企業風險管理與內部控制評價系統架構設計與實現

趙寧社 袁美娜

摘 要：為了滿足集團公司和各經營單位全面風險管理和內部控制工作要求，推動集團全面風險管理體系進一步落實，本文給出了關于風險管理與內部控制工作的需求分析、流程說明，重點討論了企業風險管理與內部控制評價系統的架構設計，并給出了實現的相關細節，以及對系統的測試。經實踐測試該設計將能加強企業的風險管理與內部控制，促進工作進行的日常化、標準化和自動化。

關鍵詞：風險管理；內部控制；風險評價；缺陷

中圖分類號：TP311.5 文獻標識碼：A

1 引言（Introduction）

Gallagher等人提出了現代風險管理的概念[1]。面對近年來復雜多變的國內外宏觀經濟環境以及持續低迷的行業市場，各央企公司緊密圍繞發展戰略和經營目標，持續健全全面風險管理體系，不斷深化風險評估在風險管理工作中的基礎性作用，強化風險評估對重大投資等重要事項的決策支持作用，不斷提高風險評估工作的適應性和準確性，充分利用信息化手段提升風險評估工作效率。近年來，我國相繼出臺了一些針對性的政策[2-4]。2012年，國資委要求中央企業在以往風險管理的基礎上開展企業的內部控制管理工作。

在充分研究風險評估和內部控制的融合思路、貫通方式、技術方法的基礎上形成了風險評估與內部控制信息系統建設方案[2，4，5]。該方案旨在利用信息技術將內部控制的標準落實、自評價、內控監督評價、缺陷整改及內控督查、自評價報告編寫等工作與風險評估中的風險識別、風險分析、風險應對進行有效融合，依靠內部控制系統控制、應對風險點，最終通過標準化和自動化，實現風險評估與內部控制在工作、流程和操作執行方法層面的全面融合。

2 風險管理及內部評價控制概述（Summarize）

風險管理及內部評價控制即是通過風險管理及內部控制信息化建設，梳理并優化集團公司現有風險管理及內部控制管理流程與機制，建立風險管理及內部控制信息系統，滿足集團公司和各經營單位全面風險管理和內部控制工作需求，推動集團全面風險管理體系進一步落地，提高集團整體風險防范水平。落實分類、分層、集中的管理要求，實現風險管理與內部控制的全面融合，進一步推動全面風險管理體系落地，實現全面風險管理日常化管理。

按照企業單位全面風險管理相關制度要求，遵循ISO31000風險管理標準，結合企業風險管理和內部控制工作實際，實現風險管理和內部控制兩項工作深度融合和一體化管理，落實集團全面風險管理分層、分類、集中原則。在管理方式上，分層管理指建立集團各層級單位的風險庫、風險準則等，實現各級單位對自身風險和控制靈活開展評估和管理；分類管理是指對風險、控制按照職能條線、管理目標和業務流程等多形式進行劃分，并由相應組織、部門進行落實，實現各組織、部門開展自身管理范圍內的日常評估和管理；集中管理是指集團建立統一的信息平臺，構建統一的風險管理框架和運行過程，全集團采用統一的工具和風險管理語言，實現對風險信息、風險管理工具、方法等的集中管理。在管理內容上，分類管理是指對不同類型的風險開展專業化管理；集中管理是指通過統一策略、統一數據標準，實現對風險、控制信息的集中管理，實現對跨部門風險事項和控制的統一決策和協同管理。

內部控制是全面風險管理的重要組成部分，是對內部可控風險開展的全面風險管理工作。通過建立信息系統，實現傳統的全面風險管理工作與內部控制工作的全面、深度融合，將環境建立、風險識別、分析、評價、應對等風險管理過程與內控標準建立、自評價、日常檢查、監督評價、缺陷認定和整改等內部控制管理過程在工作組織、業務流程、工具手段、方式方法等多方面貫通和整合，明確并固化全面風險管理及內部控制工作的契合點和貫通紐帶，實現全面風險管理工作與內部控制工作的完整、有效和無縫對接。

