《银行业金融机构数据治理指引》和《数据管理能力成熟度评估模型》的对比分析

来源：大数据标准工作组

编者：最近数据治理行业比较热闹，年初至今接连发布了两项数据治理领域的重磅文件，在行业内引起了很大的关注，包括梅宏梅院士也多次提到数据治理的重要性，作为行业的从业者也是为这种变化感到高兴，同时，作为大数据国标《数据管理能力成熟度评估模型》GB/T 36073-2018牵头单位编写组成员，感觉也有责任写篇文章对这两者进行分析，进而可以帮助各公司更好的落地实施。在文章编写过程中，得到了某位专业人士的指导和建议，在此也表示感谢！

背景

刚刚结束的2018中国国际大数据产业博览会提出了“数化万物·智在融合”的主题，这一主题点出了大数据应用过程中的关键在于数据融合，特别是跨行业、跨部门的数据融合。目前，国内各行各业正在积极开展数字化的工作，通过对各单位自身业务开展、日常管理和产业链上下游之间的协作等各个环节的数字化来实现精细化管理、科学决策以及商业模式的改进和创新，进而实现数字化驱动的管理和发展。在这个过程中数据治理工作的重要性日趋凸显，只有通过数据治理来提升数据质量、保证数据安全，才可以保证数字化驱动过程中“不跑偏、不走错”。中国科学院院士、大数据标准化工作组组长梅宏明确提出：“大数据治理体系建设是我们国家实施大数据战略的重要保障，是发挥大数据作用，做大做强大数据产业的重要因素，也是关键基础，大数据治理体系建设已经成为发展的重点”。

在这个背景下，数据治理逐渐成为业内人士关注的重点。国家大数据标准化工作组于2018年3月15日正式发布了国家标准《数据管理能力成熟度评估模型GB/T 36073-2018》（以下简称DCMM模型），在该标准中正式提出了数据治理的规范体系和成熟度等级定义。同时，中国银保监会于2018年5月21日也正式发布了《银行业金融机构数据治理指引》（以下简称《指引》），提出了中国银行业数据治理管理的规范体系，本文试图研究这两个体系之间存在的异同之处，进而提出落地实施方面的相关建议。

《指引》内容解读

该《指引》是对银行业管理制度《银行监管统计数据质量管理良好标准（试行）》（以下简称《良好标准》）的全面替代。《指引》在强调数据质量管理的基础上，重点强调了相关金融机构要构建全面的数据治理体系，共包含总则、数据治理架构、数据管理、数据质量控制、数据价值实现、监督管理、附则等七大部分共55条规定，除了附则之外的重点内容解读如下：

总则

01

总则部分重点明确《指引》的适用对象、管理目标和数据治理过程中的基本原则，其中的重点内容如下：

• 适用对象：适用对象中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构，并在附则中重点强调了“外国银行分行以及银行业监督管理机构负责监管的其他金融机构参照执行本指引”。
  
  

• 管理目标：《指引》发布实施的重点管理目标有三个：
  
  
  
  

• 建立全面的数据治理组织，制定和实施系统化的制度、流程和方法，统一数据的管理，实现数据的价值；
  
  
• 建立自上而下、协调一致的数据治理体系，将数据治理纳入公司治理范畴；
  
  
• 持续提升金融机构的数据质量状况，并且法定代表人或主要负责人对监管数据质量承担最终责任。
  
  

• 基本原则：《指引》中明确了金融机构数据治理的全覆盖、匹配性、持续性、有效性等四大基本原则，其中全覆盖原则重点强调了三个方面的覆盖：全生命周期、全部数据（内部数据、外部数据，其中内部数据又包含业务经营、风险管理和内部控制等过程中的数据）、全组织等三个方面的覆盖，这个全覆盖的原则也是对比之前《良好标准》中的重要提升，从监管统计相关的数据延伸到金融机构内外部所有的数据，同时强调数据全生命周期的管理，要覆盖数据的需求、设计、创建、应用和归档等各个环节，本条原则也符合MIT的全面数据质量管理框架（TDQM）的管理要求，强调了数据管理的全面性。同时，在持续性原则中强调数据治理应当持续开展，建立长效机制。这个原则明确了数据治理工作应该作为组织的一项管理职能，不能仅仅当作项目来开展。
  
