自上而下的基於風險的審計方法的數據管理的製作方法

2023-06-07 05:55:16 3

專利名稱：自上而下的基於風險的審計方法的數據管理的製作方法
技術領域：
本申請的特定實施例一般涉及用於風險管理的數據管理和處理。
背景技術：
存在很多公司必須遵守的法規。例如，「Auditing Standard No. 5，an Auditof Internal Control over Financial Reporting that is Integrated with an Audit ofFinancial Statements」(美國上市公司會計監督委員會，2007年)指出會計師對於財務報告內部控制的審計應採用自上而下的方法(top-downapproach)，以選擇進行測試的控制。自上而下的方法從財務報表級開始，並且通過審計師對整體風險的理解通過財務報告進行內部控制。接著審計師重點放在實體層面的控制，並逐步向下延伸到重要帳戶、信息披露及其相關聲明(assertion)。該方法引導審計員注意那些表現出對財務報表 (financialstatements)禾口相關的信息披露存在——定重大錯 艮(material misstatement) 可能性的帳戶、公開事項及聲明。然後，審計員對他或她對公司經營過程中的風險的理解進行核實，並選擇測試那些有能力處理已評估的對各個相關聲明的錯報風險的控制。在5號審計準則出臺之前，使用自下而上的方法(bottom-up approach)以進行審計。對於自下而上的方法，審計員首先考慮的是控制目標。因為首先訪問的(accessed)是控制目標，所以自下而上的方法的數據模型將風險設置為控制目標的屬性。這允許從控制目標訪問風險。然而，自上而下的方法並非先訪問控制目標，然後訪問風險。公司在遵循如5號審計準則之類的審計標準上的成本可能較高。公司希望在仍然遵守這些標準的同時能夠降低成本。但是，對於自上而下的方法，現有的數據模型可能無法為公司節省成本。

發明內容
特定實施例一般涉及提供風險管理。在一個實施例中，在數據結構中將第一風險連結到帳戶組聲明。在數據結構中將第二風險連結到控制目標。準許通過帳戶組聲明訪問第一風險。準許通過控制目標訪問第二風險。然後，使用訪問的第一風險和第二風險來執行風險管理。在一個實施例中，提供一種方法，包括在數據結構中將第一風險連結到帳戶組聲明；在數據結構中將第二風險連結到控制目標；由計算設備準許通過所述帳戶組聲明訪問第一風險；由計算設備準許通過所述控制目標訪問第二風險；以及由計算設備使用訪問的第一風險和第二風險來執行風險管理。在另一個實施例中，提供一種方法，包括上傳多個帳戶組的資產負債表信息；使用所上傳的資產負債表信息從所述多個帳戶組中確定重要帳戶組，該重要帳戶組是基於閾值確定的；從所述重要帳戶組中確定重要子過程；由計算設備訪問來自數據結構的重要子過程的風險，該風險是通過到該重要子過程的連結而訪問的；確定在數據結構中連結到該風險的控制；以及評價該風險的控制。
在另一個實施例中，提供一種包含用於控制計算機系統執行一種方法的指令的計算機可讀存儲介質。該方法包括在數據結構中將第一風險連結到帳戶組聲明；在數據結構中將第二風險連結到控制目標；準許通過所述帳戶組聲明訪問第一風險；準許通過所述控制目標訪問第二風險；以及使用訪問的第一風險和第二風險來執行風險管理。下面的具體說明和附圖提供對本申請的本質和優點更好的理解。


圖1示出了根據一個實施例的、用於提供自上而下的基於風險的審計方法的數據管理的簡化系統。圖2示出了根據一個實施例的、用於將數據存儲在資料庫中的數據模型。圖3示出了根據一個實施例的、具有兩級數據的數據模型的例子。圖4示出了根據一個實施例的、數據模型中的實體關係。圖5示出了根據一個實施例的、用於訪問數據的方法的簡化流程圖。圖6示出了根據一個實施例的、風險管理的總體過程的簡化流程圖。圖7示出了根據一個實施例的、用於風險建模的方法的簡化流程圖。圖8示出了根據一個實施例的、確定重要子過程的簡化流程圖。圖9示出了根據一個實施例的、評估風險的配置表的例子。圖10示出了根據一個實施例的、確定風險等級的例子。圖11示出了根據一個實施例的、可以用於確定證據等級的計算矩陣的例子。圖12示出了用於執行本申請的實施例的示例計算機系統。
