隨著商業銀行數字化轉型競爭的加劇,銀行集團下屬子公司數字化、信息化水平的提升,集團內部對各類金融業務系統之間數據交互、數據集成提出了更高要求。強化銀行集團數據治理,對于打造數字時代銀行集團核心競爭力至關重要。
一、商業銀行集團數據治理勢在必行
近年來,商業銀行集團在推進各子公司協同發展和數據治理過程中,面臨各下屬金融機構系統之間因為數據標準不統一等導致的數據準確性、一致性、完整性缺乏保障、系統數據分散、數據質量不高等等問題,集團平臺下各系統間快速高效的數據交互難以實現,強化數據治理勢在必行。
(一)金融綜合化經營監管要求強化數據治理
2020年3月國務院在《關于構建更加完善的要素市場化配置體制機制的意見》中首次將數據納入內在要素。中國人民銀行在2020年10月及2021年3月分別發布了《金融數據安全分級指南》和《金融業能力建設指引》指導金融業的數據治理工作。在中國人民銀行等四部委聯合印發的《金融標準化“十四五”規劃》中,對金融科技、綠色金融、數字貨幣、網絡安全等多個領域提出了標準化建設要求。中國人民銀行于2020年正式發布實施的《金融控股公司監督管理試行辦法》(以下簡稱《辦法》)更是規定金融控股公司應“規范發揮協同效應”,金融控股公司與其所控股金融機構之間、其所控股機構相互之間可以共享客戶信息、銷售團隊、信息技術系統、運營后臺、營業場所等資源,并要求將數據治理納入公司治理范疇,同公司治理評價和監管評級掛鉤。
(二)銀行監管機構對數據治理提出更高要求
《中國銀行業信息科技“十三五”發展規劃監管指導意見(征求意見稿)》及2018年5月中國銀保監會發布了《銀行業金融機構數據治理指引》(以下簡稱“《指引》”),都要求商業銀行金融機構應制定大數據戰略,夯實數據治理基礎,建立數據安全策略與標準,依法合規采集、應用數據,依法保護客戶隱私,劃分數據安全等級,明確訪問和拷貝等權限,監控訪問和拷貝等行為,加強數據資料統一管理,建立數據應急預案及問責機制。《指引》更是對數據治理架構、數據管理、數據質量管控、數據價值實現等各大領域進行了詳細規范,強調銀行業金融機構應當將數據治理納入公司治理范疇,建立自上而下、協調一致的數據治理體系。數據治理應當遵循全覆蓋、匹配性、持續性、有效性等四項基本原則。要建立自我評估機制,建立問責和激勵機制,確保數據管理高效運行。同時《指引》還明確了監管機構的監管責任、監管方式和監管要求。
2020年5月銀保監會下發《關于開展監管數據質量專項數據治理工作的通知》,開展為期1年的監管專項數據治理工作;2020年7月,人民銀行發布《關于建立金融基礎數據統計制度的通知》;2021年9月銀保監會發布《商業銀行監管評級辦法》,“數據治理”要素首次納入評價體系,并占5%的權重。2022年初,中國銀保監會辦公廳下發了《關于銀行業保險業數字化轉型的指導意見》,要求銀行業保險業從戰略規劃與組織流程建設、業務經營管理數字化、數據能力建設、科技能力建設、風險防范、組織保障和監督管理等方向持續發力,構建數字化經營管理體系,健全數據治理,全面提升網絡安全、數據安全和風險管理水平。
(三)數據要素市場建設要求銀行集團強化數據治理
數據要素市場已經被認定為我國第五大要素市場,激發數據要素市場活力關系到我國是否能在全球“數字經濟”競爭中彎道超車,甚至引領創新的偉大事業。作為大數據資源極其豐富、數字化轉型基礎較好的金融行業,肩負著在數據要素市場建設中發揮“標桿示范”的重要任務。銀行集團特別是已經開展綜合化經營的大中型商業銀行集團,作為多種金融機構業務聚合而成的重要金融基礎設施,更應發揮綜合經營數據平臺的優勢,借助先進金融科技技術,率先實現數據良好治理,激發數據要素市場活力。
(四)商業銀行集團經營管理升級需要強化數據治理
有效的數據治理可以幫助商業銀行集團提升經營管理效率,實現以數據為驅動的精細化智慧經營。首先,商業銀行數據治理是銀行運營安全的需要。數據是銀行的重要資產,銀行必須安全地保管自身及公私客戶的信息,否則會給銀行帶來不可估量的經濟和聲譽損失。其次,銀行風險管控需要強化數據治理。商業銀行風險綜合評估和控制的智能化必須以大數據支持的高質量風控數據模型為基礎,切實保障數據的一致性、完整性,實現風險管控活動的正常有效運作。再次,銀行業務創新需要強化數據治理。商業銀行需要對存量和新增經營管理數據進行深度挖掘、分析,明確新產品新服務的數據管理相關要求,清晰評估成本、風險和收益,推出適應客戶個性化、綜合化需要的各種具有獨特競爭優勢和市場價值的創新金融業務,提升客戶體驗和銀行核心競爭力。
