企业风险评估管理信息系统的设计与实现毕业论文.docx

企业风险评估管理信息系统的设计与实现毕业论文目 录摘 要IAbstractII目 录I第一章 绪论11.1 选题背景11.2 企业风险管理与风险评估11.2.1 企业风险管理11.2.2 企业风险评估21.3 国内外研究现状31.3.1 企业全面风险管理主要流程框架31.3.2 风险评估的主流技术与方法41.3.3 企业风险管理信息系统发展概况51.4 论文的主要工作61.5 论文结构7第二章 风险评估系统设计实现基础综述82.1 风险评估信息系统建设的必要性82.2 风险评估业务基础82.2.1风险评估过程82.2.2风险评估业务范围92.2.3 用例图102.3软件工程与IT技术基础122.3.1软件过程122.3.2软件复用与构件技术122.3.3数据库设计技术122.3.4 技术架构设计132.3.4主流技术142.4 本章小结15第三章 风险评估系统需求分析163.1风险评估系统概述173.2风险评估总体需求173.3风险评估业务流程分析173.3.1基础环境设置183.3.2风险评估193.3.3风险应对193.3.4风险监控193.3.5监督改进193.4风险评估主要业务功能需求分析203.4.1组织机构设置203.4.2风险环境设置203.4.3风险识别203.4.4调查问卷203.4.5风险分析213.4.6风险应对213.4.7风险监控213.4.8风险报告223.4.9风险案例库223.5风险评估系统主要用户及其业务分析223.6 本章小结23第四章 风险评估系统设计244.1 风险评估系统设计目标244.2 风险评估系统设计原则244.3 风险评估系统安全设计254.3.1网络与服务器级安全254.3.2系统级安全254.3.3应用级安全254.4 风险评估系统总体架构设计264.5 风险评估系统总体功能设计274.5.1风险信息共享284.5.2风险环境设置284.5.3调查问卷管理294.5.4风险评估314.5.5风险应对324.5.6风险监控334.5.7风险报告334.5.8风险案例库334.5.9系统管理334.6风险评估系统数据接口设计354.7风险评估系统数据库设计364.7.1数据业务逻辑分析364.7.2数据库结构设计384.9 本章小结42第五章 风险评估系统实现435.1风险评估系统实现技术架构435.2系统实现采用的相关技术445.3风险评估管理系统功能实现445.3.1风险信息共享455.3.2风险环境设置455.3.3调查问卷管理465.3.4风险评估475.3.5风险应对495.3.6风险监控495.3.7风险报告505.4数据库实现505.5系统运行与部署实现505.6本章小结51第六章 风险评估系统测试526.1测试环境526.2测试方法526.3测试用例536.4测试结果及处理556.5本章小结56第七章 总结与展望577.1 总结577.2 展望57参考文献59附录 A62索引63作者简历及攻读硕士/博士学位期间取得的研究成果64独创性声明65学位论文数据集66第一章绪论1.1 选题背景千禧年后,由于外界市场环境的持续变化和信息技术的快速发展,越来越多的风险开始影响企业，投资者和他们的利益相关者在各种危机中损失其经济利益。事实上,如果决策者不能有效控制风险和及时响应,企业可能就会遭受到打击。由美国次贷危机在2008年引发的全球金融危机导致众多企业破产，使得美洲，欧洲和整个亚太地区的金融市场都遭受到了重大打击。风险管理的重要性已经大大凸显。 目前，国外学者和企业在风险管理研究和应用方面已经比较成熟，在企业的目标设置、财务管理、融资和投资决策、内部控制制度建设等方面，都可以看到风险管理的理念、方法和手段。然而，在我国风险管理研究与应用的相对滞后，许多国内企业的风险意识淡薄，并没有建立健全的风险管理体系，从而使风险管理困难。国资委在2006发布了中央企业全面风险管理指引，明确要求国有大型企业的风险管理体系建设的议事提到日程上来，有31家央企国资委被选为年度风险管理报告试点单位。此外，2009后，所有的央企都需要准备一份风险管理报告。在政策引导下，作为一家全资子公司的大型央企在2010开始建立风险管理体系，包括风险管理信息系统和内部控制系统，从而实现风险管理的总体目标提供合理保证。基于以上背景，本人在风险评估和内部控制系统的基本过程中进行了深入研究，结合某煤矿企业的具体需求，对风险评估信息系统的设计与实现进行研究。必须满足企业对各种风险分析系统、监测、预警、执行各职能部门、业务单位、整合和共享的要求，这不仅可以满足个人业务风险管理的要求，也能满足企业整体和跨职能部门、业务部门综合风险管理的要求，对建立和完善企业全面风险管理信息系统，提高企业风险决策和风险应对能力具有一定的借鉴意义。1.2 企业风险管理与风险评估1.2.1 企业风险管理 在风险管理这一新学科的研究中，不同学者对风险管理研究的重点不同，有的学者侧重于风险管理的出发点，有的侧重于管理目标，有的侧重于应用。