随着商业银行数字化转型竞争的加剧,银行集团下属子公司数字化、信息化水平的提升,集团内部对各类金融业务系统之间数据交互、数据集成提出了更高要求。强化银行集团数据治理,对于打造数字时代银行集团核心竞争力至关重要。
一、商业银行集团数据治理势在必行
近年来,商业银行集团在推进各子公司协同发展和数据治理过程中,面临各下属金融机构系统之间因为数据标准不统一等导致的数据准确性、一致性、完整性缺乏保障、系统数据分散、数据质量不高等等问题,集团平台下各系统间快速高效的数据交互难以实现,强化数据治理势在必行。
(一)金融综合化经营监管要求强化数据治理
2020年3月国务院在《关于构建更加完善的要素市场化配置体制机制的意见》中首次将数据纳入内在要素。中国人民银行在2020年10月及2021年3月分别发布了《金融数据安全分级指南》和《金融业能力建设指引》指导金融业的数据治理工作。在中国人民银行等四部委联合印发的《金融标准化“十四五”规划》中,对金融科技、绿色金融、数字货币、网络安全等多个领域提出了标准化建设要求。中国人民银行于2020年正式发布实施的《金融控股公司监督管理试行办法》(以下简称《办法》)更是规定金融控股公司应“规范发挥协同效应”,金融控股公司与其所控股金融机构之间、其所控股机构相互之间可以共享客户信息、销售团队、信息技术系统、运营后台、营业场所等资源,并要求将数据治理纳入公司治理范畴,同公司治理评价和监管评级挂钩。
(二)银行监管机构对数据治理提出更高要求
《中国银行业信息科技“十三五”发展规划监管指导意见(征求意见稿)》及2018年5月中国银保监会发布了《银行业金融机构数据治理指引》(以下简称“《指引》”),都要求商业银行金融机构应制定大数据战略,夯实数据治理基础,建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,加强数据资料统一管理,建立数据应急预案及问责机制。《指引》更是对数据治理架构、数据管理、数据质量管控、数据价值实现等各大领域进行了详细规范,强调银行业金融机构应当将数据治理纳入公司治理范畴,建立自上而下、协调一致的数据治理体系。数据治理应当遵循全覆盖、匹配性、持续性、有效性等四项基本原则。要建立自我评估机制,建立问责和激励机制,确保数据管理高效运行。同时《指引》还明确了监管机构的监管责任、监管方式和监管要求。
2020年5月银保监会下发《关于开展监管数据质量专项数据治理工作的通知》,开展为期1年的监管专项数据治理工作;2020年7月,人民银行发布《关于建立金融基础数据统计制度的通知》;2021年9月银保监会发布《商业银行监管评级办法》,“数据治理”要素首次纳入评价体系,并占5%的权重。2022年初,中国银保监会办公厅下发了《关于银行业保险业数字化转型的指导意见》,要求银行业保险业从战略规划与组织流程建设、业务经营管理数字化、数据能力建设、科技能力建设、风险防范、组织保障和监督管理等方向持续发力,构建数字化经营管理体系,健全数据治理,全面提升网络安全、数据安全和风险管理水平。
(三)数据要素市场建设要求银行集团强化数据治理
数据要素市场已经被认定为我国第五大要素市场,激发数据要素市场活力关系到我国是否能在全球“数字经济”竞争中弯道超车,甚至引领创新的伟大事业。作为大数据资源极其丰富、数字化转型基础较好的金融行业,肩负着在数据要素市场建设中发挥“标杆示范”的重要任务。银行集团特别是已经开展综合化经营的大中型商业银行集团,作为多种金融机构业务聚合而成的重要金融基础设施,更应发挥综合经营数据平台的优势,借助先进金融科技技术,率先实现数据良好治理,激发数据要素市场活力。
(四)商业银行集团经营管理升级需要强化数据治理
有效的数据治理可以帮助商业银行集团提升经营管理效率,实现以数据为驱动的精细化智慧经营。首先,商业银行数据治理是银行运营安全的需要。数据是银行的重要资产,银行必须安全地保管自身及公私客户的信息,否则会给银行带来不可估量的经济和声誉损失。其次,银行风险管控需要强化数据治理。商业银行风险综合评估和控制的智能化必须以大数据支持的高质量风控数据模型为基础,切实保障数据的一致性、完整性,实现风险管控活动的正常有效运作。再次,银行业务创新需要强化数据治理。商业银行需要对存量和新增经营管理数据进行深度挖掘、分析,明确新产品新服务的数据管理相关要求,清晰评估成本、风险和收益,推出适应客户个性化、综合化需要的各种具有独特竞争优势和市场价值的创新金融业务,提升客户体验和银行核心竞争力。
