從關鍵詞角度解讀《銀行業(yè)金融機構數(shù)據(jù)治理指引》＊

程廣明，劉小茵

（工業(yè)和信息化部電子第五研究所，廣東 廣州 510610；廣州賽寶認證中心服務有限公司，廣東 廣州 510610）

1 《銀行業(yè)金融機構數(shù)據(jù)治理指引》解讀

1.1 關鍵詞一：明確適用對象

《指引》適用于中華人民共和國境內(nèi)經(jīng)銀行業(yè)監(jiān)督管理機構批準設立的銀行業(yè)金融機構，包括在中華人民共和國境內(nèi)設立的商業(yè)銀行、農(nóng)村信用合作社等吸收公眾存款的金融機構、政策性銀行以及國家開發(fā)銀行。

《中華人民共和國銀行業(yè)監(jiān)督管理法》中所稱的“銀行業(yè)金融機構”，是指在中華人民共和國境內(nèi)設立的商業(yè)銀行、城市信用合作社、農(nóng)村信用合作社等吸收公眾存款的金融機構以及政策性銀行。

城市信用合作社已經(jīng)轉(zhuǎn)為了地方商業(yè)銀行，所以，《指引》不再提此概念，但特別提出了國家開發(fā)銀行。國家開發(fā)銀行原屬于政策性銀行，在2008年改制為股份制銀行。在此需要指出的是，基于互聯(lián)網(wǎng)的網(wǎng)絡銀行也屬于吸收公眾存款的商業(yè)銀行，也屬于《指引》的適用對象。

1.2 關鍵詞二：數(shù)據(jù)治理內(nèi)涵

《指引》這樣定義：數(shù)據(jù)治理，是指銀行業(yè)金融機構通過建立組織架構，明確董事會、監(jiān)事會、高級管理層及內(nèi)設部門等職責要求，制訂和實施系統(tǒng)化的制度、流程和方法，確保數(shù)據(jù)統(tǒng)一管理、高效運行，并在經(jīng)營管理中充分發(fā)揮價值的動態(tài)過程。

組織架構，強調(diào)貫穿上下的組織架構的管理職責在數(shù)據(jù)治理中的根本性作用；數(shù)據(jù)治理需要制訂和實施系統(tǒng)化的制度、流程和方法；數(shù)據(jù)治理的目標是確保數(shù)據(jù)統(tǒng)一管理、高效運行，并在經(jīng)營管理中充分發(fā)揮價值；數(shù)據(jù)治理是一個動態(tài)過程，不是一勞永逸的工作，需要建立持續(xù)改進的動態(tài)優(yōu)化過程。

1.3 關鍵詞三：四大基本原則

《指引》中明確了銀行業(yè)金融機構數(shù)據(jù)治理的全覆蓋、匹配性、持續(xù)性、有效性四大基本原則。其中，全覆蓋原則體現(xiàn)在以下4個方面：①全生命周期，即數(shù)據(jù)的產(chǎn)生、存儲、傳輸、共享、使用、歸檔、銷毀等環(huán)節(jié)；②全類型，包含業(yè)務經(jīng)營、風險管理和內(nèi)部控制等過程中的數(shù)據(jù)；③全范圍，既包括內(nèi)部數(shù)據(jù)，又包括外部數(shù)據(jù)，特別提出監(jiān)管數(shù)據(jù)，金融機構應當為行業(yè)監(jiān)管提供數(shù)據(jù)支撐；④全組織，要覆蓋金融機構所有的分支機構和附屬機構。

全覆蓋原則體現(xiàn)了《指引》第四條自上而下的數(shù)據(jù)治理體系；持續(xù)性原則體現(xiàn)了第三條對數(shù)據(jù)治理定性為動態(tài)過程的概念；而有效性原則反映了數(shù)據(jù)治理的目標不僅僅是管理好數(shù)據(jù)，而是要突出數(shù)據(jù)在經(jīng)營管理中的作用。

