企业风险评估管理信息系统的设计与实现论文.doc

硕士专业学位论文企业风险评估管理信息系统的设计与实现Design and implementation of enterprise risk assessment management information system作者：XXXXXX导师：XXXXXX北京交通大学2019年12月53 / 71学位论文版权使用授权书本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索，提供阅览服务，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国家有关部门或机构送交论文的复印件和磁盘。学校可以为存在馆际合作关系的兄弟高校用户提供文献传递服务和交换服务。（保密的学位论文在解密后适用本授权说明）学位论文作者签名： 导师签名：签字日期： 年 月 日 签字日期： 年 月 日学校代码：10004 密级：北京交通大学硕士专业学位论文企业风险评估管理信息系统的设计与实现Design and implementation of enterprise risk assessment management information system作者姓名：XXXXXX 学 号：XXXXXX导师姓名：XXXXXX 职 称：教授工程硕士专业领域：软件工程 学位级别：硕士北京交通大学2019年12月致谢在本次的毕业设计中，我所选做的是企业风险评估管理信息系统的设计与实现，在老师和同学们的帮助下成功的实现了想要的功能，得到老师的认可。通过本次设计我发现，只有充分的理解理论知识；才能够将书本上的理论知识与生产实际相整合，理论知识服务于社会生产，以增强自己的实践动手能力。这个毕业设计为我积累了宝贵的经验。通过本次毕业设计，让我明白了理论和实际的距离，也明白了把理论和实际进行结合的重要性，也从中学得了很多书本上和课堂上无法得知的知识。在此，感谢所有在本次设计过程中，为我提供帮助的那些人，没有你们，我不能如此顺利的完成这次设计，谢谢你们！摘要根据服装企业的实际需求，本文设计并实现了企业风险评估管理信息系统。系统实现了风险识别、多维风险分析和演示，以及风险评估和响应，实时监控的主要风险和其他业务风险评估和管理。系统在服装企业的操作中取得了良好的效果，从而满足企业风险管理的需要。在本文中，作者主要研究如何将风险管理理论和软件工程相互结合起来，并用其设计和实现风险评估和管理信息系统。通过风险管理理论和方法的研究，结合企业风险管理的现状，确定了风险评估信息系统的主要任务是解决风险识别、风险分析、风险评估和应对三大风险评估业务问题。这个信息系统使用问卷调查、专家评估、企业领导的认可等方式识别重大风险。基于组件组装法的研究，将其用到设计和开发企业风险评估管理信息系统中来。通过基于构件的组装方法来构造软件系统。使得软件系统的结构更加清晰，这有利于系统的设计、开发和维护。作者将所要实现的功能运用到了实际当中，运用开放性思维来进行设计。由于企业风险评估是一个复杂的系统工程,因此设计实施风险评估信息系统的关键是确定风险评估信息系统的实际业务需求和先进技术的使用。在系统设计的过程中，作者将引入风险管理顾问的经验和工作流程的过程，并采取先进的风险评估模型，以确保系统的先进和可用性。关键词：风险评估；系统工程；服务器；先进技术ABSTRACTAccording to the actual needs of the garment enterprises, this paper designs and realizes the enterprise risk assessment management information system. The system has realized the risk identification, multi dimensional risk analysis and demonstration, as well as the risk assessment and response, real-time monitoring of the major risks and other business risk assessment and management. The system has achieved good results in the operation of garment enterprises, which can meet the needs of enterprise risk management.In this paper, we study how to integrate risk management theory and software engineering into each other, and use it to design and implement risk