《银行业金融机构数据治理指引》解读

为引导银行业金融机构加强数据治理，提高数据质量，发挥数据价值，提升经营管理能力，中国银监会于2018年3月16日发布了《银行业金融机构数据治理指引（征求意见稿）》（以下就简称为“指引”啦），并向社会公开征求意见。从整体上来看，该指引有以下十大方面值得大家关注：

01 将数据治理纳入公司治理范畴

笔者在此前的数据治理文章中就提出，数据治理本身属于一种公司治理活动，而且区别于一般的管理和管控活动，数据治理强调的是从企业的高级管理层及组织架构与职责入手，建立企业级的数据治理体系，自上而下推动数据相关工作在全企业范围的开展。可以说，数据治理是数据工作的顶层架构设计。

此次，指引就明确了银行业金融机构应当将数据治理纳入公司治理范畴，建立自上而下、协调一致的数据治理体系。

按照指引要求自上而下推动数据治理工作，可以避免某一特定部门（特别是信息科技部门）承担了过重的职责，且由于部门影响力不足导致无法在企业级全面、有效的推动相关工作的风险。相信经历过“苦难”的银行信息科技部门一定是心花怒放啊。

02  数据治理职责上升到董事会

此次指引在数据治理的组织架构层级设置上可以说是煞费苦心，比之以往的银行普遍现状完全上升了好几个层级，这也体现了监管机构在推动数据治理工作方面的决心！其中包括：

• 董事会应当制定数据战略，审批与数据治理相关的重大事项，督促高级管理层提升数据治理有效性，对数据治理承担最终责任；

• 监事会负责对董事会和高级管理层在数据治理方面的履职尽责情况进行监督评价；

• 高级管理层负责建立数据治理体系，制定和实施问责机制与数据质量控制机制，组织评估数据治理的有效性和执行情况，并定期向董事会报告；

• 此外，指引还建议银行金融机构根据实际情况设立首席数据官，以便更好的在执行层落实相关工作。

  
  

03  数据治理的业务职责和问责机制

除牵头管理部门外，此次指引特别对业务部门的职责、岗位配备以及数据问责机制进行了明确规定，要求业务部门承担具体的数据所有者应承担的义务（当然另一面就是享受的权利）。

业务部门应当负责本业务领域的数据治理，设置专职或兼职岗位，管理业务条线数据源，确保准确记录和及时维护，落实数据质量控制机制，执行监管数据相关工作要求。建立问责机制，定期监控数据管理、数据质量控制、数据价值实现等方面问题，依据有关规定对高级管理层和相关部门及责任人予以问责。

此外，为了保证相关岗位人员的专业性，应按年度对人员进行系统培训。科学规划职业成长通道，确定合理薪酬水平。看到这点后，笔者原来文中苦难悲催的“表哥”、“表姐”们应该流下了幸福的眼泪吧。

04  以数据应用和价值实现为驱动

如果说前三点是数据治理的顶层架构设计，那么这第四条就是数据治理的核心驱动力，即以数据应用、体现数据价值来驱动业务部门更好的开展数据工作，实现迭代完善和提升。

在指引的第五章节，整整花了一个完整的章节，从银行金融机构的核心业务和管理视角，提出数据治理最终服务、应用于风险管理、风险监控、数据加总（满足压力情景下数据需求）和报告、定价、重大收购、资产剥离、新产品评估、客户营销、业务流程优化、业务创新、内部控制等各个领域。

笔者此前在提到数据治理体系的建设策略时，就提出了“农村包围城市”和“长期规划结合短期速赢”的观点，也正响应了此次数据价值实现的治理战略。

05  加强数据源头管理和采集规范

业务源头是数据进入银行金融机构的源头节点，也是最易出问题、但又最难解决的数据质量难题！在笔者以往经历的数据治理项目中，最难的也是如何说服业务部门在业务流程和业务系统中落实数据的采集规范和标准要求，确保进来的数据就是最干净的！这样才能从根本上避免后续的各种质量问题。