1.4 關鍵詞四：數(shù)據(jù)治理架構

《指引》要求銀行業(yè)金融機構應當建立組織架構健全、職責邊界清晰的數(shù)據(jù)治理架構，明確董事會、監(jiān)事會、高級管理層和相關部門的職責分工，建立多層次、相互銜接的運行機制。圖1展示了《指引》提出的數(shù)據(jù)治理組織架構。

圖1 《指引》要求的數(shù)據(jù)治理架構

董事會：銀行業(yè)金融機構內(nèi)數(shù)據(jù)治理最高管理層，承擔最終責任。

監(jiān)事會：監(jiān)督、評價董事會和高級管理層。

高級管理層：負責建立數(shù)據(jù)治理體系，具體承擔數(shù)據(jù)治理任務。

首席數(shù)據(jù)官：專職負責數(shù)據(jù)相關的高級管理者，但是否納入高級管理層要視金融機構經(jīng)營狀況確定。如果要納入，應符合相關行政許可事項的要求。

授權歸口管理部門：牽頭負責實施數(shù)據(jù)治理體系建設，設立滿足工作需要的專職崗位。

業(yè)務部門：負責本業(yè)務領域的數(shù)據(jù)治理任務，配合歸口管理部門落實數(shù)據(jù)治理體系建設，設置專職或兼職崗位。

1.5 關鍵詞五：加強統(tǒng)一管理

統(tǒng)一管理是實現(xiàn)數(shù)據(jù)治理的唯一途徑，涉及管理制度統(tǒng)一、業(yè)務規(guī)范統(tǒng)一、數(shù)據(jù)標準統(tǒng)一、數(shù)據(jù)采集統(tǒng)一、取數(shù)規(guī)則統(tǒng)一、監(jiān)管指標統(tǒng)一、資料管理統(tǒng)一等內(nèi)容。業(yè)務詞匯表和元數(shù)據(jù)管理是實現(xiàn)數(shù)據(jù)統(tǒng)一管理的前提，業(yè)務詞匯表包含與組織相關的詞匯、詞匯業(yè)務含義以及詞匯與信息資產(chǎn)（技術元數(shù)據(jù)）的關系，可以有效幫助組織用戶了解其業(yè)務元數(shù)據(jù)和技術元數(shù)據(jù)對應的業(yè)務含義。數(shù)據(jù)治理成功的關鍵在于元數(shù)據(jù)管理，即賦予數(shù)據(jù)在一定范圍內(nèi)基本含義的參考框架。經(jīng)過有效治理的元數(shù)據(jù)可提供數(shù)據(jù)流視圖、影響分析的執(zhí)行能力、業(yè)務詞匯表以及其詞匯和定義的可問責性，最終提供用于滿足合規(guī)性的審計跟蹤。

管理制度統(tǒng)一：《指引》要求銀行業(yè)金融機構應當制訂全面、科學、有效的數(shù)據(jù)管理制度，包括但不限于組織管理、部門職責、協(xié)調(diào)機制、安全管控、系統(tǒng)保障、監(jiān)督檢查和數(shù)據(jù)質(zhì)量控制等方面的內(nèi)容。

業(yè)務規(guī)范統(tǒng)一：銀行業(yè)金融機構不同部門或分支機構應當遵循統(tǒng)一的業(yè)務規(guī)范，建立適用于全組織的頂層業(yè)務規(guī)范。

數(shù)據(jù)標準統(tǒng)一：《指引》要求銀行業(yè)金融機構應建立覆蓋全部數(shù)據(jù)的標準化規(guī)劃，并確保相關標準能被有效執(zhí)行。

數(shù)據(jù)采集統(tǒng)一：業(yè)務源頭是數(shù)據(jù)進入銀行金融機構的源頭節(jié)點，是保障數(shù)據(jù)統(tǒng)一的主要環(huán)節(jié)?！吨敢芬筱y行業(yè)金融機構應當加強對數(shù)據(jù)源頭的管理，確保將業(yè)務信息全面、準確、及時錄入信息系統(tǒng)。銀行業(yè)金融機構應當加強對數(shù)據(jù)采集的統(tǒng)一管理，明確系統(tǒng)間數(shù)據(jù)交換流程和標準，實現(xiàn)各類數(shù)據(jù)的有效共享。

