反洗钱数据治理的实践与对策

1、快速导读:随着严厉打击金融犯罪成为全球金融监管的共识，近两年来中国人民银行（下简称“人行”）对于我国金融机构的反洗钱要求不断提升。但金融机构在合规方面仍有较多不足，以至于2019年末和2020年初以来，国内多家股份制银行、外资行以及非银金融机构密集受到处罚，个别罚单的金额甚至破纪录地超过千万元人民币。总结这些被处罚个案的经验教训可见，良好的反洗钱合规离不开相关系统的支持来完成有效的监测，而行之有效的反洗钱系统则离不开良好的数据基础作。从这个意义上，做好反洗钱数据治理工作，并不只应该是“亡羊补牢”，而更应该做到“未雨绸缪”。每家金融机构反洗钱合规工作的质量，也牵涉到整个国家的金融安全。我们看到反

2、洗钱数据治理工作的行业实践主要存在以下几点趋势：传统的反洗钱监测工作通常发现监测数据出现漏洞太晚，会很大地拖累反洗钱合规的有效性和效率。金融机构需要及早地发现和解决数据问题，“数据为先”的思路可以让金融机构在战略性实现反洗钱合规战略时抢占先机特别是要实现搭建或改进反洗钱系统架构等重要而费时的目标之际。使用反洗钱专项数据集市或数据池来关联原始数据及目标系统建立数据架构和模型的方法，可以让合规数据治理更有的放矢。自动化和可视化技术的引入，让数据治理框架下周期性地进行数据校验和数据改进工作不再成为数据管理者的“老大难”问题，让数据导向下的风险决策更加透明和高效。“数据为先”加速提升反洗钱合规管理工作

3、的战略转型在一个传统的反洗钱合规流程中，数据问题往往在 最终进行案件审阅或监管上报的时候才被暴露出来。反洗钱分析员将数据问题汇报给系统开发人员，此 时再进行纠正的成本高、效率低，很多时候的补救 手段也只停留在“临时补丁”程度。合规人员发现 他们经常都在修正错过的数据需求，基于残缺的数 据做风险决策，或者对补救数据问题疲于奔命。随着监管压力的不断增强，建立一个有效的反洗钱 管理需要合规决策者不断把握新的反洗钱形势，对 多元化的信息和数据进行加工处理后快速做出应对。可想而知，如果提供来做决策的数据质量都无法保 证的话，反洗钱合规管理工作的有效性和效率都会 大打折扣。使用一个“数据为先”的方法去管理

4、反洗钱合规工作的几大好处是：提前建立健全反洗钱合规数据治理架构，确保数据治理资源配置，明确管理层、合规部门、业务部门及其他如科技等职能部门的工作职责，制度化地管理数据，最终实现数据价值最大化；在反洗钱监测周期的较早阶段发现当前数据范围与需满足监测的业务需求之间的差距，确保未来业务需求的实现都是基于完整的数据基础之上；通过尽早建立数据质量标准，完成数据校验，改善数据质量去增强后期模型监测的可靠程度，也减少后期模型开发及维护的成本；很多金融机构都在探索应用前沿科技管理反洗钱合规工作，这对高质量数据的需求日益增大。夯实反洗钱各流程中的数据基础，对能否实现科技赋能合规管理的战略至关重要。银保监会于20

5、18年发布了银行业金融机构数据治理指引数据治理指引明确要求银行业金融机构应当制定数据战略，建立数据治理架构，完善数据标准化规划以及数据质量控制机制，推动数据价值实现。对于反洗钱合规工作，监管更是明确对金融机构要求要加强数据治理，建立健全数据质量控制机制，积累真实、准确、连续、完整的内外部数据，用于洗钱风险识别、评估、监测和报告。为了应对监管要求，我们认为金融机构的反洗钱数据治理工作应该包含下面六大维度：数据治理战略数据需求治理架构治理框架六大维度变更机制数据质量科技和架构治理架构制定数据管理标准搭建相关政策框架合理设计的管控手段理清相关部门和职责数据质量对于数据质量问题的定量分析关注在关键数据

