一种风险评估预警方法、系统及装置与流程

1.本发明涉及企业内部风险管理技术领域，具体为一种风险评估预警方法、系统及装置。


背景技术：

2.市场经济条件下，企业作为独立的市场主体，时刻面临着激烈的市场竞争和复杂多变的生存环境变化，加上企业内部的一些原因，就构成了企业要面临各种风险的生存困境。随着市场变化不确定性的增加、企业业务规模的日渐庞大及部门机构的日趋复杂，企业管理者愈发认识到了做好风险内控对当下企业的紧迫性和重要性，因此在风险、内控、合规等方面提出了更高、更严谨的的管理要求。但是在实际执行过程中却仍存在如下问题：1、落地执行难——传统风控与实际业务关联性低，传统风控体系还是采用粗犷的方式实现，例如excel、word等传统文档方式，与实际业务场景关联性低，风控体系落地执行往往缺乏有效而统一的工具。
3.2、动态监控难——缺乏系统集成，难以事前预警传统方式下，因为各系统数据都是信息孤岛，难以获取和监控，所以只能靠人为发现问题后上报，难以实现风险的事先预警。
4.3、体系监管难——缺乏平台，管理过程难以沉淀，风控体系涉及全组织各层级，缺乏统一的风控平台，风险的识别、上报、处置、整改的闭环管理过程，进度、质量难以监管。
5.综上所示，需要一种方案以解决以上问题。


技术实现要素：

6.本发明的目的在于提供一种风险评估预警方法、系统及装置，通过将信息技术整合、镶嵌至内部合规体系中，从而能够推进企业风险内控在线化管理，加强集团各部门间的管控和风险防控力度，有助于关注风险落地、强调监督跟踪、形成管理闭环。
7.为实现上述目的，本发明提供如下技术方案：一种风险评估预警方法，包括如下步骤：获取第一风险数据和第二风险数据，第一风险数据获取自可编辑的高管问卷填报系统，第二风险数据获取自可编辑的各部门风险填报系统；构建第一风险水平等级值计算模型，包括：根据第一风险数据计算所有高管对每个流程的第一风险发生可能性得分；根据第一风险数据计算所有高管对每个流程的第一风险影响大小得分；根据第一风险发生可能性得分和第一风险影响大小得分计算第一总体风险水平得分；根据第一总体风险水平得分划分第一风险水平等级值；构建第二风险水平等级值计算模型，包括：按照财务风险评估和非财务风险评估两个维度划分第二风险数据中每个流程所
包含的风险点数据；根据财务风险评估中的细分维度分别获取每个流程中的风险点得分；计算每个流程中的风险点得分的平均值并对其进行四舍五入求整处理得到财务影响总体得分；根据非财务风险评估中的细分维度分别获取每个流程中的风险点得分，其取值为1-5的自然数，数值越大则风险越大；根据每个风险点在财务风险评估细分维度下的得分和非财务风险评估细分维度下的得分确定第二风险影响大小得分；根据预设风险发生规则确定每个风险点的第二风险发生可能性得分；根据第二风险发生可能性得分和第二风险影响大小得分计算第二总体风险水平得分；根据第二总体风险水平得分划分第二风险水平等级值；根据第一风险水平等级值判断是否调整第二风险水平等级值，若是，则重新计算第二风险水平等级值并将其作为内控梳理的输入数据，若否，则根据第二风险水平等级值进行内控梳理，生成风险矩阵；对风险矩阵中的风险数据进行穿行测试，并判断是否有异常；在穿行测试结果无异常的条件下，对风险矩阵中的风险数据进行抽样测试，并判断是否有异常，在穿行测试或抽样测试结果有异常的条件下，根据异常结果生成整改请求并记录整改过程。
8.进一步地，第一风险发生可能性得分的计算公式为：pj=∑p
i，j
/n，i=1、2、3
……
n；p
i，j
表示编号为i的高管对编号为j的流程的第一风险发生可能性得分，其取值为1-5的自然数，数值越大则可能性越大；第一风险影响大小得分的计算公式为：nj=∑n
i，j
/n，i=1、2、3
……
n；n
i，j
表示编号为i的高管对编号为j的流程的第一风险影响大小得分，其取值为1-5的自然数，数值越大则影响越大；第一总体风险水平得分的计算公式为：qj=pj×
nj；qj表示编号为j的流程的第一总体风险水平得分；根据第一总体风险水平得分划分第一风险水平等级值的划分标准为：第一总体风险水平得分满足：1≤第一总体风险水平得分＜8，则第一风险水平等级值为低风险，第一总体风险水平得分满足：8≤第一总体风险水平得分＜16，则第一风险水平等级值为中风险，第一总体风险水平得分满足：16≤第一总体风险水平得分≤25，则第一风险水平等级值为高风险；风险点得分的平均值的计算公式为：w
财，j
=∑f
j，p，q
/k，q=1、2
……
k；f
j，p，q
表示编号为j的流程中编号为p的风险点在编号为q的细分维度下的得分；第二风险影响大小得分的确定依据为：若最大值出现次数小于设定值，则第二风
