- 29
- เมษายน
Data Governance คืออะไร — การกำกับดูแลข้อมูลที่ผู้บริหารต้องเข้าใจก่อนทำ ERP
Data Governance (การกำกับดูแลข้อมูล) คือ กรอบนโยบาย บทบาท และกระบวนการ ที่กำหนดว่าข้อมูลขององค์กรจะถูก สร้าง จัดเก็บ ใช้ แชร์ และทำลาย อย่างไร เพื่อให้ข้อมูลมีคุณภาพ ปลอดภัย และเชื่อถือได้ ก่อนที่ระบบ ERP ของคุณจะทำงานได้อย่างเต็มประสิทธิภาพ องค์กรต้องตอบให้ได้ก่อนว่า "ใครเป็นเจ้าของข้อมูล" และ "ข้อมูลที่ถูกต้องคืออะไร"
ทำไม Data Governance ถึงสำคัญต่อโปรเจกต์ ERP?
หลายองค์กรลงทุนกับ ERP หลักล้านบาท แต่กลับได้ผลลัพธ์ไม่คุ้มค่าเพราะ ข้อมูลที่นำเข้าระบบไม่มีคุณภาพ ปัญหาที่พบบ่อย:
- รหัสลูกค้าซ้ำซ้อน — ลูกค้ารายเดียวมี 5 รหัส แผนกละชุด ทำให้รายงานยอดขายไม่ตรง
- Master Data ไม่ตรงกัน — รายการสินค้าในแผนกขายกับคลังสินค้าใช้รหัสคนละแบบ
- ไม่มีคนรับผิดชอบ — เมื่อเจอข้อมูลผิด ไม่รู้จะถามใคร แก้ไขใครเป็นผู้อนุมัติ
- ข้อมูลรั่วไหล — พนักงานเข้าถึงข้อมูลที่ไม่เกี่ยวข้องกับหน้าที่ของตน
- ละเมิด PDPA โดยไม่รู้ตัว — เก็บข้อมูลส่วนบุคคลโดยไม่มีนโยบายรองรับ
การมี Data Governance ที่ดี ตั้งแต่ก่อนเริ่มโปรเจกต์ ERP ช่วยให้ การย้ายข้อมูล (Data Migration) ราบรื่น และลดต้นทุนการแก้ไขในภายหลังได้มาก
Data Governance vs Data Management — แตกต่างกันอย่างไร?
คนส่วนใหญ่สับสนระหว่าง 2 คำนี้ ลองเปรียบเทียบ:
| ประเด็น | Data Governance (กำกับดูแล) | Data Management (จัดการ) |
|---|---|---|
| คำถามหลัก | "ทำอะไร" และ "ทำไม" | "ทำอย่างไร" |
| ระดับ | นโยบาย กลยุทธ์ | ปฏิบัติการ เทคนิค |
| ผู้รับผิดชอบ | ผู้บริหาร, Data Owner | ทีม IT, DBA, Data Engineer |
| ตัวอย่าง | กำหนดว่าใครมีสิทธิ์เห็นเงินเดือน | ตั้งค่า RBAC ในระบบ |
| ความถี่ในการเปลี่ยน | ปีละครั้ง (เปลี่ยนตามนโยบาย) | รายวัน/รายสัปดาห์ |
สรุปง่ายๆ: Data Governance คือ "กฎหมาย" ส่วน Data Management คือ "ตำรวจ" ที่บังคับใช้กฎหมาย — ขาดอย่างใดอย่างหนึ่งไม่ได้
5 เสาหลักของ Data Governance
กรอบ Data Governance ที่สมบูรณ์ประกอบด้วย 5 เสาหลัก:
| เสาหลัก | ความหมาย | ตัวอย่างในระบบ ERP |
|---|---|---|
| 1. Data Quality (คุณภาพข้อมูล) | ข้อมูลถูกต้อง ครบถ้วน เป็นปัจจุบัน ไม่ซ้ำซ้อน | กฎ validate รหัสภาษี 13 หลัก, ห้าม blank ในฟิลด์ที่จำเป็น |
| 2. Data Stewardship (การดูแลข้อมูล) | มีบุคคลรับผิดชอบในแต่ละชุดข้อมูล | ฝ่าย HR ดูแลข้อมูลพนักงาน, ฝ่ายบัญชีดูแล Chart of Accounts |
