จาก Governance ของธุรกรรม สู่ Governance ของการตัดสินใจ
ทุกยุคของเทคโนโลยีจะทิ้งร่องรอยบางอย่างไว้ในโครงสร้างการกำกับดูแลขององค์กร ยุค ERP ทำให้องค์กรเข้าใจว่า “การควบคุม” ไม่จำเป็นต้องเป็นเอกสารหรือการตรวจสอบย้อนหลังเท่านั้น แต่สามารถฝังอยู่ในระบบได้ ส่วนยุค AI กำลังตั้งคำถามใหม่ว่า “การตัดสินใจของเครื่องจักร” ควรถูกกำกับอย่างไร
ระบบ ERP ขนาดใหญ่อย่าง SAP ERP หรือ Oracle ERP ทำให้องค์กรมีข้อมูลแบบรวมศูนย์ มี workflow ที่ควบคุมได้ และมี Audit Trail ที่ตรวจสอบย้อนหลังได้ ในขณะที่ AI Governance ซึ่งถูกผลักดันโดยกรอบนโยบายจาก European Commission ผ่านกฎหมาย AI Act กำลังยกระดับคำถามไปสู่เรื่องความเป็นธรรม ความโปร่งใส และความรับผิดชอบของอัลกอริทึม
คำถามจึงชัดเจนขึ้นเรื่อย ๆ ว่า Governance AI คือการเริ่มต้นใหม่โดยสิ้นเชิง หรือเป็นวิวัฒนาการที่ต่อยอดจากรากฐาน ERP?
ERP กับ COSO: จุดเริ่มต้นของ Embedded Internal Control
กรอบ COSO Internal Control Framework วางโครงสร้างการควบคุมไว้ 5 องค์ประกอบ:
- Control Environment
- Risk Assessment
- Control Activities
- Information & Communication
- Monitoring Activities
ERP ส่งผลโดยตรงต่ออย่างน้อย 3 องค์ประกอบหลัก
1.1 Control Activities ถูกแปลงเป็น Workflow
ก่อน ERP การควบคุมจำนวนมากเป็น manual control เช่น การเซ็นอนุมัติเอกสาร
หลัง ERP การอนุมัติกลายเป็น digital approval workflow ที่บังคับใช้โดยระบบ
1.2 Information & Communication กลายเป็น Real-Time
Single Source of Truth ทำให้ข้อมูลไม่กระจัดกระจาย ลดความเสี่ยงข้อมูลขัดแย้ง
1.3 Monitoring Activities กลายเป็น System-Driven
รายงาน exception, log file, audit trail กลายเป็นเครื่องมือ monitoring อัตโนมัติ
ในแง่นี้ ERP คือการ “ทำให้ COSO ทำงานได้จริง” ในระดับปฏิบัติการ
ISO 38500 และ IT Governance: การกำกับเทคโนโลยีเชิงโครงสร้าง
มาตรฐาน ISO/IEC 38500 กำหนดหลักการกำกับดูแล IT สำหรับคณะกรรมการองค์กร โดยเน้น:
- Responsibility
- Strategy
- Acquisition
- Performance
- Conformance
- Human Behaviour
ERP เป็นเทคโนโลยีขนาดใหญ่ที่บังคับให้องค์กรต้องคิดเชิง Governance:
- ใครเป็นเจ้าของข้อมูล?
- ใครอนุมัติการเปลี่ยนแปลงระบบ?
- ระบบสนับสนุนกลยุทธ์องค์กรหรือไม่?
