趙寧社 袁美娜

摘 要：為了滿足集團公司和各經(jīng)營單位全面風(fēng)險管理和內(nèi)部控制工作要求，推動集團全面風(fēng)險管理體系進一步落實，本文給出了關(guān)于風(fēng)險管理與內(nèi)部控制工作的需求分析、流程說明，重點討論了企業(yè)風(fēng)險管理與內(nèi)部控制評價系統(tǒng)的架構(gòu)設(shè)計，并給出了實現(xiàn)的相關(guān)細節(jié)，以及對系統(tǒng)的測試。經(jīng)實踐測試該設(shè)計將能加強企業(yè)的風(fēng)險管理與內(nèi)部控制，促進工作進行的日常化、標(biāo)準(zhǔn)化和自動化。

關(guān)鍵詞：風(fēng)險管理；內(nèi)部控制；風(fēng)險評價；缺陷

中圖分類號：TP311.5 文獻標(biāo)識碼：A

1 引言（Introduction）

Gallagher等人提出了現(xiàn)代風(fēng)險管理的概念[1]。面對近年來復(fù)雜多變的國內(nèi)外宏觀經(jīng)濟環(huán)境以及持續(xù)低迷的行業(yè)市場，各央企公司緊密圍繞發(fā)展戰(zhàn)略和經(jīng)營目標(biāo)，持續(xù)健全全面風(fēng)險管理體系，不斷深化風(fēng)險評估在風(fēng)險管理工作中的基礎(chǔ)性作用，強化風(fēng)險評估對重大投資等重要事項的決策支持作用，不斷提高風(fēng)險評估工作的適應(yīng)性和準(zhǔn)確性，充分利用信息化手段提升風(fēng)險評估工作效率。近年來，我國相繼出臺了一些針對性的政策[2-4]。2012年，國資委要求中央企業(yè)在以往風(fēng)險管理的基礎(chǔ)上開展企業(yè)的內(nèi)部控制管理工作。

在充分研究風(fēng)險評估和內(nèi)部控制的融合思路、貫通方式、技術(shù)方法的基礎(chǔ)上形成了風(fēng)險評估與內(nèi)部控制信息系統(tǒng)建設(shè)方案[2，4，5]。該方案旨在利用信息技術(shù)將內(nèi)部控制的標(biāo)準(zhǔn)落實、自評價、內(nèi)控監(jiān)督評價、缺陷整改及內(nèi)控督查、自評價報告編寫等工作與風(fēng)險評估中的風(fēng)險識別、風(fēng)險分析、風(fēng)險應(yīng)對進行有效融合，依靠內(nèi)部控制系統(tǒng)控制、應(yīng)對風(fēng)險點，最終通過標(biāo)準(zhǔn)化和自動化，實現(xiàn)風(fēng)險評估與內(nèi)部控制在工作、流程和操作執(zhí)行方法層面的全面融合。

2 風(fēng)險管理及內(nèi)部評價控制概述（Summarize）

風(fēng)險管理及內(nèi)部評價控制即是通過風(fēng)險管理及內(nèi)部控制信息化建設(shè)，梳理并優(yōu)化集團公司現(xiàn)有風(fēng)險管理及內(nèi)部控制管理流程與機制，建立風(fēng)險管理及內(nèi)部控制信息系統(tǒng)，滿足集團公司和各經(jīng)營單位全面風(fēng)險管理和內(nèi)部控制工作需求，推動集團全面風(fēng)險管理體系進一步落地，提高集團整體風(fēng)險防范水平。落實分類、分層、集中的管理要求，實現(xiàn)風(fēng)險管理與內(nèi)部控制的全面融合，進一步推動全面風(fēng)險管理體系落地，實現(xiàn)全面風(fēng)險管理日常化管理。