assessment and management information system. Through the risk management theory and methods, combined with the current situation of enterprise risk management, the main task of risk assessment information system is to solve the risk identification, risk analysis, risk assessment and response to three major risk assessment business issues. This information system uses a questionnaire survey, expert assessment, recognition of corporate leadership and other ways to identify major risks. Based on the research of component assembly method, the design and development of enterprise risk assessment and management information system is put into use. The software system is constructed by means of component based method. The structure of the software system is more clear, which is beneficial to the design, development and maintenance of the system.The authors want to achieve the functions applied to the practice, the use of open mind to design. Because enterprise risk assessment is a complicated systematic project, so the key information systems design and implementation of a risk assessment is to determine the actual business needs of risk assessment of information systems and advanced technology. In the system design process, the author will introduce the experience and workflow process risk management consultant and take advanced risk assessment models to ensure advanced and availability of the system.KEYWORDS: risk assessment; system engineering; server; advanced technology目录摘要iiiABSTRACTiv1 绪论11.1 选题背景11.2 企业风险管理与风险评估11.2.1 企业风险管理21.2.2 企业风险评估21.3 国内外研究现状31.3.1 企业全面风险管理主要流程框架31.3.2 风险评估的主流技术与方法41.3.3 企业风险管理信息系统发展概况51.4 主要内容61.5 论文结构71.6 本章小结72 风险评估系统设计相关综述22.1 风险评估信息系统建设的必要性22.2 风险评估业务基础22.2.1 风险评估过程22.2.2 风险评估业务范围42.3 系统实现采用的相关技术42.4 软件工程与IT技术基础52.4.1 软件过程52.4.2 软件复用与构件技术52.4.3 数据库设计技术62.4.4 数据库设计技术62.4.5 主流技术82.5 本章小结83 风险评估系统需求分析93.1 风险评估系统概述93.2 风险评估总体需求93.3 风险评估业务流程分析103.3.1 业务流程103.3.2 用例图103.3.3 基础环境设置123.3.4 风险评估123.3.5 风险应对133.3.6 风险监控133.3.7 监督改进133.4 风险评估主要业务功能需求分析133.4.1 组织机构设置133.4.2 风险环境设置143.4.3 风险识别143.4.4 调查问卷143.4.5 风险分析153.4.6 风险应对153.4.7 风险监控153.4.8 风险报告153.4.9 风险案例库163.5 