【文章內容簡介】 卷，跟蹤答卷，并對問卷進行匯總。數(shù)據(jù)整理就是對調查問卷得到的數(shù)據(jù)進行初步整理。風險數(shù)據(jù)分析整理就是對初步整理的數(shù)據(jù)進行分析后的再次整理。風險評估完成后就進入風險業(yè)務的風險應對階段。風險應對根據(jù)風險評估得到的風險種類和等級采取相應的應對。這個應對包括應對措施的收集，管理和跟蹤三部分。應對措施的收集是針對不同的風險采用的措施不同，所以應對措施較多要有一個初步的管理。應對措施的管理就是對應對風險的各個措施實施做出有效的安排。應對措施的跟蹤就是對風險和風險應對措施進行跟蹤，在措施不能解決風險時，及時更換新的應對措施。風險監(jiān)控就是指企業(yè)針對自身面臨的風險，在風險評估管理信息系統(tǒng)設置風險警示值。在風險的等級超過警示值時，給企業(yè)的相關部門報警，讓企業(yè)及時處理。根據(jù)風險評估情況生成風險評估報告，再有風險評估的專家針對風險評估報告提出意見和改進建議。企業(yè)根據(jù)專家的建議對風險管理工作進行監(jiān)督和改進，為下次風險評估提供有效的數(shù)據(jù)。整個風險評估業(yè)務工作流程就是在這個循環(huán)的過程中不間斷的進行風險評估工作。根據(jù)企業(yè)風險管理建立相應的組織機構，該組織機構能夠滿足企業(yè)風險管理的需求，能夠對風險管理的各個組織機構下達命令和任務，能夠協(xié)調各個部門的工作。還有一點就是這個機構要支持二級企業(yè)的使用。 企業(yè)風險評估要設置目標，這個目標的數(shù)量可以根據(jù)企業(yè)的需求增減，企業(yè)還可以根據(jù)實際情況對各個目標設置不同的風險評估的權限。 針對風險設置風險類別，這樣可以對企業(yè)的風險進行識別，在這個基礎上再給風險設置等級。在這個風險等級的模型中，一級風險下是二級風險，二級風險下是風險事件。這樣的模式有利于風險管理系統(tǒng)對各部門匯總的風險事件進行審核分析。 風險按照兩級進行管理，一級風險下是二級風險，二級風險下就是對風險事件進行直接管理。在對風險時間的管理上，風險事件與處理風險各部門形成責任管理，各部門在處理風險事件時協(xié)同合作，那個環(huán)節(jié)出問題對那個部門直接問責。一級，二級風和審批后的風險事件構成了企業(yè)的風險信息數(shù)據(jù)庫。風險信息庫構建完成后，業(yè)務部門可以對企業(yè)風險數(shù)據(jù)庫不包含的風險事件進行識別，這些風險事件在經過更顯管理部門的審批下就可以納入風險事件數(shù)據(jù)庫。業(yè)務部門對提交的風險事件進行審批通過后要有一個反饋信息，這個信息對業(yè)務部門處理風險事件提供處理依據(jù)。根據(jù)風險管理的工作，進行自動設計風險調查問卷的要求，來創(chuàng)建一個調查問卷。每年調查問卷都必須有二級風險或風險事件的概率對企業(yè)目標的影響力。每年的調查問卷可以有多個，問卷的的調查范圍由風險管理部門確定。風險管理審批后并通過的由二級單位及其他部門匯總的風險事件，在下一年自動列入調查問卷的范圍。由風險管理部門指定的答卷人進行答卷。不同職務和崗位的人對答卷的所答要求不同，企業(yè)高層從二級風險開始答卷，其他部門和二級單位的員工從風險事件開始答卷。按要求參與調查的人員在答卷截止日期前都可以可隨時修改和保存所答的案卷。答卷答題到截止日期后，由各部門分別對本部員工的答卷進行打印，以便于瘋轉保存。風險管理部門的人員擁有隨時瀏覽答卷的特權，這樣能夠隨時了解答卷的進度及答題人員所答的答案，并可以打印備案。