通過風險管理及內部控制信息系統的建設，支持各經營單位靈活、自主的開展對具體風險控制的評估、控制有效性評價，支持各單位開展針對具體部門、項目、風險類別等多維度的風險管理工作，支持各單位具體風險、控制負責人員對風險控制和控制分別進行分析評價，實現全面風險管理和內部控制工作在集團各級單位、部門、崗位的落實，推動全員全過程的、主動自發的、自下而上的風險管理和內部控制工作。同時，信息系統通過固化風險管理和內部控制工作流程、工具、方法，規范風險管理過程；通過內置風險管理和內部控制知識、案例、向導，進一步提升各級單位、員工風險管理意識，培育和宣傳風險管理文化。

3 系統需求說明（System requirement description）

落實分類、分層、集中的管理要求，實現風險管理與內部控制的全面融合，進一步推動全面風險管理體系落地，實現全面風險管理日常化管理。

而為了集團以及各單位在風險管理與內部控制工作流程中各盡其職，整個系統由多個主要模塊組成，包括環境建立、風險識別、風險分析、風險評價、風險應對、監督檢查以及其他模塊組成。

3.1 全面整合風險管理及內部控制工作

本系統建設應全面整合ISO31000風險管理標準、風險管理過程及內部控制工作過程，將風險管理及內部控制相關制度、管理流程、工具和方法等落實到風險管理及內部控制信息系統中，實現對風險管理和內部控制工作的全面融合，為集團各級企業實現全員、全過程的日常化風險管理及內部控制工作提供支持和輔助。

3.2 適用多層次組織機構及多樣化風險準則

本系統適用于集團公司及所屬經營單位多層級組織機構，滿足各經營單位在集團統一的工具、流程下，結合本單位實際情況進行風險識別、分析、評價、應對及內部控制標準對標、落實、自評價、缺陷整改等全過程管理；滿足各經營單位按照集團統一要求，根據本單位業務目標、管理水平、風險類別等多種方式確定自身的風險管理準則；同時滿足集團公司對各級單位風險、控制信息的集中監控和管理以及多維度統計分析等，為集團和各級經營單位提供對風險管理和內部控制進行強大、高效、全流程的管理工具。

3.3 符合信息管理規劃總體要求，形成一套風險管理

系統

本系統的建設應符合單位信息管理規劃的總體要求，符合集團信息管理標準化、應用體系、開發平臺、技術架構等要求，實現與現有應用系統的有效整合，充分利用現有技術平臺，避免重復建設，形成風險管理和內部控制管理應用平臺，實現包括功能設置、流程管理、報表查詢、統一登錄，權限分配等進行靈活配置的各種功能要求。

3.4 滿足業務、功能拓展的需求

本系統既可以滿足現有風險管理及內部控制工具、方法、流程方面的基礎要求，以及風險信息采集、管理、統計分析等基本功能，又能支持系統在應用范圍、功能拓展等方面的需求，具有足夠的靈活性、適用性和拓展性，能夠支持集團公司不同行業、不同企業層次、不同信息化水平的各類經營單位的風險管理工作。

4 系統架構設計（Software testing process model

and selection strategy）

系統采用集團集中部署（非集群）方式，即在該單位集中部署應用服務器和數據庫服務器各一臺，該單位內網用戶可以直接訪問系統，未連接集團內網的用戶可以使用VPN連接至集團內網訪問系統，前提是系統中具備該用戶的系統賬號且具備訪問權限。系統應用及系統數據庫應具備完善合理的備份機制，可根據系統使用的頻率制定備份的頻率及方式，硬件資源允許的前提下推薦全量備份策略。

除生產環境外，系統提供一臺專用測試服務器，同時安裝測試系統應用及測試數據庫，系統上線后，所有針對已上線系統的修改、新增內容全部要在測試服務器進行全面測試，測試通過后才允許部署至生產環境中。測試環境的訪問規則與正式系統相同，原則上應保持與生產環境完全相同的系統版本及系統數據。

