论文企业风险评估管理信息系统的设计与实现大学论文.doc

《论文企业风险评估管理信息系统的设计与实现大学论文.doc》由会员分享，可在线阅读，更多相关《论文企业风险评估管理信息系统的设计与实现大学论文.doc（67页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、企业风险评估管理信息系统的设计与实现摘 要 根据煤矿企业的实际需求,本文设计并实现了企业风险评估管理信息系统。系统实现了风险识别、多维风险分析和演示,以及风险评估和响应,实时监控的主要风险和其他业务风险评估和管理。系统在煤矿企业的操作中取得了良好的效果,从而满足企业风险管理的需要。 在本文中,我们研究如何将风险管理理论和软件工程相互结合起来，并用其设计和实现风险评估和管理信息系统。通过风险管理理论和方法的研究,结合企业风险管理的现状,确定了风险评估信息系统的主要任务是解决风险识别、风险分析、风险评估和应对三大风险评估业务问题。这个信息系统使用问卷调查、专家评估、企业领导的认可等方式识别重大风险

2、。基于组件组装法的研究,将其用到设计和开发企业风险评估管理信息系统中来。通过基于构件的组装方法来构造软件系统。使得软件系统的结构更加清晰,这有利于系统的设计、开发和维护。因为企业风险评估是一个复杂的系统工程,因此设计实施风险评估信息系统的关键是确定风险评估信息系统的实际业务需求和先进技术的使用。在系统设计的过程中,我们将引入风险管理顾问的经验和工作流程的过程,并采取先进的风险评估模型,以确保系统的先进和可用性。同时,风险评估管理信息系统基于B/S架构和标准的J2EE应用程序服务器体系结构,使用SSH框架,大型关系数据库、组件开发,多维统计分析和服务网络,Jfreechart,Ajax和其他主流

3、和成熟的技术,以此来确保系统的通用性和可靠性。 关键词:风险评估；系统工程；B/S；SSH框架AbstractAccording to the actual demand of coal mine enterprise, this paper designs and realizes the enterprise risk assessment management information system. The system has realized the risk identification, multi dimensional risk analysis and demonstrat

4、ion, as well as the risk assessment and response, real-time monitoring of the major risks and other business risk assessment and management. The system has achieved good results in the operation of coal mining enterprises, which can meet the needs of enterprise risk management.In this paper, we stud

5、y how to integrate risk management theory and software engineering into each other, and use it to design and implement risk assessment and management information system. Through the risk management theory and methods, combined with the current situation of enterprise risk management, the main task o

6、f risk assessment information system is to solve the risk identification, risk analysis, risk assessment and response to three major risk assessment business issues. This information system uses a questionnaire survey, expert assessment, recognition of corporate leadership and other ways to identify

7、 major risks. Based on the research of component assembly method, the design and development of enterprise risk assessment and management information system is put into use. The software system is constructed by means of component based method. The structure of the software system is more clear, whi

8、ch is beneficial to the design, development and maintenance of the system.Because enterprise risk assessment is a complex system engineering, the key to design and implement the risk assessment information system is to determine the actual business needs and the use of advanced technology in the ris

9、k assessment information system. In the process of system design, we will introduce the experience of risk management consultants and the process of work flow, and take the advanced risk assessment model to ensure the advanced and availability of the system. At the same time, risk assessment managem

10、ent information system based on B/S architecture and standard J2EE application server architecture, using SSH framework, large-scale relational database, component development, multi-dimensional statistical analysis and service network, Jfreechart, Ajax and other mainstream and mature technology, to

11、 ensure the systems versatility and reliability.Keywords: risk assessment; system engineering; B/S; SSH framework目 录摘 要2Abstract3目 录5第一章：绪论811 选题背景812 企业风险管理与风险评估9121 企业风险管理9122 企业风险评估913 国内外研究现状10131 企业全面风险管理主要流程框架10132 风险评估的主流技术与方法12133 企业风险管理信息系统发展概况13134 国内风险管理信息系统建设概况1414 论文的主要工作1515 论文结构15第二章：

12、风险评估系统设计实现基础综述1621风险评估信息系统建设的必要性1722风险评估业务基础17221风险评估过程17222风险评估业务范围1923软件工程与IT技术基础20231软件过程20234主流软件开发框架与技术22第三章：风险评估系统需求分析2331风险评估系统概述2432风险评估总体需求2433风险评估业务流程分析25331基础环境设置26332风险评估26333风险应对26334风险监控26335监督改进2634风险评估主要业务功能需求分析26341组织机构设置26342风险环境设置27343风险识别27344调查问卷27345风险分析28346风险应对28347风险监控28348风

13、险报告29349风险案例库2935风险评估系统主要用户及其业务分析2936 总结30第四章：风险评估系统设计3041 风险评估系统设计目标3142 风险评估系统设计原则3143 风险评估系统安全设计32431网络与服务器级安全32432系统级安全32433应用级安全3244 风险评估系统总体架构设计3345 风险评估系统总体功能设计34451风险信息共享35452风险环境设置35453调查问卷管理36454风险评估38455风险应对39456风险监控40457风险报告40458风险案例库40459系统管理4046风险评估系统数据接口设计4247风险评估系统数据库设计43471数据业务逻辑分析4

14、4472数据库结构设计4448 总结47第五章：风险评估系统实现4751风险评估系统实现技术架构4852系统实现采用的相关技术4953风险评估管理系统功能实现49531风险信息共享49532风险环境设置50533调查问卷管理51534风险评估53535风险应对54536风险监控54537风险报告5454数据库实现5555系统运行与部署实现5556总结56第六章：风险评估系统测试5761测试环境5862测试方法5863测试用例5964测试结果及处理6265本章小结62第七章：总结62参考文献64第一章：绪论11 选题背景千禧年后,由于外界市场环境的持续变化和信息技术的快速发展,越来越多的风险开始

15、影响企业，投资者和他们的利益相关者在各种危机中损失其经济利益。事实上,如果决策者不能有效控制风险和及时响应,企业可能就会遭受到打击。由美国次贷危机在2008年引发的全球金融危机导致众多企业破产，使得美洲，欧洲和整个亚太地区的金融市场都遭受到了重大打击。风险管理的重要性已经大大凸显。经过全球金融危机的惨痛教训，管理者应该清醒地认识到必须加强风险管理和控制，从全球范围内加强风险的管理与控制必须成为企业的必修课，只有在这个过程中完成考核才能拥有生存下去的权利。 目前，国外学者和企业在风险管理研究和应用方面已经比较成熟，在企业的目标设置、财务管理、融资和投资决策、内部控制制度建设等方面，都可以看到风险

16、管理的理念、方法和手段。然而，在我国风险管理研究与应用的相对滞后，许多国内企业的风险意识淡薄，并没有建立健全的风险管理体系，从而使风险管理困难。国资委在2006发布了中央企业全面风险管理指引，明确要求国有大型企业的风险管理体系建设的议事提到日程上来，有31家央企国资委被选为年度风险管理报告试点单位。此外，2009后，所有的央企都需要准备一份风险管理报告。在政策引导下，作为一家全资子公司的大型央企在2010开始建立风险管理体系，包括风险管理信息系统和内部控制系统，从而实现风险管理的总体目标提供合理保证。企业风险评估信息系统是利用信息技术实现企业在经营过程中可能遇到的风险进行识别和管理，以满足企业

17、在风险评估过程的过程中的外部环境和内部信息和资源，是风险管理业务利用信息化手段的实现。企业风险评估信息系统的建立，能提供及时，准确的提供依据和预测分析，为企业管理带来理论基础，从而使企业有效地规避风险，提高竞争力。基于以上背景，本人在风险评估和内部控制系统的基本过程中进行了深入研究，结合某煤矿企业的具体需求，对风险评估信息系统的设计与实现进行研究。必须满足企业对各种风险分析系统、监测、预警、执行各职能部门、业务单位、整合和共享的要求，这不仅可以满足个人业务风险管理的要求，也能满足企业整体和跨职能部门、业务部门综合风险管理的要求，对建立和完善企业全面风险管理信息系统，提高企业风险决策和风险应对能

18、力具有一定的借鉴意义。12 企业风险管理与风险评估121 企业风险管理 在风险管理这一新学科的研究中，不同学者对风险管理研究的重点不同，有的学者侧重于风险管理的出发点，有的侧重于管理目标，有的侧重于应用。因此，风险管理的定义存在着一定的差异，随着研究的不断深入，风险管理的差异也在不断变化。 IIA2003届主席武顿先生将风险管理定义为：企业风险管理就是通过确定、辨识、管控、组织潜在的事件，为组织目标的实现提供适当保证的过程。2003年，COSO发布企业风险管理（草案），其中对风险管理的定义是： 所谓企业风险管理，是由公司、管理及员工一起参与进行的，应用于企业目标设定阶段，涵盖了企业管理流程内部

19、各部门的决定，其目的是检测企业的风险事件，确定可能造成的损失和在企业范围内的风险偏好以及风险控制，确保公司实现所需的战略目标。在澳大利亚和新西兰标准委员会的定义中，风险管理被认为是“包括风险识别、风险分析、风险评估、风险应对、协调和监测、评价和交流的内容和其他的逻辑体系，贯穿于整个业务过程，涵盖企业所有职能部门和业务活动，此方法的目的是让业务损失的程度最低并实现利益最大。”结合学者对风险管理分析的定义，笔者认为，企业风险管理是一个过程，这一过程适用于企业战略目标的建立和企业内部部门，由企业的董事会、管理层和其他员工共同参与，是用来识别可能影响企业事件和风险管理的范围内的风险管理和风险控制。12

20、2 企业风险评估企业风险评估过程主要包括风险识别、风险分析和风险评价等三个步骤。风险识别是整个风险管理的基础和出发点。它是收集，分类和分析各种可能影响企业的事件的管理过程。它的意义在于，如果企业所面临的各种风险，不能及时，准确地识别，就错过了有效应对这些风险的时机，使得相关职能部门的作用不能完全发挥出来，就不能不能有效地控制和风险管理。风险识别过程包括两个方面，即，感知风险和风险分析。感知风险是风险识别的基础，这是建立在企业对目标的各种风险进行详细了解的基础上，风险分析的关键是风险识别，这是要分析造成各种危害的各种因素。风险评估既是同通过对已经辨识出的风险进行分析评价，为接下来的风险提供风险管

21、理的基础。风险管理人员应该要从两方面来进行风险评估，分别是可能性和风险程度，评价方法可以采取定量的方法，也可以用定性的方法。所谓的风险评估是基于风险识别上，通过大量的关于与使用风险评估工具相关联的风险的详细信息，使用概率论与数理统计方法分析数据和信息来计算可能性和风险的损失，最后列出的风险矩阵来评估风险事件。风险评估包括风险事件的频率和概率风险评估的可能性。它可以被形容为“几乎不可能”、“不太可能”、“可能”、“很可能”、“极有可能”等术语描述。风险发生影响程度分析，即分析某一风险事件在环境因素下可能导致的各种事故后果及其可能造成的损失，一般可以用“轻微”、“较轻”、“中等”、“较重”、“严重

22、”等术语描述。最后，根据评分高低对风险进行优先次序的排列，该风险分数是根据概率和风险的影响计算，并且优先顺序是根据得分给出。13 国内外研究现状131 企业全面风险管理主要流程框架2004年9月，COSO委员会发表企业风险管理框架全体（即ERM）。ERM在此之前是1992年发表的内部统制整个框架主体内容的基础上，扩充和更新各国企业风险管理提供统一用语和概念体系的全面应用。COSO，企业的风险管理已经内部控制在内，和内部控制相比来说，风险管理更广，它扩大了内部控制的内容，关注风险形成，是更加“稳定”的概念体系。国际上主流的风险管理理论框架主要是以美国为首的企业风险管理整合框架的，而我国资委中央企

23、业全面风险管理指引是以澳大利亚、新西兰的澳新标准为基础的。（1）企业风险管理框架2004年9月，在COSO美国反虚假财务报告委员会管理组织中，实现了对上市公司的风险管理的参考标准的管理机构框架。其实质是建立一种共同的语言，为企业风险管理提供了明确的方向和指导。（2）澳新企业风险管理标准澳新银行的标准是由澳大利亚和新西兰联合标准委员会在2005年9月发行的，该澳新标准认为：企业风险管理是一个系统的，逻辑过程和方法，包括建立风险管理，风险识别，风险分析，风险评估；风险管理的基础应该是监督和咨询，沟通和评价穿插在公司的各项业务活动，职能部门和业务流程，使得公司实现最大限度地减少损失，最大限度地抓住机

24、遇。（3）国资委中央企业全面风险管理指引国务院于2006年颁布了澳大利亚和新西兰的标准-中央企业全面风险管理指引，借鉴了澳新标准即澳大利亚和新西兰国家风险管理水平，风险管理，英国风险管理标准，美国COSO内部控制框架，COSO企业风险管理框架，萨班斯法案等行业标准文件进入中国的大型国有企业的实际情况，按照我国有关法律法规。COSO在其之前设计的内部控制框架的基础上，进行了扩展，加入了三个风险管理维度，即目标、管理层级、风险管理要素。目标用以描述企业期望实现的效果；管理层级分为整个企业、职能部门、业务单位、分支机构四层；风险管理要素就是实现企业目标需要凭恃的元素。三大管理维度之间的关系如下图1.

25、3-1中的矩阵立方体所示。图1.3-1 COSO基础上的风险管理矩阵图132 风险评估的主流技术与方法风险评估活动目的在于通过基于事实的信息进行分析，就如何处理特定风险以及如何选择风险应对策略进行科学决策。风险评估并非一项独立的活动，必须整合到风险管理过程的其它组成部分中。GB/T 24353-2009中界定的风险管理过程包含以下要素：明确环境信息；风险评估（包括风险识别、风险分析与风险评价）；风险应对；监督和检查；沟通和记录。风险评估是由风险识别、风险分析及风险评价构成的一个完整过程，该过程的开展方式不仅取决于风险管理过程的背景，还取决于开展风险评估工作所使用的方法与技术。下面是风险评估的几

26、种主流技术和方法：（1）头脑风暴法头脑风暴法（Brainstorming）是指一些掌握有关资源与相应知识的的人员发挥个人想象，集中起来，畅所欲言，来发现相关危险、风险、决策标准及或处理办法。头脑风暴法这个术语经常用来泛指针对某一主题，发散的进行任何形式的讨论。真正的头脑风暴法包括旨在确保人们的想象力因团队内其他成员的思想和话语而得到激发的一种方法。（2）结构化或半结构化访谈在结构化访谈（Structured Interviews）中，需要事先准备访谈的问题，向每个被访谈对象逐一访谈准备好的问题，不同的人从不同角度不同理解看待某种情况，因此就可以从不同角度识别风险。半结构化访谈（Semi-str

27、ucturedInterviews）与结构化访谈类似，但是可以不局限于议题，进行更自由的对话，以探讨出现的问题。（3）风险矩阵风险矩阵（Risk Matrix）是一种将定性或半定量的后果分级与产生一定水平的风险或风险等级的可能性相结合的方式。矩阵格式及适用的定义取决于使用背景，关键是要在这种情况下使用合适的设计。（4）在险值法在过去的几年里，一些银行和监管当局普遍地运用在险值法（Value at Risk）衡量风险。在险值法又被称为“风险价值”或“在险价值”，是指在一定的置信水平下，某一金融资产在未来设定的一段时间内可能出现的最大损失。这和传统的风险度量方法手段不同，完全是建立在统计分析基础上

28、的风险度量技术。（5）蒙特卡罗模拟分析很多系统过于复杂，无法运用分析技术对不确定性因素的影响进行模拟，但可以通过考虑投入随机变量和运行N次计算（即所谓模拟）的样本，以便获得希望结果的个可能成果。描述输入数据的不确定性并开展多项模拟，对输入数据进行抽样以代表可能出现的结果进行评估。这种方法可以解决那些借助于分析方法很难理解和解决的复杂状况。当该技术首次开发时，蒙特卡罗模拟所需的迭代过程缓慢，耗费时间。但是，随着计算机技术的进步和理论的发展，抽样法使很多应用程序的处理时间几乎变得微不足道。（6）贝叶斯统计及贝叶斯网络贝叶斯统计学是由托马斯贝叶斯爵士创立的理论。本方法前提条件是任何已知信息可以与随后

29、的测量数据相结合，并在此这些数据的基础上去推断风险事件的概率。133 企业风险管理信息系统发展概况在国外的一些企业里，风险管理信息系统的概念已经出现多年了，到现在一般认为经历了五个阶段，即简单事务处理阶段、标准风险管理报告阶段、数据直接调用阶段、风险管理决策支持阶段和网际网络应用阶段。（1）简单的事务管理阶段。自20世纪60年代末。计算机主要应用于保险损失和报废等的风险管理领域。（2）标准风险管理报告阶段。20世纪60-70年代，风险管理的业务人员开始应用计算机系统收集部门风险并计算相关的风险费用数据。计算机系统对于风险管理者和整个单位管理人员之间的交流有非常重要的意义。（3）数据直接调用阶段

30、时间是20世纪70年代末期。风险管理人员为了避免自己陷入庞杂的数据中，开发出更为灵活易用的风险管理信息系统，除了能够设计自己的风险管理报告，还能根据需要调用相关的企业风险数据。（4）风险管理决策支持阶段信息交互是风险管理决策支持类计算机应用系统的核心，利用计算机技术使用风险数据库中已有的数据，风险管理业务人员根据不同的方案可以预测风险可能的结果，并供高层管理人员做出有利于企业的最佳选择。（5）网络应用阶段到了网络应用阶段。风险管理信息系统开始提供分析性的模块以协助管理者进行风险的衡量与风险成本与效益分析并预测整体风险成本。这个阶段的信息系统提供了数据整合、报告、分析与操作的功能，支持企业的全面

31、风险管理并融入了企业的相关规章制度。134 国内风险管理信息系统建设概况国际上风险管理工作开始较早，相应的信息系统也比较完善，但是国内风险管理工作开始较晚，除了金融行业和部分大型企业外，大部分企业的信息系统建设还是处于起步阶段。国内风险管理信息系统主要呈现以下特点：一是除个别企业外，大部分企业风险评估信息系统建设还是空白，没有专门的风险管理信息系统。二是在金融、保险行业建立了风险管理信息系统，但基本是针对其面临的主要风险进行控制，没有形成通用的业务体系。三是企业中的风险管理系统基本处于独立运行状态，缺少信息共享与互联互通。四是企业的风险管理信息系统普遍缺乏风险管理的理论支持，定性衡量较多，定量

32、评估较少。14 论文的主要工作本人作为课题的技术负责人，针对某煤矿企业的实际风险管理业务，进行了需求分析，结合风险评估专家的经验，确定了风险评估管理信息系统的业务范围，采用成熟主流的技术IT设计并实现了企业风险评估管理信息系统。该系统实现了基于企业目标的风险识别，多维度风险分析与展示，风险评价与应对，重大风险的实时监控等企业风险评估管理的主要业务功能。通过在企业的实际运行，取得了很好的效果，满足了企业风险管理的需要。15 论文结构 全文共分为五个章节： 第一章为绪论。该章节首先论述了本文的选题背景和研究意义，即面对与日俱增的内外风险，各大企业越发意识到风险管理的重要性，而作为我国基础能源的提供

33、者，煤矿企业对整个民族工业的发展有着不容忽视的影响，因此，围绕煤矿企业特点来研究全面风险管理，意义重大。其次，该章节简要地介绍了国内外学术界对风险管理的研究成果，以及当前的研究热点，并加以评述。章节的最后阐述了本文的研究内容、研究框架、研究方法，用以理清论文脉络，令读者从整体上先对本文形成简要的认识。 第二章是风险评估信息系统的设计和研究，并对其进行理论分析，是本文的理论基础部分。该章节分为三部分，分别阐述风险评估业务及必要性、软件工程理论基础以及软件开发相关技术的研究。第一部分是阐述风险评估信息系统建设的必要性。第二部分则分析风险评估业务，主要包括对风险评估的过程以及评估的业务范围。第三部分

34、是软件开发相关技术的研究，主要包括软件过程、数据库设计、软件复合技术以及框架设计类等方面的研究。最后基于上面三小节的分析研究，给出煤矿企业全面风险管理的对策。第三章 是根据企业及国家有关要求进行的系统需求分析，包括风险评估业务流程和功能要求，系统主要用户及权限。第四章 第章是本文的重点，阐述了系统的设计，主要包括系统设计目标与原则；系统总体结构；功能设计；数据库设计、接口设计、安全设计等内容。第五章 阐述了系统实现采用的技术架构和技术，介绍了主要业务功能的业务逻辑实现和技术实现，并说明了系统运行与部署的实现。第六章 阐述了系统的测试工作，介绍了测试方法和测试用例以及测试结果，并对测试结果进行了

35、简要分析。最后为本论文的结论，结论对本文的研究和系统的特点进行了总结，揭示本文在研究中存在的不足之处，并阐述今后企业全面风险管理领域需要进一步研究的问题。 第二章：风险评估系统设计实现基础综述21风险评估信息系统建设的必要性我国国资委中央企业全面风险管理指引明确指出企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统。已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。 风

36、险管理信息系统是企业确定风险管理流程、全面推进风险管理的必要工具；是执行企业风险管理策略和风险解决方案的重要支撑手段；是风险数据采集、分析、加工、展示的载体；是企业落实风险管理理念、提升风险管理能力的途径；风险管理信息系统提供多部门、多业务、多系统的信息整合与共享平台；通过信息系统数据的实时对接实现风险实时预警，及时采取必要的风险应对方案。综合企业风险实际情况作出报告。风险评估管理信息系统建设是企业开展风险评估管理的重要技术支撑，是风险评估管理有效落地的手段。企业风险管理是企业管理迫切需要研究的课题，全面风险管理信息化是目前国内企业信息化的又一个热点，国内风险管理除在个别央企有了一定的基础，对

37、大部分的企业还是一个新课题，风险管理的信息化建设更是目前企业信息化的当务之急。综上所述，进行风险评估信息系统的建设工作是必要的。22风险评估业务基础企业要实施全面风险管理体系，风险评估是此体系的重要环节，风险评估必须要围绕总体经营目标，在企业管理的各个环节和经营过程中执行风险管理的基本流程，这个流程的基本工作包括：收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案、风险管理的监督与改进。221风险评估过程按照根据国家风险评估技术标准，风险评估的过程如图2.2-1所示。图2.2-1 风险评估过程（1）明确环境信息收集风险管理初始信息是企业风险评估工作开展的基础，企业

38、收集的初始信息既有来自外部环境的，又有来自内部环境的，涵盖战略风险、财务风险、市场风险、运营风险、法律风险等各个方面。此项工作开展前，企业最好结合自身实际，拟定初始信息框架，然后按照职责分工落实到各职能部门和业务单位。对于收集上来的信息，企业应进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估。（2）风险评估风险评估包括风险识别、风险分析、风险评价，风险识别是发现、认可并记录风险的过程，进行风险辨识、分析、评价，应将定性与定量方法相结合，定性方法可采用问卷调查、集体讨论、管理层访谈、专家咨询、情景分析、政策分析、行业标杆比较、调查研究等最终形成企业风险信息数据库；可采用概率统计、计算机模

39、拟如蒙特卡罗分析法、失效模式与影响分析、事件树分析等定量方法进行风险分析；风险分析能够加深对风险的理解，它为风险评价提供输入，以确定风险是否需要处理以及最适当的处理策略和方法。风险评价包括将风险分析的结果与预先设定的风险准则相比较，或者在各种风险的分析结果之间进行比较，确定风险的等级。（3）风险应对风险应对是在完成风险评估之后，选择并执行一种或多种改变风险的措施，包括改变风险事件发生的可能性或后果。风险应对是一个递进的循环过程，实施风险应对措施后，应重新评估新的风险水平是否可以承受，从而确定是否需要进一步采取应对措施。（4）沟通和记录风险评估工作的成功依赖于与利益相关方进行的有效沟通与协商。在

40、评估过程中每个环节要进行沟通和记录，根据沟通和记录的内容修正评估过程的数据。（5）风险评估的监督和检查风险评估过程强调环境事件和那些经过一段时间预计会变化并且可能使风险评估改变或失效的其它事件。应当识别出这些事件进行持续的监督和检查，以便在必要时更新风险评估的信息，还应当监测和记录风险控制措施的效果，以便为风险分析提供数据。应当明确证据、文件的建立和检查的责任。风险评估的业务流程是一个循环过程，经过沟通记录、监督检查识别出新的风险。222风险评估业务范围目前，国内风险评估与管理工作除个别企业已经进行了多年的有益探索和实践外，大部分企业此项工作处于起步阶段，并且风险管理工作主要集中在大中型企业。

41、现阶段主要进行风险基本信息的管理、建立企业风险信息数据库，针对本企业运营过程中的风险进行风险识别与风险评估，并针对识别出的风险进行量化分析与展示，信息系统可以让风险管理部门尽快地掌握企业各个环节的风险苗头。风险评估管理信息系统及时显示企业风险的分布图、当前热点风险事件等，便于相关人员及时、直观地掌握企业目前所处的风险状态。信息系统还可以成为风险应对的支撑工具和平台这一特点在国外一些能源供应企业和公共产品提供商的公共事件应急响应平台中已经得到体现。针对目前风险管理的工作现状和某煤矿企业的实际情况，我确定了以风险管理工作的重要环节风险评估作为系统主要解决的问题，系统建设范围以风险评估管理的业务为主

42、线，包括明确企业风险环境，以调查问卷结论及专家领导意见进行风险识别与风险分析，并以多种形式进行风险展示，针对识别出的重大风险制定应对策略，并跟踪应对措施的执行情况，针对企业运行过程中的重要业务指标进行监控。实现风险评估业务流程的循环过程某煤矿企业作为国有大中型集团企业，在组织架构上为多级管理，主要是集团企业本部、下属企业形式，下属企业包括子公司、控股子公司、投资公司等形式。风险管理要涵盖整个企业的运营，因此信息系统业务范围应覆盖企业的本部及其下属企业，企业本部和各下属企业应分别建立风险管理系统，针对各自不同的主要业务及运营进行独立的风险管理，同时，各下属企业的各项风险数据和风险监控指标应与企业

43、集团本部的风险数据有机结合，形成一个整体，各下属企业的风险数据构成对集团企业本部的风险管理构成数据支撑。由于风险管理工作可能涉及企业运营的核心机密数据，因此风险管理信息系统应进行严格的权限管理与访问控制。区分不同用户访问不同内容。23软件工程与IT技术基础231软件过程尽管软件工程已经发展了半个世纪的发展史，但是软件质量依然是不尽如人意。从20世纪90年代至今，软件过程改进已经成为软件工程学科的一个主流研究方向。软件的孕育、诞生、成长、成熟和衰亡的生存过程被为软件生命周期，通常被分为6个阶段，即制定计划、需求分析、设计、编码、测试、运行和维护。早期的软件工程研究假定软件开发各个阶段之间的关系是

44、顺序且线性的，其代表模型是至今仍然广泛使用的“瀑布模型”；随后的研究逐步减少了对顺序和线性假设的依赖，并引入了带有反馈的迭代过程。大体而言，软件过程模型发展经历了以下阶段。第一代软件过程模型。其代表是瀑布模型，是软件生命周期的各项活动依固定顺序，强调开发的阶段性，特点是在开发阶段之前已经被完全确定了软件需求，以软件需求完全确定为前提。开发后期要修改之前已经定义的业务问题需要付出很高的代价，是这种模型的最大缺点，软件产品用户需要等待较长时间才能够看到，增加了软件成功的风险。并且如果在开发过程存在阻塞问题，将极大影响开发进度。第二代软件过程模型既渐进式开发模型。其代表是原型实现模型和螺旋模型。其特

45、点是软件开发开始阶段只有基本的需求，采用迭代的方法进行软件开发，通过迭代过程实现软件的逐步完善，最终得到软件产品。其缺点是由于需求的不完全性，在软件产品设计的上缺乏规划完整性差，从而为软件的总体设计带来了比较大的困难。如果采取早期预防措施，引入了风险管理，能有效提高项目成功几率，确保软件质量。第三代软件过程模型是以体系结构为基础的基于构件组装的开发模型，如基于体系结构的开发模型和基于构件的开发模型，软件体系结构的出现有利于系统的设计、开发和维护，使得软件的结构框架更清晰。第三代模型的特点是利用需求分析结果设计出软件的总体结构，通过基于构件的组装方法来构造软件系统。软件开发模型随着软件设计思想的

46、改变而发展，每次新的软件设计思想的突破都会出现新的软件开发过程模型，以达到提高软件的生产效率和质量为目标。232软件复用与构件技术软件复用的概念是McIlroy在1968年正式提出以来，已经经历了近三十年的发展，复用的对象也从早期的代码复用扩展到对软件开发过程中一切有价值的信息的复用，包括需求、需求规约、设计、源代码、测试计划和测试案例等。近三十年的实践证明，软件复用是解决当前软件危机的一条比较现实可行的途径，可以有效地提高软件的产品质量和开发效率。采用搭积木的方式设计开发软件产品，是软件开发人员长期的梦想。采用构件技术实现软件复用实现了这个愿望，软件复用是指重复使用已经设计制作完成的软件构件

47、。软件复用可以提高软件生产率并减少开发代价，还可以提高软件系统的质量。就软件设计开发来讲，软件复用包括函数复用、面向对象言语中的类的复用，以及互联网时代的完整软件体系的构件复用。目前主流的软件构件技术标准有：SUN公司的javaBean/EJB技术，微软公司的COM与COM+技术、OMG提出的Corba技术等等。它们为应用软件的开发提供了可移植性、异构性的实现环境和健壮平台，结束了面向对象中的开发语言混乱的局面，解决软件复用在通信、互操作等环境异构的瓶颈问题。233数据库设计技术 数据库设计是实现系统功能实现的基础，数据库设计是建立数据库及其应用系统的技术，是信息系统建设的关键。数据库设计就是把信息系统中