加強金融控股集團數據治理勢在必行
轉自:銀行家雜誌
隨着金融控股集團下屬子公司數字化、信息化水平的提升,集團內部對各類金融業務系統之間的數據交互、數據集成提出了更高要求。強化金融控股集團數據治理,通過深度的數通與共享提升金融控股集團協同效應,對於打造數字時代金控集團核心競爭力至關重要。本文分析了金控集團數據治理的管理難點和技術難點,並提出了金控集團數據治理的重點。
金控集團數據治理勢在必行
近年來,金融控股公司在推進各子公司協同發展和數據治理過程中,面臨各金融機構系統之間因爲數據標準不統一等導致的數據準確性、一致性、完整性缺乏保障,系統數據分散和數據質量不高等問題,金控平臺下各系統間快速高效的數據交互難以實現,進一步強化數據治理勢在必行。
金融控股公司監管要求強化數據治理。《國務院關於印發促進大數據發展行動綱要的通知》(國發〔2015〕50號)要求推動跨領域、跨行業的數據融合和協同創新,全面提升數據治理與數據服務能力,健全數據治理的評價、考覈和持續改進機制。中國人民銀行在2020年10月及2021年3月分別發佈了《金融數據安全分級指南》和《金融業能力建設指引》,指導金融業的數據治理工作。中國人民銀行等四部委聯合印發的《金融標準化“十四五”規劃》,對金融科技、綠色金融、數字貨幣、網絡安全等多個領域提出了標準化建設要求。中國人民銀行於2020年正式發佈實施的《金融控股公司監督管理試行辦法》(以下簡稱《辦法》)更是規定金融控股公司應“規範發揮協同效應”,金融控股公司與其所控股金融機構之間、其所控股機構相互之間可以共享客戶信息、銷售團隊、信息技術系統、運營後臺、營業場所等資源,並要求將數據治理納入公司治理範疇,同公司治理評價和監管評級掛鉤。
金融機構的專業監管機構對數據治理提出更高要求。近年來,國家立法機構和有關金融監管部門相繼推出和實施了多項法律法規和行業標準。《中國銀行業信息科技“十三五”發展規劃監管指導意見(徵求意見稿)》及2018年5月中國銀保監會發布的《銀行業金融機構數據治理指引》(以下簡稱《指引》),都要求商業銀行金融機構制定大數據戰略,夯實數據治理基礎,建立數據安全策略與標準,依法合規採集、應用數據,依法保護客戶隱私,劃分數據安全等級,明確訪問和拷貝等權限,監控訪問和拷貝等行爲,加強數據資料統一管理,建立數據應急預案及問責機制。《指引》更是涵蓋數據治理架構、數據管理、數據質量管控、數據價值實現等各大領域,強調了數據治理架構的建立,明確了數據管理和數據質量控制的要求。2022年初,銀保監會辦公廳下發《關於銀行業保險業數字化轉型的指導意見》,要求銀行業和保險業從戰略規劃與組織流程建設、業務經營管理數字化、數據能力建設、科技能力建設、風險防範、組織保障和監督管理等方向持續發力,構建數字化經營管理體系,健全數據治理,全面提升網絡安全、數據安全和風險管理水平。證券監管機構也非常重視證券期貨業金融機構的數據治理問題。2016年12月,中國證券業協會發布的《證券公司全面風險管理規範》首次在行業內提出數據治理。2018年12月,證監會發布《證券基金經營機構信息技術管理辦法》。2021年底,中國證監會科技監管局印發的《證券期貨業“十四五”數據治理規劃》指出,未來五年,證券期貨業工作重點目標在於確立全面有效的制度體系,健全數據治理組織體系,構建行業數據模型與規範,提升數據質量,強化行業數據安全等。證監會目前正在制定《證券期貨行業數據分類分級指引》,未來將在數據分類分級基礎上,採取相應的安全管理和保護措施。同時,證券期貨有關管理部門也在進一步研製《證券公司核心交易系統技術指標》《證券期貨業數據安全管理與保護指引》等標準。銀保監會和證券監管機構的相關辦法和標準對於金融控股公司在數據共享、數據質量管理、元數據管理等方面的管理具有指導意義。
數據要素市場建設要求金融控股集團強化數據治理。數據是數字經濟時代的石油,誰擁有數據資源優勢,誰就佔領了競爭的制高點。激發數據要素市場活力關係到我國能否在全球“數字經濟”激烈競爭中彎道超車。有關專家認爲,發展數據要素市場的重點應致力於打造數據要素市場的全生態體系,在推進數據、算法和算力的綜合交易基礎上,加快發展數據衍生品及數字資產交易,逐步從目前的數據資產即期等價交易,擴展到遠期借貸融資和投資。金融控股集團作爲銀行、證券、保險、信託等多種金融機構業務聚合的重要金融基礎設施,更應發揮綜合經營的數據平臺優勢,藉助先進的金融科技,率先實現數據良好治理,激發數據要素市場活力。