风险评估系统主要用户及其业务分析163.6 本章小结174 风险评估系统设计184.1 风险评估系统设计目标184.2 风险评估系统设计原则184.3 风险评估系统安全设计194.3.1 网络与服务器级安全194.3.2 系统级安全194.3.3 应用级安全194.4 风险评估系统总体架构设计204.5 风险评估系统总体功能设计214.5.1 风险信息共享224.5.2 风险环境设置224.5.3 调查问卷管理234.5.4 风险评估244.5.5 风险应对254.5.6 风险监控264.5.7 风险报告264.5.8 风险案例库274.5.9 系统管理274.6 风险评估系统数据接口设计284.7 风险评估系统数据库设计294.7.1 数据业务逻辑分析304.7.2 数据库结构设计314.8 数据库主键与外键334.9 本章小结355 风险评估系统实现365.1 风险评估系统实现技术架构365.2 风险评估管理系统功能实现375.2.1 风险信息共享375.2.2 风险环境设置375.2.3 调查问卷管理385.2.4 风险评估395.2.5 风险应对415.2.6 风险监控415.2.7 风险报告425.3 数据库实现425.4 系统运行与部署实现425.5 本章小结436 风险评估系统测试446.1 测试环境446.2 测试方法446.3 测试用例456.4 测试结果及处理476.5 本章小结477 总结与展望487.1 总结487.2 展望49参考文献50作者简历及攻读硕士学位期间取得的研究成果52独创性声明53学位论文数据集541 绪论为了方便企业能有效的评估风险系统，本文将着重设计风险评估的建立，本章节将从选题背景、企业管理与风险评估、国内外研究、主要内容和论文结构几个方面进行介绍。1.1 选题背景随千禧年后，由于外界市场环境的持续变化和信息技术的快速发展，越来越多的风险开始影响企业，投资者和他们的利益相关者在各种危机中损失其经济利益。事实上，如果决策者不能有效控制风险和及时响应，企业可能就会遭受到打击。美国次贷危机在2008年引发的全球金融危机导致众多企业破产，使得美洲，欧洲和整个亚太地区的金融市场都遭受到了重大打击1。风险管理的重要性已经大大凸显。目前，国外学者和企业在风险管理研究和应用方面已经比较成熟，在企业的目标设置、财务管理、融资和投资决策、内部控制制度建设等方面，都可以看到风险管理的理念、方法和手段2。然而，在我国风险管理研究与应用的相对滞后，许多国内企业都没有风险管理的意识，也就没有建立健全的风险管理体系，因此，这些企业在面对商业风险时应对措施缺乏。为了促进我国企业分风险管理方面的建设，我国国资委在2006年就下发有关督促企业健全风险管理系统的文件。该文件明确要求国有的大企业必须尽快健全风险管理体系，国资委还在国企中挑选一些企业作为风险管理体系建立的试点单位。在文件下发三年后，国资委又要求，全部的国企每年都要准备一份风险报告交予国家有关部门审查。由此可看出我国对企业风险管理体系建立的重视。基于以上背景，本人在风险评估和内部控制系统的基本过程中进行了深入研究，结合某服装企业的具体需求，对风险评估信息系统的设计与实现进行研究。必须满足企业对各种风险分析系统、监测、预警、执行各职能部门、业务单位、整合和共享的要求，这不仅可以满足个人业务风险管理的要求，也能满足企业整体和跨职能部门、业务部门综合风险管理的要求，对建立和完善企业全面风险管理信息系统，提高企业风险决策和风险应对能力具有一定的借鉴意义3。1.2 企业风险管理与风险评估对于企业风险管理和评估，需要用到很多方面的知识进行分析，本文这里着重重从企业风险管理、企业风险评估这两个方面来进行，针对企业现有的风险评估体系，来介绍风险评估系统的的组成和相关内容。1.2.1 企业风险管理在风险管理这一新学科的研究中，不同学者对风险管理研究的重点不同，有的学者侧重于风险管理的出发点，有的侧重于管理目标，有的侧重于应用。这就造成不同学者和组织对风险管理的定义都不同。COSO组织在2003所发布的企业风险管理（草案）对风险管理的定义是：企业的风险管理就是由公司、管理及员工一起参与进行的，应用于企业目标设定阶段，涵盖了企业管理流程内部各部门的决定，其目的是检测企业的风险事件，确定可能造成的损失和在企业范围内的风险偏好以及风险控制，确保公司实现所需的战略目标。武顿先生是IIA组织的2003届主席，他对风险管理的定义如下：企业的风险管理就是通过确定、辨识、管控、组织潜在的事件，为组织目标的实现提供适当保证的过程。结合学者对风险管理分析的定义，笔者认为，企业风险管理是一个过程，这一过程适用于企业战略目标的建立和企业内部部门，由企业的董事会、管理层和其他员工共同参与，是用来识别可能影响企业事件和风险管理的范围内的风险管理和风险控制。1.2.2 企业风险评估企业风险评估过程主要包括风险识别、风险分析和风险评价等三个步骤。风险识别是整个风险管理的基础和出发点。它是收集，分类和分析各种可能影响企业的事件的管理过程4。