具體實施例方式這裡所描述的是用於風險管理的技術。在下面的說明中，為了解釋的目的，闡述了許多例子和具體細節，以提供對本申請的實施例的全面理解。由權利要求所定義的特定實施例可以包括這些例子一些或全部特徵，或者與下面所描述的其它特徵組合，並且還可以包括這裡所描述的特徵和概念的修改和等效物。圖1示出了根據一個實施例的、用於提供自上而下的基於風險的審計方法的數據管理的簡化系統100。系統100包括計算設備101、風險管理應用102、資料庫104和客戶 106。應當理解，可以提供系統100中所示的任意數量的實體，諸如可以提供計算設備101、 風險管理應用102和資料庫104的多個實例。風險管理應用102可以是企業資源計劃(ERP)系統的一部分。風險管理應用102 可以用於執行對公司的審計。例如，可以使用風險管理應用102執行自上而下的基於風險的審計。而且，風險管理應用102可以用於管理存儲在資料庫104中的數據以及配合 (coordinate)審計活動。數據存儲在資料庫104中，以允許自上而下的基於風險的審計。如將更加詳細地描述的那樣，數據模型用於描述如何表示數據並且存儲在資料庫104中。應用102可以使用數據模型將數據存儲為結構化(structured)數據，以使得能夠使用風險管理應用102來執行自上而下的基於風險的審計。客戶106可以用來執行與自上而下的基於風險的審計過程相關的活動。例如，客戶106可以用於訪問或存儲數據。在一個實施例中，不同的客戶106可以是公司的不同組織的一部分。圖2示出了根據一個實施例的、用於將數據存儲在資料庫104中的數據模型200。 數據模型200被用來將數據以結構化形式存儲在資料庫104中。數據模型200可以對中央子過程(central sub-process) 202建模，該中央子過程202是過程204的一部分。過程 204可以是公司的業務過程。例如，該過程可以是付款(payment)過程。中央子過程202可以是過程204的一部分，諸如付款過程的現金支付 (disbursement)部分。中央子過程202可以是被公司的其它本地組織用於風險管理的模板。本地組織可以複製中央子過程202，然後定製用於風險管理的本地子過程。下面將更加詳細地描述這個概念。數據模型200被用來將對象存儲在資料庫104中。該對象可以被分類為風險206、 中央子過程202、控制208、帳戶組210、聲明212和控制目標214。例如，當討論風險206時， 這是一個這樣的對象其包括存儲在資料庫104中的用於風險的信息(例如，姓名、描述、風險等級、風險可能性以及風險所有者)。術語風險206和風險對象可以互換地使用。例如， 當使用風險206時，這可以是指包括文本的對象，該文本描述風險被分類為風險。基於數據模型200將對象存儲在資料庫104中。應用102可以確定用於對象的上下文，該上下文將該對象標識為例如風險。然後，以基於數據模型200確定的適當關係將對象存儲在資料庫104中。例如，當對象存儲在資料庫104中時，基於數據模型200存儲該對象對另一對象的關係。這給了數據一個結構。例如，當存儲了用於控制目標214和風險 206a的對象時，數據模型200用於確定應當存儲的對象之間的關係。如下面將更加詳細描述的那樣，所述關係可以基於被存儲在關係表中的對象的密鑰和標識符。然後，這些關係被用來訪問資料庫104中的對象，以執行自上而下的風險管理。特定實施例提供了通過中央子過程202對風險206的訪問。可以將風險指定為公司的這樣一個區域在該區域中，可能存在與正在審計的財務報表中的聲明相關的重大錯報。聲明或者財務報表聲明是財務報表中的多條信息。在較寬層面上，這些聲明是總負債、 資產、收入和利潤。但是，聲明可以更加詳細。數據模型200對風險206與中央子過程202 之間的關係建模。例如，風險可以是將付款支付給錯誤的人。可以通過描述該風險的文本來創建對象。可以將該對象作為風險206b存儲在資料庫104中。然後，可以基於數據模型 200將關係存儲在資料庫104中。例如，對象接著可以連結到中央子過程202。在一個例子中，連結可以經由使用關係表中對象的風險ID和中央子過程的子過程ID的外鍵(foreign key)。關係表可以存儲不同表的數據之間的連結。