企业风险评估管理信息系统的设计.docx

《企业风险评估管理信息系统的设计.docx》由会员分享，可在线阅读，更多相关《企业风险评估管理信息系统的设计.docx（90页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、学位论文版权使用授权书本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索，提供阅览服务，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国家有关部门或机构送交论文的复印件和磁盘。学校可以为存在馆际合作关系的兄弟高校用户提供文献传递服务和交换服务。（保密的学位论文在解密后适用本授权说明）学位论文作者签名： 导师签名：签字日期： 年 月 日 签字日期： 年 月 日致 谢在本次的毕业设计中，我所选做的是企业风险评估管理信息系统的设计与实现，在老师和同学们的帮助下成功的实现了想要的功能，得到老师的认

2、可。通过本次设计我发现，只有充分的理解理论知识；才能够将书本上的理论知识与生产实际相整合，理论知识服务于社会生产，以增强自己的实践动手能力。这个毕业设计为我积累了宝贵的经验。通过本次毕业设计，让我明白了理论和实际的距离，也明白了把理论和实际进行结合的重要性，也从中学得了很多书本上和课堂上无法得知的知识。在此，感谢所有在本次设计过程中，为我提供帮助的那些人，没有你们，我不能如此顺利的完成这次设计，谢谢你们！I北京交通大学硕士专业学位论文 目录摘 要 根据煤矿企业的实际需求,本文设计并实现了企业风险评估管理信息系统。系统实现了风险识别、多维风险分析和演示,以及风险评估和响应,实时监控的主要风险和其

3、他业务风险评估和管理。系统在煤矿企业的操作中取得了良好的效果,从而满足企业风险管理的需要。 在本文中,我们研究如何将风险管理理论和软件工程相互结合起来，并用其设计和实现风险评估和管理信息系统。通过风险管理理论和方法的研究,结合企业风险管理的现状,确定了风险评估信息系统的主要任务是解决风险识别、风险分析、风险评估和应对三大风险评估业务问题。这个信息系统使用问卷调查、专家评估、企业领导的认可等方式识别重大风险。基于组件组装法的研究,将其用到设计和开发企业风险评估管理信息系统中来。通过基于构件的组装方法来构造软件系统。使得软件系统的结构更加清晰,这有利于系统的设计、开发和维护。因为企业风险评估是一个

4、复杂的系统工程,因此设计实施风险评估信息系统的关键是确定风险评估信息系统的实际业务需求和先进技术的使用。在系统设计的过程中,我们将引入风险管理顾问的经验和工作流程的过程,并采取先进的风险评估模型,以确保系统的先进和可用性。 关键词:风险评估；系统工程；服务器；先进技术AbstractAccording to the actual demand of coal mine enterprise, this paper designs and realizes the enterprise risk assessment management information system. The syst

5、em has realized the risk identification, multi dimensional risk analysis and demonstration, as well as the risk assessment and response, real-time monitoring of the major risks and other business risk assessment and management. The system has achieved good results in the operation of coal mining ent

6、erprises, which can meet the needs of enterprise risk management.In this paper, we study how to integrate risk management theory and software engineering into each other, and use it to design and implement risk assessment and management information system. Through the risk management theory and meth

7、ods, combined with the current situation of enterprise risk management, the main task of risk assessment information system is to solve the risk identification, risk analysis, risk assessment and response to three major risk assessment business issues. This information system uses a questionnaire su

8、rvey, expert assessment, recognition of corporate leadership and other ways to identify major risks. Based on the research of component assembly method, the design and development of enterprise risk assessment and management information system is put into use. The software system is constructed by m

9、eans of component based method. The structure of the software system is more clear, which is beneficial to the design, development and maintenance of the system.Because enterprise risk assessment is a complex system engineering, the key to design and implement the risk assessment information system

10、is to determine the actual business needs and the use of advanced technology in the risk assessment information system. In the process of system design, we will introduce the experience of risk management consultants and the process of work flow, and take the advanced risk assessment model to ensure

11、 the advanced and availability of the system.Keywords: risk assessment; system engineering; server; advanced technologyV目 录摘 要IAbstractII目 录I第一章 绪论11.1 选题背景11.2 企业风险管理与风险评估11.2.1 企业风险管理11.2.2 企业风险评估21.3 国内外研究现状31.3.1 企业全面风险管理主要流程框架31.3.2 风险评估的主流技术与方法41.3.3 企业风险管理信息系统发展概况51.4 论文的主要工作61.5 论文结构7第二章 风险评

