ข้อมูลเป็นทรัพย์สินที่สำคัญของสถาบันการเงิน การนำเทคโนโลยีมาประยุกต์เพื่อใช้ประโยชน์จากข้อมูล ตั้งแต่ข้อมูลทั่วไปจนถึงข้อมูลทางการเงินของลูกค้าที่มีจำนวนเพิ่มมากขึ้น เป็นกลไกในการขับเคลื่อนการให้บริการทางการเงินในยุคปัจจุบัน โดยสถาบันการเงินนำเอาข้อมูลเหล่านั้นมาพัฒนาผลิตภัณฑ์และการบริการทางการเงินให้ตรงกับความต้องการของลูกค้า รวมทั้งสามารถใช้ประโยชน์ จากข้อมูลในการบริหารความเสี่ยงอย่างมีประสิทธิภาพ บนพื้นฐานของการคุ้มครองข้อมูลและรักษาผลประโยชน์ของลูกค้า หากสถาบันการเงินไม่มีการกำกับดูแลและบริหารจัดการข้อมูลได้อย่างเหมาะสมเพียงพอ อาจก่อให้เกิดความเสี่ยงที่มีนัยสำคัญจนกระทบต่อความเชื่อมั่นของระบบสถาบันการเงินได้
Credit: ธนาคารแห่งประเทศไทย
โดยสถาบันการเงินได้กำหนดการกำกับดูแลข้อมูลไว้ 5 หลักการ ได้แก่
1. นโยบายการกำกับดูแลข้อมูล
สถาบันการเงินควรกำหนดนโยบายในการกำกับดูแลข้อมูลให้สอดคล้องกับขนาด ลักษณะการดำเนินธุรกิจ ความซับซ้อนของธุรกิจ และความเสี่ยงด้านข้อมูลของสถาบันการเงิน รวมถึงสื่อสารนโยบายดังกล่าวเพื่อสร้างความตระหนักแก่พนักงานในองค์กร รวมทั้งให้พนักงานถือปฏิบัติตาม โดย
– นโยบายการกำกับดูแลข้อมูลควรทำเป็นลายลักษณ์อักษรให้ครอบคลุมการดูแลข้อมูลทุกประเภทของสถาบันการเงิน
– นโยบายการกำกับดูแลข้อมูลต้องได้รับอนุมัติจากคณะกรรมการที่ได้รับมอบหมายและทบทวนตามความถี่ให้เหมาะสม ซึ่งรวมถึงเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ
– มีการชี้แจงและสื่อสารนโยบายให้ผู้ที่เกี่ยวข้องทราบอย่างทั่วถึง โดยประกาศใช้อย่างเป็นทางการ และให้ทุกคนในองค์กรถือปฏิบัติ
2. โครงสร้างการกำกับดูแลข้อมูลตามหลัก three lines of defense
เพื่อเอื้อต่อการทำหน้าที่ควบคุมกำกับและตรวจสอบ และมีการแบ่งแยกหน้าที่ (segregation of duty) อย่างชัดเจน รวมถึงบริหารจัดการทรัพยากรให้มีความเพียงพอเหมาะสม โดย
– กำหนดบุคลากรและหน่วยงานที่มีบทบาทหน้าที่และความรับผิดชอบเกี่ยวกับการกำกับดูแลข้อมูลโดยตรงและครอบคลุมหน้าที่
– จัดให้มีทรัพยากรทั้งด้านบุคลากรและเครื่องมือให้เพียงพอที่จะสนับสนุนการปฏิบัติงานที่เกี่ยวข้องกับการกำกับดูแลข้อมูล รวมถึงมีบุคลากรที่มีความรู้ ความเชี่ยวชาญหรือประสบการณ์เพียงพอในการปฏิบัติหน้าที่
– กำหนดแผนงานการเสริมสร้างความตระหนักด้านการกำกับดูแลข้อมูลแก่ บุคลากรทุกระดับ รวมถึงบุคคลภายนอกที่เกี่ยวข้องอย่างต่อเนื่อง
3. การบริหารจัดการตลอดวงจรชีวิตของข้อมูล
ควรบริหารจัดการข้อมูลตลอดวงจรชีวิตของข้อมูล ตั้งแต่การสร้างหรือ การได้มาซึ่งข้อมูล การใช้งานหรือการเปิดเผย การจัดเก็บ และการทำลายข้อมูล โดยคำนึงถึงความเสี่ยงที่อาจเกิดขึ้นในแต่ละขั้นตอนของวงจรชีวิตและมีการควบคุมดูแลที่เหมาะสมเพื่อให้มั่นใจว่าข้อมูลในทุกขั้นตอนของวงจรชีวิตมีคุณภาพ มั่นคงปลอดภัย มีความเป็นส่วนบุคคล โดย
– ควรจัดทำแผนภาพหรือการบันทึกในรูปแบบอื่นใดที่สามารถแสดงให้เห็นถึง ความเชื่อมโยงของข้อมูลทั้งองค์กร ซึ่งครอบคลุมตั้งแต่การสร้างหรือการได้มาซึ่งข้อมูล การรับส่ง ข้อมูลระหว่างระบบงาน การใช้งานหรือเปิดเผย การจัดเก็บข้อมูลบนระบบงานและสื่อบันทึกข้อมูลต่าง ๆ
– มีการบริหารจัดการคำอธิบายชุดข้อมูล เพื่อให้สามารถนำข้อมูลไปใช้วิเคราะห์ เชื่อมโยงความสัมพันธ์ของระบบที่เกี่ยวข้องได้อย่างครบถ้วนถูกต้อง
– มีการบริหารจัดการคุณภาพข้อมูล เพื่อให้ข้อมูลมีคุณภาพ น่าเชื่อถือ สามารถนำไปใช้ประกอบการวิเคราะห์และตัดสินใจทางธุรกิจได้อย่างถูกต้องเหมาะสม
– ติดตามและบริหารจัดการความเสี่ยงด้านข้อมูลตลอดวงจรชีวิตให้เหมาะสมและเป็นไปตามแนวทางการบริหารจัดการความเสี่ยงของสถาบันการเงิน
4. การรักษาความมั่นคงปลอดภัยของข้อมูลและการรักษาความเป็นส่วนบุคคลของข้อมูล
ตลอดวงจรชีวิตให้สอดคล้องกับระดับความเสี่ยงของข้อมูล ให้เป็นไปตามกฎเกณฑ์และกฎหมายที่เกี่ยวข้อง โดย
– มีการรักษาความมั่นคงปลอดภัยของข้อมูลที่ครอบคลุมการรับส่งข้อมูลผ่านเครือข่าย การสื่อสาร การจัดเก็บหรือใช้ข้อมูลบนระบบงานและสื่อบันทึกข้อมูลต่าง ๆ การเก็บรักษาและ การทำลายข้อมูล
– มีการรักษาความเป็นส่วนบุคคลของข้อมูล ให้สอดคล้องกับกฎเกณฑ์และกฎหมายที่เกี่ยวข้อง
– มีการดูแลข้อมูลของลูกค้าให้เป็นไปตามมาตรฐานขั้นต่ำสำหรับการดูแลข้อมูลของลูกค้า
5. การบริหารจัดการประเด็นปัญหาด้านข้อมูล
สถาบันการเงินควรเตรียมความพร้อมในการบริหารจัดการประเด็นปัญหาด้านข้อมูลเพื่อป้องกันไม่ให้เกิดเหตุการณ์ที่อาจนำไปสู่ความเสียหาย หรือเพื่อลดผลกระทบ กรณีมีความเสียหายเกิดขึ้นแล้ว
– มีกระบวนการติดตามและบริหารจัดการประเด็นปัญหาด้านข้อมูล ทั้งการตรวจจับ การระบุ การยับยั้งปัญหา
การวิเคราะห์หาสาเหตุ การรวบรวมหลักฐานหรือเอกสาร การแก้ไขปัญหา การบริหารจัดการให้สามารถกลับมาดำเนินธุรกิจได้ตามปกติ
– มีการเตรียมความพร้อมรองรับกรณีเกิดเหตุการละเมิดข้อมูล เช่น ข้อมูลรั่วไหล โดยเฉพาะกรณีที่เป็นข้อมูลส่วนบุคคล สถาบันการเงินต้องแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลตามที่กำหนดไว้
ดังนั้น การนำ Data Governance มาใช้ในสถาบันการเงินจึงเป็นสิ่งที่สำคัญและจำเป็นเพื่อเสริมสร้างความสามารถในการแข่งขันและการป้องกันความเสี่ยงในตลาดที่มีการเปลี่ยนแปลงอย่างรวดเร็ว และยังช่วยให้มั่นใจว่าข้อมูลที่ใช้ในองค์กรมีคุณภาพสูง ถูกต้อง และเชื่อถือได้ โดยการกำหนดแนวทางในการจัดการข้อมูลอย่างชัดเจน
สอบถามข้อมูลเพิ่มเติมเกี่ยวกับ Data Governance ได้ที่
Tel. 097-979-5656
Line ID: @greengrapes