企业公司操作风险管理(标准版)课件

1、LOGO操作风险管理系统银丰科技操作风险管理系统2011.11目录操作风险管理理念操作风险管理系统213操作风险管理流程识别评估监测缓释流程分析风险控制识别RSACSAKRILDC行动计划识别从业务流程出发，分析业务中的关键风险点；使用流程图法、流程分析法等工具。评估以业务流程为基点，对风险与控制进行自我评估；使用风险地图、问卷调查法等工具。风险控制和缓释在评估结果的基础上，根据可选方案对风险进行控制和缓释；使用行动计划、控制措施优化、保险等措施。监控、计量和报告对风险和控制情况进行监控、计量和报告；使用关键风险指标、操作风险报表/报告、资本计量等工具。4操作风险管理三大工具损失数据收集LDC

2、风险与控制自我评估RCSA关键风险指标KRI5目录操作风险管理理念操作风险管理系统216-风险与控制自我评估（RCSA）-关键风险指标（KRI）-损失数据收集（LDC）风险与控制自我评估（RCSA）风险与控制自我评估（ RCSA，Risk and Control Self Assessment ）的标的源自于内控梳理的工作成果。在风险自评方面，针对操作风险做全行范围内的自评；在控制自评方面，则针对各层级的控制（总行制定的标准控制和分行本地化后的控制）做全面的控制有效性自评。7操作风险数据库三大清单8在全行统一进行流程、风险点及控制措施清单梳理，将其作为风险与控制自我评估架构的基础。梳理银行产品

3、及虚拟产品（非产品）流程，作为风险识别的第一步，并作为将来银行开展RCSA工作的基础。流程清单以流程为基础，识别流程环节中的关键风险点。风险点清单针对风险点采用合适的控制措施，以增强各业务单位控制自评估的有效性。控制措施清单操作风险数据库三大清单的连结9流程风险点损失事件类型控制措施流动资金贷款客户申请客户提供虚假材料外部欺诈客户经理和经办双方复核确认复印件真实性放款审核未及时办理抵质押手续执行、交付和流程管理设立专门的抵质押登记岗负责抵质押手续办理授信后管理岗定期督促对抵质押办理完成率进行考核示例流程清单风险点清单控制措施清单操作风险暴露的评估规则10操作风险暴露（RE，Risk Expos

4、ure）风险严重程度-直接损失（S，Severity） 风险发生频率（F，Frequency）=剩余风险暴露评估规则未来一年内，可能承受的操作风险损失未来一年内，该操作风险可能发生的次数平均而言，上述风险所造成的财务损失定义依据目前内外部环境、控制措施的有效性，估算可能发生的频率。依据目前内外部环境、控制措施的有效性，估算若这类风险发生，可能会带来多大的财务损失。参考依据历史损失数据业务量依据行内业务专家的经验历史损失数据目前平均的业务或交易金额目前平均的损失回收率操作风险暴露的评估标准（直接损失）频率等级发生频率1至少每天发生一次2至少每周发生一次3至少每月发生一次4至少每季发生一次5至少每

5、半年发生一次6至少每年发生一次7至少每3年发生一次8至少每5年发生一次9至少10年发生一次1030年以上发生一次11严重度等级可能造成的损失（RMB）10-5,00025,000-10,000310,000-20,000420,000-50,000550,000-100,0006100,000-200,0007200,000-500,0008500,000-1,000,00091,000,000-2,000,000102,000,000-4,500,000114,500,000-9,500,000129,500,000-20,000,0001320,000,000-45,000,0001445

6、,000,000-95,000,0001595,000,000-200,000,00016200,000,000操作风险发生频率评估表操作风险严重程度评估表（直接损失）发生频率-未来一年内，评估某个操作风险发生的频率，若发生频率介于两个等级间，选择频率较高者。严重度-某个操作风险若一旦发生时，平均而言，估算银行可能蒙受的财务损失。操作风险暴露的评估标准（间接损失）12等级描述1影响5%的客户服务质量2影响20%的客户服务质量3影响50%以上的客户服务质量等级描述1中断1日2中断1周3中断1个月以上等级描述1负面信息于省内散播2负面信息于国内散播3负面信息于国际散播等级描述1造成员工轻微受伤2造