| 3. Data Privacy & Security | ปกป้องข้อมูลส่วนบุคคล + ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต | Encryption at-rest, MFA, 2FA, Audit Trail |
| 4. Data Architecture | โครงสร้างและมาตรฐานการเก็บข้อมูล | กำหนด Master Data, รหัสมาตรฐาน, format วันที่ทั่วทั้งองค์กร |
| 5. Data Lifecycle | กำหนดอายุข้อมูล — สร้าง ใช้ เก็บถาวร และทำลาย | ลบข้อมูลลูกค้าเก่า 10 ปีตาม PDPA, archive ใบสั่งซื้อปิดงบ |
บทบาทสำคัญในระบบ Data Governance
Data Governance ที่ดีต้องมีโครงสร้างบทบาทที่ชัดเจน — ใครเป็นเจ้าของ ใครเป็นผู้ดูแล ใครเป็นผู้ใช้:
| บทบาท | หน้าที่ | ตัวอย่างในองค์กรไทย |
|---|---|---|
| Data Governance Committee | คณะกรรมการกำหนดนโยบายภาพรวม | คณะกรรมการระดับสูง ประชุมไตรมาสละครั้ง |
| Chief Data Officer (CDO) | ผู้บริหารสูงสุดด้านข้อมูล | องค์กรขนาดใหญ่: รองอธิบดี/รอง CEO |
| Data Owner (เจ้าของข้อมูล) | รับผิดชอบความถูกต้องและการเข้าถึงข้อมูลในขอบเขตของตน | ผู้อำนวยการฝ่าย HR เป็น Data Owner ของข้อมูลบุคลากร |
| Data Steward (ผู้ดูแลข้อมูล) | ปฏิบัติงานประจำวัน ตรวจสอบคุณภาพข้อมูล | เจ้าหน้าที่ที่อัพเดทข้อมูลพนักงานในระบบ |
| Data Custodian (ผู้เก็บรักษา) | ทีมเทคนิคที่ดูแลโครงสร้างพื้นฐาน | ทีม IT/DBA ที่ backup และดูแล server |
| Data Consumer (ผู้ใช้ข้อมูล) | ใช้ข้อมูลเพื่อการตัดสินใจ | ผู้บริหาร, นักวิเคราะห์, ผู้ใช้ทั่วไป |
หลักสำคัญ: Data Owner ต้องเป็น ฝ่ายธุรกิจที่เป็นเจ้าของกระบวนการ ไม่ใช่ฝ่าย IT — เพราะ IT เป็นแค่ "ผู้รักษาทรัพย์สิน" ไม่ใช่ "เจ้าของทรัพย์สิน"
Data Classification — จัดระดับชั้นความลับของข้อมูล
ไม่ใช่ข้อมูลทุกชนิดมีค่าเท่ากัน องค์กรต้องจัดประเภทเพื่อกำหนดมาตรการป้องกันที่เหมาะสม:
| ระดับ | คำอธิบาย | ตัวอย่าง | มาตรการป้องกัน |
|---|---|---|---|
| Public (สาธารณะ) | เปิดเผยได้ทั่วไป | ข้อมูลบริษัทบนเว็บไซต์, ประกาศจัดซื้อ | ไม่ต้องเข้ารหัส |
| Internal (ภายใน) | ใช้ภายในองค์กรเท่านั้น | เอกสารประชุม, ขั้นตอนการทำงาน | ต้อง Login |
| Confidential (ลับ) | เปิดเผยอาจสร้างความเสียหาย | เงินเดือน, แผนกลยุทธ์, ข้อมูลลูกค้า | RBAC + Audit Trail + Encryption |
| Restricted (จำกัดสุด) | ระดับสูงสุด เปิดเผย = ผิดกฎหมาย/เสียหายร้ายแรง | เลขบัตรเครดิต, ข้อมูลสุขภาพ, รหัสผ่าน | Encryption + MFA + ตรวจสอบทุกการเข้าถึง |