取數(shù)規(guī)則統(tǒng)一：《指引》要求銀行業(yè)金融機構各項業(yè)務制度應當充分考慮數(shù)據(jù)質(zhì)量管理需要，涉及指標含義清晰明確，取數(shù)規(guī)則統(tǒng)一，并根據(jù)業(yè)務變化及時更新。

監(jiān)管指標統(tǒng)一：《指引》要求銀行業(yè)金融機構應當按照監(jiān)管要求報送法人和集團的相關數(shù)據(jù)，保證同一監(jiān)管指標在監(jiān)管報送與對外披露之間的一致性。

資料管理統(tǒng)一：《指引》要求銀行業(yè)金融機構應當加強對數(shù)據(jù)資料的統(tǒng)一管理，建立全面嚴密的管理流程、歸檔制度，明確存檔交接、口徑梳理等要求，保證數(shù)據(jù)的可比性。

1.6 關鍵詞六：注重數(shù)據(jù)安全

安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進。數(shù)據(jù)治理是為了組織更好地發(fā)展，而數(shù)據(jù)安全是實現(xiàn)數(shù)據(jù)治理目標的前提?！吨敢分械臄?shù)據(jù)安全包括數(shù)據(jù)保護、個人信息保護、數(shù)據(jù)連續(xù)性管理、數(shù)據(jù)風險管理等。

《指引》要求銀行業(yè)金融機構應建立數(shù)據(jù)安全策略與標準，依法合規(guī)采集應用數(shù)據(jù)，依法保護客戶隱私，劃分數(shù)據(jù)安全等級，明確訪問和拷貝等權限，監(jiān)控訪問和拷貝等行為，完善數(shù)據(jù)安全技術，定期審計數(shù)據(jù)安全。同時，為響應《網(wǎng)絡安全法》《信息安全技術 個人信息安全規(guī)范》等涉及個人信息保護的法規(guī)和國家標準，《指引》還要求銀行業(yè)金融機構采集應用數(shù)據(jù)涉及個人信息的，應遵循國家個人信息保護法律法規(guī)的要求，符合與個人信息安全相關的國家標準。

《商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引》指出業(yè)務連續(xù)性管理，是指商業(yè)銀行為有效應對重要業(yè)務運營中斷事件，建設應急響應、恢復機制和管理能力框架，保障重要業(yè)務持續(xù)運營的一整套管理過程，包括策略、組織架構、方法、標準和程序。數(shù)據(jù)是業(yè)務連續(xù)性管理的重要內(nèi)容之一，數(shù)據(jù)應急預案應當納入全行業(yè)務連續(xù)性管理體系中，并將其作為整體應急預案中的重要組成部分。《指引》要求銀行業(yè)金融機構應當建立數(shù)據(jù)應急預案，根據(jù)業(yè)務影響分析組織開展應急演練，完善處置流程，保證在系統(tǒng)服務異常以及遇到危機等情況下數(shù)據(jù)的完整性、準確性和連續(xù)性。

針對數(shù)據(jù)風險管理，《指引》提出了通過數(shù)據(jù)治理提升銀行業(yè)金融機構的風險管理水平的思路，體現(xiàn)了大數(shù)據(jù)在風險管理中的作用?！吨敢芬筱y行業(yè)金融機構應當充分運用數(shù)據(jù)分析，合理制訂風險管理策略、風險偏好、風險限額以及風險管理政策和程序，監(jiān)控執(zhí)行情況并適時優(yōu)化調(diào)整，提升風險管理體系的有效性。

1.7 關鍵詞七：數(shù)據(jù)質(zhì)量控制

數(shù)據(jù)質(zhì)量管理是數(shù)據(jù)治理領域永遠繞不開的話題，沒有有效的質(zhì)量數(shù)據(jù)，就無法獲得數(shù)據(jù)治理目標?！吨敢芬矊?shù)據(jù)質(zhì)量作為數(shù)據(jù)治理的一項重要內(nèi)容，作為單獨一個章節(jié)，并設置了9條要求?！吨敢穼?shù)據(jù)的真實性、準確性、連續(xù)性、完整性和及時性作為數(shù)據(jù)質(zhì)量管理目標的體現(xiàn)，而實現(xiàn)這些目標的途徑是要建立一套覆蓋全面的制度體系，包括元數(shù)據(jù)管理、數(shù)據(jù)源頭管理、數(shù)據(jù)質(zhì)量監(jiān)控體系、數(shù)據(jù)質(zhì)量現(xiàn)場檢查制度、數(shù)據(jù)質(zhì)量考核評價體系和數(shù)據(jù)質(zhì)量整改機制。