該連結可以通過將風險ID和子過程ID 與外鍵關聯來形成。當經由子過程對象訪問風險對象時，可以確定子過程ID並且經由外鍵確定到風險ID的連結。然後使用風險ID訪問風險對象。這支持風險206b到中央子過程 202的直接分配。控制208可以是創建用於管理風險的控制。例如，可以提供被執行用於控制風險的活動。控制208也可以連結到與中央子過程202關聯的風險206。例如，控制可以是用於付款支付的密碼或地址驗證。用於該控制208的文本可以存儲在對象中。然後，可以基於數據模型200將關係存儲在資料庫104中。例如，控制對象被連結到風險對象。在評價風險時，可以訪問並評價與風險206a-206c關聯的控制208。下面將對該過程進行更加詳細的描述。控制目標214是控制208需要滿足的目標。可以將風險206a連結到控制目標214。 例如，控制目標可以是描述控制的目標的文本。該文本可以存儲在控制目標對象(control objective object)中。然後，可以通過對風險對象的關係將控制目標對象存儲在資料庫 104中。例如，連結可以經由使用關係表中控制目標對象的控制目標ID和風險對象的風險 ID的外鍵。然後，可以將控制目標對象連結到中央子過程202。例如，該連結可以經由使用控制目標對象的控制目標ID和中央子過程的子過程ID的外鍵。在此情況下，子過程ID可以被用來訪問與風險ID關聯的風險對象。然後，風險206a可以被繼承到(inherited to)中央子過程202。例如，可以通過訪問來自中央子過程202的控制目標214來訪問風險206a。然後，可以從控制目標 214訪問風險206a。上述過程支持對信息和相關技術的控制目標(control objectives for information and related technology, COB IT)以及發起組織委員會(committee of sponsoring organizations, C0S0)實踐。帳戶組210可以是屬於一個帳戶一覽表(one chart of accounts)的數個帳戶。 例如，所述帳戶可以是不同的財務帳戶。聲明212被連結到帳戶組210。風險206c被連結到帳戶組聲明212。例如，帳戶組聲明對象在關係表中被連結到風險對象。然後，聲明對象被連結到中央子過程202。帳戶組聲明對象是帳戶組210的一部分，因此帳戶組對象首先與風險對象連結。在一個例子中，連結可以經由使用從帳戶組210 到風險206c的風險ID的對象密鑰的外鍵。然後，聲明212在關係表中經由帳戶組210被連結到風險206c。例如，帳戶組聲明212可以經由外鍵被連結到中央子過程202，該外鍵將來自包括聲明212的帳戶組210的對象密鑰與中央子過程202的子過程ID連結。然後，風險 206c可以被繼承到中央子過程202。繼承的意思是風險206c可以通過中央子過程202來訪問。例如，從中央子過程202訪問帳戶組210。然後，可以從帳戶組210訪問風險206c。因此，數據模型200支持三種類型的到中央子過程202的風險分配。可以從中央子過程202訪問來自三個不同風險源的風險。數據模型200可以支持兩級數據。例如，可以支持中央對象和本地對象。中央對象可以用於對象的中央建模(central modeling)，並且用作創建本地對象的模板，該本地對象是組織專用的(organization specific)。圖3示出了根據一個實施例的、具有兩級數據的數據模型200的例子。數據模型200包括中央對象302，所述中央對象302被中央建模並且被用作複製本地對象304的模板。可以經由中央對象302到本地組織單元(organization unit，Orgunit)306的分配來創建本地對象304。本地對象304代表真實世界數據模型。例如，中央對象302提供可以被公司的不同orgunit 306使用的模板。每個不同的orgunit 306都可以定製本地對象。當發生中央子過程202到orgunit 306的分配時，執行中央子過程202和中央控制208的數據模型的複製，以創建相應的本地子過程308和本地控制310。在複製中央子過程202的數據模型時，數據模型200的模板被傳播到本地子過程308。