7、成员工严重受伤3危机员工生命等级描述1监管部门口头警告2监管部门进场加强查核3监管部门强制银行停止业务间接损失评估表-声誉受损间接损失评估表-运营中断间接损失评估表-广大客户服务质量间接损失评估表-监管行动间接损失评估表-员工安全风险地图的功能风险地图是将风险自评估中操作风险暴露评估结果与采取应对措施的联结工具，其主要目的在于为操作风险暴露的评估结果带来管理上的意义。1330,000,00060,000,00099,000,000300,000,000600,000,0001,200,000,0003,600,000,00015,600,000,000109,500,000,00013,456

8、,70026,931,40044,368,100134,657,000269,314,000538,628,0001,615,884,0007,002,164,00049,149,805,0004,666,9009,333,80015,40,77046,669,00093,338,000186,676,000560,028,0002,426,788,00017,034,185,0001,617,4003,234,8005,337,42016,174,00032,348,00064,696,000194,088,000841,048,0005,903,510,000560,5001,211,00

9、01,849,6505,605,00011,210,00022,420,00067,260,000291,460,0002,045,825,000194,300388,600641,1901,943,0003,886,0007,772,00023,316,000101,036,000709,195,00067,300134,600222,090673,0001,346,0002,692,0008,076,00034,996,000245,645,00023,30046,60076,890233,000466,000932,0002,796,00012,116,00085,045,0008,10

10、016,20026,73081,000162,000324,000972,0004,212,00029,565,0002,8005,6009,24028,00056,000112,000336,0001,456,00010,220,0001,0002,0003,30010,00020,00040,000120,000520,0003,650,0003006009903,0006,00012,00036,000156,0001,095,000示例操作风险可能发生的频率（未来一年内发生的次数）操作风险可能带来的财务损失绿色区域（可容忍，不需另外采取应对措施）：操作风险暴露落在安全区域，基于风险管理

11、、成本与效益的考虑，视该操作风险暴露为业务经营的操作风险成本。黄色区域（可容忍，但应该加强监控）：表示操作风险暴露落在需加强监控的范围内，相关单位应加强管理与监控的力度。橙色区域（可容忍，但应该采取应对措施）：操作风险暴露已落在警戒范围内，相关单位应该立刻采取应对措施，以将操作风险暴露迅速降低至安全区域（绿色或黄色区域）。红色区域（不可容忍，特别关注并采取应对措施）：操作风险暴露已落在不可忍受的范围内，应特别关注，并采取强度较大的应对措施，将操作风险迅速降低至安全区域（绿色或黄色区域）。风险评估的覆盖面及执行方式风险类型评估标的评估方式/频率总行分行固有风险剩余风险固有风险剩余风险操作风险识别

12、的操作风险点研讨会/年14研讨会进行方式：由流程主办部门的业务条线兼职岗位牵头，召集本部门流程负责人、业务骨干及协办部门流程负责人、业务骨干进行讨论，并将讨论结果录入系统。风险自评估的运行模式与机制总行操作风险管理部门定期或不定期，牵头组织总行业务部门对内控梳理的固有风险和剩余风险开展自评估工作。评估内容：需要对操作风险进行定性、定量评估。实施范围：参与人员与相关职责：15操作风险管理部门（专职岗位）：负责牵头组织、协调本级的自评工作，并在业务部门自评估工作中给予支持和指导；业务部门（兼职岗位）：负责组织本部门相关人员通过工作组会议形式开展自评估，并在系统中录入评估结果；业务部门（业务专家/流

13、程负责人）：参与相关的自评估工作组会议，并在会议中提供自评估的专家经验和建议；业务部门（部门负责人/政策负责人）：负责最终审核和确认通过工作组会议确定的自评估结果。总行部门需要开展固有风险自评估；总行部门需要开展剩余风险自评估；分行部门需要开展剩余风险自评估。风险自评估的运行模式与机制（续）4. 评估频率：5. 评估计划：16定期：每年（固有风险和剩余风险）不定期：当发生以下情形时，会启动固有风险和剩余风险的自评估工作：同业发生重大案件；本条线发生重大操作风险事件；总行信息系统发生重大变化；总行推行新产品、新业务、新流程；监管机构发布重大操作风险提示；监管机构或者管理层要求发起的。总行操作风险