  

数据价值实现

02

《指引》中不仅仅是强调数据治理，更加重视数据的应用，强调要以数据应用为指导来开展数据治理相关的工作，重点强调了在风险管理、业务经营与内部控制中加强数据应用，实现数据驱动，提高管理精细化程度，发挥数据价值。

• 风险管理：《指引》充分考虑了金融机构的行业背景，延续了BCBS 239中对于金融机构风险管理的一贯要求，强调金融机构要建立改善风险管理的方法和制度，持续提升数据加总能力，明确数据加总范围，加强数据积累，优化风险计量，不断提高风险报告的质量情况，明确风险报告数据准确性保障措施，覆盖重要风险领域和新风险，提供风险处置的决策与建议以及未来风险发展趋势。
  
  

• 业务经营：首先，金融机构应当明确新产品新服务的数据管理相关要求，确保可以清晰地评估成本、风险和收益。其次，强调了要综合应用大数据等相关的技术，准确理解客户需求，分析和优化业务管理流程，促进业务创新、产品创新。最后，银行业金融机构应当充分评估兼并收购、资产剥离等业务对自身数据治理能力的影响。
  
  

• 内部控制：《指引》第四十九条重点介绍了如何应用数据来提升金融机构的内部控制，强调应当按照可量化导向，完善内部控制评价制度和内部控制评价质量控制机制，前瞻性识别内部控制流程的缺陷，评估影响程度并及时处理，持续提升内部控制的有效性。
  
  

数据治理架构

03

数据治理架构建设是《指引》中的重要内容，也是数据治理工作能够持续开展的基础，在本部分中不但强调金融机构要建立健全的数据治理组织，同时也要求持续开展数据团队的建设，构建企业数据文化等方面的内容。

• 数据治理组织：《指引》中要求金融机构建立覆盖董事会、监事会、高级管理层和相关部门于一体的数据治理组织，强调了公司高层领导在数据治理中的领导作用，并且提出了首席数据官的概念，首席数据官作为一个新的职位最近在互联网、大数据等公司普遍流行起来，相对于首席信息官来说，首席数据官是公司数据资产运营和管理的直接负责人，他可以作为业务部门和技术部门之间的桥梁，比技术更懂业务，比业务更了解技术，同时，最重要的是更了解数据并且能够站在全局的视角对数据数据进行管理和应用。
  
  

• 问责机制和激励机制：数据认责管理是数据治理的重要组成，是数据治理工作能够落地实施的关键，在《指引》中明确提出了数据认责管理的制度，首先是在组织层面明确数据管理的归口部门，强调数据管理的统一入口，明确指定部门承担数据管理的工作，并需要设立专职的管理岗位。其次，明确要求各业务部门应当负责本业务领域的数据治理，管理业务条线数据源，确保准确记录和及时维护，落实数据质量控制机制。
  
  

• 团队建设：在《指引》中要求银行业金融机构应当建立一支满足数据治理工作需要的专业队伍，定期开展培训，并科学规划其职业成长通道。数据管理团队的建设是数据资产管理和应用的核心，在数据资产价值日益重要的今天，金融机构应该构建类似财务资产、人力资产等相关的数据资产管理团队，这样才可以充分的管理和应用好已有的数据资产。
  
  

• 文化建设：数据文化建设是《指引》中的亮点之一，着墨不多，仅在第十六条中提到银行业金融机构应当建立良好的数据文化，树立数据是重要资产和数据应真实客观的理念与准则，强化用数意识，遵循依规用数、科学用数的职业操守。但是数据文化建设是数据治理工作长治久安的核心，需要通过数据文化建设让公司内部每个人都能够了解数据、使用数据，进而才能更好的采集和管理数据，形成数据管理的良性循环。
  
  

数据质量控制

04

数据质量管理一直以来都是金融机构数据管理的重点，也是金融风险管理中的核心，为此《指引》也是把数据质量控制放在单独的章节，强调了要建立数据质量管理制度，实现数据全生命周期的质量管理，定期进行数据质量提升和考核等。