因此，风险管理的定义存在着一定的差异，随着研究的不断深入，风险管理的差异也在不断变化。 IIA2003届主席武顿先生将风险管理定义为：企业风险管理就是通过确定、辨识、管控、组织潜在的事件，为组织目标的实现提供适当保证的过程。2003年，COSO发布企业风险管理（草案），其中对风险管理的定义是： 所谓企业风险管理，是由公司、管理及员工一起参与进行的，应用于企业目标设定阶段，涵盖了企业管理流程内部各部门的决定，其目的是检测企业的风险事件，确定可能造成的损失和在企业范围内的风险偏好以及风险控制，确保公司实现所需的战略目标。结合学者对风险管理分析的定义，笔者认为，企业风险管理是一个过程，这一过程适用于企业战略目标的建立和企业内部部门，由企业的董事会、管理层和其他员工共同参与，是用来识别可能影响企业事件和风险管理的范围内的风险管理和风险控制。1.2.2 企业风险评估企业风险评估过程主要包括风险识别、风险分析和风险评价等三个步骤。风险识别是整个风险管理的基础和出发点。它是收集，分类和分析各种可能影响企业的事件的管理过程。它的意义在于，如果企业所面临的各种风险，不能及时，准确地识别，就错过了有效应对这些风险的时机，使得相关职能部门的作用不能完全发挥出来，就不能不能有效地控制和风险管理。风险识别过程包括两个方面，即感知风险和风险分析。感知风险是风险识别的基础，这是建立在企业对目标的各种风险进行详细了解的基础上，风险分析的关键是风险识别，这是要分析造成各种危害的各种因素。风险评估既是对已经辨识出的风险进行分析评价，为接下来的风险提供风险管理的基础。风险管理人员应该要从两方面来进行风险评估，分别是可能性和风险程度，评价方法可以采取定量的方法，也可以用定性的方法。所谓的风险评估是基于风险识别上，通过大量的关于与使用风险评估工具相关联的风险的详细信息，使用概率论与数理统计方法分析数据和信息来计算可能性和风险的损失，最后列出的风险矩阵来评估风险事件。风险评估包括风险事件的频率和概率风险评估的可能性。它可以被形容为“几乎不可能”、“不太可能”、“可能”、“很可能”、“极有可能”等术语描述。风险发生影响程度分析，即分析某一风险事件在环境因素下可能导致的各种事故后果及其可能造成的损失，一般可以用“轻微”、“较轻”、“中等”、“较重”、“严重”等术语描述。最后，根据评分高低对风险进行优先次序的排列，该风险分数是根据概率和风险的影响计算，并且优先顺序是根据得分给出。1.3 国内外研究现状1.3.1 企业全面风险管理主要流程框架2004年9月，COSO委员会发表企业风险管理框架全体（即ERM）。ERM在此之前是1992年发表的内部统制整个框架主体内容的基础上，扩充和更新各国企业风险管理提供统一用语和概念体系的全面应用。国际上主流的风险管理理论框架主要是以美国为首的企业风险管理整合框架的，而我国资委中央企业全面风险管理指引是以澳大利亚、新西兰的澳新标准为基础的。（1）企业风险管理框架2004年9月，在COSO美国反虚假财务报告委员会管理组织中，实现了对上市公司的风险管理的参考标准的管理机构框架。其实质是建立一种共同的语言，为企业风险管理提供了明确的方向和指导。（2）澳新企业风险管理标准澳新银行的标准是由澳大利亚和新西兰联合标准委员会在2005年9月发行的，该澳新标准认为：企业风险管理是一个系统的，逻辑过程和方法，包括建立风险管理，风险识别，风险分析，风险评估；风险管理的基础应该是监督和咨询，沟通和评价穿插在公司的各项业务活动，职能部门和业务流程，使得公司实现最大限度地减少损失，最大限度地抓住机遇。（3）国资委中央企业全面风险管理指引国务院于2006年颁布了澳大利亚和新西兰的标准-中央企业全面风险管理指引，借鉴了澳新标准即澳大利亚和新西兰国家风险管理水平，风险管理，英国风险管理标准，美国COSO内部控制框架，COSO企业风险管理框架，萨班斯法案等行业标准文件进入中国的大型国有企业的实际情况，按照我国有关法律法规。COSO在其之前设计的内部控制框架的基础上，进行了扩展，加入了三个风险管理维度，即目标、管理层级、风险管理要素。目标用以描述企业期望实现的效果；管理层级分为整个企业、职能部门、业务单位、分支机构四层；风险管理要素就是实现企业目标需要凭恃的元素。三大管理维度之间的关系如下图1.3-1中的矩阵立方体所示。图1.1 COSO基础上的风险管理矩阵图Fig 1.1Risk management matrix based on COSO1.3.2 风险评估的主流技术与方法风险评估是风险管理的的重要组成部分，其不能单独存在，只有与风险管理中的环境因素，风险应对，监督及检查，记录与沟通一起才能发挥更大的作用。下面就对风险评估常用的技术和方法进行介绍，这些是风险评估活动中最具有代表性的技术与方法。（1）头脑风暴法在风险管理的风险评估活动中，由专业的分析团队在收一定的商业活动的资料后，结合实际，发挥他们自身的想象力，对商业活动有可能存在的风险作出假想，并提出相应的有效的应对方法及减少风险的策略。