APP下载

银行业数据治理的“内忧外患”与技术之门

2018-07-14张彧通

银行家 2018年7期
关键词:合规架构区块

张彧通

伴随着数字化进程,数据已成为众多行业的“第一生产力”,对于沉淀多年各类数据资料的银行来说,数据是竞争力的又一条前线。然而,不同的银行境遇不同,数据正在各个方面重塑银行业态。正如知名机构Capgemini所言,金融服务机构是建立在数据之上的组织,数据治理是非常重要的考量。

“天然的数据组织”要求必然的治理变革

诺贝尔经济学奖得主赫伯特·西蒙认为,组织中管理的本质就是决策。伴随着信息化、数字化,数据不再是逐渐渗透银行的外来物,而成为了银行本身。现有的银行治理结构建立在工业时代的架构之上,并没有因应数字化变革对公司的IT 架构、商业运用以及合规需求带来冲击。数据质量控制、数据使用方法以及数据安全保障等方面的“跛脚而行”往往会给银行决策带来困难,从而引发六大弊病:第一,商业运营成本增加。各类数据问题经常导致运营效率降低,纠正数据错误还可能增加额外工作时间。第二,财务表现差强人意。数据问题导致的成本增加也会间接影响金融机构的现金流、营收,拖累整体财务表现。第三,合规评级难度加大。除了合规处罚的风险,数据问题甚至直接影响银行的评级与经营资格。第四,客户权益受到损害。一方面,数据问题会导致客户体验的降低,如客户可能无法获得适合的產品和服务组合;另一方面,数据问题还会损害客户的合法权益,如客户数据被窃取。第五,商业信誉摇摇欲坠。数据问题不仅会使得银行员工相互敌视,而且会使得社会公众怀疑银行能力。第六,公司战略步履维艰。数据问题的微观妨害以及宏观混乱会在很大程度上阻碍公司战略的形成与执行。

由此可见,银行治理亟待数字化变革。在前数字化变革时代,银行治理经历了IT管理、合规服务阶段。20世纪80年代以来,伴随着IT系统升级带来的新技术应用(数据库、交易中间件)与新产品开发(银行卡、中间业务、投资理财、电话银行、POS机系统),银行基于数据管理的需要,在关系数据库领域实现关系模型、事务处理、查询优化等早期的IT管理功能。21世纪的第一个十年,合规与监管的外部压力迫使银行在数据治理上投入大量成本解决信息安全、隐私与合规问题。大约从2010年开始,大数据的出现使得银行数据治理真正面临了数字化变革的压力。数据量越来越丰富、数据分析工具越来越多、数据存储方式越来越便捷,数据治理在合规、经营等方面的溢出效应越来越明显。

然而遗憾的是,银行数据治理的争议多过共识。例如,银行数据治理的架构不清。根据咨询公司NewVantage Partners 的《财富1000强管理层年度调研》显示, 截至2018年4月,包括美国银行、第一资本、花旗银行、高盛、富国银行、摩根大通等多家银行在内都设置了首席数据官, 但是其角色定位仍然存在较大的争议。又如,银行数据治理的目标滞后。2016年, 普华永道对欧洲全境的45家银行进行了调研,结果显示超过71%的银行将合规需求列为数据工作的首要原因,而忽视了数据治理的其他目标。此外,不同规模的银行其技术和资金实力不同,数据治理的运用能力不一。

银行数据治理是有层次、多核心的动态体系

完整的银行数据治理体系首先包含三个层次的目标。第一,IT层次为商业需求、合规需求服务,并适配新兴发展的先进技术。例如,伴随着直销银行、数字银行的兴起,伴随着手机、可穿戴设备等移动终端提供了更新、更快的接入方式, 银行数据治理要持续地评估IT架构的适应性。第二,商业层次要求对外高效利用数据挖掘和分析技术,对内实现不同部门之间数据共享。简单来说要求将数据高效、多元应用于银行业务,发挥数据商业价值。例如,内部共享数据以发掘交叉销售机会,设计新型产品等。第三,合规层次要求银行将组织数据提交监管,以满足包括资产充足率、消费者数据监管、反恐怖反洗钱在内的种种合规要求。

IT目标是后两者的基础,合规目标和商业目标可以相互作用。例如,银行可以开发一套IT数据系统,将与该银行有信贷关系的上市公司的相关数据进行收集整合。一旦上市公司的资金流向发生变化, 该银行可以第一时间获知,并且为风险管理部门提供参考,同时向监管部门报送可疑资金交易。

