CN102214348A - 自上而下的基于风险的审计方法的数据管理 - Google Patents
自上而下的基于风险的审计方法的数据管理 Download PDFInfo
- Publication number
- CN102214348A CN102214348A CN2010101407549A CN201010140754A CN102214348A CN 102214348 A CN102214348 A CN 102214348A CN 2010101407549 A CN2010101407549 A CN 2010101407549A CN 201010140754 A CN201010140754 A CN 201010140754A CN 102214348 A CN102214348 A CN 102214348A
- Authority
- CN
- China
- Prior art keywords
- risk
- subprocess
- account group
- central
- linked
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/12—Accounting
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Finance (AREA)
- Human Resources & Organizations (AREA)
- Accounting & Taxation (AREA)
- Marketing (AREA)
- Theoretical Computer Science (AREA)
- Development Economics (AREA)
- General Business, Economics & Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Tourism & Hospitality (AREA)
- Quality & Reliability (AREA)
- Operations Research (AREA)
- Educational Administration (AREA)
- Game Theory and Decision Science (AREA)
- Technology Law (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请的特定实施例一般涉及提供风险管理。在一个实施例中,在数据结构中将第一风险链接到账户组声明。在数据结构中将第二风险链接到控制目标。准许通过账户组声明访问第一风险。准许通过控制目标访问第二风险。然后,使用访问的第一风险和第二风险来执行风险管理。
Description
技术领域
本申请的特定实施例一般涉及用于风险管理的数据管理和处理。
背景技术
存在很多公司必须遵守的法规。例如,“Auditing Standard No.5, an Auditof Internal Control over Financial Reporting that is Integrated with an Audit ofFinancial St
在5号审计准则出台之前,使用自下而上的方法(bottom-up approach)以进行审计。对于自下而上的方法,审计员首先考虑的是控制目标。因为首先访问的(accessed)是控制目标,所以自下而上的方法的数据模型将风险设置为控制目标的属性。这允许从控制目标访问风险。然而,自上而下的方法并非先访问控制目标,然后访问风险。
公司在遵循如5号审计准则之类的审计标准上的成本可能较高。公司希望在仍然遵守这些标准的同时能够降低成本。但是,对于自上而下的方法,现有的数据模型可能无法为公司节省成本。
发明内容
特定实施例一般涉及提供风险管理。在一个实施例中,在数据结构中将第一风险链接到账户组声明。在数据结构中将第二风险链接到控制目标。准许通过账户组声明访问第一风险。准许通过控制目标访问第二风险。然后,使用访问的第一风险和第二风险来执行风险管理。
在一个实施例中,提供一种方法,包括:在数据结构中将第一风险链接到账户组声明;在数据结构中将第二风险链接到控制目标;由计算设备准许通过所述账户组声明访问第一风险;由计算设备准许通过所述控制目标访问第二风险;以及由计算设备使用访问的第一风险和第二风险来执行风险管理。
在另一个实施例中,提供一种方法,包括:上传多个账户组的资产负债表信息;使用所上传的资产负债表信息从所述多个账户组中确定重要账户组,该重要账户组是基于阈值确定的;从所述重要账户组中确定重要子过程;由计算设备访问来自数据结构的重要子过程的风险,该风险是通过到该重要子过程的链接而访问的;确定在数据结构中链接到该风险的控制;以及评价该风险的控制。
在另一个实施例中,提供一种包含用于控制计算机系统执行一种方法的指令的计算机可读存储介质。该方法包括:在数据结构中将第一风险链接到账户组声明;在数据结构中将第二风险链接到控制目标;准许通过所述账户组声明访问第一风险;准许通过所述控制目标访问第二风险;以及使用访问的第一风险和第二风险来执行风险管理。
下面的具体说明和附图提供对本申请的本质和优点更好的理解。
附图说明
图1示出了根据一个实施例的、用于提供自上而下的基于风险的审计方法的数据管理的简化系统。
图2示出了根据一个实施例的、用于将数据存储在数据库中的数据模型。
图3示出了根据一个实施例的、具有两级数据的数据模型的例子。
图4示出了根据一个实施例的、数据模型中的实体关系。
图5示出了根据一个实施例的、用于访问数据的方法的简化流程图。
图6示出了根据一个实施例的、风险管理的总体过程的简化流程图。
图7示出了根据一个实施例的、用于风险建模的方法的简化流程图。
图8示出了根据一个实施例的、确定重要子过程的简化流程图。
图9示出了根据一个实施例的、评估风险的配置表的例子。
图10示出了根据一个实施例的、确定风险等级的例子。
图11示出了根据一个实施例的、可以用于确定证据等级的计算矩阵的例子。
图12示出了用于执行本申请的实施例的示例计算机系统。
具体实施方式
这里所描述的是用于风险管理的技术。在下面的说明中,为了解释的目的,阐述了许多例子和具体细节,以提供对本申请的实施例的全面理解。由权利要求所定义的特定实施例可以包括这些例子一些或全部特征,或者与下面所描述的其它特征组合,并且还可以包括这里所描述的特征和概念的修改和等效物。
