文章
【数据治理实践】
第十七期:数据治理如何以审促治
前言
在上一期, 我们介绍了银行如何自我检查与评估,并提供了成熟度评估方法,帮助构建数据治理的前二道防线。但是监管对银行的要求不仅仅是自我检查与评估,还需要引入相对独立的内部审计部门和外部审计单位,从建立银行的第三道防线和外部独立第三方的视角来审视银行的数据治理工作。此外监管机构对于银行监管数据报送质量的要求也是越来越严,银行需要通过多方协同,促进自身数据管理水平的提高和数据质量的提升。
本期我们将通过审计工作的不同视角,来说明如何检查和评价数据治理工作成效,最终通过审计促进数据治理建设。
监管要求
在《银行业金融机构数据治理指引》(下称“指引”)第六章 监督管理中有以下的要求: 第五十条 银行业监督管理机构应当通过非现场监管和现场检查对银行业金融机构数据治理情况进行持续监管。 第五十一条 银行业监督管理机构可根据需要,要求银行业金融机构通过内部审计机构或委托外部审计机构对其数据治理情况进行审计,并及时报送审计报告。 第五十二条 对数据治理不满足《中华人民共和国银行业监督管理法》等法律法规及国务院银行业监督管理机构审慎经营规则要求的银行业金融机构,银行业监督管理机构可采取相应措施: (一)要求其制定整改方案,责令限期改正; (二)与公司治理评价结果或监管评级挂钩; (三)依法采取监管措施及实施行政处罚。 ——《银行业金融机构数据治理指引》 |
数据治理审计的两个立面
银行在数据治理审计工作中,有两大方面需要应对:一方面,是监管机构会对银行数据治理工作开展检查;另一方面,是监管要求银行需要自查,即通过内部审计或委外审计的方式对自身数据治理情况进行审计。
因此,银行既需要在日常工作中完善数据治理体系,同时也需要制定计划构建完善的数据治理审计框架,才能形成从建立体系、风险防范、审计检查到不断完善的闭环管理。
这样的闭环中,银行应对数据治理要求与银行开展内部审计,形成了两个角度。一方如同建立防御,增强实力、防范风险;另一方如同矛头直指控制的薄弱之处。
本文将详细阐述,开展数据治理审计工作有哪些要点,而应对数据治理审计工作又需要注意哪些方面。
数据治理审计方
根据《指引》第五十一条,银保监会将根据“需要”,要求银行业金融机构通过内部审计部门或委托外部审计机构对其数据治理情况进行审计。
德勤早在4-5年前已开始聚焦数据治理审计工作,除了监管报送之外,良好数据标准等监管针对数据管理的要求,亦纳入德勤数据治理审计工作中。而在《指引》发文之后,德勤也为多家银行提供了委外专项审计服务,已经形成了成熟的数据治理审计框架以及审计流程。
- 审计流程要点
- 审阅银行提供的数据治理相关的政策和程序,与相关管理人员和工作人员进行访谈,了解银行数据治理制度/程序的设计情况;
- 对各评估领域中识别的关键流程进行穿行测试以确定我们的理解,并对体系、流程、工具的设计进行评估;
- 对各评估领域中识别的关键流程进行抽样测试,以分析是否按照设计要求有效运行;
- 对数据治理范围内的监管报送数据进行质量验证,抽取部分监管数据验证其数据质量;
- 基于上述审计程序中识别的发现,提供审计建议。
根据上述要求,德勤制定了详细数据治理审计框架,根据监管要求、风险点明确审计要点、设计审计程序以及需要获取的相应的支持性文件内容,示例如下所示:
条数 | 监管要求/风险点 | 审计要点 | 审计程序 | 支持性文件获取 |
1.1 | 银行业金融机构应当建立组织架构健全、职责边界清晰的数据治理架构,明确董事会、监事会、高级管理层和相关部门的职责分工,建立多层次、相互衔接的运行机制。 | 银行缺少明确的数据治理架构,不满足监管要求,难以有效开展数据治理工作。 | 1.获取数据治理组织成立相关材料 2.获取董事会、监事会会议纪要,佐证其数据治理工作开展 |
1. 数据治理组织成立发文 2. 董事会、监事会会议纪要 3. 相关岗位人员清单 4. 相关岗位职责说明 |
1.2 | 银行业金融机构董事会应当制定数据战略,审批或授权审批与数据治理相关的重大事项,督促高级管理层提升数据治理有效性,对数据治理承担最终责任。 | 银行董事会未制定数据战略,承担相应职责,会影响银行整体数据治理方向、策略,导致数据治理难以全面开展 | 1.获取董事会职责、银行战略等相关资料 2.了解董事会决策相关会议事宜 |
1. 董事会成立、职责相关材料 2. 银行战略规划材料 3. 重大事项清单对应的审批证明材料 |
注:本文中所提及的“审计”是指按照约定程序进行的复核工作并就复核过程中注意到的复核发现向银行以报告形式汇报的工作,而不应被理解为按照任何注册会计师协会颁布的职业准则实施的鉴证工作。
- 数据治理审计的关注点
根据银保监会在要求分支机构报送法人行数据治理现状时的要求,可以看出监管机构对于机制建设的关注:
数据治理架构:关注数据治理组织架构是否完善,人员角色是否到位,尤其需要关注董事会职责履行情况。
