一、现状与问题
(一)对信息科技风险认识不到位,管理体系不完善
以村镇银行为例,其信息科技风险管理水平还处在风险管理的初级阶段。有些村镇银行虽然制定了发展战略,但缺乏与业务发展战略相一致的信息科技发展战略,同样也缺乏信息科技风险战略来指导信息科技风险管控工作,信息科技风险管理尚未纳入全面的风险管理体系。首先是信息科技风险认识上不到位。在作为小银行的村镇银行中普遍存在着一些问题,例如对信息科技风险了解的不够细致,对信息科技风险管理相对薄弱,信息科技的风险管理缺乏业务、风险管理、内部审计等部门甚至更高级管理层的有力支持。其次,信息科技管理体系不完善。大部分村镇银行虽然制定了相关的信息科技管理制度,但制度建设、人员管理、岗位设置缺少整体的风险管理概念,缺少完整的信息科技安全管理体系。
(二)科技投入水平普遍较低
目前,中小商业银行的科技收入整体能力偏低。科技投入主要包括项目建设费用、日常运行维护费用、科技人员成本、其他费用等项目。以村镇银行为例,很大数量的村镇银行尚未自行开发业务系统,多是租用发起行的业务系统。这部分村镇银行从本质上可以看作是发起行的一个支行,业务系统运维的重头戏一般都由发起行信息科技部来实施。同时村镇银行高级管理层对科技的重视程度不够,信息科技的投入占运营成本的比重较小,大多在2%以下,该资金份额难以完全满足业务系统运行的维护需要,导致村镇银行部分硬件投入不足,常用易损设备备份不足,一些重要设备达不到双机热备的要求,出现设备损坏无备用设备,无法及时更换,影响正常业务开展的问题。更有一部分硬件设备超寿命运行,做不到及时更换,给信息系统的后期维护带来较大的负担,在银行业务开展的同时也暴露出较大的信息科技风险。
(三)科技队伍建设严重滞后,人才储备不足
信息科技发展的核心是科技人才,银行的信息化建设和发展离不开科技人员的支持。据统计先进银行科技人员平均占银行总人数的比例为3%—4%。然而对于现阶段的村镇银行而言,信息科技人员的配比却严重偏低,人员配备严重不足,存在着较大的人员缺口,从这个角度来看,农村金融机构的信息化能力不足与信息科技人员不足有着必然的联系。现实的情况不免让人感到忧虑,无法满足科技管理的整体要求。
除了科技人员配备不足外,村镇银行的科技人员专业程度偏低,专业技能素质普遍不高,缺乏相应的技能培训和项目实践。由于人员不足和岗位设置的不合理,存在着非全职科技人员,科技人员身兼它职,身兼数职的现象,导致了科技人员的劳动强度增大,无法专注于日常的信息科技工作管理,难以对一些新的技术知识进行学习,长此以往导致了科技人员的工作能力下降。
同时一些村镇银行还存在着科技人员职责定位不明确的问题。就村镇银行而言,科技人员的职责主要包括几点:一是对银行业务系统的稳定运行提供运维保障。二是负责本行计算机设备、网络设备及其附属设备的安装调试、维护和调配工作,定期或不定期检查设备的管理和使用情况。但由于部分村镇银行科技人员职责不明确,造成了科技人员成了“万能工”。只要是银行业务开展所需的设备出现问题,即使是超出科技人员职能之外,
员工第一时间冒出的想法都是“找科技”。这种情况大大耗费了科技人员的工作精力,导致对科技本职范畴内的各项工作带来了很大影响,钳制了科技工作的开展的质量和效率。
二、对策与建议
(一)强化信息科技风险管理,提升风险抵御能力
1、以满足业务需求为目标,切实加强信息科技风险管理。
作为小银行的村镇银行虽“起步晚,底子薄”,信息化建设“先天不足”与先进商业银行存在很大差距,但一旦出现风险,造成的影响却并不比先进商业银行小。所以,村镇银行在信息科技风险管理上应该像先进的商业银行看齐,强化信息科技风险防范,建立有效风险防控体系,推进信息科技风险管理与先进水平接轨,着力提升信息安全保障能力。在指导原则方面将信息科技风险管理纳入银行全面风险管理体系当中,贯穿于银行各个经营领域,做到信息科技风险管理“不掉队”。同时提升信息安全管理水平,保障信息系统安全、稳定运行。逐步建立起信息科技风险管控的日常化、流程化、持续化机制。
2、建立信息科技风险监测体系。作为小银行的村镇银行应
结合自身业务发展建立直接、高效的信息科技风险监测体系,做到及时识别风险因素,排查隐患,彻查风险问题根源。要将信息科技风险控制前移,做到防患于未然。要将风险管控贯穿于银行业务的整个过程,加强跟踪控制。要有“剩余忧患,死于安乐”的风险意识,做到“常摸底,勤过脑”,要在准确了解自身信息科技实际情况,在充分分析信息科技方面可能出现的风险对银行业务影响的基础上,建立良好的风险分类分级制度,实施重点监控。同时进一步完善风险报告机制,加强信息科技部门与业务管理部门、高级管理层以及监管机构之间的沟通协调。
