從關鍵詞角度解讀《銀行業金融機構數據治理指引》＊

程廣明，劉小茵

（工業和信息化部電子第五研究所，廣東 廣州 510610；廣州賽寶認證中心服務有限公司，廣東 廣州 510610）

1 《銀行業金融機構數據治理指引》解讀

1.1 關鍵詞一：明確適用對象

《指引》適用于中華人民共和國境內經銀行業監督管理機構批準設立的銀行業金融機構，包括在中華人民共和國境內設立的商業銀行、農村信用合作社等吸收公眾存款的金融機構、政策性銀行以及國家開發銀行。

《中華人民共和國銀行業監督管理法》中所稱的“銀行業金融機構”，是指在中華人民共和國境內設立的商業銀行、城市信用合作社、農村信用合作社等吸收公眾存款的金融機構以及政策性銀行。

城市信用合作社已經轉為了地方商業銀行，所以，《指引》不再提此概念，但特別提出了國家開發銀行。國家開發銀行原屬于政策性銀行，在2008年改制為股份制銀行。在此需要指出的是，基于互聯網的網絡銀行也屬于吸收公眾存款的商業銀行，也屬于《指引》的適用對象。

1.2 關鍵詞二：數據治理內涵

《指引》這樣定義：數據治理，是指銀行業金融機構通過建立組織架構，明確董事會、監事會、高級管理層及內設部門等職責要求，制訂和實施系統化的制度、流程和方法，確保數據統一管理、高效運行，并在經營管理中充分發揮價值的動態過程。

組織架構，強調貫穿上下的組織架構的管理職責在數據治理中的根本性作用；數據治理需要制訂和實施系統化的制度、流程和方法；數據治理的目標是確保數據統一管理、高效運行，并在經營管理中充分發揮價值；數據治理是一個動態過程，不是一勞永逸的工作，需要建立持續改進的動態優化過程。

1.3 關鍵詞三：四大基本原則

《指引》中明確了銀行業金融機構數據治理的全覆蓋、匹配性、持續性、有效性四大基本原則。其中，全覆蓋原則體現在以下4個方面：①全生命周期，即數據的產生、存儲、傳輸、共享、使用、歸檔、銷毀等環節；②全類型，包含業務經營、風險管理和內部控制等過程中的數據；③全范圍，既包括內部數據，又包括外部數據，特別提出監管數據，金融機構應當為行業監管提供數據支撐；④全組織，要覆蓋金融機構所有的分支機構和附屬機構。

全覆蓋原則體現了《指引》第四條自上而下的數據治理體系；持續性原則體現了第三條對數據治理定性為動態過程的概念；而有效性原則反映了數據治理的目標不僅僅是管理好數據，而是要突出數據在經營管理中的作用。

1.4 關鍵詞四：數據治理架構

《指引》要求銀行業金融機構應當建立組織架構健全、職責邊界清晰的數據治理架構，明確董事會、監事會、高級管理層和相關部門的職責分工，建立多層次、相互銜接的運行機制。圖1展示了《指引》提出的數據治理組織架構。

圖1 《指引》要求的數據治理架構

董事會：銀行業金融機構內數據治理最高管理層，承擔最終責任。

監事會：監督、評價董事會和高級管理層。

高級管理層：負責建立數據治理體系，具體承擔數據治理任務。

首席數據官：專職負責數據相關的高級管理者，但是否納入高級管理層要視金融機構經營狀況確定。如果要納入，應符合相關行政許可事項的要求。

授權歸口管理部門：牽頭負責實施數據治理體系建設，設立滿足工作需要的專職崗位。

業務部門：負責本業務領域的數據治理任務，配合歸口管理部門落實數據治理體系建設，設置專職或兼職崗位。

1.5 關鍵詞五：加強統一管理

統一管理是實現數據治理的唯一途徑，涉及管理制度統一、業務規范統一、數據標準統一、數據采集統一、取數規則統一、監管指標統一、資料管理統一等內容。業務詞匯表和元數據管理是實現數據統一管理的前提，業務詞匯表包含與組織相關的詞匯、詞匯業務含義以及詞匯與信息資產（技術元數據）的關系，可以有效幫助組織用戶了解其業務元數據和技術元數據對應的業務含義。數據治理成功的關鍵在于元數據管理，即賦予數據在一定范圍內基本含義的參考框架。經過有效治理的元數據可提供數據流視圖、影響分析的執行能力、業務詞匯表以及其詞匯和定義的可問責性，最終提供用于滿足合規性的審計跟蹤。

