企业风险管理与内部控制评价系统架构设计与实现

赵宁社 袁美娜

摘 要：为了满足集团公司和各经营单位全面风险管理和内部控制工作要求，推动集团全面风险管理体系进一步落实，本文给出了关于风险管理与内部控制工作的需求分析、流程说明，重点讨论了企业风险管理与内部控制评价系统的架构设计，并给出了实现的相关细节，以及对系统的测试。经实践测试该设计将能加强企业的风险管理与内部控制，促进工作进行的日常化、标准化和自动化。

关键词：风险管理；内部控制；风险评价；缺陷

中图分类号：TP311.5 文献标识码：A

1 引言（Introduction）

Gallagher等人提出了现代风险管理的概念[1]。面对近年来复杂多变的国内外宏观经济环境以及持续低迷的行业市场，各央企公司紧密围绕发展战略和经营目标，持续健全全面风险管理体系，不断深化风险评估在风险管理工作中的基础性作用，强化风险评估对重大投资等重要事项的决策支持作用，不断提高风险评估工作的适应性和准确性，充分利用信息化手段提升风险评估工作效率。近年来，我国相继出台了一些针对性的政策[2-4]。2012年，国资委要求中央企业在以往风险管理的基础上开展企业的内部控制管理工作。

在充分研究风险评估和内部控制的融合思路、贯通方式、技术方法的基础上形成了风险评估与内部控制信息系统建设方案[2，4，5]。该方案旨在利用信息技术将内部控制的标准落实、自评价、内控监督评价、缺陷整改及内控督查、自评价报告编写等工作与风险评估中的风险识别、风险分析、风险应对进行有效融合，依靠内部控制系统控制、应对风险点，最终通过标准化和自动化，实现风险评估与内部控制在工作、流程和操作执行方法层面的全面融合。

2 风险管理及内部评价控制概述（Summarize）

风险管理及内部评价控制即是通过风险管理及内部控制信息化建设，梳理并优化集团公司现有风险管理及内部控制管理流程与机制，建立风险管理及内部控制信息系统，满足集团公司和各经营单位全面风险管理和内部控制工作需求，推动集团全面风险管理体系进一步落地，提高集团整体风险防范水平。落实分类、分层、集中的管理要求，实现风险管理与内部控制的全面融合，进一步推动全面风险管理体系落地，实现全面风险管理日常化管理。

按照企业单位全面风险管理相关制度要求，遵循ISO31000风险管理标准，结合企业风险管理和内部控制工作实际，实现风险管理和内部控制两项工作深度融合和一体化管理，落实集团全面风险管理分层、分类、集中原则。在管理方式上，分层管理指建立集团各层级单位的风险库、风险准则等，实现各级单位对自身风险和控制灵活开展评估和管理；分类管理是指对风险、控制按照职能条线、管理目标和业务流程等多形式进行划分，并由相应组织、部门进行落实，实现各组织、部门开展自身管理范围内的日常评估和管理；集中管理是指集团建立统一的信息平台，构建统一的风险管理框架和运行过程，全集团采用统一的工具和风险管理语言，实现对风险信息、风险管理工具、方法等的集中管理。在管理内容上，分类管理是指对不同类型的风险开展专业化管理；集中管理是指通过统一策略、统一数据标准，实现对风险、控制信息的集中管理，实现对跨部门风险事项和控制的统一决策和协同管理。

内部控制是全面风险管理的重要组成部分，是对内部可控风险开展的全面风险管理工作。通过建立信息系统，实现传统的全面风险管理工作与内部控制工作的全面、深度融合，将环境建立、风险识别、分析、评价、应对等风险管理过程与内控标准建立、自评价、日常检查、监督评价、缺陷认定和整改等内部控制管理过程在工作组织、业务流程、工具手段、方式方法等多方面贯通和整合，明确并固化全面风险管理及内部控制工作的契合点和贯通纽带，实现全面风险管理工作与内部控制工作的完整、有效和无缝对接。