险影响大小得分取前述得分中的最大值，若最大值出现次数不小于设定值，则判断最大值是否存在5分，若最大值存在5分，则第二风险影响大小得分为5分，若最大值不存在5分，则判断最大值是否不超过2分，若最大值不超过2分，则第二风险影响大小得分为最大值，若最大值超过2份，则第二风险影响大小得分为最大值+1；第二总体风险水平得分的计算公式为：q
j’=i
j’×
p
j’；i
j’表示各部门对编号为j的风险点的第二风险影响大小得分，p
j’表示各部门对编号为j的风险点的第二风险发生可能性得分；根据第二总体风险水平得分划分第二风险水平等级值的划分标准为：若q
j’≥15，则第二风险水平等级值为高风险，若q
j’＜5，则第二风险水平等级值为低风险，若5≤q
j’＜15，则第二风险水平等级值为中风险。
9.进一步地，风险矩阵包括如下项目：流程、控制概述、风险编号、第二风险水平等级值、控制编号、控制点主责部门、控制点主责岗位、控制描述、获取信息处理目标、控制触发类型、发生频率、是否预防性控制/检查性控制、是否关键控制；若第二风险水平等级值为高风险则是否关键控制一项为“是”，若否，则为“否”。
10.进一步地，对风险矩阵中的风险数据进行穿行测试，并判断是否有异常包括：根据风险矩阵中的项目生成测试数据清单和测试步骤清单；判断是否获取到测试数据清单中所列的测试数据，若获取到测试数据，则抽取测试数据中的部分测试数据与第二预设数据进行比对，若比对通过则生成穿行测试结果为“无异常”，若比对未通过则生成穿行测试结果为“有异常”，若未获取到测试数据，则生成穿行测试结果为“有异常”。
11.进一步地，对风险矩阵的风险数据进行抽样测试包括：在穿行测试无异常的情况下，选择风险矩阵中是否关键控制一项为“是”的风险数据作为抽样测试对象；根据抽样测试对象的样本总量和预设的抽样规则确定抽样样本；根据预设需求生成测试步骤清单；按照测试步骤清单中的步骤将每个抽样样本分别与第二预设数据进行比对，若测试步骤全部通过则该抽样样本的抽样测试结果为“无异常”，若否，则为“有异常”。
12.进一步地，根据抽样测试对象的样本总量和预设的抽样规则确定抽样样本，包括：根据预设的抽样规则确定抽取样本的最大响应变量和最小响应变量以及标准响应变量；基于最大响应变量和最小响应变量以及标准响应变量，获取三者各自的信赖度；获取经由预设的抽样规则抽样后的参考样本数据；检测参考样本数据中的偏态向量和稳态向量；根据最大响应变量和最小响应变量以及标准响应变量和三者各自的信赖度以及参考样本数据中的偏态向量和稳态向量计算出抽样规则对于抽取样本的信赖过度风险系数：
；其中，α表示为抽样规则对于抽取样本的信赖过度风险系数，e表示为自然常数，取值为2.72，t2表示为在抽样规则下抽取样本的最大响应变量，t1表示为在抽样规则下抽取样本的最小响应变量，t3表示为在抽样规则下抽取样本的标准响应变量，q2表示为在抽样规则下抽取样本的最大响应变量对应的信赖度，q1表示为在抽样规则下抽取样本的最小响应变量对应的信赖度，q3表示为在抽样规则下抽取样本的标准响应变量对应的信赖度，ln表示为自然对数，p1表示为参考样本数据中的偏态向量，p2表示为参考样本数据中的稳态向量，s表示为抽样规则的客观系数；根据抽样测试对象的样本总量确定样本规模；确定每个抽样测试对象的样本在抽样规则下的偏差率，根据偏差率计算出所有抽样测试对象的样本的总体抽样偏差率；根据总体抽样偏差率和样本规模计算出最大可容忍偏差率：；其中，e’表示为最大可容忍偏差率，e表示为总体可容忍偏差率，n表示为抽样测试对象的样本总量，i表示为第i个抽样测试对象的样本，pi表示为第i个抽样测试对象的样本的精确度，fi表示为第i个抽样测试对象的样本的置信系数，n表示为样本规模，δ表示为抽样规则的样本抽取偏差因子；根据最大可容忍偏差率和抽样规则对于抽取样本的信赖过度风险系数计算出抽取样本的目标数量k：；利用预设的抽样规则在根据抽样测试对象的样本总量中抽取目标数量个抽样样本。
13.进一步地，在生成风险矩阵之后，对风险矩阵中的风险数据进行穿行测试，并判断是否有异常之前，方法还包括：提取风险矩阵中的多个风险因素以及每个风险因素的关联特征值；确定每个风险因素对应的多个风险事件以及在关联特征值下每个风险事件发生的概率；根据每个风险因素对应的多个风险事件以及在关联特征下每个风险事件发生的概率和该风险因素的关联特征值计算出风险矩阵中该风险因素的风险值：
；其中，aa表示为风险矩阵中第a个风险因素的风险值，pa表示为第a个风险因素在风险矩阵中的关联特征值，p表示为风险矩阵中的所有风险特征值，ma表示为第a个风险因素对应的风险事件的数量，j表示为第j个风险事件，bj表示为第j个风险事件在关联特征值下发生的概率，z
1j
表示为第j个风险事件的严重程度上限值，z
2j