这个方法本身就有一种发散性想象的成分，分析团队的任何一个人都可以畅所欲言，就是把团队大脑中对该商业活动的风险进行最大的发掘，所以被称为“头脑风暴法”。（2）结构化或半结构化访谈针对商业活动的对不同的对象访谈可以有效发现商业风险。因为不同的人对同一种情况其看待角度不同，其结论也就不同。分析团队可以把访谈的结论当做有效的风险预见依据。访谈可以分为结构化和半结构化两种。前者有一定局限性，就是设定好具体的问题对访谈对象进行访谈，虽然目标明确，但可能有一些风险不能预知到。后者没有具体的议题，谈话更自由，对风险的预知能力加强，但工作量又大了。（3）风险矩阵为了有效的商业活动中存在的各种风险进行评估和分级，这就需要对各种风险用合适的图表进行表示，这里用矩阵图进行表示，成为风险矩阵。矩阵包含风险评估的背景，种类，等级等信息。（4）在险值法目前世界上的一些银行和监管金融的机构在对金融投资进行分析时，常采用一种以统计分析为基础的风险衡量技术。这就是在险值法。这种方法在风险评估中也可以使用，不过要考虑平评估的背景。（5）蒙特卡罗模拟分析风险评估具有的不确定性太多，其风险存在的不确定性也太多，这些都很难用已有的分析技术进行有效的分析和评估。虽然难分析，但可以用模拟的方法进行评估，假设不同的不确定性成立，模拟带来的后果，最后在总结模拟的结果，用抽样调查的方法进行统计分析，这种方法就叫做蒙特卡洛模拟分析。这种方法计算量很大，不过在当今计算机面前这些计算量都已不是问题。（6）贝叶斯统计学把已经知道的风险方面的信息和后面的假想的条件得到的测量数据相结合，并且根据这些依据评估风险的概率，在给风险分级。这个理论是由贝叶斯最先提出的，并且这种方法用到统计分析学，所以称为贝叶斯统计学。1.3.3 企业风险管理信息系统发展概况外国的经济管理理念比中国先进，风险管理的概念最先在国外发达的国家里。风险管理在国外运用的也是比较早。不过现在大家都认为风险管理的发展可以分为以下五个阶段。（1）仅限于处理简单事物的阶段。在上个世纪60年代，风险管理刚刚被建立，还处在初生阶段，其理论还不成熟，仅被应用在保险损失和报废等一些简单事务的风险预测和应对上。（2）风险管理标准形成阶段随着计算机技术的发展，风险管理业务员在上个世纪60-70年代采用计算机处理风险方面的实物。业务员可以用计算机系统处理收集的风险信息数据，通过特定的见方法得出风险发生的概率。计算机在风险管理方面的运用对风险管理的发展起到巨大的推动作用。（3）从数据调数据的阶段在上个世纪70年代末，计算机被用在建立风险管理的数据库上。该数据库的建立有利于风险管理的业务员从庞大的风险计算数据中解放出来。当在风险管理业务员需要相应的风险评估数据时，可以从数据库中调出直接采用。（4）风险管理决策支持阶段计算机的发展及其在风险管理的应用，建立的风险数据库数据越多功能越全面，其对风险管理做出的决策的影响力越大。风险管理者可以快速的根据数据库的数据做出最有利的决策。可以说这个阶段，风险数据库对风险管理的决策提供了强力的支持。（5）风险管理成熟阶段风险管理中网络的应用为风险管理中各种风险数据提供各种分析软件等工具，风险管理者可以可以用网络获得更多的风险预测信息，尽可能的预测商业活动的风险。可以说这种方法是目前最快速，最有效的我方法，这也标志着风险管理进入成熟阶段。1.4 论文的主要工作在此次的企业风险评估管理系统的设计中，作者主要负责的工作为系统数库的建立以及后期的调试，对研发的系统进行调试维护，并对煤炭企业的风险进行验证、评估，找出风险的外在影响因素。本次研究的课题就是为我国的企业制定出合适的风险评估管理信息系统。本次研究以一个具体的煤矿企业为实体，针对该企业面临的风险，制定出合适的风险评估管理信息系统，这个系统可以为企业提供风险分析，预测及应对措施等功能。在系统制定出后，还要实际运作满足企业风险管理的要求，能为企业发展带来实际效果。1.5 论文结构第1章 为绪论。在这一章，我主要是对本次研究的背景，研究意义和国内外风险管理的成果进行表述。煤矿企业是我国基础能源的供应的保障，企业发展的好坏直接关系到我国能源方面的供应，因此针对煤矿企业的风险方面的研究有很大的实际意义。第二章主要是介绍风险评估信息系统的设计及研究方法。对系统的设计思路、研究方法、技术、软件等作出介绍。最后为企业作出合适的风险管理预定系统框架。第3章 主要是对为企业设计的系统进行分析，根据企业的实际情况设定符合企业需求的系统权限及功能。第4章 主要是介绍系统的具体设计，是本文的核心部位。它详细介绍了本次设计的系统所要达到的目标及设计遵循的原则，而且还会对设计的每一个组成部分做出详细的介绍。第5章 是介绍管理信息系统的体系结构及相关技术的风险评估技术，对系统进行一个更详细的介绍。同时，这一章阐述了管理信息系统数据库和系统部署的风险管理工作的实际运行。第6章 是对设计的系统做最后的检测阶段。根据实际情况，输入相应的风险评估数据，在系统的操作下，检验系统得到的评估结果，并对结果做出分析，不合理的，要对系统进行调试，直至系统能正常工作为止。