从关键词角度解读《银行业金融机构数据治理指引》*
2018-09-10程广明刘小茵
程广明,刘小茵
(工业和信息化部电子第五研究所,广东 广州 510610;广州赛宝认证中心服务有限公司,广东 广州 510610)
1 《银行业金融机构数据治理指引》解读
1.1 关键词一:明确适用对象
《指引》适用于中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构,包括在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。
《中华人民共和国银行业监督管理法》中所称的“银行业金融机构”,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
城市信用合作社已经转为了地方商业银行,所以,《指引》不再提此概念,但特别提出了国家开发银行。国家开发银行原属于政策性银行,在2008年改制为股份制银行。在此需要指出的是,基于互联网的网络银行也属于吸收公众存款的商业银行,也属于《指引》的适用对象。
1.2 关键词二:数据治理内涵
《指引》这样定义:数据治理,是指银行业金融机构通过建立组织架构,明确董事会、监事会、高级管理层及内设部门等职责要求,制订和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。
组织架构,强调贯穿上下的组织架构的管理职责在数据治理中的根本性作用;数据治理需要制订和实施系统化的制度、流程和方法;数据治理的目标是确保数据统一管理、高效运行,并在经营管理中充分发挥价值;数据治理是一个动态过程,不是一劳永逸的工作,需要建立持续改进的动态优化过程。
1.3 关键词三:四大基本原则
《指引》中明确了银行业金融机构数据治理的全覆盖、匹配性、持续性、有效性四大基本原则。其中,全覆盖原则体现在以下4个方面:①全生命周期,即数据的产生、存储、传输、共享、使用、归档、销毁等环节;②全类型,包含业务经营、风险管理和内部控制等过程中的数据;③全范围,既包括内部数据,又包括外部数据,特别提出监管数据,金融机构应当为行业监管提供数据支撑;④全组织,要覆盖金融机构所有的分支机构和附属机构。
全覆盖原则体现了《指引》第四条自上而下的数据治理体系;持续性原则体现了第三条对数据治理定性为动态过程的概念;而有效性原则反映了数据治理的目标不仅仅是管理好数据,而是要突出数据在经营管理中的作用。
1.4 关键词四:数据治理架构
《指引》要求银行业金融机构应当建立组织架构健全、职责边界清晰的数据治理架构,明确董事会、监事会、高级管理层和相关部门的职责分工,建立多层次、相互衔接的运行机制。图1展示了《指引》提出的数据治理组织架构。
图1 《指引》要求的数据治理架构
董事会:银行业金融机构内数据治理最高管理层,承担最终责任。
监事会:监督、评价董事会和高级管理层。
高级管理层:负责建立数据治理体系,具体承担数据治理任务。
首席数据官:专职负责数据相关的高级管理者,但是否纳入高级管理层要视金融机构经营状况确定。如果要纳入,应符合相关行政许可事项的要求。
授权归口管理部门:牵头负责实施数据治理体系建设,设立满足工作需要的专职岗位。
业务部门:负责本业务领域的数据治理任务,配合归口管理部门落实数据治理体系建设,设置专职或兼职岗位。
1.5 关键词五:加强统一管理
统一管理是实现数据治理的唯一途径,涉及管理制度统一、业务规范统一、数据标准统一、数据采集统一、取数规则统一、监管指标统一、资料管理统一等内容。业务词汇表和元数据管理是实现数据统一管理的前提,业务词汇表包含与组织相关的词汇、词汇业务含义以及词汇与信息资产(技术元数据)的关系,可以有效帮助组织用户了解其业务元数据和技术元数据对应的业务含义。数据治理成功的关键在于元数据管理,即赋予数据在一定范围内基本含义的参考框架。经过有效治理的元数据可提供数据流视图、影响分析的执行能力、业务词汇表以及其词汇和定义的可问责性,最终提供用于满足合规性的审计跟踪。
管理制度统一:《指引》要求银行业金融机构应当制订全面、科学、有效的数据管理制度,包括但不限于组织管理、部门职责、协调机制、安全管控、系统保障、监督检查和数据质量控制等方面的内容。
业务规范统一:银行业金融机构不同部门或分支机构应当遵循统一的业务规范,建立适用于全组织的顶层业务规范。
数据标准统一:《指引》要求银行业金融机构应建立覆盖全部数据的标准化规划,并确保相关标准能被有效执行。
数据采集统一:业务源头是数据进入银行金融机构的源头节点,是保障数据统一的主要环节。《指引》要求银行业金融机构应当加强对数据源头的管理,确保将业务信息全面、准确、及时录入信息系统。银行业金融机构应当加强对数据采集的统一管理,明确系统间数据交换流程和标准,实现各类数据的有效共享。