也就是，中央子過程202的建模的風險206可以被繼承到本地子過程308。通過將中央子過程202與本地子過程308之間的關係存儲在關係表中來提供所述繼承。例如，該關係表可以經由使用中央子過程ID和本地子過程ID的外鍵。然後，可以經由該連結為本地子過程308找到(found)來自中央子過程202的任意繼承的風險206。然後，orgimit 306可以使用數據模型200來對它們的組織的數據進行建模。例如，可以由orgunit 306調整連結到中央子過程202的風險206。在一個例子中，可以從本地子過程308中去除不必要的風險。在一個實施例中，已去除的風險的列表被存儲在已去除對象表312中。例如，已去除的風險206的風險ID被存儲在已去除對象表312中，以指示對本地子過程308來說已經去除的風險。而且，如果風險206是從中央子過程202之外的對象(例如，控制目標、帳戶組/聲明)繼承而來，則也存儲該對象的ID，諸如控制目標 ID或帳戶組ID/聲明ID。因此，本地子過程308的風險總體上是來自中央子過程202的繼承的風險206減去本地已去除的風險206。從而，支持對本地子過程308的風險206的中央控制，並且每個子過程308可以自由且靈活地去除不必要的風險。而且，當風險206被中央添加時，它們可以被自動地分配到本地子過程308。特定實施例也允許去除帳戶組210和控制目標214。當控制目標214或帳戶組210 被本地去除時，已去除的控制目標ID、或帳戶組ID/聲明ID被存儲在已去除對象表312中， 以指示已經為本地子過程308將它們去除。另外，風險映射表可以存儲本地控制風險映射。例如，如果用戶想要在更加詳細的等級上分配風險206，則本地控制310可以與風險206連結。可以對風險206進行約束，以便能夠從當前本地子過程308看到它。在一個實施例中，只允許來自本地子過程308的風險 206連結到該本地子過程308下的控制208。控制208能夠連結到來自本地子過程308的所有類型的風險206。這掩護了(cover)本地子過程308中的風險並且使其減輕(mitigate)。圖4示出了根據一個實施例的、數據模型200中的實體關係400。數據模型200的目的是對風險206與中央子過程202/控制208之間的關係建模。而且，數據模型200支持對來自不同風險源的中央子過程202/控制208的風險206進行標識(identify)。然後，可以評估(assess)來自不同的orgunit 306處的不同風險源的風險206。基於所評估的本地子過程308和控制208的風險等級，執行根據風險等級的評價和測試，如下面將更加詳細描述的。圖4中所示的實體關係示出了數據模型200中各種對象的連結。這些連結允許數據對象在資料庫104中存儲的數據結構中連結。關係表402存儲在資料庫104中並且用於確定數據模型200中對象之間的連結。例如，中央子過程202可以通過中央子過程ID和本地子過程ID與本地子過程308連結。而且，帳戶組210可以通過對象密鑰、帳戶組ID/聲明ID和orgunit ID與orgunit 306連結。中央控制208可以通過中央控制ID和本地控制ID與本地控制310連結。控制目標214、帳戶組210和本地子過程308可以通過風險ID、 對象密鑰以及帳戶組210、控制目標214和本地子過程308的相應ID連結到風險206。已去除對象表312也存儲已去除控制目標的ID、已去除帳戶組的ID、已去除聲明的ID和本地子過程的已去除風險的ID。下面將描述數據模型200的使用。圖5示出了根據一個實施例的、用於訪問數據的方法的簡化流程圖500。在502處，第一風險206c在數據模型200中被連結到帳戶組聲明。在504處，第二風險206a在數據模型200中被連結到控制目標214。在506處，第三風險206b在數據模型200中被連結到中央子過程202。在508處，準許通過帳戶組聲明212對第一風險206c的訪問。例如，利用通過中央子過程202訪問帳戶組210來訪問第一風險206c。然後，通過帳戶組210訪問第一風險 206c。在510處，準許通過控制目標214對第二風險206a的訪問。例如，從中央子過程202 訪問控制目標214。然後，通過控制目標214訪問第二風險206a。在512處，準許通過中央子過程202對第三風險206b的訪問。