二、当前商业银行集团数据治理难点
目前来看,大中型商业银行集团在数据治理方面仍存在一些亟待解决的重要问题,具体来看可概括为管理难点和技术难点两大方面。
(一)银行数据治理管理实践的难点
银行集团培育数据要素市场必须尽可能多地实现内外部数据资源开放共享,但在实际管理上至少存在三个方面难点:首先,商业银行集团层面数据治理意识有待进一步提升。目前来看一些商业银行集团高层的数据治理意识有待进一步提升,银行集团治理层应将数据治理作为自上而下的一体化和“一号”工程,以保证整个银行集团数字化转型过程中数据项目的愿景与集团整体的战略目标保持一致。
其次,商业银行集团各子公司数据治理能力参差不齐。各类金融子公司在数据治理方面普遍缺乏统一规范、统一管理、统一规划。母行对子公司特别是境外子公司的战略管控还有待加强,集团公司和子公司数据治理方面的制度繁多,没有统一口径,数据解读难度较高。
再次,商业银行集团面临数据共享和开放困境。各金融子公司都拥有不同的利益集团结构,加之严格的监管要求和内部商密管理制度,相互之间数据协同顾虑较多,都希望数据只进不出,本机构的底层敏感丰富数据不敢开放。这种由数据所有权与控制权(使用权)分离导致的数据共享概念和开放困境,或者说集团内部子公司内部的利益关系也阻扰了商业银行集团层面的数据治理工作的落实。缺乏整体的监管数据管控体系,缺乏统一的指标口径、缺乏系统支撑、时效性不强、数据补录等问题已经严重影响到银行集团报送数据的时效性和准确性。
(二)银行数据治理技术实现方面的难点
首先,银行集团内部数据资源庞大并且数据结构复杂。银行集团的数据按维度可分为两大类:一类是基础数据,即底层明细数据信息;另一类为基于基础数据信息按需汇总编制的应用数据。银行集团业务经营发展过程中往往涉及数千万甚至上亿客户的个人数据信息,所服务的对公企业和机构客户也往往在几十万甚至数百万家,在金融服务过程中形成的海量和千差万别的数据结构,增加了快速盘清数据底账,保持数据分类分级一致性,以及防护策略有效性的挑战和整体推进数据治理工作的难度。
其次,商业银行集团范围的源系统改造存在障碍。数据梳理、数据编码重构及映射等方面的系统改造影响面会非常广,这就大大增加了银行集团数据治理部门在构建多个金融子公司和整个金融业务板块的数据治理体系方面的难度。数据是一个国家的战略性资源和核心竞争优势的重要组成部分,跨境数据流动已成为世界各国竞争博弈的重要领域。大中型银行集团都不同程度地开展着国际化跨境经营,数据的国际跨境流动要求更高的安全保障和顺畅的境内外合作协调。在地缘政治经济金融环境不确定性急剧上升的大环境下,加强有效的数据治理国际合作,推动构建更加有效和规范的金融数据全球治理,确保银行集团的整体数据和系统运营安全是相当长时期大中型银行集团面临的重大挑战。
再次,商业银行集团数据管控方案普适性要求高。商业银行集团数据治理方案的有力执行是整个集团数据建立和数据质量的根本保障,但是由于许多商业银行集团的子公司涉及金融和非金融行业等广泛领域,每个行业的监管和运营对数据治理都有着差异化的需求和设计方案。因此,如何通过最新数字技术促进银行集团多业态数据的协同共享,是业务协同发展中的重要挑战。
最后,商业银行集团内部数据安全隐患仍然较多。随着更多金融科技和移动智能终端的普遍开发和使用,导致数据被盗用、侵权、欺诈、财富和人身安全等方面的问题日益突出。近年来国内外各种金融机构因为网络安全防护和系统建设存在的漏洞导致客户数据泄露和损毁的风险不断增加,如何有效保护金融消费者权益面临新的问题和挑战。但目前看,一些商业银行集团仍无法有效应对复杂数据流动的风险,风险防护的手段方面也缺乏强有力的协调联动能力,无法针对客户生命周期的整体数据安全提供有效的防护。
三、商业银行集团数据治理重点
