จาก ERP สู่ AI Native Enterprise: โครงสร้างองค์กรยุคใหม่ (ตอนที่ 5)

มีนาคม 28, 2026

เมื่อ Governance ไม่ได้ควบคุมแค่ระบบ แต่กำกับ “ความคิดของระบบ”

จาก Control System สู่ Cognitive Organization

จากหลายตอนที่ผ่านมา เราได้สำรวจเส้นทางวิวัฒนาการของ Governance ในยุคดิจิทัล

  • ERP วางรากฐานของ Embedded Control
  • การไม่มี ERP ทำให้ AI Governance อ่อนแอ
  • แม้มี ERP แล้ว Shadow AI ก็ยังเป็นความเสี่ยง

คำถามจึงชัดขึ้นเรื่อย ๆ ว่า ถ้า ERP คือยุคของ Transaction Governance และ AI Governance คือยุคของ Decision Governance องค์กรควรปรับโครงสร้างอย่างไรให้ AI และ Governance เติบโตไปพร้อมกัน? คำตอบอาจไม่ใช่การเพิ่ม control layer เข้าไปเรื่อย ๆ แต่คือการออกแบบองค์กรใหม่ให้เป็น AI Native Enterprise

AI Native Enterprise คืออะไร?

AI Native Enterprise ไม่ได้หมายถึงองค์กรที่ใช้ AI เยอะที่สุด แต่คือองค์กรที่ออกแบบโครงสร้าง กระบวนการ และ Governance โดยมี AI เป็นส่วนหนึ่งของสถาปัตยกรรมตั้งแต่ต้น ต่างจากองค์กรที่:

  • มี ERP แล้วค่อย “ต่อ AI เข้าไป”
  • มี AI project แบบแยกหน่วยงาน
  • มี data science team ที่ทำงานข้าง ๆ ธุรกิจ

AI Native Enterprise จะมีคุณลักษณะสำคัญ 4 ประการ

  1. Data เป็น Infrastructure ไม่ใช่เพียง Asset
  2. AI Lifecycle ถูกกำกับด้วย Governance Framework
  3. Board เข้าใจ AI Risk ในระดับยุทธศาสตร์
  4. Human Oversight ถูกออกแบบไว้ในระบบ

จาก ERP Architecture สู่ AI Architecture

ERP ทำให้องค์กรมี:

  • Single Source of Truth
  • Standardized Workflow
  • Embedded Control

AI Native Enterprise ต้องขยายต่อไปสู่:

  • Unified Data Governance
  • Model Lifecycle Governance
  • Continuous Monitoring Framework

องค์กรที่ใช้ระบบอย่าง SAP ERP หรือ Oracle ERP อาจมี data backbone อยู่แล้ว แต่ AI Native ต้องเพิ่ม:

  • Model Registry
  • Version Control
  • Independent Validation Function
  • Bias & Fairness Testing

นี่คือการยกระดับจาก “System Control” ไปสู่ “Cognitive Control”

Governance Framework ใน AI Native Enterprise

AI Native Enterprise จะไม่แยก IT Governance ออกจาก AI Governance แต่ผสานเข้ากับกรอบที่มีอยู่ เช่น:

  • COSO สำหรับ Internal Control
  • ISO/IEC 38500 สำหรับ IT Governance
  • แนวคิด Model Risk Management จาก Basel Committee on Banking Supervision
  • Risk-Based AI Governance ตามแนวทางของ European Commission

สิ่งที่เปลี่ยนคือ Governance ไม่ได้อยู่เฉพาะในเอกสาร แต่ฝังอยู่ใน AI lifecycle เช่นเดียวกับที่ ERP เคยฝัง control ลงใน workflow

Operating Model ใหม่: จาก Functional Silos สู่ AI-Integrated Structure

องค์กรดั้งเดิมมักแบ่งเป็น:

  • IT
  • Risk
  • Compliance
  • Internal Audit
  • Business Units

AI Native Enterprise ต้องสร้างกลไกเชื่อมโยง เช่น:

  • AI Governance Committee
  • Central Model Risk Function
  • Data Stewardship Structure
  • AI Policy & Review Board

ความสำคัญไม่ใช่จำนวนคณะกรรมการ แต่คือความชัดเจนว่าใครรับผิดชอบ AI Risk

บทบาทของ Board ใน AI Native Enterprise

AI Native Enterprise ไม่สามารถเกิดขึ้นได้หาก Board มอง AI เป็นเพียงเครื่องมือ IT โดยที่ Board จะต้อง:

  • เข้าใจ AI Risk Appetite
  • กำหนด oversight structure
  • ผูก AI governance เข้ากับ strategy
  • เชื่อม AI performance กับ incentive structure

Governance ในยุค AI จึงไม่ใช่เรื่องเทคนิค แต่เป็นเรื่องยุทธศาสตร์องค์กร

วัฒนธรรมองค์กร: หัวใจที่ ERP ไม่สามารถสร้างได้เอง

ERP สามารถบังคับ workflow แต่ไม่สามารถสร้างวัฒนธรรมได้เอง

AI Native Enterprise ต้องมี:

  • Transparency Culture
  • Responsible Innovation
  • Cross-functional Collaboration
  • Continuous Learning

เพราะ AI ไม่ใช่ระบบคงที่ มันเรียนรู้ เปลี่ยนแปลง และปรับตัว

Governance จึงต้องมีความยืดหยุ่นควบคู่กับความเข้มแข็ง

ความท้าทาย: การเปลี่ยนผ่านจาก ERP-Centric สู่ AI-Centric

องค์กรจำนวนมากยังคิดแบบ ERP-centric คือ:

  • ทุกอย่างต้องผ่านระบบ
  • ทุกอย่างต้อง deterministic
  • ทุกอย่างต้องมี approval chain แบบเดิม

แต่ AI ทำงานบนความน่าจะเป็น และต้องการ agility

AI Native Enterprise ต้องหาจุดสมดุลระหว่าง Control กับ Innovation หากควบคุมมากเกินไป องค์กรจะช้า หากควบคุมน้อยเกินไป ความเสี่ยงจะสะสม

สรุป เมื่อ Governance กลายเป็นความสามารถเชิงกลยุทธ์

จากตอนแรกที่เราเริ่มต้นด้วยคำถามว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่?

เราได้เห็นว่า ERP วางรากฐาน
การไม่มี ERP ทำให้เสี่ยง
และแม้มี ERP ก็ยังเกิด Shadow AI ได้

ตอนนี้ภาพชัดขึ้นว่า องค์กรไม่สามารถหยุดที่ ERP และไม่สามารถเพียง “เพิ่ม AI” เข้าไปในโครงสร้างเดิม

AI Native Enterprise คือการออกแบบองค์กรใหม่ให้ Governance และ AI เติบโตไปพร้อมกันตั้งแต่ต้น ในยุคที่การตัดสินใจจำนวนมากถูกขับเคลื่อนด้วยอัลกอริทึม Governance ไม่ใช่เพียงกลไกป้องกันความผิดพลาด แต่มันกลายเป็นความสามารถเชิงกลยุทธ์ (Strategic Capability) องค์กรที่เข้าใจสิ่งนี้ จะใช้ AI ได้อย่างมั่นใจ ส่วนองค์กรที่ไม่เข้าใจ อาจใช้ AI ได้เร็ว แต่เปราะบาง คำถามสุดท้ายจึงไม่ใช่ “เราจะใช้ AI อย่างไร?” แต่คือ “เราจะออกแบบองค์กรอย่างไร ให้ AI อยู่ภายใต้ Governance ที่มั่นคงและยั่งยืน?” และนี่อาจเป็นความแตกต่างระหว่างองค์กรที่ “มี AI” กับองค์กรที่ “เป็น AI Native” อย่างแท้จริง

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Shadow AI: ความเสี่ยงเงียบในองค์กรที่มี ERP แล้วแต่ Governance ไม่ครบ (ตอนที่ 4)

มีนาคม 21, 2026

เมื่อมี ERP แล้ว ทำไมยังเสี่ยง?

ในสามตอนก่อนหน้านี้ เราได้ตั้งคำถามว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่? และวิเคราะห์ต่อว่า AI Governance โดยไม่มี ERP มีความเสี่ยงเชิงโครงสร้างอย่างไร? ภาพที่ได้ค่อนข้างชัดเจน คือ ERP ช่วยวางรากฐานด้านข้อมูล การควบคุม และวัฒนธรรมเชิงระบบ แต่คำถามที่ซับซ้อนกว่านั้นคือ หากองค์กรมี ERP ครบถ้วน มีระบบระดับโลกอย่าง SAP ERP หรือ Oracle ERP เหตุใดความเสี่ยงด้าน AI จึงยังเกิดขึ้นได้? คำตอบอยู่ที่สิ่งที่เรียกว่า “Shadow AI” มันไม่ใช่ความล้มเหลวของเทคโนโลยี แต่มักเป็นช่องว่างของ Governance

Shadow AI คืออะไร และทำไม ERP จึงควบคุมมันไม่ได้

Shadow AI คือการใช้หรือพัฒนา AI นอกกรอบ Governance ที่องค์กรกำหนด ตัวอย่างเช่น:

  • พนักงานใช้ Generative AI ภายนอกเพื่อวิเคราะห์ข้อมูลลูกค้า
  • ฝ่ายการตลาดสร้างโมเดลทำนายยอดขายโดยไม่ผ่าน IT
  • ทีมวิเคราะห์ข้อมูลดึงข้อมูล ERP ออกไปสร้าง model ภายนอกโดยไม่มี approval
  • ผู้บริหารใช้ AI tool SaaS โดยไม่มีการประเมินความเสี่ยง

ERP ถูกออกแบบมาเพื่อควบคุม transaction และ workflow แต่ Shadow AI เกิดขึ้นใน “behavior layer” ซึ่งอยู่นอก workflow ปกติ

ERP ควบคุมว่าใครอนุมัติใบสั่งซื้อ แต่ไม่สามารถควบคุมว่าใคร copy ข้อมูลไปใส่ AI ภายนอก นี่คือ blind spot เชิงโครงสร้าง

เมื่อ Governance หยุดที่ System แต่ไม่ครอบคลุม Human Layer

กรอบอย่าง ISO/IEC 38500 พูดถึง Human Behaviour เป็นหนึ่งในหลักการสำคัญ แต่ในความเป็นจริง หลายองค์กรเน้น Governance ที่ระดับ:

  • Access Control
  • Change Management
  • Segregation of Duties

โดยละเลย governance ของ “การใช้เครื่องมืออัจฉริยะ”

Shadow AI จึงไม่ใช่เรื่องเทคนิค แต่เป็นเรื่องวัฒนธรรมการควบคุมที่ยังไม่ตามทันเทคโนโลยี

ความเสี่ยงที่เกิดขึ้นจริงจาก Shadow AI

Data Leakage แบบเงียบ

ข้อมูลจาก ERP ที่ควรอยู่ในระบบควบคุม อาจถูกส่งไปยัง AI ภายนอก แม้ไม่มีเจตนาทุจริต แต่ข้อมูลอาจถูกจัดเก็บหรือประมวลผลในสภาพแวดล้อมที่องค์กรควบคุมไม่ได้

Model Inconsistency

องค์กรอาจมี:

  • โมเดลภายในที่ผ่านการอนุมัติ
  • โมเดลเงาที่พัฒนาโดยหน่วยงาน
  • AI SaaS ที่ผู้บริหารใช้อยู่

ผลลัพธ์ที่ได้อาจไม่สอดคล้องกัน สร้างความสับสนในการตัดสินใจระดับผู้บริหาร

Reputational & Regulatory Risk

กรอบกำกับอย่าง AI Act ของ European Commission เน้นเรื่อง traceability และ documentation

  • Shadow AI ไม่มีเอกสารกำกับ
  • ไม่มี model validation
  • ไม่มี approval trail

เมื่อเกิดปัญหา องค์กรอาจไม่สามารถพิสูจน์ได้ว่ามีการกำกับดูแลเพียงพอ

ERP ไม่ล้มเหลว — แต่ Governance ยังไม่ขยาย

ต้องย้ำให้ชัดว่า Shadow AI ไม่ได้หมายความว่า ERP ไม่มีประโยชน์ ในความเป็นจริง ERP ทำหน้าที่ได้ดีมากในระดับ transaction governance ปัญหาอยู่ที่ Governance ไม่ได้ขยายจาก Transaction Governance ไปสู่ Decision Governance

ERP ควบคุม “สิ่งที่เกิดขึ้นแล้ว” แต่ AI สร้าง “สิ่งที่กำลังจะเกิดขึ้น”

หากองค์กรไม่ปรับ governance framework ให้ครอบคลุม AI lifecycle เช่น

  • Model Development
  • Data Usage
  • Deployment
  • Monitoring

Shadow AI จะเติบโตโดยอัตโนมัติ

บทบาทของ Board และผู้บริหารระดับสูง

Shadow AI ไม่ใช่ปัญหาของ IT แต่เป็นปัญหา Governance ระดับองค์กร

คณะกรรมการควรถามคำถามเช่น:

  • องค์กรมี AI inventory หรือไม่?
  • มีการกำหนด approval process สำหรับ AI tool หรือไม่?
  • ใครเป็นเจ้าของความเสี่ยงของ AI?
  • มี model validation function แยกอิสระหรือไม่?

กรอบของ Basel Committee on Banking Supervision เกี่ยวกับ Model Risk Management แสดงให้เห็นชัดว่า Model Governance ต้องมีความเป็นอิสระและตรวจสอบได้ Shadow AI จึงมักเกิดในองค์กรที่ไม่มีโครงสร้างดังกล่าว

Shadow AI: ความเสี่ยงเงียบที่อันตรายกว่าความผิดพลาดของระบบ

ความผิดพลาดใน ERP มักมีร่องรอย มี log มี transaction trace แต่ Shadow AI มักไม่มี มันอาจให้คำแนะนำที่ผิด อาจสร้างความเอนเอียง อาจทำให้ผู้บริหารตัดสินใจบนข้อมูลที่ไม่ผ่าน validation โดยที่องค์กรไม่รู้ตัวว่า governance gap กำลังขยาย และนี่คือความเสี่ยงที่เงียบ แต่สะสม

สรุป Governance ต้องก้าวให้ทันพฤติกรรม

ในตอนนี้ เราเห็นได้ชัดขึ้นว่า แม้องค์กรจะมี ERP แข็งแรง แต่หาก Governance ไม่ขยายไปครอบคลุม AI lifecycle และพฤติกรรมผู้ใช้ความเสี่ยงก็ยังเกิดขึ้นได้ Shadow AI สะท้อนความจริงประการหนึ่งคือ เทคโนโลยีอาจถูกควบคุม แต่พฤติกรรมของมนุษย์ต้องถูกกำกับด้วยกรอบที่เหมาะสม องค์กรที่ต้องการเดินหน้าเข้าสู่ยุค AI อย่างมั่นคงจำเป็นต้องขยาย Governance จากระบบไปสู่ระบบ + อัลกอริทึม + พฤติกรรม และคำถามสำคัญที่จะนำไปสู่ตอนถัดไปคือ หาก ERP ไม่เพียงพอ และ Shadow AI คือความเสี่ยงที่ต้องจัดการ แล้วโครงสร้างองค์กรแบบใด ที่จะทำให้ AI และ Governance เติบโตไปพร้อมกันได้อย่างแท้จริง? คำตอบนั้นอาจอยู่ในแนวคิดของ
AI Native Enterprise โปรดติดตามตอนต่อไปครับ

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

AI Governance โดยไม่มี ERP : ความเสี่ยงที่องค์กรไม่รู้ตัว (ตอนที่ 3)

มีนาคม 15, 2026

จากคำถามเรื่อง “ต้นกำเนิด” สู่คำถามเรื่อง “ความพร้อม”

ในตอนก่อนหน้า เราได้ตั้งคำถามว่า ERP เป็นต้นกำเนิดของ Governance AI จริงหรือไม่? และพบว่าแม้ ERP จะไม่ได้ถูกออกแบบมาเพื่อกำกับปัญญาประดิษฐ์โดยตรง แต่ได้วางรากฐานสำคัญด้าน Data Integrity, Embedded Control และวัฒนธรรมการควบคุมเชิงระบบไว้แล้ว

คำถามต่อไปจึงเข้มข้นขึ้นกว่าเดิม.. หากองค์กรเริ่มพัฒนา AI แต่ยังไม่มีโครงสร้างข้อมูลและการควบคุมแบบ ERP รองรับ
ความเสี่ยงจะเกิดขึ้นตรงไหนบ้าง?

