从监管层面来看,自2018年银保监会下发《银行业金融机构数据治理指引》(以下简称《指引》)以来,该《指引》为商业银行搭建完善的数据治理体系提供了指导。
一
Part
我国银行业金融机构数据治理现状
从2020年到2022年最近三年中,仍有很多银行因数据质量问题受到监管处罚,如:
2020年5月9日,中国银保监会披露一批罚单,包括6家国有大行,2家股份制银行在内的8家银行被罚了1770万元。被罚原因是,监管标准化数据(EAST)系统数据质量及数据报送存在违法违规行为。
2021年的监管处罚中,因“未按规定向监管提供资料或报送信息不及时/错报/漏报”而受处罚达到了247次。
2022年3月25日银保监会官网发布了对政策性银行、国有大型银行、股份制银行等共21家银行机构的EAST数据质量专项检查的情况和处罚决定,处罚金额合计8760万元。
经初步统计分析发现,监管数据出现的问题主要体现在以下几个方面:
(一)数据漏报:资金交易信息漏报、理财产品数量漏报、信贷资产转让业务漏报、贷款核销业务漏报、不良货款余额数据漏报、贸易融资业务数据漏报、抵押物价值数据漏报、债券投资业务数据漏报、权益类投资业务数据漏报、跟单信用证业务数据漏报、贷款承诺业务数据漏报、保函业务数据漏报等。
(二)数据错报:货款承诺业务数据错报、信贷资产转让业务数据错报、跟单信用证业务数据错报、保函业务数据错报、EAST系统《表处授信业务》表错报等。
(三)数据未报:分户账明细记录应报未报、分户账账户数据应报未报的情况、委托贷款业务应报未报等。
(四)数据核验偏差:信贷资产转让业务数据存在偏差、银行承兑汇票业务EAST数据存在偏差、抵押物价值EAST数据存在偏差、贸易融资业务EAST数据存在偏差、贷款核销业务EAST数据存在偏差、不良贷款余额EAST数据存在偏差、公募基金投资业务EAST数存在偏差、其他担保类业务EAST数据存在偏差等。
二
我国数据治理监管精细化发展历程
自2011年原银监会发布《银行监管统计数据质量管理良好标准(试行)及实施方案的通知》以来,各银行纷纷开始建设监管数据治理体系。
2018年,银保监会下发了《银行业金融机构数据治理指引》,在数据治理架构、数据管理、数据质量控制等五方面提出明确要求,并对数据治理进行了定义。
2020年银保监会下发《关于开展监管数据质量专项治理工作的通知》,要求各银行开展监管数据质量专项数据治理工作,各地银保监局随后下发配套文件《监管统计数据质量评估模板》,从组织架构、制度建设、系统保障和数据标准、数据报送存储和共享应用、数据质量控制五大评估要素展开。通过各评估要素的具体要求,各商业银行对数据治理工作的开展有了更明确的目标和方向。
2021年银保监会发布《商业银行监管评级办法》,将“数据治理”纳入了评价体系,权重占比5%,这意味着数据治理正式成为了商业银行风险监管的评价指标,银行业数据治理迈入了“严监管”阶段。
2022年,银保监会在《关于印发2022年银行保险机构股权和关联交易专项整治工作要点的通知》中再次强调,银行保险机构要提高数据报送质量,对于反复出现数据错报、漏报、瞒报的责任人要实施内部问责;《银行保险监管统计管理办法(征求意见稿)》,明确要求银行保险机构应将本单位监管统计工作纳入数据治理范畴,明确机构法定代表人或者主要负责人对数据质量负责。
《中国银保监会办公厅关于银行业保险业数字化转型的指导意见》中更是提出“健全数据治理体系。制定大数据发展战略。确立企业级的数据管理部门,发挥数据治理体系建设组织推动和管理协调作用。完善数据治理制度,运用科技手段推动数据治理系统化、自动化和智能化。完善考核评价机制,强化数据治理检查、监督与问责。加强业务条线数据团队建设。”数据治理建设已经是推进数字化转型,建设数字中国的重要组成部分之一。
金融机构的数据治理能力在从2011年监管发布《数据质量管理良好标准》至今,经过十多年的不断打磨和淬炼,部分金融机构已经取得了较好的实践效果,但从数据质量、数据管理能力、数据价值应用等方面来看,各金融机构还需要结合各自实际情况,不断地积累经验,深化落实监管要求,提升数据能力建设。