银行集团数据治理是一项新兴而又充满长期挑战的系统工程,具体解决商业银行集团中的谁(Who)能根据什么样的信息,在何时(When)和何种情况(Where)下,选择何种路径(Which),用什么方法(How),达到什么目标(What)。商业银行集团的数据治理中最为突出问题表现在集团数据管理、集团数据共享、数据的市场化交易平台等三个层面。
(一)突出要强化集团数据管理
首先,要在商业银行集团范围规范和统一数据标准。在大中型商业银行集团,对数据的表达、格式及定义是否有一致约定,对数据业务属性、技术属性和管理属性是否有统一定义,这些对数据治理影响重大。银行集团通过规范业务、技术、管理等三大属性,可使全集团各项金融业务的经营管理过程中有效统一各类业务术语定义、报表口径规范、数据交互标准等等。集团良好的数据标准体系不仅有助于商业银行集团数据的有效共享、交互和应用,还可以大幅减少集团内各种业务板块和系统间的数据转换需求。这就要求银行集团总部层面建立规范的数据资产目录,将境内外各金融子公司重要的业务元数据集中到总部平台进行统一管理,然后再根据不同的金融业务场景对数据资源科学分类,在银行集团范围依法合规开展数据共享,发挥数据生产要素的规模经济、范围经济和协同效应,提升数据资源使用价值。
其次,要突出强化银行集团的数据质量管理。商业银行集团通过强化数据管理,有效提升集团范围的数据完整性、真实性和准确性,可以为集团数据治理提供更加可靠的数据基础,构建高价值的数据资产池,大幅度提升数据的使用价值,提高银行集团的重大经营管理决策、风险管理和合规控制等领域科学性和有效性。银行可以数据探查报告方式,提供数据量、数据维度、变量类型(连续/多分类/二分类)等等各种信息,有效衡量集团各种数据的质量;还可以通过数据评估报告等形式,描述集团数据的完整性、离线在线一致性、准确性、唯一性、关联性、真实性、及时性等情况,有效评估数据要素整体分布和流通质量。
再次,加大商业银行集团元数据管理力度。元数据(Metadata)是描述其它数据的数据(dataaboutotherdata),或者说是用于提供某种资源的有关信息的结构数据(structureddata)。银行集团的元数据可以有效解释各类金融业务的数据意味着什么,数据又来自哪里,在集团各金融业务系统中这些数据如何有效流通转移,集团内的谁和哪些部门、机构在何时和以何种方式有权访问这些数据等概念。因此,在银行集团内部,可以将元数据看作是集团数据的数据“索引”,通过对元数据的规范管理实现各类数据的快速检索、血缘分析和数据地图展现。
(二)强化集团范围的数据共享
银行集团内部要大力推进数据开放共享,打破各类金融机构和不同种类金融业务之间的数据孤岛,让数据充分流动起来,创造更大的价值。
第一,要强化集团主数据管理。主数据是反映核心业务实体状态属性的基础信息,是系统间共享的数据,属性上具有相对稳定和变化相对缓慢等特点。实践中一些银行集团缺乏主数据管理平台和应用集成接口,各金融子公司分散建设的各系统中数据查重不能跨系统进行。在这样的情况下,银行集团内部的各系统应首先强化各自的主数据管理,打造自己的数据房间,按照主数据编码规则生成相应的高质量数据,然后导入集团主数据管理平台对各种数据实施集中管控。
第二,要规范银行集团内部的数据交换。商业银行集团通过对内部各系统间数据的交换规则制定对接口、文件的命名、内容等方面的标准进行统一,可以有效规范集团系统间、集团系统与下属金融子公司系统间的数据交换规则,从而对数据交换工作有序进行,提高数据共享的时效性,精确掌握数据的流向等等发挥重要作用。
第三,保障银行集团全面的数据安全。数据安全是商业银行集团数据交互共享的根本保障,如果因为数据安全无保障导致信息不慎泄露,不仅会给客户和集团带来重大经济损失,也会给商业银行集团及相应金融子公司带来不利的声誉风险,有的还将面临客户诉讼等法律风险和严厉的金融监管处罚。2022年一季度,银保监会严肃查处一批监管标准化数据(EAST)数据质量领域违法违规案件,对政策性银行、国有大型银行、股份制银行等共21家银行机构依法作出行政处罚决定,处罚金额合计8760万元。
(三)探索数据的市场化交易平台
