商業銀行內部審計在數據治理中發現的主要問題和應對策略

■王 萍 虞歡歡

（江蘇蘇州農村商業銀行股份有限公司）

1 引 言

隨著數字化時代的到來，數據已經成為銀行經營的核心生產要素，金融科技的應用必然依賴于銀行良好的數據質量，近年來監管當局對金融機構數據治理工作愈加重視，銀保監會在2018年印發的《銀行業金融機構數據治理指引》（下文通稱：指引）中正式將數據治理工作納入銀行公司治理評價范疇，同時監管當局對金融機構數據治理工作的處罰力度也是空前的，2020年5月9日，銀保監會針對工農中建交、郵儲、中信、光大銀行EAST系統數據質量及數據報送開具共計1770萬元罰單，給金融機構監管報送與數據治理工作帶來震撼一擊，充分體現了監管當局對監管數據質量的重視程度以及當下金融機構數據治理工作存在眾多薄弱環節。

2 數據治理審計要點

根據銀保監的要求結合銀行的實際情況，從內部審計實務出發定制了四項檢查要點。具體如下：

（1）數據治理架構。指引對銀行數據治理工作提出了系統化的要求，涉及到銀行從科技到業務、自上而下各個部門與各個層級。商業銀行基于指引開展數據治理工作，首先應該對自身數據治理能力進行自我評估，根據自身的管理模式、業務規模、風險狀況制定數據戰略，并建設強有力的數據治理組織架構、合理的管理制度與工作流程，以及針對數據質量建立相應的檢查、整改和考核體系。審計時應關注數據治理各個部門的職責，是否存在職責重疊或真空地帶、數據治理崗位的設置是否滿足工作需要等。

（2）數據標準管理。銀行應該按照指引規定制定數據標準規范，并利用數據標準與元數據管理對數字資產進行定義、規劃、梳理。審計應重點關注數據標準的建設，是否將監管統計所涉及的數據標準納入本行信息標準化規則、數據標準是否隨著新業務或者監管標準的變化而更新、系統的上線變更是否按照數據標準進行執行等。

（3）數據質量控制。數據治理控制是指通過對數據質量問題的閉環管理使其實現持續提高的過程，包括規劃、評估、控制和監督四個過程。審計時應該關注數據治理檢查和考核評價是的執行情況、數據治理是否對對數據源頭進行管理、數據質量監控體系是否覆蓋數據全生命周期等。

（4）數據價值實現。銀行應當將數據應用嵌入到業務經營、風險管理和內部控制的全流程，有效捕捉風險，優化業務流程，提升內部控制有效性，實現數據驅動銀行發展。審計時應關注現有行里的數據是否能充分發揮價值，數據是否夠用、是否好用、是否會用。

3 數據治理發現的主要問題

通過指引，內部審計在數據治理檢查中發現的問題主要有五個方面：

（1）數據治理體系化建設有待完善。一是數據治理的內部權責劃分并不十分明顯，這體現在數據管理中心與信息統計中心的職責存在重疊，也體現在數據質量管理分散，存在真空地帶。二是數據治理工作僅由牽頭部門單線作戰，業務部門參與度不高，數據標準統一和數據質量整改工作推進較難。

（2）執行不到位。一是數據標準更新不及時，未能緊跟業務發展及時更新。二是缺乏系統工具的支撐，數據標準變更流程在線下進行，效率較低，數據標準維護很難跟上頻繁變更的數據需求。三是新產品、新業務、新系統建立時，并未嚴格參照數據標準執行，在系統建設或數據產生的源頭上忽視數據質量問題的預防和控制。

（3）數據檢核規則廣度不夠。（數據質量）數據管控平臺的質量檢核規則主要通過查看數據庫表結構、主鍵非空等方式設計形成檢核規則庫，規則覆蓋范圍廣度不夠、與業務銜接不足。

（4）缺乏規范的主控數據管理體系。部分系統之間缺少“同步”機制，無法進行信息交換，只能相對獨立、自成體系，造成數據冗余，數據不一致等問題為數據的整合埋下了隱患。

（5）考核懲戒不嚴格。（考核問題）未能按照既定方案嚴格兌現考核結果，存在“失之于寬”、“失之于軟”的現象，對于涉及數據質量問題責任人的責任，對紀律處分和經濟處罰的運用力度不夠，導致數據治理的重要性和嚴肅性大打折扣。

