fbpx
บทความ 29 สิงหาคม 2024

อยากมี Data Governance ที่แข็งแกร่ง ‘Three Lines Model’ ช่วยองค์กรคุณได้

ในวันที่ ข้อมูล เป็นหัวใจสำคัญของการขับเคลื่อนธุรกิจ แต่ในทางกลับกันก็อาจนำไปสู่ความเสียหายได้ หากขาดการกำกับดูแลข้อมูลหรือ Data Governance ที่ดีพอ เพราะโลกเรากำลังเผชิญกับภัยคุกคามไซเบอร์ที่ขยายตัวอย่างไม่เคยเกิดขึ้นมาก่อน ตีคู่มากับพัฒนาการของเทคโนโลยี AI ที่ต้องอาศัยข้อมูลมหาศาลในการเรียนรู้ ส่งผลให้ความกังวลด้านความปลอดภัยและข้อมูลรั่วไหล ปกคลุมตั้งแต่ระดับองค์กรธุรกิจ ภาครัฐ จนถึงบุคคลทั่วไป

ผลกระทบจากภัยคุกคามไซเบอร์และการนำข้อมูลไปแบบไร้การควบคุม กำลังกดดันธุรกิจให้จริงจังกับ Data Governance อย่างไรก็ตามการผลักดัน Data Governance ให้ประสบความสำเร็จนั้นไม่ง่าย แต่เรามีตัวช่วยธุรกิจให้บรรลุวัตถุประสงค์ของการกำกับดูแลข้อมูล คือ Three Lines Model 

‘Three Lines Model’ คืออะไร….มีวัตถุประสงค์อะไร?

Three Lines Model เป็นแนวทางการบริหารจัดการความเสี่ยงด้านข้อมูล ที่ช่วยองค์กรระบุและบริหารจัดการความเสี่ยงได้อย่างมีประสิทธิภาพ ผ่านการสร้างแนวป้องกัน 3 ด่าน 

The Institute of Internal Auditors – IIA ระบุว่า Three Lines Model นี้เป็นเกิดจากการประสานความร่วมมือของปราการทั้ง 3 ด่าน ที่มีเป้าหมายบริหารจัดการความเสี่ยงและการกำกับดูแลภายใน (Internal Governance) โดย Three Lines Model มีการกำหนดบทบาทและความรับผิดชอบที่ชัดเจน รวมถึงการกำกับดูแลโดยคณะทำงาน ผู้บริหารระดับสูงและการรับรองโดยหน่วยงาน/บุคคลภายนอก เพื่อบรรลุเป้าหมายดังต่อไปนี้

  • การปรับเปลี่ยนเพื่อบรรลุเป้าหมายองค์กร
  • การให้ความสำคัญกับการบริหารจัดการความเสี่ยง เพื่อผลักดันให้การกำกับดูแลประสบความสำเร็จและเป็นไปตามวัตถุประสงค์ที่วางไว้
  • การกำหนดบทบาทและความรับผิดชอบ รวมถึงความเกี่ยวข้องกันของทุกตำแหน่งในโมเดล
  • การดำเนินมาตรการ เพื่อให้กิจกรรมและวัตถุประสงค์สอดรับกับผลประโยชน์ของผู้ที่มีส่วนได้ส่วนเสีย

เจาะลึกบทบาท 3 แนวป้องกันของ Three Lines of Defense

Three Lines Model ใช้วิธีเข้าไปจัดการความเสี่ยงอย่างมีประสิทธิภาพ โดยมีหน่วยธุรกิจ การปฏิบัติตามข้อบังคับ การตรวจสอบและบริหารจัดการความเสี่ยงจากพนักงาน เป็นแกนหลักของโมเดลและทุกฝ่ายมีหน้าที่เฉพาะของตนเอง ซึ่งแบ่งออกเป็น 3 ด่านดังต่อไปนี้