1.8 關鍵詞八：實現(xiàn)數(shù)據(jù)價值

美國學者桑尼爾·索雷斯在《大數(shù)據(jù)治理》一書中這樣定義“大數(shù)據(jù)治理”——大數(shù)據(jù)治理是廣義信息治理計劃的一部分，即制訂與大數(shù)據(jù)有關的數(shù)據(jù)優(yōu)化、隱私保護與數(shù)據(jù)變現(xiàn)的政策。筆者曾在《大數(shù)據(jù)治理模型與治理成熟度評估研究》一文中對該概念進行了簡要分解，提出了大數(shù)據(jù)必須變現(xiàn)，這也是大數(shù)據(jù)治理的目的所在。組織將數(shù)據(jù)視作其資產(chǎn)的一種，要將其轉(zhuǎn)化成組織可以使用的現(xiàn)金，變現(xiàn)的方式可以是單純地出售數(shù)據(jù)本身，也可以利用數(shù)據(jù)開發(fā)出來的新業(yè)務或者利用數(shù)據(jù)治理提升運營管理水平。

《指引》指出，要實現(xiàn)數(shù)據(jù)價值，銀行業(yè)金融機構要提高數(shù)據(jù)加總能力、數(shù)據(jù)分析應用能力、數(shù)據(jù)挖掘能力、風險預判與管理能力、大數(shù)據(jù)技術應用能力和量化評價能力等。

1.9 關鍵詞九：強化監(jiān)督管理

監(jiān)督管理是促進銀行業(yè)金融機構數(shù)據(jù)治理規(guī)范性的重要舉措。根據(jù)《指引》精神，監(jiān)督管理的具體途徑包括構建問責機制、報送監(jiān)管數(shù)據(jù)和數(shù)據(jù)治理審計等。

1.9.1 構建問責機制

構建問責機制要注意以下2點：①銀行業(yè)金融機構內(nèi)部要構建清晰的組織架構，并分配職責，同時，建立匯報負責制。例如，監(jiān)事會負責對董事會和高級管理層在授權審批與數(shù)據(jù)治理相關的重大事項上的監(jiān)督，高級管理層向董事會匯報?！吨敢芬筱y行業(yè)金融機構應當建立問責機制，定期排查數(shù)據(jù)管理、數(shù)據(jù)質(zhì)量控制、數(shù)據(jù)價值實現(xiàn)等方面的問題，依據(jù)有關規(guī)定對高級管理層和相關部門及責任人進行問責。②銀行業(yè)金融機構對銀行業(yè)監(jiān)管機構的負責制，法定代表人或主要負責人對監(jiān)管數(shù)據(jù)質(zhì)量承擔最終責任。

1.9.2 報送監(jiān)管數(shù)據(jù)

《指引》要求銀行業(yè)金融機構應當將監(jiān)管數(shù)據(jù)納入數(shù)據(jù)治理，建立工作機制和流程，確保監(jiān)管數(shù)據(jù)報送工作有效組織開展，使得監(jiān)管數(shù)據(jù)質(zhì)量持續(xù)提升。銀行業(yè)金融機構應當按照監(jiān)管要求報送法人和集團相關數(shù)據(jù)，保證同一監(jiān)管指標在監(jiān)管報送與對外披露之間的一致性。如果發(fā)現(xiàn)重大差異，相關人員應當及時向銀行業(yè)監(jiān)督管理機構解釋說明。