通过风险管理及内部控制信息系统的建设，支持各经营单位灵活、自主的开展对具体风险控制的评估、控制有效性评价，支持各单位开展针对具体部门、项目、风险类别等多维度的风险管理工作，支持各单位具体风险、控制负责人员对风险控制和控制分别进行分析评价，实现全面风险管理和内部控制工作在集团各级单位、部门、岗位的落实，推动全员全过程的、主动自发的、自下而上的风险管理和内部控制工作。同时，信息系统通过固化风险管理和内部控制工作流程、工具、方法，规范风险管理过程；通过内置风险管理和内部控制知识、案例、向导，进一步提升各级单位、员工风险管理意识，培育和宣传风险管理文化。

3 系统需求说明（System requirement description）

落实分类、分层、集中的管理要求，实现风险管理与内部控制的全面融合，进一步推动全面风险管理体系落地，实现全面风险管理日常化管理。

而为了集团以及各单位在风险管理与内部控制工作流程中各尽其职，整个系统由多个主要模块组成，包括环境建立、风险识别、风险分析、风险评价、风险应对、监督检查以及其他模块组成。

3.1 全面整合风险管理及内部控制工作

本系统建设应全面整合ISO31000风险管理标准、风险管理过程及内部控制工作过程，将风险管理及内部控制相关制度、管理流程、工具和方法等落实到风险管理及内部控制信息系统中，实现对风险管理和内部控制工作的全面融合，为集团各级企业实现全员、全过程的日常化风险管理及内部控制工作提供支持和辅助。

3.2 适用多层次组织机构及多样化风险准则

本系统适用于集团公司及所属经营单位多层级组织机构，满足各经营单位在集团统一的工具、流程下，结合本单位实际情况进行风险识别、分析、评价、应对及内部控制标准对标、落实、自评价、缺陷整改等全过程管理；满足各经营单位按照集团统一要求，根据本单位业务目标、管理水平、风险类别等多种方式确定自身的风险管理准则；同时满足集团公司对各级单位风险、控制信息的集中监控和管理以及多维度统计分析等，为集团和各级经营单位提供对风险管理和内部控制进行强大、高效、全流程的管理工具。

3.3 符合信息管理规划总体要求，形成一套风险管理

系统

本系统的建设应符合单位信息管理规划的总体要求，符合集团信息管理标准化、应用体系、开发平台、技术架构等要求，实现与现有应用系统的有效整合，充分利用现有技术平台，避免重复建设，形成风险管理和内部控制管理应用平台，实现包括功能设置、流程管理、报表查询、统一登录，权限分配等进行灵活配置的各种功能要求。

3.4 满足业务、功能拓展的需求

本系统既可以满足现有风险管理及内部控制工具、方法、流程方面的基础要求，以及风险信息采集、管理、统计分析等基本功能，又能支持系统在应用范围、功能拓展等方面的需求，具有足够的灵活性、适用性和拓展性，能够支持集团公司不同行业、不同企业层次、不同信息化水平的各类经营单位的风险管理工作。

4 系统架构设计（Software testing process model

and selection strategy）

系统采用集团集中部署（非集群）方式，即在该单位集中部署应用服务器和数据库服务器各一台，该单位内网用户可以直接访问系统，未连接集团内网的用户可以使用VPN连接至集团内网访问系统，前提是系统中具备该用户的系统账号且具备访问权限。系统应用及系统数据库应具备完善合理的备份机制，可根据系统使用的频率制定备份的频率及方式，硬件资源允许的前提下推荐全量备份策略。

除生产环境外，系统提供一台专用测试服务器，同时安装测试系统应用及测试数据库，系统上线后，所有针对已上线系统的修改、新增内容全部要在测试服务器进行全面测试，测试通过后才允许部署至生产环境中。测试环境的访问规则与正式系统相同，原则上应保持与生产环境完全相同的系统版本及系统数据。