管理制度統一：《指引》要求銀行業金融機構應當制訂全面、科學、有效的數據管理制度，包括但不限于組織管理、部門職責、協調機制、安全管控、系統保障、監督檢查和數據質量控制等方面的內容。

業務規范統一：銀行業金融機構不同部門或分支機構應當遵循統一的業務規范，建立適用于全組織的頂層業務規范。

數據標準統一：《指引》要求銀行業金融機構應建立覆蓋全部數據的標準化規劃，并確保相關標準能被有效執行。

數據采集統一：業務源頭是數據進入銀行金融機構的源頭節點，是保障數據統一的主要環節。《指引》要求銀行業金融機構應當加強對數據源頭的管理，確保將業務信息全面、準確、及時錄入信息系統。銀行業金融機構應當加強對數據采集的統一管理，明確系統間數據交換流程和標準，實現各類數據的有效共享。

取數規則統一：《指引》要求銀行業金融機構各項業務制度應當充分考慮數據質量管理需要，涉及指標含義清晰明確，取數規則統一，并根據業務變化及時更新。

監管指標統一：《指引》要求銀行業金融機構應當按照監管要求報送法人和集團的相關數據，保證同一監管指標在監管報送與對外披露之間的一致性。

資料管理統一：《指引》要求銀行業金融機構應當加強對數據資料的統一管理，建立全面嚴密的管理流程、歸檔制度，明確存檔交接、口徑梳理等要求，保證數據的可比性。

1.6 關鍵詞六：注重數據安全

安全是發展的前提，發展是安全的保障，安全和發展要同步推進。數據治理是為了組織更好地發展，而數據安全是實現數據治理目標的前提。《指引》中的數據安全包括數據保護、個人信息保護、數據連續性管理、數據風險管理等。

《指引》要求銀行業金融機構應建立數據安全策略與標準，依法合規采集應用數據，依法保護客戶隱私，劃分數據安全等級，明確訪問和拷貝等權限，監控訪問和拷貝等行為，完善數據安全技術，定期審計數據安全。同時，為響應《網絡安全法》《信息安全技術 個人信息安全規范》等涉及個人信息保護的法規和國家標準，《指引》還要求銀行業金融機構采集應用數據涉及個人信息的，應遵循國家個人信息保護法律法規的要求，符合與個人信息安全相關的國家標準。

《商業銀行業務連續性監管指引》指出業務連續性管理，是指商業銀行為有效應對重要業務運營中斷事件，建設應急響應、恢復機制和管理能力框架，保障重要業務持續運營的一整套管理過程，包括策略、組織架構、方法、標準和程序。數據是業務連續性管理的重要內容之一，數據應急預案應當納入全行業務連續性管理體系中，并將其作為整體應急預案中的重要組成部分。《指引》要求銀行業金融機構應當建立數據應急預案，根據業務影響分析組織開展應急演練，完善處置流程，保證在系統服務異常以及遇到危機等情況下數據的完整性、準確性和連續性。

針對數據風險管理，《指引》提出了通過數據治理提升銀行業金融機構的風險管理水平的思路，體現了大數據在風險管理中的作用。《指引》要求銀行業金融機構應當充分運用數據分析，合理制訂風險管理策略、風險偏好、風險限額以及風險管理政策和程序，監控執行情況并適時優化調整，提升風險管理體系的有效性。