6、元素上跟因分析和结合反洗钱管理范围的影响性分析，最终决定整改优先级持续地跟踪质量问题解决进度数据需求对标监管要求（如人行现场检查数据接口要求）覆盖反洗钱合规管理的全流程的主数据、交易数据、参考数据等等编写合规数据需求书或数据字典数据治理战略与反洗钱系统联动的数据提升愿景项目实施计划书科技赋能业务需求的战略把握创建满足合规要求的数据提升案例科技和架构确定从源头到目标的最佳数据架构科技（大数据、自动化、可视化等）的充分应用赋能数据管理工作数据管家、用户和含科技团队的其他关键参与人需要通力合作变更机制转换为一个以信息为导向的管理模式问题和变更的跟踪沟通和汇报机制数据管理成熟度分析 治理框架数据管理成

7、熟度管理要素1 基本的2 标准的3 合理有效的4 动态的治理机制未建立合适的反洗钱数据治理机制建立非正式的反洗钱数据治理机制以应对数据架构、配置和使用的变化已明确数据治理机制，并得到相应的传达和监督配合企业级数据治理，反洗钱数据治理的机制嵌入银行的战略和实操愿景管理层支持未从高级管理层获得数据治理的授权个别业务部门按需将数据治理嵌入该业务流程中高级管理层要求将数据治理嵌入到较全面的反洗钱合规流程中高级管理层充分接受数据治理的需求，并将该要求嵌入业务目标、全合规流程和公司价值观中数据所有权和组织架构未明确数据所有权和数据维护组织已明确基本的数据所有权和数据维护组织，组织不定期召开会议已明确数据所

8、有权和数据维护组织，包括具体的职能职责，并组织定数据所有权由所有者网络（含合规和各业务条线）构成，并且所有关期召开会议键数据领域的管理职责得到良好的执行数据政策及程序未建立合规相关数据政策已建立合规相关数据政策，并得到传达合规数据政策的遵守通过人工过程来执行和监督合规数据政策的遵守通过自动化的过程来执行和监督沟通机制未建立数据或数据问题的沟通机制数据和数据问题仅和受到该问题影响的人员沟通数据和数据问题和所有数据相关者进行充分沟通数据和数据问题嵌入到公司各种沟通媒介中，而且在数据治理环节得到广泛监督和跟踪数据管理成熟度分析 数据、流程和科技数据管理成熟度管理要素1 基本的2 标准的3 合理有效的

9、4 动态的数据标准和定义反洗钱合规相关的数据标准和定义（词典）未建立或未传达到数据使用者反洗钱数据标准和定义仅限于合规部门内部知晓，也未对其修订制定正式的程序；各应用、业务部门有各自的数据定义反洗钱数据标准和定义 从合规部门传达至各应 用和业务部门，且对其 修订有建立正式的程序；部分关键数据领域有界 定范围的标准反洗钱数据标准和定义 在合规部门、业务部门 及IT部门得到充分沟通，且对其修订有建立正式 的程序；所有关键数据 领域都有清晰的界定和 定义数据优先级未建立数据优先级，或者不知道基于什么标准去建立数据优先级关键反洗钱领域建立数据优先级关键数据视图识别贯穿整个反洗钱合规周期关键数据视图元素

10、识别贯穿整个反洗钱合规周期，优先级考虑监管要求和自身业务需求元数据管理未采集和管理元数据元数据的采集和管理方式并不一致，且不对用户可用元数据以集中方式进行采集和管理，且对所有用户可用跟踪流程和业务规则的变化，持续审查和提高元数据管理数据质量未检查数据质量以项目为基础对数据质量做有限的检查定期评估数据质量，数据质量的标准和规则符合企业数据治理标准，但未对反洗钱工作特性做定制持续评估数据质量以满足全面的反洗钱合规需求；利用自动化手段去管理数据质量检验工作数据管理技术未建立合适的数据管理工具数据管理者通常使用电子表格作为数据管理工具业务和科技部门协作提供部分自动化技术支持数据管理和数据质量管控流程业

11、务和科技部门建立合作关系提供合适的数据管理工具以满足反洗钱合规的全面数据要求哪些东西是要在数据治理框架被管理的？反洗钱数据治理要管理的东西并不是新的，这些要素都是在企业级数据治理的大框架也需要被关注的。只是反洗钱数据治理会在数据的用途、来源、流向、业务影响等诸多领域进行深挖，在考虑合规工作的需求前提下，充分发掘数据价值。原始数据 主数据、参考数据、交易数据如何在源头被找到。在传递给下游反洗钱系统使用的时候，原始数据也将会被保留。业务问题 定期询问的反洗钱合规问题、外部监管汇报要求、内部管理者汇报需求以及由此产生的报表、仪表盘等等信息来源 当如监管要求或企业内部业务变更造成的信息增加或删除影响数

