ในวันที่ Data เป็นหัวใจสำคัญของการขับเคลื่อนธุรกิจ แต่ในทางกลับกันก็อาจนำไปสู่ความเสียหายได้ หากขาดการกำกับดูแลข้อมูลหรือ Data Governance ที่ดีพอ เพราะโลกเรากำลังเผชิญกับภัยคุกคามไซเบอร์ที่ขยายตัวอย่างไม่เคยเกิดขึ้นมาก่อน ตีคู่มากับพัฒนาการของเทคโนโลยี AI ที่ต้องอาศัยข้อมูลมหาศาลในการเรียนรู้ ส่งผลให้ความกังวลด้านความปลอดภัยและข้อมูลรั่วไหล ปกคลุมตั้งแต่ระดับองค์กรธุรกิจ ภาครัฐ จนถึงบุคคลทั่วไป 

ผลกระทบจากภัยคุกคามไซเบอร์และการนำข้อมูลไปใช้แบบไร้การควบคุม กำลังกดดันธุรกิจให้จริงจังกับ Data Governance อย่างไรก็ตาม การผลักดัน Data Governance ให้ประสบความสำเร็จนั้นไม่ง่าย แต่ก็ยังมีตัวช่วยให้ธุรกิจสามารถบรรลุวัตถุประสงค์ของการกำกับดูแลข้อมูลได้ นั่นคือ ‘Three Lines Model’  

Three Lines Model คืออะไร 

Three Lines Model คือ แนวทางการบริหารจัดการความเสี่ยงด้านข้อมูล ที่สามารถช่วยองค์กรระบุและบริหารจัดการความเสี่ยงได้อย่างมีประสิทธิภาพ ผ่านการสร้างแนวป้องกัน 3 ด่าน ได้แก่ ฝ่ายธุรกิจและหน่วยปฏิบัติการ ฝ่ายบริหารความเสี่ยงและปฏิบัติตามข้อกำหนด รวมถึงการตรวจสอบภายในและภายนอกองค์กร 

The Institute of Internal Auditors – IIA ระบุว่า Three Lines Model เกิดจากการประสานความร่วมมือของปราการทั้ง 3 ด่าน ที่มีเป้าหมายบริหารจัดการความเสี่ยง และการกำกับดูแลภายใน (Internal Governance)  

วัตถุประสงค์ของ Three Lines Model 

สำหรับ Three Lines Model มีการกำหนดบทบาทและความรับผิดชอบที่ชัดเจน รวมถึงการกำกับดูแลโดยคณะทำงาน ผู้บริหารระดับสูง และการรับรองโดยหน่วยงาน/บุคคลภายนอก เพื่อบรรลุเป้าหมายดังต่อไปนี้ 

• การปรับเปลี่ยนเพื่อบรรลุเป้าหมายองค์กร 

• การให้ความสำคัญกับการบริหารจัดการความเสี่ยง เพื่อผลักดันให้การกำกับดูแลประสบความสำเร็จ และเป็นไปตามวัตถุประสงค์ที่วางไว้ 

• การกำหนดบทบาทและความรับผิดชอบ รวมถึงความเกี่ยวข้องกันของทุกตำแหน่งในโมเดล 

• การดำเนินมาตรการเพื่อให้กิจกรรมและวัตถุประสงค์ สอดรับกับผลประโยชน์ของผู้ที่มีส่วนได้ส่วนเสีย 

3 ด่านแนวป้องกันของ Three Lines of Defense 

Three Lines Model จะใช้วิธีเข้าไปจัดการความเสี่ยงอย่างมีประสิทธิภาพ โดยมีหน่วยธุรกิจ การปฏิบัติตามข้อบังคับ การตรวจสอบและบริหารจัดการความเสี่ยงจากพนักงาน เป็นแกนหลักของโมเดลและทุกฝ่ายมีหน้าที่เฉพาะของตนเอง ซึ่งแบ่งออกเป็น 3 ด่าน ดังต่อไปนี้  

