ในวันที่ ข้อมูล เป็นหัวใจสำคัญของการขับเคลื่อนธุรกิจ แต่ในทางกลับกันก็อาจนำไปสู่ความเสียหายได้ หากขาดการกำกับดูแลข้อมูลหรือ Data Governance ที่ดีพอ เพราะโลกเรากำลังเผชิญกับภัยคุกคามไซเบอร์ที่ขยายตัวอย่างไม่เคยเกิดขึ้นมาก่อน ตีคู่มากับพัฒนาการของเทคโนโลยี AI ที่ต้องอาศัยข้อมูลมหาศาลในการเรียนรู้ ส่งผลให้ความกังวลด้านความปลอดภัยและข้อมูลรั่วไหล ปกคลุมตั้งแต่ระดับองค์กรธุรกิจ ภาครัฐ จนถึงบุคคลทั่วไป
ผลกระทบจากภัยคุกคามไซเบอร์และการนำข้อมูลไปแบบไร้การควบคุม กำลังกดดันธุรกิจให้จริงจังกับ Data Governance อย่างไรก็ตามการผลักดัน Data Governance ให้ประสบความสำเร็จนั้นไม่ง่าย แต่เรามีตัวช่วยธุรกิจให้บรรลุวัตถุประสงค์ของการกำกับดูแลข้อมูล คือ Three Lines Model
‘Three Lines Model’ คืออะไร….มีวัตถุประสงค์อะไร?
Three Lines Model เป็นแนวทางการบริหารจัดการความเสี่ยงด้านข้อมูล ที่ช่วยองค์กรระบุและบริหารจัดการความเสี่ยงได้อย่างมีประสิทธิภาพ ผ่านการสร้างแนวป้องกัน 3 ด่าน
The Institute of Internal Auditors – IIA ระบุว่า Three Lines Model นี้เป็นเกิดจากการประสานความร่วมมือของปราการทั้ง 3 ด่าน ที่มีเป้าหมายบริหารจัดการความเสี่ยงและการกำกับดูแลภายใน (Internal Governance) โดย Three Lines Model มีการกำหนดบทบาทและความรับผิดชอบที่ชัดเจน รวมถึงการกำกับดูแลโดยคณะทำงาน ผู้บริหารระดับสูงและการรับรองโดยหน่วยงาน/บุคคลภายนอก เพื่อบรรลุเป้าหมายดังต่อไปนี้
- การปรับเปลี่ยนเพื่อบรรลุเป้าหมายองค์กร
- การให้ความสำคัญกับการบริหารจัดการความเสี่ยง เพื่อผลักดันให้การกำกับดูแลประสบความสำเร็จและเป็นไปตามวัตถุประสงค์ที่วางไว้
- การกำหนดบทบาทและความรับผิดชอบ รวมถึงความเกี่ยวข้องกันของทุกตำแหน่งในโมเดล
- การดำเนินมาตรการ เพื่อให้กิจกรรมและวัตถุประสงค์สอดรับกับผลประโยชน์ของผู้ที่มีส่วนได้ส่วนเสีย
เจาะลึกบทบาท 3 แนวป้องกันของ Three Lines of Defense
Three Lines Model ใช้วิธีเข้าไปจัดการความเสี่ยงอย่างมีประสิทธิภาพ โดยมีหน่วยธุรกิจ การปฏิบัติตามข้อบังคับ การตรวจสอบและบริหารจัดการความเสี่ยงจากพนักงาน เป็นแกนหลักของโมเดลและทุกฝ่ายมีหน้าที่เฉพาะของตนเอง ซึ่งแบ่งออกเป็น 3 ด่านดังต่อไปนี้
ด่านที่ 1 หรือ First Line:
ประกอบไปด้วยหน่วยผู้ปฏิบัติงาน ดังต่อไปนี้
- เจ้าของข้อมูล (Data Domain Owner/Data Owner) มีหน้าที่
- อนุมัติการดำเนินการต่าง ๆ ที่เกี่ยวข้องกับข้อมูล
- ดูแลการบริหารจัดการข้อมูลให้เป็นไปตามนโยบาย มาตรฐานและระเบียบปฏิบัติเกี่ยวกับ Data Governance
- จัดทำทะเบียนข้อมูลและอัปเดตให้เป็นปัจจุบัน รวมถึงกำหนดลำดับชั้นความลับและเกณฑ์คุณภาพของข้อมูล
- หัวหน้าบริกรข้อมูล (Lead Data Steward) มีหน้าที่
- กำหนดปริมาณงานของบริกรข้อมูลในแต่ละฟังก์ชัน
- ให้คำปรึกษาปัญหาด้านข้อมูล อาทิ คุณภาพข้อมูลและ Cyber Security
