Shadow AI: ความเสี่ยงเงียบในองค์กรที่มี ERP แล้วแต่ Governance ไม่ครบ (ตอนที่ 4)

เมื่อมี ERP แล้ว ทำไมยังเสี่ยง?

ในสามตอนก่อนหน้านี้ เราได้ตั้งคำถามว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่? และวิเคราะห์ต่อว่า AI Governance โดยไม่มี ERP มีความเสี่ยงเชิงโครงสร้างอย่างไร? ภาพที่ได้ค่อนข้างชัดเจน คือ ERP ช่วยวางรากฐานด้านข้อมูล การควบคุม และวัฒนธรรมเชิงระบบ แต่คำถามที่ซับซ้อนกว่านั้นคือ หากองค์กรมี ERP ครบถ้วน มีระบบระดับโลกอย่าง SAP ERP หรือ Oracle ERP เหตุใดความเสี่ยงด้าน AI จึงยังเกิดขึ้นได้? คำตอบอยู่ที่สิ่งที่เรียกว่า “Shadow AI” มันไม่ใช่ความล้มเหลวของเทคโนโลยี แต่มักเป็นช่องว่างของ Governance

Shadow AI คืออะไร และทำไม ERP จึงควบคุมมันไม่ได้

Shadow AI คือการใช้หรือพัฒนา AI นอกกรอบ Governance ที่องค์กรกำหนด ตัวอย่างเช่น:

  • พนักงานใช้ Generative AI ภายนอกเพื่อวิเคราะห์ข้อมูลลูกค้า
  • ฝ่ายการตลาดสร้างโมเดลทำนายยอดขายโดยไม่ผ่าน IT
  • ทีมวิเคราะห์ข้อมูลดึงข้อมูล ERP ออกไปสร้าง model ภายนอกโดยไม่มี approval
  • ผู้บริหารใช้ AI tool SaaS โดยไม่มีการประเมินความเสี่ยง

ERP ถูกออกแบบมาเพื่อควบคุม transaction และ workflow แต่ Shadow AI เกิดขึ้นใน “behavior layer” ซึ่งอยู่นอก workflow ปกติ

ERP ควบคุมว่าใครอนุมัติใบสั่งซื้อ แต่ไม่สามารถควบคุมว่าใคร copy ข้อมูลไปใส่ AI ภายนอก นี่คือ blind spot เชิงโครงสร้าง

เมื่อ Governance หยุดที่ System แต่ไม่ครอบคลุม Human Layer

กรอบอย่าง ISO/IEC 38500 พูดถึง Human Behaviour เป็นหนึ่งในหลักการสำคัญ แต่ในความเป็นจริง หลายองค์กรเน้น Governance ที่ระดับ:

  • Access Control
  • Change Management
  • Segregation of Duties

โดยละเลย governance ของ “การใช้เครื่องมืออัจฉริยะ”

Shadow AI จึงไม่ใช่เรื่องเทคนิค แต่เป็นเรื่องวัฒนธรรมการควบคุมที่ยังไม่ตามทันเทคโนโลยี

ความเสี่ยงที่เกิดขึ้นจริงจาก Shadow AI

Data Leakage แบบเงียบ

ข้อมูลจาก ERP ที่ควรอยู่ในระบบควบคุม อาจถูกส่งไปยัง AI ภายนอก แม้ไม่มีเจตนาทุจริต แต่ข้อมูลอาจถูกจัดเก็บหรือประมวลผลในสภาพแวดล้อมที่องค์กรควบคุมไม่ได้

Model Inconsistency

องค์กรอาจมี:

  • โมเดลภายในที่ผ่านการอนุมัติ
  • โมเดลเงาที่พัฒนาโดยหน่วยงาน
  • AI SaaS ที่ผู้บริหารใช้อยู่

ผลลัพธ์ที่ได้อาจไม่สอดคล้องกัน สร้างความสับสนในการตัดสินใจระดับผู้บริหาร

Reputational & Regulatory Risk

กรอบกำกับอย่าง AI Act ของ European Commission เน้นเรื่อง traceability และ documentation

