《银行业金融机构数据治理指引》解读

1 立治理为本源，引价值为核心
1.1 前言
为引导银行业金融机构加强数据治理，充分发挥数据价值，全面向高质量发展转变，银监会起草了《银行业金融机构数据治理指引（征求意见稿）》（以下简称《指引》）。《指引》遵循监管引领和问题导向，包括七章五十五条，于2018年3月16日起向社会公开征求意见。同时，银监会将根据各界反馈意见，进一步修改完善并适时发布。
《指引》以“应通过数据治理有效实现数据价值”为主线，坚持统一性与广泛性结合、普适性与特殊性结合、引导性与主动性结合的三项原则，从数据治理架构、归口管理、数据文化、数据价值应用等方面对银行提出了更高的要求，旨在发挥监管引领作用，引导银行业金融机构全面开展数据治理，建立完善数据治理架构，统一全面管理银行数据，充分发挥数据价值，自觉结合自身实际情况，在业务经营、风险管理和内部控制等各环节中加强数据应用，提升数据治理效率。促进银行业全面向高质量发展转变，更好地发挥银行业在经济中的作用。
1.2 正文
银行“数据治理”的前世今生
—从《银行监管统计数据质量管理良好标准（试行）》到《银行业金融机构数据治理指引（征求意见稿）》
我们看到，本次下发《指引》的同时废止了《银行监管统计数据质量管理良好标准（试行）》（银监发〔2011〕63号）（以下简称《良好标准》）。《良好标准》被视为《指引》的前身，《指引》在《良好标准》试行七年的基础上进行了提炼与升华。
图1：“良好标准”与“数据治理指引”概览对比

图2：“良好标准”与“数据治理指引”主要内容对比

1.3 解读核心观点
《指引》共包括七章55条，作为银行业金融机构数据治理工作的引领性文件引导银行业金融机构全面开展数据治理。重点从以下五个方面提出监管要求：
一是明确数据治理架构。监管在答记者问中明确指出：“多数银行数据管理职能分散在不同部门，容易出现职责分散、权责不明的情况，需要进行统一管理。同时，数据治理是系统工程，从下至上，应做到人人有责、层层把关。”《指引》明确了银行业金融机构数据治理架构，董事会、监事会和高管层等的职责分工，提出可结合实际情况设立首席数据官。要求确立数据治理牵头部门，明确牵头部门和业务部门职责。引导银行业金融机构建立完善数据治理架构，统一全面管理银行数据，并要求从数据采集员、部门负责人、高管层到董事会，所有相关人员都对数据治理负相应责任。
二是明确数据管理和数据质量控制的要求。明确银行业金融机构数据管理方面的要求，覆盖数据战略、数据管理制度、数据标准、信息系统、数据共享、数据安全、应急预案、问责机制和自我评估机制等。要求建立数据质量控制机制，明确将监管数据纳入数据治理范畴，要求全面强化数据质量，保证数据的真实性、准确性、连续性、完整性和及时性。
三是明确全面实现数据价值的要求。提出银行业金融机构应当将数据应用嵌入到业务经营、风险管理和内部控制的全流程，有效捕捉风险，优化业务流程，提升内部控制有效性，实现数据驱动银行发展。
四是加强监管监督。明确了监管机构的监管责任、监管方式和监管要求。对于不满足《指引》有关要求的银行业金融机构，要求其制定整改方案，责令限期改正；或与公司治理评价、监管评级等挂钩；也可能视情况采取其他相应监管措施。
五是强化数据安全意识。要求银行业金融机构适应大数据时代需要，强化数据安全意识，依法合规采集数据，防止过度采集、滥用数据，依法保护客户隐私。
本次《指引》使用了许多新兴词汇，这些词汇均是首次被监管部门正式引用，并出现在银行业金融机构的监督管理文件中。我们将通过这些词汇更好地理解《指引》。
1.首席数据官
“首席数据官”首次作为需要监管机构任职资格许可的管理岗位被提出。通过设立首席数据官，明确银行业金融机构数据治理架构，董事会、监事会和高管层等的职责分工。
2.数据文化
这是监管机构首次正式将数据作为企业文化建设的一环提出，要求树立数据是重要资产和数据应真实客观的理念与准则，通过数据文化建设，获得数据价值在全行内的认同。
3.整改制度
这是监管机构首次在明确要求建立管理制度后，明确要求建立整改制度。目的是要求建立数据质量控制机制，全面提高数据质量，强化银行业金融机构对数据质量的责任，建立和实施上至高管层的数据治理问责机制。