1.7 關鍵詞七：數據質量控制

數據質量管理是數據治理領域永遠繞不開的話題，沒有有效的質量數據，就無法獲得數據治理目標。《指引》也將數據質量作為數據治理的一項重要內容，作為單獨一個章節，并設置了9條要求。《指引》將數據的真實性、準確性、連續性、完整性和及時性作為數據質量管理目標的體現，而實現這些目標的途徑是要建立一套覆蓋全面的制度體系，包括元數據管理、數據源頭管理、數據質量監控體系、數據質量現場檢查制度、數據質量考核評價體系和數據質量整改機制。

1.8 關鍵詞八：實現數據價值

美國學者桑尼爾·索雷斯在《大數據治理》一書中這樣定義“大數據治理”——大數據治理是廣義信息治理計劃的一部分，即制訂與大數據有關的數據優化、隱私保護與數據變現的政策。筆者曾在《大數據治理模型與治理成熟度評估研究》一文中對該概念進行了簡要分解，提出了大數據必須變現，這也是大數據治理的目的所在。組織將數據視作其資產的一種，要將其轉化成組織可以使用的現金，變現的方式可以是單純地出售數據本身，也可以利用數據開發出來的新業務或者利用數據治理提升運營管理水平。

《指引》指出，要實現數據價值，銀行業金融機構要提高數據加總能力、數據分析應用能力、數據挖掘能力、風險預判與管理能力、大數據技術應用能力和量化評價能力等。

1.9 關鍵詞九：強化監督管理

監督管理是促進銀行業金融機構數據治理規范性的重要舉措。根據《指引》精神，監督管理的具體途徑包括構建問責機制、報送監管數據和數據治理審計等。

1.9.1 構建問責機制

構建問責機制要注意以下2點：①銀行業金融機構內部要構建清晰的組織架構，并分配職責，同時，建立匯報負責制。例如，監事會負責對董事會和高級管理層在授權審批與數據治理相關的重大事項上的監督，高級管理層向董事會匯報。《指引》要求銀行業金融機構應當建立問責機制，定期排查數據管理、數據質量控制、數據價值實現等方面的問題，依據有關規定對高級管理層和相關部門及責任人進行問責。②銀行業金融機構對銀行業監管機構的負責制，法定代表人或主要負責人對監管數據質量承擔最終責任。

1.9.2 報送監管數據

《指引》要求銀行業金融機構應當將監管數據納入數據治理，建立工作機制和流程，確保監管數據報送工作有效組織開展，使得監管數據質量持續提升。銀行業金融機構應當按照監管要求報送法人和集團相關數據，保證同一監管指標在監管報送與對外披露之間的一致性。如果發現重大差異，相關人員應當及時向銀行業監督管理機構解釋說明。

1.9.3 數據治理審計

《指引》要求銀行業監督管理機構應當通過非現場監管和現場檢查對銀行業金融機構數據治理情況進行持續監管。銀行業監督管理機構可以根據需要，要求銀行業金融機構通過內部審計機構或委托外部審計機構對其數據治理情況進行審計，并及時報送審計報告。

1.10 關鍵詞十：數據治理評估

數據治理內涵已經指出，數據治理是一個動態過程，不是一勞永逸的工作，需要建立持續改進的動態優化過程。實現動態優化過程的2個重要途徑是，銀行業金融機構內部的自評估和第三方獨立機構評估。《指引》要求銀行業金融機構應當建立數據治理自我評估機制，明確評估周期、流程、結果應用、組織保障等要素的相關要求。評估內容應覆蓋數據治理架構、數據管理、數據安全、數據質量和數據價值實現等，并按年度向銀行業監督管理機構報送。

認證認可作為質量技術監督事業的重要組成部分和基礎工作，貫徹著傳遞信任、服務發展的工作方針。數據治理是一門涉及數據科學、信息科學、管理工程、金融學等多項內容交叉的學科，單獨依靠銀行業金融機構實現數據治理存在極大的難度。銀行業金融機構應當充分利用外部機構專業的數據治理提升自身能力，并通過第三方機構客觀、公正地評估、發現數據治理過程中存在的問題，及時改正問題環節、補強薄弱環節，構建一個持續改善的數據治理體系。

