ในวันที่ ข้อมูล เป็นหัวใจสำคัญของการขับเคลื่อนธุรกิจ แต่ในทางกลับกันก็อาจนำไปสู่ความเสียหายได้ หากขาดการกำกับดูแลข้อมูลหรือ Data Governance ที่ดีพอ เพราะโลกเรากำลังเผชิญกับภัยคุกคามไซเบอร์ที่ขยายตัวอย่างไม่เคยเกิดขึ้นมาก่อน ตีคู่มากับพัฒนาการของเทคโนโลยี AI ที่ต้องอาศัยข้อมูลมหาศาลในการเรียนรู้ ส่งผลให้ความกังวลด้านความปลอดภัยและข้อมูลรั่วไหล ปกคลุมตั้งแต่ระดับองค์กรธุรกิจ ภาครัฐ จนถึงบุคคลทั่วไป

ผลกระทบจากภัยคุกคามไซเบอร์และการนำข้อมูลไปแบบไร้การควบคุม กำลังกดดันธุรกิจให้จริงจังกับ Data Governance อย่างไรก็ตามการผลักดัน Data Governance ให้ประสบความสำเร็จนั้นไม่ง่าย แต่เรามีตัวช่วยธุรกิจให้บรรลุวัตถุประสงค์ของการกำกับดูแลข้อมูล คือ Three Lines Model 

‘Three Lines Model’ คืออะไร….มีวัตถุประสงค์อะไร?

Three Lines Model เป็นแนวทางการบริหารจัดการความเสี่ยงด้านข้อมูล ที่ช่วยองค์กรระบุและบริหารจัดการความเสี่ยงได้อย่างมีประสิทธิภาพ ผ่านการสร้างแนวป้องกัน 3 ด่าน 

The Institute of Internal Auditors – IIA ระบุว่า Three Lines Model นี้เป็นเกิดจากการประสานความร่วมมือของปราการทั้ง 3 ด่าน ที่มีเป้าหมายบริหารจัดการความเสี่ยงและการกำกับดูแลภายใน (Internal Governance) โดย Three Lines Model มีการกำหนดบทบาทและความรับผิดชอบที่ชัดเจน รวมถึงการกำกับดูแลโดยคณะทำงาน ผู้บริหารระดับสูงและการรับรองโดยหน่วยงาน/บุคคลภายนอก เพื่อบรรลุเป้าหมายดังต่อไปนี้

• การปรับเปลี่ยนเพื่อบรรลุเป้าหมายองค์กร
• การให้ความสำคัญกับการบริหารจัดการความเสี่ยง เพื่อผลักดันให้การกำกับดูแลประสบความสำเร็จและเป็นไปตามวัตถุประสงค์ที่วางไว้
• การกำหนดบทบาทและความรับผิดชอบ รวมถึงความเกี่ยวข้องกันของทุกตำแหน่งในโมเดล
• การดำเนินมาตรการ เพื่อให้กิจกรรมและวัตถุประสงค์สอดรับกับผลประโยชน์ของผู้ที่มีส่วนได้ส่วนเสีย

เจาะลึกบทบาท 3 แนวป้องกันของ Three Lines of Defense

Three Lines Model ใช้วิธีเข้าไปจัดการความเสี่ยงอย่างมีประสิทธิภาพ โดยมีหน่วยธุรกิจ การปฏิบัติตามข้อบังคับ การตรวจสอบและบริหารจัดการความเสี่ยงจากพนักงาน เป็นแกนหลักของโมเดลและทุกฝ่ายมีหน้าที่เฉพาะของตนเอง ซึ่งแบ่งออกเป็น 3 ด่านดังต่อไปนี้

ด่านที่ 1 หรือ First Line:
ประกอบไปด้วยหน่วยผู้ปฏิบัติงาน ดังต่อไปนี้

1. เจ้าของข้อมูล (Data Domain Owner/Data Owner) มีหน้าที่ 

• อนุมัติการดำเนินการต่าง ๆ ที่เกี่ยวข้องกับข้อมูล
• ดูแลการบริหารจัดการข้อมูลให้เป็นไปตามนโยบาย มาตรฐานและระเบียบปฏิบัติเกี่ยวกับ Data Governance
• จัดทำทะเบียนข้อมูลและอัปเดตให้เป็นปัจจุบัน รวมถึงกำหนดลำดับชั้นความลับและเกณฑ์คุณภาพของข้อมูล 

2. หัวหน้าบริกรข้อมูล (Lead Data Steward) มีหน้าที่ 

• กำหนดปริมาณงานของบริกรข้อมูลในแต่ละฟังก์ชัน 
• ให้คำปรึกษาปัญหาด้านข้อมูล อาทิ คุณภาพข้อมูลและ Cyber Security  
• สื่อสาร ให้ความรู้และแนะนำนโยบายและระเบียบเกี่ยวกับ Data Governance 
• ทำงานร่วมกับฝ่ายกำกับดูแลข้อมูล (DG Office) 
• ติดตามการปฏิบัติตามนโยบายข้อมูลและสถานะการบริหารจัดการในภาพรวม รวมถึงรายงานผล/ปัญหา/ความเสี่ยงต่อผู้ที่เกี่ยวข้อง