ด่านที่ 1 หรือ First Line:
ประกอบไปด้วยหน่วยผู้ปฏิบัติงาน ดังต่อไปนี้

  1. เจ้าของข้อมูล (Data Domain Owner/Data Owner) มีหน้าที่ 
  • อนุมัติการดำเนินการต่าง ๆ ที่เกี่ยวข้องกับข้อมูล
  • ดูแลการบริหารจัดการข้อมูลให้เป็นไปตามนโยบาย มาตรฐานและระเบียบปฏิบัติเกี่ยวกับ Data Governance
  • จัดทำทะเบียนข้อมูลและอัปเดตให้เป็นปัจจุบัน รวมถึงกำหนดลำดับชั้นความลับและเกณฑ์คุณภาพของข้อมูล 
  1. หัวหน้าบริกรข้อมูล (Lead Data Steward) มีหน้าที่ 
  • กำหนดปริมาณงานของบริกรข้อมูลในแต่ละฟังก์ชัน 
  • ให้คำปรึกษาปัญหาด้านข้อมูล อาทิ คุณภาพข้อมูลและ Cyber Security  
  • สื่อสาร ให้ความรู้และแนะนำนโยบายและระเบียบเกี่ยวกับ Data Governance 
  • ทำงานร่วมกับฝ่ายกำกับดูแลข้อมูล (DG Office) 
  • ติดตามการปฏิบัติตามนโยบายข้อมูลและสถานะการบริหารจัดการในภาพรวม รวมถึงรายงานผล/ปัญหา/ความเสี่ยงต่อผู้ที่เกี่ยวข้อง
  1. บริกรข้อมูล (Data Steward) มีกรอบการทำงานคล้ายกับ Lead Data Steward) เพียงแต่บริกรข้อมูลจะรายงานผลและประเด็นปัญหา/ความเสี่ยงที่พบต่อหัวหน้าบริกรข้อมูล
  2. ผู้สร้างข้อมูล (Data Creator) มีหน้าที่ บันทึก แก้ไข ปรับปรุงหรือลบข้อมูลให้สอดคล้องกับโครงสร้างที่กำหนด และทำงานร่วมกับบริกรข้อมูลในการตรวจสอบและแก้ไขปัญหาด้านคุณภาพข้อมูลและ Cyber Security
  3. ผู้ใช้ข้อมูล (Data User) มีหน้าที่ ปฏิบัติตามนโยบาย มาตรฐานและระเบียบของ Data Governance และรายงานถึงปัญหาคุณภาพและความปลอดภัยที่พบระหว่างการใช้ข้อมูลให้แก่ บริกรข้อมูล
  4. ผู้ดูแลข้อมูล (Data Custodian) มีหน้าที่ ดูแล จัดเก็บหรือจัดการข้อมูลให้เป็นไปตามนโนบาย มาตรฐานและระเบียบปฏิบัติขององค์กร 

ด่านที่ 2 หรือ Second Line:
กลุ่มงานที่ทำหน้าที่กำหนดกฎเกณฑ์และควบคุมดูแลการดำเนินงานของหน่วยงานต่าง ๆ ได้แก่ 

  1. Data Governance Office (DG Office) มีหน้าที่
  • กำหนดกลยุทธ์และวัตถุประสงค์เกี่ยวกับการขับเคลื่อนองค์กรด้วยข้อมูลร่วมกับ DG Council
  • กำหนด ทบทวนและแนะนำ เปลี่ยนแปลงนโยบาย มาตรฐาน แนวทางและกระบวนการต่าง ๆ เกี่ยวกับการบริหารจัดการข้อมูลและ Data Governance ให้เป็นปัจจุบัน 
  • ผลักดันการจัดตั้งและกำกับดูแลโครงการ/โปรแกรมการจัดการข้อมูล 
  • สนับสนุนการดำเนินงานของ DG Council รวมถึงเสนอแนวทางและการจัดการข้อมูลร่วมกับทีมบริกรข้อมูล
  • ติดตาม ดูแล ให้คำปรึกษา ตรวจสอบและรายงานผลการปฏิบัติงานด้านข้อมูล
  1. แผนกบริหารความเสี่ยง (Risk Management) มีหน้าที่
  • จัดทำกรอบและกระบวนการบริหารจัดการความเสี่ยงของธุรกิจ
  • ให้คำปรึกษา ติดตามและทบทวนความเสี่ยงด้านข้อมูลให้อยู่ในระดับที่ยอมรับได้ รวมถึงรวบรวมและเชื่อมโยงความเสี่ยงด้านข้อมูลและด้านอื่น ๆ ของธุรกิจ พร้อมนำเสนอผลการบริหารจัดการความเสี่ยงแก่คณะกรรมการที่เกี่ยวข้อง

ด่านที่ 3 หรือ Third Line:
ประกอบไปด้วยผู้ตรวจสอบจากภายในและนอกองค์กร ที่เข้ามาทำหน้าที่ตรวจสอบประสิทธิภาพการดำเนินงานของแนวป้องกันที่ 1 และ 2 ผ่านการรีวิวและประเมินการออกแบบและการนำโปรแกรมจัดการความเสี่ยงไปปฏิบัติ โดยทั่วไปแล้วผู้ตรวจสอบภายในองค์กรจะทำหน้าที่รายงานฝ่ายบริหารและผู้ควบคุม ในขณะที่ผู้ตรวจสอบจากภายนอกจะช่วยในส่วนของการปกป้องผลประโยชน์และการปฏิบัติตามกฎระเบียบ มาตรฐาน รวมถึงประเมินการออกแบบและกระบวนการจัดการความเสี่ยงขององค์กรโดยภาพรวม 

ประโยชน์ของ Three Lines Model

Three Lines Model ช่วยองค์กรธุรกิจจัดการและควบคุมความเสี่ยงได้อย่างมีประสิทธิภาพมากขึ้น ผ่านการยกระดับการกำกับดูแลข้อมูลและขีดความสามารถในการฟื้นตัวเมื่อเกิดปัญหา โดยประโยชน์ของโมเดลมีดังต่อไปนี้

  • บทบาทหน้าที่ชัดเจน: มีการระบุบทบาทและความรับผิดชอบผู้ปฏิบัติงานอย่างชัดเจนทั้ง 3 ด่านป้องกัน ลดช่องว่างและปัญหาการกำกับดูแลความเสี่ยงในภาพรวม
  • ประเมินความเสี่ยง: ในส่วนของ Third Line ที่มีความเป็นอิสระและการประเมินอย่างเป็นรูปธรรมเกี่ยวกับประสิทธิภาพของกระบวนการจัดการความเสี่ยง ทำให้ผู้มีส่วนได้ส่วนเสียภายนอกมั่นใจได้ว่าความเสี่ยงถูกจัดการอย่างเหมาะสม ในขณะที่มุมมองภายในเห็นการปรับปรุงอย่างต่อเนื่อง 
  • การกำกับดูแลเข้มแข็งขึ้น: การดำเนินงานในส่วนของ Second Line ที่เกี่ยวข้องกับการจัดการความเสี่ยงและการปฏิบัติตามนโยบาย มาตรฐานหรือข้อบังคับ ช่วยให้กระบวนการบริหารจัดการความเสี่ยงดำเนินและบังคับใช้กฎระเบียบต่าง ๆ ดำเนินไปในทิศทางเดียวกัน ส่งผลให้องค์กรปฏิบัติตามกฎระเบียบและมาตรฐานอุตสาหกรรม ลดความเสี่ยงต่อภาพลักษณ์และการกระทำผิดกฎหมาย
  • จัดสรรทรัพยากรอย่างมีประสิทธิภาพ: การกระจายความรับผิดชอบไปยัง 3 ด่านป้องกัน ช่วยให้การจัดสรรทรัพยากรขององค์กรมีประสิทธิภาพมากขึ้น โดยพนักงานสามารถโฟกัสกับการจัดการความเสี่ยงในแต่ละวัน ในขณะที่ฝ่ายบริหารจัดการกับความเสี่ยงโดยภาพรวม และผู้เชี่ยวชาญเฉพาะด้านโฟกัสกับตรวจสอบดูแลภาพรวมทั้งภายในและภายนอกได้อย่างเต็มที่
  • รับรู้ข้อมูลความเสี่ยงในทุกมิติ: โมเดลนี้ทำให้ธุรกิจเห็นภาพรวมความเสี่ยงทั้งหมดทำให้สามารถเลือกใช้กลยุทธ์และแผนจัดการความเสี่ยงได้อย่างเหมาะสม นอกจากนี้องค์กรยังสามารถจัดการกับความเสี่ยงใหม่ได้อย่างรวดเร็วและใช้ประโยชน์จากโอกาสต่าง ๆ ที่เกิดขึ้น ที่สำคัญโมเดลนี้ยังส่งเสริมให้เกิดวัฒนธรรมการตัดสินใจด้วยข้อมูลและการตระหนักถึงภัยคุกคามไซเบอร์ในองค์กรอีกด้วย 

ความท้าทายที่มาพร้อมกับประสิทธิภาพของ Three Lines Model

แม้ Three Lines Model มีประโยชน์มากมาย แต่ก็ปฏิเสธไม่ได้ว่ามันมีความท้าทายและอุปสรรครอให้องค์กรธุรกิจรับมือและจัดการ ได้แก่

  1. ความรู้ความเข้าใจของผู้ปฏิบัติงาน 
  2. การให้ความสำคัญกับกฎระเบียบมากเกินไป 
  3. การจัดสรรทรัพยากร 
  4. การรับมือกับความเปลี่ยนแปลง 
  5. การประเมินและรายงานผล
  6. ขีดความสามารถในการปรับใช้โมเดลในองค์กร
  7. ความสามารถในการรับความเสี่ยงของแต่ละภาคส่วน

แน่นอนว่าการจัดการกับความท้าทายดังกล่าวนี้ไม่ง่าย เพราะต้องอาศัยความรู้ความเข้าใจทั้งด้านเทคโนโลยี ประสบการณ์และบริบทต่าง ๆ ที่เกี่ยวข้องกับ Data Governance ‘บลูบิค’ ในฐานะที่ปรึกษาด้านการบริหารจัดการข้อมูลขนาดใหญ่และการวิเคราะห์ข้อมูลขั้นสูง พร้อมเป็นส่วนหนึ่งในการวางรากฐาน Data Governance ขององค์กรคุณ ด้วยการยกระดับความมั่นคงปลอดภัยให้แก่ข้อมูลได้อย่างแท้จริงและสามารถนำข้อมูลไปใช้ได้อย่างเหมาะสม สำหรับองค์กรที่สนใจสามารถติดต่อขอข้อมูลจากทีมงานผู้เชี่ยวชาญเฉพาะด้าน Data Governance ของบลูบิคได้ที่

[email protected] 

☎ 02-636-7011

ขอบคุณข้อมูลอ้างอิงจาก theiia, techtarget