最后对本次研究做出总结，总结本次设计系统的功能及特点，还要通过研究找出自身设计系统的不足和需要改进的部分，并对我国企业风险管理的发展及其研究方向做最后的展望和预测。66北京交通大学硕士专业学位论文 第二章 风险评估系统设计实现基础综述第二章风险评估系统设计实现基础综述2.1风险评估信息系统建设的必要性为了建立健全企业的发展，我国国资委也出台了相应的规定，督促企业建立风险评估管理信息系统的建立和健全。在中央企业全面风险管理指引中，我国就明确要求企业建立风险评估管理信息系统，对于已经建立的或建立的不全面的，要求企业完善系统，并对系统进行更新，维护，补充等。在我国的一些发展好的，快的企业现在已经建立健全的风险评估管理信息系统，这也说明这个系统建立是符合企业自身发展的需要。由此可以得出对于当前的企业建立风险评估管理信息系统是必不可少的。2.2风险评估业务基础风险评估是企业建立风险管理体系的总要一个环节。风险评估的工作是围绕企业的经营范围，在企业商业活动的各个环节进行自身的工作。风险评估的工作流程包括，收集风险评估所需的风险信息阶段，根据收集的信息进行风险评估的阶段，根据风险制定相应的策略阶段，针对风险找到解决办法的阶段，风险评估的总结阶段。2.2.1风险评估过程我国的风险评估有自身的评估标准，风险评估的过程如图2.1所示。图2.1 风险评估过程Fig 2.1 Risk assessment process（1）明确环境信息收集风险评估所需的信息是风险评估的基础，风险评估的一切工作都是以此开始的。这收集的信息既有外部环境的，也有内部环境的，集最有效的信息，以方便风险评估的工作进行。（2）风险评估风险评估由三个方面组成，分别是：风险识别、风险分析、风险评价。在风险评估中用到的方法和技术很多，而且计算量很大，不过这些都可以用计算机来解决。（3）风险应对风险应对就是针对评估出的风险制定出相应的解决办法或应对策略。一般制定应对风险的方法呢策略不是一成不变的，它是可以根据实施后的实际情况进行有效调整的。在应对风险中及时调整方法和策略可以最大可能减少企业的损失。（4）沟通和记录风险评估工作还要有相应的记录，这样可以为以后的风险评估工作提供有效的依据，同时记录的数据还可以与以往的数据进行比较，从而修正或补充已有的风险数据库。（5）风险评估的监督和检查风险评估本身就是一个概率事件，自身的不确定因素很多，所以在评估风险后还要对风险评估进行监督和检查，以确定风险评估的正确性，当评估的风险已经不符合该次商业活动时，就要及时的进行新的分析按评估。也就是说风险评估是个动态变化的过程，所以需要实时的监督和检查。2.2.2风险评估业务范围我国的风险管理虽然起步晚，但在一些企业中其风险管理方面的工作经过多年的探索和实践，风险评估管理信息系统建立也逐渐完善。从总体上看我国企业的风险评估管理信息系统的建立工作还处于基础阶段。因此，我国企业的风险管理的主要工作就是健全风险评估信息的管理，建立相应的风险评估信息数据库，开发相应的计算软件对风险信息数据进行分析计算。我国企业风险评估信息管理系统目前就是把系统的基础设置在商业活动的各个环节，把基础建好，才能以后更好的把系统完善，最终把系统建成一个可以为我国企业提供风险评估平台的全国性大系统。本次研究的对象是煤矿企业，所以建立的风险评估系统要针对煤矿企业。煤矿企业作为我国的大企业，这样的大企业一般都有子公司，下属公司，其业务范围广，商业风险大，所以风险评估业务范围也就大。风险评估业务要涵盖煤矿企业的所有商业活动。这就需要企业在建立企业自身的总风险评估管理信息系统的基础上，在企业的子公司，丛属公司也要建立系统的分系统。分系统为总系统提供数据支持，总系统对分系统进行统一管理，这样就能对整个煤矿企业提供更健全的风险评估机制。风险管理在信息方面涵盖范围广，有可能涉及企业的核心机密，所以在建立风险评估管理信息系统要对不同的用户设置不同的权限，防止企业发生泄密事件。2.2.3 用例图 项目管理：风险评估计算系统项目管理模块由组织管理者、工程负责人和评估人员共同参与,如图2.2所示,通常风险评估项目由申请单位提出申请后,组织管理者来制定项目的日程、项目负责人、评估参与人员等安排,并填写项目的相关信息如项目的名称,申请单位、委托方的信息,评估系统的信息等。图2.2 项目管理用例图Fig 2.2 Project management use case diagram评估控制：评估控制主要涉及评估过程中项目方案和项目管理的制定和审批。如图2.3所示,当组织管理者将项目创建后,工程负责人将接手并开展评估项目,制定项目详细评估方案,如评估项目时间进度,并根据评估方案分配评估人员的具体工作。图2.3 评估控制用例图Fig 2.3 Evaluate control case diagram评估实施：评估实施是风险评估计算系统实现风险评估计算的模块,主要包括评估识别、评估设置、评估赋值以及对它们的管理。如图2.4所示,在前序工作做完后,评估项目进入实质评估阶段时,工程负责人和评估人员就按照风险评估流程进行工作。