文章
2018《银行业金融机构数据治理指引》解读(第五期)-以审促建,闭环保障
——发挥内部审计在完善银行数据治理中的保障作用
前言
2018年 5月21日,银保监会正式发布《银行业金融机构数据治理指引》(以下简称“数据治理指引” 或 “指引”)中指出:“第二十七条 银行业金融机构应当建立数据治理自我评估机制,明确评估周期、流程、结果应用、组织保障等要素的相关要求。评估内容应覆盖数据治理架构、数据管理、数据安全、数据质量和数据价值实现等方面,并按年度向银行业监督管理机构报送。”《指引》中指出:“第五十一条 银行业监督管理机构可根据需要,要求银行业金融机构通过内部审计机构或委托外部审计机构对其数据治理情况进行审计,并及时报送审计报告。”
今年5月21日,银保监会正式发布《银行业金融机构数据治理指引》,伴随着一个多月的学习与理解,各省市银监局也逐步理解与吸收了《指引》要求,并逐步开展行动贯彻与落实《指引》中明确的“监督管理”的职责,开始“通过非现场监管和现场检查对银行业金融机构数据治理情况进行持续监管”,并试点“要求银行业金融机构通过内部审计机构或委托外部审计机构对其数据治理情况进行审计,并及时报送审计报告”。
我们看到,监管机构不再仅关注收集的数据质量,更是要从全方位、系统化的角度对银行业金融机构的数据进行系统化重塑。通过发挥监管机构的领导作用和从业机构的主动效应,发挥金融机构的内部监督职能,共同建立健全数据治理长效机制,促进银行转型升级。
正文
面对金融机构海量数据时代的冲击,内部审计面临着机遇与挑战,针对新的监管合规要求,金融机构的内部审计部门应对内部审计工作进行战略性规划,提早布局,进一步强化内部审计作用,丰富团队在数据治理体系、管理工具与方法、系统技术支持等方面的知识与技术储备。同时,根据银行自身规模及发展情况,可通过定期委托外部专业审计机构,借助于其专业技术能力、全球知识库及行业服务经验,达到更好的审计效果。另外,金融机构的传统内部审计部门也可借助此次机遇,更好地促进自身数据资产的积累与数据能力的提升。
商业银行的数据治理审计,主要是基于商业银行的数据治理体系框架,参考内部制度和相关监管规定,对商业银行数据治理的组织架构、制度流程、质量管理、系统与数据管理、数据价值实现方面的全面审计。
金融机构的内部审计部门在开展数据治理审计的时候,可参考德勤的数据治理框架参考《银行业金融机构数据治理指引》的要求,对于金融机构的数据治理体系开展全面的审计工作。
部分银行之前已按照银保监会的要求,每年开展了《银行监管统计数据质量管理良好标准(试行)》(“以下简称良好标准”)的自评估,银行在开展数据治理审计工作中应结合良好标准自评估与《数据治理指引》的不同方面,涵盖监管的新要求。
在开展审计工作中,也可重点关注如下领域:
1. 数据治理战略的有效性与可执行性
银行业金融机构应按合理顺序规划数据治理各项工作,结合自身发展战略及内部资源建立有效可行的数据发展战略。制定循序渐进的数据战略将为后续的数据治理工作提供方向、指明路径,更会为银行发展战略目标达成与价值实现提供推波助澜之力。数据战略对于银行业金融机构而言至关重要。
2. 数据治理架构的合理性
关注数据治理架构, 关注数据治理体系建设情况,重点关注数据治理组织架构和制度体系,数据治理资源配置情况,一二三道防线对于数据治理的职能与边界,数据全生命周期的管理流程以及数据文化建设情况。
金融机构应建立纵向的数据治理管理组织,形成三道防线的管理组织网络。数据管理部门应负责牵头全行的数据治理体系建设与管理,业务部门应当负责本业务领域的数据治理,管理业务条线数据源,确保准确记录和及时维护,落实数据质量控制机制,执行监管数据相关工作要求。二道防线由合规或风险的管理部门负责,负责数据治理体系的定期合规检查和数据风险管理。第三道防线对第一及第二道防线部门的工作进行事后稽核、审计和监察等。通过三道防线,形成纠错防弊的机制性保障,才能夯实管理基础,有效控制偏差和风险。