可以訪問上述風險206a-206c以執行風險管理，下面將對其更加詳細地進行描述。圖6示出了根據一個實施例的、風險管理的總體過程的簡化流程圖。在602處，執行風險建模。風險建模包括設置將用於存儲資料庫104中所存儲的數據結構中的數據的關係。圖7示出了根據一個實施例的、用於風險建模的方法的簡化流程圖700。在702處，中央子過程202可以通過包括上面關於圖2和圖3所描述的關係的對象來建模。在704處， 中央子過程202被複製到orgunit 306的本地子過程308。在706處，保持(hold)中央子過程202與本地子過程308之間的關係。例如，可以將連結存儲在關係表402中。在708處，接收輸入以去除風險206、帳戶組210或控制目標214。在708處，信息存儲在已去除對象表312中，該表312關於風險206、帳戶組210或控制目標214中的哪些被去除。因此，對本地子過程308的繼承風險的總數是對中央子過程202建模的風險206 減去已去除風險206。返回參照圖6，在604處，風險管理應用102確定重要的本地子過程308。可以不執行所有風險206的評價/測試。而是，可以通過確定重要的本地子過程308、然後評價與重要本地子過程308關聯的一組關鍵風險206，來確定特定的重要風險206。下面的方法使用自上而下的風險管理方法。圖8示出了根據一個實施例的、確定重要本地子過程308的簡化流程圖800。在802處，風險管理應用102分析合併資產負債表(consolidated balance sheet)，以確定關鍵帳戶/重要合併(consolidated)帳戶。該合併資產負債表可以是整個公司的資產負債表(即，所有orgunit 306的合併資產負債表)。在這種情況下，可以從資料庫104上傳帳戶組結餘(balance)。在一個例子中，風險管理應用102可以將帳戶欄位 (主要是帳戶組ID、姓名、orgunit、結餘)與源系統(例如，帳務系統)中的欄位映射，然後直接從源系統檢索數據。然後，數據被映射到數據格式並存儲在應用表中。在上傳了帳戶組結餘之後，在804處，風險管理應用102確定重要帳戶組210。例如，閾值可以存儲在風險管理應用102中，並且用於確定重要帳戶組。在一個例子中，將所上傳的每個帳戶組210的結餘與閾值相比較。如果結餘大於該閾值，則該帳戶被設為重要帳戶。可以隨時調整閾值。例如，可以在審計時將閾值調整為低於中央規定的(centrally specified)閾值的值，向上調整以匹配通貨膨脹，調整為公司的審計委員會規定的值，等等。可替換地，用戶可以設置指示帳戶組210是重要帳戶組的標記。在806處，風險管理應用102確定標識為重要的本地子過程308。所確定的本地子過程308可以基於數據模型200中的父子關係來自動確定。也就是說，作為重要帳戶組 210的父類的本地子過程308被確定為重要。返回參照圖6，在606處，接著通過重要本地子過程308執行風險評估。可以在計劃好的日期自動觸發風險評估。對風險206a、206b和206c執行風險評估。對於數據模型 200來說，可以從帳戶組210訪問風險206c，可以從控制目標214訪問風險206a，可以直接訪問分配給本地子過程308的風險206b。風險評估基於評估將不同值分配給風險。該評估可以基於用戶輸入(例如，來自調差結果(survey))或者被自動地確定。
在一個實施例中，對重要帳戶組210的聲明進行評估。對於要執行的評估，需要從資料庫104訪問與這些聲明關聯的風險。例如，使用從重要帳戶組210到風險206c的連結來訪問與重要帳戶組210的聲明關聯的風險206c。在一個實施例中，可以保持配置表以評估風險。圖9示出了根據一個實施例的、配置表的例子。可以使用風險等級來評估該風險。風險等級可以不同於用戶所配置的等級。 風險等級指的是風險的嚴重性(severity)等級，並且對應於定義的風險等級，諸如H(高)、 M(中等)或L(低)。也可以使用其它風險等級。風險影響(impact) 902與風險可能性904的組合對應於定義的風險等級906。可以使用計算矩陣來確定基於風險影響和風險可能性的風險等級。例如，圖10示出了根據一個實施例的、確定風險等級的例子。示出了風險影響902的值。