张红兆

（华夏银行股份有限公司，北京 100005）

1 引言

随着数字经济浪潮席卷全球，数据成为新的生产要素，商业银行纷纷加强顶层设计，开展数据治理工作，加速推进数字化转型。人民银行、国家金融监督管理总局先后发布《银行业金融机构数据治理指引》（以下简称《指引》）《金融科技发展规划》《关于银行业保险业数字化转型的指导意见》等监管文件，推动商业银行建立健全数据治理体系，规范数字化转型工作。如何通过内部审计赋能数据治理工作，成为商业银行内部审计部门面临的创新性工作和挑战性课题。

2 内部审计与数据治理的概念

2.1 内部审计

内部审计定义众多，国内外诸多机构如国际内部审计师协会、审计署、中国内部审计师协会、国家金融监督管理总局等均对内部审计进行了定义，各个定义表述有所差异，但内涵基本相同。以中国内部审计协会和国家金融监督管理总局的定义为例，前者在《第1101 号——内部审计基本准则》中对内部审计进行了定义，后者结合商业银行经营特点，在《商业银行内部审计指引》中对内部审计概念进行了诠释。两者都强调内部审计的独立、客观性，以系统化、规范化的方法为审计手段。审计活动方面，前者将内部审计划分为确认和咨询两类活动，后者将内部审计划分为监督、评价和咨询三类活动。审计事项方面，前者将审计事项分为业务活动、内部控制和风险管理三类，后者将审计事项分为业务经营、风险管理、内控合规和公司治理四类。审计目标方面，前者的目标为推动组织机构完善治理、增加价值和实现目标，后者的目标为推动商业银行业务稳健经营和实现价值提升。本文以后者对内部审计的定义展开研究工作。

2.2 数据治理

数字时代，数据治理的概念被广泛研究。国际上，国际数据治理研究所（DGI）和国际数据管理协会（DAMA）对数据治理的定义得到广泛引用，国内也有多种不同定义。各个数据治理定义中，普遍包括治理架构、治理活动、治理过程和治理目标等内容。本文研究的数据治理，以《指引》中的定义为依据。治理架构方面，建立董事会、监事会、高级管理层及内设部门参与的组织架构，并明确职责要求。治理活动方面，制定系统化的制度、流程和方法。治理过程方面，依据制度、流程和方法实施数据治理，为数据统一规范管理、高效稳定运行提供保障。治理目标方面，充分挖掘数据价值，促进经营管理提升。

3 内部审计与数据治理的关系

商业银行内部审计与数据治理关系密切，二者互相影响，互相促进。

3.1 两者都是公司治理的有机组成部分

《商业银行内部审计指引》中规定，商业银行内部审计机构应由董事会直接管理，确保独立性和垂直性。董事会负责配备审计人员，批准审计章程、规划和计划，提供预算和必要的工作保障。董事会作为公司治理的重要组成部分，其负责的内部审计工作也应是公司治理的有机组成部分。同时，《指引》中也明确提出，商业银行公司治理应包括数据治理工作，商业银行应建立与之适应的数据治理体系，数据治理工作开展情况与公司治理评价结果或监管评级挂钩。因此数据治理也是商业银行公司治理的有机组成部分。

3.2 内部审计是数据治理的有力保障

数据治理作为商业银行提升治理现代化的重要路径，其价值日益显现。数据治理能帮助商业银行更好地管理数据，降低数据使用成本，提升数据使用价值。通过建立企业级数据治理架构，推动商业银行打破信息孤岛，疏通信息烟囱，数据由部门级向企业级整合，助力公司治理决策精准化、科学化、智能化。随着数据治理工作的不断推进，数据治理的组织架构、体制机制、方式方法、人才队伍、系统建设等方面的不足逐步显现。《商业银行内部审计指引》要求，对公司治理的健全性和有效性开展审计。数据治理作为公司治理的有机组成部分，也应纳入内部审计监督范围，数据治理审计作为内部审计的创新领域，将成为解决数据治理难题、推动数据治理持续深入开展的有力保障。

