解读:“金融数据治理指引”

2018年3月16日，银保监会发布了《银行业金融机构数据治理指引（征求意见稿）》。2018年5月21日，在广泛征求意见修订内容后，银保监会正式发布了《银行业金融机构数据治理指引（银保监发【2018】22号）》。下面简称“指引”。

本次指引旨在指导银行业金融机构加强数据治理，提高数据质量，发挥数据价值，提升经营管理水平。将数据治理纳入公司治理范畴，将数据治理情况与公司治理评价和监管评级挂钩。

解读“指引”

解读1

指引下发范围广泛

此指引通知下发给各银监局、机关部门、政策性银行、大型银行、股份制银行、邮储银行、外资银行、金融资产管理公司及其他会管金融机构。指引中第二条规定，适用范围是”境内建立的商业银行、农村信用合作社等吸储金融机构、政策性银行以及国家开发银行”。指引中第五十三条还特别指出，“外国银行分行以及银行业监督管理机构负责监管的其他金融机构参照执行本指引”。参考下现有银行金融机构。

解读2

将数据治理纳入公司治理范畴

指引第四条，“银行业金融机构应当将数据治理纳入公司治理范畴，建立自上而下、协调一致的数据治理体系。”区别于一般经营和管控活动，数据治理强调的是从企业的高级管理层架构与职责入职，建立企业级的数据治理体系。这里特意强调了企业级，而不是现有很多公司由某一部门主导数据工作，要真正从管理（Management）提升到治理（Government）层面。在推进方式上，一定是自上而下，避免某一部门承担过重的责任压力或资协调能力不足的问题，导致整个治理工作无法真正落地，降级实施风险。

解读3

原则：覆盖、匹配、持续、有效

指引第五条指出，“银行金融机构数据治理应当遵循以下基本原则：…”

• 全覆盖原则 纵向覆盖数据的全生命周期，横向覆盖业务经营、风险管理、内控流程数据。强调包括对内、外部数据、监管数据及分支机构数据的包含。
• 匹配性原则 强调与企业的管理模式、业务规模、风险状况相适应的数据治理架构。
• 持续性原则 建立长效机制，持续开展数据治理活动。
• 有效性原则 强调真实、准确数据，这对数据质量提出了更高的要求。

解读4

数据监管提到新高度

指引中第六条之处，“确保监管数据纳入治理流程、监管数据质量持续提升，并规定法人或主要责任人要对监管数据治理担负最终责任”。上述论述，无疑是将数据监管工作提升到一个新的高度。作为强监管的行业，数据在未来监管活动中将发挥更大的作用。第十九条，也提及“制定与监管数据相关的监管统计制度和业务制度…。制度发生重大变化时，应当想银行业监督管理机构报告”。第二十二条，谈到“应当建立适应监管数据报送工作需要的信息系统，实现流程控制的程序化，提高监管数据加工的自动化程度”。以上均从实施层面，细化了对监管报送工作的要求。

解读5

数据治理职责提到高层

指引中八到十一条，阐述了数据治理工作对应的组织架构及对应的职责边界。第八条作为总体要求指出”银行业金融机构应当建立组织架构健全、职责边界清晰的数据治理架构，明确董事会、监视会、高级管理层和相关部门的职责分工，建立多层次、互相衔接”的运行机制。

解读6

明确部门、职责、岗位、问责

指引第十二至十四条，指出需设置管理部门并授权来负责数据治理体系建设，同时设置专职岗位落实工作。业务部门应承担起具体数据所有者应承担的责任，设置专职或兼职岗位，负责本业务领域的数据治理，确保数据记录准确、及时维护，落实数据质量控制机制。有条件下可设置首席数据官或指定高级管理人员负责。建立问责机制，依据规定对高级管理层和相关部门及负责人予以问责。

解读7

加强数据生命周期管理

指引第二十三条，提出“加强数据采集的统一管理，明确系统间的数据交换流程和标准，实现各类数据有效共享”。第二十五条，也提出“数据资料统一管理，建立严密管理流程、归档制度、梳理口径等”。以上内容，可视为对数据生命周期的管理（如下图）。在数据不同使用环节，标准化、流程化，进而提升数据使用质量。目前各公司致力打造的数据中台，无疑可以很好地充当这个角色。

解读8

数据安全与隐私保护

指引中第二十四条提及“应当建立数据安全策略与标准，依法合规采集、应用数据，依法保护客户隐私，划分数据安全等级，明确访问和拷贝的权限，监控访问和拷贝等行为，完善数据安全技术，定期审计数据安全。涉及个人信息的，应遵循国家个人信息保护法律要求…”。这部分是对数据采集、使用、存储、访问等多个维度进行约定，数据的基础需建立在合法依规的数据共享和使用基础之上。同时强调利用数据分级、审计、监控等手段予以落实。对个人隐私方面，需遵守国家相关法律。

解读9

数据可用性要求

指引第二十六条要求“应当建立数据应急预案，根据业务影响分析，组织开展应急演练，完善处理流程，保证在系统服务异常以及危机等情形下数据的完整、准确和连续”。将数据应急预案纳入全行业连续性管理体系中，作为整体应急预案的重要组成部分。数据应急预案需根据业务的重要性，明确数据重要性和优先排序，进而确定响应的指标（RPO和RTO），制定新的数据应急预案，定期演练，不断完善。同时对极端情况下，对数据的保障提出了明确要求（完整、准确、连续）。

解读10

质量源头抓起，业务数据双控制

指引第四章，专门谈及了数据质量问题。其中业务源头作为数据进入金融机构的节点源头，应尽力确保其数据治理，才能最大程度避免后续质量问题。此外信息系统对数据异常变化及错误应可感知。传统的数据质量往往是”事后”处理，此次指引更从事前角度切入。强调采集的规范性和标准化，并通过信息系统进行固化。

解读11

抓住需求痛点，实现价值变现

指引第五章，谈及了数据价值实现。强调了数据治理的核心驱动力：以数据应用、体现数据价值来驱动业务部门更好的开展数据工作，实现迭代完善和提升。空谈治理，不谈价值，是无法在企业内长期推行的。在具体应用上，可根据企业数据治理成熟度情况，其实现应用目标进而创造价值也有所不同。

解读12

加强数据治理工作的监督管理

指引第六章，谈及了监督管理。银保监会对金融机构的数据治理工作持续监管。可聘请内、外部审计机构进行审计。对不满足要求的机构，可采取责令限期整改、公司治理评级及行政处罚等手段。

THE END

数据是企业的核心资产，如何发挥更大数据价值，实现价值变现？是每个企业都需面临的问题。银行业，作为国家支柱性产业，对规避风险等有着更高的要求。银保监会对金融机构数据治理所提指引，是从顶层高度给予指导；也说明管理层对数据工作更加重视！银行从业者，应抓住这一契机，提升整体数据治理水平。未来的企业间竞争，将是"数据力"的竞争。