des systèmes informatiques, y compris les contrôles sur les opérations réseau, l’acquisition et la maintenance de logiciels, et la sécurité d’accès. |
| Gouvernance, risque et conformité (GRC) | La gouvernance, la gestion des risques et la conformité aux réglementations sont traditionnellement des fonctions distinctes de l’entreprise. GRC est l’ensemble intégré de capacités qui permettent à une organisation d’atteindre ses objectifs de manière fiable tout en faisant face à l’incertitude et en agissant avec intégrité. Il englobe les performances en matière de gouvernance, d’assurance et de gestion, les risques et la conformité. GRC est l’activité de la façon dont une organisation fonctionne à travers la gestion des risques tout en restant conforme aux normes externes et internes pour optimiser les performances. GRC englobe la façon dont les processus, les contrôles, la sécurité et la culture s’intègrent pour garantir l’intégrité de l’organisation. |
| Impact | Utilisé pour évaluer la gravité d’un risque, ainsi que la probabilité. Il évalue le niveau de conséquence qu’un risque spécifique aurait sur une organisation si/quand il se produirait. |
| Indicateur | Mesure utilisée pour collecter des données afin de surveiller les contrôles et les risques, ainsi que pour collecter des éléments d’audit. |
| Probabilité | Probabilité que le risque identifié se produise avant la mise en œuvre de toute stratégie d’intervention. |
| Risque inhérent | Le niveau d’exposition au risque, en termes de probabilité et d’impact (ou d’importance), en supposant qu’aucun contrôle interne connexe et aucune mesure d’atténuation ne soient encore en place. |
| Score inhérent | Score du risque avant l’implémentation de toute stratégie d’intervention. |
| Importance | Importance du risque avant la mise en œuvre de toute stratégie d’intervention. |
| Intégrité | Propriété selon laquelle une information, un système d’information ou un composant d’un système n’a pas été modifié ou détruit de manière non autorisée. État dans lequel l’information est restée inchangée à partir du moment où elle est produite par une source, pendant la transmission, le stockage et la réception éventuelle par la destination. |
| Audit interne | Un département, une division, une équipe de consultants ou d’autres praticiens qui fournit des services d’assurance et de consultation indépendants et objectifs conçus pour ajouter de la valeur et améliorer les opérations d’une organisation. L’activité d’audit interne aide une organisation à atteindre ses objectifs en adoptant une approche systématique et disciplinée pour évaluer et améliorer l’efficacité des processus de gouvernance, de gestion des risques et de contrôle. |
| Auditeurs internes | Employés du client chargés de fournir des analyses, des évaluations, des assurances, des recommandations et d’autres informations à la direction et au conseil d’administration de l’entité. L’une des responsabilités importantes des auditeurs internes est de surveiller l’exécution des contrôles. |
| Contrôles internes | Les politiques, procédures, pratiques et structures organisationnelles conçues pour fournir une assurance raisonnable que les objectifs business sont atteints et que les événements indésirables sont évités ou détectés et corrigés. |
| Problème | Une GRC tâche qui permet aux utilisateurs finaux de documenter les problèmes de contrôle et de risque et de suivre la réponse pour corriger ou accepter le problème. |
| Gouvernance IT | La direction, les structures organisationnelles et les processus qui garantissent que l’informatique de l’entreprise soutient et étend les stratégies et les objectifs de l’entreprise. C’est la responsabilité de la direction et du conseil d’administration. |
| IL GRC | Englobe les logiciels et le matériel, ainsi que les politiques et procédures connexes, utilisés pour soutenir les efforts de conformité et de gestion des risques d’un point de vue informatique, sur la base des meilleures pratiques établies. |
| Probabilité | La probabilité que quelque chose se soit produit. |
| Gestion | Action de diriger, de contrôler et d’évaluer en interne une entité, un processus ou une ressource. |
| Commandes manuelles | Contrôles effectués manuellement, et non par ordinateur. |
| Matériau (matérialité) | Un risque est important lorsqu’il est possible d’en calculer l’impact financier. |