AI Governance โดยไม่มี ERP อาจดูเหมือนไม่มีปัญหาในระยะสั้น แต่ในเชิงโครงสร้าง มันคือการสร้างระบบอัจฉริยะบนพื้นฐานที่ยังไม่มั่นคง

ปัญหาแรก: Data Fragmentation — เมื่อ AI เรียนรู้จากข้อมูลที่ไม่สอดคล้องกัน

ERP ทำหน้าที่รวมข้อมูลจากทุกหน่วยงานเข้าสู่ Single Source of Truth เมื่อไม่มี ERP หรือมีแต่ระบบแยกส่วน ข้อมูลจะกระจัดกระจายอยู่ตามระบบบัญชีคนละชุด ระบบขายคนละแพลตฟอร์ม หรือ ไฟล์ Excel ภายในหน่วยงาน รวมถึง ระบบ Legacy ที่ไม่เชื่อมต่อกัน

AI ที่ถูกพัฒนาขึ้นบนฐานข้อมูลลักษณะนี้มีความเสี่ยงอย่างน้อย 3 ประการ

1. ความไม่สอดคล้องของนิยามข้อมูล (Data Definition Conflict)
ยอดขายที่ฝ่ายการเงินใช้ อาจไม่ตรงกับยอดขายที่ฝ่ายขายใช้

2. ความไม่ครบถ้วน (Incomplete Dataset)
ข้อมูลบางส่วนอาจไม่ถูกดึงเข้าโมเดลเพราะไม่มี data pipeline ที่ชัดเจน

3. สาม ความไม่สามารถตรวจสอบย้อนกลับ (Weak Data Lineage)
เมื่อผลลัพธ์ AI ผิดพลาด องค์กรไม่สามารถย้อนกลับไปดูต้นทางข้อมูลได้ชัดเจน

นี่คือความเสี่ยงเชิงโครงสร้างที่ ERP เคยช่วยลดไว้ แต่จะกลับมาอีกครั้งเมื่อ AI เติบโตโดยไม่มีฐานข้อมูลที่บูรณาการ

Governance Framework ที่ไม่มีฐานระบบรองรับ: ช่องว่างระหว่าง Policy กับ Reality

หลายองค์กรเริ่มเขียน AI Policy หรือ AI Ethics Guideline อ้างอิงกรอบจาก OECD หรือ European Commission แต่หากไม่มีระบบที่ฝัง control ลงไปจริง ความเสี่ยงจะเกิดสิ่งที่เรียกว่า “Paper Governance” คือมีนโยบาย แต่ไม่มี system enforcement

ERP เคยทำให้ Governance จากระดับคณะกรรมการสามารถถูกบังคับใช้ผ่าน workflow ได้จริง แต่ AI Governance ที่ไม่มีโครงสร้างข้อมูลและระบบควบคุมรองรับ อาจกลายเป็นเพียงคำประกาศ

Model Risk ที่เพิ่มขึ้นแบบเงียบ ๆ

ในภาคการเงิน กรอบของ Basel Committee on Banking Supervision เน้นการบริหาร Model Risk อย่างเข้มงวด หากองค์กรไม่มีระบบข้อมูลที่เป็นมาตรฐาน การทดสอบย้อนหลัง (Backtesting) จะทำได้ยาก การตรวจสอบ bias จะไม่แม่นยำ และการวัด model drift จะไม่มี baseline ที่ชัดเจน AI จะค่อย ๆ เปลี่ยนพฤติกรรมของมัน โดยที่องค์กรไม่รู้ตัว ความเสี่ยงนี้อันตรายกว่าความผิดพลาดของ ERP เพราะมันไม่ได้เกิดจากการทำธุรกรรมผิดพลาด แต่เกิดจาก “การตัดสินใจที่ค่อย ๆ เบี่ยงเบน”

การตรวจสอบที่ทำได้ยากขึ้น: จาก IT Audit สู่ Algorithmic Blind Spot

ในยุค ERP ผู้ตรวจสอบสามารถตรวจ:

  • Access Control
  • Change Management
  • Segregation of Duties

แต่ในยุค AI หากไม่มี ERP หรือ Data Governance ที่เข้มแข็ง ผู้ตรวจสอบจะเผชิญกับ:

  • ข้อมูลฝึกที่ไม่มีเอกสารกำกับ
  • Feature Engineering ที่ไม่มี version control
  • โมเดลที่ deploy โดยไม่มี approval workflow

สิ่งที่เกิดขึ้นคือ “Algorithmic Blind Spot” องค์กรมี AI ใช้งานจริง แต่ไม่มีโครงสร้างตรวจสอบรองรับ

ความเสี่ยงเชิงจริยธรรมและชื่อเสียง (Reputational Risk)

AI ที่เรียนรู้จากข้อมูลที่ไม่ผ่านการควบคุมคุณภาพ อาจสะท้อนอคติของข้อมูลดิบ เมื่อไม่มี Data Governance ที่แข็งแรง AI อาจเลือกปฏิบัติ การตัดสินใจอาจไม่สามารถอธิบายได้ รวมทั้ง ความโปร่งใสอาจไม่เพียงพอ ในบริบทกฎหมายอย่าง AI Act ของสหภาพยุโรป ความเสี่ยงนี้ไม่ใช่แค่เรื่องภาพลักษณ์ แต่เป็นเรื่องความรับผิดทางกฎหมาย องค์กรที่ไม่มี ERP หรือโครงสร้างข้อมูลแบบบูรณาการ อาจไม่สามารถแสดงหลักฐานการควบคุมได้เมื่อถูกตรวจสอบ

AI โดยไม่มี ERP: ความเสี่ยงเชิงกลยุทธ์

อีกประเด็นที่มักถูกมองข้ามคือ Strategic Misalignment

ERP บังคับให้องค์กรต้องคิดเรื่อง:

  • Data Ownership
  • Process Standardization
  • Enterprise-wide Integration

แต่ AI ที่พัฒนาแบบกระจัดกระจายตามหน่วยงาน อาจสร้าง:

  • Shadow AI
  • โมเดลซ้ำซ้อน
  • การใช้ข้อมูลข้ามหน่วยงานโดยไม่มี governance

ในระยะยาว สิ่งนี้อาจทำให้องค์กรสูญเสียการควบคุมเชิงกลยุทธ์

สรุปเชิงโครงสร้าง: AI Governance ต้องมี “ฐาน” ก่อนมี “ปัญญา”

AI Governance ไม่ได้เริ่มต้นที่โมเดล แต่มันเริ่มต้นที่ข้อมูล กระบวนการ และวัฒนธรรมการควบคุม ERP อาจไม่ใช่คำตอบทั้งหมด
แต่การไม่มีโครงสร้างแบบ ERP เลย ทำให้ AI Governance อ่อนแอตั้งแต่ต้น องค์กรอาจคิดว่ากำลังเข้าสู่ยุค AI อย่างรวดเร็ว
แต่แท้จริงแล้วอาจกำลังเพิ่มความเสี่ยงแบบทวีคูณโดยไม่รู้ตัว

ในตอนก่อน เราตั้งคำถามว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่? ในตอนนี้ คำถามเปลี่ยนไปเป็น AI Governance จะยั่งยืนได้หรือไม่ หากไม่มีโครงสร้างแบบ ERP รองรับ?

AI เปรียบเสมือน “สมอง” ขององค์กรยุคใหม่ แต่สมองที่ไม่มีโครงกระดูกและระบบประสาทรองรับ ย่อมไม่สามารถทำงานได้อย่างมั่นคง องค์กรที่ต้องการใช้ AI อย่างรับผิดชอบ อาจไม่จำเป็นต้องมี ERP ขนาดใหญ่แบบดั้งเดิม แต่จำเป็นต้องมีโครงสร้างข้อมูล การควบคุม และการกำกับดูแลเชิงระบบที่เทียบเท่า

คำถามสำคัญจึงไม่ใช่ “เรามี AI แล้วหรือยัง?” แต่คือ “เรามีฐาน Governance ที่มั่นคงพอให้ AI เติบโตอย่างปลอดภัยหรือยัง?” และนั่นอาจเป็นความเสี่ยงที่องค์กรจำนวนมากยังไม่รู้ตัว

ถ้ามองไปตามลำดับวิวัฒนาการของความเสี่ยงแบบนี้:

  1. ERP คือรากฐาน
  2. ไม่มี ERP มีความเสี่ยงอย่างไร
  3. มี ERP แล้วก็ยังเสี่ยงได้ (Shadow AI)
  4. แล้วสุดท้ายองค์กรควรไปทางไหน (AI Native Enterprise)

จาก “โครงสร้าง” → “ช่องโหว่” → “ความเสี่ยงเงียบ” → “อนาคต”

ในตอนที่ 1-2 ผมได้พูดถึงเรื่อง ERP คือรากฐาน ส่วนในตอนที่ 3 นี้เป็นเรื่องขององค์กรที่ไม่มี ERP จะมีความเสี่ยงอย่างไร และถึงแม้จะมี ERP แล้วองค์กรก็ยังมีความเสี่ยงได้ ซึ่งผมจะไปพูดต่อในตอนที่ 4 ก่อนที่จะไปถึงอนาคตว่าองค์กรควรไปทิศทางไหน ถ้าผมพูดแค่ว่าองค์กร มี ERP แล้วก็จบ แต่ความจริงคือไม่ใช่ องค์กรจำนวนมากมี ERP เต็มรูปแบบ เช่น SAP ERP หรือ Oracle ERP แต่พนักงานกลับใช้ ChatGPT ภายนอก, สร้าง Python model เอง, ต่อ API โดยไม่ผ่าน IT รวมทั้งใช้ SaaS AI tool แบบไม่มี approval นี่แหละคือ “Shadow AI” มันคือ AI ที่เกิดนอก Governance แม้จะมี ERP ก็ตาม ซึ่งเราจะไปคุยกันต่อในตอนหน้านะครับ

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ERP เป็นต้นกำเนิดของ Governance AI จริงหรือ? ในมุมมองการวิเคราะห์ผ่านกรอบ COSO, ISO 38500, Basel และ AI Act (ตอนที่ 2)

มีนาคม 9, 2026

จาก Governance ของธุรกรรม สู่ Governance ของการตัดสินใจ

ทุกยุคของเทคโนโลยีจะทิ้งร่องรอยบางอย่างไว้ในโครงสร้างการกำกับดูแลขององค์กร ยุค ERP ทำให้องค์กรเข้าใจว่า “การควบคุม” ไม่จำเป็นต้องเป็นเอกสารหรือการตรวจสอบย้อนหลังเท่านั้น แต่สามารถฝังอยู่ในระบบได้ ส่วนยุค AI กำลังตั้งคำถามใหม่ว่า “การตัดสินใจของเครื่องจักร” ควรถูกกำกับอย่างไร

ระบบ ERP ขนาดใหญ่อย่าง SAP ERP หรือ Oracle ERP ทำให้องค์กรมีข้อมูลแบบรวมศูนย์ มี workflow ที่ควบคุมได้ และมี Audit Trail ที่ตรวจสอบย้อนหลังได้ ในขณะที่ AI Governance ซึ่งถูกผลักดันโดยกรอบนโยบายจาก European Commission ผ่านกฎหมาย AI Act กำลังยกระดับคำถามไปสู่เรื่องความเป็นธรรม ความโปร่งใส และความรับผิดชอบของอัลกอริทึม

คำถามจึงชัดเจนขึ้นเรื่อย ๆ ว่า Governance AI คือการเริ่มต้นใหม่โดยสิ้นเชิง หรือเป็นวิวัฒนาการที่ต่อยอดจากรากฐาน ERP?

ERP กับ COSO: จุดเริ่มต้นของ Embedded Internal Control

กรอบ COSO Internal Control Framework วางโครงสร้างการควบคุมไว้ 5 องค์ประกอบ:

  1. Control Environment
  2. Risk Assessment
  3. Control Activities
  4. Information & Communication
  5. Monitoring Activities

ERP ส่งผลโดยตรงต่ออย่างน้อย 3 องค์ประกอบหลัก

1.1 Control Activities ถูกแปลงเป็น Workflow

ก่อน ERP การควบคุมจำนวนมากเป็น manual control เช่น การเซ็นอนุมัติเอกสาร
หลัง ERP การอนุมัติกลายเป็น digital approval workflow ที่บังคับใช้โดยระบบ

1.2 Information & Communication กลายเป็น Real-Time

Single Source of Truth ทำให้ข้อมูลไม่กระจัดกระจาย ลดความเสี่ยงข้อมูลขัดแย้ง

1.3 Monitoring Activities กลายเป็น System-Driven

รายงาน exception, log file, audit trail กลายเป็นเครื่องมือ monitoring อัตโนมัติ

ในแง่นี้ ERP คือการ “ทำให้ COSO ทำงานได้จริง” ในระดับปฏิบัติการ

ISO 38500 และ IT Governance: การกำกับเทคโนโลยีเชิงโครงสร้าง

มาตรฐาน ISO/IEC 38500 กำหนดหลักการกำกับดูแล IT สำหรับคณะกรรมการองค์กร โดยเน้น:

  • Responsibility
  • Strategy
  • Acquisition
  • Performance
  • Conformance
  • Human Behaviour

ERP เป็นเทคโนโลยีขนาดใหญ่ที่บังคับให้องค์กรต้องคิดเชิง Governance:

  • ใครเป็นเจ้าของข้อมูล?
  • ใครอนุมัติการเปลี่ยนแปลงระบบ?
  • ระบบสนับสนุนกลยุทธ์องค์กรหรือไม่?

ISO 38500 จึงเป็นสะพานเชื่อมจาก IT Management ไปสู่ IT Governance และเมื่อ AI กลายเป็น IT รูปแบบใหม่ หลักการเดียวกันจึงถูกยกระดับไปสู่ AI Governance

Basel และ Model Risk: สะพานเชื่อมสู่ AI Governance

ในภาคการเงิน กรอบของ Basel Committee on Banking Supervision ได้พัฒนาแนวคิด Model Risk Management (MRM) มานานก่อนยุค AI บูม MRM กำหนดให้มีการตรวจสอบความถูกต้องของโมเดล มีการทดสอบย้อนหลัง (Backtesting) มีการแยกผู้พัฒนาโมเดลออกจากผู้อนุมัติ และมีการติดตาม Model Drift แนวคิดเหล่านี้คล้ายกับ AI Governance อย่างมาก หาก ERP คือการควบคุม transaction risk ส่วน MRM คือการควบคุม model risk และ AI Governance คือการขยาย Model Risk ไปสู่ทุกอุตสาหกรรม

AI Act และ Risk-Based Governance

กฎหมาย AI Act ของสหภาพยุโรปแบ่ง AI ออกเป็นระดับความเสี่ยง:

  • Unacceptable Risk
  • High Risk
  • Limited Risk
  • Minimal Risk

สำหรับ High-Risk AI ต้องมี:

  • Risk Management System
  • Data Governance
  • Technical Documentation
  • Human Oversight
  • Accuracy & Robustness Control

สิ่งที่น่าสนใจคือ โครงสร้างนี้สะท้อนแนวคิดเดียวกับ COSO และ Basel เพียงแต่ย้ายจุดควบคุมจาก “กระบวนการธุรกิจ” ไปสู่ “ระบบอัลกอริทึม”

ความแตกต่างเชิงโครงสร้างของ ERP vs AI

มิติERPAI
ลักษณะการทำงานDeterministicProbabilistic
การควบคุมRule-basedModel-based
ความเสี่ยงหลักFraud / ErrorBias / Drift / Opaque Decision
Audit FocusAccess & ChangeData & Model Integrity
Governance ScopeTransaction GovernanceDecision Governance

ERP ควบคุม “สิ่งที่คนทำ” ส่วน AI ต้องควบคุม “สิ่งที่เครื่องเรียนรู้” นี่คือความท้าทายเชิงโครงสร้างที่ทำให้ Governance AI ซับซ้อนกว่ายุค ERP อย่างมีนัยสำคัญ

ERP เป็นต้นกำเนิดของ Governance AI หรือไม่?

คำตอบอาจแบ่งเป็น 3 ระดับ

ระดับที่ 1: เชิงเทคโนโลยี

ไม่ใช่ — ERP ไม่ได้สร้าง AI Governance

ระดับที่ 2: เชิงโครงสร้าง

ใช่ — ERP วางโครงสร้าง Embedded Control และ Data Governance

ระดับที่ 3: เชิงวัฒนธรรมองค์กร

ใช่ — ERP ทำให้องค์กรคุ้นชินกับการฝัง Governance ลงในระบบ

AI Governance จึงไม่ได้เกิดในสุญญากาศ แต่เกิดบนวัฒนธรรมการควบคุมที่ ERP ช่วยสร้างไว้

บทบาทของคณะกรรมการและ NRC ในยุค AI

เมื่อ AI กลายเป็นกลไกตัดสินใจ คณะกรรมการต้องตั้งคำถามใหม่:

  • ใครรับผิดชอบความผิดพลาดของ AI?
  • AI ส่งผลต่อความเสี่ยงเชิงจริยธรรมหรือไม่?
  • โครงสร้างค่าตอบแทนผู้บริหารสอดคล้องกับ AI Risk หรือไม่?

