XX银行数据治理建设可行性分析报告

XX银行数据治理建设可行性分析报告202X年9月背景在数字化转型下，中国银保监为促进金融行业健康发展及风险控制，进一步提升监管数据的统计质量，提高数据质量，充分发挥数据价值，发布了《银行业金融机构数据治理指引》（以下简称《指引》），《指引》紧紧围绕数据治理展开，对数据治理的整体架构、数据管理及数据质量控制等方面均提出了硬性要求，全方位引领银行业金融机构开展数据治理工作，并将根据数据治理情况，评价公司治理水平，且与监管评级挂钩。同时为进一步促进金融行业银行机构开展数据治理工作，加强对银行监管数据治理的要求，中国银保监发了布《中国银保监会办公厅关于开展监管数据质量专项数据治理工作的通知》，针对监管数据提出监管数据质量专项治理方案，提出了“提高认识，压实责任；突出重点，标本兼治；强化整改，完善机制”的总体要求，并出了专项治理工作时间表。为了满足经营管理和监管要求，我行数据治理工作已迫在眉睫。业务可行性在大数据时代，商业银行经营管理对数据的需求愈发凸显，数据正日益成为助推商业银行精准营销、风险防控、精细管理的重要抓手，是商业银行建设智慧银行、推进金融科技转型的战略支撑。当前，无论是外部监管，还是银行自身，都对开展数据规划，加强数据治理，提升数据质量，发挥数据价值，提出了迫切要求。2.1数据治理的重要意义从监管要求、银行同业实践、我行发展需要三个维度来看，启动该项目具有重要意义。一是数据治理水平是商业银行合规监管和规范管理的重要内容。银保监会《指引》将数据治理工作上升到公司治理层面，要求商业银行建立自上而下、协调一致的数据治理体系，涵盖治理架构、数据管理、数据质量控制、数据价值实现等重要领域，将银行业金融机构开展数据治理工作的重要性提高到战略高度。人民银行对金融统计工作历来高度重视、严格要求，良好数据质量也是人民银行综合评价的重要内容。可以预期，外部环境对数据治理的要求会越来越高，而数据治理体系又非常繁杂，涉及经营管理的方方面面，我行在这项工作上刚刚起步，仅依靠我们自身的能力难以实现，宜借助专业公司的力量辅助我们尽快建立一套符合监管要求、相对科学规范的数据治理体系。二是从国有大型银行、股份制银行特别是先进城商行的实践经验来看，持续的数据治理是商业银行发展的必由之路。作为典型的数据驱动型行业，数据治理是银行数字化转型的核心基础。考虑我行未曾开展过全面的数据治理工作，数据潜藏问题较多，如数据缺失和数据报错等。大型银行开展数据治理工作较早，取得了明显成效，从南京银行、徽商银行等先进城商行的实践经验来看，在数据治理方面大都经历了五年以上循环治理和提升过程，付出了少则几千万多则数亿元的资金投入。目前，业界信息数据治理的实践经验较为丰富，理论体系和方法论也比较成熟。现在启动数据治理工作，可以充分借助专业公司的力量，广泛借鉴银行同业的项目经验，合理规避项目风险，努力提升项目效果，同步培养我们自己的专业人才。三是通过项目落实数字化转型战略，建立、健全数据治理体系，是奠定长远数据治理基础的重要抓手。数据治理管理体系的建立、数据标准的制定相对容易，但是体系的有效运转和标准的落实落地需要投入大量的人力物力财力，并视情况对相关系统进行改造，短期内难以见到明显成效。我行未开展过大型的数据治理工作，缺乏经验积累和技术积淀，数据治理过程中业务部门的变化和存量系统的复杂明显增加了项目难度。可以以此作为项目抓手，初步建立一套相对完善有效的数据治理机制，同时吸取同业先进经验，逐步启动我行的数据分析应用工作，实现数据价值的有效发挥。2.2数据治理的目标通过数据治理项目，引入外部专业咨询机构和专家，辅助我行综合监管要求、我行现状和未来发展等，建立健全全行数据治理体系，全面提升我行的数据治理的水平与能力。本次项目的总体目标，是通过本项目，规划明确我行未来3-5年在数据治理领域的主要工作内容。在数据应用、技术体系、组织体系三个维度上开展蓝图规划、设计实施路线，在数据管理维度上开展详细设计，具体包括数据管理制度体系、数据标准和数据质量领域，从而确保2020年有可落地的成果。本项目包括以下三个方面的具体目标：一是从监管视角，建立健全全行数据治理体系，完善数据治理的蓝图、政策、制度、流程，从体系建设上完全达到监管要求；二是从行内发展角度，基于战略规划、业务需求、业界实践和当前痛点，构建数据治理工作未来三到五年的蓝图规划，制定各阶段的目标和实施路线图；三是从落地视角，诊断全行数据治理的管理现状和问题，并推进整改，保障高层决策、业务经营管理、IT系统运行的稳定有序。