Quản trị dữ liệu 1 — Tổng quan Data Governance ngân hàng

13 thg 7, 2026 2 lượt xem
#banking
#data-engineering
#data-governance
#stewardship
#dama

Quản trị dữ liệu 1 — Tổng quan Data Governance ngân hàng

Một buổi sáng thứ Hai, phòng Quản lý rủi ro gửi báo cáo nợ xấu lên Ban điều hành. Con số là 2,1%. Cùng ngày, phòng Tài chính nộp báo cáo cho Ngân hàng Nhà nước với con số 2,4%. Cả hai đều "lấy từ hệ thống dữ liệu". Ai đúng? Không ai biết, vì không ai định nghĩa rõ nợ xấu tính theo chuẩn nào, lấy từ bảng nào, tại thời điểm cắt số ra sao. Đây không phải lỗi kỹ thuật của pipeline — pipeline chạy hoàn hảo. Đây là lỗi quản trị dữ liệu (data governance): thiếu chủ sở hữu, thiếu định nghĩa chuẩn, thiếu quy trình.

Đây là bài mở đầu của series Bảo mật & Quản trị dữ liệu ngân hàng. Series này sẽ đi qua catalog & lineage, chất lượng dữ liệu, phân loại & PII, mã hoá & masking, kiểm soát truy cập, quyền riêng tư & tuân thủ, và cuối cùng là vòng đời & audit. Bài này đặt nền: governance là gì, vì sao ngân hàng bắt buộc phải có, khung tham chiếu chuẩn ngành, mô hình tổ chức, và cách đo lường.

Data governance là gì

Data governance là hệ thống các quyền quyết địnhtrách nhiệm giải trình (accountability) đối với dữ liệu, được thực thi qua chính sách, quy trình, con người và công nghệ, trong suốt vòng đời dữ liệu — từ khi sinh ra đến khi bị xoá.

Chú ý ba điểm quan trọng trong định nghĩa này:

  • Governance nói về quyền quyết định: ai được quyết định dữ liệu nghĩa là gì, ai được đọc, ai được đổi schema, giữ dữ liệu bao lâu.
  • Governance nói về accountability: khi có sự cố (số sai, rò rỉ PII), phải xác định được ai chịu trách nhiệm — không phải để trừng phạt, mà để có người đảm bảo nó được sửa.
  • Governance không phải một công cụ. Mua Collibra hay Purview không tự tạo ra governance, giống như mua máy chạy bộ không tự làm bạn khoẻ.

Phân biệt với hai khái niệm hay bị lẫn: Data managementthực thi việc quản lý dữ liệu (build pipeline, mô hình, vận hành kho), còn governance là khung điều hành đứng trên đặt luật chơi; data quality chỉ là một trong nhiều lĩnh vực mà governance điều phối, không phải toàn bộ governance.

Vì sao ngân hàng bắt buộc phải có

Với ngân hàng, governance không phải "nice to have" mà là điều kiện tồn tại, vì ba áp lực đồng thời:

1. Tuân thủ pháp lý (Compliance). Ngành ngân hàng chịu giám sát chặt của Ngân hàng Nhà nước (NHNN). Một số khung ràng buộc trực tiếp lên dữ liệu:

  • Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân — bắt buộc phân loại dữ liệu cá nhân/nhạy cảm, có cơ sở pháp lý khi xử lý, và đảm bảo quyền của chủ thể dữ liệu.
  • Thông tư của NHNN về an toàn hệ thống thông tin và chế độ báo cáo thống kê — dữ liệu nộp lên phải truy vết được nguồn gốc và nhất quán qua các kỳ.
  • Các chuẩn quốc tế như BCBS 239 (nguyên tắc tổng hợp dữ liệu rủi ro) yêu cầu ngân hàng chứng minh được độ chính xác, đầy đủ, kịp thời của dữ liệu rủi ro. Đây thực chất là một chuẩn governance.

2. Rủi ro (Risk). Dữ liệu sai gây tổn thất tiền thật. Một mô hình chấm điểm tín dụng (credit scoring) huấn luyện trên dữ liệu bẩn sẽ phê duyệt nhầm khách hàng xấu — chi phí tính bằng tỷ đồng nợ xấu. Rò rỉ dữ liệu khách hàng (PII) gây phạt hành chính, kiện tụng và mất uy tín. Xem chi tiết mô hình tổn thất tín dụng ở IFRS 9 & ECL — mô hình này ăn dữ liệu do governance đảm bảo.

