【德勤数据治理2.0】

前言

上篇文章，德勤从构筑可信的治理防线出发，介绍了数据治理审计工作的创新思路与发展方向，尤其在数字化和体系演进方面着墨较多。数据治理审计作为内部防控风险的第三道防线，其管理发展路线离不开监管对于企业的数据治理内部控制的要求以及推动。企业发展离不开国家、行业的监管大环境，适应环境、适配要求是合规的基础，也是长久发展的基石。本期将为大家阐述数据治理相关监管环境的变化以及企业所需的应对能力，重点聚焦金融行业的监管和应对。

监管要求：从萌芽到趋严

监管机构开展数据治理工作，在高标准严要求之后的，是希望能够促进和推动全行业的数据管理能力提升及业务合规。

从发文主体看，监管要求可分为国家政策、法律法规与行业规章。

国家政策：自2015年国务院印发《促进大数据发展行动纲要》，国内数据应用蓬勃发展。在2020年，国务院、工信部等多个部门均发布了相关政策法规，提出了对于进一步促进数字化转型、数据治理等方面的要求。

法律法规：在法律法规层面，主要针对数据安全出具了具体的细则要求。2017年6月1日颁布的《中华人民共和国网络安全法》中已开始涉及对“数据”的要求，例如第十条“……维护网络数据的完整性、保密性和可用性”。2021年9月1日开始实施行的《中华人民共和国数据安全法》更是直接对数据提出要求，提出了核心数据严格管理、重要数据风险评估、数据分级分类、特殊类型数据管理等要求。2021年11月1日开始施行的《中华人民共和国个人信息保护法》中，对个人信息类的数据提出了更加严格的管理要求。除了国内逐步跟上数据安全法律法规的要求之外，欧盟于2020年11月25日通过了《欧洲数据治理条例（数据治理法）》建议稿，成为《欧盟数据战略》的重要支柱之一。

行业规章：《中华人民共和国数据安全法》中特别提到“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域”的数据需要重点保护。而在这些行业中，金融行业在数据治理工作方面的推动和管理走在了最前沿。

无论是国家政策、法律法规还是行业规章来看，数据治理工作都受到了高度重视，数据的安全、质量尤其受到关注。从行业角度来看，金融行业已经从监管角度完善了对数据治理的整体要求，包括法律法规尚未涉及的关注点，例如治理体系、组织架构、制度流程、自评自查、数据应用等。

自2011年银监会针对监管统计数据质量颁布了《银行监管统计数据质量良好标准》（试行）后，银监会以及后来的银保监会、人民银行、证监会、证券行业协会等逐步从监管数据、数据质量的要求，提升到了数据治理层面。在2020年后，数据治理相关监管要求更加密集，银保监会也逐步开始检查监管数据的治理情况。针对数据治理工作的现场检查以及整改工作也相继而来。

问题指出：从标本兼治的思路出发

银保监会根据《中国银保监会监管数据质量专项治理方案》（银保监办发[2020]45号）优先针对四大行、大型商业银行开展了监管数据质量检查工作。根据检查方案的要求，以及各行检查结果来看，银保监会检查发现问题，主要分为以下四个方面：

治理体系：从45号文的要求中，虽然没有强调治理体系的检查，但是在《关于监管数据质量专项治理自查自评事项的通知》银保监统信函【2020】168号的自评估模板中，组织架构作为第一组评估要点列示。因此，银保监会本次检查重点针对数据治理体系建设、制度建设等方面进行检查，指出银行组织架构不符合要求、缺少制度体系或未开展数据质量监控等问题。

数据质量：根据45号文对检查的数据范围的定义中，已说明数据质量检查的范围，包括真实性、准确性、完整性、及时性等。从本次监管检查的结果来看，银行大量被监管指出的问题都归因于完整性、准确性和真实性。部分检查规则来自银保监会已公布的监管检核规则，同时监管也根据现场检查的实际情况，存在扩大检查范围或增加新的检核规则的情况。

交叉校验：除了针对报送数据本身的检查，银保监会还对比了不同监管报送报表之间的数据一致性。例如非现场报送（1104）与监管数据标准化（EAST）均在检查范围内，两者又存在部分业务数据重合的情况，因此成为监管重点检查的交叉校验对象。例如1104的贷款核销金额与EAST报送的贷款核销明细加总不一致、1104的押品估值与EAST的押品估值统计口径不一致等。