按照企業(yè)單位全面風(fēng)險管理相關(guān)制度要求，遵循ISO31000風(fēng)險管理標(biāo)準(zhǔn)，結(jié)合企業(yè)風(fēng)險管理和內(nèi)部控制工作實際，實現(xiàn)風(fēng)險管理和內(nèi)部控制兩項工作深度融合和一體化管理，落實集團全面風(fēng)險管理分層、分類、集中原則。在管理方式上，分層管理指建立集團各層級單位的風(fēng)險庫、風(fēng)險準(zhǔn)則等，實現(xiàn)各級單位對自身風(fēng)險和控制靈活開展評估和管理；分類管理是指對風(fēng)險、控制按照職能條線、管理目標(biāo)和業(yè)務(wù)流程等多形式進行劃分，并由相應(yīng)組織、部門進行落實，實現(xiàn)各組織、部門開展自身管理范圍內(nèi)的日常評估和管理；集中管理是指集團建立統(tǒng)一的信息平臺，構(gòu)建統(tǒng)一的風(fēng)險管理框架和運行過程，全集團采用統(tǒng)一的工具和風(fēng)險管理語言，實現(xiàn)對風(fēng)險信息、風(fēng)險管理工具、方法等的集中管理。在管理內(nèi)容上，分類管理是指對不同類型的風(fēng)險開展專業(yè)化管理；集中管理是指通過統(tǒng)一策略、統(tǒng)一數(shù)據(jù)標(biāo)準(zhǔn)，實現(xiàn)對風(fēng)險、控制信息的集中管理，實現(xiàn)對跨部門風(fēng)險事項和控制的統(tǒng)一決策和協(xié)同管理。

內(nèi)部控制是全面風(fēng)險管理的重要組成部分，是對內(nèi)部可控風(fēng)險開展的全面風(fēng)險管理工作。通過建立信息系統(tǒng)，實現(xiàn)傳統(tǒng)的全面風(fēng)險管理工作與內(nèi)部控制工作的全面、深度融合，將環(huán)境建立、風(fēng)險識別、分析、評價、應(yīng)對等風(fēng)險管理過程與內(nèi)控標(biāo)準(zhǔn)建立、自評價、日常檢查、監(jiān)督評價、缺陷認(rèn)定和整改等內(nèi)部控制管理過程在工作組織、業(yè)務(wù)流程、工具手段、方式方法等多方面貫通和整合，明確并固化全面風(fēng)險管理及內(nèi)部控制工作的契合點和貫通紐帶，實現(xiàn)全面風(fēng)險管理工作與內(nèi)部控制工作的完整、有效和無縫對接。

通過風(fēng)險管理及內(nèi)部控制信息系統(tǒng)的建設(shè)，支持各經(jīng)營單位靈活、自主的開展對具體風(fēng)險控制的評估、控制有效性評價，支持各單位開展針對具體部門、項目、風(fēng)險類別等多維度的風(fēng)險管理工作，支持各單位具體風(fēng)險、控制負(fù)責(zé)人員對風(fēng)險控制和控制分別進行分析評價，實現(xiàn)全面風(fēng)險管理和內(nèi)部控制工作在集團各級單位、部門、崗位的落實，推動全員全過程的、主動自發(fā)的、自下而上的風(fēng)險管理和內(nèi)部控制工作。同時，信息系統(tǒng)通過固化風(fēng)險管理和內(nèi)部控制工作流程、工具、方法，規(guī)范風(fēng)險管理過程；通過內(nèi)置風(fēng)險管理和內(nèi)部控制知識、案例、向?qū)ВM一步提升各級單位、員工風(fēng)險管理意識，培育和宣傳風(fēng)險管理文化。

3 系統(tǒng)需求說明（System requirement description）

落實分類、分層、集中的管理要求，實現(xiàn)風(fēng)險管理與內(nèi)部控制的全面融合，進一步推動全面風(fēng)險管理體系落地，實現(xiàn)全面風(fēng)險管理日?；芾?。

而為了集團以及各單位在風(fēng)險管理與內(nèi)部控制工作流程中各盡其職，整個系統(tǒng)由多個主要模塊組成，包括環(huán)境建立、風(fēng)險識別、風(fēng)險分析、風(fēng)險評價、風(fēng)險應(yīng)對、監(jiān)督檢查以及其他模塊組成。