图2.4 评估实施用例图Fig 2.4 Evaluate the implementation of the use case diagram2.3软件工程与IT技术基础2.3.1软件过程自从有了计算机开始，软件也就有了。虽然软件的发展已经有半个世纪有余，但现在软件还是不能尽善尽美，还是要不断地更新，改造。这在目前形成了一门新的学科-软件工程学。一个软件的生命周期包括从研发到衰亡的全过程。这个生命周期一般分为制定计划，需求分析，编码设计，测试，运行，维护六个部分。最早的软件都是按照这六个部分的模式按顺序来设计，呈线性，可以称为“瀑布模式”。目前的开发是以体系模块为结构基础的设计。以体系结构为基础根据需求把不同的体系结构组装成自己想要的软件。这种软件开发模式在设计，开发，运行，升级，维护等方面有着显著的优势。2.3.2软件复用与构件技术一种软件的衰亡后，其并不是完全报废的，它的一些东西还是有利用价值的，如软件设计的一些数据，编写代码等都可以作为其他软件编写的借鉴资料。重复使用软件的组成部分就叫做软件复用。软件复用是1968年由McIlroy最先提出的，经过半个世纪的发展，软件复用已经由最初的代码复用发展到可以复用软件中的每一个可以复用的信息的地步。软件复用可以有效的减少软件的开发设计时间，提高软件的更新速度。软件的复用有利于软件构建技术的产生，软件构件技术的的产生更新了软件设计的技术。软件构件技术使得软件设计就像搭积木的方式一样设计软件。软件复用减少了软件开发的代价，并且增强了软件的稳定性和可修复性。互联网的时代，软件复用已经达到软件体系复用的地步，这就更提高了软件的开发速度。软件构件技术在目前已经有了相应的标准。主要标准有SUN公司的javaBean/EJB技术，微软公司的COM和COM+技术，OMG的Corba技术。这些技术标准为应用软件的开发提供一个健全标准的开发平台。标准的产生有利于软件开发语言的统一，软件的复用率也加大了，软件的开发难度也就降低了。2.3.3数据库设计技术数据库的设计的建立是系统设计的基础，它是建立数据库，实现系统功能的关键。数据库设计顾名思义就是把系统的信息数据按照一定的模型组织起来。数据库的设计要实现数据信息的储存，维护，索引，调用等功能。数据库的设计包含四个设计阶段：（1）需求分析阶段，这个阶段任务是分析业务的需求，是整个设计的基础，而且要处理大量的数据，是整个设计最耗费时间的阶段；（2）概念设计阶段，这个阶段就是根据分析得出的需求形成数据库设计的给整体设计概念，这是整个设计的关键；（3）逻辑设计阶段，该阶段就是根据设计的概念，设计出符合逻辑的数据库模式，这是数据库设计实现的重要步骤；（4）物理设计阶段，这个阶段就是根据逻辑设计，设计出可以符合业务运行的数据库设计，是数据库设计实现的最后一步。2.3.4 技术架构设计本文的企业风险管理信息系统主要基于J2EE体系，采用Java语言、JSP技术、B/S模式、SSH框架进行开发工作。J2EE是基于分布式的多层应用模型，在这种模型中，应用逻辑按功能划分为不同的组件，各个应用组件根据他们所在的层分布在不同的机器上。一个多层化应用能够为每种不同的服务提供一个独立的层。下图展示了J2EE的分布式多层应用模型。运行在客户端机器上的客户层(Client Tier),运行在J2EE服务器上的Web层(Web Tier)、运行在J2EE服务器上的业务逻辑层(Business Tier)以及运行在服务器上的企业信息系统层(Enterprise InformationSystem Tier)。如图2.2所示。图2.2 J2EE体系结构Fig 2.2 J2EE architectureB/S结构，即浏览器/服务器(浏览器/服务器)结构，随着互联网技术的发展，及改进的结构，B/S结构的兴起，用户在客户端只需安装浏览器即可使用，例如在Netscape中的Navigator浏览器和IE浏览器(Internet Explorer)在服务器端可以安装数据库SYBASE,Informix,Oracle,SQL Server。浏览器通过Web服务器与数据库进行交互数据。用户界面是通过WWW浏览器实现的，在某些部分处理逻辑不在前面，但在后端服务器，形成三层结构的所谓的主逻辑上实现。图2.3 结构图Fig 2.3 Structure diagram2.3.4主流技术（1）AJAX技术 AJAX相当于在用户和服务器之间增加一个中间层，使用户操作和服务器响应异步化。它不是将所有的用户请求都提交给服务器处理，内存中的数据编辑、页而导航、数据校验这些不需要重新载入整个页而的需求可以交给AJAX引擎来执行，只有确实需要从服务器读取新数据时，再由AJAX引擎向服务器发出一个异步请求。所以用户无需等待/请求响应，可以进行其它的操作。两种方式的对比如图2.4所示。图2.4 传统Web方式与Ajax工作方式比较Fig 2.4 Comparison of the traditional Web mode and Ajax working mode（2）JFreeChart技术 JFreeChart是一款优秀的图表生成插件，已经被认为是目前最好的Java图形解决方案，它提供了基于C/S和BS构下生成各种图片格式的图表，这些图表主要包括:柱形图、折线图、饼图、面积图、分布图、混合图以及一些仪表图等等。 