它的意义在于，如果企业所面临的各种风险，不能及时，准确地识别，就错过了有效应对这些风险的时机，使得相关职能部门的作用不能完全发挥出来，就不能不能有效地控制和风险管理。风险识别过程包括两个方面，即感知风险和风险分析。感知风险是风险识别的基础，这是建立在企业对目标的各种风险进行详细了解的基础上，风险分析的关键是风险识别，这是要分析造成各种危害的各种因素。风险评估既是对已经辨识出的风险进行分析评价，为接下来的风险提供风险管理的基础。风险管理人员应该要从两方面来进行风险评估，分别是可能性和风险程度，评价方法可以采取定量的方法，也可以用定性的方法5。所谓的风险评估是基于风险识别上，通过大量的关于与使用风险评估工具相关联的风险的详细信息，使用概率论与数理统计方法分析数据和信息来计算可能性和风险的损失，最后列出的风险矩阵来评估风险事件。风险评估包括风险事件的频率和概率风险评估的可能性。风险评估评估风险发生都是用“可能”加一个形容概率大小的词来形容，而风险所造成损失和后果也是一个概数，用较轻，轻，中等，较重，重等字词来形容。风险都是按照风险评估所评估风险的轻重来排序的，该风险分数是根据概率和风险的影响计算，并且优先顺序是根据得分给出。1.3 国内外研究现状对于风险评估管理的介绍来说，对其国内外研究介绍时从企业全面风险管理主要流程构架以及风险评估的主流技术与方法为介绍前提，并对企业风险管理信息系统发展概况进行了详细的探讨，突出了目前的企业风险管理构架和风险管理系统的发展现状。1.3.1 企业全面风险管理主要流程框架从2004年9月，COSO委员会发表企业风险管理框架全体（即ERM）6。ERM在此之前是1992年发表的内部统制整个框架主体内容的基础上，扩充和更新各国企业风险管理提供统一用语和概念体系的全面应用。国际上主流的风险管理理论框架主要是以美国为首的企业风险管理整合框架的，而我国资委中央企业全面风险管理指引是以澳大利亚、新西兰的澳新标准为基础的。（1）企业风险管理框架2004年9月，在COSO美国反虚假财务报告委员会管理组织中，实现了对上市公司的风险管理的参考标准的管理机构框架。其实质是建立一种共同的语言，为企业风险管理提供了明确的方向和指导。（2）澳新企业风险管理标准澳新银行的标准是由澳大利亚和新西兰联合标准委员会在2005年9月发行的，该澳新标准认为：企业风险管理是一个系统的，逻辑过程和方法，包括建立风险管理，风险识别，风险分析，风险评估7；风险管理的基础应该是监督和咨询，沟通和评价穿插在公司的各项业务活动，职能部门和业务流程，使得公司实现最大限度地减少损失，最大限度地抓住机遇。（3）国资委中央企业全面风险管理指引国务院于2006年颁布了澳大利亚和新西兰的标准-中央企业全面风险管理指引，借鉴了澳新标准即澳大利亚和新西兰国家风险管理水平，风险管理，英国风险管理标准，美国COSO内部控制框架，COSO企业风险管理框架，萨班斯法案等行业标准文件进入中国的大型国有企业的实际情况，按照我国有关法律法规。COSO在其之前设计的内部控制框架的基础上，进行了扩展，加入了三个风险管理维度，即目标、管理层级、风险管理要素。目标用以描述企业期望实现的效果；管理层级分为整个企业、职能部门、业务单位、分支机构四层；风险管理要素就是实现企业目标需要凭恃的元素8。三大管理维度之间的关系如下图1.3-1中的矩阵立方体所示。图1.1 COSO基础上的风险管理矩阵图Fig 1.1 Risk management matrix based on COSO1.3.2 风险评估的主流技术与方法风险评估是风险管理的的重要组成部分，其不能单独存在，只有与风险管理中的环境因素，风险应对，监督及检查，记录与沟通一起才能发挥更大的作用。下面就对风险评估常用的技术和方法进行介绍，这些是风险评估活动中最具有代表性的技术与方法9。（1）头脑风暴法在风险管理的风险评估活动中，由专业的分析团队在收一定的商业活动的资料后，结合实际，发挥他们自身的想象力，对商业活动有可能存在的风险作出假想，并提出相应的有效的应对方法及减少风险的策略10。这个方法本身就有一种发散性想象的成分，分析团队的任何一个人都可以畅所欲言，就是把团队大脑中对该商业活动的风险进行最大的发掘，所以被称为“头脑风暴法”。（2）结构化或半结构化访谈针对商业活动的对不同的对象访谈可以有效发现商业风险。因为不同的人对同一种情况其看待角度不同，其结论也就不同。分析团队可以把访谈的结论当做有效的风险预见依据。访谈可以分为结构化和半结构化两种11。前者有一定局限性，就是设定好具体的问题对访谈对象进行访谈，虽然目标明确，但可能有一些风险不能预知到。后者没有具体的议题，谈话更自由，对风险的预知能力加强，但工作量又大了。（3）风险矩阵为了有效的商业活动中存在的各种风险进行评估和分级，这就需要对各种风险用合适的图表进行表示，这里用矩阵图进行表示，成为风险矩阵。矩阵包含风险评估的背景，种类，等级等信息12。（4）在险值法目前世界上的一些银行和监管金融的机构在对金融投资进行分析时，常采用一种以统计分析为基础的风险衡量技术。