12、估系统设计实现基础综述82.1 风险评估信息系统建设的必要性82.2 风险评估业务基础82.2.1风险评估过程82.2.2风险评估业务范围92.2.3 用例图102.3软件工程与IT技术基础122.3.1软件过程122.3.2软件复用与构件技术122.3.3数据库设计技术122.3.4 技术架构设计132.3.4主流技术142.4 本章小结15第三章 风险评估系统需求分析163.1风险评估系统概述173.2风险评估总体需求173.3风险评估业务流程分析173.3.1基础环境设置183.3.2风险评估193.3.3风险应对193.3.4风险监控193.3.5监督改进193.4风险评估主要业务功能

13、需求分析203.4.1组织机构设置203.4.2风险环境设置203.4.3风险识别203.4.4调查问卷203.4.5风险分析213.4.6风险应对213.4.7风险监控213.4.8风险报告223.4.9风险案例库223.5风险评估系统主要用户及其业务分析223.6 本章小结23第四章 风险评估系统设计244.1 风险评估系统设计目标244.2 风险评估系统设计原则244.3 风险评估系统安全设计254.3.1网络与服务器级安全254.3.2系统级安全254.3.3应用级安全254.4 风险评估系统总体架构设计264.5 风险评估系统总体功能设计274.5.1风险信息共享284.5.2风险环

14、境设置284.5.3调查问卷管理294.5.4风险评估314.5.5风险应对324.5.6风险监控334.5.7风险报告334.5.8风险案例库334.5.9系统管理334.6风险评估系统数据接口设计354.7风险评估系统数据库设计364.7.1数据业务逻辑分析364.7.2数据库结构设计384.9 本章小结42第五章 风险评估系统实现435.1风险评估系统实现技术架构435.2系统实现采用的相关技术445.3风险评估管理系统功能实现445.3.1风险信息共享455.3.2风险环境设置455.3.3调查问卷管理465.3.4风险评估475.3.5风险应对495.3.6风险监控495.3.7风险

15、报告505.4数据库实现505.5系统运行与部署实现505.6本章小结51第六章 风险评估系统测试526.1测试环境526.2测试方法526.3测试用例536.4测试结果及处理556.5本章小结56第七章 总结与展望577.1 总结577.2 展望57参考文献59附录 A62索引63作者简历及攻读硕士/博士学位期间取得的研究成果64独创性声明65学位论文数据集66北京交通大学硕士专业学位论文 第一章 绪论第一章 绪论1.1 选题背景 千禧年后,由于外界市场环境的持续变化和信息技术的快速发展,越来越多的风险开始影响企业，投资者和他们的利益相关者在各种危机中损失其经济利益。事实上,如果决策者不能有

16、效控制风险和及时响应,企业可能就会遭受到打击。由美国次贷危机在2008年引发的全球金融危机导致众多企业破产，使得美洲，欧洲和整个亚太地区的金融市场都遭受到了重大打击。风险管理的重要性已经大大凸显。 目前，国外学者和企业在风险管理研究和应用方面已经比较成熟，在企业的目标设置、财务管理、融资和投资决策、内部控制制度建设等方面，都可以看到风险管理的理念、方法和手段。然而，在我国风险管理研究与应用的相对滞后，许多国内企业的风险意识淡薄，并没有建立健全的风险管理体系，从而使风险管理困难。 国资委在2006发布了中央企业全面风险管理指引，明确要求国有大型企业的风险管理体系建设的议事提到日程上来，有31家央

17、企国资委被选为年度风险管理报告试点单位。此外，2009后，所有的央企都需要准备一份风险管理报告。在政策引导下，作为一家全资子公司的大型央企在2010开始建立风险管理体系，包括风险管理信息系统和内部控制系统，从而实现风险管理的总体目标提供合理保证。 基于以上背景，本人在风险评估和内部控制系统的基本过程中进行了深入研究，结合某煤矿企业的具体需求，对风险评估信息系统的设计与实现进行研究。必须满足企业对各种风险分析系统、监测、预警、执行各职能部门、业务单位、整合和共享的要求，这不仅可以满足个人业务风险管理的要求，也能满足企业整体和跨职能部门、业务部门综合风险管理的要求，对建立和完善企业全面风险管理信息