表示为第j个风险事件的严重程度下限值，ca表示为第a个风险因素在风险矩阵中的相关性矩阵指标，da表示为第a个风险因素在风险矩阵中的随机偏离矩阵指标，θ表示为相关性矩阵指标和随机偏离矩阵指标之间的关联度；根据每个风险因素的风险值对各个风险因素进行排序，获取排序结果；获取风险矩阵中每个项目的控制流程和处理信息；根据每个项目的控制流程和处理信息确定该项目的宏观工作环境；根据每个项目的宏观环境计算出该项目与每个风险因素之间的匹配度：；其中，φ
ty
表示为第t个项目与第y个风险因素之间的匹配度，λ表示为相关性因子，u
ty
表示为第t个项目对用的风时间与第y个风险因素之间的平均关联度，ξ表示为误差因子，k
ty
表示为第t个项目的宏观工作环境与第y个风险因素之间的兼容性指数，d
t
表示为第t个项目的动态能力指数，r
t
表示为第t个项目的风险补偿；将每个项目的风险数据与和该项目的匹配度大于等于预设阈值的目标风险因素相关联；关联完毕后，将每个项目的风险数据和目标风险因素进行穿行测试。
14.进一步地，整改过程包括：选取重点关注的风险点，生成执行有效性测试计划数据并获取测试工作数据，识别执行过程中存在的缺陷，按照缺陷评价标准对缺陷进行分级评级；根据缺陷获取产生原因数据和整改方案数据，根据整改方案数据获取缺陷整改工作数据；对缺陷整改工作数据进行验证得到验证数据，若验证数据符合要求，则整改过程结束，若否，则重复整改过程。
15.进一步地，根据第一风险水平等级值判断是否调整第二风险水平等级值包括：若风险数据的第一风险水平等级值为高风险，而对应的第二风险水平等级值未出现高风险，则重新获取第二风险数据计算第二风险水平等级值。
16.本发明还提供了一种风险评估预警系统，包括：获取模块，用于获取第一风险数据和第二风险数据，其与自可编辑的高管问卷填
报系统和可编辑的各部门风险填报系统建立数据交互；第一风险水平等级值计算模型构建模块，用于构建第一风险水平等级值计算模型，包括：风险发生可能性得分计算子模块，用于根据第一风险数据计算所有高管对每个流程的第一风险发生可能性得分；风险影响大小得分计算子模块，用于根据第一风险数据计算所有高管对每个流程的第一风险影响大小得分；第一总体风险水平得分计算子模块，用于根据第一风险发生可能性得分和第一风险影响大小得分计算第一总体风险水平得分；第一风险水平等级值划分子模块，用于根据第一总体风险水平得分划分第一风险水平等级值；第二风险水平等级值计算模型构建模块，用于构建第二风险水平等级值计算模型，包括：维度划分子模块，用于按照财务风险评估和非财务风险评估两个维度划分第二风险数据中每个流程所包含的风险点数据；财务风险点得分计算子模块，用于根据财务风险评估中的细分维度分别获取每个流程中的风险点得分；财务影响总体得分计算子模块，用于计算每个流程中的风险点得分的平均值并对其进行四舍五入求整处理得到财务影响总体得分；非财务风险点得分计算子模块，用于根据非财务风险评估中的细分维度分别获取每个流程中的风险点得分；第二风险影响大小得分计算子模块，用于根据每个风险点在财务风险评估细分维度下的得分和非财务风险评估细分维度下的得分确定第二风险影响大小得分；第二风险发生可能性得分计算子模块，用于根据预设风险发生规则确定每个风险点的第二风险发生可能性得分；第二总体风险水平得分计算子模块，用于根据第二风险发生可能性得分和第二风险影响大小得分计算第二总体风险水平得分；第二风险水平等级值划分子模块，用于根据第二总体风险水平得分划分第二风险水平等级值；第二风险水平等级值调整模块，用于根据第一风险水平等级值判断是否调整第二风险水平等级值，若是，则启动第二风险水平等级值计算模型构建模块，并将其计算结果输入风险矩阵生成模块，若否，则启动风险矩阵生成模块；风险矩阵生成模块，用于根据第二风险水平等级值进行内控梳理，生成风险矩阵；穿行测试模块，用于对风险矩阵中的风险数据进行穿行测试，并判断是否有异常，若穿行测试结果无异常则激活抽样测试模块，若否，则激活合规整改模块；抽样测试模块，用于对风险矩阵中的风险数据进行抽样测试，并判断是否有异常，若有异常则激活合规整改模块；合规整改模块，用于根据异常结果生成整改请求并记录整改过程。
17.本发明还提供了一种风险评估预警装置，包括处理器和存储器，存储器存储有计
算机程序，处理器执行计算机程序时实现上述方法的步骤。
18.与现有技术相比，本发明的有益效果是：1、通过将信息技术整合、镶嵌至内部合规体系中，打通风险内控工作全过程，从而能够推进企业风险内控在线化管理，加强集团各部门间的管控和风险防控力度，有助于关注风险落地、强调监督跟踪、形成管理闭环。同时数据分析技术实现风险领域的可视化管理，提升内控工作效率及工作质量。