图1示出了根据一个实施例的、用于提供自上而下的基于风险的审计方法的数据管理的简化系统100。系统100包括计算设备101、风险管理应用102、数据库104和客户106。应当理解,可以提供系统100中所示的任意数量的实体,诸如可以提供计算设备101、风险管理应用102和数据库104的多个实例。
风险管理应用102可以是企业资源计划(ERP)系统的一部分。风险管理应用102可以用于执行对公司的审计。例如,可以使用风险管理应用102执行自上而下的基于风险的审计。而且,风险管理应用102可以用于管理存储在数据库104中的数据以及配合(coordinate)审计活动。
数据存储在数据库104中,以允许自上而下的基于风险的审计。如将更加详细地描述的那样,数据模型用于描述如何表示数据并且存储在数据库104中。应用102可以使用数据模型将数据存储为结构化(structured)数据,以使得能够使用风险管理应用102来执行自上而下的基于风险的审计。
客户106可以用来执行与自上而下的基于风险的审计过程相关的活动。例如,客户106可以用于访问或存储数据。在一个实施例中,不同的客户106可以是公司的不同组织的一部分。
图2示出了根据一个实施例的、用于将数据存储在数据库104中的数据模型200。数据模型200被用来将数据以结构化形式存储在数据库104中。数据模型200可以对中央子过程(central sub-process)202建模,该中央子过程202是过程204的一部分。过程204可以是公司的业务过程。例如,该过程可以是付款(payment)过程。
中央子过程202可以是过程204的一部分,诸如付款过程的现金支付(disbursement)部分。中央子过程202可以是被公司的其它本地组织用于风险管理的模板。本地组织可以复制中央子过程202,然后定制用于风险管理的本地子过程。下面将更加详细地描述这个概念。
数据模型200被用来将对象存储在数据库104中。该对象可以被分类为风险206、中央子过程202、控制208、账户组210、声明212和控制目标214。例如,当讨论风险206时,这是一个这样的对象:其包括存储在数据库104中的用于风险的信息(例如,姓名、描述、风险等级、风险可能性以及风险所有者)。术语风险206和风险对象可以互换地使用。例如,当使用风险206时,这可以是指包括文本的对象,该文本描述风险被分类为风险。
基于数据模型200将对象存储在数据库104中。应用102可以确定用于对象的上下文,该上下文将该对象标识为例如风险。然后,以基于数据模型200确定的适当关系将对象存储在数据库104中。例如,当对象存储在数据库104中时,基于数据模型200存储该对象对另一对象的关系。这给了数据一个结构。例如,当存储了用于控制目标214和风险206a的对象时,数据模型200用于确定应当存储的对象之间的关系。如下面将更加详细描述的那样,所述关系可以基于被存储在关系表中的对象的密钥和标识符。然后,这些关系被用来访问数据库104中的对象,以执行自上而下的风险管理。
特定实施例提供了通过中央子过程202对风险206的访问。可以将风险指定为公司的这样一个区域:在该区域中,可能存在与正在审计的财务报表中的声明相关的重大错报。声明或者财务报表声明是财务报表中的多条信息。在较宽层面上,这些声明是总负债、资产、收入和利润。但是,声明可以更加详细。数据模型200对风险206与中央子过程202之间的关系建模。例如,风险可以是将付款支付给错误的人。可以通过描述该风险的文本来创建对象。可以将该对象作为风险206b存储在数据库104中。然后,可以基于数据模型200将关系存储在数据库104中。例如,对象接着可以链接到中央子过程202。在一个例子中,链接可以经由使用关系表中对象的风险ID和中央子过程的子过程ID的外键(foreign key)。关系表可以存储不同表的数据之间的链接。该链接可以通过将风险ID和子过程ID与外键关联来形成。当经由子过程对象访问风险对象时,可以确定子过程ID并且经由外键确定到风险ID的链接。然后使用风险ID访问风险对象。这支持风险206b到中央子过程202的直接分配。
控制208可以是创建用于管理风险的控制。例如,可以提供被执行用于控制风险的活动。控制208也可以链接到与中央子过程202关联的风险206。例如,控制可以是用于付款支付的密码或地址验证。用于该控制208的文本可以存储在对象中。然后,可以基于数据模型200将关系存储在数据库104中。例如,控制对象被链接到风险对象。在评价风险时,可以访问并评价与风险206a-206c关联的控制208。下面将对该过程进行更加详细的描述。
控制目标214是控制208需要满足的目标。可以将风险206a链接到控制目标214。例如,控制目标可以是描述控制的目标的文本。该文本可以存储在控制目标对象(control objective object)中。然后,可以通过对风险对象的关系将控制目标对象存储在数据库104中。例如,链接可以经由使用关系表中控制目标对象的控制目标ID和风险对象的风险ID的外键。然后,可以将控制目标对象链接到中央子过程202。例如,该链接可以经由使用控制目标对象的控制目标ID和中央子过程的子过程ID的外键。在此情况下,子过程ID可以被用来访问与风险ID关联的风险对象。
然后,风险206a可以被继承到(inherited to)中央子过程202。例如,可以通过访问来自中央子过程202的控制目标214来访问风险206a。然后,可以从控制目标214访问风险206a。上述过程支持对信息和相关技术的控制目标(control objectives for information and related technology,COBIT)以及发起组织委员会(committee of sponsoring organizations,COSO)实践。
账户组210可以是属于一个账户一览表(one chart of accounts)的数个账户。例如,所述账户可以是不同的财务账户。声明212被链接到账户组210。
风险206c被链接到账户组声明212。例如,账户组声明对象在关系表中被链接到风险对象。然后,声明对象被链接到中央子过程202。账户组声明对象是账户组210的一部分,因此账户组对象首先与风险对象链接。在一个例子中,链接可以经由使用从账户组210到风险206c的风险ID的对象密钥的外键。然后,声明212在关系表中经由账户组210被链接到风险206c。例如,账户组声明212可以经由外键被链接到中央子过程202,该外键将来自包括声明212的账户组210的对象密钥与中央子过程202的子过程ID链接。然后,风险206c可以被继承到中央子过程202。继承的意思是风险206c可以通过中央子过程202来访问。例如,从中央子过程202访问账户组210。然后,可以从账户组210访问风险206c。