18、系统，提高企业风险决策和风险应对能力具有一定的借鉴意义。1.2 企业风险管理与风险评估1.2.1 企业风险管理 在风险管理这一新学科的研究中，不同学者对风险管理研究的重点不同，有的学者侧重于风险管理的出发点，有的侧重于管理目标，有的侧重于应用。因此，风险管理的定义存在着一定的差异，随着研究的不断深入，风险管理的差异也在不断变化。 IIA2003届主席武顿先生将风险管理定义为：企业风险管理就是通过确定、辨识、管控、组织潜在的事件，为组织目标的实现提供适当保证的过程。2003年，COSO发布企业风险管理（草案），其中对风险管理的定义是： 所谓企业风险管理，是由公司、管理及员工一起参与进行的，应用于

19、企业目标设定阶段，涵盖了企业管理流程内部各部门的决定，其目的是检测企业的风险事件，确定可能造成的损失和在企业范围内的风险偏好以及风险控制，确保公司实现所需的战略目标。 结合学者对风险管理分析的定义，笔者认为，企业风险管理是一个过程，这一过程适用于企业战略目标的建立和企业内部部门，由企业的董事会、管理层和其他员工共同参与，是用来识别可能影响企业事件和风险管理的范围内的风险管理和风险控制。1.2.2 企业风险评估 企业风险评估过程主要包括风险识别、风险分析和风险评价等三个步骤。 风险识别是整个风险管理的基础和出发点。它是收集，分类和分析各种可能影响企业的事件的管理过程。它的意义在于，如果企业所面临

20、的各种风险，不能及时，准确地识别，就错过了有效应对这些风险的时机，使得相关职能部门的作用不能完全发挥出来，就不能不能有效地控制和风险管理。 风险识别过程包括两个方面，即感知风险和风险分析。感知风险是风险识别的基础，这是建立在企业对目标的各种风险进行详细了解的基础上，风险分析的关键是风险识别，这是要分析造成各种危害的各种因素。 风险评估既是对已经辨识出的风险进行分析评价，为接下来的风险提供风险管理的基础。风险管理人员应该要从两方面来进行风险评估，分别是可能性和风险程度，评价方法可以采取定量的方法，也可以用定性的方法。 所谓的风险评估是基于风险识别上，通过大量的关于与使用风险评估工具相关联的风险的

21、详细信息，使用概率论与数理统计方法分析数据和信息来计算可能性和风险的损失，最后列出的风险矩阵来评估风险事件。 风险评估包括风险事件的频率和概率风险评估的可能性。它可以被形容为“几乎不可能”、“不太可能”、“可能”、“很可能”、“极有可能”等术语描述。风险发生影响程度分析，即分析某一风险事件在环境因素下可能导致的各种事故后果及其可能造成的损失，一般可以用“轻微”、“较轻”、“中等”、“较重”、“严重”等术语描述。最后，根据评分高低对风险进行优先次序的排列，该风险分数是根据概率和风险的影响计算，并且优先顺序是根据得分给出。1.3 国内外研究现状1.3.1 企业全面风险管理主要流程框架 2004年9

22、月，COSO委员会发表企业风险管理框架全体（即ERM）。ERM在此之前是1992年发表的内部统制整个框架主体内容的基础上，扩充和更新各国企业风险管理提供统一用语和概念体系的全面应用。国际上主流的风险管理理论框架主要是以美国为首的企业风险管理整合框架的，而我国资委中央企业全面风险管理指引是以澳大利亚、新西兰的澳新标准为基础的。 （1）企业风险管理框架 2004年9月，在COSO美国反虚假财务报告委员会管理组织中，实现了对上市公司的风险管理的参考标准的管理机构框架。其实质是建立一种共同的语言，为企业风险管理提供了明确的方向和指导。 （2）澳新企业风险管理标准 澳新银行的标准是由澳大利亚和新西兰联合

23、标准委员会在2005年9月发行的，该澳新标准认为：企业风险管理是一个系统的，逻辑过程和方法，包括建立风险管理，风险识别，风险分析，风险评估；风险管理的基础应该是监督和咨询，沟通和评价穿插在公司的各项业务活动，职能部门和业务流程，使得公司实现最大限度地减少损失，最大限度地抓住机遇。 （3）国资委中央企业全面风险管理指引 国务院于2006年颁布了澳大利亚和新西兰的标准-中央企业全面风险管理指引，借鉴了澳新标准即澳大利亚和新西兰国家风险管理水平，风险管理，英国风险管理标准，美国COSO内部控制框架，COSO企业风险管理框架，萨班斯法案等行业标准文件进入中国的大型国有企业的实际情况，按照我国有关法律法