- สื่อสาร ให้ความรู้และแนะนำนโยบายและระเบียบเกี่ยวกับ Data Governance
- ทำงานร่วมกับฝ่ายกำกับดูแลข้อมูล (DG Office)
- ติดตามการปฏิบัติตามนโยบายข้อมูลและสถานะการบริหารจัดการในภาพรวม รวมถึงรายงานผล/ปัญหา/ความเสี่ยงต่อผู้ที่เกี่ยวข้อง
- บริกรข้อมูล (Data Steward) มีกรอบการทำงานคล้ายกับ Lead Data Steward) เพียงแต่บริกรข้อมูลจะรายงานผลและประเด็นปัญหา/ความเสี่ยงที่พบต่อหัวหน้าบริกรข้อมูล
- ผู้สร้างข้อมูล (Data Creator) มีหน้าที่ บันทึก แก้ไข ปรับปรุงหรือลบข้อมูลให้สอดคล้องกับโครงสร้างที่กำหนด และทำงานร่วมกับบริกรข้อมูลในการตรวจสอบและแก้ไขปัญหาด้านคุณภาพข้อมูลและ Cyber Security
- ผู้ใช้ข้อมูล (Data User) มีหน้าที่ ปฏิบัติตามนโยบาย มาตรฐานและระเบียบของ Data Governance และรายงานถึงปัญหาคุณภาพและความปลอดภัยที่พบระหว่างการใช้ข้อมูลให้แก่ บริกรข้อมูล
- ผู้ดูแลข้อมูล (Data Custodian) มีหน้าที่ ดูแล จัดเก็บหรือจัดการข้อมูลให้เป็นไปตามนโนบาย มาตรฐานและระเบียบปฏิบัติขององค์กร
ด่านที่ 2 หรือ Second Line:
กลุ่มงานที่ทำหน้าที่กำหนดกฎเกณฑ์และควบคุมดูแลการดำเนินงานของหน่วยงานต่าง ๆ ได้แก่
- Data Governance Office (DG Office) มีหน้าที่
- กำหนดกลยุทธ์และวัตถุประสงค์เกี่ยวกับการขับเคลื่อนองค์กรด้วยข้อมูลร่วมกับ DG Council
- กำหนด ทบทวนและแนะนำ เปลี่ยนแปลงนโยบาย มาตรฐาน แนวทางและกระบวนการต่าง ๆ เกี่ยวกับการบริหารจัดการข้อมูลและ Data Governance ให้เป็นปัจจุบัน
- ผลักดันการจัดตั้งและกำกับดูแลโครงการ/โปรแกรมการจัดการข้อมูล
- สนับสนุนการดำเนินงานของ DG Council รวมถึงเสนอแนวทางและการจัดการข้อมูลร่วมกับทีมบริกรข้อมูล
- ติดตาม ดูแล ให้คำปรึกษา ตรวจสอบและรายงานผลการปฏิบัติงานด้านข้อมูล
- แผนกบริหารความเสี่ยง (Risk Management) มีหน้าที่
- จัดทำกรอบและกระบวนการบริหารจัดการความเสี่ยงของธุรกิจ
- ให้คำปรึกษา ติดตามและทบทวนความเสี่ยงด้านข้อมูลให้อยู่ในระดับที่ยอมรับได้ รวมถึงรวบรวมและเชื่อมโยงความเสี่ยงด้านข้อมูลและด้านอื่น ๆ ของธุรกิจ พร้อมนำเสนอผลการบริหารจัดการความเสี่ยงแก่คณะกรรมการที่เกี่ยวข้อง
ด่านที่ 3 หรือ Third Line:
ประกอบไปด้วยผู้ตรวจสอบจากภายในและนอกองค์กร ที่เข้ามาทำหน้าที่ตรวจสอบประสิทธิภาพการดำเนินงานของแนวป้องกันที่ 1 และ 2 ผ่านการรีวิวและประเมินการออกแบบและการนำโปรแกรมจัดการความเสี่ยงไปปฏิบัติ โดยทั่วไปแล้วผู้ตรวจสอบภายในองค์กรจะทำหน้าที่รายงานฝ่ายบริหารและผู้ควบคุม ในขณะที่ผู้ตรวจสอบจากภายนอกจะช่วยในส่วนของการปกป้องผลประโยชน์และการปฏิบัติตามกฎระเบียบ มาตรฐาน รวมถึงประเมินการออกแบบและกระบวนการจัดการความเสี่ยงขององค์กรโดยภาพรวม
ประโยชน์ของ Three Lines Model
Three Lines Model ช่วยองค์กรธุรกิจจัดการและควบคุมความเสี่ยงได้อย่างมีประสิทธิภาพมากขึ้น ผ่านการยกระดับการกำกับดูแลข้อมูลและขีดความสามารถในการฟื้นตัวเมื่อเกิดปัญหา โดยประโยชน์ของโมเดลมีดังต่อไปนี้