3.1 全面整合風(fēng)險管理及內(nèi)部控制工作

本系統(tǒng)建設(shè)應(yīng)全面整合ISO31000風(fēng)險管理標(biāo)準(zhǔn)、風(fēng)險管理過程及內(nèi)部控制工作過程，將風(fēng)險管理及內(nèi)部控制相關(guān)制度、管理流程、工具和方法等落實到風(fēng)險管理及內(nèi)部控制信息系統(tǒng)中，實現(xiàn)對風(fēng)險管理和內(nèi)部控制工作的全面融合，為集團各級企業(yè)實現(xiàn)全員、全過程的日常化風(fēng)險管理及內(nèi)部控制工作提供支持和輔助。

3.2 適用多層次組織機構(gòu)及多樣化風(fēng)險準(zhǔn)則

本系統(tǒng)適用于集團公司及所屬經(jīng)營單位多層級組織機構(gòu)，滿足各經(jīng)營單位在集團統(tǒng)一的工具、流程下，結(jié)合本單位實際情況進行風(fēng)險識別、分析、評價、應(yīng)對及內(nèi)部控制標(biāo)準(zhǔn)對標(biāo)、落實、自評價、缺陷整改等全過程管理；滿足各經(jīng)營單位按照集團統(tǒng)一要求，根據(jù)本單位業(yè)務(wù)目標(biāo)、管理水平、風(fēng)險類別等多種方式確定自身的風(fēng)險管理準(zhǔn)則；同時滿足集團公司對各級單位風(fēng)險、控制信息的集中監(jiān)控和管理以及多維度統(tǒng)計分析等，為集團和各級經(jīng)營單位提供對風(fēng)險管理和內(nèi)部控制進行強大、高效、全流程的管理工具。

3.3 符合信息管理規(guī)劃總體要求，形成一套風(fēng)險管理

系統(tǒng)

本系統(tǒng)的建設(shè)應(yīng)符合單位信息管理規(guī)劃的總體要求，符合集團信息管理標(biāo)準(zhǔn)化、應(yīng)用體系、開發(fā)平臺、技術(shù)架構(gòu)等要求，實現(xiàn)與現(xiàn)有應(yīng)用系統(tǒng)的有效整合，充分利用現(xiàn)有技術(shù)平臺，避免重復(fù)建設(shè)，形成風(fēng)險管理和內(nèi)部控制管理應(yīng)用平臺，實現(xiàn)包括功能設(shè)置、流程管理、報表查詢、統(tǒng)一登錄，權(quán)限分配等進行靈活配置的各種功能要求。

3.4 滿足業(yè)務(wù)、功能拓展的需求

本系統(tǒng)既可以滿足現(xiàn)有風(fēng)險管理及內(nèi)部控制工具、方法、流程方面的基礎(chǔ)要求，以及風(fēng)險信息采集、管理、統(tǒng)計分析等基本功能，又能支持系統(tǒng)在應(yīng)用范圍、功能拓展等方面的需求，具有足夠的靈活性、適用性和拓展性，能夠支持集團公司不同行業(yè)、不同企業(yè)層次、不同信息化水平的各類經(jīng)營單位的風(fēng)險管理工作。

4 系統(tǒng)架構(gòu)設(shè)計（Software testing process model

and selection strategy）

系統(tǒng)采用集團集中部署（非集群）方式，即在該單位集中部署應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器各一臺，該單位內(nèi)網(wǎng)用戶可以直接訪問系統(tǒng)，未連接集團內(nèi)網(wǎng)的用戶可以使用VPN連接至集團內(nèi)網(wǎng)訪問系統(tǒng)，前提是系統(tǒng)中具備該用戶的系統(tǒng)賬號且具備訪問權(quán)限。系統(tǒng)應(yīng)用及系統(tǒng)數(shù)據(jù)庫應(yīng)具備完善合理的備份機制，可根據(jù)系統(tǒng)使用的頻率制定備份的頻率及方式，硬件資源允許的前提下推薦全量備份策略。

除生產(chǎn)環(huán)境外，系統(tǒng)提供一臺專用測試服務(wù)器，同時安裝測試系統(tǒng)應(yīng)用及測試數(shù)據(jù)庫，系統(tǒng)上線后，所有針對已上線系統(tǒng)的修改、新增內(nèi)容全部要在測試服務(wù)器進行全面測試，測試通過后才允許部署至生產(chǎn)環(huán)境中。測試環(huán)境的訪問規(guī)則與正式系統(tǒng)相同，原則上應(yīng)保持與生產(chǎn)環(huán)境完全相同的系統(tǒng)版本及系統(tǒng)數(shù)據(jù)。

4.1 技術(shù)架構(gòu)

jQuery是免費、開源的。jQuery的語法設(shè)計可以使開發(fā)者更加便捷，如操作文檔對象、選擇DOM元素、制作動畫效果、事件處理、使用Ajax以及其他功能。

Bootstrap是基于HTML5和CSS3開發(fā)的，它在jQuery的基礎(chǔ)上進行了更為個性化和人性化的完善，形成一套自己獨有的網(wǎng)站風(fēng)格，并兼容大部分jQuery插件。Bootstrap中包含了豐富的Web組件，根據(jù)這些組件，可以快速的搭建一個漂亮、功能完備的網(wǎng)站。其中包括以下組件：下拉菜單、按鈕組、按鈕下拉菜單、導(dǎo)航、導(dǎo)航條、面包屑、分頁、排版、縮略圖、警告對話框、進度條、媒體對象等。

Bootstrap自帶了13個jQuery插件，這些插件為Bootstrap中的組件賦予了“生命”，其中包括：模式對話框、標(biāo)簽頁、滾動條、彈出框等。

4.2 數(shù)據(jù)架構(gòu)

風(fēng)險管理與內(nèi)部控制子系統(tǒng)從標(biāo)準(zhǔn)化系統(tǒng)中采集組織數(shù)據(jù)、人員數(shù)據(jù)、權(quán)限管理數(shù)據(jù)存儲到本地數(shù)據(jù)庫中，進行系統(tǒng)權(quán)限控制；與制度系統(tǒng)建立系統(tǒng)接口，從而獲取關(guān)聯(lián)的制度系統(tǒng)數(shù)據(jù)存儲到本地數(shù)據(jù)庫中，進行系統(tǒng)展示；風(fēng)險管理與內(nèi)部控制子系統(tǒng)運行過程中的業(yè)務(wù)數(shù)據(jù)進行正常處理后存儲至本地數(shù)據(jù)庫；系統(tǒng)工作流過程產(chǎn)生的系統(tǒng)待辦、待閱信息推送至全面風(fēng)險管理系統(tǒng)中；全面風(fēng)險管理系統(tǒng)負(fù)責(zé)將風(fēng)險管理與內(nèi)部控制子系統(tǒng)推送的待辦統(tǒng)一展示，同時推送至集團門戶；風(fēng)險管理與內(nèi)部控制子系統(tǒng)與決策支持相關(guān)的報表數(shù)據(jù)，通過數(shù)據(jù)采集平臺統(tǒng)一采集到數(shù)據(jù)中心中，同時通過BO報表平臺的開發(fā)配置能力進行報表展現(xiàn)。

4.3 部署架構(gòu)

風(fēng)險管理與內(nèi)部控制子系統(tǒng)單獨部署與獨立服務(wù)器，系統(tǒng)內(nèi)部數(shù)據(jù)全部存儲于業(yè)務(wù)數(shù)據(jù)庫中，其中系統(tǒng)權(quán)限管理數(shù)據(jù)來源于標(biāo)準(zhǔn)化系統(tǒng)。

與數(shù)據(jù)中心、BO報表平臺之間有直接的數(shù)據(jù)交互，用于決策型報表的數(shù)據(jù)抽取，展示在全面風(fēng)險管理系統(tǒng)領(lǐng)導(dǎo)視圖中。

與外部系統(tǒng)的對接，包含：

（1）與集團門戶間的單獨登錄、系統(tǒng)待辦的展示。

（2）與標(biāo)準(zhǔn)化系統(tǒng)關(guān)于權(quán)限管理體系的集成。

（3）與制度系統(tǒng)用于內(nèi)控標(biāo)準(zhǔn)與制度間關(guān)聯(lián)的數(shù)據(jù)對接。

（4）與全面風(fēng)險管理系統(tǒng)的單點登錄、系統(tǒng)待辦、BO報表的展現(xiàn)三方面。

（5）與郵件服務(wù)器對接進行郵件發(fā)送。

5 系統(tǒng)實現(xiàn)（System implementation）

5.1 程序?qū)崿F(xiàn)

在SpringMVC中，控制器controller負(fù)責(zé)處理分發(fā)的請求，它把用戶請求的數(shù)據(jù)經(jīng)過業(yè)務(wù)處理層處理之后封裝成一個Model，然后再把該Model返回給對應(yīng)的View進行展示。在SpringMVC中提供了一個非常簡便的定義Controller的方法，你無需繼承特定的類或?qū)崿F(xiàn)特定的接口，只需使用@Controller標(biāo)記一個類是控制器類，后使用@RequestMapping和@RequestParam等一些注解用以定義URL請求和Controller方法之間的映射，這樣的Controller就能被外界訪問到[6]。

service、dao、entity和controller層級結(jié)構(gòu)相同。

（1）service：用于各個業(yè)務(wù)邏輯的具體實現(xiàn)，為其他模塊提供接口。

（2）dao：用于與數(shù)據(jù)庫交流，實現(xiàn)數(shù)據(jù)的增刪改查。

（3）entity：在SpringMVC的映射機制中對應(yīng)數(shù)據(jù)庫的各個表。

依靠JSP技術(shù)向用戶展示各個頁面，它是在傳統(tǒng)的網(wǎng)頁HTML（標(biāo)準(zhǔn)通用標(biāo)記語言的子集）文件（*.htm，*.html）中插入Java程序段（Scriptlet）和JSP標(biāo)記（tag），從而形成JSP文件，后綴名為（*.jsp）。用JSP開發(fā)的Web應(yīng)用是跨平臺的，既能在Linux下運行，也能在其他操作系統(tǒng)上運行。如圖所示是系統(tǒng)中實現(xiàn)的JSP頁面。

圖2 JSP頁面

Fig.2 JSP pages

js引用，JavaScript一種直譯式腳本語言，是一種動態(tài)類型、弱類型、基于原型的語言，內(nèi)置支持類型。它的解釋器被稱為JavaScript引擎，為瀏覽器的一部分，廣泛用于客戶端的腳本語言，最早是在HTML（標(biāo)準(zhǔn)通用標(biāo)記語言下的一個應(yīng)用）網(wǎng)頁上使用，用來給HTML網(wǎng)頁增加動態(tài)功能[7]。

5.2 程序測試

測試組對整個風(fēng)險管理與內(nèi)部控制系統(tǒng)首先分模塊的進行了冒煙測試，接下來用測試用例對各個模塊進行了系統(tǒng)功能測試，發(fā)現(xiàn)了一些與需求不符的bug，測試需求所要求的各個功能點是否完成，完成的是否正確，并提出了一些界面美化、用戶體驗度的優(yōu)化bug，在測試組進行了兩輪測試后，測試組開始用實際業(yè)務(wù)數(shù)據(jù)開始了整個流程包括各個模塊的測試，同時用戶的一些部門也參與到全流程業(yè)務(wù)數(shù)據(jù)的模擬測試中，用戶也從他們的角度提出了一些bug。測試組提得bug大多數(shù)是根據(jù)需求以及測試用例發(fā)現(xiàn)的一些缺失或有誤的問題，而用戶則結(jié)合實際業(yè)務(wù)提出了一些需要修改需求從而修改程序的一些問題。

整個測試過程測試組提出包含各個方面的bug共56個，從等級高的bug到一些優(yōu)化型的bug目前56個bug已經(jīng)完全修復(fù)完畢，而客戶提出的25個bug也已經(jīng)修復(fù)完畢，接下來系統(tǒng)會在包括集團下的各級單位進行試點上線，可能還會提出一些性能上的問題。

由于系統(tǒng)需支持的瀏覽器有多個，在測試過程中發(fā)現(xiàn)了很多因瀏覽器不同而出現(xiàn)的很多問題，所以系統(tǒng)需要在支持的不同的瀏覽器上進行測試。在將系統(tǒng)部署到服務(wù)器上后，也出現(xiàn)了一些與服務(wù)器不兼容的問題，當(dāng)然這些問題的修復(fù)是比較困難的，因為不容易去追蹤問題出現(xiàn)的原因。

隨著bug的修復(fù)，系統(tǒng)上存在的問題越來越少，而在修復(fù)bug的過程中也有一些感觸，有一些bug雖然修復(fù)了，可是有可能會因為修復(fù)這個bug修改程序而影響到了別的地方，從而引入了新的問題，所以在修復(fù)一個問題時需要仔細的分析業(yè)務(wù)邏輯盡量避免出現(xiàn)這樣的問題，另外一個是在修復(fù)問題時碰到自己有疑問或者覺得測試與自己理解有偏差的時候，不能直接就按著測試給的結(jié)果去修改，首先應(yīng)該做的是去找負(fù)責(zé)人溝通，了解到具體的情況后再與測試溝通決定問題是否需要修改，避免盲目修改后發(fā)現(xiàn)bug提的不對再重新修改回來的問題。

6 結(jié)論（Conclusion）

通過對企業(yè)風(fēng)險管理與內(nèi)部控制系統(tǒng)需求對系統(tǒng)進行了詳細的需求分析，通過學(xué)習(xí)風(fēng)險管控的知識，參考某些已有的風(fēng)險管理與內(nèi)部控制工作體系，對風(fēng)險評價子模塊的需求進行了詳細的分析并且進行了系統(tǒng)的設(shè)計，學(xué)習(xí)ISO31000風(fēng)險管理流程機制，參考已有的單獨風(fēng)險管理的平臺設(shè)計與實現(xiàn)思想，確定了系統(tǒng)的設(shè)計方案，并在此基礎(chǔ)上實現(xiàn)了風(fēng)險評價模塊包括缺陷等級認(rèn)定模塊以及缺陷匯總模塊。

目前該系統(tǒng)已經(jīng)經(jīng)過測試組測試、用戶業(yè)務(wù)線集成測試以及UAT（用戶驗收測試），過程中測試組也提出了很多功能問題、界面優(yōu)化以及與需求不符等各方面的問題，已經(jīng)做出了對應(yīng)的修改，而用戶在測試過程中也提出了一些新的需求，也權(quán)衡了修改的代價以及修改對系統(tǒng)的作用對系統(tǒng)進行了調(diào)整與改進。

參考文獻（References）

[1] 王穩(wěn)，王東.企業(yè)風(fēng)險管理理論的演進與展望[J].審計研究，

2010，1（4）：96-100.

[2] 蔡艷嬌.基于風(fēng)險管理的企業(yè)內(nèi)部控制研究[D].昆明：昆明理

工大學(xué)，2012.

[3] 張先治，戴文濤.中國企業(yè)內(nèi)部控制評價系統(tǒng)研究[J].審計研

究，2011，1（1）：69-78.

[4] 池國華.基于管理視角的企業(yè)內(nèi)部控制評價系統(tǒng)模式[J].會計

研究，2010，1（10）：55-61；96.

[5] 李雪豐.我國商業(yè)銀行信貸風(fēng)險內(nèi)部控制評價研究[D].長沙：

湖南大學(xué)，2010.

[6] 趙中樞.工作流技術(shù)在教材管理系統(tǒng)開發(fā)中的研究與應(yīng)用[J].

軟件工程師，2014，1（3）：33，38-39.

[7] 許鐳，許華.基于Web的高校安全信息管理系統(tǒng)設(shè)計與實現(xiàn)

[J].軟件工程師，2014，17（9）：25-26.

作者簡介：

趙寧社（1975-），男，博士，講師.研究領(lǐng)域：計算機軟件技

術(shù)，計算機教育.

袁美娜（1993-），女，本科生.研究領(lǐng)域：軟件工程.