JFreeChart由2个核心的包构成:org jfree chart包，该包根据用户传入的数据集和一些图表属性的设置来显示图表;org jfree data包，该包主要是为图表提供数据，将用户输入的数据形成不同的数据集，这些数据集提供该JFreeChart引擎形成各种图表。2.4 本章小结在本章中主要对风险评估管理信息系统建立地的必要性，风险评估业务的范围，做了论证和说明。同时还对系统所用到的软件工程的技术做了一些介绍，特别是软件开发所用到的技术及发展历程较为详细的介绍。北京交通大学硕士专业学位论文 第三章 风险评估系统需求分析第三章风险评估系统需求分析3.1风险评估系统概述企业风险管理的工作核心还是企业，它的一切工作都是为企业服务的。风险管理的风险评估管理信息系统的业务重要是为企业提供风险评估服务，还为企业提供一个风险识别，风险信息共享的平台。本次研究设计的针对煤矿企业设计的系统，其实用性更强，具有企业风险环境设置、风险识别、风险量化评估、风险分析、风险应对管理、风险监控、风险案例展示等功能。这个系统还要有人性化设置，可以针对不同客户设置不同的权限，还可以根据企业自身的需求针对风险分析自动生成分析图表和表格。3.2风险评估总体需求现研究对象为国有煤矿企业，其信息化建设的基础已经具有。企业本身具有局域网，并且还与互联网实现了连接。企业在办公上拥有OA，ERP等信息系统，已经形成自己的信息化体系。因此针对该企业的风险评估信息系统的建立要适应企业的信息系统。这可以采用先进的通讯设备，建立风险评估系统与企业自身的信息系统实现信息共享和连接，这样还可以避免在建立风险评估管理信息系统时与企业信息相重复的信息建设多花费投资，减少了系统建立的花费。风险评估管理信息系统正常运行要确保收集的各部门的业务信息经过处理后的风险值的唯一性，输入计算机的数据要准确，快速，完整，而且数据库的设计不能随意更改。风险评估管理信息系统还要具有对各种风险识别，分析的能力。还能根据风险的级别进行报警。这就需要系统有定点，定量的分析能力，还要有设置风险监控指标的能力。风险评估管理信息系统的建立要能全面负责企业所用部门的业务范围。这就要求风险评估信息管理系统除了在企业总部建立系统总部外，在企业的子公司，从属公司建立分系统。企业的各个公司和部门能够实现信息共享，企业的下属公司的系统为总公司的系统提供数据支持，总公司的系统对公司的风险管理的各个阶段进行统一的规划和管理。这样就为风险管理系统的的改进更新奠定了基础。3.3风险评估业务流程分析根据风险评估的业务过程，结合企业实际情况，分析得到如图所示系统业务流程。图3.1 风险评估管理业务流程图Fig 3.1 Risk assessment management business process chart从上面的图可以看出基础环境设置、风险评估、风险应对、风险监控、监督改进循环共同组成风险评估的业务的流程图。3.3.1基础环境设置基础环境设置是风险评估系统业务流程的第一步。风险评估系统基础环境设置主要由内容有系统信息设置和风险评估基本信息设置两部分组成。系统信息设置：该设置包括人员信息设置，组织机构设置，权限设置，功能设置，角色设置，数据字典设置。风险评估基础信息设置：这个设置包括企业风险类别设置，企业风险监控指标设置，企业目标设置，企业风险事件识别。3.3.2风险评估风险评估是风险基础环境设置完成后的风险评估业务的第二步。风险评估阶段完成的主要工作包括风险识别，调查问卷，数据整理，风险数据分析整理等。并且把整理好的风险数据汇总到系统的风险数据库中。风险识别就是对收集的风险信息识别判别出风险的类别。调查问卷就的工作是针对风险问题设置好调查问卷，提前设置好调查的问题，向调查对象发放问卷，跟踪答卷，并对问卷进行汇总。数据整理就是对调查问卷得到的数据进行初步整理。风险数据分析整理就是对初步整理的数据进行分析后的再次整理。3.3.3风险应对风险评估完成后就进入风险业务的风险应对阶段。风险应对根据风险评估得到的风险种类和等级采取相应的应对。这个应对包括应对措施的收集，管理和跟踪三部分。应对措施的收集是针对不同的风险采用的措施不同，所以应对措施较多要有一个初步的管理。应对措施的管理就是对应对风险的各个措施实施做出有效的安排。应对措施的跟踪就是对风险和风险应对措施进行跟踪，在措施不能解决风险时，及时更换新的应对措施。3.3.4风险监控风险监控就是指企业针对自身面临的风险，在风险评估管理信息系统设置风险警示值。在风险的等级超过警示值时，给企业的相关部门报警，让企业及时处理。3.3.5监督改进根据风险评估情况生成风险评估报告，再有风险评估的专家针对风险评估报告提出意见和改进建议。企业根据专家的建议对风险管理工作进行监督和改进，为下次风险评估提供有效的数据。