การเขียนนโยบายธรรมาภิบาลข้อมูลที่ดี (Data Governance Policy)
ธรรมาภิบาลข้อมูล (Data Governance) คืออะไร … ต้องเริ่มอย่างไร … สองอย่างนี้เป็นคำถามที่ผมพบเจอบ่อยมากจากการดำเนินงานด้านธรรมาภิบาลข้อมูลให้กับหน่วยงานต่างๆ. ธรรมาภิบาลข้อมูล เป็น Next-Generation of Data Management ที่มี นโยบายธรรมาภิบาลข้อมูล (Data Governance Policy) หรือ นโยบายข้อมูล (Data Policy) ซึ่งเป็นเสมือนโน้ตดนตรีที่ไปกำกับการบรรเลงเพลงของเครื่องดนตรี ซึ่งหมายถึง การมี Data Governance ไปกำกับ Data Management นั่นเอง. แม้ว่าหลายๆ องค์กรจะมีได้ดำเนินงานด้าน Data Management เช่น Information Security Management, Master Data Management, Data Quality Management อื่นๆ เป็นปกติและมีมาตรฐานกำหนดสิ่งๆ ต่างไว้ดีแล้วก็ตาม แต่เมื่อได้ดำเนินงานด้าน ธรรมาภิบาลข้อมูล ที่ถูกต้องเหมาะสมแล้ว องค์กรจะเกิดความเชื่อมั่นในการใช้ข้อมูลมากยิ่งขึ้น. การเล่นดนตรีอาจไม่ต้องใช้โน้ต แต่ถ้ามีโน้ตที่ไปกำกับการเล่นของทุกเครื่องดนตรีแล้ว ก็จะช่วยทำการบรรเลงเพลงมีความสอดประสานและไพเราะมากยิ่งขึ้นนั่นเอง ด้วยเหตุนี้การมีนโยบายธรรมาภิบาลข้อมูลที่ดีจะช่วยให้องค์กรสามารถบริหารจัดการข้อมูลได้มีประสิทธิภาพมากยิ่งขึ้น และได้รับข้อมูลที่มีคุณภาพ อีกทั้งปลอดภาระทางกฎหมาย ซึ่งจะทำให้องค์กรก้าวสู่ Data Driven Organization ได้ไม่ยาก.
หลักการพื้นฐาน
ธรรมชาติของข้อมูลและบทเพลง นั่นมีความเหมือนกันอย่างหนึ่งคือ เป็นสิ่งที่เปลี่ยนแปลงไปตลอด (Fluid). ข้อมูลในองค์กรหนึ่งจะเริ่มต้นด้วยการสร้างข้อมูลขึ้นมาเองหรือไปรวบรวมมาจากนอกองค์กร แล้วนำมาเก็บบันทึก จากนั้นเป็นประมวลผลข้อมูล การใช้ประโยชน์จากข้อมูล และท้ายที่สุดคือการทำให้ข้อมูลอยู่ในสภาพที่ไม่สามารนำกลับมาใช้ได้อีกซึ่งก็คือการทำลายข้อมูล ข้อมูลจึงมีวงจรชีวิตของมัน (Data Life-Cycle) เช่นเดียวกับบทเพลงที่มีการเปลี่ยนแปลงทำนองเพลงไปตามห้องเพลงต่างๆ และสิ้นสุดที่ห้องเพลงสุดท้ายนั่นคือการจบเพลง.
การเขียนนโยบายธรรมาภิบาลข้อมูลก็เหมือนกับการเขียนโน้ตดนตรีที่เค้ามีหลักการระบุไว้ชัดเจน เช่น ตัวโน้ต ตัวหยุด การเพิ่มอัตราจังหวะ ตลอดจนระดับเสียง ต่างๆ เหล่านี้ว่าต้องเขียนอย่างไร แต่ก็ใช่ว่าทุกเครื่องดนตรีจะเห็นโน้ตดนตรีเดียวกันแม้ว่าเป็นการเล่นเพลงเดียวกันก็ตาม. ข้อความในธรรมาภิบาลข้อมูลก็ต้องแยกแยะให้เห็นชัดเจนด้วยว่า เมื่อถึงช่วงไหนของวงจรชีวิตของข้อมูลแล้ว ใครจะต้องทำอะไร (ไม่ใช่ “อย่างไร”) โดยที่การกระทำนั้นต้องปฏิบัติตามสิ่งไหนบ้าง (กฎหมาย ระเบียบ ข้อบังคับ มาตรฐาน แนวปฏิบัติ หรือนโยบายอื่นๆ ที่มีอยู่แล้ว).