1.9.3 數(shù)據(jù)治理審計

《指引》要求銀行業(yè)監(jiān)督管理機構應當通過非現(xiàn)場監(jiān)管和現(xiàn)場檢查對銀行業(yè)金融機構數(shù)據(jù)治理情況進行持續(xù)監(jiān)管。銀行業(yè)監(jiān)督管理機構可以根據(jù)需要，要求銀行業(yè)金融機構通過內(nèi)部審計機構或委托外部審計機構對其數(shù)據(jù)治理情況進行審計，并及時報送審計報告。

1.10 關鍵詞十：數(shù)據(jù)治理評估

數(shù)據(jù)治理內(nèi)涵已經(jīng)指出，數(shù)據(jù)治理是一個動態(tài)過程，不是一勞永逸的工作，需要建立持續(xù)改進的動態(tài)優(yōu)化過程。實現(xiàn)動態(tài)優(yōu)化過程的2個重要途徑是，銀行業(yè)金融機構內(nèi)部的自評估和第三方獨立機構評估?！吨敢芬筱y行業(yè)金融機構應當建立數(shù)據(jù)治理自我評估機制，明確評估周期、流程、結(jié)果應用、組織保障等要素的相關要求。評估內(nèi)容應覆蓋數(shù)據(jù)治理架構、數(shù)據(jù)管理、數(shù)據(jù)安全、數(shù)據(jù)質(zhì)量和數(shù)據(jù)價值實現(xiàn)等，并按年度向銀行業(yè)監(jiān)督管理機構報送。

認證認可作為質(zhì)量技術監(jiān)督事業(yè)的重要組成部分和基礎工作，貫徹著傳遞信任、服務發(fā)展的工作方針。數(shù)據(jù)治理是一門涉及數(shù)據(jù)科學、信息科學、管理工程、金融學等多項內(nèi)容交叉的學科，單獨依靠銀行業(yè)金融機構實現(xiàn)數(shù)據(jù)治理存在極大的難度。銀行業(yè)金融機構應當充分利用外部機構專業(yè)的數(shù)據(jù)治理提升自身能力，并通過第三方機構客觀、公正地評估、發(fā)現(xiàn)數(shù)據(jù)治理過程中存在的問題，及時改正問題環(huán)節(jié)、補強薄弱環(huán)節(jié)，構建一個持續(xù)改善的數(shù)據(jù)治理體系。

2 《銀行業(yè)金融機構數(shù)據(jù)治理指引》與云端數(shù)據(jù)治理模型對比

2.1 云端數(shù)據(jù)治理模型簡介

針對云計算環(huán)境下的數(shù)據(jù)治理需求，賽寶認證中心發(fā)揮技術優(yōu)勢，在借鑒CMMI數(shù)據(jù)管理成熟度（DMM）、DAMA數(shù)據(jù)管理知識體系（DMBOK）等國外數(shù)據(jù)治理理論的基礎上，提出了云端數(shù)據(jù)治理模型（CDGM）。在CDGM開發(fā)過程中，賽寶認證中心也為國際標準《Information technology-Governance of IT-Governance of data-Part 1：Application of ISO/IEC 38500 to the governance of data》和國家標準《信息技術服務 治理 第5部分：數(shù)據(jù)治理規(guī)范》提供了技術支持。CDGM認為，云端數(shù)據(jù)治理是以云端數(shù)據(jù)為主要治理對象，并制訂與云端數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)管理、數(shù)據(jù)優(yōu)化、數(shù)據(jù)安全與隱私保護等相關的策略，指導組織規(guī)劃、構建、評估和優(yōu)化數(shù)據(jù)治理體系的活動集合。CDGM包含數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)管理、數(shù)據(jù)質(zhì)量、數(shù)據(jù)操作、數(shù)據(jù)架構、數(shù)據(jù)安全和隱私保護6個職能域。

與絕大多數(shù)的數(shù)據(jù)治理理論相比，CDGM不僅關注數(shù)據(jù)治理理論，更引入了能力成熟度的概念去評估組織的數(shù)據(jù)治理能力，最關鍵的是還給出了數(shù)據(jù)治理體系實施方案。云端數(shù)據(jù)治理過程采用“策劃（Plan）—實施（Do）—測評（Check）—處置（Action）”的循環(huán)作用和持續(xù)改進來提高所有過程有效性的PDCA方法，并結(jié)合借鑒項目管理、數(shù)據(jù)治理、IT治理等領域的實施方法論，形成云端數(shù)據(jù)治理管理體系，如圖2所示。