4.数据价值
提出数据价值的概念，通过数据治理有效实现数据价值，以数据价值驱动管理。要求银行业金融机构加强数据应用，发挥数据价值，实现数据驱动银行发展，强调数据应当成为经营管理尤其是风险管理的重要依据。
5.数据加总能力
通过提出数据加总能力，进一步明确数据在全面风险管理中的价值。银行业金融机构应当建立数据统一集中管理的制度，确保整体数据完整性，确保各类数据之间的统合性、关联性和一致性，满足在正常经营、压力情景以及危机状况下风险管理的数据需要。
1.4 小结
近年来银行业金融机构在业务快速发展过程中，积累了客户数据、交易数据、外部数据等海量数据。数据已经成为银行的重要资产和核心竞争力，充分发挥数据价值，用数据驱动银行发展，提高银行经营质效，具有重要意义。在此过程中，打破传统运营模式，引入金融科技或创新手段势在必行。我们建议，银行应以本次《指引》为契机，借力于有效的工具和手段，建设和优化数据治理体系，提高数据管理和质量控制水平，充分挖掘和利用数据价值，为数据分析、经营决策、发展规划提供数据支持，持续提升风险管理、内部控制能力及经营管理能力，形成全行上下数据文化，充分发挥数据价值。
我们看到，从银监会的《良好标准》提出到《指引》的发布，无不体现监管希望通过合规引导，促进银行重视数据和利用数据价值的本意，这也正和正在研究的“第四张报表”的课题不谋而合。 “第四张报表”在数据治理基础中融入了数据资产的考量，从应用、企业价值、估值中融入用户、渠道、产品等维度的非财务数据，促进企业重视自身的数据资产，使得企业在数据治理的基础上更能清晰看出自身的价值与未来战略的改进方向。
“第四张报表"的数据价值服务体系不仅包含传统的金融行业数据治理服务，也融合了数据资产价值评估、数据资产挖掘等价值提升服务，将从数据治理架构、数据管理、数据质量、数据架构、数据价值、数据应用、信息保密与安全等维度，有效地治理、挖掘并提升银行的数据资产价值，切实助力银行业数据治理合规达标，开发数据资产的价值评估与应用，提高数据质量，持续提升经营管理能力。
2 搭建管理架构，夯实治理地基
2.1 前言
《银行业金融机构数据治理指引（征求意见稿）》（下称《指引》）以发挥数据价值为核心，提出“数据是重要资产”的概念，对数据价值的场景与目标要求进行阐释。针对银行数据治理的“前世今生”层层铺叙，阐述监管的变化与趋势。从战略、管理、执行的角度，解读数据管理自上而下如何开展。通过夯实数据治理基础，实现数据精益管理。
2.2 正文
基于指引要求的数据治理架构体系
《指引》替代银行监管机构2011年发布的《银行监管统计数据质量管理良好标准(试行)》（下称《良好标准》），对数据方面的监管进行强化与延伸：强化管理对象，由监管数据质量到全面数据治理；延伸管理范围，由监管统计延伸至数据全生命周期。
根据《指引》在数据治理架构、数据管理、数据质量管理、数据价值实现方面的要求，可搭建由数据治理到管理、应用的整体架构：
图：基于指引的数据治理体系框架

数据治理体系框架根据治理、管理、应用分为三个层次：
• 战略、组织、制度、流程、绩效等作为治理内核，组成数据治理层；
• 数据标准、数据质量、数据安全、数据共享以及生命周期管理内具体执行内容组成数据管理层；
• 数据风控、数据应用、数据需求等组成数据应用层。
2.3 数据治理应对要点
为全面应对《指引》要求，由数据治理通向数据价值实现，银行业金融机构需要从战略、管理、执行三个层面循序渐进开展工作。
全面的数据战略规划。《指引》要求，数据治理是长期而深入的“在经营管理中充分发挥价值的动态过程”。银行不仅要将数据治理、数据价值实现纳入公司治理范畴，还需结合自身发展战略与监管要求等要素，制定全行数据战略规划。通过风险管理、业务经营与内部控制等领域中的数据应用，逐步将规划要求落地，实现数据驱动，发挥数据价值。
切实有效的数据治理组织架构。《指引》第八条要求“银行业金融机构应当建立组织架构健全、职责边界清晰的数据治理架构，明确董事会、监事会、高级管理层和相关部门的职责分工，建立多层次、相互衔接的运行机制”。同时，《指引》第十二条明确：归口管理部门“负责监管数据相关工作，设置监管数据相关工作专职岗位”。