数据管理:重点关注数据问责机制以及自评估机制建立情况;
数据质量控制:重点关注质量控制机制、检查制度及考核评价体系建设情况,经营数据、报送数据质量情况
数据价值:重点关注数据加总能力和应用分析能力提高情况。
监管对于数据治理审计工作的定位,首先在于洞察数据治理管理现状,了解机制建设情况,明确其中存在的困难和突出的问题;其次在于发现问题,解决问题,促进数据治理体系建设。
因此,数据治理审计对于体系建设是否完善、是否存在流程漏洞或风险需要格外关注。
- 现阶段主要的审计发现
目前根据实践来看,各家银行的数据治理工作正在逐渐起步,-我们将在不同阶段的银行可能存在问题总结如下:
体系建设阶段:数据治理组织架构不完善、数据治理角色不清晰、数据管理工作尚未开展等是常见现象;
体系完善阶段:数据治理流程无法串通、数据管理工作未能产生实际效用、数据应用未能全面铺展等;
体系成熟阶段:数据治理流程未能及时更新、人员组织架构变动导致治理流程中断、数据应用分析能力未有效提高等。
- 以审促治是最终目的
无论内部审计还是委外审计,审计工作最终的落脚点仍然在促进数据治理体系更加快速、稳定地建立,保障银行的数据从能用到好用的转变。因此,数据治理审计最终需要为治理体系指出问题、提出建议,并持续跟进整改方案落地,才是最终目的。例如数据治理和职责分工未建设,归口管理部门需按照时间节点明确建设方式、建设路径,而审计方亦需要评估其方案的可行性。
数据治理被审计方
从数据归口管理部门以及业务部门的视角来看,作为被审计方,需要提供材料、配合开展测试以及说明情况,并最终确认审计发现和审计建议、提出整改方案。被审计方往往对数据治理工作内容、数据治理为什么要开展审计工作存在疑惑。这一疑惑的解答,包括对数据治理工作的深入阐述,同时也需要说明数据治理工作需要保留痕迹、正确响应监管条例、应答审计发现。
数据治理工作的具体内容,在本系列的前十六期文章中均有详细的说明,在此不再进行赘述。本章节将着重说明,如何证明已开展过的数据治理工作、如何解读及响应监管的数据治理条例。
- 数据治理工作的痕迹
数据治理体系、机制的建设过程,需要保留证明材料。从证明其存在来讲,可以提供数据治理相关会议纪要、数据治理制度文档、数据治理流程等。而要证明相关流程正在有效进行,审计人员可能会要求被审计方协助进行穿行测试或抽样检查。
穿行测试:例如针对数据录入控制机制,如银行已明确表示建立控制机制,则审计人员可能会提出在测试环境或预生产环境中实际输入数据,确认录入控制是否存在;
抽样检查:例如针对数据治理人员的职业成长,银行已有明确制度要求每年必须对数据治理人员进行系统培训,则审计人员会提出抽样检查某几次数据治理培训的具体材料,包括培训通知、培训材料、人员签到材料、现场照片等等。
因此,数据治理方需要注意按照正常流程、制度要求开展数据治理工作,并将数据治理工作的相关文件妥善保存归档。在审计方提出资料需求或测试需求时,能够及时响应。
- 数据治理条例的响应
《指引》中对于数据治理工作有非常明确的要求,对于被审计方而言,解读是否深入,对要求执行是否到位会影响到最终监管对于银行数据治理现状的认定。
例如《指引》要求:“银行业金融机构应当建立数据质量考核评价体系,考核结果纳入本机构绩效考核体系,实现数据质量持续提升”。在这种情况下,即使银行已开展过不定期的、仅涵盖部分部门的数据质量考核工作或评分工作,均不应认为已建立起质量考核评价体系。
因为《指引》说明是需要建立起数据质量考核评价体系,而不是孤立的、局部的质量检查工作。如不能证明机制已发文,本年度考核评价计划开展时间等,均不能算作体系已建立。
而从监管实际检查结果来看,上述示例已有实际受到指摘的情况。
- 数据治理审计发现的应答
银行的数据治理发展之路不可能一步到位完全满足监管要求,而是需要一个发展的过程、长期的维护。因此,对于数据治理审计发现,被审计方除了要看到当前的不足,更多需要看到未来治理的需求与要求。
对于审计方提出的问题,需要切实确认、及时反馈,明确问题根因,进而制定符合长期治理规划以及业务发展需求的整改计划,并在与审计方的沟通中,明确计划的可行性、有效性。
此外,制定详细的数据治理提升计划、明确各阶段的实施路线,将《指引》的要求作为数据治理发展规划的蓝图,能够更加体系化地加强治理能力、更加有效全面地回应监管审计。
结语
数据治理审计与其他专项审计一样,通过审计发现风险、防范风险、促进建设是审计工作的价值所在。监管机构要求开展数据治理审计工作亦是为了提升银行的数据治理水平。
数据治理审计作为银行业金融机构专项审计业务的一部分,可以通过外部独立第三方实施的数据治理审计工作,以其专业性和独立性更强,能够在充分揭示问题发现的同时,也将帮助银行更好地对标行业领先实践,可以避免如近期EAST因数据标准未统一、数据质量不高等问题而被监管处罚,通过审计达到促进管理提升的目的。