  • Shadow AI ไม่มีเอกสารกำกับ
  • ไม่มี model validation
  • ไม่มี approval trail

เมื่อเกิดปัญหา องค์กรอาจไม่สามารถพิสูจน์ได้ว่ามีการกำกับดูแลเพียงพอ

ERP ไม่ล้มเหลว — แต่ Governance ยังไม่ขยาย

ต้องย้ำให้ชัดว่า Shadow AI ไม่ได้หมายความว่า ERP ไม่มีประโยชน์ ในความเป็นจริง ERP ทำหน้าที่ได้ดีมากในระดับ transaction governance ปัญหาอยู่ที่ Governance ไม่ได้ขยายจาก Transaction Governance ไปสู่ Decision Governance

ERP ควบคุม “สิ่งที่เกิดขึ้นแล้ว” แต่ AI สร้าง “สิ่งที่กำลังจะเกิดขึ้น”

หากองค์กรไม่ปรับ governance framework ให้ครอบคลุม AI lifecycle เช่น

  • Model Development
  • Data Usage
  • Deployment
  • Monitoring

Shadow AI จะเติบโตโดยอัตโนมัติ

บทบาทของ Board และผู้บริหารระดับสูง

Shadow AI ไม่ใช่ปัญหาของ IT แต่เป็นปัญหา Governance ระดับองค์กร

คณะกรรมการควรถามคำถามเช่น:

  • องค์กรมี AI inventory หรือไม่?
  • มีการกำหนด approval process สำหรับ AI tool หรือไม่?
  • ใครเป็นเจ้าของความเสี่ยงของ AI?
  • มี model validation function แยกอิสระหรือไม่?

กรอบของ Basel Committee on Banking Supervision เกี่ยวกับ Model Risk Management แสดงให้เห็นชัดว่า Model Governance ต้องมีความเป็นอิสระและตรวจสอบได้ Shadow AI จึงมักเกิดในองค์กรที่ไม่มีโครงสร้างดังกล่าว

Shadow AI: ความเสี่ยงเงียบที่อันตรายกว่าความผิดพลาดของระบบ

ความผิดพลาดใน ERP มักมีร่องรอย มี log มี transaction trace แต่ Shadow AI มักไม่มี มันอาจให้คำแนะนำที่ผิด อาจสร้างความเอนเอียง อาจทำให้ผู้บริหารตัดสินใจบนข้อมูลที่ไม่ผ่าน validation โดยที่องค์กรไม่รู้ตัวว่า governance gap กำลังขยาย และนี่คือความเสี่ยงที่เงียบ แต่สะสม

สรุป Governance ต้องก้าวให้ทันพฤติกรรม

ในตอนนี้ เราเห็นได้ชัดขึ้นว่า แม้องค์กรจะมี ERP แข็งแรง แต่หาก Governance ไม่ขยายไปครอบคลุม AI lifecycle และพฤติกรรมผู้ใช้ความเสี่ยงก็ยังเกิดขึ้นได้ Shadow AI สะท้อนความจริงประการหนึ่งคือ เทคโนโลยีอาจถูกควบคุม แต่พฤติกรรมของมนุษย์ต้องถูกกำกับด้วยกรอบที่เหมาะสม องค์กรที่ต้องการเดินหน้าเข้าสู่ยุค AI อย่างมั่นคงจำเป็นต้องขยาย Governance จากระบบไปสู่ระบบ + อัลกอริทึม + พฤติกรรม และคำถามสำคัญที่จะนำไปสู่ตอนถัดไปคือ หาก ERP ไม่เพียงพอ และ Shadow AI คือความเสี่ยงที่ต้องจัดการ แล้วโครงสร้างองค์กรแบบใด ที่จะทำให้ AI และ Governance เติบโตไปพร้อมกันได้อย่างแท้จริง? คำตอบนั้นอาจอยู่ในแนวคิดของ
AI Native Enterprise โปรดติดตามตอนต่อไปครับ

This entry was posted on วันเสาร์ที่ 21 มีนาคม 2026 at 10:00 am and is filed under AI กับ GRC. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

ใส่ความเห็น