4.1 技術架構

jQuery是免費、開源的。jQuery的語法設計可以使開發者更加便捷，如操作文檔對象、選擇DOM元素、制作動畫效果、事件處理、使用Ajax以及其他功能。

Bootstrap是基于HTML5和CSS3開發的，它在jQuery的基礎上進行了更為個性化和人性化的完善，形成一套自己獨有的網站風格，并兼容大部分jQuery插件。Bootstrap中包含了豐富的Web組件，根據這些組件，可以快速的搭建一個漂亮、功能完備的網站。其中包括以下組件：下拉菜單、按鈕組、按鈕下拉菜單、導航、導航條、面包屑、分頁、排版、縮略圖、警告對話框、進度條、媒體對象等。

Bootstrap自帶了13個jQuery插件，這些插件為Bootstrap中的組件賦予了“生命”，其中包括：模式對話框、標簽頁、滾動條、彈出框等。

4.2 數據架構

風險管理與內部控制子系統從標準化系統中采集組織數據、人員數據、權限管理數據存儲到本地數據庫中，進行系統權限控制；與制度系統建立系統接口，從而獲取關聯的制度系統數據存儲到本地數據庫中，進行系統展示；風險管理與內部控制子系統運行過程中的業務數據進行正常處理后存儲至本地數據庫；系統工作流過程產生的系統待辦、待閱信息推送至全面風險管理系統中；全面風險管理系統負責將風險管理與內部控制子系統推送的待辦統一展示，同時推送至集團門戶；風險管理與內部控制子系統與決策支持相關的報表數據，通過數據采集平臺統一采集到數據中心中，同時通過BO報表平臺的開發配置能力進行報表展現。

4.3 部署架構

風險管理與內部控制子系統單獨部署與獨立服務器，系統內部數據全部存儲于業務數據庫中，其中系統權限管理數據來源于標準化系統。

與數據中心、BO報表平臺之間有直接的數據交互，用于決策型報表的數據抽取，展示在全面風險管理系統領導視圖中。

與外部系統的對接，包含：

（1）與集團門戶間的單獨登錄、系統待辦的展示。

（2）與標準化系統關于權限管理體系的集成。

（3）與制度系統用于內控標準與制度間關聯的數據對接。

（4）與全面風險管理系統的單點登錄、系統待辦、BO報表的展現三方面。

（5）與郵件服務器對接進行郵件發送。

5 系統實現（System implementation）

5.1 程序實現

在SpringMVC中，控制器controller負責處理分發的請求，它把用戶請求的數據經過業務處理層處理之后封裝成一個Model，然后再把該Model返回給對應的View進行展示。在SpringMVC中提供了一個非常簡便的定義Controller的方法，你無需繼承特定的類或實現特定的接口，只需使用@Controller標記一個類是控制器類，后使用@RequestMapping和@RequestParam等一些注解用以定義URL請求和Controller方法之間的映射，這樣的Controller就能被外界訪問到[6]。

service、dao、entity和controller層級結構相同。

（1）service：用于各個業務邏輯的具體實現，為其他模塊提供接口。

（2）dao：用于與數據庫交流，實現數據的增刪改查。

（3）entity：在SpringMVC的映射機制中對應數據庫的各個表。

依靠JSP技術向用戶展示各個頁面，它是在傳統的網頁HTML（標準通用標記語言的子集）文件（*.htm，*.html）中插入Java程序段（Scriptlet）和JSP標記（tag），從而形成JSP文件，后綴名為（*.jsp）。用JSP開發的Web應用是跨平臺的，既能在Linux下運行，也能在其他操作系統上運行。如圖所示是系統中實現的JSP頁面。

圖2 JSP頁面

Fig.2 JSP pages

js引用，JavaScript一種直譯式腳本語言，是一種動態類型、弱類型、基于原型的語言，內置支持類型。它的解釋器被稱為JavaScript引擎，為瀏覽器的一部分，廣泛用于客戶端的腳本語言，最早是在HTML（標準通用標記語言下的一個應用）網頁上使用，用來給HTML網頁增加動態功能[7]。