此次指引提出，银行金融机构应当加强数据采集的统一管理，明确数据交换流程和标准，实现各类数据有效共享。加强数据源头管理，确保将业务信息全面准确及时录入信息系统。信息系统应当能自动提示异常变动及错误情况，即将采集规范和标准通过信息系统进行固化！

此外，作为数据质量一道防线（即业务部门采集）的补充，建立数据质量的二道防线（即质量监控体系），覆盖数据全生命周期，对数据质量持续监测、分析、反馈和纠正。

06  数据安全和客户隐私保护

数据安全和敏感信息保护也是老生常谈的事项了，笔者此前刚刚发布过此方面文章，这方面的重要性笔者就不赘述了！

此次指引提出，银行业金融机构应当建立数据安全策略与标准，依法合规采集、应用数据，依法保护客户隐私，划分数据安全等级，明确访问权限，监控访问行为，完善数据安全技术，定期审计数据安全。此外，还应当加强数据资料统一管理，建立全面严密的管理流程、归档制度，明确存档交接、口径梳理等要求，保证数据可比性。

07  数据应急预案和演练

这点非常有意思且巧合，除数据治理外，笔者的另一块传统的工作就是业务连续性管理，而此次指引刚好就把数据治理和业务连续性管理两者做了有机的结合，冥冥之中的联系啊！

银行业金融机构应当建立数据应急预案，根据业务影响分析，组织开展应急演练，完善处置流程，保证在系统服务异常以及危机等情景下数据的完整、准确和连续。这么说吧，数据应急预案应当纳入全行业务连续性管理体系中，作为整体应急预案中的重要组成部分。而且，数据应急预案要有轻重缓急，按照对应业务的重要性，明确数据的重要性和优先排序，进而确定相应的恢复指标（即RTO和RPO），制定并形成数据应急预案。

这里笔者也借机打个宣传，做过业务连续性体系建设的同僚们，为了响应最新的监管要求，我司可以提供数据治理与业务连续性的整合完善服务，有意者欢迎洽谈~

08  数据治理纳入考核评价体系

在笔者原文提出的数据治理五项重点工作内容中，考核评价属于最后但却极为重要的一项，同时也是在以往数据治理项目中许多银行非常难推行的一项工作。因为，业务部门往往会说，大家都是平级部门，你作为数据的牵头部门（一般又是弱势的科技部门）凭啥能考核我呢？这也是一些银行把数据治理牵头工作放在财务部门的重要理由之一。     

此次指引明确提出，银行业金融机构应当建立数据质量考核评价体系，考核结果纳入本机构绩效考核体系。结合以上第三点的业务认责和问责机制，那以后数据治理可就不愁没有抓手啦！这很好啊，指引真是太给力了！相信很多人又该乐了。

09  定期开展数据治理评估和检查

当然了，有了以上数据治理体系建设和执行，就应该有配套的定期评估和检查，而且要向内部（董事会）和外部（监管机构）进行定期汇报，确保数据治理工作开展的有效性。

银行业金融机构应当组织评估数据治理的有效性和执行情况，并定期向董事会报告。

银行业金融机构应当建立数据治理自我评估机制，明确评估周期、流程、结果应用、组织保障等要素的相关要求。评估内容应覆盖数据治理架构、数据管理、数据安全、数据质量和数据价值实现等方面，并按年度向银行业监督管理机构报送。

就数据质量具体而言，银行业金融机构应当建立数据质量现场检查制度，定期组织实施，原则上不低于每年一次，对重大问题要按照既定的报告路径提交，并按流程实施整改。

10  数据治理审计和报备

在本文的第五条里已经提到了数据的一道防线和二道防线了，那么当然不能少了咱们审计这第三道防线啦！

银行业监督管理机构按需要求银行业金融机构通过内部审计机构或委托外部审计机构对其数据治理情况进行审计，并及时向监管报送审计报告。

来源：KPMG大数据挖掘