整个风险评估业务工作流程就是在这个循环的过程中不间断的进行风险评估工作。3.4风险评估主要业务功能需求分析3.4.1组织机构设置根据企业风险管理建立相应的组织机构，该组织机构能够满足企业风险管理的需求，能够对风险管理的各个组织机构下达命令和任务，能够协调各个部门的工作。还有一点就是这个机构要支持二级企业的使用。3.4.2风险环境设置 企业风险评估要设置目标，这个目标的数量可以根据企业的需求增减，企业还可以根据实际情况对各个目标设置不同的风险评估的权限。 针对风险设置风险类别，这样可以对企业的风险进行识别，在这个基础上再给风险设置等级。在这个风险等级的模型中，一级风险下是二级风险，二级风险下是风险事件。这样的模式有利于风险管理系统对各部门汇总的风险事件进行审核分析。 风险按照两级进行管理，一级风险下是二级风险，二级风险下就是对风险事件进行直接管理。在对风险时间的管理上，风险事件与处理风险各部门形成责任管理，各部门在处理风险事件时协同合作，那个环节出问题对那个部门直接问责。一级，二级风和审批后的风险事件构成了企业的风险信息数据库。3.4.3风险识别风险信息库构建完成后，业务部门可以对企业风险数据库不包含的风险事件进行识别，这些风险事件在经过更显管理部门的审批下就可以纳入风险事件数据库。业务部门对提交的风险事件进行审批通过后要有一个反馈信息，这个信息对业务部门处理风险事件提供处理依据。3.4.4调查问卷根据风险管理的工作，进行自动设计风险调查问卷的要求，来创建一个调查问卷。每年调查问卷都必须有二级风险或风险事件的概率对企业目标的影响力。每年的调查问卷可以有多个，问卷的的调查范围由风险管理部门确定。风险管理审批后并通过的由二级单位及其他部门汇总的风险事件，在下一年自动列入调查问卷的范围。由风险管理部门指定的答卷人进行答卷。不同职务和岗位的人对答卷的所答要求不同，企业高层从二级风险开始答卷，其他部门和二级单位的员工从风险事件开始答卷。按要求参与调查的人员在答卷截止日期前都可以可随时修改和保存所答的案卷。答卷答题到截止日期后，由各部门分别对本部员工的答卷进行打印，以便于疯转保存。风险管理部门的人员拥有随时浏览答卷的特权，这样能够随时了解答卷的进度及答题人员所答的答案，并可以打印备案。最后要答卷汇总，对答卷的答案进行统计分析，这个可以按照部门，目标等进行分类统计，便于后期的分析。3.4.5风险分析数据校正，可以实时收集问卷的所有结果，根据结果分析计算出一级，二级风险及风险事件对企业的目标的威胁性，根据需要可以修正二次风险的计算结果，修正后的数据会造成一级风险的计算结果刷新。所有的修正后的数据不会改变原来的调查问卷的汇总结果。突出显示调整后的数据统计结果可以被引入到Excel文档。 。系统可根据风险评估的结果对各类风险进行排序，根据风险的种类级别进行汇总形成图谱，该系统可以提供诸如气泡图表，曲线分布，波形图等图，但是不能生成矩阵图谱。系统所生成的图都可以导出打印。由上面的风险图谱，风险管理部门可以推断出各类风险对企业目标的影响，在对影响的大小进行风险分析，得出对企业最有利的风险分析。可以浏览历史问卷修订的计算结果和数据信息，以及各种图，表等的研究结果的历史数据。3.4.6风险应对风险管理部门根据辨识出来的风险进行风险应对的处理。风险的应对措施由业务的各部门针对风险提出，再由风险管理人员进行汇总，审核，修改，整理。整理好的应对措施在交给相应的部门进行实施。风险管理还要对应对措施及风险进行实时监督，观察应对措施的效果，随时针对风险调整应对措施。3.4.7风险监控风险管理部门可以随时对监测指标进行添加，修改，删除，各项指标和配置比较的方法，预警值，最大最小范围风险管理也可以修改。对于风险监测指标，由相关部门或由风险管理部门二级单位记录监测数据，但也可以是其他应用系统的接口，实现数据共享。现在的技术要求系统可以自动提示，风险提示一般采用警醒色或警示灯和仪表等进行提示报警。系统目前只能进行定量数据的监控，还不能实现全部监控，对风险监控指标也分为核心指标与辅助指标两种。3.4.8风险报告风险评估报告是系统针对计算生成的一级、二级风险评估结果、风险图谱、风险排序、风险应对措施和日常风险监控数据等可定制的统计报表。风险报告的根据不同企业，不同部门，其频次可分为月报、半年报、年报等。生成的报告可以以Word格式的文档进行保存。风险报告最终由风险管理部门进行数据汇总、修改、调整后就形成标准的风险报告。3.4.9风险案例库收集和整理国内和外国企业风险管理典型案例形成风险管理案例库，并对所有员工开放，以便内部员工对风险管理学习。风险案例数据库由风险管理部门进行管理和维护。3.5风险评估系统主要用户及其业务分析（1）集团企业领导完全控制集团公司总部和下属单位的风险管理,包括企业面临的主要风险与相应风险措施实施情况及企业风险管理主要监测指标预警信息等。还要对企业的从事的商业活动进行风险评估。这些都是企业领导的要求。