14、管理部门负责制定全行年度风险自评（固有风险和剩余风险）的总体工作计划；总行业务部门依据全行年度工作计划，制定本部门的风险自评（固有风险和剩余风险）工作计划；分行业务部门依据上级归口部门制定的年度自评工作计划，制定本部门的剩余风险自评工作计划；分行操作风险管理部门负责汇总分行业务部门制定的年度自评工作计划，并在分行范围内进行协调和确认。风险自评估的运行模式与机制（续）6. 工作开展模式：17风险自评主要采用：线下开展工作组讨论会议+兼职岗位线上录入结果的方式，具体开展模式举例说明如下所示：以总行部门流程层级风险自评估为例（从固有风险和剩余风险的角度评估操作风险）：主流程部门兼职岗位负责组织该主流

15、程牵头部门和参与部门相关的业务专家召开工作组讨论会议，共同对该主流程在内控梳理中所识别的流程层级的风险进行讨论和评分，该兼职岗位当场记录评分结果信息并请与会人员签字确认，会后由牵头部门的部门负责人或政策负责人对评分结果做最终审核和确认，并由该兼职岗位在系统中录入最终评分结果信息。控制措施有效性评估标准（控制设计）级别评估标准标准说明1必要且有效控制措施设计能针对操作风险进行良好的管控。2必要但部分有效控制措施设计能针对操作风险发生管控效果，但管控方式仍有些许改善的空间。3必要但无效虽为必要的控制措施，但管控方式有很大的改善空间。4不必要控制措施为多余且无用。18控制措施有效性评估标准（控制运行

16、）19级别评估标准标准说明1绝对有效所有执行人员拥有专业胜任能力；控制落实程度为100%。（以上条款缺一不可）2通常有效多数执行人员具有专业胜任能力；控制落实程度为85%至99%。（以上条款只需其一）3基本有效部分执行人员具有专业胜任能力；控制落实程度为70%至84%。（以上条款只需其一）4偶尔有效个别执行人员具有专业胜任能力；控制落实程度为50%至69%。（以上条款只需其一）5无效执行人员均不具有专业胜任能力；控制落实程度为50%以上未落实。（以上条款只需其一）控制措施有效性评估标准（控制运行）（续）考虑到控制运行失效所造成的后果，对运行有效性的评估标准做如下定性判断说明：若偏离控制措施行为

17、导致如下后果，评估结论应为无效：偏离控制措施本身已形成重大缺陷，或与其他控制缺陷共同构成重大缺陷；偏离控制措施的行为导致重大操作风险事件发生，该控制措施的运行有效性结论应为无效。若偏离控制措施行为导致如下后果，评估结论不得高于偶尔有效：偏离控制措施本身已形成重大缺陷，或与其他控制措施共同构成重要缺陷；偏离控制措施的行为导致一般操作风险事件发生，该控制措施的运行有效性结论不得高于偶尔有效。若偏离控制措施行为导致如下后果，评估结论不得高于基本有效：被监管机构检查发现的问题，并责令整改；被媒体曝光，对本行形象造成不良影响；被条线检查（二道防线检查）或审计检查发现缺陷。20控制措施有效性评估结果的应对

18、方案（控制设计）21级别评估标准应对方案1必要且有效（重点关注）该类控制措施能够合理保证控制目标的实现；能够有效管控风险并且具有不可替代的作用；应重点测试该类控制措施运行的有效性。2必要但部分有效（可以接受）识别补充的控制措施，以合理保证实现控制目标并有效管控风险；鉴于该类控制措施的必要性，应测试运行有效性。3必要但无效（必须整改）需要启动整改，使其成为“必要但部分”或“必要且有效”的控制措施。4不必要（完全移除）冗余控制措施，可删除。控制措施有效性评估结果的应对方案（控制运行）22级别评估标准应对方案1绝对有效对于多次自评为“绝对有效”的控制措施，可降低自评实施的频率；第三道防线需对此类的控

19、制措施予以特别关注。2通常有效分析导致偏离控制措施行为的原因，有针对性的采取整改行动；可不再执行第三道防线测评。3基本有效4偶尔有效5无效控制自评估的运行模式与机制总行操作风险管理部门定期或不定期，牵头组织总行、分行、支行各级业务部门开展控制设计和运行有效性的自评估工作：评估内容：实施范围：23针对内控梳理中识别的控制措施开展自评估工作；控制措施需要从控制设计有效性和运行有效性的两方面自评估。控制设计有效性自评：总行业务部门；控制运行有效性自评：总行、分行、支行业务部门。控制自评估的运行模式与机制（续）3. 评估频率：4. 参与人员与相关职责：24控制设计有效性自评：定期（年度）、不定期（触发