การจัดระดับช่วยให้องค์กรไม่ "ป้องกันมากเกินไป" (Over-protection ทำให้ทำงานช้า) หรือ "ป้องกันน้อยเกินไป" (Under-protection เสี่ยงข้อมูลรั่ว)
Data Lifecycle — วงจรชีวิตของข้อมูล
ข้อมูลทุกชุดมีวงจรชีวิตที่ต้องบริหาร 6 ขั้นตอน:
| ขั้นตอน | กิจกรรม | สิ่งที่ต้องกำหนดในนโยบาย |
|---|---|---|
| 1. Create | สร้างหรือนำเข้าข้อมูล | ใครมีสิทธิ์สร้าง, format ที่กำหนด, validation |
| 2. Store | เก็บข้อมูลในระบบ | ที่เก็บ, encryption, backup, redundancy |
| 3. Use | เข้าถึงและใช้งาน | RBAC, audit log, ห้าม download ข้อมูล confidential |
| 4. Share | แชร์ข้อมูลภายในและภายนอก | ต้องผ่าน API ที่ secure, signing, encryption |
| 5. Archive | ย้ายข้อมูลเก่าไปเก็บถาวร | กำหนดอายุ, ที่เก็บ archive, การกู้คืน |
| 6. Destroy | ทำลายข้อมูลที่ไม่ใช้แล้ว | วิธีทำลาย, secure deletion, certificate of destruction |
ระบบ ERP ที่ดีควรรองรับวงจรชีวิตนี้ทั้งหมด — โดยเฉพาะการ archive และ destroy ที่หลายองค์กรมองข้าม จนข้อมูลเก่า 10 ปีกองอยู่ใน database ทำให้ระบบช้าลงและเสี่ยง PDPA
PDPA + Data Governance — ความเชื่อมโยงที่ต้องเข้าใจ
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) กำหนดให้องค์กรต้องมีระบบกำกับดูแลข้อมูลส่วนบุคคล ซึ่ง Data Governance คือเครื่องมือหลัก ในการปฏิบัติตาม PDPA:
| ข้อกำหนด PDPA | Data Governance ตอบสนองอย่างไร |
|---|---|
| สิทธิในการเข้าถึง (Right to Access) | ระบบ ERP ต้องสามารถ export ข้อมูลของบุคคลใดบุคคลหนึ่งได้ |
| สิทธิในการแก้ไข (Right to Rectification) | มี Data Steward รับผิดชอบแก้ไขให้ถูกต้อง |
| สิทธิในการลบ (Right to Erasure) | กระบวนการ Destroy ที่ทำได้จริง ไม่ใช่แค่ flag inactive |
| การรักษาความปลอดภัย | Data Classification + Encryption + Access Control |
| การแจ้งเหตุข้อมูลรั่ว 72 ชม. | Audit Trail + ระบบ monitor การเข้าถึงผิดปกติ |
| การมี DPO (Data Protection Officer) | เชื่อมโยงกับ Data Owner ในแต่ละชุดข้อมูล |
องค์กรที่มี Data Governance อยู่แล้ว ลดต้นทุนการเตรียมตัวรับ PDPA ได้ถึง 60-70% เพราะโครงสร้างพื้นฐานพร้อมอยู่แล้ว
Data Governance ใน Saeree ERP
Saeree ERP ออกแบบมาให้รองรับ Data Governance ตั้งแต่ระดับ Architecture:
- Master Data Management — รหัสลูกค้า สินค้า บัญชี เป็น single source of truth
- RBAC + ABAC — สิทธิ์การเข้าถึงตาม Role และ Attribute (เช่น แผนก, ระดับ)