19.2、穿行测试与信息系统的融合：根据所确定的业务流程测试范围，对比现行政策、法规、制度与监管方内部控制的要求，结合专项检查、内部审计、重大事故事件分析等工作，匹配系统中的测试样本查找可能存在的内部控制设计缺陷。通过开展控制设计有效性评价，确定各业务流程的关键控制点，明确重点关注的风险区域。找出企业内控设计存在的不足，促进企业管理的改善。
20.3、抽样测试与信息系统的融合：通过系统运算得出高风险点，根据系统选取的重点关注的风险点，生成执行有效性测试计划数据并获取测试工作数据，识别执行过程中存在的缺陷，按照缺陷评价标准对缺陷进行分级评价。找出企业内控执行存在的不足，促进企业管理的改善。
附图说明
21.图1为本发明一个优选实施例的方法流程图；图2为本发明中根据获取到的第一总体风险水平得分数据生成的风险地图。
具体实施方式
22.下面结合附图对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
23.如图1所示，一种风险评估预警方法，包括如下步骤：s10、获取第一风险数据。第一风险数据获取自可编辑的高管问卷填报系统，由每位高管对多个流程的风险发生可能性和风险影响大小打分而来。高管风险评估问卷的填报依据如下：作为五部委（财政部、证监会、审计署、银监会、保监会）发布的《企业内部控制基本规范》的配套指引之一，《企业内部控制应用指引》是上市公司应用《企业内部控制基本规范》并搭建内部控制体系的重要指导文件，本高管风险评估问卷内容包含了《企业内部控制应用指引》罗列的多个流程基本风险点，包括：采购业务、工程项目、业务外包、人力资源、信息系统、社会责任、销售业务、研究与开发、组织架构、企业文化、发展战略、全面预算、资产管理、资金活动、合同管理、内部信息传递、财务报告。对风险内容以量化打分的方式通过风险发生可能性及风险影响大小二个维度进行数据收集，便于上市公司高管运用定量标准，对《企业内部控制应用指引》罗列的关键风险及其他风险进行定量评估，高管风险评估结果将对后续内部控制自评工作有重要指导性作用。
24.公司高管团队综合运用其职业视野、过往风险事件对相关风险的发生可能性、影
响程度作定量评估，同时各位高管成员也可单独填写风险评语至该表格的开放评论区域，评估结果记录于《高管风险评估问卷》，通过设定的数据填报模板将分析得到的可能存在的风险事项上传到系统中，系统将数据存放入高管风险评估问卷表中。也可以通过填写纸质问卷，再借助扫描识别模块对纸质问卷上的文字进行识别，最终提取对应每个流程基本风险点及其分值。
25.s20、根据第一风险数据构建第一风险水平等级值计算模型，该步骤包含第一风险发生可能性得分、第一风险影响大小得分及第一总体风险水平得分这三个方面。为能够准确合理地反映企业高管填报的高管风险评估情况，需要将填报的第一风险发生可能性得分、第一风险影响大小得分数据按预设公式得出第一总体风险水平得分，其具体步骤如下：s201、根据第一风险数据计算所有高管对每个流程的第一风险发生可能性得分，计算公式为：pj=∑p
i，j
/n，i=1、2、3
……
n，n为高管人数；p
i，j
表示编号为i的高管对编号为j的流程的第一风险发生可能性得分，其取值为1-5的自然数，数值越大则可能性越大。本例中，流程数量为17。通过本步骤能够得到所有高管对17个流程的第一风险发生可能性得分，即p1、p2、p3、
……
、p
17
。为了便于显示且保证一定的准确性，计算结果精确到小数点后两位。
26.s202、根据第一风险数据计算所有高管对每个流程的第一风险影响大小得分，计算公式为：nj=∑n
i，j
/n，i=1、2、3
……
n；n
i，j
表示编号为i的高管对编号为j的流程的第一风险影响大小得分，其取值为1-5的自然数，数值越大则影响越大。通过本步骤能够得到所有高管对17个流程的第一风险影响大小得分，即n1、n2、n3、
……
、n
17
。为了便于显示且保证一定的准确性，计算结果精确到小数点后两位。
27.s203、根据第一风险发生可能性得分和第一风险影响大小得分计算第一总体风险水平得分，计算公式为：qj=pj×
nj；qj表示编号为j的流程的第一总体风险水平得分。为了便于显示且保证一定的准确性，计算结果精确到小数点后两位。通过本步骤能够得到所有高管对17个流程的第一总体风险水平得分，即q1、q2、q3、
……
、q
17
。
28.本例中，本步骤的统计结果如表1所示：
s204、根据每个流程的第一总体风险水平得分划分第一风险水平等级值。划分标准为：低风险：1≤第一总体风险水平得分＜8，中风险：8≤第一总体风险水平得分＜16，高风险：16≤第一总体风险水平得分≤25。
29.s30、获取第二风险数据。第二风险数据获取自可编辑的各部门风险填报系统，包括指引编号、流程、风险源点、风险编号、风险描述、责任部门、主责岗位等信息，具体如下表所示：该实施例中，获取第二风险数据为通过设定的数据填报模板获取各部门填报的第二风险数据；即各部门根据风险事件库的风险事件列表自查部门可能存在的风险事项，通过设定的数据填报模板将分析得到的可能存在的风险事项上传到系统中，系统将数据存放入风险列表中。