3、强化运维体系建设,提升系统服务水平。要进一步完善运维管理流程,健全运维管理制度和标准,确保配置足够的人力、物力、财力来维持安全、稳定的信息科技环境,提升信息科技运维保障能力。在高度上做好管理流程整合,在深度上做好业务流程分解,强化事件分级制度,建立起一个有效的事件分级及响应机制,加强对业务连续性的管理,保障金融服务持续稳定。
(二)加大科技投入,提高信息科技发展水平
1、加大科技队伍建设投入。在科技人员需求缺口较大的情况下,主动面向社会招聘专业技能过硬,实践经验丰富的科技人员,及时充实现有的信息科技力量;积极组织针对科技人员的外部专业技术培训,或聘请专业的技术人员对科技人员进行必要的内部培训,使科技人员的专业知识和技能能够及时得到补充和更新,做到在新技术、新知识面前不落伍,能够及时的了解和掌握。
2、增加设备投入。对银行业务必须的一些常用易损设备进行充足冗余备份,如打印机、业务终端等,保证在设备发生故障且无法及时修复时能够做到第一时间更换,确保业务办理持续进行。对机房内关键设备进行冗余备份,包括UPS、交换机、路由器等。机房是银行业务开展的核心,如果机房内设备放生故障,会导致业务系统终断,银行业务停滞。所以要做到机房内关键设备双机热备,确保在设备出现故障后第一时间更换备份设备,最大程度上降低对银行业务造成的影响,保障业务的连续性。
(三)加强科技队伍建设,为提高信息科技管理提供人力资源保障
1、进一步提高信息科技人员履职能力。采取有效方式和途径,通过求助发起行或聘请其他外部专业技术人员对现有科技人员进行培训,提高信息科技人员的综合素质和履职能力。
2、引进专门人才。面向社会招聘能有效开展信息科技工作的专业人才,加强信息科技人才的培养和储备,以解决由于现有信息科技人员匮乏出现的一人多岗,一岗多责的问题。
3、开展内部培训。针对银行一线员工,集中开展关于银行业务所需的相关设备的操作和维护的培训,使一线工作人员掌握基本的相关设备耗材更换,灰尘清理等一些简单维护技能,这样一来既能缩短业务等待时间,提高工作的效率,又能节省科技人员的工作精力,使信息科技人员得以专注信息科技日常管理工作。
村镇银行作为近几年成立的新型农村金融机构,虽然在诸多方面存在“先天不足”的实际情况,但不能因为成立晚,底子薄而迁就自身发展过程中暴露出的问题。在信息科技工作方面,村镇银行不应满足现状“混日子”,过度的依赖发起行。而应着眼未来,以发起行为依托,注重自身的信息科技发展,制定健全的信息科技相关制度,加大信息科技投入,加强信息科技队伍建设,形成一套科学、有效的信息科技管理流程。当问题发生时,能做到敢于接触问题,能够解决问题,快速解决问题。为村镇银行业务开展保驾护航。
1、对各业务部门来说
数据治理绝不是“与己无关”的一项工作。数据治理工作贯穿于数据产生、使用和销毁等全生命周期中的各个环节。作为主要的业务数据输入端,业务及一线部门扮演着重要的数据质量控制角色。数据质量的好坏直接影响数据分析结果的准确性,而银行层面数据标准是否建立,各业务和管理领域的数据标准是否一致,也将影响在使用数据时需要花多大的代价来进行数据标准的统一。
2、对信息技术部门来说
数据治理的工作涉及到信息系统建设的方方面面。信息科技部门在考虑银行整体信息系统架构的同时,还需考虑数据架构如何设计,IT领域的数据治理工作如何配套开展。例如数据管控平台如何定位,数据管控平台与各源系统、数据加工分析平台之间的关系是什么,什么样的信息系统建设流程是符合数据治理要求规范的。
3、对数据治理归口管理部门来说
数据治理是一项长期的、动态的工作,而且是类似“装修”的隐蔽工程,是一项“脏活、累活、苦活”。如何将数据治理的价值和成果显性化、将数据治理工作拆分为不同的模块和任务,逐步的推进和落实,如何将数据治理从管控式理念模式向服务式理念模式转换,是一项智慧工程。
4、对合规和审计部门来说
如何规范化标准化地开展数据治理评估与审计工作是一个新的课题。从哪些方面进行评估,评估的维度有哪些,评估的标准如何定义,评估的范围如何选择,都急需业内专家共同探讨,逐步细化,明确标准。
总体来说,一般银行在数据治理实践过程中主要面临的难点:
数据管理各项工作庞杂,如何体系化的规划开展?