• 数据质量管理制度：银行业金融机构在开展数据质量管理的时候，需要建立数据质量管控、检查等方面的制度，确立数据质量管理目标，建立控制机制，确保数据的真实性、准确性、连续性、完整性和及时性。
  
  

• 全生命周期管理：银行业金融机构需要建立覆盖数据全生命周期的数据质量管理机制，其中重点强调了以下两点内容：
  
  

• 从源头抓数据质量：银行业金融机构应当加强数据源头管理，确保将业务信息全面准确及时录入信息系统。从源头改善数据质量状况是代价最小的一种方式，但也是最难的一种，这条规则的落实需要数据认责机制的配合，明确源头数据的责任人和管理职责，加强认责机制的落实，才可以更好的提升源头的数据质量状况。
  
  
• 新产品数据需求的管理：在数据质量控制的第三十二条提出要建立全生命周期的管理，在数据价值实现的第四十五条提出要明确新产品新服务的数据管理相关要求。这两条也是数据治理工作中的重点，要求金融机构把数据质量从后期的检查、改进提前到数据需求管理阶段，要在项目建设早期就加强数据质量的管理，进而杜绝将来数据质量问题的出现。
  
  

• 提升&考核：《指引》中非常重视数据质量相关的考核，明确要求银行业金融机构建立数据质量考核评价体系，考核结果纳入本机构绩效考核体系。同时，在强调数据质量检查和管理的过程中，更重视数据质量问题的整改，要求金融机构对数据质量问题进行全方位的分析，对涉及到的不合理的环节进行整改，并且监督整改工作的进展。
  
  
  

数据管理

05

《指引》对比之前的《良好标准》最大的改进就是本节，不仅仅要求金融机构进行数据质量方面的管理，还需要建立全面的数据治理体系，从数据战略、数据架构、数据标准等多个维度展开数据管理的工作，奠定数据管理的基础，进而才可以更好的改进和提升数据质量状况。

• 数据战略：数据战略是数据治理中的重要组成部分，最近这几年在国内外得到了越来越多的重视，《指引》中也加入了数据战略方面的要求，要求银行业金融机构应当结合自身发展战略、监管要求等，制定数据战略并确保有效执行和修订，同时要求金融机构的董事会参与到数据战略的执行和管理。
  
  

• 数据治理：数据治理是数据战略、数据架构和标准等方面能够落地实施的保障，《指引》中对于数据治理的描述较多，在数据治理架构中重点强调了数据治理组织、团队和文化方面的建设，在数据管理部分重点强调了数据管理制度的建设，要求金融机构应当制定全面科学有效的数据管理制度，包括但不限于组织管理、部门职责、协调机制、安全管控、系统保障、监督检查和数据质量控制等方面。
  
  

• 数据架构：《指引》中要求金融机构的信息系统应当有完备的数据字典和维护流程，同时明确系统间数据交换流程和标准，实现各类数据有效共享。
  
  

• 数据标准：数据标准也是金融机构关注的重点，在《良好标准》中对数据标准建设的要求也很多，在本次的《指引》中要求银行业金融机构应当建立覆盖全部数据的标准化规划，并确保相关标准能够被有效执行。
  
  

• 数据安全：数据安全也是《指引》中的关键内容，新增加了个人隐私数据保护的部分，迎合了国家《网络安全法》实施的需要，明确提出涉及到个人信息的，应遵循国家个人信息保护法律法规要求，符合与个人信息安全相关的国家标准。
  
  

监督管理

06

为保证《指引》在各个金融机构的落地和实施，《指引》中制定了现场检查和非现场检查的方式，明确了可以根据需要要求银行对数据治理进行审计，并及时报送相关报告，对出现的问题要求限期进行整改。这其中关键的内容就是数据治理审计部分，如果能够根据《指引》的要求把数据治理纳入银行审计的范围，并能够把数据治理审计结果和公司治理评价结果或监管评级进行挂钩的话，数据治理在金融机构内部的重要程度将得到更大的提升。