ด่านที่ 1 หรือ First Line : ฝ่ายธุรกิจและหน่วยปฏิบัติการ 

ประกอบไปด้วยหน่วยผู้ปฏิบัติงาน ดังต่อไปนี้ 

1. เจ้าของข้อมูล (Data Domain Owner/Data Owner) มีหน้าที่  

• อนุมัติการดำเนินการต่าง ๆ ที่เกี่ยวข้องกับข้อมูล 

• ดูแลการบริหารจัดการข้อมูลให้เป็นไปตามนโยบาย มาตรฐาน และระเบียบปฏิบัติเกี่ยวกับ Data Governance 

• จัดทำทะเบียนข้อมูลและอัปเดตให้เป็นปัจจุบัน รวมถึงกำหนดลำดับชั้นความลับ และเกณฑ์คุณภาพของข้อมูล  

2. หัวหน้าบริกรข้อมูล (Lead Data Steward) มีหน้าที่  

• กำหนดปริมาณงานของบริกรข้อมูลในแต่ละฟังก์ชัน  

• ให้คำปรึกษาปัญหาด้านข้อมูล อาทิ คุณภาพข้อมูลและ Cyber Security 

• สื่อสารให้ความรู้ แนะนำนโยบายและระเบียบเกี่ยวกับ Data Governance  

• ทำงานร่วมกับฝ่ายกำกับดูแลข้อมูล (DG Office)  

• ติดตามการปฏิบัติตามนโยบายข้อมูล และสถานะการบริหารจัดการในภาพรวม รวมถึงรายงานผล/ปัญหา/ความเสี่ยงต่อผู้ที่เกี่ยวข้อง 

3. บริกรข้อมูล (Data Steward) มีกรอบการทำงานคล้ายกับ Lead Data Steward เพียงแต่บริกรข้อมูลจะรายงานผลและประเด็นปัญหา/ความเสี่ยงที่พบต่อหัวหน้าบริกรข้อมูล 

4. ผู้สร้างข้อมูล (Data Creator) มีหน้าที่บันทึก แก้ไข ปรับปรุงหรือลบข้อมูลให้สอดคล้องกับโครงสร้างที่กำหนด และทำงานร่วมกับบริกรข้อมูลในการตรวจสอบ และแก้ไขปัญหาด้านคุณภาพข้อมูลและ Cyber Security 

5. ผู้ใช้ข้อมูล (Data User) มีหน้าที่ ปฏิบัติตามนโยบาย มาตรฐานและระเบียบของ Data Governance และรายงานถึงปัญหาคุณภาพและความปลอดภัย ที่พบระหว่างการใช้ข้อมูลให้แก่บริกรข้อมูล 

6. ผู้ดูแลข้อมูล (Data Custodian) มีหน้าที่ ดูแล จัดเก็บหรือจัดการข้อมูลให้เป็นไปตามนโนบาย มาตรฐาน และระเบียบปฏิบัติขององค์กร  

ด่านที่ 2 หรือ Second Line : ฝ่ายบริหารความเสี่ยงและปฏิบัติตามข้อกำหนด 

กลุ่มงานที่ทำหน้าที่กำหนดกฎเกณฑ์ และควบคุมดูแลการดำเนินงานของหน่วยงานต่าง ๆ ได้แก่  

1. Data Governance Office (DG Office) มีหน้าที่ ดังนี้ 

• กำหนดกลยุทธ์และวัตถุประสงค์เกี่ยวกับการขับเคลื่อนองค์กร ด้วยข้อมูลร่วมกับ DG Council 

• กำหนด ทบทวนและแนะนำ เปลี่ยนแปลงนโยบาย มาตรฐาน แนวทางและกระบวนการต่าง ๆ เกี่ยวกับการบริหารจัดการข้อมูลและ Data Governance ให้เป็นปัจจุบัน  

