Shadow AI: ความเสี่ยงเงียบในองค์กรที่มี ERP แล้วแต่ Governance ไม่ครบ (ตอนที่ 4)

มีนาคม 21, 2026

เมื่อมี ERP แล้ว ทำไมยังเสี่ยง?

ในสามตอนก่อนหน้านี้ เราได้ตั้งคำถามว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่? และวิเคราะห์ต่อว่า AI Governance โดยไม่มี ERP มีความเสี่ยงเชิงโครงสร้างอย่างไร? ภาพที่ได้ค่อนข้างชัดเจน คือ ERP ช่วยวางรากฐานด้านข้อมูล การควบคุม และวัฒนธรรมเชิงระบบ แต่คำถามที่ซับซ้อนกว่านั้นคือ หากองค์กรมี ERP ครบถ้วน มีระบบระดับโลกอย่าง SAP ERP หรือ Oracle ERP เหตุใดความเสี่ยงด้าน AI จึงยังเกิดขึ้นได้? คำตอบอยู่ที่สิ่งที่เรียกว่า “Shadow AI” มันไม่ใช่ความล้มเหลวของเทคโนโลยี แต่มักเป็นช่องว่างของ Governance

Shadow AI คืออะไร และทำไม ERP จึงควบคุมมันไม่ได้

Shadow AI คือการใช้หรือพัฒนา AI นอกกรอบ Governance ที่องค์กรกำหนด ตัวอย่างเช่น:

  • พนักงานใช้ Generative AI ภายนอกเพื่อวิเคราะห์ข้อมูลลูกค้า
  • ฝ่ายการตลาดสร้างโมเดลทำนายยอดขายโดยไม่ผ่าน IT
  • ทีมวิเคราะห์ข้อมูลดึงข้อมูล ERP ออกไปสร้าง model ภายนอกโดยไม่มี approval
  • ผู้บริหารใช้ AI tool SaaS โดยไม่มีการประเมินความเสี่ยง

ERP ถูกออกแบบมาเพื่อควบคุม transaction และ workflow แต่ Shadow AI เกิดขึ้นใน “behavior layer” ซึ่งอยู่นอก workflow ปกติ

ERP ควบคุมว่าใครอนุมัติใบสั่งซื้อ แต่ไม่สามารถควบคุมว่าใคร copy ข้อมูลไปใส่ AI ภายนอก นี่คือ blind spot เชิงโครงสร้าง

เมื่อ Governance หยุดที่ System แต่ไม่ครอบคลุม Human Layer

กรอบอย่าง ISO/IEC 38500 พูดถึง Human Behaviour เป็นหนึ่งในหลักการสำคัญ แต่ในความเป็นจริง หลายองค์กรเน้น Governance ที่ระดับ:

  • Access Control
  • Change Management
  • Segregation of Duties

โดยละเลย governance ของ “การใช้เครื่องมืออัจฉริยะ”

Shadow AI จึงไม่ใช่เรื่องเทคนิค แต่เป็นเรื่องวัฒนธรรมการควบคุมที่ยังไม่ตามทันเทคโนโลยี

ความเสี่ยงที่เกิดขึ้นจริงจาก Shadow AI

Data Leakage แบบเงียบ

ข้อมูลจาก ERP ที่ควรอยู่ในระบบควบคุม อาจถูกส่งไปยัง AI ภายนอก แม้ไม่มีเจตนาทุจริต แต่ข้อมูลอาจถูกจัดเก็บหรือประมวลผลในสภาพแวดล้อมที่องค์กรควบคุมไม่ได้

Model Inconsistency

องค์กรอาจมี:

  • โมเดลภายในที่ผ่านการอนุมัติ
  • โมเดลเงาที่พัฒนาโดยหน่วยงาน
  • AI SaaS ที่ผู้บริหารใช้อยู่

ผลลัพธ์ที่ได้อาจไม่สอดคล้องกัน สร้างความสับสนในการตัดสินใจระดับผู้บริหาร

Reputational & Regulatory Risk

กรอบกำกับอย่าง AI Act ของ European Commission เน้นเรื่อง traceability และ documentation

  • Shadow AI ไม่มีเอกสารกำกับ
  • ไม่มี model validation
  • ไม่มี approval trail

เมื่อเกิดปัญหา องค์กรอาจไม่สามารถพิสูจน์ได้ว่ามีการกำกับดูแลเพียงพอ

ERP ไม่ล้มเหลว — แต่ Governance ยังไม่ขยาย

ต้องย้ำให้ชัดว่า Shadow AI ไม่ได้หมายความว่า ERP ไม่มีประโยชน์ ในความเป็นจริง ERP ทำหน้าที่ได้ดีมากในระดับ transaction governance ปัญหาอยู่ที่ Governance ไม่ได้ขยายจาก Transaction Governance ไปสู่ Decision Governance

ERP ควบคุม “สิ่งที่เกิดขึ้นแล้ว” แต่ AI สร้าง “สิ่งที่กำลังจะเกิดขึ้น”