Governance AI จึงไม่ใช่เรื่อง IT เพียงฝ่ายเดียว แต่เป็นเรื่อง Board-Level Governance

สรุป จาก Control System สู่ Cognitive System

สำหรับ ERP คือยุคของ Control System ส่วน AI คือยุคของ Cognitive System

ERP สอนให้องค์กรควบคุมกระบวนการ ส่วน AI บังคับให้องค์กรควบคุมการเรียนรู้

Governance AI จึงไม่ใช่การปฏิวัติแบบตัดขาดอดีต แต่เป็นวิวัฒนาการของโครงสร้างกำกับดูแลที่เริ่มต้นจาก ERP

หาก ERP คือโครงกระดูกของ Governance ดิจิทัล AI Governance คือระบบประสาทที่ทำให้โครงกระดูกนั้น “ตัดสินใจได้”

คำถามที่แท้จริงจึงไม่ใช่ว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่ แต่คือ องค์กรของเราพร้อมหรือยังที่จะขยายกรอบ Governance จาก “ความถูกต้องของธุรกรรม” ไปสู่ “ความรับผิดชอบของการตัดสินใจโดยอัลกอริทึม” และนี่อาจเป็นโจทย์ใหญ่ที่สุดขององค์กรในทศวรรษข้างหน้า

โปรดติดตามตอนต่อไปที่ผมจะพูดถึง AI Governance โดยไม่มี ERP ซึ่งองค์กรจะต้องรับความเสี่ยงอย่างไรบ้าง หากไม่มี ERP ซึ่งเป็นฐานราก

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ERP เป็นต้นกำเนิดของ Governance AI จริงหรือ? (ตอนที่ 1)

มีนาคม 2, 2026

ในโลกองค์กรยุคดิจิทัล คำว่า “Governance” ไม่ได้หมายถึงเพียงการประชุมคณะกรรมการหรือการออกนโยบายอีกต่อไป แต่หมายถึงการทำให้การควบคุมเกิดขึ้นจริงในระดับระบบ กระบวนการ และข้อมูล

ตลอด 20–30 ปีที่ผ่านมา ระบบที่เปลี่ยนโครงสร้างการควบคุมองค์กรอย่างลึกซึ้งที่สุดระบบหนึ่งคือ ERP (Enterprise Resource Planning) โดยเฉพาะแพลตฟอร์มขนาดใหญ่ระดับองค์กร เช่น SAP ERP และ Oracle ERP ซึ่งทำหน้าที่รวมข้อมูลทุกฟังก์ชันธุรกิจเข้าสู่ศูนย์กลางเดียว

ขณะเดียวกัน โลกกำลังก้าวเข้าสู่ยุคของ Artificial Intelligence และ Generative AI พร้อมคำถามใหม่ว่า เราจะกำกับดูแล AI อย่างไร

Governance AI จึงกลายเป็นวาระสำคัญขององค์กรทั่วโลก แต่หากย้อนกลับไปพิจารณาอย่างจริงจัง อาจพบว่าหลักคิดหลายอย่างใน AI Governance ไม่ได้เกิดขึ้นอย่างฉับพลัน หากมีรากฐานบางส่วนฝังอยู่ในยุค ERP แล้ว เพียงแต่บริบทเปลี่ยนจาก “การควบคุมธุรกรรม” ไปสู่ “การควบคุมการตัดสินใจ” คำถามจึงน่าสนใจอย่างยิ่งว่า… ERP เป็นต้นกำเนิดของ Governance AI จริงหรือ?

ERP ในฐานะสถาปัตยกรรมของการควบคุมองค์กร

ERP ไม่ได้เป็นเพียงระบบบัญชีหรือระบบจัดซื้อจัดจ้าง หากมองในเชิงโครงสร้าง มันคือสถาปัตยกรรมของการควบคุม (Control Architecture)

ก่อนยุค ERP องค์กรมักมีระบบแยกส่วน ข้อมูลกระจัดกระจาย การตรวจสอบย้อนหลังทำได้ยาก และการควบคุมต้องพึ่งพาเอกสารหรือการตรวจสอบแบบ manual เป็นหลัก ERP เข้ามาเปลี่ยนเกมด้วย 3 กลไกสำคัญ

1. การบูรณาการข้อมูล (Data Integration)
ข้อมูลจากการเงิน การจัดซื้อ คลังสินค้า การผลิต และทรัพยากรบุคคล ถูกเชื่อมโยงเข้าสู่ฐานข้อมูลเดียว แนวคิด “Single Source of Truth” จึงเกิดขึ้นจริงในระดับระบบ

2. การทำให้กระบวนการเป็นมาตรฐาน (Process Standardization)
องค์กรไม่สามารถทำงานนอก workflow ที่กำหนดไว้ในระบบได้ง่าย ๆ การอนุมัติ การบันทึกบัญชี หรือการออกเอกสารต้องเป็นไปตามขั้นตอน

3. การฝังการควบคุมลงในระบบ (Embedded Control)
การแยกหน้าที่ (Segregation of Duties), การกำหนดสิทธิ์การเข้าถึง (Access Control), การบันทึก Audit Trail ถูกออกแบบไว้ตั้งแต่ต้น

นี่คือจุดที่ ERP เริ่มทำให้ Governance “จับต้องได้” ไม่ใช่เพียงนโยบายบนกระดาษ

ERP กับกรอบ GRC: การทำให้ Governance บังคับใช้ได้จริง

แนวคิด GRC (Governance, Risk, and Compliance) เริ่มชัดเจนมากขึ้นหลังวิกฤตการณ์ทางการเงินและกรณีอื้อฉาวทางบัญชีระดับโลก องค์กรกำกับดูแลระดับสากล เช่น OECD ได้ผลักดันหลักการกำกับดูแลกิจการที่เน้นความโปร่งใส ความรับผิดชอบ และการบริหารความเสี่ยง ERP กลายเป็นเครื่องมือสำคัญในการตอบโจทย์เหล่านี้ เพราะมันสามารถ:

  • สร้างหลักฐานการทำรายการย้อนหลัง (Audit Trail)
  • ตรวจสอบความสอดคล้องของการปฏิบัติงานกับนโยบาย
  • ลดความเสี่ยงการทุจริตผ่านการแยกหน้าที่
  • สนับสนุนการรายงานความเสี่ยงแบบรวมศูนย์

กล่าวอีกนัยหนึ่ง ERP คือกลไกที่ทำให้ Governance จากระดับ Board ถูกถ่ายทอดลงสู่ระดับ Transaction ได้จริง

AI Governance: การยกระดับจากการควบคุมธุรกรรมสู่การควบคุมอัลกอริทึม

เมื่อ AI เข้ามามีบทบาทในการตัดสินใจ เช่น การให้สินเชื่อ การคัดกรองลูกค้า หรือการคาดการณ์ความเสี่ยง คำถามด้าน Governance จึงเปลี่ยนไป องค์กรอย่าง European Commission ได้เสนอแนวทางกำกับ AI แบบ Risk-Based Approach โดยแบ่งระดับความเสี่ยงของ AI และกำหนดข้อกำกับที่แตกต่างกัน

AI Governance ครอบคลุมประเด็นใหม่ เช่น

  • ความเป็นธรรมของโมเดล (Fairness)
  • ความสามารถอธิบายได้ (Explainability)
  • ความโปร่งใสของข้อมูลฝึก (Data Transparency)
  • ความรับผิดชอบเมื่อเกิดความเสียหาย (Accountability)

ความแตกต่างสำคัญคือ ERP ทำงานบนตรรกะที่กำหนดไว้ล่วงหน้า (Rule-based, Deterministic) AI ทำงานบนความน่าจะเป็นและรูปแบบข้อมูล (Probabilistic, Pattern-based) ดังนั้น Governance จึงต้องปรับจาก “การควบคุมกระบวนการ” ไปสู่ “การควบคุมการเรียนรู้ของเครื่อง”

ERP ในฐานะรากฐานข้อมูลของ AI

แม้ ERP จะไม่ใช่ระบบ AI แต่ AI ส่วนใหญ่ในองค์กรต้องพึ่งพาข้อมูลจาก ERP

หากข้อมูลใน ERP ไม่ครบถ้วน ไม่ถูกต้อง และไม่มีการควบคุมคุณภาพ AI ที่สร้างขึ้นย่อมสะท้อนข้อบกพร่องนั้น นี่ทำให้ ERP มีบทบาทเป็น “ฐานความน่าเชื่อถือของข้อมูล” (Data Integrity Anchor) Governance AI จึงไม่สามารถแยกขาดจาก Data Governance ซึ่งมีรากฐานมาจากยุค ERP

จาก Embedded Control สู่ Algorithmic Control

ในยุค ERP การควบคุมถูกฝังไว้ในขั้นตอนการทำงาน

ในยุค AI การควบคุมต้องครอบคลุม:

  • การพัฒนาโมเดล (Model Development)
  • การทดสอบความเอนเอียง (Bias Testing)
  • การติดตาม Model Drift
  • การตรวจสอบความถูกต้องเชิงสถิติ (Model Validation)

แนวคิด Model Risk Management (MRM) ในสถาบันการเงินจึงกลายเป็นสะพานเชื่อมสำคัญระหว่าง IT Governance และ AI Governance

หาก ERP คือการฝัง Control ลงใน Workflow
AI Governance คือการฝัง Control ลงใน Algorithm

บทบาทของ IT Audit และ Internal Audit ในยุค AI

ยุค ERP ผู้ตรวจสอบมักเน้น:

  • การควบคุมสิทธิ์เข้าถึง
  • การจัดการเปลี่ยนแปลงระบบ
  • ความสมบูรณ์ของอินเทอร์เฟซข้อมูล

แต่ในยุค AI ผู้ตรวจสอบต้องขยายขอบเขตไปสู่:

  • การตรวจสอบคุณภาพข้อมูลฝึก
  • การประเมินความเสี่ยงจาก Bias
  • การทดสอบความสามารถอธิบายผลลัพธ์
  • การตรวจสอบ Governance Framework ของ AI

บทบาทจึงเปลี่ยนจาก IT Auditor ไปสู่ Algorithmic Auditor

สรุป ERP เป็นต้นกำเนิดของ Governance AI จริงหรือ?

ERP ไม่ได้ถูกออกแบบมาเพื่อควบคุมปัญญาประดิษฐ์
แต่ ERP คือระบบแรก ๆ ที่ทำให้องค์กรเข้าใจว่า Governance สามารถถูกฝังในสถาปัตยกรรมดิจิทัลได้

หากไม่มี ERP องค์กรอาจไม่มีข้อมูลที่มีโครงสร้างเพียงพอ การควบคุมอาจยังพึ่งพาเอกสาร แนวคิด Embedded Control อาจยังไม่แพร่หลาย ในมิตินี้ ERP อาจไม่ใช่ “ต้นกำเนิดโดยตรง” แต่คือ “รากฐานเชิงสถาปัตยกรรมและวัฒนธรรมการควบคุม”

โลกองค์กรกำลังเคลื่อนจากยุคที่ความเสี่ยงเกิดจาก “การทำรายการผิดพลาด” ไปสู่ยุคที่ความเสี่ยงเกิดจาก “การตัดสินใจของระบบอัตโนมัติ” ERP ทำให้องค์กรเรียนรู้วิธีควบคุมกระบวนการ แต่ AI บังคับให้องค์กรเรียนรู้วิธีควบคุมการเรียนรู้ของเครื่อง

Governance AI จึงไม่ใช่สิ่งที่เกิดขึ้นอย่างฉับพลัน แต่เป็นวิวัฒนาการต่อเนื่องจากรากฐานเดิม เพียงแต่ความซับซ้อนเพิ่มขึ้นอย่างก้าวกระโดด คำถามสำคัญจึงอาจไม่ใช่ว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่ แต่คือ องค์กรของเรามีความพร้อมพอหรือยังที่จะยกระดับจาก Governance ของข้อมูลไปสู่ Governance ของปัญญาประดิษฐ์อย่างแท้จริง และนั่นคือโจทย์เชิงยุทธศาสตร์ของคณะกรรมการ ผู้บริหาร และผู้ตรวจสอบในยุคต่อจากนี้

ในครั้งหน้า ผมจะขอพูดต่อถึงคำถามที่ว่า ERP เป็นต้นกำเนิดของ Governance AI จริงหรือ? ในมุมมองของการวิเคราะห์ผ่านกรอบ COSO, ISO 38500, Basel และ AI Act โปรดติดตามตอนต่อไปนะครับ

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

The Intelligent Enterprise: ปฏิวัติธุรกิจด้วย ERP, Algorithm, และพลังขับเคลื่อนแห่ง AI/IA ตอนที่ 3

ธันวาคม 8, 2025

ตอนที่ 3: จุดสูงสุดแห่งวิวัฒนาการ: จาก Algorithm สู่ AI, Machine Learning และ IA

ในตอนที่ 1 และ 2 เราได้วางรากฐานสำคัญของการเป็น องค์กรอัจฉริยะ ด้วยการสร้าง Data ที่สะอาดและบูรณาการผ่านระบบ ERP และกำกับดูแลด้วย Algorithm ที่รองรับ GRC อย่างเข้มงวด อย่างไรก็ตาม Algorithm แบบดั้งเดิมนั้นดีเยี่ยมในการทำตามกฎเกณฑ์ที่กำหนดไว้ แต่ขาดความสามารถในการเรียนรู้หรือทำนายสถานการณ์ที่ซับซ้อนและเปลี่ยนแปลงอยู่เสมอ นี่คือจุดที่เราต้องนำพาองค์กรก้าวข้ามขีดจำกัดของ Rule-Based Logic สู่โลกของ AI (Artificial Intelligence) และ Intelligent Automation (IA) บทความนี้จะสำรวจว่าเราจะติดตั้ง ‘สมองที่เรียนรู้ได้’ เข้ากับ ‘ระบบประสาท’ ขององค์กรได้อย่างไร เพื่อสร้างคุณค่าเพิ่มและยกระดับ Governance ให้ไปอีกขั้น

เรากำลังเข้าสู่ยุคที่ซอฟต์แวร์ไม่เพียงแต่ทำตามคำสั่งเท่านั้น แต่สามารถ คิด, คาดการณ์, และตัดสินใจ ได้อย่างชาญฉลาด หัวใจของการเปลี่ยนแปลงนี้คือการเปลี่ยนจาก Algorithm แบบ If-Then (ถ้า…แล้ว…) ไปสู่ระบบที่เรียนรู้จากประสบการณ์ (Data) ด้วยตัวเองอย่าง Machine Learning (ML) แต่ความสำเร็จนี้จะเกิดขึ้นไม่ได้หากไม่มี “Clean Data” และ “Integrated GRC” จากระบบ ERP ที่เราสร้างไว้ในตอนก่อน ๆ เราจะมาดูกันว่า AI และ ML เข้ามาเสริมความสามารถของ ERP ให้ทำได้เหนือกว่าการบันทึกข้อมูลได้อย่างไร และการผสมผสานระหว่างเทคโนโลยีเหล่านี้กับระบบอัตโนมัติ (RPA) เพื่อสร้าง IA (Intelligent Automation) จะช่วยให้องค์กรสร้างคุณค่าเพิ่ม, ลดความเสี่ยง, และส่งเสริม Governance ในโลกธุรกิจที่ผันผวนได้อย่างไร พร้อมสำรวจแนวโน้มในอนาคตที่ ERP จะกลายเป็น แพลตฟอร์มอัจฉริยะ อย่างสมบูรณ์

3.1 AI และ Machine Learning: การเรียนรู้ที่เหนือกว่าตรรกะเดิม

AI (Artificial Intelligence) คือความสามารถของเครื่องจักรในการเลียนแบบสติปัญญาของมนุษย์ ในขณะที่ ML (Machine Learning) คือวิธีการที่ AI ใช้ในการเรียนรู้จากข้อมูลโดยไม่ต้องถูกโปรแกรมคำสั่งเจาะจงซ้ำแล้วซ้ำเล่า การก้าวข้ามจาก Algorithm แบบเก่าสู่ ML คือการเปลี่ยนจากการบอกระบบว่า “ทำสิ่งนี้” ไปสู่การบอกระบบว่า “นี่คือข้อมูลทั้งหมด, จงค้นหาความสัมพันธ์และบอกฉันว่าควรทำอะไรต่อไป”

การผนวกกับ ERP: ข้อมูลประวัติศาสตร์ขนาดใหญ่ (Big Data) ที่ถูกรวบรวมและทำให้สะอาดในระบบ ERP (เช่น ข้อมูลการซื้อขายย้อนหลัง 5 ปี, ข้อมูลความผันผวนของสต็อก, ข้อมูลเครดิตลูกค้า) คือ โรงเรียนฝึกสอน ชั้นดีที่สุดสำหรับโมเดล ML โมเดลเหล่านี้จะเรียนรู้จากรูปแบบในอดีตเพื่อ คาดการณ์ อนาคต เช่น การพยากรณ์ความต้องการของลูกค้า (Demand Forecasting) ที่แม่นยำกว่าการใช้สูตรสำเร็จแบบเก่า, หรือการวิเคราะห์เครดิตและพฤติกรรมลูกค้าที่มีความเสี่ยงสูงจากข้อมูลการขายใน ERP

3.2 Intelligent Automation (IA): เมื่อหุ่นยนต์และ AI ทำงานร่วมกัน

Intelligent Automation (IA) คือวิวัฒนาการขั้นต่อไปของระบบอัตโนมัติ โดยเกิดจากการรวมพลังระหว่าง RPA (Robotic Process Automation) ซึ่งเป็นหุ่นยนต์ซอฟต์แวร์ที่ทำงานซ้ำซากตามกฎเกณฑ์ (Rule-Based) เข้ากับ AI/ML ที่สามารถ ‘คิด’ และ ‘ตัดสินใจ’ ได้

การประยุกต์ใช้เพื่อ GRC และคุณค่าเพิ่ม:

  • การเงิน/บัญชี: IA ใช้ AI เพื่อ อ่าน, ทำความเข้าใจ, และตรวจสอบความถูกต้อง ของใบแจ้งหนี้จากภายนอก ก่อนจะนำไปป้อนเข้าสู่ระบบ ERP โดยอัตโนมัติ ซึ่งช่วยลดความผิดพลาด, ลดเวลาทำงานซ้ำซ้อน, และเพิ่ม Compliance (ตรวจสอบว่าข้อมูลตรงกับกฎเกณฑ์การจัดซื้อหรือไม่)
  • การผลิต: ML วิเคราะห์ข้อมูลการผลิตใน ERP (อุณหภูมิ, แรงดัน, ประสิทธิภาพเครื่องจักร) เพื่อทำนายว่าเครื่องจักรใดมีแนวโน้มจะเสียก่อนเวลา (Predictive Maintenance) ทำให้สามารถจัดตารางการซ่อมบำรุงใน ERP ได้อย่างชาญฉลาดและหลีกเลี่ยงการหยุดชะงักของสายการผลิต
  • Supply Chain: AI วิเคราะห์ข้อมูลการสั่งซื้อและสถานะสต็อกใน ERP แบบ Real-time เพื่อปรับแผนการขนส่งหรือการจัดซื้อจัดจ้างให้เหมาะสมกับสถานการณ์ที่ไม่คาดคิด

3.3 แนวโน้มในอนาคต: ERP กลายเป็นแพลตฟอร์มอัจฉริยะ

ในอนาคตอันใกล้ ระบบ ERP จะเปลี่ยนบทบาทจากแค่ ‘ระบบบันทึกและประมวลผล’ ไปเป็น ‘แพลตฟอร์มอัจฉริยะ’ (Intelligent Platform) ที่มี AI และ ML ฝังอยู่ทุกชั้นอย่างแยกไม่ออก การก้าวไปสู่ Cloud ERP และการใช้เทคโนโลยี In-Memory Computing ทำให้ระบบสามารถจัดการ Big Data และประมวลผลโมเดล AI ได้อย่างรวดเร็วและต่อเนื่อง นี่หมายความว่า ระบบ ERP จะไม่เพียงแค่บอกว่า “เกิดอะไรขึ้น” เท่านั้น แต่จะสามารถบอกได้ว่า “ทำไมถึงเกิดขึ้น” และ “ควรทำอย่างไรต่อไป”

บทสรุปสำหรับบุคลากร: ความสำเร็จในยุค IA ไม่ได้อยู่ที่การใช้ AI แทนมนุษย์ แต่เป็นการทำให้มนุษย์ทำงานร่วมกับ AI ได้อย่างมีประสิทธิภาพ ดังนั้น ความจำเป็นในการพัฒนาทักษะของบุคลากรให้มี Data Literacy (ความรู้ด้านข้อมูล) และเข้าใจถึงความสัมพันธ์ของ Data ใน ERP จึงมีความสำคัญอย่างยิ่ง เพื่อให้พวกเขาสามารถใช้ข้อมูลและเครื่องมืออัจฉริยะเหล่านี้ในการสร้างคุณค่าเพิ่มและขับเคลื่อน Governance ที่ยั่งยืนให้กับองค์กร

โดยเริ่มจากการสร้าง รากฐาน ด้วย ERP ในฐานะโครงสร้างร่างกายที่รวมทุกส่วนเข้าด้วยกัน (ตอนที่ 1), ตามมาด้วยการติดตั้ง ตรรกะและ Governance (GRC) ผ่าน Algorithm เพื่อสร้าง Data ที่ถูกต้องและเกี่ยวพันกัน (ตอนที่ 2) และมาถึงจุดสูงสุดของการพัฒนาด้วยการติดตั้ง สมองที่เรียนรู้ได้ ผ่าน AI, ML และ IA (ตอนที่ 3) ข้อสรุปที่ชัดเจนที่สุดคือ เทคโนโลยีอัจฉริยะไม่สามารถทำงานได้อย่างมีประสิทธิภาพหากไม่มีรากฐาน ERP ที่มั่นคงและข้อมูลที่เชื่อถือได้ การลงทุนใน AI โดยที่ข้อมูลยังไม่สะอาดหรือยังขาดการกำกับดูแลที่ดี (GRC) จึงเปรียบเหมือนการสร้างบ้านบนทราย การทำความเข้าใจที่ถูกต้องเกี่ยวกับ ERP, Algorithm, และความสัมพันธ์ของ Data ในทุกมิติ คือก้าวแรกและก้าวที่สำคัญที่สุดในการปฏิวัติองค์กรสู่การเป็น The Intelligent Enterprise อย่างแท้จริง

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

The Intelligent Enterprise: ปฏิวัติธุรกิจด้วย ERP, Algorithm, และพลังขับเคลื่อนแห่ง AI/IA ตอนที่ 2

พฤศจิกายน 28, 2025

ตอนที่ 2: หัวใจของการคิด: GRC, Algorithm และความถูกต้องของ Data ใน ERP

ในตอนที่ 1 : รากฐานดิจิทัล นั้น เราได้สร้างความเข้าใจร่วมกันว่า ERP คือโครงสร้างร่างกายและระบบประสาทที่เชื่อมโยงทุกส่วนขององค์กรเข้าด้วยกันอย่างแยกไม่ได้ และเป็นผู้สร้าง Data ที่มีคุณภาพ แต่ข้อมูลที่ไหลเวียนในระบบนั้นจะมีความน่าเชื่อถือและนำไปสู่การบริหารความเสี่ยงได้อย่างไร? คำตอบคือ Algorithm (อัลกอริทึม) และ GRC (Governance, Risk, Compliance) บทความตอนนี้จะพาเราเจาะลึกเข้าไปใน ‘สมอง’ ของระบบ ERP เพื่อทำความเข้าใจว่าชุดคำสั่งและตรรกะเหล่านี้กำหนด ความถูกต้อง (Data Integrity) และ ความเกี่ยวพัน (Interconnectivity) ของข้อมูลทางธุรกิจและการบริหารได้อย่างไร ซึ่งเป็นหัวใจสำคัญของการกำกับดูแลองค์กรอย่างมีประสิทธิภาพ

เมื่อองค์กรมีรากฐาน ERP ที่มั่นคง ข้อมูลทั้งหมดก็ไหลรวมกันเป็นหนึ่งเดียวเหมือน ‘ระบบไหลเวียนโลหิต’ ในร่างกาย แต่การที่ข้อมูลเหล่านี้จะถูกนำไปใช้ในการตัดสินใจได้อย่างปลอดภัยและโปร่งใส ต้องอาศัยการกำกับดูแลที่เข้มงวด นั่นคือบทบาทของ GRC ที่ต้องทำงานร่วมกับ Algorithm การที่หลายองค์กรประสบปัญหาในการใช้ข้อมูลจาก ERP เป็นเพราะความไม่เข้าใจว่า Algorithm ในระบบได้กำหนด ตรรกะ และ กฎเกณฑ์ แห่งความถูกต้องทาง Data ไว้แล้วอย่างละเอียดอ่อน ปัญหานี้มักนำไปสู่ความเข้าใจที่แตกต่างกันระหว่างสายงาน ทำให้เกิดการแก้ปัญหาที่มองข้ามความสัมพันธ์ของข้อมูลในมิติอื่น ๆ เราจะมาดูกันว่า Algorithm พื้นฐานทำงานอย่างไร และมันคือพลังสำคัญในการทำให้ Data ใน ERP สามารถใช้ในการบริหารแบบ Integrated Management และรองรับ GRC ได้อย่างสมบูรณ์ได้อย่างไร

2.1 ปัญหาความเข้าใจที่ต่างกัน: ERP กับ GRC (Governance, Risk, Compliance)

หลายครั้งที่ผู้บริหารหรือผู้ปฏิบัติงานมองว่า GRC เป็นเพียง ‘ภาระ’ หรือ ‘งานเอกสาร’ ที่ต้องทำเพิ่มเติม แต่ในบริบทของ ERP นั้น GRC คือส่วนที่ถูกฝังอยู่ในกระบวนการทำงานหลัก (Embedded GRC) Governance (ธรรมาภิบาล/การกำกับดูแล) คือการที่ระบบ ERP มี Algorithm ในการควบคุมและอนุมัติธุรกรรมต่าง ๆ อย่างชัดเจนและโปร่งใส เช่น การอนุมัติการสั่งซื้อที่ต้องผ่านลำดับชั้นที่กำหนดไว้ล่วงหน้า Risk (ความเสี่ยง) คือการใช้ Data ที่ถูกบูรณาการและถูกตรวจสอบโดยระบบเพื่อประเมินความเสี่ยง เช่น การใช้ข้อมูลการเงินและสต็อกเพื่อคำนวณความเสี่ยงสภาพคล่อง Compliance (การปฏิบัติตามกฎ) คือการที่ Algorithm ในระบบถูกตั้งค่าให้ปฏิบัติตามกฎหมายหรือข้อบังคับทางธุรกิจ (เช่น ภาษี, มาตรฐานบัญชี) โดยอัตโนมัติ ปัญหาที่พบบ่อย คือความเข้าใจที่แตกต่างกันในแต่ละสายงานเกี่ยวกับ ‘กฎ’ ที่ระบบกำหนดไว้ ทำให้เมื่อเกิดปัญหา ข้อมูลที่ถูกป้อนเข้ามานั้นไม่สอดคล้องกับตรรกะที่ควรจะเป็น ส่งผลให้ระบบ GRC ที่ฝังอยู่ใน ERP ไม่สามารถทำงานได้อย่างเต็มประสิทธิภาพ

2.2 Algorithm: Logic ที่กำหนดความถูกต้องและความเกี่ยวพันของ Data

Algorithm ไม่ใช่เรื่องซับซ้อน แต่คือ ชุดคำสั่งหรือตรรกะ ที่กำหนดว่าข้อมูลที่ถูกป้อนเข้าไปควรจะถูกประมวลผล จัดเก็บ และเชื่อมโยงกับข้อมูลอื่นอย่างไรในระบบ ERP นี่คือหัวใจสำคัญของการสร้างความถูกต้องของ Data และความเกี่ยวพันในทุกมิติ ตัวอย่างเช่น: เมื่อมีการบันทึกการผลิตสินค้า (Production Order) Algorithm จะตรวจสอบทันทีว่า:

  1. มีวัตถุดิบเพียงพอในสต็อกหรือไม่ (ความถูกต้อง ของปริมาณ)
  2. หักวัตถุดิบออกจากบัญชีสต็อกและบันทึกเป็นต้นทุนการผลิตทันที (ความเกี่ยวพัน ทางบัญชี)
  3. อัปเดตสถานะของใบสั่งผลิตและแจ้งไปยังฝ่ายขาย (ความเกี่ยวพัน ทางการปฏิบัติงาน)

ข้อมูลทางธุรกิจและการบริหารทุกประเภท จะต้องผ่านกระบวนการเหล่านี้เพื่อยืนยันความถูกต้องทาง Data และความเกี่ยวพันในทุกมิติ การทำความเข้าใจ Algorithm เหล่านี้ ทำให้ผู้บริหารตระหนักว่าปัญหาข้อมูลที่ผิดพลาดมักไม่ได้เกิดจาก ‘โปรแกรมเสีย’ แต่เกิดจากการป้อนข้อมูลที่ไม่เป็นไปตาม ‘ตรรกะ’ หรือ ‘กฎ’ ที่ระบบกำหนดไว้ตั้งแต่แรก ซึ่งส่งผลกระทบต่อทั้ง Governance และการประเมิน Risk ทันที

2.3 การบริหารแบบบูรณาการ (Integrated Management) ด้วย ERP Data

เมื่อ Algorithm ทำงานได้อย่างสมบูรณ์ในการทำให้ Data มีความถูกต้องและเกี่ยวพันกันในทุกมิติ ข้อมูลทั้งหมดจะรวมกันเป็น Single Source of Truth ที่ปราศจากข้อขัดแย้ง นี่คือพลังของการบริหารแบบบูรณาการ (Integrated Management) ที่ผู้บริหารไม่จำเป็นต้องรอการรวบรวมข้อมูลจากหลายฝ่ายหรือหลายบริษัทอีกต่อไป ทุกสายงานสามารถใช้ Dashboard ชุดเดียว ในการตัดสินใจข้ามฟังก์ชัน (Cross-Functional Decisions) ตัวอย่างเช่น: การใช้ข้อมูลการผลิต (จากโมดูล Production) และข้อมูลการเงิน (จากโมดูล Finance) มาวิเคราะห์ต้นทุนการผลิตแบบ Real-time เพื่อกำหนดราคาสินค้าเชิงกลยุทธ์ได้อย่างรวดเร็ว

การแก้ปัญหาที่ต้นเหตุ: การที่ทุก Transaction ถูกบันทึกและเชื่อมโยงด้วย Algorithm ใน ERP ทำให้สามารถทำ การตรวจสอบย้อนกลับ (Traceability) ได้ง่ายและรวดเร็ว เมื่อมีปัญหา ผู้บริหารสามารถสืบหาได้ทันทีว่าความผิดพลาดของข้อมูล (เช่น ข้อมูลสต็อกไม่ตรง) เกิดขึ้นที่กระบวนการใดในระบบ และแก้ไขที่จุดเริ่มต้นนั้น ไม่ใช่การมาปรับปรุงตัวเลขในรายงานปลายทาง ซึ่งช่วยสร้างความเชื่อมั่นในข้อมูลและส่งเสริม GRC ได้อย่างยั่งยืน

ในตอนนี้ เราได้เห็นแล้วว่า Algorithm คือ ตรรกะแห่งความถูกต้องและความเกี่ยวพัน ที่ถูกฝังอยู่ในระบบ ERP และเป็นกลไกสำคัญในการขับเคลื่อน GRC และการบริหารแบบบูรณาการ ข้อมูลที่ถูกกรองและเชื่อมโยงอย่างเป็นระบบนี้คือสิ่งที่สร้างคุณค่าเพิ่มและ Governance ที่เราต้องการอย่างแท้จริง อย่างไรก็ตาม Algorithm ที่เราพูดถึงในตอนนี้ ส่วนใหญ่ยังคงเป็น ‘ตรรกะที่มนุษย์กำหนด’ (Rule-Based Logic) ซึ่งมีข้อจำกัดในการรับมือกับความซับซ้อนและความผันผวนของโลกธุรกิจสมัยใหม่ คำถามคือ: เราจะทำอย่างไรให้ระบบ ERP ของเราสามารถคิด, คาดการณ์, และเรียนรู้ได้ด้วยตนเอง? นี่คือการก้าวข้ามจาก Algorithm แบบดั้งเดิม สู่การใช้ AI (Artificial Intelligence) และ Machine Learning (ML) ในการสร้างระบบอัตโนมัติอัจฉริยะ โปรดติดตาม ‘ตอนที่ 3: จุดสูงสุดแห่งวิวัฒนาการ: จาก Algorithm สู่ AI, Machine Learning และ IA’ เพื่อสำรวจว่าเราจะนำพลังแห่ง Data และ Logic ที่สร้างไว้ใน ERP มาปลดล็อกศักยภาพของ AI/IA ได้อย่างไร

