证券公司数据治理模式和路径研究

本文系统研究了证券公司数据治理，在重新定义数据治理的内涵、总结典型金融机构数据治理实践经验的基础上，明确提出了证券公司数据治理面向未来的发展定位、发展模式以及相关政策建议。

数据治理的发展逻辑与发展态势

近几年，数据治理成为各行各业转型发展的重要组成部分。随着金融科技的快速发展以及互联网机构不断加大数字金融布局与数据生态拓展，传统金融机构出于自我革新、创新拓展的内在需要，以及迎接挑战、强化市场竞争力的现实诉求，陆续加入数字化转型的行列。而数字化转型需要高质量的数据、强大的数字化平台进行支撑，因此数据治理成为金融行业数字化发展过程中最普遍、最广泛的领域之一。

近年来，国际研究和咨询机构对数据治理的定义、特征、模式及趋势等方面已有一些研究。国际数据治理研究所（DGI）与ISO国际标准化组织对数据管理与数据治理进行定义，2009年国际数据管理协会（DAMA）发布数据管理知识体系指南（DMBOK），数据治理理论框架基本稳定。数据治理实践研究方面，国外研究机构通常与企业管理实践相结合进行分析研究。境内学界和业界对于数据治理的专题研究相对较少，主要沿袭国外数据治理框架，早期主要为针对银行业数据治理实践的研究和总结。近年来，中国信通院积极推动数据治理实践相关研究工作，其《数据资产管理实践白皮书（4.0版）》提出，通过盘点数据资产，提升数据质量，打破数据孤岛，提高获取效率，保障数据安全，最终形成持续的闭环，而实现数据可得、可用、好用，为企业数字化转型打下基础。

综合各种研究观点，结合境内外最新业务实践和发展趋向，我们认为：数据治理并不是單纯以治理为目标的数据管理活动，而应围绕企业数字化转型打造数据能力中心，以数据资产为核心，从组织、制度和平台等方面，打造集数据标准、数据质量、元数据、数据模型规范、数据安全、数据价值于一体的数据资产管理体系，以运营思维推进数据治理，短期解决企业经营管理中的数据痛点问题，中期为企业数字化转型和运营夯实数据基础，逐步实现从数据生产到消费的全生命周期管理，长期让数据要素融入企业核心价值链，为数字化生态建设做好准备（图1）。

境内金融机构数据治理现状

在国内，数据治理也日益受到金融机构重视，2018年5月银保监会印发《银行业金融机构数据治理指引》。2018年12月，证监会发布《证券基金经营机构信息技术管理办法》。在发展实践过程中，国内银行在境内金融机构中最早开展数据治理实践，实践过程中表现出一些趋势和特点：一是“行政式大规模推进”的数据治理方式难以持续，麦肯锡咨询公司在其《麦肯锡中国银行业CEO季刊2019冬季刊》中指出，国内银行在大数据规模化方面存在几大共性问题：大型银行往往耗费大量时间和金钱，从全面数据治理开始大数据规模化应用，但这些投入却久不见价值;小型银行则畏难情绪严重，较差的数据基础致使他们多止于观望。二是数据治理工作各职能板块未能形成有机统一，早期国内银行数据治理工作主要聚焦在监管部门密切关注的数据质量方面，如《银行监管统计数据质量管理良好标准（试行）》力求全面总结银行监管统计数据质量管理的先进经验，提出既符合实际、又有一定前瞻性的标准和要求，推动银行监管统计数据质量的持续、全面提升，而随着数据资产管理理念的提出，国内金融机构逐步围绕数据资产开展相关数据治理工作，探索数据标准、数据质量、数据安全、元数据、数据模型规范等各管理职能于一体的数据治理途径。三是数据治理在价值输出方面有了一定探索，如招商银行探索精品数据资产管理和运营，让数据资产赋能各业务条线数据分析组织，并最终赋能公司经营管理。

国内证券公司数据治理实践仍处于早期阶段，自2016年12月中国证券业协会发布《证券公司全面风险管理规范》首次在行业内提出数据治理，证券公司在数据治理方面积累了一定实践经验。《证券公司数据治理业务开展情况调研报告》指出，各证券公司日益重视数据的作用，大部分证券公司在数据治理战略规划、组织机构、制度规范和数据集中等方面做出了探索和实践。

证券公司数据治理的发展模式及主要路径

证券公司数据治理的未来发展方向

第一，数据治理以数据资产为核心。在大数据时代，数据价值越来越受到广泛的认可。中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》首次将数据作为一种新型生产要素写入中央文件，中国信科院《数据资产管理白皮书（4.0）》从管理和实际应用的角度明确了数据资产的定义，即数据资产是指由企业拥有或者控制的，能够为企业带来未来经济利益的，以物理或电子的方式记录的数据资源，如文件资料、电子数据等。因此，数据并不等于数据资产，只有对企业有价值，能产生收益的那部分数据可以看作一种资产。

大多数企业中，数据资产现状并不容乐观，数据质量差、数据孤岛难以实现数据共享、数据应用安全难以控制等，极大限制了数据应用深度和广度，数据价值也难以准确评估。如何管好、用好数据，最大化实现资产的价值，避免“资产”变“负债”，甚至获取附加收益是企业非常重要的事情，也是数据治理工作的核心内容。本质上，数据资产管理是数据治理现阶段落地的主要形式。

第二，重塑数据生产者和消费者的关系。《企业会计准则-基本准则》第20条规定：“资产是指企业过去的交易或者事项形成的、由企业拥有或者控制的、预期会给企业带来经济利益的资源。”类比其他资产，数据资产同样存在生产、消费及相关环节的生产者和消费者，数据资产管理的过程伴随着数据生产者和消费者关系的重塑，表现为：一是数据生产者和消费者从单一供需关系逐步演变为共享众创，即生产者和消费者都为创造者和受益者;二是拉通数据生产和消费链条，便于数据生产者管理，提升数据消费者体验，规范数据从产生、处理、使用到销毁的整个生命周期，结合生产者认领和消费者鉴权控制，使得各使用环节安全可控、合规使用数据;三是明确数据资产管理参与方的职责，合理认定数据归属、管理收益和人力投入等治理工作的难题;四是统筹规划数据生者和消费者与信息化平台的依存关系，让数据生产者和数据消费者的关系在平台上得以支撑和延展。

第三，建立数字化连接和数字化信任。企业数字化转型是建立在整个社会连接不断建立的大环境下，一方面，人与人、人与组织、组织与组织、人与机器、机器与组织、机器与机器的许多信息都连接在一起，并通过数字化沉淀在信息系统中;另一方面，互联网与数字技术的不断出现与应用，让这些点与点的连接越来越短，关系越来越紧密，并产生越来越多的新连接。企业通过数字化手段有效利用连接的过程，就是价值产生和发现的过程，也是数据资产管理工作的价值追求。然而，与数字化连接相伴的是数字化信任挑战，证券公司数据资产管理过程中需要从同理心、共同的价值观、数据安全可靠三个方面来构建数字化信任。同理心指数据的可查易用、数字化平台的友好性等，而在安全合规的前提下开放互通、共享众创则是共同价值观的范畴，数据安全可靠是指如何做到数据安全获取、安全应用和安全共享。

第四，探索开放共享的数据服务生态。自2013年以来由于互联网企业的发展，互联网模式与传统行业的融合不断扩展，在这个过程中，证券行业依托互联网，借助大数据技术，对引流新客群的方式进行了不断尝试，从而开启和推动了证券行业数据生态体系的建设。全方位推进数据资产管理工作为证券公司参与行业数据服务生态建设提供了良好的契机。一是数据资产梳理和建设方面，有利于梳理存量数据资产以及评估外部数据引入需求;二是数据标准管理方面，有利于推进基础数据标准、指标标准和数据服务接口标准的统一，更进一步推进数据的互联互通;三是数据质量管理方面，有利于企业输出高质量、高价值的数据;四是数据安全管理方面，有利于推进数据分类分级工作和数据访问权限体系的构建。

证券公司落地做实数据治理的重要工作

第一，统一数字化战略与部署，以价值导向強化数据体系规划。证券公司数据治理和数字化建设要聚焦公司经营战略统一规划部署，需要统筹考虑对财富管理、机构服务、投资管理和国际业务的数字化支撑，评估数字化转型下各业务线和职能线的流程重组和组织联动等相关变革格局，以及数据建设和管理组织如何协同来支撑相关变革。因此，首先要在顶层设计上考虑进行统一的数据体系规划，自上而下布局数据治理和数字化建设。借鉴金融机构数据治理和数字化建设经验，负责该项工作的公司管理人员职级越高，数据治理和数字化建设的阻力越小，跨条线整合资源的能力越强。其次，数据体系规划要以价值为导向，将数据治理规划和数字化建设规划与业务规划结合起来进行，如可以将数据治理、数字化建设与数字化财富管理结合起来进行统一规划，相互协作共同推进公司经营战略目标达成。再次，数据治理和数字化建设相关制度和规范需要统一规划，制度和规范是组织数据治理工作的行为准则。最后，数据治理和数字化建设组织须统一部署，组织和人才是数据治理和数字化建设成功的关键要素，须厘清数据治理组织中决策层、管理层和执行层的组织和职责设置。

第二，核心技术自主开发，将数据管理思路融入数据平台建设。数据治理跟其他管理活动一样，其工作推进需要与组织特点、文化相适应，而且数据治理理论框架和实践路径仍处于快速发展中，因此，证券公司数据治理没有统一、标准的推进思路，而随着企业组织扁平化发展方向及组织中个体意识的不断提升，证券公司推进数据治理须考虑以下几方面需求：一是企业柔性化管理需要，二是企业精细化管理需要，三是一体化管理需要。如柔性化管理方面，数据质量问题过程管理不再定位为用于问题管理和定责，而考虑作为连接数据生产者和消费者的通道，流程中引入点赞、评论和排行等评价模式，以柔性化方式推进数据质量问题解决。精细化管理方面，数据访问安全控制流程设计不光要考虑数据分类分级要求，还须考虑信息隔离等要求。一体化管理方面，除须考虑通过一体化平台沉淀数据管理思路外，在数据易用性上，证券公司须考虑通过一体化设计满足端到端的数据访问需求。而核心技术自主开发，才能让数据管理思路便捷、有效地融入数据平台建设，并最终促进数据治理工作高效推进。

第三，以数据资产为核心推进数字化中台建设。数据中台是当下数字化建设热点，它是一套企业可持续利用数据的机制，以及数字化战略选择和组织形式，同时也是依据企业特有业务模式和组织架构，实践中通过实施方法论支撑，构建一套持续不断把数据变成资产，并服务于企业经营管理的运转机制。工具平台建设方面，证券公司可以考虑打造集数据存储与计算、数据资产管理、数据采集、数据开发与服务、数据分析与运营为一体化工具平台，提升数据资产价值输出，形成从数据接入到消费的全链路、自动化的数据管理和服务体系。数据资产管理方面，从赋能业务、赋能管理的应用场景出发，驱动数据资产内容和服务建设，证券公司可以考虑按统一规范进行数据和服务的组织。同时在制度规范方面，围绕数据资产的产生和存续管理，证券公司须考虑数据标准、数据质量、元数据、数据分级分类、数据模型等方面的制度和规范。

第四，分步落地数据标准和数据质量管理体系。数据标准是指保障数据的内外部使用和交换的一致性、准确性的规范性约束，数据标准管理的目标是通过统一数据标准制定和发布，结合制度约束、流程保障、系统控制等手段，实现企业数据平台数据的完整性、有效性、一致性、规范性，推动数据的共享开放，构建统一的数据资产地图，为数据资产管理活动提供参考依据。证券公司可以从两方面推进数据标准管理工作：一是标准管理方面，证券公司须从组织、制度和流程方面建立相应组织机制;二是标准落地方面，证券公司可以探索标准定义工作与现有数据研发过程结合，同时与数据模型管理联动推进标准落地，将定义好的数据标准在模型设计过程中实质落标，避免数据标准化工作只停留在指标定义和维护层面。

数据质量是保证数据应用效果的基础，数据质量管理是数据治理工作的重要组成部分，其整体管理机制相对成熟，涵盖规则定义、持续监控、问题处理、分析与提升、评分优化等五部分。证券公司在实际推进过程中可以从以下步骤开展：一是建立数据质量问题处理流程，传统信息技术（IT）运维体系通常不包括数据质量问题处理流程，可以通过建立数据质量问题处理流程，明确流程中相关岗位的职责，让数据质量问题的处理简单运转起来;二是评估当前IT运维体系对数据批次时效的支持程度，完善数据时效性管理;三是结合数据研发流程，推进质量定义和质量规则自动稽核，自动发现问题并与已建立的数据质量问题处理流程对接;四是数据质量整体提升，做好数据质量问题监控，定期将经常性、典型性数据质量问题进行分析，发现并彻底解决导致数据质量问题的根本原因，促进数据质量整体提升。

第五，打造敏捷型组织，为数字化生态建设做好准备。企业无论是快速发展还是转型升级，通常都面临内部组织适应性问题，组织承接战略并且是战略落地的关键环节。在智能商业背景下，组织形态必须打破平衡，从分工转向协同，从职能转向赋能能力，从控制成本转向协同效率，因此无论是IT组织还是业务组织，证券公司都需要围绕企业核心价值链建立敏捷型组织。一是打破“部门墙”;二是跨职能闭环;三是化小业务单元，裂变敏捷团队。在证券公司数据治理和数字化建设具体活动中，一是可以以任务目标构建跨部门敏捷团队，如打造由数据治理人员、安全技术人员、风控人员、合规人员组成的联合组织来推进数据分级分类落地实践工作，又如打造由数据治理人员、业务人员、数据运营人员组成的联合组织来推进数据标准落地实践工作;二是建立共享众创的一体化数据平台，在风险可控的前提下，将数据的生产、消费延展到各业务部门和分支机构，增强对分支机构和投资顾问的授权，让一线“听得见炮火”的人员高效获取数据并做出业务决策;三是完善数据标准和数据共享工作机制，组建跨职能部门的敏捷团队，针对性地解决行业范围内数据共享互通的痛点和难点，为数字化生态建设做好准备。

第六，推进数据资产安全管理。数据资产安全管理的总体目标是在数据开放共享过程中保障数据的完整性、保密性和可用性，防止数据丢失、被篡改、假冒、泄露和窃取。证券公司可以通过数据安全管理，规划、开发和执行安全政策与措施，提供适当的身份以确认、授权、访问与审计等功能，具体可以按以下步骤开展：一是评估数据资产管理层面数据安全需求、策略和控制措施;二是法律法规、监管要求和相关标准的解读和内化，如参考《信息安全技术 个人信息安全规范》《个人金融信息保护技术规范》和《证券期货业数据分类分级指引》等进行数据分类分级标准制定;二是为资产目录中每一个数据资产找到对应属主;三是为数据资产进行分类并打上数据安全等级;四是构建数据资产访问鉴权控制矩阵，将数据资产管理和流通过程中，组织中的角色纳入鉴权控制矩阵，定义角色的操作列表，如敏感数据下载、报表查看、数据转存到其他系统等行为，通过角色和行为之间建立对应关系，让数据在企业内部有序可控的流动，满足“合法合规、权责一致、目的明确、最小必要”的原则，使访问数据资产充分满足合规、风控、安全的要求。

促进证券公司数据治理发展的政策建议

差异化数据治理监管要求

自中国证券业协会《证券公司全面风险管理规范》明确指出，证券公司应当建立健全数据治理和质量控制机制，数据治理从全面风险管理角度纳入监管部门关注范围，并作为并表监管试点券商评选考察维度之一。随后，中国证券监督管理委员会《证券基金经营机构信息技术管理办法》从规划、组织、机制、制度和措施方面对证券基金经营机构数据治理提出总体职责要求。但具体实践方面，由于各证券公司规模不一、技术力量悬殊，证券公司在数据治理开展过程中面临一些典型问题，主要表现为：一是数据治理在行业层面没有操作细则指引，具体工作开展过程中容易迷失方向;二是数据治理前期投入大、工作周期长、短时间内成效不明显，难以获得公司尤其是中小证券公司的认可和持续支持;三是证券公司各类系统庞杂、多依赖于系统供应商，各系统间的数据梳理与对接工程量大，在专业人才缺乏的背景下相关工作难以有效开展。建议监管部门明确差异化数据治理监管要求，一方面，针对不同规模证券公司提出不同级别的监管要求;另一方面，针对涉及数据安全、监管报送数据标准和数据质量、数据流通标准等方面提出刚性要求和考察标准，而对于企业内部数据模型规范、数据资产目录等方面提出参考性意见。

完善客户信息保护监管细则 提升信息安全

在数据治理及数据应用的过程中，信息安全及客户信息保护是一个重要课题，然而证券公司在客户信息保护方面目前缺乏可真正用于实践落地的指导方法，主要存在三方面的挑战：一是法律法规方面，《个人信息保护法》和《数据安全法》仍处在立法阶段，涉及“数据隐私”和“数据安全”等重要议题零散地分布在《全国人大常委会关于加强网络信息保护的决定》《刑法修正案（七）》《消费者权益保护法》《网络安全法》《民法典》等重要法律法规中;二是敏感信息和分类分级标准规范方面，目前《证券期货业数据分类分级指引》主要提供数据分类分级方法的指导性原则，在实践中证券公司仍须参考《信息安全技术 个人信息安全规范》和《个人金融信息保护技术规范》等标准进行企业内数据分类分级标准的完善，而相关指引和标准中对数据分类和敏感信息的划分原则存在不一致，一定程度上导致数据分类分级和敏感信息识别工作难以有效推进;三是数据访问权限控制方面，由于金融数据的特殊性，目前证券公司普遍从合规角度严控数据访问和提取操作，较好地保护了客户信息安全，但“一刀切严控”也给企业正常经营和客户服务活动带来影响，需要一套分级权限控制管理规则来指导数据访问活动。因此，建议监管部门出台与客户信息保护等实践相匹配的数据分类分级、敏感信息识别相关监管政策法规和标准规范，统一梳理证券、基金、期货、期权等领域的数据分类分级、敏感信息识别相关标准框架，并在此基础上明确证券公司分级权限控制管理规则。

健全行业级数据共享机制 促进数据共享

证券公司数据共享主要包括两个方面：一是数据内部共享，数据内部共享主要是打通企业内部各部门间的数据共享瓶颈，建立统一规范的数据标准与数据共享制度，除上文中“信息安全及客户信息保护”相关政策法规和标准规范仍须完善外，依托证券业协会发布的《证券公司信息隔离墙制度指引》，证券公司普遍都建立了企业内部的信息隔离墙制度，从制度层面基本满足企业内部数据共享需要;二是数据外部流通，当前国内证券公司在监管类数据汇集和应用方面形成了较为成熟的模式，然而更广泛层面的数据流通、共享模式仍有待研究，建議监管部门从顶层设计上进行规划，推进行业健全，无论是在数据应用实践较成熟的零售经纪业务领域，还是在投行、信用、资管、自营等其他业务领域，制定证券公司进行数据流通的规则和规范，进一步引导行业数据价值链的完善。

（本文根据2020年中国证券业协会优秀课题改写而成。课题负责人王玲为华泰证券信息技术部联席负责人、数字化运营部总经理，课题组成员包括：朱阿柯、龙建益、蒋俐赟、陈铮、张生庭、武永兵、肖潇、王骏杰、黄春晖、施璐。本文编辑/秦婷）