可以提供1-5級，但是也可以使用其它等級。可以由影響等級文本和影響縮減(impact reduction)來定義所述等級。 影響等級文本是影響的等級的描述。同樣，影響縮減是被用來降低風險的努力的等級。風險可能性904是風險發生的概率。可以提供1-5級，但是也可以使用其它等級。 風險影響902和風險可能性904可以由用戶定義，或者可以被自動地確定。在一個實施例中，可以將調查結果發送給用戶，以評估風險影響902和風險可能性904。在調查結果中，用戶可以用不同的值來評級(rate)風險影響902和風險可能性904。然後，使用計算矩陣1002確定風險等級906。計算矩陣1002從風險影響902和風險可能性904中取值並且確定風險等級906。例如，值為2的風險可能性和值為3的風險影響得到中等風險等級。從計算矩陣1002，可以看出不同的風險等級906可以被確定。例如，風險等級906可以用高、低、中等、非常高和非常低這些風險等級來描述。所計算的風險等級906可以被計算並顯示給用戶。還可以顯示風險等級顏色以指示等級。同樣，用戶可以選擇重寫該計算或接受它。返回參照圖9，可以保持風險影響902、風險可能性904和風險等級906的不同值。 可以存儲從對風險影響902、風險可能性904和風險等級906的風險評估接收的數據。例如，可以分別用影響ID、可能性ID和風險等級ID來標識各個風險影響對象、風險可能性對象和風險等級。對於為本地子過程308評估的每個風險，每個風險的子過程ID、影響ID、可能性ID和風險等級ID被存儲在風險評估結果表908中。如果由多個用戶或多次執行風險評估，則可以配置可以存儲哪個結果，諸如最差風險等級的結果或者加權結果。風險因子(factor) RRi表910是用戶用來登記他/她自己的因子定義。用戶可以為風險因子1創建他/她自己的表912，並將其登記到風險因子RRi表910中。風險因子1 是能夠用於描述風險/評估風險等級的客戶定義的因子。在運行時，該因子被視為與諸如風險影響902之類一樣的因子，但是它對決定風險等級沒有幫助。在評估風險之後，基於它們的風險等級來確定關鍵風險。例如，被評為(rated as) 高風險級(例如，非常高、高或中等)的風險可以被視為關鍵的，而評為低風險級(例如，非常低或低)的風險可以被視為不關鍵的。然後評為關鍵的風險被評價和測試。有關風險子過程308的風險等級被用作選擇準則，供用戶選擇子過程來計劃評價 /測試活動。例如，某一用戶站點上的業務規則可以只關心高風險子過程和中等風險子過程。然後公司就可以選擇評價用於高風險和中等風險子過程308的控制。這樣，審計員能夠關注於高風險並且可能導致重大弱點(material weakness)的重要子過程和控制。這使
10得審計員效率更高且有效，並且能夠節省公司每項審計的成本。返回參照圖6，在610處，在確定關鍵風險206之後，風險管理應用102執行風險評價/測試。出於討論的目的，術語「評價」被使用，並且可以包括評價和/或測試。在評價中，評價與確定為關鍵的風險206關聯的控制。例如，風險206在數據模型200中與控制關聯。這些控制可以被訪問和評價以確定它們是否有效。可以使用證據(evidence)等級來開發對控制的評價/測試策略。基於風險等級和控制風險等級的計算來確定證據等級。證據等級可以是需要示出以滿足該控制的證據的數量。在一個例子中，關於財務交易的控制可以是由該交易中產生的接收(receipt)或確認(confirmation)。證據等級是收據或確認書的存在。可以使用風險等級906作為用以確定證據等級的計算的一部分。還使用控制風險等級，並且如果控制208用於減輕/掩護風險206，則控制風險等級可以是風險等級。圖11示出了根據一個實施例的、可以用於確定證據等級的計算矩陣1100的例子。 在1102欄中，示出了風險等級906。而且，在1104行中，示出了控制風險等級。這兩級的交集提供了證據等級。在一個例子中，等級1表示不需要測試；等級2表示應當使用自我評估作為測試策略；而等級3表示應當使用直接測試作為測試策略。自我評估測試策略可以是各個用戶評估控制。直接測試可以是在公司創建測試的時候。自我評估和直接測試是工作流驅動的過程，用於評估或測試特定控制208、本地子過程308和orgimit 306以及驗證它們的發布。