Data governance: как совет директоров управляет данными компании

В 2006 году британский математик Клайв Хамби написал: «Данные — это новая нефть». С тех пор компании накапливают данные, но управляют ими как мусором, а не как ценным ресурсом.

Данные создают стоимость тремя способами. Первый — операционный: данные улучшают принятие решений, оптимизируют процессы, снижают риски. Второй — коммерческий: данные о клиентах являются основой персонализации, таргетинга, новых продуктов. Третий — транзакционный: данные сами по себе могут быть монетизированы через продажу, партнёрства или как часть оценки компании при M&A.

Все три источника стоимости требуют системного управления. Данные, которые хранятся бессистемно, не обновляются, не защищены — не актив. Это обязательство: регуляторный риск, риск утечки, репутационный риск.

Именно поэтому data governance — вопрос совета. Не потому что директора должны управлять базами данных. А потому что ценность и риски данных имеют стратегическое и финансовое измерение, которые находятся в зоне ответственности СД.

Инвентаризация: что у нас есть? Большинство компаний не имеют полного понимания, какие данные о клиентах, сотрудниках, партнёрах и операциях они хранят, где хранятся и кто имеет доступ. Для СД это отправная точка: «Есть ли у нас реестр ключевых массивов данных?»

Право собственности: кому принадлежат данные? Данные клиентов — принадлежат ли они компании или самим клиентам? Что говорит законодательство (152-ФЗ, GDPR)? Данные, сгенерированные в партнёрстве — как распределяются права? Эти вопросы имеют прямое влияние на оценку бизнеса и M&A сделки.

Качество: можно ли доверять данным? Решения, основанные на плохих данных, хуже решений без данных (иллюзия точности). Как компания обеспечивает качество данных? Кто отвечает за data quality?

Монетизация: используем ли мы ценность данных? Многие компании сидят на золотой жиле, не используя её. Вопросы СД: «Какую дополнительную выручку наши данные могут генерировать?», «Рассматриваем ли мы продажу агрегированных данных партнёрам?»

Регуляторный комплаенс. Требования к хранению персональных данных (152-ФЗ — локализация в России), ограничения на использование данных, обязательства по уведомлению об утечках. Штрафы за нарушения растут — в GDPR до €20 млн или 4% выручки.

Развитие искусственного интеллекта радикально повышает значение data governance. ИИ-модели — это производная от данных, и качество данных напрямую определяет качество и безопасность ИИ-решений. Совет директоров компании, внедряющей ИИ, не может игнорировать управление данными.

Данные как основа ИИ. Принцип «garbage in — garbage out» для ИИ актуален как никогда. Модели машинного обучения, обученные на неполных, устаревших или смещённых данных, принимают ошибочные решения с высокой уверенностью — что опаснее, чем отсутствие автоматизации. По данным Gartner, 85% ИИ-проектов дают некорректные результаты из-за проблем с данными. Совет должен задать вопрос: «Готовы ли наши данные к использованию в ИИ-системах?»

Стандарты и фреймворки. DAMA-DMBOK (Data Management Body of Knowledge) — международный стандарт управления данными, покрывающий 11 областей: от архитектуры данных до обеспечения качества и метаданных. ISO 8000 устанавливает требования к качеству данных. Для российских компаний дополнительно актуален ГОСТ Р ИСО 8000 и требования Роскомнадзора к обработке персональных данных. Совет директоров не обязан знать детали каждого стандарта, но должен требовать от менеджмента отчёт о соответствии применимым стандартам.

Data lineage и прозрачность. В контексте EU AI Act и развивающегося российского регулирования ИИ компании должны обеспечить прослеживаемость данных (data lineage) — от источника до конечного использования в ИИ-модели. Это критически важно для аудита, объяснения решений ИИ-систем и соответствия требованиям explainability. Совет должен убедиться, что компания способна ответить на вопрос: «На каких данных обучена эта ИИ-система и можем ли мы подтвердить их качество?»

Монетизация vs. защита: баланс. Стремление монетизировать данные должно балансироваться с обязательствами по их защите. Продажа агрегированных клиентских данных партнёрам может генерировать выручку, но создаёт регуляторные риски по 152-ФЗ и GDPR. Совет должен утвердить чёткие правила: какие данные можно монетизировать, в каком виде (анонимизация, агрегация), с какими контрактными гарантиями.