12、据需求时，该来源的信息如何接受和处理数据定义描述和清理 集中管理反洗钱数据定义和清理规则，包括数据清理的负责人、范围、时间及方法数据流向 数据如何从源头准确和完整地移动到反洗钱生态系统，以及中间数据如何提取、转换和加载存储转化和计算例行程序 将数据进行总结、计算、变换等处理转化成可使用的信息，包括转换的工具和程序用途 反洗钱数据的用途被持续性地审阅，通过数据用户反馈去管理数据覆盖全面性和确定优先级数据架构和关系 用来管理反洗钱合规用途为导向的数据视图及数据间的关联关系规则数据质量 如何定义数据质量标准和数据质量检验规则，及管理好科技手段去加速这样类型的校验工作的执行数据安全 对信息使用者进行安

13、全授权、访问控制和审核，无论是对程序或人员记录日志 用来管理数据和信息源的留痕情况，以及存储和管理这些数据、信息的程序透明度 及时更新流程文档，包括数据和信息的日常维护、计算、规则、变换、总结和展示等搭建合理的数据架构和模型一个典型的反洗钱数据架构用户界面区案件管理管理报告用户通过外部界面，连接功能区和数据 分析区商业智能监管报送用户界面区 - 采取严格权限设定管理和灵活设置，实现用户对系统数据和功能的合理横向、纵向访问。(大)数据分析区功能单元利用一系列的分析工具增强了业务人员对自身数据的了解和应用场景报表分析自动化人工智能图像数据库仪表盘反洗钱功能区根据不同的业务功能，将原始数据从唯一数据

14、源抽取映射加工客户风险评级名单筛查可疑交易监测监管上报反洗钱用户通过反馈机制，对源数据源进行重新发布或修正数据分析区 - 自主监控和管理，可随着业务量和访问模式的变化，自动对资源进行调度以及 自身数据分析的复杂程度，调整，保证自身的稳定。功能区 - 模块遵循自治原则，可独立运行、监控和部署。模块所需数据，处理过程，扩展能力聚合成标准接口，再从统一数据源来获得所需数据。统一数据源 (数据集市/数据池)重发布数据原始数据统一数据源 - 行业多使用数据集市/数据池作为统一数据源，这样实践优势在于能够最大化的重用数据，提高数据应用的运筹效率，同时保证同一数据具有唯一可信源。源系统所有未加工的和来自源系

15、统的数据，均加载入统一数据源区域未加工原始数据搭建数据模型好的数据模型具有确认的统一数据源，增强了数据引用的有效性，提升了数 据利用效率，减少重复引用异源数据 情景；根据涉及主体(客户、账户等)进行划分主体类别划分梳理相关主体间关系主体关系梳理数据模型需灵活对应不同应用需求，并通过需求的长期积累，进一步增强数据响应效率；模型应用可从反洗钱应用扩展延伸到企业级水平，适用不同部门（比如合规、风险和业务部门）的多种业务需求，切合部门间统筹管理和规划，实通过测试的数据模型进上线行部署上线实施技术开发后进行单元、测试集成、用户验收等测试表群收集数据模型字段定义开发字典构建收集主体的对应表群定义表内字段、

16、字段类型及释义现全行战略部署。根据构建的字典需求进行开发根据定义的表和字段，梳理关系，构建字典 数据质量标准和检验的行业实践在确定反洗钱合规相关的关键数据元素后，就可以对关键数据元素及相关属性开展数据质量检验。检验的目标和关键任务如下：明确数据质量测试规则，和信息科技部门协同开发数据校验的执行工具分析数据测试结果，识别未遵循数据标准的数据问题及其涉及范围（最好是基于统计数据的定量分析）识别产生数据质量问题的根源。领先实践是解决根本原因，而不是采取治标不治本的捷径。当然，同时也要评估问题 的影响以更好的确定数据补救措施的优先级制定数据清洗或整改策略，包括谁负责清洗数据，在哪里清洗数据，怎么清洗数