4.1 技术架构

jQuery是免费、开源的。jQuery的语法设计可以使开发者更加便捷，如操作文档对象、选择DOM元素、制作动画效果、事件处理、使用Ajax以及其他功能。

Bootstrap是基于HTML5和CSS3开发的，它在jQuery的基础上进行了更为个性化和人性化的完善，形成一套自己独有的网站风格，并兼容大部分jQuery插件。Bootstrap中包含了丰富的Web组件，根据这些组件，可以快速的搭建一个漂亮、功能完备的网站。其中包括以下组件：下拉菜单、按钮组、按钮下拉菜单、导航、导航条、面包屑、分页、排版、缩略图、警告对话框、进度条、媒体对象等。

Bootstrap自带了13个jQuery插件，这些插件为Bootstrap中的组件赋予了“生命”，其中包括：模式对话框、标签页、滚动条、弹出框等。

4.2 数据架构

风险管理与内部控制子系统从标准化系统中采集组织数据、人员数据、权限管理数据存储到本地数据库中，进行系统权限控制；与制度系统建立系统接口，从而获取关联的制度系统数据存储到本地数据库中，进行系统展示；风险管理与内部控制子系统运行过程中的业务数据进行正常处理后存储至本地数据库；系统工作流过程产生的系统待办、待阅信息推送至全面风险管理系统中；全面风险管理系统负责将风险管理与内部控制子系统推送的待办统一展示，同时推送至集团门户；风险管理与内部控制子系统与决策支持相关的报表数据，通过数据采集平台统一采集到数据中心中，同时通过BO报表平台的开发配置能力进行报表展现。

4.3 部署架构

风险管理与内部控制子系统单独部署与独立服务器，系统内部数据全部存储于业务数据库中，其中系统权限管理数据来源于标准化系统。

与数据中心、BO报表平台之间有直接的数据交互，用于决策型报表的数据抽取，展示在全面风险管理系统领导视图中。

与外部系统的对接，包含：

（1）与集团门户间的单独登录、系统待办的展示。

（2）与标准化系统关于权限管理体系的集成。

（3）与制度系统用于内控标准与制度间关联的数据对接。

（4）与全面风险管理系统的单点登录、系统待办、BO报表的展现三方面。

（5）与邮件服务器对接进行邮件发送。

5 系统实现（System implementation）

5.1 程序实现

在SpringMVC中，控制器controller负责处理分发的请求，它把用户请求的数据经过业务处理层处理之后封装成一个Model，然后再把该Model返回给对应的View进行展示。在SpringMVC中提供了一个非常简便的定义Controller的方法，你无需继承特定的类或实现特定的接口，只需使用@Controller标记一个类是控制器类，后使用@RequestMapping和@RequestParam等一些注解用以定义URL请求和Controller方法之间的映射，这样的Controller就能被外界访问到[6]。

service、dao、entity和controller层级结构相同。

（1）service：用于各个业务逻辑的具体实现，为其他模块提供接口。

（2）dao：用于与数据库交流，实现数据的增删改查。

（3）entity：在SpringMVC的映射机制中对应数据库的各个表。

依靠JSP技术向用户展示各个页面，它是在传统的网页HTML（标准通用标记语言的子集）文件（*.htm，*.html）中插入Java程序段（Scriptlet）和JSP标记（tag），从而形成JSP文件，后缀名为（*.jsp）。用JSP开发的Web应用是跨平台的，既能在Linux下运行，也能在其他操作系统上运行。如图所示是系统中实现的JSP页面。

图2 JSP页面

Fig.2 JSP pages

js引用，JavaScript一种直译式脚本语言，是一种动态类型、弱类型、基于原型的语言，内置支持类型。它的解释器被称为JavaScript引擎，为浏览器的一部分，广泛用于客户端的脚本语言，最早是在HTML（标准通用标记语言下的一个应用）网页上使用，用来给HTML网页增加动态功能[7]。