数据治理体系建设工作涉及诸多系统与业务流程交织；监管报送通常以统计、财务相关职能归口管理。《指引》强调将两者归并管理，其意图不仅要求银行建立数据管理职能，更深层次的期望是银行将数据作为管理对象独立出来。
以数据管理的多年实践来看，围绕数据相关的工作，必须由专人专岗负责，随着数据治理成熟度提升、数据业务范围拓展，可逐步成立数据管理小组、数据管理部门。
在实务中，亦协助某城商行规划建设独立数据管理一级部门。该部门设置数据治理、监管报送相关职能，同时将数据应用作为第三条职能线。该部门既承担维护数据的责任，又拥有挖掘数据价值的能力，帮助行内利用数据实现多项分析应用。满足监管指引要求与提升行内数据效能相得益彰。
在开展数据管理的过程中应参考成熟的管理方法。基于《指引》要求，参考DAMA（国际数据管理协会）的数据管理知识体系、数据治理方法论等已具有多年实践经验的理论，能帮助银行借鉴成功经验，开展数据管理工作。
DAMA知识体系重视数据质量、数据安全、数据存储、数据共享等方面的实施方法。在2017年9月更新DAMA知识体系2.0版本中，对数据治理、数据管理的概念以及方法框架有一定变化和提升。新版本增加章节详细介绍数据治理组织与角色，并首次引入组织架构体系，这一认知正与《指引》要求契合。银行可以结合自身发展特色，参考借鉴国际数据管理方法体系的内容开展数据管理。
利用数据治理工具实现高效持续的数据治理执行方式。“速见成效”是大部分银行开展数据治理的期望。以数据质量管理为例，银行往往为呈现数据治理当下的效果，要求各部门定期手工开展数据质量检查活动来实现数据质量监控，以期改善数据质量。
实践发现，长期、频繁的检查工作大大增加了数据治理操作环节的工作，加上重复不变的检查条件，不仅难以实现数据质量的持续提升，更不利于行内形成数据治理文化。通过数据质量检查平台、数据质量检查机器人（RPA）等工具，通过代码化、系统化方式，能够快速遍历数据、诊断问题，简化新增检查规则的流程，才是数据质量监控的最佳实践。
2.4 数据治理新思路
银行应积极探索与实践，总结适合自身业务特点的数据治理实施道路。通过众多银行数据治理实践案例，总结数据治理新思路：
数据治理需要一个灵魂角色。《指引》提出银行可根据实际情况设立首席数据官（CDO）。认为，无论是否设立CDO职位，都不可否认银行需要一位“CDO”来制定银行数据战略、开展数据管理工作，建设数据文化。如果缺少这样的一个灵魂角色，数据治理工作的开展必然是杂乱的，缺乏体系的。陪伴多家银行建立数据治理架构，包括协助数据管理者树立数据发展方向、明确战略策略，制定发展规划。相比由管理委员会或CIO来推进银行的数字化策略，CDO对数据有更强的推动力及精准的关注点。
数据应用与数据治理相互促进的新模式。与传统搭建框架不同，在实践中摸索出数据治理新模式。选择实现数据应用为导向，梳理应用所需数据，开展专项数据治理。再通过迭代的方式，逐步实现体系化数据治理。新模式既满足监管对数据的要求，同时也涵盖监管要求的数据价值实现。
以数据治理审计促进数据治理建设。提供的数据治理审计服务中，以流程审计与数据审计结合的方式，不仅从流程制度方面发现风险与不足，结合数据中发现的问题，追溯业务管理的根本原因，为银行数据治理成果把关，起到以审促建的作用。
2.5 结语
作为价值实现的载体，监管将视野拓展至银行数据管理与应用领域。银行也将在应对监管要求和拓宽发展领域的双因素作用下，在数据管控的基础上，强化对数据应用效率和效果的检查与评估。应对新挑战，银行应进一步夯实治理基础，以数据价值助力银行的数字化转型。
3 掘金数据，挖潜价值
开展数据治理，其“初心”是为了实现数据价值。对银行数据治理的“前世今生”与数据治理实践基础进行了解读和阐述。重点解读数据价值，分享实现数据价值的路径与方法。
3.1 银行数据应用的方向
《银行业金融机构数据治理指引（征求意见稿）》（下称《指引》）单独开辟第五章数据价值实现，要求“银行业金融机构应当在风险管理、业务经营与内部控制中加强数据应用，实现数据驱动，提高管理精细化程度，发挥数据价值”。这三个应用领域与银行金融本质、战略转型与精益管理息息相关，银行应坚持应用导向和问题导向，做强做优数据应用，提升数据资产转化为数据服务和数据价值的能力。
1）风险管理
银行基于内部与外部数据，实现更加自动化、精细化和准确化的风险识别与预警，并探索人工智能技术在风险防控领域的应用。
例如，在信贷业务的风险管理中，通过集成学习（EnsembleLearning）技术，将多种大数据模型技术整合，构建全方位的客户风险识别预警能力，提供更高的审批效益以及更为精细的授信策略；在信用卡业务的风险监测中，通过人脸识别和比对技术，可大幅降低伪冒申请案件的发生；通过互联网公开可获取的文本数据并进行解析，与内评法评估模型相结合，对企业信用风险或资产标的进行更高频的风险监控，改变静态周期性监控的低敏感性。
2）业务经营
众多银行为实现线上业务发展结合线下网点转型的全渠道建设，通过分析线上线下的客户行为特征，识别客户的生命周期状态，以便采取引流、营销、激活、挽留等对应的客户管理措施。通过金融科技转型，建立第一方客户数据管理平台，构建实时营销机会捕获能力，实现为每一个客户以最佳的时机和渠道，提供最佳的产品和服务。
例如，在银行的APP应用内部，通过千人千面的客户画像，利用强大的计算性能和大数据预测技术，为客户提供个性化、专有的功能展示和推送，发掘客户的下一个需求点，减少客户在应用内的寻找成本。在近些年的部分领先银行的APP应用中，此类推荐引擎已经成为银行收入增长的重要组成部分。
3）内部管理流程
银行内部管理流程积累的大量数据同样具有挖掘价值，例如监管法规、内部公文、合同文书等文本数据，业务流程各节点员工操作的行为数据，银行和第三方业务交互的行为数据等，都是可以内部挖潜的数据来源。
通过自然语言处理技术，提取并标准化银行内部的各类文本内容，可在合同审核、业务协议分析、内部审计等管理领域广泛开展应用工作。
例如，将银行内部的合同管理规范、法律部门的专业经验集成到语义分析程序中，通过标准化的语义识别，帮助法务人员快速、精准识别高风险条款，减小法务人员间的水平差异，可大大提高法务中心合同处理的效率和效果；对管理流程的控制环节中的人机交互数据进行采集，分析流程执行的效率及控制活动是否“形式化”，为业务流程效率提升和内部控制有效性改善提供依据。
3.2 银行数据应用建设策略
银行业是较早重视并开展数据应用的行业。在银行数据应用能力建设过程中，也伴随着挑战与制约，主要体现在，对非结构化数据处理能力不足，制约银行对影像、音视频等数据分析与应用能力；未建立能够快速共享整合的大数据处理及分析平台，影响数据应用效果；不同业务间数据未能打通与整合，限制数据应用场景；数据分析建模能力积累不够，降低数据应用的精度，数据驱动业务能力不足。
着眼当下，面对种种难题，银行亟待制定数据应用建设策略，评估数据应用的收益与投入成本，结合监管明确的数据应用方向，建立与业务战略相匹配的数据应用规划，制定切实可行的实施路径，集中资源攻坚克难。
同时银行应搭建可容纳海量数据的基础平台，提升数据服务的核心能力；充分挖潜内部数据，积极获取外部数据，扩充行内数据的宽度与深度；分层构建数据应用，集中建设基础共性的数据应用，支撑价值导向的个性化应用百花齐放。更重要的是，在数据应用建设过程中，注重数据模型的优化，遵循行内数据标准，结合元数据管理持续提升行内数据质量，实现数据应用和数据治理的相互促进。
图：银行数据应用建设策略

3.3 数据应用建设路径
建议基于数据应用的建设策略与方向，银行应在迭代建设过程中搭建具有快速计算、海量存储及动态可视化能力的数据平台。通过持续的、高质量的数据采集与集成，运用数据分析及挖掘算法，提供专业的数据应用服务，促进数据应用水平不断提升。同时银行应注重人才与文化建设，更好地应对市场变化及商业竞争。
1）数据应用的基础建设
搭建数据基础平台，是进行大数据采集、集成、共享及应用的基础。银行应利用在传统数据仓库技术的积累，大力推进大数据、云计算等开源技术的应用，构建数据处理能力与数据应用能力相匹配的基于大数据的云服务型数据基础平台。
采集与集成数据资源，银行处于数据驱动业务模式的转型期，应积极获取一二三方的数据，扩充行内的数据宽度。银行应规范行内信息系统的建设与业务操作规范，提升行内第一方数据的质量；开展上下游生态圈合作，扩展行内的第二方数据；通过爬取、购买、交换等方式，补充行内的第三方数据。对于采集到的多方数据需要通过构建统一的企业数据模型进行整合，形成行内的数据资产地图，降低数据理解的难度，有效支撑业务部门开展数据应用。
2）数据应用的内容建设
满足数据可视化要求，建立有数据质量保障的能够进行多维查询与分析的数据可视化平台与工具，减少数据分析人员因找数据，验数据，协调解决数据质量问题产生的大量工作。
建立数据分析实验室，集中数据分析骨干，基于内容的检索和相似度搜索、概化和多维分析、分类和预测分析等方法，加强对文本数据、图形数据、音频数据以及超文本数据等复杂数据进行挖掘。
加强算法应用改进，结合实际应用案例，引入国内外机器学习等先进算法并提升算法的性能与稳定性，加强对挖掘结果的有效性评估，逐步将大数据资源转化为商业洞察，提升自动化业务流程，增强差异化产品与服务的核心能力。
增强应用服务能力，基于银行风险管理、业务运营、内部控制等多个应用领域，为业务部门提出场景化的应用解决方案。发掘数据应用需求，探索新的数据应用领域，拓展数据应用深度，推动数据资产价值实现。
3）数据人才队伍与文化建设
加强专业化人才队伍建设，以首席数据官为带头人，数据科学家为分析技术核心，建立数据分析师与数据管理员的专业化团队，与业务部门多样化的数据分析与应用人员，共同组成分工协作的数据人才队伍。
推动数据文化建设，银行应通过培训及绩效激励相结合方式，大力推广成功数据应用经验以及先进数据应用理念，形成从总行到分支行以数据发现问题并解决问题，善用数据并用好数据的数据文化。
3.4 结语
在应对监管指引与满足经营发展双重动力下，银行应本着实现数据价值的初心，规划数据应用建设路径，积极开展相应的数据治理工作，形成两者迭代发展、相互裨益之势，在实现价值的同时提升数据价值，炼数成金。
4 保驾护航，技术引领价值升级
4.1 前言
《银行业金融机构数据治理指引（征求意见稿）》（以下简称“数据治理指引”或“指引”）中指出：“第五十一条（监管方式—审计）银行业监督管理机构可根据需要，要求银行业金融机构通过内部审计机构或委托外部审计机构对其数据治理情况进行审计，并及时报送审计报告。
第二十四条（数据安全）银行业金融机构应当建立数据安全策略与标准，依法合规采集、应用数据，依法保护客户隐私，划分数据安全等级，明确访问权限，监控访问行为，完善数据安全技术，定期审计数据安全。
从数据治理审计方法和建议的角度，解读数据治理审计如何开展，通过重视和挖掘内部审计的数据资产，发挥内部审计数据资产护航的积极作用，引领内审价值的升级。
4.2 正文
商业银行的数据治理审计，主要是基于商业银行的数据治理体系框架，参考内部制度和相关监管规定，对商业银行数据治理的组织架构、制度流程、质量管理、系统与数据管理、数据价值实现方面的全面审计。
数据治理审计范围与方法
数据治理的审计范围应至少包括数据治理组织架构、数据管理、数据质量、数据安全、数据资产价值等方面。
图1：数据治理审计框架

1.数据治理架构审计
制度体系建设是数据治理的基本工作，银行需针对数据治理工作建立起层次鲜明、结构清晰的制度及流程体系。数据治理架构审计工作主要是自上而下审计银行数据治理体系建设情况，重点关注数据治理组织架构和制度体系，数据治理资源配置情况，一二三道防线对于数据治理的职能与边界，数据全生命周期的管理流程以及数据文化建设情况。
银行应建立纵向的数据治理管理组织，形成三道防线的管理组织网络。数据管理部门应负责牵头全行的数据治理体系建设与管理，业务部门应当负责本业务领域的数据治理，管理业务条线数据源，确保准确记录和及时维护，落实数据质量控制机制，执行监管数据相关工作要求。二道防线由合规或风险的管理部门负责，负责数据治理体系的定期合规检查和数据风险管理。第三道防线对第一及第二道防线部门的工作进行事后稽核、审计和监察等。通过三道防线，形成纠错防弊的机制性保障，才能夯实管理基础，有效控制偏差和风险。
2.数据管理审计
银行通过建设各类数据管理工具和方法，提升数据管理水平及效率。数据管理的审计工作主要针对数据管理工具和方法审计其有效性、充分性和安全性，数据管理工具和方法包括但不限于数据战略、数据标准、信息系统和监管统计系统、数据安全策略、应急预案、问责机制、自我评估机制等。
银行应当结合自身发展目标和监管要求等，制定客观、可实现的数据战略并确保有效执行和适时修订。银行应当建立全行统一的且符合国家标准、行业标准、监管要求的数据标准，并且逐步推进数据标准的有效落地，实现不同系统中数据标准的统一规范以便于更好、更便捷地实现数据共享。通过逐步开发信息系统，提高各项业务和管理数据的系统覆盖率；通过持续完善监管统计系统，提高监管报送自动化比率。数据安全策略应当符合法规要求、有效保护隐私数据、明确访问权限、区分安全等级等。与此同时，银行应当建立数据应急预案，并建立数据治理问责机制，定期开展数据治理自我评估，保障数据治理持续发展。
3.数据质量审计
数据质量是数据创造价值的保障基石，高质量的数据为数据统计、分析和应用提供了可信任的必要条件。数据质量审计工作评估数据风险性和健康度，主要评估纬度包括数据的真实性、准确性、连续性、完整性和及时性。
银行应当建立一系列有效的方法和流程提升数据质量。首先，应当明确定义数据质量需求和数据质量范围，在此基础上选定测量数据、制定测量规则，通过设计和建设数据质量检核模型进行数据质量问题识别，并深入分析原因。再次，针对发现的质量问题分派责任方，拟定改进方案并执行改进和跟踪评估。建立数据质量考核机制，且针对重要甚至重大问题进行有效问责。通过长时间积累的质量问题，进行问题分类管理，形成和丰富质量问题知识库，持续完善质量检核模型及问题流程化管理。
4.数据安全审计
大数据时代新形势下，数据安全、隐私安全乃至数据平台安全等均面临新威胁与新风险。数据安全是数据治理中面临的重要问题，也是数据治理审计关注的重点之一。数据安全审计工作依据信息安全管理相关的标准，如ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800系列等。
审计重点包括：
图2：数据安全审计重点

银行业应当建立数据安全策略与标准，依法合规采集、应用数据、保护客户隐私、划分数据安全等级、明确访问权限、监控访问行为，持续完善数据安全技术。
5.数据资产价值审计
数据资产正在为银行带来丰富的价值创造，其价值也成为衡量银行价值的重要影响因素。数据资产价值的审计工作包括盘点银行的数据资产，评估数据资产为银行带来的价值能力，发现数据资产现状的不足。
银行应当了解全行的数据资产，在风险管理、业务经营与内部控制等方面挖掘数据资产应用潜力，提高数据使用和应用效率，结合定性和定量的指标定期评估数据资产产生的效益、带来的价值度量，结合绩效考核进行数据资产管理完善。如在新产品的开发中数据资产带来多少收益、在客户精准营销中数据资产带来了多少获客数量等。通过数据驱动，提高管理精细化程度和核心竞争力，发挥数据价值。
4.3 建议
在本轮数据治理指引征求意见结束后，银监会将正式发布数据治理指引，将数据治理的要求提升为规范可循、要求明确、逐步完善的法规高度，数据治理也将作为各家银行的常态化工作。对此，建议：
一、重视审计数据资产
随着审计工作的专精化和历史沉淀，内部审计每年都在产生海量的审计数据资产。而除了主要以文字、数字、图片形式记录以外，这些审计数据资产尚未被完全识别、分析和利用，尚未发挥其巨大的数字价值。基于目前审计现状及信息技术，重视审计数据资产，建立完整的审计数据资产管理机制与体系将成为可预计的必然发展趋势。建议商业银行应当以审计数据管理框架为基础，通过对审计数据的识别、分类、规范、提升、应用，建立商业银行的内部审计条线的数据资产库。
二、传统审计向智慧审计转型
随着内部审计数据的积累和应用，传统审计在变革的驱动下经历着阶段性的变革。
图3智慧审计实施路径图

智慧审计是审计数据资产应用的必然趋势，通过综合运用并整合颠覆性技术、创新、数据与人才，呈现崭新的管理生态系统。其实施主要通过如大数据运用、自动化注入、人工智能开发等工具与方式，提升常规审计的效率与效果。智慧审计强调内审工作的知识化，科学化、系统化，基于智慧审计实现从手工化向信息化、自动化、智能化过渡，实现审计工作的全面覆盖、快速学习、精准定位、持续跟进，更好的验证数据治理架构及职责设置合理性、数据管理的充分性、数据质量控制的有效性、数据价值实现的可靠性。
三、定期委托外部专业审计机构开展独立审计
银行应当确保数据治理审计团队具备相应的技能与经验，方能取得专项审计的良好效果。可通过定期委托外部专业审计机构，借助于其专业技术能力、全球知识库及行业服务经验，达到更好的审计效果。丰富内审团队在数据治理体系、管理工具与方法、系统技术支持等方面的知识与技术储备。
4.4 结语
在应对监管要求与满足经营发展的双重挑战下，内部审计作为第三道防线，应以独立、客观的视角对银行数据治理范畴内的各项工作进行检查和评价，促进对全行数据资产的重视与积累，促进全行数据治理体系的完善。同时，通过引入审计技术创新，逐步实现审计数据资产应用的系统性、立体化、全面化、智慧化的价值升级。
5 以审促建，闭环保障
5.1 前言
2018年5月21日，银保监会正式发布《银行业金融机构数据治理指引》（以下简称“数据治理指引”或“指引”）中指出：“第二十七条银行业金融机构应当建立数据治理自我评估机制，明确评估周期、流程、结果应用、组织保障等要素的相关要求。评估内容应覆盖数据治理架构、数据管理、数据安全、数据质量和数据价值实现等方面，并按年度向银行业监督管理机构报送。”《指引》中指出：“第五十一条银行业监督管理机构可根据需要，要求银行业金融机构通过内部审计机构或委托外部审计机构对其数据治理情况进行审计，并及时报送审计报告。”
今年5月21日，银保监会正式发布《银行业金融机构数据治理指引》，伴随着一个多月的学习与理解，各省市银监局也逐步理解与吸收了《指引》要求，并逐步开展行动贯彻与落实《指引》中明确的“监督管理”的职责，开始“通过非现场监管和现场检查对银行业金融机构数据治理情况进行持续监管”，并试点“要求银行业金融机构通过内部审计机构或委托外部审计机构对其数据治理情况进行审计，并及时报送审计报告”。
我们看到，监管机构不再仅关注收集的数据质量，更是要从全方位、系统化的角度对银行业金融机构的数据进行系统化重塑。通过发挥监管机构的领导作用和从业机构的主动效应，发挥金融机构的内部监督职能，共同建立健全数据治理长效机制，促进银行转型升级。
5.2 正文
面对金融机构海量数据时代的冲击，内部审计面临着机遇与挑战，针对新的监管合规要求，金融机构的内部审计部门应对内部审计工作进行战略性规划，提早布局，进一步强化内部审计作用，丰富团队在数据治理体系、管理工具与方法、系统技术支持等方面的知识与技术储备。同时，根据银行自身规模及发展情况，可通过定期委托外部专业审计机构，借助于其专业技术能力、全球知识库及行业服务经验，达到更好的审计效果。另外，金融机构的传统内部审计部门也可借助此次机遇，更好地促进自身数据资产的积累与数据能力的提升。
商业银行的数据治理审计，主要是基于商业银行的数据治理体系框架，参考内部制度和相关监管规定，对商业银行数据治理的组织架构、制度流程、质量管理、系统与数据管理、数据价值实现方面的全面审计。
金融机构的内部审计部门在开展数据治理审计的时候，可参考的数据治理框架参考《银行业金融机构数据治理指引》的要求，对于金融机构的数据治理体系开展全面的审计工作。
图1：数据治理框架

部分银行之前已按照银保监会的要求，每年开展了《银行监管统计数据质量管理良好标准(试行)》（“以下简称良好标准”）的自评估，银行在开展数据治理审计工作中应结合良好标准自评估与《数据治理指引》的不同方面，涵盖监管的新要求。
图2：良好标准与《数据治理指引》比较

在开展审计工作中，也可重点关注如下领域：
1.数据治理战略的有效性与可执行性
银行业金融机构应按合理顺序规划数据治理各项工作，结合自身发展战略及内部资源建立有效可行的数据发展战略。制定循序渐进的数据战略将为后续的数据治理工作提供方向、指明路径，更会为银行发展战略目标达成与价值实现提供推波助澜之力。数据战略对于银行业金融机构而言至关重要。
2.数据治理架构的合理性
关注数据治理架构，关注数据治理体系建设情况，重点关注数据治理组织架构和制度体系，数据治理资源配置情况，一二三道防线对于数据治理的职能与边界，数据全生命周期的管理流程以及数据文化建设情况。
金融机构应建立纵向的数据治理管理组织，形成三道防线的管理组织网络。数据管理部门应负责牵头全行的数据治理体系建设与管理，业务部门应当负责本业务领域的数据治理，管理业务条线数据源，确保准确记录和及时维护，落实数据质量控制机制，执行监管数据相关工作要求。二道防线由合规或风险的管理部门负责，负责数据治理体系的定期合规检查和数据风险管理。第三道防线对第一及第二道防线部门的工作进行事后稽核、审计和监察等。通过三道防线，形成纠错防弊的机制性保障，才能夯实管理基础，有效控制偏差和风险。
3.基础数据的质量与数据质量全流程管理的健康性
审计工作中，应评估数据风险性和健康度，主要评估纬度包括数据的真实性、准确性、连续性、完整性和及时性。应当收集行内监管报送中的主要问题，进行多维度分析，定位基础数据的质量问题，以及行内数据质量全流程管理的健康性。
数据质量提升是数据治理效果的最终体现，针对数据的审计，能够最直观发现数据是否符合标准规范、报送要求，以及数据质量问题。在开展针对数据的审计时，应首先明确测试系统范围，进而明确测试数据范围，确认数据量，最终通过数据校验等数据审计规则的开发，校验数据的一致性、准确性、完整性、唯一性、及时性、真实性、和精确性。
表1数据质量检查维度
维度名称 维度说明
数据一致性
(Consistent） 相同数据项在不同系统或同一系统内不同表格记录多次时，多个数据值是否相同。
数据准确性
(Valid） 数据是否符合数据标准中的业务定义。例如在数据项“押物名称”存储了押物所有权人名称。
数据完整性
(Complete) 业务需求所需的关键数据项在系统中是否有定义，或者关键数据项是否都采集了数据。例如合同有效日期是否有未填写的数据记录。
数据唯一性
(Unique) 是否满足一个业务唯一关键数据项值组合仅对应一条记录，例如一个组织机构代码仅有一条客户信息记录。
数据及时性
(Timely) 是否能够在数据需求定义要求的期限内获得最新的数据，或按要求的更新频率刷新数据值。
数据真实性
（Accuracy） 数值是否反映了真实的业务情况。
数据精确性
（Precise） 数据的精确度是否满足要求。
4.数据的安全性
大数据时代新形势下，数据安全、隐私安全乃至数据平台安全等均面临新威胁与新风险。数据安全是数据治理中面临的重要问题，也是数据治理审计关注的重点之一。数据安全审计工作依据信息安全管理相关的标准，如ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800系列等，以及2018年5月最新发布的全国信息安全标准化技术委员会的《个人信息安全规范》，重点包括：
图3数据安全审计框架

5.数据资产的价值性
数据资产价值的审计工作包括盘点银行的数据资产，评估数据资产为银行带来的价值能力，发现数据资产现状的不足。数据资产正在为银行带来丰富的价值创造，其价值也成为衡量银行价值的重要影响因素。
内部审计部门应当了解全行的数据资产，关注在风险管理、业务经营与内部控制等方面挖掘数据资产应用能力，数据应用是否提高数据使用和应用效率，是否制订了良性的绩效考核促进了数据资产管理完善，是否发挥了数据价值。
我们建议银行业金融机构可按照下列步骤开展数据治理审计工作，在审计实施以数据审计为主，检查系统的数据质量情况，辅以传统的流程审计方法。数据审计与流程审计两者相结合，并且相互补充：
图3数据治理审计步骤

金融机构应当确保数据治理审计团队具备相应的技能与经验，方能取得专项审计的良好效果。可通过定期委托外部专业审计机构，借助于其专业技术能力、全球知识库及行业服务经验，达到更好的审计效果。丰富内审团队在数据治理体系、管理工具与方法、系统技术支持等方面的知识与技术储备。
5.3 结语
在应对监管要求与满足经营发展的双重挑战下，内部审计作为第三道防线，应以独立、客观的视角对银行数据治理范畴内的各项工作进行检查和评价，促进对全行数据资产的重视与积累，促进全行数据治理体系的完善，为金融机构数据价值的实现保驾护航。