如何利用数据这一商业银行最重要的资产之一,来开展有效的分析和挖掘,从而促进管理并提升企业价值,是目前大多数商业银行所面临的重要挑战之一。本文将从数据资产管理及数据分析的角度,阐述如何建立科学的数据管理体系和如何通过数据分析实现IT风险管理的标准化。
近二十年来,以数据大集中为标志的信息化变革席卷了整个银行业,中国银行业迈入了信息化时代,逐步实现了运营的集约化、管理的现代化和服务的电子化。在银行业高度信息化的同时,盈利水平和发展规模也在不断扩大,积累的客户数据、交易记录、管理数据等呈爆炸性增长,海量数据席卷而来,同时与之相关的IT风险也逐渐暴露。银行IT风险的管理是商业银行风险管理或不可缺的内容,由于IT风险的成因多样,银行信息系统的多样化,造成了IT风险识别、度量和监测的难点,往往在IT风险事件真正爆发时,通过事后原因分析才能发现和定位IT薄弱环节。银行亟需认识到海量数据中蕴藏的金矿,将数据提升到银行的重要资产地位,通过数据来发掘和定位自身的IT风险源,推进IT风险管理的标准化。
用数据提升IT风险管理的精细度。随着银行业务转型及精细化管理的推进和深化,涉及资产、负债、客户、交易对手及业务过程中产生的各种数据资产在风险控制、成本核算、资本管理、绩效考核等方面发挥着重要的作用。银行传统的IT风险管理往往通过信息科技治理、信息科技风险管理、开发管理、运维管理、业务连续性管理和外包管理的框架来识别相关的IT风险和控制措施,监控风险薄弱环节,通过数据积累和数据分析,银行可以在分析本行客户和业务数据的基础上确定最合适的目标系统的客户交易习惯及系统平均交易量和交易峰值、系统状态,进而监控相关业务条线的IT风险。因此,数据资产直接关系IT风险管理的精细化水平,也是银行开展业务多元化、多方面分析的基础。
用数据实现真正的全面IT风险管理。国际上,新巴塞尔协议对银行数据的广度、深度以及数据的完整性、准确性等方面提出了明确具体的要求,并将数据质量纳入操作风险的计量范围之内。在国内,各大监管机构也对银行提出了信息披露的要求,如资产负债表、利润表、统计报表、经营管理资料等。数据资产不仅是满足外部日趋严格的监管要求的客观需要,更是银行有效防范金融风险的必然要求,只有掌握全面的、权威的、合规的风险基础数据,才能准确地计算加权风险资产、构建风险模型、及时了解业务非正常变动、了解IT相关的非正常波动,跟踪影响因子情况,将IT风险的影响程度最低化,从而更有效地防范IT风险。
在国内银行业加快转型发展的今天,如何最大化数据战略性资产的价值,已成为各家银行能否抢占先机、赢得优势地位的重要因素。具有前瞻性思维的领导者应着手积极打造其海量数据在IT领域的运用能力,通过数据开辟IT风险管理的科学领域。
数据作为现代银行的战略性资产,如何管理好数据、应用好数据、挖掘数据价值等数据管理工作,已成为银行提高科学决策水平、实现精细化管理、促进业务创新和满足监管要求的重要基础工作。但是,目前国内银行普遍面临数据质量不高和数据支持决策的能力不强等问题,导致数据远未发挥其应有的价值。因此,数据问题已经成为银行提高竞争力的巨大障碍,主要表现在五个方面:数据管理职责不清、数据需求难以满足、数据标准不统一、数据质量不高、数据安全性不高。
监管部门一直高度重视对银行业数据管理工作的监管力度。在“十一五”期间,银行的数据管理工作重点是数据仓库的建设和数据集中,到了“十二五”期间,银行的数据管理工作重心应转向数据的治理和数据的价值。此外针对数据治理管理,银监会还专门出台了《银行监管统计数据质量管理良好标准(试行)》及实施方案,对数据质量管理的各个环节和内容提出了明确要求。借此契机,目前大中型商业银行已实现了数据的集中化,通过数据统一管控平台和数据治理在银行内部实现了基础数据的标准化和数据质量的提高,正在通过建设多样化的数据应用加快对数据的应用。2015年10月最新颁布的“十三五”规划建议中也提出:“实施国家大数据战略,推进数据资源开放共享。”数据标准化、数据资源的开发共享、数据的深化应用将是未来商业银行数据管理的趋势。
为了有效解决数据问题,满足监管机构的要求,银行需要大力加强数据管理体系建设,着力解决业务、数据、技术三方面的分工与协作体系,为管理决策、业务经营、信息披露提供准确、快捷、全方位的信息服务,从而促进数据资产价值最大化,推动银行核心竞争力的持续提升,为银行的IT风险管理提供良好的数据质量。数据管理体系的实施过程应重点关注以下五大任务。
建立统一的数据规划目标。数据规划是数据管理体系的“指南针”。它是根据业务对
