APP、公众号数据如何不再沉睡？中证协风险数据管理指南划重点

　　21世纪经济报道 记者 崔文静

　　证券行业风险数据治理迎来系统性指引。近日，中国证券业协会向券商下发《证券公司风险数据管理示范实践（征求意见稿）》（以下简称《示范实践》），面向全行业征求意见至6月18日。文件覆盖风险数据战略、治理、架构、标准、安全、质量六大领域，为行业提供从顶层设计到落地操作的全流程建设指南。

　　2025年，中证协修订发布《证券公司全面风险管理规范》，要求证券公司“重视风险数据治理，加大对风险数据治理在人员、技术等方面的资源投入”。此次《示范实践》正是对这一要求的系统落地。值得注意的是，文件并非强制性要求。中证协明确，考虑到券商在业务复杂程度、体量大小和技术能力上存在差异，对各项要求做出“应当实现”与“可以实现”的区分，建议从最基本、最核心的工作入手逐步完善。

　　《示范实践》直指行业共性难题：源端系统众多、相互独立，形成数据孤岛，券商APP、公众号等线上渠道的客户行为数据分散在各触点，加剧整合难度；集团内风险数据标准难统一、质量参差不齐；子公司数据管理能力薄弱。文件用一套逻辑自洽的能力建设框架，将散落于各类监管文件中的数据治理要求，整合为“穿透式+全景式”风险管控体系的实施路径。

　　谁来做、怎么做：三层治理组织与三种子公司模式

　　风险数据管理由谁牵头、谁来执行，是券商面临的第一个现实问题。《示范实践》首次给出了组织架构的差异化方案。

　　在决策层，大型券商可在董事会或经理层设置数据治理委员会，小型券商可建立跨部门数据治理协作工作组，两者均为风险数据治理的最高决策机构。决策层之下设数据治理工作组负责统一规划和监督，具体执行则授权至由数据管理、风险管理、财务、合规及主要业务单位共同组成的跨部门小组。其中，数据管理部门牵头推进，风险管理部门提出数据需求和质量要求，业务单位（含子公司）负责源端的数据标准和质量落实。

　　岗位设置上，大型券商由首席信息官指定固定部门对接风险数据需求，风险管理部门和业务单位内部设专岗或兼岗负责数据治理和质量控制；小型券商则根据自身管控重点设置匹配团队或岗位。

　　子公司风险数据治理是此次的重点之一。文件要求证券公司风险数据治理必须包含子公司，子公司可指定一名高级管理人员参与。管理模式给出三种选择：全资子公司采用集中式管理；控股且需并表的子公司采用混合模式，对并表风控指标等重要数据集中管理，其他风险数据实行联邦式管理；不并表的子公司可采用联邦式管理。

　　制度层面，文件提出建立多级数据管理制度框架，自上而下覆盖数据治理、安全、标准、质量、元数据等各领域。同时特别建议，券商在新业务评估时同步嵌入风险数据管理要求，业务部门在系统建设和数据产生阶段即需前置考虑数据采集、转换和加工需求，确保业务开展后数据能第一时间进入风险数据集市。

　　管什么、怎么管：主数据四步落地，质量问题闭环处理

　　数据标准统一和质量保障是风险数据管理的核心。《示范实践》将主数据管理定位为“重点和难点领域”，并将其拆解为四个关键步骤：第一步，识别盘点主数据对象，以“同一客户”为例，风险管理人员协助完成业务归属和单位盘点，源端部门完成现状盘点，数据管理部门整合形成主数据对象清单，明确数据来源和系统依赖关系；第二步，数据管理部门制定标准，风险管理部门审核纳入；第三步，完成各源端数据汇聚、清洗和标准映射，生成风险领域主数据，通过管理系统监控完整率、一致率等指标；第四步，开展业务部门培训和推广运营，建立权限管控和流程审批机制。

　　数据质量管理贯穿事前、事中、事后三个阶段。事前控制阶段，券商需建立质量规则管理、监测控制、应急处理、责任人、定期回测、回溯报告、问题整改跟进和考核等八项机制，并构建风险数据质量规则库。对于重要应用层数据，要求设定应用层校验规则并向前追溯至源端数据，逐层设防。除技术规则外，业务规则或监管规则作为重要补充，由风险管理人员用业务语言从应用层向源端逐层提出，数据管理部门转化为技术语言后纳入规则库。

　　事中监控阶段，券商持续监测重要应用层风险数据质量，在数据流转过程中逐层校验。发现问题时，基于责任人机制确定问题跟踪人，由数据加工方与源端逐层溯源诊断根因，再经历制定修正方案、方案实施、效果验证的闭环流程，直至数据满足质量标准方可关闭问题，处理完成后归类记录。

　　事后考核阶段，券商定期针对重要应用层风险数据出具质量回溯及提升报告，报送数据治理委员会和相关方。考核明确，各部门主要负责人对数据质量承担主要责任，具体操作人员承担直接责任，子公司也须参照母公司机制将风险数据质量纳入考核。

　　管得住、用得好：跨境数据分级管理，AI与风控深度融合

　　集团化、国际化经营带来的数据跨境流动，是风险数据治理的底线问题。《示范实践》要求券商制定统一的数据安全策略，涵盖数据分类分级、访问授权、脱敏加密等规范，至少对个人客户基本信息、监管数据、交易数据、财务数据、托管数据和跨境数据实施重点安全管理。

　　针对数据出境，文件要求评估数据类型、规模和传输路径，涉及个人信息出境的须开展个人信息保护影响评估。数据入境则依据跨境子公司所在地法律法规开展评估。面对境内外监管差异，文件建议建立境内外合规差异动态评估机制，及时跟踪法规变化对数据跨境的影响。

　　境外子公司风险数据治理方面，《示范实践》给出三条推进路径：启动专项工作，组建工作组并建立定期沟通机制，常态化评估境内外合规差异，动态推动问题闭环解决；加快境外子公司风险数据中心或集市建设，制定覆盖母子公司的统一风险数据字典，输出标准化数据架构和模型设计规范；将母公司应用层校验规则中针对境外子公司的规则前置到子公司数据中心，指导子公司从源端把控质量，提升数据报送的时效性、完整性和准确性。

　　AI与风险数据管理的结合是文件另一重点内容。《示范实践》明确，AI与风险数据管理是“协同演进、互为支撑的共生关系”。一方面，AI可在“AI问数”等场景落地，帮助风险管理人员更高效地使用数据；另一方面，风险数据管理通过统一数据口径、全流程清洗校验、分类分级，为AI模型提供高质量输入数据，打通跨场景调用通道。两者深度融合，将推动券商风险管理从“被动型、事后型”向“主动型、前瞻型”升级。