（2）集团企业风险管理业务人员主要工作是针对企业全面的风险管理,包括风险信息数据库维护，审批确认的风险事件,风险事件指定部门的责任、风险监控指标设置和数据维护,主要风险识别，风险应对策略的生成，应对措施的最终确定,管理风险评估问卷,查看风险问卷调查进度和汇总数据对集团公司的风险进行具体评估,还有就是对风险管理进行动态的信息管理，及时公布风险管理的数据，还要对风险管理系统的数据库等进行维护。（3）集团企业各业务部门人员该部分员工的工作时熟悉了解风险管理知识库的信息，并在线填写风险问卷，了解一定的风险数据，是系统重要的风险管理数据源之一。（4）二级企业领导二级企业领导的主要工作是根据风险数据对企业商业活动作出相应的风险评估，熟悉本企业的风险管业务，包括企业面临的工作，应对风险的措施，风险的监控指标。（5）二级企业风险管理人员该部分员工的工作是负责整个企业的风险管理。其面对的风险管理的工作包含风险的识别确认，风险的应对措施的制定，风险数据库的管理，风险事件的审批，风险事件处理部门的责任认定。其中风险数据库的管理包括风险数据库数据的修订，补充及数据库的维修。同时这部分员工还要给企业进行风险评估，并形成风险报告给上级，对风险管理系统的信息进行及时更新。（6）二级企业业务人员只负责二级企业的风险管理中的风险识别，问卷调查，风险数据的收集处理，及对本级企业风险管理系统的维护。（7）系统管理人员对企业风险管理系统进行日常管理维护工作，根据企业的需求对系统进行实际的操作管理。包括系统的子系统的建立，系统机构和人员的管理。3.6 本章小结在本章中主要是以煤矿企业的风险管理为样板，对风险管理的风险评估业务的工作流程进行分析，并针对企业的风险业务需求进行系统的设计分析和系统的应用客户分析。北京交通大学硕士专业学位论文 第四章 风险评估系统设计第四章风险评估系统设计4.1 风险评估系统设计目标风险管理的系统在建立时的定位就是成为企业风险识别，评估，管理，及风险信息共享的平台。企业之所以建立风险管理系统是为了对企业发展的目标面临的风险进行评估和应对管理。通过本课题设计的软件系统需要有以下功能：（1）处理企业日常风险管理的工作；（2）胜任企业风险管理业务扩展工作；（3）符合国际相关标准及国家有关风险管理要求；（4）达到企业自身信息化建设需求。4.2 风险评估系统设计原则在系统设计过程中，有下面几个设计原则：（1）先进性系统建设要与时俱进，要符合企业发展的需求，就要保持系统的的先进性。本次系统的设计所采用的风险管理模型及风险计算方法都是目前国内最先进的。这样能保证风险数据计算的准确度。先进的管理系统还能对风险管理数据进行自动化的管理，大大提高了风险管理业务上的工作效率。（2）安全性系统建设后要处理企业风险业务有些可能涉及到企业发展的核心秘密，系统上又有数据信息共享功能，这就要求系统在设计时要有安全设置。这个安全设置可以针对不同的人进行不同权限的设置，还要对系统的使用人群进行监控，形成使用日志以方便查询。（3）易用性系统在建立后必须使用方便，并根据企业的要求进行操作设置。这就需要系统的操作页面简单实用，处理风险管理工作生成的风险数据，风险图表，风险报告要快速且易于导出。（4）稳定性系统在建立后要能满足企业风险管理的日常工作需要，并能长期正常的被使用，这就要求系统的稳定性要强。系统在被使用时要能满足多人同时操作，还要能够实现互联网操作，这也要求系统稳定性要强。（5）扩展性系统在建立时就要留有后期升级和扩展的余地。在企业使用系统时，企业的业务可能有变更，这就要求系统升级扩展满足企业使用的要求。4.3 风险评估系统安全设计现如今IT技术的发展越来越先进，同时信息化的到来，使人们也日益对信息安全问题的重视。风险管理的系统涉及到企业核心发展机密，必须对这类信息的安全做好安全防范措施。安全措施包括以下三个方面来进行：4.3.1网络与服务器级安全风险评估管理信息系统在使用与互联网连接时，设置防火墙，对网络上的非法访问进行阻挡，在企业外的访问时采用VPN技术保障系统的网络安全。风险评估管理信息系统在使用时有专门的服务器，这样能有效保存系统的数据的存储完整安全。4.3.2系统级安全风险评估管理信息系统部署在Windows平台，它提供了完整的存取控制、内存保护、强制登录等安全性措施，操作系统满足相关的安全标准，提供了最基本的安全保证。数据库采用MS Sqlserver2005服务器，强化SA口令，信息系统采用专用账号和口令，限制访问权限。4.3.3应用级安全（1）权限管理与访问控制本系统的权限管理和访问控制从两方面来管理。一是不同用户的权限管理，根据使用的用户的职务等不同，对用户进行权限设置，进而进行访问管理。二是从数据的权限管理进行下手，根据数据的重要性进行数据管理控制，在使用时进行安全控制。这样就可以加强安全系统的应用安全。（2）安全审计系统设计中记录用户访问行为，包括用户登录、退出，对数据的增加、修改、删除进行详细的记录，记录操作时间、操作数据、操作的行为、操作者帐号、操作者IP。提供用户操作日志审计功能，能够审计详细的用户操作。4.4 风险评估系统总体架构设计 本设计采用的架构图如图4.1所示：图4.1 企业全面风险管理系统总体架构图Fig 4.1 Over