- 如何打造数据治理闭环?以保[2022-06-16]
- 什么样的公司需要数据治理?[2022-06-15]
- “互联网+政务服务”下的数[2022-06-14]
- 我国数据安全治理研究[2022-06-13]
- 反洗钱视角下的数据治理[2022-06-10]
- 浅谈数据质量管理[2022-06-08]
- 做数据治理前,必须了解并避[2022-06-07]
- 企业数据治理团队的十大职[2022-06-06]
- 浅谈数据质量管理[2022-06-02]
- 数据治理的三种共享范式[2022-06-01]
反洗钱视角下的数据治理
大数据时代,反洗钱与数据两者之间的联系更加密切。反洗钱视角下的数据治理,首要解决的是何为“反洗钱数据”,或者说应当如何定义哪些属于反洗钱数据的范畴,并以此为出发点,明确数据治理最终需要达到的目标、开展数据治理的对象,哪些细分维度项下的数据需要被治理,以及数据治理的原则。
数据,需要从业务属性和技术属性两个方面来看。业务维度仅是数据属性的其中一项内容,如果仅从业务视角来探讨数据治理,存在一定的局限性,因此需要结合技术视角,共同组成对数据治理的认识。
本文将从数据治理的最终目标出发,分别从技术和业务两个角度,进一步分析并阐述反洗钱视角下的数据治理。
一、问题的背景
金融机构在日常的业务开展过程中,积累了大量的原始数据,包括身份信息、交易支付、产品服务以及其他相关数据,从反洗钱的视角出发,构成了以“客户+交易”为核心的海量、多样化和异构数据体系。伴随着机构规模以及业务形态的不断演变,尤其是线上化金融服务场景的普遍应用,数据,已然成为金融机构面向未来发展的重要资产。
(一)存在问题
实践当中由于历史沿革、系统渊源、业务背景、流程割裂等多种因素,而造成的存量数据结果缺失、字段值不规范、字段之间存在信息互斥等现象,以及由此产生的数据治理工作,已日渐成为金融机构反洗钱业务管理中的问题之一。
从反洗钱全流程管理的视角,不同业务系统之间的数据共享与协同应用效果欠佳,主要原因在于,由于反洗钱涉及的客户管理、账户管理、本外币支付结算、产品和渠道管理以及最终各单元下的数据管理,分别对应了不同的业务条线,各源头业务系统的初始功能定位、业务导向、架构设计以及覆盖范围均有所不同,从不同的业务、技术和管理维度出发,基于各自的内部逻辑处理数据,导致对于相同字段的处理结果,最终可能分别存储了不同的值,或者仅存储了反洗钱所需的部分数据。不同系统的数据表之间既存在共性数据、也有差异性数据,信息割裂严重。
简而言之,反洗钱管理,如果是横向贯穿了客户以及业务管理的全流程,则必然要求对“数据”层面的管理,一样需要覆盖至全机构,至少要实现机构内部跨系统或者跨平台之间、数据的无缝衔接与流转,下文中将对反洗钱数据治理的顶层设计予以分析和阐述。
(二)定义与理解
狭义视角下的数据治理,可以理解为,仅是对历史形成的错误数据的一种修正,主要指的存量数据的后续整改工作,包含涉及到的数据提取、解析、分配、流转、审批、整改直至最终闭环。
从更广义的视角来看,反洗钱数据治理应当涵盖对数据的认识、分类及应用与管理,数据的修正作为数据管理的其中一个节点而存在。
(三)相关政策
1. 数据治理
《法人金融机构洗钱和恐怖融资风险管理指引(试行)》(银反洗发〔2018〕19号)第一章第六条规定,“洗钱风险管理体系应当包括但不限于以下要素:(一)风险管理架构;(二)风险管理策略;(三)风险管理政策和程序;(四)信息系统、数据治理;(五)内部检查、审计、绩效考核和奖惩机制”。数据治理明确属于洗钱风险管理体系的要素之一。
19号指引第十二条同时规定了,“法人金融机构高级管理层承担洗钱风险管理的实施责任,执行董事会决议,主要履行职责包含:组织落实反洗钱信息系统和数据治理”。第五十六条规定,“法人金融机构应当加强数据治理,建立健全数据质量控制机制,积累真实、准确、连续、完整的内外部数据,用于洗钱风险识别、评估、监测和报告”。
2. 数据接口
中国人民银行关于印发《义务机构反洗钱交易监测标准建设工作指引》的通知(银发〔2017〕108 号)第三章规定,“反洗钱数据接口规范应当成为各业务系统信息采集和数据传输的基础标准之一,数据完整性和逻辑验证应当成为各业务系统信息采集、反洗钱数据传输流程中的基础环节”。
3. 数据检查
中国人民银行关于印发《银行业金融机构反洗钱现场检查数据接口规范(试行)》的通知(银发〔2017〕300号)规定,“自2018年3月1日起,中国人民银行及其分支机构组织实施的反洗钱现场检查项目,被查银行业金融机构应按接口规范提供现场检查所需数据”。
(四)治理目标
数据治理的“最终目标”是什么?
