商业银行内部审计在数据治理中发现的主要问题和应对策略

■王 萍 虞欢欢

（江苏苏州农村商业银行股份有限公司）

1 引 言

随着数字化时代的到来，数据已经成为银行经营的核心生产要素，金融科技的应用必然依赖于银行良好的数据质量，近年来监管当局对金融机构数据治理工作愈加重视，银保监会在2018年印发的《银行业金融机构数据治理指引》（下文通称：指引）中正式将数据治理工作纳入银行公司治理评价范畴，同时监管当局对金融机构数据治理工作的处罚力度也是空前的，2020年5月9日，银保监会针对工农中建交、邮储、中信、光大银行EAST系统数据质量及数据报送开具共计1770万元罚单，给金融机构监管报送与数据治理工作带来震撼一击，充分体现了监管当局对监管数据质量的重视程度以及当下金融机构数据治理工作存在众多薄弱环节。

2 数据治理审计要点

根据银保监的要求结合银行的实际情况，从内部审计实务出发定制了四项检查要点。具体如下：

（1）数据治理架构。指引对银行数据治理工作提出了系统化的要求，涉及到银行从科技到业务、自上而下各个部门与各个层级。商业银行基于指引开展数据治理工作，首先应该对自身数据治理能力进行自我评估，根据自身的管理模式、业务规模、风险状况制定数据战略，并建设强有力的数据治理组织架构、合理的管理制度与工作流程，以及针对数据质量建立相应的检查、整改和考核体系。审计时应关注数据治理各个部门的职责，是否存在职责重叠或真空地带、数据治理岗位的设置是否满足工作需要等。

（2）数据标准管理。银行应该按照指引规定制定数据标准规范，并利用数据标准与元数据管理对数字资产进行定义、规划、梳理。审计应重点关注数据标准的建设，是否将监管统计所涉及的数据标准纳入本行信息标准化规则、数据标准是否随着新业务或者监管标准的变化而更新、系统的上线变更是否按照数据标准进行执行等。

（3）数据质量控制。数据治理控制是指通过对数据质量问题的闭环管理使其实现持续提高的过程，包括规划、评估、控制和监督四个过程。审计时应该关注数据治理检查和考核评价是的执行情况、数据治理是否对对数据源头进行管理、数据质量监控体系是否覆盖数据全生命周期等。

（4）数据价值实现。银行应当将数据应用嵌入到业务经营、风险管理和内部控制的全流程，有效捕捉风险，优化业务流程，提升内部控制有效性，实现数据驱动银行发展。审计时应关注现有行里的数据是否能充分发挥价值，数据是否够用、是否好用、是否会用。

3 数据治理发现的主要问题

通过指引，内部审计在数据治理检查中发现的问题主要有五个方面：

（1）数据治理体系化建设有待完善。一是数据治理的内部权责划分并不十分明显，这体现在数据管理中心与信息统计中心的职责存在重叠，也体现在数据质量管理分散，存在真空地带。二是数据治理工作仅由牵头部门单线作战，业务部门参与度不高，数据标准统一和数据质量整改工作推进较难。

（2）执行不到位。一是数据标准更新不及时，未能紧跟业务发展及时更新。二是缺乏系统工具的支撑，数据标准变更流程在线下进行，效率较低，数据标准维护很难跟上频繁变更的数据需求。三是新产品、新业务、新系统建立时，并未严格参照数据标准执行，在系统建设或数据产生的源头上忽视数据质量问题的预防和控制。

（3）数据检核规则广度不够。（数据质量）数据管控平台的质量检核规则主要通过查看数据库表结构、主键非空等方式设计形成检核规则库，规则覆盖范围广度不够、与业务衔接不足。

（4）缺乏规范的主控数据管理体系。部分系统之间缺少“同步”机制，无法进行信息交换，只能相对独立、自成体系，造成数据冗余，数据不一致等问题为数据的整合埋下了隐患。

（5）考核惩戒不严格。（考核问题）未能按照既定方案严格兑现考核结果，存在“失之于宽”、“失之于软”的现象，对于涉及数据质量问题责任人的责任，对纪律处分和经济处罚的运用力度不够，导致数据治理的重要性和严肃性大打折扣。

4 问题的成因分析

针对上述问题，进行分类，主要有三类：组织架构缺陷、数据标准缺陷以及重视程度。

4.1 组织架构设计缺陷

数据治理的组织架构是数据治理实施的基础，其核心在于：定义符合商业银行战略目标的数据治理目标和执行的行动路径。

从内审发现的问题，考察银保监的指引和商业银行在数据治理上的相关管理制度。在客观上对于数据治理这项工作，没有一个明确的对设立专门组织架构的刚性要求或者说是需求。另一方面，相当多的商业银行管理者和决策者在现阶段对于数据治理的重视程度不高。

没有统一的组织管理和人员，导致多部门职责重叠、真空以及协同性差的客观事实，出现一些本可以避免的低级错误，如：上报的数据口径不一，数据质量低等现象。

4.2 数据标准缺陷

（1）普遍性。从国内的商业银行信息化发展历程来看，受客观条件的限制，科技规划总是按业务的重要性逐步开始系统建设的。因此，各自相对独立的系统，造成相当大的数据冗余、质量偏低和口径不一致等情况。

（2）特殊性。少数商业银行建立相应的数据仓库，把数据进行统一建模，部分实现了数据标准化的任务。但是，由于过去数据仓库设计的业务种类不多以及过于偏向技术层面，业务部门使用不是很方便。

（3）现实性。现实的问题：建立一个数据仓库的成本相当客观，对于大部分中小银行不切实际。

4.3 重视程度

我们内审发现的是考核机制不完整以及落实不到位的问题，但究其深度，就是对数据治理这事重视的程度不够。

没有专门的组织机构、人力资源，没有科学的标准化设计和规划，所以，考核制度一定不科学，落实一定也会不到位。

5 应对的策略

从以上组织架构、数据标准以及重视程度三个成因分析，我们可以看到：数据治理对于商业银行来讲是一项战略性工作。战略必须具备以下三要素：目标明确，目光长远，解析清晰。

这是头等的大事，战略目标不明确，就会给执行者造成混乱，从而带来群发性风险，破坏力更大。

对于银保监来讲，应本着因地制宜和实事求是的方法，制定方略。现阶段可以考虑，出二版本的数据治理版本：标准版和高级版。容许商业银行在标准基础上根据自身的实际情况，细化适合企业的管理举措，同时，按阶段向高级版过渡。

综上所述，我们认为商业银行对于数据治理应对之策从三个方面来阐述：

5.1 建立专门的数据治理管理部门

成立专门的数据治理部门，符合当前商业银行向全能型、精细化经营战略转型的一个必不可少的战略举措。保障数据治理工作的质量和效率的必要条件。部门的设立所带来的战略意义主要在三个方面：

①明确定义符合商业银行战略目标的数据治理目标和可行的行动路径；②保障数据治理成功实施基础，有效识别项目进行中各种问题，避免多部门职责重叠；③识别本企业的当前的业务状况、信息以及数据状况，因地制宜的制定和细化数据质量、数据安全、数据管理等相关标准，并基于数据价值目标构建数据共享体系、数据服务体系和数据分析体系。

5.2 构建一个科学合理的数据标准

数据标准化建设是一个银行从职能分工型经营模式过渡到全能型经营模式的必要条件。也是我们国内中小商业银行需要面对的一个普遍性问题。要完成这项任务，需要具备三个意识：

（1）需要时间和迭代。一般中小商业银行目前运行的系统在100个左右，数据标准化建设是一个工程，需要时间，需要科学规划，需要技术以及业务不断的迭代过程，不能一蹴而就。

（2）技术必须与业务紧密结合。数据标准的建设，必须符合业务发展的要求。这包含三个方面内容：

①新型的数据标准必须是技术和业务的紧密结合，每一个数据链路都能说明一个业务流程；②统一规范的数据定义和命名；③统一的数据标准能满足不同业务场景的需求。

（3）成本管理。在建立数据标准时，要考虑成本和风险管理。对于中小商业银行来讲，客户量不会太多，一般中规模的市级银行最多在在1000万左右。因此，日常交易量，不会超过1000万。数据体量不大，要量入为出，选择合适自身条件的硬件、通信、数据库以及相应的软件，没必用传统数据仓库这么高的投入（一般在亿级）。

5.3 内部审计在数据治理中应起的作用

对于内部审计来讲，有三件事要做：

①帮助银行决策部门充分解读银保监在数据治理方面的战略和要求；②全程参与银行内部关于数据治理规章制度建设过程，评估其合理性，考察其可能存在的不合理性，给管理者和决策者以建议；③定期测试数据治理执行情况，提出执行过程中存在的隐患并给予改进建议。