內部審計賦能商業銀行數據治理方法探究

【摘? 要】當前，銀行業全面進入數字時代，數據治理成為商業銀行數字化轉型的基礎性、關鍵性工作。同時，隨著監管環境日益趨嚴，數據治理成為監管關注重點，被列為商業銀行風險監管評價指標，納入商業銀行監管評級體系。論文對內部審計和數據治理的概念進行了闡述，對內部審計和數據治理的關系進行了分析，提出了內部審計賦能商業銀行數據治理的工作模式，并對內部審計促進數據治理的工作方法進行了探究。

【關鍵詞】數據治理；內部審計；商業銀行

【中圖分類號】F832.33；F239.45? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻標志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號】1673-1069（2023）08-0061-03

1 引言

隨著數字經濟浪潮席卷全球，數據成為新的生產要素，商業銀行紛紛加強頂層設計，開展數據治理工作，加速推進數字化轉型。人民銀行、國家金融監督管理總局先后發布《銀行業金融機構數據治理指引》（以下簡稱《指引》）《金融科技發展規劃》《關于銀行業保險業數字化轉型的指導意見》等監管文件，推動商業銀行建立健全數據治理體系，規范數字化轉型工作。如何通過內部審計賦能數據治理工作，成為商業銀行內部審計部門面臨的創新性工作和挑戰性課題。

2 內部審計與數據治理的概念

2.1 內部審計

內部審計定義眾多，國內外諸多機構如國際內部審計師協會、審計署、中國內部審計師協會、國家金融監督管理總局等均對內部審計進行了定義，各個定義表述有所差異，但內涵基本相同。以中國內部審計協會和國家金融監督管理總局的定義為例，前者在《第1101號——內部審計基本準則》中對內部審計進行了定義，后者結合商業銀行經營特點，在《商業銀行內部審計指引》中對內部審計概念進行了詮釋。兩者都強調內部審計的獨立、客觀性，以系統化、規范化的方法為審計手段。審計活動方面，前者將內部審計劃分為確認和咨詢兩類活動，后者將內部審計劃分為監督、評價和咨詢三類活動。審計事項方面，前者將審計事項分為業務活動、內部控制和風險管理三類，后者將審計事項分為業務經營、風險管理、內控合規和公司治理四類。審計目標方面，前者的目標為推動組織機構完善治理、增加價值和實現目標，后者的目標為推動商業銀行業務穩健經營和實現價值提升。本文以后者對內部審計的定義展開研究工作。

2.2 數據治理

數字時代，數據治理的概念被廣泛研究。國際上，國際數據治理研究所（DGI）和國際數據管理協會（DAMA）對數據治理的定義得到廣泛引用，國內也有多種不同定義。各個數據治理定義中，普遍包括治理架構、治理活動、治理過程和治理目標等內容。本文研究的數據治理，以《指引》中的定義為依據。治理架構方面，建立董事會、監事會、高級管理層及內設部門參與的組織架構，并明確職責要求。治理活動方面，制定系統化的制度、流程和方法。治理過程方面，依據制度、流程和方法實施數據治理，為數據統一規范管理、高效穩定運行提供保障。治理目標方面，充分挖掘數據價值，促進經營管理提升。

3 內部審計與數據治理的關系

商業銀行內部審計與數據治理關系密切，二者互相影響，互相促進。

3.1 兩者都是公司治理的有機組成部分

《商業銀行內部審計指引》中規定，商業銀行內部審計機構應由董事會直接管理，確保獨立性和垂直性。董事會負責配備審計人員，批準審計章程、規劃和計劃，提供預算和必要的工作保障。董事會作為公司治理的重要組成部分，其負責的內部審計工作也應是公司治理的有機組成部分。同時，《指引》中也明確提出，商業銀行公司治理應包括數據治理工作，商業銀行應建立與之適應的數據治理體系，數據治理工作開展情況與公司治理評價結果或監管評級掛鉤。因此數據治理也是商業銀行公司治理的有機組成部分。

3.2 內部審計是數據治理的有力保障

數據治理作為商業銀行提升治理現代化的重要路徑，其價值日益顯現。數據治理能幫助商業銀行更好地管理數據，降低數據使用成本，提升數據使用價值。通過建立企業級數據治理架構，推動商業銀行打破信息孤島，疏通信息煙囪，數據由部門級向企業級整合，助力公司治理決策精準化、科學化、智能化。隨著數據治理工作的不斷推進，數據治理的組織架構、體制機制、方式方法、人才隊伍、系統建設等方面的不足逐步顯現。《商業銀行內部審計指引》要求，對公司治理的健全性和有效性開展審計。數據治理作為公司治理的有機組成部分，也應納入內部審計監督范圍，數據治理審計作為內部審計的創新領域，將成為解決數據治理難題、推動數據治理持續深入開展的有力保障。

