主题
11. 风险评估
风险列表
| 风险 ID | 风险描述 | 风险等级 | 影响范围 | 应对方案 | 责任人 |
|---|---|---|---|---|---|
| Risk-101 | 短信服务拆分期间快递业务短信中断 | 高 | 快递业务 | 灰度切换,旧代码保留 2 周作为降级方案 | 后端负责人 |
| Risk-102 | 短信渠道故障导致全平台短信不可用 | 中 | 全平台 | 主备双渠道,故障自动切换 | 运维 |
| Risk-103 | 微信分账 API 调用超限被限流 | 中 | 分账功能 | 控制分账请求频率,失败入重试队列 | 后端 |
| Risk-104 | 支付配置切换导致网点某渠道无法收款 | 高 | 支付业务 | 切换前校验 + 分渠道测试支付验证 + 单渠道回滚 | 后端负责人 |
| Risk-105 | 分账规则配置错误导致资金错分 | 高 | 财务 | 配置保存前金额校验 + 沙箱测试 + 财务二次确认 | 产品 + 财务 |
| Risk-106 | 短信模板审核被拒导致业务通知中断 | 低 | 短信 | 提前在渠道侧报备模板,备用模板随时可用 | 运营 |
| Risk-107 | 支付宝异步通知丢失导致订单状态不同步 | 中 | 支付宝支付 | 主动查询补单机制 + 定时任务对账 | 后端 |
| Risk-108 | 多管理员并发操作同网点同渠道配置导致冲突 | 低 | 配置中心 | 分布式锁(site_id+channel) + 联合唯一索引 | 后端 |
风险说明
Risk-101:短信服务拆分期间快递业务短信中断
风险描述: 短信模块从快递业务中拆离和上线期间,若处理不当可能导致快递业务短信发送中断,影响用户接收取件码等关键通知。
风险等级: 高
影响范围: 快递业务用户体验
应对方案:
- 采用灰度切换策略,先在测试/预发环境验证完整链路
- 旧短信代码保留 2 周,通过配置开关可一键切回
- 上线前完成全链路压测
- 上线时间选择业务低峰期
责任人: 后端负责人
Risk-102:短信渠道故障导致全平台短信不可用
风险描述: 当唯一短信渠道(如阿里云)发生大规模故障时,全平台短信发送受阻。
风险等级: 中
影响范围: 全平台所有业务线
应对方案:
- 短信服务同时对接阿里云 + 腾讯云双渠道
- 主渠道故障时自动切换备用渠道
- 渠道健康检查定时任务(间隔 1 分钟)
责任人: 运维
Risk-103:微信分账 API 调用超限被限流
风险描述: 微信分账接口有调用频率限制,高峰期大量支付触发分账可能导致限流,分账延迟。
风险等级: 中
影响范围: 分账及时性
应对方案:
- 消费队列控制分账请求速率(QPS 上限可配置)
- 被限流后自动退避重试
- 分账不是支付的必要后置步骤,延迟不影响用户侧体验
责任人: 后端
Risk-104:支付配置切换导致网点某渠道无法收款
风险描述: 运营管理员在为网点切换微信或支付宝配置时,若新配置参数有误,可能导致该支付渠道不可用。但由于微信和支付宝独立绑定,单渠道切换失败不影响另一渠道。
风险等级: 高
影响范围: 洗衣网点该渠道收款
应对方案:
- 切换配置后系统提示「建议进行 0.01 元测试支付验证」
- 配置参数保存时进行基础校验(格式、必填项)
- 配置切换记录完整日志,支持按渠道单独回滚
- 网点设备检测到某渠道连续支付失败时主动告警
责任人: 后端负责人
Risk-105:分账规则配置错误导致资金错分
风险描述: 分账比例或金额配置错误,导致资金错分到错误账户,引发财务纠纷。
风险等级: 高
影响范围: 财务结算、加盟商信任
应对方案:
- 分账比例校验:各接收方比例之和必须 = 100%(或固定金额之和 ≤ 单笔金额上限)
- 新分账规则创建后需在沙箱环境完成至少 3 笔测试分账
- 首次上线前由财务人员二次确认分账规则
- 分账记录完整可追溯,支持分账回退
责任人: 产品 + 财务
Risk-106:短信模板审核被拒导致业务通知中断
风险描述: 短信模板内容变更后提交渠道审核被拒,导致该模板不可用。
风险等级: 低
影响范围: 特定业务场景的短信通知
应对方案:
- 新模板先在渠道侧预审核,确认通过后再在后台创建
- 每个业务场景保留 1 个备用模板
- 模板审核被拒时通知运营管理员及时处理
责任人: 运营
Risk-107:支付宝异步通知丢失导致订单状态不同步
风险描述: 支付宝异步通知因网络波动或系统故障未到达,导致订单长期处于「待支付」状态。
风险等级: 中
影响范围: 支付宝支付订单
应对方案:
- 实现主动查询补单:每 5 分钟轮询一次
alipay.trade.query - 日终对账任务扫描未完成的支付宝订单,强制同步状态
- 通知接收端点做幂等处理,防止重复通知
责任人: 后端
Risk-108:多管理员并发操作同网点同渠道配置导致冲突
风险描述: 多个管理员同时操作同一网点同一渠道(微信/支付宝)的支付配置,可能导致绑定关系写入冲突。
风险等级: 低
影响范围: 配置数据一致性
应对方案:
- 绑定操作加分布式锁(Redis),以
site_id + channel为锁 Key - 数据库层
site_id + channel做联合唯一索引 - 前端做乐观锁(传递当前 binding_id,后端校验后更新)
责任人: 后端