數(shù)據(jù)治理為什么很重要，誰應該負責？

Myles Suer Charles

首席信息官們是否應該在數(shù)據(jù)治理中主動作為？企業(yè)需要數(shù)據(jù)治理才能生存下去，即使這不帶來業(yè)務價值。

在過去幾年里，我曾多次就首席信息官們對數(shù)據(jù)治理的看法與他們聯(lián)系過。看到它在過去幾年里發(fā)生了這么大的變化真是令人感到驚訝——最近在我們每周的#CIOChat推特聊天中，高級技術領導們之間的討論清楚地證明了這一點。

有效的數(shù)據(jù)治理過程應該涉及哪些主題？

當今的首席信息官們已經(jīng)開始站在數(shù)據(jù)治理的角度進行思考。一位首席信息官立即建議，數(shù)據(jù)治理應回答以下業(yè)務問題：

1. 我有什么樣的數(shù)據(jù)？

2. 數(shù)據(jù)在哪里？

3. 我們需要數(shù)據(jù)做什么？

4. 誰可以訪問并擁有數(shù)據(jù)？

5. 我們怎樣控制、保護和維護數(shù)據(jù)？

鑒于數(shù)據(jù)治理的前景日趨成熟，當首席信息官們向我提供了在有效數(shù)據(jù)治理項目中需要考慮的一長串事項時，我并不感到驚訝：

● 數(shù)據(jù)所有權

● 數(shù)據(jù)架構

● 數(shù)據(jù)可訪問性

● 數(shù)據(jù)使用

● 數(shù)據(jù)安全和隱私

● 數(shù)據(jù)分類

● 數(shù)據(jù)質量

● 元數(shù)據(jù)管理/主數(shù)據(jù)/數(shù)據(jù)整合

● 數(shù)據(jù)保留

● 監(jiān)管/合規(guī)

● 報告/指標

很多首席信息官建議，應該從數(shù)據(jù)分類開始啟動數(shù)據(jù)治理計劃。一位首席信息官說，重要的是企業(yè)在走和跑之前必須先學會爬。因此，對數(shù)據(jù)進行分類是邁出的重要第一步。首席信息官們認為這是最重要也是最基本的。首席信息官們表示，與此同時，數(shù)據(jù)治理應能夠評估多種類型的數(shù)據(jù)，包括元數(shù)據(jù)、主數(shù)據(jù)、內(nèi)容，等等。首席信息官說，這方面的工作應該是更大的信息治理計劃的一部分。

首席信息官們越來越多地認為，數(shù)據(jù)治理項目應包括隱私策略以及其他業(yè)務風險因素。首席信息官們在這方面應能夠積極地平衡企業(yè)目標和業(yè)務風險。作為這項工作的一部分，數(shù)據(jù)治理項目應該能回答消費者的數(shù)據(jù)所有權問題。數(shù)據(jù)有一個還是兩個所有者？合規(guī)是這個主題一個很好的起點。合規(guī)要求的清單會越來越長。目前最低限度清單包括GDPR、CCPA、HIPAA和PCI-DSS。

駕馭好數(shù)據(jù)

首席信息官們認為，治理本身并不能確保數(shù)據(jù)質量。但它確實明確了數(shù)據(jù)質量過程，由誰負責，能否全面滿足整個企業(yè)的需求。顯然，數(shù)據(jù)治理不應該只是一個簡單的清單。這涉及到誰參與（人），以及他們怎樣參與（過程）。當然，這將取決于企業(yè)。

首席信息官們認為，如果某一企業(yè)正在開始一次新轉型，那么治理應該被視為一種基礎，一種能力。然而，如果治理涉及到修復破碎混亂的數(shù)據(jù)，那么數(shù)據(jù)治理應該包括清理治理。這樣，企業(yè)能夠改進過程并努力提高數(shù)據(jù)質量。

如果數(shù)據(jù)質量不好，那么你可能找錯了具有數(shù)據(jù)“寫”權限的人，這就是一個治理問題。同時，數(shù)據(jù)的敏感性，及其在數(shù)據(jù)分類模型中所處的位置，兩者保持一致是很重要的。