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

The Intelligent Enterprise: ปฏิวัติธุรกิจด้วย ERP, Algorithm, และพลังขับเคลื่อนแห่ง AI/IA ตอนที่ 1

พฤศจิกายน 19, 2025

ตอนที่ 1: รากฐานดิจิทัล: ERP, โครงสร้างร่างกายองค์กร และความเข้าใจสำหรับทุกคน

ในยุคที่ ‘ข้อมูล’ ถูกยกให้เป็นสินทรัพย์ที่มีค่าที่สุด การสร้างระบบที่สามารถจัดการและทำให้ข้อมูลนั้นมีความถูกต้องและเกี่ยวพันกันจึงเป็นหัวใจสำคัญอย่างยิ่ง หลายองค์กรลงทุนในเทคโนโลยีอัจฉริยะอย่าง AI หรือ Machine Learning แต่กลับมองข้ามรากฐานที่มั่นคงอย่าง ERP (Enterprise Resource Planning) ไปเสียก่อน บทความตอนนี้จะพาคุณย้อนกลับไปทำความเข้าใจถึงแก่นแท้ของ ERP ว่าแท้จริงแล้วมันคืออะไร และทำไมการมีความเข้าใจที่ถูกต้องตั้งแต่ระดับคณะกรรมการไปจนถึงผู้ปฏิบัติงาน จึงเป็นกุญแจดอกแรกที่นำไปสู่การสร้างคุณค่าเพิ่มและ Governance (GRC) ที่เข้มแข็ง ก่อนที่เราจะก้าวไปถึงโลกของ Algorithm และ AI อย่างสมบูรณ์

การเดินทางสู่การเป็น ‘องค์กรอัจฉริยะ’ (Intelligent Enterprise) ไม่ได้เริ่มต้นที่การซื้อซอฟต์แวร์ AI ราคาแพง แต่เริ่มต้นที่การจัดระเบียบบ้านของตัวเองให้เรียบร้อย นั่นคือการทำความเข้าใจและใช้ประโยชน์จากระบบ ERP อย่างแท้จริง ตลอดตอนนี้ เราจะเจาะลึกว่า ERP คืออะไรในมุมมองของ Stakeholders ทุกระดับ และนำเสนอภาพเปรียบเทียบที่ทรงพลัง: องค์กรเปรียบเสมือนร่างกายมนุษย์ ที่ทุกส่วนเชื่อมโยงกันอย่างแยกไม่ได้ ความไม่เข้าใจหรือการมอง ERP เป็นแค่ระบบบัญชีเท่านั้น คือการแก้ปัญหาที่ปลายน้ำโดยไม่สนใจแหล่งกำเนิดข้อมูล (Data Source) เราจะแสดงให้เห็นว่า การมีรากฐาน ERP ที่ถูกต้อง คือการสร้าง Clean Data ซึ่งเป็นเชื้อเพลิงเดียวที่ AI ต้องการเพื่อสร้างคุณค่าเพิ่มและขับเคลื่อนการบริหารแบบ Integrated Management

1.1 ERP คืออะไรในมุมมองของ Stakeholders

ERP ไม่ใช่แค่ระบบบัญชี หรือระบบสำหรับฝ่ายผลิตเท่านั้น คำกล่าวนี้เป็นจริงอย่างยิ่ง แต่ความเข้าใจที่คลาดเคลื่อนนี้เองที่นำไปสู่ปัญหามากมายในองค์กร สำหรับ คณะกรรมการ (Board) และ ผู้บริหารระดับสูง (C-Level) ERP คือเครื่องมือในการสร้าง Governance และการตัดสินใจเชิงกลยุทธ์ เพราะมันรวมศูนย์ข้อมูลทางการเงิน ประสิทธิภาพการดำเนินงาน และความเสี่ยงไว้ในที่เดียว ทำให้การกำกับดูแลเป็นไปตามนโยบายได้อย่างชัดเจนและโปร่งใส ในขณะที่ ผู้ปฏิบัติงาน ERP คือเครื่องมือที่สร้างมาตรฐานให้กับกระบวนการทำงาน ลดความซ้ำซ้อน และลดโอกาสเกิดข้อผิดพลาด การมอง ERP เป็นเพียงซอฟต์แวร์ตัวหนึ่ง แทนที่จะมองเป็น ระบบรวมศูนย์กระบวนการ ทำให้องค์กรลงทุนอย่างหนัก แต่กลับยังคงติดอยู่กับการแก้ปัญหาเล็กๆ น้อยๆ ที่ปลายเหตุ (เช่น รายงานไม่ตรง, สต็อกผิดพลาด) โดยไม่เคยกลับไปแก้ที่ ต้นเหตุ ซึ่งคือการป้อนข้อมูลที่ไม่ถูกต้องตั้งแต่ต้น (Source Data Integrity)

1.2 องค์กรเปรียบเสมือนร่างกายมนุษย์: การบูรณาการที่แยกกันไม่ได้

ลองพิจารณาร่างกายมนุษย์ที่มีอวัยวะมากกว่า 200 ส่วน ตั้งแต่ระบบประสาท, หัวใจ, ปอด, ตับ ไปจนถึงกล้ามเนื้อและกระดูก อวัยวะทุกส่วนเหล่านี้แม้จะทำงานต่างกัน แต่ถูกเชื่อมโยงด้วย ‘ระบบประสาท’ และ ‘ระบบไหลเวียนโลหิต’ ที่ประสานงานกันอย่างสมบูรณ์แบบ หากมีส่วนใดส่วนหนึ่งทำงานผิดปกติ ย่อมส่งผลกระทบต่อส่วนอื่น ๆ ไม่ทางตรงก็ทางอ้อม องค์กรก็เช่นกัน การเงิน, การผลิต, การตลาด, และ HR เปรียบเสมือนอวัยวะสำคัญ และ ERP คือระบบประสาทและระบบไหลเวียนโลหิตขององค์กร มันคือสิ่งที่ทำให้เมื่อฝ่ายขายทำรายการสั่งซื้อ ข้อมูลจะวิ่งไปอัปเดตสต็อกในคลัง, บันทึกเป็นรายได้ในบัญชี, และแจ้งเตือนฝ่ายผลิตให้เตรียมการทันที นี่คือ ความเกี่ยวพันของ Data ในทุกมิติทุกมุมมอง ที่ระบบ ERP สร้างขึ้น การบริหารทุกสายงานจึงไม่สามารถแยกออกจากกันได้ ถ้าข้อมูลในคลังสินค้าไม่ถูกต้อง ข้อมูลทางการเงินก็จะผิดพลาดตามไปด้วย และความผิดพลาดนี้จะทวีคูณเมื่อเราพูดถึงองค์กรขนาดใหญ่ที่มีหลายบริษัท หรือแม้กระทั่งหน่วยงานที่เกี่ยวกับการบริหารประเทศ ซึ่งต้องการการบูรณาการข้อมูลเพื่อการบริหารจัดการที่มีประสิทธิภาพและสร้าง Governance ร่วมกัน

1.3 ERP และการสร้างรากฐาน Data สู่คุณค่าเพิ่ม

เป้าหมายสูงสุดของการลงทุนใน ERP คือการเปลี่ยน ข้อมูลดิบ ให้เป็น คุณค่าเพิ่ม ให้กับ Stakeholders ทุกประเภท การที่ข้อมูลทั้งหมดมีความเกี่ยวพันกันและถูกตรวจสอบโดยกฎเกณฑ์ของระบบ ทำให้ได้ข้อมูลที่มีความ ถูกต้อง (Data Integrity) และ เชื่อถือได้ (Reliable) ข้อมูลที่เชื่อถือได้นี้คือ รากฐานที่แข็งแกร่ง และเป็น วัตถุดิบคุณภาพสูง ที่พร้อมให้ผู้บริหารใช้ในการตัดสินใจเชิงกลยุทธ์ เช่น การวิเคราะห์ความสามารถในการทำกำไรของผลิตภัณฑ์แต่ละตัว หรือการพยากรณ์ความต้องการของตลาดได้อย่างแม่นยำ นี่คือการเปลี่ยนผ่านจากการใช้สัญชาตญาณในการบริหาร ไปสู่การใช้ Data-Driven Management ซึ่งเป็นพื้นฐานสำคัญที่สุดก่อนจะคิดถึงการใช้เทคโนโลยีที่ซับซ้อนอย่าง AI ถ้า Data ใน ERP ไม่ Clean, ไม่ Integrated, และไม่ Governance ดีพอ สิ่งที่เราจะนำไปป้อนให้ AI เรียนรู้ ก็จะเป็นแค่ ‘ขยะข้อมูล’ เท่านั้น

เราได้เห็นแล้วว่า ERP ไม่ใช่แค่ทางเลือก แต่เป็นรากฐานที่สำคัญในการสร้าง Data ที่มีคุณภาพ มีความเกี่ยวพันกัน และสร้าง Governance ที่ทุกคนทุกระดับต้องมีความเข้าใจที่ตรงกัน เพื่อหลีกเลี่ยงการแก้ปัญหาที่ปลายเหตุและมุ่งเน้นการสร้างคุณค่าเพิ่มให้องค์กร การทำให้องค์กรเป็นเหมือน ร่างกายมนุษย์ที่สมบูรณ์แบบ ด้วยการบูรณาการทุกฟังก์ชันเข้าด้วยกันผ่านระบบ ERP คือการเตรียมพร้อมที่สำคัญที่สุด แต่การมีข้อมูลที่เชื่อมโยงกันเพียงอย่างเดียวไม่พอ เราต้องมี ‘ตรรกะ’ ในการประมวลผลด้วย ข้อมูลใน ERP จะมีพลังอย่างแท้จริงเมื่อมันถูกขับเคลื่อนด้วย Algorithm ที่รัดกุม ซึ่งเป็นหัวใจสำคัญของ GRC ที่จะทำให้ข้อมูลมีความถูกต้องและสามารถนำไปสู่การบริหารความเสี่ยงได้อย่างแม่นยำ โปรดติดตาม ‘ตอนที่ 2: หัวใจของการคิด: GRC, Algorithm และความถูกต้องของ Data ใน ERP’ ซึ่งเราจะเจาะลึกว่า Algorithm คืออะไร และถูกนำมาใช้กำหนดตรรกะและกฎเกณฑ์ในการกำกับดูแลข้อมูลอย่างไร

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กรอบการทำงานการตรวจสอบปัญญาประดิษฐ์ (Artificial Intelligence Auditing Framework) ตอนที่ 3-2 (ตอนจบ)

ตุลาคม 3, 2025

สำหรับโพสต์นี้เป็นส่วนสุดท้ายหรือตอนจบของเนื้อหากรอบการทำงานการตรวจสอบปัญญาประดิษฐ์ (Artificial Intelligence Auditing Framework) ซึ่งเราจะมาเจาะลึกถึงรายละเอียดของการบริหารจัดการความเสี่ยงด้าน AI กันต่อครับ ท่านใดที่ยังไม่ได้ดูเนื้อหาก่อนหน้านี้ สามารถย้อนกลับไปดูได้ที่ กรอบการตรวจสอบ AI: การกำกับดูแลและการจัดการ (ตอนที่ 1) เพื่อความเข้าใจที่ต่อเนื่องครับ

ตอนที่ 3: กรอบการตรวจสอบ AI: การจัดการความเสี่ยงและการตรวจสอบ (ตอนที่ 2)

ทรัพยากรด้านไอทีเพื่อสนับสนุน AI

การใช้ AI จำเป็นต้องมีการเพิ่มประสิทธิภาพทรัพยากรด้านไอทีอย่างเหมาะสม ซึ่งฝ่ายบริหารควรจัดสรรงบประมาณไว้ด้วย เนื่องจาก AI ต้องการประสิทธิภาพของสินทรัพย์คอมพิวเตอร์ที่เข้มข้น เพื่อรองรับการประมวลผลที่น่าเชื่อถือ ตัวอย่างความสามารถของทรัพยากรด้านไอทีที่ใช้เพื่อสนับสนุนโครงการริเริ่มด้าน AI ขององค์กร ได้แก่:

  • Central Processing Units (CPU): หรือ “สมอง” ของคอมพิวเตอร์ ทำหน้าที่ประมวลผลคำสั่งหรือคำสั่ง
  • Graphics Processing Units (GPU): สมองที่มีความสามารถมากกว่า สามารถประมวลผลข้อมูลจำนวนมากพร้อมกันได้ และมีความสามารถในการคำนวณทางคณิตศาสตร์เพิ่มเติม มักใช้ในงาน AI ที่เกี่ยวกับการสร้างสรรค์ภาพ
  • Storage: พื้นที่จัดเก็บข้อมูลที่ AI ต้องการสำหรับการประมวลผล โดยทั่วไปวัดเป็นเทราไบต์ (1,000 กิกะไบต์) หรือเพตาไบต์ (1,000 เทราไบต์)
  • Memory (RAM): หรือหน่วยความจำเข้าถึงแบบสุ่ม เป็นพื้นที่จัดเก็บข้อมูลระยะสั้นที่เข้าถึงได้เร็วกว่า Storage ยิ่ง AI ที่ทำงานมีความซับซ้อนมากเท่าไหร่ ก็ยิ่งต้องใช้ RAM มากขึ้นเท่านั้น
  • Supercomputers: คอมพิวเตอร์ที่มีการประมวลผลเร็วที่สุด ใช้สำหรับการคำนวณประสิทธิภาพสูงและมี CPU หลายตัว
  • Workstations: รวมถึงคอมพิวเตอร์ตั้งโต๊ะและแล็ปท็อปที่มีข้อกำหนดทางเทคนิคที่รองรับความต้องการของ AI ที่ใช้งาน
  • Software: แพลตฟอร์ม, โปรแกรม และแอปพลิเคชันที่ใช้ในการพัฒนา, นำไปใช้ และจัดการ AI ตัวอย่างเช่น Microsoft Azure AI, IBM Watsonx.ai และ Google Cloud AI Platform
  • Networking Connectivity: เป็นหมวดหมู่กว้าง ๆ ที่รวมฮาร์ดแวร์, ซอฟต์แวร์ และบริการที่ช่วยให้ผู้ใช้สามารถแบ่งปันทรัพยากรดิจิทัลและแลกเปลี่ยนข้อมูลได้

แม้ผู้ตรวจสอบภายในไม่จำเป็นต้องรู้ข้อกำหนดทางเทคนิคและรายละเอียดทั้งหมดของ AI แต่ควรมีความรู้พื้นฐานเกี่ยวกับทรัพยากรด้านไอที

บุคลากรและการฝึกอบรม

การจัดบุคลากรที่เหมาะสมเป็นองค์ประกอบสำคัญของกลยุทธ์ AI ขององค์กร ฝ่ายทรัพยากรบุคคลควรทำงานร่วมกับฝ่ายบริหาร เพื่อให้แน่ใจว่ามีการสรรหาพนักงานที่มีประสบการณ์ด้าน AI ที่จำเป็นทั่วทั้งองค์กร โดยควรให้ความสำคัญกับประสบการณ์ด้าน AI ไม่เพียงแค่พนักงานที่รับผิดชอบการจัดการ AI ในแต่ละวัน แต่ยังรวมถึงผู้นำที่จะกำกับดูแลโครงการริเริ่มด้าน AI ด้วย

เนื่องจาก AI มีการพัฒนาอย่างรวดเร็ว องค์กรจึงต้องแน่ใจว่าพนักงานตระหนักถึงความก้าวหน้าและความเสี่ยงที่เกี่ยวข้อง ควรมีการฝึกอบรมสร้างความตระหนักรู้ทั่วไปเกี่ยวกับ AI ให้แก่พนักงานทุกคน และจัดโอกาสในการฝึกอบรมทางเทคนิคมากขึ้นสำหรับพนักงานที่มุ่งเน้นโครงการริเริ่มด้าน AI

การฝึกอบรมเกี่ยวกับนโยบายการใช้ AI อย่างเป็นทางการ, การรวมเรื่อง AI ไว้ในคู่มือพนักงาน และการปฐมนิเทศพนักงานใหม่ เป็นวิธีที่ดีในการเพิ่มความตระหนักรู้ขององค์กรเกี่ยวกับ AI รวมถึงความเสี่ยงที่อาจเกิดขึ้น การบูรณาการโครงการฝึกอบรมที่มุ่งเน้น AI, ความรู้ด้านดิจิทัล, นโยบายและขั้นตอนการปฏิบัติงานขององค์กร และโอกาสในการยกระดับทักษะ จะช่วยสนับสนุนโครงการริเริ่มด้าน AI ผ่านการลงทุนโดยตรงในพนักงานปัจจุบันและพนักงานใหม่ การนำไปใช้และผลลัพธ์ของโครงการริเริ่มเหล่านี้ ควรได้รับการตรวจสอบโดยการตรวจสอบภายใน ซึ่งเป็นส่วนหนึ่งของการควบคุม AI ขององค์กร

การดำเนินการ: การจัดการความเสี่ยงโดย First and Second Lines

ในตอนที่ 2 ได้กล่าวถึงความสำคัญของการระบุความเสี่ยงด้าน AI ที่เกี่ยวข้องกับความปลอดภัย, ความสมบูรณ์, ความเป็นส่วนตัว และการรักษาความลับของข้อมูล ซึ่งการจัดการข้อกังวลเหล่านี้ ควรเป็นจุดเน้นเมื่อองค์กรดำเนินโครงการ AI อัลกอริทึม AI อาศัยข้อมูลที่ถูกต้องและเชื่อถือได้ ดังนั้นทีมงานโครงการควรติดตามข้อมูลที่ป้อนเข้าอย่างใกล้ชิด องค์กรมีหลายวิธีในการตรวจสอบความครบถ้วนของข้อมูลที่ใช้ในโครงการ AI รวมถึงการตรวจสอบยอดรวมของบันทึกว่าตรงกันหรือไม่ และการวิเคราะห์รายงานข้อผิดพลาดเมื่อข้อมูลถูกโอนย้ายระหว่างระบบ ฝ่ายบริหารควรออกแบบและติดตามการควบคุมภายในที่สามารถตรวจจับความผิดปกติของคุณภาพ หรือความครบถ้วนของข้อมูลได้

ข้อพิจารณาที่สำคัญอื่น ๆ เกี่ยวกับข้อมูล ได้แก่ การจำกัดสิทธิ์การเข้าถึงเฉพาะพนักงานที่ทำงานในโครงการ AI รวมถึงสิทธิ์การเข้าถึงของผู้ดูแลระบบ การกำหนดบทบาทของผู้ใช้ และการแยกหน้าที่ (Segregation of Duties) ที่เหมาะสมก็เป็นสิ่งสำคัญเช่นกัน ตัวอย่างเช่น ผู้ดูแลระบบฐานข้อมูลที่ดูแลข้อมูลที่ป้อนเข้าไม่ควรมีสิทธิ์ในการแก้ไขอัลกอริทึมที่ประมวลผลข้อมูลนั้น ซึ่งเป็นหน้าที่ความรับผิดชอบของนักพัฒนา

เมื่อมีการนำโครงการ AI ไปใช้ สิ่งสำคัญคือ องค์กรต้องแน่ใจว่าโครงการนั้นมีความโปร่งใส, อธิบายได้, มีความรับผิดชอบ และตรวจสอบได้:

  • ความโปร่งใส (Transparency): สามารถเข้าใจวัตถุประสงค์ของ AI หรืออัลกอริทึมได้ง่ายในแง่ที่เรียบง่าย
  • การอธิบายได้ (Explainability): สามารถอธิบายกลไก, การคำนวณ หรือผลลัพธ์ที่ประมวลผลโดย AI หรืออัลกอริทึมได้
  • ความรับผิดชอบ (Responsibility): ใช้ AI หรืออัลกอริทึมในลักษณะที่มีจริยธรรม, ปลอดภัย, เป็นธรรม และน่าเชื่อถือ
  • การตรวจสอบได้ (Auditability): เมื่อแอปพลิเคชัน AI เริ่มเข้ามาแทนที่ หรือเสริมกระบวนการทางธุรกิจที่สำคัญ ควรมีการรักษาความสามารถในการตรวจสอบย้อนกลับ ผ่านบันทึกการตรวจสอบที่มีประสิทธิภาพ เนื่องจากอาจจำเป็นต้องมีการให้ความเชื่อมั่นในกระบวนการเหล่านี้

การจัดการโครงการ AI ควรระบุรายละเอียดดังต่อไปนี้สำหรับแต่ละโครงการ:

  • วัตถุประสงค์, บทบาท และกำหนดเวลา: โครงการนี้มีจุดมุ่งหมายเพื่อบรรลุอะไร, ใครมีส่วนร่วม และเมื่อไหร่ที่เกิดขึ้น
  • ข้อกำหนดด้านทรัพยากร: ทรัพยากรเทคโนโลยีและ/หรือบุคลากรที่จำเป็นต่อความสำเร็จ
  • ข้อกำหนดด้านข้อมูล: ข้อมูลที่ป้อนเข้าที่ AI หรืออัลกอริทึมต้องการ
  • ข้อกำหนดด้านความเป็นส่วนตัว, กฎหมาย และกฎระเบียบ: ข้อกำหนดในการปฏิบัติตามที่เกี่ยวข้อง
  • การประเมินความเสี่ยง: ความเสี่ยงที่เกี่ยวข้องที่คุกคามการบรรลุวัตถุประสงค์ของโครงการ หรือผลลัพธ์ที่ไม่พึงประสงค์ เช่น ความลำเอียง, การปฏิบัติที่ไม่เป็นธรรม หรือการใช้ในทางที่ผิด
  • ตัวชี้วัดความสำเร็จหรือ KPI: วิธีการติดตามและวัดผลความสำเร็จของโครงการ
  • ข้อกำหนดในการทดสอบ: การตรวจสอบเพื่อยืนยันว่า AI หรืออัลกอริทึมทำงานตามที่ออกแบบไว้ รวมถึงการระบุและสื่อสารปัญหาที่เกิดขึ้น

การติดตามโครงการ AI อย่างต่อเนื่อง ควรดำเนินการโดยฝ่ายบริหารเพื่อให้แน่ใจว่าโครงการดำเนินไปตามแผนและเพื่อระบุปัญหาหรือข้อกังวลใด ๆ ที่เกิดขึ้น ฝ่ายบริหารมีบทบาทสำคัญในสภาพแวดล้อมการควบคุมภายใน ด้วยการจัดให้มีระดับการดำเนินการแรกเพื่อลดความเสี่ยง การติดตามในระดับโครงการมีความสำคัญ เนื่องจากเป็นจุดแรกที่สามารถตรวจพบปัญหาได้

การสนับสนุนจาก Second Line ในการบริหารความเสี่ยง

เป้าหมายหลักของกระบวนการบริหารความเสี่ยงระดับองค์กรคือ การทำความเข้าใจว่าความเสี่ยงอาจคุกคามการบรรลุวัตถุประสงค์ได้อย่างไร จากนั้นจึงดำเนินการเพื่อลดความเสี่ยงเหล่านั้น AI มักถูกพิจารณาว่าเป็นความเสี่ยงทางเทคโนโลยี แต่สิ่งสำคัญคือต้องตระหนักว่าความเสี่ยงของ AI สามารถอยู่ในหมวดหมู่ใด ๆ ก็ได้ เช่น ความเสี่ยงเชิงกลยุทธ์, การเงิน, สังคม, จริยธรรม, กฎหมาย และการกำกับดูแล

กรอบการตรวจสอบ AI ของ IIA ให้ข้อพิจารณาด้านการจัดการความเสี่ยง เพื่อสนับสนุนโครงการ AI ขององค์กรในการปฏิบัติตามแนวทางที่ดีที่สุดเกี่ยวกับ AI ซึ่งรวมถึงการพิจารณาใช้กรอบการทำงานอื่น ๆ ที่มีอยู่ เช่น NIST’s Artificial Intelligence Risk Management Framework ผู้ตรวจสอบภายในมักจะทำงานร่วมกับผู้เชี่ยวชาญด้านการบริหารความเสี่ยงในกิจกรรมต่าง ๆ เช่น กระบวนการประเมินความเสี่ยงประจำปีขององค์กร ดังนั้นจึงเป็นสิ่งสำคัญอย่างยิ่งที่ผู้ตรวจสอบภายในต้องเข้าใจความเสี่ยงที่เกี่ยวข้องกับ AI และเพิ่มฐานความรู้อย่างต่อเนื่อง

การระบุความเสี่ยง

การระบุความเสี่ยงที่เกี่ยวข้องกับ AI อาจเป็นงานใหม่สำหรับหลายองค์กร โดยในอุดมคติแล้ว การบริหารความเสี่ยงระดับองค์กร (รวมถึงการตรวจสอบภายใน, การปฏิบัติตามกฎระเบียบ และฝ่ายกฎหมาย) จะมีส่วนร่วมในการหารือเริ่มต้นของโครงการริเริ่มด้าน AI ทั้งหมด เพื่อช่วยกำหนดกรอบความเสี่ยงที่เกี่ยวข้องกับโครงการ AI

องค์กรที่มีกระบวนการประเมินความเสี่ยงทั่วทั้งองค์กรที่มั่นคงแล้ว ควรพิจารณาทำการประเมินความเสี่ยงที่มุ่งเน้น AI เป็นครั้งแรก หากไม่สามารถทำการประเมินความเสี่ยง AI แยกต่างหากได้ อย่างน้อยที่สุดองค์กรควรแน่ใจว่าได้รวม AI ไว้ในกระบวนการประเมินความเสี่ยงโดยรวม

สำหรับองค์กรที่มีกลยุทธ์ AI ที่ชัดเจน พร้อมด้วยวัตถุประสงค์และเป้าหมายที่กำหนดไว้ จะเป็นบริบทที่ฝ่ายบริหารความเสี่ยงระดับองค์กรต้องการเพื่อช่วยในการระบุความเสี่ยง AI บริบทนี้ช่วยให้ฝ่ายบริหารความเสี่ยงระดับองค์กรสามารถจัดทำรายการความเสี่ยงที่คุกคามการบรรลุวัตถุประสงค์และเป้าหมายเหล่านั้นได้ ทำให้องค์กรสามารถฝังมาตรการป้องกันอันตรายที่อาจเกิดขึ้นจากการใช้ AI ไว้ในแผนกลยุทธ์ของตนได้

อย่างไรก็ตาม สิ่งสำคัญคือต้องตระหนักว่าภูมิทัศน์ความเสี่ยงเกี่ยวกับ AI ยังคงเปลี่ยนแปลงอย่างรวดเร็ว ทำให้เกิดผลลัพธ์เชิงลบที่ไม่พึงประสงค์จากความเสี่ยงที่ไม่ได้คำนึงถึง ซึ่งอาจรวมถึง:

  • ผลลัพธ์ที่มีอคติหรือเลือกปฏิบัติที่อาจส่งผลกระทบอย่างไม่เป็นธรรมต่อบางส่วนของประชากร
  • การประนีประนอมความเป็นส่วนตัวหรือการรักษาความลับ
  • การขาดความรับผิดชอบ
  • การขาดความโปร่งใสและการอธิบายได้
  • อันตรายทางการเงินหรือความเหลื่อมล้ำทางเศรษฐกิจ
  • อันตรายต่อสิ่งแวดล้อม
  • ข้อมูลที่ผิดหรือการบิดเบือน
  • การละเมิดลิขสิทธิ์

“กล่องดำ” (The Black Box)

แม้ว่ากระบวนการระบุ, ประเมิน และลดความเสี่ยงส่วนใหญ่สำหรับโครงการ AI จะปฏิบัติตามแนวทางที่ดีที่สุดที่มีอยู่ แต่สิ่งสำคัญคือต้องทราบว่า “กล่องดำ” (Black Box) ของ AI ก่อให้เกิดความเสี่ยงที่แตกต่างกัน คำนี้หมายถึงการขาดความโปร่งใสในระบบ AI และวิธีการตัดสินใจของมัน โดยเฉพาะอย่างยิ่งในโมเดล Deep Learning ซึ่งอาจเป็นเรื่องยากที่จะทำความเข้าใจเนื่องจากการประมวลผลที่ซับซ้อนโดยอัลกอริทึม

ผู้เชี่ยวชาญด้านความเสี่ยงและผู้ตรวจสอบภายในสามารถจัดการกับ “กล่องดำ” ได้โดยตรงด้วยการ:

  • ระบุและสื่อสารอย่างชัดเจนในจุดที่อาจมีข้อมูลที่ขาดหายไปหรือไม่สมบูรณ์ภายในโครงการ AI ตัวอย่างเช่น หากองค์กรใช้ผู้ขาย AI จากภายนอกที่ไม่ให้ข้อมูลโดยละเอียดเกี่ยวกับข้อมูลการฝึกอบรมอัลกอริทึม ควรบันทึกและเปิดเผยสิ่งนี้เป็นความเสี่ยงที่อาจเกิดขึ้น
  • ประเมินและแจ้งให้คณะกรรมการทราบอย่างต่อเนื่องเกี่ยวกับผลกระทบที่อาจเกิดขึ้นจากช่องว่างข้อมูลที่ระบุไว้ ตัวอย่างเช่น เมื่อการขาดเอกสารของผู้ขายในชุดข้อมูลการฝึกอบรมได้รับการบันทึกแล้ว ผู้ตรวจสอบภายในควรแจ้งให้คณะกรรมการทราบเมื่อเผชิญกับผลลัพธ์ที่เกี่ยวข้องกับความเสี่ยง
  • นำเสนอแนวทางในการลดความเสี่ยงที่เกี่ยวข้องกับช่องว่างความรู้ของ “กล่องดำ” ที่ได้บันทึกและประเมินไว้ก่อนหน้านี้ ตัวอย่างเช่น จากการประเมินและผลที่ตามมาที่นำเสนอ องค์กรตัดสินใจที่จะเปลี่ยนไปใช้ผู้ขาย AI รายใหม่ที่มีเอกสารข้อมูลที่โปร่งใสมากขึ้น

การประเมินความเสี่ยง

การประเมินและวิเคราะห์ความเสี่ยงที่เกี่ยวข้องกับ AI ควรเป็นไปตามกระบวนการที่คล้ายคลึงกับที่องค์กรใช้ในการทบทวนความเสี่ยงอื่น ๆ โดยควรพิจารณา ผลกระทบ (Impact) และ โอกาสที่จะเกิดขึ้น (Likelihood) ก่อน ผลกระทบของความเสี่ยงที่เกี่ยวข้องกับ AI อาจเป็นเรื่องยากที่จะวัดปริมาณได้ เนื่องจากมีข้อพิจารณามากมาย เช่น ผลกระทบทางกฎหมาย, กฎระเบียบ, สังคม, การเงิน, สิ่งแวดล้อม และจริยธรรม ความเสียหายต่อชื่อเสียงของแบรนด์ก็เป็นข้อพิจารณาสำหรับผลกระทบเช่นกัน

การรวมกันของผลกระทบและโอกาสที่จะเกิดขึ้นจะส่งผลให้เกิด ความเสี่ยงโดยธรรมชาติ (Inherent Risk) ซึ่งเป็นการวัดความเสี่ยงที่มีอยู่โดยไม่มีการพิจารณาการควบคุมภายใน หลังจากประเมินความเสี่ยงโดยธรรมชาติแล้ว ขั้นตอนต่อไปคือการกำหนด ความเสี่ยงคงเหลือ (Residual Risk) ซึ่งรวมถึงการพิจารณาว่าความเสี่ยงได้รับการบรรเทาได้ดีเพียงใด

การจัดลำดับความสำคัญของความเสี่ยง เป็นกระบวนการที่องค์กรใช้ เพื่อจัดอันดับความเสี่ยงตามลำดับความสำคัญ กล่าวคือ ความเสี่ยงที่ส่งผลกระทบมากที่สุดจะได้รับการจัดการก่อน องค์กรมีทรัพยากรที่จำกัด แต่เผชิญกับความเสี่ยงที่ไม่จำกัด ดังนั้นการจัดลำดับความสำคัญของความเสี่ยงที่เกี่ยวข้องกับ AI ภายใน กรอบการวิเคราะห์ความเสี่ยงทั่วทั้งองค์กรจึงเป็นสิ่งสำคัญ

การลดความเสี่ยง

การลดความเสี่ยง (Risk Mitigation) เป็นการกระทำที่ฝ่ายบริหารดำเนินการ เพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ ในหลายกรณี องค์กรเลือกที่จะจัดการความเสี่ยงที่เกี่ยวข้องกับ AI ด้วยการกระทำเพื่อลดความเสี่ยง เช่น การเพิ่มการควบคุมภายใน อย่างไรก็ตาม มีการตอบสนองความเสี่ยงที่เป็นไปได้อื่น ๆ อีกหลายประการ