三
我们本次仅从银行数据治理合规的角度对《指引》进行解读,然而合规只是管理的底线,各金融机构开展数据治理体系建设满足合规要求的同时,还需要研究、探索数据治理方法论和适合自身业务运营与发展情况的最佳实践。
GB/T36073-2018
国家标准《数据管理能力成熟度评估模型》包含数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准、数据生命周期等8个能力域,以及数据战略规划、数据战略实施、数据战略评估等28个能力项。该标准相对全面地定义了数据管理活动框架,各企业可参考该标准构建金融机构数据管理能力评估体系,提升数据管理能力。
GB/T34960.5-2018
国家标准《信息技术服务治理第5部分:数据治理规范》的数据治理框架对数据治理的工作内容进行了较为详细的描述,进一步给出了数据治理的定义,明确了数据治理的目标、任务和框架。该标准提出,数据治理是“源于组织的外部监管、内部数据管理及应用的需求”;数据治理的目标是“保障数据及其应用过程中的运营合规、风险可控和价值实现”;数据治理的任务是“组织应通过评估、指导和监督的方法,按照统筹和规划、构建和运行、监控和评价以及改进和优化的过程,实施数据治理的任务”;数据治理框架包含顶层设计、数据治理环境、数据治理域和数据治理过程。
DAMA
DAMA数据管理知识体系是由国际数据管理协会开发的一套数据管理框架,DAMA通过对业界数据管理最佳实践进行分析总结,建立了由数据治理、数据架构、数据建模和设计、数据存储和操作、数据安全、数据集成和互操作、文档和内容管理、参考数据和主数据管理、数据仓库与商务智能、元数据管理、数据质量管理等11个数据管理职能领域和目标与原则、组织与文化、工具、活动、角色和职责、交付成果、技术等7个基本环境要素,这些共同构成DAMA数据管理知识理论框架体系。
DGI
国际数据治理研究所(TheDataGovernanceInstitute,DGI)于2004年提出了数据治理框架(DataGovernanceInstitute,DGI),DGI框架主要围绕着企业数据治理的目标、需求出发,从数据治理组织、数据治理目标、数据治理流程等方面展开,指导企业实现数据价值。
四
数据治理指引主要内容解读
(一)数据治理的定义与框架
从定义来看,《指引》把“数据治理”描述为:银行业金融机构通过建立组织架构,明确董事会、监事会、高级管理层及内设部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。简而言之,数据治理是组织为确保数据资产发挥最大化价值的一整套机制、过程和方法。数据治理作为公司治理的重要组成部分,应当在组织范围内建立自上而下、协调一致的数据治理体系。
从结构来看,《指引》分为七章,共五十五条,分别从数据治理架构、数据管理、数据质量、数据价值、监督管理五个方面对数据的管控与应用做出了明确要求,其目的是为了更有效实现金融机构的新时期业务战略。
总体框架
(二)数据治理部门
数据治理战略的实施过程,一方面是企业关于总体战略的重构和调整的过程,另一方面是组织与员工思维转变和行动调整的过程。本《指引》对“数据治理“的定义可以看出,构建自上而下的治理架构,是保证数据治理战略有效落地的重要因素之一。
在启动数据治理工作之时,金融机构需要做好顶层设计,组建统筹数据治理工作的委员会,指定数据治理主管部门,建立由数据治理委员会、数据治理主管部门、业务管理部门和分支机构组成的三层组织架构作为数据治理的第一道防线。
其中,承担数据治理工作的委员会需要由银行领导担任,统一领导数据治理的工作;数据治理委员会下辖的数据治理主管部门,负责商业银行数据治理工作的综合管理工作,统筹全行数据治理体系建设;各业务部门、分支机构负责本业务线、本机构的数据治理。
风险管理部门承担第二道防线的职能,组织开展数据治理评估、监测、控制等工作,监督数据治理执行情况;审计部门承担第三道防线的职能,负责制定数据治理审计制度和审计方案,组织开展数据治理审计工作。
金融机构的数据治理组织架构示例图
(三)数据治理制度