24、规。 COSO在其之前设计的内部控制框架的基础上，进行了扩展，加入了三个风险管理维度，即目标、管理层级、风险管理要素。目标用以描述企业期望实现的效果；管理层级分为整个企业、职能部门、业务单位、分支机构四层；风险管理要素就是实现企业目标需要凭恃的元素。三大管理维度之间的关系如下图1.3-1中的矩阵立方体所示。图1.1 COSO基础上的风险管理矩阵图Fig 1.1 Risk management matrix based on COSO1.3.2 风险评估的主流技术与方法 风险评估是风险管理的的重要组成部分，其不能单独存在，只有与风险管理中的环境因素，风险应对，监督及检查，记录与沟通一起才能发挥更

25、大的作用。下面就对风险评估常用的技术和方法进行介绍，这些是风险评估活动中最具有代表性的技术与方法。 （1）头脑风暴法 在风险管理的风险评估活动中，由专业的分析团队在收一定的商业活动的资料后，结合实际，发挥他们自身的想象力，对商业活动有可能存在的风险作出假想，并提出相应的有效的应对方法及减少风险的策略。这个方法本身就有一种发散性想象的成分，分析团队的任何一个人都可以畅所欲言，就是把团队大脑中对该商业活动的风险进行最大的发掘，所以被称为“头脑风暴法”。 （2）结构化或半结构化访谈 针对商业活动的对不同的对象访谈可以有效发现商业风险。因为不同的人对同一种情况其看待角度不同，其结论也就不同。分析团队可

26、以把访谈的结论当做有效的风险预见依据。访谈可以分为结构化和半结构化两种。前者有一定局限性，就是设定好具体的问题对访谈对象进行访谈，虽然目标明确，但可能有一些风险不能预知到。后者没有具体的议题，谈话更自由，对风险的预知能力加强，但工作量又大了。 （3）风险矩阵 为了有效的商业活动中存在的各种风险进行评估和分级，这就需要对各种风险用合适的图表进行表示，这里用矩阵图进行表示，成为风险矩阵。矩阵包含风险评估的背景，种类，等级等信息。 （4）在险值法 目前世界上的一些银行和监管金融的机构在对金融投资进行分析时，常采用一种以统计分析为基础的风险衡量技术。这就是在险值法。这种方法在风险评估中也可以使用，不过

27、要考虑平评估的背景。 （5）蒙特卡罗模拟分析 风险评估具有的不确定性太多，其风险存在的不确定性也太多，这些都很难用已有的分析技术进行有效的分析和评估。虽然难分析，但可以用模拟的方法进行评估，假设不同的不确定性成立，模拟带来的后果，最后在总结模拟的结果，用抽样调查的方法进行统计分析，这种方法就叫做蒙特卡洛模拟分析。这种方法计算量很大，不过在当今计算机面前这些计算量都已不是问题。 （6）贝叶斯统计学 把已经知道的风险方面的信息和后面的假想的条件得到的测量数据相结合，并且根据这些依据评估风险的概率，在给风险分级。这个理论是由贝叶斯最先提出的，并且这种方法用到统计分析学，所以称为贝叶斯统计学。1.3.

28、3 企业风险管理信息系统发展概况 外国的经济管理理念比中国先进，风险管理的概念最先在国外发达的国家里。风险管理在国外运用的也是比较早。不过现在大家都认为风险管理的发展可以分为以下五个阶段。 （1）仅限于处理简单事物的阶段。在上个世纪60年代，风险管理刚刚被建立，还处在初生阶段，其理论还不成熟，仅被应用在保险损失和报废等一些简单事务的风险预测和应对上。 （2）风险管理标准形成阶段 随着计算机技术的发展，风险管理业务员在上个世纪60-70年代采用计算机处理风险方面的实物。业务员可以用计算机系统处理收集的风险信息数据，通过特定的见方法得出风险发生的概率。计算机在风险管理方面的运用对风险管理的发展起到