ถ้อยคำที่ใช้ในนโยบายธรรมาภิบาลข้อมูล (Policy Statement) ต้องเป็นในเชิงของกำกับดูแล พฤติกรรม ของผู้เกี่ยวข้องกับข้อมูลทั้งหมด เพื่อผู้เกี่ยวข้องกับข้อมูลได้ทราบว่า พฤติกรรมของตนที่กำลังจะก่อให้เกิดการเปลี่ยนแปลงกับข้อมูลนั่น เป็นพฤติกรรมที่องค์กรยอมรับได้หรือไม่ เป็นข้อห้ามหรือเป็นสิ่งที่ควรจะต้องปฏิบัติให้บรรลุเป้าประสงค์ขององค์กร.
ตัวอย่างถ้อยคำที่ใช้ในนโยบายธรรมาภิบาลข้อมูล
(1) การสร้างหรือการรวบรวมข้อมูล ต้องมีการรักษาความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของข้อมูล และปฏิบัติตามแนวปฏิบัติในการปกป้องข้อมูลที่ระบุตัวบุคคล และแนวปฏิบัติในด้านความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของข้อมูลที่ได้รับความเห็นชอบจากคณะกรรมการ โดยให้เป็นไปตามบทบัญญัติของกฎหมาย
ตัวอย่างถ้อยคำฯ ตาม (1) มีข้อดีคือ ความครอบคลุมถึงทุกคนหรือนิติบุคคลที่มีบทบาทหน้าที่ในการสร้างหรือรวบรวมข้อมูล แต่อาจจำเป็นจะมีนิยามให้ชัดเจนด้วยว่า “ใคร” ซึ่งอาจหมายถึง “บุคคล” หรือ “กลุ่มบุคคล” หรือ “นิติบุคคล” จะมีหน้าที่สร้างหรือรวบรวมข้อมูลได้บ้าง นอกจากนี้เมื่อถึงคราวที่องค์กรจะต้องปฏิบัติตามกฎหมายใหม่ๆ หรือระเบียบ หรือมาตรฐานต่างๆ ที่เปลี่ยนแปลงไป. การเปลี่ยนแปลงดังกล่าวจะไม่กระทบต่อถ้อยคำในตัวนโยบายธรรมาภิบาลข้อมูลที่ใช้งานอยู่ เนื่องจากถ้อยคำฯ ตาม (1) ใช้คำว่า “โดยให้เป็นไปตามบทบัญญัติของกฎหมาย” และยังได้เปิดช่องให้เราสามารถเปลี่ยนแปลงมาตรฐานหรือแนวปฏิบัติใหม่ๆ ที่จำเป็นต้องปฏิบัติตาม ด้วยการนำไปเสนอขอรับความเห็นชอบต่อผู้มีอำนาจเท่านั้น ไม่ต้องแก้ไขถ้อยคำอะไรในตัวนโยบายฯ ให้ยุ่งยากอีกต่อไป. เราคงจะได้เห็นแล้วว่า ยุคสมัยนี้เป็นยุคที่มีสิ่งต่างๆ เปลี่ยนแปลงบ่อย อะไรที่ไม่เคยเกิดมันก็เกิดขึ้นมาให้เห็น และหลายๆ อย่างก็เกิดขึ้นอย่างรวดเร็วจนตั้งรับไม่ทัน โดยปกติทั่วไปแล้วระบบกฎหมายมักจะช้ากว่าเหตุการณ์ต่างๆ เสมอ การออกระเบียบ นโยบาย แนวปฏิบัติจะทำได้รวดเร็วกว่า ดังนั้นเพื่อให้มีนโยบายธรรมาภิบาลข้อมูลที่มีความคล่องตัว และสามารถรองรับสถานการณ์ใหม่ๆ ที่เกิดขึ้นโดยตลอดแล้ว จึงไม่ควรเขียนถ้อยคำในตัวนโยบายธรรมาภิบาลข้อมูลในลักษณะที่ผูกมัดชัดเจนจนกระทั่งเปลี่ยนแปลงได้ยาก.
