银行业金融机构数据治理指引和DCMM的对比分析

代红¹, 张群¹, 芦皓麟², 宾军志³

1 中国电子技术标准化研究院，北京 100007

2 天津大学微电子学院，天津 300072

3 全国信息技术标准化技术委员会大数据标准工作组，北京 100007

 

摘要：近年来，数据治理得到各行各业的普遍重视，国家和行业都发布了相关的标准和政策，通过相关文件明确数据治理的概念和体系，促进数据治理行业的发展。对相关文件进行解读，总结其中的异同之处，帮助人们了解与数据治理相关的管理趋势和应用的重点，同时，提出数据管理能力成熟度评估模型在银行业落地实施的建议，帮助银行更好地满足相关监管要求，提升数据管理能力的成熟度等级。

关键词：大数据 ; 数据质量 ; 数据治理 ; 数据管理能力成熟度评估模型 ; 数据文化

论文引用格式：

代红,张群,芦皓麟, 等. 银行业金融机构数据治理指引和DCMM的对比分析[J]. 大数据, 2020, 6(5): 118-128.

DAI H, ZHANG Q, LU H L, et al.Comparative analysis between bank industry data governance guidelines and DCMM[J]. Big Data Research, 2020, 6(5): 118-128.

1 引言

为深化要素市场化配置改革，促进要素自主有序流动，提高要素配置效率， 2020年3月，中共中央、国务院正式印发《关于构建更加完善的要素市场化配置体制机制的意见》，旨在充分发挥数据要素对其他要素效率的倍增作用，使大数据成为推动经济高质量发展的新动能。加强大数据采集、汇聚、挖掘、分析等关键技术的攻关力度，有效激发数据要素的资源潜力，建设多元共治的大数据治理体系，将提升产业数据管理、数据治理水平，充分挖掘数据要素资源的价值。现阶段，与大数据相关的理论，特别是与数据治理相关的理论仍有待提升。目前，国内更多的是以国际咨询公司的理论框架或者国际数据管理协会的数据管理知识体系为引导，但是这些理论几乎没有考虑国内数据行业发展的现状和特性，且理论的普及程度也有待提高，导致国内很多公司在数据管理方面的意识薄弱，管理方式各异，发展相对落后。

2018年3月15日，中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会正式发布了国家标准《数据管理能力成熟度评估模型》（以下简称DCMM），该标准正式提出了符合中国特色的数据管理体系和成熟度等级定义。在对国内外相关理论、实践进行充分研究的基础上，结合国内数据行业的特征和发展需要，该标准制定了我国第一个数据管理能力成熟度评估模型，用来指导和规范一个组织的数据管理行为，促进我国大数据行业的整体发展。2018年5月21日，中国银行保险监督管理委员会正式发布了《银行业金融机构数据治理指引》（以下简称《指引》），提出了中国银行业数据治理的规范体系。这两者都是国内数据治理方面重量级的框架体系。本文重点研究《指引》与DCMM之间的异同，提出实施方面的建议，进而指导二者在相关行业的应用实施。

2 《指引》内容解读

《指引》是《银行监管统计数据质量管理良好标准（试行）》（以下简称《良好标准》）的全面替代。《指引》在强调数据质量管理的基础上，重点强调了相关银行业金融机构要构建全面的数据治理体系，包含总则、数据价值实现、数据治理架构、数据质量控制、数据管理、监督管理、附则七大部分共55条规定，除了附则之外，《指引》中的重点内容框架如图1所示。