这就是在险值法。这种方法在风险评估中也可以使用，不过要考虑平评估的背景。（5）蒙特卡罗模拟分析风险评估具有的不确定性太多，其风险存在的不确定性也太多，这些都很难用已有的分析技术进行有效的分析和评估13。虽然难分析，但可以用模拟的方法进行评估，假设不同的不确定性成立，模拟带来的后果，最后在总结模拟的结果，用抽样调查的方法进行统计分析，这种方法就叫做蒙特卡洛模拟分析14。这种方法计算量很大，不过在当今计算机面前这些计算量都已不是问题。（6）贝叶斯统计学把已经知道的风险方面的信息和后面的假想的条件得到的测量数据相结合，并且根据这些依据评估风险的概率，在给风险分级。这个理论是由贝叶斯最先提出的，并且这种方法用到统计分析学，所以称为贝叶斯统计学。1.3.3 企业风险管理信息系统发展概况外国的经济管理理念比中国先进，风险管理的概念最先在国外发达的国家里。风险管理在国外运用的也是比较早。不过现在大家都认为风险管理的发展可以分为以下五个阶段。（1）仅限于处理简单事物的阶段。在上个世纪60年代，风险管理刚刚被建立，还处在初生阶段，其理论还不成熟，仅被应用在保险损失和报废等一些简单事务的风险预测和应对上。（2）风险管理标准形成阶段随着计算机技术的发展，风险管理业务员在上个世纪60-70年代采用计算机处理风险方面的实物。业务员可以用计算机系统处理收集的风险信息数据，通过特定的见方法得出风险发生的概率14。计算机在风险管理方面的运用对风险管理的发展起到巨大的推动作用。（3）从数据调数据的阶段在上个世纪70年代末，计算机被用在建立风险管理的数据库上。该数据库的建立有利于风险管理的业务员从庞大的风险计算数据中解放出来。当在风险管理业务员需要相应的风险评估数据时，可以从数据库中调出直接采用。（4）风险管理决策支持阶段计算机的发展及其在风险管理的应用，建立的风险数据库数据越多功能越全面，其对风险管理做出的决策的影响力越大。风险管理者可以快速的根据数据库的数据做出最有利的决策。可以说这个阶段，风险数据库对风险管理的决策提供了强力的支持。（5）风险管理成熟阶段风险管理中网络的应用为风险管理中各种风险数据提供各种分析软件等工具，风险管理者可以可以用网络获得更多的风险预测信息，尽可能的预测商业活动的风险15。可以说这种方法是目前最快速，最有效的我方法，这也标志着风险管理进入成熟阶段。1.4 主要内容在此次的企业风险评估管理系统的设计中，作者主要负责的工作为系统数库的建立以及后期的调试，对研发的系统进行调试维护，并对服装企业的风险进行验证、评估，找出风险的外在影响因素。本次研究的课题就是为我国的企业制定出合适的风险评估管理信息系统。本次研究以一个具体的服装企业为实体，针对该企业面临的风险，制定出合适的风险评估管理信息系统，这个系统可以为企业提供风险分析，预测及应对措施等功能。在系统制定出后，还要实际运作满足企业风险管理的要求，能为企业发展带来实际效果。1.5 论文结构第1章 为绪论。在这一章，我主要是对本次研究的背景，研究意义和国内外风险管理的成果进行表述。服装企业是我国国民经济的好坏，企业发展的好坏直接关系到我国经济的兴衰，因此针对服装企业的风险方面的研究有很大的实际意义。 第二章主要是介绍风险评估信息系统的设计及研究方法。对系统的设计思路、研究方法、技术、软件等作出介绍。最后为企业作出合适的风险管理预定系统框架。第3章 主要是对为企业设计的系统进行分析，根据企业的实际情况设定符合企业需求的系统权限及功能。第4章 主要是介绍系统的具体设计，是本文的核心部位。它详细介绍了本次设计的系统所要达到的目标及设计遵循的原则，而且还会对设计的每一个组成部分做出详细的介绍。第5章 是介绍管理信息系统的体系结构及相关技术的风险评估技术，对系统进行一个更详细的介绍。同时，这一章阐述了管理信息系统数据库和系统部署的风险管理工作的实际运行。第6章 是对设计的系统做最后的检测阶段。根据实际情况，输入相应的风险评估数据，在系统的操作下，检验系统得到的评估结果，并对结果做出分析，不合理的，要对系统进行调试，直至系统能正常工作为止。最后对本次研究做出总结，总结本次设计系统的功能及特点，还要通过研究找出自身设计系统的不足和需要改进的部分，并对我国企业风险管理的发展及其研究方向做最后的展望和预测。1.6 本章小结本章主要是对国内外企业风险管理和评估做了一个简要的介绍，并论述了企业风险管理的重要性，对本文研究的内容进行了叙述以及每一章的结构和主要内容做了概括性的小结。2 风险评估系统设计相关综述2.1 风险评估信息系统建设的必要性为了建立健全企业的发展，我国国资委也出台了相应的规定，督促企业建立风险评估管理信息系统的建立和健全16。在中央企业全面 风险管理指引中，我国就明确要求企业建立风险评估管理信息系统，对于已经建立的或建立的不全面的，要求企业完善系统，并对系统进行更新，维护，补充等。在我国的一些发展好的，快的企业现在已经建立健全的风险评估管理信息系统，这也说明这个系统建立是符合企业自身发展的需要。