2.3数据治理的咨询内容本项目的咨询工作内容主要分为以下两个大的方面：1、数据治理现状全面评估：针对我行数据治理现状进行全面评估，全面调研需求，指明建设方向；2、数据治理体系总体规划：开展我行数据治理规划形成，总体蓝图和实施路线图，包括数据应用场景规划、数据组织规划及相关IT系统规划；以上两个方面工作，详细内容如下：数据治理全面评估：通过对我行数据管理现状的调研摸排，收集各相关部门的数据需求，评估数据治理成熟度，为后续规划和设计工作指明方向。（1）问卷调研：采取问卷的方式，针对数据领域的战略、应用、管理、技术和组织体系进行全面评估，基于评价模型对我行数据治理工作进行总体评价，同时分析我行在数据治理领域的主要矛盾和诉求；（2）访谈分析：基于访谈和实地分析，对我行数据管理的各个方面进行深入分析，包括各业务领域的数据应用、组织架构、政策制度、管理流程、系统保障、数据标准、数据质量、元数据、数据安全等，详细分析每个领域当前我行的成熟度，以及下一步工作的需求；（3）核心结论：形成现状分析的核心结论，为下一步规划和设计工作指明方向，包括但不限于指明我行未来数据应用的重点应用领域，明确我行数据管理工作应重点关注的领域，指明我行技术架构体系建设的重点方向，识别我行组织能力建设和岗位配备的重点等。数据治理体系总体规划对标优秀同业实践，以满足监管要求和经营管理需要为原则，制定我行数据治理工作未来三年的蓝图规划，确定短期和中长期工作目标，细化数据治理实施路线图，为全行下一步的数据治理工作提供清晰的计划和依据。（1）数据应用体系规划：数据应用体系规划需要从客户分析、精准营销、风险管理、产品管理、运营管理、监管合规、渠道运营等所有业务领域，全面规划我行未来数据分析应用场景和主题，形成我行数据分析应用的整体蓝图。针对我行数据分析分析应用规划，还应明确总体实施路线，包括每个数据分析主题的牵头部门、实施时间等。（2）数据组织体系规划：数据组织体系规划需要对数据的决策机制、人员岗位、数据工作开展的机制进行全面规划和设计。一是明确全行数据治理体系，明确董、监、高以及各部门在数据治理领域的职责；二是明确全行数据团队的岗位设置和人员配备，包括数据金融部的岗位设置和人员配备、各业务部门的岗位设置和人员配备等；三是明确全行数据需求和服务的主要机制，确保全行数据需求得到有效满足。（3）技术体系规划：技术体系规划主要明确与数据管理和数据应用相关的相关技术体系。规划我行数据管控系统建设的必要性、主要功能需求、建设路径。通过技术体系规划，可以对我行未来数据治理的各项工作形成有效的技术支撑。2.4数据治理的实施内容开展我行数据管理制度、数据标准、数据质量的详细设计及落地，切实提升数据管理规范及数据质量。数据治理领域的详细设计及落地，主要围绕我行数据管理工作开展，具体包括设计我行数据管理制度、数据标准，针对监管领域突出的数据质量问题推进解决，通过上述工作，在数据管理领域形成可落地的成果，切实推进我行数据管理工作在2020年取得实效，提升我行整体数据质量。（1）开展数据管理制度设计及落地：围绕数据标准管理、数据质量管理、元数据管理、外部数据管理、数据安全管理等数据管理的各个领域，基于我行数据治理组织及职责分工，制定我行数据管理制度。（2）开展数据标准设计及落地：制定我行数据标准，从而为我行数据标准的落地、解决各系统数据不一致提供依据。一是制定我行基础数据标准和标准落地的总体方案，包括客户、产品、协议、交易、机构、渠道等银行业数据标准主题，基础数据标准应涵盖分类、业务标准、技术标准；二是制定指标数据标准，指标数据标准应包括业务定义和技术定义两部分。（3）开展数据质量问题分析并推动问题整改：以我行数据质量提升为重点，通过主动发现和调研收集两种方式发现问题，开展问题分析工作，并以分析结果为依据，制定数据质量问题的整改方案。技术可行性3.1技术满足度分析端到端的元数据管理作为真正端到端的元数据管理工具，提供跨工具和应用的企业级的元数据统一视图，提供了清晰定义和分析跟踪业务运作历史数据的实际可行的解决方案。可定制的元模型管理提供企业数据仓库环境内置的元数据类型支持；支持用户按需定制元模型结构，形成统一的元数据类，支持业务元数据的管理。自动获取和关联元数据可连接其他软件工具（Oracle、DB2、ESSBASEOLAP、DB2OLAP、PowerCenter、Erwin等）自动获取元数据，保证了元数据的最新、一致、可用、极大减少人工维护工作量。通过目录映射功能，在元数据采集时，自动映射两个来自数据库、BI工具的元数据。减少人工映射的工作量。支持SQL解析功能的元数据获取功能，大大减少已有存储过程或脚本语句等ETL作业的手工整理ETL映射元数据的工作量。强大的分析功能血统分析–跨工具了解数据在应用中流动变化的来源和目的影响分析–跨工具追踪企业范围的系统变化影响企业数据地图–用于展现企业数据全貌，为更有效的利用和挖掘信息资产提供技术支撑。