2 《銀行業金融機構數據治理指引》與云端數據治理模型對比

2.1 云端數據治理模型簡介

針對云計算環境下的數據治理需求，賽寶認證中心發揮技術優勢，在借鑒CMMI數據管理成熟度（DMM）、DAMA數據管理知識體系（DMBOK）等國外數據治理理論的基礎上，提出了云端數據治理模型（CDGM）。在CDGM開發過程中，賽寶認證中心也為國際標準《Information technology-Governance of IT-Governance of data-Part 1：Application of ISO/IEC 38500 to the governance of data》和國家標準《信息技術服務 治理 第5部分：數據治理規范》提供了技術支持。CDGM認為，云端數據治理是以云端數據為主要治理對象，并制訂與云端數據戰略、數據管理、數據優化、數據安全與隱私保護等相關的策略，指導組織規劃、構建、評估和優化數據治理體系的活動集合。CDGM包含數據戰略、數據管理、數據質量、數據操作、數據架構、數據安全和隱私保護6個職能域。

與絕大多數的數據治理理論相比，CDGM不僅關注數據治理理論，更引入了能力成熟度的概念去評估組織的數據治理能力，最關鍵的是還給出了數據治理體系實施方案。云端數據治理過程采用“策劃（Plan）—實施（Do）—測評（Check）—處置（Action）”的循環作用和持續改進來提高所有過程有效性的PDCA方法，并結合借鑒項目管理、數據治理、IT治理等領域的實施方法論，形成云端數據治理管理體系，如圖2所示。

2.2 《指引》與CDGM對比

CDGM是一套完整的數據治理模型，覆蓋了諸多方面的數據治理知識，而《指引》是針對銀行業金融機構數據治理的指南，具有行業特性。《指引》除了總則、監督管理和附則之外，與具體的數據治理相關的內容共四章四十二條。經過對比發現，CDGM幾乎能夠覆蓋所有的條款，具體如表1所示。

通過深入對比發現，CDGM與《指引》的異同點如下。

2.2.1 相似之處

CDGM與《指引》的相似之處是：①對數據治理的定義和理解基本一致，都是通過制訂和實施相關政策制度，以發揮數據價值為根本目標。②數據治理原則不謀而合。CDGM以全局統籌、風險可控、運營合規和創新應用為四大原則，《指引》則是以全覆蓋、匹配性、持續性和有效性為四大原則，全局統籌與全覆蓋、風險可控與匹配性、創新應用與有效性基本一致。③數據治理主體內容高度契合。CDGM包含數據戰略、數據管理、數據質量、數據操作、數據架構、數據安全和隱私保護6個職能域，《指引》則包含數據治理架構、數據管理、數據質量控制、數據價值實現4個主體章節。

圖2CDGM實施框架

表1 《指引》與CDGM比較

2.2.2 不同之處

CDGM與《指引》的不同之處是：①適用性差異。《指引》是面向行業的數據治理指南，CDGM則是面向全行業的通用數據治理指南，可以實現對具體行業的量體裁衣。②功能性差異。《指引》是由監管機構發布的帶有行政指令性質的指南，強調數據治理的重要性，以結果為導向。CDGM是由第三方專業機構開發的數據治理體系，以解決問題為導向，以幫助組織建立數據治理體系為目標，以數據治理能力成熟度等級評價為手段，持續提高組織數據治理能力。雖然《指引》與CDGM的出發點不同，但是，目標方向是一致的。銀行業金融機構可以在《指引》的要求下，借鑒CDGM，結合各自情況，建立最適宜的數據治理體系，并利用外方專業的數據治理持續改善組織數據治理能力。

3 結束語

《指引》為銀行業金融機構開展數據治理提供了目標和根本途徑，但由于是政府部門的監管文件，它無法為讀者提供過多的解釋性內容。本文從專業的視角為《指引》梳理了10個關鍵詞，以期幫助讀者更加深入、全面地了解其內容。同時，本文將《指引》與CDGM進行了對比分析，以幫助銀行業金融機構利用CDGM模型構建數據治理體系，提高數據質量，充分發揮數據價值，提升經營管理水平，滿足金融機構的監管要求。