文章
2018《银行业金融机构数据治理指引(征求意见稿)》解读(第四期)- 保驾护航,技术引领价值升级
前言
《银行业金融机构数据治理指引(征求意见稿)》(以下简称“数据治理指引”或“指引”)中指出:“ 第五十一条(监管方式—审计)银行业监督管理机构可根据需要,要求银行业金融机构通过内部审计机构或委托外部审计机构对其数据治理情况进行审计,并及时报送审计报告。
第二十四条(数据安全)银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问权限,监控访问行为,完善数据安全技术,定期审计数据安全。
本期将从数据治理审计方法和建议的角度,解读数据治理审计如何开展,通过重视和挖掘内部审计的数据资产,发挥内部审计数据资产护航的积极作用,引领内审价值的升级。
正文
商业银行的数据治理审计,主要是基于商业银行的数据治理体系框架,参考内部制度和相关监管规定,对商业银行数据治理的组织架构、制度流程、质量管理、系统与数据管理、数据价值实现方面的全面审计。
数据治理审计范围与方法
数据治理的审计范围应至少包括数据治理组织架构、数据管理、数据质量、数据安全、数据资产价值等方面。
1. 数据治理架构审计
制度体系建设是数据治理的基本工作,银行需针对数据治理工作建立起层次鲜明、结构清晰的制度及流程体系。数据治理架构审计工作主要是自上而下审计银行数据治理体系建设情况,重点关注数据治理组织架构和制度体系,数据治理资源配置情况,一二三道防线对于数据治理的职能与边界,数据全生命周期的管理流程以及数据文化建设情况。
银行应建立纵向的数据治理管理组织,形成三道防线的管理组织网络。数据管理部门应负责牵头全行的数据治理体系建设与管理,业务部门应当负责本业务领域的数据治理,管理业务条线数据源,确保准确记录和及时维护,落实数据质量控制机制,执行监管数据相关工作要求。二道防线由合规或风险的管理部门负责,负责数据治理体系的定期合规检查和数据风险管理。第三道防线对第一及第二道防线部门的工作进行事后稽核、审计和监察等。通过三道防线,形成纠错防弊的机制性保障,才能夯实管理基础,有效控制偏差和风险。
2. 数据管理审计
银行通过建设各类数据管理工具和方法,提升数据管理水平及效率。数据管理的审计工作主要针对数据管理工具和方法审计其有效性、充分性和安全性,数据管理工具和方法包括但不限于数据战略、数据标准、信息系统和监管统计系统、数据安全策略、应急预案、问责机制、自我评估机制等。
银行应当结合自身发展目标和监管要求等,制定客观、可实现的数据战略并确保有效执行和适时修订。银行应当建立全行统一的且符合国家标准、行业标准、监管要求的数据标准,并且逐步推进数据标准的有效落地,实现不同系统中数据标准的统一规范以便于更好、更便捷地实现数据共享。通过逐步开发信息系统,提高各项业务和管理数据的系统覆盖率;通过持续完善监管统计系统,提高监管报送自动化比率。数据安全策略应当符合法规要求、有效保护隐私数据、明确访问权限、区分安全等级等。与此同时,银行应当建立数据应急预案,并建立数据治理问责机制,定期开展数据治理自我评估,保障数据治理持续发展。
3. 数据质量审计
数据质量是数据创造价值的保障基石,高质量的数据为数据统计、分析和应用提供了可信任的必要条件。数据质量审计工作评估数据风险性和健康度,主要评估纬度包括数据的真实性、准确性、连续性、完整性和及时性。
银行应当建立一系列有效的方法和流程提升数据质量。首先,应当明确定义数据质量需求和数据质量范围,在此基础上选定测量数据、制定测量规则,通过设计和建设数据质量检核模型进行数据质量问题识别,并深入分析原因。再次,针对发现的质量问题分派责任方,拟定改进方案并执行改进和跟踪评估。建立数据质量考核机制,且针对重要甚至重大问题进行有效问责。通过长时间积累的质量问题,进行问题分类管理,形成和丰富质量问题知识库,持续完善质量检核模型及问题流程化管理。
4. 数据安全审计
大数据时代新形势下,数据安全、隐私安全乃至数据平台安全等均面临新威胁与新风险。数据安全是数据治理中面临的重要问题,也是数据治理审计关注的重点之一。数据安全审计工作依据信息安全管理相关的标准,如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800系列等。
审计重点包括:
银行业应当建立数据安全策略与标准,依法合规采集、应用数据、保护客户隐私、划分数据安全等级、明确访问权限、监控访问行为,持续完善数据安全技术。
5. 数据资产价值审计
数据资产正在为银行带来丰富的价值创造,其价值也成为衡量银行价值的重要影响因素。数据资产价值的审计工作包括盘点银行的数据资产,评估数据资产为银行带来的价值能力,发现数据资产现状的不足。
银行应当了解全行的数据资产,在风险管理、业务经营与内部控制等方面挖掘数据资产应用潜力,提高数据使用和应用效率,结合定性和定量的指标定期评估数据资产产生的效益、带来的价值度量,结合绩效考核进行数据资产管理完善。如在新产品的开发中数据资产带来多少收益、在客户精准营销中数据资产带来了多少获客数量等。通过数据驱动,提高管理精细化程度和核心竞争力,发挥数据价值。
建议
在本轮数据治理指引征求意见结束后,银监会将正式发布数据治理指引,将数据治理的要求提升为规范可循、要求明确、逐步完善的法规高度,数据治理也将作为各家银行的常态化工作。对此,德勤建议:
一、重视审计数据资产
随着审计工作的专精化和历史沉淀,内部审计每年都在产生海量的审计数据资产。而除了主要以文字、数字、图片形式记录以外,这些审计数据资产尚未被完全识别、分析和利用,尚未发挥其巨大的数字价值。基于目前审计现状及信息技术,重视审计数据资产,建立完整的审计数据资产管理机制与体系将成为可预计的必然发展趋势。建议商业银行应当以审计数据管理框架为基础,通过对审计数据的识别、分类、规范、提升、应用,建立商业银行的内部审计条线的数据资产库。
二、传统审计向智慧审计转型
随着内部审计数据的积累和应用,传统审计在变革的驱动下经历着阶段性的变革。
智慧审计是审计数据资产应用的必然趋势,通过综合运用并整合颠覆性技术、创新、数据与人才,呈现崭新的管理生态系统。其实施主要通过如大数据运用、自动化注入、人工智能开发等工具与方式,提升常规审计的效率与效果。德勤智慧审计强调内审工作的知识化,科学化、系统化,基于智慧审计实现从手工化向信息化、自动化、智能化过渡,实现审计工作的全面覆盖、快速学习、精准定位、持续跟进,更好的验证数据治理架构及职责设置合理性、数据管理的充分性、数据质量控制的有效性、数据价值实现的可靠性。
三、定期委托外部专业审计机构开展独立审计
银行应当确保数据治理审计团队具备相应的技能与经验,方能取得专项审计的良好效果。可通过定期委托外部专业审计机构,借助于其专业技术能力、全球知识库及行业服务经验,达到更好的审计效果。丰富内审团队在数据治理体系、管理工具与方法、系统技术支持等方面的知识与技术储备。
结语
在应对监管要求与满足经营发展的双重挑战下,内部审计作为第三道防线,应以独立、客观的视角对银行数据治理范畴内的各项工作进行检查和评价,促进对全行数据资产的重视与积累,促进全行数据治理体系的完善。同时,通过引入审计技术创新,逐步实现审计数据资产应用的系统性、立体化、全面化、智慧化的价值升级。