为了实现以上三个层次的目标,银行数据治理体系相应地由三个内容构成: 以IT为核心的数据架构、以数据为核心的应用管理以及以人员为核心的权责分配。数据架构指的是包含了结构搭建、元数据管理、生命周期管理、数据质量、数据集成、数据建模、监控与报告在内的IT架构。应用管理指的是业务部门在开展业务全过程中的数据使用、分析、挖掘。应用管理需要以数据为原点和核心展开,并格外注意:一方面,界定用于不同目的(监管合规需要提交的数据、提高客户体验所需要的数据,投放定向广告所需要的数据,市场分析所需要的数据,共享内外部数据)的数据范围;另一方面,定义不同数据的使用方法。权责分配指的是明确负有数据治理权利与义务的银行内外部主体。在公司治理架构上,组织架构和流程制度是数据治理工作的顶层设计,这需要安排数据治理委员会作为数据治理的决策机构,首席数据官作为银行数据治理决策的最高执行人,专门数据治理部门作为与财务、业务、IT、法务等并行的数据治理具体执行机构。权责分配的本质是使得银行数据治理真正可以由人来实现和监督。

如何管理、规划数据的动态变化?卡特里(Vijay Khatri)和布朗(Carol V. Brown)提出了“数据准则、数据质量、元数据、数据访问、数据生命周期”的决策域模型,并广为所知。简单来说,就是根据设定的数据准则,在数据获取、传输等过程中,控制其质量、设置用户访问权限,进行全生命周期管理。例如,在开发一款新个人借贷产品的过程中,经过首席数据官的许可,业务调用多个部门的数据进行分析,专门数据治理部门负责把控数据质量以及调用、分析等流程,并负责与外部传输监管数据。

银行数据治理的“内忧” 与“外患”

在数据治理方面,中外银行业金融机构的发展路径不同,主要表现在境外银行的监管要求更加严格、境外银行的信息化和数字化起步更早、境外银行的公司治理结构相对完善等三方面。但是在数据治理的第三阶段,双方面临的问题基本相同——都包含了内部治理与外部治理两方面的“忧患”。

银行数据的内部治理主要包括以下问题:第一,数据质量问题难以控制。数据质量要求真实性、完整性和准确性。而难点在于,纵向上跨越数据的全生命周期, 时限很长;横向上涉及银行不同条线,部门繁多。第二,数据聚合问题道路曲折。银行内部不同部门的数据源不同,不同主体的利益不一致,导致不同部门之间的数据往往存在阻隔。而拆除这些阻隔实现数据聚合成本往往极高。第三,数据治理内部权责不清。银行组织对于数据治理的内部权责划分并不十分明显。这体现在IT 系统人员、法务合规人员以及数据治理专门部门的责任存在重叠,也体现在业务部门调取、使用相关数据时权限不明朗。第四,数据安全问题迫在眉睫。银行存有大量的个人隐私、商业机密,不同银行的存储安全管理、用户匿名化、访问权限管理水平不一,安全能力较低的银行频频出现数据被窃取或者泄露。第五,数据治理问题缺乏经验。数据治理是一个动态的体系,涉及的内容众多而复杂。银行从已有惯性中走出来,形成现代化的数据治理动态体系还缺乏必要的经验。

银行数据的外部治理主要包括以下问题:第一,数据权属问题历久弥新。从数据产生开始,权属问题就是最大的争议。个人隐私权利保护获得空前重视之后更是如此。目前最大的难点在于:数据使用者、控制者、所有者的权利义务无法厘清,从而引申出数据的合法合理使用及权利救济等问题。第二,数据监管问题日趋复杂。与金融业尤其是银行相关的金融监管、数据监管有关的法律规范众多,使得银行合规压力较大。

区块链技术解决方案

值得一提的是,在面对上述问题时, 我国迈出了重要的一步。2018年5月21日《银行业金融机构数据治理指引》(以下简称《数据治理指引》)正式发布,首次以内部治理与外部监管共同作为“第一视角”完善银行数据规范。此次的《数据治理指引》不仅明确了原有的监管要求,更加强调了几类内容:第一,数据治理架构——“建立组织架构健全、职责边界清晰的数据治理架构”,尤其是明确“银行业金融机构可根据实际情况设立首席数据官”。第二,“数据质量控制”——建立“数据源头管理,数据质量监控体系, 数据质量现场检查,数据质量考核评价体系,数据质量整改机制,数据报送以及监管数据质量管控”等制度”。第三, “数据价值实现”——“通过数据分析挖掘,准确理解客户需求,提供精准产品服务”,同时,“通过量化分析业务流程, 减少管理冗余”并“充分运用大数据技术,实现业务创新、产品创新和服务创新”。

然而,徒法不足以自行。如何避免《数据治理指引》被束之高阁,一方面, 银行要真正意识到数据治理对于降低外部监管成本、提高经营效率的助力,并遵守问责机制;另一方面,可以借助区块链, 以技术的方式解决上述难题,实现了与价值、激励、权属有关的制度安排。

有助于数据确权。如果仅仅进行法律确权,而不采取可追踪、可回溯的技术, 法律权利无法落地。普华永道的欧洲银行数据治理报告也显示,只有71%的银行在使用数据时,确定了数据的某种权属。而该权属因银行各异。区块链技术不仅可以实现对消费者的重要数据进行技术性背书,从而确定数据权属,而且可以在数据流转的过程中实现对数据实际控制者的正向和反向激励,从而保证诸如隐私数据不会被滥用。区块链技术还可以记录数据侵权的相关信息。数据权属找到实际的载体(区块链账本),从而摆脱法律上“数据所有权、控制权”确权不易、财务上“为企业拥有或控制且预期带来经济利益”证明不清的现状。同时,对于缺乏经验的数据战略制定者而言,区块链的使用就意味着数据资产价值的确定,更加有利于数据战略的制定以及数据治理的决策。