ISO 38500 จึงเป็นสะพานเชื่อมจาก IT Management ไปสู่ IT Governance และเมื่อ AI กลายเป็น IT รูปแบบใหม่ หลักการเดียวกันจึงถูกยกระดับไปสู่ AI Governance
Basel และ Model Risk: สะพานเชื่อมสู่ AI Governance
ในภาคการเงิน กรอบของ Basel Committee on Banking Supervision ได้พัฒนาแนวคิด Model Risk Management (MRM) มานานก่อนยุค AI บูม MRM กำหนดให้มีการตรวจสอบความถูกต้องของโมเดล มีการทดสอบย้อนหลัง (Backtesting) มีการแยกผู้พัฒนาโมเดลออกจากผู้อนุมัติ และมีการติดตาม Model Drift แนวคิดเหล่านี้คล้ายกับ AI Governance อย่างมาก หาก ERP คือการควบคุม transaction risk ส่วน MRM คือการควบคุม model risk และ AI Governance คือการขยาย Model Risk ไปสู่ทุกอุตสาหกรรม
AI Act และ Risk-Based Governance
กฎหมาย AI Act ของสหภาพยุโรปแบ่ง AI ออกเป็นระดับความเสี่ยง:
- Unacceptable Risk
- High Risk
- Limited Risk
- Minimal Risk
สำหรับ High-Risk AI ต้องมี:
- Risk Management System
- Data Governance
- Technical Documentation
- Human Oversight
- Accuracy & Robustness Control
สิ่งที่น่าสนใจคือ โครงสร้างนี้สะท้อนแนวคิดเดียวกับ COSO และ Basel เพียงแต่ย้ายจุดควบคุมจาก “กระบวนการธุรกิจ” ไปสู่ “ระบบอัลกอริทึม”
ความแตกต่างเชิงโครงสร้างของ ERP vs AI
| มิติ | ERP | AI |
|---|---|---|
| ลักษณะการทำงาน | Deterministic | Probabilistic |
| การควบคุม | Rule-based | Model-based |
| ความเสี่ยงหลัก | Fraud / Error | Bias / Drift / Opaque Decision |
| Audit Focus | Access & Change | Data & Model Integrity |
| Governance Scope | Transaction Governance | Decision Governance |
ERP ควบคุม “สิ่งที่คนทำ” ส่วน AI ต้องควบคุม “สิ่งที่เครื่องเรียนรู้” นี่คือความท้าทายเชิงโครงสร้างที่ทำให้ Governance AI ซับซ้อนกว่ายุค ERP อย่างมีนัยสำคัญ
ERP เป็นต้นกำเนิดของ Governance AI หรือไม่?
คำตอบอาจแบ่งเป็น 3 ระดับ
ระดับที่ 1: เชิงเทคโนโลยี
ไม่ใช่ — ERP ไม่ได้สร้าง AI Governance
ระดับที่ 2: เชิงโครงสร้าง
ใช่ — ERP วางโครงสร้าง Embedded Control และ Data Governance
ระดับที่ 3: เชิงวัฒนธรรมองค์กร
ใช่ — ERP ทำให้องค์กรคุ้นชินกับการฝัง Governance ลงในระบบ
AI Governance จึงไม่ได้เกิดในสุญญากาศ แต่เกิดบนวัฒนธรรมการควบคุมที่ ERP ช่วยสร้างไว้
บทบาทของคณะกรรมการและ NRC ในยุค AI
เมื่อ AI กลายเป็นกลไกตัดสินใจ คณะกรรมการต้องตั้งคำถามใหม่:
- ใครรับผิดชอบความผิดพลาดของ AI?
- AI ส่งผลต่อความเสี่ยงเชิงจริยธรรมหรือไม่?
- โครงสร้างค่าตอบแทนผู้บริหารสอดคล้องกับ AI Risk หรือไม่?
Governance AI จึงไม่ใช่เรื่อง IT เพียงฝ่ายเดียว แต่เป็นเรื่อง Board-Level Governance
สรุป จาก Control System สู่ Cognitive System
สำหรับ ERP คือยุคของ Control System ส่วน AI คือยุคของ Cognitive System
ERP สอนให้องค์กรควบคุมกระบวนการ ส่วน AI บังคับให้องค์กรควบคุมการเรียนรู้
Governance AI จึงไม่ใช่การปฏิวัติแบบตัดขาดอดีต แต่เป็นวิวัฒนาการของโครงสร้างกำกับดูแลที่เริ่มต้นจาก ERP
หาก ERP คือโครงกระดูกของ Governance ดิจิทัล AI Governance คือระบบประสาทที่ทำให้โครงกระดูกนั้น “ตัดสินใจได้”
คำถามที่แท้จริงจึงไม่ใช่ว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่ แต่คือ องค์กรของเราพร้อมหรือยังที่จะขยายกรอบ Governance จาก “ความถูกต้องของธุรกรรม” ไปสู่ “ความรับผิดชอบของการตัดสินใจโดยอัลกอริทึม” และนี่อาจเป็นโจทย์ใหญ่ที่สุดขององค์กรในทศวรรษข้างหน้า
โปรดติดตามตอนต่อไปที่ผมจะพูดถึง AI Governance โดยไม่มี ERP ซึ่งองค์กรจะต้องรับความเสี่ยงอย่างไรบ้าง หากไม่มี ERP ซึ่งเป็นฐานราก
Information Technology Governance 