因此,数据模型200支持三种类型的到中央子过程202的风险分配。可以从中央子过程202访问来自三个不同风险源的风险。
数据模型200可以支持两级数据。例如,可以支持中央对象和本地对象。中央对象可以用于对象的中央建模(central modeling),并且用作创建本地对象的模板,该本地对象是组织专用的(organization specific)。图3示出了根据一个实施例的、具有两级数据的数据模型200的例子。数据模型200包括中央对象302,所述中央对象302被中央建模并且被用作复制本地对象304的模板。可以经由中央对象302到本地组织单元(organization unit,orgunit)306的分配来创建本地对象304。本地对象304代表真实世界数据模型。例如,中央对象302提供可以被公司的不同orgunit 306使用的模板。每个不同的orgunit 306都可以定制本地对象。
当发生中央子过程202到orgunit 306的分配时,执行中央子过程202和中央控制208的数据模型的复制,以创建相应的本地子过程308和本地控制310。在复制中央子过程202的数据模型时,数据模型200的模板被传播到本地子过程308。也就是,中央子过程202的建模的风险206可以被继承到本地子过程308。通过将中央子过程202与本地子过程308之间的关系存储在关系表中来提供所述继承。例如,该关系表可以经由使用中央子过程ID和本地子过程ID的外键。然后,可以经由该链接为本地子过程308找到(found)来自中央子过程202的任意继承的风险206。
然后,orgunit 306可以使用数据模型200来对它们的组织的数据进行建模。例如,可以由orgunit 306调整链接到中央子过程202的风险206。在一个例子中,可以从本地子过程308中去除不必要的风险。在一个实施例中,已去除的风险的列表被存储在已去除对象表312中。例如,已去除的风险206的风险ID被存储在已去除对象表312中,以指示对本地子过程308来说已经去除的风险。而且,如果风险206是从中央子过程202之外的对象(例如,控制目标、账户组/声明)继承而来,则也存储该对象的ID,诸如控制目标ID或账户组ID/声明ID。因此,本地子过程308的风险总体上是来自中央子过程202的继承的风险206减去本地已去除的风险206。从而,支持对本地子过程308的风险206的中央控制,并且每个子过程308可以自由且灵活地去除不必要的风险。而且,当风险206被中央添加时,它们可以被自动地分配到本地子过程308。
特定实施例也允许去除账户组210和控制目标214。当控制目标214或账户组210被本地去除时,已去除的控制目标ID、或账户组ID/声明ID被存储在已去除对象表312中,以指示已经为本地子过程308将它们去除。
另外,风险映射表可以存储本地控制风险映射。例如,如果用户想要在更加详细的等级上分配风险206,则本地控制310可以与风险206链接。可以对风险206进行约束,以便能够从当前本地子过程308看到它。在一个实施例中,只允许来自本地子过程308的风险206链接到该本地子过程308下的控制208。控制208能够链接到来自本地子过程308的所有类型的风险206。这掩护了(cover)本地子过程308中的风险并且使其减轻(mitigate)。
图4示出了根据一个实施例的、数据模型200中的实体关系400。数据模型200的目的是对风险206与中央子过程202/控制208之间的关系建模。而且,数据模型200支持对来自不同风险源的中央子过程202/控制208的风险206进行标识(identify)。然后,可以评估(assess)来自不同的orgunit 306处的不同风险源的风险206。基于所评估的本地子过程308和控制208的风险等级,执行根据风险等级的评价和测试,如下面将更加详细描述的。
图4中所示的实体关系示出了数据模型200中各种对象的链接。这些链接允许数据对象在数据库104中存储的数据结构中链接。关系表402存储在数据库104中并且用于确定数据模型200中对象之间的链接。例如,中央子过程202可以通过中央子过程ID和本地子过程ID与本地子过程308链接。而且,账户组210可以通过对象密钥、账户组ID/声明ID和orgunit ID与orgunit 306链接。中央控制208可以通过中央控制ID和本地控制ID与本地控制310链接。控制目标214、账户组210和本地子过程308可以通过风险ID、对象密钥以及账户组210、控制目标214和本地子过程308的相应ID链接到风险206。
已去除对象表312也存储已去除控制目标的ID、已去除账户组的ID、已去除声明的ID和本地子过程的已去除风险的ID。
下面将描述数据模型200的使用。图5示出了根据一个实施例的、用于访问数据的方法的简化流程图500。在502处,第一风险206c在数据模型200中被链接到账户组声明。在504处,第二风险206a在数据模型200中被链接到控制目标214。在506处,第三风险206b在数据模型200中被链接到中央子过程202。
在508处,准许通过账户组声明212对第一风险206c的访问。例如,利用通过中央子过程202访问账户组210来访问第一风险206c。然后,通过账户组210访问第一风险206c。在510处,准许通过控制目标214对第二风险206a的访问。例如,从中央子过程202访问控制目标214。然后,通过控制目标214访问第二风险206a。在512处,准许通过中央子过程202对第三风险206b的访问。可以访问上述风险206a-206c以执行风险管理,下面将对其更加详细地进行描述。
图6示出了根据一个实施例的、风险管理的总体过程的简化流程图。在602处,执行风险建模。风险建模包括设置将用于存储数据库104中所存储的数据结构中的数据的关系。图7示出了根据一个实施例的、用于风险建模的方法的简化流程图700。在702处,中央子过程202可以通过包括上面关于图2和图3所描述的关系的对象来建模。在704处,中央子过程202被复制到orgunit 306的本地子过程308。在706处,保持(hold)中央子过程202与本地子过程308之间的关系。例如,可以将链接存储在关系表402中。
在708处,接收输入以去除风险206、账户组210或控制目标214。在708处,信息存储在已去除对象表312中,该表312关于风险206、账户组210或控制目标214中的哪些被去除。因此,对本地子过程308的继承风险的总数是对中央子过程202建模的风险206减去已去除风险206。