(四)数据治理考核机制
考核是驱动高质量、高效能的手段,本《指引》“第三十四条银行业金融机构应当建立数据质量考核评价体系,考核结果纳入本机构绩效考核体系,实现数据质量持续提升。”
《商业银行监管评级办法》将数据治理纳入了监管评价体系,权重占比5%,从中可见,数据治理同时也作为商业银行风险监管的评价指标之一,所以第三十四条的有效落实是提高商业银行数据治理监管评级的重要保障,商业银行应将数据质量评估结果纳入全行绩效考核体系,明确其在全行考核体系中的目标与定位。
考核体系设计方面应以充分调动全体员工在数据治理工作方面的积极性和主动性为核心,做到考核和激励同行,惩罚和奖励并重,考核指标应当科学合理、定性和定量相结合。
对于决策层,考核应注重数据治理整体实施成效以及资源保障情况;对于管理层,考核应注重数据治理管理控制手段及数据治理制度体系建设情况;对于执行层,考核应注重数据治理要求实际落实执行情况,包括数据治理系统建设情况、数据质量要求遵循情况等。
(五)业务部门数据治理职责
银行业是数据驱动型行业,在提供金融服务的过程中,积累了大量的用户数据、交易数据以及外部数据,商业银行通过对所积累的数据进行数据挖掘、分析和应用,赋能业务的发展,辅助管理决策、开展智能风控。在此背景下,为真正有效地确保数据质量,除了大数据、人工智能等新技术应用,数据源头严格控制也至关重要。
本《指引》中第十三条、第十四条、第十九条、第三十条、第三十一条、第四十七条均对业务部门在数据治理方面的工作职责提出了要求,以上条款与《关于银行业保险业数字化转型的指导意见》中“加强数据源头管理,形成以数据认责为基础的数据质量管控机制。”也做了很好的呼应。
应建立数据治理专岗或兼职岗位的业务部门包括但不限于:
(六)数据标准
数据标准管理是通过商业银行统一的元数据模型,建设元数据驱动的数据标准管理机制,实现业务到IT语义的转换,提高业务和IT之间的一致性。数据标准化是“书同文,车同轨”的过程,可以帮助商业银行把数据转化为银行资产。
本《指引》第二十条提到“银行业金融机构应当建立覆盖全部数据的标准化规划,遵循统一的业务规范和技术标准。数据标准应当符合国家标准化政策及监管规定,并确保被有效执行。”《JR/T0105-2014银行数据标准定义规范》中给出了数据标准的定义“对数据的表达、格式及定义的一致约定,包括数据的业务属性、技术属性和管理属性的统一定义。”
《指引》第三十条提出“银行业金融机构各项业务制度应当充分考虑数据质量管理需要,涉及指标含义清晰明确,取数规则统一,并根据业务变化及时更新。”数据标准分为基础数据标准和指标数据标准两部分,数据标准生命周期涉及到建标、修标、弃标、评标四个阶段。商业银行在数据标准建设方面,需要做好“五个统一”,为银行数字化转型提供基础保障。
(七)数据质量
数据质量和数据标准是相辅相成的,本《指引》第三十一条提出“银行业金融机构应当加强数据源头管理,确保将业务信息全面准确及时录入信息系统。信息系统应当能自动提示异常变动及错误情况。”《指引》第三十二条提出“银行业金融机构应当建立数据质量监控体系,覆盖数据全生命周期,对数据质量持续监测、分析、反馈和纠正。”银行可以通过数据质量检核来评估数据标准落地效果,同时数据质量管理需求驱动着数据标准的逐步完善。
数据质量问题会发生在系统建设的各个阶段,因此需要明确各阶段的数据质量管理流程,下图是根据行业实践制定的数据质量管理流程供商业银行参考:
数据在数字化过程中,既是产品也是原料,本《指引》第二十九条提出“银行业金融机构应当确立数据质量管理目标,建立控制机制,确保数据的真实性、准确性、连续性、完整性和及时性。”数据的质量管理,在企业内部,一线员工和管理者既是数据的供给端也是数据的消费端,决策层在企业内部是数据的消费端,对于企业外部来讲,又是数据的供给端的代表。下图是商业银行决策层、管理层和执行层在作为数据供给端和消费供给端不同角色时,对数据质量需求的差异化表现。
(八)数据价值实现