當數(shù)據(jù)被濫用時，數(shù)據(jù)管理員甚至數(shù)據(jù)用戶有責任決定應該怎樣處理。管理員還負責確定怎樣保證數(shù)據(jù)的整體可信度。顯然，像數(shù)據(jù)壽命和保留這樣的主題可能代表著很難處理的治理問題，其中存在很多技術、法律、法規(guī)、合規(guī)和運營方面的問題。

哪些相關方應該參與有效的數(shù)據(jù)治理項目？

首席信息官們認為，所有擁有、管理和/或依靠數(shù)據(jù)做出決策的人都應該參與數(shù)據(jù)治理。一位金融服務首席信息官說，“用《金融服務現(xiàn)代化法案》法案（Gramm-Leach-Bliley Act，GLBA）的術語來說，這包括數(shù)據(jù)管理人員和監(jiān)管人員。一定包括他們。最后，這可能還包括來自幾乎所有業(yè)務領域的人員。”

對于很多企業(yè)來說，法律部門是做好企業(yè)合規(guī)工作，并確保企業(yè)滿足必要的治理要求的關鍵相關方。數(shù)據(jù)可能會帶來法律問題。保存數(shù)據(jù)的時間越長，電子發(fā)現(xiàn)（e-discovery）使用的數(shù)據(jù)就越多。雖然業(yè)務部門可能希望永久保存數(shù)據(jù)，但是如果不把數(shù)據(jù)保留定義和實施做為數(shù)據(jù)治理程序的一部分，這還是有風險的。

因此，數(shù)據(jù)治理相關方通常包括來自運營、銷售、營銷、人力資源、會計/財務的領導們。高管們應發(fā)揮作用。如果有高管參與，數(shù)據(jù)治理則應包括信息治理和記錄管理功能。除了IT部門，數(shù)據(jù)治理的主要相關方還應該包括：

● 首席執(zhí)行官

● 首席財務官

● 業(yè)務部門

● 客戶

● 合作伙伴/供應商

● 首席風險官

● 首席營銷官

● 銷售主管

● 監(jiān)管/法律部門

● 風險管理

● 首席數(shù)據(jù)官和/或者數(shù)字官

● 合規(guī)部門

在不愿承擔風險的行業(yè)中，企業(yè)出于法律風險的考慮，不太愿意進行數(shù)據(jù)保留。以前曾經(jīng)是七年，但很多企業(yè)定義了甚至更短的時間窗口。我們的機構研究辦公室是高等教育數(shù)據(jù)治理的關鍵合作伙伴。這個辦公室應該在IT的支持下推動這個過程。除此之外，還有所有的數(shù)據(jù)管理員，以及從不缺席的風險管理人員和法律顧問等。

IT部門怎樣才能最好地支持數(shù)據(jù)治理？

首席信息官們認為，IT部門把企業(yè)中的大部分部門鏈接起來。在很多關于數(shù)據(jù)的問題中，IT部門對“誰”有獨特的見解。換句話說，他們知道誰擁有、誰能看、誰想要等等。因此，IT部門應該是數(shù)據(jù)治理的主要推動者。對此，由IT部門鏈接業(yè)務相關部門是非常重要的，有些業(yè)務部門甚至不知道他們需要鏈接。

同時，首席信息官們建議，如果沒有軟件工具，很難想象能夠開展可行的數(shù)據(jù)治理工作。即使某些特定于某些領域或者托管/審核的系統(tǒng)，也是如此。IT部門最重要的一種職責是為數(shù)據(jù)治理過程中涉及的多個部門和相關方建立一個無縫的過程。這不能成為瓶頸，否則將永遠無法啟動。確保數(shù)據(jù)正確的最佳方法就是去使用它。首席信息官們很清楚，糟糕的數(shù)據(jù)會導致糟糕的報告。

首席信息官們認為，IT部門應通過采取以下措施來更好地支持數(shù)據(jù)治理：

1. 解決長期數(shù)據(jù)所有權/控制問題

2. 使其易于理解并且合規(guī)

3. 消除障礙（技術過失、集成/MDM問題）

4. 積極主動+提供幫助

對于IT部門來說，針對他們的情況實施切實可行的解決方案是非常重要的。有時候，他們工作太積極，做了太多的事情，最終會創(chuàng)造出不可行的政策。必須站在功能和實踐的角度，非常戰(zhàn)略性地思考數(shù)據(jù)治理過程。在數(shù)據(jù)質量方面，一位首席信息官認為，“陽光往往是最好的消毒劑”。因此，他們建議在遷移到云時，數(shù)據(jù)治理計劃必須包括“清理無用的東西”。