DCMM模型介绍

由于大数据是相对较新的行业，现阶段大数据相关理论的发展相对滞后，特别是数据治理相关的理论。目前国内各家单位更多是采用国际咨询公司的理论框架或者国际数据管理协会的数据管理知识体系作为引导，但是这些理论基本没有考虑国内数据行业发展的现状和特性，且普及程度也有待提高，导致目前国内很多公司在数据管理方面的意识薄弱，管理方式各异，发展相对落后。在这个背景下，由中国电子技术标准化研究院牵头制定了大数据重点标准《数据管理能力成熟度评估模型》，本标准在对国内外相关理论、实践进行充分研究的的基础上，结合国内数据行业的特征和发展需要，制定了国内第一个数据能力成熟度评价模型，用来指导和规范国内各家单位的数据管理行为，促进国内大数据行业的整体发展。

DCMM是一个综合标准规范、管理方法论、评估模型等多方面内容的综合框架，目标是提供一个全方位组织数据能力评估的模型，在模型的设计中，结合数据生命周期管理各个阶段的特征，对数据管理能力进行了分析、总结，提炼出组织数据管理的八大能力，并对每项能力进行了二级过程域的划分，发展等级的划分，以及相关功能介绍和评定标准的制定。

                数据管理能力成熟度评估模型

该标准在充分的参考国内外研究的基础上，同时，也借鉴了DAMA DMBOK中关于数据管理的定义，并且，根据中国国内数据管理的实际情况，定义了数据能力评估的八大过程域：数据战略、数据治理、数据架构、数据标准、数据安全、数据应用、数据质量、数据生存周期管理等。

数据战略

01

数据战略是组织中数据工作开展的目标指引，定义组织数据工作的方向、愿景和原则。数据战略包括数据战略制定、数据管理功能、数据战略规划、数据任务效益评价等四个二级域，从组织数据战略的规划、实施和评价等方面对数据战略进行描述。

数据治理

02

数据治理是数据管理框架的核心职能，是对数据资产管理行使权利和控制的活动集合，数据治理涉及到数据管理的组织，标准规范，流程，架构等多个方面，和数据管理的其他关键过程域都有交互，数据治理是在高层次上制定、执行数据管理的制度。

数据架构

03

数据架构是用于定义数据需求、指导对数据资产的整合和控制、使数据投资与业务战略相匹配的一套整体构件规范。数据架构包括数据模型、数据分布、数据集成与共享和元数据管理四个二级职能域，数据模型职能域定义与规范业务经营、管理和决策活动需要的组织数据需求，数据分布职能域确定各类数据资产在组织内部的合理部署，数据集成与共享职能域实现组织的各类数据资产在组织内整合在一起，元数据管理是关于元数据的创建、存储、整合与控制等一整套流程集合。

数据应用

04

数据应用是指通过对组织数据进行统一的管理、加工和应用，对内支持业务运营、流程优化、营销推广、风险管理、渠道整合等活动，对外支持数据开放共享、数据服务等活动，从而提升数据在组织运营管理过程中的支撑辅助作用，同时实现数据价值的变现。

数据安全

05

数据安全是指组织中的数据受到保护，没有受到破坏、更改、泄露和非法的访问。数据安全主要包括数据安全策略、数据安全管理和数据安全审计等三个过程域，从制度、管理和审计三个方面来提升组织数据的安全性。

数据质量

06

数据质量是指数据的适用性（fitness for use）,描述数据对业务和管理的满足度。数据质量主要是指数据的准确性、及时性，完整性，唯一性，一致性，有效性等六个方面。数据质量管理是通过对数据的分析，监控，评估和改进的过程。

数据标准

07

数据标准是组织数据中的基准数据，为组织各个信息系统中的数据提供规范化、标准化的依据，是组织数据集成、共享的基础，是组织数据的重要组成部分。依据数据特性的不同，可以把数据标准具体划分为四大类：业务术语标准、参考数据和主数据标准、数据项标准、指标数据标准。

数据生存周期

08

数据生存周期是指数据从设计、开发、创建、迁移、应用、存档、回收的周期、再次激活以及退出的整个过程，对数据进行贯穿其整个生命的管理需要相应的策略和技术实现手段。数据生命周期管理的目的在于帮助组织在数据生存周期的各个阶段以最低的成本获得最大的价值。