3.3 數據治理反哺內部審計轉型發展

隨著商業銀行數據治理工作的不斷推進，將持續反哺內部審計數字化轉型發展。企業級數據治理架構的建立，董事會、監事會、高級管理層的全面參與，為內部審計使用業務數據提供了組織保障。數據治理覆蓋業務經營、風險管理和內部控制流程中的全部數據，為內部審計監督全覆蓋提供了數據保障。商業銀行統一管理數據采集，制定信息系統間數據傳輸的標準和流程，為內部審計共享使用各類業務數據提供了有力支持。企業級數據標準和指標的制定，統一的業務規范和技術標準，取數規則的明晰統一，數據質量的有效控制，確保了內部審計使用數據的完整性、準確性和及時性。

4 內部審計賦能商業銀行數據治理的工作模式分析

《指引》對商業銀行三道防線的職責均進行了明確和規定。數據治理歸口管理部門、各業務部門及分支機構作為第一道防線，是數據治理建設的主體，承擔的工作包括管理層面的數據治理體系和數據治理文化，實施層面的數據標準、信息系統、數據安全等，評價層面的質量控制、現場檢查、考核評價等。內部控制、合規管理部門和數據治理專設機構作為第二道防線，是數據治理自評估的主體，應建立自評估工作機制，并按年向銀行業監督管理機構報送。內部審計部門作為第三道防線，應根據自身工作職責定位，結合監管委托或要求，站在獨立第三方視角，審視數據治理工作，從監督、評價、咨詢3個層面發揮作用，促進商業銀行數據管理水平的提高和數據質量的提升。

4.1 獨立開展審計監督，促進數據治理依法合規

商業銀行屬于信息密集型企業，多年經營發展積累了海量數據，隨著業務的快速創新，數據增長呈現加速態勢。如何合法合規管理運用數據，成為數據治理工作的前提和基礎。對此，《指引》進行了明確規定，商業銀行應依法合規采集、應用數據，依法保護客戶隱私，涉及到個人客戶信息的，還應遵循個人信息保護相關法律法規的要求，符合與個人信息安全相關的國家標準。當前，相關政策規范日益完善，信息保護“三駕馬車”《中華人民共和國網絡安全法》《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》全面實施，行業規范《金融數據安全 數據安全分級指南》《金融數據安全數據生命周期安全規范》《個人金融信息保護技術規范》等深入推進。內部審計作為獨立第三方，通過開展數據治理專項審計，對商業銀行的數據安全策略與標準、數據安全等級劃分，數據使用訪問權限控制，數據安全技術等進行檢查，能有效促進各層級數據治理主體提升合規意識，在法律規范框架下開展數據治理工作。

4.2 客觀開展審計評價，促進數據治理持續改進

數據治理涉及范圍廣、流程長、影響面大，是一項需要長期推進、持續開展的工程。當前，商業銀行數據治理工作不同程度地推進到攻堅期和深水區，許多痛點問題逐漸顯現，迫切需要解決。即使一道防線、二道防線建立了自我評估機制，如何自我剖析、主動發現、協同解決這些難題，仍道阻且長，面臨重重困難。作為第三道防線的內部審計部門，既熟悉商業銀行的整體情況，又能獨立客觀開展審計監督和評價工作，在推動數據治理難題解決上將發揮重要作用。內部審計部門對商業銀行數據治理工作評估，包括對數據治理工作開展情況的再評估，對第一、二道防線管理措施有效性的再評估和數據治理整體有效性的再評估。通過全面發現存在的痛點問題，如流程薄弱環節、數據管理漏洞、數據標準缺陷、數據質量問題等，深入挖掘問題根源，客觀梳理職責分工，推動數據治理相關部門加強協同、深化合作，共同解決治理難題。同時，建立閉環式整改跟蹤機制，促使相關部門及時采取措施整改落實。通過有效發揮審計的問題揭示和鑒證評價功能，不斷提高商業銀行數據治理水平。

4.3 主動開展審計咨詢，促進數據治理價值提升

根據《商業銀行內部審計指引》規定，內部審計部門不直接參與各項經營活動，但有權獲取與審計有關的信息，列席或參加與內部審計職責有關的會議、培訓，檢查各類經營機構的各項業務和管理活動。內部審計部門通過全面獲取全行數據在內部控制、業務經營和風險管理中的數據運用情況，結合數據治理監督評價工作，充分利用自身專業優勢，主動提出審計咨詢建議，促進數據治理價值提升。內部控制方面，督促商業銀行識別內控缺陷，完善內控機制，量化影響程度，不斷提升內控有效性。業務經營方面，促進商業銀行加強數據積累，深挖數據價值，創新業務產品，精準服務客戶，提升經營質效。風險管理方面，推動商業銀行充分運用數據分析，合理制定風險策略，持續改善風險管理方法，提升風險管理體系的有效性。

5 內部審計賦能商業銀行數據治理的工作方法探究

內部審計部門在賦能商業銀行數據治理工作過程中，應不斷探究工作方法，充分發揮審計價值，促進數據治理工作增值創效。筆者結合自身實踐，提出3個方面的工作思路，分別是營造良好的審計監督環境、全面推進數字化審計轉型和建立體系化監督評價模式。