20、情形与风险自评相同）；控制运行有效性自评：定期（半年）、不定期（触发情形与风险自评相同）。总行操作风险管理部门（专职岗位）：制定全行年度控制自评估总体工作计划，负责牵头组织、协调本级的自评估工作；负责复评全行业务部门的控制自评估结果，完成全行控制自评估结果报告；负责培训、指导总行业务部门的自评估工作。分行操作风险管理部门（专职岗位）：汇总分行业务部门年度控制自评估工作计划，负责牵头组织、协调本级的自评估工作；负责复评分行业务部门的控制自评估结果，完成分行控制自评估结果报告；负责培训、指导分行业务部门的自评估工作。业务部门（兼职岗位）：负责定期（每年/月）组织本部门的相关人员开展控制自评估工作；

21、收集、整理相关人员的控制自评估结果，并在系统中录入评估结果。控制自评估的运行模式与机制（续）25业务部门（操作人员/业务专家/流程负责人）：负责定期（每年/月）评估该部门兼职岗位提供的问卷。业务部门（部门负责人/政策负责人）：负责定期（每年/月）最终审核和确认本部门的控制自评估结果。5. 评估计划：总行操作风险管理部门负责牵头制定全行年度控制自评（设计有效性和运行有效性）工作计划；总行业务部门依据操作风险管理部门总体要求，制定本部门的控制自评（设计有效性和运行有效性）工作计划；分行业务部门依据上级归口部门制定的年度自评工作计划，制定本部门的控制自评工作计划；分行操作风险管理部门负责汇总分行业务

22、部门制定的年度自评工作计划，并在分行范围内进行协调和确认；业务部门控制设计有效性和控制运行有效性的自评模式与风险自评相同。控制复评的运行模式与机制为满足操作风险管理指引需求，操作风险管理部门需实施充分且有代表性的评估和测试，询问政策和控制程序存在的缺陷，并进行相应的调查。复评内容：实施范围：评估频率：26针对业务板块，对CSA的规划、过程及结果（非针对单点的控制）进行整体评估，主要包括以下要点：各部门是否按规划执行控制自评工作，包括日程、覆盖面、开展方式（例如：是否召开研讨会）等；针对控制设计缺陷或执行不到位的，各部门是否积极应对，启动行动计划；在合理性分析的基础上评估控制自评结果与条线、合规

23、检查的结果是否存在重大偏离，若存在偏离，是否有合理的解释。控制复评工作针对总行、分行及其辖内机构的内控自评工作开展。半年（每个条线的控制评估覆盖完成一次时）。控制复评的运行模式与机制（续）4. 参与人员与相关职责：评估计划：6. 工作开展模式：27总行操作风险管理部门：评估总行各部门的控制自评工作执行情况；及监督分行操作风险管理部门的复评执行情况。分行操作风险管理部门：评估本级分行及所辖支行的控制自评工作执行情况。总行操作风险管理部门需根据总行各业务部门的自评计划制定总行的控制复评计划；分行操作风险管理部门需根据分行各业务部门的自评计划制定本分行的控制复评计划。通过报表的方式对总、分行及其辖内

24、机构的控制自评工作进行全面的复核和分析；必要时还可以对相关人员实施访谈，并调阅相关资料；对复评结果出具总结性意见。风险自评估（RSA）与其他相关要素的关系一道防线和二道防线的相关业务和管理部门，对内控梳理中识别的风险开展定期或不定期自我评估，风险自评模块（RSA）与其他模块之间的关系如下：风险自评（RSA）是建立在全行统一内控梳理的标准上，将识别的风险与控制库、流程库、产品库、岗位库进行匹配，并依据评估标准库中相应评估标准，对识别的风险从频率和影响程度两个维度进行评估，并估算剩余风险暴露值。风险自评（RSA）主要对内控梳理成果风险点，以定性和定量的方式，评估风险的暴露或等级。分析剩余风险暴露值