หากองค์กรไม่ปรับ governance framework ให้ครอบคลุม AI lifecycle เช่น

  • Model Development
  • Data Usage
  • Deployment
  • Monitoring

Shadow AI จะเติบโตโดยอัตโนมัติ

บทบาทของ Board และผู้บริหารระดับสูง

Shadow AI ไม่ใช่ปัญหาของ IT แต่เป็นปัญหา Governance ระดับองค์กร

คณะกรรมการควรถามคำถามเช่น:

  • องค์กรมี AI inventory หรือไม่?
  • มีการกำหนด approval process สำหรับ AI tool หรือไม่?
  • ใครเป็นเจ้าของความเสี่ยงของ AI?
  • มี model validation function แยกอิสระหรือไม่?

กรอบของ Basel Committee on Banking Supervision เกี่ยวกับ Model Risk Management แสดงให้เห็นชัดว่า Model Governance ต้องมีความเป็นอิสระและตรวจสอบได้ Shadow AI จึงมักเกิดในองค์กรที่ไม่มีโครงสร้างดังกล่าว

Shadow AI: ความเสี่ยงเงียบที่อันตรายกว่าความผิดพลาดของระบบ

ความผิดพลาดใน ERP มักมีร่องรอย มี log มี transaction trace แต่ Shadow AI มักไม่มี มันอาจให้คำแนะนำที่ผิด อาจสร้างความเอนเอียง อาจทำให้ผู้บริหารตัดสินใจบนข้อมูลที่ไม่ผ่าน validation โดยที่องค์กรไม่รู้ตัวว่า governance gap กำลังขยาย และนี่คือความเสี่ยงที่เงียบ แต่สะสม

สรุป Governance ต้องก้าวให้ทันพฤติกรรม

ในตอนนี้ เราเห็นได้ชัดขึ้นว่า แม้องค์กรจะมี ERP แข็งแรง แต่หาก Governance ไม่ขยายไปครอบคลุม AI lifecycle และพฤติกรรมผู้ใช้ความเสี่ยงก็ยังเกิดขึ้นได้ Shadow AI สะท้อนความจริงประการหนึ่งคือ เทคโนโลยีอาจถูกควบคุม แต่พฤติกรรมของมนุษย์ต้องถูกกำกับด้วยกรอบที่เหมาะสม องค์กรที่ต้องการเดินหน้าเข้าสู่ยุค AI อย่างมั่นคงจำเป็นต้องขยาย Governance จากระบบไปสู่ระบบ + อัลกอริทึม + พฤติกรรม และคำถามสำคัญที่จะนำไปสู่ตอนถัดไปคือ หาก ERP ไม่เพียงพอ และ Shadow AI คือความเสี่ยงที่ต้องจัดการ แล้วโครงสร้างองค์กรแบบใด ที่จะทำให้ AI และ Governance เติบโตไปพร้อมกันได้อย่างแท้จริง? คำตอบนั้นอาจอยู่ในแนวคิดของ
AI Native Enterprise โปรดติดตามตอนต่อไปครับ

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

AI Governance โดยไม่มี ERP : ความเสี่ยงที่องค์กรไม่รู้ตัว (ตอนที่ 3)

มีนาคม 15, 2026

จากคำถามเรื่อง “ต้นกำเนิด” สู่คำถามเรื่อง “ความพร้อม”

ในตอนก่อนหน้า เราได้ตั้งคำถามว่า ERP เป็นต้นกำเนิดของ Governance AI จริงหรือไม่? และพบว่าแม้ ERP จะไม่ได้ถูกออกแบบมาเพื่อกำกับปัญญาประดิษฐ์โดยตรง แต่ได้วางรากฐานสำคัญด้าน Data Integrity, Embedded Control และวัฒนธรรมการควบคุมเชิงระบบไว้แล้ว

คำถามต่อไปจึงเข้มข้นขึ้นกว่าเดิม.. หากองค์กรเริ่มพัฒนา AI แต่ยังไม่มีโครงสร้างข้อมูลและการควบคุมแบบ ERP รองรับ
ความเสี่ยงจะเกิดขึ้นตรงไหนบ้าง?

AI Governance โดยไม่มี ERP อาจดูเหมือนไม่มีปัญหาในระยะสั้น แต่ในเชิงโครงสร้าง มันคือการสร้างระบบอัจฉริยะบนพื้นฐานที่ยังไม่มั่นคง

ปัญหาแรก: Data Fragmentation — เมื่อ AI เรียนรู้จากข้อมูลที่ไม่สอดคล้องกัน

ERP ทำหน้าที่รวมข้อมูลจากทุกหน่วยงานเข้าสู่ Single Source of Truth เมื่อไม่มี ERP หรือมีแต่ระบบแยกส่วน ข้อมูลจะกระจัดกระจายอยู่ตามระบบบัญชีคนละชุด ระบบขายคนละแพลตฟอร์ม หรือ ไฟล์ Excel ภายในหน่วยงาน รวมถึง ระบบ Legacy ที่ไม่เชื่อมต่อกัน