最后要答卷匯總，對答卷的答案進行統(tǒng)計分析，這個可以按照部門，目標等進行分類統(tǒng)計，便于后期的分析。數(shù)據(jù)校正，可以實時收集問卷的所有結果，根據(jù)結果分析計算出一級，二級風險及風險事件對企業(yè)的目標的威脅性，根據(jù)需要可以修正二次風險的計算結果，修正后的數(shù)據(jù)會造成一級風險的計算結果刷新。所有的修正后的數(shù)據(jù)不會改變原來的調查問卷的匯總結果。突出顯示調整后的數(shù)據(jù)統(tǒng)計結果可以被引入到Excel文檔。 。系統(tǒng)可根據(jù)風險評估的結果對各類風險進行排序，根據(jù)風險的種類級別進行匯總形成圖譜，該系統(tǒng)可以提供諸如氣泡圖表，曲線分布，波形圖等圖，但是不能生成矩陣圖譜。系統(tǒng)所生成的圖都可以導出打印。由上面的風險圖譜，風險管理部門可以推斷出各類風險對企業(yè)目標的影響，在對影響的大小進行風險分析，得出對企業(yè)最有利的風險分析?？梢詾g覽歷史問卷修訂的計算結果和數(shù)據(jù)信息，以及各種圖，表等的研究結果的歷史數(shù)據(jù)。風險管理部門根據(jù)辨識出來的風險進行風險應對的處理。風險的應對措施由業(yè)務的各部門針對風險提出，再由風險管理人員進行匯總，審核，修改，整理。整理好的應對措施在交給相應的部門進行實施。風險管理還要對應對措施及風險進行實時監(jiān)督，觀察應對措施的效果，隨時針對風險調整應對措施。風險管理部門可以隨時對監(jiān)測指標進行添加，修改，刪除，各項指標和配置比較的方法，預警值，最大最小范圍風險管理也可以修改。對于風險監(jiān)測指標，由相關部門或由風險管理部門二級單位記錄監(jiān)測數(shù)據(jù)，但也可以是其他應用系統(tǒng)的接口，實現(xiàn)數(shù)據(jù)共享?，F(xiàn)在的技術要求系統(tǒng)可以自動提示，風險提示一般采用警醒色或警示燈和儀表等進行提示報警。系統(tǒng)目前只能進行定量數(shù)據(jù)的監(jiān)控，還不能實現(xiàn)全部監(jiān)控，對風險監(jiān)控指標也分為核心指標與輔助指標兩種。風險評估報告是系統(tǒng)針對計算生成的一級、二級風險評估結果、風險圖譜、風險排序、風險應對措施和日常風險監(jiān)控數(shù)據(jù)等可定制的統(tǒng)計報表。風險報告的根據(jù)不同企業(yè)，不同部門，其頻次可分為月報、半年報、年報等。生成的報告可以以Word格式的文檔進行保存。風險報告最終由風險管理部門進行數(shù)據(jù)匯總、修改、調整后就形成標準的風險報告。收集和整理國內和外國企業(yè)風險管理典型案例形成風險管理案例庫，并對所有員工開放，以便內部員工對風險管理學習。風險案例數(shù)據(jù)庫由風險管理部門進行管理和維護。（1）集團企業(yè)領導完全控制集團公司總部和下屬單位的風險管理,包括企業(yè)面臨的主要風險與相應風險措施實施情況及企業(yè)風險管理主要監(jiān)測指標預警信息等。還要對企業(yè)的從事的商業(yè)活動進行風險評估。這些都是企業(yè)領導的要求。