表重要程度分析–用于展现那些表在系统中的依赖程度最高元数据分析–用于展现元数据的数量分布和使用分布数据标准分布–用于展现数据标准的数量分布和使用分布完整的生命周期和版本管理提供元数据的生命周期管理，发布、删除和状态变更都有严格的流程，并提供版本管理功能，这些都确保元数据的质量，保证了后续使用元数据系统的权威性和可靠性。灵活配置的检核指标可以根据一套预定义的检核模板来生成检核指标，即补充必要的检核参数值，如检核表名、检核字段名；系统也支持通过Excel方式批量导入检核指标。每个检核指标归属于一个“检核系统”，作业调度程序在发起质量检核作业时，将按照某几个或全部检核系统并发执行。质量问题跟踪管理提供对检核问题的记录、管理、分析、跟踪、整治，对每个检核指标生成的问题落实到具体的责任人、来源系统、解决系统；每天生成一份质量检核报告：新增问题、解决问题、遗留问题，支持生成一个月内的检核问题变化趋势图，如柱状图。对于已经完满解决的问题，提取、整理、归纳成为常见问题列表，逐步形成一套有宝贵的实战经验的问题知识库，供后续其它IT系统参考。有效的协同工作能力提供数据需求管理、数据需求进度管理，对需求提交、处理、跟踪、生成报告，提供完整的流程管理。提供文档管理功能，对工作文档、分析文档提供上传、下载、查看功能。提供变更订阅功能，对元数据、数据标准采用周期性检查，订阅范围内的元数据数据和数据标准发生表更及时通知订阅人员。3.2功能模块分析图：系统功能数据治理平台，提供元数据管理、数据质量管理、数据标准管理，为基础数据平台数据的可用性、完整性、高质量、一致性以及安全性等提供保障，以便支撑基础数据平台或数据仓库的建设。『元数据管理』模块：统一管理分散在企业内部的元数据，包括技术元数据、业务元数据、操作元数据，其目标是为更好获取、共享、理解和应用企业信息资产，降低数据集成成本，为企业数据标准化提供支撑，促进数据质量的提升，实现企业信息资产价值最大化。『数据标准管理』模块：对构成数据标准化平台的业务和技术基础设施，进行规范化管理；定义数据标准字典，建立标准与实际数据的衔接；实现新建系统对数据标准字典符合度的检查；定义基于业务规则的数据关联；建立统一的数据标准用户视图。『数据质量管理』模块：从数据质量的八大基本要素（完整性、唯一性、一致性、准确性、合法性、及时性、安全性、扩展性）入手，制定全企业范围内的数据质量度量标准；建立监控、分析、修正、跟踪的数据质量管理体系。3.2.1数据标准模块3.2.2数据质量管理模块3.3.3元数据管理模块架构要求4.1应用架构架构层次总分为四层：数据采集层：利用不同的数据采集适配器采集分散在需求、设计、开发、生产等各个环节的元数据，如：ETL工具/程序、调度工具、数据建模工具、BI报表展示工具、关系型数据库、分布式大数据组件、文档的业务定义和数据标准、数据质量的规则定义等，通过适配器采集层将数据采集到数据治理的数据模型层中。数据模型层：存储数据标准、元数据管理和数据质量的数据存储模型，这是运行数据治理系统的基础。数据治理系统服务层：利用J2EE应用开发平台和工作流引擎技术，分别实现数据标准管理功能模块、数据质量管理功能模块和元数据管理功能模块数据治理系统展示层：满足不同用户对不同数据服务的需求，实现对用户的数据信息采集、查询、分析、监控、反馈的全流程自动化管理，同时可对数据信息服务的内容和范围进行多维度的统计。由于科技的迅猛发展，该层需考虑支持客户端设备的多样性，如电脑、平板、智能手机、云端等，尽量达到“一次开发，多处复用”。4.2逻辑架构总体逻辑结构图：在上图说明了本系统的总体逻辑层次结构，主要包含应用层、应用平台及中间件层、数据据处理层，以及操作系统、网络等基础设施层的逻辑结构。基础设施层可以采用Linux或WindowsServer主机，数据处理层采用Oracle数据库集群，应用中间件采用WebSphere7.0、Tomcat7.0或JBoss，应用层则采用标准MVC层级的B/S系统架构，使应用、数据、控制、展现互相配合，提供整体可扩展性。4.3技术架构应用架构各层次的组件和用途说明：持久化层（DAO层）：持久化层采用JDBC和Hibernate对数据库访问进行封装，抽象为DAO层的接口和实现，组件统一由Spring管理。DAO层实现包括查询、分页、更新、删除等数据库访问API，分为SQL操作和HQL两部分。为了提高代码的可维护性、系统的扩展性，不允许直接在Java代码里编写SQL，所有的HQL和SQL统一由Xsmart组件管理，配置在XML文件里。假如以后需要迁移到其它数据库，只需要修改XML文件，而无需改动代码。业务逻辑层（Service层）：业务逻辑层用于处理负责的业务逻辑，它承接业务控制层的数据和操作，保证事务的唯一性和完整性。