3. Tin cậy dữ liệu (Trust). Nếu Ban điều hành không tin con số trên dashboard, họ quay lại Excel tự tính, và tổ chức mất kiểm soát hoàn toàn. Governance là thứ biến "dữ liệu ai đó tính" thành "con số chính thức của ngân hàng".

Khung DAMA-DMBOK và 11 lĩnh vực tri thức

Chuẩn tham chiếu phổ biến nhất là DAMA-DMBOK (Data Management Body of Knowledge) do tổ chức DAMA International biên soạn. DMBOK mô tả 11 lĩnh vực tri thức (knowledge areas), trong đó Data Governance nằm ở trung tâm, điều phối 10 lĩnh vực còn lại. Đây chính là bánh xe DAMA nổi tiếng:

#Lĩnh vựcTrọng tâmBài liên quan trong series
1Data GovernanceQuyền quyết định, chính sách, vai trò (trung tâm)Bài này
2Data ArchitectureBản thiết kế tổng thể luồng và cấu trúc dữ liệu
3Data Modeling & DesignMô hình khái niệm/logic/vật lý
4Data Storage & OperationsLưu trữ, vận hành CSDL
5Data SecurityBảo mật, mã hoá, kiểm soát truy cậpgov-05, gov-06
6Data Integration & InteroperabilityETL/ELT, tích hợp hệ thống
7Document & Content ManagementDữ liệu phi cấu trúc, tài liệu
8Reference & Master DataDữ liệu chủ (khách hàng, sản phẩm), mã tham chiếu
9Data Warehousing & BIKho dữ liệu, báo cáo, phân tích
10Metadata ManagementCatalog, lineage, business glossarygov-02
11Data QualityĐo lường & cải thiện chất lượnggov-03

Điểm mấu chốt: DMBOK đặt Governance ở tâm bánh xe vì nó là lớp điều phối (orchestration) — nó không tự làm chất lượng hay bảo mật, nó ra luật, phân vai và giám sát để các lĩnh vực kia làm đúng. Series này sẽ đào sâu các lĩnh vực liên quan trực tiếp đến bảo mật và tuân thủ: metadata (catalog/lineage), quality, security, và privacy.

Bốn vai trò cốt lõi: Owner, Steward, Custodian, Consumer

Sai lầm phổ biến nhất là gộp mọi trách nhiệm vào "đội data". Governance đòi tách bạch bốn vai trò với ranh giới rõ:

Vai tròLà ai (điển hình ở ngân hàng)Chịu trách nhiệm gìVí dụ quyết định
Data OwnerLãnh đạo nghiệp vụ (Trưởng phòng Tín dụng, GĐ Khối bán lẻ)Accountability cuối cùng về một miền dữ liệu (domain): định nghĩa, phân loại mật, phê duyệt truy cập"Dữ liệu khoản vay là mật cấp độ 2; chỉ RM và bộ phận thẩm định được đọc"
Data StewardChuyên viên nghiệp vụ am hiểu dữ liệu (business analyst phòng tín dụng)Vận hành hằng ngày: định nghĩa nghiệp vụ trong glossary, thiết lập rule chất lượng, xử lý vấn đề, là cầu nối business–IT"Nợ xấu = nhóm nợ 3,4,5 theo Thông tư phân loại; cắt số cuối ngày làm việc"
Data CustodianData engineer / DBA (đội data platform)Thực thi kỹ thuật: build pipeline, cấu hình quyền, mã hoá, backup, đảm bảo hạ tầng chạy"Triển khai column-level masking cho cột CCCD; cấp role theo phê duyệt của Owner"
Data ConsumerAnalyst, data scientist, cán bộ báo cáoSử dụng đúng mục đích: dùng dữ liệu theo quyền được cấp, tuân thủ chính sách, phản hồi khi phát hiện lỗi"Dùng bảng đã được chứng nhận (certified) cho báo cáo NHNN, không tự join từ staging"

Cách nhớ nhanh: Owner chịu trách nhiệm, Steward quản lý ý nghĩa và chất lượng, Custodian giữ và vận hành kỹ thuật, Consumer sử dụng. Owner và Steward là vai trò nghiệp vụ; Custodian là vai trò kỹ thuật. Việc data engineer (Custodian) tự định nghĩa "nợ xấu là gì" là một anti-pattern kinh điển — đó là việc của Steward, người có thẩm quyền nghiệp vụ.

