文章

【数据治理实践】

第十六期:数据治理自我评估

前言

回顾之前系列文章,我们介绍了管理部门和业务部门如何开展数据治理的各项工作,本期我们将根据各属地银保监局对银行业金融机构建立数据治理自我评估机制的监管要求,从数据治理自我评估的组织保障、方法、重点和结果应用等方面,逐一进行介绍。

监管要求

在《银行业金融机构数据治理指引》(下称“指引”)第三章 数据管理中有以下的要求:

第二十七条 银行业金融机构应当建立数据治理自我评估机制,明确评估周期、流程、结果应用、组织保障等要素的相关要求。评估内容应覆盖数据治理架构、数据管理、数据安全、数据质量和数据价值实现等方面,并按年度向银行业监督管理机构报送。

——《银行业金融机构数据治理指引》

自我评估的组织保障

从我们实践来看,目前银行开展数据治理自我评估工作,首先需要建立以下三道防线,明确职责,逐级落实组织保障:

第一道防线 强调数据治理归口管理部门、各业务部门及分支机构,根据其职责划分或数据归属,开展数据治理自我评估程序;
第二道防线 强调承担银行内部控制管理、合规管理的职能部门或专门的数据管控中台部门对一道防线进行自我评估程序的设计、管理等,进行指导、检查和监督;
第三道防线 强调稽核与审计部门对一道线及二道线进行再监督和评价,发现问题并督促其及时采取相应措施。

  • 第一道防线由数据治理归口管理部门、各业务部门及分支机构负责,是数据治理工作的第一责仼人,通过自我评估、自我检查、自我整改、自我培训来履行数据治理的管理职责。一道防线按照规章制度、流程规范从事业务经营活动,对经营和业务流程中的数据管理主动进行识别、评估和控制,收集、报告所发现的数据治理风险点,针对薄弱环节及时进行整改,实现“自己管自己”。
  • 第二道防线由承担银行内部控制管理、合规管理的职能部门或专门的数据管控中台部门负责,通过制定数据治理自我评估的政策、标准和要求,为一道防线明确数据治理自我评估的方法、工具、流程,促进数据治理工作的一致性和有效性,制订检查计划,就一道防线执行数据治理要求的情况开展检查,并监督整改,建立数据治理管理信息收集、分析和报告制度,评估和监控一道防线数据治理工作状况,对其工作提供指导。二道防线不是替代一道防线,而是对一道防线实施检査、监督和指导,确保一道防线数据治理工作的有效性,同时为三道防线开展再检査、再监督和评价提供基础。
  • 第三道防线由稽核与审计部门负责,通过系统化、规范化的方式,审查评价数据治理自我评估的适当性和有效性。稽核与审计部门作为对董事会直接负责的机构,应在第三道防线的视角,客观独立的审视一二道防线的履职。

自我评估的方法

在实施自我评估时,对照每条指引要求,通过文件资料查验、相关人员访谈、数据质量核查等手段,从三个方面对银行数据治理现状予以评估:

“有没有”,是否有在全行范围内实施的制度性文件或者具有约束性的其他书面材料;

“做没做”,各项制度文件是否得到了全面和实质性地执行;

“做得好不好”,执行是否达到预期效果,数据治理是否满足行内管理和监管要求。

自我评估工作首先从每一条指引要求的评估入手,利用获取的信息进行分析判断,得出评估结果。每一条指引要求并不都具有同样的重要性,需要评估人员根据具体情况做出该领域全面客观的判断。考虑到数据治理自我评估的可操作性,评价结果定性依据可参考《GB/T 36073-2018 数据管理能力成熟度评估模型》,除上述方法外,也可以参考良好标准里面的评价标准。

如参考《GB/T 36073-2018 数据管理能力成熟度评估模型》,将每条指引要求的评估结论以定性为基础分为5档:初始级、受管理级、稳健级、量化管理级和优化级。

《GBT 36073-2018 数据管理能力成熟度评估模型》

评价结论

评定标准

初始级

数据需求的管理主要是在项目级体现。没有统一的管理流程,主要是被动式管理。

受管理级

组织已意识到数据是资产,根据管理策略的要求制定了管理流程,指定了相关人员进行初步管理。

稳健级

数据已被当做实现组织绩效目标的重要资产,在组织层面制定了系列的标准化管理流程,促进数据管理的规范化。

量化管理级

数据被认为是获取竞争优势的重要资源,数据管理的效率能量化分析和监控。

优化级

数据被认为是组织生存和发展的基础,相关管理流程能实时优化,能在行业内进行最佳实践分享。

自我评估的重点

结合德勤经验和行业实践,建议银行开展数据治理自我评估工作中,应当重点关注以下领域,对这些领域的客观评价,往往能够帮助银行发现重要的缺陷或需要重点提升的关键点。

1) 数据治理架构

本领域重点关注数据治理组织架构的建立与执行、数据文化的宣贯等方面。举例如下:

序号

评估要点

1

评估是否由顶向下积极推动全行数据治理工作,董事会和高级管理层高度重视数据治理体系建设。

2

评估是否对数据治理工作实行统一管理、分级负责的管理体制,确定归口管理部门组织管理本机构的数据治理工作。

3

评估数据治理归口管理部门和其他相关业务部门设立相应的数据治理岗位,岗位职责是否明确,并配备能满足岗位履职所需的资源。

4

评估是否已树立良好的数据文化,在全行范围内宣贯、推广数据治理工作。


2) 数据管理

本领域重点关注数据战略与规划、数据管理制度、数据标准的编制与落地、监管统计系统自动化程度、数据架构与共享、数据安全措施的制定与执行数据资料管理、数据治理自我评估、数据治理的激励与问责机制等方面,并对银行数据管理体系建设总体规划与最新监管指引的差距进行分析。举例如下:

序号

评估要点

1

评估是否制定客观的数据战略,检查数据治理规划是否有效执行。

2

评估的数据规划是否符合银行实际管理情况与最新监管要求,并及时根据业内发展和变化进行了滚动规划修编。

3

评估是否建立全面、科学、有效的数据治理管理制度,包括数据治理相关政策、制度和流程,明确数据治理组织架构设置、数据治理角色与职责,覆盖数据标准、数据质量、数据安全、数据共享等数据治理领域。

4

评估是否明确数据治理管理制度的归属部门,定期向监管部门备案管理制度,并持续评价管理制度、及时更新管理制度。

5

评估是否建立覆盖全面的数据标准,抽样检查数据标准是否符合国家标准、行业标准、监管要求。

6

评估是否已在各系统中有效落地数据标准,不同系统中的数据是否统一规范、合理共享。

7

评估监管统计系统管理情况,确认监管报送自动化比率。

8

评估是否建立数据治理问责机制,定期开展数据治理自我评估,保障数据治理持续发展。

9

评估数据资产管理平台的管理情况,是否有效支撑数据治理工作的开展。

10

评估是否开展必要的数据字典维护,确认系统覆盖是否全面。

11

评估银行是否开展元数据管理工作,是否有效管理业务元数据、技术元数据。

12

评估是否已有效管理数据模型变更等方面工作,数据模型管理流程、制度规范是否完备。

13

评估是否有效管理数据交换标准、数据接口相关资料文档。

14

评估的数据安全策略是否符合法规要求、明确访问权限、区分安全等级等。

15

评估行内是否实施针对个人信息保护的数据安全措施。

16

评估行内是否建立数据应急预案,保证在系统服务异常以及危机等情景下数据的完整、准确和连续。

17

评估是否有效存储数据资料,建立明确归档制度,保障数据可比性。


3) 数据质量控制

本领域重点关注数据质量控制手段、数据质量考核机制、数据质量问题管理流程、监管报送数据质量等方面。举例如下:

序号

评估要点

1

评估是否从业务管理出发,考虑数据质量管理需求,根据业务规则变化及时更新数据质量要求。

2

评估是否已从技术手段出发,在数据录入等阶段,利用系统检查提示数据异常。

3

评估是否建立全面的数据质量监控体系,持续对数据进行监测、检查、分析、纠正。

4

评估的数据质量检查制度、数据质量整改制度是否完备,并对数据质量管理进行考核评价。

5

评估是否从流程上对监管数据进行有效管理,是否能够保障对外披露一致性、是否能够提供数据质量保障承诺。


4) 数据价值实现

本领域重点关注数据价值实现情况、新产品新服务上线要求等方面。举例如下:

序号

评估要点

1

评估银行是否在风险管理、业务经营与内部控制中加强数据应用,实现数据驱动,发挥数据价值。

2

评估新产品新服务上线时,是否提出数据管理相关要求,确保清晰评估成本、风险和收益,并作为准入标准。

3

评估是否以全局视角进行统一预算、采购、存储、应用和共享外部数据,以实现业务价值出发,满足行内应用需求。

自我评估的结果运用

内控水平提升:数据治理作为公司治理的组成部分,数据治理自我评估结果以及相应的整改提升内容,应作为银行内部控制的重要一环,及时运用到提升整体内控水平的实践中。

数据治理提升:数据治理自我评估工作结果应纳入数据治理绩效考核体系,通过绩效考核机制,有效激发机构与个人强化数据治理管理的内生动力。同时,数据治理自我评估工作能帮助银行及时发现数据治理工作中的不足,基于自我评估结果及时调整和优化数据治理管控体系,提高数据质量,充分发挥数据价值,提升经营管理水平。

结语

自我评估为银行提供了一个评价数据治理工作的工具,帮助提升管理人员的积极性,管理人员可以熟悉掌握元数据、数据标准、数据质量、数据应用的知识,熟悉本部门的数据治理相关工作,使其更好地开展数据治理工作;同时,也让管理部门了解到对数据治理管控的责任,使数据质量问题更易于发现和监控,纠正措施更易于落实,业务目标的实现更有保证。

数据治理自我评估是摆在银行业金融机构面前的一个新的课题,作为银行数据治理的一道防线应当清楚数据所有者的责任和义务;作为有评估和监督职责的二道防线应当考虑如何建立一套可靠的、可操作的工具,为其履职提供支持;作为承担守门员职责的审计稽核部门,三道防线应当考虑如何客观公正的识别数据治理领域的关键问题,在更高的视角,审视和督促相关问题的改进与完善。

数据治理自我评估工作对于银行自身而言,在实际开展过程中可能存在无法客观准确的自我评估,常言道:自己的刀削不了自己的把儿,人们往往很难通过对自己的检查发现自己的问题,这也是诸多自我评估工作的常规问题或痛点。但如果银行在架构、流程、工具、标准和方法层面做得充分,上有治理层的高度重视,中有经营层的协作互通,下有执行层的躬体力行,前中后台协作,三道防线联动,数据治理的自我评估必将成为银行数据治理持续发挥价值的“关键”,为银行经营战略的实现,发挥重要的作用。

此内容是否提供了您需要的资讯?