25、落在风险地图的警戒范围或不能容忍范围的原因，并采取相应的行动方案。28控制自评估（CSA）与其他相关要素的关系一道防线和二道防线的相关业务和管理部门对内控梳理中识别的控制措施开展定期或不定期的自我评估（CSA），评估主要从控制设计有效性和运行有效性两个维度开展。控制自评模块（CSA）与其他模块之间的关系如下：控制自评（CSA）是建立在全行统一内控梳理的标准上，将识别的控制与风险库、流程库、产品库、岗位库、内部规范及外部规章库匹配。控制自评（CSA）主要对内控梳理成果控制措施，依据评估标准库中相应的评估标准，对识别的控制从设计有效性和运行有效性两个维度进行自我评估。29目录操作风险管理理念操作风

26、险管理系统2130-风险与控制自我评估（RCSA）-关键风险指标（KRI）-损失数据收集（LDC）关键风险指标（KRI）关键风险指标（KRI，Key Risk Indicator ），是指能够代表操作风险状况或者内控管理水平变化情况，并可定期进行监控的统计指标。关键风险指标用于监测可能造成操作风险损失事件的各项风险、相应的控制措施，以反映操作风险状况或内控管理水平变化情况的早期预警。31关键风险指标（KRI）的筛选原则关键风险指标的筛选，主要依据指标相关的数据可获取性（是否易取得/更新）、指标特性（属性/周期是否合适）及专家意见，从候选指标列表中挑选出可立即使用的关键风险指标。实际应用的指标具

27、备以下特点：32属于候选列表的关键风险指标可立即应用的关键风险指标数据机密性高（例如高管薪酬增长率）数据可获取性低（例如客户经理个人股票持有数额）数据收集成本高数据更新频率低（例如指标数据每年才变动一次）指标实际参考性低数据机密性低数据可获取性高数据收集成本不高数据更新频率高指标实际参考性高关键风险指标（KRI）的筛选示例风险指标机密性低数据可获取性高数据收集成本不高数据更新频率高新上岗人员的平均专业培训时数柜员的平均交易笔数柜员平均加班时数未来三个月关键岗位空缺数客户投诉数长期不动户重新启用件数核心系统未经授权尝试登入的次数柜员更正交易比率控制指标机密性低数据可获取性高数据收集成本不高数据更

28、新频率高柜员错账比例柜员培训时数达成率会计主管复核时及时发现的错误笔数日终检查出的问题交易比例33列为候选指标，暂时不使用。示例关键风险指标（KRI）门槛值设定的参考依据关键风险指标门槛值的设定可依循以下四项原则，不同原则所设定的门槛值可同时存在于一个指标之内：34依据操作风险偏好与容忍度与操作风险偏好相关的指标，可以依据操作风险容忍度设置该指标的门槛值，例如：监管处罚的事件数量（门槛=0）核心系统宕机后的恢复时间（门槛=2小时）依据现状或历史数据与操作质量或运作效能相关，且历史数据相对齐备的指标，在指标运作的初期，可依据当前的水平，设定指标门槛值。例如：柜员处理单笔交易的平均花费时间（门槛=

29、5分钟）ATM交易未成功笔数（门槛=50笔/台/月）依据设定的管理目标与业务管理、人力资源管理或其它管理目标相结合的指标，可依据既定的管理目标，设置关键风险指标的门槛值。例如：正式员工的平均训练成本（门槛=RMB10000元/年）金库盘点的次数（门槛=10次/月）依据专家意见在其他状况下，可依据经验丰富的业务专家所提供的建议，设置关键风险指标的门槛值。例如：人员离职率（门槛1=5%，门槛2=10%）关键岗位空缺数（门槛=3人/部门）关键风险指标（KRI）与其他相关要素的关系关键风险指标是指能够代表操作风险状况或内控管理水平变化情况，并可定期进行监控的统计指标。关键风险指标（KRI）与其他模块之

30、间的关系如下：银行层级关键风险指标是从总体的角度出发，依据操作风险偏好/容忍度，监控银行所关注的焦点。流程层级关键风险指标所反映的风险与控制主要来源于内控梳理成果，结合专家经验建立关键风险指标清单。对应关键风险指标值的异动变动（如指标值超出门槛值或者落在不可接受的区域内），业务部门需要启动相应的行动计划。35目录操作风险管理理念操作风险管理系统2136-风险与控制自我评估（RCSA）-关键风险指标（KRI）-损失数据收集（LDC）事件与问题收集的范围损失数据收集（LDC ，Loss Data Collection ）用来收集、存储和管理银监会监管要求的商业银行操作风险事件及一道防线自查发现的问