29、巨大的推动作用。 （3）从数据调数据的阶段 在上个世纪70年代末，计算机被用在建立风险管理的数据库上。该数据库的建立有利于风险管理的业务员从庞大的风险计算数据中解放出来。当在风险管理业务员需要相应的风险评估数据时，可以从数据库中调出直接采用。 （4）风险管理决策支持阶段 计算机的发展及其在风险管理的应用，建立的风险数据库数据越多功能越全面，其对风险管理做出的决策的影响力越大。风险管理者可以快速的根据数据库的数据做出最有利的决策。可以说这个阶段，风险数据库对风险管理的决策提供了强力的支持。 （5）风险管理成熟阶段 风险管理中网络的应用为风险管理中各种风险数据提供各种分析软件等工具，风险管理者可以

30、可以用网络获得更多的风险预测信息，尽可能的预测商业活动的风险。可以说这种方法是目前最快速，最有效的我方法，这也标志着风险管理进入成熟阶段。1.4 论文的主要工作在此次的企业风险评估管理系统的设计中，作者主要负责的工作为系统数库的建立以及后期的调试，对研发的系统进行调试维护，并对煤炭企业的风险进行验证、评估，找出风险的外在影响因素。本次研究的课题就是为我国的企业制定出合适的风险评估管理信息系统。本次研究以一个具体的煤矿企业为实体，针对该企业面临的风险，制定出合适的风险评估管理信息系统，这个系统可以为企业提供风险分析，预测及应对措施等功能。在系统制定出后，还要实际运作满足企业风险管理的要求，能为企

31、业发展带来实际效果。1.5 论文结构第一章 为绪论。在这一章，我主要是对本次研究的背景，研究意义和国内外风险管理的成果进行表述。煤矿企业是我国基础能源的供应的保障，企业发展的好坏直接关系到我国能源方面的供应，因此针对煤矿企业的风险方面的研究有很大的实际意义。 第二章主要是介绍风险评估信息系统的设计及研究方法。对系统的设计思路、研究方法、技术、软件等作出介绍。最后为企业作出合适的风险管理预定系统框架。第三章 主要是对为企业设计的系统进行分析，根据企业的实际情况设定符合企业需求的系统权限及功能。第四章 主要是介绍系统的具体设计，是本文的核心部位。它详细介绍了本次设计的系统所要达到的目标及设计遵循的

32、原则，而且还会对设计的每一个组成部分做出详细的介绍。第五章 是介绍管理信息系统的体系结构及相关技术的风险评估技术，对系统进行一个更详细的介绍。同时，这一章阐述了管理信息系统数据库和系统部署的风险管理工作的实际运行。第六章 是对设计的系统做最后的检测阶段。根据实际情况，输入相应的风险评估数据，在系统的操作下，检验系统得到的评估结果，并对结果做出分析，不合理的，要对系统进行调试，直至系统能正常工作为止。 最后对本次研究做出总结，总结本次设计系统的功能及特点，还要通过研究找出自身设计系统的不足和需要改进的部分，并对我国企业风险管理的发展及其研究方向做最后的展望和预测。72北京交通大学硕士专业学位论文

33、 第二章 风险评估系统设计实现基础综述第二章 风险评估系统设计实现基础综述2.1 风险评估信息系统建设的必要性 为了建立健全企业的发展，我国国资委也出台了相应的规定，督促企业建立风险评估管理信息系统的建立和健全。在中央企业全面风险管理指引中，我国就明确要求企业建立风险评估管理信息系统，对于已经建立的或建立的不全面的，要求企业完善系统，并对系统进行更新，维护，补充等。在我国的一些发展好的，快的企业现在已经建立健全的风险评估管理信息系统，这也说明这个系统建立是符合企业自身发展的需要。由此可以得出对于当前的企业建立风险评估管理信息系统是必不可少的。2.2 风险评估业务基础 风险评估是企业建立风险管理

34、体系的总要一个环节。风险评估的工作是围绕企业的经营范围，在企业商业活动的各个环节进行自身的工作。风险评估的工作流程包括，收集风险评估所需的风险信息阶段，根据收集的信息进行风险评估的阶段，根据风险制定相应的策略阶段，针对风险找到解决办法的阶段，风险评估的总结阶段。2.2.1风险评估过程 我国的风险评估有自身的评估标准，风险评估的过程如图2.1所示。图2.1 风险评估过程Fig 2.1 Risk assessment process （1）明确环境信息 收集风险评估所需的信息是风险评估的基础，风险评估的一切工作都是以此开始的。这收集的信息既有外部环境的，也有内部环境的，集最有效的信息，以方便风险评

35、估的工作进行。 （2）风险评估 风险评估由三个方面组成，分别是：风险识别、风险分析、风险评价。在风险评估中用到的方法和技术很多，而且计算量很大，不过这些都可以用计算机来解决。 （3）风险应对 风险应对就是针对评估出的风险制定出相应的解决办法或应对策略。一般制定应对风险的方法呢策略不是一成不变的，它是可以根据实施后的实际情况进行有效调整的。在应对风险中及时调整方法和策略可以最大可能减少企业的损失。 （4）沟通和记录 风险评估工作还要有相应的记录，这样可以为以后的风险评估工作提供有效的依据，同时记录的数据还可以与以往的数据进行比较，从而修正或补充已有的风险数据库。 （5）风险评估的监督和检查 风险

36、评估本身就是一个概率事件，自身的不确定因素很多，所以在评估风险后还要对风险评估进行监督和检查，以确定风险评估的正确性，当评估的风险已经不符合该次商业活动时，就要及时的进行新的分析按评估。也就是说风险评估是个动态变化的过程，所以需要实时的监督和检查。2.2.2风险评估业务范围 我国的风险管理虽然起步晚，但在一些企业中其风险管理方面的工作经过多年的探索和实践，风险评估管理信息系统建立也逐渐完善。从总体上看我国企业的风险评估管理信息系统的建立工作还处于基础阶段。因此，我国企业的风险管理的主要工作就是健全风险评估信息的管理，建立相应的风险评估信息数据库，开发相应的计算软件对风险信息数据进行分析计算。我

37、国企业风险评估信息管理系统目前就是把系统的基础设置在商业活动的各个环节，把基础建好，才能以后更好的把系统完善，最终把系统建成一个可以为我国企业提供风险评估平台的全国性大系统。 本次研究的对象是煤矿企业，所以建立的风险评估系统要针对煤矿企业。煤矿企业作为我国的大企业，这样的大企业一般都有子公司，下属公司，其业务范围广，商业风险大，所以风险评估业务范围也就大。风险评估业务要涵盖煤矿企业的所有商业活动。这就需要企业在建立企业自身的总风险评估管理信息系统的基础上，在企业的子公司，丛属公司也要建立系统的分系统。分系统为总系统提供数据支持，总系统对分系统进行统一管理，这样就能对整个煤矿企业提供更健全的风险

38、评估机制。风险管理在信息方面涵盖范围广，有可能涉及企业的核心机密，所以在建立风险评估管理信息系统要对不同的用户设置不同的权限，防止企业发生泄密事件。2.2.3 用例图 项目管理：风险评估计算系统项目管理模块由组织管理者、工程负责人和评估人员共同参与,如图2.2所示,通常风险评估项目由申请单位提出申请后,组织管理者来制定项目的日程、项目负责人、评估参与人员等安排,并填写项目的相关信息如项目的名称,申请单位、委托方的信息,评估系统的信息等。图2.2 项目管理用例图Fig 2.2 Project management use case diagram评估控制：评估控制主要涉及评估过程中项目方案和项目

39、管理的制定和审批。如图2.3所示,当组织管理者将项目创建后,工程负责人将接手并开展评估项目,制定项目详细评估方案,如评估项目时间进度,并根据评估方案分配评估人员的具体工作。图2.3 评估控制用例图Fig 2.3 Evaluate control case diagram 评估实施：评估实施是风险评估计算系统实现风险评估计算的模块,主要包括评估识别、评估设置、评估赋值以及对它们的管理。如图2.4所示,在前序工作做完后,评估项目进入实质评估阶段时,工程负责人和评估人员就按照风险评估流程进行工作。图2.4 评估实施用例图Fig 2.4 Evaluate the implementation of t

40、he use case diagram2.3软件工程与IT技术基础2.3.1软件过程 自从有了计算机开始，软件也就有了。虽然软件的发展已经有半个世纪有余，但现在软件还是不能尽善尽美，还是要不断地更新，改造。这在目前形成了一门新的学科-软件工程学。 一个软件的生命周期包括从研发到衰亡的全过程。这个生命周期一般分为制定计划，需求分析，编码设计，测试，运行，维护六个部分。最早的软件都是按照这六个部分的模式按顺序来设计，呈线性，可以称为“瀑布模式”。目前的开发是以体系模块为结构基础的设计。以体系结构为基础根据需求把不同的体系结构组装成自己想要的软件。这种软件开发模式在设计，开发，运行，升级，维护等方面