3. บริกรข้อมูล (Data Steward) มีกรอบการทำงานคล้ายกับ Lead Data Steward) เพียงแต่บริกรข้อมูลจะรายงานผลและประเด็นปัญหา/ความเสี่ยงที่พบต่อหัวหน้าบริกรข้อมูล
4. ผู้สร้างข้อมูล (Data Creator) มีหน้าที่ บันทึก แก้ไข ปรับปรุงหรือลบข้อมูลให้สอดคล้องกับโครงสร้างที่กำหนด และทำงานร่วมกับบริกรข้อมูลในการตรวจสอบและแก้ไขปัญหาด้านคุณภาพข้อมูลและ Cyber Security
5. ผู้ใช้ข้อมูล (Data User) มีหน้าที่ ปฏิบัติตามนโยบาย มาตรฐานและระเบียบของ Data Governance และรายงานถึงปัญหาคุณภาพและความปลอดภัยที่พบระหว่างการใช้ข้อมูลให้แก่ บริกรข้อมูล
6. ผู้ดูแลข้อมูล (Data Custodian) มีหน้าที่ ดูแล จัดเก็บหรือจัดการข้อมูลให้เป็นไปตามนโนบาย มาตรฐานและระเบียบปฏิบัติขององค์กร 

ด่านที่ 2 หรือ Second Line:
กลุ่มงานที่ทำหน้าที่กำหนดกฎเกณฑ์และควบคุมดูแลการดำเนินงานของหน่วยงานต่าง ๆ ได้แก่ 

1. Data Governance Office (DG Office) มีหน้าที่

• กำหนดกลยุทธ์และวัตถุประสงค์เกี่ยวกับการขับเคลื่อนองค์กรด้วยข้อมูลร่วมกับ DG Council
• กำหนด ทบทวนและแนะนำ เปลี่ยนแปลงนโยบาย มาตรฐาน แนวทางและกระบวนการต่าง ๆ เกี่ยวกับการบริหารจัดการข้อมูลและ Data Governance ให้เป็นปัจจุบัน 
• ผลักดันการจัดตั้งและกำกับดูแลโครงการ/โปรแกรมการจัดการข้อมูล 
• สนับสนุนการดำเนินงานของ DG Council รวมถึงเสนอแนวทางและการจัดการข้อมูลร่วมกับทีมบริกรข้อมูล
• ติดตาม ดูแล ให้คำปรึกษา ตรวจสอบและรายงานผลการปฏิบัติงานด้านข้อมูล

2. แผนกบริหารความเสี่ยง (Risk Management) มีหน้าที่

• จัดทำกรอบและกระบวนการบริหารจัดการความเสี่ยงของธุรกิจ
• ให้คำปรึกษา ติดตามและทบทวนความเสี่ยงด้านข้อมูลให้อยู่ในระดับที่ยอมรับได้ รวมถึงรวบรวมและเชื่อมโยงความเสี่ยงด้านข้อมูลและด้านอื่น ๆ ของธุรกิจ พร้อมนำเสนอผลการบริหารจัดการความเสี่ยงแก่คณะกรรมการที่เกี่ยวข้อง

ด่านที่ 3 หรือ Third Line:
ประกอบไปด้วยผู้ตรวจสอบจากภายในและนอกองค์กร ที่เข้ามาทำหน้าที่ตรวจสอบประสิทธิภาพการดำเนินงานของแนวป้องกันที่ 1 และ 2 ผ่านการรีวิวและประเมินการออกแบบและการนำโปรแกรมจัดการความเสี่ยงไปปฏิบัติ โดยทั่วไปแล้วผู้ตรวจสอบภายในองค์กรจะทำหน้าที่รายงานฝ่ายบริหารและผู้ควบคุม ในขณะที่ผู้ตรวจสอบจากภายนอกจะช่วยในส่วนของการปกป้องผลประโยชน์และการปฏิบัติตามกฎระเบียบ มาตรฐาน รวมถึงประเมินการออกแบบและกระบวนการจัดการความเสี่ยงขององค์กรโดยภาพรวม 

ประโยชน์ของ Three Lines Model

Three Lines Model ช่วยองค์กรธุรกิจจัดการและควบคุมความเสี่ยงได้อย่างมีประสิทธิภาพมากขึ้น ผ่านการยกระดับการกำกับดูแลข้อมูลและขีดความสามารถในการฟื้นตัวเมื่อเกิดปัญหา โดยประโยชน์ของโมเดลมีดังต่อไปนี้

