文章
【德勤数据治理2.0】
第五期:迈向高可信数据资产 数据治理审计
前言
上篇文章,德勤从数据安全分级出发,从数据分级分类遵循的原则、基本流程、如何应用以及数据分级分类的价值等方面,阐述了实现有效的数据安全分级是保护高可信数据安全的奠基石。数据资产体系的第三道防线是数据治理审计,在前序1.0的系列文章中已经介绍数据治理如何以审促治、如何从不同视角检查和评价数据治理工作成效,本篇文章进一步从构筑可信的治理防线出发,介绍数据治理审计工作的创新思路与发展方向。
用数据治理审计构筑防线可信的数据资产体系
高可信数据资产体系的关键是可审计,通过第三方的评估认证,进一步佐证数据资产的可信。可审计需要做到以下几点:1.日常数据治理工作留痕;2.数据字典定义全面准确;3.数据加工映射清洗正确等。如果把德勤为企业提供数据治理咨询服务比喻为给企业数据治理工作“看病”、“开药”与“保养”,那么数据治理审计则是“体检”,通过一定检查手段发现缺陷,及时调理,促进数据治理体系稳健运行。
以广泛应用于企业管理中的国际内部审计师协会(IIA)的“三道防线”模型来说,数据资产体系的建设同样拥有三道防线,第一道防线是开展各项数据管理活动的业务与技术人员,第二道防线是监控与评估数据管理风险的合规内控人员,第三道防线是对前两道防线执行情况与效果执行独立监督和评价的内部审计人员。作为第三道防线,数据治理审计是数据资产管理的进阶要求,以其高度独立性和客观性,促使高可信数据资产管理体系的有效运转。数据治理审计又分为内部审计和外部审计,内部审计在职责上需要独立监督评价董事会授权的各项数据管理活动,对董事会直接负责;而外部审计更加独立客观地监督和评价第一、二道防线履职情况。
数据治理审计可从流程与数据两个视角开展
以德勤实践经验来看,数据治理审计可以从流程审计与数据审计两个视角的检查来设计数据治理的二三道防线,即在现有定期审计等工作中嵌入来源核验、规范遵循、有效性检验、安全检查等可信数据管理进阶要求。
流程审计对象是数据治理的过程
数据治理工作的重点在明确组织架构职责、制定和实施系统化的制度流程与方法,目标是发现数据价值、以高可信数据资产赋能业务发展,流程审计关注各项数据管理流程的设计有效性和执行有效性,审计依据主要包括国家法律法规、监管要求和企业内部制度规范等文件。
在执行有效性方面,很多企业都已经采用工具平台管理元数据、数据质量、数据标准和数据安全等,可以通过平台工具中的操作记录数据对专项数据管理领域的工作执行情况进行追踪回溯。
以流程审计构筑过程可信,支撑高可信数据资产体系这棵树的根系与枝干健康营养。
数据审计对象是数据治理的结果
数据审计检查数据本身的质量,包括真实性、准确性、连续性、完整性和及时性等。数据质量不是一个绝对结果,而是基于数据应用而言的相对结果,一份数据的质量能满足A应用的需要,但可能对B应用来说缺乏完整性。
在定期开展的数据治理审计工作中,依据当时企业数据领域重点,界定数据范围,开展数据审计。通常建议从关键业务系统的客户数据着手,一是客户数据质量规则易于理解、便于审计人员检查,二是对业务人员对客户数据的感触较强、有利于数据质量问题分析与整改。
以数据审计构筑结果可信,支撑高可信数据资产体系这棵树开出数据价值之花。
数据治理审计顺应企业内审的数字化发展趋势
随着数字化智能化技术的发展,企业内部审计的人员组成和审计方式均在不断优化进步,在汲取传统审计模式优势的基础上,融合新型技术的创新型理念,共同塑造企业内部审计未来发展趋势。
在此趋势下,数据治理审计作为企业内部审计的一部分,文本分析、知识图谱等数字化技术可以为数据治理审计工作提供更加高效简便的工作手段。
流程审计中,在一些数据管理工作细节繁琐且涉及大量数据结构的方面使用数字化方法能有效提升审计效率。例如,在检查数据字典的数据标准符合度时,使用语义分析技术,协助审计人员快速验证系统库表结构是否切实落地全行级数据标准。
数据审计中,可应用数字化条件下审计方式和手段的创新,构建基于数据的持续审计模型,借助大数据自动分析精准定位问题,借助预设阈值及时预警异动,实现“持续监控、智能分析、发现疑点、分级核实”的数字化审计模式,从“周期性审计”向“持续审计”转变,从“经验依赖”向“数据依据”转变,从“抽样审计”向“全面审计”转变。通过持续审计模式,集成历史数据治理审计成果,定期对风险进行监测,促进数据资产体系可信度的提升。
数据治理审计体系演进蓝图
由于数据治理体系涉及的范围大、内容多,以及各项数据管理工作的不断深入,需要通过流程审计和数据审计的内容多、持续周期长,因此建议分阶段构建起企业数据治理审计体系,强化自身能力,逐步形成数据治理审计的闭环机制。
短期:初步搭建数据治理审计建设框架及路径,对历史审计成果数字化总结,逐步充实数据治理审计的整体框架。
中期:建立数据治理审计规范化体系,加强审计工作中的数字化能力。根据不同数据管理领域,健全持续审计工作模式及方法。
远期:打通数据治理审计闭环工作模式,形成智能化、数字化的全面风险审计方式。形成基于审计作业成果的持续审计模型构建及优化,持续提升审计模型、审计框架,实现数字化、智能化。
结语
数据治理审计作为数据资产管理体系的第三道防线,运用审计手段识别数据治理违规、薄弱的控制环节与执行缺陷,是构建高可信数据资产的“五个可信”之一,加强与巩固高可信数据资产体系。下期文章我们将介绍当前监管对数据治理工作的要求,敬请关注。
为更深入地阐释数据治理领域的理论体系与实践成效,探索数据治理进阶之路,德勤将邀请国际数据管理协会中国(DAMA - CHINA)与业内理论与实践应用专家参与此次数据治理2.0系列文章的编撰,邀请微众银行的数据及建模专家分享在数据模型应用、算法实践等领域经验。如果您对数据治理2.0系列文章有任何问题或意见,敬请联系:
文章作者:德勤中国风险咨询副总监何向飞,德勤中国管理咨询副总监张华,国际数据管理组织协会中国理事郑保卫审阅编著
德勤中国
北京
电话:+86 10 8520 7788
上海
电话:+86 21 6141 8888
重庆
电话:+86 23 8823 1888
香港
电话:+852 2852 1200
注:本文中所提及的“审计”是指按照约定程序进行的复核工作并就复核过程中注意到的复核发现向企业以报告形式汇报的工作,而不应被理解为按照任何注册会计师协会颁布的职业准则实施的鉴证工作。