41、有着显著的优势。2.3.2软件复用与构件技术 一种软件的衰亡后，其并不是完全报废的，它的一些东西还是有利用价值的，如软件设计的一些数据，编写代码等都可以作为其他软件编写的借鉴资料。重复使用软件的组成部分就叫做软件复用。软件复用是1968年由McIlroy最先提出的，经过半个世纪的发展，软件复用已经由最初的代码复用发展到可以复用软件中的每一个可以复用的信息的地步。软件复用可以有效的减少软件的开发设计时间，提高软件的更新速度。 软件的复用有利于软件构建技术的产生，软件构件技术的的产生更新了软件设计的技术。软件构件技术使得软件设计就像搭积木的方式一样设计软件。软件复用减少了软件开发的代价，并且增强了

42、软件的稳定性和可修复性。互联网的时代，软件复用已经达到软件体系复用的地步，这就更提高了软件的开发速度。软件构件技术在目前已经有了相应的标准。主要标准有SUN公司的javaBean/EJB技术，微软公司的COM和COM+技术，OMG的Corba技术。这些技术标准为应用软件的开发提供一个健全标准的开发平台。标准的产生有利于软件开发语言的统一，软件的复用率也加大了，软件的开发难度也就降低了。2.3.3数据库设计技术数据库的设计的建立是系统设计的基础，它是建立数据库，实现系统功能的关键。数据库设计顾名思义就是把系统的信息数据按照一定的模型组织起来。数据库的设计要实现数据信息的储存，维护，索引，调用等功

43、能。数据库的设计包含四个设计阶段：（1）需求分析阶段，这个阶段任务是分析业务的需求，是整个设计的基础，而且要处理大量的数据，是整个设计最耗费时间的阶段；（2）概念设计阶段，这个阶段就是根据分析得出的需求形成数据库设计的给整体设计概念，这是整个设计的关键；（3）逻辑设计阶段，该阶段就是根据设计的概念，设计出符合逻辑的数据库模式，这是数据库设计实现的重要步骤；（4）物理设计阶段，这个阶段就是根据逻辑设计，设计出可以符合业务运行的数据库设计，是数据库设计实现的最后一步。2.3.4 技术架构设计本文的企业风险管理信息系统主要基于J2EE体系，采用Java语言、JSP技术、B/S模式、SSH框架进行开发

44、工作。J2EE是基于分布式的多层应用模型，在这种模型中，应用逻辑按功能划分为不同的组件，各个应用组件根据他们所在的层分布在不同的机器上。一个多层化应用能够为每种不同的服务提供一个独立的层。下图展示了J2EE的分布式多层应用模型。运行在客户端机器上的客户层(Client Tier),运行在J2EE服务器上的Web层(Web Tier)、运行在J2EE服务器上的业务逻辑层(Business Tier)以及运行在服务器上的企业信息系统层(Enterprise Information System Tier)。如图2.2所示。图2.2 J2EE体系结构Fig 2.2 J2EE architecture

45、B/S结构，即浏览器/服务器(浏览器/服务器)结构，随着互联网技术的发展，及改进的结构，B/S结构的兴起，用户在客户端只需安装浏览器即可使用，例如在Netscape中的Navigator浏览器和IE浏览器(Internet Explorer)在服务器端可以安装数据库SYBASE,Informix,Oracle,SQL Server。浏览器通过Web服务器与数据库进行交互数据。用户界面是通过WWW浏览器实现的，在某些部分处理逻辑不在前面，但在后端服务器，形成三层结构的所谓的主逻辑上实现。图2.3 结构图Fig 2.3 Structure diagram2.3.4主流技术（1）AJAX技术 AJA

46、X相当于在用户和服务器之间增加一个中间层，使用户操作和服务器响应异步化。它不是将所有的用户请求都提交给服务器处理，内存中的数据编辑、页而导航、数据校验这些不需要重新载入整个页而的需求可以交给AJAX引擎来执行，只有确实需要从服务器读取新数据时，再由AJAX引擎向服务器发出一个异步请求。所以用户无需等待/请求响应，可以进行其它的操作。两种方式的对比如图2.4所示。图2.4 传统Web方式与Ajax工作方式比较Fig 2.4 Comparison of the traditional Web mode and Ajax working mode（2）JFreeChart技术 JFreeChart是一款优秀的图表生成插件，已经被认为是目前最好的Java图形解决方案，它提供了基于C/S和BS构下生成各种图片格式的图表，这些图表主要包括:柱形图、折线图、饼图、面积图、分布图、