数据治理组织架构如何有效运行和落地?
如何通过数据资产的盘点工作开展数据认责?
如何通过系统化工具减少数据管理的手工工作?
如何通过内控和审计促进数据治理工作的开展?
银行数据治理的应对方式
1、体系规划
银行需要充分结合自身发展战略的要求来制定数据战略,例如一家旨在发展零售业务的银行,其数据战略应围绕零售业务进行开展:统一零售客户数据,提升零售客户服务水平,从而建立对零售客户做精准营销、行为预测等等一系列的能力,结合这些内容再对数据战略进行思考;一家将金融科技作为战略的银行,则需要将开放能力、服务生态的数据基础作为数据战略的要点进行定义。
银行应结合战略发展,体系化的设计数据治理各项工作,通过搭建完整的数据治理体系框架,整合联动数据管理各项工作,服务业务,实现数据价值。体系化的建设内容可以包括四个层面。
数据治理层面:数据治理的模型,管理的组织架构,岗位要求,制度办法,管理流程等;
数据管理层面:数据架构与共享,数据模型管理,数据标准管理,数据质量管理,数据安全管理,主数据管理,元数据管理等;
数据应用层面:数据与应用开发管理,数据需求管理等;
技术工具层面:管理流程工具。
2、顶层设计
有效的组织架构是数据治理成功与否的有力保证,为达到数据战略目标,建立体系化的组织架构、明确职责的分工是非常必要的。
银行根据数据战略、自身组织架构特征,构建数据治理组织架构,不同的方式其数据管理分散和集中程度各有不同。组织管理分散且数据需求较少或复杂程度较低的银行,一般采用“分散模式”,各部门负责本领域的数据管理和应用;数据需求较多且复杂程度较高的银行,可采用“归口管理模式”、“集中+派驻模式”、“全集中模式”。具体选择哪种方式,取决于银行数据发展的阶段,同时也取决于归口管理部门的人力投入与专业能力。专业能力主要涉及组织沟通、业务理解、技术开发等方面。
从银行发展的一般趋势来看,伴随银行数据积累及数据需求的增加,数据分散管理模式逐渐变得不能满足用数需求,数据质量问题频发、未得到有效解决,银行需要从全行整合资源投入,更为有效地改善数据管理局面。因此,银行在数据相关工作的早期形成了“数据管理工作小组”,作为归口管理的形式,由相关业务部门骨干和IT人员组成,按需召集会议,共同讨论解决方案并呈报管理层决策。无论出于自身发展所需还是应对外部监管压力,小组议事形式固有的部门间推诿和资源投入不均/不足等弊端不断显现,其效力和效率已均不能满足数据管理的急切需要。独立统一的“归口管理部门”应运而生,作为全行数据治理的`牵头部门,明确并落实其职责,要求其牵头实施数据治理体系、协调落实运行、组织推动工作。
由哪个部门作为归口管理部门是业界关注的热点与话题。各家银行根据自己的实际情况进行考量,确定的部门也各有不同。从银行实践来看,因为巴塞尔协议三的实施,有从风险出发归口风险管理部门的;也有因监管统计报送、《银行监管统计数据质量管理良好标准》实施而归口在计划财务部门的;还有因为考虑科技属性较强,与各信息系统强相关而归口在信息科技部门的;此外有越来越多的银行独立一个数据部门来对数据相关的工作进行归口管理;当然还有一些由业务部门和技术部门共同作为“归口管理部门”也是银行的实践方式之一。
不同的设计方式下优劣势也各有不同,银行根据自己实际情况权衡利弊、得出最优解决方案。一般来说,归口管理部门设置的课题均需要多长的决策过程与时间,很大程度上取决于决策层对于数据治理的决心。
3、厘清家底
银行已经认识到将数据作为资产管理的重要性。部分银行提出要树立“数据作为资产,资产主动管理,管理产生价值”的理念。逐步改善银行对数据缺乏主动管理的现状。要将数据作为资产管理的第一步是需要厘清银行究竟有哪些数据。