（2）集團企業(yè)風險管理業(yè)務人員主要工作是針對企業(yè)全面的風險管理,包括風險信息數(shù)據(jù)庫維護，審批確認的風險事件,風險事件指定部門的責任、風險監(jiān)控指標設置和數(shù)據(jù)維護,主要風險識別，風險應對策略的生成，應對措施的最終確定,管理風險評估問卷,查看風險問卷調查進度和匯總數(shù)據(jù)對集團公司的風險進行具體評估,還有就是對風險管理進行動態(tài)的信息管理，及時公布風險管理的數(shù)據(jù)，還要對風險管理系統(tǒng)的數(shù)據(jù)庫等進行維護。（3）集團企業(yè)各業(yè)務部門人員該部分員工的工作時熟悉了解風險管理知識庫的信息，并在線填寫風險問卷，了解一定的風險數(shù)據(jù)，是系統(tǒng)重要的風險管理數(shù)據(jù)源之一。（4）二級企業(yè)領導二級企業(yè)領導的主要工作是根據(jù)風險數(shù)據(jù)對企業(yè)商業(yè)活動作出相應的風險評估，熟悉本企業(yè)的風險管業(yè)務，包括企業(yè)面臨的工作，應對風險的措施，風險的監(jiān)控指標。（5）二級企業(yè)風險管理人員該部分員工的工作是負責整個企業(yè)的風險管理。其面對的風險管理的工作包含風險的識別確認，風險的應對措施的制定，風險數(shù)據(jù)庫的管理，風險事件的審批，風險事件處理部門的責任認定。其中風險數(shù)據(jù)庫的管理包括風險數(shù)據(jù)庫數(shù)據(jù)的修訂，補充及數(shù)據(jù)庫的維修。同時這部分員工還要給企業(yè)進行風險評估，并形成風險報告給上級，對風險管理系統(tǒng)的信息進行及時更新。（6）二級企業(yè)業(yè)務人員只負責二級企業(yè)的風險管理中的風險識別，問卷調查，風險數(shù)據(jù)的收集處理，及對本級企業(yè)風險管理系統(tǒng)的維護。（7）系統(tǒng)管理人員對企業(yè)風險管理系統(tǒng)進行日常管理維護工作，根據(jù)企業(yè)的需求對系統(tǒng)進行實際的操作管理。包括系統(tǒng)的子系統(tǒng)的建立，系統(tǒng)機構和人員的管理。 本章小結在本章中主要是以煤礦企業(yè)的風險管理為樣板，對風險管理的風險評估業(yè)務的工作流程進行分析，并針對企業(yè)的風險業(yè)務需求進行系統(tǒng)的設計分析和系統(tǒng)的應用客戶分析。北京交通大學碩士專業(yè)學位論文 第四章 風險評估系統(tǒng)設計第四章風險評估系統(tǒng)設計 風險評估系統(tǒng)設計目標風險管理的系統(tǒng)在建立時的定位就是成為企業(yè)風險識別，評估，管理，及風險信息共享的平臺。企業(yè)之所以建立風險管理系統(tǒng)是為了對企業(yè)發(fā)展的目標面臨的風險進行評估和應對管理。通過本課題設計的軟件系統(tǒng)需要有以下功能：（1）處理企業(yè)日常風險管理的工作；（2）勝任企業(yè)風險管理業(yè)務擴展工作；（3）符合國際相關標準及國家有關風險管理要求；（4）達到企業(yè)自身信息化建設需求。 風險評估系統(tǒng)設計原則在系統(tǒng)設計過程中，有下面幾個設計原則：（1）先進性系統(tǒng)建設要與時俱進，要符合企業(yè)發(fā)展的需求，就要保持系統(tǒng)的的先進性。本次系統(tǒng)的設計所采用的風險管理模型及風險計算方法都是目前國內最先進的。這樣能保證風險數(shù)據(jù)計算的準確度。先進的管理系統(tǒng)還能對風險管理數(shù)據(jù)進行自動化的管理，大大提高了風險管理業(yè)務上的工作效率。（2）安全性系統(tǒng)建設后要處理企業(yè)風險業(yè)務有些可能涉及到企業(yè)發(fā)展的核心秘密，系統(tǒng)上又有數(shù)據(jù)信息共享功能，這就要求系統(tǒng)在設計時要有安全設置。