数据产生的需求,对满足业务应用的数据进行统一规划和协调管理,对现有数据和未来计划需求的数据进行前瞻性的管理工作,使数据能够适时地满足外部监管和信息披露以及内部经营管理、分析和发展目标的需求。数据规划的核心工作是针对数据生命周期的各个环节,提出相应的管理策略和原则,用以指导数据需求管理成果的落实。数据生命周期规划既需要针对数据应用制定方向性的策略,也需要为每个数据项指明对应的处理方法。
建立科学的数据管理工作机制。数据管理工作机制是数据管理体系的“奠基石”。数据管理工作机制的建设依赖于银行高层管理人员的重视和不断推动,同时也需要建立相应的数据管理机制的决策和控制机制。有效的数据管理需要明确专门的部门或组织承担整个银行的数据管理和应用职责。该组织负责从战略的角度进行统筹和规划,确定数据管理的范围,明确数据资产的归属、使用和管理等流程,明确数据管理的组织、功能、角色和职责,以及确定数据管理的工具、技术和平台等内容,切实有效促进数据共享、提高数据价值。国内大型商业银行已开始成立隶属于总行一级部门的信息中心或数据管理部,号召用数据来引领业务的发展。
建立统一的数据标准规范。数据标准规范是数据管理体系的“粘合剂”。它是改进、保障和提高数据质量的依据,也是数据管理工作成败的关键。数据标准化指为促成数据标准的形成和使用而进行的与之相关的一整套数据标准规范,即制定和实施数据标准、提高数据管理水平的过程。数据标准的制定需要参考行业监管和标准机构制定的数据标准,同时也应参考各个部门内部使用的特定数据的定义,制定出数据标准体系框架,可以分为基础类数据标准、业务类数据标准和应用类数据标准等,并在此标准基础上进行细分。在数据标准体系框架下,通过对数据标准的梳理工作,以在业务属性和技术属性层面实现全行的数据标准化。近年来,很多商业银行也通过建设统一数据管控平台,进行了数据标准化体系,建立了元数据管理、通过数据血缘分析工具保障了基础业务数据的统一标准。
建立持续的数据质量管理规范。数据质量管理是数据管理体系的“助推器”。它是对支持业务需求的数据进行全面的质量管理,保障各项数据管理工作能够得到有效落实,达到数据准确、完整的目标,并能够提供有效的增值服务的重要基础。数据质量管理包括数据质量管理团队建设、数据质量管理制度建设、数据质量管理流程建设以及数据质量管理监控平台建设等,其中,数据质量管理监控平台建设至关重要。在数据统一管理的框架下,银行需要依据数据在数据生命周期的各个阶段的特性,建立数据质量管理监控平台,及时发现数据质量问题,不断改善数据的使用质量,降低数据质量导致的业务风险,实现数据更大的应用价值,满足业务分析和管理决策的需要。近年来,伴随银监局发起的“夯实统计信息基础,提升银行业数据质量”的竞赛活动和良好数据质量现场检查工作,诸多银行从制度到流程启动数据质量的全面梳理核查,初步建立了符合监管要求的数据质量管理体系。
建立完善的数据安全防范规范。数据安全防范是数据管理体系的“防护罩”。近年来,银行业有关数据泄露的事件时有发生,如何保障数据不被泄露和非法访问,已经成为数据安全管理非常迫切的问题。随着云平台在商业银行IT架构的广泛推广和应用,未来云平台数据的安全性将是未来商业银行面临的难点之一,需要商业银行通过加强数据全生命周期的管理、增加数据防泄露措施、强化数据的灾备建设,建立统一的数据安全审计工具来保障云平台的数据安全性。
数据分析是指一整套技术、流程与应用工具,通过建立分析模型对数据进行核对、检查、复算、判断等操作,将样本数据的现实状态与理想状态进行比较,从而发现潜在的风险线索并搜集证据的过程。在实际应用中,数据分析可帮助银行做出判断,以便采取适当行动。因此,数据分析的过程就是组织有目的地收集数据、分析数据,最终使数据实现资产增值。
数据分析的目的是通过透视海量表面看似杂乱无章的数据,进行数据统计、定量分析、解释与模型预测,并通过基于事实的管理,找出隐藏在数据背后的内在规律和风险意义,最终推动整体抉择。目前,数据分析在通讯业、零售业和制造业等行业中已经得到广泛运用,而不少银行也已经建立了用于业务经营分析的数据集市和数据仓库。数据作为银行重要战略资产,在实现完善管理后,实施有效的数据分析是使数据资产增值的最佳方式,也是唯一方式。
数据分析工作流程
一个基于风险导向的银行数据分析工作可以分为五个步骤进行,包括确定分析目标,基础数据收集,数据挖掘与分析,风险点跟踪,数据指标固化。其中,数据挖掘与分析是整个工作流程中的核心关节。
确定分析目标。明确的分析目标是确保数据分析过程有效性的首要条件。执行分析的负责人需要明确具体的业务领域和相应的分析目标,并据此制定整体分析项目的进度计划、资源配置和结果评审等事项。