2.1 总则

总则部分重点明确《指引》的适用对象、管理目标和数据治理过程中的基本原则，重点内容如下。

（1）适用对象

《指引》的适用对象是在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行等银行业金融机构。

（2）管理目标

《指引》发布实施的重点管理目标有如下3个。

● 建立全面的数据治理组织，制定和实施系统化的制度、流程和方法，统一数据的管理，实现数据的价值。

● 建立自上而下、协调一致的数据治理体系，将数据治理纳入公司治理的范畴。

● 持续提升银行业金融机构的数据质量，法定代表人或主要负责人对监管数据质量承担最终责任。

图1   《指引》中的重点内容框架

（3）基本原则

《指引》中明确了银行业金融机构数据治理的全覆盖、匹配性、持续性、有效性四大基本原则，其中全覆盖原则重点强调了3个方面的覆盖：全生命周期、全部数据（内部数据、外部数据，其中内部数据又包含业务经营、风险管理和内部控制等过程中的数据）、全组织。全覆盖原则是对《良好标准》中数据管理范围的提升，需要被治理的数据从与监管统计相关的数据延伸到银行业金融机构内外部所有的数据，同时强调数据全生命周期管理要覆盖数据的需求、设计、创建、应用和归档等环节。本条原则也符合麻省理工学院的全面数据质量管理（total data quality management， TDQM）框架的管理要求，强调了数据管理的全面性。匹配性原则强调数据治理应当与管理模式、业务规模、风险状况等相适应，这就要求金融企业综合考虑各方面的因素，制定适合自身的数据治理模式，特别是在数据治理组织建设层面，需要根据企业的规模建立不同的数据治理组织。持续性原则强调数据治理应当持续开展，建立长效机制，这个原则明确了数据治理工作应该是组织的一项管理职能，而不应该仅被当作一个项目来开展。有效性原则强调数据治理应当推动数据真实、准确、客观地反映银行业金融机构的实际情况，并将实际情况有效应用于经营管理，这条原则要求银行业金融机构在开展数据治理的过程中明确数据管理的重点范围，明确数据治理的业务价值。

2.2 数据价值实现

《指引》强调要以数据应用为指导开展数据治理的相关工作，重点强调了在风险管理、业务经营与内部控制中加强数据应用，实现数据驱动，提高管理精细化程度，发挥数据价值。

（1）风险管理

《指引》充分考虑了银行业金融机构的行业背景，延续了《有效风险数据收集和风险报告准则》（BCBS 239）中对银行业金融机构风险管理的一贯要求，强调银行业金融机构要建立改善风险管理的方法和制度，持续提升数据加总能力，明确数据加总范围，加强数据积累，优化风险计量，不断提高风险报告的质量，明确风险报告中数据准确性的保障措施，覆盖重要风险领域和新风险领域，提供风险处置的决策与建议，预测风险的发展趋势。

（2）业务经营

首先，银行业金融机构应当明确新产品、新服务的与数据管理相关的要求，确保可以清晰地评估成本、风险和收益。其次，《指引》强调要综合应用大数据等相关技术，准确理解客户需求，分析和优化业务管理流程，促进业务创新、产品创新。最后，银行业金融机构应当充分评估兼并收购、资产剥离等业务对自身数据治理能力的影响。

（3）内部控制

《指引》第四十九条重点介绍了如何应用数据来提升银行业金融机构的内部控制能力，强调应当按照可量化导向，完善内部控制评价制度和评价质量控制机制，前瞻性地识别内部控制流程的缺陷，评估缺陷的影响程度并及时处理，持续提升内部控制的有效性。

2.3 数据治理架构

数据治理架构建设是《指引》中的重要内容，也是数据治理工作能够持续开展的基础。本部分不但强调银行业金融机构要建立健全的数据治理组织，提出了数据认责管理的制度，同时也要求持续开展数据团队的建设、构建企业数据文化等方面的内容。

（1）数据治理组织

《指引》中要求银行业金融机构建立覆盖董事会、监事会、高级管理层和相关部门的数据治理组织，强调公司高层领导在数据治理中的领导作用，并且提出了首席数据官的概念。作为一个新的职位，首席数据官在互联网、大数据等公司普遍流行起来。相对于首席信息官来说，首席数据官是公司数据资产运营和管理的直接负责人，其职责是使数据管理独立于业务系统开发的过程，其可以作为业务部门和技术部门之间的桥梁，需要比技术人员更懂业务，比业务人员更了解技术；同时，作为首席数据官，最重要的任务是了解数据，并能够站在全局的视角对数据进行管理和应用。美国银行、美国第一资本金融公司等国际上的金融组织很早就在公司内部引入了首席数据官的岗位，但是当前国内的大部分银行依然没有设置该岗位。

（2）数据认责管理

数据认责管理是数据治理的重要组成部分，是数据治理工作能够落地实施的关键。《指引》中明确提出了数据认责管理的制度，首先，在组织层面，明确数据管理的归口部门，强调数据管理的统一归口；在公司层面，明确指定统一的部门承担数据管理的工作，并设立专职的管理岗位。其次，明确要求各业务部门应当负责本业务领域的数据治理，管理本业务条线的数据质量、安全和标准等，推动数据问题的处理，落实数据质量控制机制。这部分工作在国内银行业中落实得相对较好，例如中国光大银行、中国建设银行等已经对行内的核心数据开展了认责管理的工作。

（3）团队建设

《指引》中要求银行业金融机构应当建立一支满足数据治理工作需要的专业队伍，定期开展培训，并科学规划数据治理队伍的成长道路。数据资产管理团队的建设是数据资产管理和应用的核心，在数据资产价值日益重要的今天，银行业金融机构应该构建类似财务资产、人力资产等的数据资产管理团队，这样才可以充分地管理和应用已有的数据资产。

（4）数据文化建设

数据文化建设是《指引》中的亮点之一，在第十六条中提到银行业金融机构应当建立良好的数据文化，树立数据是重要资产和数据应真实客观的理念与准则，强化用数意识，遵循依规用数、科学用数的职业操守。数据文化建设是数据治理工作长治久安的核心，需要通过数据文化建设使公司内部每个人都能够了解数据、使用数据，进而更好地采集和管理数据，形成数据管理的良性循环。

2.4 数据质量控制

数据质量控制一直以来都是银行业金融机构数据管理的重点，也是金融风险管理的核心，为此，《指引》将数据质量控制单独成立一章，强调要建立数据质量管理制度，实现数据全生命周期的质量管理，定期提升和考核数据质量等。

（1）数据质量管理制度

银行业金融机构在开展数据质量管理工作时，需要建立数据质量管控、检查等方面的制度，确立数据质量管理目标，建立控制机制，确保数据的真实性、准确性、连续性、完整性和及时性。

（2）全生命周期管理

银行业金融机构需要建立覆盖数据全生命周期的数据质量管理机制，《指引》中重点强调了以下两点内容。

● 从源头抓数据质量：银行业金融机构应当加强数据源头管理，确保将业务信息全面、准确、及时地录入信息系统。从源头改善数据质量状况是代价最小的一种方式，但也是最难的一种，这条规则的落实需要数据认责机制的配合，明确源头数据的责任人和管理职责，加强认责机制的落实，从而更好地提升源头的数据质量状况。

● 新产品数据需求管理：在数据质量控制的第三十二条提出要建立全生命周期的管理，在数据价值实现的第四十五条提出要明确新产品、新服务的数据管理相关要求。这两条也是数据治理工作中的重点，要求银行业金融机构把数据质量从后期的检查、改进提前到数据需求管理阶段，要在项目建设早期就加强对数据质量的管理，进而杜绝将来可能出现的数据质量问题。

（3）提升和考核

《指引》中非常重视与数据质量相关的考核，明确要求银行业金融机构建立数据质量考核评价体系，将考核结果纳入机构绩效考核体系。同时，在强调数据质量检查和管理的过程中，要更加重视对数据质量问题的整改，要求银行业金融机构对数据质量问题进行全方位的分析，对不合理的环节进行整改，并且监督整改工作的进展。

2.5 数据管理

《指引》相较于《良好标准》最大的改进是数据管理，不仅要求银行业金融机构进行数据质量方面的管理，还需要建立全面的数据治理体系，从数据战略、数据治理、数据架构、数据标准、数据安全等维度展开数据管理的工作，奠定数据管理的基础，进而更好地改进和提升数据质量状况。

（1）数据战略

数据战略是数据治理的重要组成部分，近几年在国内外得到越来越多的重视，《指引》中也加入了对数据战略方面的要求，要求银行业金融机构应当结合自身发展战略、监管要求等制定数据战略，并确保有效执行和修订，同时要求银行业金融机构的董事会参与数据战略的执行和管理。

（2）数据治理

数据治理是对数据管理的高层计划与控制，也是数据战略、数据架构和数据标准等方面能够落地实施的保障。《指引》中对数据治理的描述比较多，在数据治理架构中重点强调了数据治理组织、数据认责管理、团队和数据文化方面的建设。在数据管理部分重点强调了数据管理制度的建设，要求银行业金融机构应当制定全面、科学、有效的数据管理制度，包括但不限于组织管理、部门职责、协调机制、安全管控、系统保障、监督检查和数据质量控制等方面。当前国内的银行业对数据治理普遍比较重视，大部分银行建立了数据治理组织，例如中国工商银行、中国农业银行、中国银行、中国建设银行建立了独立的、平行于科技的数据管理部，统一负责与数据管理相关的工作。

（3）数据架构

《指引》中要求银行业金融机构的信息系统应当有完备的数据字典和维护流程，同时明确了系统间数据交换的流程和标准，以实现各类数据的有效共享。数据架构是数据治理的核心要素之一，同时也是很多数据标准的载体，为此中国建设银行建立了强数据模型管控机制，首先建立了覆盖全银行重要数据的企业级数据模型，然后基于企业级数据模型指导各业务系统模型的建设，通过模型管控实现数据标准的落地和实施，实现各个系统数据之间的规范性、一致性。

（4）数据标准

数据标准也是银行业金融机构关注的重点，在《良好标准》中对数据标准建设的要求也很多，《指引》中要求银行业金融机构应当建立覆盖全部数据的标准化规划，并确保相关标准能够被有效执行。数据标准是金融行业数据管理的重点，一方面，全国金融标准化技术委员会制定了大量的数据标准，推动了行业数据的标准化；另一方面，各银行也根据自身管理的需要建立了很多数据标准，重点是管理报送数据以及维护跨系统数据之间的一致性。

（5）数据安全

数据安全也是《指引》中的关键内容，并且增加了个人隐私数据保护部分，迎合了《中华人民共和国网络安全法》实施的需要，明确提出涉及个人信息的数据应遵循国家个人信息保护法律法规的要求，符合与个人信息安全相关的国家标准。

2.6 监督管理

为保证《指引》在各个银行业金融机构的落地和实施，《指引》中制定了现场检查和非现场检查两种方式，明确了可以根据需要要求银行对数据治理进行审计，并及时报送相关报告，要求对出现的问题限期进行整改。其中关键的内容是数据治理审计部分，如果能够根据《指引》的要求将数据治理纳入银行审计的范围，并将数据治理审计结果与公司治理评价结果或监管评级进行挂钩，将会大大提升数据治理在银行业金融机构内部的重要程度。

3 异同分析

《指引》共分为七大部分（55条规定），除去总则、监督管理和附则之外，与数据治理相关的内容共4个部分（42条规定），将这部分内容与DCMM的8个能力域、28个能力项和各级评价指标进行映射，可以得到表1、表2。

从表1、表2可以看出两者划分的维度不同，但是具体管理的内容存在很多相似之处，对其中的关键内容分析如下。

（1）指引对于DCMM能力域的覆盖性

从表1看出，两者覆盖的范围基本相同，《指引》中的数据价值实现、数据治理架构、数据质量控制和数据管理可以完全覆盖DCMM的8个能力域：数据应用、数据生存周期、数据治理、数据战略、数据质量、数据标准、数据架构、数据安全。从这点看，《指引》不仅要求银行业金融机构保证监管数据的质量状况，更重要的是高度重视数据资产的价值，构建包含数据战略、数据治理、数据标准、数据质量、数据安全等相对全面的数据治理体系。这也符合当前数字化转型发展的需要，要求各银行业金融机构适应当前互联网、大数据等快速发展的趋势，积极采用相关技术进行业务、渠道的数字化。充分管理和应用数据资产的价值，不仅是服务于监管机构要求的风险管理，更重要的是提升银行业金融机构自身的竞争力，促进业务和管理模式的创新，实现数字驱动的金融服务。

（2）指引对于DCMM能力项的覆盖性

从表1看出，《指引》共覆盖21个DCMM能力项，覆盖率达到75%。从表2可以看出，没有被《指引》覆盖的DCMM的内容主要是数据应用中的数据服务、数据架构中的元数据管理和数据分布、数据安全中的数据安全审计、数据生命周期中的数据设计和开发以及数据运维6个能力项。从这点看，《指引》更加关注以数据价值实现为指引的数据管理工作，而在数据安全审计、数据分布、元数据、数据设计和开发、数据运维、数据对外服务等方面要求不多。根据近年来国内数据治理的发展趋势，覆盖数据全生命周期的数据治理体系已经是很多单位关注的重点，《指引》中的全覆盖原则也对这方面的内容进行了强调，但是在具体条款中没有体现生命周期各个阶段需要管理的内容，这与《指引》更加以结果为导向有关，只强调应该做什么，具体如何实现是银行业金融机构自身应该考虑的事情。

（3）DCMM对于指引条款内容的覆盖性

《指引》中除总则、监督管理和附则外，与数据治理操作直接相关的有44条，对应到DCMM中的指标有67条（两者之间不是一一对应，《指引》中的描述比较概括，可将《指引》中的一条指标解读为DCMM中的多条指标）。而对应的DCMM中的这些指标主要集中在能力成熟度的三级，少部分指标是在能力成熟度的四级或者五级。这也表明，《指引》对银行业金融机构的数据管理能力成熟度的要求很高，至少应该达到三级：稳健级。同时，《指引》中没有被DCMM覆盖的9条（表1中对应的DCMM能力域中显示“无对应”的条例数）中，更多的是数据价值实现中的银行风险管理部分（这部分有6条无对应），《指引》更关注银行自身的风险管理工作，期望通过开展数据治理工作，切实提升风险管理的准确性和及时性，这也更加符合中国银行保险监督管理委员会的监管定位。其他无对应的主要是DCMM中第26条、第27条和第31条，分别对应了构建应急机制、自评估机制和数据采集中信息系统的自检查机制3个方面。

4 分析总结

通过前文的对比分析，《指引》与DCMM存在很多共同之处，但也存在一些差异，这些差异主要是由于两者的出发点、针对的行业不同，具体总结为以下两个方面。

（1）全面性VS适用性

因为DCMM是国家标准，所以在制定过程中更加强调全面性。通过对国际相关理论的分析和对国内银行、通信和能源等行业的发展实践的解读，在数据资产自身固有特性的基础上制定了该标准，该标准相对中立。而《指引》的出台代表了监管机构对银行业金融机构管理的态度，特别是在国家对金融风险高度重视的前提下，《指引》的内容更侧重于对银行业金融机构风险的管理，并以这一目标为导向，逐步延伸到银行业金融机构数据治理的方方面面。因此，《指引》的内容更像是DCMM在银行业金融机构中的落地指引，更加符合银行业金融行业发展的需要，更具有适用性。

（2）目标导向性VS过程规范性

《指引》以目标为导向，重点强调银行业金融机构应该做哪些事情，而具体如何实现则由银行业金融机构根据自身经营和数据资产特点自行发挥。DCMM更加强调建设过程的规范性，具体描述了每个能力域应该做的事情以及这些事情在每个阶段具备的特征，由此指导相关组织逐步提升数据管理能力。因此，在两者的对比分析中可以看到，《指引》中的一条指标可能会对应DCMM中的多条关键指标，例如，《指引》第二十条写到“银行业金融机构应当建立覆盖全部数据的标准化规划，遵循统一的业务规范和技术标准。数据标准应当符合国家标准化政策及监管规定，并确保被有效执行”，该内容是关于数据标准的，强调银行业金融机构应建立全部数据的标准化规划，但是具体应该怎么做却着墨不多，而在DCMM中则有详细的介绍，如数据标准应该划分为业务术语、参考数据和主数据、数据源、指标数据等几个部分，每个部分又有更具体的成熟度等级定义。

5 实施建议

这两份文件都是重量级的数据治理相关规范。DCMM是由全国信息技术标准化技术委员会大数据标准工作组组织研制的国家标准，其站在数据要素这一新型资产的管理和应用角度，在参考国内外数据管理理论和实践的基础上，从数据资产自身的特性出发，制定了具有中国特色的数据管理评估模型。而《指引》是由中国银行保险监督管理委员根据银行业金融机构发展管理的需要，在参考巴塞尔协议以及《良好标准》的基础上制定的。因为中国银行保险监督管理委员是银行业金融机构的监管机构，所以《指引》更关注银行风险管理方面的内容，进而延伸到银行业金融机构数据治理的方方面面。因此，这两份文件的出发点不同，但相关内容有较多相似之处，在具体的落地实施过程中可以互为补充，相互促进，实施建议如下。

（1）参考DCMM，构建银行业金融机构的自评估机制

《指引》第二十七条明确要求银行业金融机构应当建立数据治理自我评估机制，明确评估周期、流程、结果应用、组织保障等要素的相关要求。但是对于具体如何自评没有明确的要求，而DCMM本身就是数据管理能力成熟度评估的模型，基本覆盖了《指引》要求的主要内容。因此，建议银行业金融机构在推广《指引》落地实施的过程中，以《指引》为指导，参考DCMM构建符合自身要求的评估模型，定期开展内部自评或外部评估，以帮助监管机构、银行业金融机构更好地了解数据能力的发展水平。

（2）借鉴DCMM评估结果，促进银行业金融机构数据能力提升

当前，国家正在推动DCMM在全国重点行业的落地实施，通过大量关于行业数据管理能力发展情况的数据，可以清晰地了解国内重点行业在数据治理、数据架构、数据标准、数据质量等方面的平均发展水平，了解重点行业在数据管理中存在的主要问题和相关的最佳实践，这些经验可供银行业金融机构借鉴使用，从而更好地促进银行业金融机构数据治理水平的提升。

（3）定期发布银行业金融机构数据管理能力成熟度发展分析报告

银行业金融机构在数据管理能力的建设方面有自身个性化的要求，发展水平也各不相同，为促进银行业金融机构整体数据管理能力成熟度的提升，建议定期发布银行业金融机构数据管理能力成熟度发展分析报告，分析行业整体的发展水平，计算数据管理能力成熟度各个维度的平均值，总结数据管理能力成熟度建设过程中的最佳实践经验，研究整体的发展趋势，为银行业金融机构数据管理能力成熟度的建设提供指引，进而促进整个行业数据管理能力成熟度水平的提升，促进数据价值的体现。

作者简介

联系我们:

Tel:010-81055448

       010-81055490

       010-81055534

E-mail:bdr@bjxintong.com.cn 

http://www.infocomm-journal.com/bdr

http://www.j-bigdataresearch.com.cn/