這個安全設置可以針對不同的人進行不同權限的設置，還要對系統(tǒng)的使用人群進行監(jiān)控，形成使用日志以方便查詢。（3）易用性系統(tǒng)在建立后必須使用方便，并根據(jù)企業(yè)的要求進行操作設置。這就需要系統(tǒng)的操作頁面簡單實用，處理風險管理工作生成的風險數(shù)據(jù)，風險圖表，風險報告要快速且易于導出。（4）穩(wěn)定性系統(tǒng)在建立后要能滿足企業(yè)風險管理的日常工作需要，并能長期正常的被使用，這就要求系統(tǒng)的穩(wěn)定性要強。系統(tǒng)在被使用時要能滿足多人同時操作，還要能夠實現(xiàn)互聯(lián)網操作，這也要求系統(tǒng)穩(wěn)定性要強。（5）擴展性系統(tǒng)在建立時就要留有后期升級和擴展的余地。在企業(yè)使用系統(tǒng)時，企業(yè)的業(yè)務可能有變更，這就要求系統(tǒng)升級擴展?jié)M足企業(yè)使用的要求。 風險評估系統(tǒng)安全設計現(xiàn)如今IT技術的發(fā)展越來越先進，同時信息化的到來，使人們也日益對信息安全問題的重視。風險管理的系統(tǒng)涉及到企業(yè)核心發(fā)展機密，必須對這類信息的安全做好安全防范措施。安全措施包括以下三個方面來進行：風險評估管理信息系統(tǒng)在使用與互聯(lián)網連接時，設置防火墻，對網絡上的非法訪問進行阻擋，在企業(yè)外的訪問時采用VPN技術保障系統(tǒng)的網絡安全。風險評估管理信息系統(tǒng)在使用時有專門的服務器，這樣能有效保存系統(tǒng)的數(shù)據(jù)的存儲完整安全。風險評估管理信息系統(tǒng)部署在Windows平臺，它提供了完整的存取控制、內存保護、強制登錄等安全性措施，操作系統(tǒng)滿足相關的安全標準，提供了最基本的安全保證。數(shù)據(jù)庫采用MS Sqlserver2005服務器，強化SA口令，信息系統(tǒng)采用專用賬號和口令，限制訪問權限。（1）權限管理與訪問控制本系統(tǒng)的權限管理和訪問控制從兩方面來管理。一是不同用戶的權限管理，根據(jù)使用的用戶的職務等不同，對用戶進行權限設置，進而進行訪問管理。二是從數(shù)據(jù)的權限管理進行下手，根據(jù)數(shù)據(jù)的重要性進行數(shù)據(jù)管理控制，在使用時進行安全控制。這樣就可以加強安全系統(tǒng)的應用安全。（2）安全審計系統(tǒng)設計中記錄用戶訪問行為，包括用戶登錄、退出，對數(shù)據(jù)的增加、修改、刪除進行詳細的記錄，記錄操作時間、操作數(shù)據(jù)、操作的行為、操作者帳號、操作者IP。提供用戶操作日志審計功能，能夠審計詳細的用戶操作。 風險評估系統(tǒng)總體架構設計 ： 企業(yè)全面風險管理系統(tǒng)總體架構圖Fig Overall risk management system overall structure diagram(1)網絡層: 系統(tǒng)運行于企業(yè)內網，用戶可以通過互聯(lián)網、企業(yè)內網訪問本系統(tǒng)。對于異地分布的企業(yè)，可以通過企業(yè)專網或互聯(lián)網實現(xiàn)物理鏈接。網絡用戶通過HTTP協(xié)議及WEB Service協(xié)議訪問系統(tǒng)。