3. 基础数据的质量与数据质量全流程管理的健康性
审计工作中,应评估数据风险性和健康度,主要评估纬度包括数据的真实性、准确性、连续性、完整性和及时性。应当收集行内监管报送中的主要问题,进行多维度分析,定位基础数据的质量问题,以及行内数据质量全流程管理的健康性。
数据质量提升是数据治理效果的最终体现,针对数据的审计,能够最直观发现数据是否符合标准规范、报送要求,以及数据质量问题。在开展针对数据的审计时,应首先明确测试系统范围,进而明确测试数据范围,确认数据量,最终通过数据校验等数据审计规则的开发,校验数据的一致性、准确性、完整性、唯一性、及时性、真实性、和精确性。
表1 数据质量检查维度
维度名称 |
维度说明 |
数据一致性 (Consistent) |
相同数据项在不同系统或同一系统内不同表格记录多次时,多个数据值是否相同。 |
数据准确性 |
数据是否符合数据标准中的业务定义。例如在数据项“押物名称”存储了押物所有权人名称。 |
数据完整性 (Complete) |
业务需求所需的关键数据项在系统中是否有定义,或者关键数据项是否都采集了数据。例如合同有效日期是否有未填写的数据记录。 |
数据唯一性 (Unique) |
是否满足一个业务唯一关键数据项值组合仅对应一条记录,例如一个组织机构代码仅有一条客户信息记录。 |
数据及时性 (Timely) |
是否能够在数据需求定义要求的期限内获得最新的数据,或按要求的更新频率刷新数据值。 |
数据真实性 (Accuracy) |
数值是否反映了真实的业务情况。 |
数据精确性 (Precise) |
数据的精确度是否满足要求。 |
4. 数据的安全性
大数据时代新形势下,数据安全、隐私安全乃至数据平台安全等均面临新威胁与新风险。数据安全是数据治理中面临的重要问题,也是数据治理审计关注的重点之一。数据安全审计工作依据信息安全管理相关的标准,如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800系列等,以及2018年5月最新发布的全国信息安全标准化技术委员会的《个人信息安全规范》,重点包括:
5. 数据资产的价值性
数据资产价值的审计工作包括盘点银行的数据资产,评估数据资产为银行带来的价值能力,发现数据资产现状的不足。数据资产正在为银行带来丰富的价值创造,其价值也成为衡量银行价值的重要影响因素。
内部审计部门应当了解全行的数据资产,关注在风险管理、业务经营与内部控制等方面挖掘数据资产应用能力,数据应用是否提高数据使用和应用效率,是否制订了良性的绩效考核促进了数据资产管理完善,是否发挥了数据价值。
我们建议银行业金融机构可按照下列步骤开展数据治理审计工作,在审计实施以数据审计为主,检查系统的数据质量情况,辅以传统的流程审计方法。数据审计与流程审计两者相结合,并且相互补充:
金融机构应当确保数据治理审计团队具备相应的技能与经验,方能取得专项审计的良好效果。可通过定期委托外部专业审计机构,借助于其专业技术能力、全球知识库及行业服务经验,达到更好的审计效果。丰富内审团队在数据治理体系、管理工具与方法、系统技术支持等方面的知识与技术储备。
结语
在应对监管要求与满足经营发展的双重挑战下,内部审计作为第三道防线,应以独立、客观的视角对银行数据治理范畴内的各项工作进行检查和评价,促进对全行数据资产的重视与积累,促进全行数据治理体系的完善,为金融机构数据价值的实现保驾护航。