然後，使用證據等級創建評價控制的測試。當創建了測試時，該控制可以由審計員來評價。由此，已經提供了由數據模型200支持的自上而下的方法。例如，風險連結到控制目標214、本地子過程308和帳戶組210。可以從這些實體訪問風險，並且用於風險管理。自上而下的方法要求訪問來自不同風險源的風險206，而數據模型200方便了該訪問。圖12示出了用於實現本發明的實施例的硬體。在圖12中示出了示例計算機系統 1210。計算機系統1210包括總線1205或用於通信信息的其它通信機制，以及耦接到總線 1205用於處理信息的一個或多個處理器1201。計算機系統1210還包括存儲器1202，其耦接到總線1205用於存儲要由處理器1201執行的信息和指令，包括用於執行例如上述技術的信息和指令。該存儲器也可以用於在執行將由處理器1201執行的指令期間存儲變量或其它中間信息。該存儲器的可能實現方式可以是、但不局限於隨機存取存儲器(RAM)、只讀存儲器(ROM)或全部兩者。還提供機器(計算機)可讀存儲設備1203用於存儲信息和指令。存儲設備的常規形式包括例如非瞬時電磁介質，諸如硬碟、磁碟、光碟、CD-ROM、DVD、快閃記憶體、USB存儲卡或者計算機可以讀取的任何其它介質。存儲設備1203可以包括用於執行例如上述技術的原始碼、二進位代碼或者軟體文件。存儲設備1203和存儲器1202都是計算機可讀介質的例子。計算機系統1210可以經由總線1205耦接到顯示器1212，諸如陰極射線管(CRT) 或液晶顯示器(IXD)，用於將信息顯示給計算機用戶。諸如鍵盤和/或滑鼠的輸入設備1211 耦接到總線1205，用於將信息和命令選擇從用戶通信到處理器1201。這些元件的組合允許用戶與系統通信。在一些系統中，總線1205可以分為多個專用總線。計算機系統1210還包括與總線1205耦接的網絡接口 1204。例如，網絡接口 1204可以提供計算機系統1210與本地網絡1220之間的雙向數據通信。例如，網絡接口 1204可以是數字用戶線(DSL)或數據機，用於提供通過電話線的數據通信連接。網絡接口的另一個例子是區域網(LAN)卡，以提供到兼容LAN的數據通信連接。無線連結是另一個例子。在任意一個這樣的實現方式中，網絡接口 1204都發送和接收電信號、電磁信號或光信號，其攜載表示各種類型信息的數字數據流。計算機系統1210可以通過跨本地網絡1220、乙太網或網際網路1230的網絡接口 1204發送和接收信息，包括消息或其它接口動作。對於本地網絡，計算機系統1210可以與多個其它計算機機器通信，諸如伺服器1215。因此，可以通過這裡所描述的過程對計算機系統1210以及由伺服器1215所代表的伺服器計算機系統可以被編程。在網際網路的例子中， 軟體組件或服務可以駐留跨網的多個不同的計算機系統1210或伺服器1231-1235。例如， 上述過程的實施例可以在一個或多個伺服器上實施。伺服器1231可以通過網際網路1230、 本地網絡1220以及網絡接口 1204，將動作或消息從一個元件傳輸到計算機系統1210的元件。例如，軟體組件和上述過程可以在任意計算機系統上實施並且跨網發送和/或接收信肩、ο如這裡在說明書中所使用的並且貫穿後附的權利要求書，「一」、「一個」、「該」包括複數形式的引用，除非上下文另外清楚說明。同樣，如這裡在說明書中所使用的並且貫穿後附的權利要求書，「在...中」的意思包括「在...中」和「在...上」，除非上下文另外清楚說明。上面的說明書描述了本發明的各種實施例以及如何實現本發明的各方面的例子。 上述例子和實施例不應當被認為唯一的實施例，而是提供用於說明如後附權利要求所限定的本申請的靈活性和優點。基於上面的公開以及後附權利要求書，在不脫離由如權利要求所限定的本申請的範圍條件下，可以採用其它配置、實施例、實施方式以及等效物。
權利要求
1.一種方法，包括在數據結構中將第一風險連結到帳戶組聲明； 在數據結構中將第二風險連結到控制目標； 由計算設備準許通過所述帳戶組聲明訪問第一風險； 由計算設備準許通過所述控制目標訪問第二風險；以及由計算設備使用訪問的第一風險和第二風險來執行風險管理。
2.如權利要求1所述的方法，還包括 將第三風險連結到中央子過程；以及準許通過所述中央子過程訪問第三風險。