- Audit Trail ครบทุก transaction — บันทึกใคร เมื่อไร แก้อะไร IP ใด ลบไม่ได้
- Data Validation Rules — กฎตรวจสอบความถูกต้องตั้งแต่ตอนกรอก
- Data Retention Policy — กำหนดอายุข้อมูลและ archive อัตโนมัติ
- PDPA-ready — รองรับ Right to Access/Rectification/Erasure
ทั้งหมดนี้ไม่ใช่แค่ฟีเจอร์ แต่เป็น กรอบที่ช่วยให้องค์กรกำหนดนโยบาย Data Governance ได้ โดยไม่ต้องสร้างระบบเพิ่มเติม
Checklist ผู้บริหาร: 7 คำถามก่อนเริ่มโปรเจกต์ ERP
ก่อนเซ็นสัญญา ERP ผู้บริหารควรตอบให้ได้:
- ข้อมูลใดที่เป็น "Master Data" ขององค์กร? — ลูกค้า สินค้า บุคลากร อะไรบ้าง
- ใครเป็น Data Owner ของแต่ละชุด? — ระบุชื่อตำแหน่งให้ชัดเจน
- เรามี Data Classification 4 ระดับหรือยัง? — และข้อมูลแต่ละชุดอยู่ระดับใด
- นโยบายอายุข้อมูล (Retention) เป็นอย่างไร? — เก็บกี่ปี archive เมื่อไร ลบเมื่อไร
- เราพร้อมรับ PDPA หรือยัง? — มี DPO หรือไม่ ลูกค้าขอลบข้อมูลทำได้ไหม
- กรณีข้อมูลรั่ว — Process Response เป็นอย่างไร? — แจ้งใคร ภายในกี่ชั่วโมง
- Data Governance Committee ของเราประชุมบ่อยแค่ไหน? — ถ้ายังไม่มี ต้องตั้งก่อนเริ่มโปรเจกต์
ถ้าตอบไม่ได้ 4 ข้อขึ้นไป — ควรชะลอโปรเจกต์ ERP และจัดทำ Data Governance Framework ก่อน เพราะการ implement ERP บน data ที่ไม่มี governance จะนำไปสู่ความล้มเหลวเสมอ
สรุป
Data Governance ไม่ใช่ "เอกสารชั้นวาง" ที่ทำเพื่อ compliance แต่เป็น กรอบความคิดของผู้บริหาร ที่ยอมรับว่าข้อมูลคือสินทรัพย์สำคัญที่สุดอย่างหนึ่งขององค์กร — มีค่าพอๆ กับเงินสดในธนาคาร และต้องบริหารด้วยความรอบคอบเช่นเดียวกัน
การเริ่มต้น Data Governance ก่อนโปรเจกต์ ERP ช่วยให้การลงทุนคุ้มค่า ลดความเสี่ยงด้านกฎหมาย และสร้างวัฒนธรรมที่ทุกคนเคารพข้อมูลตั้งแต่วันแรก ผู้บริหารที่เริ่มเรื่องนี้ช้า มักต้องจ่าย 3-5 เท่าในการแก้ไขภายหลัง
"ข้อมูลที่ไม่มีคนรับผิดชอบ ก็เหมือนเงินที่ไม่มีเจ้าของ — ไม่นานก็จะหายไปทั้งสองอย่าง"
บทความที่เกี่ยวข้องจากศูนย์ความรู้
- ระบบ ERP กับการบริหารความเสี่ยงองค์กร ผู้บริหาร
- องค์กรพร้อมทำ ERP หรือยัง? 10 คำถามที่ต้องตอบ ผู้บริหาร
- Data Migration คืออะไร — การย้ายข้อมูลเมื่อเปลี่ยนระบบ ERP ทีม Implement
- RBAC คืออะไร — การควบคุมสิทธิ์ตามบทบาทในระบบ ERP ผู้ใช้งาน
- ความปลอดภัยเบื้องต้นที่ผู้ใช้ ERP ต้องรู้ ผู้ใช้งาน
- Data Warehouse กับ ERP — เก็บข้อมูลอย่างไรให้ใช้ประโยชน์ได้ บทความ