當前金融控股集團數據治理難點
隨着《辦法》的實施,金控集團持牌化、規範化經營大勢所趨,數據治理問題成爲未來金控集團必須加快解決的重要問題。但是,目前一些金融控股集團在數據治理方面仍存在一些亟待解決的重要問題,具體可概括爲管理難點和技術難點兩大方面。
金控集團數據管理實踐的難點
金控集團要強化數據治理,培育數據要素市場必須儘可能多地實現內外部數據資源開放共享,在實際管理中至少存在以下三個難點。
金控集團層面數據治理意識有待進一步提升。金融控股公司作爲金控集團的總部,負責集團公司發展戰略、經營目標、對外投資、子公司高級管理層選聘等重大事項的決策,要監督各控股子公司和投資企業的經營管理,強化集團各類整體性風險的管控,依法合規爲子公司提供相關支持服務。從數字經濟時代金控集團核心競爭能力提升的角度看,金控公司高層的數據治理意識有待進一步提升,一些金控集團還未結合公司治理、信息科技治理等方面的要求進行有效的數據治理,缺乏集團公司層面對數據治理工作的統籌部署和全面風險管理安排,數據治理平臺功能還不健全、不完善。在新的發展環境下,金控集團治理層應將數據治理作爲集團自上而下的一體化和“一號”工程,高度重視並牽頭持續推進數據治理工作深化,以保證整個集團和各金融子公司的數字化轉型過程中數據項目的願景與金融控股公司整體的戰略目標保持一致。
金控集團各子公司數據治理能力參差不齊。目前,一些金控集團仍存在集團整體數據治理組織架構不清晰、履行職責不到位、缺乏統一的數據治理戰略規劃,或缺乏針對數據治理人才隊伍培養的系統性規劃,或數據資產缺乏規範性管理等問題。近年來,儘管各類金融子公司都加強了數字化轉型和數據治理工作,但考慮到存在的上述問題及各類金融機構在數字化能力建設等多方面的差異,金融子公司在數據治理方面普遍缺乏統一規範、統一管理、統一規劃。一些金融控股公司和子公司數據治理方面的制度繁多,沒有統一口徑,數據解讀難度較高。
金控集團面臨數據共享和開放困境。金控集團內部的各個成員子公司在長期的經營管理活動中積累了大量不同維度、不同類型公司企業、機構和個人客戶的數據。這些數據形式各異、彼此分割、內容紛呈,從而在金控集團內部形成了一個個“信息孤島”。同時,集團各金融子公司都是由不同股東、客戶羣體組成的利益集團,加之嚴格的監管要求和各自的內部商業祕密管理制度,導致相互之間數據協同顧慮較多,都希望數據只進不出,本機構的底層敏感豐富數據不敢開放。這種由數據所有權與控制權(使用權)分離導致的數據共享概念和開放困境,或者說集團內部、子公司內部的利益關係也阻擾了金融控股集團層面的數據治理工作的落實。
金控集團數據治理技術實現方面的難點
金控集團內部數據資源龐大且數據結構複雜。國內大中型金融控股集團各類金融子公司特別是商業銀行子公司,往往涉及數千萬甚至上億個人客戶的數據信息,所服務的企業和機構客戶也往往在幾十萬甚至數百萬家,各金融子公司在爲這些客戶提供交易和其他金融服務過程中形成了海量和千差萬別的數據結構,增加了快速盤清數據底賬,保持數據分類分級一致性,以及防護策略有效性的重要挑戰,加大了在集團範圍整體推進數據治理工作的協調難度,短期內也很難體現出集團開發的相關技術平臺和金融科技項目的效果。
金控集團範圍的源系統改造存在障礙。根據有關科技專家分析,目前市場上許多金融控股集團各大系統之間的數據基本是點對點交互模式,各系統的數據編碼多樣化。數據梳理、數據編碼重構及映射等方面的系統改造影響面非常廣,增加了集團公司的數據治理部門在構建多個金融子公司和整個金融業務板塊的數據治理體系方面的難度。同時,大中型金控集團都不同程度地開展着國際化經營,境內外數據的國際跨境流動要求更高的安全保障和順暢的境內外合作協調。在國際環境不確定性上升的背景下,加強有效的數據治理國際合作,推動構建有效和規範的金融數據全球治理體系,仍然是大中型金控集團面臨的最大挑戰。