AI ที่ถูกพัฒนาขึ้นบนฐานข้อมูลลักษณะนี้มีความเสี่ยงอย่างน้อย 3 ประการ

1. ความไม่สอดคล้องของนิยามข้อมูล (Data Definition Conflict)
ยอดขายที่ฝ่ายการเงินใช้ อาจไม่ตรงกับยอดขายที่ฝ่ายขายใช้

2. ความไม่ครบถ้วน (Incomplete Dataset)
ข้อมูลบางส่วนอาจไม่ถูกดึงเข้าโมเดลเพราะไม่มี data pipeline ที่ชัดเจน

3. สาม ความไม่สามารถตรวจสอบย้อนกลับ (Weak Data Lineage)
เมื่อผลลัพธ์ AI ผิดพลาด องค์กรไม่สามารถย้อนกลับไปดูต้นทางข้อมูลได้ชัดเจน

นี่คือความเสี่ยงเชิงโครงสร้างที่ ERP เคยช่วยลดไว้ แต่จะกลับมาอีกครั้งเมื่อ AI เติบโตโดยไม่มีฐานข้อมูลที่บูรณาการ

Governance Framework ที่ไม่มีฐานระบบรองรับ: ช่องว่างระหว่าง Policy กับ Reality

หลายองค์กรเริ่มเขียน AI Policy หรือ AI Ethics Guideline อ้างอิงกรอบจาก OECD หรือ European Commission แต่หากไม่มีระบบที่ฝัง control ลงไปจริง ความเสี่ยงจะเกิดสิ่งที่เรียกว่า “Paper Governance” คือมีนโยบาย แต่ไม่มี system enforcement

ERP เคยทำให้ Governance จากระดับคณะกรรมการสามารถถูกบังคับใช้ผ่าน workflow ได้จริง แต่ AI Governance ที่ไม่มีโครงสร้างข้อมูลและระบบควบคุมรองรับ อาจกลายเป็นเพียงคำประกาศ

Model Risk ที่เพิ่มขึ้นแบบเงียบ ๆ

ในภาคการเงิน กรอบของ Basel Committee on Banking Supervision เน้นการบริหาร Model Risk อย่างเข้มงวด หากองค์กรไม่มีระบบข้อมูลที่เป็นมาตรฐาน การทดสอบย้อนหลัง (Backtesting) จะทำได้ยาก การตรวจสอบ bias จะไม่แม่นยำ และการวัด model drift จะไม่มี baseline ที่ชัดเจน AI จะค่อย ๆ เปลี่ยนพฤติกรรมของมัน โดยที่องค์กรไม่รู้ตัว ความเสี่ยงนี้อันตรายกว่าความผิดพลาดของ ERP เพราะมันไม่ได้เกิดจากการทำธุรกรรมผิดพลาด แต่เกิดจาก “การตัดสินใจที่ค่อย ๆ เบี่ยงเบน”

การตรวจสอบที่ทำได้ยากขึ้น: จาก IT Audit สู่ Algorithmic Blind Spot

ในยุค ERP ผู้ตรวจสอบสามารถตรวจ:

  • Access Control
  • Change Management
  • Segregation of Duties

แต่ในยุค AI หากไม่มี ERP หรือ Data Governance ที่เข้มแข็ง ผู้ตรวจสอบจะเผชิญกับ:

  • ข้อมูลฝึกที่ไม่มีเอกสารกำกับ
  • Feature Engineering ที่ไม่มี version control
  • โมเดลที่ deploy โดยไม่มี approval workflow

สิ่งที่เกิดขึ้นคือ “Algorithmic Blind Spot” องค์กรมี AI ใช้งานจริง แต่ไม่มีโครงสร้างตรวจสอบรองรับ

ความเสี่ยงเชิงจริยธรรมและชื่อเสียง (Reputational Risk)

AI ที่เรียนรู้จากข้อมูลที่ไม่ผ่านการควบคุมคุณภาพ อาจสะท้อนอคติของข้อมูลดิบ เมื่อไม่มี Data Governance ที่แข็งแรง AI อาจเลือกปฏิบัติ การตัดสินใจอาจไม่สามารถอธิบายได้ รวมทั้ง ความโปร่งใสอาจไม่เพียงพอ ในบริบทกฎหมายอย่าง AI Act ของสหภาพยุโรป ความเสี่ยงนี้ไม่ใช่แค่เรื่องภาพลักษณ์ แต่เป็นเรื่องความรับผิดทางกฎหมาย องค์กรที่ไม่มี ERP หรือโครงสร้างข้อมูลแบบบูรณาการ อาจไม่สามารถแสดงหลักฐานการควบคุมได้เมื่อถูกตรวจสอบ

