解析CIFS|贵州省农村信用社联合社张天荣:数据资产盘点与数据安全合规
2024-06-05
大家好,很荣幸受主办方的邀请,能够在这里和大家一起探讨和分享。贵州农信在数字化转型进程当中数据作为不可缺少的要素起到了非常关键的作用。
01
政策背景
我先从整体的背景来谈数据要素作为很有价值的要素之一如何推动金融机构开展下一步的数字化转型。
就政策而言,2020年中共中央国务院发布了《关于构建更加完善的要素市场化配置体制机制的意见》,比较明确地把经济当中的五个要素之一数据作为我们的主要要素进行定义,数据要素在2020年以后这个要素的市场化体制机制的建设就逐步开始深化。在2022年“数据二十条”的发布更为数据基础制度和数据要素的作用发挥起到了很重要的政策层面的支撑。去年财政部也发布了《企业数据资产关于会计处理的暂行规定》,在去年企业就可以把数据作为我们关键要素进行入表处理。
在这个政策背景下银行因为是拥有数据资源最庞大的体系,如何进行资产的入表大家都在探索,我们贵州农信去年就开始研究数据资产的入表过程。今年年初国家的数据局联通17个部门下发了数据要素三年行动计划,这里也提到了金融系统如何做好我们数据要素的三年方案。
02
价值体现
银行数字化发展历程形成外驱因素
对于这一系列的背景,我们可以从外部驱动,要求银行必须要高度重视数据问题,让数据更加规范化、合规化和价值化。其实银行在数据进程当中,一向都是比较超前的。最早的数据集中到信息化的处理,到现在论坛也都提到要数智金融,就是数字化的到来。全国农信也是迎来了改革的浪潮,很多省都已经完成了农信体系的改革。我们贵州农信也在深化推进改革。
金融系统在经济环境当中也是竞争非常激烈,如何立足好我们自己服务地方经济金融发展的策略,数字化进程的推进,要求我们农村中小银行业不能落后于股份制商业银行。
多维痛点造就内部革新
长年以来在管理当中我们也发现有非常多的痛点,管理侧可能非常突出的,如果在座有银行或者说有金融系统的,我们会知道,最难的就是数据确权问题。这个权是指在业务部门之间的这种权责。往往可能出现数据上的问题,要解决数据问题都是科技部一手担,真正追究问题的溯源上就非常困难,数据的权属在部门是非常不清晰的,造成无法从端到端进行全链条、全生命周期的血缘的管理。业务部门又存在着很多痛点,无法共享很多数据。我们行里存在有几十年的客户信息,这些客户信息他们看不见,摸不着,而且无法进行挖掘。如何存储,这些存储的数据如何供给,对他们来讲像一个黑盒,科技能提供什么,他们就用什么,他们能想到什么就用什么。整个数据资产的状况他们是不清晰的。在科技侧那么多年的数据开发,数据的开发平台对于数据资产的认知到底是否清晰,其实不尽然。可能大行在数据标准化的进程推进比较早,科技的开发标准化对数据怎样管理是比较有技术手段的。在中小金融机构数景化(音)开发仍然存在,能够真正认识到底层数据资产,模型层的构建,以及应用层、服务层的数据状况,科技上数据架构的全链条的穿插,还存在一些难点和堵点。在服务侧就是数据的挖掘价值,数据产品的创造,业务产品的创造还存在一些有待解决的问题。
客观价值引领内革必要性
数据价值的路径从最早的帮助业务的运营,协助管理侧,最终成为我们的资产,给我们创造价值,带来竞争的能力。数据要从最初期的发展到最终价值的创造路径来讲的。贵州农信也做了一些探讨和尝试,也在深入地推进很多工作。
03
尝试路径
规划顶层设计-确定数据管理实施路径
数据工作一定是全面、系统化、顶层化的设计,而不是见子打子(音)的工作。数据面向所有的业务及管理部门、技术部门和保障部门,对于如何做好顶层设计,我们的实践是先从基础建设,就是要组织体系建设、平台建设,标准化建设。