金控集團數據管控方案普適性要求高。金控集團數據治理方案的有力執行是集團數據建立和數據質量的根本保障,但是由於許多金融控股集團的子公司涉及領域廣泛,每個行業的金融監管和運營對數據治理都有差異化的需求和設計方案。因此,如何通過最新數字技術促進銀行、證券、保險、信託、基金等多業態數據的協同共享,也是金融控股集團發展過程中面臨的重要挑戰。同時,金融控股集團需要採取有效措施減少數據標準的差異化,強化集團範圍數據標準的準確性、一致性和完整性,並運用統一高效的數據治理平臺來支撐和推動數據項目的落地。
金控集團內部數據安全隱患仍然較多。隨着更多金融科技和移動智能終端的普遍開發和使用,金融控股集團內部各類客戶的運營與衣食住行各方面的交易數據會被實時全方位記錄,特別是個人信息更加透明化和被過度採集,導致數據被盜用、侵權、欺詐、財富和人身安全等方面的問題日益突出。近年來,網絡安全防護和系統建設存在的漏洞導致客戶數據泄露和損毀的風險不斷增加,有效保護金融消費者權益面臨新的問題和挑戰。但目前來看,一些金融控股集團仍無法有效應對複雜數據流動的風險,風險防護的手段方面也缺乏強有力的協調聯動能力,無法針對客戶生命週期的整體數據安全提供有效防護。
金融控股集團數據治理重點
金融控股集團數據治理是一項新興而又充滿挑戰的系統工程,具體解決金控集團中的誰(Who)能根據什麼樣的信息,在何時(When)和何種情況(Where)下,選擇何種路徑(Which),用什麼方法(How),達到什麼目標(What)。數據治理中最爲突出的問題表現爲集團數據管理、集團數據共享、數據要素市場建設等三個層面。
突出強化集團數據管理
在金控集團範圍規範和統一數據標準。金控集團通過規範數據治理中的業務、技術、管理等三大屬性,可使銀行、證券、保險、信託、期貨等各項金融業務在經營管理過程中有效統一各類業務術語定義、報表口徑規範、數據交互標準等,既有助於金控集團數據的有效共享、交互和應用,也可以大幅減少各種業務和板塊的系統間的數據轉換需求。這就要求金控集團必須建立規範的數據資產目錄,對業務元數據實行集團平臺化統一管理,再根據不同的金融業務場景對數據資源科學分類,推進數據資源在集團範圍依法合規共享,提升數據資源使用價值。
突出強化集團的數據質量管理。一方面,金控集團通過強化數據管理,有效提升集團範圍的數據完整性、真實性和準確性,可以爲集團數據治理提供更加可靠的數據基礎,構建高價值的數據資產池,大幅提升數據的使用價值,提高金控集團的重大經營管理決策、風險管理和合規控制等領域的科學性和有效性。另一方面,金控集團可以通過數據探查報告方式,依法合規爲集團內各經營管理單位及集團外的利益相關者提供數據量、數據維度、變量類型(連續/多分類/二分類)、缺失情況、數據準確性(語義分析及對比)等各種信息,能有效衡量各種數據的質量。同時,集團通過數據評估報告等形式,描述數據的完整性,離線在線一致性、準確性、唯一性、關聯性、真實性、及時性等情況,能有效評估數據要素整體分佈和流通質量。金控集團數據質量管理要貫穿數據的生命週期全過程,覆蓋全業務的需求分析、數據質量評估、業務影響評估、動因分析、問題跟蹤整改等方面。
加大金控集團元數據管理力度。元數據(Metadata)是描述其他數據的數據(data about other data),或者說是用於提供某種資源的有關信息的結構數據(structured data)。金控集團的元數據可以有效解釋集團內各類金融業務的數據意味着什麼,這些數據來自哪裏,在集團各金融業務系統中這些數據如何有效流通轉移,集團內的誰和哪些部門、機構在何時和以何種方式有權訪問這些數據等概念。因此,元數據被看作是集團數據的數據“索引”,通過對元數據的規範管理實現各類數據的快速檢索、血緣分析和數據地圖的展現。隨着金控集團數據治理的深入,元數據管理在金控集團數據資產管理中的基礎性作用將更加突顯。
強化集團範圍的數據共享
在依法合規前提下,金控集團要大力推進數據開放共享,打破各類金融機構和不同種類金融業務之間的數據孤島和人爲障礙,讓數據充分流動起來,創造更大的價值。