由此可以得出对于当前的企业建立风险评估管理信息系统是必不可少的。2.2 风险评估业务基础风险评估是企业建立风险管理体系的总要一个环节。风险评估的工作是围绕企业的经营范围，在企业商业活动的各个环节进行自身的工作。风险评估的工作流程包括，收集风险评估所需的风险信息阶段，根据收集的信息进行风险评估的阶段，根据风险制定相应的策略阶段，针对风险找到解决办法的阶段，风险评估的总结阶段。2.2.1 风险评估过程我国的风险评估有自身的评估标准，风险评估的过程如图2-1所示。图2-1 风险评估过程Fig 2-1 Risk assessment process（1）明确环境信息收集风险评估所需的信息是风险评估的基础，风险评估的一切工作都是以此开始的。这收集的信息既有外部环境的，也有内部环境的，集最有效的信息，以方便风险评估的工作进行。（2）风险评估风险评估由三个方面组成，分别是：风险识别、风险分析、风险评价。在风险评估中用到的方法和技术很多，而且计算量很大，不过这些都可以用计算机来解决。（3）风险应对风险应对就是针对评估出的风险制定出相应的解决办法或应对策略。一般制定应对风险的方法呢策略不是一成不变的，它是可以根据实施后的实际情况进行有效调整的17。在应对风险中及时调整方法和策略可以最大可能减少企业的损失。（4）沟通和记录风险评估工作还要有相应的记录，这样可以为以后的风险评估工作提供有效的依据，同时记录的数据还可以与以往的数据进行比较，从而修正或补充已有的风险数据库。（5）风险评估的监督和检查风险评估本身就是一个概率事件，自身的不确定因素很多，所以在评估风险后还要对风险评估进行监督和检查，以确定风险评估的正确性，当评估的风险已经不符合该次商业活动时，就要及时的进行新的分析按评估。也就是说风险评估是个动态变化的过程，所以需要实时的监督和检查。2.2.2 风险评估业务范围随我国的风险管理虽然起步晚，但在一些企业中其风险管理方面的工作经过多年的探索和实践，风险评估管理信息系统建立也逐渐完善。从总体上看我国企业的风险评估管理信息系统的建立工作还处于基础阶段。因此，我国企业的风险管理的主要工作就是健全风险评估信息的管理，建立相应的风险评估信息数据库，开发相应的计算软件对风险信息数据进行分析计算18。我国企业风险评估信息管理系统目前就是把系统的基础设置在商业活动的各个环节，把基础建好，才能以后更好的把系统完善，最终把系统建成一个可以为我国企业提供风险评估平台的全国性大系统。本次研究的对象是煤矿企业，所以建立的风险评估系统要针对煤矿企业。煤矿企业作为我国的大企业，这样的大企业一般都有子公司，下属公司，其业务范围广，商业风险大，所以风险评估业务范围也就大。风险评估业务要涵盖煤矿企业的所有商业活动。这就需要企业在建立企业自身的总风险评估管理信息系统的基础上，在企业的子公司，丛属公司也要建立系统的分系统。分系统为总系统提供数据支持，总系统对分系统进行统一管理，这样就能对整个煤矿企业提供更健全的风险评估机制。风险管理在信息方面涵盖范围广，有可能涉及企业的核心机密，所以在建立风险评估管理信息系统要对不同的用户设置不同的权限，防止企业发生泄密事件。2.3 系统实现采用的相关技术系统设计开发基于J2EE技术，采用SSH ( Struts+Spring+Hibernate)框架，MVC方式进行设计与开发，其中Struts负责控制转向，JSP负责展现，Spring作为服务层，用于控制与业务流程处理，Hibernate作为数据持久层，对数据实现持久化。数据库的访问采用的方式是JDBC，数据库数据的封装使用Hibernate。利用该方式完成平台和数据库无关性的设计的要求。本系统涉及的第三方组件如下:Excel文件数据交换使用的是jx1组件，这个组件能够读取和生成Excel文件。XML数据交换使用的JDOM组件，这个组件可使用的xcvii_,处理组件，满足系统的需求。系统采用JACOB组件实现DOC文件处理。系统采用Charterer组件完成图表的处理，包括图表的分类修改等。2.4 软件工程与IT技术基础本节主要针对软件的设计过程和软件复用以及构件技术进行主要的介绍，主要从软件的需求分析和模式进行的，再详细介绍软件复用和构件技术的探讨，最后进行数据库设计，对本文采用的数据库进行设计。2.4.1 软件过程自从有了计算机开始，软件也就有了。虽然软件的发展已经有半个世纪有余，但现在软件还是不能尽善尽美，还是要不断地更新，改造。这在目前形成了一门新的学科-软件工程学。一个软件的生命周期包括从研发到衰亡的全过程。这个生命周期一般分为制定计划，需求分析，编码设计，测试，运行，维护六个部分19。最早的软件都是按照这六个部分的模式按顺序来设计，呈线性，可以称为“瀑布模式”。目前的开发是以体系模块为结构基础的设计。以体系结构为基础根据需求把不同的体系结构组装成自己想要的软件。这种软件开发模式在设计，开发，运行，升级，维护等方面有着显著的优势。