มีหลายปัจจัยที่มีอิทธิพลต่อวิธีที่องค์กรกำหนดว่าจะตอบสนองต่อความเสี่ยงที่เกี่ยวข้องกับ AI อย่างไร ดังนั้นการมีกระบวนการตอบสนองความเสี่ยงที่กำหนดไว้และสามารถทำซ้ำได้จึงเป็นสิ่งสำคัญ ความเสี่ยงที่เกี่ยวข้องกับ AI อาจเปลี่ยนแปลงได้ในระหว่างโครงการ ดังนั้นองค์กรควรทบทวนอย่างต่อเนื่องว่าจะตอบสนองและลดความเสี่ยงอย่างไร

การตรวจสอบภายใน: กิจกรรมที่ปรึกษาและให้ความเชื่อมั่น

หลังจากที่ได้อธิบายถึงแนวทางที่องค์กรควรใช้ในการจัดการ AI ในสองส่วนแรกของกรอบการทำงานแล้ว ส่วนสุดท้ายที่เหลืออยู่คือ การตรวจสอบภายใน (Internal Audit)

สองส่วนแรกของกรอบการทำงานนี้เป็นพื้นฐานสำหรับการที่การตรวจสอบภายใน จะสามารถให้บริการทั้งด้านการให้คำปรึกษาและการตรวจสอบแก่องค์กรได้ ส่วน การกำกับดูแล (Governance) และ การจัดการ (Management) มีรายละเอียดที่ผู้ตรวจสอบภายใน ควรนำไปใช้ในการแนะนำองค์กรให้ปรับปรุงแนวทางปฏิบัติ หรือใช้เป็นพื้นฐานในการประเมินว่าองค์กรกำลังเข้าถึง, ใช้, จัดการ และติดตาม AI อย่างไร

คำว่า “ความเชื่อมั่นที่สมเหตุสมผล” (Reasonable Assurance) มักถูกอ้างถึงในวิชาชีพการตรวจสอบภายใน จากมุมมองของการควบคุมภายใน ความเชื่อมั่นที่สมเหตุสมผลหมายถึงมีความเป็นไปได้สูงที่การควบคุมจะสามารถลดความเสี่ยงได้ แต่ก็ไม่ถึงกับเป็นความแน่นอนแบบสมบูรณ์ (absolute) หลักการเดียวกันนี้ควรถูกนำมาพิจารณาสำหรับผู้ตรวจสอบภายในที่ได้รับมอบหมายให้ทำหน้าที่ให้ความเชื่อมั่นเกี่ยวกับ AI

ความท้าทาย

หลายแง่มุมของ AI ทำให้กิจกรรมการให้ความเชื่อมั่นเป็นเรื่องยากสำหรับผู้ตรวจสอบภายใน ซึ่งรวมถึง:

  • ความซับซ้อนโดยธรรมชาติ: AI (หรือเฉพาะเจาะจงลงไปคืออัลกอริทึม) มีความซับซ้อนสูง ซึ่งเป็นปัญหา “กล่องดำ (Black Box)” ที่ยากขึ้นไปอีก
  • การเพิ่มขึ้นอย่างรวดเร็วของความสามารถและความเสี่ยง: ความสามารถและความเสี่ยงของ AI เพิ่มจำนวนขึ้นอย่างรวดเร็ว
  • การขาดเครื่องมือและแนวทางที่ยอมรับกันอย่างกว้างขวาง: AI ยังเป็นหัวข้อการตรวจสอบที่กำลังพัฒนา และมีเครื่องมือหรือแนวทางที่ใช้กันอย่างแพร่หลายอย่างจำกัด
  • โอกาสในการฝึกอบรมที่มีจำกัด: โอกาสในการฝึกอบรมเพื่อเพิ่มพูนทักษะการตรวจสอบ AI ยังมีอยู่อย่างจำกัด

AI ในฐานะหัวข้อการตรวจสอบอาจดูน่าหนักใจ แต่การมุ่งเน้นไปที่ข้อพิจารณาต่อไปนี้ จะช่วยให้ผู้ตรวจสอบภายในมีทัศนคติเชิงบวกและมีความมั่นใจ:

  • ไม่คาดหวังว่าจะเป็นผู้เชี่ยวชาญ: ผู้ตรวจสอบภายในไม่จำเป็นต้องเป็นผู้เชี่ยวชาญในทุกหัวข้อการตรวจสอบ แต่ควรมีแนวทางที่เป็นระบบ, มีระเบียบวินัย และมุ่งเน้นการคิดเชิงวิพากษ์ และการระบุความเสี่ยงเป็นวัตถุประสงค์หลักสำหรับทุกการตรวจสอบ ไม่ใช่แค่ AI การมีความคุ้นเคยและความรู้ในเชิงปฏิบัติเกี่ยวกับ AI เป็นสิ่งสำคัญอย่างยิ่ง แต่การรู้ในทุกแง่มุมทางเทคนิคของ AI อาจไม่ใช่เรื่องที่จำเป็น และอาจต้องอาศัยผู้เชี่ยวชาญทางเทคนิคจากภายนอกมาช่วยในแง่มุมที่ซับซ้อนมากขึ้น เช่น การแกะรหัสอัลกอริทึม
  • มองการตรวจสอบ AI เป็นความก้าวหน้า ไม่ใช่จุดหมายปลายทาง: เนื่องจาก AI มีความซับซ้อนและเปลี่ยนแปลงอย่างรวดเร็ว จึงไม่น่าเป็นไปได้ที่ผู้ตรวจสอบภายในจะมีความรู้ในเรื่องนี้อย่างสมบูรณ์แบบ ดังนั้นควรเพิ่มพูนความเข้าใจเกี่ยวกับ AI เมื่อเวลาผ่านไป
  • กล้าที่จะถามคำถามที่เกี่ยวข้องเกี่ยวกับ AI ภายในองค์กร:
    • AI ช่วยให้องค์กรบรรลุเป้าหมายเชิงกลยุทธ์ได้อย่างไร?
    • มีความเสี่ยงอะไรที่เกี่ยวข้องและเรากำลังลดความเสี่ยงเหล่านั้นอย่างไร?
    • มีการควบคุมภายในที่เพียงพอสำหรับกระบวนการที่เกี่ยวข้องกับ AI หรือไม่?
    • ข้อมูลที่ใช้สำหรับ AI มีความครบถ้วน, แม่นยำ และเชื่อถือได้หรือไม่?
    • มีการทดสอบ AI ก่อนนำไปใช้งานอย่างไรเพื่อให้แน่ใจว่าไม่มีความลำเอียง?
    • มีการทดสอบ AI หลังการใช้งานอย่างไรเพื่อให้แน่ใจว่าไม่มีความลำเอียง?
    • มีการกำกับดูแล AI อย่างไร?
    • องค์กรรับประกันได้อย่างไรว่า มีการฝึกอบรมและสร้างความตระหนักรู้ด้าน AI ที่เพียงพอ?

ดังที่ได้อธิบายไว้ในตอนที่ 2 การทำความเข้าใจการใช้งาน AI ขององค์กรเริ่มต้นจากการค้นคว้าและพูดคุย สิ่งสำคัญคือผู้ตรวจสอบภายในต้องใช้ประโยชน์จากความสัมพันธ์ทางวิชาชีพที่ได้สร้างไว้ การมีความโปร่งใสกับทั้งฝ่ายบริหารและคณะกรรมการกำกับดูแลเป็นสิ่งสำคัญ ควรใช้ภาษาที่เรียบง่ายเพื่ออธิบายว่าเราคิดอย่างไรเกี่ยวกับหัวข้อ AI และวางแผนที่จะมีส่วนร่วมกับองค์กรอย่างไรเพื่อเรียนรู้เพิ่มเติม

การตรวจสอบ AI ถือเป็นความรับผิดชอบที่ค่อนข้างใหม่สำหรับหลายองค์กร ในฐานะผู้ให้ความเชื่อมั่น ผู้ตรวจสอบภายในไม่จำเป็นต้องเป็นผู้เชี่ยวชาญในหัวข้อ AI แต่ต้องระบุโอกาสในการเพิ่มพูนความรู้และความตระหนักในเรื่องนี้ การทำความเข้าใจแง่มุมทางเทคนิคของ AI ให้ดียิ่งขึ้น เช่น อัลกอริทึม จะมีความสำคัญต่อการพัฒนาวิชาชีพในอนาคต

แม้ว่า AI จะมีองค์ประกอบที่ซับซ้อน แต่สิ่งสำคัญคือต้องจำไว้ว่ามันสร้างผลลัพธ์บางอย่างจากข้อมูลที่ได้รับ ในมุมมองของการให้ความเชื่อมั่น ผู้ตรวจสอบภายในอาจไม่เคยมีความรู้ที่สมบูรณ์แบบเกี่ยวกับกลไกภายในทั้งหมดของ AI แต่การช่วยองค์กร 1) ประเมินสิ่งที่พวกเขากำลังทำเพื่อให้แน่ใจว่าข้อมูลที่ป้อนเข้ามีความแม่นยำที่สุดเท่าที่จะเป็นไปได้ และ 2) ทำความเข้าใจวิธีการตรวจสอบผลลัพธ์นั้น ควรเป็นวัตถุประสงค์หลักของผู้ปฏิบัติงาน ผู้ตรวจสอบภายในนำแนวคิดเหล่านี้มาใช้ในปัจจุบันเมื่อทำการตรวจสอบระบบไอทีของแอปพลิเคชันทางธุรกิจ และหัวใจสำคัญร่วมกันคือแนวคิดเรื่อง “การตรวจสอบย้อนกลับ (Traceability)” ซึ่งหมายถึงการทำให้แน่ใจว่าข้อมูลและผลลัพธ์สอดคล้องกับวัตถุประสงค์ทางธุรกิจและข้อกำหนดของกรณีการใช้งาน AI นั้น ๆ

โดยสรุปแล้ว การตรวจสอบ AI ไม่ใช่เรื่องที่เป็นไปไม่ได้ แต่เป็นวิวัฒนาการที่ต้องอาศัยการปรับตัวของผู้ตรวจสอบภายใน ด้วยกรอบการทำงานนี้ ผู้ตรวจสอบภายในสามารถเริ่มต้นการเดินทาง เพื่อเป็นส่วนสำคัญในการสร้างความเชื่อมั่นให้กับองค์กร ในยุคที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ได้อย่างมั่นคงและมีประสิทธิภาพ

Leave a Comment » | AI กับการตรวจสอบ | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กรอบการทำงานการตรวจสอบปัญญาประดิษฐ์ (Artificial Intelligence Auditing Framework) ตอนที่ 3-1

กันยายน 25, 2025

สวัสดีครับ สำหรับโพสต์นี้เรามาต่อกันในตอนที่ 3 ซึ่งเป็นแก่นสำคัญของ AI Auditing Framework เนื้อหาค่อนข้างยาวและมีหลายประเด็นสำคัญ ดังนั้นผมจะแบ่งออกเป็น 2 ตอนย่อย เพื่อให้ผู้อ่านสามารถติดตามและทำความเข้าใจได้อย่างลึกซึ้งนะครับ

ตอนที่ 3: กรอบการตรวจสอบ AI: การกำกับดูแลและการจัดการ (ตอนที่ 1)

The IIA’s AI Auditing Framework ฉบับแรกได้เผยแพร่ในปี 2017 โดยมีจุดประสงค์เพื่อให้ผู้ตรวจสอบภายในมีแนวทางในการให้บริการที่ปรึกษาและให้ความเชื่อมั่นด้าน AI อย่างเป็นระบบและมีระเบียบวินัย ส่วนฉบับปรับปรุงนี้ได้นำเสนอเนื้อหาที่ทันสมัยยิ่งขึ้น พร้อมตัวอย่างจากสภาพแวดล้อม AI ในปัจจุบัน และให้รายละเอียดเพิ่มเติมเพื่อช่วยผู้ตรวจสอบภายในทั้งในบทบาทที่ปรึกษาและผู้ให้ความเชื่อมั่น

กรอบการทำงานนี้มี 3 ส่วนหลัก (Domains):

  1. การกำกับดูแล (Governance)
  2. การจัดการ (Management)
  3. การตรวจสอบภายใน (Internal Audit)

กรอบการทำงานนี้เชื่อมโยงกับ The IIA’s Three Lines Model โดยที่ องค์กรที่กำกับดูแล (Governing Body) (Governance) จะกำกับดูแล ฝ่ายบริหาร (Management) (First and Second Lines) ในขณะที่บทบาทของ การตรวจสอบภายใน (Internal Audit) จะครอบคลุมอยู่ในส่วนที่สาม ซึ่งรวมถึงทั้งการให้ความเชื่อมั่นที่เป็นอิสระ (Third Line) และกิจกรรมการให้คำปรึกษา

วัตถุประสงค์หลักของกรอบการทำงานนี้คือการเสริมสร้างความรู้พื้นฐานที่จำเป็นเกี่ยวกับ AI ให้แก่ผู้ตรวจสอบภายใน เพื่อให้สามารถรับใช้องค์กรได้ใน 2 บทบาท:

  1. ที่ปรึกษา: ให้คำปรึกษาแก่ฝ่ายบริหารเกี่ยวกับแนวทางโดยรวมในการจัดการ, ดำเนินการ และติดตาม AI
  2. ผู้ให้ความเชื่อมั่น: ตรวจสอบกระบวนการและการควบคุมที่ฝ่ายบริหารได้จัดตั้งขึ้นเพื่อจัดการ, ดำเนินการ และติดตาม AI

ระดับความพร้อมขององค์กรในการนำ AI มาใช้งาน (Organizational maturity of AI) จะมีผลต่อการใช้งานผู้ตรวจสอบภายใน ตัวอย่างเช่น องค์กรที่ยังไม่พร้อมด้าน AI อาจต้องการให้ผู้ตรวจสอบภายในทำหน้าที่เป็นที่ปรึกษาในขั้นตอนการสำรวจ AI ในช่วงแรก ในขณะที่องค์กรที่มีความพร้อมมากกว่า มักจะใช้ผู้ตรวจสอบภายในเพื่อจัดกิจกรรมการให้ความเชื่อมั่น เช่น การประเมินประสิทธิภาพของกระบวนการและการควบคุมภายในที่จัดตั้งขึ้น เพื่อให้ปฏิบัติหน้าที่ทั้งสองได้สำเร็จ ผู้ตรวจสอบภายในจำเป็นต้องมีความเข้าใจอย่างถ่องแท้ว่า ควรจัดการ AI อย่างไร และองค์กรกำลังจัดการอยู่แล้วอย่างไร

อ้างอิง : Institute of Internal Auditors

ส่วนที่ 1: การกำกับดูแล (Governance)

การกำกับดูแล AI หมายถึงโครงสร้าง, กระบวนการ, และขั้นตอนการปฏิบัติงานที่ถูกนำมาใช้เพื่อชี้นำ, จัดการ, และติดตามกิจกรรม AI ขององค์กร รวมถึงการช่วยให้แน่ใจว่ากิจกรรม, การตัดสินใจ และการดำเนินการด้าน AI สอดคล้องกับค่านิยมขององค์กร รวมถึงความรับผิดชอบทางจริยธรรม, สังคม และกฎหมาย นอกจากนี้ยังรวมถึงการกำกับดูแลเพื่อให้แน่ใจว่าพนักงานที่มีหน้าที่รับผิดชอบด้าน AI มีทักษะและความเชี่ยวชาญที่จำเป็น

ดังที่สะท้อนใน Three Lines Model การตรวจสอบภายในทำหน้าที่เป็น “Third Line” โดยให้ความเชื่อมั่นที่เป็นอิสระและเป็นกลางต่อความถูกต้องของการควบคุมภายในที่องค์กรใช้ในการจัดการความเสี่ยง รวมถึงทุกแง่มุมของ AI ผู้ตรวจสอบภายในสามารถให้บริการที่ปรึกษาด้าน AI แก่องค์กรได้ แต่จากมุมมองด้านการกำกับดูแลแล้ว คณะกรรมการกำกับดูแลจะพึ่งพากิจกรรมการให้ความเชื่อมั่นที่จัดทำโดยการตรวจสอบภายในเป็นอย่างมาก เพื่อทำความเข้าใจประสิทธิภาพการดำเนินงานขององค์กรได้ดียิ่งขึ้น

การกำกับดูแล AI เป็นสิ่งสำคัญอย่างยิ่ง สองบทบาทที่สำคัญที่สุดของการกำกับดูแลคือการประเมินว่าองค์กรจัดการการดำเนินงานด้าน AI ได้ดีเพียงใด และเป้าหมายและวัตถุประสงค์เชิงกลยุทธ์ของ AI ขององค์กรบรรลุผลในลักษณะที่สอดคล้องกับค่านิยมที่กำหนดไว้หรือไม่ แม้จะมีความเสี่ยงเฉพาะทางด้าน AI จำนวนมากตามที่ได้นำเสนอไปในส่วนก่อนหน้า แต่ข้อพิจารณาหลักประการหนึ่งคือการกำกับดูแลเพื่อให้แน่ใจว่า AI ถูกนำไปใช้ในลักษณะที่จะไม่ก่อให้เกิดอันตราย