30.s40、根据第二风险数据构建第二风险水平等级值计算模型。该步骤包括：s401、按照财务风险评估和非财务风险评估两个维度划分第二风险数据中每个流程所包含的风险点数据，如下表所示：
s402、根据财务风险评估中的细分维度分别获取每个流程中的风险点得分。例如获取到的社会责任流程中安全生产制度风险点进行财务风险得分如下表所示，其取值为1-5的自然数，数值越大则风险越大：s403、计算每个流程中的风险点得分的平均值并对其进行四舍五入求整处理得到财务影响总体得分，风险点得分的平均值的计算公式为：w
财，j
=∑f
j，p，q
/k，q=1、2
……
k；f
j，p，q
表示编号为j的流程中编号为p的风险点在编号为q的细分维度下的得分，其取值为1-5的自然数。
31.本例中，细分维度共有5项，故k取值5。由步骤s402中的得分表可知，社会责任流程下，安全生产制度这一风险点在各个细分维度下的分值分别为1、1、1、2、2，根据计算公式可得到该风险点得分平均值为1.4分，四舍五入求整后得到财务影响总体得分为1分。
32.s404、根据非财务风险评估中的细分维度分别获取每个流程中的风险点得分，其取值为1-5的自然数，数值越大则风险越大。例如获取对社会责任流程中安全生产制度风险点进行财务风险得分如下表，其取值为1-5的自然数，数值越大则风险越大：
s405、根据每个风险点在财务风险评估细分维度下的得分和非财务风险评估细分维度下的得分确定第二风险影响大小得分，若最大值出现次数小于设定值，则第二风险影响大小得分取前述得分中的最大值，若最大值出现次数不小于设定值，则判断最大值是否存在5分，若最大值存在5分，则第二风险影响大小得分为5分，若最大值不存在5分，则判断最大值是否不超过2分，若最大值不超过2分，则第二风险影响大小得分为最大值，若最大值超过2份，则第二风险影响大小得分为最大值+1。根据上表可知，本例中，对8个具体分值进行统计，最大值出现次数的设定值为4次，故财务影响得分为4分。
33.s406、根据预设风险发生规则确定每个风险点的第二风险发生可能性得分，其取值为1-5的自然数，数值越大则风险发生可能性越大。风险发生规则如下表所示：本例中，根据企业自身情况，社会责任流程中安全生产制度风险点的第二风险发生可能性得分为4分。
34.s407、根据第二风险发生可能性得分和第二风险影响大小得分计算第二总体风险水平得分，计算公式为：q
j’=i
j’×
p
j’；i
j’表示各部门对编号为j的风险点的第二风险影响大小得分，p
j’表示各部门对编号为j的风险点的第二风险发生可能性得分。
35.s408、根据第二总体风险水平得分划分第二风险水平等级值，若q
j’≥15，则第二风险水平等级值为高风险，若q
j’＜5，则第二风险水平等级值为低风险，若5≤q
j’＜15，则第二风险水平等级值为中风险。本例中，社会责任流程中安全生产制度风险点的第二总体风险水平得分为16分，故第二风险水平等级值为高风险。
36.s50、根据第一风险水平等级值判断是否调整第二风险水平等级值进行调整，如果调整，则返回步骤s40进行重新获取第二风险数据，并将新的计算结果作为s60的输入，若否，则转向s60。需要说明的是，由于高管对企业经营状况的了解程度大于一般部门员工，因此在进行风险评估时的准确性要高于一般员工，因此高管打分可作为评价员工打分可信度的依据。本步骤中，若某一流程的风险数据的第一风险水平等级值为高风险，而对应的第二风险水平等级值未出现高风险，则需要相关部门人员对流程风险数据中的相关项目重新打分，系统重新获取由此得到的第二风险数据，然后计算新的第二风险水平等级值，并将其作为内控梳理的输入数据。反之则不调整。这样能够避免部门一般员工因打分不准确而对计算结果造成较大影响。
37.s60、根据第二风险水平等级值进行内控梳理，生成风险矩阵。风险矩阵包括如下项目：流程、控制概述、风险编号、第二风险水平等级值、控制编号、控制点主责部门、控制点主责岗位、控制描述、获取信息处理目标、控制触发类型、发生频率、是否预防性控制/检查性控制、是否关键控制；若第二风险水平等级值为高风险则是否关键控制一项为“是”，若否，则为“否”。本例中，社会责任流程对应的风险矩阵如下表所示：
s70、对风险矩阵的风险数据进行穿行测试，并判断结果是否异常。若结果异常则转向步骤s90，若否，则转向步骤s80。穿行测试是指在了解企业内部控制现状﹐梳理和记录完内部控制活动﹐编制风险矩阵后，通过穿行测试与控制测试方法定期对所描述的控制活动进行测试验证，评价其设计及运行的有效性。通过穿行测试可以得知企业在内控管理过程中是否采取了相应的控制措施。本步骤包括：s701、根据风险矩阵中的项目生成测试数据清单和测试步骤清单。