3.3 数据治理反哺内部审计转型发展

随着商业银行数据治理工作的不断推进，将持续反哺内部审计数字化转型发展。企业级数据治理架构的建立，董事会、监事会、高级管理层的全面参与，为内部审计使用业务数据提供了组织保障。数据治理覆盖业务经营、风险管理和内部控制流程中的全部数据，为内部审计监督全覆盖提供了数据保障。商业银行统一管理数据采集，制定信息系统间数据传输的标准和流程，为内部审计共享使用各类业务数据提供了有力支持。企业级数据标准和指标的制定，统一的业务规范和技术标准，取数规则的明晰统一，数据质量的有效控制，确保了内部审计使用数据的完整性、准确性和及时性。

4 内部审计赋能商业银行数据治理的工作模式分析

《指引》对商业银行三道防线的职责均进行了明确和规定。数据治理归口管理部门、各业务部门及分支机构作为第一道防线，是数据治理建设的主体，承担的工作包括管理层面的数据治理体系和数据治理文化，实施层面的数据标准、信息系统、数据安全等，评价层面的质量控制、现场检查、考核评价等。内部控制、合规管理部门和数据治理专设机构作为第二道防线，是数据治理自评估的主体，应建立自评估工作机制，并按年向银行业监督管理机构报送。内部审计部门作为第三道防线，应根据自身工作职责定位，结合监管委托或要求，站在独立第三方视角，审视数据治理工作，从监督、评价、咨询3 个层面发挥作用，促进商业银行数据管理水平的提高和数据质量的提升。

4.1 独立开展审计监督，促进数据治理依法合规

商业银行属于信息密集型企业，多年经营发展积累了海量数据，随着业务的快速创新，数据增长呈现加速态势。如何合法合规管理运用数据，成为数据治理工作的前提和基础。对此，《指引》进行了明确规定，商业银行应依法合规采集、应用数据，依法保护客户隐私，涉及到个人客户信息的，还应遵循个人信息保护相关法律法规的要求，符合与个人信息安全相关的国家标准。当前，相关政策规范日益完善，信息保护“三驾马车”《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》全面实施，行业规范《金融数据安全数据安全分级指南》《金融数据安全数据生命周期安全规范》《个人金融信息保护技术规范》等深入推进。内部审计作为独立第三方，通过开展数据治理专项审计，对商业银行的数据安全策略与标准、数据安全等级划分，数据使用访问权限控制，数据安全技术等进行检查，能有效促进各层级数据治理主体提升合规意识，在法律规范框架下开展数据治理工作。

4.2 客观开展审计评价，促进数据治理持续改进

数据治理涉及范围广、流程长、影响面大，是一项需要长期推进、持续开展的工程。当前，商业银行数据治理工作不同程度地推进到攻坚期和深水区，许多痛点问题逐渐显现，迫切需要解决。即使一道防线、二道防线建立了自我评估机制，如何自我剖析、主动发现、协同解决这些难题，仍道阻且长，面临重重困难。作为第三道防线的内部审计部门，既熟悉商业银行的整体情况，又能独立客观开展审计监督和评价工作，在推动数据治理难题解决上将发挥重要作用。内部审计部门对商业银行数据治理工作评估，包括对数据治理工作开展情况的再评估，对第一、二道防线管理措施有效性的再评估和数据治理整体有效性的再评估。通过全面发现存在的痛点问题，如流程薄弱环节、数据管理漏洞、数据标准缺陷、数据质量问题等，深入挖掘问题根源，客观梳理职责分工，推动数据治理相关部门加强协同、深化合作，共同解决治理难题。同时，建立闭环式整改跟踪机制，促使相关部门及时采取措施整改落实。通过有效发挥审计的问题揭示和鉴证评价功能，不断提高商业银行数据治理水平。

4.3 主动开展审计咨询，促进数据治理价值提升

根据《商业银行内部审计指引》规定，内部审计部门不直接参与各项经营活动，但有权获取与审计有关的信息，列席或参加与内部审计职责有关的会议、培训，检查各类经营机构的各项业务和管理活动。内部审计部门通过全面获取全行数据在内部控制、业务经营和风险管理中的数据运用情况，结合数据治理监督评价工作，充分利用自身专业优势，主动提出审计咨询建议，促进数据治理价值提升。内部控制方面，督促商业银行识别内控缺陷，完善内控机制，量化影响程度，不断提升内控有效性。业务经营方面，促进商业银行加强数据积累，深挖数据价值，创新业务产品，精准服务客户，提升经营质效。风险管理方面，推动商业银行充分运用数据分析，合理制定风险策略，持续改善风险管理方法，提升风险管理体系的有效性。