业务流程：监管还对部分业务逻辑开展了校验，例如“当最终投向类型为 ‘信贷类投资、权益类投资及股票公募基金、其他’时，最终投向行业不允许为空”、“《对公信贷业务借据》报送因各种原因造成‘冲正’的借据信息，被冲正的借据信息客观上存在信息错误”。

综上所示，我们可以看出监管对数据的检查涵盖了管理体系建设、数据质量要求以及数据所表达的业务合规性。监管报送数据为空、数据不一致等等的质量问题只是表象，数据管理的整体能力、数据所影响的业务流程才是监管关注的根本。

应对方案：高可信数据体系及能力构建

德勤认为，企业需要根据业务、报送的特色特点，灵活应对自查、监管检查发现的数据问题；同时，应对趋严的监管要求，减少监管检查发现的数据问题，需要构建高可信数据体系，强化在监管报送、自我评估、问题解决方面的能力，从“根本”上改变数据管理现状。

高可信数据体系：企业形成高可信数据体系，能够实现数据来源可信、操作可信、内容可信、安全可信、防线可信。其中来源可信、操作可信、内容可信是监管数据报送准确有效的基础，而安全可信、防线可信帮助企业实现数据的有效管理，能够有助于实现监管要求的数据治理整体架构。

监管报送能力：从金融行业数据治理的监管趋势可以看出，监管对数据治理多是基于监管报送的数据来倒推检查，并由监管数据的质量引申至企业的整体数据治理情况。因此，在应对数据治理监管化中，建立强力有效的监管报送体系，实现监管报送汇总、整合、统计、报送过程中的数据可信，才能支撑数据在由企业到监管的最后一环。因此，银行往往针对每一项监管报送工作建立管理制度以及角色岗位，使得监管数据准确有效；在数据源头管理明确归属责任，做到监管数据的责任归属有据可依。

自我评估能力：银保监会通过168号文下发了金融机构自查自评监管数据质量情况的模板，同时也为数据治理能力评估提供了部分指导。数据治理自我评估能力代表着企业对自身能力的了解、对治理现状的把控，只有能够自我发现问题，才能不断由内推动监管数据质量提升，向高可信数据体系迈进。

问题解决能力：问题解决能力体现了企业在应对监管问题的灵活性，是从问题之“标”出发，在发现数据质量问题或受到监管处罚后，企业还需要具有问题解决的体系与内部流程，能够定位数据问题责任、追溯数据问题来源，并尽快确认数据质量问题的解决方案、积极与监管沟通、形成长效机制等。

统一监管集市：由于人民银行和银保监会等监管部门对数据报送的要求不同，企业需整合原有各个报送系统中里的监管报送数据，形成统一的监管集市，帮助企业实现监管指标口径统一、数据接口统一，在统一监管集市的基础上开展数据分析与应用。

结语

数据治理与监管相结合，是监管机构对企业数据的重视。监管要求不仅仅是需要被动遵守的条款，更是企业长治久安的指导方针，只有主动开展数据治理，契合监管对企业数据方方面面的要求，才能满足行业的管理需求、提升企业的数据能力。下期文章我们将介绍企业如何构建高可信、高质量的指标体系，敬请关注。

为更好的将数据治理理论与实践相结合，深入阐释数据治理的实践成效，探索数据治理的进阶之路，总结数据治理在实践中的经验，系列文章由德勤中国与国际数据管理协会中国（DAMA - CHINA）共同审阅编制，针对专业领域还将邀请业内专家进行分享。如果您对数据治理2.0系列文章有任何问题或意见，敬请联系：

文章作者：德勤中国风险咨询副总监何向飞，德勤中国风险咨询经理饶彧，德勤中国管理咨询副总监张华，国际数据管理组织协会中国理事郑保卫审阅编著

德勤中国          

北京

电话：+86 10 8520 7788

上海

电话：+86 21 6141 8888

重庆

电话：+86 23 8823 1888

香港

电话：+852 2852 1200

注：本文中所提及的“审计”是指按照约定程序进行的复核工作并就复核过程中注意到的复核发现向企业以报告形式汇报的工作，而不应被理解为按照任何注册会计师协会颁布的职业准则实施的鉴证工作。