通过SpringIoC（控制反转）来注入DAO的实现类Bean，减少人工编码；通过SpringAOP（面向切面编程）技术，提供事务控制、日志登记、权限鉴定等；通过SpringORM（对象关系映射）支持与集成Hibernate或其它JPA框架；另外，通过Spring的事件机制，可以方便将事件源、事件侦听的处理逻辑分离，提高代码的灵活性和扩展性。业务控制层（Controller层）：用于接收前端的提交数据，并将业务逻辑层的处理结果，转换为前台数据输出。业务控制层，目前可选的、较为流行的方案有两个：Struts2.0、SpringMVC。原来的数据治理产品框架是基于Struts实现的，通过插件等方式可以与Spring框架完美结合；SpringMVC从3.2版本开始，通过融合“注解”的方式，可以迅速的开发各种符合REST风格的Web应用。数据展示层（Representation层）：采用较为简洁的扁平化+互联网风格的展示框架，主要融合了HTML、CSS3、Bootstrap、JQuery等技术和框架，针对图形化界面部分，采用HighChart、FusionChart等图形化技术，对于开源框架不能支持的（如数据地图、元数据分析），采用自定义实现的Flex框架和组件。身份验证框架：身份认证框架主要用于拦截与验证用户的身份是否合法，防止非法用户访问系统，可选的技术框架有CAS（CentralAuthenticationService）、Shiro等，可方便与其它认证框架集成，如LDAP(轻量级目录访问协议，LightweightDirectoryAccessProtocol)、SSO(SingleSignOn，单点登录)系统等。除了开源的、成熟的框架外，还可以基于Web容器的Filter（过滤器）和Struts框架的Intercept（拦截器）实现用户身份验证。接口层（WebService层）：该部分是数据治理系统与第三方系统之间进行数据交换的接口，采用SOAP协议实现简单的WebService服务，并提供各种操作API，最终实现数据在企业内部的共享和价值最大化。除了按照企业要求实现的WebService服务，为了灵活性和高效率，未来还可以采用其它的高效数据交换框架，如：GoogleProtocolBuffer(简称Protobuf)、阿里的开源框架Dubbo、Netty、RMI、Hessian等。4.4数据架构4.5物理部署建议下图为包含了今后集群拓展的部署架构：如贵行的生产和管理网段有隔离，建议在这两个网段各部署一台结构采集服务器，以避免对贵行的IT安全造成隐患。一期建议WebSVR、AppSVR、DBSVR和物理网段的采集服务器公用两台物理服务器集群（即上表的数据治理服务器），生产网段结构采集服务器采用一台普通PC机即可。软硬件要求5.1软件配置服务器客户端操作系统WindowServer2008/RedHatLinux6.5Win7数据库平台Oracle11gETL工具InformaticaPowerCenter应用服务器IBMWebSphere7.0+，TOMCAT6+，Weblogic10+Tomcat6、Tomcat7程序语言编译器JDK1.7JDK1.7J2EE容器Spring3.2.6+Spring3.2.6+ORM工具hibernate:3.0+hibernate:3.0+接口协议WebService浏览器InternetExplore9.0+，GoogleChrome20+，FireFox20+InternetExplore9.0+，GoogleChrome20+，FireFox20+配置库工具SVNSVN5.2硬件配置服务器/存储类型配置数据治理服务器LINUX集群（F5）2台8c/32g生产网段结构采集服务器LINUX1台SAN存储磁盘阵列5T组织架构根据先进的方法论和同业最佳实践，数据治理组织包括决策层、管理层和执行层三层的组织架构支撑数据治理工作的开展和职责的落实。通过成立数据治理组织建立明确的数据治理组织架构与人员角色定义，明确相应的责任人和职责。整体架构规划如下图所示：数据治理的组织包括以下三个层级：决策层即数据治理委员会，负责审批数据治理的愿景和目标，为数据治理引领方向，审批数据治理方案及主要计划，决策数据治理重大事项，协调全行各个部门参与数据治理工作。管理层即数据治理办公室，负责制定数据治理工作计划，牵头组织数据治理方案设计及实施，向决策层汇报数据治理工作。执行层即数据治理执行层具体参与数据治理工作设计和具体执行，解决日常具体的数据问题，并且在全行范围内定义和解释各项数据。组织架构中各角色主要职责说明如下：角色角色职责说明建议部门数据治理委员会指导与审批数据治理中长期战略规划及年度工作目标；