AI โดยไม่มี ERP: ความเสี่ยงเชิงกลยุทธ์

อีกประเด็นที่มักถูกมองข้ามคือ Strategic Misalignment

ERP บังคับให้องค์กรต้องคิดเรื่อง:

  • Data Ownership
  • Process Standardization
  • Enterprise-wide Integration

แต่ AI ที่พัฒนาแบบกระจัดกระจายตามหน่วยงาน อาจสร้าง:

  • Shadow AI
  • โมเดลซ้ำซ้อน
  • การใช้ข้อมูลข้ามหน่วยงานโดยไม่มี governance

ในระยะยาว สิ่งนี้อาจทำให้องค์กรสูญเสียการควบคุมเชิงกลยุทธ์

สรุปเชิงโครงสร้าง: AI Governance ต้องมี “ฐาน” ก่อนมี “ปัญญา”

AI Governance ไม่ได้เริ่มต้นที่โมเดล แต่มันเริ่มต้นที่ข้อมูล กระบวนการ และวัฒนธรรมการควบคุม ERP อาจไม่ใช่คำตอบทั้งหมด
แต่การไม่มีโครงสร้างแบบ ERP เลย ทำให้ AI Governance อ่อนแอตั้งแต่ต้น องค์กรอาจคิดว่ากำลังเข้าสู่ยุค AI อย่างรวดเร็ว
แต่แท้จริงแล้วอาจกำลังเพิ่มความเสี่ยงแบบทวีคูณโดยไม่รู้ตัว

ในตอนก่อน เราตั้งคำถามว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่? ในตอนนี้ คำถามเปลี่ยนไปเป็น AI Governance จะยั่งยืนได้หรือไม่ หากไม่มีโครงสร้างแบบ ERP รองรับ?

AI เปรียบเสมือน “สมอง” ขององค์กรยุคใหม่ แต่สมองที่ไม่มีโครงกระดูกและระบบประสาทรองรับ ย่อมไม่สามารถทำงานได้อย่างมั่นคง องค์กรที่ต้องการใช้ AI อย่างรับผิดชอบ อาจไม่จำเป็นต้องมี ERP ขนาดใหญ่แบบดั้งเดิม แต่จำเป็นต้องมีโครงสร้างข้อมูล การควบคุม และการกำกับดูแลเชิงระบบที่เทียบเท่า

คำถามสำคัญจึงไม่ใช่ “เรามี AI แล้วหรือยัง?” แต่คือ “เรามีฐาน Governance ที่มั่นคงพอให้ AI เติบโตอย่างปลอดภัยหรือยัง?” และนั่นอาจเป็นความเสี่ยงที่องค์กรจำนวนมากยังไม่รู้ตัว

ถ้ามองไปตามลำดับวิวัฒนาการของความเสี่ยงแบบนี้:

  1. ERP คือรากฐาน
  2. ไม่มี ERP มีความเสี่ยงอย่างไร
  3. มี ERP แล้วก็ยังเสี่ยงได้ (Shadow AI)
  4. แล้วสุดท้ายองค์กรควรไปทางไหน (AI Native Enterprise)

จาก “โครงสร้าง” → “ช่องโหว่” → “ความเสี่ยงเงียบ” → “อนาคต”

ในตอนที่ 1-2 ผมได้พูดถึงเรื่อง ERP คือรากฐาน ส่วนในตอนที่ 3 นี้เป็นเรื่องขององค์กรที่ไม่มี ERP จะมีความเสี่ยงอย่างไร และถึงแม้จะมี ERP แล้วองค์กรก็ยังมีความเสี่ยงได้ ซึ่งผมจะไปพูดต่อในตอนที่ 4 ก่อนที่จะไปถึงอนาคตว่าองค์กรควรไปทิศทางไหน ถ้าผมพูดแค่ว่าองค์กร มี ERP แล้วก็จบ แต่ความจริงคือไม่ใช่ องค์กรจำนวนมากมี ERP เต็มรูปแบบ เช่น SAP ERP หรือ Oracle ERP แต่พนักงานกลับใช้ ChatGPT ภายนอก, สร้าง Python model เอง, ต่อ API โดยไม่ผ่าน IT รวมทั้งใช้ SaaS AI tool แบบไม่มี approval นี่แหละคือ “Shadow AI” มันคือ AI ที่เกิดนอก Governance แม้จะมี ERP ก็ตาม ซึ่งเราจะไปคุยกันต่อในตอนหน้านะครับ

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ERP เป็นต้นกำเนิดของ Governance AI จริงหรือ? ในมุมมองการวิเคราะห์ผ่านกรอบ COSO, ISO 38500, Basel และ AI Act (ตอนที่ 2)