• ผลักดันการจัดตั้งและกำกับดูแลโครงการ/โปรแกรมการจัดการข้อมูล  

• สนับสนุนการดำเนินงานของ DG Council รวมถึงเสนอแนวทางและการจัดการข้อมูลร่วมกับทีมบริกรข้อมูล 

• ติดตาม ดูแล ให้คำปรึกษา ตรวจสอบ และรายงานผลการปฏิบัติงานด้านข้อมูล 

2. แผนกบริหารความเสี่ยง (Risk Management) มีหน้าที่ ดังนี้ 

• จัดทำกรอบและกระบวนการบริหารจัดการความเสี่ยงของธุรกิจ 

• ให้คำปรึกษา ติดตาม และทบทวนความเสี่ยงด้านข้อมูลให้อยู่ในระดับที่ยอมรับได้ รวมถึงรวบรวมและเชื่อมโยงความเสี่ยงด้านข้อมูล และด้านอื่น ๆ ของธุรกิจ พร้อมนำเสนอผลการบริหารจัดการความเสี่ยงแก่คณะกรรมการที่เกี่ยวข้อง 

ด่านที่ 3 หรือ Third Line : การตรวจสอบภายในและภายนอกองค์กร 

ประกอบไปด้วย ผู้ตรวจสอบจากภายในและนอกองค์กร ที่เข้ามาทำหน้าที่ตรวจสอบประสิทธิภาพการดำเนินงานของแนวป้องกันที่ 1 และ 2 ผ่านการรีวิวและประเมินการออกแบบ รวมถึงการนำโปรแกรมจัดการความเสี่ยงไปปฏิบัติ โดยทั่วไปแล้ว ผู้ตรวจสอบภายในองค์กรจะทำหน้าที่รายงานฝ่ายบริหารและผู้ควบคุม ในขณะที่ผู้ตรวจสอบจากภายนอกจะช่วยในส่วนของการปกป้องผลประโยชน์ และการปฏิบัติตามกฎระเบียบ มาตรฐาน รวมถึงประเมินการออกแบบและกระบวนการจัดการความเสี่ยงขององค์กรโดยภาพรวม  

5 ประโยชน์ของ Three Lines Model 

Three Lines Model สามารถช่วยองค์กรธุรกิจจัดการ และควบคุมความเสี่ยงได้อย่างมีประสิทธิภาพมากขึ้น ผ่านการยกระดับการกำกับดูแลข้อมูล และขีดความสามารถในการฟื้นตัวเมื่อเกิดปัญหา โดยประโยชน์ของโมเดล มีดังต่อไปนี้ 

1. บทบาทหน้าที่ชัดเจน 

มีการระบุบทบาทและความรับผิดชอบผู้ปฏิบัติงานอย่างชัดเจนทั้ง 3 ด่านป้องกัน ลดช่องว่าง และปัญหาการกำกับดูแลความเสี่ยงในภาพรวม 

2. ประเมินความเสี่ยง 

ในส่วนของ Third Line ที่มีความเป็นอิสระและการประเมินอย่างเป็นรูปธรรม เกี่ยวกับประสิทธิภาพของกระบวนการจัดการความเสี่ยง ทำให้ผู้มีส่วนได้ส่วนเสียภายนอกมั่นใจได้ว่า ความเสี่ยงถูกจัดการอย่างเหมาะสม ในขณะที่มุมมองภายในเห็นการปรับปรุงอย่างต่อเนื่อง  

3. การกำกับดูแลเข้มแข็งขึ้น 

การดำเนินงานในส่วนของ Second Line ที่เกี่ยวข้องกับการจัดการความเสี่ยง และการปฏิบัติตามนโยบาย มาตรฐานหรือข้อบังคับ ช่วยให้กระบวนการบริหารจัดการความเสี่ยง และการบังคับใช้กฎระเบียบต่าง ๆ ดำเนินไปในทิศทางเดียวกัน ส่งผลให้องค์กรปฏิบัติตามกฎระเบียบและมาตรฐานอุตสาหกรรม ลดความเสี่ยงต่อภาพลักษณ์และการกระทำที่ผิดกฎหมาย 