(2)系統(tǒng)層: 本系統(tǒng)需要實現(xiàn)跨平臺部署，系統(tǒng)操作系統(tǒng)使用Windows 2003 Server或Linux，數(shù)據(jù)庫使用MS SQL Server 2005或Mysql。(3)數(shù)據(jù)層 用于系統(tǒng)數(shù)據(jù)的存儲，包括業(yè)務數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、交換數(shù)據(jù)。數(shù)據(jù)形式為結構化數(shù)據(jù)庫數(shù)據(jù)、XML交互數(shù)據(jù)、Excel交互數(shù)據(jù)、XML數(shù)據(jù)配置數(shù)據(jù)。(4)應用整合層 整個系統(tǒng)設計分為風險評估主系統(tǒng)，風險評估子系統(tǒng)，風險評估主系統(tǒng)可單獨部署，實現(xiàn)單級風險評估管理，系統(tǒng)管理員根據(jù)業(yè)務需要，可以創(chuàng)建多個子系統(tǒng)，實現(xiàn)風險評估系統(tǒng)的多級部署，子系統(tǒng)繼承主系統(tǒng)的企業(yè)目標、風險信息庫，作為邏輯獨立系統(tǒng)運行，主系統(tǒng)匯總、利用子系統(tǒng)的風險評估數(shù)據(jù)，形成企業(yè)集團級的風險評估管理體系。(5)應用層 實現(xiàn)本系統(tǒng)的業(yè)務邏輯，包括風險環(huán)境管理、風險識別、調查問卷、風險分析、風險應對、風險監(jiān)控、風險報告管理、風險案例、風險信息發(fā)布、系統(tǒng)管理等業(yè)務處理。 (6)表示層 用于人機交互，用戶功能選擇、數(shù)據(jù)填報、數(shù)據(jù)及相關信息展示與操作。采用基于IE瀏覽器的HTML,Javascrip,CSS,Frame,DIV,IFrame等技術實現(xiàn)。(7)權限管理與訪問控制 針對系統(tǒng)用戶的訪問權限進行嚴格的訪問控制。針對不同角色用戶對重要業(yè)務操作進行安全審計。(8)應用接口與數(shù)據(jù)接口 采用標準WEB Service設計，數(shù)據(jù)報文采用XML格式進行數(shù)據(jù)交換。同時考慮企業(yè)實際情況，系統(tǒng)將提供基于標準電子表格的數(shù)據(jù)導入與導出。 風險評估系統(tǒng)總體功能設計根據(jù)煤炭企業(yè)風險管理的系統(tǒng)構架，在系統(tǒng)功能上充分考慮企業(yè)業(yè)務的需求，根據(jù)風險評估管理的要求對系統(tǒng)進行了全面的分析和整合。： 總體功能結構Fig Overall functional structure由上圖可以看出設計的系統(tǒng)分為九個功能子系統(tǒng)，分別是風險信息共享、風險環(huán)境設置、調查問卷管理、風險評估、風險應對、風險監(jiān)控、風險報告、風險案例庫、系統(tǒng)管理。信息共享子系統(tǒng)主要是對系統(tǒng)的信息進行共享而設置的，在該子系統(tǒng)中有以下三個功能。（1）欄目管理這個模塊就是對系統(tǒng)的欄目進行管理。欄目的主要信息包括欄目的名稱及簡稱，欄目的發(fā)布及說明等信息，欄目管理就是對欄目進行更改，修正，發(fā)布及撤回等功能。（2）內容管理本模塊是對欄目內部信息進行管理，主要是對其內容進行審核，增加，刪除，發(fā)布，撤銷，同時還可以對欄目添加的圖片和附件進行管理。（3）信息展示信息展示就是在系統(tǒng)設計的首頁對欄目的信息進行展示，以欄目