基础数据收集。有目的的收集数据,是确保数据分析过程有效的基础。分析负责人需要对收集数据的内容、渠道、方法进行策划,根据分析目标确定需要获取的具体数据字段和数据结构,将识别的需求转化为具体的要求。
数据挖掘与分析。完成基础数据收集工作后,便可以展开相应的分析工作。目前主要可以应用的数据分析方式有:数据质量复核;异常特征分析;探索性挖掘分析等。
问题跟踪。在通过分析得出结果后,需要对结果说揭示的问题进行进一步跟踪调查。这同样也是将数据分析结果与客观事实情况进行结合的过程,通过将空洞的数字指标落实为实际的业务问题行为来进一步拓展数据的价值。
数据指标固化。最后对已经确认存在风险的数据特征进行系统固化,通过在数据集市或数据仓库中设置监控阀值,由信息系统对业务数据进行持续的指标性监控,以确保在第一时间发现新增类似风险事件,或者更进一步,将数据分析的结果作为持续IT风险监控或非现场IT风险监控平台的指标。
数据分析方法
目前银行业数据分析比较典型的数据分析方法主要为有以下几种。
数据质量复核。复核分析即以通过重计算和核对的方法对银行数据进行二次校验,以确保数据的完整性和准确性,识别IT系统的薄弱环节。此类数据分析一般存在固定的分析计算方式;数据分析范围也以抽取样本的方式确定;对于分析工具的要求也可以根据需要计算的样本量选择电子表格或者小型数据库。是银行数据分析的基础类型。
异常特征分析。即根据数据中特定字段的相应特征,分析和筛选存在异常和风险的内容,识别IT的阈值,并对结果进行进一步的跟进。分析对象主要包括异常计结息、异常大额交易、存贷款账户异常波动、系统间处理的交易峰值等。此类数据分析主要建立在确认存在风险的特定数据字段的基础上。数据分析范围一般根据测试期间的要求,选择一季度或一整年的全量业务数据。而数据分析工具则需要随着数据量增长的需要引入大型数据库来容载分析数据。该类分析可以有效识别出正常IT架构下系统可容忍的阈值,通过分析已发信息科技风险事件,寻找引发信息科技风险事件的IT风险源。
探索性数据挖掘。探索性数据挖掘分析侧重于在数据之中发现新的特征,作为特征型数据分析的延伸,帮助分析者从看似无关的数据中挖掘出有意义的风险指标。在这种分析中,除了数据本身,还需要引入成熟有效的数据分析模型,结合分析者自身的统计分析知识,综合运用,从而达到“发现数据背后的业务规律和IT风险源”这一目的。这里简要的列示一些常用的数据分析模型,并给出模型适用的具体测试应用项目(表1)。
此类数据分析主要依靠数学模型对数据本身进行规则归纳,并根据获得的规则进行风险判断。数据分析的范围除了测试期间的全量业务数据以外,还需要进一步获取前几个期间的数据作为数据建模元数据;而执行此类分析,所需要的工具除了数据库之外,还需要引入专业的统计分析工具进行数学建模。
通常的数据挖掘分析步骤为:第一,获取历史违约数据并混合正常样本作为训练集;第二,选择合适的数学模型进行数据挖掘,并生成预测规则;第三,使用预测规则对目标测试数据进行分析;第四,更新训练集对预测规则进行完善。
根据银监会《商业银行信息科技风险管理指引》(简称“指引”)的定义,信息科技风险是指信息科技业务在商业银行应用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险,同时明确了商业银行信息科技风险管理覆盖了信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试与维护、信息科技运行、业务连续性管理等内容。传统的商业银行IT风险管理基本基于此框架进行相关的风险管理,但是有效的IT风险管理经商业银行实践证明,目前仍较多依赖于技术规范的事前约束和事后信息科技风险事件的分析与查漏补缺。真正科学的IT风险识别、度量和监测仍是目前IT风险管理的难点。
商业银行可通过数据管控体系的提升、利用数据分析的手段挖掘自身的IT风险源,基于自身的IT架构,定位高风险领域,通过分析客户使用习惯、系统平均交易量、系统峰值和异常交易特征等定位风险阈值,进而推进银行建立符合自身的IT风险管理体系,构建标准的IT风险监控指标和标准化的工具。
随着对数据的管理从仅局限在信息系统层面,扩展到整个银行的业务运营和风险管理流程;对数据的认识,从单纯信息转变为银行的重要资产;数据的作用,从支持业务运营的大后台,走向引领业务发展的最前台。笔者相信:数据,通过对其有效的管理与分析,将会成为银行完善自身、实现增值的重要助推器,同时,也将为银行日常的IT风险管理提供丰富的数据视图,通过数据分析,商业银行可以总结和寻找出适用于自身IT系统架构的IT风险源,建立科学的IT风险识别、度量、监测和管控体系和方法,促进商业银行安全、持续、稳健运行,推动业务的创新发展。