返回参照图6,在604处,风险管理应用102确定重要的本地子过程308。可以不执行所有风险206的评价/测试。而是,可以通过确定重要的本地子过程308、然后评价与重要本地子过程308关联的一组关键风险206,来确定特定的重要风险206。下面的方法使用自上而下的风险管理方法。图8示出了根据一个实施例的、确定重要本地子过程308的简化流程图800。在802处,风险管理应用102分析合并资产负债表(consolidated balance sheet),以确定关键账户/重要合并(consolidated)账户。该合并资产负债表可以是整个公司的资产负债表(即,所有orgunit 306的合并资产负债表)。在这种情况下,可以从数据库104上传账户组结余(balance)。在一个例子中,风险管理应用102可以将账户字段(主要是账户组ID、姓名、orgunit、结余)与源系统(例如,账务系统)中的字段映射,然后直接从源系统检索数据。然后,数据被映射到数据格式并存储在应用表中。
在上传了账户组结余之后,在804处,风险管理应用102确定重要账户组210。例如,阈值可以存储在风险管理应用102中,并且用于确定重要账户组。在一个例子中,将所上传的每个账户组210的结余与阈值相比较。如果结余大于该阈值,则该账户被设为重要账户。可以随时调整阈值。例如,可以在审计时将阈值调整为低于中央规定的(centrally specified)阈值的值,向上调整以匹配通货膨胀,调整为公司的审计委员会规定的值,等等。可替换地,用户可以设置指示账户组210是重要账户组的标记。
在806处,风险管理应用102确定标识为重要的本地子过程308。所确定的本地子过程308可以基于数据模型200中的父子关系来自动确定。也就是说,作为重要账户组210的父类的本地子过程308被确定为重要。
返回参照图6,在606处,接着通过重要本地子过程308执行风险评估。可以在计划好的日期自动触发风险评估。对风险206a、206b和206c执行风险评估。对于数据模型200来说,可以从账户组210访问风险206c,可以从控制目标214访问风险206a,可以直接访问分配给本地子过程308的风险206b。风险评估基于评估将不同值分配给风险。该评估可以基于用户输入(例如,来自调差结果(survey))或者被自动地确定。
在一个实施例中,对重要账户组210的声明进行评估。对于要执行的评估,需要从数据库104访问与这些声明关联的风险。例如,使用从重要账户组210到风险206c的链接来访问与重要账户组210的声明关联的风险206c。
在一个实施例中,可以保持配置表以评估风险。图9示出了根据一个实施例的、配置表的例子。可以使用风险等级来评估该风险。风险等级可以不同于用户所配置的等级。风险等级指的是风险的严重性(severity)等级,并且对应于定义的风险等级,诸如H(高)、M(中等)或L(低)。也可以使用其它风险等级。
风险影响(impact)902与风险可能性904的组合对应于定义的风险等级906。可以使用计算矩阵来确定基于风险影响和风险可能性的风险等级。例如,图10示出了根据一个实施例的、确定风险等级的例子。示出了风险影响902的值。可以提供1-5级,但是也可以使用其它等级。可以由影响等级文本和影响缩减(impact reduction)来定义所述等级。影响等级文本是影响的等级的描述。同样,影响缩减是被用来降低风险的努力的等级。
风险可能性904是风险发生的概率。可以提供1-5级,但是也可以使用其它等级。风险影响902和风险可能性904可以由用户定义,或者可以被自动地确定。在一个实施例中,可以将调查结果发送给用户,以评估风险影响902和风险可能性904。在调查结果中,用户可以用不同的值来评级(rate)风险影响902和风险可能性904。
然后,使用计算矩阵1002确定风险等级906。计算矩阵1002从风险影响902和风险可能性904中取值并且确定风险等级906。例如,值为2的风险可能性和值为3的风险影响得到中等风险等级。从计算矩阵1002,可以看出不同的风险等级906可以被确定。例如,风险等级906可以用高、低、中等、非常高和非常低这些风险等级来描述。
所计算的风险等级906可以被计算并显示给用户。还可以显示风险等级颜色以指示等级。同样,用户可以选择重写该计算或接受它。
返回参照图9,可以保持风险影响902、风险可能性904和风险等级906的不同值。可以存储从对风险影响902、风险可能性904和风险等级906的风险评估接收的数据。例如,可以分别用影响ID、可能性ID和风险等级ID来标识各个风险影响对象、风险可能性对象和风险等级。对于为本地子过程308评估的每个风险,每个风险的子过程ID、影响ID、可能性ID和风险等级ID被存储在风险评估结果表908中。如果由多个用户或多次执行风险评估,则可以配置可以存储哪个结果,诸如最差风险等级的结果或者加权结果。
风险因子(factor)RFG表910是用户用来登记他/她自己的因子定义。用户可以为风险因子1创建他/她自己的表912,并将其登记到风险因子RFG表910中。风险因子1是能够用于描述风险/评估风险等级的客户定义的因子。在运行时,该因子被视为与诸如风险影响902之类一样的因子,但是它对决定风险等级没有帮助。
在评估风险之后,基于它们的风险等级来确定关键风险。例如,被评为(rated as)高风险级(例如,非常高、高或中等)的风险可以被视为关键的,而评为低风险级(例如,非常低或低)的风险可以被视为不关键的。然后评为关键的风险被评价和测试。
有关风险子过程308的风险等级被用作选择准则,供用户选择子过程来计划评价/测试活动。例如,某一用户站点上的业务规则可以只关心高风险子过程和中等风险子过程。然后公司就可以选择评价用于高风险和中等风险子过程308的控制。这样,审计员能够关注于高风险并且可能导致重大弱点(material weakness)的重要子过程和控制。这使得审计员效率更高且有效,并且能够节省公司每项审计的成本。
返回参照图6,在610处,在确定关键风险206之后,风险管理应用102执行风险评价/测试。出于讨论的目的,术语“评价”被使用,并且可以包括评价和/或测试。在评价中,评价与确定为关键的风险206关联的控制。例如,风险206在数据模型200中与控制关联。这些控制可以被访问和评价以确定它们是否有效。
可以使用证据(evidence)等级来开发对控制的评价/测试策略。基于风险等级和控制风险等级的计算来确定证据等级。证据等级可以是需要示出以满足该控制的证据的数量。在一个例子中,关于财务交易的控制可以是由该交易中产生的接收(receipt)或确认(confirmation)。证据等级是收据或确认书的存在。