4 問題的成因分析

針對上述問題，進行分類，主要有三類：組織架構缺陷、數據標準缺陷以及重視程度。

4.1 組織架構設計缺陷

數據治理的組織架構是數據治理實施的基礎，其核心在于：定義符合商業銀行戰略目標的數據治理目標和執行的行動路徑。

從內審發現的問題，考察銀保監的指引和商業銀行在數據治理上的相關管理制度。在客觀上對于數據治理這項工作，沒有一個明確的對設立專門組織架構的剛性要求或者說是需求。另一方面，相當多的商業銀行管理者和決策者在現階段對于數據治理的重視程度不高。

沒有統一的組織管理和人員，導致多部門職責重疊、真空以及協同性差的客觀事實，出現一些本可以避免的低級錯誤，如：上報的數據口徑不一，數據質量低等現象。

4.2 數據標準缺陷

（1）普遍性。從國內的商業銀行信息化發展歷程來看，受客觀條件的限制，科技規劃總是按業務的重要性逐步開始系統建設的。因此，各自相對獨立的系統，造成相當大的數據冗余、質量偏低和口徑不一致等情況。

（2）特殊性。少數商業銀行建立相應的數據倉庫，把數據進行統一建模，部分實現了數據標準化的任務。但是，由于過去數據倉庫設計的業務種類不多以及過于偏向技術層面，業務部門使用不是很方便。

（3）現實性。現實的問題：建立一個數據倉庫的成本相當客觀，對于大部分中小銀行不切實際。

4.3 重視程度

我們內審發現的是考核機制不完整以及落實不到位的問題，但究其深度，就是對數據治理這事重視的程度不夠。

沒有專門的組織機構、人力資源，沒有科學的標準化設計和規劃，所以，考核制度一定不科學，落實一定也會不到位。

5 應對的策略

從以上組織架構、數據標準以及重視程度三個成因分析，我們可以看到：數據治理對于商業銀行來講是一項戰略性工作。戰略必須具備以下三要素：目標明確，目光長遠，解析清晰。

這是頭等的大事，戰略目標不明確，就會給執行者造成混亂，從而帶來群發性風險，破壞力更大。

對于銀保監來講，應本著因地制宜和實事求是的方法，制定方略。現階段可以考慮，出二版本的數據治理版本：標準版和高級版。容許商業銀行在標準基礎上根據自身的實際情況，細化適合企業的管理舉措，同時，按階段向高級版過渡。

綜上所述，我們認為商業銀行對于數據治理應對之策從三個方面來闡述：

5.1 建立專門的數據治理管理部門

成立專門的數據治理部門，符合當前商業銀行向全能型、精細化經營戰略轉型的一個必不可少的戰略舉措。保障數據治理工作的質量和效率的必要條件。部門的設立所帶來的戰略意義主要在三個方面：

①明確定義符合商業銀行戰略目標的數據治理目標和可行的行動路徑；②保障數據治理成功實施基礎，有效識別項目進行中各種問題，避免多部門職責重疊；③識別本企業的當前的業務狀況、信息以及數據狀況，因地制宜的制定和細化數據質量、數據安全、數據管理等相關標準，并基于數據價值目標構建數據共享體系、數據服務體系和數據分析體系。

5.2 構建一個科學合理的數據標準

數據標準化建設是一個銀行從職能分工型經營模式過渡到全能型經營模式的必要條件。也是我們國內中小商業銀行需要面對的一個普遍性問題。要完成這項任務，需要具備三個意識：

（1）需要時間和迭代。一般中小商業銀行目前運行的系統在100個左右，數據標準化建設是一個工程，需要時間，需要科學規劃，需要技術以及業務不斷的迭代過程，不能一蹴而就。

（2）技術必須與業務緊密結合。數據標準的建設，必須符合業務發展的要求。這包含三個方面內容：

①新型的數據標準必須是技術和業務的緊密結合，每一個數據鏈路都能說明一個業務流程；②統一規范的數據定義和命名；③統一的數據標準能滿足不同業務場景的需求。

（3）成本管理。在建立數據標準時，要考慮成本和風險管理。對于中小商業銀行來講，客戶量不會太多，一般中規模的市級銀行最多在在1000萬左右。因此，日常交易量，不會超過1000萬。數據體量不大，要量入為出，選擇合適自身條件的硬件、通信、數據庫以及相應的軟件，沒必用傳統數據倉庫這么高的投入（一般在億級）。

5.3 內部審計在數據治理中應起的作用

對于內部審計來講，有三件事要做：

①幫助銀行決策部門充分解讀銀保監在數據治理方面的戰略和要求；②全程參與銀行內部關于數據治理規章制度建設過程，評估其合理性，考察其可能存在的不合理性，給管理者和決策者以建議；③定期測試數據治理執行情況，提出執行過程中存在的隱患并給予改進建議。