2.4.2 软件复用与构件技术一种软件的衰亡后，其并不是完全报废的，它的一些东西还是有利用价值的，如软件设计的一些数据，编写代码等都可以作为其他软件编写的借鉴资料。重复使用软件的组成部分就叫做软件复用。软件复用是1968年由Kilroy最先提出的，经过半个世纪的发展，软件复用已经由最初的代码复用发展到可以复用软件中的每一个可以复用的信息的地步。软件复用可以有效的减少软件的开发设计时间，提高软件的更新速度。软件的复用有利于软件构建技术的产生，软件构件技术的的产生更新了软件设计的技术。软件构件技术使得软件设计就像搭积木的方式一样设计软件。软件复用减少了软件开发的代价，并且增强了软件的稳定性和可修复性。互联网的时代，软件复用已经达到软件体系复用的地步，这就更提高了软件的开发速度。软件构件技术在目前已经有了相应的标准。主要标准有SUN公司的Javanese/EJB技术，微软公司的COM和COM+技术，OMG的Cobra技术20。这些技术标准为应用软件的开发提供一个健全标准的开发平台。标准的产生有利于软件开发语言的统一，软件的复用率也加大了，软件的开发难度也就降低了。2.4.3 数据库设计技术数据库的设计的建立是系统设计的基础，它是建立数据库，实现系统功能的关键。数据库设计顾名思义就是把系统的信息数据按照一定的模型组织起来21。数据库的设计要实现数据信息的储存，维护，索引，调用等功能。数据库的设计包含四个设计阶段：（1）需求分析阶段，这个阶段任务是分析业务的需求，是整个设计的基础，而且要处理大量的数据，是整个设计最耗费时间的阶段；（2）概念设计阶段，这个阶段就是根据分析得出的需求形成数据库设计的给整体设计概念，这是整个设计的关键；（3）逻辑设计阶段，该阶段就是根据设计的概念，设计出符合逻辑的数据库模式，这是数据库设计实现的重要步骤；（4）物理设计阶段，这个阶段就是根据逻辑设计，设计出可以符合业务运行的数据库设计，是数据库设计实现的最后一步。2.4.4 数据库设计技术本文的企业风险管理信息系统主要基于J2EE体系，采用Java语言、JSP技术、B/S模式、SSH框架进行开发工作22。J2EE是基于分布式的多层应用模型，在这种模型中，应用逻辑按功能划分为不同的组件，各个应用组件根据他们所在的层分布在不同的机器上。一个多层化应用能够为每种不同的服务提供一个独立的层。下图展示了J2EE的分布式多层应用模型。运行在客户端机器上的客户层(Client Tier),运行在J2EE服务器上的Web层(Web Tier)、运行在J2EE服务器上的业务逻辑层(Business Tier)以及运行在服务器上的企业信息系统层(Enterprise Information System Tier)。如图2-2所示。图2-2 J2EE体系结构Fig 2-2 J2EE architectureB/S结构，即浏览器/服务器(浏览器/服务器)结构，随着互联网技术的发展，及改进的结构，B/S结构的兴起，用户在客户端只需安装浏览器即可使用，例如在Netscape中的Navigator浏览器和IE浏览器(Internet Explorer)在服务器端可以安装数据库SYBASE,Conformism,Oracle,SQL Server23。浏览器通过Web服务器与数据库进行交互数据。用户界面是通过WWW浏览器实现的，在某些部分处理逻辑不在前面，但在后端服务器，形成三层结构的所谓的主逻辑上实现。图2-3 结构图Fig 2-3 Structure diagram对于结构方面主要通过数据库对接WEB浏览器，通过互联网进行数据传输，用户通过端口接入互联网，来进行企业风险的评估操作，具体如图2-3所示。2.4.5 主流技术（1）AJAX技术AJAX相当于在用户和服务器之间增加一个中间层，使用户操作和服务器响应不同步。该技术可以识别用户的请求，对于用户的请求的数据，服务器已经处理过的数据，交予AJAX引擎来处理，服务器没有处理过的数据再由服务器来处理。这样用户可以快速查询已经浏览过的数据。两种方式的对比如图2-4所示。图2-4 传统Web方式与Ajax工作方式比较Fig 2-4 Comparison of the traditional Web mode and Ajax working mode（2）Charterer技术Charterer是一款图标自动生成插件，这款插件可以有效解决Java技术的图形问题24。该插件可以在Java技术的C/S和B/S结构下生成多种格式的图表，其生成的图表包括多种几何图形，如圆柱，扇形，方框图等。Charterer由2个核心的包构成:org free chart包，该包根据用户传入的数据集和一些图表属性的设置来显示图表;org free data包，该包主要是为图表提供数据，将用户输入的数据形成不同的数据集，这些数据集提供该Charterer引擎形成各种图表。2.5 本章小结在本章中主要对风险评估管理信息系统建立地的必要性，风险评估业务的范围，做了论证和说明。同时还对系统所用到的软件工程的技术做了一些介绍，特别是软件开发所用到的技术及发展历程较为详细的介绍。