优秀文章第三期:数据治理建章立制

来自德勤咨询: 德勤Deloitte

上期文章,我们从顶层设计的视角,解读了银行如何在数据治理整体架构下制定数据战略并设计组织架构。有道是“不立规矩,无以成方圆”,对于一家金融机构,顶层设计的落地与实现,需要通过建章立制来指导和规范数据治理各项日常工作的开展,从而达到数据质量真正有效提升,并最终使得数据赋能企业的发展。

本期,我们将聚焦数据治理建章立制工作, 通过“明确组织职责”、“构建制度体系”与“持续运行优化”三个步骤 ,介绍如何结合银行业金融机构的数据管理现状,搭建数据治理制度体系,激活各参与方的数据治理工作,形成常态化、科学化管理机制。通过制度运行阶段的持续优化,使银行能够不断与时俱进,响应内外部的管理要求,助推自身数字化变革。

数据治理的顶层设计,明确了数据治理的归口管理部门。而推动数据治理工作在全行的落地生根,离不开银行各参与方的协同与配合。明晰各参与方的职责,理顺银行各部门间、各级机构间工作的协同关系,梳理数据治理领域各主要板块的管理流程,是构建制度体系的基础。

数据治理领域的协同工作,涉及银行前、中、后台众多部门,在数据治理归口部门的统筹下,各参与方依托各自部门的专业能力与数据管辖权,协同配合归口部门,开展数据治理工作。

其中,业务与职能部门,作为各自部门数据的所有者和负责人,在源头上接触一手数据,熟悉数据属性和内涵,是银行数据的“业务管家”,协同承担数据标准制定、数据质量管理与数据分析应用职责。 而IT部门则负责建立、完善、维护企业的数据架构,建立专业的数据管理平台与工具,承担数据管理的技术支撑和信息安全职责,是内部数据的搬运者、维护者或加工者,负责支撑数据的分析和应用,是银行数据的“技术管家”。

“指引”要求银行的数据治理体系覆盖所有的分支机构与附属机构,这意味着数据治理工作必须自上而下,从总行或母行全面覆盖到各个分行、支行、附属公司、甚至境外机构。从这个角度出发,对银行而言,总行不再单单扮演银行的总部去实施数据治理工作,同时也应定位于集团母行、母公司,去从集团的角度推动数据治理工作。所以,应该建立总行(母公司)与分支机构、附属公司之间的数据管理的沟通渠道,针对属地管理及不同附属公司的不同要求,采用“一体化”与“个性化”的管理策略,推动数据治理工作全方位开展。

?一体化:各分支机构与附属公司应对自身数据负责。根据总行数据治理工作的统一要求,承担自身数据产生、存储等各环节的数据质量控制与数据安全保护等职责。由总行发现的质量等问题,涉及分支机构与附属公司的,应由该机构自身承担整改责任。 以BCBS239(国内称RDA-Risk data aggregation)为例,在推动全球系统重要性银行满足有效风险数据加总和风险报告的原则中,要求母公司应统筹的推进集团范围内的数据治理工作,以此保障集团能够收集加总跨国家、跨业态的不同机构内的风险数据,用于分析决策或监管报送。

?个性化:面向不同的属地法规要求,银行应制定相应的数据管理策略。 以GDPR为例,中资银行如在欧盟境内设立有分支机构,该分支机构将被作为责任主体来强制执行GDPR(General Data Protection Regulation 通用数据保护条例)法律要求。有鉴于此,银行需在现有数据治理体系的基础上,优化个人数据隐私保护等管理内容,满足GDPR的要求。

|

第十八条 银行业金融机构应当制定全面科学有效的数据管理制度,包括但不限于组织管理、部门职责、协调机制、安全管控、系统保障、监督检查和数据质量控制等方面。

第二十五条 银行业金融机构应当加强数据资料统一管理,建立全面严密的管理流程、归档制度,明确存档交接、口径梳理等要求,保证数据可比性。

第三十三条 银行业金融机构应当建立数据质量现场检查制度,定期组织实施,原则上不低于每年一次,对重大问题要按照既定的报告路径提交,并按流程实施整改。

第三十七条 银行业金融机构应当建立监管数据质量管控制度,包括但不限于:关键监管指标数据质量承诺、数据异常变动分析和报告、重大差错通报以及问责等。。

——《银行业金融机构数据治理指引》

|

构建银行数据治理制度体系,首先应符合银行的数据战略,其次应充分结合数据治理组织架构与管理现状,体现、贯彻和落实数据治理顶层设计要求,逐步将数据治理体系纳入全行的管理实践中。

