基于SOA架构的风险管理系统设计研究

林枫 王欢 李宏 毕重轶

[摘 要] 全面风险管理信息系统作为风险管理的信息化管理平台，在企业的风险管理方法框架搭建完成之后，为企业日常风险管理工作的运行提供全面、有效的保证，是企业日常风险管理的基础管理平台，也是实现全面风险管理工作真正落地实施的有力工具。

[关键词] 全面风险管理；ERMIS；SOA；风险评估；风险应对；风险辨识

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 05. 022

[中图分类号] F270.7；TP315 [文献标识码] A [文章编号] 1673 - 0194（2014）05- 0034- 04

0 引 言

随着企业所面临风险的复杂度和危害程度的增大，风险管理已经成为现代企业管理的核心。全面风险管理服务于企业的日常经营活动，应对突发事件，支持企业的战略决策。通过风险评估和应对，实现对风险事件的事前预警、事中控制、事后评价，帮助企业管理风险、创造价值。

风险管理是指针对历史事件和风险事件，由相关人员采取一定的分析方法对这些事件进行评测，并采取相应的分析方法对评测结果进行分析，将分析结果和应对方案进行比较，综合评测并提交风险报告的过程。

全面风险管理信息系统（ERMIS）从结构上支持风险管理的全过程，是使风险管理真正落地的有效手段，也是企业整体信息化的重要组成部分。通过风险管理信息系统的实施，公司得以整合内外部风险信息，由经验化的风险管理，过渡到系统化、网络化的风险管理，实现风险的事前防范，更好地保证企业战略目标的实现。

1 ERMIS系统架构

ERMIS系统框架遵从面向服务的体系架构（SOA，Service-Oriented Architecture）和J2EE的开发标准，以模块组件的形式，利用中间件平台进行设计与开发。

1.1 技术架构

ERMIS系统建设采用的是B/S架构，用户界面是通过WWW浏览器来进行业务操作。开发平台采用Primeton EOS 6.0，这是全球领先的SOA应用平台，采用了先进的SOA体系架构和标准规范，实现了业务层面的构件化模型、技术层面的标准化架构和管理层面的规范化框架。SOA是使用J2EE平台开发的，因此系统也是完全按照J2EE模式搭建，支持跨平台，如：UNIX和Windows。数据库系统采用适合大中型企业的Oracle数据库。

ERMIS系统结构可划分为3个层次：资源层、服务层和应用层，其架构如图1所示。

2 全面风险管理工作方式

全面风险管理信息系统主要在以下6个方面，为企业的风险管理工作提供支持。分别为：

（1）企业的风险管理环境信息管理；

（2）风险管理工作最基础、核心的辨识评估工作；

（3）针对重大风险以及突发性重大风险事件的风险应对工作；

（4）企业日常风险管理重大风险指标的监控预警；

（5）企业的流程控制管理；

（6）企业风险管理的报告体系运行工作。

六大风险管理业务之间不是相互独立的，它们相互影响触发，形成一套完整的风险管理工作流程。

下面着重介绍风险管理的关键业务。

2.1 风险评估

风险评估（Risk Assessment），是指在风险事件发生之前或之后（但还没有结束），对于该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。

从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

2.2 风险应对

风险应对是指在确定了决策主体经营活动中存在的风险后，在分析出风险概率及其风险影响程度的基础上，根据风险性质和决策主体对风险的承受能力而制订的回避风险、承受风险、降低风险或者分担风险等相应防范计划。制定风险应对策略主要考虑4个方面的因素：可规避性、可转移性、可缓解性、可接受性。

风险应对过程是执行风险行动计划，以求将风险降至可接受程度。

2.3 风险监控

风险监控是指在决策主体的运行过程中，对风险的发展与变化情况进行全程监督，并根据需要进行应对策略的调整。因为风险是随着内部与外部环境的变化而变化的，它们在决策主体经营活动的推进过程中可能会增大或者衰退乃至消失，也可能由于环境的变化又生成新的风险。项目风险监控就是通过对风险规划、识别、估计、评价、应对全过程的监视和控制，从而保证风险管理能达到预期的目标，它是项目实施过程中的一项重要工作。监控风险实际是监视项目的进展和项目环境，即项目情况的变化，其目的是：核对风险管理策略和措施的实际效果是否与预期的相同；寻找机会改善和细化风险规避计划；获取反馈信息，使将来的决策更符合实际。