38.s702、判断是否获取到测试数据清单中所列的测试数据，若获取到测试数据，则抽取测试数据中的部分测试数据与第二预设数据进行比对，若比对通过则生成穿行测试结果为“无异常”，若比对未通过则生成穿行测试结果为“有异常”，若未获取到测试数据，则生成穿行测试结果为“有异常”。
39.本例中，工程项目流程对应的穿行测试结果如下表所示：本例中，获取s60生成的风险矩阵后，针对风险矩阵中的风险数据进行穿行测试，在测试过程中获取穿行测试数据，即下载附件项中的“jyss-pm-c-08.aqgl.rar”文件数据，并由主责岗位人员上传至ftp服务器，供后续验证人员下载核验。需要说明的是，针对不同
流程，其穿行测试材料数据并不相同，需要根据实际情况预先配置。然后根据配置的情况配置穿行测试步骤。
40.s80、对风险矩阵的风险数据进行抽样测试，并判断结果是否异常。若结果异常则转向步骤s90。抽样测试的目的是查找企业内部控制过程是否存在缺陷，通过按照抽样规则选取样本来验证控制活动的一惯性。企业内控涉及企业经营管理全过程，面对大量的内控执行样本，必须从执行的总体中选择合适样本，保证既能在足够置信度下对内部控制水平进行有效评价，又能将评价成本保持在合理范围内。该步骤包括：s801、在穿行测试无异常的情况下，选择风险矩阵中是否关键控制一项为“是”的风险数据作为抽样测试对象。
41.s802、根据抽样测试对象的样本总量和预设的抽样规则确定抽样样本。抽样规则如下：控制发生的频率分为按需、每年、每季度、每月、每周、每日、每日多次、信息系统自动控制，对照全年发生次数与抽样数据的预设样本值生成此风险必须提交的抽样样本数据。本步骤中，抽样规则如下表所示：实际计算时，只需要输入样本总量，即可自动匹配出抽样样本的数量。本例中，人力资源流程中的一项风险点的抽样样本计算结果如下表所示：s803、根据预设需求生成测试步骤清单。本步骤中，具体的测试步骤需要根据实际管理过程中不同部门进行设定，本技术不一一赘述。以上表为例，依据人力资源部门的情况设定的抽样测试步骤为：s8031：获取全年人力资源部员工绩效考核清单。
42.s8032：根据抽样标准，获取5份绩效考评汇总分配表数据。
43.s8033：检查是否获取到定期编制员工月度绩效考评表数据。
44.s8034：检查是否获取到针对员工绩效考核的直接领导及人力资源部部长签字审批数据。
45.s804、按照测试步骤清单中的步骤将每个抽样样本分别与第二预设数据进行比
对，若测试步骤全部通过则该抽样样本的抽样测试结果为“无异常”，若否，则为“有异常”。
46.s90、根据异常结果生成整改请求并记录整改过程。
47.整改过程包括：s901、选取重点关注的风险点，生成执行有效性测试计划数据并获取测试工作数据，识别执行过程中存在的缺陷，按照缺陷评价标准对缺陷进行分级评级。
48.《1》财务报告内部控制缺陷认定标准的制定对于财务报告内部控制缺陷的定性标准，《企业内部控制基本规范》及《深交所21号文》对此有明确的定义，即：一般缺陷指重大缺陷、重要缺陷以外的控制缺陷。
49.重要缺陷指企业一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。
50.重大缺陷指企业一个或多个控制缺陷的组合，会导致严重偏离控制目标。
51.对于财务报告内部控制缺陷的定量标准，一般与上市公司的财务审计师在审计过程中使用的重要性水平保持一致或更加严格。财务重要性水平由基准*比例（一般为3%、5%、10%三个条线组成），对于利润导向型企业，最佳行业实践是使用上市公司对外披露的合并报表的税前利润作为基准，举例如下：一般缺陷：潜在错报＜税前利润*3%重要缺陷：税前利润*3%≤潜在错报＜税前利润*5%重大缺陷：潜在错报≥税前利润*5%具体的财务报告内部控制缺陷的定量认定标准，需要由上市公司管理层及评价小组共同研究、决议，特别值得注意的是，建立并健全有效的内部控制体系是董事会的责任，则相关缺陷的认定标准亦需董事会作复核。
52.《2》非财务报告内部控制缺陷认定标准的制定对于非财务报告内部控制缺陷的定性标准，《企业内部控制基本规范》及《企业内部控制评价指引》未对此作强制规定，但国际常用coso框架则对此有严格的阐释：内部控制最终应当促进企业财务、运营、合规三大目标的达成，则对于非财务报告内部控制缺陷定性标准可以从财务、运营、合规上给予适当的描述，可供参考的例子如下：
s902、根据缺陷获取产生原因数据和整改方案数据，根据整改方案数据获取缺陷整改工作数据。
53.s903、对缺陷整改工作数据进行验证得到验证数据，若验证数据符合要求，则整改过程结束，若否，则重复整改过程。