3 风险评估系统需求分析3.1 风险评估系统概述企业风险管理的工作核心还是企业，它的一切工作都是为企业服务的。风险管理的风险评估管理信息系统的业务重要是为企业提供风险评估服务，还为企业提供一个风险识别，风险信息共享的平台。本次研究设计的针对服装企业设计的系统，其实用性更强，具有企业风险环境设置、风险识别、风险量化评估、风险分析、风险应对管理、风险监控、风险案例展示等功能。这个系统还要有人性化设置，可以针对不同客户设置不同的权限，还可以根据企业自身的需求针对风险分析自动生成分析图表和表格。3.2 风险评估总体需求现研究对象为国有服装企业，其信息化建设的基础已经具有。企业本身具有局域网，并且还与互联网实现了连接。企业在办公上拥有OA，ERP等信息系统，已经形成自己的信息化体系。因此针对该企业的风险评估信息系统的建立要适应企业的信息系统25。这可以采用先进的通讯设备，建立风险评估系统与企业自身的信息系统实现信息共享和连接，这样还可以避免在建立风险评估管理信息系统时与企业信息相重复的信息建设多花费投资，减少了系统建立的花费。风险评估管理信息系统正常运行要确保收集的各部门的业务信息经过处理后的风险值的唯一性，输入计算机的数据要准确，快速，完整，而且数据库的设计不能随意更改。风险评估管理信息系统还要具有对各种风险识别，分析的能力。还能根据风险的级别进行报警26。这就需要系统有定点，定量的分析能力，还要有设置风险监控指标的能力。风险评估管理信息系统的建立要能全面负责企业所用部门的业务范围。这就要求风险评估信息管理系统除了在企业总部建立系统总部外，在企业的子公司，从属公司建立分系统。企业的各个公司和部门能够实现信息共享，企业的下属公司的系统为总公司的系统提供数据支持，总公司的系统对公司的风险管理的各个阶段进行统一的规划和管理27。这样就为风险管理系统的的改进更新奠定了基础。3.3 风险评估业务流程分析本章节详细的介绍了风险评估系统的业务流程分析，为了突出这一业务流程，更能清晰详细的表达出来，专门设置了风险评估系统业务流程分析示意图，为了更直观的显示出来。3.3.1 业务流程根据风险评估的业务过程，结合企业实际情况，分析得到如图所示系统业务流程。图3-1 风险评估管理业务流程图Fig 3-1 Risk assessment management business process chart从上面的图可以看出基础环境设置、风险评估、风险应对、风险监控、监督改进循环共同组成风险评估的业务的流程图3.3.2 用例图项目管理：项目管理是风险评估的重要组成部分，项目管理模块如图3-2所示。组织管理者有创建和删除项目的权利，并且还有指定项目工程的负责人和参与评估人员的权利。工程负责人对整个项目工程直接负责，评估人员直接参与一线的评估工作。图3-2 项目管理用例图Fig 3-2 Project management use case diagram评估控制：评估控制主要涉及评估过程中项目方案和项目管理的制定和审批。如图3-3所示,在项目被组织管理者确定建立后，被指定的项目工程负责人对工程进行详细分析，制定出实际操作方案，并根据方案合理分配评估人员的工作。图3-3 评估控制用例图Fig 3-3 Evaluate control case diagram 评估实施：评估实施是风险评估计算系统实现风险评估计算的模块,主要包括评估识别、评估设置、评估赋值以及对它们的管理。如图3-4所示,在前序工作做完后,评估项目进入实质评估阶段时,工程负责人和评估人员就按照风险评估流程进行工作。图3-4 评估实施用例图Fig 3-4 Evaluate the implementation of the use case diagram3.3.3 基础环境设置基础环境设置是风险评估系统业务流程的第一步。风险评估系统基础环境设置主要由内容有系统信息设置和风险评估基本信息设置两部分组成。系统信息设置：该设置主要由人员信息，组织结构，权限，功能，角色，数据字典六个分设置组成28。风险评估基础信息设置：这个设置包括企业风险和目标设置两部分，其中风险设置包括风险类别，风险监控，监控指标，风险事件识别四个分设置。3.3.4 风险评估风险评估是风险基础环境设置完成后的风险评估业务的第二步。在风险评估这一阶段主要的工作包括风险识别，调查问卷，数据整理，风险数据分析整理等。并且把整理好的风险数据汇总到系统的风险数据库中29。风险识别就是对收集的风险信息识别判别出风险的类别。调查问卷就的工作是针对风险问题设置好调查问卷，提前设置好调查的问题，向调查对象发放问卷，跟踪答卷，并对问卷进行汇总。数据整理就是对调查问卷得到的数据进行初步整理。风险数据分析整理就是对初步整理的数据进行分析后的再次整理。3.3.5 风险应对风险评估完成后就进入风险业务的风险应对阶段。风险应对根据风险评估得到的风险种类和等级采取相应的应对30。这个应对包括应对措施的收集，管理和跟踪三部分。应对措施的收集是针对不同的风险采用的措施不同