取数规则统一:《指引》要求银行业金融机构各项业务制度应当充分考虑数据质量管理需要,涉及指标含义清晰明确,取数规则统一,并根据业务变化及时更新。
监管指标统一:《指引》要求银行业金融机构应当按照监管要求报送法人和集团的相关数据,保证同一监管指标在监管报送与对外披露之间的一致性。
资料管理统一:《指引》要求银行业金融机构应当加强对数据资料的统一管理,建立全面严密的管理流程、归档制度,明确存档交接、口径梳理等要求,保证数据的可比性。
1.6 关键词六:注重数据安全
安全是发展的前提,发展是安全的保障,安全和发展要同步推进。数据治理是为了组织更好地发展,而数据安全是实现数据治理目标的前提。《指引》中的数据安全包括数据保护、个人信息保护、数据连续性管理、数据风险管理等。
《指引》要求银行业金融机构应建立数据安全策略与标准,依法合规采集应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全。同时,为响应《网络安全法》《信息安全技术 个人信息安全规范》等涉及个人信息保护的法规和国家标准,《指引》还要求银行业金融机构采集应用数据涉及个人信息的,应遵循国家个人信息保护法律法规的要求,符合与个人信息安全相关的国家标准。
《商业银行业务连续性监管指引》指出业务连续性管理,是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。数据是业务连续性管理的重要内容之一,数据应急预案应当纳入全行业务连续性管理体系中,并将其作为整体应急预案中的重要组成部分。《指引》要求银行业金融机构应当建立数据应急预案,根据业务影响分析组织开展应急演练,完善处置流程,保证在系统服务异常以及遇到危机等情况下数据的完整性、准确性和连续性。
针对数据风险管理,《指引》提出了通过数据治理提升银行业金融机构的风险管理水平的思路,体现了大数据在风险管理中的作用。《指引》要求银行业金融机构应当充分运用数据分析,合理制订风险管理策略、风险偏好、风险限额以及风险管理政策和程序,监控执行情况并适时优化调整,提升风险管理体系的有效性。
1.7 关键词七:数据质量控制
数据质量管理是数据治理领域永远绕不开的话题,没有有效的质量数据,就无法获得数据治理目标。《指引》也将数据质量作为数据治理的一项重要内容,作为单独一个章节,并设置了9条要求。《指引》将数据的真实性、准确性、连续性、完整性和及时性作为数据质量管理目标的体现,而实现这些目标的途径是要建立一套覆盖全面的制度体系,包括元数据管理、数据源头管理、数据质量监控体系、数据质量现场检查制度、数据质量考核评价体系和数据质量整改机制。
1.8 关键词八:实现数据价值
美国学者桑尼尔·索雷斯在《大数据治理》一书中这样定义“大数据治理”——大数据治理是广义信息治理计划的一部分,即制订与大数据有关的数据优化、隐私保护与数据变现的政策。笔者曾在《大数据治理模型与治理成熟度评估研究》一文中对该概念进行了简要分解,提出了大数据必须变现,这也是大数据治理的目的所在。组织将数据视作其资产的一种,要将其转化成组织可以使用的现金,变现的方式可以是单纯地出售数据本身,也可以利用数据开发出来的新业务或者利用数据治理提升运营管理水平。
《指引》指出,要实现数据价值,银行业金融机构要提高数据加总能力、数据分析应用能力、数据挖掘能力、风险预判与管理能力、大数据技术应用能力和量化评价能力等。
1.9 关键词九:强化监督管理
监督管理是促进银行业金融机构数据治理规范性的重要举措。根据《指引》精神,监督管理的具体途径包括构建问责机制、报送监管数据和数据治理审计等。
1.9.1 构建问责机制
构建问责机制要注意以下2点:①银行业金融机构内部要构建清晰的组织架构,并分配职责,同时,建立汇报负责制。例如,监事会负责对董事会和高级管理层在授权审批与数据治理相关的重大事项上的监督,高级管理层向董事会汇报。《指引》要求银行业金融机构应当建立问责机制,定期排查数据管理、数据质量控制、数据价值实现等方面的问题,依据有关规定对高级管理层和相关部门及责任人进行问责。②银行业金融机构对银行业监管机构的负责制,法定代表人或主要负责人对监管数据质量承担最终责任。
1.9.2 报送监管数据
《指引》要求银行业金融机构应当将监管数据纳入数据治理,建立工作机制和流程,确保监管数据报送工作有效组织开展,使得监管数据质量持续提升。银行业金融机构应当按照监管要求报送法人和集团相关数据,保证同一监管指标在监管报送与对外披露之间的一致性。如果发现重大差异,相关人员应当及时向银行业监督管理机构解释说明。
1.9.3 数据治理审计
《指引》要求银行业监督管理机构应当通过非现场监管和现场检查对银行业金融机构数据治理情况进行持续监管。银行业监督管理机构可以根据需要,要求银行业金融机构通过内部审计机构或委托外部审计机构对其数据治理情况进行审计,并及时报送审计报告。
1.10 关键词十:数据治理评估