异同分析

通过前面的介绍可以大概了解到两者之间存在一些差异，但是也存在很多共同之处，本文尝试对《指引》和DCMM模型的内容进行对比分析，通过对《指引》相关内容和DCMM内容进行对应，可以更进一步的了解两者之间的差异。《指引》共分为七个部分、55条规定，除去总则、监督管理和附则之外，与具体的数据治理相关的内容共四个部分，42条规定，把这部分内容和DCMM模型的八大主题域、28个二级主题域和各级的评价指标进行映射，可以得到下图的对比分析总结表：

《指引》和DCMM对比分析总结表

从上图可以看到两者之间划分的维度不同，但是具体管理的内容还是存在很多相似之处，其中的关键内容解读如下：

• 从DCMM一级主题域来看，两者覆盖的范围基本是相同的，《指引》中数据管理的四个部分：数据价值实现、数据治理架构、数据质量控制和数据管理可以完全覆盖到DCMM模型的八大一级主题域。从这点来看，《指引》不仅仅要求银行业金融机构保证监管数据的质量状况，更重要的是要高度重视数据资产的价值，构建从数据战略、数据治理、数据标准到数据质量、数据安全的全面数据治理体系，这点要求也是符合当前数字化转型发展的需要，要求各金融机构适应当前互联网、大数据等快速发展的趋势，积极采用相关技术去进行业务、渠道的数字化，充分管理和应用好数据资产的价值，不仅仅是服务于监管机构所要求的风险管理，更重要的是提升金融机构自身的竞争力，促进业务和管理模式的创新，实现数字驱动的金融服务。
  
  

• 从DCMM二级主题域来看，《指引》共覆盖20个二级主题域，而DCMM有28个二级主题域，覆盖率基本达到71%。没有覆盖的内容主要是数据架构中的元数据管理和数据分布管理，数据应用中的数据服务，数据生命周期管理中的数据设计和开发、数据运维和退役等10个二级主题域，从这点看，《指引》更加关注以数据价值实现为指引的数据管理工作，而一些和数据生命周期相关的工作，例如数据设计和开发、数据运维、元数据等工作是各家金融机构本身就已经重点关注的内容。从近年来数据治理在国内的发展趋势来看，覆盖数据全生命周期的数据治理体系已经是很多单位关注的重点，《指引》中的基本原则之一全覆盖也对这方面的内容进行了强调，但是在具体的条款中没有体现生命周期各个阶段需要管理的内容，这也是和《指引》更加以结果为导向有关系，它只强调应该做什么，具体如何实现是各家金融机构自身应该考虑的事情。
  
  

• 从条款内容的覆盖上来说，《指引》中除去总则、监督管理和附则外，和数据治理操作直接相关的有44条，对应到DCMM中的指标大概有67条左右（两者之间不是一一对应，指引中的描述比较概括，往往指引中的一条就可以解读为多条指标），而对应DCMM中的这些指标主要集中在能力成熟度的三级，少部分指标是在四级或者五级。这也表明《指引》对金融机构数据管理能力成熟度的要求很高，至少应该达到三级：稳健级。而同时，DCMM没有覆盖的9条中，更多的是集中于数据价值实现中的银行风险管理部分（这部分有6条无对应），《指引》更关注银行自身的风险管理工作，期望通过数据治理工作的开展，能够切实提升风险管理的准确性和及时性，这也更加符合银保监会自身的监管定位。其他没有对应的主要是第26条、第27条和第31条，分别对应了构建应急机制、自评估机制和数据采集中信息系统的自检查机制等三个方面。
  
  

分析总结

通过上文的对比分析，我们了解到两者之间存在很多共同之处，同时也存在一些差异，这些差异主要是由于两者的出发点、针对的行业都有所不同，具体的这些差异可以总结为以下两个方面：

全面性VS适用性

01

由于DCMM模式是国家标准，所以在制定过程中更加强调全面性，通过对DAMA、DGI等国际理论的分析和国内银行、通信和能源等行业发展实践的解读，在数据资产自身固有特性的基础上制定的，所以它的内容相对中立。而《指引》的出台首先代表了监管机构对于金融机构管理的态度，特别是在国家层面对金融风险高度重视的前提下，整个《指引》的内容更侧重于金融机构风险的管理，并以这一目标为导向逐步延伸到金融机构数据治理的方方面面，所以，《指引》的内容更像是DCMM模型在金融机构中的落地指引，更加符合金融行业发展的需要，更具有适用性。