本《指引》单独把数据价值实现作为一个独立的章节,可见监管对数据价值释放的重视,其中第三十八条提到“银行业金融机构应当在风险管理、业务经营与内部控制中加强数据应用,实现数据驱动,提高管理精细化程度,发挥数据价值。”
第四十八条“银行业金融机构应当充分运用大数据技术,实现业务创新、产品创新和服务创新。”业务创新、产品创新和服务创新这三个应用领域与银行金融本质、战略转型与精细化管理关联较为密切,该条与《JRT0237—2021金融大数据平台总体技术要求》要求相呼应,《JRT0237—2021金融大数据平台总体技术要求》要求商业银行应“通过金融大数据平台改善银行业金融机构与客户之间的交互模式,为客户提供增值服务,不断增强银行业金融机构核心竞争力,增强客户粘性。
银行业金融机构可将客户行为转化为信息流,分析客户的个性特征和偏好,更深层次地理解客户的交互习惯,为用户画像,智能化分析和预测客户需求,从而进行产品创新和服务优化。”由此可见,大数据技术是商业银行产品创新的必经之路。
五
商业银行数据能力建设
确保数据质量的合规是银行业金融机构的基本要求,而通过提高数据治理能力来促进组织数据价值的最大化释放,才是提升数据质量管理的最终目的。以下提出一些提升数据治理能力的良好实践供参考。
(一)制定数据战略,全面助力银行业务发展和数字化转型升级
在此,提出一个如下图所示的“3551+”数据能力建设战略发展蓝图供参考。
对“3551+”数据能力建设战略发展蓝图的解读如下:
3大数据价值释放:提升精准营销、智能风控、辅助决策的科学管理和市场竞争策略,释放数据动能,使数据管理能力不仅满足监管要求和商业银行业务发展要求,同时具有高度的管理意义和价值创造功能。
5个数据治理维度:搭建商业银行数据管理能力“五维空间”模型,聚焦数据组织、数据制度、数据文化、数据资产、数据安全的思维转变和行动能力变革,优化商业银行组织架构、管理政策流程和数字化业务流程,营造商业银行数据文化和安全合规意识,盘活数据资产,为商业银行业务发展赋能。
1个工具平台:建设大数据管理平台,运用先进的科技、互联网的思维、大数据的理念,推动商业银行数据管理思维和管理能力的现代化。
+多方数据融合:内外部数据深度融合,结合外部监管数据、金融市场数据和商业银行内部数据赋能客户营销、风险应对、管理决策,推动商业银行数据管理能力创新升级。
(二)精准营销,提升客户服务质量
客户是银行的重要资源,建立“以客户为中心”是商业银行的重要战略。为了向客户提供更好的服务,实现精准营销,银行通过数字化手段,采集数据信息,将广泛分散在不同渠道的客户数据集中起来进行有效利用。
例如,在银行的APP应用内部,通过千人千面的客户画像,利用强大的计算能力和大数据预测技术,为客户提供个性化、专业化的功能展示和推送,发掘客户的需求点,减少客户在APP应用内的寻找成本。
下面是新卡营销活动的业务应用场景中,营销活动策划人员、数据分析人员、数据开发人员、应用开发人员等不同角色利用大数据平台提供的能力和服务,将数据采集整合加工、业务数据探索和分析、业务系统对接工作等基于大数据平台形成闭环。
(三)高质量数据,赋能实时风控水平
根据《银行业金融机构全面风险管理指引》提出银行业金融机构涉及的“各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。”其他风险包括但不限于集中度风险、洗钱风险、新产品新业务风险以及模型风险等。高质量的数据是风险管理决策和报告最重要的基础,它们为高效、准确的风险管理体系提供保障。
(四)引入大数据技术,实现产品创新和服务创新
产品是商业银行业务发展的核心竞争力之一,是发展普惠金融,服务实体经济,打开国际市场的重要保障,《银行业金融机构数据治理指引》要求“银行业金融机构应当充分运用大数据技术,实现业务创新、产品创新和服务创新。”
《JRT0237—2021金融大数据平台总体技术要求》要求商业银行应“通过金融大数据平台改善银行业金融机构与客户之间的交互模式,为客户提供增值服务,不断增强银行业金融机构核心竞争力,增强客户粘性。