5.1 營造良好的審計監督環境

良好的審計監督環境是順利開展內部審計工作的基礎。一方面，內部審計部門應由商業銀行董事會垂直管理，董事會應為內部審計工作提供必要保障，確保內部審計體系的獨立性。加強審計委員會的作用，探索設立總審計師或首席審計官，做好內部審計部門與工作合作部門之間的順暢溝通和關系融洽，確保內部審計工作的有效性和權威性。另一方面，商業銀行應當加強頂層設計，搭建董事會、監事會和高級管理層全面參與的數據治理架構，明確數據治理第一、二、三道防線的職責邊界。與數據治理工作相關方，就內部審計部門在數據治理中的工作模式和推動作用達成共識。

5.2 全面推進數字化審計轉型

商業銀行數據治理工作在給內部審計帶來新挑戰的同時，也為內部審計的轉型發展創造了前所未有的機遇。內部審計部門應主動應變，充分運用數據治理成果和大數據技術，全面推進數字化審計轉型。依據企業級數據治理規劃，制定內部審計數據管理和使用規劃，與企業級數據治理同步推進。規劃初期，立足審計視角，在盤點全行數據資產的基礎上，全面梳理內部審計工作的內外部數據需求，建成審計專用數據集市。規劃中期，引入企業級技術平臺工具，強化數據應用，開展數據治理相關的數據分析、模型開發和指標建設，以數字化方式開展數據治理審計工作。規劃末期，引入文本分析、語言識別、圖像挖掘、知識圖譜等創新技術，聚類分析、神經網絡、深度學習等智能算法，搭建體系化數據治理分析框架，模型體系和監測體系，使數字化貫穿數據治理審計全流程。

5.3 建立體系化監督評價模式

近年來，監管部門不斷強化數據治理監管要求，通過對商業銀行開展監管數據質量檢查工作，發現監管數據報送和數據質量中的違法違規行為，并加大處罰與整治力度。內部審計部門作為商業銀行內部防線防控的第三道防線，應緊跟監管環境變化，以監管要求為基礎開展數據治理審計工作。由于數據治理體系涉及的難題多、內容廣、范圍大、流程長，數據治理審計作為創新審計領域，形成規范化、體系化的模式需要較長周期。建議按照專項審計、定期評價和咨詢服務的順序逐步推進，分階段實施，最終形成以審促治，審治并舉的良性循環和閉環機制。專項審計方面，應兼顧全面性和重要性，全面覆蓋數據治理架構、數據管理、數據質量控制和數據價值實現四大項內容，重點審計治理體系、數據質量、交叉驗證和業務流程等監管關注事項，及時發現存在的問題。定期評價方面，數據治理相關機構按季向內部審計部門提供過程性材料和階段性成果，內部審計部門與數據治理規劃對標對表，縱向與前期成果比對分析，橫向各部門、分支機構間比對分析，并跟進前期問題解決情況，出具評價分析報告。咨詢服務方面，內部審計部門充分運用各類數字化技術和智能化算法，發現潛在的風險隱患，實施前瞻性預測分析，形成數據治理工作建議和咨詢報告，為高級管理層決策提供依據。

6 結語

商業銀行數據治理的目標是實現數據資產的統一規范管理，高效穩定運行，深挖數據價值，促進業務穩健經營和持續發展。本文從內部審計視角對推動商業銀行數據治理實施，實現數據治理目標的工作模式進行了分析，工作方法進行了探究。銀行業金融機構在數據治理審計監督工作中可以借鑒運用上述工作模式和工作方法，并根據自身業務發展和技術創新持續完善改進。

【參考文獻】

【1】程廣明，劉小茵.從關鍵詞角度解讀《銀行業金融機構數據治理指引》[J].科技與創新，2018（17）：18-21.

【2】楊穎.基于審計視角的商業銀行金融數據治理和個人信息保護[J].現代營銷，2022（02）：12-14.

【3】孫新波，王昊褕.數據治理：概念、研究框架及未來展望[J].財會通訊，2023（14）：21-28.

【4】許瑞填.以實施EAST數據標準為契機促進銀行內部審計信息化[J].金融科技時代，2015（9）：54-55.

【5】劉海飛，張明霞，陳衛兵.數據治理及其在商業銀行的應用對策[J].金融縱橫，2019（12）：81-87.

【6】陽杰，應里孟.國家治理體系下大數據審計理論框架研究[J].財會月刊，2022（08）：104-111.

【7】中國銀行保險監督管理委員會.2018：《中國銀行保險監督管理委員會關于印發銀行業金融機構數據治理指引的通知》，http：//www.cbirc.gov.cn/cn/view/pages/governmentDetail.html？docId=271757&itemId=861.

【8】鞏雪，張紅兆，石喬生，等.大數據背景下商業銀行內部審計監督全覆蓋實現路徑研究[J].中國內部審計，2020（9）：28-33.