如果IT部門想通過工具實現(xiàn)數(shù)據(jù)治理，但沒有全面的業(yè)務支持，那就會是一種失敗。在此，IT的結果可能是一團糟。即使是最好的工具，當應用于破碎的過程時也無能為力。IT部門能做的最好的事情就是確保整個過程盡可能自動化和無縫。繁瑣的數(shù)據(jù)治理過程為影子IT部門參與到既有的過程中創(chuàng)造了機會。如果不起作用，就不會使用它，然后這就成了IT的過錯。

IT必須確保一開始就非常精簡，而不是把治理變成官僚的過程。否則，項目一開始就注定會失敗。即使在數(shù)據(jù)治理和掌控數(shù)據(jù)方面，IT部門能擔負起真正的領導職能，但事實上，如果沒有業(yè)務部門非常密切的參與，那幾乎就是一個無聊的過程。因此，業(yè)務部門在所有相關方中是最重要的。

要想很好地了解而且能訪問數(shù)據(jù)，則應包括過程和工具。過程是最難達成一致的。人員和過程比技術更重要。必須有全面的支持，然后由經(jīng)驗豐富的IT領導對形勢進行分析，以確保一切都能跨部門順利地進展。

怎樣在IT和首席數(shù)據(jù)官之間完成RACI？

首席信息官們說，這應該非常謹慎地進行。他們說，首席信息官和首席數(shù)據(jù)官之間的數(shù)據(jù)治理RACI（職責分配矩陣）應具有以下功能：

● 確定在企業(yè)中的官方角色

● 高管層面的協(xié)作

● 開放、共享的治理

● 最優(yōu)先的業(yè)務需求

● 緊急情況（網(wǎng)絡安全/監(jiān)管事件）

無論首席信息官和首席數(shù)據(jù)官之間是否存在正式的組織結構關系，也不管他們是不是同事，首席信息官認為信息治理職能必須非常正式，雙方都應參與。具體的RACI角色/規(guī)則應由企業(yè)進行定制。和大多數(shù)項目一樣，總是建議進行開放的交流。

總的來說，首席信息官們認為，在開始數(shù)據(jù)治理旅程之前，RACI應成為企業(yè)的核心部分。如果一家企業(yè)使用DevSecOps（設計安全性），那么首席數(shù)據(jù)官和IT部門應先行一步。首席信息官們相信，如果能經(jīng)常性地從企業(yè)的某些領域獲得這些數(shù)據(jù)，那么他們更有可能獲得成功。的確，只有從某些領域獲得這些數(shù)據(jù)，他們才更有可能獲得成功。

當然，在針對企業(yè)更高層領導開展培訓時，要讓他們明白，能否及時獲取具體的決策數(shù)據(jù)是成功與失敗的關鍵所在。除此之外，首席信息官們認為，即便在開始數(shù)據(jù)治理旅程之前，RACI也應該成為企業(yè)業(yè)務的一個核心部分。

怎樣更好地推動數(shù)據(jù)治理項目？

這顯然取決于行業(yè)。對于某些行業(yè)來說，這涉及到通過數(shù)據(jù)治理來展示增加了收益。對于其他行業(yè)來說，應該展示出有明顯的風險規(guī)避/緩解效果。無論采用何種方法，首席信息官都應該致力于實施有效的技術解決方案。重要的是，這些解決方案不應該帶來更多的威脅。首席信息官應親自投入實施能夠降低風險的治理計劃。

首席信息官們認為，數(shù)據(jù)治理項目不僅是要選擇工具，也不只是一個實現(xiàn)過程。讓人們參與進來才是它成功的關鍵。因此，有影響力的首席信息官應引入合適的人才來改進在這方面不足的數(shù)據(jù)治理項目。

通常情況下，首席信息官可以把數(shù)據(jù)治理與即將實施的大型項目聯(lián)系起來，從而實現(xiàn)這一目標。例如，實施一個將改變很多業(yè)務流程的新ERP。因此，建立起一個數(shù)據(jù)管理組，并圍繞一個ERP項目來運行，這應該是顯而易見的。對此，首席信息官們強調，數(shù)據(jù)治理不是一個項目，也不是一種選擇復選框的活動，它是一種文化。