Data Governance Council và operating model

Bốn vai trò trên cần một cấu trúc tổ chức để phối hợp. Mô hình phổ biến gồm ba tầng:

Giải thích:

  • Data Governance Council — hội đồng gồm lãnh đạo cấp cao (các khối nghiệp vụ, rủi ro, CNTT, tuân thủ) do một CDO (Chief Data Officer) hoặc phó tổng phụ trách. Họ phê duyệt chính sách, giải quyết tranh chấp giữa các domaincấp ngân sách. Họp định kỳ (quý), không xử lý vụ việc hằng ngày.
  • Data Governance Office — bộ phận điều phối thường trực: chuẩn hoá quy trình, duy trì catalog/glossary, tổng hợp KPI trình Council. Đây là "bộ máy chạy" của governance.
  • Owners/Stewards/Custodians — thực thi ở tầng domain và kỹ thuật.

Về operating model, có ba kiểu:

  • Tập trung (Centralized): một đội trung tâm ra mọi quyết định. Nhất quán cao nhưng dễ thành nút cổ chai.
  • Phân tán (Decentralized/Federated): mỗi domain tự quản, đội trung tâm chỉ đặt chuẩn tối thiểu. Linh hoạt nhưng dễ phân mảnh.
  • Kết hợp (Hybrid): phổ biến nhất ở ngân hàng — Office trung tâm đặt policy và chuẩn dùng chung, các Owner/Steward theo domain thực thi. Đây cũng là tinh thần của data mesh khi áp vào tổ chức lớn.

Quan hệ giữa governance và các trụ lân cận

Governance không đứng một mình. Nó là lớp điều phối liên kết bốn khối kỹ thuật mà series này sẽ đào sâu:

Bài Governance & Quality nền tảng trong series Data Engineering nền tảng cho góc nhìn kỹ thuật bổ trợ. Ở khía cạnh nghiệp vụ, governance tốt là điều kiện tiên quyết cho các hệ thống nhạy cảm như phòng chống rửa tiền — xem AML tổng quan.

Bốn trụ cột: Policy, Process, People, Technology

Governance đứng trên bốn trụ cột. Thiếu bất kỳ trụ nào, chương trình sẽ đổ:

Trụ cộtNội dungVí dụ ở ngân hàngSai lầm nếu thiếu
Policy (chính sách)Văn bản quy định: phân loại dữ liệu, retention, quyền truy cập, quyền riêng tưChính sách phân loại 4 cấp: Public / Internal / Confidential / RestrictedCó công cụ nhưng không ai biết luật, mỗi người làm một kiểu
Process (quy trình)Quy trình phê duyệt truy cập, đổi schema, xử lý sự cố, chu kỳ reviewQuy trình cấp quyền đọc bảng khách hàng phải qua phê duyệt OwnerPolicy nằm trên giấy, không đi vào thực tế
People (con người)Vai trò, kỹ năng, văn hoá dữ liệuBổ nhiệm Steward cho từng domain, đào tạo nhận thức PIIKhông ai chịu trách nhiệm, "cha chung không ai khóc"
Technology (công nghệ)Catalog, lineage, DQ tool, IAM, DLPPurview/Collibra + column-level security + monitoringLàm thủ công, không scale, không audit được

Thứ tự triển khai đúng thường là People & Policy trước, Technology sau. Rất nhiều ngân hàng mua công cụ catalog đắt tiền rồi bỏ xó vì chưa có Steward để nuôi metadata và chưa có policy để công cụ thực thi. Công nghệ khuếch đại tổ chức đã có — nó không thay thế tổ chức chưa có.

Đo lường governance bằng KPI

"Cái gì không đo được thì không quản được." Governance dễ trở thành hoạt động hình thức nếu không gắn KPI. Một số chỉ số thực dụng:

KPIĐịnh nghĩaMục tiêu minh hoạ
Ownership coverage% tài sản dữ liệu quan trọng đã có Owner được chỉ định≥ 95% với bảng critical
Catalog coverage% bảng/cột đã có mô tả nghiệp vụ trong catalog≥ 80%
DQ pass rate% rule chất lượng vượt ngưỡng trong kỳ≥ 98% với domain trọng yếu
Certified data usage% báo cáo dùng nguồn đã được chứng nhận≥ 90%
Access review completion% chu kỳ rà soát quyền hoàn thành đúng hạn100%
Incident MTTRThời gian trung bình xử lý sự cố dữ liệu< 2 ngày làm việc
PII exposureSố cột PII chưa phân loại/chưa mask phát hiện qua quétXu hướng giảm về 0

Các con số mục tiêu trên là minh hoạ, không phải chuẩn bắt buộc — mỗi tổ chức tự đặt ngưỡng theo mức độ trưởng thành. Điểm quan trọng là KPI phải được Governance Office tổng hợp định kỳ và trình Council, biến governance từ khẩu hiệu thành cơ chế có phản hồi.