二、當前商業銀行集團數據治理難點
目前來看,大中型商業銀行集團在數據治理方面仍存在一些亟待解決的重要問題,具體來看可概括為管理難點和技術難點兩大方面。
(一)銀行數據治理管理實踐的難點
銀行集團培育數據要素市場必須盡可能多地實現內外部數據資源開放共享,但在實際管理上至少存在三個方面難點:首先,商業銀行集團層面數據治理意識有待進一步提升。目前來看一些商業銀行集團高層的數據治理意識有待進一步提升,銀行集團治理層應將數據治理作為自上而下的一體化和“一號”工程,以保證整個銀行集團數字化轉型過程中數據項目的愿景與集團整體的戰略目標保持一致。
其次,商業銀行集團各子公司數據治理能力參差不齊。各類金融子公司在數據治理方面普遍缺乏統一規范、統一管理、統一規劃。母行對子公司特別是境外子公司的戰略管控還有待加強,集團公司和子公司數據治理方面的制度繁多,沒有統一口徑,數據解讀難度較高。
再次,商業銀行集團面臨數據共享和開放困境。各金融子公司都擁有不同的利益集團結構,加之嚴格的監管要求和內部商密管理制度,相互之間數據協同顧慮較多,都希望數據只進不出,本機構的底層敏感豐富數據不敢開放。這種由數據所有權與控制權(使用權)分離導致的數據共享概念和開放困境,或者說集團內部子公司內部的利益關系也阻擾了商業銀行集團層面的數據治理工作的落實。缺乏整體的監管數據管控體系,缺乏統一的指標口徑、缺乏系統支撐、時效性不強、數據補錄等問題已經嚴重影響到銀行集團報送數據的時效性和準確性。
(二)銀行數據治理技術實現方面的難點
首先,銀行集團內部數據資源龐大并且數據結構復雜。銀行集團的數據按維度可分為兩大類:一類是基礎數據,即底層明細數據信息;另一類為基于基礎數據信息按需匯總編制的應用數據。銀行集團業務經營發展過程中往往涉及數千萬甚至上億客戶的個人數據信息,所服務的對公企業和機構客戶也往往在幾十萬甚至數百萬家,在金融服務過程中形成的海量和千差萬別的數據結構,增加了快速盤清數據底賬,保持數據分類分級一致性,以及防護策略有效性的挑戰和整體推進數據治理工作的難度。
其次,商業銀行集團范圍的源系統改造存在障礙。數據梳理、數據編碼重構及映射等方面的系統改造影響面會非常廣,這就大大增加了銀行集團數據治理部門在構建多個金融子公司和整個金融業務板塊的數據治理體系方面的難度。數據是一個國家的戰略性資源和核心競爭優勢的重要組成部分,跨境數據流動已成為世界各國競爭博弈的重要領域。大中型銀行集團都不同程度地開展著國際化跨境經營,數據的國際跨境流動要求更高的安全保障和順暢的境內外合作協調。在地緣政治經濟金融環境不確定性急劇上升的大環境下,加強有效的數據治理國際合作,推動構建更加有效和規范的金融數據全球治理,確保銀行集團的整體數據和系統運營安全是相當長時期大中型銀行集團面臨的重大挑戰。
再次,商業銀行集團數據管控方案普適性要求高。商業銀行集團數據治理方案的有力執行是整個集團數據建立和數據質量的根本保障,但是由于許多商業銀行集團的子公司涉及金融和非金融行業等廣泛領域,每個行業的監管和運營對數據治理都有著差異化的需求和設計方案。因此,如何通過最新數字技術促進銀行集團多業態數據的協同共享,是業務協同發展中的重要挑戰。
最后,商業銀行集團內部數據安全隱患仍然較多。隨著更多金融科技和移動智能終端的普遍開發和使用,導致數據被盜用、侵權、欺詐、財富和人身安全等方面的問題日益突出。近年來國內外各種金融機構因為網絡安全防護和系統建設存在的漏洞導致客戶數據泄露和損毀的風險不斷增加,如何有效保護金融消費者權益面臨新的問題和挑戰。但目前看,一些商業銀行集團仍無法有效應對復雜數據流動的風險,風險防護的手段方面也缺乏強有力的協調聯動能力,無法針對客戶生命周期的整體數據安全提供有效的防護。
三、商業銀行集團數據治理重點