มีนาคม 9, 2026

จาก Governance ของธุรกรรม สู่ Governance ของการตัดสินใจ

ทุกยุคของเทคโนโลยีจะทิ้งร่องรอยบางอย่างไว้ในโครงสร้างการกำกับดูแลขององค์กร ยุค ERP ทำให้องค์กรเข้าใจว่า “การควบคุม” ไม่จำเป็นต้องเป็นเอกสารหรือการตรวจสอบย้อนหลังเท่านั้น แต่สามารถฝังอยู่ในระบบได้ ส่วนยุค AI กำลังตั้งคำถามใหม่ว่า “การตัดสินใจของเครื่องจักร” ควรถูกกำกับอย่างไร

ระบบ ERP ขนาดใหญ่อย่าง SAP ERP หรือ Oracle ERP ทำให้องค์กรมีข้อมูลแบบรวมศูนย์ มี workflow ที่ควบคุมได้ และมี Audit Trail ที่ตรวจสอบย้อนหลังได้ ในขณะที่ AI Governance ซึ่งถูกผลักดันโดยกรอบนโยบายจาก European Commission ผ่านกฎหมาย AI Act กำลังยกระดับคำถามไปสู่เรื่องความเป็นธรรม ความโปร่งใส และความรับผิดชอบของอัลกอริทึม

คำถามจึงชัดเจนขึ้นเรื่อย ๆ ว่า Governance AI คือการเริ่มต้นใหม่โดยสิ้นเชิง หรือเป็นวิวัฒนาการที่ต่อยอดจากรากฐาน ERP?

ERP กับ COSO: จุดเริ่มต้นของ Embedded Internal Control

กรอบ COSO Internal Control Framework วางโครงสร้างการควบคุมไว้ 5 องค์ประกอบ:

  1. Control Environment
  2. Risk Assessment
  3. Control Activities
  4. Information & Communication
  5. Monitoring Activities

ERP ส่งผลโดยตรงต่ออย่างน้อย 3 องค์ประกอบหลัก

1.1 Control Activities ถูกแปลงเป็น Workflow

ก่อน ERP การควบคุมจำนวนมากเป็น manual control เช่น การเซ็นอนุมัติเอกสาร
หลัง ERP การอนุมัติกลายเป็น digital approval workflow ที่บังคับใช้โดยระบบ

1.2 Information & Communication กลายเป็น Real-Time

Single Source of Truth ทำให้ข้อมูลไม่กระจัดกระจาย ลดความเสี่ยงข้อมูลขัดแย้ง

1.3 Monitoring Activities กลายเป็น System-Driven

รายงาน exception, log file, audit trail กลายเป็นเครื่องมือ monitoring อัตโนมัติ

ในแง่นี้ ERP คือการ “ทำให้ COSO ทำงานได้จริง” ในระดับปฏิบัติการ

ISO 38500 และ IT Governance: การกำกับเทคโนโลยีเชิงโครงสร้าง

มาตรฐาน ISO/IEC 38500 กำหนดหลักการกำกับดูแล IT สำหรับคณะกรรมการองค์กร โดยเน้น:

  • Responsibility
  • Strategy
  • Acquisition
  • Performance
  • Conformance
  • Human Behaviour

ERP เป็นเทคโนโลยีขนาดใหญ่ที่บังคับให้องค์กรต้องคิดเชิง Governance:

  • ใครเป็นเจ้าของข้อมูล?
  • ใครอนุมัติการเปลี่ยนแปลงระบบ?
  • ระบบสนับสนุนกลยุทธ์องค์กรหรือไม่?

ISO 38500 จึงเป็นสะพานเชื่อมจาก IT Management ไปสู่ IT Governance และเมื่อ AI กลายเป็น IT รูปแบบใหม่ หลักการเดียวกันจึงถูกยกระดับไปสู่ AI Governance

Basel และ Model Risk: สะพานเชื่อมสู่ AI Governance

ในภาคการเงิน กรอบของ Basel Committee on Banking Supervision ได้พัฒนาแนวคิด Model Risk Management (MRM) มานานก่อนยุค AI บูม MRM กำหนดให้มีการตรวจสอบความถูกต้องของโมเดล มีการทดสอบย้อนหลัง (Backtesting) มีการแยกผู้พัฒนาโมเดลออกจากผู้อนุมัติ และมีการติดตาม Model Drift แนวคิดเหล่านี้คล้ายกับ AI Governance อย่างมาก หาก ERP คือการควบคุม transaction risk ส่วน MRM คือการควบคุม model risk และ AI Governance คือการขยาย Model Risk ไปสู่ทุกอุตสาหกรรม

AI Act และ Risk-Based Governance

กฎหมาย AI Act ของสหภาพยุโรปแบ่ง AI ออกเป็นระดับความเสี่ยง:

  • Unacceptable Risk
  • High Risk
  • Limited Risk
  • Minimal Risk

สำหรับ High-Risk AI ต้องมี:

  • Risk Management System
  • Data Governance
  • Technical Documentation
  • Human Oversight
  • Accuracy & Robustness Control

สิ่งที่น่าสนใจคือ โครงสร้างนี้สะท้อนแนวคิดเดียวกับ COSO และ Basel เพียงแต่ย้ายจุดควบคุมจาก “กระบวนการธุรกิจ” ไปสู่ “ระบบอัลกอริทึม”