有時，高管們能夠正確的表述治理這一術語，這才顯示了一家企業(yè)的成熟。在開始使用企業(yè)治理這個術語之前，先確保您理解了它。首席信息官們認為，把信息和數(shù)據(jù)治理與企業(yè)總體治理緊密聯(lián)系在一起是很有意義的。

一位首席信息官表示，在開展數(shù)據(jù)治理的工作中，他們的重點放在創(chuàng)收/成本節(jié)約舉措上。首席信息官們專門指出，相對于數(shù)據(jù)治理，高管們更關心收益。然而，他們說，一般需要通過法規(guī)/審計結果/事件才能引起高管們的注意，才能保證為數(shù)據(jù)治理提供適當?shù)馁Y金支持。

有了業(yè)務支持，首席信息官應聘請/任命一名信息治理專家來領導數(shù)據(jù)治理過程。首席信息官應確保完成成熟度評估。他們應該把調查結果與業(yè)務案例一起提交給領導層，以確定需要改進的地方和業(yè)務影響。首席信息官指出，由于數(shù)據(jù)不準確或者不可信，無法做出有效的企業(yè)決策。

必須考慮不斷變化的數(shù)據(jù)環(huán)境

首席信息官認為，在這個過程中，考慮不斷變化的數(shù)據(jù)環(huán)境是非常重要的。數(shù)據(jù)不再存在于很少的內(nèi)部應用程序中。現(xiàn)在是時候考慮一下你所使用的SaaS提供商的離線數(shù)據(jù)了。數(shù)據(jù)治理必須考慮所有解決方案。

對此，一位首席信息官表示，他們致力于理解他們的數(shù)據(jù)在哪里是最重要的，以及它對業(yè)務增長和業(yè)務轉型戰(zhàn)略的影響。一旦做到了這些，你就可以將其作為繼續(xù)推進的安全要求或者基礎而進行推廣。首席信息官可以通過以下方式很好地推廣數(shù)據(jù)治理項目：

● 展示每一相關方的價值主張及其內(nèi)容

● 展示它支持的最重要的戰(zhàn)略優(yōu)先事項

● 展示它怎樣提供支持，而不是限制

● 具有包容性

● 可實施

首席信息官們建議，要解釋如果沒有數(shù)據(jù)治理會怎樣損害企業(yè)，這一點很重要。有時，這涉及到解釋怎樣實現(xiàn)風險規(guī)避/風險緩解。例如，首席信息官們應認識到，對于很多需要開始這一過程的企業(yè)來說，GDPR仍然是非常強大的恐懼因素。同時，由于數(shù)據(jù)不準確或者不可信，無法做出有效的企業(yè)決策。不安全代表著風險。

必須強調的是，數(shù)據(jù)治理項目不僅是要選擇工具，也不只是一個實現(xiàn)過程，人是成功的關鍵所在。出于這個原因，首席信息官必須利用他們的影響力來吸引合適的人才，幫助改進或者建立數(shù)據(jù)治理項目。然而，太多的企業(yè)認為這不過是一個有終止日期的項目。治理的核心在于必須始終支持企業(yè)的使命和戰(zhàn)略。

首席信息官們最后指出，企業(yè)會不斷發(fā)展，因此，計劃應包含不斷變化的數(shù)據(jù)環(huán)境。數(shù)據(jù)治理必須隨著解決方案的發(fā)展而發(fā)展。目標應該是一種文化，在這種文化中，即使沒有具體的項目，數(shù)據(jù)和風險的重要性也會得到理解和考慮。

數(shù)據(jù)治理現(xiàn)在真的很重要。因此，首席信息官們應建立一個跨組織的部門。該部門應高效地管理人員、過程和所選擇的技術。如果有了這樣的部門，首席信息官應與首席數(shù)據(jù)官合作。這包括讓企業(yè)明白建立數(shù)據(jù)治理項目的業(yè)務影響，推廣相關的風險緩解措施。

據(jù)LeadTails的排名，Myles Suer是美國排名第9的最有影響力的首席信息官。他也是CIOChat的推動者，CIOChat有來自世界各地的銀行、保險、教育和政府等行業(yè)的高管參與其中。