审批数据治理相关的政策制度、组织架构及管理流程设计；

定期听取数据治理办公室对数据治理工作的汇报，对数据治理办公室提交的各项议题进行审议与决策，评价工作成果；

对数据治理工作的重大事项进行协调与决策。成员包含行级领导及业务部门、科技部门领导等，建议职责由信息科技管理委员会承担数据治理办公室根据全行发展战略，组织制定未来3至5年的数据治理建设路线规划，并根据规划组织制定数据治理工作年度总目标，并有效分解、落实到各数据治理小组进行承接；

主持数据治理日常工作，包括对数据标准、数据质量、元数据、数据模型、数据架构、主数据、数据生命周期和数据安全工作的指导，对数据治理各小组提交的设计内容进行审议；

监督数据治理各领域工作的推行进度，协调相关部门展开工作；

对需要高层决策和推进的相关事项，提报数据治理委员会进行决策。建议数据治理办公室主任由战略规划部总经理担任，办公室执行主任由信息科技部总经理担任，副主任由相关部门分管副总经理担任数据质量管理小组组长组织制定数据质量管理整体规划及建设路线图；

审核数据质量管理相关的政策制度、组织角色、管理流程及平台规划等保障机制方案；

审核数据质量管理过程各环节的工作成果，即审核新建或更新的数据质量规则，数据质量问题分析结果，数据质量问题根因分析报告，数据质量问题整改方案以及数据质量考核结果等；

推动数据质量管理工作顺利执行，进行日常的监督和管理，协调总行相关业务部门、科技部门及分支行参与数据质量管理工作；

对数据质量管理的关键成果或重大事项向数据治理办公室提请审议。建议数据质量管理小组设在数据标准处，科技部门和业务联合担任组长：科技部数据标准处；战略规划部统计二处领导联合担任数据质量管理专员组织制定数据质量管理相关的政策制度、组织角色、管理流程及平台规划等方案；

组织制定数据质量检查规则，检查收集数据质量问题，数据质量问题根因分析，制定数据质量问题整改方案，数据质量问题整改工作等；

负责数据质量管理成果发布及组织宣传培训；

组织编制数据质量考核方案并组织考核。科技部数据标准处；战略规划部统计二处都设立专员角色。数据质量管理专员需要对我行业务比较熟悉，同时了解我行系统建设情况。数据质量管理员传达数据质量管理小组工作安排与要求，协调本部门数据质量执行人参与数据质量工作；

参与数据质量规则制定、数据质量问题收集、根因分析、整改方案制定和数据质量考核；

监督与管理本部门数据质量工作开展。总行各业务部门有两位承担管理员角色且明确到具体处室，其中一位为副处级及以上领导人员，另一位为骨干；信息科技部数管中心及开发中心各设一位骨干承担、规划管理处设一位骨干承担数据质量业务执行人员贯彻执行数据质量管理办法和实施细则；

参与制定与修订数据质量规则，检查提交数据质量问题，数据质量问题根因分析、整改方案制定及整改；

参与数据质量考核；

按照业务流程进行日常数据录入和维护工作，并确保数据质量。业务部门（业务需求编写人员、前台业务操作人员等）数据质量技术执行人员贯彻执行数据质量管理办法和实施细则；

参与制定与修订数据质量规则，检查提交数据质量问题，数据质量问题根因分析、整改方案制定及整改，数据质量问题评估；

参与数据质量考核；

负责在信息系统建设过程中落实数据质量管理要求。信息科技部（系统研发及维护技术人员）项目风险分析7.1可能出现的风险标准并没有真正落实到管理，体现在时间中。评审工作难以启动，难以保证各个环节成果的质量。标准与企业管理实际脱节，制定标准可操作性较低管理层操作层对数据治理理解不够深入，难以指导信息化在“工作紧、任务重”的压力下，为其他项目让路，影响项目进度7.2风险识别与分析在项目启动前，由项目经理组指导各小组提交其项目风险，包括：管理风险，技术风险，人员风险，商业风险等。在项目的各阶段，项目组同样需要识别、和分析项目面临的风险。项目经理对识别出来的风险事件作风险影响分析，确定避免或缓解风险的策略以达到降低风险、保证项目顺利进行的目的。对确定的风险事件还要进行描述，如：可能性、可能后果范围、预计发生时间、发生频率等。风险定义和分析主要从以下四个参数来进行：风险事件：破坏或影响项目的事件风险概率P（%）：事件发生的可能性。当P≥70%时，为高概率风险；30%<P<70%时，为中等概率风险；P≤30%，为低概率风险，极有可能不会发生。风险影响：说明若风险发生可能造成的影响是什么。对影响的取值，考虑到风险的特性、范围、风险发生的时机取以下范围的值：I=1表示低影响；I=2表示中等影响；I=4表示高影响。风险值：风险值＝风险概率×风险影响。用如下数据表格表示：风险发生概率P（％）风险影响I421P≥70%2.8~4.01.4~2.00.7~1.070%>P>30%1.2~2.80.6~1.40.3~0.7P≤30%0~1.20~0.60~0.3风险优先级：对于风险值>1.2的风险，定义为中,高风险；对于风险值<1.2的风险，定义为低风险。7.3风险的处理和监控完成了风险分析，就可以根据风险性质和项目组对风险的承受能力，采取相应的风险策略，制定对应的风险预防和应对方案。风险的策略主要包括：避免、缓解、接受、转移、规避等。项目经理针对识别出的中，高优先级的风险，制定详细的风险预防和应对方案，上报项目领导组审批；对低风险保持跟踪和关注，并在周例会上监控风险的实际情况和状态,在项目推进过程中还可能会增大或者衰退。因此，需要时刻监督风险的发展与变化情况，并确定随着某些风险的消失而带来的新风险。在项目咨询与实施过程中，所有项目组成员均有责任报告进程中发现的风险因素，并提交项目经理，由项目经理管理执行风险预防措施，监控风险状态，并以时启动风险应对方案，通过项目周、月报的方式跟踪和报告风险状况。项目