31、题和二道防线检查中发现的控制缺失 。37事件类型损失情况操作风险事件重大（包含监管处罚）*一般（非重大）有直接损失损失超过门槛金额损失未超过门槛金额无直接损失*说明：重大操作风险事件中包含由于违反外规而导致的监管处罚事件。重大操作风险事件范围的建议重大操作风险事件包括：（1）监管机关特别关注、规定要及时通报的事件，及（2）银行自身特别关注的事件。中国银监会相关监管要求38抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件，诈骗商业银行或其他涉案金额1000万元以上的案件；造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失，造成在涉及两个或两个以上省（自治区、直辖市）范围内中断业

32、务3小时以上，在涉及一个省（自治区、直辖市）范围内中断业务6小时以上，严重影响正常工作开展的事件；盗窃、出卖、泄露或丢失涉密资料，可能影响金融稳定，造成经济秩序混乱的事件；高管人员严重违规；发生不可抗力导致严重损失，造成直接经济损失1000万元以上的事故、自然灾害；其他涉及损失金额可能超过商业银行资本净额1%的操作风险事件；银监会规定其他需要报告的重大事件。重大操作风险事件范围的建议（续）2. 银行自身特别关注的事件类型（建议）39内部欺诈事件；员工伤亡事件；监管机构处罚事件；影响本行对广大客户的服务质量的事件；严重影响本行声誉的事件。损失事件字段信息40损失事件字段信息基本信息直接损失间接损

33、失事件编号事件名称直接损失影响类型间接损失影响类型损失事件分类损失事件定性类别已确认直接损失总额间接损失说明业务条线业务类别直接损失说明发现日期发生日期发现机构发生机构发生部门录入人员录入部门录入机构损失事件字段信息（续）损失事件字段信息财务信息损失入账缓释信息关联信息最大预估损失汇总金额借方会计科目代码缓释类型是否关联信用风险已确认的直接损失总金额借方会计科目名称缓释名称是否关联市场风险已确认的直接损失净额借方金额缓释说明对应产品业务条线已分配总金额入账日回收金额对应主流程业务条线未分配总金额贷方会计科目代码风险点Basel II业务条线已分配总金额贷方会计科目名称风险因子Basel II业

34、务条线未分配总金额索赔日控制措施入账日关联内规关联外规41损失数据收集（LDC）与其他相关要素的关系损失数据收集（LDC）与其他模块之间的关系如下：损失数据收集是建立在全行统一的内控梳理标准的基础上，需要将收集到的事件匹配到风险库、控制库、流程库、产品库、岗位库、内部规范及外部规章库，以利于对事件的统计分析。损失数据收集的操作风险事件、自查/检查发现的问题与缺失会触发相应的行动计划。42目录操作风险管理理念操作风险管理系统2143操作风险管理系统的目标定位构建操作风险管理的标准框架，建立核心数据库；从业务流程出发，识别业务流程的所有风险点及控制措施；RCSA自动化处理，并将风险评估机制整合到日

35、常业务管理活动中；建立操作风险损失数据库；建立操作风险关键指标的预警机制；实现行动计划的跟踪和报告功能；建立操作风险相关信息的报表/报告体系；为操作风险高级资本计量提供数据准备。44报表/报告操作风险框架自我评估流程管理事件管理指标管理行动计划资本计量操作风险数据库操作风险管理系统总体功能框架45系统接口报表/报告层报表自定义报表生成报告上报报告审批核心应用层行动计划制定行动计划行动计划审批执行情况跟踪流程管理流程图绘制应用支撑层用户/角色/权限管理机构/部门管理参数管理工作流管理我的工作台数据存储层风险点库控制措施库损失数据库指标库业务流程库45流程分析流程发布流程承接流程本地化RCSA资本计量自评计划自评方案自评结果LDC事件录入事件修改/更新事件查询事件处理标准法KRI基础数据项管理指标管理指标监测预警风险评估标准流程管理模块管理需求模块概