ข้อแนะนำสำหรับนโยบายธรรมาภิบาลข้อมูลที่ดี
จากประสบการณ์การทำงาน พบว่า การเริ่มต้นอะไรสักอย่างอาจเป็นเรื่องยาก แต่สิ่งที่ยากยิ่งกว่า คือ การรักษามันไว้. เมื่อนโยบายธรรมาภิบาลข้อมูลมีผลใช้บังคับแล้ว เราต้องอยู่กับนโยบายนี้ไปอีกนาน. คำแนะนำดังต่อไปนี้ เป็นข้อเสนอของผู้เขียนที่ตั้งใจให้ผู้อ่านพิจารณาทบทวน เพื่อเกิดความยั่งยืนในการดำเนินงานด้านธรรมาภิบาลข้อมูลต่อไป
1. ข้อมูล คือ สินทรัพย์ (Asset) เป็นสิ่งที่มีคุณค่า. ดังนั้นธรรมาภิบาลข้อมูล จะต้องเป็นการส่งมอบคุณค่าของข้อมูลจากต้นกำเนิดสู่การใช้ประโยชน์ (Delivering Values) ได้อย่างต่อเนื่อง ไม่ตกหล่น แต่ต้องไม่ใช่การผลาญทรัพยากรโดยไม่จำเป็น เพราะทุกวันนี้เราลงทุนกับ Data Management ไปมาพอสมควรแล้ว ยังต้องมาทำ Governance อีก ดังนั้น เมื่อทำ Data Governance แล้ว ยิ่งต้องทำให้ได้คุณค่าจากข้อมูลสูงขึ้น
2. การปฏิบัติตาม (Compliance) กฎหมาย หรือ Regulations อื่นๆ เป็นสิ่งจำเป็นต้องระบุไว้ในนโบายข้อมูลให้ครบถ้วน. หากขาดความครบถ้วนจะทำให้เกิดภาระทางกฎหมายตามมา (Legal Burden)
3. นโยบายธรรมาภิบาลข้อมูล ต้องมีความสอดคล้องกับยุทธศาสตร์องค์กร คือ เมื่อทำตามนโยบายฯ แล้ว องค์กรจะต้องได้รับข้อมูลที่มีคุณภาพดียิ่งขึ้น (Data Quality) ซึ่งควรจะต้องส่งผลโดยตรงต่อการใช้ข้อมูลเพื่อบรรลุเป้าประสงค์ทางยุทธศาสตร์ต่อไปด้วย … แบบนี้ผู้บริหารจึงจะ Buy-in
4. นโยบายธรรมาภิบาลข้อมูล ควรมีการกล่าวถึงสิ่งต่างๆ ที่จะต้องเกิดขึ้นหลังจาก นโยบายธรรมาภิบาลข้อมูลมีผลบังคับใช้แล้ว เช่น การติดตามตรวจสอบและประเมินผลที่ควรกำหนดวงรอบขึ้นมาทำเป็น On-going Task. การบังคับใช้นโยบายที่ควรจะเชื่อมโยงไปถึงเหตุการณ์ที่มีผู้ไม่ปฏิบัติตามนโยบายแล้ว จะมีมาตรการดำเนินการกับบุคคลผู้นั้นต่อไปอย่างไร ด้วยเป็นต้น.
5. นโยบายธรรมาภิบาลข้อมูลที่ดี ควรมีรายละเอียดต่างๆ แนบไปกับตัวนโยบายฯ ด้วย เช่น Metadata, Data Catalog เพราะสิ่งเหล่านี้คือ รายละเอียดที่ผู้อ่านจะได้เข้าใจขอบเขตของการปฏิบัติตามนโยบายฯ ได้ชัดเจนยิ่งขึ้น
สรุปส่งท้าย
จุดเริ่มต้นของการดำเนินงานด้านธรรมาภิบาลข้อมูลคือ “การทำให้ธรรมาภิบาลข้อมูลมีตัวตนและจับต้องได้.” บุคคลผู้เกี่ยวข้องกับธรรมาภิบาลข้อมูลเป็นส่วนที่สำคัญที่สุดในโครงสร้างธรรมาภิบาลข้อมูลและเป็นสิ่งเดียวที่จะทำให้เกิดการขับเคลื่อนได้อย่างแท้จริง. แม้ว่าจะมี “กระบวนการทำงาน” ที่กำหนดให้คนทำงานได้ถูกต้องตามขั้นตอนแล้วก็ตาม แต่การทำให้ ทุกคน มั่นใจว่าตนเองได้อยู่ในกรอบที่องค์กรวางไว้แล้วนั้นต้องเป็น “นโยบายองค์กร”. นโยบายธรรมาภิบาลข้อมูลก็เป็นหนึ่งในหลายๆ นโยบายระดับองค์กรที่เกิดขึ้นมาแล้วต้องมีผลบังคับใช้กับทุกคนในองค์กร. ถ้อยคำต่างๆ ในนโยบายฯ ต้องทำให้แต่ละคนรู้จักบทบาท หน้าที่และความรับผิดชอบของตนเองที่มีต่อข้อมูล เพราะวันนี้ทุกคนเข้าถึงข้อมูลได้ง่ายขึ้น และใช้ข้อมูลอยู่ตลอดเวลา. การกำกับดูแลข้อมูลด้วยนโยบายจึงเป็นสิ่งที่ต้องให้ความสำคัญ.