Data governance: как совет директоров управляет данными компании

В 2006 году британский математик Клайв Хамби написал: «Данные — это новая нефть». С тех пор компании накапливают данные, но управляют ими как мусором, а не как ценным ресурсом.

Данные создают стоимость тремя способами. Первый — операционный: данные улучшают принятие решений, оптимизируют процессы, снижают риски. Второй — коммерческий: данные о клиентах являются основой персонализации, таргетинга, новых продуктов. Третий — транзакционный: данные сами по себе могут быть монетизированы через продажу, партнёрства или как часть оценки компании при M&A.

Все три источника стоимости требуют системного управления. Данные, которые хранятся бессистемно, не обновляются, не защищены — не актив. Это обязательство: регуляторный риск, риск утечки, репутационный риск.

Именно поэтому data governance — вопрос совета. Не потому что директора должны управлять базами данных. А потому что ценность и риски данных имеют стратегическое и финансовое измерение, которые находятся в зоне ответственности СД.

Инвентаризация: что у нас есть? Большинство компаний не имеют полного понимания, какие данные о клиентах, сотрудниках, партнёрах и операциях они хранят, где хранятся и кто имеет доступ. Для СД это отправная точка: «Есть ли у нас реестр ключевых массивов данных?»

Право собственности: кому принадлежат данные? Данные клиентов — принадлежат ли они компании или самим клиентам? Что говорит законодательство (152-ФЗ, GDPR)? Данные, сгенерированные в партнёрстве — как распределяются права? Эти вопросы имеют прямое влияние на оценку бизнеса и M&A сделки.

Качество: можно ли доверять данным? Решения, основанные на плохих данных, хуже решений без данных (иллюзия точности). Как компания обеспечивает качество данных? Кто отвечает за data quality?

Монетизация: используем ли мы ценность данных? Многие компании сидят на золотой жиле, не используя её. Вопросы СД: «Какую дополнительную выручку наши данные могут генерировать?», «Рассматриваем ли мы продажу агрегированных данных партнёрам?»

Регуляторный комплаенс. Требования к хранению персональных данных (152-ФЗ — локализация в России), ограничения на использование данных, обязательства по уведомлению об утечках. Штрафы за нарушения растут — в GDPR до €20 млн или 4% выручки.