银行业金融机构可将客户行为转化为信息流,分析客户的个性特征和偏好,更深层次地理解客户的交互习惯,为用户画像,智能化分析和预测客户需求,从而进行产品创新和服务优化。”银行需要利用大数据挖掘技术对银行拥有的内外部数据进行分析,发现市场热点与需求,实现产品创新和服务创新。
(五)加强数据治理和应用,提升财务管理效率
商业银行各机构管理相对独立,而且各分支机构与外部多家公司有业务合作关系,分行向总行传递数据时,如果出现数据格式不统一、信息传递不同步等问题,将导致总行财务管理变得异常复杂。全行通过落地数据治理战略,可以提升银行财务管理效率,特别在财务数据收集与处理环节效果显著,通过对各种财务数据的统一收集、提取与加工,可以保证银行财务数据的统一性、一致性、共享性与及时性;处理数据水平的质量与效率直接影响着成本核算、预算管理、风险管理、战略制定等后续工作的展开。
(六)强化数据治理效果,赋能数字化运营场景
随着数字化转型步伐加速推进,数字化赋能运营已经成为商业银行重要的战略目标之一,商业银行以搭建客户为中心的数字化运营体系为核心,通过数据治理深度挖掘客户需求,助推业务流程再造,实时开展风控,快速提升获客、活客和粘客能力和数字化运营效率和效果。
(七)打造可量化可描述的绩效数据,激发员工动能
通过定性指标和定量指标相结合的方式开展绩效管理是企业通用策略,定性指标的作用是进行多维度评价,定量指标的作用是使绩效评价结果更有说服力,总之可量化、可描述的绩效数据不但能提升绩效管理水平,而且能够更好地激发员工动能。银行可以在建设大数据的基础上,打造绩效管理平台,支持事前预测、事中考核、事后分析的全生命周期的闭环管理,实现多维度、多指标、全过程的组合评价,形成有效的正向激励。
(八)强化数据质量,辅助管理决策
数据驱动型决策的定义是使用事实、指标和数据来指导与组织目标、追求和计划一致的战略业务决策。商业银行需要构建科学管理的数据应用决策体系,建立面向大数据管理决策的知识关联分析与知识图谱,建立数据应用与管理决策的良性工作机制,提升各层级、各条线人员对数据管理重要意义的认知,积累培养兼具业务经营管理与信息科技知识的复合型人才。
六
结语
《指引》发布以来,部分银行已将数据治理纳入银行的战略规划当中,力求在满足监管合规的基础上,在精准营销、智能风控、管理决策等方面释放数据价值,为银行业务发展赋能。
但从这几年的情况来看,整个银行业的数据治理现状并不乐观,存在的典型问题是:一是部分银行的数据治理体系成熟度不足,数据治理体系建设在组织、职责和手段上并没有落到实处;二是数据质量管理体系建设仍不完善,数据质量存在缺陷,对数据处理和数据流动的安全管理不到位,重要数据泄露、数据质量违规事件时有发生;三是数据能力建设与数据应用明显不足,数字技术与业务的深度融合仍不到位,数据支持业务创新的能力不足。
2022年是银行数字化转型的推动年,数据治理是数字化转型的重要基础保障,虽然《指引》已经发布四年,但当前继续落实《指引》的监管要求,进一步提升组织数据治理水平仍具有重要意义。
作者结合长年服务于金融机构所看到的问题及积累的经验,对《指引》进行重新解读是为了给当前银行业金融机构在数据治理方面提出一些优化建议。数据合规当然重要,但自身数据治理能力真正提高才是促进数字化转型成功的基础。希望我们的一点经验与思考能给大家带来启发与共鸣!
作者简介
王志超,谷安天下金融审计负责人,10多年的信息安全、科技风险、科技审计、业务连续性、科技外包、数据治理、金融科技等咨询及审计服务经验,获得CISA、COBIT、CDPSE、CCSK、TOGAF、ISO22301LI等证书,熟悉银行业、保险业、证券业、大型央企的科技管理风险与应对措施,对科技外包、业务连续性、数据治理、大数据、人工智能、数字化转型等领域均有着较为深入的研究,多次与银行共同参与银保监会组织的信息科技风险管理课题研究,并获得多个奖项。
周颖,谷安天下咨询经理,10多年的金融业信息科技咨询及审计工作经验,获得CISA、CISP、PMP、ISO27001、COBIT、ITIL等证书,熟悉金融业的各项业务流程和风险要点,熟悉行业监管及地方监管标准,对敏捷开发、重要系统效能、数据治理、数据安全、数字化转型等领域均有着较为深入的研究。