銀行集團數據治理是一項新興而又充滿長期挑戰的系統工程,具體解決商業銀行集團中的誰(Who)能根據什么樣的信息,在何時(When)和何種情況(Where)下,選擇何種路徑(Which),用什么方法(How),達到什么目標(What)。商業銀行集團的數據治理中最為突出問題表現在集團數據管理、集團數據共享、數據的市場化交易平臺等三個層面。
(一)突出要強化集團數據管理
首先,要在商業銀行集團范圍規范和統一數據標準。在大中型商業銀行集團,對數據的表達、格式及定義是否有一致約定,對數據業務屬性、技術屬性和管理屬性是否有統一定義,這些對數據治理影響重大。銀行集團通過規范業務、技術、管理等三大屬性,可使全集團各項金融業務的經營管理過程中有效統一各類業務術語定義、報表口徑規范、數據交互標準等等。集團良好的數據標準體系不僅有助于商業銀行集團數據的有效共享、交互和應用,還可以大幅減少集團內各種業務板塊和系統間的數據轉換需求。這就要求銀行集團總部層面建立規范的數據資產目錄,將境內外各金融子公司重要的業務元數據集中到總部平臺進行統一管理,然后再根據不同的金融業務場景對數據資源科學分類,在銀行集團范圍依法合規開展數據共享,發揮數據生產要素的規模經濟、范圍經濟和協同效應,提升數據資源使用價值。
其次,要突出強化銀行集團的數據質量管理。商業銀行集團通過強化數據管理,有效提升集團范圍的數據完整性、真實性和準確性,可以為集團數據治理提供更加可靠的數據基礎,構建高價值的數據資產池,大幅度提升數據的使用價值,提高銀行集團的重大經營管理決策、風險管理和合規控制等領域科學性和有效性。銀行可以數據探查報告方式,提供數據量、數據維度、變量類型(連續/多分類/二分類)等等各種信息,有效衡量集團各種數據的質量;還可以通過數據評估報告等形式,描述集團數據的完整性、離線在線一致性、準確性、唯一性、關聯性、真實性、及時性等情況,有效評估數據要素整體分布和流通質量。
再次,加大商業銀行集團元數據管理力度。元數據(Metadata)是描述其它數據的數據(dataaboutotherdata),或者說是用于提供某種資源的有關信息的結構數據(structureddata)。銀行集團的元數據可以有效解釋各類金融業務的數據意味著什么,數據又來自哪里,在集團各金融業務系統中這些數據如何有效流通轉移,集團內的誰和哪些部門、機構在何時和以何種方式有權訪問這些數據等概念。因此,在銀行集團內部,可以將元數據看作是集團數據的數據“索引”,通過對元數據的規范管理實現各類數據的快速檢索、血緣分析和數據地圖展現。
(二)強化集團范圍的數據共享
銀行集團內部要大力推進數據開放共享,打破各類金融機構和不同種類金融業務之間的數據孤島,讓數據充分流動起來,創造更大的價值。
第一,要強化集團主數據管理。主數據是反映核心業務實體狀態屬性的基礎信息,是系統間共享的數據,屬性上具有相對穩定和變化相對緩慢等特點。實踐中一些銀行集團缺乏主數據管理平臺和應用集成接口,各金融子公司分散建設的各系統中數據查重不能跨系統進行。在這樣的情況下,銀行集團內部的各系統應首先強化各自的主數據管理,打造自己的數據房間,按照主數據編碼規則生成相應的高質量數據,然后導入集團主數據管理平臺對各種數據實施集中管控。
第二,要規范銀行集團內部的數據交換。商業銀行集團通過對內部各系統間數據的交換規則制定對接口、文件的命名、內容等方面的標準進行統一,可以有效規范集團系統間、集團系統與下屬金融子公司系統間的數據交換規則,從而對數據交換工作有序進行,提高數據共享的時效性,精確掌握數據的流向等等發揮重要作用。
第三,保障銀行集團全面的數據安全。數據安全是商業銀行集團數據交互共享的根本保障,如果因為數據安全無保障導致信息不慎泄露,不僅會給客戶和集團帶來重大經濟損失,也會給商業銀行集團及相應金融子公司帶來不利的聲譽風險,有的還將面臨客戶訴訟等法律風險和嚴厲的金融監管處罰。2022年一季度,銀保監會嚴肅查處一批監管標準化數據(EAST)數據質量領域違法違規案件,對政策性銀行、國有大型銀行、股份制銀行等共21家銀行機構依法作出行政處罰決定,處罰金額合計8760萬元。
(三)探索數據的市場化交易平臺