建章立制,有了技术,有了工具,我们如何进行推广。应该深化数据治理工作,扩大治理的面,完善体制机制的办法。
全面开展数据治理工作,起初面对监管开展局部治理,真正推动数字化和数据的价值挖掘应该是全行及全面的资产盘点和全面的治理工作。才能真正形成有效的常规的长效机制来实现资产的智能化。
夯实基础-全面构建数据治理体系
在我们的实践当中,在座可能技术的人比较多,我们认知到技术的发展比较快,而且大家都有非常多的工具,刚刚就有技术方介绍了很多资产运营的平台。这个并不是难点,有很多厂商能够帮到我们做非常有能力的技术支撑,但事实上为了在银行系或者在其他的部门,真正要做起来有难度的。整个体制和我们的治理体系是必须要构建完善的,要在技术支撑的最上层是数据战略问题。这一点监管相关的制度里面有要求,银行必须要把数据作为战略,发布战略层目标。有了战略,那就必须要有保障的机制,保障机制第一条必须是组织保障。没有完好的组织保障体系,我们的工作可能会仅仅落在科技上,或者仅仅落在统计上,或者数据条线,而没有形成全行级数据文化。制度保障和流程保障应该同步进行。
实现全社人员联动-建好数据治理组织架构
治理的措施也应该有一个体系化的标准管理、质量管理、元数据和数据安全管理。数据治理的组织架构是最佳推进数智化能力的一种保障,我们形成了横向以及纵向的组织体系保障。在组织架构当中,最有影响力的就是我们数据管理委员会履职的执行。我们数管委会是站在经营层,必须要及时、全面地履职,它是一个协调和决策的机构。横向到部门,纵向到分支机构,必须有完整的组织架构的保障。这是我们在谈后面资产盘点和安全管控管理的一系列最基本的、最重要的环节。
理解价值实现-升级数据资产能力框架
我们理解的数据价值的实现先要有一个数据治理的基础保障,先要搭建好数据标准,数据质量的控制以及数据架构、数据模型、数据安全等一系列的数据治理的基础保障。在此基础上才能谈得上资产的管理,如果没有这一系列基础,谈资产管理都是惘然。你盘出来的资产管理都是不清晰,没有价值,或者价值发现不明了。因为基础的数据质量是由于历史的原因,模型层的模型也可能是开发过程中的规范性问题也有很多模型是无效的。基于这些我们还得强基固本,先做数据治理,然后再做资产管理和资产运营,缺少这样的路径我们的工作只能站在上面看下面,但是做不起来。
“三步蒸馏法”生成数据要素价值路径
我们是用“三步蒸馏法”让价值进行升华,先要有数据的资源化,让所有的数据要素能够整合,能够清晰,能够规范。在此基础上,再做资产化,进行资产的盘点,入库,查询,重点是进行资产的定价和成本计价。最上面在清晰了一系列资产的情况下,我们再进行资产的挖掘。通过盘点、计价去发现我们哪些资产更能有价值,对于未来的资产负债表,既然我入表,也考虑哪些资产是有必要继续存储,哪些资产可能过度占用科技资源,也是应该要淘汰的。
数据资产管理开展先行试点
讲到资产的管理,首先事情就是要盘。盘好资产,其目的一是看清楚我们那么多年,做了那么多科技系统,做了那么多数据平台,做了那么多数据应用,存了什么东西,如何分类规整。刚才有厂商介绍到他们的三层分类方法。不同行可能有不同的实践,只要是你按照你的维度来认知你的数据,那么你可以按照你的实践去推进。我们也是优先要考虑资产的全生命周期的盘点。数据从产生到应用,从一开始的元系统的建设到数据的采集到整合层的加工,到模型层的升华,到应用的再推动,这一系列的过程,是我们数据从有到用的过程。我们只有弄清楚整个一系列过程,才能知道每个环节的成本,它的价值。
基于业务生态链编织数据生命周期