目标导向性VS过程规范性

02

通过对于两者内容的解读，我们也可以了解到《指引》的内容都是高度精简和概括的，《指引》以目标为导向，重点强调金融机构应该做哪些事情，而如何具体实现则放权给各家金融机构根据自身经营和数据资产特点自行发挥。DCMM模型更加强调建设过程的规范性，DCMM模型中会具体描述每个领域应该做哪些事情，这些事情在每个阶段具备什么特征，由此指引相关组织一步一步的进行数据能力的提升。因此，我们在两者的对比分析中可以看到《指引》中的一条规定可能会对应到DCMM中的多条关键指标，例如：《指引》第20条写到，“银行业金融机构应当建立覆盖全部数据的标准化规划，遵循统一的业务规范和技术标准。数据标准应当符合国家标准化政策及监管规定，并确保被有效执行。“

这一内容是关于数据标准的，强调金融机构应建立全部数据的标准化规划，但是具体应该怎么做着墨不多，但是在DCMM模型中则有详细的介绍，如数据标准应该划分为业务术语、参考数据和主数据、数据元、指标数据等几个部分，每个部分又有更具体的成熟度等级定义。

实施建议

这两份文件都是今年最新发布的、重量级的数据治理相关的规范，DCMM模型是由国家大数据标准化工作组编制和发布的，站在数据资产这一新型资产的管理和应用的角度，在参考国内外数据管理理论和实践的基础上，从数据资产自身固有的特性出发，制定了具有中国特色的数据资产管理参考模型和评估模型。而《指引》是由中国银行保险监督管理委员根据银行业金融机构发展管理的需要，参考巴塞尔监管要求以及之前《良好标准》的基础上制定的，由于中国银行保险监督管理委员是银行业金融机构的监管者，所以决定了《指引》更关注银行风险管理方面的内容，进而延伸到银行业金融机构数据治理的方方面面。

因此，这两份文件的出发点不同，但是具体的内容中有较多相似之处，在具体的落地实施过程中可以互为补充，相互促进，具体的建议如下：

• 参考DCMM模型构建银行业金融机构的自评估机制
  
  

《指引》第27条明确要求银行业金融机构应当建立数据治理自我评估机制，明确评估周期、流程、结果应用、组织保障等要素的相关要求。但是具体应该如何自评没有明确的要求，而DCMM自身就是数据治理成熟度评估的模型，基本覆盖了《指引》要求的主要内容。因此建议银行业金融机构在推广《指引》落地实施过程中，可以以《指引》为指导，参考DCMM模型构建符合自身要求的评估模型，定期开展内部自评或者外部评估，以帮助监管者、银行业金融机构更好的了解数据能力的发展水平。

• 借鉴DCMM评估的结果，促进银行业金融机构数据能力提升
  
  

国家大数据标准化工作组通过DCMM在全国各个行业的落地实施，收集了大量的行业数据能力发展情况的数据，可以清晰了解国内各行业在数据治理、数据架构、数据标准、数据质量等方面的平均发展水平，了解各行业在数据管理中存在的主要问题和相关的最佳实践，这些经验可供银行业金融机构借鉴使用，更好的促进银行业金融机构数据治理水平的提升。

• 定期发布银行业金融机构数据能力成熟度发展分析报告
  
  

各家银行、金融机构在数据管理能力的建设方面都有自身个性化的要求，发展水平也各不相同，为促进银行业金融机构整体数据能力成熟度的提升，建议定期发布银行业金融机构数据能力成熟度发展分析报告，分析行业整体的发展水平，计算数据能力成熟度各个维度的平均值，总结数据能力成熟度建设过程中的最佳实践，研究整体的发展趋势，为各家银行、金融机构数据能力成熟度的建设提供指引，进而促进整个行业数据能力成熟度水平的提升，促进数据价值的体现。