ความแตกต่างเชิงโครงสร้างของ ERP vs AI

มิติERPAI
ลักษณะการทำงานDeterministicProbabilistic
การควบคุมRule-basedModel-based
ความเสี่ยงหลักFraud / ErrorBias / Drift / Opaque Decision
Audit FocusAccess & ChangeData & Model Integrity
Governance ScopeTransaction GovernanceDecision Governance

ERP ควบคุม “สิ่งที่คนทำ” ส่วน AI ต้องควบคุม “สิ่งที่เครื่องเรียนรู้” นี่คือความท้าทายเชิงโครงสร้างที่ทำให้ Governance AI ซับซ้อนกว่ายุค ERP อย่างมีนัยสำคัญ

ERP เป็นต้นกำเนิดของ Governance AI หรือไม่?

คำตอบอาจแบ่งเป็น 3 ระดับ

ระดับที่ 1: เชิงเทคโนโลยี

ไม่ใช่ — ERP ไม่ได้สร้าง AI Governance

ระดับที่ 2: เชิงโครงสร้าง

ใช่ — ERP วางโครงสร้าง Embedded Control และ Data Governance

ระดับที่ 3: เชิงวัฒนธรรมองค์กร

ใช่ — ERP ทำให้องค์กรคุ้นชินกับการฝัง Governance ลงในระบบ

AI Governance จึงไม่ได้เกิดในสุญญากาศ แต่เกิดบนวัฒนธรรมการควบคุมที่ ERP ช่วยสร้างไว้

บทบาทของคณะกรรมการและ NRC ในยุค AI

เมื่อ AI กลายเป็นกลไกตัดสินใจ คณะกรรมการต้องตั้งคำถามใหม่:

  • ใครรับผิดชอบความผิดพลาดของ AI?
  • AI ส่งผลต่อความเสี่ยงเชิงจริยธรรมหรือไม่?
  • โครงสร้างค่าตอบแทนผู้บริหารสอดคล้องกับ AI Risk หรือไม่?

Governance AI จึงไม่ใช่เรื่อง IT เพียงฝ่ายเดียว แต่เป็นเรื่อง Board-Level Governance

สรุป จาก Control System สู่ Cognitive System

สำหรับ ERP คือยุคของ Control System ส่วน AI คือยุคของ Cognitive System

ERP สอนให้องค์กรควบคุมกระบวนการ ส่วน AI บังคับให้องค์กรควบคุมการเรียนรู้

Governance AI จึงไม่ใช่การปฏิวัติแบบตัดขาดอดีต แต่เป็นวิวัฒนาการของโครงสร้างกำกับดูแลที่เริ่มต้นจาก ERP

หาก ERP คือโครงกระดูกของ Governance ดิจิทัล AI Governance คือระบบประสาทที่ทำให้โครงกระดูกนั้น “ตัดสินใจได้”

คำถามที่แท้จริงจึงไม่ใช่ว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่ แต่คือ องค์กรของเราพร้อมหรือยังที่จะขยายกรอบ Governance จาก “ความถูกต้องของธุรกรรม” ไปสู่ “ความรับผิดชอบของการตัดสินใจโดยอัลกอริทึม” และนี่อาจเป็นโจทย์ใหญ่ที่สุดขององค์กรในทศวรรษข้างหน้า

โปรดติดตามตอนต่อไปที่ผมจะพูดถึง AI Governance โดยไม่มี ERP ซึ่งองค์กรจะต้องรับความเสี่ยงอย่างไรบ้าง หากไม่มี ERP ซึ่งเป็นฐานราก

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ERP เป็นต้นกำเนิดของ Governance AI จริงหรือ? (ตอนที่ 1)

มีนาคม 2, 2026

ในโลกองค์กรยุคดิจิทัล คำว่า “Governance” ไม่ได้หมายถึงเพียงการประชุมคณะกรรมการหรือการออกนโยบายอีกต่อไป แต่หมายถึงการทำให้การควบคุมเกิดขึ้นจริงในระดับระบบ กระบวนการ และข้อมูล

ตลอด 20–30 ปีที่ผ่านมา ระบบที่เปลี่ยนโครงสร้างการควบคุมองค์กรอย่างลึกซึ้งที่สุดระบบหนึ่งคือ ERP (Enterprise Resource Planning) โดยเฉพาะแพลตฟอร์มขนาดใหญ่ระดับองค์กร เช่น SAP ERP และ Oracle ERP ซึ่งทำหน้าที่รวมข้อมูลทุกฟังก์ชันธุรกิจเข้าสู่ศูนย์กลางเดียว

ขณะเดียวกัน โลกกำลังก้าวเข้าสู่ยุคของ Artificial Intelligence และ Generative AI พร้อมคำถามใหม่ว่า เราจะกำกับดูแล AI อย่างไร

Governance AI จึงกลายเป็นวาระสำคัญขององค์กรทั่วโลก แต่หากย้อนกลับไปพิจารณาอย่างจริงจัง อาจพบว่าหลักคิดหลายอย่างใน AI Governance ไม่ได้เกิดขึ้นอย่างฉับพลัน หากมีรากฐานบางส่วนฝังอยู่ในยุค ERP แล้ว เพียงแต่บริบทเปลี่ยนจาก “การควบคุมธุรกรรม” ไปสู่ “การควบคุมการตัดสินใจ” คำถามจึงน่าสนใจอย่างยิ่งว่า… ERP เป็นต้นกำเนิดของ Governance AI จริงหรือ?