3 ERMIS系统功能及应用

全面风险管理信息系统的功能要涵盖风险管理流程的全过程，包括从初始信息的采集更新，建立综合信息框架、到风险评估、风险管理策略、风险管理解决方案，再到监控、改进。包括关键指标及重大事件的监控预警、风险分析及预测。覆盖了事前预测、事中监管和事后总结的全过程。

系统主要功能如图3所示。

3.1 环境信息

环境信息是搭建风险体系架构、统一风险语言，存储风险管理的内外部环境信息。主要功能是：

（1）建立法律法规、规章制度信息平台；

（2）提供风险管理的最佳实践；

（3）梳理风险管理的组织体系，确定风险管理工作的职权责任；

（4）建立风险管理工作流程，确保风险管理工作有序进行；

（5）梳理各类风险管理制度库，完善公司管理制度的分类归档；

（6）提供风险管理工具模板，实现风险管理经验的转移。

3.2 风险评估

风险评估功能是开展风险管理工作的基础，它的核心工作是通过持续的风险辨识、分析和评价工作，对新发生或需持续关注的风险行为进行跟踪，定期对重大风险进行排序，通过各类图形化的报告来反映风险事件的变化和历史趋势。

风险评估功能用于对企业内部、外部风险的辨识、分析、评价。首先是通过风险辨识功能发现各类业务活动中各个层面的风险，包括企业内部、外部影响企业运营和战略决策层面的各种风险，形成风险库。然后，通过问卷评估和直接评估两种方式对风险的影响和发生可能性等维度进行度量，动态更新企业风险库的内容。企业领导可以通过各种形式的统计图表及时了解企业最新的风险情况。

风险评估流程如图4所示。

主要功能是：

（1）实现风险库的信息化，标准化风险事件并及时进行新生风险的辨识；

（2）实现“指标、板块、项目、岗位、风险、事件”的相互映射的风险数据库；

（3）支持评估计划的制订、下发，问卷维度设计与分配，在线评估打分；

（4）完成风险排序、热度等各类数据统计分析并生成分析图表；

（5）高效、多样的查询功能，引入风险“版本”管理，实现不同版本间风险的横向对比；

（6）灵活多样的风险辨识方式，支持Excel导入、问卷辨识、在线填写及修改；

（7）支持多人同时在线使用，简化数据统计与分析工作，提高效率。

3.3 风险应对

风险应对是明确重大风险管理策略和解决方案，以统一公司的风险管理行为，动态监控风险和风险管理的效果。主要实现：

（1）明确重大风险偏好和风险承受度，针对某些重大风险提出解决方案；

（2）明确重大风险应对策略和相应的具体措施；通常分为应急措施、事前预防和事后处置方案；

（3）公司可根据对自身重大风险的风险偏好和承受度，通过评价解决方案的剩余风险，评价解决方案的有效性，达到及时改进风险管理的目的；

（4）对于应对方案要做事后评价，以便修正和改进；

（5）在多方案优选中，采用决策树的模式，采用时间、成本和改进效果的方式进行排序。

利用风险应对模块，企业可以明确重大风险的偏好和风险承受度，以及应对策略和具体的措施。

3.4 监控预警

监控预警包括关键绩效指标体系，以及对重大风险指标的动态监控和及时预警机制。监控预警模块从企业经营的关键绩效和风险指标等方面展示企业经营的风险状况。主要实现：

（1）企业各级领导人通过“风险驾驶舱”中仪表盘的告警指示，准确把握各项经营指标的变化以及相应的各风险影响因子的变化。当关键指标出现预警时，系统能够追踪到使指标发生异常的风险事件，以及这些事件的处置情况，并在此基础上对环境信息进行更新，满足风险管理工作持续改进的需要；