一般来讲,银行可以从业务和技术两个不同的视角分头开展梳理盘点工作。业务视角是自上而下的演绎,包括从业务价值链,数据应用场景进行业务说数据的梳理分析。技术视角则是自下而上归纳,以银行现有信息系统为基础,整理相关信息表和信息项的情况。最终两者整合,形成银行的数据资产清单目录。
厘清了数据资产清单以后,还有很重要的步骤:数据认责。数据管理职责认定在实际操作和应对过程中可以通过对业务流程的责任进行拆解。如根据不同流程节点,对应不同业务部门对信息项的新增或者修改时,从而确定该业务部门对数据资产信息项的归口管理。此外,也可根据数据录入部门、数据需求提出部门、数据标准管理部门、信息系统业务主管部门等不同的方式进行依次认责,保障所有的数据都可以认责到部门。
4、工具落地
高效的数据管理系统化工具,是数据治理工作落地开展的保障。数据管理工作内容覆盖全行的方方面面,无论是新产品建设,信息系统改造,都会涉及到相关的数据管理工作。一般来讲数据管理工具会有以下的三种建设方式:
1)整合数据门户建设,统一数据入口。该方式整合数据应用,数据分析工具入口,将数据管理的内容作为服务提供给业务部门,同时在应用中嵌入管理的要求。
2)构建社区论坛,倡导数据文化建设。基于数据资产和数据管理的各项成果,采用全行数据社区化管理,引入社交的方式,用户可对内容进行点赞,点评和讨论。
3)数据流程管控,强调绩效考核。该方式关注流程落地,关注绩效数据,通过报表平台化的方式管理标准落标,质量水平,问题整改情况等。
5、审计评价
基于监管机构的最新指引和银行数据管理制度要求,银行内部应开展数据治理审计工作,识别数据治理违规、薄弱的控制环节与执行缺陷。
审计作为银行数据管理工作的第三道防线,应构建银行的数据治理审计框架,通过审计促进数据治理工作的开展,保障数据价值的实现。审计的过程中,除了关注数据管理的各项流程之外还应关注和检查“数据”本身。需要根据数据与流程现状,以银行的管理目标,风险导向的方式确定审计框架,保障审计内容的覆盖面。
除了三道防线的建设,银行还应在二道防线上开展数据治理自评或他评的工作。例如定期开展数据治理各项工作的评估,建立评估机制,落实评估程序,积极对评估过程中的不足进行改进。银行高层应对评估结果采取积极的措施,推进问题整改。
银行数据治理如何实施
数据治理领域包括但不限于数据标准、数据质量、元数据、数据模型、数据分布、数据存储、数据交换、数据生命周期、数据安全等内容。数据治理领域是随着银行业务发展变化的,领域之间的关系也需要不断深入挖掘和分析,最终将形成一个互相协同与验证的领域网,全方位地提升数据治理成效。
1、数据架构管理—规划并管理数据从产生端到使用端的分布、传输与存储的逻辑框架;
2、数据模型管理—企业的信息模型是企业数据标准的图形化展现;
3、数据标准管理—规范化企业重要活动及对象的数据记录格式;
4、数据质量管理—对数据的规范性、准确性、一致性、完整性、时效性进行持续监控和评估;
5、元数据管理—对企业数据资产的登记造册,并记录其相关性;
6、数据安全管理—对数据设定安全等级,保证其被适当地使用;
7、主数据管理—对企业关键的,跨系统共享的业务数据进行统一定义、集中保存、发布、更新及删除的过程;
8、数据生命周期管理—是对数据产生、存储、传输、使用和销毁全过程进行管理。
亿信华辰作为国内领先的智能数据产品与服务提供商,在长期的数据应用建设过程中积累了海量的数据治理案例和经验,已推出一站式数据治理管理平台—睿治,由元数据、数据标准、数据质量、数据集成、主数据、数据资产、数据交换、生命周期、数据安全等多产品组成,形成了一套从数据质量分析、问题发现、数据补录、流程管理到最后的绩效分析的全流程管理系统,帮助客户快速搭建起数据治理的全套管理流程和分析架构。
数据治理是一项长期动态的过程,银行不应抱有“毕其功于一役”的想法与态度,而应从战略指导、组织架构、管理流程等从上到下的思想转变,合理规划,稳扎稳打,同时也不能畏难而止步不前。