数据治理内涵已经指出,数据治理是一个动态过程,不是一劳永逸的工作,需要建立持续改进的动态优化过程。实现动态优化过程的2个重要途径是,银行业金融机构内部的自评估和第三方独立机构评估。《指引》要求银行业金融机构应当建立数据治理自我评估机制,明确评估周期、流程、结果应用、组织保障等要素的相关要求。评估内容应覆盖数据治理架构、数据管理、数据安全、数据质量和数据价值实现等,并按年度向银行业监督管理机构报送。
认证认可作为质量技术监督事业的重要组成部分和基础工作,贯彻着传递信任、服务发展的工作方针。数据治理是一门涉及数据科学、信息科学、管理工程、金融学等多项内容交叉的学科,单独依靠银行业金融机构实现数据治理存在极大的难度。银行业金融机构应当充分利用外部机构专业的数据治理提升自身能力,并通过第三方机构客观、公正地评估、发现数据治理过程中存在的问题,及时改正问题环节、补强薄弱环节,构建一个持续改善的数据治理体系。
2 《银行业金融机构数据治理指引》与云端数据治理模型对比
2.1 云端数据治理模型简介
针对云计算环境下的数据治理需求,赛宝认证中心发挥技术优势,在借鉴CMMI数据管理成熟度(DMM)、DAMA数据管理知识体系(DMBOK)等国外数据治理理论的基础上,提出了云端数据治理模型(CDGM)。在CDGM开发过程中,赛宝认证中心也为国际标准《Information technology-Governance of IT-Governance of data-Part 1:Application of ISO/IEC 38500 to the governance of data》和国家标准《信息技术服务 治理 第5部分:数据治理规范》提供了技术支持。CDGM认为,云端数据治理是以云端数据为主要治理对象,并制订与云端数据战略、数据管理、数据优化、数据安全与隐私保护等相关的策略,指导组织规划、构建、评估和优化数据治理体系的活动集合。CDGM包含数据战略、数据管理、数据质量、数据操作、数据架构、数据安全和隐私保护6个职能域。
与绝大多数的数据治理理论相比,CDGM不仅关注数据治理理论,更引入了能力成熟度的概念去评估组织的数据治理能力,最关键的是还给出了数据治理体系实施方案。云端数据治理过程采用“策划(Plan)—实施(Do)—测评(Check)—处置(Action)”的循环作用和持续改进来提高所有过程有效性的PDCA方法,并结合借鉴项目管理、数据治理、IT治理等领域的实施方法论,形成云端数据治理管理体系,如图2所示。
2.2 《指引》与CDGM对比
CDGM是一套完整的数据治理模型,覆盖了诸多方面的数据治理知识,而《指引》是针对银行业金融机构数据治理的指南,具有行业特性。《指引》除了总则、监督管理和附则之外,与具体的数据治理相关的内容共四章四十二条。经过对比发现,CDGM几乎能够覆盖所有的条款,具体如表1所示。
通过深入对比发现,CDGM与《指引》的异同点如下。
2.2.1 相似之处
CDGM与《指引》的相似之处是:①对数据治理的定义和理解基本一致,都是通过制订和实施相关政策制度,以发挥数据价值为根本目标。②数据治理原则不谋而合。CDGM以全局统筹、风险可控、运营合规和创新应用为四大原则,《指引》则是以全覆盖、匹配性、持续性和有效性为四大原则,全局统筹与全覆盖、风险可控与匹配性、创新应用与有效性基本一致。③数据治理主体内容高度契合。CDGM包含数据战略、数据管理、数据质量、数据操作、数据架构、数据安全和隐私保护6个职能域,《指引》则包含数据治理架构、数据管理、数据质量控制、数据价值实现4个主体章节。
图2CDGM实施框架
表1 《指引》与CDGM比较
2.2.2 不同之处
CDGM与《指引》的不同之处是:①适用性差异。《指引》是面向行业的数据治理指南,CDGM则是面向全行业的通用数据治理指南,可以实现对具体行业的量体裁衣。②功能性差异。《指引》是由监管机构发布的带有行政指令性质的指南,强调数据治理的重要性,以结果为导向。CDGM是由第三方专业机构开发的数据治理体系,以解决问题为导向,以帮助组织建立数据治理体系为目标,以数据治理能力成熟度等级评价为手段,持续提高组织数据治理能力。虽然《指引》与CDGM的出发点不同,但是,目标方向是一致的。银行业金融机构可以在《指引》的要求下,借鉴CDGM,结合各自情况,建立最适宜的数据治理体系,并利用外方专业的数据治理持续改善组织数据治理能力。
3 结束语
《指引》为银行业金融机构开展数据治理提供了目标和根本途径,但由于是政府部门的监管文件,它无法为读者提供过多的解释性内容。本文从专业的视角为《指引》梳理了10个关键词,以期帮助读者更加深入、全面地了解其内容。同时,本文将《指引》与CDGM进行了对比分析,以帮助银行业金融机构利用CDGM模型构建数据治理体系,提高数据质量,充分发挥数据价值,提升经营管理水平,满足金融机构的监管要求。