Use case thực tế

Bối cảnh (NCB, minh hoạ): Sau khi hai phòng nộp hai con số nợ xấu lệch nhau (2,1% và 2,4%) lên NHNN, Ban điều hành yêu cầu thiết lập governance cho chỉ tiêu tỷ lệ nợ xấu (NPL ratio). Đội data platform triển khai theo các bước:

  1. Chỉ định Owner: Council giao Giám đốc Khối Quản lý rủi ro làm Data Owner cho domain "chất lượng tín dụng". Ownership coverage của domain này tăng từ 0% lên 100%.

  2. Steward định nghĩa chuẩn: Steward (chuyên viên phòng rủi ro) ghi vào business glossary: NPL = dư nợ nhóm 3,4,5 / tổng dư nợ, phân loại theo Thông tư hiện hành, cắt số vào cuối ngày làm việc cuối kỳ. Định nghĩa được Owner phê duyệt.

  3. Custodian thực thi: Data engineer build một bảng certified fct_npl_daily chỉ tính theo đúng định nghĩa trên, gắn nhãn "chứng nhận" trong catalog, và ghi lineage từ core banking. Mọi báo cáo NHNN phải lấy từ bảng này.

  4. Process khoá vòng: Ban hành quy trình — báo cáo gửi NHNN chỉ được dùng nguồn certified; phòng nào muốn số khác phải mở ticket giải trình cho Owner.

  5. Đo lường: Sau một quý, Certified data usage cho chỉ tiêu NPL đạt 100%, hai phòng nộp cùng một con số, và thời gian tổng hợp báo cáo giảm từ 3 ngày xuống 4 giờ.

Kết quả không đến từ công cụ mới, mà từ việc có người chịu trách nhiệm, có định nghĩa chuẩn, có nguồn certified và quy trình bắt buộc — đúng bốn trụ cột People/Policy/Process/Technology.

Ghi nhớ

  • Governance = quyền quyết định + accountability đối với dữ liệu, thực thi qua chính sách/quy trình/con người/công nghệ; nó điều phối chứ không tự làm quality hay security.
  • Ngân hàng bắt buộc có governance vì ba áp lực: tuân thủ (Nghị định 13, NHNN, BCBS 239), rủi ro (dữ liệu sai = tiền thật), và tin cậy (không tin số thì mọi dashboard vô nghĩa).
  • DAMA-DMBOK đặt Data Governance ở tâm bánh xe, điều phối 10/11 lĩnh vực còn lại; series này đào sâu metadata, quality, security, privacy.
  • Bốn vai trò: Owner chịu trách nhiệm (nghiệp vụ), Steward quản lý ý nghĩa & chất lượng (nghiệp vụ), Custodian vận hành kỹ thuật, Consumer sử dụng. Đừng để Custodian tự định nghĩa nghiệp vụ.
  • Operating model ba tầng: Council (chiến lược) → Governance Office (điều phối) → Owners/Stewards/Custodians (vận hành); ngân hàng thường dùng mô hình hybrid/federated.
  • Bốn trụ cột Policy–Process–People–Technology; triển khai People & Policy trước, Technology sau — công nghệ khuếch đại tổ chức đã có, không thay thế tổ chức chưa có.
  • Đo governance bằng KPI (ownership coverage, catalog coverage, DQ pass rate, certified usage, access review, MTTR, PII exposure) và trình Council định kỳ để có cơ chế phản hồi.

Bài viết liên quan

CSV/JSON/Parquet/Avro, lưu trữ theo hàng vs cột, nén, và OLTP vs OLAP.

13 thg 7, 2026 8

Data Engineering là gì, vai trò trong vòng đời dữ liệu, và bức tranh hệ sinh thái công cụ.

13 thg 7, 2026 5

Vì sao xử lý phân tán, mô hình Spark (RDD/DataFrame), lazy evaluation, shuffle và tối ưu.

13 thg 7, 2026 5

Đảm bảo chất lượng & minh bạch dữ liệu bằng dbt: data tests dựng sẵn (unique, not_null, relationships, accepted_values), singular test, unit test, và tài liệu tự sinh kèm lineage graph.

13 thg 7, 2026 5