| Atténuation | Réduire le risque associé à une violation particulière d’une règle. Avant qu’un risque ne survienne, des mesures d’atténuation appropriées sont mises en place pour résoudre d’éventuelles défaillances de contrôle connexes et/ou pour réduire l’exposition au risque. |
| Objectif | Quelque chose qu’une entité a l’intention d’atteindre ou d’accomplir. |
| Audit opérationnel | Audit destiné à évaluer les différents contrôles internes, l’économie et l’efficacité d’une fonction ou d’un service. |
| Contrôles opérationnels | Contrôles relatifs au fonctionnement quotidien d’une société ou d’une entreprise pour s’assurer que tous les objectifs sont atteints. |
| Risques opérationnels | Risques liés aux personnes, aux processus et aux systèmes nécessaires à la réalisation de la mission et des objectifs d’une organisation. |
| Objectivité | La capacité d’évaluer les dossiers des clients sans idées préconçues ni préjugés. |
| Obligations | Les assertions sur les obligations portent sur la question de savoir si les passifs sont des obligations de l’entité à une date donnée. Par exemple, la direction affirme que les montants capitalisés au titre des contrats de location inscrits au bilan représentent le coût des droits de l’entité sur les biens loués et que le passif locatif correspondant représente une obligation de l’entité. |
| Propriétaire | Le propriétaire d’un risque, d’un contrôle ou d’une tâche d’atténuation/de rattrapage accepte sa responsabilité. Ils peuvent déléguer certaines tâches liées à la propriété, mais ils restent responsables devant l’organisation. |
| Révision par les pairs | Programme de surveillance de la pratique dans le cadre duquel la documentation d’audit d’un cabinet de CPA est examinée périodiquement par des associés indépendants d’autres cabinets afin de déterminer si elle est conforme aux normes de la profession. |
| Plan | La planification de l’audit consiste à élaborer une stratégie globale pour la conduite et la portée de l’audit. La nature, l’étendue et le calendrier de la planification varient en fonction de la taille et de la complexité de l’entité, de l’expérience de l’entité et de la connaissance de l’entreprise. Lors de la planification de l’audit, l’auditeur tient compte des activités et du secteur d’activité de l’entité, de ses méthodes et procédures comptables, des méthodes utilisées pour traiter l’information comptable, du niveau de risque de contrôle évalué prévu et de son jugement préliminaire sur l’importance relative de l’audit. |
| Politique | Document qui consigne un principe de haut niveau ou un plan d’action qui a été décidé. L’objectif est d’influencer et d’orienter la prise de décision actuelle et future afin qu’elle soit conforme à la philosophie, aux objectifs et aux plans stratégiques établis par les équipes de direction de l’entreprise. Outre le contenu de la politique, les politiques décrivent les conséquences du non-respect de la politique, les moyens de gérer les exceptions et la manière dont la conformité à la politique est vérifiée et mesurée. En ServiceNow®, les politiques approuvées sont publiées dans le Base de connaissancesfichier . Les politiques sont liées aux documents de référence et aux enregistrements de contrôle. Les déclarations de politique définissent les détails spécifiques qu’un processus suit dans une politique. |
| Contrôle préventif | Un contrôle conçu pour éviter un événement involontaire. |
| Procédure | Une action, telle qu’une étape effectuée dans le cadre d’un programme d’audit ou dans le cadre des contrôles internes du client. Fournit le « mode d’emploi » des politiques et guide leur mise en œuvre. Les procédures sont spécifiques au public et fournissent des instructions précises qui garantissent la conformité à une politique donnée. ServiceNow® traite les politiques et les procédures de la même manière ; par conséquent, les termes peuvent être utilisés de manière interchangeable. Cela peut différer des cadres de travail, tels que COBIT 5.1, qui définit les politiques et les procédures comme deux éléments distincts. |
| L’esprit critique | Aborder un audit avec un état d’esprit interrogatif. |
| Impact qualitatif | Inclut les évaluations Impact (fait référence à l’importance d’un risque) et Probabilité (fait référence à la probabilité qu’un risque se produise). Le score est calculé en multipliant l’impact par la probabilité. Un impact souvent exprimé à l’aide d’une échelle ordinale ou d’une échelle nominale. |
| Impact quantitatif | Un effet positif/négatif sur les actifs financiers, les actifs corporels, les actifs incorporels, la continuité de l’activité et la santé et la sécurité. Calculé selon la perte estimée unique (SLE) x le taux d’occurrence annualisé (ARO) = perte estimée annualisée (ALE). Un impact quantitatif est exprimé numériquement. |
| Questionnaire | Un questionnaire de contrôle interne est une liste de questions sur le système de contrôle interne auxquelles il faut répondre (avec des réponses telles que oui, non ou sans objet) lors du travail sur le terrain de l’audit. Le questionnaire fait partie de la documentation sur la compréhension qu’a l’auditeur des contrôles internes du client. |
| Échantillon aléatoire (échantillonnage en nombre aléatoire) | Probabilité identique que chaque élément de la population soit sélectionné pour un échantillon. En outre, l’utilisation de nombres aléatoires pour sélectionner un échantillon aléatoire d’une population. |
| Assurance raisonnable (contrôle interne) | Un contrôle interne, aussi bien conçu et exploité soit-il, ne peut garantir l’atteinte des objectifs d’une entité en raison des limites inhérentes à tous les systèmes de contrôle interne. |
| Rattrapage | Une fois qu’une défaillance a été identifiée et évaluée, des mesures correctives appropriées peuvent être mises en place pour atténuer ou éliminer le problème Probabilité résiduelle : probabilité que le risque identifié se produise après la mise en œuvre d’une stratégie d’intervention. |
| Besoin | C’est quelque chose qu’une entité doit aborder à la suite d’une promesse. |
| Probabilité résiduelle | Probabilité que le risque identifié se produise après l’implémentation d’une stratégie d’intervention. |
| Risque résiduel | Niveau d’exposition au risque, en termes de probabilité et d’impact (ou d’importance), une fois que les contrôles internes et les mesures d’atténuation connexes sont en place et efficaces. |
| Score résiduel | Score du risque après l’implémentation de toute stratégie d’intervention. |
| Importance résiduelle | Importance du risque après l’implémentation de toute stratégie d’intervention. |
| Risque | Un risque est une menace ou une vulnérabilité qui pourrait nuire aux objectifs business d’une organisation. Tous les risques sont contenus dans un référentiel de risques. Les risques peuvent être liés à n’importe quel élément, politique, contrôle et tâche de rattrapage. Les risques nécessitant une attention immédiate ou continue peuvent être atténués, évités ou contrôlés à l’aide des contrôles définis et des tests de contrôle connexes. Une définition du risque est une conséquence définie qui peut se produire si une menace exploite une vulnérabilité. Le risque est mesuré en termes d’impact (ou d’importance) et de probabilité. Les types de risques comprennent les risques opérationnels (fraude, par exemple), les risques de non-conformité (ne pas déposer les documents appropriés pour se conformer à la législation) et les risques stratégiques (tels qu’un incident qui affecte la réputation d’une marque). Risque métier associé à l’utilisation, à la propriété, à l’exploitation, à l’implication, à l’influence et à l’adoption des technologies de l’information au sein d’une entreprise. |
| Analyse des risques | L’examen systématique de l’information disponible pour déterminer la fréquence à laquelle des événements spécifiés peuvent se produire et l’ampleur de leurs conséquences. |
| Appétit au risque | Niveau de risque qu’une organisation est prête à accepter dans la poursuite de ses objectifs. |
| Cote de risque | L’évaluation des risques auxquels sont confrontés une entité, un bien, un système ou un réseau, des opérations organisationnelles, des personnes, une zone géographique, d’autres organisations ou de la société, et comprend la détermination de la mesure dans laquelle des circonstances ou des événements défavorables pourraient entraîner des conséquences préjudiciables. |
| Critères de risque | Il s’agit de valeurs quantitatives ou qualitatives par rapport auxquelles le niveau de risque est évalué. |
| Gestion des risques | L’objectif de la gestion des risques est de réduire l’incertitude. Il s’agit de gérer les processus et les ressources pour gérer les risques tout en poursuivant les objectifs de l’organisation. Processus d’identification, d’analyse, d’évaluation et de communication des risques et d’acceptation, d’évitement, de transfert ou de contrôle à un niveau acceptable compte tenu des coûts et des avantages associés à toutes les mesures prises. |
| Cadre de travail de gestion des risques | Processus formalisé de gestion des risques sur une base explicite. Le cadre consiste en une évaluation des risques, une réponse et une responsabilisation pour les activités de risque et d’atténuation qui l’entourent. |
| Atténuation du risque | Processus intégrés dans l’environnement des contrôles, tels que les politiques, les cadres de travail et les responsabilités, qui réduisent un risque. |
| Registre des risques | Un référentiel des attributs clés des problèmes de risque informatique potentiels et connus. Les attributs peuvent inclure le nom, la description, le propriétaire, la fréquence prévue/réelle, le niveau inhérent/résiduel, l’impact potentiel / réel sur l’entreprise et les plans d’atténuation/de rattrapage. |
| Réponse aux risques | Décision d’accepter un risque, de refuser un risque, de traiter ou d’atténuer un risque, ou de partager un risque avec une autre partie. |
| Définition du risque | Déclarations générales sur les risques ou menaces potentiels qui pourraient se produire quelque part dans une organisation. |
| Tolérance au risque | Niveau de risque que l’organisation n’est pas disposée à dépasser pour atteindre les objectifs. Représentation de l’appétence au risque en termes de seuil, généralement financier, donné aux différents niveaux de gestion de l’organisation pour des catégories de risque spécifiques. |
| Taille de l'échantillon | Nombre d’éléments de la population sélectionnés lorsqu’un échantillon est tiré d’une population. |
| Échantillonnage | Sélection d’un nombre restreint mais pertinent et représentatif d’enregistrements pour représenter l’ensemble de la population d’enregistrements. |
| Risque d’échantillonnage | La possibilité que les conclusions tirées de l’échantillon ne représentent pas des conclusions correctes pour l’ensemble de la population. |
| Séparation des tâches (SoD) | Attribuer à différentes personnes les responsabilités d’autoriser les transactions, d’enregistrer les transactions et de maintenir la garde des actifs. La séparation des tâches réduit les possibilités pour une personne de commettre et de dissimuler des erreurs ou des fraudes. |
| Importance | Utilisé pour évaluer la gravité d’un risque, ainsi que la probabilité. Il évalue le niveau de conséquence qu’un risque spécifique aurait sur une organisation si/quand il se produirait. |
| SLE | Perte estimée simple (SLE) = Perte estimée unique = Valeur de l’actif x Facteur d’exposition. |
| Personne concernée | Personne, groupe ou organisation qui a un intérêt direct ou indirect dans une organisation parce qu’il peut affecter ou être affecté par les actions, les objectifs et les politiques de l’organisation. |
| Standard | Une déclaration professionnelle promulguée par le Conseil des normes d’audit interne qui définit les exigences relatives à l’exécution d’un large éventail d’activités d’audit interne et à l’évaluation du rendement de l’audit interne. |
| Risques stratégiques | En ce qui concerne les objectifs stratégiques tels que les facteurs politiques, les priorités des clients, la marque ou la réputation. |
| Cible | Une valeur mesurable qu’une entité s’efforce d’atteindre. |
| Test | Échantillon d’une population pour estimer les caractéristiques de la population. |
| Plan de tests | Un test d’audit spécifique de la conception et de l’efficacité opérationnelle d’un seul contrôle. |
| Menace | Un événement qui, dans l’ensemble, a un effet indésirable sur l’atteinte des objectifs. |
| Tolérance | Niveau d’écart acceptable par rapport à une cible. |
| Cadre de travail de la conformité unifiée (UCF) | Network Frontiers Unified Compliance Framework (UCF) contient des documents de référence qui peuvent être importés dans l’instance ServiceNow® . Pour plus d’informations, consultez Cadre de travail de la conformité unifiée. |
| Incertitude | État d’incapacité à prédire, déterminer ou définir complètement quelque chose. |