集團應該為內部統一的數據資源交易平臺制定和實施科學的交易規則,統計和計算數據資源生產要素的交易情況,厘清內部各子公司所產生數據的所有者、數據控制者和數據使用者之間的關系。同時,對于集團各單位所需要的外部數據,銀行集團應以降低整體使用成本為目的,建立數據資源集中采購中心,統一采購后在集團內部開展數據資源生產要素交易和統計結算,最終達到提升數據資源整合價值的目標,為銀行集團培育數字金融時代的新產業、新業態和新模式服務。
四、商業銀行強化數據治理的舉措
(一)明確商業銀行數據治理目標
銀行集團數據治理體系包含三個層次目標:第一,IT層次為銀行的經營發展需求、合規需求提供優質服務,并適配新興的金融技術。銀行要持續地評估IT架構的適應性;第二,銀行的業務層次要求對外高效利用數據挖掘和分析技術,對內實現不同部門之間數據共享。例如,通過內部共享數據發掘母行和子公司、子公司間的交叉銷售機會,設計新型產品等;第三,合規經營層次要求銀行將本機構數據提交監管機構,以滿足包括資產充足率、消費者數據監管、反恐怖、反洗錢等合規要求。這三個目標中,IT目標是后兩者的基礎,合規目標和商業目標可相互作用。
(二)科學設計和構建銀行數據治理的架構體系
一是建立以IT為核心的數據架構。目前,大部分大中型銀行集團都建立了企業級的主數據和數據認責部門,在此基礎上可以再增加價值分析維度,根據數據使用頻度、重要性、精準性、安全等級、監管要求等,以及數據在產品創設、客戶標簽、營銷機會、風險技術、作業流程等應用維度進行標識和評估,實行數據的ABC分類管理,據此確定數據質量、存儲、安全、調用等方面的策略。同時,集團管理層、數據認責部門、數據管理部門和信息技術部門要建立共同的數據價值判斷標準,提高對銀行集團數據治理活動的認識,推動數據標準的制定。信息技術部門則要在源系統中貫標,落實貫徹數據標準;
二是強化以數據為核心的應用管理。數據治理工作要前置到集團各類業務活動中,強化對業務活動中數據需求的分析。要強化數據采集、數據質量控制,最大限度集成和調用內、外部數據,支持營銷、客戶識別、風險控制等業務活動對海量數據的需求;三是以人員為核心的權責分配。數據治理委員會應作為數據治理的決策機構,首席數據官作為銀行數據治理決策的最高執行人,專門數據治理部門作為與財務、業務、IT、法務等并行的數據治理具體執行機構。銀行還可以建立數據經營的內部組織,通過數據質量改進和價值發掘,持續實現知識積累,管理好外部采購的數據,實現外部數據和內部數據的綜合管理與應用。
(三)商業銀行集團要強化數據風險管理
銀行集團要強化統一化管理和主動型風控管理,提升從數據中識別風險、靈活運用大數據技術管控風險的能力。
一是數據安全管理規范化。銀行集團要制定金融數據安全治理建設標準指南,數據安全分類分級管理辦法,規范數據安全過程中的技術方案等。要建立統一的金融數據安全管理制度體系,明確集團各部門與崗位的工作職責,規范數據治理工作流程,加強對金融數據安全管理的人員工作職責要求;形成規范數據安全的范圍、內容、流程及方法的標準,制定嚴格、合理、可執行的數據安全分級分類管理標準。
二是建立適應金融數據全生命周期的安全管理體系。在數據的全生命周期進行數據管理,及時發現在采集、傳輸、存儲、使用、刪除以及銷毀等各個環節的風險點,明確各個環節風險點的分級防護要求。要構建統一的數據安全策略,集中化管控貫穿數據全生命周期的安全策略。要以數據安全分類分級管理辦法和數據安全評估報告為基礎,開展數據安全管理工作,對重要和敏感的數據進行特殊的處理,按照風險最小化的原則為系統維護人員和數據使用者設置數據訪問權限,統一調度并實現與數據加密、數據脫敏、數據水印、數據防泄漏、數據溯源等防護技術工具的聯動,充分考慮各種技術的組合和功能的互補性,從外到內形成一個縱深的安全防御體系,構建金融數據全生命周期安全的整體防護能力 。
三是建立統一的數據安全監管與運維管理平臺。商業銀行集團應邀請第三方機構對集團數據安全分類分級管理辦法和數據安全等級保護水平進行評估。要切實加強在數據邊界管控、訪問控制、安全監測、安全審計、檢查評估、應急響應與事件處置過程中的數據安全風險防控能力。數據治理部門要全面掌握數據安全態勢,規避數據安全風險、提升應急響應能力和大數據安全指數,保障數據安全防護機制的有效執行,及時發現與處置數據安全問題。
營業執照公示信息