17、据以及需要花多少时间清洗数据验证数据整改策略的有效性并整合进未来反洗钱系统优化的计划中，这些策略要能和两个流程相支持匹配寻找合适的且可扩展的技术基础设施，例如评估工具、科技和应用层面的需求，投入技术和相关培训以填补发现的空缺等数据质量最佳实践数据质量工作必须考虑人力、流程和技术的现状“风险为本”的思路可以帮助更好地分配自身资源必须开发可重复的流程并通过技术使治理规则得以自动化自动化程序和规则可提高结果的准确性，减少所需的人工工作，且可用于将来的数据质量工作“切忌好高骛远”识别与反洗钱工作密切相关的关键数据元素，将数据质量工作集中在合规风险影响最高的数据上尽可能从源头上解决错误根本原因分析对维持

18、数据质量水平至关重要 了解错误发生的原因利于从增量数据管控上采取措施，防止其重复发生建立衡量数据质量好坏的KPI和基准线，并开发自动化的监督工具和程序来可持型性地跟踪数据质量。经验教训数据治理工作如果没有业务的参与注定会失败需尽早且经常引入业务条线的数据管家参与到数据治理工作团队识别数据需求过晚会直接影响反洗钱系统建制需求的确定缺少科学的数据治理组织架构会难以长期有效地维持数据质量数据整改可能会花费比预期更长的时间，要相应地制定计划治理自动化程度越高，效果越好人工操作容易出错且不可重复数据质量检验的概括性执行流程以下是反洗钱数据治理的数据质量检验工作的几个基本步骤。金融机构可以根据自身特点灵活

19、地执行这些步骤，以提升系统化管理反洗钱数据质量的效率。业务元数据1反洗钱合规业务需求1.1识别关键业务元素1.2定义关键业务元素1.3创造关键业务元素按数据质量优先级排列的关键业务元素3.1流程层面映射按关键业务元素排列的关键数据元素关键业务元素2技术元数据2.3关联关键业务元素和关键数据元素2.2创造关键数据元素2.1识别和定义关键数据元素数据映射和沿袭3反洗钱数据质量优先级 / 关键业务元素分组流程、系统、数据层面的数据沿袭关系3.3关键数据元素层面映射3.2系统层面映射数据质量业务检验规则4关键业务元素4.1定义业务层面数据质量检验维度和规则按关键业务元素排列的数据质量业务检验规则数据质

20、量技术检验规则数据质量业5务检验规则5.1描述和定义技术层面数据质量检验规则5.2定义关键数据元素层面数据质量检验规则，并准备校验工具关键数据元素层面数据治理技术检验规则数据质量度量数据质量6技术检验规则6.1在确定的工具下开发和执行数据质量规则对应脚本，并分析数据质量结果数据质量自动化检验 &数据质量结果检验结果7.1创造和发布数据质量评分卡，评估数据问题的反洗钱合规性影响数据质量可视化仪表盘 &影响性分析数据质量评分卡数据质量78反洗钱数据质量问题补救（优先级排序和跟踪补救的执行）数据为先”的应用案例背景和挑战面对着日益增强的监管压力和逐渐复杂的潜在风险情景，银行等金融机构往往疲于应对，力

21、不从心。伴随着业务规模不断扩展，长此以往的工作方式也不断接受着冲击，效率和效果的提升迫在眉睫。系统升级、模型调整、流程优化等需求层出不穷，其中涉及诸多部门，推行起来也困难重重。在银行客户A最近一份季度报告中，监管部门特别指明了对于数据治理的控制需增强，其内部审计和模型验证的部门也都提出了对于强化数据治理要求。“数据为先”，更是效率为先06应对方案此银行客户遵循我们“数据为先”的改进建议进行着相应的变革：首先建立了合规牵头的数据治理职能，包括数据治理政策及章程，建立常态化数据治理流程（如周期性执行数据质量检测）以此满足监管对于反洗钱长期监控的要求，并且有益于可持续性的数据健康；在面对种种合规需求