5 内部审计赋能商业银行数据治理的工作方法探究

内部审计部门在赋能商业银行数据治理工作过程中，应不断探究工作方法，充分发挥审计价值，促进数据治理工作增值创效。笔者结合自身实践，提出3 个方面的工作思路，分别是营造良好的审计监督环境、全面推进数字化审计转型和建立体系化监督评价模式。

5.1 营造良好的审计监督环境

良好的审计监督环境是顺利开展内部审计工作的基础。一方面，内部审计部门应由商业银行董事会垂直管理，董事会应为内部审计工作提供必要保障，确保内部审计体系的独立性。加强审计委员会的作用，探索设立总审计师或首席审计官，做好内部审计部门与工作合作部门之间的顺畅沟通和关系融洽，确保内部审计工作的有效性和权威性。另一方面，商业银行应当加强顶层设计，搭建董事会、监事会和高级管理层全面参与的数据治理架构，明确数据治理第一、二、三道防线的职责边界。与数据治理工作相关方，就内部审计部门在数据治理中的工作模式和推动作用达成共识。

5.2 全面推进数字化审计转型

商业银行数据治理工作在给内部审计带来新挑战的同时，也为内部审计的转型发展创造了前所未有的机遇。内部审计部门应主动应变，充分运用数据治理成果和大数据技术，全面推进数字化审计转型。依据企业级数据治理规划，制定内部审计数据管理和使用规划，与企业级数据治理同步推进。规划初期，立足审计视角，在盘点全行数据资产的基础上，全面梳理内部审计工作的内外部数据需求，建成审计专用数据集市。规划中期，引入企业级技术平台工具，强化数据应用，开展数据治理相关的数据分析、模型开发和指标建设，以数字化方式开展数据治理审计工作。规划末期，引入文本分析、语言识别、图像挖掘、知识图谱等创新技术，聚类分析、神经网络、深度学习等智能算法，搭建体系化数据治理分析框架，模型体系和监测体系，使数字化贯穿数据治理审计全流程。

5.3 建立体系化监督评价模式

近年来，监管部门不断强化数据治理监管要求，通过对商业银行开展监管数据质量检查工作，发现监管数据报送和数据质量中的违法违规行为，并加大处罚与整治力度。内部审计部门作为商业银行内部防线防控的第三道防线，应紧跟监管环境变化，以监管要求为基础开展数据治理审计工作。由于数据治理体系涉及的难题多、内容广、范围大、流程长，数据治理审计作为创新审计领域，形成规范化、体系化的模式需要较长周期。建议按照专项审计、定期评价和咨询服务的顺序逐步推进，分阶段实施，最终形成以审促治，审治并举的良性循环和闭环机制。专项审计方面，应兼顾全面性和重要性，全面覆盖数据治理架构、数据管理、数据质量控制和数据价值实现四大项内容，重点审计治理体系、数据质量、交叉验证和业务流程等监管关注事项，及时发现存在的问题。定期评价方面，数据治理相关机构按季向内部审计部门提供过程性材料和阶段性成果，内部审计部门与数据治理规划对标对表，纵向与前期成果比对分析，横向各部门、分支机构间比对分析，并跟进前期问题解决情况，出具评价分析报告。咨询服务方面，内部审计部门充分运用各类数字化技术和智能化算法，发现潜在的风险隐患，实施前瞻性预测分析，形成数据治理工作建议和咨询报告，为高级管理层决策提供依据。

6 结语

商业银行数据治理的目标是实现数据资产的统一规范管理，高效稳定运行，深挖数据价值，促进业务稳健经营和持续发展。本文从内部审计视角对推动商业银行数据治理实施，实现数据治理目标的工作模式进行了分析，工作方法进行了探究。银行业金融机构在数据治理审计监督工作中可以借鉴运用上述工作模式和工作方法，并根据自身业务发展和技术创新持续完善改进。