财政部发布的数据要素入表的意见有成本法和价值法,在银行系毕竟资产是很难出售的,数据更多是为自己所用。那你的价值不能交易,可能更多是以成本法来计量。你要知道这个成本到最终产生价值的数据,它并不是在终端实现的,而是从天源端就已经有了的。那每一个环节,它都是有加工成本的,从天源的采集,这个数据可能是从最后的模型层出来的产品,发布到市场上有很多的客户想用,而且获得了我们的贷款,获得了我们的价值利益。但是在这些产品的客户信息的收集,客户信息的清洗,客户信息的加工和整合,这一系列的过程,它的存储都是消耗资源和成本的。科技上要更加计量好每个阶段的人力成本、资源成本,便于我们最初在输出数据时,考量对于整个过程的成本合计。
“三层八域一管控”支撑数据资产盘点目录
我们是采用“三层八域”资产盘点的方法,我们的三层是数据基础资产层,更多是偏技术的表,字段,天源(音)的要多,这是我们第一层的资产盘点。第二层是模型,这里的模型包括模型算法、规则模型,这样更容易计量每个模型的研发成本和管理状况。第三层是服务资产,就是基于服务视角,数据应用和分析为基础的分析应用和数据产品的输出、报表、指标、标签和形成有价值的金融产品。
四象维度确定数据资产盘点内容
盘资产,对于每一个资产要知道它有什么内容要如何来定义好我的每一项资产。我们采用了四维度的划分,内容的清点。四个维度主要是管理属性、业务属性、技术属性、安全属性。为什么我们会把安全属性单独拉出来,其实它也是属于管理属性当中的一种。因为现在讲数据一定离不开安全可控以及安全合规,所以安全属性显得尤其重要。对于每一个属性,我们都会给它很多维度去画像。其实也就是对我的数据进行四个维度的画像。业务属性里面认责问题,把这个问题解决了,才能解决全行同步来看到数据管理工作以及让每个数据知道他的宿主是谁,拥有者是谁,创造者是谁,不是科技的,都是业务上产生的元数据。追根溯源,所以数据是要认责的。最后数据出现问题,用是一回事,合规使用谁的数据谁负责。
立规矩形成安全总体原则
讲了我们的数据资产盘点的一些想法。最后管理的一部分,就是我们的安全管理的问题。数据安全我们认为安全是理念问题,而不仅仅是技术问题。科技在那么多年的发展过程当中,信息安全的体系是一直得到高度重视的,但是更多都落在了攻防上,攻防演练都做得非常不错,技术上都有非常多的手段。但是为什么我们还有那么多的罚单,监管部门不光对银行,对银行业开了非常大的类型罚单,更多是用上出了问题。一系列的诸多法规都告诉我们,数据不仅仅是技术上能够解决的,理念不转变,管控不加强,有了系统,没有人去执行你的安全管控策略,你的数据泄露是迟早的事情。
建体系指导数据安全合规实践
我们更强调的数据有三个维度,数据安全技术体系,数据安全管理体系,数据安全运营体系。我们认为运营更重要,技术的保障现在都非常先进,而且有很多专家。我们有很多的技术手段,但是我们的手段很多还停留在常规的管理,有的可能有管理组织,有了管理系统,但是制度的落地和执行是难点。因为我们贵州农信有数据管理部,我们部门是专门管数据安全的。这个安全管理不光是技术落在科技上去履行你的数据安全的第一道防线的责任,而且我们要作为第二道防线去监督、执行你的数据安全。更多我们要站在第二视角,而不是看待数据安全风险检测的结果。你对自己要监测,我也得对你进行监测,我对你进行监督,要求你进行整改。还有一个体系,除了监测,那是要发现去整改。如果出现安全事件,你是要及时响应,这个响应一定是全行级别优先的,涉及到客服,对外发布,战略决策层的应对。对于数据安全的应急演练是现在在央行也在组织各金融机构深化去推进的。
全量数据资产盘点和分类分级任务项
这一系列告诉我们,数据在全量的盘点过后,我们才能认清楚我们到底有多少资产,才能够知道我们有多少有价值的资产。这些有价值的资产当中,如何进行安全管控,分完级,分完类,还得对它进行每一类、每一级的技术控制、权限控制以及管理策略,最终保障数字化能够走向更好的明天。
我的分享就到这里,谢谢大家!