集团应该为内部统一的数据资源交易平台制定和实施科学的交易规则,统计和计算数据资源生产要素的交易情况,厘清内部各子公司所产生数据的所有者、数据控制者和数据使用者之间的关系。同时,对于集团各单位所需要的外部数据,银行集团应以降低整体使用成本为目的,建立数据资源集中采购中心,统一采购后在集团内部开展数据资源生产要素交易和统计结算,最终达到提升数据资源整合价值的目标,为银行集团培育数字金融时代的新产业、新业态和新模式服务。
四、商业银行强化数据治理的举措
(一)明确商业银行数据治理目标
银行集团数据治理体系包含三个层次目标:第一,IT层次为银行的经营发展需求、合规需求提供优质服务,并适配新兴的金融技术。银行要持续地评估IT架构的适应性;第二,银行的业务层次要求对外高效利用数据挖掘和分析技术,对内实现不同部门之间数据共享。例如,通过内部共享数据发掘母行和子公司、子公司间的交叉销售机会,设计新型产品等;第三,合规经营层次要求银行将本机构数据提交监管机构,以满足包括资产充足率、消费者数据监管、反恐怖、反洗钱等合规要求。这三个目标中,IT目标是后两者的基础,合规目标和商业目标可相互作用。
(二)科学设计和构建银行数据治理的架构体系
一是建立以IT为核心的数据架构。目前,大部分大中型银行集团都建立了企业级的主数据和数据认责部门,在此基础上可以再增加价值分析维度,根据数据使用频度、重要性、精准性、安全等级、监管要求等,以及数据在产品创设、客户标签、营销机会、风险技术、作业流程等应用维度进行标识和评估,实行数据的ABC分类管理,据此确定数据质量、存储、安全、调用等方面的策略。同时,集团管理层、数据认责部门、数据管理部门和信息技术部门要建立共同的数据价值判断标准,提高对银行集团数据治理活动的认识,推动数据标准的制定。信息技术部门则要在源系统中贯标,落实贯彻数据标准;
二是强化以数据为核心的应用管理。数据治理工作要前置到集团各类业务活动中,强化对业务活动中数据需求的分析。要强化数据采集、数据质量控制,最大限度集成和调用内、外部数据,支持营销、客户识别、风险控制等业务活动对海量数据的需求;三是以人员为核心的权责分配。数据治理委员会应作为数据治理的决策机构,首席数据官作为银行数据治理决策的最高执行人,专门数据治理部门作为与财务、业务、IT、法务等并行的数据治理具体执行机构。银行还可以建立数据经营的内部组织,通过数据质量改进和价值发掘,持续实现知识积累,管理好外部采购的数据,实现外部数据和内部数据的综合管理与应用。
(三)商业银行集团要强化数据风险管理
银行集团要强化统一化管理和主动型风控管理,提升从数据中识别风险、灵活运用大数据技术管控风险的能力。
一是数据安全管理规范化。银行集团要制定金融数据安全治理建设标准指南,数据安全分类分级管理办法,规范数据安全过程中的技术方案等。要建立统一的金融数据安全管理制度体系,明确集团各部门与岗位的工作职责,规范数据治理工作流程,加强对金融数据安全管理的人员工作职责要求;形成规范数据安全的范围、内容、流程及方法的标准,制定严格、合理、可执行的数据安全分级分类管理标准。
二是建立适应金融数据全生命周期的安全管理体系。在数据的全生命周期进行数据管理,及时发现在采集、传输、存储、使用、删除以及销毁等各个环节的风险点,明确各个环节风险点的分级防护要求。要构建统一的数据安全策略,集中化管控贯穿数据全生命周期的安全策略。要以数据安全分类分级管理办法和数据安全评估报告为基础,开展数据安全管理工作,对重要和敏感的数据进行特殊的处理,按照风险最小化的原则为系统维护人员和数据使用者设置数据访问权限,统一调度并实现与数据加密、数据脱敏、数据水印、数据防泄漏、数据溯源等防护技术工具的联动,充分考虑各种技术的组合和功能的互补性,从外到内形成一个纵深的安全防御体系,构建金融数据全生命周期安全的整体防护能力 。
三是建立统一的数据安全监管与运维管理平台。商业银行集团应邀请第三方机构对集团数据安全分类分级管理办法和数据安全等级保护水平进行评估。要切实加强在数据边界管控、访问控制、安全监测、安全审计、检查评估、应急响应与事件处置过程中的数据安全风险防控能力。数据治理部门要全面掌握数据安全态势,规避数据安全风险、提升应急响应能力和大数据安全指数,保障数据安全防护机制的有效执行,及时发现与处置数据安全问题。