54.需要说明的是，在步骤s10-s80中所涉及到的数据，均在相应步骤中得到汇总、处理后生成报表或可视化图表，从而直观的显示给用户。如图2所示，根据第一风险数据构建第一风险水平等级值计算模型的过程中，第一总体风险水平得分能够生成一张风险地图。横坐标表示风险发生可能性，纵坐标表示风险影响大小，每个圆圈的位置表示风险等级，圆圈中的数字表示流程序号，颜色越深则表明风险等级越高。同样的，所有高管打分后计算得到的第一风险水平等级值也能够生成一张风险地图。
55.在一个实施例中，根据抽样测试对象的样本总量和预设的抽样规则确定抽样样本，包括：根据预设的抽样规则确定抽取样本的最大响应变量和最小响应变量以及标准响应变量；基于最大响应变量和最小响应变量以及标准响应变量，获取三者各自的信赖度；获取经由预设的抽样规则抽样后的参考样本数据；检测参考样本数据中的偏态向量和稳态向量；根据最大响应变量和最小响应变量以及标准响应变量和三者各自的信赖度以及参考样本数据中的偏态向量和稳态向量计算出抽样规则对于抽取样本的信赖过度风险系数：；其中，α表示为抽样规则对于抽取样本的信赖过度风险系数，e表示为自然常数，取值为2.72，t2表示为在抽样规则下抽取样本的最大响应变量，t1表示为在抽样规则下抽取样本的最小响应变量，t3表示为在抽样规则下抽取样本的标准响应变量，q2表示为在抽样规则下抽取样本的最大响应变量对应的信赖度，q1表示为在抽样规则下抽取样本的最小响应变量对应的信赖度，q3表示为在抽样规则下抽取样本的标准响应变量对应的信赖度，ln表示为自然对数，p1表示为参考样本数据中的偏态向量，p2表示为参考样本数据中的稳态向量，s表示为抽样规则的客观系数；根据抽样测试对象的样本总量确定样本规模；确定每个抽样测试对象的样本在抽样规则下的偏差率，根据偏差率计算出所有抽样测试对象的样本的总体抽样偏差率；根据总体抽样偏差率和样本规模计算出最大可容忍偏差率：；
其中，e’表示为最大可容忍偏差率，e表示为总体可容忍偏差率，n表示为抽样测试对象的样本总量，i表示为第i个抽样测试对象的样本，pi表示为第i个抽样测试对象的样本的精确度，fi表示为第i个抽样测试对象的样本的置信系数，n表示为样本规模，δ表示为抽样规则的样本抽取偏差因子；根据最大可容忍偏差率和抽样规则对于抽取样本的信赖过度风险系数计算出抽取样本的目标数量k：；利用预设的抽样规则在根据抽样测试对象的样本总量中抽取目标数量个抽样样本。
56.上述技术方案的有益效果为：通过计算抽样规则对于抽取样本的信赖过度风险系数可以有效地评估出抽取规则的合理性和风险性，为后续进行样本筛选奠定了基础，进一步地，通过计算最大可容忍偏差率可针对抽取规则的非客观且不可把控性因素导致的偏差来更加精准地进行样本的抽取工作，提高了抽取样本工作精度和效率。
57.在一个实施例中，在生成风险矩阵之后，对风险矩阵中的风险数据进行穿行测试，并判断是否有异常之前，方法还包括：提取风险矩阵中的多个风险因素以及每个风险因素的关联特征值；确定每个风险因素对应的多个风险事件以及在关联特征值下每个风险事件发生的概率；根据每个风险因素对应的多个风险事件以及在关联特征下每个风险事件发生的概率和该风险因素的关联特征值计算出风险矩阵中该风险因素的风险值：；其中，aa表示为风险矩阵中第a个风险因素的风险值，pa表示为第a个风险因素在风险矩阵中的关联特征值，p表示为风险矩阵中的所有风险特征值，ma表示为第a个风险因素对应的风险事件的数量，j表示为第j个风险事件，bj表示为第j个风险事件在关联特征值下发生的概率，z
1j
表示为第j个风险事件的严重程度上限值，z
2j
表示为第j个风险事件的严重程度下限值，ca表示为第a个风险因素在风险矩阵中的相关性矩阵指标，da表示为第a个风险因素在风险矩阵中的随机偏离矩阵指标，θ表示为相关性矩阵指标和随机偏离矩阵指标之间的关联度；根据每个风险因素的风险值对各个风险因素进行排序，获取排序结果；获取风险矩阵中每个项目的控制流程和处理信息；根据每个项目的控制流程和处理信息确定该项目的宏观工作环境；根据每个项目的宏观环境计算出该项目与每个风险因素之间的匹配度：
；其中，φ
ty
表示为第t个项目与第y个风险因素之间的匹配度，λ表示为相关性因子，u
ty
表示为第t个项目对用的风时间与第y个风险因素之间的平均关联度，ξ表示为误差因子，k
ty
表示为第t个项目的宏观工作环境与第y个风险因素之间的兼容性指数，d
t
表示为第t个项目的动态能力指数，r
t
表示为第t个项目的风险补偿；将每个项目的风险数据与和该项目的匹配度大于等于预设阈值的目标风险因素相关联；关联完毕后，将每个项目的风险数据和目标风险因素进行穿行测试。