ERP ในฐานะสถาปัตยกรรมของการควบคุมองค์กร

ERP ไม่ได้เป็นเพียงระบบบัญชีหรือระบบจัดซื้อจัดจ้าง หากมองในเชิงโครงสร้าง มันคือสถาปัตยกรรมของการควบคุม (Control Architecture)

ก่อนยุค ERP องค์กรมักมีระบบแยกส่วน ข้อมูลกระจัดกระจาย การตรวจสอบย้อนหลังทำได้ยาก และการควบคุมต้องพึ่งพาเอกสารหรือการตรวจสอบแบบ manual เป็นหลัก ERP เข้ามาเปลี่ยนเกมด้วย 3 กลไกสำคัญ

1. การบูรณาการข้อมูล (Data Integration)
ข้อมูลจากการเงิน การจัดซื้อ คลังสินค้า การผลิต และทรัพยากรบุคคล ถูกเชื่อมโยงเข้าสู่ฐานข้อมูลเดียว แนวคิด “Single Source of Truth” จึงเกิดขึ้นจริงในระดับระบบ

2. การทำให้กระบวนการเป็นมาตรฐาน (Process Standardization)
องค์กรไม่สามารถทำงานนอก workflow ที่กำหนดไว้ในระบบได้ง่าย ๆ การอนุมัติ การบันทึกบัญชี หรือการออกเอกสารต้องเป็นไปตามขั้นตอน

3. การฝังการควบคุมลงในระบบ (Embedded Control)
การแยกหน้าที่ (Segregation of Duties), การกำหนดสิทธิ์การเข้าถึง (Access Control), การบันทึก Audit Trail ถูกออกแบบไว้ตั้งแต่ต้น

นี่คือจุดที่ ERP เริ่มทำให้ Governance “จับต้องได้” ไม่ใช่เพียงนโยบายบนกระดาษ

ERP กับกรอบ GRC: การทำให้ Governance บังคับใช้ได้จริง

แนวคิด GRC (Governance, Risk, and Compliance) เริ่มชัดเจนมากขึ้นหลังวิกฤตการณ์ทางการเงินและกรณีอื้อฉาวทางบัญชีระดับโลก องค์กรกำกับดูแลระดับสากล เช่น OECD ได้ผลักดันหลักการกำกับดูแลกิจการที่เน้นความโปร่งใส ความรับผิดชอบ และการบริหารความเสี่ยง ERP กลายเป็นเครื่องมือสำคัญในการตอบโจทย์เหล่านี้ เพราะมันสามารถ:

  • สร้างหลักฐานการทำรายการย้อนหลัง (Audit Trail)
  • ตรวจสอบความสอดคล้องของการปฏิบัติงานกับนโยบาย
  • ลดความเสี่ยงการทุจริตผ่านการแยกหน้าที่
  • สนับสนุนการรายงานความเสี่ยงแบบรวมศูนย์

กล่าวอีกนัยหนึ่ง ERP คือกลไกที่ทำให้ Governance จากระดับ Board ถูกถ่ายทอดลงสู่ระดับ Transaction ได้จริง

AI Governance: การยกระดับจากการควบคุมธุรกรรมสู่การควบคุมอัลกอริทึม

เมื่อ AI เข้ามามีบทบาทในการตัดสินใจ เช่น การให้สินเชื่อ การคัดกรองลูกค้า หรือการคาดการณ์ความเสี่ยง คำถามด้าน Governance จึงเปลี่ยนไป องค์กรอย่าง European Commission ได้เสนอแนวทางกำกับ AI แบบ Risk-Based Approach โดยแบ่งระดับความเสี่ยงของ AI และกำหนดข้อกำกับที่แตกต่างกัน

AI Governance ครอบคลุมประเด็นใหม่ เช่น

  • ความเป็นธรรมของโมเดล (Fairness)
  • ความสามารถอธิบายได้ (Explainability)
  • ความโปร่งใสของข้อมูลฝึก (Data Transparency)
  • ความรับผิดชอบเมื่อเกิดความเสียหาย (Accountability)

ความแตกต่างสำคัญคือ ERP ทำงานบนตรรกะที่กำหนดไว้ล่วงหน้า (Rule-based, Deterministic) AI ทำงานบนความน่าจะเป็นและรูปแบบข้อมูล (Probabilistic, Pattern-based) ดังนั้น Governance จึงต้องปรับจาก “การควบคุมกระบวนการ” ไปสู่ “การควบคุมการเรียนรู้ของเครื่อง”