กลยุทธ์ (Strategy)

แผนกลยุทธ์ช่วยให้องค์กรชี้แจงและสื่อสารทิศทางและวิสัยทัศน์ที่จำเป็นต่อการบรรลุเป้าหมาย เช่นเดียวกับกลยุทธ์ AI กลยุทธ์ AI ของแต่ละองค์กรควรมีความเป็นเอกลักษณ์ โดยพิจารณาจากแนวทางในการใช้ประโยชน์จากโอกาสที่ AI มอบให้ พร้อมทั้งคำนึงถึงสถานการณ์เฉพาะขององค์กร เช่น รายละเอียดของบริการเทคโนโลยีในปัจจุบัน หรือโครงการริเริ่มการกำกับดูแลข้อมูลที่กำลังดำเนินอยู่ แนวทางการวางแผนกลยุทธ์ AI ที่รอบคอบและเป็นระบบจะช่วยสนับสนุนความสามารถขององค์กรในการมุ่งเน้นทรัพยากร และส่งเสริมการทำงานร่วมกันในหมู่พนักงานทุกคนพร้อมทั้งลดความเสี่ยงที่อาจเกิดขึ้น

ข้อควรจำที่สำคัญ 2 ประการ:

  1. การวางแผนกลยุทธ์ AI ไม่ใช่เหตุการณ์ที่เกิดขึ้นครั้งเดียว แต่เป็นกระบวนการซ้ำไปซ้ำมาที่ควรดำเนินการเป็นระยะ ผู้ตรวจสอบภายในควรทำงานร่วมกับฝ่ายบริหารเพื่อกำหนดตารางเวลาสำหรับการทบทวนกลยุทธ์ AI
  2. กลยุทธ์ AI ไม่ควรวางแผนอย่างโดดเดี่ยว เมื่อพิจารณาจากแหล่งข้อมูลและกรณีการใช้งานที่หลากหลาย กลยุทธ์ AI ขององค์กรควรเป็นแบบข้ามสายงาน (Cross-functional) ด้วยความสำคัญที่เพิ่มขึ้นของ AI การมีส่วนร่วมและการกำกับดูแลในระดับคณะกรรมการจึงน่าจะเกิดขึ้น เนื่องจาก AI มีศักยภาพที่จะเปลี่ยนแปลงหรือปรับเปลี่ยนกลยุทธ์ทางธุรกิจได้อย่างมาก

การจัดการกับประเด็นเหล่านี้จะช่วยให้แน่ใจว่าโครงการริเริ่มด้าน AI สนับสนุนวัตถุประสงค์โดยรวมขององค์กร และสอดคล้องกับค่านิยมที่ระบุไว้ การกำหนดเป้าหมายสำหรับ AI ช่วยให้องค์กรสามารถกำหนดข้อพิจารณาเชิงกลยุทธ์ที่สำคัญ รวมถึงคำตอบสำหรับคำถามพื้นฐาน เช่น “ทำไมเราถึงใช้ AI?” และ “เรากำลังพยายามบรรลุอะไร?” เป้าหมายของ AI ควรได้รับการพัฒนาเหมือนกับเป้าหมาย “SMART” อื่น ๆ ขององค์กร ได้แก่ Specific (จำเพาะเจาะจง), Measurable (วัดผลได้), Achievable (บรรลุผลได้), Relevant (เกี่ยวข้อง), และ Time-based (มีกรอบเวลา) เพื่อหลีกเลี่ยงการนำเครื่องมือและบริการ AI มาใช้โดยไม่มีขอบเขตที่ชัดเจนว่าองค์กรใช้ไปเพื่อเหตุผลใด

ทัศนคติและแนวทางโดยรวมขององค์กรต่อความเสี่ยงและการจัดการความเสี่ยงควรเป็นข้อพิจารณาหลักในการพัฒนาหรือปรับปรุงแผนและเป้าหมายเชิงกลยุทธ์ของ AI การมีทัศนคติที่ยอมรับความเสี่ยงที่สูงขึ้นในการบรรลุเป้าหมาย AI อาจไม่เหมาะสมสำหรับองค์กรที่ไม่ยอมรับความเสี่ยงในด้านอื่น ๆ ในขณะที่องค์กรที่มีความอดทนต่อความเสี่ยงสูงในอดีตอาจเต็มใจที่จะยอมรับความเสี่ยงที่เกี่ยวข้องกับ AI มากขึ้น อย่างไรก็ตาม ไม่ว่าองค์กรจะมีความอดทนต่อความเสี่ยงในระดับใด การรับรู้และจัดทำแผนที่ความเสี่ยง AI ระหว่างการวางแผนเชิงกลยุทธ์ด้าน AI ก็เป็นสิ่งจำเป็น

การจัดการ (Management) – First and Second Lines

ในการพัฒนากลยุทธ์ AI ฝ่ายบริหารมีหน้าที่รับผิดชอบในการตรวจสอบให้แน่ใจว่า การควบคุมภายในได้รับการออกแบบอย่างเหมาะสม และทำงานได้อย่างมีประสิทธิภาพเพื่อลดความเสี่ยง การควบคุมภายในที่มีประสิทธิภาพถือเป็นข้อกำหนดที่สำคัญของ AI ซึ่งหลายองค์กรมีการทดสอบและรายงานผลการควบคุมด้านไอทีเป็นรายไตรมาส และ/หรือรายปี ฝ่ายบริหารควรตระหนักถึงปัญหาการควบคุมภายในที่อาจส่งผลกระทบต่อการใช้ AI โดยเฉพาะอย่างยิ่งในพื้นที่ของสภาพแวดล้อมการควบคุมภายในที่ได้รับการประเมินอยู่แล้ว เช่น:

  • ความสมบูรณ์ของการจัดการข้อมูล (Data Integrity and Data Governance)
  • การเข้าถึงของผู้ใช้งาน (User Access)
  • ความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity)
  • วงจรการพัฒนาระบบ (System Development Life Cycle)
  • การจัดการการเปลี่ยนแปลง (Change Management)
  • การควบคุมการสำรองข้อมูล/การกู้คืนข้อมูล (Back-up/Recovery Controls)

COBIT และ COSO เป็นตัวอย่างของกรอบการควบคุมภายในที่องค์กรสามารถใช้เพื่อช่วยในการวางแนวทาง และประเมินสภาพแวดล้อมการควบคุมภายในได้

การจัดการระดับ First Line

ภาวะผู้นำ การกำหนดบทบาทและหน้าที่ความรับผิดชอบที่เกี่ยวข้องกับโครงการริเริ่มด้าน AI จะช่วยให้องค์กรสามารถกำหนดทรัพยากรที่จำเป็นต่อการดำเนินงานได้อย่างมีประสิทธิภาพ การระบุผู้บริหารระดับสูงที่เป็นเจ้าของโครงการ พร้อมทั้งรับฟังความคิดเห็นจากสมาชิกคนอื่น ๆ ในกลุ่ม C-suite จะช่วยให้แน่ใจว่ามีการรับผิดชอบ

การจัดตั้ง ทีมผู้นำ AI (AI Leadership Team) ซึ่งประกอบด้วยสมาชิกจากหลากหลายสายงาน เป็นอีกวิธีที่องค์กรสามารถใช้เพื่อติดตามและสื่อสารโครงการริเริ่มด้าน AI และสนับสนุนความรับผิดชอบได้ ทีมดังกล่าวควรประกอบด้วย:

  • ผู้จัดการด้าน AI และ/หรือวิทยาศาสตร์ข้อมูล
  • CISO ขององค์กร
  • บุคลากรไอทีที่สำคัญ
  • ฝ่ายกฎหมาย (เพื่อให้คำแนะนำเกี่ยวกับข้อพิจารณาด้านกฎระเบียบ)
  • ฝ่ายการเงิน/บัญชีเพื่อติดตามต้นทุนและผลตอบแทนจากการลงทุนของโครงการ AI
  • การบริหารความเสี่ยง
  • การปฏิบัติตามกฎระเบียบ

การตรวจสอบภายใน ซึ่งมีความรู้ที่กว้างขวางเกี่ยวกับองค์กร อยู่ในตำแหน่งที่เหมาะสมอย่างยิ่งที่จะทำหน้าที่เป็นที่ปรึกษาเพื่อสนับสนุนโครงการริเริ่มด้าน AI และควรได้รับการพิจารณาให้เป็นสมาชิกของทีมผู้นำ AI ด้วย อย่างไรก็ตาม การมีส่วนร่วมของการตรวจสอบภายในควรมีโครงสร้างที่ชัดเจนเพื่อให้แน่ใจว่าความเป็นอิสระในฐานะผู้ให้ความเชื่อมั่นจะไม่ถูกกระทบ

กระบวนการวางแผนที่รอบคอบจะช่วยสนับสนุนองค์กรเมื่อดำเนินโครงการ AI พนักงานที่เกี่ยวข้องกับการดำเนินโครงการจำเป็นต้องตระหนักถึงความเสี่ยงที่สำคัญที่สุด รวมถึงผลลัพธ์ที่ไม่พึงประสงค์ การเน้นย้ำและทำให้แน่ใจว่าการดำเนินโครงการในแต่ละวันมีความตระหนักรู้เกี่ยวกับแง่มุมทางสังคม, จริยธรรม, สิ่งแวดล้อม และเศรษฐกิจเป็นสิ่งสำคัญ นอกจากนี้ การส่งเสริมสภาพแวดล้อมที่กระตุ้นให้พนักงานเปิดเผยหารือเกี่ยวกับความคิดเห็นและข้อกังวลที่เกี่ยวข้องกับโครงการริเริ่มด้าน AI สามารถช่วยสร้างวัฒนธรรมของความโปร่งใส, การตระหนักรู้ และความรับผิดชอบร่วมกันเพื่อสนับสนุนโครงการ AI ที่มีความทะเยอทะยานได้

นโยบายและขั้นตอนการปฏิบัติงาน – การใช้งานภายในและแอปพลิเคชันทางธุรกิจ

การกำหนด, การนำมาใช้ และการเผยแพร่นโยบายและขั้นตอนการปฏิบัติงานขององค์กรที่เข้มงวดเกี่ยวกับการใช้ AI ภายในองค์กร เป็นอีกแง่มุมที่สำคัญของกลยุทธ์ AI ขององค์กร นโยบายและขั้นตอนการปฏิบัติงานที่ชัดเจนให้แนวทางแก่พนักงานที่เกี่ยวข้องโดยตรงกับโครงการริเริ่มด้าน AI และพนักงานที่อาจใช้ AI เป็นส่วนหนึ่งของความรับผิดชอบในงานประจำวัน

การพัฒนานโยบายการใช้งาน AI ที่ยอมรับได้ (AI acceptable use policy) ควรเป็นลำดับความสำคัญสูงสุดขององค์กร ควรครอบคลุมแง่มุมของแนวทางปฏิบัติที่ดีที่สุดด้านความมั่นคงทางไซเบอร์, ทรัพย์สินทางปัญญา/ข้อพิจารณาทางกฎหมาย และความเสี่ยงที่เกี่ยวข้องกับเครื่องมือ AI ต่าง ๆ นโยบายควรได้รับการเสริมด้วยกระบวนการที่มีการบันทึกไว้ซึ่งผู้ใช้ต้องปฏิบัติตามเมื่อร้องขอการใช้ AI การใช้กระบวนการอนุมัติที่เป็นทางการสำหรับการใช้ AI จะช่วยสนับสนุนความพยายามขององค์กรในการรักษารายการข้อมูลของผู้ใช้หรือแผนกที่ใช้ AI ด้วย

นโยบายและขั้นตอนการปฏิบัติงานที่ชี้แจงแนวทางและข้อคาดหวังที่ใช้ในการพัฒนา, การนำไปใช้งาน และการติดตามโครงการริเริ่มด้าน AI จะทำให้กระบวนการเป็นทางการมากขึ้น พวกเขาให้พื้นฐานในการตรวจสอบว่า โครงการถูกดำเนินการในลักษณะที่สอดคล้องกับนโยบายที่ได้รับอนุมัติ, จริยธรรม และวัฒนธรรมความเสี่ยงโดยรวมขององค์กรหรือไม่ ผู้ตรวจสอบภายในอยู่ในตำแหน่งที่เหมาะสมอย่างยิ่งที่จะให้ข้อเสนอแนะในทันทีเกี่ยวกับเรื่องนี้ เนื่องจากมีความรู้และประสบการณ์ในการให้ความเชื่อมั่นในเรื่องนโยบายและขั้นตอนการปฏิบัติงานที่สำคัญ ในหลายกรณี นโยบายและขั้นตอนการปฏิบัติงานที่มีอยู่แล้ว อาจเป็นจุดเริ่มต้นในการใช้มาตรการที่มีประสิทธิผลพอสมควร เพื่อลดความเสี่ยงที่เกิดจากการพัฒนา AI ตัวอย่างเช่น ระบบ AI ที่อยู่ระหว่างการพัฒนาอาจอยู่ภายใต้กระบวนการควบคุมวงจรการพัฒนาระบบ (SDLC) หรือการจัดการการเปลี่ยนแปลงที่มีอยู่แล้ว เมื่อเวลาผ่านไปและองค์กรมีการยกระดับกรณีการใช้งาน AI ที่มากขึ้น ก็จำเป็นต้องพิจารณาการควบคุมที่ใหม่กว่าหรือมีความพร้อมมากกว่าอย่างแน่นอน

ดังนั้น นโยบายและขั้นตอนการปฏิบัติงานที่ชี้แจงข้อคาดหวัง และแนวทางสำหรับบุคคลที่สามที่เกี่ยวข้องกับโครงการริเริ่มด้าน AI ก็เป็นสิ่งสำคัญเช่นกัน การประสานงานระหว่างทีมที่จัดการ AI และกลุ่มขององค์กรที่จัดการความสัมพันธ์กับบุคคลที่สาม (เช่น ฝ่ายกฎหมาย) จะส่งเสริมความสัมพันธ์กับผู้ขาย AI ที่สอดคล้องกัน เนื่องจากบุคคลที่สามเป็นส่วนเสริมของกระบวนการขององค์กร การทำความเข้าใจสภาพแวดล้อมการควบคุมของผู้ขายจึงเป็นสิ่งสำคัญยิ่ง หากมีรายงาน SOC (Service Organization Company) ของผู้ขาย AI ฝ่ายบริหารควรจัดหามาเพื่อทำความเข้าใจกระบวนการควบคุมของพวกเขา และตระหนักถึงข้อกังวลใด ๆ เช่น ข้อค้นพบจากการตรวจสอบ การใช้บุคคลที่สามที่เกี่ยวข้องกับการพัฒนาความสามารถของ AI หรือการสนับสนุนอย่างต่อเนื่องในโครงการริเริ่มด้าน AI ควรได้รับการกำหนดและติดตามอย่างชัดเจน รวมถึง SLA ที่มี “สิทธิ์ในการตรวจสอบ” ด้วย

เมื่อนโยบายและขั้นตอนการปฏิบัติงานเหล่านี้ได้รับการกำหนดแล้ว องค์กรสามารถส่งเสริมการมีส่วนร่วมของพนักงานจากหลากหลายสายงาน ด้วยการแบ่งปันเอกสารนโยบายองค์กรที่ร่างขึ้น เช่น นโยบายการใช้งานที่ยอมรับได้ไปยังพนักงานทุกคน และเปิดรับความคิดเห็นในช่วงเวลาที่กำหนด องค์กรควรวางแผนทรัพยากรที่จำเป็น สำหรับการฝึกอบรมพนักงานเกี่ยวกับนโยบายใหม่เหล่านี้ เพื่อให้แน่ใจว่าพนักงานพร้อมที่จะนำไปใช้และปฏิบัติตามบทบาท, การควบคุม และความรับผิดชอบที่กำหนดขึ้นใหม่เกี่ยวกับการใช้ AI

ในตอนต่อไป เราจะเจาะลึกถึงการบริหารจัดการความเสี่ยงด้าน AI ในระดับ First and Second Lines, การระบุความเสี่ยง และความท้าทายของ “กล่องดำ (Black Box)” ของ AI ที่เป็นเอกลักษณ์เฉพาะตัว โปรดติดตามครับ

Leave a Comment » | AI กับการตรวจสอบ | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว