商业银行数据治理探析
商业银行在业务开展过程中会产生许多数据,包括客户基本信息、客户与银行之间的业务信息、系统日志及交易日志等。加强商业银行的数据治理工作对于确保其安全稳定运营、实现业务管理创新具有十分重要的意义。商业银行数据治理的内容一般包括建立数据治理机制、明确数据责任人、建立和执行数据管理制度及流程、制定数据标准等。数据治理的目标是提高数据的质量(准确性和完整性),保障数据的安全性(保密性、完整性及可用性)。
一、商业银行数据治理的必要性
数据治理是商业银行安全稳定运营的需要。数据是银行的生命线,银行需要妥善保管客户的交易信息,避免将其泄露或非法篡改,给客户和银行带来不必要的损失。不同业务系统之间的数据一致性对于保障各项业务的有效开展也很重要。突发事件发生时,数据的完整性和可用性关系到关键业务系统的及时恢复,是实现银行业务连续的关键。
数据治理是商业银行风险管理的需要。商业银行的信贷管理部门需要密切关注贷款分类及客户信息的变动,以保障资产分类的准确性,这对于提高银行资产质量、减少非预期损失十分关键。市场部门日常的交易更是依赖大量的数据分析。资产负债管理部门也需要通过数据分析,为各部门设定业务限额,在保障安全的情况下实现全行效益最大化。
数据治理是商业银行业务及管理创新的需要。金融全球化和金融脱媒的加速使得商业银行之间的竞争越来越激烈,传统吃利差的经营方式面临极大的挑战。商业银行需要推出各种中间业务、理财服务等,即使传统的存贷汇业务也需要创新业务模式,改善客户体验。上述的创新都需要商业银行利用商业智能(BI)工具对客户信息和业务数据进行挖掘,并按照需要进行比对分析。数据治理是合规的需要。2006年,银监会制定了我国商业银行分步实施新资本协议的指导意见。新资本协议要求对信用风险、市场风险和操作风险实现资本计量。除非银行采用最低级的计量方法(这会带来风险资本的增大),都需要一定量的数据积累,缺乏有效的数据已经成为各大银行新资本协议实施的难点。《商业银行信息科技风险管理指引》也对数据管理提出了明确的要求,诸如“商业银行应制定相关制度和流程,严格管理客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁”,“商业银行应制定并落实相关制度、标准和流程,确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性”,“商业银行应按照有关法律法规要求保存交易记录,采取必要的程序和技术,确保存档数据的完整性,满足安全保存和可恢复要求”。同时,财政部、国资委、等部门也都提出了一些与银行风险管理、内部控制相关的要求,数据治理也是其中的重点。
二、商业银行数据治理的要点
商业银行数据治理的内容主要包括明确数据治理主体、建立数据质量标准以及加强数据生命周期全过程管理。
(1)明确商业银行数据治理主体。目前,商业银行数据治理工作不到位、数据管理混乱的主要原因就是责任主体不清。一般来说,数据治理应该是商业银行高级管理层的职责,需要在高级管理层中指定人员牵头负责全行的数据治理工作。本着高效精简的原则,可以将数据治理的职责赋予高级管理层下属的某个委员会,由该委员会负责确定全行数据治理的目标和原则,批准数据治理的相关制度、标准及流程,对数据治理中的一些重大问题进行决策。实际操作中可以按照来源对数据进行分类,为每类数据分别制定责任部门或责任人,由其负责具体管理事务。
(2)建立数据质量标准。商业银行在明确了业务架构、确定了业务流程之后,应该能够基本确定数据的种类。某项业务流程无论是否实现自动化,都应该明确数据种类及每类数据包含的要素。应该由业务部门和科技部门共同确定数据架构,明确数据之间的关联关系,建立数据视图,为日常数据管理以及数据挖掘工作的有效开展提供支撑。
(3)加强数据生命周期全过程管理。数据生命周期管理(DLM,Data Life cycle Management)涵盖数据从创建到其失去商业价值或按规定要求被删除的整个管理过程,一般包括数据生成及传输、数据存储、数据处理及应用、数据销毁四个方面。
①数据生成及传输。数据应该能够按照数据质量标准和业务需要产生,商业银行应采取相应措施保障生产数据的准确性和完整性,业务系统上线前应该进行必要的安全测试,以保障上述措施的有效性。对于手工流程中产生的数据在相关制度中要明确要求,并通过事中复核、事后检查等手段保障其准确性和完整性。数据传输过程中需要考虑保密性和完整性,对不同种类的数据采取不同的措施防止数据泄漏和数据被篡改,如离线磁带的传输应比照运钞车的标准,局域网中关键数据应采用光缆或屏蔽双绞线传输等。
②数据存储。这个阶段除了关注保密性和完整性之外,更要关心数据的可用性。大部分数据应采取分级存储的方式,不仅存储在本地磁盘上,还应该存储在磁带上,甚至远程复制到磁盘阵列中,或者采用光盘库进行存储。对于存储备份的数据要定期进行测试,确保可访问数据的完整。数据的备份恢复策略应该由数据的责任部门或责任人制定,科技部门可以给予相应的支持。同时,还需要注意因为业务需要或信息科技系统故障处理的需要,可能对数据进行修改,商业银行必须在数据管理办法中明确数据修改的申请审批流程,审慎对待后台数据修改。
③数据处理和应用。商业银行需要对数据进行分析处理,以挖掘出对管理及业务开展有价值的信息。为保障处理过程中数据的安全,一般应采用联机处理方式,系统只输出分析处理的结果。但是实际工作中,商业银行因为相关数据分析系统建设不到位,需要先从数据库中提取数据后再对数据进行必要的分析处理,这个过程中就需要关注数据提取操作是否可能对数据库造成破坏、提取出的数据在交付给分析处理人员的过程中其安全性是否会降低、数据分析处理的环境是否安全等。因为人为编制测试数据的工作量比较大,或者不能完全满足系统测试的需要,系统测试时存在直接采用生产数据作为测试数据的情况,在这个过程中需要关注数据的保密性问题,应考虑对数据采取变形处理。
④数据销毁。这个阶段主要涉及数据的保密性。商业银行应该明确数据销毁的流程,采购必要的工具,数据的销毁应该有完整的记录。尤其是对需要送出外部修理的存储设备,送修之前应该对数据进行可靠的销毁。随着商业银行进入后数据集中时代,加强数据治理已经成为各商业银行的当务之急,在这个过程中如何借鉴国外银行的先进经验,结合我国商业银行的实际,建立具有中国特色的商业银行数据治理机制,是值得探讨的一个重要课题。下载本文