ERP ในฐานะรากฐานข้อมูลของ AI

แม้ ERP จะไม่ใช่ระบบ AI แต่ AI ส่วนใหญ่ในองค์กรต้องพึ่งพาข้อมูลจาก ERP

หากข้อมูลใน ERP ไม่ครบถ้วน ไม่ถูกต้อง และไม่มีการควบคุมคุณภาพ AI ที่สร้างขึ้นย่อมสะท้อนข้อบกพร่องนั้น นี่ทำให้ ERP มีบทบาทเป็น “ฐานความน่าเชื่อถือของข้อมูล” (Data Integrity Anchor) Governance AI จึงไม่สามารถแยกขาดจาก Data Governance ซึ่งมีรากฐานมาจากยุค ERP

จาก Embedded Control สู่ Algorithmic Control

ในยุค ERP การควบคุมถูกฝังไว้ในขั้นตอนการทำงาน

ในยุค AI การควบคุมต้องครอบคลุม:

  • การพัฒนาโมเดล (Model Development)
  • การทดสอบความเอนเอียง (Bias Testing)
  • การติดตาม Model Drift
  • การตรวจสอบความถูกต้องเชิงสถิติ (Model Validation)

แนวคิด Model Risk Management (MRM) ในสถาบันการเงินจึงกลายเป็นสะพานเชื่อมสำคัญระหว่าง IT Governance และ AI Governance

หาก ERP คือการฝัง Control ลงใน Workflow
AI Governance คือการฝัง Control ลงใน Algorithm

บทบาทของ IT Audit และ Internal Audit ในยุค AI

ยุค ERP ผู้ตรวจสอบมักเน้น:

  • การควบคุมสิทธิ์เข้าถึง
  • การจัดการเปลี่ยนแปลงระบบ
  • ความสมบูรณ์ของอินเทอร์เฟซข้อมูล

แต่ในยุค AI ผู้ตรวจสอบต้องขยายขอบเขตไปสู่:

  • การตรวจสอบคุณภาพข้อมูลฝึก
  • การประเมินความเสี่ยงจาก Bias
  • การทดสอบความสามารถอธิบายผลลัพธ์
  • การตรวจสอบ Governance Framework ของ AI

บทบาทจึงเปลี่ยนจาก IT Auditor ไปสู่ Algorithmic Auditor

สรุป ERP เป็นต้นกำเนิดของ Governance AI จริงหรือ?

ERP ไม่ได้ถูกออกแบบมาเพื่อควบคุมปัญญาประดิษฐ์
แต่ ERP คือระบบแรก ๆ ที่ทำให้องค์กรเข้าใจว่า Governance สามารถถูกฝังในสถาปัตยกรรมดิจิทัลได้

หากไม่มี ERP องค์กรอาจไม่มีข้อมูลที่มีโครงสร้างเพียงพอ การควบคุมอาจยังพึ่งพาเอกสาร แนวคิด Embedded Control อาจยังไม่แพร่หลาย ในมิตินี้ ERP อาจไม่ใช่ “ต้นกำเนิดโดยตรง” แต่คือ “รากฐานเชิงสถาปัตยกรรมและวัฒนธรรมการควบคุม”

โลกองค์กรกำลังเคลื่อนจากยุคที่ความเสี่ยงเกิดจาก “การทำรายการผิดพลาด” ไปสู่ยุคที่ความเสี่ยงเกิดจาก “การตัดสินใจของระบบอัตโนมัติ” ERP ทำให้องค์กรเรียนรู้วิธีควบคุมกระบวนการ แต่ AI บังคับให้องค์กรเรียนรู้วิธีควบคุมการเรียนรู้ของเครื่อง

Governance AI จึงไม่ใช่สิ่งที่เกิดขึ้นอย่างฉับพลัน แต่เป็นวิวัฒนาการต่อเนื่องจากรากฐานเดิม เพียงแต่ความซับซ้อนเพิ่มขึ้นอย่างก้าวกระโดด คำถามสำคัญจึงอาจไม่ใช่ว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่ แต่คือ องค์กรของเรามีความพร้อมพอหรือยังที่จะยกระดับจาก Governance ของข้อมูลไปสู่ Governance ของปัญญาประดิษฐ์อย่างแท้จริง และนั่นคือโจทย์เชิงยุทธศาสตร์ของคณะกรรมการ ผู้บริหาร และผู้ตรวจสอบในยุคต่อจากนี้

ในครั้งหน้า ผมจะขอพูดต่อถึงคำถามที่ว่า ERP เป็นต้นกำเนิดของ Governance AI จริงหรือ? ในมุมมองของการวิเคราะห์ผ่านกรอบ COSO, ISO 38500, Basel และ AI Act โปรดติดตามตอนต่อไปนะครับ

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn