深度丨监管科技纵深发展,自上而下的金融机构数据治理怎么走?
南方财经全媒体集团记者李览青上海报道
随着监管科技的完善,银行保险机构的数据治理工作再升级。
近日,银保监会发布《银行保险监管统计管理办法(征求意见稿)》(以下简称“《征求意见稿》”),对监管统计归口管理、数据质量责任、数据安全保护、数据治理、数据价值实现提出规范要求。这也是2004年9月《银行业监管统计管理暂行办法》印发后,银保监会近20年来首次更新监管统计相关管理规范。
近年来,监管层对银行保险机构风险管理要求不断提高,在监管科技的推动下,监管数据的报送成为相关工作的重中之重,由此,监管数据治理成为金融机构数字化转型的必经之路。
复盘二十年金融监管数据治理之路,金融数据治理已迈入精细化时代。随着监管统计工作的进一步规范,金融机构自上而下的数据治理将怎么走?
二十年金融监管数据治理之路
金融统计报表与监管报送工作开展由来已久,伴随着我国金融监管的精细化发展,数据报送的质量和效率不断提高。
1997年亚洲金融危机爆发,引起我国对金融监管的高度重视。1998年,我国开启金融监管体制改革,设立银行、证券、保险三部门分工合作的分业监管体系,并开启监管报送流程。彼时,监管报送主要依托于人工数据采集、登记,信息泄露风险较高,安全性较差,数据质量也易受到人工统计失误影响。
由此,监管机构开始启动自动化报表的研究,如证监会研究基于XBRL(可扩展商业报告语言)的信息披露流程,银行业则通过ETL(数据仓库技术)方式实现报表自动化。
2003年11月,原银监会启动银行业金融机构监督信息系统建设,即“1104报表”体系建设,按“职责分设、责权明晰、统一协调、运作高效”的思路,逐步实行现场检查与非现场监管的分离,进一步加强非现场监管力量。
2008年监管标准化数据系统(EAST)投入研发,EAST1.0版本在2012年上线。2017年,原银监会修订形成了银行业金融机构监管数据标准化规范。EAST系统适用范围进一步扩大至所有银行业机构,不同规模银行的统计口径也得到统一。
在监管数据统计口径统一后,近五年来银保监会密集出台文件规范银行业金融机构数据治理,并对存在违规违法行为的机构予以处罚。
2018年5月,银保监会发布《银行业金融机构数据治理指引》,对银行业金融机构的数据治理提出新要求,数据治理工作纳入到银行保险机构业务经营、风险管理、内部控制全流程。
2020年,《中国银保监会现场检查办法(试行)》生效,也是在这一年,银保监会首次公布EAST数据质量及数据报送违法违规相关罚单,工农中建交、邮储、中信、光大等8家银行被行政处罚,涉及金额合计1770万元。
同年5月,银保监会发布《中国银保监会办公厅关于开展监管数据质量专项数据治理工作的通知》,据相关要求,银保监会明确了银行三个重要的监管报送模块:非现场监管报表(1104报表)、客户风险数据报送(部分银行报送)、监管数据标准化(EAST)。
今年1月,银保监会正式下发《中国银保监会办公厅关于印发银行业金融机构监管数据标准化规范(2021版)的通知》,EAST系统也升级至5.0版本。而本次银保监会发布的《征求意见稿》则进一步在实操落地层面指导银行保险机构提供关键指引。
监管智能化推动机构数据治理精细化合规发展
“在过去,中小银行的数字化水平比较落后,机构IT系统支撑力度不够,很多数据需要人工加工,经常出现错报漏报的情况,底层数据质量较差。这几年监管数据报送要求不断提高,我们才开始集中投入资金搭建各类IT系统。”某中小银行相关人士向记者表示。
台亚信息科技(TEJ)研究院院长林朝阳指出,监管推动金融机构数据治理是一个很好的契机,通过外部力量驱动机构去做数据的收集与应用,使金融机构在实践中了解数字化转型的意义,获得数字化转型发展的内驱力。
恒生电子相关业务负责人告诉记者:“近些年,各金融机构已经逐步意识到,传统监管报送烟囱式的建设模式已经不能满足报送准确、及时、高效的要求,因此开始转换思路,逐步考虑建设数据中台和监管数据集市,完善数据治理,有效提升报送数据的质量,开始强调数据安全保护。”
经历了20年探索,我国监管科技逐步推动机构数据治理进入精细化合规发展的阶段。
以EAST5.0版本的迭代来看,头豹研究院分析师王健康向记者介绍道,相较于4.0版本,新标准规范对报送范围、报送要求、填报门槛、数据枚举值、脱敏规则等内容进行了补充和修订,更加注重数据质量以及报送过程中的数据隐私和安全的问题。
具体来说,上述五个修订内容表现为:第一是适用机构的范围扩大,在4.0版本的基础上新增直销银行与理财子公司;第二是监管主题域根据实际业务进行划分调整,进一步提升EAST数据的可理解性和可用性;第三是新增、修订了部分业务报表,报表进一步细化;第四是枚举值类型更加丰富,对数据元、数据项格式做了更精细明确的定义和要求;第五是脱敏规则得到完善,更注重客户隐私保护,尤其是将脱敏规则中对数据进行变形的MD5(通过对接收的传输数据执行散列运算来检查数据的正确性)杂凑算法替换为SM3(国产密码散列函数标准)杂凑算法,使不同类型的证件可用统一算法脱敏,并改进完善脱敏规则,加强了对客户隐私的保护。
值得关注的是,最新发布的《征求意见稿》同样强调数据安全保护,其中提及“监管统计工作及资料管理应严格遵循保密规定、网络安全、数据安全、个人信息保护等相关法律法规、监管规章和标准规范。相关单位和个人应依法依规严格予以保密,保障监管统计数据安全。”
“以数据为本的数字化金融监管新时代已经到来。”恒生电子相关业务负责人表示,“本次征求意见稿充分体现了目前监管机构对数据治理、数据安全和数据分析挖掘方面,已经逐步从政策理论指导层面上升到实操落地指导阶段了,也为银行保险机构的数据治理落地提供了关键指引,指明了未来发展的方向和道路。”
自上而下的数据治理怎么走?
相关规范的逐步出台,为金融机构数据治理提供了方向指引,但对于不同机构而言,仅监管报送相关的系统建设就存在发展差距。
“过去某些金融机构未将董事长、行长等一把手列为数据质量的第一责任人,第一责任人的缺失使得机构在数据治理方面难以得到资源倾斜与保障,相关工作的持续推进也相对困难。此外,机构间部门墙的问题始终存在,监管统计的牵头部门难以得到其他业务部门配合,导致数据质量参差不齐。”某金融科技公司高层向记者表示。
恒生电子相关业务负责人告诉记者,目前金融机构常见的数据报送问题主要体现在三个方面,一是缺乏统一的监管数据治理体系,缺乏数据治理的管控系统体系支撑、线下数据存在数据补录维护不全、数据应用间的割裂问题等;二是银行保险等金融机构传统的监管报送系统存在着系统壁垒、取数升级难、数据管控难等问题;三是行业内积累有所差异,头部公司往往的数据治理能力和意识相对较强,但由于其业务体量大导致数据治理要求也越高;对于中尾部公司而言,业务量相对小,技术的升级验证上没有大量的场景验证导致其相关数据治理能力的提升有限。
并不是只有中小银行面临数据治理的问题,体量较大的金融机构也有自己的烦恼。
在头豹研究院高级分析师胡竣杰与金融机构调研交流的过程中,他发现,一家银行通常有几百套信息和数据系统,国有大行甚至可能有几千套,各种架构、各种软件标准五花八门,对改造迁移的要求极高。体量越大的金融机构,其数据的融通和业务流程的穿透困难越大。胡竣杰告诉记者,面对数据源分散,海量的数据规模、异构的数据属性、ETL成本高,数据报送在及时性、全面性、准确性均存在短板和缺陷。
为此,胡竣杰建议,在宏观设计层面,就需要深入理解“数据治理”,规划构建“采集、存储、管理、服务”一整套制度体系的系统工程,从组织架构、企业管理规章、企业文化上开始着手数据治理的布局。在业务端的替代选型不能一刀切,要对业务的具体情况进行梳理,要根据实际需求和合理的业务发展判断进行决策。要打通数据壁垒,需要结合组织架构及业务关系的改造。然后才是基础设施上通过私有云、主备副本等方案将本地数据流通。对于数据调用,不仅需要数据中台实现统一的数据视图,更要做好数据安全的规划,包括但不限于用户权限、资源隔离、链路防御。
针对数据质量权责不明确的问题,最新发布的《征求意见稿》第十八条规定,银行保险法人机构法定代表人或主要负责人对监管统计数据质量承担最终责任,银行保险分支机构主要负责人对本级机构监管统计数据质量承担第一责任。银行保险法人机构及其县级及以上分支机构应分别指定一名高级管理人员(或主要负责人)为监管统计负责人,负责组织部署本机构监管统计工作,保障岗位、人员、薪酬、科技支持等资源配置。
在数据质量管理机制方面,《征求意见稿》第二十二条规定,银行保险机构应建立包括数据源管理、日常监控、监督检查、问题整改、考核评价在内的监管统计数据质量全流程管理机制,明确各部门数据质量责任。
恒生电子相关业务负责人表示,金融机构需要自上而下的梳理全行业的监管数据报送要求,统一规划监管数据集市模型,统一开展数据治理,统一数据标准及口径。以监管应用场景驱动监管数据质量整改,建立长效机制,从数据源头进行治理,确保数据的准确性、完整性、及时性;在监管报送方面,构建数据质量检核规则库。另外,通过加强技术与产品的支持,从而提高数据治理能力,解决日常数据报送的难点和痛点,这不仅提高报送效率,也能让金融机构从疲于奔命的状态中解放出来。