有利于确定数据治理架构以及相关人员权责。我国的《数据治理指引》将数据治理定义为:“通过建立组织架构,明确董事会、高级管理层、部门等职责要求, 制定和实施系统化的制度、流程和方法, 确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。”专家指出,权责明晰、高层支持对数据治理工作来说几乎是成败的关键。区块链技术可以实现银行的董事会(下设数据治理委员会)、监事会、高管及首席数据官、专门数据治理部门上链,按照职责的大小和内容设置区块链上的权限。一旦发生数据风险事件,也可以及时追溯,确定风险来源,执行问责机制,明确责任主体。例如权限不同的部门针对不同的数据類型可以与其他主体采用专门信道进行通信,保证不同主体之间的权限有所区别。

促进数据管理和全面实现数据价值的要求。对于银行来说存在这样一个悖论:数据管理得少,不利于业务的展开, 效能的提升;数据管理得多,造成运营成本的提升,增加潜在的法律授权风险。一方面,区块链技术可以通过源头管理(真实上链)、质量监控等手段实现《数据治理指引》要求的银行数据真实、准确、连续、完整和及时,有利于银行执行数据管理、标准统一、数据共享,实现数据安全。另一方面,区块链技术不会影响银行数据嵌入到业务经营、风险管理和内部控制的全流程,反而会更有利于数据聚合、数据挖掘,不会受到新产品、重大收购和资产剥离等业务甚至银行主体发生变化对数据治理的影响。

充分实现监管监督。不论是《巴赛尔协议》还是我国的《数据治理指引》, 都强调了监管机构在数据治理中的重要作用,并要求数据治理充分提升监管效率, 实现监管与行业良好互动。区块链技术可以实现从数据源到业务过程和监管报送的全过程监管,以及数据质量监控、检查、考核和整改等机制的核查。监管机构可以向被监管银行明示监管机构监管责任、监管方式和监管要求。对于出现不合规行为,监管机构可以第一时间发现违规情形,并要求银行制定整改方案,责令限期改正。通过技术手段直接与公司治理评价、监管评级或者其他相应监管措施挂钩。这也正是广义监管科技、智能金融的有机组成。在数据治理领域,区块链和监管需求可以实现天然结合。

当然,区块链技术仍然处于该自身发展的初级阶段,不一定能够一步到位地解决数据治理的所有问题。但是,伴随着银行的数据存储、数据架构正在不断进化——中心化架构向分布式架构、中心化架构并存转型,区块链技术必然是重要的选择项目之一。例如,欧盟已经开始采用区块链技术进行去中心化数据治理的研究。而我国的政府层面和民间层面也在纷纷推动、助力技术发展。

面向未来进行完善治理

区块链技术的发展可以解决银行阻碍数据治理完善的内外部因素,但是其技术发展本身尚在初级阶段,且真正应用还有诸多非技术性因素。但是趋势不可逆,历史经验摆在眼前,每一代新技术的运用都推动了银行的阶梯式发展。因此,对于银行尤其是中国的银行来说,须面向未来, 做好五个方面的功课。第一,变思路。在新技术爆发式发展面前,银行业金融机构如果善于接纳、主动拥抱、积极布局、逐步验证、拓展范围,那么最终就有极大可能占据有利的竞争态势。第二,守监管。不论什么样的技术发展应用都应当在合规、遵守监管的前提下展开。银行需要时刻牢记在金融体系中负有的重大职责,并且有序地开展“负责任的创新”。第三, 促合作。一方面,银行可以主动与包括金融科技行业在内的其他行业主体接触,相互学习,积极利用其技术优势抢占行业领先地位;另一方面,银行还可以主动与监管机构保持沟通,促成新技术应用方面的“先行先试”。第四,定标准。在行业中,银行的体量极重,可以参仿花旗、美林等领先银行在相关技术标准与运营标准方面以标准制定的方式降低全行业的成本,提升我国银行在全球的话语权。第五,备人才。创新离不开人才。提升新技术人才、新运营人才、新管理人才在银行人才结构中的比例,让新人带动银行全局的创新与发展是创新的最大保障。

(作者单位:中国政法大学)

猜你喜欢

合规架构区块
企业如何做好反商业贿赂合规
基于云控平台雾计算架构的网联汽车路径控制
在合法合规中提升民企竞争力
百度推出“区块链操作系统”BBE平台
区块链产业发展速度放缓
Unicorn正式上线区块链浏览器UIC—Explorer
区块链投机者
VIE:从何而来,去向何方
企业架构的最佳实践
三层架构在企业信息化中的应用