根据数据管理的层次和授权决策次序,数据治理制度体系框架分为章程、专项办法、工作细则三级梯次,该框架标准化地规定数据管理的具体领域、各个数据管理领域内的目标、遵循的行动原则、需完成的明确任务、实行的工作方式、采取的一般步骤和具体措施等。

《数据治理章程》是银行最高层次的数据治理政策,是为指导全行数据治理、管理活动和防范数据风险的基础性政策,是建立和完善数据体系所必须遵循的基本原则和纲领,是确保数据治理工作得以有效开展,支撑各数据管理专项领域进行质量管理和最终应用的基本准则。

《数据治理章程》具体包含数据治理总则、管理范围、组织架构、专项规定、问题处理机制与相应的附则或附件。章程贯穿数据和信息的创造、传输、整合、安全、质量和应用的全过程,数据治理专项办法和细则,都应在符合《数据治理章程》原则和纲领的基础上制定。

数据治理工作涵盖内容广泛,涉及专业领域众多。银行需在《数据治理章程》的指引下,依托数据治理原则与组织架构职责,根据数据治理各专项领域的工作特点,制定各专项领域的管理办法,用来指导各项工作在全行的有序开展。

数据治理专项办法上承《数据治理章程》,下接工作细则,包含该专项工作的总则、工作内容与范围、组织架构与职责,定义了该专项工作下的主要工作任务。

以各专项管理办法为基础,进一步细化至各项工作的操作流程。通过各项流程细则的制定,将顶层设计贯穿至数据治理的日常工作之中,打通了数据治理在执行操作层面的“最后一公里”,指导一线工作人员按照规范化流程开展数据治理工作,为全行数据治理和提升奠定基础。

数据治理工作覆盖范围广泛,与业务运营、IT管理、信息安全等多个领域密切相关。在构建数据治理工作体系时,需厘清数据治理各专项领域的工作内容,划定工作范围,并明确数据治理工作与各相关工作的内涵差异和职责边界。落实到制度文本与流程细则,需确保数据治理制度体系整体内容的完整性,以及与各周边相关工作能有效衔接。

|

第十八条 银行业金融机构应当制定全面科学有效的数据管理制度,包括但不限于组织管理、部门职责、协调机制、安全管控、系统保障、监督检查和数据质量控制等方面。

银行业金融机构应当根据监管要求和实际需要,持续评价更新数据管理制度。

第十九条 银行业金融机构应当制定与监管数据相关的监管统计管理制度和业务制度,及时发布并定期评价和更新,报银行业监督管理机构备案。制度出现重大变化的,应当及时向银行业监督管理机构报告。

——《银行业金融机构数据治理指引》

|

随着银行数字化能力的日新月异,银行间数据资产应用能力的较量愈发白热化,但决定其数据资产价值能否放大的根本,在于是否拥有科学的数据管理体系支撑。与此同时,各类数据相关监管要求也在不断深入, 正所谓“数据治理没有完成时”,对银行而言,数字化转型的进程,以及数据资产的增值,有赖于数据治理这一项长期持续性的工作。以制度体系作为基石,需要定期开展“体检”工作,确保其运行得益,与时俱进。

?定期自查,分析制度体系运作情况

通过开展数据制度体系自查工作(如制度定期评估或内控评价工作),分析数据治理各项管理流程的运转情况,定期评估运作效果,识别运转不畅、效率低下的流程节点和原因,并予以解决和优化。

随着数据管控平台的普及,众多银行已开始将标准管理、质量检核、问题分发等流程纳入数据管控平台进入统一管理。通过数字化、智能化的方式,提升数据治理整体工作实效,也有助于银行及时发现流程运转过程中遇到的问题,帮助银行优化数据治理管理体系。

?与时俱进,确保制度体系的前沿性

银行应结合数据治理的日常宣贯工作,掌握金融科技与监管科技的前沿动向,结合监管要求与行内自身情况,不断优化行内数据治理工作的技术能力与运行效果,并通过制度流程加以固化,确保数据治理工作的持续发展。

数据治理制度体系的形成,是对银行整体制度体系的补充与完善。规范的制度体系是数据治理这棵参天大树生长的土壤与养分,在它的滋养下,数据治理的持续发展与深入便“有法可依,有章可循”。本文作为数据治理系列文章的第三期,探讨了如何通过建立制度体系,激活工作机制,推动数据治理体系的长效和良性运转,下一期我们将从考核体系的建立,数据管理奖惩机制的有效运行来进一步保障银行数据治理体系的落地运行。