Une action est incluse dans un plan d'action et représente une transformation ou un traitement dans une organisation ou un système.

 

Une activité d'audit est un élément d'une mission d'audit qui peut porter sur un ensemble de processus, d'applications, de risques ou de contrôles à auditer dans un département de l'entreprise.

L'appétence au risque est le niveau de risque qu'une organisation est prête à accepter pour atteindre ses objectifs, avant toute mesure prise pour atténuer le risque.

 

Une application est un ensemble de composants logiciels qui constituent un tout cohérent au regard des développements informatiques.

Rôle utilisé dans le cadre des workflows standards pour l'approbation des incidents.

 

Un article est une citation d'un texte de référence qui est généralement associée à une obligation légale.

L'audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité (source : IFACI).

Une bibliothèque est un regroupement d'objets qui permet de découper le contenu d'un référentiel HOPEX en plusieurs parties indépendantes. Deux objets appartenant à des bibliothèques différentes peuvent ainsi avoir le même nom.

 

Un cadre de politique d'entreprise constitue un ensemble de politiques d'entreprise. Les cadres de politique d'entreprise peuvent contenir des sections.

Un cadre réglementaire représente un ensemble de directives contraignantes ou non, définies par un gouvernement dans le cadre d'une loi, par un groupement professionnel sous forme de bonnes pratiques ou en interne par une organisation.

Un calendrier est divisé en périodes de temps appelées périodes de calendrier. Les calendriers peuvent servir dans le cas des campagnes d'évaluation, de la génération de rapports, ainsi que pour planifier les missions d'audit/de test.

Un calendrier de pilotage permet d'effectuer des actions récurrentes à des dates d'échéances prédéfinies. On peut par exemple l'utiliser pour envoyer des rappels à la personne responsable d'un plan d'action afin qu'elle renseigne le taux d'avancement de ce plan d'action. On peut aussi utiliser un calendrier

de pilotage pour déclencher automatiquement le lancement de sessions d'évaluation à des échéances régulières,...

Une campagne d'évaluation permet de créer et de planifier plusieurs sessions d'évaluation sur une période donnée.

Une caractéristique évaluée définit ce que l'évaluation cherche à évaluer. Elle peut être associée à une MetaClasse et précisément à l'un de ses MetaAttributs, par exemple : Metaclasse Risque, MetaAttribut: Criticité.

La catégorie d'indicateur clé détermine la façon dont les valeurs de l'indicateur sont interprétées, de façon à obtenir le statut de l'indicateur et le temps avant défaillance.

Une catégorie de processus regroupe plusieurs processus. Elle permet de hiérarchiser les processus et d'accéder au niveau le plus fin de granularité des processus.

Un centre de données est un site physique qui regroupe des installations informatiques chargées de stocker et de distribuer des données à travers un réseau interne ou via un accès Internet.

 

Une conséquence de risque peut être positive ou négative. Elle est associée à un type qui permet de la caractériser, par exemple : image, environnement, employés.

 

Les constats d'audit sont les résultats de l'évaluation des preuves d'audit recueillies, par rapport aux critères d'audit. Les constats d'audit peuvent indiquer la conformité ou la non-conformité aux critères d'audit, ou des opportunités d'amélioration.

Un contrat est un accord entre l'organisation et un fournisseur.

 

Un contrôle est un moyen de maîtrise d'un ou plusieurs risques permettant de s'assurer qu'une exigence légale, réglementaire, stratégique ou interne à l'entreprise est respectée.

Le correspondant Contrôle est responsable de l'évaluation et de l'exécution des contrôles de son périmètre ainsi que de mise en œuvre des plans d'action relatifs à ces contrôles.

Le correspondant Risque est responsable de l'évaluation des risques de son périmètre, ainsi que de la mise en œuvre des plans d'action relatifs à ces risques.

Le déclarant d'incident est responsable de la création d'incidents de son périmètre.

Un département représente un élément de la structure d'une entreprise tel qu'une direction ou un service. Il est défini à un niveau plus ou moins fin en fonction de la précision que l'on doit fournir sur l'organisation. Ex : la direction financière, la direction commerciale, le service marketing, l'agent commercial.

La devise centrale est la devise retenue par l'entreprise comme devise de référence.

Une devise locale est définie pour chaque utilisateur. Il s'agit par défaut de la devise centrale.

Un dispositif de contrôle est constitué d'un ensemble de contrôles qui permettent d'assurer la prévention et la maîtrise des risques encourus par l'entreprise, l'application de règles de fonctionnement internes, le respect d'une loi ou d'une réglementation en vigueur, ou l'atteinte d'un objectif stratégique de l'entreprise. Exemples : le dispositif de contrôle de la Qualité, le dispositif de contrôle de gestion, le dispositif d'audit interne.

Le niveau de Dispositif de Maîtrise du Risque permet de caractériser l'efficacité des contrôles visant à atténuer le risque.

 

Un document métier est un document dont le contenu est indépendant du référentiel HOPEX. Ce document peut être un fichier MS Word, MS Powerpoint ou autres. Un rapport (MS Word) généré sur un objet peut devenir un document métier.

 

Une entité représente une personne ou un groupe de personnes qui interviennent dans les processus ou dans le système d'information de l'entreprise.

Une entité peut être interne ou externe à l'entreprise : une entité interne représente un élément de l'organisation d'une entreprise tel qu'une direction, un service ou un poste de travail. Il est défini à un niveau plus ou moins fin en fonction de la précision à fournir sur l'organisation (cf type d'acteur). Ex : la direction financière, la direction commerciale, le service marketing, l'agent commercial. Une entité externe représente un organisme qui échange des flux avec l'entreprise. Ex : Client, Fournisseur, Administration.

L'évaluation est un mécanisme qui permet de lancer des questionnaires à une population identifiée afin d'obtenir des estimations (qualitatives ou quantitatives) sur des objets identifiés.

Une exigence est un besoin ou une attente formulés explicitement, imposés comme une contrainte à respecter dans le cadre d'un projet de certification, d'organisation ou de modification du système d'information d'une entreprise.

 

Un facteur de risque est un élément qui contribue à l'apparition d'un risque ou qui en est le déclencheur. Un même facteur de risque peut être à l'origine de plusieurs risques différents. Exemples : l'utilisation d'un produit chimique dangereux, la complexité d'une application, la taille d'un projet, le nombre d'intervenants, la nouveauté technique, l'absence d'assurance qualité, le manque de rigueur dans la définition des exigences, etc.

 

Une fiche de travail est constituée de points à vérifier sur un sujet donné au cours d'une activité d'audit.

Un fournisseur est un acteur externe de type "Fournisseur".

La fraîcheur de l'évaluation est le temps écoulé (en nombre de jours) depuis que la dernière valeur de l'indicateur clé a été saisie.

 

Un gain est la conséquence financière positive d'un incident.

 

Un incident est un fait de source interne ou externe ayant une incidence sur l'organisation. Il constitue l'élément de base de la collecte des données concernant le risque opérationnel.

 

Un indicateur est une grandeur mesurable servant à fournir des indications sur l'atteinte d'un objectif, l'impact d'un facteur de risque, la fréquence ou l'impact d'un risque, l'efficacité d'un contrôle, etc.

 

Un indicateur clé est une métrique utilisée par l'organisation pour alerter en cas d'exposition croissante à des risques dans différents secteurs de l'entreprise.

Une installation est un modèle de site d'intérêt pour l'entreprise (par exemple : une usine ou une agence).

Une Installation de logiciel sur un site permet d'offrir un ensemble de fonctionnalités à différentes populations d'utilisateurs.

 

Une ligne métier est une compétence ou un regroupement de compétences qui est d'intérêt pour l'entreprise. Elle correspond, par exemple, à des grands segments produits ou à des canaux de distribution ou à des activités métier.

Une logique d'interprétation d'indicateur contient la logique de calcul du statut de l'indicateur, le temps avant défaillance, ainsi que la liste des statuts dans lesquels l'indicateur peut se trouver.

 

Un macro-incident est un incident qui a des incidences sur plus d'un métier ou d'une société d'un même groupe.

Une méthode d'agrégation est une opération mathématique réalisée sur les valeurs agrégées de l'indicateur clé, de manière à calculer la valeur de ce dernier ainsi que son statut.

Une métrique sert à fournir des indications quantitatives sur la valeur d'une grandeur (par exemple le niveau de prévention d'un risque).

 

Une mission d'audit est une mission affectée à une équipe d'auditeurs internes dans le cadre d'un plan d'audit.

 

Une mission de test est une mission assignée à un contrôleur dans le cadre d'un plan.

Un modèle d'évaluation sert de modèle pour la construction de campagnes et de sessions d'évaluations.

Le modèle d'évaluation définit le périmètre de l'évaluation, le modèle de questionnaire à utiliser, éventuellement les schémas d'agrégation à appliquer pour l'interprétation des résultats globaux.

Un modèle de questionnaire représente la définition du contenu d'un questionnaire.

Le niveau de contrôle permet de caractériser le niveau d'efficacité des éléments de maîtrise déployés (contrôles) pour atténuer le risque.

 

Un objectif est un but que l'on cherche à atteindre ou la cible visée pour un processus ou une opération. Il permet de mettre en évidence les points que l'on veut améliorer pour ce processus ou cette opération.

 

Une obligation est une interprétation de la loi qui contribue à la mise en application de tout article auquel votre organisation doit se conformer.

Une opération est une étape élémentaire d'un processus. Elle correspond à l'intervention d'un acteur de l'organisation.

Une période correspond à l'exercice au cours duquel les missions d'audit sont réalisées. Elle permet de regrouper chronologiquement plusieurs plans d'audit.

La période d'agrégation est la période au cours de laquelle les valeurs de l'indicateur clé sont agrégées, de manière à calculer sa valeur et son statut.

Une période de calendrier est une division d'un calendrier.

Une personne est définie par son nom et son adresse électronique. Elle peut accéder à une application dès lors qu'on lui attribue un identifiant de connexion. Un ou plusieurs rôles métiers peuvent également lui être assignés.

 

Une perte est la conséquence financière négative d'un événement.

Une phase d'entreprise est une phase passée, courante ou future d'une entreprise.

 

Un plan d'action est constitué d'une série d'actions, avec pour objectif de réduire les risques et les événements ayant un impact négatif sur l'activité de l'entreprise.

 

Le plan de test est la description du champ de l'audit attendu et de sa conduite. Il est réalisé conformément à des normes d'audit. Il comprend la description de l'approche d'audit ainsi que le planning. Il se compose de plusieurs missions de test durant une période donnée.

 

Une politique d'entreprise est un document interne émis par une organisation (code de bonne pratique, mesure de sécurité, etc.).

 

Un processus décrit la marche à suivre pour mettre en œuvre tout ou partie du processus d'élaboration d'un produit ou un flux.

 

Un produit représente un ou plusieurs articles, objets, biens ou services, résultat d'une activité agricole, industrielle ou de service, qui sont proposés par une entreprise.

Un profil définit l'accès à des fonctionnalités de l'application ainsi qu'un niveau d'intervention dans le workflow et le processus de validation.

Un programme d'activité est un modèle d'activité, portant les caractéristiques principales d'une activité d'audit à effectuer.

Un programme de mission est un modèle de mission portant les caractéristiques principales d'une mission d'audit.

 

Une provision est un montant qui diminue le résultat pour faire face à un risque ou une charge incertaine. Plusieurs provisions peuvent concerner un seul et même risque.

Un quasi-incident est un incident qui ne s'est traduit ni en dommages corporels ni en dommages matériels mais qui en avait le potentiel.

Un questionnaire d'évaluation est une liste de questions portant sur un objet particulier et adressée à des utilisateurs.

 

Une recommandation décrit ce qui doit être réalisé pour corriger une non-conformité détectée durant l'audit.

 

Une récupération est une somme qui dans certaines circonstances vient réduire le montant des pertes liées au risque opérationnel. Elle permet de récupérer une partie des sommes engagées dans l'événement.

Une redondance de contrôles formalise le fait que plusieurs contrôles sont redondants. Ce peut être, par exemple, parce qu'ils ont été successivement mis en place pour couvrir un même risque dans le cadre de réglementations différentes.

Une règle d'agrégation permet de calculer les valeurs d'une caractéristique d'évaluation parente à partir d'une ou plusieurs caractéristiques d'évaluation filles. Quelques règles sont prédéfinies, par exemple : max, min, sum, average.

Une règle de notation détermine comment les réponses à un questionnaire alimentent les caractéristiques de l'objet évalué.

Une réglementation ou un règlement interne représente un ensemble de directives contraignantes ou non, définies par un gouvernement dans le cadre d'une loi, par un groupement professionnel sous forme de bonnes pratiques ou en interne par une organisation.

Un répondant est une personne de l'entreprise interrogée dans le contexte d'une évaluation. Cette personne doit compléter le questionnaire d'évaluation et le renvoyer.

Le Risk Manager est responsable de l'exécution des tâches suivantes concernant les risques de son domaine de responsabilité : identifier les risques, réaliser des évaluations directes, gérer les campagnes d'évaluation, définir des plans d'action, analyser et suivre la création de rapports.

 

Un risque est un danger plus ou moins probable auquel est exposée une organisation.

Le risque inhérent (ou risque brut) est le risque auquel une entité est exposée en l'absence de mesures correctives par le management pour en modifier la probabilité d'occurrence ou l'impact, par opposition au risque résiduel.

Un risque qui s'est matérialisé est un risque pour lequel un incident s'est produit.

Le risque prévisionnel représente la projection du risque résiduel sur l'année à venir.

Le risque résiduel (ou risque net) est le risque auquel l'entité reste exposée après la prise en compte des solutions mises en œuvre par le management.

Un rôle est l'association d'un profil à un utilisateur dans un contexte organisationnel précis.

Une schéma d'agrégation est une suite d'étapes qui permettent de consolider les résultats d'une évaluation en fonction de règles d'évaluation prédéfinies.

 

Une section est une citation d'un texte de référence, qui n'est associée à aucune obligation légale et qui contient d'autres sections ou articles.

Un serveur est une ressource informatique matérielle, pouvant disposer d'une Base de données et sur laquelle des Applications peuvent s'exécuter.

Un serveur (déployé) est une ressource informatique sur laquelle des applications s'exécutent.

Une session d'évaluation est une évaluation lancée sur un laps de temps déterminé. La publication de la session d'évaluation a pour effet d'envoyer un formulaire d'évaluation contenant les questions aux utilisateurs ciblés.

Un site est un lieu géographique où est implantée l'entreprise. Les sites peuvent être des sites-types tels que le siège, l'agence, l'usine, ou des lieux géographiques précis comme l'agence de Marseille, l'usine de Poissy, etc.

Une société est une personne morale.

Le statut d'un indicateur permet de déterminer si une alerte doit être déclenchée. L'indicateur est calculé automatiquement en se basant sur les dernières valeurs de l'indicateur, la période d'agrégation et la méthode d'agrégation.

Le taux d'exécution est le pourcentage d'objets contextes du périmètre du contrôle inclus dans la dernière campagne d'exécution de contrôles.

Le taux de conformité est le pourcentage de contrôles jugés satisfaisants.

Une technologie logicielle est un composant de base nécessaire au fonctionnement des applications métiers.

Le temps avant défaillance est le nombre de jours devant s'écouler avant passage de l'indicateur clé en statut "Non acceptable".

 

Un texte de référence est un texte qui entre dans l'une des catégories suivantes : réglementations (textes de lois qui peuvent entraîner des pénalités s'ils ne sont pas respectés), standards ou normes.

 

Un thème d'audit est un regroupement d'activités d'audit portant sur un même sujet. Les thèmes d'audit peuvent se décomposer en sous-thèmes d'audit.

 

Un type de contrôle permet de classifier les contrôles mis en oeuvre dans l'entreprise conformément à des standards sectoriels ou réglementaires (Cobit, etc.).

 

Un type de risque définit une typologie de risque normalisée dans le cadre d'une organisation.