58.上述技术方案的有益效果为：通过计算出风险矩阵中每个风险因素的风险值可以快速地确定风险矩阵中多个项目的潜在风险因素，提高了后续工作效率，进一步地，计算每个项目与风险因素之间的匹配度然后将二者关联可以为后续进行穿行测试工作时选择测试条件和测试材料奠定了基础，提高了测试效率。
59.基于同样的发明构思，本发明还提供了一种风险评估预警系统，包括：获取模块，用于获取第一风险数据和第二风险数据，其与自可编辑的高管问卷填报系统和可编辑的各部门风险填报系统建立数据交互；第一风险水平等级值计算模型构建模块，用于构建第一风险水平等级值计算模型，包括：风险发生可能性得分计算子模块，用于根据第一风险数据计算所有高管对每个流程的第一风险发生可能性得分；风险影响大小得分计算子模块，用于根据第一风险数据计算所有高管对每个流程的第一风险影响大小得分；第一总体风险水平得分计算子模块，用于根据第一风险发生可能性得分和第一风险影响大小得分计算第一总体风险水平得分；第一风险水平等级值划分子模块，用于根据第一总体风险水平得分划分第一风险水平等级值；第二风险水平等级值计算模型构建模块，用于构建第二风险水平等级值计算模型，包括：维度划分子模块，用于按照财务风险评估和非财务风险评估两个维度划分第二风险数据中每个流程所包含的风险点数据；财务风险点得分计算子模块，用于根据财务风险评估中的细分维度分别获取每个流程中的风险点得分；财务影响总体得分计算子模块，用于计算每个流程中的风险点得分的平均值并对其进行四舍五入求整处理得到财务影响总体得分；非财务风险点得分计算子模块，用于根据非财务风险评估中的细分维度分别获取每个流程中的风险点得分；第二风险影响大小得分计算子模块，用于根据每个风险点在财务风险评估细分维
度下的得分和非财务风险评估细分维度下的得分确定第二风险影响大小得分；第二风险发生可能性得分计算子模块，用于根据预设风险发生规则确定每个风险点的第二风险发生可能性得分；第二总体风险水平得分计算子模块，用于根据第二风险发生可能性得分和第二风险影响大小得分计算第二总体风险水平得分；第二风险水平等级值划分子模块，用于根据第二总体风险水平得分划分第二风险水平等级值；第二风险水平等级值调整模块，用于根据第一风险水平等级值判断是否调整第二风险水平等级值，若是，则启动第二风险水平等级值计算模型构建模块，并将其计算结果输入风险矩阵生成模块，若否，则启动风险矩阵生成模块；风险矩阵生成模块，用于根据第二风险水平等级值进行内控梳理，生成风险矩阵；穿行测试模块，用于对风险矩阵中的风险数据进行穿行测试，并判断是否有异常，若穿行测试结果无异常则激活抽样测试模块，若否，则激活合规整改模块，包括：穿行测试步骤子模块，用于根据风险矩阵中的项目生成测试数据清单和测试步骤清单；穿行测试结果子模块，用于判断是否获取到测试数据清单中所列的测试数据，若获取到测试数据，则抽取测试数据中的部分测试数据与第二预设数据进行比对，若比对通过则生成穿行测试结果为“无异常”，若比对未通过则生成穿行测试结果为“有异常”，若未获取到测试数据，则生成穿行测试结果为“有异常”；抽样测试模块，用于对风险矩阵中的风险数据进行抽样测试，并判断是否有异常，若有异常则激活合规整改模块，包括：测试对象选择模块，用于在穿行测试无异常的情况下，选择风险矩阵中是否关键控制一项为“是”的风险数据作为抽样测试对象；抽样样本选择模块，用于根据抽样测试对象的样本总量和预设的抽样规则确定抽样样本；抽样测试步骤子模块，用于根据预设需求生成测试步骤清单；抽样测试结果子模块，用于按照测试步骤清单中的步骤将每个抽样样本分别与第二预设数据进行比对，若测试步骤全部通过则该抽样样本的抽样测试结果为“无异常”，若否，则为“有异常”；合规整改模块，用于根据异常结果生成整改请求并记录整改过程；统计报表模块，用于对其它各个模块产生的数据进行汇总和整理，生成统计报表及可视化图表。
60.本发明还提供了一种风险评估预警装置，包括处理器和存储器，存储器存储有计算机程序，处理器执行计算机程序时实现步骤s10-s90。
61.本发明未详述之处，均为本领域技术人员的公知技术。
62.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、cd-rom、光学存储器等）上实施的计算机程序产
品的形式。
63.本技术是参照根据本技术实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。
64.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。
65.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。
66.以上仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。