22、，以数据治理管理负责人牵头，汇总梳理需求，并识别出需求中涉及的关键数据元素。针对梳理的相关业务元数据和技术元数据，编写了数据字典及确定了数据的优先级；定义了数据质量标准，安排校验专员进行测试工作，同时安排可视化专员开发校验结果展示面板，用于方便分析校验结果，快速进行信息传递和决策；针对校验发现的数据问题，展开与相关责任的部门的研讨，分析问题原因和解决建议，并将责任落实，推进方案实施；最后，在持续数据治理方面，利用可重复使用的自动化校验脚本和可视化面板工具极大地缩短周期性的校验工作时间，长期进行数据治理工作。持续的数据治理05校验测试&问题分析“数据为先”的策略不仅使得金融机构在面对众多需求从容

23、不迫，同时能够通过长期不断积累，进一步增强反洗钱合规部门和其他部门配合工作的效率。数据沿袭和数据质量标准搭建04梳理需求01识别关键数据元素03识别业务数据02 金融机构的应对策略根据我们观察到的行业实践，优秀的金融机构首席合规官以及反洗钱合规人员基本都采用了我们所说的“数据为先”的应对策略去管理反洗钱相关数据：数据需求和数据字典数据需求和关键数据元素（Key Data Elements或简称KDEs)的识别是反洗钱数据治理工作开展的第一个重要步骤。数据需求的提取需要考虑到监管要求、业务需求和其他行业领先实践。监管要求是需要金融机构在确定数据需求时候首先需要的要素。除了数据治理指引提纲挈领地描

24、述了对数据完整性的要求以外，监管对金融行业反洗钱数据准备工作也是有明确指示的。比如对于银行反洗钱现场检查提出数据接口规范要求（俗称“300号文”），里面明确定义了银行反洗钱相关的KDEs。而对于非银行支付机构、证券、期货、保险机构，监管也有相应的反洗钱检查的数据准备要求。金融机构的内部合规业务需求也需要进行充分考量。通常来 说，金融机构合作的反洗钱系统厂商应该要提供一个数据需 求字典来讲解其反洗钱系统及相关模型的输入和输出数据的 规格。如果银行的反洗钱系统为自主开发，参与开发的合规 业务人员和IT部门应该共同维护这样一个数据字典文档。特 别是考虑到人员的流动和知识的传承，假如这样类型的文档 现

25、在还不存在，赶紧向您的系统供应商询问或自己创建一个。当前和目标状态的差异分析是一个金融机构从自身的数据现状入手，广泛征求数据使用者和专家意见进行自我验证的过程。其目的是为了识别和记录是否存在多个途径去提升当前数据范围的覆盖程度，亦或者认识要达到目标状态确实存在短期内无法弥补的缺口。如果是后者，这可能需要反洗钱系统的开发人员对系统或模型需求进行相应的调整。比如银行发现贸易融资相关的历史单据数据没有电子化，那对于贸易融资场景相关的交易监测可能只能暂时更多依靠手动的方式进行。所以，这个差异性分析最好是在系统建制或优化的工作之前进行，在系统需求研讨阶段再次进行验证。数据优先级数据域（Data Doma

26、in）是我们看到金融机构经常在定义数 据优先级时，对数据按业务划分的数据单位。在反洗钱合规 领域，常见的数据域可以按照合规流程梳理，划分为客户身 份识别、客户尽职调查、可疑交易监测、名单筛查、风险评 估及监管报送等。如果一个数据元素涉及一个或多个数据域，通常此类数据元素的优先级都会比较高些。数据优先级的确定，对于“以风险为本”的思路去管理反洗钱数据提供了良好的理论基础，同时为后续开展数据质量校验和数据问题整改也提供了指引。数据映射数据映射（Data Mapping）通常有两个层面：在业务层面， 数据映射关系需要被清晰地定义，反映数据从源系统到反洗 钱系统（中间可能还有数据集市或数据池的过渡）的关联关 系。在技术层面，数据映射关系的实现最好是通过自动化软 件去完成数据提取-转换-加载（ETL）的流程，这样可以弥补 数据映射业务需求通常比较概括的弱点，而且可以有效防范 一些简单的数据质量问题（比如字段重复问题）。总而言之，我们无法再更多地强调一个完善和清晰的数据映射文档对于 数据质量管控的重要性。数据源系统到反洗钱系统流向示例图金融机构的应对策略（续）数据校验的策略数据沿袭测试会用来验证数据从源系统到终端反洗钱系统的可追溯性。这类校验可以确保数据映射和数据提取，清洗