5.2 程序测试

测试组对整个风险管理与内部控制系统首先分模块的进行了冒烟测试，接下来用测试用例对各个模块进行了系统功能测试，发现了一些与需求不符的bug，测试需求所要求的各个功能点是否完成，完成的是否正确，并提出了一些界面美化、用户体验度的优化bug，在测试组进行了两轮测试后，测试组开始用实际业务数据开始了整个流程包括各个模块的测试，同时用户的一些部门也参与到全流程业务数据的模拟测试中，用户也从他们的角度提出了一些bug。测试组提得bug大多数是根据需求以及测试用例发现的一些缺失或有误的问题，而用户则结合实际业务提出了一些需要修改需求从而修改程序的一些问题。

整个测试过程测试组提出包含各个方面的bug共56个，从等级高的bug到一些优化型的bug目前56个bug已经完全修复完毕，而客户提出的25个bug也已经修复完毕，接下来系统会在包括集团下的各级单位进行试点上线，可能还会提出一些性能上的问题。

由于系统需支持的浏览器有多个，在测试过程中发现了很多因浏览器不同而出现的很多问题，所以系统需要在支持的不同的浏览器上进行测试。在将系统部署到服务器上后，也出现了一些与服务器不兼容的问题，当然这些问题的修复是比较困难的，因为不容易去追踪问题出现的原因。

随着bug的修复，系统上存在的问题越来越少，而在修复bug的过程中也有一些感触，有一些bug虽然修复了，可是有可能会因为修复这个bug修改程序而影响到了别的地方，从而引入了新的问题，所以在修复一个问题时需要仔细的分析业务逻辑尽量避免出现这样的问题，另外一个是在修复问题时碰到自己有疑问或者觉得测试与自己理解有偏差的时候，不能直接就按着测试给的结果去修改，首先应该做的是去找负责人沟通，了解到具体的情况后再与测试沟通决定问题是否需要修改，避免盲目修改后发现bug提的不对再重新修改回来的问题。

6 结论（Conclusion）

通过对企业风险管理与内部控制系统需求对系统进行了详细的需求分析，通过学习风险管控的知识，参考某些已有的风险管理与内部控制工作体系，对风险评价子模块的需求进行了详细的分析并且进行了系统的设计，学习ISO31000风险管理流程机制，参考已有的单独风险管理的平台设计与实现思想，确定了系统的设计方案，并在此基础上实现了风险评价模块包括缺陷等级认定模块以及缺陷汇总模块。

目前该系统已经经过测试组测试、用户业务线集成测试以及UAT（用户验收测试），过程中测试组也提出了很多功能问题、界面优化以及与需求不符等各方面的问题，已经做出了对应的修改，而用户在测试过程中也提出了一些新的需求，也权衡了修改的代价以及修改对系统的作用对系统进行了调整与改进。

参考文献（References）

[1] 王稳，王东.企业风险管理理论的演进与展望[J].审计研究，

2010，1（4）：96-100.

[2] 蔡艳娇.基于风险管理的企业内部控制研究[D].昆明：昆明理

工大学，2012.

[3] 张先治，戴文涛.中国企业内部控制评价系统研究[J].审计研

究，2011，1（1）：69-78.

[4] 池国华.基于管理视角的企业内部控制评价系统模式[J].会计

研究，2010，1（10）：55-61；96.

[5] 李雪丰.我国商业银行信贷风险内部控制评价研究[D].长沙：

湖南大学，2010.

[6] 赵中枢.工作流技术在教材管理系统开发中的研究与应用[J].

软件工程师，2014，1（3）：33，38-39.

[7] 许镭，许华.基于Web的高校安全信息管理系统设计与实现

[J].软件工程师，2014，17（9）：25-26.

作者简介：

赵宁社（1975-），男，博士，讲师.研究领域：计算机软件技

术，计算机教育.

袁美娜（1993-），女，本科生.研究领域：软件工程.