• บทบาทหน้าที่ชัดเจน: มีการระบุบทบาทและความรับผิดชอบผู้ปฏิบัติงานอย่างชัดเจนทั้ง 3 ด่านป้องกัน ลดช่องว่างและปัญหาการกำกับดูแลความเสี่ยงในภาพรวม
• ประเมินความเสี่ยง: ในส่วนของ Third Line ที่มีความเป็นอิสระและการประเมินอย่างเป็นรูปธรรมเกี่ยวกับประสิทธิภาพของกระบวนการจัดการความเสี่ยง ทำให้ผู้มีส่วนได้ส่วนเสียภายนอกมั่นใจได้ว่าความเสี่ยงถูกจัดการอย่างเหมาะสม ในขณะที่มุมมองภายในเห็นการปรับปรุงอย่างต่อเนื่อง 
• การกำกับดูแลเข้มแข็งขึ้น: การดำเนินงานในส่วนของ Second Line ที่เกี่ยวข้องกับการจัดการความเสี่ยงและการปฏิบัติตามนโยบาย มาตรฐานหรือข้อบังคับ ช่วยให้กระบวนการบริหารจัดการความเสี่ยงดำเนินและบังคับใช้กฎระเบียบต่าง ๆ ดำเนินไปในทิศทางเดียวกัน ส่งผลให้องค์กรปฏิบัติตามกฎระเบียบและมาตรฐานอุตสาหกรรม ลดความเสี่ยงต่อภาพลักษณ์และการกระทำผิดกฎหมาย
• จัดสรรทรัพยากรอย่างมีประสิทธิภาพ: การกระจายความรับผิดชอบไปยัง 3 ด่านป้องกัน ช่วยให้การจัดสรรทรัพยากรขององค์กรมีประสิทธิภาพมากขึ้น โดยพนักงานสามารถโฟกัสกับการจัดการความเสี่ยงในแต่ละวัน ในขณะที่ฝ่ายบริหารจัดการกับความเสี่ยงโดยภาพรวม และผู้เชี่ยวชาญเฉพาะด้านโฟกัสกับตรวจสอบดูแลภาพรวมทั้งภายในและภายนอกได้อย่างเต็มที่
• รับรู้ข้อมูลความเสี่ยงในทุกมิติ: โมเดลนี้ทำให้ธุรกิจเห็นภาพรวมความเสี่ยงทั้งหมดทำให้สามารถเลือกใช้กลยุทธ์และแผนจัดการความเสี่ยงได้อย่างเหมาะสม นอกจากนี้องค์กรยังสามารถจัดการกับความเสี่ยงใหม่ได้อย่างรวดเร็วและใช้ประโยชน์จากโอกาสต่าง ๆ ที่เกิดขึ้น ที่สำคัญโมเดลนี้ยังส่งเสริมให้เกิดวัฒนธรรมการตัดสินใจด้วยข้อมูลและการตระหนักถึงภัยคุกคามไซเบอร์ในองค์กรอีกด้วย 

ความท้าทายที่มาพร้อมกับประสิทธิภาพของ Three Lines Model

แม้ Three Lines Model มีประโยชน์มากมาย แต่ก็ปฏิเสธไม่ได้ว่ามันมีความท้าทายและอุปสรรครอให้องค์กรธุรกิจรับมือและจัดการ ได้แก่

1. ความรู้ความเข้าใจของผู้ปฏิบัติงาน 
2. การให้ความสำคัญกับกฎระเบียบมากเกินไป 
3. การจัดสรรทรัพยากร 
4. การรับมือกับความเปลี่ยนแปลง 
5. การประเมินและรายงานผล
6. ขีดความสามารถในการปรับใช้โมเดลในองค์กร
7. ความสามารถในการรับความเสี่ยงของแต่ละภาคส่วน

แน่นอนว่าการจัดการกับความท้าทายดังกล่าวนี้ไม่ง่าย เพราะต้องอาศัยความรู้ความเข้าใจทั้งด้านเทคโนโลยี ประสบการณ์และบริบทต่าง ๆ ที่เกี่ยวข้องกับ Data Governance ‘บลูบิค’ ในฐานะที่ปรึกษาด้านการบริหารจัดการข้อมูลขนาดใหญ่และการวิเคราะห์ข้อมูลขั้นสูง พร้อมเป็นส่วนหนึ่งในการวางรากฐาน Data Governance ขององค์กรคุณ ด้วยการยกระดับความมั่นคงปลอดภัยให้แก่ข้อมูลได้อย่างแท้จริงและสามารถนำข้อมูลไปใช้ได้อย่างเหมาะสม สำหรับองค์กรที่สนใจสามารถติดต่อขอข้อมูลจากทีมงานผู้เชี่ยวชาญเฉพาะด้าน Data Governance ของบลูบิคได้ที่

✉ [email protected] 

☎ 02-636-7011

ขอบคุณข้อมูลอ้างอิงจาก theiia, techtarget