2.2 《指引》與CDGM對比

CDGM是一套完整的數(shù)據(jù)治理模型，覆蓋了諸多方面的數(shù)據(jù)治理知識，而《指引》是針對銀行業(yè)金融機構數(shù)據(jù)治理的指南，具有行業(yè)特性?！吨敢烦丝倓t、監(jiān)督管理和附則之外，與具體的數(shù)據(jù)治理相關的內(nèi)容共四章四十二條。經(jīng)過對比發(fā)現(xiàn)，CDGM幾乎能夠覆蓋所有的條款，具體如表1所示。

通過深入對比發(fā)現(xiàn)，CDGM與《指引》的異同點如下。

2.2.1 相似之處

CDGM與《指引》的相似之處是：①對數(shù)據(jù)治理的定義和理解基本一致，都是通過制訂和實施相關政策制度，以發(fā)揮數(shù)據(jù)價值為根本目標。②數(shù)據(jù)治理原則不謀而合。CDGM以全局統(tǒng)籌、風險可控、運營合規(guī)和創(chuàng)新應用為四大原則，《指引》則是以全覆蓋、匹配性、持續(xù)性和有效性為四大原則，全局統(tǒng)籌與全覆蓋、風險可控與匹配性、創(chuàng)新應用與有效性基本一致。③數(shù)據(jù)治理主體內(nèi)容高度契合。CDGM包含數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)管理、數(shù)據(jù)質(zhì)量、數(shù)據(jù)操作、數(shù)據(jù)架構、數(shù)據(jù)安全和隱私保護6個職能域，《指引》則包含數(shù)據(jù)治理架構、數(shù)據(jù)管理、數(shù)據(jù)質(zhì)量控制、數(shù)據(jù)價值實現(xiàn)4個主體章節(jié)。

圖2CDGM實施框架

表1 《指引》與CDGM比較

2.2.2 不同之處

CDGM與《指引》的不同之處是：①適用性差異?！吨敢肥敲嫦蛐袠I(yè)的數(shù)據(jù)治理指南，CDGM則是面向全行業(yè)的通用數(shù)據(jù)治理指南，可以實現(xiàn)對具體行業(yè)的量體裁衣。②功能性差異?！吨敢肥怯杀O(jiān)管機構發(fā)布的帶有行政指令性質(zhì)的指南，強調(diào)數(shù)據(jù)治理的重要性，以結(jié)果為導向。CDGM是由第三方專業(yè)機構開發(fā)的數(shù)據(jù)治理體系，以解決問題為導向，以幫助組織建立數(shù)據(jù)治理體系為目標，以數(shù)據(jù)治理能力成熟度等級評價為手段，持續(xù)提高組織數(shù)據(jù)治理能力。雖然《指引》與CDGM的出發(fā)點不同，但是，目標方向是一致的。銀行業(yè)金融機構可以在《指引》的要求下，借鑒CDGM，結(jié)合各自情況，建立最適宜的數(shù)據(jù)治理體系，并利用外方專業(yè)的數(shù)據(jù)治理持續(xù)改善組織數(shù)據(jù)治理能力。

3 結(jié)束語

《指引》為銀行業(yè)金融機構開展數(shù)據(jù)治理提供了目標和根本途徑，但由于是政府部門的監(jiān)管文件，它無法為讀者提供過多的解釋性內(nèi)容。本文從專業(yè)的視角為《指引》梳理了10個關鍵詞，以期幫助讀者更加深入、全面地了解其內(nèi)容。同時，本文將《指引》與CDGM進行了對比分析，以幫助銀行業(yè)金融機構利用CDGM模型構建數(shù)據(jù)治理體系，提高數(shù)據(jù)質(zhì)量，充分發(fā)揮數(shù)據(jù)價值，提升經(jīng)營管理水平，滿足金融機構的監(jiān)管要求。