強化集團主數據管理。相對交易數據而言,主數據是反映核心業務實體狀態屬性的基礎信息,是系統間共享的數據,屬性上具有相對穩定和變化相對緩慢等特點。金控集團的主數據往往比單一的銀行、證券金融機構具有更高的價值及共享性,以及更高的準確度和唯一識別性。集團所有主數據字段是各金融業務經營管理主系統開發必須遵循的基本描述,屬性字段方面應保持一致與完整性,從而爲向數據需求者提供相應主數據信息提供更加方便的條件。但是在實踐中因爲一些金融控股集團缺乏主數據管理平臺和應用集成接口,各金融子公司分散建設的各系統中數據查重不能跨系統進行。在這樣的情況下,金控集團內部的各系統首先應強化各自的主數據管理,打造自身的數據倉庫,按照主數據編碼規則生成相應的高質量數據。在集團主數據平臺實施運營時,應在集團範圍統一進行數據的清理合併,然後導入集團主數據管理平臺對各種數據進行集中管控。
規範金控集團內部的數據交換。數據交換是金控集團數據交互和協同共享的基礎,國內外金控集團數據治理實踐表明,合理、有效的數據交換體系對於提高集團數據共享程度和數據流轉時效具有重要意義。金控集團通過對內部各系統間數據的交換規則制定對接口、文件的命名、內容等方面的標準進行統一,可以有效規範集團系統間、集團系統與下屬的各金融子公司系統間的數據交換規則,提高數據共享的時效性,精確掌握數據的流向等。
保障金控集團全面的數據安全。數據安全是金控集團數據交互共享的根本保障,如果因爲數據安全無保障導致信息不慎泄露,不僅會給各類客戶和集團、子公司帶來重大經濟損失,也會給金控集團及相應金融子公司帶來聲譽風險,有的還將面臨客戶“天價”索賠訴訟等法律風險和金融監管機構嚴厲的監管處罰,從而影響集團整體的融資成本、市場準入機會、股東價值和品牌價值。金控集團應通過硬盤加密、傳輸加密、敏感文件外發控制等工具,強化對集團內各類系統數據存儲、傳輸方面的管理,並輔之以定期開展安全審計等數據使用層面的安全控制,使得集團數據安全得到有效管控。
探索數據的市場化交易平臺
在依法合規進行數據共享的前提下,金控集團應積極探索建立數據要素的市場化交易平臺,爲內部統一的數據資源交易平臺制定和實施科學的交易規則,統計和計算數據資源生產要素的交易情況,釐清內部各子公司所產生數據的所有者、數據控制者和數據使用者之間的關係。同時,對於集團各單位所需要的外部數據,金控集團應以降低整體使用成本爲目的,建立數據資源集中採購中心,統一採購後在集團內部開展數據資源生產要素交易和統計結算,最終達到提升數據資源整合價值的目標。
金控集團的數據風險管理
金控集團要提供數據安全保護,強化統一化管理和主動型風控管理,提升從數據中識別風險、靈活運用大數據技術管控風險的能力。
數據安全管理規範化。金控集團要制定金融數據安全治理建設標準指南、數據安全分類分級管理辦法、規範數據安全過程中的技術方案等各項規範化制度和準則。要建立統一的金融數據安全管理制度體系,規範數據治理工作流程,強化對數據安全管理人員的職責要求,形成嚴格規範數據安全的範圍、內容、流程及方法的標準,制定嚴格、合理、可落實的數據安全分級分類管理標準。
建立適應金融數據全生命週期的安全管理體系。要強化數據的全生命週期管理,強化加密、脫敏、審計、水印等不同數據安全技術手段的應用,及時發現數據治理各個環節的風險點,集中化管控貫穿數據全生命週期的安全策略。要以數據安全分類分級管理辦法和數據安全評估報告爲基礎,對重要和敏感的數據進行特殊處理,按照風險最小化和價值最大化的原則爲系統維護人員和數據使用者設置數據訪問權限。要進行統一調度並實現與數據加密、數據脫敏、數據水印、數據防泄漏、數據溯源等防護技術工具的聯動,從外到內形成一個縱深的安全防禦體系,構建金融數據全生命週期安全的整體防護能力。
建立統一的數據安全監管與運維管理平臺。金控集團可邀請第三方機構對集團數據安全分類分級管理辦法和數據安全等級保護水平進行評價和評估,加強在數據邊界管控、訪問控制、安全監測、安全審計、檢查評估、應急響應與事件處置過程中的數據安全風險防控能力。數據治理部門要全面掌握數據安全態勢,規避數據安全風險、提升應急響應能力和大數據安全指數,確保數據安全防護機制的有效執行,及時發現與處置數據安全問題,保障集團經營的高效、安全運行。
馬丹系同盾科技公司研究院副祕書長,張春子系清華經管中國金融研究中心特約研究員