数据,一来可以帮助我们重新审视过去发生的客观现象,二来可以借助对历史数据的分析结合技术手段的应用,预测未来可能的趋势,而当下发生的业务场景及连带而生成的数据本身,正成为“历史数据”而被记载。
反洗钱的三大核心义务最终是为了实现有效预防洗钱和恐怖融资风险,对于数据的应用与分析更多侧重于对“过往”的分析与判断,例如从以往的可疑交易信息当中,识别可能隐藏的洗钱犯罪特征线索,从而达到预防洗钱活动的目标。
因此,反洗钱视角下数据治理的最终目标,至少包含以下两点:
强化业务信息和客户信息的关联监测,促进反洗钱领域数据的有效贯通与融合。
满足监管机构对于反洗钱数据检查的规范和要求。
(五)治理准则
一方面,从促进数据间的有效整合与应用出发,打通不同系统之间、与反洗钱管理相关的数据衔接和调用,首先需要明确反洗钱数据的标准业务含义,其次确立各类型数据的唯一牵头管理部门,例如客户信息的管理、交易数据的管理。强调数据牵头管理的唯一性,其意义在于数据被载入系统后,明确今后的调用、流转及应用的规则,“规则”本身应当具有唯一性。
另一方面,从满足监管要求的数据采集结果出发。从数据的“采集”阶段开始,明确每个数据字段的业务含义,并确定其结果值的唯一性、后续不可篡改性,是反洗钱数据合规管理要求的起点,实践当中,一些历史数据存在瑕疵往往是由于系统控制不严密而造成。
因此,结合上述两个方面来看,反洗钱数据治理的准则,除了清晰界定“数据标准”(业务含义)以外,需要叠加“数据管理”和“系统控制”,三项内容共同组成反洗钱数据治理的基本原则。
(六)应用方式
从广义反洗钱数据治理的视角,数据应用是其中的一个节点,这里对反洗钱数据的应用做一些简要阐述。
数据,在大部分与风险管理相关的业务场景中,是以“组合”的方式加以运用,单一维度的数据往往并不能有效构成对数据的应用。“风险”本身应当是多重维度因素共同作用而形成,洗钱和恐怖融资风险管理也不例外。
例如客户身份信息中的性别、年龄、企业类型、交易信息中的交易金额,这些字段在孤立地被调用时,本身并不会产生实质性风险,而只有在特定场景下,通过一定形式的“组合”,才能共同组成对一些风险特征或现象的认知,例如个人在短期内注册大量贸易类公司、这类公司账户交易金额较大、资金过渡特征明显等等。
在技术视角当中,还有“唯一主键”的概念。唯一主键,例如个人身份证、企业统一社会信用代码证号码,后台在处理“表与表”之间的衔接和转换时,通过这些唯一主键将不同表之间的信息予以关联调用。
二、数据治理
数据治理,从技术和业务两个不同的视角进行分析。
(一)技术视角
1. 数据类型
以Sql语言为例,常见的数据类型包含字符型、数值型、日期和时间型,结合《银行业金融机构反洗钱现场检査数据接口规范(试行)》(银发〔2017〕300号文)来看,对反洗钱数据检查要求的格式为“字符型”和“数值型”两种。
由于在实际的数据流转过程当中,存在后台数据库表中“代码”与“文本”之间的转换,可能导致数据存储或者提取的错误。
譬如个人客户信息的数据提取,以“职业”字段为例,个人客户的职业、存储在后台数据库表中的实际结果可能为“01”、“02”等不同的数字代码,每个数字代码分别代表了不同的职业类型。在后续的数据提取过程中,需要将不同的码值对应的文本进行提取,才能最终满足数据提取的要求。
这里还存在的一个问题是,以个人身份证件种类为例,300号文中对身份证件种类有着明确的定义,例如居民身份证或临时身份证为代码“11”,但是,业务系统的数据库表中存储的身份证件“初始值”可能是“100”、“10100”等各种不同类型代码,因此,在对外部供数时,需要明确对应的系统或者具体的表来源是否正确,哪些是满足反洗钱业务管理要求的,才能保证数据提取的最终准确性。
2. 数据结构
数据格式,包括了结构化和非结构化两种类型。结构化数据主要是关系型数据库中所存储的数据,比如以数据库表形式存储的数据,包括生产系统的交易数据、业务系统的客户信息;非结构数据主要是监控视频影像资料、录音资料、凭证影像资料以及内控制度、文档资料等。
结构化数据,在反洗钱管理当中,如果字段的规则和定义统一,相对来说能够更好地通过技术手段加以治理和应用。而非结构化数据,往往需要借助人工加以识别,例如在可疑交易甄别分析时,对于原始开户资料纸质或电子影像的二次分析与审查。
从数据治理的角度出发,结构化数据更易操作、更可控,而非结构数据,从最终的业务场景应用范围和技术处理难度上来说,投入产出相对较低。
(二)业务视角
反洗钱数据,从业务来看,主要包含“客户”和“交易”两类数据。从顶层设计的角度考虑,这个“顶”究竟应当是业务导向、技术导向还是管理导向?
通俗来说,三个不同的导向主要体现为:
首先,业务导向。反洗钱操作端往往是落地在运营部门,但实际业务中涉及的渠道、产品、客户的归属管理,又分别隶属于不同的部门。即,不同的部门实际主导了不同的数据模块。
其次,技术导向。反洗钱的数据管理,依赖于技术或者科技条线的能力输出,涉及到数据的一些技术性处理以及转换等等往往是落地在科技条线。
最后,管理导向。从反洗钱管理来说,牵头部门往往是合规部门。
因此,反洗钱数据治理的顶层设计,单一部门往往无法承接全部反洗钱数据管理的职责,更多需要多部门之间的协同与配合。结合前述19号指引要求,法人金融机构高级管理层承担组织落实反洗钱信息系统和数据治理的职责,从不同的导向出发,明确数据治理的责任划分和重点工作。
以下仅从反洗钱数据的角度对治理相关工作予以简述。
1. 客户数据
客户数据,从金融机构的角度来看,包括客户身份证件、营业执照、经营范围及场所、联系方式、户籍地址、常住地址、办公地址等静态信息,除了金融机构以外的其他机构,是否可以取得客户的身份信息数据?例如属于客户在行政管理机关登记,国家依法公开公示的信息。从这个角度来说,客户数据更倾向于一种“非金融”属性的形态而存在。
现实当中,客户数据往往也是反洗钱数据治理的重点区域。其推进的难点在于,一些数据难以在现有的技术能力和资源条件下实现整改,并且还存在一种矛盾的状态,即一边整改、另一边在持续灌入错误数据。
对于客户层级数据的治理,机构内部首先应当确认“客户”归谁管,在此基础上,确认“客户数据”的牵头管理部门,并在严格信息保密的前提下,通过整合内外部资源,发挥各自所长,合力推进这部分的数据整改,并从长远角度衡量,在统一数据标准之下,通过系统控制尽量从源头上规避错误数据的生成。
2. 交易数据
交易数据,包括客户通过各类渠道进行交易的时间、金额、用途以及对手方、账户余额、交易过程中的联网设备IP地址、设备ID等数据。交易数据属于金融机构特有数据,这部分数据是在金融体系内生成并存储的数据。交易类数据在初始采集阶段即具有很强的最终准确性要求,因此,狭义的数据治理通常不会涉及这一类数据。
三、结语
反洗钱数据治理,核心需要明确的是“数据”在整体机构项下的标准定义,同一字段的业务含义应当具有唯一性,尽量避免不同人员理解上的差异。在此基础上,根据不同业务管理的起源,锚定数据的源头管理部门,在保证信息安全与数据保密要求下,确保从数据的进入、流转、输出到最终应用的一致性,达到数据治理和有效应用的最终目标。