4. จัดสรรทรัพยากรอย่างมีประสิทธิภาพ 

การกระจายความรับผิดชอบไปยัง 3 ด่านป้องกัน ช่วยให้การจัดสรรทรัพยากรขององค์กรมีประสิทธิภาพมากขึ้น โดยพนักงานสามารถโฟกัสกับการจัดการความเสี่ยงในแต่ละวัน ในขณะที่ฝ่ายบริหารจัดการกับความเสี่ยงโดยภาพรวม และผู้เชี่ยวชาญเฉพาะด้านโฟกัสกับตรวจสอบดูแลภาพรวม ทั้งภายในและภายนอกได้อย่างเต็มที่ 

5. รับรู้ข้อมูลความเสี่ยงในทุกมิติ 

โมเดลนี้ทำให้ธุรกิจเห็นภาพรวมความเสี่ยงทั้งหมด ทำให้สามารถเลือกใช้กลยุทธ์และแผนจัดการความเสี่ยงได้อย่างเหมาะสม นอกจากนี้ องค์กรยังสามารถจัดการกับความเสี่ยงใหม่ได้อย่างรวดเร็ว และใช้ประโยชน์จากโอกาสต่าง ๆ ที่เกิดขึ้น ที่สำคัญโมเดลนี้ยังส่งเสริมให้เกิดวัฒนธรรมการตัดสินใจ ด้วยข้อมูลและการตระหนักถึงภัยคุกคามไซเบอร์ในองค์กรอีกด้วย  

ความท้าทายที่มาพร้อมกับประสิทธิภาพของ Three Lines Model 

แม้ Three Lines Model มีประโยชน์มากมาย แต่ก็ปฏิเสธไม่ได้ว่า มันมีความท้าทายและอุปสรรครอให้องค์กรธุรกิจรับมือและจัดการ ได้แก่ 

• ความรู้ความเข้าใจของผู้ปฏิบัติงาน  

• การให้ความสำคัญกับกฎระเบียบมากเกินไป  

• การจัดสรรทรัพยากร  

• การรับมือกับความเปลี่ยนแปลง  

• การประเมินและรายงานผล 

• ขีดความสามารถในการปรับใช้โมเดลในองค์กร 

• ความสามารถในการรับความเสี่ยงของแต่ละภาคส่วน 

แน่นอนว่า การจัดการกับความท้าทายดังกล่าวนี้ไม่ง่าย เพราะต้องอาศัยความรู้ความเข้าใจทั้งด้านเทคโนโลยี ประสบการณ์และบริบทต่าง ๆ ที่เกี่ยวข้องกับ Data Governance ‘บลูบิค (Bluebik)’ ในฐานะที่ปรึกษาด้านการบริหารจัดการข้อมูลขนาดใหญ่ และการวิเคราะห์ข้อมูลขั้นสูง พร้อมเป็นส่วนหนึ่งในการวางรากฐาน Data Governance ขององค์กรคุณ ด้วยการยกระดับความมั่นคงปลอดภัยให้แก่ข้อมูลได้อย่างแท้จริง 

สำหรับธุรกิจที่ต้องการวางกลยุทธ์ด้าน Data Governance เพื่อเพิ่มศักยภาพการแข่งขันและสร้างการเติบโตให้องค์กร บลูบิค (Bluebik) มีทีมงานผู้เชี่ยวชาญด้าน Big Data & Advanced Analytics ที่สามารถให้บริการโซลูชันครบวงจร ตั้งแต่ระดับกลยุทธ์ไปจนถึงการนำไปปรับใช้ให้เหมาะสมกับองค์กร ผู้สนใจสามารถติดต่อสอบถามหรือปรึกษาได้ที่ [email protected] หรือโทรศัพท์ 02-636-7011 

ขอบคุณข้อมูลอ้างอิงจาก theiia, techtarget