5.2 程序測試

測試組對整個風險管理與內部控制系統首先分模塊的進行了冒煙測試，接下來用測試用例對各個模塊進行了系統功能測試，發現了一些與需求不符的bug，測試需求所要求的各個功能點是否完成，完成的是否正確，并提出了一些界面美化、用戶體驗度的優化bug，在測試組進行了兩輪測試后，測試組開始用實際業務數據開始了整個流程包括各個模塊的測試，同時用戶的一些部門也參與到全流程業務數據的模擬測試中，用戶也從他們的角度提出了一些bug。測試組提得bug大多數是根據需求以及測試用例發現的一些缺失或有誤的問題，而用戶則結合實際業務提出了一些需要修改需求從而修改程序的一些問題。

整個測試過程測試組提出包含各個方面的bug共56個，從等級高的bug到一些優化型的bug目前56個bug已經完全修復完畢，而客戶提出的25個bug也已經修復完畢，接下來系統會在包括集團下的各級單位進行試點上線，可能還會提出一些性能上的問題。

由于系統需支持的瀏覽器有多個，在測試過程中發現了很多因瀏覽器不同而出現的很多問題，所以系統需要在支持的不同的瀏覽器上進行測試。在將系統部署到服務器上后，也出現了一些與服務器不兼容的問題，當然這些問題的修復是比較困難的，因為不容易去追蹤問題出現的原因。

隨著bug的修復，系統上存在的問題越來越少，而在修復bug的過程中也有一些感觸，有一些bug雖然修復了，可是有可能會因為修復這個bug修改程序而影響到了別的地方，從而引入了新的問題，所以在修復一個問題時需要仔細的分析業務邏輯盡量避免出現這樣的問題，另外一個是在修復問題時碰到自己有疑問或者覺得測試與自己理解有偏差的時候，不能直接就按著測試給的結果去修改，首先應該做的是去找負責人溝通，了解到具體的情況后再與測試溝通決定問題是否需要修改，避免盲目修改后發現bug提的不對再重新修改回來的問題。

6 結論（Conclusion）

通過對企業風險管理與內部控制系統需求對系統進行了詳細的需求分析，通過學習風險管控的知識，參考某些已有的風險管理與內部控制工作體系，對風險評價子模塊的需求進行了詳細的分析并且進行了系統的設計，學習ISO31000風險管理流程機制，參考已有的單獨風險管理的平臺設計與實現思想，確定了系統的設計方案，并在此基礎上實現了風險評價模塊包括缺陷等級認定模塊以及缺陷匯總模塊。

目前該系統已經經過測試組測試、用戶業務線集成測試以及UAT（用戶驗收測試），過程中測試組也提出了很多功能問題、界面優化以及與需求不符等各方面的問題，已經做出了對應的修改，而用戶在測試過程中也提出了一些新的需求，也權衡了修改的代價以及修改對系統的作用對系統進行了調整與改進。

參考文獻（References）

[1] 王穩，王東.企業風險管理理論的演進與展望[J].審計研究，

2010，1（4）：96-100.

[2] 蔡艷嬌.基于風險管理的企業內部控制研究[D].昆明：昆明理

工大學，2012.

[3] 張先治，戴文濤.中國企業內部控制評價系統研究[J].審計研

究，2011，1（1）：69-78.

[4] 池國華.基于管理視角的企業內部控制評價系統模式[J].會計

研究，2010，1（10）：55-61；96.

[5] 李雪豐.我國商業銀行信貸風險內部控制評價研究[D].長沙：

湖南大學，2010.

[6] 趙中樞.工作流技術在教材管理系統開發中的研究與應用[J].

軟件工程師，2014，1（3）：33，38-39.

[7] 許鐳，許華.基于Web的高校安全信息管理系統設計與實現

[J].軟件工程師，2014，17（9）：25-26.

作者簡介：

趙寧社（1975-），男，博士，講師.研究領域：計算機軟件技

術，計算機教育.

袁美娜（1993-），女，本科生.研究領域：軟件工程.