3.如權利要求1所述的方法，還包括將所述帳戶組聲明連結到中央子過程，其中所述第一風險被繼承到所述中央子過程。
4.如權利要求3所述的方法，其中，所述訪問第一風險包括 從所述中央子過程確定帳戶組聲明的帳戶組；以及使用所確定的帳戶組訪問第一風險。
5.如權利要求2所述的方法，還包括將所述控制目標連結到所述中央子過程，其中所述第二風險被繼承到所述中央子過程。
6.如權利要求5所述的方法，其中，所述訪問第二風險包括 從所述中央子過程訪問所述控制目標；以及使用所確定的控制目標訪問第二風險。
7.如權利要求2所述的方法，還包括將所述中央子過程複製到組織，以創建本地子過程，其中該本地子過程從所述中央子過程繼承第一風險和第二風險。
8.如權利要求7所述的方法，還包括將連結中央子過程和本地子過程的連結存儲在數據結構中。
9.如權利要求7所述的方法，還包括確定去除本地子過程中的第一風險或第二風險其中之一的請求；以及存儲表示已去除的第一風險或第二風險其中之一的信息。
10.如權利要求9所述的方法，其中，在本地子過程的風險管理中不評價第一風險或第二風險中已去除的一個。
11.如權利要求7所述的方法，還包括確定去除本地子過程中的控制目標或帳戶組聲明的帳戶組其中之一的請求；以及存儲表示已去除的控制目標或帳戶組聲明的帳戶組其中之一的信息， 其中，在本地子過程的風險管理中不評價控制目標或帳戶組聲明的帳戶組中已去除的一個。
12.如權利要求1所述的方法，其中，執行風險管理包括使用存儲在數據結構中的第一風險和第二風險的數據執行風險評估。
13.如權利要求12所述的方法，還包括確定第一風險的第一控制和第二風險的第二控制；以及使用第一控制和第二控制執行風險評價。
14.一種方法，包括上傳多個帳戶組的資產負債表信息；使用所上傳的資產負債表信息從所述多個帳戶組中確定重要帳戶組，該重要帳戶組是基於閾值確定的；從所述重要帳戶組中確定重要子過程；由計算設備訪問來自數據結構的重要子過程的風險，該風險是通過到該重要子過程的連結而訪問的；確定在數據結構中連結到該風險的控制；以及評價該風險的控制。
15.如權利要求14所述的方法，其中，訪問所述風險包括 確定與所述風險關聯的重要帳戶組的聲明；以及使用在數據結構中所述風險到所述聲明的連結來訪問所述風險。
16.如權利要求14所述的方法，其中，所述多個風險與所述重要子過程關聯，所述方法還包括確定每個風險的風險影響； 確定每個風險的風險可能性；基於每個風險的風險影響和風險可能性確定風險等級；基於所確定的每個風險的風險等級，確定所述多個風險中的一組風險；以及評價該組風險的控制。
17.如權利要求14所述的方法，其中，評價所述控制包括 確定與所述風險關聯的風險等級；以及基於該風險等級，確定所述控制的證據等級。
18.如權利要求14所述的方法，還包括 在數據結構中將風險連結到帳戶組聲明； 在數據結構中將風險連結到控制目標；以及將風險連結到中央子過程，其中，使用到所述帳戶組聲明、所述控制目標、所述中央子過程的連結執行訪問所述風險。
19.如權利要求18所述的方法，還包括存儲信息在已去除對象表中，該信息表示已將風險從連結到所述帳戶組聲明、所述控制目標、所述中央子過程的風險中去除， 其中，不訪問已去除的風險來評價控制。
20.一種包含用於控制計算機系統執行一種方法的指令的計算機可讀存儲介質，該方法包括在數據結構中將第一風險連結到帳戶組聲明； 在數據結構中將第二風險連結到控制目標； 準許通過所述帳戶組聲明訪問第一風險； 準許通過所述控制目標訪問第二風險；以及使用訪問的第一風險和第二風險來執行風險管理。
全文摘要
本申請的特定實施例一般涉及提供風險管理。在一個實施例中，在數據結構中將第一風險連結到帳戶組聲明。在數據結構中將第二風險連結到控制目標。準許通過帳戶組聲明訪問第一風險。準許通過控制目標訪問第二風險。然後，使用訪問的第一風險和第二風險來執行風險管理。
文檔編號G06Q40/00GK102214348SQ20101014075
公開日2011年10月12日 申請日期2010年4月7日 優先權日2010年4月7日
發明者丘志鶴, 餘海洋, 周冬華, 曾英, 胡正, 蔡富源, 趙興, 阿格尼絲·迪馬於加, 馬丁·奧薩格 申請人:Sap股份公司