可以使用风险等级906作为用以确定证据等级的计算的一部分。还使用控制风险等级,并且如果控制208用于减轻/掩护风险206,则控制风险等级可以是风险等级。
图11示出了根据一个实施例的、可以用于确定证据等级的计算矩阵1100的例子。在1102栏中,示出了风险等级906。而且,在1104行中,示出了控制风险等级。这两级的交集提供了证据等级。在一个例子中,等级1表示不需要测试;等级2表示应当使用自我评估作为测试策略;而等级3表示应当使用直接测试作为测试策略。自我评估测试策略可以是各个用户评估控制。直接测试可以是在公司创建测试的时候。自我评估和直接测试是工作流驱动的过程,用于评估或测试特定控制208、本地子过程308和orgunit 306以及验证它们的发布。
然后,使用证据等级创建评价控制的测试。当创建了测试时,该控制可以由审计员来评价。
由此,已经提供了由数据模型200支持的自上而下的方法。例如,风险链接到控制目标214、本地子过程308和账户组210。可以从这些实体访问风险,并且用于风险管理。自上而下的方法要求访问来自不同风险源的风险206,而数据模型200方便了该访问。
图12示出了用于实现本发明的实施例的硬件。在图12中示出了示例计算机系统1210。计算机系统1210包括总线1205或用于通信信息的其它通信机制,以及耦接到总线1205用于处理信息的一个或多个处理器1201。计算机系统1210还包括存储器1202,其耦接到总线1205用于存储要由处理器1201执行的信息和指令,包括用于执行例如上述技术的信息和指令。该存储器也可以用于在执行将由处理器1201执行的指令期间存储变量或其它中间信息。该存储器的可能实现方式可以是、但不局限于随机存取存储器(RAM)、只读存储器(ROM)或全部两者。还提供机器(计算机)可读存储设备1203用于存储信息和指令。存储设备的常规形式包括例如非瞬时电磁介质,诸如硬盘、磁盘、光盘、CD-ROM、DVD、闪存、USB存储卡或者计算机可以读取的任何其它介质。存储设备1203可以包括用于执行例如上述技术的源代码、二进制代码或者软件文件。存储设备1203和存储器1202都是计算机可读介质的例子。
计算机系统1210可以经由总线1205耦接到显示器1212,诸如阴极射线管(CRT)或液晶显示器(LCD),用于将信息显示给计算机用户。诸如键盘和/或鼠标的输入设备1211耦接到总线1205,用于将信息和命令选择从用户通信到处理器1201。这些元件的组合允许用户与系统通信。在一些系统中,总线1205可以分为多个专用总线。
计算机系统1210还包括与总线1205耦接的网络接口1204。例如,网络接口1204可以提供计算机系统1210与本地网络1220之间的双向数据通信。例如,网络接口1204可以是数字用户线(DSL)或调制解调器,用于提供通过电话线的数据通信连接。网络接口的另一个例子是局域网(LAN)卡,以提供到兼容LAN的数据通信连接。无线链接是另一个例子。在任意一个这样的实现方式中,网络接口1204都发送和接收电信号、电磁信号或光信号,其携载表示各种类型信息的数字数据流。
计算机系统1210可以通过跨本地网络1220、以太网或因特网1230的网络接口1204发送和接收信息,包括消息或其它接口动作。对于本地网络,计算机系统1210可以与多个其它计算机机器通信,诸如服务器1215。因此,可以通过这里所描述的过程对计算机系统1210以及由服务器1215所代表的服务器计算机系统可以被编程。在因特网的例子中,软件组件或服务可以驻留跨网的多个不同的计算机系统1210或服务器1231-1235。例如,上述过程的实施例可以在一个或多个服务器上实施。服务器1231可以通过因特网1230、本地网络1220以及网络接口1204,将动作或消息从一个元件传输到计算机系统1210的元件。例如,软件组件和上述过程可以在任意计算机系统上实施并且跨网发送和/或接收信息。
如这里在说明书中所使用的并且贯穿后附的权利要求书,“一”、“一个”、“该”包括复数形式的引用,除非上下文另外清楚说明。同样,如这里在说明书中所使用的并且贯穿后附的权利要求书,“在...中”的意思包括“在...中”和“在...上”,除非上下文另外清楚说明。
上面的说明书描述了本发明的各种实施例以及如何实现本发明的各方面的例子。上述例子和实施例不应当被认为唯一的实施例,而是提供用于说明如后附权利要求所限定的本申请的灵活性和优点。基于上面的公开以及后附权利要求书,在不脱离由如权利要求所限定的本申请的范围条件下,可以采用其它配置、实施例、实施方式以及等效物。
Claims (20)
1.一种方法,包括:
在数据结构中将第一风险链接到账户组声明;
在数据结构中将第二风险链接到控制目标;
由计算设备准许通过所述账户组声明访问第一风险;
由计算设备准许通过所述控制目标访问第二风险;以及
由计算设备使用访问的第一风险和第二风险来执行风险管理。
2.如权利要求1所述的方法,还包括:
将第三风险链接到中央子过程;以及
准许通过所述中央子过程访问第三风险。
3.如权利要求1所述的方法,还包括:
将所述账户组声明链接到中央子过程,其中所述第一风险被继承到所述中央子过程。
4.如权利要求3所述的方法,其中,所述访问第一风险包括:
从所述中央子过程确定账户组声明的账户组;以及
使用所确定的账户组访问第一风险。
5.如权利要求2所述的方法,还包括:将所述控制目标链接到所述中央子过程,其中所述第二风险被继承到所述中央子过程。
6.如权利要求5所述的方法,其中,所述访问第二风险包括:
从所述中央子过程访问所述控制目标;以及
使用所确定的控制目标访问第二风险。
7.如权利要求2所述的方法,还包括:将所述中央子过程复制到组织,以创建本地子过程,其中该本地子过程从所述中央子过程继承第一风险和第二风险。
8.如权利要求7所述的方法,还包括:将链接中央子过程和本地子过程的链接存储在数据结构中。
9.如权利要求7所述的方法,还包括:
确定去除本地子过程中的第一风险或第二风险其中之一的请求;以及
存储表示已去除的第一风险或第二风险其中之一的信息。
10.如权利要求9所述的方法,其中,在本地子过程的风险管理中不评价第一风险或第二风险中已去除的一个。
11.如权利要求7所述的方法,还包括:
确定去除本地子过程中的控制目标或账户组声明的账户组其中之一的请求;以及
存储表示已去除的控制目标或账户组声明的账户组其中之一的信息,
其中,在本地子过程的风险管理中不评价控制目标或账户组声明的账户组中已去除的一个。
12.如权利要求1所述的方法,其中,执行风险管理包括:使用存储在数据结构中的第一风险和第二风险的数据执行风险评估。
13.如权利要求12所述的方法,还包括:
确定第一风险的第一控制和第二风险的第二控制;以及
使用第一控制和第二控制执行风险评价。
14.一种方法,包括:
上传多个账户组的资产负债表信息;
使用所上传的资产负债表信息从所述多个账户组中确定重要账户组,该重要账户组是基于阈值确定的;
从所述重要账户组中确定重要子过程;
由计算设备访问来自数据结构的重要子过程的风险,该风险是通过到该重要子过程的链接而访问的;
确定在数据结构中链接到该风险的控制;以及
评价该风险的控制。
15.如权利要求14所述的方法,其中,访问所述风险包括:
确定与所述风险关联的重要账户组的声明;以及
使用在数据结构中所述风险到所述声明的链接来访问所述风险。
16.如权利要求14所述的方法,其中,所述多个风险与所述重要子过程关联,所述方法还包括:
确定每个风险的风险影响;
确定每个风险的风险可能性;
基于每个风险的风险影响和风险可能性确定风险等级;
基于所确定的每个风险的风险等级,确定所述多个风险中的一组风险;以及
评价该组风险的控制。
17.如权利要求14所述的方法,其中,评价所述控制包括:
确定与所述风险关联的风险等级;以及
基于该风险等级,确定所述控制的证据等级。
18.如权利要求14所述的方法,还包括:
在数据结构中将风险链接到账户组声明;
在数据结构中将风险链接到控制目标;以及
将风险链接到中央子过程,
其中,使用到所述账户组声明、所述控制目标、所述中央子过程的链接执行访问所述风险。
19.如权利要求18所述的方法,还包括:
存储信息在已去除对象表中,该信息表示已将风险从链接到所述账户组声明、所述控制目标、所述中央子过程的风险中去除,
其中,不访问已去除的风险来评价控制。
20.一种包含用于控制计算机系统执行一种方法的指令的计算机可读存储介质,该方法包括:
在数据结构中将第一风险链接到账户组声明;
在数据结构中将第二风险链接到控制目标;
准许通过所述账户组声明访问第一风险;
准许通过所述控制目标访问第二风险;以及
使用访问的第一风险和第二风险来执行风险管理。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101407549A CN102214348A (zh) | 2010-04-07 | 2010-04-07 | 自上而下的基于风险的审计方法的数据管理 |
| US12/832,532 US9292808B2 (en) | 2010-04-07 | 2010-07-08 | Data management for top-down risk based audit approach |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101407549A CN102214348A (zh) | 2010-04-07 | 2010-04-07 | 自上而下的基于风险的审计方法的数据管理 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102214348A true CN102214348A (zh) | 2011-10-12 |
Family
ID=44745644
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010101407549A Pending CN102214348A (zh) | 2010-04-07 | 2010-04-07 | 自上而下的基于风险的审计方法的数据管理 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9292808B2 (zh) |
| CN (1) | CN102214348A (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8504412B1 (en) * | 2012-05-15 | 2013-08-06 | Sap Ag | Audit automation with survey and test plan |
| US10332215B2 (en) * | 2015-07-15 | 2019-06-25 | Caseware International Inc. | Method, software, and device for displaying a graph visualizing audit risk data |
| US20170140471A1 (en) * | 2015-11-16 | 2017-05-18 | Massachusetts Institute Of Technology | System and method for extracting and providing a measure of taxable income and audit likelihood |
| CN111507638B (zh) * | 2016-03-25 | 2024-03-05 | 创新先进技术有限公司 | 一种风险信息输出、风险信息构建方法及装置 |
| US10375120B2 (en) | 2017-05-12 | 2019-08-06 | Sap Se | Positionally-encoded string representations, including their use in machine learning and in security applications |
| US20210012255A1 (en) * | 2017-07-11 | 2021-01-14 | Huntington Ingalls Industries, Inc. | Concisely and efficiently rendering a user interface for disparate compliance subjects |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8005690B2 (en) * | 1998-09-25 | 2011-08-23 | Health Hero Network, Inc. | Dynamic modeling and scoring risk assessment |
| US20020062258A1 (en) * | 2000-05-18 | 2002-05-23 | Bailey Steven C. | Computer-implemented procurement of items using parametric searching |
| US6895383B2 (en) * | 2001-03-29 | 2005-05-17 | Accenture Sas | Overall risk in a system |
| US8527316B2 (en) * | 2001-04-02 | 2013-09-03 | John Cogliandro | System and method for risk adjusted strategic planning and phased decision management |
| US6772034B1 (en) * | 2001-07-12 | 2004-08-03 | Advanced Micro Devices, Inc. | System and software for data distribution in semiconductor manufacturing and method thereof |
| US7548935B2 (en) * | 2002-05-09 | 2009-06-16 | Robert Pecherer | Method of recursive objects for representing hierarchies in relational database systems |
| US20050108084A1 (en) * | 2003-08-08 | 2005-05-19 | Sridhar Ramamoorti | Methods and systems for valuing a business decision |
| US7904487B2 (en) * | 2003-10-09 | 2011-03-08 | Oracle International Corporation | Translating data access requests |
| US7305404B2 (en) * | 2003-10-21 | 2007-12-04 | United Parcel Service Of America, Inc. | Data structure and management system for a superset of relational databases |
| US7895448B1 (en) * | 2004-02-18 | 2011-02-22 | Symantec Corporation | Risk profiling |
| US7590589B2 (en) * | 2004-09-10 | 2009-09-15 | Hoffberg Steven M | Game theoretic prioritization scheme for mobile ad hoc networks permitting hierarchal deference |
| US7509275B2 (en) * | 2004-09-10 | 2009-03-24 | Chicago Mercantile Exchange Inc. | System and method for asymmetric offsets in a risk management system |
| US7549162B2 (en) * | 2004-12-06 | 2009-06-16 | At&T Intellectual Property I, L.P. | Methods of providing security for data distributions in a data network and related devices, networks, and computer program products |
| JP5247434B2 (ja) * | 2005-05-27 | 2013-07-24 | カム ルン レオン | リスクの評価及び提示のためのシステム及び方法 |
| US8234200B2 (en) * | 2005-06-29 | 2012-07-31 | Credit Suisse Securities (Usa) Llc | System and method for identifying accounting anomalies to help investors better assess investment risks and opportunities |
| US8326722B2 (en) * | 2005-08-08 | 2012-12-04 | Warp 11 Holdings, Llc | Estimating risk of a portfolio of financial investments |
| US7711636B2 (en) * | 2006-03-10 | 2010-05-04 | Experian Information Solutions, Inc. | Systems and methods for analyzing data |
| US7930228B1 (en) * | 2007-06-29 | 2011-04-19 | Hawkins Charles S | Promoting compliance by financial institutions with due diligence requirements |
| US7895111B2 (en) * | 2007-07-27 | 2011-02-22 | Hartford Fire Insurance Company | System and method for hedging dividend risk |
| US8036980B2 (en) * | 2007-10-24 | 2011-10-11 | Thomson Reuters Global Resources | Method and system of generating audit procedures and forms |
| US8050988B2 (en) * | 2007-10-24 | 2011-11-01 | Thomson Reuters Global Resources | Method and system of generating audit procedures and forms |
| US20100153146A1 (en) * | 2008-12-11 | 2010-06-17 | International Business Machines Corporation | Generating Generalized Risk Cohorts |
| US20090248465A1 (en) * | 2008-03-28 | 2009-10-01 | Fortent Americas Inc. | Assessment of risk associated with doing business with a party |
| US8566219B2 (en) * | 2009-03-24 | 2013-10-22 | Trading Technologeis International, Inc. | System and method for a risk check |
-
2010
- 2010-04-07 CN CN2010101407549A patent/CN102214348A/zh active Pending
- 2010-07-08 US US12/832,532 patent/US9292808B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US9292808B2 (en) | 2016-03-22 |
| US20110251930A1 (en) | 2011-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108932585B (zh) | 一种商户运营管理方法及其设备、存储介质、电子设备 | |
| US10735471B2 (en) | Method, apparatus, and computer-readable medium for data protection simulation and optimization in a computer network | |
| Lee et al. | Does TMT composition matter to environmental policy and firm performance? The role of organizational slack | |
| Soprano et al. | Measuring operational and reputational risk: A practitioner's approach | |
| CN109564668A (zh) | 电子抵押经纪和监控 | |
| JP2012504289A (ja) | オンラインビジネストランザクションデータを使用するローンアクセスの評価 | |
| CN111127178A (zh) | 数据处理方法与装置、存储介质、电子设备 | |
| CN102214348A (zh) | 自上而下的基于风险的审计方法的数据管理 | |
| US20190303608A1 (en) | Data Protection Recommendations Using Machine Learning Provided as a Service | |
| US9069904B1 (en) | Ranking runs of test scenarios based on number of different organizations executing a transaction | |
| CN109074436A (zh) | 在授权系统的存储器中授权规则的循环 | |
| CN107026848A (zh) | 业务授权方法及装置 | |
| US9104815B1 (en) | Ranking runs of test scenarios based on unessential executed test steps | |
| JP6049799B2 (ja) | 経営支援プログラム | |
| CN114066584B (zh) | 用于区块链的风险防控的方法及装置 | |
| US12106146B2 (en) | Quota request resolution on computing platform | |
| US11514187B1 (en) | Systems and methods for managing the processing of customer information within a global enterprise | |
| WO2024145287A1 (en) | Method of creating and managing residential net leases between the owners of the rental properties and the renters of the property | |
| Demir et al. | Institutional similarity, firm heterogeneity and export sophistication | |
| US10235719B2 (en) | Centralized GAAP approach for multidimensional accounting to reduce data volume and data reconciliation processing costs | |
| CN111353882A (zh) | 一种私有化部署的零售资产风控方法、装置及电子设备 | |
| US11494859B2 (en) | System and method for implementing customizable rules for associating legal entities or other attributes with applications and deployments | |
| de Bruijn et al. | Identifying the cost of security | |
| CN112199371B (zh) | 一种数据迁移方法、装置、计算机设备和存储介质 | |
| Ernandi et al. | Tax Avoidance in Indonesia: The Role of Executive Character and Capital Intensity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20111012 |