- บทบาทหน้าที่ชัดเจน: มีการระบุบทบาทและความรับผิดชอบผู้ปฏิบัติงานอย่างชัดเจนทั้ง 3 ด่านป้องกัน ลดช่องว่างและปัญหาการกำกับดูแลความเสี่ยงในภาพรวม
- ประเมินความเสี่ยง: ในส่วนของ Third Line ที่มีความเป็นอิสระและการประเมินอย่างเป็นรูปธรรมเกี่ยวกับประสิทธิภาพของกระบวนการจัดการความเสี่ยง ทำให้ผู้มีส่วนได้ส่วนเสียภายนอกมั่นใจได้ว่าความเสี่ยงถูกจัดการอย่างเหมาะสม ในขณะที่มุมมองภายในเห็นการปรับปรุงอย่างต่อเนื่อง
- การกำกับดูแลเข้มแข็งขึ้น: การดำเนินงานในส่วนของ Second Line ที่เกี่ยวข้องกับการจัดการความเสี่ยงและการปฏิบัติตามนโยบาย มาตรฐานหรือข้อบังคับ ช่วยให้กระบวนการบริหารจัดการความเสี่ยงดำเนินและบังคับใช้กฎระเบียบต่าง ๆ ดำเนินไปในทิศทางเดียวกัน ส่งผลให้องค์กรปฏิบัติตามกฎระเบียบและมาตรฐานอุตสาหกรรม ลดความเสี่ยงต่อภาพลักษณ์และการกระทำผิดกฎหมาย
- จัดสรรทรัพยากรอย่างมีประสิทธิภาพ: การกระจายความรับผิดชอบไปยัง 3 ด่านป้องกัน ช่วยให้การจัดสรรทรัพยากรขององค์กรมีประสิทธิภาพมากขึ้น โดยพนักงานสามารถโฟกัสกับการจัดการความเสี่ยงในแต่ละวัน ในขณะที่ฝ่ายบริหารจัดการกับความเสี่ยงโดยภาพรวม และผู้เชี่ยวชาญเฉพาะด้านโฟกัสกับตรวจสอบดูแลภาพรวมทั้งภายในและภายนอกได้อย่างเต็มที่
- รับรู้ข้อมูลความเสี่ยงในทุกมิติ: โมเดลนี้ทำให้ธุรกิจเห็นภาพรวมความเสี่ยงทั้งหมดทำให้สามารถเลือกใช้กลยุทธ์และแผนจัดการความเสี่ยงได้อย่างเหมาะสม นอกจากนี้องค์กรยังสามารถจัดการกับความเสี่ยงใหม่ได้อย่างรวดเร็วและใช้ประโยชน์จากโอกาสต่าง ๆ ที่เกิดขึ้น ที่สำคัญโมเดลนี้ยังส่งเสริมให้เกิดวัฒนธรรมการตัดสินใจด้วยข้อมูลและการตระหนักถึงภัยคุกคามไซเบอร์ในองค์กรอีกด้วย
ความท้าทายที่มาพร้อมกับประสิทธิภาพของ Three Lines Model
แม้ Three Lines Model มีประโยชน์มากมาย แต่ก็ปฏิเสธไม่ได้ว่ามันมีความท้าทายและอุปสรรครอให้องค์กรธุรกิจรับมือและจัดการ ได้แก่
- ความรู้ความเข้าใจของผู้ปฏิบัติงาน
- การให้ความสำคัญกับกฎระเบียบมากเกินไป
- การจัดสรรทรัพยากร
- การรับมือกับความเปลี่ยนแปลง
- การประเมินและรายงานผล
- ขีดความสามารถในการปรับใช้โมเดลในองค์กร
- ความสามารถในการรับความเสี่ยงของแต่ละภาคส่วน
แน่นอนว่าการจัดการกับความท้าทายดังกล่าวนี้ไม่ง่าย เพราะต้องอาศัยความรู้ความเข้าใจทั้งด้านเทคโนโลยี ประสบการณ์และบริบทต่าง ๆ ที่เกี่ยวข้องกับ Data Governance ‘บลูบิค’ ในฐานะที่ปรึกษาด้านการบริหารจัดการข้อมูลขนาดใหญ่และการวิเคราะห์ข้อมูลขั้นสูง พร้อมเป็นส่วนหนึ่งในการวางรากฐาน Data Governance ขององค์กรคุณ ด้วยการยกระดับความมั่นคงปลอดภัยให้แก่ข้อมูลได้อย่างแท้จริงและสามารถนำข้อมูลไปใช้ได้อย่างเหมาะสม สำหรับองค์กรที่สนใจสามารถติดต่อขอข้อมูลจากทีมงานผู้เชี่ยวชาญเฉพาะด้าน Data Governance ของบลูบิคได้ที่
✉ [email protected]
☎ 02-636-7011
ขอบคุณข้อมูลอ้างอิงจาก theiia, techtarget