（2）通过对经营指标变化趋势的量化预测，提供给管理者前瞻性的信息，使公司能够提前采取措施，保证战略目标的顺利完成。

3.5 综合报告

综合报告是风险管理体系的信息流，根据工作的需求生成并存放各种报告，及对其进行管理维护。其中报告种类、报告内容和报告频率根据风险管理的需要定制。主要实现：

（1）自动生成风险评估报告、上传下载各类风险案例分析报告、重点流程风险控制及建议报告、风险管理体系评估及规划报告、风险管理及内部控制信息化管理建议书等报告及对国资委等部门上报的对外报告；

（2）报告汇报渠道体系管理，包括提交、审阅、审批、归档功能；

（3）报告汇总管理，按统一模板汇总下级报告功能；

（4）报告提醒、跟踪功能；

（5）生成各种统计图表；

（6）报告模板管理、对外沟通管理和报告归档查询功能。

综合报告模块抽取相关的数据，自动生成风险辨识报告、风险指标监控报告等各类报告，大大减少了繁杂的手工劳动，提高了报告编制效率和风险数据使用效率。本模块提供报告模板的上传下载功能，以及查看公司重大风险详情的功能。

4 关键技术

4.1 风险定量分析

风险量化是指通过对风险及风险的相互作用的估算来评价项目可能结果的范围。风险量化用于衡量风险概率和风险对项目目标影响的程度，它依据风险管理计划、风险及风险条件排序表、历史资料、专家判断及其他计划成果，利用灵敏度分析、决策分析与模拟的方法和技术，得出量化序列表、项目确认研究以及所需应急资源等量化结果。

风险定量分析使用蒙特卡罗方法，分析评估风险发生可能性、风险的成因、风险造成的损失或带来的机会等变量在未来变化的概率分布。需要通过收集大量历史相关数据，建立能描述该风险变量在未来变化的概率模型。利用随机数字发生器，生成风险变量的概率分布初步结果。通过对生成的概率分布初步结果分析，用实验数据验证模型的正确性，并在实践中不断修正和完善，实现利用该模型分析评估风险情况。

4.2 关键风险指标管理

一项风险事件发生可能有多种成因，但关键成因往往只有几种。通过分析风险成因，从中找出关键成因，将关键成因量化分析，确定关键风险监控指标，建立风险预警，制定出现风险预警信息时应采取的控制措施。

4.3 压力测试

压力测试是指在极端情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施，防止出现重大损失事件。通过针对某一风险管理模型或内控流程，假设可能会发生哪些极端，评估极端情景发生时，风险管理模型或内控流程是否有效，并分析对目标可能造成的损失。制定相应措施，修改和完善风险管理模型或内控流程。

5 总结与展望

全面风险管理信息系统能够将风险管理信息化体系与风险管理、内控流程紧密结合起来，实施动态的、全方位的、全过程的监控，防范重大风险，推进公司全面风险管理体系建设，提高公司全面风险管理工作效率，打造一个高效、协同的风险管理工作信息平台。平台建成以后能够实现以下目标：

（1）实现及时、准确、真实传递和共享各种风险信息，展现、落实公司全面风险管理模式和相关制度；

（2）各项风险管理工作实现化规范化、标准化，优化、完善公司风险管理基本流程；

（3）确保公司所制订的危机处理计划在各项重大风险发生后能够有效实施；

（4）实现跟踪、监督、评价各项风险管理工作过程和成果，提高公司风险管控能力和水平。

目前，公司正在推进全面风险管理系统的应用，由于系统上线运行不久，系统中还没有形成大量的风险事件，对风险分析的模型还没有很有效地利用，期待未来会有更好的表现。

主要参考文献

[1][加]沃特斯.供应链风险管理[M].何明珂，译.北京：中国物资出版社，2010.

[2]彭志国，刘琳，等.企业内部控制与全面风险管理[M].北京：中国时代经济出版社，2008.